1.1　奠定基础

为信息安全计划奠定基础，也没必要重新造轮子。我们将在第 8 章介绍一些可能非常有用的标准。美国国家标准与技术研究院（NIST）有一个基于风险的网络安全框架，它涵盖了安全计划的诸多方面。NIST 框架的核心由五个并发且连续的功能组成——识别、保护、检测、响应和恢复。综合起来，这些功能为观察一个组织的网络安全风险管理生命周期，提供了一个高层次、战略性的视角。除了框架，合规标准也是组织的资产。虽然合规标准执行不当可能会对组织的整体安全性造成影响，但合规标准依然是开始一个新计划的良好起点。我们会在第 8 章中深入探讨合规标准。虽然这些资源很有价值，但你必须牢记：每个组织各不相同，本书介绍的某些方面可能并不适用（我会反复提醒大家这一点）。