博客 / 詳情

返回

讀數字時代的網絡風險管理:策略、計劃與執行09實施計劃(上)

讀數字時代的網絡風險管理:策略、計劃與執行09實施計劃(上)

1. 實施計劃

1.1. 網絡風險管理計劃(CRMP)由敏捷治理、風險指引體系、基於風險的戰略和執行以及風險升級和披露四個部分組成

  • 1.1.1. 不是一項一勞永逸的工作

  • 1.1.2. 不是制訂一次戰略並獲批後就可以不加質疑、不做更新地遵循

  • 1.1.3. 不是可以隨意應對或被動性處理的事務

  • 1.1.4. 必須具備適應能力

1.2. 有效的網絡風險管理計劃需要高層承諾、新增崗位和職責、新增預算以及其他資源

  • 1.2.1. 會讓企業文化產生根本性的改變

  • 1.2.2. 需要安全組織、風險所有者、治理機構以及許多其他利益相關者之間保持持續的溝通

  • 1.2.3. 合作使得建立信任和持久的關係成為可能,有助於使風險管理成為業務的推動力,而不只是作為成本中心,甚至阻礙業務的發展

1.3. 由於任務的複雜性和企業風險環境的持續變化,需要有一個持續的實施過程,包括不斷地監測和持續改進

1.4. 實施人員應該將它視為一段歷程,這段歷程從早期步驟開始,並在該基礎上構建,同時路線和目的地必然會隨着時間的推移發生變化

2. 網絡風險管理歷程

2.1. 安全的輸出及其核心產品就是風險信息

2.2. 安全組織通常會牽頭實施網絡風險管理計劃,但情況並非如此,也不一定是理想的做法

2.3. 安全組織的基本作用是積極引導企業(包括風險所有者、治理機構和許多其他利益相關者)通過制訂合理決策的過程,來處理有關風險和風險流程的問題

2.4. 最終目標是建立風險和收益之間的平衡

  • 2.4.1. 這個過程將兼顧企業和利益相關者,保持企業競爭力,進而在理想情況下提升競爭力

2.5. 一個好的開始是讓計劃負責人(通常是首席信息安全官(CISO)​、首席風險官(CRO)或總法律顧問)着手處理一系列看似簡單的問題

2.6. 認真收集並對待他們提出的意見,將有助於建立持續的關係以支持網絡風險管理計劃的實施和管理

3. 開啓網絡風險管理歷程

3.1. 四個步驟

  • 3.1.1. 任命網絡風險管理計劃負責人

  • 3.1.2. 全面評估企業網絡風險實踐現狀

  • 3.1.3. 確立共同目標,並映射到相應的流程和時間框架

  • 3.1.4. 執行計劃路線圖,並認識到計劃的實施將是一個長期過程

3.2. 離開了高層的支持,任何重大的企業項目都不可能成功

3.3. 確保網絡風險負責人蔘與的關鍵,本質上與吸引其他利益相關者相同

  • 3.3.1. 需要跨越所有職能部門和層級,確保他們能理解網絡風險管理計劃對實現企業關鍵業務目標的貢獻

3.4. 網絡風險負責人不管由誰擔任,要對企業面臨的風險有廣泛的瞭解,而不僅僅是網絡層面,同時也要認識到與定義、批准的風險偏好和容忍度相一致的風險指引決策的商業價值

3.5. 一旦確定好了現狀,下一步就是與高管合作,明確一個共同認可的目標,並制訂一份詳盡的路線圖來構建或完善該計劃,目標和路線圖是基於評估結果制訂的

3.6. 一次性把所有事情做完看起來很有吸引力,但很少有企業擁有足夠的資源或專業能力去識別和處理所有的網絡風險

3.7. 計劃負責人和其他利益相關者應該確定路線圖的優先順序,獲得必要資源的批准,以現實且實用的方式執行邁向成熟的步驟

4. 治理、風險管理和合規計劃

4.1. 關注面狹窄

  • 4.1.1. 許多企業的治理、風險管理和合規計劃側重於履行法律和監管義務,很少或沒有強調將安全戰略與業務目標結合起來,也不強調通過溝通和利用風險來獲得競爭優勢

4.2. 豎井化和業務參與有限

  • 4.2.1. 治理、風險管理和合規職能獨自運作,缺少與業務部門的協作,並被深埋在安全防護中

4.3. 不同風險框架未匹配

  • 4.3.1. 不同的風險框架集之間如果缺乏匹配和協調,就會缺乏明確性,風險管理措施也不會被重視

4.4. 控制措施嚴格

  • 4.4.1. 治理、風險管理和合規計劃專注於實施和維持控制措施,忽視實際業務環境和切實可行的控制措施,可能導致過度支出、資源浪費和措施失效

5. 推廣網絡風險管理計劃

5.1. 實施網絡風險管理計劃(CRMP)將不可避免地需要來自企業各個層面(從基層到最高層)的承諾與支持

5.2. 安全組織在實施CRMP以及確保其持續的成功方面顯然扮演着至關重要的角色

5.3. 企業級風險指引決策

  • 5.3.1. 當將安全性作為整體風險職能的一部分時,安全組織提供了戰略性洞察,風險和資產所有者可以據此來進行商業和運營的決策

  • 5.3.2. 企業級的風險指引決策的制訂是一項戰略要求,它不僅增強了企業的安全態勢,還能推動業務的增長和運營效率的提高

5.4. 監管和法律合規

  • 5.4.1. 全球各地的監管機構和法院正迅速增加對企業網絡安全實踐的要求,使要求更加寬泛和嚴格

  • 5.4.2. CRMP確保企業完全遵守所有監管要求和法律規定,降低因不合規、聲譽受損和訴訟而受到的處罰風險

5.5. 公眾和消費者信任

  • 5.5.1. 消費者對與自己有業務往來的公司有很高的期望,並且事實證明,網絡安全失效會使他們傾向於和更重視保護敏感信息的競爭對手公司合作

  • 5.5.2. 強大的網絡安全態勢向消費者和公眾傳遞出企業對保護個人數據和其他敏感信息的重視

5.6. 與外部各方的關係

  • 5.6.1. 企業在一個有着外部合作伙伴、技術供應商、行業組織甚至競爭對手的廣泛而複雜的生態系統中運營

  • 5.6.2. 通過實施健全的CRMP,企業可以展示自身作為信賴夥伴的可靠性

5.7. 創新

  • 5.7.1. 在安全組織的指引下,有效的網絡風險管理通過提供安全的環境來探索和實施新技術、新的運營流程、新產品和服務,甚至全新的商業模式,從而推動企業創新

  • 5.7.2. 有效的網絡風險管理為企業奠定了安全的基石,使企業能夠在把握新興技術帶來的機遇的同時,安全地應對風險

5.8. 運營韌性

  • 5.8.1. 運營韌性,即應對業務中斷,保持業務連續性的能力,從一定程度上看是CRMP的最終目標

  • 5.8.2. 一個健全的CRMP為企業提供必要的工具和策略,以迅速應對並從中斷中恢復

5.9. 網絡風險會隨着時間變化,同樣變化的還有管理和緩釋風險所需的技術、工具和流程,但安全的支撐作用不會變

  • 5.9.1. 安全將繼續成為企業的重要合作伙伴,幫助企業贏得新的機會,實現長期價值
企業信息化
user avatar
0 位用戶收藏了這個故事!

發佈 評論

Some HTML is okay.