為了實現(xiàn)國家和商業(yè)安全的重大飛躍,澳大利亞采用了世界上首個旨在重塑組織以保護其人員、基礎設施和信息方式的國際標準。這一變化是由Standards Australia安全和復原力專家技術委員會MB-025帶來的,該委員會發(fā)布了AS ISO 22340,這是一項采用國際標準的澳大利亞標準。
通過采用國際標準,澳大利亞正在加強其安全態(tài)勢,并為所有組織提供明確的實用指南,通過旨在確保協(xié)調一致和戰(zhàn)略一致的實施的風險管理原則和治理安排,不斷提高其保護性安全。
AS ISO 22340的好處——安全的協(xié)調方法
在當今全球化的背景下,“安全”一詞在各個組織以及不同國家之間呈現(xiàn)出多樣化的含義。當組織缺乏清晰明確、定義精準且相互協(xié)調的安全控制舉措時,便極易陷入安全漏洞的泥沼,或者被重復作業(yè)、資源浪費等低效流程所困擾,進而對組織的正常運轉產生潛在的負面影響,甚至可能危及其生存與發(fā)展。
雖然關于安全的不同要素有許多標準,但ISO 22340是世界上第一個就協(xié)調和整合保護性安全提供指導的國際標準。換句話說,它規(guī)定了保護資產免受惡意行為、意外事件和其他可能造成損害的事件的影響的關鍵程序和活動。
它提供了如何在文件化結構下建立保護性安全的指導,詳細說明了治理安排和責任,以及旨在支持組織安全目標的政策、流程和規(guī)范框架。
ISO 22340涵蓋五個安全領域:安全治理、人員安全、信息安全、網絡安全和物理安全。這些領域并非相互排斥,當得到有效管理和協(xié)調時,組織可以改進其安全流程和結果。該標準演示了如何理解、規(guī)劃和應對這些領域內所有資產(包括人員、基礎設施和信息)的安全風險。重要的是,它旨在與ISO/IEC 27001和AS 4811等廣泛采用的標準有效整合。
為了幫助有效地管理這些領域,遵循以下原則:
?安全是每個人的責任。
?安全使生意成為可能。
?安全管理是以風險管理原則為基礎的。
?最高管理層對組織的安全負責。
?安全已融入組織活動的各個層面。
?安全是在持續(xù)改進的生命周期內提供的。
持續(xù)安全改進框架
該標準為安全系統(tǒng)的持續(xù)改進提供了一個框架。它強調了定期評估和提高安全成熟度的重要性。組織可以使用該框架來評估其安全態(tài)勢,跨五個安全域對其成熟度進行評級,并確定需要改進的領域。這有助于組織適應不斷變化的安全環(huán)境和威脅,培養(yǎng)持續(xù)改進的文化。
MB-025成員、ISO 22340項目召集人Matthew Curtis強調了該標準的賦能性質:“這是一個獨特的賦能標準。它提供了一種通用語言和概念框架,任何組織都可以使用它來理解和管理其安全威脅和相關風險。至關重要的是,它還概述了企業(yè)治理安排,其中包括企業(yè)級所有事項的單一事實和問責制。這些屬性將共同成為澳大利亞社區(qū)應對當前全球和國家安全背景的強大順風?!?/p>
與保護性安全策略框架的一致性
AS ISO 22340與澳大利亞政府的保護性安全政策框架(PSPF)的原則和流程緊密一致,該框架解決了人員、信息(包括網絡)和物理安全等關鍵領域的安全要求,以及使每個領域與組織利益相一致的治理安排。
同樣,AS ISO 22340中概述的原則旨在通過增強其彈性和應對不斷擴大的威脅和風險來幫助所有組織,無論其屬于哪個部門。澳大利亞標準協(xié)會首席運營官Kareen Riley Takos表示:“優(yōu)先考慮安全性和復原力對組織有很多好處,包括保護數據、確保員工安全,并有助于其整體壽命”。