演讲全文如下：

  网络安全的治理问题是非常重要的问题，要管理这些所有的负面影响，我们必须努力合作来管理这些风险。这样就必须要制定标准。

  我们有这样一个网络空间的图，有客户、业务、消费者、政府指南、标准，然后来缩小彼此的差距，符合一些供应商和管理、监管方面的需求。这里有不同类别的标准，比如说有管理体系的标准，我们工作的所有核心也是为这一点，我们也有指南方面的标准，我们如何去评估风险、衡量风险有一系列的指标告诉我们目前的安全情况如何，我们是否要应用相应的设施，我们是否有相应的标准，比如说在云端安全方面我们是否有相应标准，是否有AI的标准，我们有各个行业的标准，比如有能源行业、自动化行业、工业自动化、科技。同时我们也要展示我们有自己相应的安全标准，然后根据不同的任务来实施和制定相应的标准。这里就是一点背景信息，我们整体的国际标准框架，它不仅仅限于ISO，我们也跟IEC一起合作来制定比如工业自动化方面的标准。

  27001标准，它提供了体系和框架来确保信息安全。目前它的曝光率非常高，也是ISO最畅销的标准之一。它提供很多种不同的语言，适用于不同的行业。它非常重要，因为它展示了安全确实是我们正在实施的事情，并且符合相应的标准，这是我们所称的认证，而且它也是一项全球活动。全球几乎所有国家他们的体系都已经得到了认证。这个体系也有很多的益处，比如它非常有韧性，能够很好的应对网络攻击。它能够保护信息的完整性、保密性、可用性。它用于所有的行业和部门。它能够在整个组织的内部都提供非常广范围的保护。而且经反复证明，这样一个体系也是非常具有成本效益的。

  27001管理体系也可以和其他管理体系并行使用，这是因为所有的管理体系在ISO下面都是采取统一的形式，它们彼此之间是相似的，虽然他们彼此是适合不同的问题，有些是安全、有些是环境、有些是医疗。这里列出了一些管理体系的标准，比如说有供应链的、能源的、AI的、反贿赂的，所以27001标准是针对于信息安全和网络安全的，但是它也可以和其他管理体系结合起来，比如供应链、AI。要支持这些管理体系就需要另外的一些标准，这里有很多标准都可以给我们提供很多风险管理的信息。比如信息安全风险管理体系、AI风险管理体系、医疗设备风险管理体系、自动化行业的风险标准管理体系。我们还有一些控制标准来帮助我们减缓风险，所以如果想降低风险的话，这些标准就会给我们提供很多的建议来降低风险。

  比如27002就是对于信息安全的一个控制体系。2779，医疗控制体系。我们还有一些安全标准是瞄准各种云安全的应用，比如27017、27018，一个是安全、一个是隐私。还有各个系列的标准，专门是应对物联网的，比如27400、27401、27402。我们还关注AI的安全、隐私，目前有两个相应标准，我相信未来还会有更多标准。所以可以看到不仅仅是管理体系，我们还继续深入，有更细致的标准，不管是在应用，还是相应技术、AI、物联网等等我们都继续往下深入。

  整体上我们还关注不同行业，比如说通讯行业我们有相应的标准，通信是27011、27012，他们能支持管理体系相应的标准，当然也会运用到一些控制体系，我们还有智慧能源方面的特定网络安全标准是27019。网络安全自动化、医疗信息、医疗软件、医疗安全等等都有相应标准。我们还可以看到一些具体的服务和应用，比如网络方面、应用方面、供应商方面、存储方面的标准，这里只是举了部分例子。我们还关注重要的领域，就是相应的事件管理，我们有事件管理相应标准，这些标准也很重要，因为它能够帮助我们去发现一些可能的事件，去分析事件，然后作出响应，并且从中赋予标准和定义，这些标准同样重要。

  IEC是ISO的平行机构，它也关注很多工业自动化相应的标准，比如这里列了一些相应标准，有些标准之间是对27001标准提供相应的补充。全球这一系列的标准正在不断地发展，它非常全面，它几乎涉及到网络安全各个领域，所以我们也在尽自己的最大努力来制定更多标准。

  其中有一个方面是我们未来所关注的，而且相应的工作已经开始了，就是量子技术，这是一个全新领域，也是ISO的一个全新领域，它涉及到量子计算、安全通信，也涉及到后量子加密、量子感应等不同方面。所以这是一个全新领域，我们也非常期待能够在这方面有所发展。

  我们的工作才刚刚开始。我们在这些工作上也取得不断地进展，自从JTC3工作组建立起来之后我们迅速做了很多研究，我们做了很多准备工作，在接下来几年中一定会出台很多相关标准。

  对于大家来讲可能比较感兴趣的是路线图。看看这些关键领域，我们都可以找到相关的标准，识别、保护、检测、响应、恢复各个领域都有相应标准。有ISO/IEC制定的相关标准。比如保护方面，它可能涵盖访问控制、识别意识、日志的安全信息保护流程、维护和防护技术。对于每一个类别来讲，这就像是一个目录，大家可以根据这个目录来找出在哪个领域有哪些标准是可以适用。这些可能在工作中是可以有帮助的。比如响应方面，如果你想找响应方面的标准，比如这里就有响应计划，ISO/IEC的标准都归类在这里，就是27001这一系列的标准里面，这里很多的标准，可以通过这个路线图大家找到哪些是跟你匹配的类别。

  网络安全是一个专门的生态系统，它包含很多方面，有物理安全、隐私保护、智能设备等等，是包罗万象的，我们现在正在开发的是非常大的、非常重要的一个方面，就是“网络弹性与可持续性、网络治理、网络安全与风险管理、网络信息与信任”。在这个图上大家可以看到有一些例子，有些标准已经被制定出来了，在应对这些事情方面，比如网络安全与风险管理，从27001到27005这些标准都是，“网络弹性与可持续性”方面有27031、22301、22316等等，当然还有覆盖其他方面的标准，我们相信27001本身是一个基础，它可以说是一个基石，根据这个基石可以建立起很强大的防护墙。

  在网络信任与信心方面，在ISO内部有一些合规评估操作，它也展示出一旦执行这些标准就可以评估和认证某些要求或者某些规格，通过评估就可以知道，通过执行是与标准相符合。你有了这样的信心之后，对于最终用户、对于政府、监管部门以及运营商本身都是一种保障和信心。所以这种合规评估能够提升我们对网络的信任和信心。

  我们有三个委员会。一是认可认证管理体系，27001，它会来评估安全性、隐私保护。二是对人员的认证，要确保在公司内从事网络安全的人员是否有足够能力从事他的工作，这个认证主要是对人员能力进行评估，我们也有相应标准规范他是否合格。三是关于产品和系统的安全评估与测试，这是另外的一系列标准。

  关于27001本身，它不仅是最引人注目也是最受欢迎的一系列标准，它也是世界上最受认可的信息安全管理体系认证，我们希望能够跟大家展示一些它覆盖的领域，比如通信、金融、公共设施、医疗健康、零售等等一系列的都包含在内。当然它还包括很多其他的标准，比如云、AI、物联网等等。我们的目标是希望建立起网络的信任，无论是在网络空间里面去执行任何事情，我们希望有信任。

  如果要讲的很细的话可以讲几个小时，因为各个标准都有细节部分，如果大家想了解更多关于JTC相关信息，大家可以在我们的网站上获取更多信息，包括专家委员会所做的工作，以及大家可能用到的资源，上面也有一些手册可以下载，我们也有ISO/IEC JTS 1/SC 27期刊，很多专家会发表他们制定标准方面的观点，如果大家感兴趣也可以读一读。我们有期刊、有文章还有其他的信息，在大家的工作当中能够有所帮助，如果大家想要获取更多的信息可以访问我们的网站。