博客 / 詳情

返回

讀數字時代的網絡風險管理:策略、計劃與執行02網絡風險管理計劃

讀數字時代的網絡風險管理:策略、計劃與執行02網絡風險管理計劃

1. 網絡風險管理計劃

1.1. CRMP

1.2. 一套以明確界定的既定計劃為代表的正規方法,只有通過它企業才有希望以最快的速度和最關鍵的方式應對所面臨的風險,並獲得所需的穩定和可靠的結果

1.3. 全球監管機構越來越明確地表示,將不再接受寬鬆或缺失的網絡風險管理計劃

1.4. P主要優勢

  • 1.4.1. 對董事會和高管層級的保護

    • 1.4.1.1. 在參與整個企業範圍業務的過程中,高級決策者有義務監督網絡風險管理活動,以確保他們能夠收到足夠和適當的風險信息

    • 1.4.1.2. 意味着他們可以解釋,並在必要時為已建立的風險職能和已做出的風險決策進行辯護

  • 1.4.2. 將安全視為戰術層職能的觀念會轉變成戰略層風險角色的觀念

    • 1.4.2.1. 通過敏捷的風險運營模型,更快的決策和優先級排序使企業的安全風險決策能夠跟上不斷變化的形式,並根據其整體業務戰略來執行,進而提供明顯優於競爭對手的戰略優勢

  • 1.4.3. 可解釋的預算

    • 1.4.3.1. 基於既定的偏好和容忍度、風險和回報的平衡來進行安全風險管理,更容易證明人員和其他資源成本的合理性

  • 1.4.4. 安全從業人員職業滿意度和保護

    • 1.4.4.1. 既定的計劃在決策時為首席信息安全官或其他高級安全從業人員提供了一席之地,能夠防止事故發生後的後果和無端的指責

2. SEC規則

2.1. SEC在制訂和採用全球監管標準方面具有很大的影響力

  • 2.1.1. 其他國家和司法管轄區的監管機構經常效仿SEC

  • 2.1.2. 意味着世界各地的企業風險利益相關者都應該瞭解該規則及其可能產生的影響

  • 2.1.3. 舉措是為了確保個人和企業在做出投資決策時擁有“更一致、可比較的和對決策有用的信息”

2.2. 對重大信息的定義是“與普通審慎投資者在購買註冊證券之前應合理瞭解事項相關的信息”

  • 2.2.1. 一個公認的原則,新規則不但不會改變它,反而表明將其重要性延伸到了網絡空間

2.3. 越來越多的生態活動依賴於電子系統,因此,對這些系統的干擾可能會對(公司)產生重大影響,在大規模攻擊的情況下,會對整個經濟產生系統性影響

2.4. 公司可能低估了網絡安全事件​,並且“投資者需要更及時、更一致的網絡安全信息披露,以做出明智的投資決策”

2.5. 事件披露(​“臨時披露”​)

  • 2.5.1. 披露包括網絡攻擊、數據泄露和其他故障在內的安全事件的要求進行了根本性修改

  • 2.5.2. “網絡安全事件”的定義大幅擴展,包括了“一系列相關的未經授權的事件”​

  • 2.5.3. 反映了一個現實,即網絡攻擊和其他安全故障不一定是孤立發生的,而且可能會持續很長一段時間

  • 2.5.4. 網絡安全事件披露所需的信息現在需要更為清楚地進行説明

    • 2.5.4.1. 事件發現時間以及是否持續

    • 2.5.4.2. 對事件性質和範圍的簡要描述

    • 2.5.4.3. 是否有任何數據被盜、被更改或以其他方式被訪問或未授權被使用

    • 2.5.4.4. 該事件對公司運營的影響

  • 2.5.5. 必須在確定重大網絡安全事件後的四個工作日內披露該事件

  • 2.5.6. 公司在做出重要性決定時“不得無故拖延”​

2.6. 風險管理、戰略和治理披露(​“定期披露”​)

  • 2.6.1. 公司必須定期披露其為評估、識別和管理網絡安全風險而制訂的流程

  • 2.6.2. 公司必須披露董事會在監督網絡安全威脅風險方面的作用,特別是那些監督這些風險的董事會成員或委員會

  • 2.6.3. 公司必須披露管理層在評估和管理網絡安全威脅帶來的重大風險方面發揮的作用

2.7. 網絡安全和網絡風險問題過於複雜、影響深遠且重要,無法在那些以臨時、即興和事件為重點的方法上加以解決

2.8. SEC的聲明強調了上市公司採取積極措施及時告知投資者網絡安全風險和事件的重要性

3. 框架

3.1. 董事會和高管必須能夠通過系統化的方法對公司的網絡風險環境進行適當監督

3.2. CRMP框架整合了諸多領先實踐和標準的見解,為網絡風險管理提供了一種結構化和全面的方法

3.3. 網絡風險管理計劃:關鍵驅動因素

  • 3.3.1. 四個組成部分不是抽象的概念或任意劃定的重點領域

  • 3.3.2. 企業決策者不能忽視這一系列複雜且快速增長的法律、監管、政治和環境因素,它們中的每一個都至關重要,而且在許多情況下是必需的

  • 3.3.3. 監管合規框架

  • 3.3.4. 法律責任

    • 3.3.4.1. 法院並不要求完美,但明確表示,希望企業在評估、管理和報告安全風險方面做出真誠的努力,並且法院已經做好了追責的準備,可以追究那些未誠信行事的企業和個人的責任,具體追責措施包括罰款和民事判決等民事處罰,甚至判處入獄

  • 3.3.5. 有影響力的權威機構向董事會和高管層面的受眾提供有關網絡風險的指導

  • 3.3.6. 行業公認的標準和框架組織

3.4. 義務和責任的履行

  • 3.4.1. 敏捷治理

    • 3.4.1.1. 不遵循SEC的指導可能會給包括公司高管和董事會成員在內的最高決策者帶來嚴重後果

  • 3.4.2. 風險指引體系

    • 3.4.2.1. 風險總是會產生經濟影響,這使得它成為首席財務官和其他負責企業財務狀況的人的主要關注點

  • 3.4.3. 基於風險的戰略和執行

  • 3.4.4. 風險升級和披露

3.5. 風險問責和責任:一種國際現象

  • 3.5.1. 對企業最高層在責任、問責制和義務方面的呼聲越來越高

3.6. 一個正式的網絡風險管理計劃在數字世界中是至關重要的

3.7. 網絡和數字化的關鍵區別

  • 3.7.1. 將網絡視為一個獨特的、特定的環境可能會有所幫助

  • 3.7.2. 網絡環境也是一種環境

    • 3.7.2.1. 它代表了一個數字領域,電子數據通過網絡傳輸,企業進行通信、數據交換等操作

  • 3.7.3. 數字化的主要目標是提高性能和效率,並擴大業務運營和溝通的可能性範圍

4. 波音737 MAX之禍

4.1. 敏捷治理

  • 4.1.1. 任何企業都需要建立一個適當的結構,對風險管理計劃提供全面的風險管理,包括確定該計劃的範圍、深度和期望,明確職責,建立完善的權力和問責制

  • 4.1.2. 如果一個治理機構在飛機設計和製造過程的早期介入,並確定與飛行管理系統相關的風險是不可接受的,那麼整個波音公司的災難可能就可以避免

  • 4.1.3. 一個好的計劃至少會在第一次墜機後使737 MAX停飛,從而挽救在第二次墜機事故中喪生的157人的生命

4.2. 風險指引體系

  • 4.2.1. 意味在日益複雜的數字化環境中,要在整個企業範圍內採用一種系統化的、企業級的方法,來識別、接受、管理和緩釋風險,包括所有類型的風險

  • 4.2.2. 世界上沒有所謂的零風險環境,試圖實現這一目標毫無意義,有時甚至適得其反

  • 4.2.3. 進行必要的修復將有助於保護這些決策者免於承擔部分責任,因為波音公司本來能夠證明,它至少在風險方面已經做出了更為系統的考慮

4.3. 基於風險的戰略和執行

  • 4.3.1. 零風險環境是無法實現的,以風險評估和容忍度為依據的企業戰略並不一定會使波音做出所有正確的決策

4.4. 風險升級和披露

  • 4.4.1. 如果波音公司最高層管理人員在第一起墜機事件後能夠開誠佈公,那麼美國聯邦航空局和世界其他監管機構幾乎肯定會停飛737 MAX,而該航班就沒有執飛的機會

4.5. 基礎和關鍵的任務

  • 4.5.1. 所有風險都是數字化風險,而所有數字化風險都會產生網絡風險

  • 4.5.2. 網絡風險是“基礎和關鍵的任務”​

  • 4.5.3. 意味着企業、董事會和高層管理人員對網絡風險負有與任何其他重大風險相同的責任和義務

5. 安全風險計劃的好處

5.1. 安全風險計劃是應對企業所面臨風險的戰略層方法

5.2. 安全專業人員希望並且需要被視為戰略業務合作伙伴,而不僅僅是技術人員

5.3. 對安全風險管理工作的期望和投入需要改變

5.4. 好處1:對安全風險功能的戰略性識別

  • 5.4.1. 明確定義的安全風險計劃最重要的好處之一是,它使安全組織及其活動被公認為一項關鍵的戰略性工作,並獲得應有的認可

  • 5.4.2. 一致性對於任何企業計劃的成功都至關重要

    • 5.4.2.1. 風險管理從根本上關注預測、管理和緩釋意外事件,這使得風險管理計劃本身的一致性至關重要

  • 5.4.3. 可預期的

    • 5.4.3.1. 網絡安全風險計劃中的所有利益相關者(從董事會到CXO再到業務線領導者)都必須能夠及時獲得適合其特定需求並被及時提供的風險信息

  • 5.4.4. 可信的

    • 5.4.4.1. 制訂明確定義的計劃意味着其產出是可信的

5.5. 好處2:確保網絡風險職能部門擁有有效的預算

  • 5.5.1. 預算問題值得詳細考慮

  • 5.5.2. IT預算總是受到高度限制,安全預算更是如此,因為安全職能部門一直被視為成本中心

  • 5.5.3. 現實的情況:安全被認為是業務高效運行的障礙,而不是貢獻者或戰略合作伙伴

  • 5.5.4. 安全預算往往基於企業預算或IT預算的既定百分比,在發現新威脅時或更糟的是,在事件發生後臨時分配新資源。這種基於反應的和臨時性的方法尤其具有破壞性,因為數字化轉型正在導致越來越危險的威脅環境,攻擊的數量、速度和負面業務影響都在不斷增加

5.6. 好處3:對風險決策者的保護

  • 5.6.1. 當網絡安全事件不可避免地發生時,既定的計劃可以更容易地避免那些通常無益的指責

  • 5.6.2. 當風險被識別和承認後,根據既定的風險容忍度採取措施,所有人將更難責怪某個個人或單個部門

  • 5.6.3. 定義明確且傳達清晰的網絡風險管理計劃可以保護整個企業免於承擔某些特定法律和監管責任

  • 5.6.4. 一個精心設計的CRMP不僅可以保護所有級別的安全從業人員,甚至可以保護整個安全組織,在出現問題時不會受到指責

  • 5.6.5. 可以保護整個企業(包括業務線領導者、首席運營官、首席執行官,甚至董事會)免於承擔包括法律和監管責任在內的各種後果

5.7. 系統化但非零風險

  • 5.7.1. 企業必須符合可接受的標準保持良好的安全衞生習慣

  • 5.7.2. 領導者需要建立並實施CRMP的組成部分,並開展適當的監督,包括以風險指引的決策過程和治理結構、利益相關者的參與和適當的風險升級計劃

  • 5.7.3. 風險計劃必須是系統化的

    • 5.7.3.1. 確保了風險管理實踐在整個企業中能夠得到一致的實施和管理

  • 5.7.4. 風險管理決策方面需要更多的工作、更完善的結構以及眾多利益相關者的持續承諾

  • 5.7.5. 為了防止因缺乏監督而承擔責任,企業及其領導者需要證明已經問過自己一些基本問題,並根據答案制訂了完善的網絡風險管理實踐

6. 董事會問責制和法律責任

6.1. “誠信努力”​(good-faith effort)一詞對承擔責任來説是很高的門檻

6.2. 波音公司

  • 6.2.1. 董事會未建立監控、討論或定期報告飛機安全的體系

  • 6.2.2. 雖然董事會具有風險監督職能,但其監督工作主要集中在財務風險上,並未涵蓋“基本和關鍵的任務”的飛機安全

  • 6.2.3. 董事會收到的臨時管理報告不夠透明,無法滿足知情決策流程的要求,也沒有要求提供更多信息,以及更徹底或定期的報告流程

  • 6.2.4. 管理層收到了危險信號,但沒有適當地上報給董事會,這表明未能建立適當的報告體系

企業信息化
user avatar
0 位用戶收藏了這個故事!

發佈 評論

Some HTML is okay.