网络风险.PDF
《网络风险.PDF》由会员分享,可在线阅读,更多相关《网络风险.PDF(32页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、网络风 险 风 险驱动绩效 Cyber评估网络风险 : 董事会和高管层需要面对的 关键问题 网络危机管理 : 就绪 、 响应和恢复 01 171 评估网络风险 董事会和高管层需要面对的 关键问题2 风 险驱动绩效 一直以来 , 在人们不遗余力保护企业的 业务价值时 , 风险被认为是需要最小化 或应当规避的 。 然而 , 我们相信风险也 能创造价值 , 而且 , 如果可以被正确处 理 , 它将会在驱动业务绩效上发挥独特 的作用 。 以网络风险为例 , 随着信息技术的广泛 应用和企业全球化进程的深入 , 企业面 临的网络风险日益凸显 , 但另一方面 , 它们同样为企业提供了关键的竞争优势 。 那些
2、因为过于重视保护企业业务价值而 拒绝接受信息技术应用和全球化运营的 企业 , 终将落后于这个时代 。 而那些擅 于管理网络风险的企业则能从信息技术 应用和全球化机遇中缔造卓越绩效 。 踏上风险管理旅程的关键一步是了解贵 企业自身网络安全能力现状 。 本文和文 中包含的网络安全能力自我评估工具旨 在帮助企业高管们衡量企业自身的网络 安全成熟度 , 帮助其形成网络风险新认 知 , 并解答一些关键问题 , 包括 : 我们 是否 有 合 适的 领 导 和 管 理 人才 ? 我们 是否 关注 且 进行 了 正 确的 投资 ? 我 们 如 何 评 价 企 业 网 络 风 险项目的 有 效性 ? 如今的行业
3、领导者们已经学会了通过风 险管理来保护业务价值 , 而未来的领导 者将是那些抓住机遇 , 利用风险创造价 值的佼佼者 。 德勤全球风险管理专家将 引导您踏上这段旅程 , 并帮助您将贵企 业打造为风险驱动绩效的典范 。 评估网络风险 | 董事会和高管层需要面对的关键问题3 评估网络风险 | 董事会和高管层需要面对的关键问题 风险 管理责任 网络风险对于企业中的每一个人都至关 重要 , 然而监管风险的最终责任则落在 高管们头上 。 现在 , 许多董事会成员和高管们很少接 触日常的风险管理活动 , 包括网络风险 的监控 、 检测和响应等 。 但那些对企业 现状 , 特别是对网络风险现状有深刻了 解的
4、领导们 , 对于如何更好地管理企业 有着自己的独到见解 。 有效的网络风险管理始于董事会和高管 层的重视 。 通过回答一些重要问题 , 提 高认识风险 、 管理绩效的能力 , 进一步 提升风险管理成熟度水平 , 企业的业务 运营终将变得更加安全 、 警戒和具有韧 性 。 有别于传统网络威胁管理仅聚焦于 安全 , 而少关注警戒性 ( 全面监控所有 威胁 ) 和复原能力 ( 对攻击的反应能力 和恢复能力 ) 的情况 , 这三点对于现今 的业务活动尤为重要 。 下列十个必须回 答的深度问题 , 将有助于企业管理层更 好地理解他们所处的境况以及什么时候 他们的企业将变得安全 、 警戒和具有韧 性 。
5、1. 我们 是否 对网络风 险 开 展 全面评 估 、 确 认其 归 属 并 进 行 了 有 效 管理 ? 2. 我们是否 有 合 适的 领 导 和管 理 人才 ? 3. 我 们是 否 已 经 建 立 起 反 映 我 们 风 险偏好 和 预 警 阈值的 , 恰 当的网 络风 险 上 报机制 ? 4. 我 们 是 否 关 注 且做了正 确 的 投 资 ? 如果 是 , 我们如 何 评 价 和 衡 量 我们的决 策 结果 ? 5. 我 们 的网 络风 险 管 理 工作 和 能力是 如 何满 足行业标 准和 符 合行业 发 展 趋势的 ? 6. 我们 是否 在全 体范围 内形成 了 以网络风 险 为
6、 中 心的思 维 方 式和网络风 险 意 识 的 企 业 文化 ? 7. 我们 做 了 哪些 工 作 来 保护 企 业免 于 第 三 方 网络 风 险 ? 8. 我们能 否 遏 止 由 于 网 络 安 全 事 件 导致的损 失 , 并 且 调 动相关 资 源进 行 应 对 ? 9. 我 们 如 何评 价 企 业 网 络 风 险项目的 有 效 性 ? 10. 我们 是否是 企 业 紧 密关联的生 态 系 统 中 强 大 且安 全的一环 ?4 董 事会 和高管 层 在 帮 助企业应对 持 续变化的网络威 胁环 境中扮演 关键 角色 当前 , 网络威胁和攻击越来越多 , 并且 越来越复杂 。 与此同
7、时 , 不同业务领域 间的联系越来越紧密 , 数字化发展趋势 也越来越明显 。 置身于这样的新环境 , 网络威胁管理获得了前所未有的重视 , 成为企业业务和战略层面势在必行的关 键活动 。 当前 , 由于庞大犯罪网络 , 外 国政府支持的黑客和网络恐怖分子的频 繁活动 , 网络犯罪的定义不断拓展 : 网 络犯罪并不仅限于诈骗和盗窃 , 已包含 服务中断 , 数据破坏或损毁 , 以及从受 害者处获得财物 、 访问权 , 或凭借窃取 的企业机密进行敲诈勒索 。 如今 , 网络风险和绩效更加紧密地交织 在一起 。 网络犯罪导致的有形损失 , 包 括被窃取的资金 、 受损的系统 、 监管罚款 、 法律
8、赔偿以及对受影响当事人的经济补 偿 ; 无形损失则包括由信息化资产被窃 导致的企业竞争优势消失 、 客户流失 、 业务伙伴失信以及企业声誉和品牌形象 的全面破坏 。 除了对企业个体造成损失 之外 , 网络攻击更为广泛的影响可能会 导致基础设施大面积中断运营 , 进而影 响到整个国家金融体系和经济的稳定 。 重中之重 情势严峻 , 董事会和高管层也越发意识 到网络风险必须作为首要的业务风险对 待 , 并且要提高这种风险意识 , 使之根 植于企业文化中 。 目前企业业务活动的 各方面都涉及数字信息 , 因此网络风险 意识不应仅限于信息技术部门和企业内 部 , 而应扩展到每一个合作伙伴 、 每一 位
9、客户 、 每一名员工以及每一项业务流 程 。 企业高管应时刻保持企业终将被入侵的 风险意识 , 对网络威胁开展研究了解 , 明确对企业影响最大的威胁是什么 , 而 评估网络风险 | 董事会和高管层需要面对的关键问题 这些威胁又将会把企业重要资产置于何 种危险之中 ? 当高管们以这种积极态度 去保护企业业务价值时 , 不少人会困惑 如何才能保证他们的努力不白费 ? 他们 到底担负着什么样的责任 ? 他们应重点 培养哪些能力 ? 哪些是应当解决的关键 问题 ? 面对这么多困惑和不断进化的威 胁环境 , 如何备好万全之策异常艰巨 。 所以高管们应为或有事件 , 而不只是可 能事件 , 做好预先准备工
10、作是一个审慎 向前的选择 。 面对挑战虽然没有绝对的解决方案 , 但 是董事会和高管层可以从开发定制网络 安全计划或改进现有方案着手 。 而后文 中 , 我们抛出的十个问题也将帮助推动 董事会进一步讨论管理层面可持续的网 络安全策略 , 包括如何面对不断变化的 挑战 , 如何消除网络风险 , 以及如何抓 住机遇 ?5 评估网络风险 | 董事会和高管层需要面对的关键问题 评估 贵 企业 的风险成熟度 该网络风险关键问题 ( 及其影响范围 ) 清单可有效地指导企业对其网络安全态 势进行评估 , 促使信息安全团队专注于 关键问题 , 以便提供关键信息 , 协助企 业开展持续监测并不断提升其网络弹性
11、。 高 企业 在网络风 险控制方 面 拥有 较 高 水平 。 安全 建立并持续维护基础的安全性 能 通 过 加 强 风 险 优化 控 制 , 来 应 对 已知 和 潜 在 的 威 胁 , 同时 遵守 行业网 络 标 准和 法 规 。 警戒 在企业生 态系统的各 个 领域 , 通 过 良好的态 势 感知发现违 规和异 常现象 。 恢 复响 应 具备 在 遭 受 不 可 避 免的网 络攻击 后 , 快 速 回到 正常 运 营 状 态 和 弥 补 业务 损 失 的 能力 。 中 网络风 险 控 制 措 施 到 位 , 但仍 有部 分 待改 进 。 低 网络 风 险管 理 滞 后 , 仅有 有 限 控
12、 制 措施 , 核 心措 施 有 待 改进 。 安全 、 警戒和恢复响应的企业意味着什么 ? 网络安全成熟度 : 这些问题旨在帮助你确定具体的优劣势 , 以及改进方法 。 请贵企业在回答后文中 问题时 , 自行判断符合贵企业网络安全 成熟度的描述 :6 1. 我们是否 对网络风 险开展全面 评估 、 确 认 其归属 并进 行了有 效 管理 ? 在领导层面建立恰当的问责机制是必要 的 。 如果所谓 “ 监控 ” 只是偶尔每五分 钟更新一下网络安全事件状况 , 这很有 可能并不能被称为有效的风险管理 。 高成熟度 董事会和高管层对网络威胁的风险管 理有决策权 , 并且负责监督网络风险 计划的开 ,
13、 并确认其实施效果 董事会和高管层能及时了解网络威 胁本身及其对企业的潜在影响 董事会中包含一到多名了解信息技 术和网络风险的成员 , 或在该领域可信赖的战略顾问 企业的高管委员会 , 或由管理层和 董事会共同组成的委员会 , 或兼职高 管委员会 , 拥有充足的时间专门负责 整体网络规划 , 专注于网络风险问题 网络风险全面评估在定期 更新 、 预 算分析和向管理层质 询时是必须的 中成熟度 网络安全问题是领导层和董事会关 注的重点 , 但对于具体架构的沟通 和监管流于表面 董事会具备信息技术和网络风险的基 本知识 评估网络风险 | 董事会和高管层需要面对的关键问题 缺乏网络安全尽职调查和就此
14、向管 理层质询的能力 董事会没有持续地关注网络安全框架 和战略需求 , 并形成定期评估机制 低成熟度 企 业顶 层缺 乏 对网络 安 全的关注 以 及 对安 全 领域战 略 性问题的 了 解 领导层 在 具体信息技 术安 全问题 分 析 与解 决 方 面参与 度低 董事会在信息技术和网络风 险 方面缺 乏经验 , 而且网络问题 只 停留在技术 层面 网络 风 险的监控和相关要 求 的评估 没 有实 施 或 成 效有限7 评估网络风险 | 董事会和高管层需要面对的关键问题 2. 我们是否有合 适的 领导 和管 理 人才 ? 企业中的每一个人在网络安全风险方面 都负有一定的责任 。 由于人人有责
15、, 也 由于许多领导仅忙于履行传统职责 , 企 业并没有做到任命一位合适的领导者 , 一位应当对网络风险管理直接负责的领 导者 。 高成熟度 网 络安全领 导具 备 将 科 技 与 业 务 结 合 的能力 , 能 理解企业 运作 , 发现 业务机会 , 并 知 道工作 优 先 级 网络 安 全管 理团队 充满 激情与活 力 , 始 终紧跟最新的网络安全趋势 , 对最 新的网络威 胁 及其对企业 业 务的影响 保持关注 董事 会 和 高 管层 关 注 并 经常 讨 论网 络风 险 在相应领域有 足 够 数 量的具有 相关 行业 经 验 的 技 术人 员 对风 险管 理 人才的薪酬 和奖 励 机制
16、 与 网络 安 全 在 该企业的重要性相 匹配 中成熟度 任命的网络 安 全 领导仅 关注网络 安 全的技 术层面 网络 安 全 领导 具备 一定行业知 识 , 但并 不能完全 理 解企 业 运作 网络 安 全 风 险管理已 成 为 重要的关 注点 , 但 只限于相对 抽象的层面 网络 安 全 风 险问题 通 常停 滞在信息 技术或管理 层 已有具备 一定 经 验 的 人 员在信 息 技 术 和 部 分业务 领域 任职 , 但他们对 针对 行 业 的 具 体威 胁 了 解有 限 低成熟度 领 导 层 缺 乏 对 网 络安全风险 的 关 注 信 息技 术 职能中网 络 安 全 知 识和 能 力是
17、 分离的 针对特定的新 技术 开 展 了 专 门 的培 训项目 因在战 略层面缺 乏 对网络风 险的人才 投入 , 导致 人员流失 率高8 3. 我们是否已经 建 立 起 反 映我们 风 险偏好和预警阈值的 , 恰当的网 络风 险上报机制 ? 尽管当发生网络安全事件或疑似事件时 , 在更广泛的企业范围内发布网络事件信 息 , 有助于加速信息的扩散和事件的处 置 。 但是清晰地定义触发机制或阈值信 息 , 以及事件报告路径 , 能够实现有效 的网络风险事件响应和处置 。 高成熟度 在 现有的 风 险 管 理 和 治 理 过 程中明 确 阐 述 了 风险 偏 好 和 网 络安全风险 企 业 整体
18、的 网 络安全风险 制 度经 由董事会审批 通 过 明确描述并 执 行 了 网络 安全风 险方 案中的角色 和 权 限 对于重 大 / 关键网络 事件 , 设 定了关 键 风险点 和绩效指标 , 规 范 了上 报 打 破 限制或阈 值 事件至 高 管层的 流 程 事 件 管 理框 架 包 含 与 网 络安全风险 处 置 方 案一 致 的 事件上 报 原 则 已实 施针 对网络 安 全 预 防 措 施 的 评 估与监 测 中成熟度 现有 的 网络 安 全风 险制度并 未 在信 息技术部门之 外完全落实 网络风 险仅 在整 体风 险管理 和治 理流 程 中 被提 及 风险 偏 好并 没 有 被整
19、合 到 网 络安 全 风 险 框 架中 对待 网 络安全风险 的 响 应往往是 被动 , 而非主动 兼职高 管委员会有足够 时间商议网 络 安 全框 架的实 施 低成熟度 缺 乏 正 式的网络 安 全框 架 风 险升级 都是在事 件 发生时临时 决 定的 评估网络风险 | 董事会和高管层需要面对的关键问题9 评估网络风险 | 董事会和高管层需要面对的关键问题 4. 我 们 是 否关 注 且做了正确的 投 资 ? 如果是 , 我们如何评 价 和衡 量 我们的决策结果 ? 在风险与绩效紧密关联的情况下 , 领导 层应当了解企业将资源投向何处 , 领导 层是否规划了合适的资源以应对网络安 全挑战 。
20、 没有开发并实施人才战略 , 服 务方面的过高投入 , 以及其他运营成本 的拖累都是实际存在的风险 。 高成熟度 企业 所 有 活动都 将 网 络安全风险 纳 入 考虑 , 从 战 略 规 划 到日常 运 营 , 深 入 企 业的 每 一方面 投 资重 点在 安 全 控 制 基 准 , 以应 对 大多数 威 胁 , 而战 略 性 的 专项资 金 主要用于 企 业核心 业 务和 核心信息 的 风 险管 理 企 业在识 别 “ 黑天鹅 ” 风 险 方面做出 了努力 , 并具 备 相应方案预防和避免 这 些虽不太可能 发 生却 具有潜 在 灾难 性 风险的威 胁 企 业有清 晰 的 投 资业务 计
21、划 , 会根 据 风 险 调整企业投资和预算 , 并且 体 现在网络 安 全战 略中 高 管层 为企 业网络 安 全 框 架 的实 施 提 供了充 足 的 资 金 和 资 源 已建 立可 靠 的 质询 机 制 中成熟度 网络 安 全框 架 着眼于 企 业内部 , 并 不考虑 行业特 性 网络 安 全战 略与企 业投资并未 保 持 一致 , 也 不互相 支 持 企业 的 安全 控 制基 准 与 防御复杂 度 较 高的 攻击之间的资源投 入不 平 衡 在 企 业基 础设 施和应用系统保护方 面 具有强 烈的威 胁 意 识 已 实现身 份 识 别 信息的保护 已实现自动 化信息资产漏 洞 监 测 缺
22、乏 “ 黑天鹅 ” 风 险的预警机制 低成熟度 缺 乏网络 安 全战 略 , 源动力和 投资 计划 只有基 本 的网 络 保 护 / 传 统的基于 签 名的安 全 控 制 措 施 , 缺 少对新技 术 和 新方法的关注 偶尔进行 信息资产漏 洞评 估 网络 安 全投资的计划较 少10 5. 我 们 的网 络 风 险工作 和 能力是 如 何满 足行业标 准和 符 合行业发 展 趋势的 ? 通过与那些能够有效解决网络风险的企 业进行比较 , 从而了解自身企业在哪些 方面落后是很重要的 。 可是当你发现你 已落后时 , 你将如何应对 ? 如果董事会 和高管层没有主动承担此项工作 , 那么 谁来承担
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 风险
限制150内