GRC框架是什么？网络安全如何纳入其中？

据预测，2024 年全球在安全和风险管理方面的支出将增长 14%，其背后原因包括云技术的采用、混合型员工队伍、人工智能的出现、构建灵活的安全功能以及确保整个组织数字生态系统安全的需求。据 Gartner 预计，这一领域的总支出将达到 2150 亿美元。

将网络风险纳入GRC框架被认为是在这些不同技术中实现全面风险管理的一种方式，同时还能应对日益增长的监管需求。RegScale 的CISO Larry Whiteside Jr.表示，GRC 框架正在不断发展，包含了旨在有效解决网络安全风险的具体规定和控制措施。这包括遵循NIST标准，以确保合规性并与常规实践保持一致。

GDPR、加利福尼亚州的CCPA以及我国的《数据安全法》等法规正在对企业产生影响，并规定了具体的网络安全要求。因此，GRC框架必须将这些法规要求整合到更广泛的合规计划中。此外，由于对供应商等第三方依赖的日益增加，GRC框架也开始整合供应商和第三方风险管理，以评估和降低供应链中与外部合作伙伴和供应商相关的网络风险。

美国证券交易委员会的新规定要求企业说明董事会对网络安全威胁风险的监督情况，以及管理层在评估和管理网络安全威胁重大风险方面的作用和专长。Whiteside认为，这将促使董事和执行领导承认网络安全是一个重要的战略性业务问题。他表示，董事会对提高网络安全风险和措施的可见性的要求越来越高，因此企业需要改进其GRC框架，以加强对网络安全问题的报告和保证。

根据Hyperproof的《2024年IT风险与合规基准报告》指出，一项针对美国和英国的最新研究发现，在过去12个月中，拥有统一风险视图的公司，报告的违规频率较低。虽然83%的企业拥有集中的GRC计划，比去年大幅增加了15%，但仍有改进的空间。报告指出，只有18%的企业将风险与合规活动统一起来，19%的企业仍在各自为政的部门、工具或流程中管理IT风险。

要将网络安全纳入GRC框架，企业必须在量化网络风险、确保网络风险管理与更广泛的GRC目标保持一致以及满足合规要求的同时，驾驭不断变化的网络威胁环境。

MetricStream首席执行官Prasad Sabbineni认为，尽管量化风险很重要，但在当今背景下，相互关联的风险性质使量化风险成为一项重大挑战。Sabbineni表示，为了应对网络安全威胁，组织必须建立网络风险和合规管理计划，并将其与组织和运营风险管理、第三方风险管理以及合规管理计划相结合。他认为，在绘制风险图和确定对组织的潜在影响时，最终目标是制定行动计划并进行适当投资。

随着对第三方的依赖程度越来越高，CISO 和安全团队开始专注于管理这些风险。Sabbineni表示，这就是为什么在整个过程中识别漏洞和盲点至关重要。值得庆幸的是，更严格的法规也正在出台，以追究这些第三方的责任，从而增加了另一层保护。

不过，他认为GRC团队需要了解如何利用现有数据来识别、评估和降低风险，并调整他们的做法，以有效解决网络安全相关因素。这需要专门关注风险管理、监管合规、治理整合、以技术为中心的评估和事件响应。

FTI 咨询公司网络安全业务部总监 Simon Onyons提到，跨国组织的（监管）变化速度非常快，即使在以缓慢著称的监管领域也是如此。

为了有效驾驭不断变化的监管环境，企业必须持续监控不断变化的新要求。利用自动化工具和尖端的人工智能可以帮助保持对新出现的监管要求的实时可见性。Onyons表示，关键因素是根据新要求进行差距分析，以降低潜在的合规风险。

但是，这需要实现网络威胁的可视化，而这是对许多组织构成重大挑战的另一个要素。安全从业者无法防范看不到的东西，无论威胁来自内部还是外部。

Onyons认为，优化威胁情报能力、确保消除影子IT和技术债务，以及在风险管理中注重背景和相关性，这些都是必要的。然而，以威胁为中心也很重要，但只能针对与组织最相关的威胁。网络犯罪是一种不对称威胁，发起攻击的成本往往低于防御攻击的成本。这就需要以情报为主导，了解针对他们的特定威胁以及对业务的潜在影响。

然而，Insight Enterprises的Rader表示，许多CISO及其团队已经感受到了保护组织的责任以及持续的压力，随着要掌握的法规和要求越来越多，CISO及安全团队可能会不知所措。

要从美国的多个机构、欧盟的要求和披露要求、我国的法律法规及行业规范，甚至是 ISO 27001 等被广泛接受的某些国际标准中获取大量信息，是一件非常困难的工作，更困难的事，其中存在一定数量的非标标准。

为了解决这个问题，他建议可能需要类似于支付行业PCI安全标准的统一要求。Rader表示，如果超大规模企业能够聚集在一起，制定出一个标准，事情就会简单得多。CISO可以不再追寻最新的各种要求，以及各个国家之间的不同要求。

凤凰城大学信息安全副总裁 Larry Schwarberg 表示，将网络安全实践纳入GRC框架意味着连接团队和集成技术控制。在凤凰城大学，网络安全风险管理框架主要是根据 NIST 800-171 和 ISO 27001 标准的综合视图创建的，用于指导其整体态势的其他要素。Schwarberg表示，风险管理框架的结果为外部和内部审计人员在其他领域的合规性提供了依据。

网络安全团队与法律和道德、合规和数据隐私、内部审计和企业风险职能部门密切合作，评估范围内监管要求的整体合规性。Schwarberg表示，由于他们的网络安全和GRC职责是结合在一起的，因此它们可以相互补充，而且这两个职责的重点是根据企业的风险偏好评估和实施安全控制。

领导层的作用是为团队提供意识、沟通和监督，以确保控制措施的实施和有效性。此外，网络安全团队还会定期聘请外部顾问来评估合规性，并评估与这些框架和监管合规要求相关的成熟度。凤凰城大学的GRC是一项由网络安全团队协调的团队工作。

CISO 已经将技术与业务因素结合起来，以管理组织内的网络安全，整合GRC意味着承担更广泛的责任和采用基于风险的方法。

Rader认为，纯粹的技术CISO也更难胜任。必须既是业务 CISO，又是 GRC CISO。Rader将其比喻为安全大使，按照美国证券交易委员会的要求与董事会进行更多的互动，并在整个组织内开展工作，同时降低风险。Rader表示：“我们一直都有风险思维，但现在我们需要了解如何以高管能够理解的方式将风险术语与他们联系起来。”

AHEAD安全和GRC首席顾问Nina Wyatt认为，由于网络安全涉及整个组织的风险和保护，其发生的转变会影响到技术团队和风险与合规团队。Wyatt认为，网络安全职务需要更多的软技能和行业专业知识，以更好地支持控制环境，而GRC职务至少需要对技术有基本的了解，才能有效地发挥监督作用。

在应对跨组织风险时，GRC负责人需要与网络安全负责人合作，以构建一个能协调组织两个领域活动的计划。这两项职能之间的不协调可能会导致工作和支出的重复，并增加通过控制评估和认证活动开展工作的复杂性。

FTI Consulting的一项调查发现，许多CISO都表示，在向董事会和领导团队传达技术信息以及网络风险和治理问题时，需要以高层领导能够理解的方式进行沟通，而这也影响了安全计划的有效性。对此，Onyons认为，企业领导者与CISO之间的沟通脱节，意味着企业在充分准备和主动管理企业网络安全风险方面受到了阻碍。

MetricStream 的 Sabbineni表示，领导层有明确的任务来指导有效的安全和治理措施。为确保将网络风险适当纳入GRC框架，需要创建具有明确职务和职责的治理结构，而这必须由高层推动。

领导层还需要确保团队以货币而非技术语言量化网络风险，这样可以帮助确定投资和风险的优先次序。

FTI的Onyons认为，领导层在决定如何分配人力和财力资源方面发挥着关键作用。他表示，这对于实施有效且具有弹性的网络安全防御至关重要。没有领导层的支持，GRC框架必然会失败。

这也意味着，董事会和高管们需要具备更多的网络安全意识，并将网络安全工作从 CISO 的单一职责中剥离出来。Onyons表示，组织的法律顾问、风险领导、合规负责人和董事会必须了解如何保障组织安全。

乐信集团信息安全中心总监刘志诚表示，CSO目前组织实际层级向CTO和CIO汇报的较多，网络安全，信息安全未必在一个部门，在基础架构和SRE的网络安全负责基础设施安全，信息安全更偏重管理体系构建和安全运营，具有一部分合规职能。安全组织结构的割裂，也导致网络信息安全政策的脱节。

某企业安全负责人表示，网络安全作为一个整体由三个要素组成：人员、流程、技术。在这三个要素中，技术往往是最重要的，因为它可以说是最简单的因素。但是，要使组织成功实现其安全目标，则需要采用程序化、灵活和可扩展的方法来考虑这三个要素。

为了实现这一目标，有效的GRC计划至关重要，因为它可以确保采取整体观点，同时应对网络安全这一艰巨的任务。毕竟，使用前沿技术实现流程自动化并不能改善流程本身或结果。

例如，安全运营团队需要对安全事件进行监控和缓解。如果没有GRC计划，他们将无法了解事件的业务风险或合规性影响，这意味着他们只能依靠技术和流程进行管理，他们可能面临以错误的方式对最不重要的问题进行优先级排序的风险。

上海千寻位置网络有限公司安全专家王忠惠表示，虽然网络安全复杂多变，但有结论指出，企业对网络安全的重视度开始降低。网络安全重要吗？确实重要。但是否需要网络安全岗位，未必。未来更多的业务在创立之初就可以用小团队实现大公司做的事情，依赖于云、AI以及人才层次，网络安全合规会更早地满足而不需要专职的投入。