網(wǎng)絡(luò)時代的內(nèi)部控制

1、-. z.網(wǎng)絡(luò)時代的內(nèi)部控制MaryE.Galligan & Kelly Rau一、網(wǎng)絡(luò)時代的商業(yè)變革當組織考慮如何應(yīng)對日益嚴峻的網(wǎng)絡(luò)平安風險時，無論是COSO 內(nèi)部控制整合框架2013 框架還是企業(yè)風險管理整合框架2004均提供了評價風險和管理風險的有效方法。事實上，這兩個框架都系統(tǒng)性地引導組織通過COSO 的視角以相似的路徑去應(yīng)對網(wǎng)絡(luò)風險。隨著各公司致力于實施2013 框架，在本文中，我們結(jié)合2013 框架闡述如何使用COSO 框架以協(xié)助組織管理網(wǎng)絡(luò)風險和實施控制。1992 年內(nèi)部控制整合框架1992 框架發(fā)布時，商業(yè)運營環(huán)境同現(xiàn)在相比截然不同。例如： 1992 年在全世界*圍內(nèi)僅有不到1

2、400 萬互聯(lián)網(wǎng)用戶，而今天有接近30 億的用戶。基于微軟DOS 系統(tǒng)的美國在線AOL剛剛被發(fā)布。微軟IE 瀏覽器尚不存在。最流行的手機是大哥大。和 是商業(yè)溝通中最為主要的方式。在過去的二十年間，信息技術(shù)IT讓商業(yè)運營模式發(fā)生了翻天覆地的變化，網(wǎng)絡(luò)驅(qū)動成為商業(yè)運營的根本環(huán)境?？蛻粲唵问褂秒娮訑?shù)據(jù)在互聯(lián)網(wǎng)中進展交互處理從而沒有或很少有人工參與；業(yè)務(wù)處理往往是通過內(nèi)部網(wǎng)絡(luò)外包給效勞供給商；越來越多的員工遠程工作或在家工作，而不再需要到辦公室；倉庫中的庫存情況通過使用射頻識別RFID標簽進展跟蹤；伴隨網(wǎng)上銀行的出現(xiàn)，幾乎所有的銀行都向客戶提供網(wǎng)上銀行效勞。隨著商業(yè)和技術(shù)的開展，2013 框架也在不斷

3、完善。更新和發(fā)布2013 框架的一個根本的驅(qū)動因素就是幫助組織利用和依靠不斷開展的技術(shù)以實現(xiàn)內(nèi)部控制目標。2013 框架在許多方面進展了改良，并考慮了組織應(yīng)如何管理IT 創(chuàng)新的思考：市場和運營的全球化趨勢；更加復(fù)雜的業(yè)務(wù)流程；法律、條例、規(guī)章和標準的要求及復(fù)雜性；使用和依靠不斷開展的技術(shù)；預(yù)防和發(fā)現(xiàn)舞弊行為的要求。自從1992框架發(fā)布以來，商業(yè)模式的創(chuàng)新已經(jīng)與網(wǎng)絡(luò)形成了錯綜復(fù)雜的聯(lián)系。然而，互聯(lián)網(wǎng)設(shè)計的初衷是共享信息，而不是保護信息。每天都有許多重大網(wǎng)絡(luò)事件被媒體報道出來。雖然*些行業(yè)受到網(wǎng)絡(luò)攻擊的事件在新聞中占據(jù)更大的比重，但其實所有行業(yè)都有可能受到網(wǎng)絡(luò)攻擊。在特定的時點，哪些數(shù)據(jù)、系統(tǒng)和資

4、產(chǎn)是有價值的，將取決于網(wǎng)絡(luò)攻擊者的動機。隨著網(wǎng)絡(luò)事件持續(xù)對受害公司的財務(wù)狀況產(chǎn)生負面影響，并持續(xù)引起額外的監(jiān)管審查，網(wǎng)絡(luò)漏洞將繼續(xù)成為媒體報道的高頻事件。此外，信息技術(shù)將繼續(xù)改變?nèi)蚪?jīng)濟中的商業(yè)運營模式。隨著數(shù)字化的普及，特別是企業(yè)與外包效勞供給商的外部合作伙伴共享數(shù)據(jù)的情況越來越普遍，信息技術(shù)的應(yīng)用增加了業(yè)務(wù)復(fù)雜性及不穩(wěn)定性，使企業(yè)更加依賴信息技術(shù)相關(guān)的根底設(shè)施，而這些根底設(shè)施卻不完全受企業(yè)控制。即便企業(yè)與外部機構(gòu)如效勞提供商，供給商，客戶建立了相互信任的關(guān)系，能夠確保日常的信息共享及電子化溝通，一旦出現(xiàn)問題，企業(yè)還是需要為這些不在其控制*圍內(nèi)的信息技術(shù)承當責任。隨著公司不斷利用新技術(shù)和繼續(xù)

5、聘用外部機構(gòu)開展運營，網(wǎng)絡(luò)攻擊者將利用新的漏洞對企業(yè)進展攻擊，這就促使企業(yè)開發(fā)新的信息系統(tǒng)和控制手段以躲避風險。雖然企業(yè)為了保護業(yè)務(wù)，在內(nèi)部和外部共享技術(shù)信息時非常慎重，但網(wǎng)絡(luò)襲擊者卻在網(wǎng)絡(luò)的另一邊肆意地進展操作。他們沒有限度地公開分享信息，而不懼怕任何法律后果，而且經(jīng)常大量進展匿名操作。網(wǎng)絡(luò)攻擊者幾乎可以利用技術(shù)攻擊任何地方的任何類型的數(shù)據(jù)。即使沒有這無處不在的網(wǎng)絡(luò)威脅，保護所有的數(shù)據(jù)也是不可能的，特別是考慮到組織的目標、流程和技術(shù)如何持續(xù)革新以支持其業(yè)務(wù)。每次革新都將有可能暴露風險盡管通過周密的安排，革新可以降低風險，但仍不可能完全躲避風險。此外，網(wǎng)絡(luò)攻擊者也在不斷升級，尋找新的方法來發(fā)現(xiàn)

6、信息系統(tǒng)的弱點。結(jié)果就是，事實上網(wǎng)絡(luò)風險是不可防止的，因此，管理網(wǎng)絡(luò)風險是必要的。一旦明確對組織至關(guān)重要的數(shù)據(jù)，管理層必須投入本錢，建立平安控制措施以保護其最重要的資產(chǎn)。通過采用一系列措施使組織具備平安性、警覺性、可恢復(fù)性，組織將對實現(xiàn)戰(zhàn)略投資的價值更有信心。為了能夠以平安的、警覺的和可恢復(fù)的方式管理網(wǎng)絡(luò)風險，組織可以通過內(nèi)部控制要素來分析網(wǎng)絡(luò)風險。例如：控制環(huán)境 董事會是否了解組織的網(wǎng)絡(luò)風險概況以及是否了解組織如何應(yīng)對面臨的不斷變化的網(wǎng)絡(luò)風險？風險評估 組織及重要的利益相關(guān)者是否對其運營、報告以及合規(guī)目標進展評估，并收集信息以了解網(wǎng)絡(luò)風險對這些目標的影響？ 控制活動 組織是否制定了控制活動，

7、包括信息系統(tǒng)一般控制，使組織在風險承受水平內(nèi)管理網(wǎng)絡(luò)風險？該控制活動是否通過正式的政策和程序進展實施？信息與溝通組織是否明確了網(wǎng)絡(luò)風險內(nèi)部控制所需要的信息？組織是否已確定了支持內(nèi)部控制持續(xù)運行的內(nèi)部和外部的溝通渠道和方案？組織將如何應(yīng)對、管理和溝通網(wǎng)絡(luò)風險事件？監(jiān)視活動 組織如何選擇、制定以及執(zhí)行與網(wǎng)絡(luò)風險相關(guān)的控制設(shè)計及執(zhí)行的有效性的評估？當缺陷被識別后，如何進展溝通并優(yōu)先進展整改？組織通過哪些措施來監(jiān)視網(wǎng)絡(luò)風險？當公司通過COSO 框架的視角去管理網(wǎng)絡(luò)風險時，董事會及高級行政人員能更好地溝通他們的運營目標、關(guān)鍵信息系統(tǒng)的定義以及相關(guān)的風險承受水平。這使組織內(nèi)的其他人，包括IT 人員，可以對

8、網(wǎng)絡(luò)風險進展詳細的分析，包括最有可能受攻擊的信息系統(tǒng)、可能的攻擊方法和最有可能被攻擊者利用的信息。由此實施適當?shù)目刂苹顒右詰?yīng)對這些風險。在討論每一個內(nèi)部控制要素時，我們將展現(xiàn)每個要素之間是如何相互關(guān)聯(lián)的，以及如何基于內(nèi)外部信息開展持續(xù)的、動態(tài)的風險評估。控制環(huán)境和監(jiān)視活動要素是考慮網(wǎng)絡(luò)風險的根底。為了使組織具備平安性、警覺性和可恢復(fù)性，這兩類要素必須存在并持續(xù)運行假設(shè)非如此，組織可能無法充分理解網(wǎng)絡(luò)風險，部署有效的控制活動，并對網(wǎng)絡(luò)風險做出適當?shù)膽?yīng)對。因此，本白皮書的主要重點將放在風險評估、控制活動以及信息與溝通要素，我們將在本文的完畢語中討論對于控制環(huán)境和監(jiān)視活動方面的思考。二、基于COSO

9、 的網(wǎng)絡(luò)風險評估任何一個組織都會面臨一系列由外部和內(nèi)部因素引發(fā)的網(wǎng)絡(luò)風險。我們可以通過評估對實現(xiàn)組織目標存在的不利影響和事件發(fā)生的可能性來評估網(wǎng)絡(luò)風險。惡意行為，尤其是那些受經(jīng)濟利益驅(qū)動的行為，往往出于對本錢和利益的權(quán)衡。實施網(wǎng)絡(luò)攻擊的犯罪者及其動機可以分為以下幾類：敵對國家和間諜敵對國家以軍事和獲得競爭優(yōu)勢為目的尋求知識產(chǎn)權(quán)和交易*，竊取國家平安*或知識產(chǎn)權(quán)。有組織的犯罪者運用精細工具竊取錢財或公司客戶的私人敏感信息如盜用身份信息?？謶址肿右詧F體或個人的形式利用互聯(lián)網(wǎng)對包括金融機構(gòu)在內(nèi)的重要根底設(shè)施進展網(wǎng)絡(luò)攻擊。黑客 以團體或個人的形式，通過竊取或公開組織敏感信息發(fā)布社會或政治言論。內(nèi)部人員

10、組織內(nèi)部受信任的個人出售或公開組織敏感信息。控制活動能夠防*、發(fā)現(xiàn)和應(yīng)對網(wǎng)絡(luò)風險，而風險評估結(jié)果最終會影響組織在控制活動上的資源分配，因此對于風險評估過程本身也必須要進展投資。組織資源有限，因此針對控制活動的投資決策必須依據(jù)相關(guān)的高質(zhì)量信息，優(yōu)先為對組織來說最重要的信息系統(tǒng)提供資金支持。評估組織網(wǎng)絡(luò)風險需要首先理解信息系統(tǒng)對組織的價值。該價值可通過評估其對組織目標的潛在影響來衡量。原則6【源自內(nèi)部控制整合框架2013中列示的17 項內(nèi)部控制原則。下同?！拷M織應(yīng)設(shè)定清晰明確的目標，以識別和評估與目標相關(guān)的風險。2013 框架在原則6 中提供了假設(shè)干關(guān)注點，為組織在網(wǎng)絡(luò)風險評估過程中評估組織目標提

11、供了參考。這些關(guān)注點分為以下五類：經(jīng)營目標外部財務(wù)報告目標外部非財務(wù)報告目標內(nèi)部報告目標合規(guī)目標網(wǎng)絡(luò)風險評估會幫助管理層作出用以支持組織目標實現(xiàn)的信息系統(tǒng)控制活動的決策部署，因此高級管理層和其他重要的利益相關(guān)方需要引導風險評估過程，根據(jù)組織目標確定需要被保護的信息系統(tǒng)。很多組織沒有花費足夠精力了解對組織來說最重要的信息系統(tǒng)，他們也不了解信息在哪里儲存、如何儲存。這會導致組織企圖保護所有方面，從而導致過度保護*些特定的信息系統(tǒng)，而又對其他的信息系統(tǒng)保護缺乏。信息系統(tǒng)的價值評估需要業(yè)務(wù)和信息技術(shù)人員的高度配合。因為在有限的時間、預(yù)算和可利用的資源下，組織無法采取措施應(yīng)對所有風險，因此管理層需要確定

12、組織可承受的風險承受水平，重點保護最重要的信息系統(tǒng)。原則 7 組織應(yīng)對影響其目標實現(xiàn)的風險進展全*圍的識別和分析，并以此為根底來決定應(yīng)如何管理風險。原則 8 組織應(yīng)在評估影響其目標實現(xiàn)的風險時，考慮潛在的舞弊行為。應(yīng)用原則6 進展目標識別后，組織應(yīng)當清晰地理解對于實現(xiàn)目標具有重要影響的信息系統(tǒng)。然后應(yīng)用原則7 和原則8，進展更深入的風險評估，引導組織評估網(wǎng)絡(luò)風險影響的嚴重程度和可能性。在高級管理層的領(lǐng)導下，通過業(yè)務(wù)和IT 利益相關(guān)方的配合，組織能夠有效評價影響組織目標實現(xiàn)的風險。為了使風險評估過程有效，相關(guān)人員必須了解組織網(wǎng)絡(luò)風險概況，這包括了解哪些信息系統(tǒng)容易成為攻擊者的目標，了解哪些攻擊行

13、為容易發(fā)生。會造成組織付出高額代價的攻擊一般是組織最為關(guān)注的局部，組織應(yīng)該了解并時刻警覺這些網(wǎng)絡(luò)威脅。保持警覺意味著在組織中建立危險意識，有些行為模式預(yù)示著重要資產(chǎn)損失，在組織中應(yīng)當提高發(fā)現(xiàn)這種行為模式的能力。組織必須將其整合到整體風險評估過程中，以便識別在哪些節(jié)點實施控制，以保護資產(chǎn)平安。與僅廣泛關(guān)注網(wǎng)絡(luò)風險相比，關(guān)注行業(yè)特定的網(wǎng)絡(luò)風險更為重要。網(wǎng)絡(luò)攻擊者對于各行業(yè)有特定的攻擊目標。比方，在零售行業(yè)，有組織的攻擊者主要利用信息系統(tǒng)中的薄弱點，竊取能夠用來獲利的特定信息如信用卡數(shù)據(jù)或個人身份驗證信息。石油天然氣行業(yè)容易成為敵對國家為竊取勘探地戰(zhàn)略數(shù)據(jù)而攻擊的目標?；て髽I(yè)由于其產(chǎn)品帶來的環(huán)境問

14、題也容易遭受黑客攻擊。無論出于哪種動機，網(wǎng)絡(luò)攻擊者都是堅持不懈的、技術(shù)嫻熟的、有耐心的。他們會通過收集暴露組織信息系統(tǒng)和內(nèi)部控制弱點的信息來分階段進展攻擊。通過仔細識別其動機和可能的攻擊方式，以及所用的技術(shù)、工具和流程，組織可以更好地預(yù)測風險，設(shè)計有效的控制措施，并在網(wǎng)絡(luò)攻擊發(fā)生時最小化潛在風險，保證重要資產(chǎn)的平安。原則9 組織應(yīng)識別并評估對其內(nèi)部控制體系可能造成重大影響的改變。任何組織都會存在變化的情況，在評估網(wǎng)絡(luò)風險時，應(yīng)當預(yù)測這些變化。組織會不斷開展，包括目標、人員、流程和技術(shù)都處在變化之中。網(wǎng)絡(luò)環(huán)境也會發(fā)生變化，包括產(chǎn)生新的網(wǎng)絡(luò)攻擊者、新的攻擊方式。盡管網(wǎng)絡(luò)風險評估主要關(guān)注組織目前狀況

15、，但評估過程必須是動態(tài)且持續(xù)的，需要考慮內(nèi)部和外部威脅的變化，據(jù)此調(diào)整組織管理網(wǎng)絡(luò)風險的方式。在組織尋求開展、創(chuàng)新及本錢優(yōu)化的過程中，往往伴隨著經(jīng)營模式創(chuàng)新與科技創(chuàng)新。然而，這些創(chuàng)新也會帶來新的網(wǎng)絡(luò)風險。比方，網(wǎng)絡(luò)、移動設(shè)備、云技術(shù)和社交媒體技術(shù)的采用會增加被網(wǎng)絡(luò)攻擊的風險。相似地，外包、離岸和第三方合作會導致潛在的、超出組織控制*圍的網(wǎng)絡(luò)漏洞。這一趨勢促使網(wǎng)絡(luò)生態(tài)鏈條的不斷開展，同時也給網(wǎng)絡(luò)攻擊者實施攻擊提供了更大的平臺。對于可能影響內(nèi)部控制體系發(fā)生變化的評估需要考慮人員的變動。業(yè)務(wù)層面人員的流動對于組織實施網(wǎng)絡(luò)風險相關(guān)控制活動的有效性有很大影響。風險評估需要不斷更新，以反映那些會影響組織為

16、保護關(guān)鍵信息系統(tǒng)而實施的相關(guān)控制的變化。監(jiān)控變化中的威脅情況以及風險評估過程將產(chǎn)生信息，高級管理層及利益相關(guān)方必須分享并討論這些信息，以制定防止組織暴露于網(wǎng)絡(luò)風險之中的最正確決策。三、識別并執(zhí)行網(wǎng)絡(luò)風險控制活動原則 10 組織應(yīng)該選擇并執(zhí)行那些可以將影響其目標實現(xiàn)的風險降至可承受水平的控制活動。原則 11 針對信息技術(shù)，組織應(yīng)選擇并執(zhí)行信息技術(shù)一般控制以支持其目標的實現(xiàn)。原則12 組織應(yīng)通過政策和程序來實施控制活動。政策是建立預(yù)期，程序是將政策付諸行動?？刂苹顒佑山M織中的員工實施，幫助確保管理層方針得到有效執(zhí)行，以降低影響組織目標實現(xiàn)的風險。這些控制活動需要在政策中明確，以確保控制活動在組織中

17、執(zhí)行一致。如前文所述，網(wǎng)絡(luò)風險不可防止，但組織可以通過設(shè)計和執(zhí)行適當?shù)目刂拼胧﹣砉芾砭W(wǎng)絡(luò)風險。當組織通過風險評估流程考慮到可能的攻擊方式和路徑時，組織可以更有效地降低潛在的網(wǎng)絡(luò)漏洞對實現(xiàn)組織目標的影響。意識到網(wǎng)絡(luò)風險不可防止，并實施適當?shù)娘L險評估后，組織應(yīng)當按層級建立多層控制防線，防止攻擊者在攻破第一道防線后繼續(xù)侵入信息系統(tǒng)。由于網(wǎng)絡(luò)風險可能暴露在組織內(nèi)部和外部的多個切入點上，因此，可以同時應(yīng)用預(yù)防性和發(fā)現(xiàn)性控制，以降低網(wǎng)絡(luò)風險。有效的預(yù)防性控制能夠未雨綢繆，使得攻擊者無法接觸到組織內(nèi)部信息技術(shù)環(huán)境，保證信息系統(tǒng)平安。此外，在組織內(nèi)部信息技術(shù)環(huán)境中實施預(yù)防性控制，對攻擊者侵入網(wǎng)絡(luò)環(huán)境設(shè)置障礙，

18、可以延緩了攻擊的速度。即使被入侵，這些控制會使組織及時發(fā)現(xiàn)，并盡早采取整改措施修正漏洞和評估潛在損失。實施整改措施后，管理層需要研究入侵發(fā)生的根本原因，進而完善控制措施以預(yù)防和發(fā)現(xiàn)未來可能發(fā)生類似攻擊。除了預(yù)防性控制和發(fā)現(xiàn)性控制，為降低網(wǎng)絡(luò)風險而部署的控制活動還應(yīng)包括與其他業(yè)務(wù)控制相聯(lián)系的信息技術(shù)一般控制GITC。信息技術(shù)一般控制會幫助預(yù)防或發(fā)現(xiàn)網(wǎng)絡(luò)入侵，使得組織面對災(zāi)害具備快速反響及恢復(fù)能力。發(fā)現(xiàn)網(wǎng)絡(luò)攻擊事件時，應(yīng)當及時與組織中的相關(guān)人員進展溝通，以采取進一步降低風險的措施。由于風險評估是基于對組織目標的理解開展的，需要關(guān)鍵利益相關(guān)方參與其中，因此組織應(yīng)當編制根本的聯(lián)絡(luò)圖，明確當網(wǎng)絡(luò)攻擊事件

19、發(fā)生時，哪些人員應(yīng)得到及時的通知。盡管2013 框架提供了原則和關(guān)注點以指引組織建立有效的控制活動，它并沒有涵蓋組織應(yīng)當采取的具體控制措施。每個組織都是由具有不同技術(shù)、不同經(jīng)歷的人員構(gòu)成，這些經(jīng)歷技術(shù)會影響他們的職業(yè)判斷，進而影響內(nèi)控。當評價組織是否設(shè)計并實施適當?shù)目刂埔詰?yīng)對網(wǎng)絡(luò)風險時，可以將控制活動與網(wǎng)絡(luò)風險管理相關(guān)的標準和框架比照。以下提供了一些網(wǎng)絡(luò)風險相關(guān)標準和框架指引，可以幫助組織評價控制的充分性，以確保組織平安、警覺和可恢復(fù)。網(wǎng)絡(luò)風險相關(guān)的標準和框架指引COBIT 由ISACA 編制，協(xié)助管理層彌補在控制要求、技術(shù)問題及業(yè)務(wù)風險之間的缺口。ISO 國際標準化組織編制了ISO 2700

20、0 系列，為組織實施支持信息平安準則的流程和控制制定標準。NIST 美國商務(wù)部國家標準與技術(shù)研究所于2014 年2 月發(fā)布關(guān)于提高關(guān)鍵根底設(shè)施網(wǎng)絡(luò)平安的框架第一版。該框架依據(jù)現(xiàn)有標準、指引和操作實務(wù)，引導組織降低網(wǎng)絡(luò)風險的潛在影響。四、形成并溝通相關(guān)的高質(zhì)量信息，以管理網(wǎng)絡(luò)風險和控制信息與溝通要素有三項原則，包括：1識別相關(guān)的高質(zhì)量的信息；2確定信息在組織內(nèi)部的溝通方式；3確定組織與外部的溝通方式。所有其他內(nèi)部控制要素均依賴于信息與溝通要素提供的相關(guān)的高質(zhì)量信息。盡管在應(yīng)用2013框架時，所有的關(guān)注點都需要考慮，但*些關(guān)注點就網(wǎng)絡(luò)風險及其控制而言更加重要。這些關(guān)注點會在本局部中重點強調(diào)。原則

21、13 組織應(yīng)獲取或生成和使用相關(guān)的高質(zhì)量信息來支持內(nèi)部控制的持續(xù)運行。1.識別信息需求組織的控制活動決定了信息需求。信息的形式可以是報告、控制分析中的數(shù)據(jù)、顯示組織商業(yè)構(gòu)造概況的圖表。識別對于內(nèi)部控制較為重要的信息需求和進展網(wǎng)絡(luò)風險分析，在風險評估過程是密不可分的。比方，網(wǎng)絡(luò)風險評估需要的是逐層的信息，通過高層級的信息來引導更為詳細的風險評估程序。最終，組織需要明確信息系統(tǒng)及其價值，通過實施與其價值匹配的控制措施保護其不受網(wǎng)絡(luò)攻擊。為了到達該目標，業(yè)務(wù)人員和信息技術(shù)人員包括外部效勞供給商必須首先對商業(yè)構(gòu)造的整體框架達成共識，包括相關(guān)的對組織重要的商業(yè)目標和子目標。依據(jù)這些信息，組織可以延伸風險

22、評估*圍，深入了解可能受到攻擊的信息系統(tǒng)及攻擊方式。一旦完成風險評估，組織將溝通這些信息，確保所設(shè)計的流程和控制能夠用來應(yīng)對這些風險。盡管該概念容易理解，但由于人員、流程和技術(shù)會隨著組織目標不斷開展，組織仍需將信息要求以及相關(guān)的風險分析和應(yīng)對記錄為正式文檔，以幫助確保流程和控制的實施與相關(guān)的高質(zhì)量信息保持一致，從而能夠持續(xù)反映那些由于組織目標的變化，而導致的人員、流程和技術(shù)的變化。2.將相關(guān)數(shù)據(jù)轉(zhuǎn)化為信息在當今商業(yè)環(huán)境下，具有警覺性的組織能夠收集到大量的信息系統(tǒng)活動日志數(shù)據(jù)。平安運營中心每天產(chǎn)生大量預(yù)警數(shù)據(jù)，以及數(shù)萬至數(shù)百萬個預(yù)警事件。為了對網(wǎng)絡(luò)風險保持警覺，將原始數(shù)據(jù)轉(zhuǎn)換成有意義的、可操作的

23、和可靠的信息就變得極其重要。對很多組織來說，通過識別風險事件的預(yù)警模式將原始數(shù)據(jù)轉(zhuǎn)化為信息是很困難的。每天、每周、每月都會產(chǎn)生大量信息，從中找出預(yù)警信息是很有挑戰(zhàn)性的。進一步講，通過觀察單一事件，通常無法識別網(wǎng)絡(luò)風險事件。往往經(jīng)過一段時間，從多渠道整合信息，才能識別風險并采取措施處理被發(fā)現(xiàn)的網(wǎng)絡(luò)事件。由于控制依賴于及時的、相關(guān)的、高質(zhì)量的、完整的信息，如果組織無法將原始數(shù)據(jù)轉(zhuǎn)換成可用于自動或人工控制的可操作信息，組織將無法采取恰當措施。3.從內(nèi)部和外部來源獲取數(shù)據(jù)如前文所述，對于信息的需求使得信息來源于內(nèi)部或外部。盡管網(wǎng)絡(luò)風險分析和控制的主要信息來源會從內(nèi)部產(chǎn)生，但組織仍需考慮需要從外部獲取數(shù)

24、據(jù)。以下外部數(shù)據(jù)來源的例如未必全面，但很可能適用于大多數(shù)組織。商業(yè)或行業(yè)的外部數(shù)據(jù)：從網(wǎng)絡(luò)角度看，行業(yè)中所有公司的開展模式和趨勢是類似的。行業(yè)中各公司信息系統(tǒng)的價值及運用的技術(shù)也是類似的。這種一致性會影響網(wǎng)絡(luò)攻擊者的行為和采取的攻擊方式。盡管與外部共享信息需要慎重，但與可信任的同盟或同行業(yè)組織共享信息并討論網(wǎng)絡(luò)事件發(fā)生趨勢，能夠幫助組織預(yù)防和發(fā)現(xiàn)網(wǎng)絡(luò)風險事件。政府機構(gòu)外部數(shù)據(jù)：盡管獲取政府機構(gòu)外部信息需要得到政府的平安等級權(quán)限，但這些信息對實施控制以應(yīng)對網(wǎng)絡(luò)風險具有重要意義。針對日益嚴峻的網(wǎng)絡(luò)風險威脅，許多政府部門支持通過提升流程和控制來免受侵害。外部效勞提供商外部數(shù)據(jù)：由于組織通常會將*些職

25、能或流程外包給其他效勞組織，從這些效勞組織獲得的網(wǎng)絡(luò)事件信息可以幫助識別和控制網(wǎng)絡(luò)風險。為了獲得期望的外包效勞效益，需要建立信任關(guān)系，將雙方的信息系統(tǒng)相聯(lián)接。盡管組織與外部效勞供給商基于自身的利益均想保護其信息系統(tǒng)，當網(wǎng)絡(luò)事件同時威脅到雙方及各自的經(jīng)營目標時，雙方都應(yīng)意識到信息共享的重要性。如果*一方出現(xiàn)了會影響另一方業(yè)務(wù)運營的風險事件，一定程度的信息透明度和與該風險事件相關(guān)信息的共享可以增強雙方的快速反響及恢復(fù)能力。4.在處理過程中確保信息質(zhì)量網(wǎng)絡(luò)時代的控制活動的設(shè)計依賴于信息，因此組織在實施控制活動時需要考慮信息的質(zhì)量。正如應(yīng)當在組織中廣泛建立信息管理相關(guān)制度，這些制度也應(yīng)應(yīng)用于網(wǎng)絡(luò)風險控

26、制活動中。組織應(yīng)當明確責任和義務(wù)，遵循數(shù)據(jù)治理相關(guān)要求，保護數(shù)據(jù)和信息防止未經(jīng)授權(quán)的訪問和修改，從而保證信息的質(zhì)量。組織生成并使用用以支持內(nèi)部控制持續(xù)運行的相關(guān)的高質(zhì)量信息的能力依賴于數(shù)據(jù)治理。在利益相關(guān)方中建立共識并由管理層牽頭實施，對建立有效的數(shù)據(jù)治理機制至關(guān)重要。一旦組織建立了有效的數(shù)據(jù)治理工程且能夠持續(xù)實施該工程，則能夠獲得高質(zhì)量的信息。信息質(zhì)量能夠提升組織的內(nèi)控體系，完善與網(wǎng)絡(luò)風險相關(guān)的內(nèi)部控制。原則14 組織應(yīng)在內(nèi)部對內(nèi)部控制目標和責任等必要信息進展溝通，從而支持內(nèi)部控制持續(xù)運行。5.溝通內(nèi)部控制信息1全體員工。保持平安性、警覺性、可恢復(fù)性是組織的責任，每位員工在保護信息系統(tǒng)平安中

27、扮演不同的角色。盡管*些員工有明確責任負責管理網(wǎng)絡(luò)風險和控制，組織中的每位員工都應(yīng)對保護信息系統(tǒng)保持警覺。組織應(yīng)當制定并實行全組織*圍的溝通方案，提升每位員工的網(wǎng)絡(luò)風險和控制意識。信息溝通能夠幫助加強內(nèi)控鏈條中的薄弱點人。由于人性使然，人成為了內(nèi)控中最薄弱的環(huán)節(jié)，尤其考慮到人的好奇心帶來的后果時：當人們收到被認為是可信任的同事、顧客、供給商或其他商業(yè)伙伴的時，人們會怎么做？如果看起來是正式的，僅僅點擊一個就可能導致網(wǎng)絡(luò)入侵。當人們發(fā)現(xiàn)地上有一個U 盤，人們會怎么做？當他們把U 盤插到電腦上想查看是誰的U 盤時，在U盤中預(yù)先加載的程序會導致公司面臨網(wǎng)絡(luò)攻擊者的威脅。人的特性比方好奇心和對他人的信

28、任，為網(wǎng)絡(luò)攻擊者提供了攻擊組織內(nèi)控薄弱點的時機。針對這種情況，比擬有效的方式是定期對員工進展培訓，提升網(wǎng)絡(luò)平安意識，降低攻擊者從普通員工入手進展網(wǎng)絡(luò)攻擊的可能性。用不同的方式來實現(xiàn)溝通方案，能夠最大限度的提升員工網(wǎng)絡(luò)風險意識和責任感。持續(xù)的溝通如直播會議，全公司*圍發(fā)送消息為員工提供了相關(guān)且及時的信息傳遞機制。例如新員工培訓和年度培訓工程可以幫助組織完成相關(guān)信息傳遞。2對于網(wǎng)絡(luò)風控有明確管理和監(jiān)視責任的人員。正如之前控制活動要素中提到的，管理層應(yīng)中選擇、執(zhí)行和部署內(nèi)控，以保護信息系統(tǒng)。內(nèi)控信息應(yīng)當內(nèi)部共享，使管理層和員工能夠履行網(wǎng)絡(luò)控制責任。由于網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性，維護正式的網(wǎng)絡(luò)控制的文檔是十分

29、重要的。沒有支持內(nèi)部控制預(yù)期的正式文檔，組織有效管理網(wǎng)絡(luò)風險的能力就會急劇降低。組織需要正式的文檔來評估控制設(shè)計和實施的有效性，以保護組織的信息系統(tǒng)。3董事會。當前，董事會比以往任何時候都需要了解那些可能影響組織實現(xiàn)其目標的網(wǎng)絡(luò)趨勢。董事會在以下方面發(fā)揮了重要的作用：通過了解網(wǎng)絡(luò)風險，保持組織平安性、警覺性和可恢復(fù)性；基于已設(shè)定的風險容忍度，確定應(yīng)對網(wǎng)絡(luò)風險的預(yù)防性和發(fā)現(xiàn)性控制措施已實施；并且明確對于管理層所確立的風險應(yīng)對流程和程序的期望。董事會和管理層包括高級管理層和運營管理層的有效溝通，對董事會履行內(nèi)部控制監(jiān)視職責至關(guān)重要。為了保持董事會層面的有效溝通，復(fù)雜的信息技術(shù)內(nèi)容，需要轉(zhuǎn)換成有意義

30、的、可操作的信息。盡管董事會成員或其他下屬委員會中有網(wǎng)絡(luò)和或信息技術(shù)專家，但大局部董事會成員對于網(wǎng)絡(luò)和信息技術(shù)的相關(guān)知識是有限的。董事會成員的這種差異使得對信息需求的解釋和定義顯得極為重要，以確保董事會能夠履行監(jiān)視職能。根據(jù)董事會對信息要求的定義，組織可以利用相關(guān)的信息技術(shù)框架和標準，從而將技術(shù)性很強的內(nèi)容轉(zhuǎn)換為無論信息技術(shù)背景還是業(yè)務(wù)背景的人員都能夠理解的內(nèi)容。這些框架和標準在上文控制活動要素中有所涉及，包括COBIT、ISO 以及NIST 發(fā)行的網(wǎng)絡(luò)平安框架等其他近期公布的框架和標準。盡管董事會層面的定期溝通會涵蓋網(wǎng)絡(luò)方面的討論，也應(yīng)當建立其他溝通渠道，以確保及時溝通出現(xiàn)的重要網(wǎng)絡(luò)事件。當

31、發(fā)生影響組織目標實現(xiàn)的重大網(wǎng)絡(luò)風險事件，且組織可能需要就該事件與外部溝通時，及時與董事會進展溝通，并提供當時可獲得的高質(zhì)量信息，是組織具備快速反響及恢復(fù)能力的表達。原則 15 組織應(yīng)就影響內(nèi)部控制持續(xù)運行的事項，與外部進展溝通。4外部機構(gòu)。在網(wǎng)絡(luò)平安大環(huán)境下，政策和標準的應(yīng)用是有效管理和控制外部溝通的重要手段。外部溝通會涉及到股東、所有者、客戶、商業(yè)伙伴、監(jiān)管者、金融分析師、政府機構(gòu)和其他外部機構(gòu)。就網(wǎng)絡(luò)風險而言，與外部機構(gòu)溝通的兩個驅(qū)動因素：確保由外及內(nèi)的溝通能夠影響網(wǎng)絡(luò)風險評估和控制。通過由內(nèi)及外的溝通向外部相關(guān)方傳遞與網(wǎng)絡(luò)事件、活動相關(guān)的信息，或者其他可能影響外部相關(guān)方與組織互動的情況。

32、通過與外部機構(gòu)對組織的溝通，組織可以獲得有價值的信息。盡管管理層必須確認這些信息的質(zhì)量，但通常來說，由外對內(nèi)的溝通會為網(wǎng)絡(luò)風險評估和內(nèi)控提供有價值的信息。相反地，由內(nèi)及外的溝通能夠向外部機構(gòu)提供有價值的信息。這是組織所具備的可恢復(fù)能力的一種表達。如果沒有使用恰當?shù)目刂疲@種溝通可能會損害組織的利益。當組織向外界提供信息后，組織對于這些信息的控制能力有限，這些信息可能會被其他組織獲得且利用。在權(quán)衡外部溝通的利弊，并減少其可能導致的對組織的負面影響時，面對名譽損害、股價變動、潛在訴訟致使客戶或其他利益相關(guān)方受損，甚至是暴露更多時機給網(wǎng)絡(luò)攻擊者等后果，制度與標準對管理風險的重要性就顯而易見了。五、控

33、制環(huán)境和監(jiān)視活動缺乏有效的公司治理將無法管理網(wǎng)絡(luò)風險控制環(huán)境和監(jiān)視活動要素是組織有效管理網(wǎng)絡(luò)風險的根底。正如2013 框架中所述控制環(huán)境是一套標準、流程和構(gòu)造，能夠為組織實施內(nèi)部控制提供根底。董事會和高級管理層應(yīng)在高層建立基調(diào)，強調(diào)內(nèi)部控制的重要性包括期望的行為準則。董事會和高級管理層有權(quán)力和責任明確公司的首要任務(wù)。如果組織沒有將平安性、警覺性和可恢復(fù)性設(shè)定為首要任務(wù)并在組織內(nèi)部進展溝通，組織將無法部署足夠的資源來保護其信息系統(tǒng)并適當?shù)貞?yīng)對網(wǎng)絡(luò)事件。應(yīng)對復(fù)雜的網(wǎng)絡(luò)風險對于董事會和管理層來說是一個艱巨的挑戰(zhàn)。為了履行其管理網(wǎng)絡(luò)風險的責任，信息技術(shù)的主題需要被納入組織目標中并得到優(yōu)先關(guān)注。盡管一些

34、組織可能有專業(yè)人員可以就信息技術(shù)如何影響一個組織的流程和目標進展解釋，但許多組織仍需要外部專家的幫助引導戰(zhàn)略決策，以使組織變得更平安、更警覺和更具可恢復(fù)性。為了有效的將資源優(yōu)先部署到應(yīng)對網(wǎng)絡(luò)風險中，得到專業(yè)的網(wǎng)絡(luò)風險管理專家的援助是至關(guān)重要的。董事會和管理層必須認識到并被告知信息系統(tǒng)的價值是與組織目標相一致的。根據(jù)這些信息，他們可以設(shè)定自身的風險承受水平，并確保將足夠的資源用以保護對組織目標至關(guān)重要的信息系統(tǒng)。正如2013 框架在監(jiān)視活動所述主體應(yīng)通過持續(xù)評估、單獨評估或者兩者的組合，以確認內(nèi)部控制的五個要素，包括實現(xiàn)每個要素中原則的控制活動是否存在并持續(xù)運行。對監(jiān)視時所發(fā)現(xiàn)的問題應(yīng)進展評估，并及時溝通缺陷，如有重大事項應(yīng)向高級管理層和董事會報告。專業(yè)的網(wǎng)絡(luò)風險管理人員對于組織的