2025年网络安全重点项目

Wayne Hankins、Will Candrick、Fadeen Davis、Niyati Daftary、Julia Palmer、Andrew Walls、Craig Porter、Dale Koeppen、Katell Thielemann、Elizabeth Davis、Joerg Fritsch、Lisa Neubauer 2025年3月17日 2025年网络安全重点项目 2025年3月17日-ID G00821041-阅读全文约需22分钟 作者：Wayne Hankins、Will Candrick、Fadeen Davis、Niyati Daftary、Julia Palmer、Andrew Walls、Craig Porter、Dale Koeppen、Katell Thielemann、Elizabeth Davis、Joerg Fritsch、Lisa Neubauer 主题：网络风险；满足日常网络安全需求 安全与风险管理领导者在推进多项举措时面临资源限制。Gartner已明确2025年需优先推进的八大关键网络安全项目，通过提供战略指引，确保此类项目能够在12个月内顺利完成。 概述 核心研究发现 ◼由于2025年关税政策的颁布与实施速度加快，各类组织正面临不确定性。这类政策可能从多维度影响安全规划与运营体系，例如延缓关键安全基础设施的部署进程。◼在技术、人力与流程三方面的投入平衡与优先级决策过程中，安全团队持续面临挑战。因此，团队亟需聚焦能最有效降低组织风险并提升抗风险能力的专项工作。◼组织机构正加速采纳零信任架构，并将治理体系深度融入网络安全计划建设框架。◼安全与风险管理（SRM）领导者正着力平衡企业内部生成式AI（GenAI）的快速应用进程，同时部署无感知控制机制。◼随着物理隔离网络（如包含运营技术的信息物理系统）逐步现代化并成为新型攻击目标，SRM领导者正面临董事会下达的关键数字资产防护重任。 建议 身为SRM领导者，若您计划在2025年实施新的安全项目，建议采取下列举措： ◼适当联动采购部门及利益相关方，评估关税政策对网络安全计划的潜在影响。主动识别并实施降低风险的措施。 ◼围绕业务目标构建零信任战略框架，实现零信任原则与企业目标深度融合。确保网络安全措施能够有效应对已识别的风险，且不超出必要范围。 ◼依托NIST网络安全框架（CSF）完善治理体系。NIST CSF 2.0版本已将治理列为网络安全计划的核心功能。致力于完善网络安全治理的组织，可参考新版NIST指南，将网络安全风险与企业整体风险管控动态对齐。 ◼通过将网络安全要素深度融入生成式AI治理框架，引导组织实现生成式AI的安全使用。重点针对非结构化数据管理场景，推广风险控制技术与实践流程。 ◼通过部署先进存储治理方案与AI驱动型威胁检测体系，提升网络安全项目对企业核心资产的保护能力，将网络安全重新定位为创新推动力与防护支柱，构建信息物理系统在关键环境中的可视化与保障能力。 导语 根据ISACA（国际信息系统审计和控制协会）《2024年网络安全态势报告》1，43%的网络安全从业者认为其所在组织人员配备不足，加剧了多项目管理的难度。与此同时，SRM领导者正越来越多地承担起监管信息物理系统（CPS）安全等关键领域的职责，包括运营技术（OT）与物联网（IoT）的安全防护工作。此外，SRM领导者还需完善数据治理框架，确保业务连续性战略的可靠性，并推进AI技术的应用。 除了满足新颁布的数据与AI合规监管要求，SRM领导者还需应对快速演变的威胁态势与现代IT环境的复杂性。预算限制进一步制约了综合性安全方案的部署能力，迫使决策者优先推进与组织战略目标高度协同的网络安全举措。职责范围的扩展，叠加预算限制与新兴技术的迅速涌现，凸显网络安全举措优先级规划的重要性。2025年关税政策密集出台且可能即将实施，使得上述挑战进一步加剧。 本研究整合分析师洞见与Gartner技术采用路线图²、安全与风险管理IT Score评价模型³等数据资产，结合客户深度访谈成果，为SRM领导者提炼出2025年需重点部署的八大战略级项目（见图1），并提供12个月周期内实现成功落地的最佳实践方法。 分析 Gartner在遴选2025年八大重点安全项目时，采用了以下评估标准： ◼所选项目须具备明确的成果交付或基准指标，实施周期严格控制在12个月内。 ◼项目落地可采取两种路径：新技术部署或现有技术的创新复用。 ◼通过初期完善规划与范围界定，结合利益相关方深度协同及资源的高效配置，组织机构能显著提升项目的部署成功率。 下文将逐项详解入选项目的评估标准与实施建议。本文分析成果旨在帮助组织建立科学决策框架，实现2025年网络安全重点项目的精准优先级排序。 评估并调整关税政策对网络安全计划的影响 作者：Lisa Neubauer、Wayne Hankins 目标：关税政策极可能影响网络安全工具及技术所需关键硬件与软件组件的成本及供应。这将导致网络安全成本增加，从而影响预算分配与采购策略。此外，供应链中断可能延缓关键安全基础设施的部署进度。 为应对此类挑战，建议组织主动优化采购策略、推进供应商多元化布局并申请关税豁免，在成本上升和供应链中断的情况下仍能维持强大的网络安全防御机制。 核心标准：网络安全领导者协同采购团队评估关税影响前，需基于以下标准建立完整评估框架： ◼梳理现有网络安全服务与产品的详细清单，标注合同有效期与续约时间节点，识别可能受关税影响的项目并制定前瞻性管理方案。◼针对可能受关税冲击的供应商，寻找可行的替代选项。基于现有网络安全工具和技术以及开源选项，探索整合优化机会。◼制定与业务目标对齐的跨年度网络安全路线图，纳入经审查的供应商名录，同时需考虑到关税对长期采购策略的冲击。 分析师建议：联动采购团队执行以下步骤： ◼成本分析：评估关税导致的商品成本变动，了解并预测对网络安全预算的影响。 ◼供应商评估：通过评估供应商并考虑推进多元化布局，确保供应链稳定并降低关税相关风险。确认产品原产国与供应商所在地分离，或属于非关税区，而非仅核查供应商所在地。 ◼尽职调查：对第三方合作伙伴实施标准化的尽职调查流程。 ◼合同管理：与采购部门协商，通过供应商合同重新谈判，植入关税调整条款，锁定可预测的采购成本区间。 ◼战略采购：探索本土供应商、开源工具及关税豁免区等替代采购策略，以降低关税相关成本。 ◼风险缓解：制定管理关税相关风险的策略，包括关键组件储备与动态库存调节。 ◼合规与报告：确保遵从国际贸易法规，并提供有关关税影响的准确报告，以供决策参考。 期望成果：鉴于关税政策的突发性特征，本举措需贯穿全年实施。此举措将帮助组织预判预算影响、确保供应链稳定、防范意外支出、降低成本、管理风险并保持法规遵从性，从而支持网络安全领域的明智决策与战略调整。 参考研究： 《快速解答：首席信息官应对关税波动的九大策略》 《通过平台整合框架简化网络安全建设》 制定可执行的零信任战略 作者：Wayne Hankins、Dale Koeppen 目标：通过从根本上重构组织的网络安全方法，实现防护态势升级。通过聚焦“限制访问”等核心原则，识别既能强化安全防护、又可创造显著业务价值的关键举措。 核心标准： ◼SRM领导者应当明确界定零信任模式的适用场景与限制条件，以确定其对网络安全计划的业务价值与优化空间。◼设立零信任卓越中心（ZTCE），为实施管理零信任安全计划提供系统化方法。ZTCE规模需适配企业体量与复杂度，确保每个实体获得足够资源配给，有效满足组织特有的网络安全需求和战略目标。ZTCE可以是独立委员会，但通常是IT/网络安全指导委员会的下属委员会，并由SRM领导者直接领导。 推荐参与者包括如下： ◼首席信息安全官（CISO）：主导零信任举措的规划与推进，确保项目与组织安全目标精准对齐，并协调实施所需的资源保障。此外，CISO还负责监督政策制定、风险管理及跨部门协作，实现零信任原则在整个组织内的有效部署。 ◼云安全专家：确保零信任原则应用于云环境，并管理云环境特有的安全工具与策略。 ◼零信任架构师：负责设计和监督零信任架构，确保其与组织的安全目标和业务目标一致。 ◼数据保护官：专注于数据安全与隐私保护，确保数据实施分级加密与访问控制。 ◼网络安全工程师：致力于网络分段并实施微隔离策略，抑制横向渗透风险。 ◼DevSecOps工程师：将安全实践整合到DevOps流程中，确保在开发和部署应用程序时始终将安全性考虑在内。 ◼身份与访问管理专家：管理用户身份、角色及访问权限，确保访问权限按需授予，并持续进行验证。 ◼安全分析师/工程师：负责监控、分析并应对安全事件和事故。安全分析师/工程师肩负着落实零信任安全控制与技术落地的关键职责。 分析师建议：缺乏明确战略规划的零信任转型，将导致实施范围无限扩展、目标体系与业务目标脱节以及资源配置过度扩张。例如，在未分配必要资源的情况下推动技术实施举措，可能延误关键业务目标的达成。 明确的零信任战略规划应包含以下五个行动要点： 1.确保零信任战略规划与企业顶层业务目标保持一致。2.识别可能影响或阻碍核心业务目标达成的网络安全风险。例如，VPN配置缺陷可能导致远程销售人员获得敏感数据的访问权限。3.采用零信任原则。将零信任基础原则深度植入系统架构设计，方能成就强大的零信任战略规划（参见《快速解答：零信任的核心原则是什么？》）。4.选择标准化零信任框架，以强化跨部门协作工作组的架构管控与过程的可视性。标准参考框架包括Gartner零信任架构、美国网络安全和基础设施安全局（CISA）的零信任成熟度模型4，以及英国国家网络安全中心（NCSC）实施指南。55.实施网络安全计划差距分析，并/或开展当前成熟度评估，据此制定为期数年的零信任全方位推进路线图（参见《工具：增强版CISA零信任成熟度模型》）。初期应选择规模适中的项目，以便迅速取得成效，随后推动企业全域的广泛应用。 期望成果：通过零信任战略实现企业网络安全体系的全面有效转型。这种转型应显著增强企业安全态势，同时与企业顶层业务目标保持一致。战略实施需将零信任原则深度植入网络安全架构，创造巨大的业务价值。 遵循本指南的组织应能在6个月内成功完成项目落地。 参考研究： 《工具：零信任战略高效构建模版库》《工具：增强版CISA零信任成熟度模型》《快速解答：零信任的核心原则是什么？》《信息图：零信任之旅的4个基本阶段》 依托NIST CSF 2.0完善网络安全治理 作者：Craig Porter、Fadeen Davis 目标：NIST网络安全框架（CSF）2.0强调”治理“功能的重要性，该功能为将网络安全原则嵌入组织文化和决策流程提供了结构化方法。本举措旨在将治理机制整合至组织的网络安全框架中，从而更好地促进与内部风险管理职能的协调。 核心标准： ◼SRM领导者应与首席风险官等关键利益相关方协作，确保网络安全风险与企业整体风险管理计划保持一致。◼已采用NIST CSF的组织需分析并更新其NIST CSF报告与跟踪工具，以应对重新划分的类别和子类别。◼尚未采用的组织应评估CSF 2.0中的部分或全部功能类别是否适用于其网络安全计划。若适用，应依据CSF 2.0更新指南补充现有框架要素。 分析师建议：致力于完善网络安全治理的SRM领导者可采用具备高度灵活性的NIST CSF2.0，该框架可与ISO、CIS及COBIT等成熟标准形成互补。对于采用NIST CSF 1.1的组织，建议重点把握控制项重组逻辑，将治理作为优先事项，包括基于新版框架对现有政策、角色定位与职责分工进行校准优化，以确保治理的全面性。 对未采用的企业而言，需认识到CSF 2.0支持整体或部分实施，其要素可与其他框架共存， Gartner, Inc. | G00821041 第8页，共17页 但可能需推动文化转型。建议通过NIST参