合理网络安全：从法律理论到实践

不久前，“合理网络安全"这个术语主要出现在法律文件或监管备案中。它在诉讼和隐私法律中被引用，但对实际负责保护系统和数据的人员来说意义不大。当时没有明确的定义、路线图，也没有关于什么构成"合理"安全计划的共识。这种模糊性让组织只能猜测——而且往往处于暴露状态。

在互联网安全中心（CIS），我们正在努力改变这种状况。我们的目标始终是帮助组织建立有效、可衡量、实用、可防御且适合其实际风险的网络安全计划。通过CIS关键安全控制、CIS风险评估方法（CIS RAM）和我们的政策模板等工具，我们创建了一个基础，组织可以利用这个基础做出明智的、风险感知的决策——并在关键时刻支持这些决策。

为什么合理网络安全比以往任何时候都更重要

法律环境正在迎头赶上。俄亥俄州、犹他州、康涅狄格州、爱荷华州和德克萨斯州等州已通过明确引用合理网络安全的法律。这些法律中的许多为遵循CIS控制措施或NIST网络安全框架等认可框架的组织提供责任保护。其他州——纽约州、爱达荷州、北达科他州和俄亥俄州——正在将网络安全期望编织到采购规则、保险法规和公共部门任务中。

这种转变很重要。监管机构和法院不仅仅问你是否拥有安全措施——他们还在问这些措施是否恰当、有文档记录，并基于深思熟虑的风险评估。合理网络安全正在成为组织需要达到的标准，而不仅仅是追求的目标。对消费者来说，这种演变提供了关键的东西：保证。当组织采用合理的网络安全实践时，它们不仅保护自己的资产——还在保护它们所服务的个人的个人数据、隐私和信任。

一刀切并不适用

我们学到的最重要教训之一是，合理网络安全是情境相关的。对小型非营利组织合理的内容与对跨国金融机构合理的内容是不同的。这就是为什么CIS引入了实施分组（IGs）——一个分层模型，帮助组织根据其规模、资源和风险暴露情况确定安全措施的优先级。

这种方法确保组织不会被不切实际的期望压垮。相反，他们被授权就实施哪些控制措施、如何证明其合理性以及如何证明他们已采取适当措施保护数据做出明智决策。当这些决策经过深思熟虑时，消费者就会受益——因为他们的信息得到了谨慎处理，而不仅仅是为了合规。

合理网络安全不是关于完美——而是关于做出可以在法庭上、审计中和公众眼中得到辩护的决策。

定义合理网络安全的实用指南

为了帮助组织应对这个不断发展的环境，CIS开发了《定义合理网络安全指南》。该指南与法律和技术专家合作创建，提供了一个构建满足当今期望和未来挑战的网络安全计划的框架。

它概述了如何评估您的网络安全态势，应用基于风险的方法，并与可辩护的注意标准保持一致。无论您是CISO、法律顾问、合规官还是IT领导者，本指南都提供了从模糊到行动所需的清晰度和结构。

展望未来

我们已经取得了实际进展，但还有更多工作要做。在CIS，我们将继续改进我们的工具，扩展我们的指导，并与各行各业的合作伙伴合作，确保合理网络安全不仅仅是一个法律术语——而是每个组织都能理解、实施和信任的东西。

合理网络安全不是关于勾选复选框。它是关于做出明智的、风险感知的选择——并在最重要的时候准备好证明它。当正确实施时，它不仅保护系统——它还保护人们。