為推動網絡安全發展，西門子、空客、Allianz、戴姆勒集團、IBM、NXP、SGS和荷蘭電信等主流公司，在近期召開的德國慕尼黑安全大會上簽署了一份《信任憲章》。共同簽署人還包括歐盟內部市場、行業、創業及中小企業專員 Elżbieta Bieńkowska，以及加拿大外交部長兼G7代表 Chrystia Freeland。

[[220476]]

憲章規定了商業及政府簽署人都必須遵守的十條原則，包括設置首席信息官、關鍵基礎設施獨立第三方安全測試、威脅數據共享，以及在IoT設備中內置安全及升級更新功能。

一、信任憲章的三大目標

網絡安全正成為未來安全話題的重中之重，尤其是在數字化時代。個人和組織都需要確保自己的數字技術是安全的，否則就無法擁抱數字化轉型。用一句話來概況，數字化和網絡安全必須攜手共進。

目標之一：保護個人和企業的數據及資產。

數字世界改變一切。人工智能和大數據分析正在變革我們的決策過程;數十億設備被接入物聯網，在全新的層面和范圍上互動。

目標之二：防止網絡攻擊對個人、公司和基礎設施的傷害。

數字技術的發展改善了我們的生活和經濟，但惡意網絡攻擊的風險也隨之大幅增加。若不能保護好控制我們家居、醫院、工廠、電網等重要設施的系統，可能會造成災難性的后果。民主價值和經濟成果也需要抵御網絡和混合威脅的攻擊。

目標之三：在聯網數字世界中打造可靠的信任基礎。

無論準備有多充分，單憑一個實體是無法構建數字安全的。政治、商業和社會的力量必須聯合起來，因為網絡安全人人有責。于是，世界級安全策略論壇慕尼黑安全大會(MSC)舉辦之際，主流公司及相關政體代表簽署了《信任憲章》，旨在引領世界走向更安全的數字未來。

二、信任憲章的十大綱領

網絡安全不應僅僅起到安全帶或安全氣囊的作用，它還是數字經濟成果的基石。個人和組織都需要相信自己的數字技術是安全的;否則就不會擁抱數字化轉型。簽署《信任憲章》，擬定數字世界安全基礎原則的原因正在于此。

1. 網絡和IT安全歸屬

通過指定具體部門和安全官，將網絡安全責任落實到最高級別的政府和商業層次。在整個組織范圍內建立清晰明確的措施、目標及正確的思考方式。

2. 數字供應鏈責任

公司和政府(如果有必要的話)必須確立基于風險的規則，確保各IoT層級都有定義明確的強制性安全要求。通過設置基線標準來保證機密性、真實性、完整性和可用性，比如：

• 身份及訪問管理：聯網設備必須有安全身份和防護措施，僅允許已授權用戶和設備使用。
• 加密：聯網設備必須盡可能確保數據存儲和傳輸的機密性。
• 持續保護：公司企業必須通過安全更新機制，在其產品、系統及服務的合理生命周期內，提供持續更新、升級及修復補丁。

3. 默認安全

采納最恰當的安全和數據防護措施，確保產品設計、功能、過程、技術、運營、架構和商業模式中都預配置了最恰當的安全防護措施。

4. 以用戶為中心

在合理生命周期內，基于客戶的網絡安全需求、影響和風險，作為可信合作伙伴為其提供產品、系統、服務及指導。

5. 創新與聯合開發

聯合產業知識并深化公司企業與網絡安全要求及規則制定者之間的共同諒解，持續創新，推動網絡安全適應新的威脅;驅動契約式公私合營伙伴關系。

6. 教育

包括學校課程表上的網絡安全專業課程，比如大學學位課程和職業培訓，引領未來所需技能及職位的轉變。

7. 關鍵基礎設施及解決方案認證

公司企業和政府(如果有必要的話)確立關鍵基礎設施及關鍵IoT解決方案的強制性獨立第三方認證(基于經得起未來考驗的定義，特別是在有人身安全風險的領域)。

8. 透明度和響應

融入行業網絡安全網絡，共享新洞見、事件信息等;報告關于關鍵基礎設施的潛在事件。

9. 監管框架

促進監管與標準化的多方合作，設置匹配世貿組織(WTO)全球影響力的公平競爭環境;將網絡安全規則納入自由貿易協定(FTA)。

10. 聯合行動

驅動囊括所有利益相關者的聯合行動，以便在數字世界的各個部分及時實現上述原則。