1. 戰略和執行

1.1. 需要一個明確的戰略，並根據該戰略持續執行

1.2. 網絡風險管理—在數字世界中平衡風險與回報的藝術—比以往任何時候都更具挑戰性

1.3. 投資的風險很大，而且越來越大，商業環境和風險狀況都在不斷變化

1.4. 風險管理工作往往各自為政，安全組織、風險管理團隊、風險所有者和其他重要利益相關者只是偶爾溝通，合作更是少之又少

1.5. 安全組織在基於風險的戰略和執行中的作用是通過與風險所有者和其他利益相關者的密切合作來幫助他們

• 1.5.1. 可以通過風險指引體系來實現，以確定風險偏好和容忍度

• 1.5.2. 可以確定利用現有預算、人員和工具等資源是否可以達到這些風險偏好和容忍度

1.6. 在考慮了所有已知的風險因素後，資產所有者完全有可能決定接受較低的保護級別，即減少開支

1.7. 或者資產所有者可能會決定，系統太重要了，不能冒險，應該進行新的安全投資

1.8. 風險討論不應該由某個人來承擔，也不應該基於個人關係或偶然事件驅動的互動

• 1.8.1. 風險討論不應該由某個人來承擔，也不應該基於個人關係或偶然事件驅動的互動

1.9. 在網絡安全領域尤其如此，新的威脅和漏洞層出不窮，而企業所面臨的相關風險卻鮮為人知

• 1.9.1. 在大多數情況下，資產所有者、首席信息安全官以及其他一些利益相關者需要為所有新資源制訂一個使用案例

• 1.9.2. 即使他們得出了相反的結論，認為可以接受更高的風險水平，這一決定也必須基於完整的企業背景

• 1.9.3. 應對權衡利弊進行充分考慮

1.10. 安全組織在此過程中的作用是指導風險所有者—可能還有許多其他利益相關者，包括企業的治理機構—做出明智的風險決策

• 1.10.1. 運用所有受影響的利益相關者的意見和可操作的風險信息，採取合作的方法做決策，將有可能確定與企業具體情況相適應的可接受的風險水平

1.11. 即使是最有經驗的風險管理專業人士，也可能會被新技術的發展衝昏頭腦

1.12. 每個安全組織都有自己的戰略和執行模式

• 1.12.1. 關鍵區別在於，基於風險的戰略和執行模式通過使用風險指引體系來確定風險容忍度，並在預算、人力資源和技能組合的支持下推動業務發展

• 1.12.2. 在可接受的風險偏好和容忍度範圍內調整資源和執行優先級是一種持續的平衡行為，是融入企業戰略願景的動態過程，由網絡安全風險管理計劃的核心組成部分共同推動

1.13. 基於風險的系統及其執行的一個重要組成部分，是確定當風險環境發生變化時—當風險超出可承受範圍時—具體的利益相關者應該做什麼：需要做出什麼決定，採取什麼行動，由誰來做，需要通知企業內外的哪些人

2. 資產所有者與利益相關者的區別

2.1. 資產所有者和利益相關者是兩種不同的角色，各有其特定的責任和利益

2.2. 資產所有者是對特定資產的健康和有效運行負有最終責任的個人或實體，他們要確保資產得到妥善維護、保護和運營

• 2.2.1. 該個人或團體直接對與該資產相關的所有風險負責

2.3. 利益相關者是指所有可能受特定網絡風險或資產影響、與之有利害關係或有權影響相關決策或結果的個人、團體或組織

• 2.3.1. 利益相關者不一定對資產有直接控制權，但他們對資產的安全性有既得利益

2.4. 安全組織在基於風險的戰略和執行中的作用是指導風險所有者做出明智的風險決策

3. ChatGPT

3.1. 企業業務環境中需要考慮的持續變化可能包括商業模式的重大轉變、來自意想不到或非常規競爭對手的新競爭挑戰、顛覆性的新技術—或者三者同時出現

3.2. ChatGPT是一款人工智能工具，它使用大語言模型、開放和專有信息服務，以及監督和強化學習技術，以高度易用的方式響應請求

3.3. 人們對ChatGPT的接受速度和熱情或許僅次於手機

3.4. ChatGPT從一開始就將對世界（包括商業世界）的工作方式產生極大的改變和不可預知的影響

• 3.4.1. 將解放工作者，讓他們專注於更有附加值的項目，並通過提供對大型數據集的詳細分析和對結果的明智預測，幫助人們決策

4. 人工智能風險

4.1. 微軟本來就是OpenAI的投資者，在ChatGPT推出後，它又追加了數十億美元的資金

• 4.1.1. 微軟在搜索市場位居第二，但距離第一名非常遙遠，必應的份額不到9%

4.2. 谷歌並沒有立即向公眾推出自己的人工智能搜索產品

• 4.2.1. 谷歌是全球領先的搜索引擎，幾乎佔據了搜索市場85%的份額

4.3. 兩家公司都擁有雄厚的資金、看似無限的技術資源，而且顯然都希望把用户引向自己的搜索引擎

4.4. 多年來，谷歌一直在使用人工智能和機器學習技術，搜索引擎的搜索能力被廣泛認為是目前最好的，該公司的商業模式在很大程度上依賴於不失去這一聲譽

4.5. 微軟的大部分收入都來自與搜索完全無關的領域，它可能認為，引入人工智能為必應帶來的所有流量都只能是有益的—而且很可能不會對公司造成重大損害

5. 華爾街

5.1. 數字化（尤其是人工智能）從根本上加速了這種風險—替代風險

5.2. 在數字時代，企業可能因為承擔了不該承擔的風險而倒閉，也可能因為沒有承擔應該承擔的風險而倒閉

5.3. 舊企業的毀滅和新企業的建立是一個永無止境的過程，其結果必然是網絡風險和其他風險的加速和擴大，其中大多數風險是無法準確預測的

5.4. 具有執行成熟的網絡風險計劃以及任何與此相關的風險計劃的能力都是一種戰略優勢

5.5. 如果安全團隊能夠告知高管潛在的風險，並憑藉執行能力提供洞見，傳達如何快速識別這些風險並採取應對措施（踩下剎車）​，同時瞭解這些“剎車”的延遲效應，那麼公司就能在風險和回報之間取得適當的平衡，從而比競爭對手走得更快

6. 數字遊戲變革者

6.1. 流程自動化和虛擬化

• 6.1.1. 機器人、自動化、3D打印、工業物聯網（IIoT）以及其他技術將從根本上改變工作的性質

6.2. 互聯互通的未來

• 6.2.1. 5G和物聯網帶來的更快的數字連接和更高的網絡可用性，將提高經濟活動的數字化和去中心化程度

6.3. 分佈式基礎設施

• 6.3.1. 雲計算，尤其是混合雲和多雲計算，將使企業運營更快、更靈活、更為經濟

6.4. 下一代計算技術

• 6.4.1. 這一趨勢以包括量子計算和自動駕駛汽車在內的一系列技術為基礎，將大大提高企業的數字化能力

6.5. 應用AI

6.6. 未來編程技術

• 6.6.1. 神經網絡和機器學習等技術將使編寫代碼的過程越來越自動化，這將使軟件的創建速度更快、成本更低、可擴展性更強

6.7. 信任架構

• 6.7.1. 將用於提高敏感信息的安全性

6.8. 生物革命

• 6.8.1. 生命科學的進步，包括DNA測序和基因療法，將對農業和醫療保健等行業產生重大影響

6.9. 新一代材料

• 6.9.1. 材料科學的新發展正在產生比以往任何已知材料都更強、更輕、導電性更好的新材料

• 6.9.2. 將給能源、半導體、交通和製造業等許多領域帶來翻天覆地的變化

6.10. 清潔技術

• 6.10.1. 清潔技術—可再生能源、節能建築和電動汽車等—的成本正在急劇下降，推動了更廣泛的使用和對傳統技術模式的顛覆