各国越来越多地在各个商业领域采用新技术, 巴基斯坦也不例外. 随着越来越多的初创澳门赌场官方下载, 年轻的专业人士和已被成熟组织实施的数字化转型计划, 巴基斯坦有责任制定一项网络安全政策,该政策应得到一个也涉及数据保护和隐私的总体框架的支持. 这项政策旨在成为一个框架,所有公共和私人组织都有义务遵守并保持遵守.
为了了解巴基斯坦网络安全政策的广度, 了解网络安全的影响很重要吗, 数据主权和隐私关系到一个国家的整体经济状况. 的服务, 一个组织提供的产品或解决方案为社会创造价值,并最终为一个国家的人类发展做出贡献, 经济稳定与增长.
的服务, 一个组织提供的产品或解决方案为社会创造价值,并最终为一个国家的人类发展做出贡献, 经济稳定与增长.
巴基斯坦最近批准的《澳门赌场官方软件》与2021年1月发布的咨询草案相比有了重大改进. 与之前的咨询草案相比, 2021年7月发布的批准版政策展现了更广泛的愿景,不仅关注资产安全, 而且还需要通过一个强大的、不断改进的数字生态系统来建立弹性. 该愿景旨在促进网络安全,同时强调并最终努力改善整个社会的社会经济发展.
该政策列出了网络安全领域的3个不同挑战和风险因素. 网络安全的所有权是一个主要问题,需要政府提供适当和充分的支持,以确保负责巴基斯坦经济增长的其他价值创造流能够以健康的方式促进增长和进步, 持续和可持续的方式. 由于过去几年缺乏政府的支持, 网络安全仍然处于次要地位,资产基本上成为对手唾手可得的果实, 无论是机会主义还是持久性.
该政策还强调了缺乏治理框架等问题, 执法机制无效, 过度依赖外部资源,人力资源不足, administer, 运营并持续改善国家网络安全态势. 它将在公共和私营部门执行,这意味着在网络安全治理框架及其合规性方面应在各个领域采用统一. 这使得未来将由负责协调和确保网络安全措施实施的中央实体制定的框架更容易采用. In addition, 某些部门或技术领域, 例如运营技术(OT)和云计算, 可能需要额外收费, 建立在类似结构上的独立框架,以帮助实现与《澳门赌场官方软件》中强调的政策目标类似的政策目标.
政策目标
该政策的目标是全面的,对于全面解决巴基斯坦面临的网络安全挑战和风险因素至关重要. 政策目标涉及以下主要领域:
- 建立治理框架
- 说明信息系统和关键基础设施的重要性(关键信息基础设施的适当定义见附录3).17).
- 促进数据治理和保护
- 促进网上私隐
- 建立信息保障框架
- 建立网络安全意识
- 能力建设
- 实现独立
- 强调国家/全球合作框架
- 强调采用基于风险的方法
政策可交付成果
彻底研究政策的成果和细微差别, 必须理解,任何治理策略或框架的有效性都受到人的影响, 工艺和技术. 这三个支柱中的任何一个构成的挑战都可能阻碍政策目标或框架的效果.
巴基斯坦的网络安全政策包括17项不同的政策成果, 其中16个与网络安全直接相关. 这些可交付成果提供了治理的整体覆盖, technology, 人力资源和网络安全意识. 剩下的可交付内容提供了一个词典.
In addition, 成立了网络治理政策委员会(CGPC),以解决网络安全所有权问题并提供战略网络安全监督. CGPC提出的所有政策建议都必须得到巴基斯坦联邦内阁的批准和认可.
联邦内阁对CGPC政策建议的审查和批准具有重要意义,因为它们为国家领导层提供了对网络安全挑战和风险因素的必要关注. 国际标准化组织(ISO)/国际电工委员会(IEC) ISO/IEC 27001标准颁布的最佳实践也强调了行政领导直接监督的重要性. 这种监督确保网络安全挑战和风险因素不会被可能导致利益冲突的竞争利益或结构性问题所压制或掩盖.
该政策规定,实施框架将由联邦政府的一个指定部门制定. 这个司将作为联邦一级的中央机关, 负责协调和实施国家网络安全措施, 部门和组织层面. 政策成果3.政府信息系统和基础设施保护建议“与相关政府实体合作,确保将一定比例的ICT项目预算强制分配给网络安全保障.”1
这种指导可能会在IT和网络安全团队之间产生冲突, 不幸的是, 网络安全很可能会被政府机构的IT所掩盖. ISO/IEC 27001等国际标准强调需要将网络安全与任何可能出现的潜在冲突分开,网络安全团队应直接向组织领导报告,而不是向任何其他单位报告, 哪些问题可能会被搁置.
许多其他国家的国家网络安全框架确保首席信息安全官(ciso)直接向首席执行官(ceo)或首席风险官(cro)报告,而不是向首席信息官(cio)报告。, 这是他们的安全预算, 网络安全的关键绩效指标(kpi)和绩效评估完全独立于信息通信技术(ICT)。.
巴基斯坦的网络安全政策有效地解决了能力建设和研究需求, 发展和公私伙伴关系. 网络安全研发对于实现开发和利用本土网络安全产品的更广泛目标至关重要, 解决方案和服务. 独立和自给自足对巴基斯坦经济也非常有利, 因为成熟的, 本土产品和解决方案可以出口到该地区遇到网络安全问题的其他国家.
网络安全研发对于实现开发和利用本土网络安全产品的更广泛目标至关重要, 解决方案和服务.
该政策还强调建立国家网络安全文化. However, 网络安全意识项目的实施不应仅仅局限于政府部门, 相反,私营部门的所有组织都应该确保他们执行强大而有效的网络安全意识计划.
随着巴基斯坦各地数字化转型和电子商务活动的增加, 该政策适当地解决了在数字交易中建立信任的要求,并颁布了在所有网络安全决策中采用以风险为中心的方法.
Conclusion
巴基斯坦2021年国家网络安全政策为整个社会的整体利益提供了急需的方向, however, 政策制定者尚未澄清以下几点:
- CGPC的运行框架
- CGPC的报告结构
- 授予CGPC的权力
- CGPC的澳门赌场官方软件
澄清这些问题将有助于组织解决结构性问题和, ultimately, 实现有效的网络安全治理. 另外, 了解CGPC的功能和结构对确定其运行模式和有效性具有重要意义. 角色不清晰, 制定机构的责任和权力导致这些委员会处于休眠状态,成为收入消耗的来源,对政策目标没有任何实质性贡献.
另外, 只有在所有部门持续有效地实施该政策,才能发挥其效益. 为此,巴基斯坦的决策者必须采取下列步骤:
- 建立一个对各种规模和类型的组织都有责任的总体网络安全框架.
- 建立健全的审核机制,使所有组织都能通过, 无论类型和大小, 能经历达到和保持合规性吗.
网络安全框架以及稳健的审计机制作为策略执行工具,确保适用组织始终如一地追求网络安全策略的目标. It is, therefore, 同样重要的是,巴基斯坦政府任命各组织定期和根据需要对执行政策措施的组织进行审计, 并向巴基斯坦政府报告其遵守情况.
Endnotes
1 信息技术和电信部, 国家网络安全政策2021巴基斯坦,2021年7月
穆尼布·伊姆兰·谢赫, CRISC, CDPSE, CCSP, CISSP, ISO 27001 LI, Iso 27701, 弗雷斯特零信任策略, PMI-ACP
网络安全战略和治理顾问是否在中东, 为网络安全策略和治理提供咨询服务, 风险和合规性(GRC)的政府组织, 金融和保健部门. 他也是各种网络安全出版物的作者. 可以通过电子邮件联系谢赫 muneebimranshaikh@gmail.com 或者通过LinkedIn http://linkedin.com/in/muneebimranshaikh.