不久前，国际知名的信息安全专业机构ISACA，在全球同步发布中英文版《网络安全实施框架指南》（以下简称《实施指南》）。

网络安全实施框架（根据网络安全法与相关指引进行分析实施）

《实施指南》基于ISACA的国际先进经验，并紧密结合中国的实际环境，由国内安全专家所撰写，目的是为中国的网络安全相关法规实施，提供一套可供参考的方法。为了进一步了解《实施指南》的内容和意义，安全牛近期采访了ISACA全球副总裁Ken Kujundjic和国内知名信息安全咨询培训机构谷安天下的副总经理陈伟。

ISACA全球副总裁库君杰（右）

个人简介

库君杰(Ken Kujundjic)，ISACA高级副总裁，负责全球企业级业务拓展和销售。在信息技术行业特别是服务和软件业拥有20多年的工作经历，加入ISACA之前，曾在IBM公司工作逾10年，负责管理咨询、业务拓展、销售以及战略规划等业务部门。库君杰先生拥有丰富的跨国业务经验，特别是非洲、中欧、东欧以及远东。

一、中国安全专家是《实施指南》的主要贡献者

安全牛：《实施指南》发布后有哪些反响？它的主要意义是什么？

Ken：ISACA经常在全球的职业社区提供IT领域的技术指南，这次发布的《网络安全实施框架指南》是一次有益的尝试，目的是为中国的网络安全法规实施提供借鉴和参考。

《实施指南》发布后在国际上引起了很大的反响，代表了国内社区与国际社区的良好合作。不仅如此，《实施指南》还把国内专业社区很好的经验，分享给了国际社区。比如，在《实施指南》发布后，收到了来自国际社区上的很多反馈，显示出国际上对中国网络安全环境的关注。

指南或框架等类似的文件，是从一个国家的实际情况出发，给出的建议。至于能带来具体什么样的借鉴作用，还要看本国的实际情况。比如，银行或监管机构，能否从中获得实际的意义，网络安全工作是否因此而得到有效加强，具体还要看不同行业、不同背景和各自不同的需求。

安全牛：据了解《实施指南》参考了美国国家安全标准研究所(NIST)的CSF（网络安全框架），而ISACA就是CSF的编写者之一。我们知道，CSF在协助实施由奥巴马签署的网络安全《13636法案》过程中起到了重要的指南性作用。能否结合CSF，介绍一下本次发布的《实施指南》的背景和编写情况？

Ken：NIST（美国国家安全标准研究所）的网络安全框架已经在全球得到了一定的共识，不光是为美国的网络安全法规搭建了很好的基础，同时也给国际上提供了很大的借鉴意义。虽然不能说是一个全球范围的法律框架，但许多国家都参照了CSF中的一些做法，这也是事实。

NIST的CSF开发过程，就是一个非常广泛的合作过程，比如，根据不同领域和不同章节的分工，成立了很多工作小组。ISACA参与了其中几个小组。

本次发布的《实施指南》，是一个针对中国的指南，所以更大程度上依靠国内的专家和专业人士。在国内我们组建了一个十人左右的编写团队，并成立了专家委员会。ISACA主要是从国际范围的方法论和实践上给予支持，包括指导和审核。但主要的内容和编辑，都是由国内人员来完成，他们是《实施指南》最重要的贡献者。

此外，《实施指南》在编写过程中，咨询了来自各个行业很多的合作伙伴，包括银行、金融，以及培训机构等，从不同的角度为《实施指南》提供各自的经验和观点，以及更加符合中国环境的实际情况。

二、未来要把《实施指南》的合作模式在全球推广

安全牛：ISACA是IT安全领域的国际知名机构，能否站在第三方的角度，给出对中美两国在网络安全方面的评价？

Ken：中美两国有着一些相同点，两个国家都是巨型经济体，影响力和姿态都非常强势，而且两国均把网络安全提升到国家安全的层面。之所以这样说，是因为并非所有国家都如此重视网络安全。还有一点，虽然许多国家都开始强调网络安全方面的国际合作，但其实各个国家更关心的还是加强本国对网络安全的投入。

有一个情况值得关注，中国在过去的三十年里，信息科技发展飞快，尤其是在互联网应用，金融科技领域和数字化转型方面，发展速度超过世界上所有国家。所以，中国面临的问题和挑战，都是其他所有国家没有的。因此面临的网络安全风险程度、规模和复杂度，也是其他国家所不具备的。反过来考虑，也就意味着中国有可能在这个领域，起到引领世界的作用。

我本人对编写小组的项目成果非常满意，在《实施指南》的开发编写过程中，小组成员之间表现出良好的合作精神和工作热情，整个工作过程是快速并且高效的，ISACA过去将近50年的历史，这是第一次由中国的专业社区和专业人员，所开发出来的一个高质量的技术指南，并且在国际上引起了非常大的反响。因此，ISACA也希望能够把这种模式推广到世界其他国家和地区。

三、传统复制模式已过时 本土化是方向

安全牛：除了中国以外，之前与其他国家有过类似的合作模式吗？

Ken：在欧洲有过类似的合作模式，就是在欧盟的数据保护规定《GDPR》出台之后，为了帮助欧洲市场上的企业和机构更好的合规，ISACA组织了欧洲的在数据保护领域的专业人士，也是在今年的3月，推出了《GDPR》的实施指南。

安全牛：您对中国当前的信息安全及IT风险管理的现状有什么看法？

Ken：刚才说到中国在某些领域，如金融行业，由于技术的高速发展和广泛的应用，已经走在了世界前列。在IT治理与风险管控方面，国内已经积累了丰富的经验，可以给全球范围内的业内人士和机构带来宝贵的借鉴意义。无论是做为一名国际上的专家来中国进行交流，还是来中国学习，我认为都是一件很好的事情。

安全牛：ISACA未来还有哪些知识、服务和产品会推向中国市场？

Ken：ISACA已经进入中国市场很久，但正式成立机构是在去年4月份，这也是ISACA第一次在北美以外的地区正式成立机构。目的是希望能够更好的为中国的IT专业社区和人员提供优质的服务，依据本地需求，开发制作出更多符合中国实际环境的知识和产品。相信未来也会有更多的机会，来自中国的专业人员会参与到ISACA全球知识库的建设当中。

从机构运营的角度来讲，也希望通过机构的正式成立，能够和中国更多的行业、机构和社区合作。传统的独立开发产品再复制到当地应用的模式已经逐渐过时，新的模式应该是在本地开发适用于本地需求的产品。ISACA希望未来会在中国遵循这一模式。

ISACA是一个接近五十年历史的国际组织，但去年才在北美以外的地区，正式成立首个分支机构，也反映出我们对中国市场的尤为重视。目前，我们推出的是授权培训机构的机制。未来我们将会和这些授权培训机构一起，为国内的用户服务。除了传统的证书考试之外，还将会有一些针对中国市场的产品，如网络安全意识培训，还有一个最新推出的服务，网络安全能力成熟度评估(CCP)，为企业的安全能力做出评估并提供建议。

四、顶层法规结构化分解 形成具体操作步骤

陈伟

个人简介

陈伟，北京谷安天下科技有限公司CTO，首席咨询顾问，国际注册信息系统审计师(CISA)，ISO27001主任审核员，国际信息系统审计与控制协会(ISACA)中国专家委员会副主席，北京大学兼职教授。著有《信息安全管理：全球最佳实务与实施指南》，发表过多篇IT治理与信息安全论文。

安全牛：做为《实施指南》的主要编写者之一，请您介绍一下这本《实施指南》的大概内容和重要意义？

陈伟：实施指南是ISACA利用其参与美国《美国增强关键基础设施网络安全框架》所积累的经验，为中国的网络安全相关法规实施提供了的一套可供参考的方法。这套方法的最大意义在于向我们展示了如何把一个顶层的法规通过结构化的过程，层层分解成可以实施的具体操作步骤，为国内机构高效实施相关安全法规提供有价值的借鉴。

安全牛：实施指南所描述的方法都有哪些？

陈伟：实施指南所描述的方法可以简单概括为四个步骤：分析解读、差距分析、分类实施、体系运行。

“分析解读”是指我们首先要对网络安全法进行充分的分析，了解网络安全法出台的背景、主要内容、关键举措、责任主体、检查要求等内容。甚至还要了解国内外相关的其他法规要求，作为配套实施的依据。本指南在附录中利用NIST的IDPRR网络安全模型，把国内外网络安全相关法律、法规及最佳实践进行了详细映射，对各类读者具有一定的参考价值。

“差距分析”是指要根据网络安全法及其他相关法规的具体要求，分析组织当前的实际情况，从管理要求、技术要求及敏感数据保护等方面进行差距分析，以发现本机构存在的主要差距，为后续整改明确方向。在差距分析这一部分,本指南只是给出了概要的示例性说明，建议各类读者可以根据组织所在行业的特点及自身的实际情况，结合相关配套法规及标准的要求，进行详细的差距分析，以方便后续整改措施的实施。

“分类实施”是指根据判断组织的信息系统是否是关键信息基础设施，来决定保护方法的粒度。对于一般性的网络运营者，需要从网络运营安全、网络信息安全二个层面对网络安全法的相应条款进行分析，在责任方界定、管理措施及技术措施三个方面分析组织应当采取的措施，并结合等级保护的相关要求予以落实；而对于关键信息基础设施的网络运营者，除了落实一般性的网络运营基本要求以外，还需要增加关键信息基础设施相关的控制要求，利用体系化、精细化的方法来实施网络安全法规的要求。例如，还需要识别其他适用的法律法规和行业最佳实践，要把法规要求纳入到总体安全架构中，要建设综合的网络安全管控框架等。

“体系运行”是指不能仅通过一次性具体措施的实施来满足网络安全法规的要求,而要建立持续运行的网络安全保障体系。具体措施有：等级保护制度的落实，网络安全制度与流程的建立，网络安全的监测与预警，网络安全应急管理，网络安全审计与持续完善等。通过这些体系化的方法来推进网络安全保障体系的持续运行，才能把网络安全法规的要求固化下来。

另外，在这里特别要强调的是本指南只是专业机构站在最佳实践的角度为读者提供的法规实施参考意见。由于法规本身的敏感性及严肃性，各类组织在实施网络安全法的过程中还是要以立法机构和主管部门的正式文件、相关配套法规、上级检查要求为最终依据。

安全牛评

网络安全，在全球范围内均已成为所有经济大国、强国的关注重点。但由于安全的特殊性和各国国情的不同，网络安全本土化的需求明显。而基于国际知名技术社区的经验，由本地社区专业人员的合作模式，则为全球各国的专业社区带来了很好的借鉴实例，值得业界推广。

# 关注ISACA微信公众号(ISACA_China)，发送“网络安全实施框架指南”，可免费获得完整中文版下载链接。#