网络风险风险驱动绩效Cyber.pdf

网络风险 风险驱动绩效 Cyber 评估网络风险：董事会和高管层需要面对的 关键问题 网络危机管理：就绪、响应和恢复 01 17 1评估网络风险 董事会和高管层需要面对的 关键问题 2风险驱动绩效 一直以来，在人们不遗余力保护企业的 业务价值时，风险被认为是需要最小化 或应当规避的。然而，我们相信风险也 能创造价值，而且，如果可以被正确处 理，它将会在驱动业务绩效上发挥独特 的作用。 以网络风险为例，随着信息技术的广泛 应用和企业全球化进程的深入，企业面 临的网络风险日益凸显，但另一方面， 它们同样为企业提供了关键的竞争优势。 那些因为过于重视保护企业业务价值而 拒绝接受信息技术应用和全球化运营的 企业，终将落后于这个时代。而那些擅 于管理网络风险的企业则能从信息技术 应用和全球化机遇中缔造卓越绩效。 踏上风险管理旅程的关键一步是了解贵 企业自身网络安全能力现状。本文和文 中包含的网络安全能力自我评估工具旨 在帮助企业高管们衡量企业自身的网络 安全成熟度，帮助其形成网络风险新认 知，并解答一些关键问题，包括： ? 我们是否有合适的领导和管理人才？ ? 我们是否关注且进行了正确的投资？ ? 我们如何评价企业网络风险项目的有 效性？ 如今的行业领导者们已经学会了通过风 险管理来保护业务价值，而未来的领导 者将是那些抓住机遇，利用风险创造价 值的佼佼者。德勤全球风险管理专家将 引导您踏上这段旅程，并帮助您将贵企 业打造为风险驱动绩效的典范。 评估网络风险 | 董事会和高管层需要面对的关键问题 3评估网络风险 | 董事会和高管层需要面对的关键问题 风险管理责任 网络风险对于企业中的每一个人都至关 重要，然而监管风险的最终责任则落在 高管们头上。 现在，许多董事会成员和高管们很少接 触日常的风险管理活动，包括网络风险 的监控、检测和响应等。但那些对企业 现状，特别是对网络风险现状有深刻了 解的领导们，对于如何更好地管理企业 有着自己的独到见解。 有效的网络风险管理始于董事会和高管 层的重视。通过回答一些重要问题，提 高认识风险、管理绩效的能力，进一步 提升风险管理成熟度水平，企业的业务 运营终将变得更加安全、警戒和具有韧 性。有别于传统网络威胁管理仅聚焦于 安全，而少关注警戒性（全面监控所有 威胁）和复原能力（对攻击的反应能力 和恢复能力）的情况，这三点对于现今 的业务活动尤为重要。下列十个必须回 答的深度问题，将有助于企业管理层更 好地理解他们所处的境况以及什么时候 他们的企业将变得安全、警戒和具有韧 性。 1. 我们是否对网络风险开展全面评估、确认其归属并进行了有效管理？ 2. 我们是否有合适的领导和管理人才？ 3. 我们是否已经建立起反映我们风险偏好和预警阈值的，恰当的网络风险上 报机制？ 4. 我们是否关注且做了正确的投资？如果是，我们如何评价和衡量我们的决策 结果？ 5. 我们的网络风险管理工作和能力是如何满足行业标准和符合行业发展 趋势的？ 6. 我们是否在全体范围内形成了以网络风险为中心的思维方式和网络风险意 识的企业文化？ 7. 我们做了哪些工作来保护企业免于第三方网络风险? 8. 我们能否遏止由于网络安全事件导致的损失，并且调动相关资源进行应对？ 9. 我们如何评价企业网络风险项目的有效性？ 10. 我们是否是企业紧密关联的生态系统中强大且安全的一环？ 4董事会和高管层在帮助企业应对持 续变化的网络威胁环境中扮演关键 角色 当前，网络威胁和攻击越来越多，并且 越来越复杂。与此同时，不同业务领域 间的联系越来越紧密，数字化发展趋势 也越来越明显。置身于这样的新环境， 网络威胁管理获得了前所未有的重视， 成为企业业务和战略层面势在必行的关 键活动。当前，由于庞大犯罪网络，外 国政府支持的黑客和网络恐怖分子的频 繁活动，网络犯罪的定义不断拓展：网 络犯罪并不仅限于诈骗和盗窃，已包含 服务中断，数据破坏或损毁，以及从受 害者处获得财物、访问权，或凭借窃取 的企业机密进行敲诈勒索。 如今，网络风险和绩效更加紧密地交织 在一起。网络犯罪导致的有形损失，包 括被窃取的资金、受损的系统、监管罚款、 法律赔偿以及对受影响当事人的经济补 偿；无形损失则包括由信息化资产被窃 导致的企业竞争优势消失、客户流失、 业务伙伴失信以及企业声誉和品牌形象 的全面破坏。除了对企业个体造成损失 之外，网络攻击更为广泛的影响可能会 导致基础设施大面积中断运营，进而影 响到整个国家金融体系和经济的稳定。 重中之重 情势严峻，董事会和高管层也越发意识 到网络风险必须作为首要的业务风险对 待，并且要提高这种风险意识，使之根 植于企业文化中。目前企业业务活动的 各方面都涉及数字信息，因此网络风险 意识不应仅限于信息技术部门和企业内 部，而应