亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

一個(gè)健全的網(wǎng)絡(luò)安全治理結(jié)構(gòu)（包括網(wǎng)絡(luò)風(fēng)險(xiǎn)管理）應(yīng)該包括對(duì)網(wǎng)絡(luò)安全的明確問責(zé)和對(duì)組織內(nèi)網(wǎng)絡(luò)決策的明確授權(quán)。從公認(rèn)的治理和風(fēng)險(xiǎn)管理規(guī)范模型之一的三線模型（即過去的三道防線模型）的角度審視網(wǎng)絡(luò)安全治理尤為有益。

三道防線模型建立了分層管理體系：第一道防線是負(fù)責(zé)實(shí)施安全控制的一線IT部門；第二道防線負(fù)責(zé)風(fēng)險(xiǎn)管理政策，監(jiān)控第一道防線的控制并確保合規(guī)性（內(nèi)部和外部）；第三道防線是內(nèi)部審計(jì)部門對(duì)整體網(wǎng)絡(luò)風(fēng)險(xiǎn)治理質(zhì)量提供的獨(dú)立鑒證和建議。傳統(tǒng)“三道防線模型”面臨的一項(xiàng)批評(píng)是其過于側(cè)重網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的防御方面，未能明確體現(xiàn)高級(jí)管理層及董事會(huì)在網(wǎng)絡(luò)治理中的角色和作用。盡管有許多備受關(guān)注的針對(duì)高層領(lǐng)導(dǎo)的法律糾紛已明確指向這一點(diǎn)，但該模型并未對(duì)此予以明確。

為解決上述缺陷并明確承認(rèn)上兩層級(jí)的作用，2020年提出了更新擴(kuò)展后的“三線模型”。修訂后的模型實(shí)際上包含了五條責(zé)任線：執(zhí)行管理層是第四道防線，負(fù)責(zé)管理組織并為網(wǎng)絡(luò)風(fēng)險(xiǎn)管理分配資源（與企業(yè)風(fēng)險(xiǎn)管理 ERM保持一致）；董事會(huì)是第五道防線，負(fù)責(zé)認(rèn)定組織的風(fēng)險(xiǎn)偏好并監(jiān)督執(zhí)行管理層的行為是否符合風(fēng)險(xiǎn)承受能力。

雖然讓組織層級(jí)所有級(jí)別的人員參與是一個(gè)反復(fù)出現(xiàn)的主題，但該模型作為治理最佳實(shí)踐的基準(zhǔn)脫穎而出。它提供了一種有效的方法來總結(jié)專業(yè)組織和學(xué)術(shù)界推薦的全面組織參與。

基于對(duì)組織實(shí)踐的觀察，許多企業(yè)既沒有采用原來的三道防線，也沒有采用更新后的三線模型。根據(jù)特許注冊(cè)會(huì)計(jì)師協(xié)會(huì) (ACCA) 以及澳大利亞和新西蘭特許會(huì)計(jì)師協(xié)會(huì)(CA ANZ)的一項(xiàng)研究，超過60%的組織將網(wǎng)絡(luò)安全責(zé)任納入到IT職能部門。此外，在接受調(diào)查的大型組織中，只有三分之一的組織認(rèn)為網(wǎng)絡(luò)風(fēng)險(xiǎn)管理是高管的責(zé)任。為了幫助治理專家和治理顧問了解組織應(yīng)如何嚴(yán)格地采用該模型以及哪種模型最適合他們的需求，最近進(jìn)行了一項(xiàng)針對(duì)此問題的實(shí)地研究。

調(diào)研

該實(shí)地研究由昆士蘭大學(xué)（澳大利亞布里斯班）的研究人員于2021年至2022年期間進(jìn)行。這項(xiàng)研究的目的是調(diào)查組織在管理網(wǎng)絡(luò)安全時(shí)采用的治理配置，以及為什么對(duì)組織來說是否采用更新的三線模型很重要。更進(jìn)一步的目標(biāo)是識(shí)別影響組織采用簡單或復(fù)雜治理配置的因素。研究人員通過考察各組織如何清晰界定和劃分責(zé)任線、線內(nèi)角色，以及參與組織中網(wǎng)絡(luò)安全治理專業(yè)人員的參與程度，來評(píng)估其對(duì)“三線模型”的采納情況。研究對(duì)象包括五個(gè)不同行業(yè)、面臨重大網(wǎng)絡(luò)風(fēng)險(xiǎn)暴露的大型跨國公司。在每個(gè)組織中，研究人員對(duì)三到五名關(guān)鍵高級(jí)人員進(jìn)行了采訪，他們負(fù)責(zé)交付、管理、保證和監(jiān)督網(wǎng)絡(luò)風(fēng)險(xiǎn)管理，從第一道防線到董事會(huì)成員。研究人員進(jìn)行了24次半結(jié)構(gòu)化訪談，訪談遵循共同主題，同時(shí)根據(jù)參與者的角色和職責(zé)定制問題（圖 1）。

現(xiàn)狀

研究表明，許多組織直到近期才開始意識(shí)到在網(wǎng)絡(luò)安全治理與風(fēng)險(xiǎn)管理中建立清晰且透明的結(jié)構(gòu)的重要性。盡管董事會(huì)和高級(jí)管理人員對(duì)各類責(zé)任線條目表現(xiàn)出更高的認(rèn)知度，但他們并不傾向于嚴(yán)格遵照最新版的“三線模型”行事。該模型的推廣主要由外部咨詢顧問推動(dòng)，這些顧問似乎在組織所采納的治理體系中起到了關(guān)鍵的引導(dǎo)作用。

研究人員研究了組織如何有意識(shí)地在有效模型（考慮到其規(guī)模、風(fēng)險(xiǎn)敞口和風(fēng)險(xiǎn)偏好）和其采用的治理模型合法性（即被認(rèn)為符合既定實(shí)踐）之間取得平衡。

角色的分離和組織

除銀行外，其余所有受訪者均未將控制措施的實(shí)施與監(jiān)測(cè)分開。第一道防線和第二道防線的典型職責(zé)往往被劃分給多個(gè)個(gè)體、職能部門和業(yè)務(wù)單元，從而形成顆粒狀、錯(cuò)綜復(fù)雜的結(jié)構(gòu)。在許多情況下，第二道防線的監(jiān)測(cè)控制和提供保證的職責(zé)與運(yùn)營任務(wù)相結(jié)合，從而實(shí)現(xiàn)了角色和職能的緊密結(jié)合。對(duì)這種方法的部分解釋是，大多數(shù)組織的目標(biāo)是高效且有效地提供整體網(wǎng)絡(luò)能力。這種方法使他們避免分離前兩道防線，這通常是由網(wǎng)絡(luò)環(huán)境的超動(dòng)態(tài)性質(zhì)驅(qū)動(dòng)的，這會(huì)帶來網(wǎng)絡(luò)風(fēng)險(xiǎn)管理職位的頻繁變化并擴(kuò)大網(wǎng)絡(luò)安全在組織內(nèi)的作用。因此，治理結(jié)構(gòu)、責(zé)任范圍和報(bào)告往往會(huì)進(jìn)行動(dòng)態(tài)調(diào)整。

正如某次訪談中一位網(wǎng)絡(luò)安全團(tuán)隊(duì)經(jīng)理所言：“第一級(jí)、第二級(jí)、第三級(jí)這種逐級(jí)上報(bào)的結(jié)構(gòu)框架可能響應(yīng)速度過慢，等到真正懂行的人接到信息時(shí)，解決問題的機(jī)會(huì)已經(jīng)溜走了。”

一位首席信息安全官?(CISO) 在接受采訪時(shí)也提出了類似的看法，并指出“‘三線模型’的分類法并不適用于網(wǎng)絡(luò)安全。它沒有提供足夠多的類別來正確衡量結(jié)果，也無法確保基于類別設(shè)定正確的補(bǔ)救流程以實(shí)現(xiàn)特定目標(biāo)。因此，我們目前正在努力將行業(yè)標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全分類法與集團(tuán)風(fēng)險(xiǎn)管理系統(tǒng)相接軌。”

此外，正如一位首席信息官?(CIO) 在接受采訪時(shí)指出的那樣，動(dòng)態(tài)且快速變化的環(huán)境需要立即重新定義角色：“當(dāng)我們踏上這一旅程時(shí)，我們?cè)O(shè)定了許多角色。三年后，我們扮演了完全不同的角色，因?yàn)橥{的性質(zhì)、威脅來自何處以及應(yīng)對(duì)威脅的要求都發(fā)生了變化。因?yàn)椋莿?dòng)態(tài)的。”

內(nèi)部審計(jì)

盡管組織越來越意識(shí)到保持內(nèi)部審計(jì)職能獨(dú)立性的重要性，但前兩道防線的專業(yè)人士有時(shí)認(rèn)為他們?cè)诰W(wǎng)絡(luò)安全治理中的角色相對(duì)邊緣化。這種看法主要是由于網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的范圍廣泛以及內(nèi)部審計(jì)工作的及時(shí)性受到限制。由于內(nèi)部審計(jì)師通常每年審查網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的各個(gè)組成部分，因此按照長期審計(jì)計(jì)劃，審計(jì)周期可能會(huì)持續(xù)三到五年。這種方法似乎阻礙了內(nèi)部審計(jì)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理有效性進(jìn)行全面的、及時(shí)評(píng)估的能力。鑒于網(wǎng)絡(luò)安全形勢(shì)的快速發(fā)展，延長審計(jì)周期可能與有效解決新出現(xiàn)的威脅和漏洞所需的緊迫性不相符。這種限制影響了內(nèi)部審計(jì)向組織利益相關(guān)者提供有關(guān)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理有效性狀態(tài)的實(shí)時(shí)洞察和鑒證的能力。

在角色分離方面，盡管第一道防線和第二道防線積極協(xié)作，但內(nèi)部審計(jì)師的獨(dú)立性是以犧牲其感知相關(guān)性為代價(jià)的。在研究中，內(nèi)部審計(jì)人員自己也承認(rèn)，網(wǎng)絡(luò)風(fēng)險(xiǎn)管理尚未完全成熟，這導(dǎo)致一些關(guān)鍵任務(wù)被第二道防線和第三道防線重復(fù)并分別執(zhí)行。一個(gè)例子是對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行單獨(dú)且不同的評(píng)估。

外部鑒證提供商

與此同時(shí)，網(wǎng)絡(luò)安全治理的重要利益相關(guān)者是外部鑒證提供者。正如一位風(fēng)險(xiǎn)經(jīng)理在接受采訪時(shí)指出的那樣：“我們聘請(qǐng)外部顧問。由于人們不共享數(shù)據(jù)，因此很難針對(duì)行業(yè)進(jìn)行績效基準(zhǔn)測(cè)試。當(dāng)行業(yè)發(fā)生攻擊時(shí)，我們會(huì)問自己，‘它對(duì)我們有何影響？’”

外部提供商提供了多種優(yōu)勢(shì)來補(bǔ)充內(nèi)部審計(jì)或 CISO 的角色。他們對(duì)同一行業(yè)內(nèi)其他組織的實(shí)踐擁有寶貴的洞察，從而可以更廣泛地了解有效的網(wǎng)絡(luò)安全策略和應(yīng)對(duì)共同挑戰(zhàn)的方法。這種跨行業(yè)知識(shí)使外部提供商能夠提供有價(jià)值的基準(zhǔn)測(cè)試和最佳實(shí)踐建議，從而增強(qiáng)組織的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理工作。

組織結(jié)構(gòu)和快速的環(huán)境變化也影響了受訪執(zhí)行管理人員和董事會(huì)成員的觀點(diǎn)。他們不太重視披露內(nèi)部設(shè)定系統(tǒng)的重大違規(guī)行為，而是更注重了解新出現(xiàn)的威脅和行業(yè)發(fā)展，以確保其組織能保持領(lǐng)先地位。這一觀點(diǎn)強(qiáng)調(diào)了外部鑒證提供商的價(jià)值，他們掌握行業(yè)內(nèi)其他組織使用的方法的知識(shí)。

盡管研究人員的受訪者承認(rèn)技術(shù)控制是自下而上驅(qū)動(dòng)的，但他們堅(jiān)持認(rèn)為治理、風(fēng)險(xiǎn)和合規(guī)（GRC）功能需要自上而下進(jìn)行。

高層管理人員和董事會(huì)

參與調(diào)研的組織認(rèn)識(shí)到高管參與網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的重要性；然而，他們對(duì)網(wǎng)絡(luò)安全的理解往往處于高度概括的水平，并且嚴(yán)重依賴 CIO、CISO 和安全專家的詳細(xì)報(bào)告。

研究人員認(rèn)為自下而上的報(bào)告方法限制了執(zhí)行管理層的主動(dòng)參與。

該研究的結(jié)果還表明，董事會(huì)尚未完全接受其作為網(wǎng)絡(luò)治理第五道防線的角色和責(zé)任。董事會(huì)往往是此類報(bào)告的被動(dòng)接受者，而不是建設(shè)性地質(zhì)疑網(wǎng)絡(luò)報(bào)告并提供獨(dú)立觀點(diǎn)。為了超越象征性的、打勾式的方法，董事會(huì)需要獲得網(wǎng)絡(luò)、數(shù)字和 IT 領(lǐng)域的能力和經(jīng)驗(yàn)，以建立獨(dú)立的問責(zé)體系。最近，美國證券交易委員會(huì)等監(jiān)管機(jī)構(gòu)已經(jīng)認(rèn)識(shí)到需要加強(qiáng)董事會(huì)的參與。

在網(wǎng)絡(luò)風(fēng)險(xiǎn)管理報(bào)告中，網(wǎng)絡(luò)安全專家與執(zhí)行管理層和董事會(huì)之間的信息和能力水平存在明顯差異。CISO 和 CIO 受訪者表示，他們從高層得到的指導(dǎo)很少，只設(shè)定了高層要求。意識(shí)到知識(shí)不平衡，他們經(jīng)常遵循例外管理方法，僅在必要時(shí)將問題升級(jí)給董事會(huì)，以避免過于頻繁的警報(bào)。董事會(huì)對(duì)網(wǎng)絡(luò)安全的主要關(guān)注點(diǎn)是將投資水平與同行進(jìn)行比較并識(shí)別新出現(xiàn)的威脅。能力和信息不對(duì)稱產(chǎn)生的非正式權(quán)力往往導(dǎo)致網(wǎng)絡(luò)風(fēng)險(xiǎn)管理中對(duì)單個(gè)人的過度依賴。

加強(qiáng)網(wǎng)絡(luò)安全治理中所有防線的問責(zé)措施

盡管使用的樣本相對(duì)較小，但研究人員自信地得出結(jié)論，在網(wǎng)絡(luò)風(fēng)險(xiǎn)治理中明確采用五道責(zé)任防線的情況并不常見。組織在做出網(wǎng)絡(luò)治理配置決策時(shí)似乎追求兩個(gè)主要目標(biāo)：堅(jiān)持最佳實(shí)踐和有效降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。當(dāng)面臨網(wǎng)絡(luò)風(fēng)險(xiǎn)管理和治理的最佳方法的不確定性時(shí)，他們采用特定網(wǎng)絡(luò)安全治理方法的主要原因之一是建立合法性。這一點(diǎn)至關(guān)重要，因?yàn)榉欠ㄖ卫韺?shí)踐可能會(huì)導(dǎo)致額外的網(wǎng)絡(luò)風(fēng)險(xiǎn)，例如訴訟和聲譽(yù)受損。此外，組織經(jīng)常偏離三道防線模型，以通過混合前兩道防線來實(shí)現(xiàn)更有效的配置。缺乏參與也是未采用或表面上采用五道防線的標(biāo)志（即包括高級(jí)管理人員和董事會(huì)參與的擴(kuò)展模型）。特別是在第四道防線和第五道防線中觀察到了這一點(diǎn)。對(duì)于想要加強(qiáng)網(wǎng)絡(luò)治理問責(zé)制的組織的一些建議包括：

• 評(píng)估五線問責(zé)制的采用情況——組織應(yīng)評(píng)估采用五線問責(zé)制在其特定背景下的適當(dāng)程度。該評(píng)估需要平衡網(wǎng)絡(luò)安全治理的合法性，并最大限度地提高網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的效率和有效性。換句話說，網(wǎng)絡(luò)治理需要與組織的風(fēng)險(xiǎn)敞口、風(fēng)險(xiǎn)偏好、復(fù)雜性和規(guī)模相稱，并且需要符合監(jiān)管要求。
• 考慮防線的隔離——盡管三道防線模型在配置防線方面提供了更大的靈活性，與傳統(tǒng)的三道防線模型相比，能夠?qū)崿F(xiàn)更具合作性和集成性的結(jié)構(gòu)，但它也更加強(qiáng)調(diào)相關(guān)治理參與者的責(zé)任。
• 將敏捷性和效率作為配置網(wǎng)絡(luò)安全治理的關(guān)鍵驅(qū)動(dòng)因素——在某些情況下，混合前兩道防線可能更合適，因?yàn)閷⑺鼈兎珠_可能會(huì)減慢響應(yīng)時(shí)間并導(dǎo)致相對(duì)于規(guī)模而言不成比例的成本。人們一直認(rèn)為，第二道防線和第三道防線之間的合作可以提高網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的有效性。共同采購或外包某些任務(wù)，如掃描環(huán)境和識(shí)別新出現(xiàn)的威脅，也可以作為一種有效檢測(cè)緊急危險(xiǎn)的戰(zhàn)略手段。
• 明確角色責(zé)任——為了避免任務(wù)重復(fù)或鑒證職能的差距，必須明確不同部門之間的角色責(zé)任。明確的職責(zé)劃分可確保網(wǎng)絡(luò)風(fēng)險(xiǎn)的有效和高效管理。例如，網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估可以由第二道防線和第三道防線聯(lián)合執(zhí)行，但需要實(shí)施一個(gè)確定誰做什么工作的保證計(jì)劃。
• 提高執(zhí)行管理層的參與度——第四道防線執(zhí)行管理層的更大參與度將確保負(fù)責(zé)資源分配的角色的支持。學(xué)術(shù)研究有力地表明，高層領(lǐng)導(dǎo)的支持可以提高網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的有效性。執(zhí)行管理層可以確保其他角色臨時(shí)參與網(wǎng)絡(luò)風(fēng)險(xiǎn)管理，例如風(fēng)險(xiǎn)經(jīng)理、會(huì)計(jì)師、律師和銷售人員可能在網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估中發(fā)揮作用。
• 增強(qiáng)董事會(huì)的專業(yè)度——加強(qiáng)五線問責(zé)可以帶來更全面的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理和治理。從提供培訓(xùn)以提高網(wǎng)絡(luò)意識(shí)到為董事會(huì)成員創(chuàng)建專業(yè)認(rèn)證，更強(qiáng)有力的問責(zé)措施可以提高董事會(huì)在處理網(wǎng)絡(luò)安全事務(wù)時(shí)的參與度和監(jiān)督力度。

總體而言，實(shí)施這些建議將幫助組織優(yōu)化其網(wǎng)絡(luò)治理、增強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理實(shí)踐并建立強(qiáng)大的框架來有效應(yīng)對(duì)新興的網(wǎng)絡(luò)威脅。

結(jié)論

這項(xiàng)研究強(qiáng)調(diào)了在網(wǎng)絡(luò)風(fēng)險(xiǎn)治理中采用五線問責(zé)制的重大差距。許多組織將合法性和效率放在首位，經(jīng)常偏離標(biāo)準(zhǔn)模型，不使用所有五道防線，或?qū)⑶皟傻婪谰€合并以提高效率。

組織應(yīng)根據(jù)具體的組織環(huán)境評(píng)估這五道防線的適用性。在某些情況下，合并防線可以縮短響應(yīng)時(shí)間并提高成本效益。此外，組織應(yīng)確保角色職責(zé)明確，避免重疊和差距，增強(qiáng)執(zhí)行管理層的參與度，以更好地分配資源和提供支持，并通過培訓(xùn)和溝通加強(qiáng)第五道防線（董事會(huì)）以實(shí)現(xiàn)整體管理。

盡管網(wǎng)絡(luò)風(fēng)險(xiǎn)的情況很復(fù)雜，但平衡和敏捷的治理方法可以使組織有效應(yīng)對(duì)新興的網(wǎng)絡(luò)威脅。

來源：安全牛