將網絡安全集成到組織的目標和風險中，如此重要有兩個原因。

首先，網絡安全會影響組織的各個方面。因此，為了正確管理網絡安全，必須被整合到組織風險管理和決策中。例如：

• 運營風險可能會受到網絡安全的支持，因為依賴于于使用的數字服務（電子郵件服務、定制軟件等）的安全性。
• 一些法律風險將與網絡安全風險聯系在一起（例如保護數據或合作伙伴關系的合同要求，以特定方式處理數據的監管要求）。
• 財務風險受到網絡安全的影響（例如，通過網絡實施的欺詐造成的資金損失，以及服務因網絡攻擊而脫機時的收入損失）。
• 良好的網絡安全還將允許您在使用新技術進行創新時承擔一些風險。過于謹慎的風險處理方法可能導致錯失商機或額外的（和不必要的）成本。

其次，網絡安全需要整合才能成功。良好的網絡安全不僅僅是擁有良好的技術，而是人們與安全部門建立良好的關系，并在整個組織中建立正確的流程來管理它。

例如，為了防止攻擊者訪問敏感數據（同時確保只有具有當前有效要求的人才能看到它），您將需要：

• 存儲數據的良好技術解決方案
• 對處理數據的員工進行適當的培訓
• 圍繞管理員工流動的流程，與訪問管理保持一致

在結構中反映注意內容：

網絡安全是整個領導層的責任，不要把網絡安全留給一個人。

網絡安全事件將影響整個組織的重要事件，不僅僅是IT部門的重要事件。例如，可能會影響在線銷售，影響合同關系或導致法律或監管行動。領導層內部應有足夠的專業知識，以便為網絡安全戰略提供指導，并將決策追究責任。然而，領導層的每個成員都需要足夠的專業知識來了解它如何影響他們的重點領域，并了解對整個組織的廣泛影響。

英國境外的網絡安全：在嘗試了解網絡安全對組織的影響和風險時，一個重要的考慮因素是組織在哪個國家/地區運營。對于那些在英國境外運營或在英國境外擁有合作伙伴的組織，CPNI智能業務指南強調了這可能如何影響安全考慮因素，包括網絡安全。本工具包的“與供應商和合作伙伴協作”部分提供了有關如何緩解與這些關系相關的網絡安全風險的指導。

與專家互動

考慮報告結構是否使領導層能夠參與其所需的網絡安全。如果CISO向領導層報告的中介機構只關注一個方面，無論是財務還是法律或技術-這可能會阻礙領導層看到網絡安全更廣泛影響的能力。現在在大多數組織中，CISO直接向領導層報告。

改善組織中網絡安全的一個好起點是考慮專家與領導層成員之間的溝通。獲得正確的結構可能會有所幫助，但我們也經常看到雙方都不愿意參與，因為：

• 技術人員認為領導層不會理解他們（屬于臆測）
• 領導層認為技術人員無法在組織戰略目標的背景下解釋問題（同樣屬于臆測）

改善這兩個群體之間的溝通需要雙方的努力：

• 領導層需要對網絡安全有足夠深入的了解，才能了解網絡安全如何支持其整體組織目標
• 技術人員需要認識到網絡風險的溝通是他們工作的核心組成部分，并確保他們了解自己在促進組織目標方面的作用。?