1. 敏捷治理

1.1. 敏捷的網絡風險治理對企業的成功至關重要

1.2. 在最初的30天內

• 1.2.1. 指定並召集一個由各業務單位代表組成的網絡風險指導委員會，以指導敏捷治理和更廣泛的網絡風險管理計劃的實施，並制訂使命聲明以及短期和長期目標

• 1.2.2. 根據“三道防線模型”​，進一步明確治理角色和責任

• 1.2.3. 確保網絡風險治理實踐與現有的企業或組織風險框架一致

• 1.2.4. 起草企業網絡風險管理計劃的戰略和流程

• 1.2.5. 告知受影響的利益相關者計劃的治理措施及其原因

• 1.2.6. 明確負責治理不同方面的人員和職能，並確保他們充分理解自己的角色

1.3. 在接下來的60天內

• 1.3.1. 治理機構（包括董事會和高層管理人員）定義並批准網絡風險實踐的範圍

• 1.3.2. 實施經批准的網絡風險實踐戰略和流程

• 1.3.3. 明確負責監督治理實踐的董事會或高層管理人員的職責

• 1.3.4. 開展差距分析，確定既定角色和職責所需的資源和技能

• 1.3.5. 定期實施內部審計，審查治理實踐是否符合既定戰略和流程

• 1.3.6. 制訂持續培訓計劃，以保持團隊成員所需的知識更新和技能提升

• 1.3.7. 提升企業網絡風險管理計劃意識，分享最新實踐方法，確保每個人都能理解自己在新組織中的角色

1.4. 挑戰

• 1.4.1. 確立起點

  • 1.4.1.1. 如果企業已建立風險治理機構，但還沒有處理網絡風險管理問題，那麼該機構可能為治理倡議建立了基礎

• 1.4.2. 獲得高層支持

  • 1.4.2.1. 網絡風險管理領導者可以通過向董事會或者高層領導展示符合企業優先級安排和特定行業要求的敏捷治理案例，來克服這一問題

  • 1.4.2.2. 治理責任遠高於安全領導層的級別

  • 1.4.2.3. 如果企業領導者未能解決治理的需求，他們就是在默許隨之而來的風險和責任

• 1.4.3. 獲取必要的預算和其他資源

  • 1.4.3.1. 資金始終是新計劃所面臨的問題

  • 1.4.3.2. 網絡風險管理計劃不一定是資源密集型的，但採用高級風險報告功能（如量化網絡風險）就需要新的工具

• 1.4.4. 適應特定企業的環境

  • 1.4.4.1. 範圍

    1.4.4.1.1. 治理機構必須明確網絡治理倡議所涵蓋的領域範圍

  • 1.4.4.2. 獨立性

    1.4.4.2.1. 獨立性對於治理的有效性至關重要，因為一些內部有影響力的利益相關者在風險問題上發生衝突時，他們會向治理機構施加壓力

  • 1.4.4.3. 權威性

    1.4.4.3.1. 治理機構必須擁有權力執行其決定，並且這種權威性必須傳達給所有利益相關者

  • 1.4.4.4. 透明度

    1.4.4.4.1. 必須定期向董事會或其他高級管理者彙報企業治理實踐工作的得失，以及由於風險環境的變化而產生的任何治理變更。這項工作將被定期監控和審查

2. 風險指引體系

2.1. 風險信息不僅包括安全威脅和漏洞，還涉及企業網絡風險環境的詳盡且可操作的信息，這些信息被翻譯成商業術語，是網絡風險管理計劃成功的關鍵

2.2. 作為網絡風險管理計劃的關鍵組成部分，風險信息對於避免或減輕企業公共聲譽和品牌形象的損害也很重要，而且，更要緊的是，風險信息有助於企業在不斷變化的商業環境中保持競爭優勢

2.3. 在最初的30天裏

• 2.3.1. 選擇一個合適的框架開展網絡風險識別、評估和計量，框架應該滿足企業特定的業務需求、監管要求和行業環境，並獲得治理機構的批准

• 2.3.2. 根據業務結構明確資產評估範圍、評估頻率，並建立與關鍵利益相關者溝通的最佳方式

• 2.3.3. 建立企業風險矩陣

  • 2.3.3.1. 應當制訂風險標準和分類，並經相應的利益相關者批准

• 2.3.4. 制訂一個用於設定風險等級和閾值的框架

  • 2.3.4.1. 選擇一個公認的方法確定企業的風險偏好和容忍度

2.4. 在接下來的60天內

• 2.4.1. 完善確定企業風險偏好和容忍度水平的方法，並由治理機構內的相關方批准

• 2.4.2. 組織會議或研討會，與利益相關者保持持續的互動，並更深入地瞭解企業的風險報告需求

• 2.4.3. 開展風險評估，根據企業的風險概況，確定進行評估的頻率（季度、半年或年度）和範圍

• 2.4.4. 使用新方法進行風險評估初評，以深入瞭解當前的風險環境

  • 2.4.4.1. 包括業務風險評估試點，如有必要，可聘請外部顧問或其他第三方參與

• 2.4.5. 制訂報告流程，向治理機構呈現風險總體情況，包括可能影響企業風險實踐的環境變化

• 2.4.6. 開始向治理機構報告當前的風險狀況以及商業環境的變化可能影響企業風險的概況

• 2.4.7. 從方法和已識別出的風險出發，建立3～5個關鍵風險指標（KRI）​，設定合理閾值，以評估和監控企業可能面臨的主要風險

2.5. 挑戰

• 2.5.1. 處理海量或類型錯誤的數據

  • 2.5.1.1. 企業面臨海量數據，其中包括一些運營指標，部分對網絡風險管理至關重要，其他的則無關緊要（安全信息廣泛多樣，但並非所有安全信息都是風險信息）​

  • 2.5.1.2. 一個切入點是可以使用現有的風險評估流程來設計關鍵風險指標和關鍵績效指標，這些指標衡量的是針對最主要風險的關鍵緩釋控制措施

  • 2.5.1.3. 如果在開始時向利益相關者提供過量的信息，可能會削弱實施的初衷和意圖

• 2.5.2. 向特定的利益相關者傳遞他們能理解和接受的信息非常重要

  • 2.5.2.1. 始終考慮信息的目標受眾至關重要

  • 2.5.2.2. 不同類型的利益相關者不僅對風險信息的需求和偏好各不相同，他們還希望這些信息能以不同的方式傳達給自己

  • 2.5.2.3. 選擇適合目標受眾的語言，本質上就是以最清晰易懂的方式講述故事，是確保風險信息被充分理解並支持基於風險的決策的關鍵

• 2.5.3. 在對的時間將對的信息及時傳遞給對的人

  • 2.5.3.1. 風險數據只有傳遞給需要它的利益相關者（董事會、高層管理人員、資產和風險所有者）時才有可操作性，並且只有在他們足夠早接收到的情況下，才能基於這些信息做出明智的風險決策

  • 2.5.3.2. 一個良好的開始是構建與已識別的業務問題相匹配的風險指標，並與業務部門確定合適的風險閾值和目標

• 2.5.4. 額外的考慮因素

  • 2.5.4.1. 成熟度建模

    2.5.4.1.1. 成熟度建模是定義企業目前成熟度的過程，包括人員、流程和技術方面，以及期望的未來狀態

    2.5.4.1.2. 進行同行業基準比較是有幫助的，但要認識到，單純的基準比較並不能直接轉化為可用的風險信息

    2.5.4.1.3. 主要是它並未考慮到特定公司所面臨的風險環境發生的變化，尤其是數字化帶來的新興風險類型

  • 2.5.4.2. 度量報告（關鍵績效指標和關鍵風險指標）

    2.5.4.2.1. 績效測量/度量方法使用企業真實數據來確定現有流程和控制措施的有效性和效率

    2.5.4.2.2. 該方法分析當前與預期的差距，並利用得到的信息來獲取一致意見，並溝通可接受的風險水平

    2.5.4.2.3. 基於KPI，但KPI經常是隨意定義的，並沒有得到風險所有者或治理機構的批准

    2.5.4.2.4. 其方法是自下而上的，安全部門自行設定了目標，然後對目標實現情況進行了跟蹤

    2.5.4.2.5. 建立風險閾值（也就是企業願意承擔的風險）的過程，是績效指標/衡量標準的價值所在

    2.5.4.2.6. 安全組織不是基於企業的真實需求，更多的是根據經驗、對風險的感知，或僅憑直覺設定一個百分比

    2.5.4.2.7. 閾值可以被認為是KPI或KRI的指示器，它們顯示出績效或風險可能超出其預期目的或可接受風險等級的點

  • 2.5.4.3. 風險評估（定性和定量）

    2.5.4.3.1. 風險評估是系統性地評估特定風險發生的可能性和潛在影響，並提出管理和緩釋風險所需的措施

    2.5.4.3.2. 定性方法是大多數企業傳統上用於風險評估的方法，雖然定性方法存在明顯的侷限性，但有實際價值

    2.5.4.3.3. 企業逐步意識到精確的度量指標轉化為經濟價值的必要性，定量方法正變得越來越普遍

    2.5.4.3.4. 定量評估的複雜性催生了新的網絡風險量化（CRQ）軟件應用的快速興起，這類應用採取真實數據驅動的方法，分析與企業特定商業和技術環境相關的風險場景​，使評估過程自動化

    2.5.4.3.5. 蒙特卡洛模擬

    2.5.4.3.5.1. 是另一種考慮複雜變量的有用方法，通過模擬風險結果和創建結果分佈來得出更準確的風險評估

    2.5.4.3.5.2. 一種定量方法，可以利用計算機建模來量化特定風險發生的可能性，這有助於更深入地分析和解釋潛在威脅，為基於風險指引決策的制訂提供客觀的數據支持，並使評估特定風險場景的合理性成為可能

    2.5.4.3.6. 貝葉斯方法

    2.5.4.3.6.1. 一種概率推理類型，它使用先驗知識、經驗和證據來評估和更新對特定事件發生可能性的判斷

    2.5.4.3.6.2. 在醫學和市場營銷等多個不同行業中得到了廣泛應用

3. 基於風險的戰略和執行

3.1. 作為平衡風險與回報的藝術，風險管理永遠不會完美

3.2. 防護住企業面臨的所有風險是不可能的，任何試圖做到這一點的努力都註定會失敗，同時還會限制企業快速應對風險環境變化的響應能力，甚至影響業務正常運行

3.3. 在最初的30天內

• 3.3.1. 首先通過治理機構，由風險所有者批准確定企業可接受的風險等級，也就是風險偏好和風險容忍度

• 3.3.2. 制訂與風險等級相匹配的風險應對策略

  • 3.3.2.1. 涉及對已識別風險的恰當應對措施，包括風險規避、風險緩釋、風險轉移和風險接受

• 3.3.3. 準備風險應對策略預算，預算應與可接受的風險等級和風險可能造成的影響相匹配

• 3.3.4. 開始制訂關鍵績效指標和運營度量標準，用於衡量風險應對策略的有效性

3.4. 在接下來的60天內

• 3.4.1. 實施企業級的風險應對策略，重點關注溝通和跨部門的協作

• 3.4.2. 使用已建立的關鍵績效指標和運營度量標準，對風險應對策略持續監測，確保其有效性

• 3.4.3. 定期向利益相關者彙報風險應對策略的進展和有效性

• 3.4.4. 啓用審計監督流程，監控風險應對計劃的執行，確保執行與可接受的風險等級相符

3.5. 挑戰

• 3.5.1. 預算和其他資源的不足

  • 3.5.1.1. 平衡風險與回報意味着需要在風險、資源和能力間做好權衡

  • 3.5.1.2. 基於風險的戰略和執行幾乎總需要在新技術上進行投資，有時也要為內部員工或外部承包商提升技能水平進行投資

• 3.5.2. 合規驅動的戰略

  • 3.5.2.1. 側重於遵守規則、法規和要求

  • 3.5.2.2. 不是理解並向企業傳遞網絡威脅可能帶來的更廣泛影響

  • 3.5.2.3. 安全策略應源於對企業風險偏好和容忍度的全面理解，這可能包含但不限於合規方面的考慮

  • 3.5.2.4. 將戰略舉措和預算提案與更廣泛定義的風險偏好和容忍度水平保持一致，建立基於風險的戰略有助於應對這一挑戰

  • 3.5.2.5. 面對有限的資源和過度的合規聚焦兩大挑戰，可以通過實施網絡風險管理計劃來解決

4. 風險升級和披露

4.1. 風險升級和披露對於保護企業及其決策者至關重要

4.2. 不僅僅是識別和響應安全事件或已建立關係的問題，關鍵是不應該默認由安全組織承擔風險升級和披露的責任

4.3. 必須是一個由高層領導和企業治理機構批准的正式流程，明確過程中涉及的角色和職責，包括誰負責做出關於風險升級的決策

4.4. 在最初的30天裏

• 4.4.1. 明確定義已識別風險的升級程序

  • 4.4.1.1. 包括哪些風險需要升級、何時升級、向誰彙報以及報告中應包含什麼內容

• 4.4.2. 對於所有企業，確保所有利益相關者都認識到網絡風險管理、治理和重大事件報告披露的強制性要求

  • 4.4.2.1. 對於上市公司，需要定義重大風險考慮因素清單，用於判斷風險是否為重大風險

• 4.4.3. 制訂或更新風險披露的程序，需要考慮企業的特定風險隱患、環境和要求

• 4.4.4. 開展面向關鍵人員的新版風險升級和披露的流程及步驟的培訓

• 4.4.5. 建立風險升級和披露的流程及步驟的主動審計機制

4.5. 在接下來的60天內

• 4.5.1. 在開發和審查後且在實施前，確定風險升級和披露程序，並得到治理機構批准

• 4.5.2. 定期監測風險升級和披露實踐的實施和執行情況

• 4.5.3. 執行風險升級和披露流程的首次審計，以確保其有效性及符合相關政策、程序和法規

  • 4.5.3.1. 收集審計結果與反饋意見，並改進流程

4.6. 挑戰

• 4.6.1. 將風險升級理解為對事件的響應是不夠的

  • 4.6.1.1. 風險升級是主動管理可能對企業造成損害的潛在風險和漏洞的過程

• 4.6.2. 未能識別和專注於企業特定的義務

• 4.6.3. 對重要性因素的考量過於籠統、孤立或寬泛

  • 4.6.3.1. 決定哪些資產是重要的，哪些風險是重大的，不是一個簡單或公式化的工作

  • 4.6.3.2. 解決這個問題涉及完善用於評估風險重要性的標準，可以通過與風險指引體系保持一致，根據目標的潛在影響設定具體、可測量的風險升級閾值來實現