把演练做成能力建设工程(二)
——基于ISO 22398、HSEEP与ENISA方法的比较与实践思考
前阵子与一家行业龙头企业交流,我问了一个问题,“你们的风险评估、应急预案和演练之间的关联强吗?“对方的回答是:关系不大。的确,许多组织已开始开展演练,但真正将演练纳入整个应急、连续性或危机能力管理的有机循环,将其打造为一项持续的能力建设工程,仍属少数。
多数情况下,演练仍被理解为一次孤立的活动:定个场景,召集人员,执行脚本,做完复盘,形成报告,项目结束。这种做法当然不能说没有价值,但它的价值往往是局部的、短期的、离散的。它能沉淀一些经验,却未必能转化为能力;能暴露若干问题,却未必能进入后续改进;能证明”这次做过”,却无法证明”组织因此变强了”。
这正是演练实践中最常见、也最容易被忽视的问题:演练做了很多,能力积累却并不明显。
以此为切入点,重新审视ENISA的《The ENISA Cybersecurity Exercise Methodology》、FEMA的HSEEP,以及ISO 22398,会发现这三份材料虽然出发点不同、适用语境不同、表达方式也不同,但都在反复强调同一件事:演练不应被理解为一次性的单场活动,而应置于一个更大的programme中,进行规划、组织、评估和改进。ISO 22398明确区分了exercise programme与exercise project,并将持续改进嵌入整个框架;HSEEP将单场exercise纳入exercise program、evaluation和improvement planning的闭环中;ENISA方法虽然更聚焦网络安全语境,同样采用端到端的生命周期方法,并将能力建设、评估与后续行动衔接起来。
因此,真正值得讨论的问题,并非三者孰优孰劣,而是:它们各自擅长什么;企业在什么情况下应更多参考哪一个;以及,如何借助它们,将演练从”做一次活动”推进至”做能力建设”。
一、这三份材料,真正的分别在于回答了什么问题
先说结论:这三者并不在同一层面上构成竞争。
1. ISO 22398首先回答的是”如何系统地管理演练”
ISO 22398的重点并非教人如何把一场演练办得热闹,而是给组织提供一个关于exercises programme和exercise project的通用框架。它从一开始就强调,组织应在协调一致的exercise programme下开展exercise,并通过这一programme服务于组织目标、资源约束和持续改进。它还明确要求高层支持、需求分析、目标设定、项目安排和改进回路。
这意味着,ISO 22398的强项不在inject设计、控场技巧或具体模板,而在于它提供了一套”组织如何正式管理演练”的标准化语言。它更像一个底座:帮助组织说明为什么要建立演练项目集,如何让演练与目标、资源、成熟度挂钩,如何将演练纳入持续改进。
其优点是稳健、通用、可纳入管理体系;不足则在于偏原则性,离具体行业和具体场景尚有距离。直接用于实操,通常不够具体。
2. HSEEP主要回答的是”如何把演练做成一个持续运转的项目体系”
HSEEP比ISO 22398更工程化,也更偏实践操作。它不仅强调”要有program”,更进一步将senior leader、preparedness priorities、IPPW、planning meetings、EEG、AAR、improvement planning串联为完整的program逻辑。它明确要求:单场exercise应服务于更大的exercise program,并用于building,sustaining,and delivering capabilities。
HSEEP的另一个强项在于将evaluation和improvement planning做得非常扎实。它要求评估前置设计,将objectives、capability targets、critical tasks与Evaluation Plan、EEG、AAR/IP和整改跟踪相连接,而非等演练结束后”补一个总结”。
所以,HSEEP的价值在于:它能帮助组织把多年度、多场景、多部门、多参与方的演练组织成一个持续运转、可管理、可评估、可改进的体系。
其优点是成熟、系统、可复制;不足在于是一个通用preparedness框架,对企业尤其是网络安全和数字韧性场景来说,直接照搬会显得偏重、偏宽,某些术语和语境也并非天然贴合企业表达。
3. ENISA最突出的是回答了”如何把网络安全演练直接放进能力建设路径”
ENISA网络安全演练方法的定位非常清楚:一套面向网络安全演练的端到端方法。其六个阶段——Initiation、Design、Preparation、Execution、Evaluation、Moving Forward——形成完整生命周期;同时强调why、scope、players、scenario、evaluation strategy、deliverables和action plan。
但ENISA方法真正值得重视之处,不仅在于它同样具备生命周期,更在于它比许多方法更明确地将”从objectives到capabilities,再到indicators、metrics和action”的链条显性化。它并非只说”演练应服务能力”,而是更进一步说明:能力如何被拆解、如何被观察、如何被评估,以及如何反馈回能力建设项目集。
因此,ENISA方法的优点是贴近于网络安全和数字韧性场景,且更清晰地阐述了”能力建设”;其不足在于,它仍主要服务于网络安全语境。若组织希望建立跨风险类别、跨职能、长期统一的演练通用框架,仅靠ENISA方法尚显不足。
二、不要只把演练看成单场活动,至少要区分programme与project
1. Programme:把演练放进能力建设路径
Programme不是年度活动清单,也不只是一个排期工具。它真正回答的是:
- 为什么要做这些演练;
- 组织当前优先建设和验证哪些能力;
- 多场演练之间如何形成递进关系;
- 哪些演练是摸底,哪些是强化,哪些是复测;
- 演练发现如何进行后续改进;
- 演练如何持续服务于组织能力建设。
ISO 22398在讨论exercise programme时,已将目标、支持、资源、评审和改进纳入其中;HSEEP的program management直接连接senior leaders、preparedness priorities、multi-year plan与improvement planning;ENISA方法虽不使用完全相同的话语体系,但其why、objectives、capabilities、action plan、capacity-building programme,本质上也在讨论同一层面。
因此,programme不应被简单理解为”若干项目的集合”。它更准确的涵义是:将多场演练组织为一条能力建设路径。
这正是许多企业实践中最容易缺失的一环。许多组织并非完全不开展演练,而是直接从”今年做哪几场”跳到了”这一场怎么设计”。中间那个”这些演练之间如何形成能力递进关系”的问题,未被显性化。
2. Project:把一场演练真正做实
Project指的是单场演练的策划设计、实施、评估与复盘。它回答的是:
- 这一场练什么;
- 用什么场景;
- 谁参加;
- 如何控制节奏;
- 如何注入事件;
- 如何观察、记录和评价;
- 如何形成报告与改进项。
情景、scope、players、inject、MSEL、facilitator、observer、communication plan、evaluation plan、AAR等,均属于这一层面。ENISA方法和HSEEP在project层面都很强,HSEEP在模板与流程组织上更成熟,ENISA方法更贴近网络安全场景下的角色、能力与沟通设置;ISO 22398也覆盖这一层,但偏重原则性。
但需要强调的是:project层看到的是能力表现,而非能力本身。若仅停留在project层面,很容易将”演练做得好”等同于”能力足够”。
三、评估是programme和project之间的那座桥
1. 演练评估,不是”点评”,而是”度量”
很多企业做完演练后,评估往往停留在”大家发言很积极""总指挥临危不乱""信息通报基本到位”这类定性评价。这些评语不是没有价值,但它们难以构成能力建设的基础——因为不够具体、不可比较、不易跟踪。
ISO 22398、HSEEP和ENISA的共同主张是:评估应从objectives出发,预先建立评估框架和指标,贯穿演练全过程,并最终与improvement planning相连。
2. HSEEP是最成熟、最完整的评估框架
HSEEP将评估组织为EEG(Exercise Evaluation Guide),将Objectives→Core Capabilities→Critical Tasks→Observations→Analysis→AAR/IP这一链条完整实现。这使得每一场演练的评估结果具备了可追踪性。
3. ENISA的优势在于将能力评估嵌入网络安全语境
ENISA的Evaluation阶段包含evaluation strategy、indicators、metrics与observations,比HSEEP更进一步地将capability mapping、competence framework和scenario-based evaluation与网络安全能力建设直接关联。
4. ISO 22398的重点在于保证评估的规范性
ISO 22398要求将评估纳入exercise programme和project的管理框架中,强调应有系统化方法、明确责任、形成记录并联系后续改进。
四、三者各自的强弱点,到底怎么比较
| ENISA方法 | HSEEP | ISO 22398 | |
|---|---|---|---|
| 基本定位 | 面向网络安全演练的端到端方法,强调从启动、设计、准备、执行、评估到后续改进的完整生命周期 | 面向preparedness/exercise program的通用型方法体系,强调program management、评估和持续改进 | 面向各类组织的通用型国际标准,提供关于exercise programme与exercise project的良好实践指南 |
| 主要适用语境 | 网络安全、数字韧性、网络危机与跨团队协同 | 全灾种、全领域、跨机构的演练与评估 | 各类组织、各类主题的通用演练管理 |
| 核心关注点 | 如何把网络安全演练直接纳入能力建设路径 | 如何把多场演练组织成持续运转的program | 如何以标准化、系统化方式管理演练programme与project |
| 生命周期结构 | 六阶段:Initiation、Design、Preparation、Execution、Evaluation、Moving Forward | HSEEP cycle:Program Management、Design & Development、Conduct、Evaluation、Improvement Planning,并与Integrated Preparedness Cycle相连 | 区分exercise programme与exercise project,并强调planning、conducting、improving与continual improvement |
| 对programme的重视 | 有,虽不完全沿用HSEEP/ISO术语,但明确讨论capacity-building programme、行动计划与后续更新 | 很强。program management是骨架之一,多年度规划和优先级管理很突出 | 很强。programme/project的区分是其基础结构 |
| 对单场project的支持 | 强。对scope、players、scenario、evaluation strategy、deliverables等写得较具体 | 很强。对planning meetings、EEG、AAR/IP、控制与评估流程支持成熟 | 有,但偏原则性,更多给框架与要求,不以”手把手”见长 |
| 对”能力”概念的展开 | 最突出。明确把objectives、capabilities、indicators、metrics、findings、action plan连成链条 | 明确强调capabilities,但更偏通过目标、任务、评估与改进来管理能力 | 提到competence、programme objectives、持续改进,但能力展开不如ENISA方法细 |
| 对评估与改进的处理 | 强调evaluation strategy前置设计,并把findings纳入action plan和后续capacity-building programme | 评估与改进最工程化,EEG、AAR/IP、improvement planning很成熟 | 强调evaluation、management review、corrective action,但表达偏标准化 |
| 对企业管理层的启发 | 很适合网络安全、数字韧性、勒索软件等场景下讨论”为什么练、练什么能力、如何转化为改进” | 很适合建立中长期演练programme,特别是多部门、多场景、可复用的体系 | 很适合建立统一制度口径、管理语言和管理体系接口 |
| 最大优点 | 贴近网络安全实践,最清楚地把”演练—能力—改进”说透 | 体系成熟、结构完整、可复制性强 | 稳健、通用、标准化,便于纳入管理体系和正式文件 |
| 主要局限 | 主要服务于网络安全语境,通用性不如另外两者 | 偏重、偏宽,部分术语和语境不完全贴合企业管理表达 | 偏原则,不够情境化,单独用于实操往往不够 |
| 更适合优先参考的场景 | 网络安全演练、数字韧性演练、重大网络安全事件、勒索软件情景 | 建立中长期演练programme、多年度计划、跨部门/跨机构体系化运作 | 建立制度、统一术语、写入管理体系、形成正式管理框架 |
| 若在企业中组合使用 | 可作为网络安全与数字韧性场景的方法主干 | 可作为演练programme的运转框架与评估改进骨架 | 可作为整个演练管理的标准底座与正式表达框架 |
简要结论:
- 三者不是互相替代的关系。
- ISO 22398适合做”底座”;
- HSEEP适合做”体系运转骨架”;
- ENISA方法适合做”网络安全语境下的能力建设方法”。
对企业而言,真正成熟的做法通常不是三选一,而是分层取用、组合使用。
五、企业实践中,应该更多参考哪一个
这个问题并不存在标准答案,因为它取决于企业的实际需求。但可以从以下维度出发进行判断:
- 如果你的目标是把演练管理纳入组织正式的管理体系中,建立统一术语、制度和管理接口,那么ISO 22398是最合适的起点。
- 如果你的目标是建立中长期、多部门、可复用的演练体系,尤其是要解决”演练做了很多、能力积累却不明显”的问题,那么HSEEP的价值最高。
- 如果你的演练重点在网络安全或数字韧性领域,或演练更像”网络危机推演”而非”按流程走一遍”,那么ENISA方法会给你最直接的帮助。
更重要的是:三者在实践中可以分层取用。ISO 22398做底座、HSEEP做骨架、ENISA做纵深——这才是企业演练能力建设最成熟的路线。
结语
回到开头那句话:“演练做了很多,能力积累却并不明显”——这几乎是中国企业BCM与应急演练中最普遍的经验。
根本原因不在于大家不会做演练,而在于:缺少programme意识,演练之间没有形成能力递进关系;缺少评估桥梁,演练表现没有转换为可追踪的能力数据;缺少改进闭环,发现的问题没有进入后续建设路径。
ISO 22398给了我们标准框架,HSEEP给了我们工程化路线,ENISA给了我们行业纵深的典范。三者结合,才能真正把演练从”做一次项目”提升为”做能力建设工程”。