ISO 27001 单独认证可能存在的局限
ISO/IEC 27001:2022 是一项国际标准,而非法律法规。获得 ISO/IEC 27001 认证并不意味着企业必然满足 NIS2 的全部合规要求。其中,供应链安全、管理层责任以及安全事件法定报告义务这三个方面,通常需要企业采取额外措施并提供相应证据,而这些内容并不能仅凭 ISO/IEC 27001 证书予以充分证明。
ISO/IEC 27001 是一项自愿性国际标准,而 NIS2 是具有法律约束力的欧盟法规。因此,认证并不会自动替代企业履行 NIS2 下的全部法定义务,尤其是在供应链安全、事件报告要求以及管理层责任方面。
NIS2 第21条第2款规定了十类网络安全风险管理措施,相关企业依法必须实施这些措施。ISO/IEC 27001:2022 标准的要求以及附录 A 中列出的控制措施,可以与其中大部分类别建立对应关系——但这种对应并非与法律要求之间的一一等同关系:
供应链安全
NIS2 指令要求企业评估并管理整个供应链中的网络安全风险,而不仅仅局限于自身企业边界内部。
近年来发生的多起网络安全事件表明,攻击者越来越多地利用供应链作为突破口,以获取对大型客户网络的未经授权访问。毕竟,“以最小投入实现最大影响范围”的效率原则在网络攻击中同样适用。
因此,NIS2 第21条第2款(d)项明确要求企业加强供应链安全管理,这与 ISO/IEC 27001 附录 A 中 5.19–5.23 条款所涉及的供应链安全要求保持一致,包括:
- 供应商关系中的信息安全
- 供应商协议中的信息安全要求
- ICT 供应链中的信息安全管理
- 供应商服务的监控、审核与变更管理
- 云服务使用中的信息安全
管理层责任
根据 NIS2,网络安全已不再被视为仅属于技术范畴、可以完全委托给 IT 部门处理的问题。
该指令明确要求,企业管理层机构必须对网络安全风险管理措施的批准、监督以及定期审查承担责任。在实践中,高级管理层需要:
- 理解网络安全风险,并积极参与风险管理
- 参与与网络安全相关的治理活动和决策流程
- 为提升组织韧性的措施提供充足资源
- 监督安全事件响应准备情况以及报告义务的履行情况
根据各成员国对 NIS2 的实施方式,以及适用的公司治理和责任追究法规,管理层成员若未能充分履行其网络安全职责,也可能面临个人责任后果。因此,网络安全治理正逐渐成为企业管理层的一项重要职责——如果企业无法充分证明其已建立有效监督机制,可能面临监管和财务层面的影响。
安全事件报告
NIS2 引入了具有法律约束力的报告时限要求:企业在获知重大安全事件后,必须在 24 小时内向主管机构提交初步预警通知;随后在 72 小时内提交更详细的事件报告,并按照法规规定在后续阶段提交最终报告。
目前,许多企业尚未建立能够可靠满足上述时限要求的文件化流程、明确的职责分工以及经过验证的响应机制。信息安全管理体系(ISMS)中现有的事件管理流程,通常需要针对 NIS2 新增的法规时限要求和外部报告义务进行调整。
在实践中,这通常意味着企业需要弥补以下三个方面的差距:
- 第一,明确并记录“获知重大事件”的判定触发点。
企业需要定义从何时开始计算 24 小时报告期限。许多 ISMS 事件管理流程通常侧重于内部事件严重性分级,而未充分考虑法规规定的时间节点要求。 - 第二,指定负责预警通知的具体角色。
企业需要明确由专门角色负责向国家计算机安全事件响应小组(CSIRT)或主管机构提交预警通知,并负责外部沟通协调,同时该角色应区别于负责内部事件响应的负责人。 - 第三,建立可审核的证据链。
企业需要保留包括带时间戳的日志、已提交通知副本以及初始事件严重性评估依据在内的完整记录,以便监管机构后续审查企业如何满足 NIS2 规定的 24 小时和 72 小时报告期限。
运营韧性
监管机构和客户越来越重视企业是否能够证明其韧性措施已经经过实际测试,而不仅仅是停留在书面文件层面。
因此,企业需要证明其在发生业务中断事件时,能够维持关键业务运营,或快速恢复关键业务能力,而不仅是提供书面计划。通常包括:
- 制定业务连续性计划并定期开展测试
- 针对关键系统和数据开展灾难恢复演练
- 开展贴近实际场景的安全事件响应模拟
- 建立并实施明确的危机管理流程
这些措施共同体现了企业是否真正将韧性能力融入日常运营之中。