由安在新媒体策划并主办的首届超级CSO研修班,于2021年1月圆满结营。18位CSO学员,历时5个月,完成16节次课程的研修学习,经历名企参访、课堂作业和私董会,更有期末3000字/每篇的毕业论文,最终,都以优异的成绩冲刺达标,获得由CCRC和安在新媒体联合颁发的结业证书。
首届超级CSO研修班学员分布广泛,包括银行、证券、保险、运营商、能源、传媒、物联网、咨询服务等多个领域,在导师引领和课程启发下,其所完成的毕业论文,也都极具代表性,是各自相关领域网络安全建设、实践与思考的精华之作。本着分享交流之精神,我们特别精选几篇,以连载的方式呈现公众。
超级CSO研修班不仅是一届课程,更是契机和起点,希望借“CSO说安全”,让更多CSO们关注、支持并参与到CSO文化的沉淀积累和广泛传播中来。
CSO说安全:基于商业组织的网安合规风险管理构建和实践
经济合作发展组织(OECD)对于公司治理的定义为:公司管理层、董事会、股东以及其他利益相关者之间的一整套管理。
以公司网络安全合规风险视角下,可理解为商业组织应为实现公司业务目标, 制定网络安全全面合规风险管理目标,并确定实现目标和监督执行的手段来构成 的网络安全治理架构。良好的商业组织治理应为网络安全治理提供恰当的资源、适当的激励,以使董事会、管理层和利益相关者追求符合公司和股东利益的目标, 并应便于实施有效的监督。
实践证明,网络安全治理是公司治理中重要且不可缺失的组成部分,一个有效的商业组织内部控制体系和网络安全合规风险管理体系需要组织的最高权力和决策机关形成一种即相互分离由互相联系、即互相统一又相对制衡的机制。商业组织只有以良好的公司治理做支撑,拥有一个良好的网络安全合规经营决策、执行和监督环境,建立起一套有效识别、监测和控制风险的制衡机制,以及良好的网络安全合规文化和正确的风险管理理念,其合规风险的管理才有可能有效。
商业组织所遭受的网络安全事件往往将会导致股东、投资者和用户遭受损失, 而关键基础设施等网络安全事件甚至将会影响对环境、社会和公共利益产生冲击。因此,网络安全治理是商业组织对自身经济行为的道德约束,它既是企业的宗旨 和经营理念,又是商业组织用来约束内部包括供应商安全可靠经营行为的一套管 理和评估体系,要求商业组织通过不同的方式去努力实践同一个价值内涵,主动 承担和履行自身行为会社会、社区、利益相关方和环境的责任和义务。
通过网络安全治理和公司社会责任体系改善商业组织风险管理、企业文化、行为准则等密切相关的要素,彼此互相影响和约束,引导、树立和推动商业组织科学的社会责任核心价值观,提高商业组织核心竞争力和可持续发展能力,保障商业组织的经济和生态的可持续发展。
网络安全合规风险事件通常导致商业组织因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。COSO 委员会的《全面风险管理框架》将商业组织风险的不同单元视为一个整体,要求了三个维度层级,第一维是企业目标、第二位是全面风险管理要求,第三位是企业的不同层级。其中,第二维全面风险管理要素包括,内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控,网络安全风险是全面风险类别中操作风险的重点关注。
因此,全面风险管理涵盖了网络安全合规风险治理和管理,且不仅是基于单 一信息安全团队流程和管理,而是基于企业整体网络安全的合规风险的流程管理。
网络安全合规风险体系需要有利于机构的业务流程管理,服务于整合管理各类风险的需求。为各业务条线所指定的相应网络安全政策、程序、操作手册和网络安全基础设施组成了满足整个业务流程管理要求的全面风险管理制度要求,确保商业组织内部网络安全管理制度的体系化和系统性。
二、构建网络安全合规风险管理体系的总体思路
借鉴《商业银行合规风险管理指引》内涵思想,“任何一个商业组织应建立于其经营范围、组织结构和业务规模相适应的网络安全合规风险管理体系”。持续加强商业组织网络安全治理、培育网络安全合规风险文化、完善网络安全合规风险流程管理,夯实网络安全基础设施建设,提升商业组织网络安全合规风险管理的有效性,更好的应对商业组织的全面开放和全球化的网络安全挑战。
商业组织应当重视三个方面的网络安全合规风险建设:
一是建设强有利的网络安全合规风险文化,必须从高级管理层重视,董事会和高级管理层应确定网络安全合规风险基调,确立正确的网络安全合规理念,提高全体员工网络安全合规意识,形成良好的企业文化,这对有效管理各类网络安全合规风险至关重要。
二是建立有效的网络安全合规管理体系,高级管理层应监督网络安全政策的有效实施,以使网络安全隐患或缺陷得到及时有效的解决。建立网络安全技术、管理、风险和审计团队的组织结构,并配备充分和适当的资源,确保违规违法网络女权事件及时发现和处置。相关专业团队制定并执行以网络安全风险为导向的经营管理计划,实施相关风险识别和管理流程,开展全员的合规培训。
三是建立有利于网络安全合规风险管理的基本制度,即网络安全绩效考核制度、问责制度和上报制度,加强对管理人员的网络安全绩效考核,惩罚管理失职人员,追究违规责任人的相应责任,充分保护上报有功者并给予适当的激励。
商业组织在构建内部网络安全合规风险管理体系过程中,除了必须依照所在国家/地区法律法规的相关规定之外,还应当以监管机构的指导文件、行业规则和国际标准等作为重要依据。同时,需确保网络安全合规风险管理体系能保持适当得前瞻性、可行性和一致性,和内部管理控制程序的连续性、可操作性和一致性。
示例 法律、司法解释、标准、行业监管等
从通常商业组织的网络安全合规风险管理体系的建设实践来看,大致可分为5个发展演进阶段:
第一阶段业务管理,此阶段由业务团队或外部环境推动,当业务切实必要所需才会推动网络安全相关专业团队完成响应建设,其特点基础设施比较简单,无网络安全团队,业务相对单一,以应付为主。
第二阶段响应管理,此阶段的商业组织已到达了一定业务规模和用户沉淀, 但未主动将网络安全纳入经营管理计划,但当有突发事件或外部强制要求发生时才会有网络安全团队进行处置或响应,其特点以形成相对单一的网络安全合规风险团队,未建立体系化的风险管理流程和策略。
第三阶段主动合作,此阶段的商业组织内部已初步形成员工网络安全合规意识,组织建立网络安全企业文化,已健全网络安全基础设施,其特点业务团队能够主动有意识满足内外部监管要求,在业务发展中将会主动寻求与网络安全团队的合作。
第四阶段事前合作,此阶段的商业组织在企业经营管理、业务开发推进设计阶段,已经能够将网络安全合规风险纳入企业经营管理计划,网络安全合规风险 管理要求融合业务设计,在业务发展前积极主动寻求事前风险的规避和预防措施。
第五阶段完全合作,此阶段的商业组织无论企业网络安全合规风险文化、员工意识和业务与安全融合已完成充分合成,董事会、高级管理层、业务团队已经具备高度网络安全合规风险意识和行动。
有效的网络安全合规风险管理框架是商业组织构建全面风险管理体系的基 础,更是商业组织内部控制机制的核心。因此,网络安全合规风险管理组织模式 是网络安全合规风险管理体系构建过程中最重要的基础工作,也是最重要的环节。商业机构也应当从企业经营管理的总目标出发,构筑以信息科技网络安全团队、合规管理部门、风险管理部门和内部审计部门为核心的网络安全合规风险组织模 式,并嵌入到整体商业组织风险防御阵线中。
尽管不同商业组织的网络安全合规风险组织结构、管理机制、技术体系和内外部环境因素因商业机构规模、经营的复杂程度、商业组织的性质及其区域分布的不同而所有不同,但就整体而言,主要由以下两种框架模式:
网络安全合规风险政策是规定商业组织网络安全管理的基本方针和指导思想,具备包括:网络安全管理计划、网络安全管理程序、网络安全操作指南以及其他网络安全合规风险相关文件的纲领性文件和重要依据。网络安全合规风险政策制度不仅是商业组织内部的“基本法”,同时也是对外表明商业组织坚持网络安全合规风险经营和履行社会责任基本理念的重要宣言。
商业组织由具体部门统一牵头负责网络安全政策制度和流程的策划、编制和推进工作,并且定期对商业组织内部上下业务团队执行情况进行监督检查,具体编制工作应当得到高级管理层的重视和各部门团队的统一协作。规范在网络安全合规风险不同层级人员的目标、职责和所需能力,落实职责和能力的相统一。明确网络安全合规风险在组织内的具体运作和做法程序,注重针对行和可操作性。实行动态管理并及时更新,满足商业组织符合当地法律法律和所在业务行业的监管要求的一致性。
对于同业、监管和新技术应用背景下的网络安全合规风险,进行动态识别形成网络安全合规风险列表,以便进一步对网络安全风险进行评估和监测等系统性活动。通过风险识别、评估和测试、风险应对、风险监控和风险报告等具体工作, 对商业组织当下及未来需要所采取的风险策略进行及时调整内部环境或业务策略。
由于网络安全合规风险是随时、客观存在的,因此,合规风险的识别和评估也必须是一个持续的和动态的过程,当环境和条件发生变化时,应及时对合规风险进行再识别和再评估,以确保任何新的和以前未曾予以关注控制的网络安全风险得到识别和管理。
随着网络安全法律监管要求等不断变革和发展,要求商业组织持续关注变化的发展变化与法律法规及监管环境相适应,应该当始终关注和跟踪法律法规的变化,并贯穿于网络安全合规风险管理的始终。
商业组织应确保相关合规法律、监管和标准的恰当执行,商业组织应当对于包括网络安全管理制度在内的商业组织各项程序和指引的适当性定期进行必要的评估,及时跟进任何再政策和制度方面已经被发现的缺陷和问题,并就发现的问题和缺陷系统地提出响应的弥补措施及修改意见。同时,还应注重整改后的在测试与再评估,以确保修订后的政策和程序等始终与法律法规要求相一致。
商业组织应该积极开展内部员工网络安全培训和文化建设等宣传工作,提高全体员工的安全意识,使全体员工都能明确理解商业组织在经营过程中必须遵循的“网络安全法律、监管和制度“的对象范围,充分系统地了解和掌握商业组织的管理政策和流程控制等具体内容和各位岗位的网络安全要求,促进商业组织上下” 网络安全为全员,网络安全靠全员“的文化、意识和能力形成。
组织实施不同对象层次(包括:新员工、第三方人员、高级管理层和网络安全专业团队)和不同形式(包括定期和不定期、集中和分散、一般和专业)等培训策略,让网络安全合规风险成为每一位员工的行为准则,成为各级各岗位的自觉行动去维护和贯彻每项要求。
从近期国内外所发生的一系列重大网络安全事件中可以发现,其中很大部分是由于未能在早期阶段采取有效措施,及时发现并消除违规问题的隐患,从而导致问题变得太大或太晚而措手不及。商业组织应利用一切网络安全科技手段在侍寝预防和发现违规行为的发生,力求在早期阶段发现违规行为或使违规行为尽早暴露,以充分实现网络安全合规风险早期预警的功能。
审计检查也是商业组织可以持续和熟练掌握的管理方法,通过第二方或第三方的独立审计检查,以全面和专项、定期与不定期等形式来商业组织确保在受控、合规状态下经营的有效机制,并向高级管理层定期汇报,为进一步识别、监测和评估网络安全风险体制、机制和规范提供风险信息来源。
对于不履行合规职责,包括拒绝、放弃、推诿、不适当履行制作等情况,以及未能正确履行合规职责,包括无合法依据以及不依据规定程序、规定权限和规定时限履行岗位合规职责等情况,进行责任追求的制度。问责制度是激励全体员工提高网络安全意识、自觉履行网络安全职责、拒绝和抵制网络安全违规操作的有效办法,也是推动网络安全风险管理规范化、透明化的体现和价值取向。
商业组织应积极寻求与相关监管部门的互动和沟通,加强互相间的交流和沟通,纠正过去那种商业组织和尽管机构之间的非理性博弈的“猫鼠游戏“。商业组织必须主动争取和利用好自身的话语权,围绕拟出台的监管要求的可行性、制约因素和对业务创新的影响。向监管部门主动提出看法建议,使监管规则更具有操作性和商业组织稳健经营的需求。
网络安全合规风险审核和有效性评价,是指对商业组织的网络安全合规风险的有效性进行检查、测试、分析和评估的系统性活动,用于评价网络安全控制措施在实际经营中充分性、合规性、有效性、适宜性是否能确保其运作的效果。
通过全面、客观、独立且正确的有效性评价,才能够确保商业组织网络安全合规风险管理体系持续有效的运作并动态整体性回顾,促进商业组织网络安全合规风险体系的健全和调优。
首届超级CSO研修班已圆满结营,第二届超级CSO研修班正在筹备,按照计划,2021年中会正式开营。如果你是企业或机构的CSO/CISO/信息安全总监/信息安全主管,如果你想进一步拓展知识、提升眼界、广结人脉、突破自我,想更好地胜任CSO职位并探索更高阶职业发展,那么,超级CSO研修班绝对是你不二之选!
早报道早抢位,有意向者,请洽
椰子
推荐阅读
齐心抗疫 与你同在 
本文始发于微信公众号(安在):CSO说安全 | 秦峰:基于商业组织的网络安全合规风险管理构建和实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论