读数字时代的网络风险管理：策略、计划与执行09实施计划(上)

1. 实施计划

1.1. 网络风险管理计划（CRMP）由敏捷治理、风险指引体系、基于风险的战略和执行以及风险升级和披露四个部分组成

• 1.1.1. 不是一项一劳永逸的工作

• 1.1.2. 不是制订一次战略并获批后就可以不加质疑、不做更新地遵循

• 1.1.3. 不是可以随意应对或被动性处理的事务

• 1.1.4. 必须具备适应能力

1.2. 有效的网络风险管理计划需要高层承诺、新增岗位和职责、新增预算以及其他资源

• 1.2.1. 会让企业文化产生根本性的改变

• 1.2.2. 需要安全组织、风险所有者、治理机构以及许多其他利益相关者之间保持持续的沟通

• 1.2.3. 合作使得建立信任和持久的关系成为可能，有助于使风险管理成为业务的推动力，而不只是作为成本中心，甚至阻碍业务的发展

1.3. 由于任务的复杂性和企业风险环境的持续变化，需要有一个持续的实施过程，包括不断地监测和持续改进

1.4. 实施人员应该将它视为一段历程，这段历程从早期步骤开始，并在该基础上构建，同时路线和目的地必然会随着时间的推移发生变化

2. 网络风险管理历程

2.1. 安全的输出及其核心产品就是风险信息

2.2. 安全组织通常会牵头实施网络风险管理计划，但情况并非如此，也不一定是理想的做法

2.3. 安全组织的基本作用是积极引导企业（包括风险所有者、治理机构和许多其他利益相关者）通过制订合理决策的过程，来处理有关风险和风险流程的问题

2.4. 最终目标是建立风险和收益之间的平衡

• 2.4.1. 这个过程将兼顾企业和利益相关者，保持企业竞争力，进而在理想情况下提升竞争力

2.5. 一个好的开始是让计划负责人（通常是首席信息安全官（CISO）​、首席风险官（CRO）或总法律顾问）着手处理一系列看似简单的问题

2.6. 认真收集并对待他们提出的意见，将有助于建立持续的关系以支持网络风险管理计划的实施和管理

3. 开启网络风险管理历程

3.1. 四个步骤

• 3.1.1. 任命网络风险管理计划负责人

• 3.1.2. 全面评估企业网络风险实践现状

• 3.1.3. 确立共同目标，并映射到相应的流程和时间框架

• 3.1.4. 执行计划路线图，并认识到计划的实施将是一个长期过程

3.2. 离开了高层的支持，任何重大的企业项目都不可能成功

3.3. 确保网络风险负责人参与的关键，本质上与吸引其他利益相关者相同

• 3.3.1. 需要跨越所有职能部门和层级，确保他们能理解网络风险管理计划对实现企业关键业务目标的贡献

3.4. 网络风险负责人不管由谁担任，要对企业面临的风险有广泛的了解，而不仅仅是网络层面，同时也要认识到与定义、批准的风险偏好和容忍度相一致的风险指引决策的商业价值

3.5. 一旦确定好了现状，下一步就是与高管合作，明确一个共同认可的目标，并制订一份详尽的路线图来构建或完善该计划，目标和路线图是基于评估结果制订的

3.6. 一次性把所有事情做完看起来很有吸引力，但很少有企业拥有足够的资源或专业能力去识别和处理所有的网络风险

3.7. 计划负责人和其他利益相关者应该确定路线图的优先顺序，获得必要资源的批准，以现实且实用的方式执行迈向成熟的步骤

4. 治理、风险管理和合规计划

4.1. 关注面狭窄

• 4.1.1. 许多企业的治理、风险管理和合规计划侧重于履行法律和监管义务，很少或没有强调将安全战略与业务目标结合起来，也不强调通过沟通和利用风险来获得竞争优势

4.2. 竖井化和业务参与有限

• 4.2.1. 治理、风险管理和合规职能独自运作，缺少与业务部门的协作，并被深埋在安全防护中

4.3. 不同风险框架未匹配

• 4.3.1. 不同的风险框架集之间如果缺乏匹配和协调，就会缺乏明确性，风险管理措施也不会被重视

4.4. 控制措施严格

• 4.4.1. 治理、风险管理和合规计划专注于实施和维持控制措施，忽视实际业务环境和切实可行的控制措施，可能导致过度支出、资源浪费和措施失效

5. 推广网络风险管理计划

5.1. 实施网络风险管理计划（CRMP）将不可避免地需要来自企业各个层面（从基层到最高层）的承诺与支持

5.2. 安全组织在实施CRMP以及确保其持续的成功方面显然扮演着至关重要的角色

5.3. 企业级风险指引决策

• 5.3.1. 当将安全性作为整体风险职能的一部分时，安全组织提供了战略性洞察，风险和资产所有者可以据此来进行商业和运营的决策

• 5.3.2. 企业级的风险指引决策的制订是一项战略要求，它不仅增强了企业的安全态势，还能推动业务的增长和运营效率的提高

5.4. 监管和法律合规

• 5.4.1. 全球各地的监管机构和法院正迅速增加对企业网络安全实践的要求，使要求更加宽泛和严格

• 5.4.2. CRMP确保企业完全遵守所有监管要求和法律规定，降低因不合规、声誉受损和诉讼而受到的处罚风险

5.5. 公众和消费者信任

• 5.5.1. 消费者对与自己有业务往来的公司有很高的期望，并且事实证明，网络安全失效会使他们倾向于和更重视保护敏感信息的竞争对手公司合作

• 5.5.2. 强大的网络安全态势向消费者和公众传递出企业对保护个人数据和其他敏感信息的重视

5.6. 与外部各方的关系

• 5.6.1. 企业在一个有着外部合作伙伴、技术供应商、行业组织甚至竞争对手的广泛而复杂的生态系统中运营

• 5.6.2. 通过实施健全的CRMP，企业可以展示自身作为信赖伙伴的可靠性

5.7. 创新

• 5.7.1. 在安全组织的指引下，有效的网络风险管理通过提供安全的环境来探索和实施新技术、新的运营流程、新产品和服务，甚至全新的商业模式，从而推动企业创新

• 5.7.2. 有效的网络风险管理为企业奠定了安全的基石，使企业能够在把握新兴技术带来的机遇的同时，安全地应对风险

5.8. 运营韧性

• 5.8.1. 运营韧性，即应对业务中断，保持业务连续性的能力，从一定程度上看是CRMP的最终目标

• 5.8.2. 一个健全的CRMP为企业提供必要的工具和策略，以迅速应对并从中断中恢复

5.9. 网络风险会随着时间变化，同样变化的还有管理和缓释风险所需的技术、工具和流程，但安全的支撑作用不会变

• 5.9.1. 安全将继续成为企业的重要合作伙伴，帮助企业赢得新的机会，实现长期价值