文章总结： 文档阐述信息安全从合规向风险及网络韧性演变的三个阶段。强调现代安全需超越单纯防御，注重业务连续性与快速恢复能力。建议企业关注RTO、RPO等韧性指标，平衡预防与响应，通过数据保护降低攻击动机，构建可持续的安全态势。 综合评分： 78 文章分类： 安全建设,安全运营,数据安全

福布斯：信息安全从合规到韧性的演变

何威风

祺印说信安

2026年1月13日 00:00 河南

Brian Spanswick 是Cohesity的首席信息官。

在当今高度互联的世界中，信息安全格局发生了翻天覆地的变化。信息安全最初以合规为导向，如今已发展成为一项至关重要的战略支柱，兼顾预防和韧性。对于首席信息官 (CIO)、首席信息安全官 (CISO) 和首席执行官 (CEO) 而言，了解这一演变对于确保业务的长期连续性和竞争力至关重要。

过去十多年来，我一直领导着IT和网络安全团队，负责为高速发展的软件公司提供安全的IT服务。很早我就意识到，信息安全对公司业务目标的影响远不止于满足合规要求。企业及其董事会应该将安全的IT服务视为竞争优势。

第一阶段：合规驱动型安全

历史上，信息安全与合规性几乎是同义词。企业主要从审计准备和监管合规的角度来看待安全问题。为了确保客观性和问责制，企业将审计职能与IT部门分离，通常将其置于内部审计或企业风险团队中。

市场驱动的认证，例如ISO 27001和NIST等框架，提供了结构和信誉。团队通常会将安全发现反馈给 IT 部门，而这些反馈会与其他 IT 优先事项争夺关注和预算。

第二阶段：基于风险的安全

接下来的转变是组织机构开始采用基于风险的方法。信息安全团队不再只是简单地勾选选项，而是开始评估潜在威胁对业务的影响。领导者要求风险负责人承担解决直接威胁运营的问题的责任，并将安全重新定义为业务赋能。

在此，信息安全团队的角色日趋成熟——不再仅仅是评估者或审计者，而是风险缓解的积极参与者。他们开始向审计委员会汇报情况，将技术漏洞转化为战略业务风险，并督促IT和业务领导者承担缓解这些风险的责任。

第三阶段：基于风险的网络韧性

网络韧性并非对基于风险方法的背离，而是其自然延伸。基于风险的安全方法从业务影响和责任的角度评估威胁，而网络韧性则更进一步：确保组织在网络事件发生期间及之后都能持续运营。

这种方法认识到完全预防是不现实的。相反，它侧重于最大限度地减少数据泄露的影响，并最大限度地提高恢复的速度和完整性。数据保护、恢复目标和业务连续性计划都与组织既定的风险承受能力保持一致。

通过将韧性建立在风险管理之上，组织可以确保根据实际业务价值和潜在影响来确定业务连续性战略的优先级，这不仅使其更有效，而且也更容易获得董事会和审计委员会的认可。

最大限度降低业务风险并了解攻击者的动机

根据美国联邦调查局（FBI）1991年至2021年的银行犯罪统计数据，美国银行抢劫案从9500起下降到1724起。尽管如此，2003年发生犯罪事件的银行中只有8%配备了保安人员。银行对犯罪分子的吸引力下降了。为什么？

他们在那里存放的钱比较少。

网络韧性能够最大限度地降低安全漏洞的影响，从而降低攻击者的动机。它将问题从“我能入侵吗？”转变为“这样做值得吗？”

人工智能与内部威胁的作用

如今，攻击者利用包括人工智能在内的先进技术，以前所未有的速度改进攻击手段。社交工程攻击变得越来越逼真，也越来越难以检测。与此同时，内部威胁——往往被忽视——仍然比外部攻击者构成更高的风险。

这些变化意味着信息安全团队在威胁造成业务影响之前，用于检测、响应和遏制威胁的时间正在缩短。而且在许多情况下，响应必须在攻击者执行攻击之前就开始——即在他们悄无声息地潜伏于内部系统期间。

衡量影响，而不仅仅是预防

向韧性转型必须从成功指标入手。现代信息安全团队必须追踪：

• 恢复时间目标 (RTO)：运营可以多快恢复？

• 恢复点目标 (RPO)：最近的已知良好数据点是什么？

• 最大允许停机时间 (MAD)：停机时间达到什么程度才会构成重大业务风险？

这些关键绩效指标需要精确的运营指标，包括：

•是时候验证已知良好的图像了。

•需要恢复数据。

•是时候让系统上线了。

如今，企业必须重新定义成功，不再是防止每一次安全漏洞，而是看其恢复的速度和完整性。

结语：这对领导者意味着什么

网络安全形势不断演变，但有些真理始终不变：基本功至关重要。始终如一、彻底地做好基本工作仍然是根本。正如CIS 关键安全控制所建议的那样，安全防护措施不容妥协。

然而，领导层必须认识到，如今的投资策略必须寻求平衡。各组织必须继续优先考虑预防安全漏洞，但同时也必须同样重视在漏洞发生时尽可能降低其影响。

在一个安全攻击技术发展速度远超安全工具更新速度的世界里，唯一可持续的安全态势是建立在韧性之上的安全态势。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：祺印说信安 何威风《福布斯：信息安全从合规到韧性的演变》