与埃森哲合作网络弹性指数 ： 提高组织网络弹性W H I T E P A P E RJ UL Y2 0 网络弹性指数 ： 提高组织网络弹性2封面 ： @ gonin / GettyimagesContents3前言4执行摘要5Introduction71 建立网络弹性框架182 网络弹性指数的前进道路19Conclusion20附录201 CRI 方法242 关键术语词汇表253 致谢27贡献者28尾注免责声明本文件由世界经济论坛发布，作为对项目、洞察领域或互动的贡献。本文所表达的调查结果，解释和结论是世界经济论坛促进和认可的合作进程的结果，但其结果不一定代表世界经济论坛的观点，也不一定代表其成员，合作伙伴或其他利益相关者的整体。© 2022 世界经济论坛。保留所有权利。本出版物的任何部分不得以任何形式或任何方式复制或传播 ， 包括影印和记录 ， 或通过任何信息存储和检索系统。 网络弹性指数 ： 提高组织网络弹性3前言Jeremy Jurgens 世界经济论坛董事总经理吉姆 · 吉恩高级董事总经理 ， 安全 ， 埃森哲世界经济论坛致力于提高整个数字生态系统的网络弹性和准备能力。我们的首份《全球网络安全展望》报告指出 ， 企业高管和网络领导者对其组织的网络弹性状况存在广泛的认知差距。虽然 92% 的受访企业高管认为网络弹性已被纳入企业风险管理战略 ， 但只有 55% 的网络领导者同意。了解网络风险对组织的影响是加强网络弹性的一个复杂但关键的要素。需要框架和工具来装备网络领导者 ， 以了解并向高级领导层传达普遍存在的网络风险及其影响。与网络安全中心的不同社区合作开发在埃森哲的支持下 ， 网络弹性指数寻求作为参考框架提供跨行业、同行和供应链的网络弹性实践的可见性和透明度。我们希望网络弹性指数将帮助网络领导者更好地与组织内的高级领导接触, 将网络弹性定位为战略需要。 网络弹性指数 ： 提高组织网络弹性4执行摘要 网络弹性是一种能力一个超越任何压力、失败、危险和对组织及其生态系统中的网络资源的威胁 ， 使组织可以自信地追求其使命 ， 实现其文化并保持其期望的运营方式。 使网络弹性成为一部分的奖励我们的精神是承担健康风险、创新的更大机会负责任地捕捉未来数字经济的价值。世界经济论坛网络安全中心- 与网络弹性指数工作组合作，并与埃森哲合作，制定了全球网络弹性指数 （ CRI ） 。CRI 为公共和私营部门的网络领导者提供了一个共同的最佳实践框架，以实现真正的网络弹性，一种衡量组织绩效的机制以及清晰的语言来传达价值。CRI 也是一种通用，公正的媒介，通过它，全球每个部门的组织都可以评估并与他们的生态系统合作伙伴互动，以创建更具网络弹性的数字网络。世界经济论坛预计 ， 作为第四次工业革命的一部分 ， 数字化转型将创造约 100 万亿美元到 2025 年为世界经济带来额外价值。1全球大流行只会在这场革命中断并重新设计我们数字生活的结构时加速这场革命 ； 它还提供了一个谨慎的停顿，重新关注负责任的发展和未来使用数字环境的基本原则。鉴于这一机会的力量，不可持续、排他性或不可信任的数字创作 — — 无论多么有价值 — — 都是不可接受的。现在是时候重新构建我们的方法，为未来创造系统性的网络弹性。要取得成功 ， 必须设计、建立和管理网络弹性 ， 然后正确掌握基本原则。基本的网络弹性不仅必须是技术系统的组成部分 ， 也必须是团队、组织文化和日常工作方式的组成部分。这些主题有长期以来 ， 网络计划的代表性不足 ， 并与网络计划中的其他原则混为一谈。在组织内部及其生态系统中 ， 网络复原力必须是整体方法所坚持的普遍心态。网络复原力的方法还必须摆脱仅仅保留现状所造成的恐惧驱动的限制 ， 而这种限制通常是随后试图返回到一个明显的脆弱状态时 ， 中断可以预见地发生。使网络弹性成为精神的一部分的回报是承担健康风险 ， 创新和负责任地捕捉未来数字经济的价值的更大机会。然而 ， 今天的数字和当前事件表明 ， 需要做很多工作才能结束行业生态系统之间和单个组织内部的网络弹性能力和性能差距。世界经济论坛的《 2022 年全球网络安全展望》报告发现 ， 只有 19 ％ 的网络领导者相信他们的组织是网络弹性的 ， 这表明大多数人知道他们的组织缺乏与他们的风险相称的网络弹性。2此外 ， 该报告发现 ， 58% 的受访者认为他们的合作伙伴和供应商的弹性低于他们自己的组织 ， 88% 的受访者担心和生态系统中的中型企业。在另一份报告中 ， 81% 的受访者表示 “领先于攻击者是一场持续的战斗 ， 成本是不可持续的 ” ， 而 2020 年这一比例为 69% 。3这表明 ， 随着组织 ， 生态系统 ， 供应链和关系变得更加相互联系和相互依存 ， 变化的步伐加快 ， 不仅复原力滞后 ， 而且缺乏一种凝聚力的方法来构建复原力。越来越清楚的是 ， 尽管存在这种相互联系 ， 但仍不存在超越破坏性网络事件的一致性。今天 ， 网络弹性在生态系统中受到限制的四个主要原因是许多组织 ：–对网络弹性有狭隘的视角 ， 主要关注安全响应和恢复–对于完整的网络恢复能力应包括哪些内容缺乏共识–发现准确衡量组织网络弹性绩效或向业务领导传达其真正价值具有挑战性–努力在其组织内部和与生态系统合作伙伴保持透明 ， 以了解其网络弹性状况的缺陷以及他们在破坏性事件中的经历。CRI 解决了这些限制。此外 ， CRI 赋予了世界网络领导者 - 他们既是数字经济的驱动力又是受益者–更好地为每个人建立一个更具可持续性、包容性和弹性的未来数字环境的蓝图。 Introduction本白皮书详细介绍了两个组成部分，即网络弹性框架 (CRF) 和网络弹性指数 (CRI)，它们指导组织进行网络弹性之旅。CRF （ 以及随后的 CRI ） 被开发为前瞻性解决方案，以促进跨数字生态系统的更有效实践。通用报告格式提供了一个清晰和可延展的基础，组织可以从中清楚地定义和理解。拥有强大的组织网络弹性意味着什么。这将增强各行各业对网络弹性最佳实践的认识，并为设计或加强其网络弹性方法的人员提供指导。CRF 和 CRI 共同提供了独特的网络弹性蓝图，以提高透明度和可见性，并在数字生态系统和不同行业中实现全球信任。建立网络弹性框架和指数CRF 是在组织中建立整体网络弹性的最佳实践指南。它包括六个关键原则，相关实践及其子实践，网络领导者可以通过这些原则明确定义健康的组织网络弹性。它是一个标准的，与行业无关的框架，具有定义的结果，可以作为所有组织的基线，无论地理位置或规模如何。随后 ， CRI 是一种工具 ， 可帮助组织使用最佳实践的绩效指标来定量衡量其网络弹性The CRI provides insights on organizational network - resilability maturity to participating organizations, increases general situational awareness within each industry and provides insights to public - and private - sector stakeholders.以及跨行业 ， 这些行业可以使组织能够根据自己的行业以及内部的跨行业对其网络弹性进行基准测试整个生态系统。建立网络弹性基准是帮助组织在不断变化的环境中评估和调整网络弹性的关键。CRF 和 CRI 共同为网络弹性的当前状态带来了透明度使用通用报告格式的原则和实践 ， CRI 由基于每个原则、实践和子实践 ， 它们被集体计算以产生组织在个人级别的评级 ， 按部门和行业的评级 ， 以及按能力的汇总评级 （ 图 1 ） 。当匿名化并结合在一起时 ， 通过组织级别的能力对网络弹性性能的测量进一步揭示了行业内部和跨行业的趋势。F i g u r e 1网络弹性框架和网络弹性指数如何相互关联 实践 (Y2)个别组织 CRI 评级按能力划分的总额定值原理 (Xn) 实践 (Yn)按部门和行业划分的评级趋势网络复原力框架网络弹性指数来源 ： 世界经济论坛和埃森哲网络弹性指数 ： 提高组织网络弹性 5实践 (Y1)Measurement子实践 (Zn)原则Measurement子实践 (Z1)原理 (X1) Methodology为了创建全球值得信赖的战略性网络弹性见解来源，需要高度协作和创新主导的方法，组建了各行各业，学术界，民间社会和国际组织的网络领导者和专家社区。通过这种方法 （ 图 2 ），进行了多次研讨会，分发了问卷，并与网络弹性指数工作组成员进行了一对一的访谈。国际上。对公认的网络安全和网络弹性框架进行了评估 ， 以了解全面网络弹性特定框架 （ 见图 5 ） 。目标是 CRF 补充这些现有框架 ， 而不是重新发明它们。社区验证了通用报告格式的原则和实践 ， 考虑了数据收集策略 ， 并最终达到了通用报告格式和 CRI 的当前迭代。图 2与社区一起创建网络弹性框架和网络弹性指数的过程社区讲习班现有框架和标准行业知识审查和迭代网络弹性框架来源 ： 世界经济论坛和埃森哲网络弹性指数 ： 提高组织网络弹性 6m ndig e 下面 ： @ kupicoo / Gettyimages1建立网络弹性框架网络弹性指数 ： 提高组织网络弹性 7 网络弹性指数 ： 推进组织网络复原力8The CRF is the foundation and theory that drives the CRI. The CRF ’ s principles, subsequent practices and sub - practices outline healthy organizational network resilability. This section details the entire of the CRF.网络弹性框架原则图 3通用报告格式的每一项原则都附有一套做法和子做法 ， 以进一步使网络弹性框架网络领导者开发和评估他们的网络弹性 (图 3) 。通过领导力推动文化通过问责制和透明度赢得信任冠军员工行为提供持续培训确定风险环境、评估和优先级推动基于风险的决策通过设计提升弹性跨功能优化假设资源受损创新面向未来网络弹性框架利用安全框架和行业标准专注于常见的关键资产和核心业务减少暴露衡量成熟度和绩效推动持续改进集成响应和恢复通过问责制和透明度赢得信任促进全生态系统协作提高全生态系统网络复原能力研究所网络弹性治理建立董事会对网络弹性的监督任命一名负责任的官员来源 ： 世界经济论坛和埃森哲m ndig e 网络弹性指数 ： 推进组织网络复原力9原则 ： 定期评估和优先考虑网络风险网络弹性管理直接受风险驱动。实践子实践确定风险背景、评估和优先次序 ： 组织负责理解其作用和生态系统内部的相互依存关系 ， 报告自身以及生态系统上游和下游带来的系统性网络风险 ， 并相应地管理其网络复原力。–该组织维护其主要生态系统和供应链的地图相互依存 ， 包括价值链分析、用例 / 场景和相关的系统性影响评估。–该组织至少每年向外部报告其对其生态系统中网络复原能力相互依存性的分析状况及其相关的管理努力。验证风险集成 ： 组织的业务风险承受能力 ， 网络风险价值和网络风险被集成到整体业务战略 ， 企业范围的风险管理和相关的治理结构中 ， 然后推动预算和资源分配。–至少每年 ， 当发生重大变化时 ， 组织对其风险进行可量化的评估 ， 包括与风险承受能力相比的网络风险价值和网络暴露。–该组织将其网络风险评估结果正式纳入其预算和资源决策 ， 至少每年一次 ， 并在事件导致网络风险计算发生变化时根据需要 ， 将适当的资源分配给最高优先级的网络恢复能力领域。驱动基于风险的决策 ： 那些负责管理组织网络弹性的人被授权 ， 并有明确的渠道与决策者沟通可能超过组织容忍阈值的情况。管理层有责任采取相应的基于风险的决策。–所有员工都有公认的报告机制和明确的上报渠道 ， 以便及时报告可能对组织的网络弹性