这虽然可能会提高安全性，但却无法全面满足各个组织的需求。最坚固的防御系统同时依赖于“水平”和“垂直”标准。水平标准具有通用性和灵活性，而垂直标准则满足非常特殊的需求。其中两个水平标准的例子尤其突出。

五、水平和垂直标准

ISO/IEC 27000系列标准有助于保护纯信息系统（IT），并确保虚拟世界中的数据自由流动。它提供了一个强大的横向框架，用于在控制措施的实施、维护和持续改进中对照最佳规范进行基准测试。

IEC 62443是另一个横向标准系列，旨在保持OT系统在现实世界中运行。它可以应用于任何工业环境，包括关键的基础设施，如电力设施或核电站，以及卫生和运输部门。IECEE是电工设备和元件的IEC合格评定体系，该体系已建立了基于IEC 62443系列标准的全球认证服务。

补充横向标准是为满足特定行业的需求而设计的定制解决方案。纵向标准涵盖了核部门、工业通信网络、工业自动化和海事行业等的特定安全需求。

六、弹性构建

任何网络安全战略的目标都是尽可能多地保护资产，当然也包括最重要的资产。由于以平等的方式保护每件事是不可行的，因此重要的是要确定哪些东西是有价值的，哪些东西需要最大力度的保护，识别漏洞、然后确定优先级，并建立确保业务连续性的纵深防御体系结构。

实现弹性在很大程度上要理解和减轻风险，以便在系统的适当点上应用正确的保护。至关重要的是，这一过程与组织目标密切相关，因为缓解决策可能会对运营产生严重影响。理想情况下，它应该基于一种涉及整个组织利益相关者的系统方法。

纵深防御的一个关键概念是，安全需要一套协调的措施。在应对网络攻击的风险和后果时，有四个步骤是必须实现的：1.了解系统，明确什么是有价值的，什么是最需要防护的。2.通过威胁建模和风险评估了解已知威胁。3.在国际标准的帮助下，基于全球最佳规范，解决风险并实施保护。4.根据要求采用适当水平的合格评定-测试和认证。

另一种方式是将其视为网络安全的ABC：A是评估、B是解决风险的最佳规范、C是用于检测和维护的合格评定。

基于风险的系统方法不仅展示了基于最佳规范的安全措施使用，还证明一个组织已有效地实施了这一系列措施，这增强了所有利益相关者的信心。也就是说要将正确的标准与适当的合格评定水平相结合，而不是将其视为不同的领域。