传统标准,技术标准或否则,都不是为了将来而建立的。虽然它们是有效的,有价值的,最终有利的方面很多,他们缺乏能力在一个高度动态的环境中,也许不是任务的工具解决风险。相比之下,有机标准可以而且应该将发展和变化纳入内部景观的威胁。在可能的范围内建立这样一个标准,它将变得更加相关随着时间的推移,而不是变得不相关。
一个有机标准能适应威胁景观;它可以同样,要根据企业的风险姿态进行调整企业适应它的运作方式被认为有潜在风险的变化。
客观的基准两千多年前,中国军队军事家孙子写道:如果你了解你的敌人,也了解你自己,你就会了解自己不会在百战不殆中受到威胁。如果你做不了解你的敌人,但了解你自己,你会的每输一场,就赢一场。如果你没有了解你的敌人也不了解你自己,你会在每一场战斗中处于危险之中这句话道出了网络安全能力的核心。
企业的内部焦点(了解自己)提供了这一点知道自己能做什么,不能做什么,但这种关注仍只是等式的一面。一个对外部的关注(知道你的敌人)必须要有平等的相关性。然而,这种外部焦点不能是的被威胁的景象所迷惑。它还必须包括客观分析企业所处的地位那些它想要与之抗衡的企业。
当企业进行这类分析时,it就会增强网络安全能力和成熟度。外部焦点为企业提供了衡量其行动针对什么的能力其他同行也在为各自的企业提供网络安全保护。外部重点也使企业能够为自己建立更有防御力的尽职标准(即允许他们这样做)证明合理的保护措施是可行的,因为这一重点为企业提供了更好的景观和影响其行动或不行动可能会影响到另一个企业。
了解企业与其他企业的比较使其性能的改进基线网络安全资源,因为现在比较起来它的资源如何在类似的企业中发挥作用同样的资源,出于许多相同的原因。来自客观比较的知识使企业更深入地了解它们的位置是在网络安全能力和成熟度,是否在一个行业或市场部门中,在一个地理区域的边界内,或在与其他规模或同类企业之比较。了解一个企业与其他企业的比较在网络安全方面,能力和成熟度也至关重要以持续改进为周期的企业必须维护,因为这个知识提供吗资源回报率的更广泛的比较对其他比较企业的投资也在增加。
优化能力,此前有人指出,问题“关乎我们的安全”计划操作有效吗?是更有效的(或至少是不同的)在企业内部问的问题而不是“我的企业安全吗?”“有效的操作,毕竟,它所包含的不仅仅是安全。当优化网络安全能力时,范围必须是整体的和分散的应用。网络安全需要在微观和宏观上有效运作的水平。在宏观层面上,一个企业的整体——流程,风险处理和容忍度,人员和企业文化等,必须考虑,也必须考虑外部环境因素,如企业经营的市场环境内部和公众对其行动的看法。