网络安全项目的组织与规划指南

Gartner 研究 2025 年网络安全重点项目 Wayne Hankins、Will Candrick、Fadeen Davis、Niyati Daftary、Julia Palmer、Andrew Walls、Craig Porter、Dale Koeppen、Katell Thielemann、Elizabeth Davis、Joerg Fritsch、Lisa Neubauer 2025 年 3 月 17 日 Gartner, Inc. | G00821041 第1页，共 17 页 2025 年网络安全重点项目 2025 年 3 月 17 日 - ID G00821041 - 阅读全文约需 22 分钟 作者：Wayne Hankins、Will Candrick、Fadeen Davis、Niyati Daftary、Julia Palmer、Andrew Walls、Craig Porter、Dale Koeppen、Katell Thielemann、Elizabeth Davis、Joerg Fritsch、Lisa Neubauer 主题：网络风险；满足日常网络安全需求 安全与风险管理领导者在推进多项举措时面临资源限制。Gartner 已明确 2025 年需优先推进的八大关键网络安全项目，通过提供战略指引，确保此类项目能够在 12 个月内顺利完成。 概述 核心研究发现 ◼ 由于 2025 年关税政策的颁布与实施速度加快，各类组织正面临不确定性。这类政策可能从多维度影响安全规划与运营体系，例如延缓关键安全基础设施的部署进程。 ◼ 在技术、人力与流程三方面的投入平衡与优先级决策过程中，安全团队持续面临挑战。因此，团队亟需聚焦能最有效降低组织风险并提升抗风险能力的专项工作。 ◼ 组织机构正加速采纳零信任架构，并将治理体系深度融入网络安全计划建设框架。 ◼ 安全与风险管理（SRM）领导者正着力平衡企业内部生成式 AI（GenAI）的快速应用进程，同时部署无感知控制机制。 ◼ 随着物理隔离网络（如包含运营技术的信息物理系统）逐步现代化并成为新型攻击目标，SRM 领导者正面临董事会下达的关键数字资产防护重任。 建议 身为 SRM 领导者，若您计划在 2025 年实施新的安全项目，建议采取下列举措： Gartner, Inc. | G00821041 第2页，共 17 页 ◼ 适当联动采购部门及利益相关方，评估关税政策对网络安全计划的潜在影响。主动识别并实施降低风险的措施。 ◼ 围绕业务目标构建零信任战略框架，实现零信任原则与企业目标深度融合。确保网络安全措施能够有效应对已识别的风险，且不超出必要范围。 ◼ 依托 NIST 网络安全框架（CSF）完善治理体系。NIST CSF 2.0 版本已将治理列为网络安全计划的核心功能。致力于完善网络安全治理的组织，可参考新版 NIST 指南，将网络安全风险与企业整体风险管控动态对齐。 ◼ 通过将网络安全要素深度融入生成式 AI 治理框架，引导组织实现生成式 AI 的安全使用。重点针对非结构化数据管理场景，推广风险控制技术与实践流程。 ◼ 通过部署先进存储治理方案与 AI 驱动型威胁检测体系，提升网络安全项目对企业核心资产的保护能力，将网络安全重新定位为创新推动力与防护支柱，构建信息物理系统在关键环境中的可视化与保障能力。 导语 根据 ISACA（国际信息系统审计和控制协会）《2024 年网络安全态势报告》1，43%的网络安全从业者认为其所在组织人员配备不足，加剧了多项目管理的难度。与此同时，SRM 领导者正越来越多地承担起监管信息物理系统（CPS）安全等关键领域的职责，包括运营技术（OT）与物联网（IoT）的安全防护工作。此外，SRM 领导者还需完善数据治理框架，确保业务连续性战略的可靠性，并推进 AI 技术的应用。 Gartner, Inc. | G00821041 第3页，共 17 页 除了满足新颁布的数据与 AI 合规监管要求，SRM 领导者还需应对快速演变的威胁态势与现代 IT 环境的复杂性。预算限制进一步制约了综合性安全方案的部署能力，迫使决策者优先推进与组织战略目标高度协同的网络安全举措。职责范围的扩展，叠加预算限制与新兴技术的迅速涌现，凸显网络安全举措优先级规划的重要性。2025 年关税政策密集出台且可能即将实施，使得上述挑战进一步加剧。 本研究整合分析师洞见与 Gartner 技术采用路线图²、安全与风险管理 IT Score 评价模型³等数据资产，结合客户深度访谈成果，为 SRM 领导者提炼出 2025 年需重点部署的八大战略级项目（见图 1），并提供 12 个月周期内实现成功落地的最佳实践方法。 图 1：2025 年网络安全重点项目 分析 Gartner 在遴选 2025 年八大重点安全项目时，采用了以下评估标准： ◼ 所选项目须具备明确的成果交付或基准指标，实施周期严格控制在 12 个月内。 2025 年网络安全重点项目 评估关税政策对网络安全计划的影响。 制定可执行的零信任战略。 依托 NIST CSF 2.0 完善网络安全治理。 将网络安全要素融入生成式 AI 治理体系。 构建数据网络存储安全防护体系。 发现、监控与管理信息物理系统（OT、IoT、IIoT）。 为生成式 AI 的应用构建非结构化数据治理基础。 重塑内部利益相关方对安全的战略认知。 网络安全 重点项目 来源：Gartner Gartner, Inc. | G00821041 第4页，共 17 页 ◼ 项目落地可采取两种路径：新技术部署或现有技术的创新复用。 ◼ 通过初期完善规划与范围界定，结合利益相关方深度协同及资源的高效配置，组织机构能显著提升项目的部署成功率。 下文将逐项详解入选项目的评估标准与实施建议。本文分析成果旨在帮助组织建立科学决策框架，实现 2025 年网络安全重点项目的精准优先级排序。 评估并调整关税政策对网络安全计划的影响 作者：Lisa Neubauer、Wayne Hankins 目标：关税政策极可能影响网络安全工具及技术所需关键硬件与软件组件的成本及供应。这将导致网络安全成本增加，从而影响预算分配与采购策略。此外，供应链中断可能延缓关键安全基础设施的部署进度。 为应对此类挑战，建议组织主动优化采购策略、推进供应商多元化布局并申请关税豁免，在成本上升和供应链中断的情况下仍能维持强大的网络安全防御机制。 核心标准：网络安全领导者协同采购团队评估关税影响前，需基于以下标准建立完整评估框架： ◼ 梳理现有网络安全服务与产品的详细清单，标注合同有效期与续约时间节点，识别可能受关税影响的项目并制定前瞻性管理方案。 ◼ 针对可能受关税冲击的供应商，寻找可行的替代选项。基于现有网络安全工具和技术以及开源选项，探索整合优化机会。 ◼ 制定与业务目标对齐的跨年度网络安全路线图，纳入经审查的供应商名录，同时需考虑到关税对长期采购策略的冲击。 Gartner, Inc. | G00821041 第5页，共 17 页 分析师建议：联动采购团队执行以下步骤： ◼ 成本分析：