美國國家安全法律博客 Lawfareblog 近日發(fā)表《企業(yè)管理與網(wǎng)絡(luò)安全-高管的數(shù)字彈性》（Business Management and Cybersecurity - Digital Resiliency for Executives）書評。這本書的作者為日本網(wǎng)絡(luò)安全專家 Shinichi Yokohama。

《企業(yè)管理與網(wǎng)絡(luò)安全-高管的數(shù)字彈性》共六個章節(jié)：

第一章解釋了網(wǎng)絡(luò)安全的構(gòu)成要素以及網(wǎng)絡(luò)安全事件可能會給企業(yè)運營帶來的影響；

第二章網(wǎng)絡(luò)安全是企業(yè)管理挑戰(zhàn)的原因分析；

第三章將日本、美國和歐洲國家的網(wǎng)絡(luò)安全態(tài)勢和政策進行比較，并向日本企業(yè)的高管提供解決網(wǎng)絡(luò)安全問題的建議；

第四章鼓勵日本企業(yè)尋求行業(yè)合作，例如信息共享和分析中心（ISACs）；

第五章描述了美國、東南亞和歐洲政府的政府在網(wǎng)絡(luò)安全政策和公共宣傳方面的合作方式；

第六章討論了私營行業(yè)如何在教育、培訓(xùn)和網(wǎng)絡(luò)威脅情報共享方面為公私合作做出貢獻。

日本與美國等在網(wǎng)絡(luò)安全方面的差異

在日本，大型企業(yè)在解決國家技術(shù)政策方面的傳統(tǒng)做法（比如網(wǎng)絡(luò)安全要求）將不可避免地影響到廣泛的行業(yè)，因此過去采取的做法是等待政府監(jiān)管機構(gòu)下達指示。

相較而言，美國的做法與之存在巨大差異，美國大型企業(yè)本著參與制定政策與監(jiān)管對策的目的，長期以來一直通過公司的政策團隊或行業(yè)協(xié)會，主動公開地與政府機構(gòu)進行接觸。美國的行業(yè)和特定企業(yè)給美國的公共政策對話帶來了自己的議程和目標(biāo)、重要的技術(shù)、操作知識和政策抉擇。

如今，鮮有日本公司在企業(yè)內(nèi)部設(shè)立公共宣傳團隊。雖然企業(yè)部門以非正式方式進行溝通討論，但制定影響日本政府、日本大眾和社會、日本公司的全球消費者、客戶和業(yè)務(wù)合作伙伴的權(quán)力仍主要掌握在政府監(jiān)管機構(gòu)的手中，然而，這些監(jiān)管機構(gòu)往往缺乏私營部門具備的技術(shù)和操作知識。

Shinichi Yokohama 在《企業(yè)管理與網(wǎng)絡(luò)安全—高管的數(shù)字彈性》一書中指出，日本行業(yè)的被動態(tài)度給日本社會和經(jīng)濟帶來的負面影響在網(wǎng)絡(luò)安全領(lǐng)域顯露無疑。網(wǎng)絡(luò)安全具有互聯(lián)性，同時也伴隨諸多漏洞。此書揭示了日本行業(yè)的被動性，并鼓勵企業(yè)高層與政府共享技術(shù)和操作見解，以積極正面的態(tài)度為網(wǎng)絡(luò)安全政策制定做出貢獻。

日本90%的信息通信技術(shù)資產(chǎn)歸行業(yè)所有

由于日本90%的信息通信技術(shù)（ICT）資產(chǎn)歸行業(yè)所有（其余主要是個人或家用設(shè)備），Yokohama 認(rèn)為行業(yè)應(yīng)當(dāng)積極主動確保網(wǎng)絡(luò)空間安全。

Yokohama 指出，日本的私營部門和政府機構(gòu)應(yīng)當(dāng)與其他國家合作，制定全球性的總體政策和標(biāo)準(zhǔn)，以解決跨國界的網(wǎng)絡(luò)安全問題。他認(rèn)為，本書有助于幫助企業(yè)領(lǐng)導(dǎo)了解需要為網(wǎng)絡(luò)安全、行業(yè)合作和公私合作所做的工作。

這本書提到日本以外的網(wǎng)絡(luò)安全發(fā)展（例如美國ISACs和美國國家標(biāo)準(zhǔn)與技術(shù)研究院框架），以此對比日本和其他國家之間的差異，并敦促讀者思考對日本可行的網(wǎng)絡(luò)安全方法及其實施方式。

《企業(yè)管理與網(wǎng)絡(luò)安全-高管的數(shù)字彈性》一書在第四章中比較了美國和日本的 ISACs。日本目前擁有五個 ISACs（金融、ICT、汽車、電子和貿(mào)易），但他們的信息目前尚未完全翻譯成英文。為了支持2020東京奧運會和殘奧會，日本正在擴大并深化國際網(wǎng)絡(luò)安全合作。

日本大多數(shù)網(wǎng)絡(luò)安全書籍重點關(guān)注網(wǎng)絡(luò)攻擊和防御的技術(shù)層面。此書分析了日本和其他國家在網(wǎng)絡(luò)安全問題方面的異同，全面解釋并比較了日本和其他國家在網(wǎng)絡(luò)安全政策、開展公私合作、行業(yè)協(xié)作和網(wǎng)絡(luò)威脅情報分享方面開展工作的具體案例。

值得注意的是，日本大多數(shù)網(wǎng)絡(luò)安全政策相關(guān)文檔用日語編寫，并未翻譯成英文（日本的國家網(wǎng)絡(luò)安全戰(zhàn)略是個例外），語言障礙使得其他國家的網(wǎng)絡(luò)安全政策分析師和專業(yè)人士難以理解日本的利益、擔(dān)憂、挑戰(zhàn)和政策方法。

日本沿用美國NIST框架

由于日本政府機構(gòu)和企業(yè)均將美國的 NIST 框架視為網(wǎng)絡(luò)安全指南和實踐，日本正在努力趕上其他技術(shù)發(fā)達國家的步伐，并在網(wǎng)絡(luò)安全態(tài)勢方面與其他領(lǐng)先國家保持一致。《企業(yè)管理與網(wǎng)絡(luò)安全》旨在允許全球的網(wǎng)絡(luò)安全政策制定者和分析人士了解日本在參與國家網(wǎng)絡(luò)安全政策制定和態(tài)勢方面希望傳達的信息。

《企業(yè)管理與網(wǎng)絡(luò)安全-高管的數(shù)字彈性》內(nèi)容

日本關(guān)注“企業(yè)技能”

雖然美國和歐洲的企業(yè)更多地關(guān)注員工的技能，通過技能互補的方式打造成功的企業(yè)團隊，但日本企業(yè)更看重通才，因此更關(guān)注整個企業(yè)的技能。日本企業(yè)每隔幾年就會大規(guī)模換血，盡管這樣具有一定的優(yōu)勢，但也存在負面影響，比如不利于網(wǎng)絡(luò)安全的職業(yè)發(fā)展。此書在第四章中提到跨行業(yè)網(wǎng)絡(luò)安全人力資源發(fā)展論壇（Cross-Sector Forum on Cybersecurity Human Resources Development）案例的研究價值。此書提到的跨行業(yè)論壇包括日本藍籌公司的合作，其旨在建立積極的社會“生態(tài)系統(tǒng)”，從而與政府機構(gòu)和學(xué)術(shù)界合作教育、招募、培訓(xùn)并保留網(wǎng)絡(luò)安全專業(yè)人才。

《企業(yè)管理與網(wǎng)絡(luò)安全-高管的數(shù)字彈性》一書有詳細的比較案例，作者在其中描述了日本和其他國家的企業(yè)對首席信息安全官（CISO）的期望不同。

只有63%的日本企業(yè)設(shè)立了這一職位，而美國和歐洲的比例分別高達95%和85%。

CISO在35%的日本企業(yè)中充當(dāng)“雙帽”角色，而美國和歐洲的占比僅為17%和18%。

由于日本配備的長期網(wǎng)絡(luò)安全專業(yè)人士不及美國多，再加上日本的企業(yè)文化通常不允許從外部招聘高管，作者懷疑美國或歐洲招聘和指定 CISO 的做法在日本的可行性。這本書指出，考慮到日本的企業(yè)文化和日本企業(yè)的管理模式，建設(shè)網(wǎng)絡(luò)安全團隊將會更加有效。

許多日本政府機構(gòu)和企業(yè)逐漸認(rèn)識到將網(wǎng)絡(luò)安全納入國家政策的重要性（2020年奧運會是助推力）。日本在全球經(jīng)濟中所扮演的角色意味著，日本以外的政府、企業(yè)、政策和學(xué)術(shù)專家需要了解本國經(jīng)濟和網(wǎng)絡(luò)安全的當(dāng)前政策立場和政策進程?！镀髽I(yè)管理與網(wǎng)絡(luò)安全》分析了日本在網(wǎng)絡(luò)安全方面有了不斷變化的認(rèn)識，以及日本在全球網(wǎng)絡(luò)安全中的角色。

關(guān)于作者Shinichi Yokoham

此書的作者 Shinichi Yokohama 是日本知名的網(wǎng)絡(luò)安全專家，他曾是日本跨國公司 NTT 網(wǎng)絡(luò)安全整合辦公室的負責(zé)人，且于2018年6月底成為該辦公室的 CISO。他曾供職于日本貿(mào)易部、全球咨詢公司麥肯錫公司，這些經(jīng)歷能夠使其充當(dāng)政府和行業(yè)之間的橋梁，同時亦可充當(dāng)日本和其他國家之間的橋梁。

類似于 Yokohama 的科技行業(yè)的從業(yè)者每隔幾年換一家新公司這種現(xiàn)象在美國很常見，不僅科技人員會獲得升職機會和更好的薪資待遇升，企業(yè)也會吸納前政府官員。然而，在日本像 Yokohama 這種職業(yè)道路卻并不典型，日本的職業(yè)比美國相對穩(wěn)定，這使得日本企業(yè)和政府機構(gòu)更難以吸收新鮮血液和新想法。

2017年席卷全球的 WannaCry 勒索攻擊證明，網(wǎng)絡(luò)攻擊波及的范圍不僅限于某個組織機構(gòu)、某個行業(yè)或某個國家。網(wǎng)絡(luò)安全涵蓋了從技術(shù)到企業(yè)管理、法律和國家安全的方方面面。網(wǎng)絡(luò)互聯(lián)的事實意味著所有技術(shù)上重要的參與者都需要彼此。因此，當(dāng)前重要的是認(rèn)識自身在企業(yè)實踐和文化方面的差距和共性，從而促進政策和監(jiān)管對話。

Shinichi Yokohama 在其《企業(yè)管理與網(wǎng)絡(luò)安全-高管的數(shù)字彈性》一書中，表明了希望與全球讀者接觸的熱情。