澳大利亞采用ISO國際安全標(biāo)準(zhǔn)

為了實(shí)現(xiàn)國家和商業(yè)安全的重大飛躍，澳大利亞采用了世界上首個(gè)旨在重塑組織以保護(hù)其人員、基礎(chǔ)設(shè)施和信息方式的國際標(biāo)準(zhǔn)。這一變化是由Standards Australia安全和復(fù)原力專家技術(shù)委員會(huì)MB-025帶來的，該委員會(huì)發(fā)布了AS ISO 22340，這是一項(xiàng)采用國際標(biāo)準(zhǔn)的澳大利亞標(biāo)準(zhǔn)。

通過采用國際標(biāo)準(zhǔn)，澳大利亞正在加強(qiáng)其安全態(tài)勢，并為所有組織提供明確的實(shí)用指南，通過旨在確保協(xié)調(diào)一致和戰(zhàn)略一致的實(shí)施的風(fēng)險(xiǎn)管理原則和治理安排，不斷提高其保護(hù)性安全。

AS ISO 22340的好處——安全的協(xié)調(diào)方法

在當(dāng)今全球化的背景下，“安全”一詞在各個(gè)組織以及不同國家之間呈現(xiàn)出多樣化的含義。當(dāng)組織缺乏清晰明確、定義精準(zhǔn)且相互協(xié)調(diào)的安全控制舉措時(shí)，便極易陷入安全漏洞的泥沼，或者被重復(fù)作業(yè)、資源浪費(fèi)等低效流程所困擾，進(jìn)而對(duì)組織的正常運(yùn)轉(zhuǎn)產(chǎn)生潛在的負(fù)面影響，甚至可能危及其生存與發(fā)展。

雖然關(guān)于安全的不同要素有許多標(biāo)準(zhǔn)，但I(xiàn)SO 22340是世界上第一個(gè)就協(xié)調(diào)和整合保護(hù)性安全提供指導(dǎo)的國際標(biāo)準(zhǔn)。換句話說，它規(guī)定了保護(hù)資產(chǎn)免受惡意行為、意外事件和其他可能造成損害的事件的影響的關(guān)鍵程序和活動(dòng)。

它提供了如何在文件化結(jié)構(gòu)下建立保護(hù)性安全的指導(dǎo)，詳細(xì)說明了治理安排和責(zé)任，以及旨在支持組織安全目標(biāo)的政策、流程和規(guī)范框架。

ISO 22340涵蓋五個(gè)安全領(lǐng)域：安全治理、人員安全、信息安全、網(wǎng)絡(luò)安全和物理安全。這些領(lǐng)域并非相互排斥，當(dāng)?shù)玫接行Ч芾砗蛥f(xié)調(diào)時(shí)，組織可以改進(jìn)其安全流程和結(jié)果。該標(biāo)準(zhǔn)演示了如何理解、規(guī)劃和應(yīng)對(duì)這些領(lǐng)域內(nèi)所有資產(chǎn)（包括人員、基礎(chǔ)設(shè)施和信息）的安全風(fēng)險(xiǎn)。重要的是，它旨在與ISO/IEC 27001和AS 4811等廣泛采用的標(biāo)準(zhǔn)有效整合。

為了幫助有效地管理這些領(lǐng)域，遵循以下原則：

?安全是每個(gè)人的責(zé)任。

?安全使生意成為可能。

?安全管理是以風(fēng)險(xiǎn)管理原則為基礎(chǔ)的。

?最高管理層對(duì)組織的安全負(fù)責(zé)。

?安全已融入組織活動(dòng)的各個(gè)層面。

?安全是在持續(xù)改進(jìn)的生命周期內(nèi)提供的。

持續(xù)安全改進(jìn)框架

該標(biāo)準(zhǔn)為安全系統(tǒng)的持續(xù)改進(jìn)提供了一個(gè)框架。它強(qiáng)調(diào)了定期評(píng)估和提高安全成熟度的重要性。組織可以使用該框架來評(píng)估其安全態(tài)勢，跨五個(gè)安全域?qū)ζ涑墒於冗M(jìn)行評(píng)級(jí)，并確定需要改進(jìn)的領(lǐng)域。這有助于組織適應(yīng)不斷變化的安全環(huán)境和威脅，培養(yǎng)持續(xù)改進(jìn)的文化。

MB-025成員、ISO 22340項(xiàng)目召集人Matthew Curtis強(qiáng)調(diào)了該標(biāo)準(zhǔn)的賦能性質(zhì)：“這是一個(gè)獨(dú)特的賦能標(biāo)準(zhǔn)。它提供了一種通用語言和概念框架，任何組織都可以使用它來理解和管理其安全威脅和相關(guān)風(fēng)險(xiǎn)。至關(guān)重要的是，它還概述了企業(yè)治理安排，其中包括企業(yè)級(jí)所有事項(xiàng)的單一事實(shí)和問責(zé)制。這些屬性將共同成為澳大利亞社區(qū)應(yīng)對(duì)當(dāng)前全球和國家安全背景的強(qiáng)大順風(fēng)?！?/p>

與保護(hù)性安全策略框架的一致性

AS ISO 22340與澳大利亞政府的保護(hù)性安全政策框架（PSPF）的原則和流程緊密一致，該框架解決了人員、信息（包括網(wǎng)絡(luò)）和物理安全等關(guān)鍵領(lǐng)域的安全要求，以及使每個(gè)領(lǐng)域與組織利益相一致的治理安排。

同樣，AS ISO 22340中概述的原則旨在通過增強(qiáng)其彈性和應(yīng)對(duì)不斷擴(kuò)大的威脅和風(fēng)險(xiǎn)來幫助所有組織，無論其屬于哪個(gè)部門。澳大利亞標(biāo)準(zhǔn)協(xié)會(huì)首席運(yùn)營官Kareen Riley Takos表示：“優(yōu)先考慮安全性和復(fù)原力對(duì)組織有很多好處，包括保護(hù)數(shù)據(jù)、確保員工安全，并有助于其整體壽命”。