2013年，美国国家标准研究所和技术（NIST，盖瑟斯堡，医学博士，nist.gov）的任务是开发一个框架，该框架将成为网络安全最佳实践的权威来源。其他国家的标准类似或正在积极从事版本。在某些地方，例如法国，这些标准具有法律的重量。

根据Schneider Electric网络安全和软件实践总监Andrew Kling（Andrew Kling（Schneider-Electric.com，Andover，MA），从NIST框架中得出的标准建立了一种有序的结构化方法来应对网络安全挑战，并帮助将模糊的，基于恐惧的关注转化为常识性风险分析，容忍度耐受性评估和避免风险。

克林指出：“作为集中风险管理计划的一部分，面对网络安全挑战赛。”“允许组织承担其交付股东价值能力的最大威胁之一。为了使工厂有利可图，它们必须保护其资产和运营的可靠性。网络安全攻击威胁了其可靠性，这反过来危害了他们赢得利润的能力。”

他解释说，尽管管理网络威胁所需的一组核心网络安全实践是众所周知的，但仍然存在收养障碍。在大多数情况下，这些障碍与对眼前风险的理解不当以及组织抵抗它们的能力有关。

因此，尽管有监管和风险管理激励措施，但克林说，发现有效解决网络安全的公司很少。以他的思维方式，是时候将谈话从对网络攻击的恐惧转变为所有董事会中所理解的事情了：网络攻击如何威胁着植物资产和运营的可靠性及其为底线做出贡献的能力。

这要求管理人员了解并了解其工厂的网络安全位置和对风险承受能力的需求。这些信息可以帮助他们认识到他们在管理网络风险的位置和要缩小的差距之间的区别。在这里，通过全面的安全风险管理人员有回报来改善操作的网络安全准备的策略。

关键步骤

该操作要做什么？安德鲁·克林（Andrew Kling）指出了这些细节：

•讨论并理解您的风险管理计划和目标（这通常意味着保护您的生产能力）

•在组织中确定风险管理的责任，以便决策，执行和事件响应效率和成功。评估您的风险管理工作流程。

•确定制造过程和资产对组织和潜在攻击者的价值。基本上，您需要计算安全风险。例如：如果由于网络攻击，该工厂要倒闭一天，那么生产损失将等于$ x。

•建模网络威胁景观。分析特定于您的行业和工厂的威胁。请记住，随着新技能，技术和工具的出现，威胁不断发展。您可能需要专家帮助。

•确定安全风险管理功能应在何处集成到组织的基础架构中。这些功能可以采取多种形式，IE。，避免风险，缓解，接受和/或转移。

•构建一个网络安全计划，使组织能够应对不断发展的威胁格局。分析计划的选项，并对其元素在降低风险中的有效性进行排名。

•优先考虑并执行管理组织的计划网络风险。

•请记住，程序元素（例如错误修补和威胁监视）是连续的。网络安全风险管理计划不是一个事件，而是连续的操作。

简而言之，制定计划，执行它，衡量其有效性，并在必要时进行调整。采取这些简单的步骤来管理您的网络安全风险可能会对您的底线产生重大影响（以一种很好的方式）。

有关更多信息，请访问Schneider-Electric.com和nist.gov/cyberframework。