網(wǎng)絡(luò)時代的內(nèi)部控制

1、網(wǎng)絡(luò)時代的內(nèi)部控制(MaryE.Galligan& Kelly Ra U一、網(wǎng)絡(luò)時代的商業(yè)變革當(dāng)組織考慮如何應(yīng)對日益嚴(yán)峻的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)時，無論是COSO內(nèi)部控制整合框架（”201所架”）還是企業(yè)風(fēng)險(xiǎn)管理整合框架（2004）均提供了評價(jià)風(fēng)險(xiǎn)和管 理風(fēng)險(xiǎn)的有效方法。事實(shí)上，這兩個框架都系統(tǒng)性地引導(dǎo)組織通過 COSO的視角 以相似的路徑去應(yīng)對網(wǎng)絡(luò)風(fēng)險(xiǎn)。隨著各公司致力于實(shí)施2013框架，在本文中，我們結(jié)合2013框架闡述如何使用COSO框架以協(xié)助組織管理網(wǎng)絡(luò)風(fēng)險(xiǎn)和實(shí)施控 制。1992年內(nèi)部控制整合框架（1992框架）發(fā)布時，商業(yè)運(yùn)營環(huán)境同現(xiàn)在相比截然 不同。例如：? 1992年在全世界范圍內(nèi)僅有不到1

2、400萬互聯(lián)網(wǎng)用戶，而今天有接近30億的 用戶。?基于微軟DOS系統(tǒng)的美國在線（AOD剛剛被發(fā)布。?微軟IE瀏覽器尚不存在。?最流行的手機(jī)是大哥大”。?電話和傳真是商業(yè)溝通中最為主要的方式。在過去的二十年間，信息技術(shù)（IT）讓商業(yè)運(yùn)營模式發(fā)生了翻天覆地的變化，網(wǎng) 絡(luò)驅(qū)動成為商業(yè)運(yùn)營的基本環(huán)境。客戶訂單使用電子數(shù)據(jù)在互聯(lián)網(wǎng)中進(jìn)行交互處 理從而沒有或很少有人工參與；業(yè)務(wù)處理往往是通過內(nèi)部網(wǎng)絡(luò)外包給服務(wù)供應(yīng)商； 越來越多的員工遠(yuǎn)程工作或在家工作， 而不再需要到辦公室；倉庫中的庫存情況 通過使用射頻識別（RFID標(biāo)簽進(jìn)行跟蹤；伴隨網(wǎng)上銀行的出現(xiàn)，幾乎所有的銀 行都向客戶提供網(wǎng)上銀行服務(wù)。隨著商業(yè)和技術(shù)

3、的發(fā)展，2013框架也在不斷完善。更新和發(fā)布 2013框架的一 個根本的驅(qū)動因素就是幫助組織利用和依靠不斷發(fā)展的技術(shù)以實(shí)現(xiàn)內(nèi)部控制目 標(biāo)。2013框架在許多方面進(jìn)行了改進(jìn)，并考慮了組織應(yīng)如何管理IT創(chuàng)新的思考： ?市場和運(yùn)營的全球化趨勢；?更加復(fù)雜的業(yè)務(wù)流程；?法律、條例、規(guī)章和標(biāo)準(zhǔn)的要求及復(fù)雜性;?使用和依靠不斷發(fā)展的技術(shù)；?預(yù)防和發(fā)現(xiàn)舞弊行為的要求。自從1992框架發(fā)布以來，商業(yè)模式的創(chuàng)新已經(jīng)與網(wǎng)絡(luò)形成了錯綜復(fù)雜的聯(lián)系。 然而，互聯(lián)網(wǎng)設(shè)計(jì)的初衷是共享信息，而不是保護(hù)信息。每天都有許多重大網(wǎng)絡(luò) 事件被媒體報(bào)道出來。雖然某些行業(yè)受到網(wǎng)絡(luò)攻擊的事件在新聞中占據(jù)更大的比 重，但其實(shí)所有行業(yè)都有可能

4、受到網(wǎng)絡(luò)攻擊。在特定的時點(diǎn)，哪些數(shù)據(jù)、系統(tǒng)和 資產(chǎn)是有價(jià)值的，將取決于網(wǎng)絡(luò)攻擊者的動機(jī)。隨著網(wǎng)絡(luò)事件持續(xù)對受害公司的 財(cái)務(wù)狀況產(chǎn)生負(fù)面影響，并持續(xù)引起額外的監(jiān)管審查，網(wǎng)絡(luò)漏洞將繼續(xù)成為媒體 報(bào)道的高頻事件。此外，信息技術(shù)將繼續(xù)改變?nèi)蚪?jīng)濟(jì)中的商業(yè)運(yùn)營模式。隨著數(shù)字化的普及，特別是企業(yè)與外包服務(wù)供應(yīng)商的外部合作伙伴共享數(shù)據(jù)的情況越來越普遍，信息技術(shù)的應(yīng)用增加了業(yè)務(wù)復(fù)雜性及不穩(wěn)定性，使企業(yè)更加依賴信息技術(shù)相關(guān)的基礎(chǔ)設(shè) 施，而這些基礎(chǔ)設(shè)施卻不完全受企業(yè)控制。即使企業(yè)與外部機(jī)構(gòu)（如服務(wù)提供商， 供應(yīng)商，客戶）建立了相互信任的關(guān)系，能夠確保日常的信息共享及電子化溝通， 一旦出現(xiàn)問題，企業(yè)還是需要為這些不

5、在其控制范圍內(nèi)的信息技術(shù)承擔(dān)責(zé)任。隨著公司不斷利用新技術(shù)和繼續(xù)聘用外部機(jī)構(gòu)開展運(yùn)營，網(wǎng)絡(luò)攻擊者將利用新的漏 洞對企業(yè)進(jìn)行攻擊，這就促使企業(yè)開發(fā)新的信息系統(tǒng)和控制手段以規(guī)避風(fēng)險(xiǎn)。雖然企業(yè)為了保護(hù)業(yè)務(wù)，在內(nèi)部和外部共享技術(shù)信息時非常謹(jǐn)慎， 但網(wǎng)絡(luò)襲擊者 卻在網(wǎng)絡(luò)的另一邊肆意地進(jìn)行操作。他們沒有限度地公開分享信息，而不懼怕任 何法律后果，而且經(jīng)常大量進(jìn)行匿名操作。網(wǎng)絡(luò)攻擊者幾乎可以利用技術(shù)攻擊任 何地方的任何類型的數(shù)據(jù)。即使沒有這無處不在的網(wǎng)絡(luò)威脅，保護(hù)所有的數(shù)據(jù)也是不可能的，特別是考慮到 組織的目標(biāo)、流程和技術(shù)如何持續(xù)革新以支持其業(yè)務(wù)。每次革新都將有可能暴露 風(fēng)險(xiǎn)一一盡管通過周密的安排，革新可以降

6、低風(fēng)險(xiǎn)，但仍不可能完全規(guī)避風(fēng)險(xiǎn)。此外，網(wǎng)絡(luò)攻擊者也在不斷升級，尋找新的方法來發(fā)現(xiàn)信息系統(tǒng)的弱點(diǎn)。 結(jié)果就 是，事實(shí)上網(wǎng)絡(luò)風(fēng)險(xiǎn)是不可避免的，因此，管理網(wǎng)絡(luò)風(fēng)險(xiǎn)是必要的。一旦明確對 組織至關(guān)重要的數(shù)據(jù)，管理層必須投入成本，建立安全控制措施以保護(hù)其最重要 的資產(chǎn)。通過采用一系列措施使組織具備安全性、警惕性、可恢復(fù)性，組織將對 實(shí)現(xiàn)戰(zhàn)略投資的價(jià)值更有信心。為了能夠以安全的、警惕的和可恢復(fù)的方式管理網(wǎng)絡(luò)風(fēng)險(xiǎn)， 組織可以通過內(nèi)部控 制要素來分析網(wǎng)絡(luò)風(fēng)險(xiǎn)。例如：?控制環(huán)境 一一董事會是否了解組織的網(wǎng)絡(luò)風(fēng)險(xiǎn)概況以及是否了解組織如何 應(yīng)對面臨的不斷變化的網(wǎng)絡(luò)風(fēng)險(xiǎn)？?風(fēng)險(xiǎn)評估一一組織及重要的利益相關(guān)者是否對其運(yùn)營

7、、報(bào)告以及合規(guī)目標(biāo)進(jìn) 行評估，并收集信息以了解網(wǎng)絡(luò)風(fēng)險(xiǎn)對這些目標(biāo)的影響？?控制活動一一組織是否制定了控制活動，包括信息系統(tǒng)一般控制，使組織在 風(fēng)險(xiǎn)承受水平內(nèi)管理網(wǎng)絡(luò)風(fēng)險(xiǎn)？該控制活動是否通過正式的政策和程序進(jìn)行實(shí) 施？?信息與溝通一一組織是否明確了網(wǎng)絡(luò)風(fēng)險(xiǎn)內(nèi)部控制所需要的信息？組織是否 已確定了支持內(nèi)部控制持續(xù)運(yùn)行的內(nèi)部和外部的溝通渠道和方案？組織將如何 應(yīng)對、管理和溝通網(wǎng)絡(luò)風(fēng)險(xiǎn)事件？?監(jiān)督活動一一組織如何選擇、制定以及執(zhí)行與網(wǎng)絡(luò)風(fēng)險(xiǎn)相關(guān)的控制設(shè)計(jì)及執(zhí) 行的有效性的評估？當(dāng)缺陷被識別后，如何進(jìn)行溝通并優(yōu)先進(jìn)行整改？組織通過 哪些措施來監(jiān)督網(wǎng)絡(luò)風(fēng)險(xiǎn)？當(dāng)公司通過COSO框架的視角去管理網(wǎng)絡(luò)風(fēng)險(xiǎn)時，董

8、事會及高級行政人員能更好 地溝通他們的運(yùn)營目標(biāo)、關(guān)鍵信息系統(tǒng)的定義以及相關(guān)的風(fēng)險(xiǎn)承受水平。這使組 織內(nèi)的其他人，包括IT人員，可以對網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行詳細(xì)的分析，包括最有可能 受攻擊的信息系統(tǒng)、可能的攻擊方法和最有可能被攻擊者利用的信息。由此實(shí)施 適當(dāng)?shù)目刂苹顒右詰?yīng)對這些風(fēng)險(xiǎn)。在討論每一個內(nèi)部控制要素時，我們將展現(xiàn)每個要素之間是如何相互關(guān)聯(lián)的，以及如何基于內(nèi)外部信息開展持續(xù)的、動態(tài)的風(fēng)險(xiǎn)評估?？刂骗h(huán)境和監(jiān)督活動要素是考慮網(wǎng)絡(luò)風(fēng)險(xiǎn)的基礎(chǔ)。為了使組織具備安全性、警惕性和可恢復(fù)性，這兩類要素必須存在并持續(xù)運(yùn)行 一一若非如此，組織可能無法充 分理解網(wǎng)絡(luò)風(fēng)險(xiǎn)，部署有效的控制活動，并對網(wǎng)絡(luò)風(fēng)險(xiǎn)做出適當(dāng)?shù)膽?yīng)對。因

9、此， 本白皮書的主要重點(diǎn)將放在風(fēng)險(xiǎn)評估、 控制活動以及信息與溝通要素，我們將在本文的結(jié)束語中討論對于控制環(huán)境和監(jiān)督活動方面的思考。二、基于COSO的網(wǎng)絡(luò)風(fēng)險(xiǎn)評估任何一個組織都會面臨一系列由外部和內(nèi)部因素引發(fā)的網(wǎng)絡(luò)風(fēng)險(xiǎn)。 我們可以通過 評估對實(shí)現(xiàn)組織目標(biāo)存在的不利影響和事件發(fā)生的可能性來評估網(wǎng)絡(luò)風(fēng)險(xiǎn)。 惡意 行為，尤其是那些受經(jīng)濟(jì)利益驅(qū)動的行為， 往往出于對成本和利益的權(quán)衡。 實(shí)施 網(wǎng)絡(luò)攻擊的犯罪者及其動機(jī)可以分為以下幾類：?敵對國家和間諜一一敵對國家以軍事和獲得競爭優(yōu)勢為目的尋求知識產(chǎn)權(quán)和 交易機(jī)密，竊取國家安全機(jī)密或知識產(chǎn)權(quán)。?有組織的犯罪者一一運(yùn)用精密工具竊取錢財(cái)或公司客戶的私人敏感信息（

10、如盜 用身份信息）。?恐怖分子一一以團(tuán)體或個人的形式利用互聯(lián)網(wǎng)對包括金融機(jī)構(gòu)在內(nèi)的重要基 礎(chǔ)設(shè)施進(jìn)行網(wǎng)絡(luò)攻擊。?黑客一一以團(tuán)體或個人的形式，通過竊取或公開組織敏感信息發(fā)布社會或政 治言論。?內(nèi)部人員一一組織內(nèi)部受信任的個人出售或公開組織敏感信息?？刂苹顒幽軌蚍婪?、發(fā)現(xiàn)和應(yīng)對網(wǎng)絡(luò)風(fēng)險(xiǎn)，而風(fēng)險(xiǎn)評估結(jié)果最終會影響組織在控 制活動上的資源分配，因此對于風(fēng)險(xiǎn)評估過程本身也必須要進(jìn)行投資。組織資源 有限，因此針對控制活動的投資決策必須依據(jù)相關(guān)的高質(zhì)量信息，優(yōu)先為對組織來說最重要的信息系統(tǒng)提供資金支持。評估組織網(wǎng)絡(luò)風(fēng)險(xiǎn)需要首先理解信息系統(tǒng)對組織的價(jià)值。該價(jià)值可通過評估其對 組織目標(biāo)的潛在影響來衡量。原則6【

11、源自內(nèi)部控制一一整合框架（2013）中列示的17項(xiàng)內(nèi)部控制原則。 下同?！拷M織應(yīng)設(shè)定清晰明確的目標(biāo)，以識別和評估與目標(biāo)相關(guān)的風(fēng)險(xiǎn)。2013框架在原則6中提供了若干關(guān)注點(diǎn)，為組織在網(wǎng)絡(luò)風(fēng)險(xiǎn)評估過程中評估組 織目標(biāo)提供了參考。這些關(guān)注點(diǎn)分為以下五類：?經(jīng)營目標(biāo)?外部財(cái)務(wù)報(bào)告目標(biāo)?外部非財(cái)務(wù)報(bào)告目標(biāo)?內(nèi)部報(bào)告目標(biāo)?合規(guī)目標(biāo)網(wǎng)絡(luò)風(fēng)險(xiǎn)評估會幫助管理層作出用以支持組織目標(biāo)實(shí)現(xiàn)的信息系統(tǒng)控制活動的決策部署，因此高級管理層和其他重要的利益相關(guān)方需要引導(dǎo)風(fēng)險(xiǎn)評估過程，根據(jù)組織目標(biāo)確定需要被保護(hù)的信息系統(tǒng)。很多組織沒有花費(fèi)足夠精力了解對組織 來說最重要的信息系統(tǒng)，他們也不了解信息在哪里儲存、如何儲存。這會導(dǎo)致組

12、織企圖保護(hù)所有方面，從而導(dǎo)致過度保護(hù)某些特定的信息系統(tǒng)， 而又對其他的信 息系統(tǒng)保護(hù)不足。信息系統(tǒng)的價(jià)值評估需要業(yè)務(wù)和信息技術(shù)人員的高度配合。因?yàn)樵谟邢薜臅r間、 預(yù)算和可利用的資源下，組織無法采取措施應(yīng)對所有風(fēng)險(xiǎn)，因此管理層需要確定 組織可接受的風(fēng)險(xiǎn)承受水平，重點(diǎn)保護(hù)最重要的信息系統(tǒng)。原則7組織應(yīng)對影響其目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)進(jìn)行全范圍的識別和分析，并以此為基 礎(chǔ)來決定應(yīng)如何管理風(fēng)險(xiǎn)。原則8組織應(yīng)在評估影響其目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)時，考慮潛在的舞弊行為。應(yīng)用原則6進(jìn)行目標(biāo)識別后，組織應(yīng)當(dāng)清晰地理解對于實(shí)現(xiàn)目標(biāo)具有重要影響 的信息系統(tǒng)。然后應(yīng)用原則7和原則8,進(jìn)行更深入的風(fēng)險(xiǎn)評估，引導(dǎo)組織評估 網(wǎng)絡(luò)風(fēng)險(xiǎn)影響的嚴(yán)

13、重程度和可能性。在高級管理層的領(lǐng)導(dǎo)下，通過業(yè)務(wù)和IT利益相關(guān)方的配合，組織能夠有效評價(jià)影響組織目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)。為了使風(fēng)險(xiǎn)評估過程有效，相關(guān)人員必須了解組織網(wǎng)絡(luò)風(fēng)險(xiǎn)概況， 這包括了解哪 些信息系統(tǒng)容易成為攻擊者的目標(biāo)，了解哪些攻擊行為容易發(fā)生。會造成組織付 出高額代價(jià)的攻擊一般是組織最為關(guān)注的部分，組織應(yīng)該了解并時刻警惕這些網(wǎng) 絡(luò)威脅。保持警惕意味著在組織中建立危險(xiǎn)意識， 有些行為模式預(yù)示著重要資產(chǎn)損失，在 組織中應(yīng)當(dāng)提高發(fā)現(xiàn)這種行為模式的能力。組織必須將其整合到整體風(fēng)險(xiǎn)評估過 程中，以便識別在哪些節(jié)點(diǎn)實(shí)施控制，以保護(hù)資產(chǎn)安全。與僅廣泛關(guān)注網(wǎng)絡(luò)風(fēng)險(xiǎn)相比，關(guān)注行業(yè)特定的網(wǎng)絡(luò)風(fēng)險(xiǎn)更為重要。網(wǎng)絡(luò)攻擊者

14、對 于各行業(yè)有特定的攻擊目標(biāo)。比如，在零售行業(yè)，有組織的攻擊者主要利用信息 系統(tǒng)中的薄弱點(diǎn)，竊取能夠用來獲利的特定信息（如信用卡數(shù)據(jù)或個人身份驗(yàn)證 信息）。石油天然氣行業(yè)容易成為敵對國家為竊取勘探地戰(zhàn)略數(shù)據(jù)而攻擊的目標(biāo)。 化工企業(yè)由于其產(chǎn)品帶來的環(huán)境問題也容易遭受黑客攻擊。無論出于哪種動機(jī)，網(wǎng)絡(luò)攻擊者都是堅(jiān)持不懈的、技術(shù)嫻熟的、有耐心的。他們 會通過收集暴露組織信息系統(tǒng)和內(nèi)部控制弱點(diǎn)的信息來分階段進(jìn)行攻擊。通過仔細(xì)識別其動機(jī)和可能的攻擊方式， 以及所用的技術(shù)、工具和流程，組織可以更好 地預(yù)測風(fēng)險(xiǎn)，設(shè)計(jì)有效的控制措施，并在網(wǎng)絡(luò)攻擊發(fā)生時最小化潛在風(fēng)險(xiǎn)， 保證 重要資產(chǎn)的安全。原則9組織應(yīng)識別并評

15、估對其內(nèi)部控制體系可能造成重大影響的改變。任何組織都會存在變化的情況，在評估網(wǎng)絡(luò)風(fēng)險(xiǎn)時，應(yīng)當(dāng)預(yù)測這些變化。組織會 不斷發(fā)展，包括目標(biāo)、人員、流程和技術(shù)都處在變化之中。網(wǎng)絡(luò)環(huán)境也會發(fā)生變 化，包括產(chǎn)生新的網(wǎng)絡(luò)攻擊者、新的攻擊方式。盡管網(wǎng)絡(luò)風(fēng)險(xiǎn)評估主要關(guān)注組織 目前狀況，但評估過程必須是動態(tài)且持續(xù)的，需要考慮內(nèi)部和外部威脅的變化， 據(jù)此調(diào)整組織管理網(wǎng)絡(luò)風(fēng)險(xiǎn)的方式。在組織尋求發(fā)展、創(chuàng)新及成本優(yōu)化的過程中，往往伴隨著經(jīng)營模式創(chuàng)新與科技創(chuàng) 新。然而，這些創(chuàng)新也會帶來新的網(wǎng)絡(luò)風(fēng)險(xiǎn)。比如，網(wǎng)絡(luò)、移動設(shè)備、云技術(shù)和 社交媒體技術(shù)的采用會增加被網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。相似地，外包、離岸和第三方合作會導(dǎo)致潛在的、超出組織

16、控制范圍的網(wǎng)絡(luò)漏洞。這一趨勢促使網(wǎng)絡(luò)生態(tài)鏈條的 不斷發(fā)展，同時也給網(wǎng)絡(luò)攻擊者實(shí)施攻擊提供了更大的平臺。對于可能影響內(nèi)部 控制體系發(fā)生變化的評估需要考慮人員的變動。 業(yè)務(wù)層面人員的流動對于組織實(shí) 施網(wǎng)絡(luò)風(fēng)險(xiǎn)相關(guān)控制活動的有效性有很大影響。風(fēng)險(xiǎn)評估需要不斷更新，以反映那些會影響組織為保護(hù)關(guān)鍵信息系統(tǒng)而實(shí)施的相 關(guān)控制的變化。監(jiān)控變化中的威脅情況以及風(fēng)險(xiǎn)評估過程將產(chǎn)生信息，高級管理層及利益相關(guān)方必須分享并討論這些信息，以制定避免組織暴露于網(wǎng)絡(luò)風(fēng)險(xiǎn)之中 的最佳決策。三、識別并執(zhí)行網(wǎng)絡(luò)風(fēng)險(xiǎn)控制活動原則10組織應(yīng)該選擇并執(zhí)行那些可以將影響其目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)降至可接受水 平的控制活動。原則11針對信息技術(shù)，組

17、織應(yīng)選擇并執(zhí)行信息技術(shù)一般控制以支持其目標(biāo)的實(shí) 現(xiàn)。原則12組織應(yīng)通過政策和程序來實(shí)施控制活動。政策是建立預(yù)期，程序是將政 策付諸行動。控制活動由組織中的員工實(shí)施，幫助確保管理層方針得到有效執(zhí)行，以降低影響 組織目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)。這些控制活動需要在政策中明確，以確?？刂苹顒釉诮M織 中執(zhí)行一致。如前文所述，網(wǎng)絡(luò)風(fēng)險(xiǎn)不可避免，但組織可以通過設(shè)計(jì)和執(zhí)行適當(dāng)?shù)目刂拼胧﹣?管理網(wǎng)絡(luò)風(fēng)險(xiǎn)。當(dāng)組織通過風(fēng)險(xiǎn)評估流程考慮到可能的攻擊方式和路徑時，組織可以更有效地降低潛在的網(wǎng)絡(luò)漏洞對實(shí)現(xiàn)組織目標(biāo)的影響。意識到網(wǎng)絡(luò)風(fēng)險(xiǎn)不可避免，并實(shí)施適當(dāng)?shù)娘L(fēng)險(xiǎn)評估后，組織應(yīng)當(dāng)按層級建立多層控制防線， 防止攻擊 者在攻破第一道防線后繼

18、續(xù)侵入信息系統(tǒng)。由于網(wǎng)絡(luò)風(fēng)險(xiǎn)可能暴露在組織內(nèi)部和外部的多個切入點(diǎn)上，因此，可以同時應(yīng)用預(yù)防性和發(fā)現(xiàn)性控制，以降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。有效的預(yù)防性控制能夠未雨綢繆，使得 攻擊者無法接觸到組織內(nèi)部信息技術(shù)環(huán)境， 保證信息系統(tǒng)安全。止匕外，在組織內(nèi) 部信息技術(shù)環(huán)境中實(shí)施預(yù)防性控制， 對攻擊者侵入網(wǎng)絡(luò)環(huán)境設(shè)置障礙，可以延緩 了攻擊的速度。即使被入侵，這些控制會使組織及時發(fā)現(xiàn)，并盡早采取整改措施 修正漏洞和評估潛在損失。實(shí)施整改措施后，管理層需要研究入侵發(fā)生的根本原 因，進(jìn)而完善控制措施以預(yù)防和發(fā)現(xiàn)未來可能發(fā)生類似攻擊。除了預(yù)防性控制和發(fā)現(xiàn)性控制，為降低網(wǎng)絡(luò)風(fēng)險(xiǎn)而部署的控制活動還應(yīng)包括與其 他業(yè)務(wù)控制相聯(lián)系的信息

19、技術(shù)一般控制（GITQo信息技術(shù)一般控制會幫助預(yù)防 或發(fā)現(xiàn)網(wǎng)絡(luò)入侵，使得組織面對災(zāi)害具備快速反應(yīng)及恢復(fù)能力。 發(fā)現(xiàn)網(wǎng)絡(luò)攻擊事 件時，應(yīng)當(dāng)及時與組織中的相關(guān)人員進(jìn)行溝通，以采取進(jìn)一步降低風(fēng)險(xiǎn)的措施。 由于風(fēng)險(xiǎn)評估是基于對組織目標(biāo)的理解開展的，需要關(guān)鍵利益相關(guān)方參與其中， 因此組織應(yīng)當(dāng)編制基本的聯(lián)絡(luò)圖，明確當(dāng)網(wǎng)絡(luò)攻擊事件發(fā)生時，哪些人員應(yīng)得到 及時的通知。盡管2013框架提供了原則和關(guān)注點(diǎn)以指引組織建立有效的控制活動， 它并沒有 涵蓋組織應(yīng)當(dāng)采取的具體控制措施。 每個組織都是由具有不同技術(shù)、不同經(jīng)驗(yàn)的 人員構(gòu)成，這些經(jīng)驗(yàn)技術(shù)會影響他們的職業(yè)判斷， 進(jìn)而影響內(nèi)控。當(dāng)評價(jià)組織是 否設(shè)計(jì)并實(shí)施適當(dāng)?shù)目刂?/p>

20、以應(yīng)對網(wǎng)絡(luò)風(fēng)險(xiǎn)時， 可以將控制活動與網(wǎng)絡(luò)風(fēng)險(xiǎn)管理相關(guān)的標(biāo)準(zhǔn)和框架對比。以下提供了一些網(wǎng)絡(luò)風(fēng)險(xiǎn)相關(guān)標(biāo)準(zhǔn)和框架指引，可以幫助 組織評價(jià)控制的充分性，以確保組織安全、警惕和可恢復(fù)。網(wǎng)絡(luò)風(fēng)險(xiǎn)相關(guān)的標(biāo)準(zhǔn)和框架指引COBIT由ISACA編制，協(xié)助管理層彌補(bǔ)在控制要求、技術(shù)問題及業(yè)務(wù)風(fēng)險(xiǎn)之間的 缺口。ISO國際標(biāo)準(zhǔn)化組織編制了 ISO 27000系列，為組織實(shí)施支持信息安全準(zhǔn)則的流 程和控制制定標(biāo)準(zhǔn)。NIST美國商務(wù)部國家標(biāo)準(zhǔn)與技術(shù)研究所于 2014年2月發(fā)布 關(guān)于提高關(guān)鍵基礎(chǔ) 設(shè)施網(wǎng)絡(luò)安全”的框架（第一版）。該框架依據(jù)現(xiàn)有標(biāo)準(zhǔn)、指引和操作實(shí)務(wù)，引導(dǎo) 組織降低網(wǎng)絡(luò)風(fēng)險(xiǎn)的潛在影響。四、形成并溝通相關(guān)的高質(zhì)量信

21、息，以管理網(wǎng)絡(luò)風(fēng)險(xiǎn)和控制信息與溝通要素有三項(xiàng)原則，包括：（1）識別相關(guān)的高質(zhì)量的信息；（2）確定信 息在組織內(nèi)部的溝通方式；（3）確定組織與外部的溝通方式。 所有其他內(nèi)部控制 要素均依賴于信息與溝通要素提供的相關(guān)的高質(zhì)量信息。 盡管在應(yīng)用2013框架 時,所有的關(guān)注點(diǎn)都需要考慮，但某些關(guān)注點(diǎn)就網(wǎng)絡(luò)風(fēng)險(xiǎn)及其控制而言更加重要。這些關(guān)注點(diǎn)會在本部分中重點(diǎn)強(qiáng)調(diào)。原則13組織應(yīng)獲取或生成和使用相關(guān)的高質(zhì)量信息來支持內(nèi)部控制的持續(xù)運(yùn) 行。.識別信息需求組織的控制活動決定了信息需求。信息的形式可以是報(bào)告、控制分析中的數(shù)據(jù)、顯示組織商業(yè)結(jié)構(gòu)概況的圖表。識別對于內(nèi)部控制較為重要的信息需求和進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)分析，在風(fēng)

22、險(xiǎn)評估過程是 密不可分的。比如，網(wǎng)絡(luò)風(fēng)險(xiǎn)評估需要的是逐層的信息， 通過高層級的信息來引 導(dǎo)更為詳細(xì)的風(fēng)險(xiǎn)評估程序。最終，組織需要明確信息系統(tǒng)及其價(jià)值，通過實(shí)施與其價(jià)值匹配的控制措施保護(hù) 其不受網(wǎng)絡(luò)攻擊。為了達(dá)到該目標(biāo)，業(yè)務(wù)人員和信息技術(shù)人員（包括外部服務(wù)供 應(yīng)商）必須首先對商業(yè)結(jié)構(gòu)的整體框架達(dá)成共識， 包括相關(guān)的對組織重要的商業(yè) 目標(biāo)和子目標(biāo)。依據(jù)這些信息，組織可以延伸風(fēng)險(xiǎn)評估范圍，深入了解可能受到 攻擊的信息系統(tǒng)及攻擊方式。一旦完成風(fēng)險(xiǎn)評估，組織將溝通這些信息，確保所 設(shè)計(jì)的流程和控制能夠用來應(yīng)對這些風(fēng)險(xiǎn)。盡管該概念容易理解，但由于人員、流程和技術(shù)會隨著組織目標(biāo)不斷發(fā)展， 組織 仍需將信息要

23、求（以及相關(guān)的風(fēng)險(xiǎn)分析和應(yīng)對） 記錄為正式文檔，以幫助確保流 程和控制的實(shí)施與相關(guān)的高質(zhì)量信息保持一致， 從而能夠持續(xù)反映那些由于組織 目標(biāo)的變化，而導(dǎo)致的人員、流程和技術(shù)的變化。.將相關(guān)數(shù)據(jù)轉(zhuǎn)化為信息在當(dāng)今商業(yè)環(huán)境下，具有警惕性的組織能夠收集到大量的信息系統(tǒng)活動日志數(shù)據(jù)。 安全運(yùn)營中心每天產(chǎn)生大量預(yù)警數(shù)據(jù)，以及數(shù)萬至數(shù)百萬個預(yù)警事件。為了對網(wǎng) 絡(luò)風(fēng)險(xiǎn)保持警惕，將原始數(shù)據(jù)轉(zhuǎn)換成有意義的、可操作的和可靠的信息就變得極 其重要。對很多組織來說，通過識別風(fēng)險(xiǎn)事件的預(yù)警模式將原始數(shù)據(jù)轉(zhuǎn)化為信息是很困難 的。每天、每周、每月都會產(chǎn)生大量信息，從中找出預(yù)警信息是很有挑戰(zhàn)性的。 進(jìn)一步講，通過觀察單一事件，

24、通常無法識別網(wǎng)絡(luò)風(fēng)險(xiǎn)事件。往往經(jīng)過一段時間， 從多渠道整合信息，才能識別風(fēng)險(xiǎn)并采取措施處理被發(fā)現(xiàn)的網(wǎng)絡(luò)事件。由于控制 依賴于及時的、相關(guān)的、高質(zhì)量的、完整的信息，如果組織無法將原始數(shù)據(jù)轉(zhuǎn)換 成可用于自動或人工控制的可操作信息，組織將無法采取恰當(dāng)措施。.從內(nèi)部和外部來源獲取數(shù)據(jù)如前文所述，對于信息的需求使得信息來源于內(nèi)部或外部。 盡管網(wǎng)絡(luò)風(fēng)險(xiǎn)分析和 控制的主要信息來源會從內(nèi)部產(chǎn)生， 但組織仍需考慮需要從外部獲取數(shù)據(jù)。 下列 外部數(shù)據(jù)來源的示例未必全面，但很可能適用于大多數(shù)組織。?商業(yè)或行業(yè)的外部數(shù)據(jù)：從網(wǎng)絡(luò)角度看，行業(yè)中所有公司的發(fā)展模式和趨勢是 類似的。行業(yè)中各公司信息系統(tǒng)的價(jià)值及運(yùn)用的技術(shù)也

25、是類似的。這種一致性會影響網(wǎng)絡(luò)攻擊者的行為和采取的攻擊方式。盡管與外部共享信息需要謹(jǐn)慎，但與 可信任的同盟或同行業(yè)組織共享信息并討論網(wǎng)絡(luò)事件發(fā)生趨勢，能夠幫助組織預(yù)防和發(fā)現(xiàn)網(wǎng)絡(luò)風(fēng)險(xiǎn)事件。?政府機(jī)構(gòu)外部數(shù)據(jù)：盡管獲取政府機(jī)構(gòu)外部信息需要得到政府的安全等級權(quán)限， 但這些信息對實(shí)施控制以應(yīng)對網(wǎng)絡(luò)風(fēng)險(xiǎn)具有重要意義。針對日益嚴(yán)峻的網(wǎng)絡(luò)風(fēng)險(xiǎn) 威脅，許多政府部門支持通過提升流程和控制來免受侵害。?外部服務(wù)提供商外部數(shù)據(jù)：由于組織通常會將某些職能或流程外包給其他服務(wù) 組織，從這些服務(wù)組織獲得的網(wǎng)絡(luò)事件信息可以幫助識別和控制網(wǎng)絡(luò)風(fēng)險(xiǎn)。為了獲得期望的外包服務(wù)效益，需要建立信任關(guān)系，將雙方的信息系統(tǒng)相聯(lián)接。盡管 組

26、織與外部服務(wù)供應(yīng)商基于自身的利益均想保護(hù)其信息系統(tǒng)，當(dāng)網(wǎng)絡(luò)事件同時威脅到雙方及各自的經(jīng)營目標(biāo)時，雙方都應(yīng)意識到信息共享的重要性。 如果某一方 出現(xiàn)了會影響另一方業(yè)務(wù)運(yùn)營的風(fēng)險(xiǎn)事件， 一定程度的信息透明度和與該風(fēng)險(xiǎn)事 件相關(guān)信息的共享可以增強(qiáng)雙方的快速反應(yīng)及恢復(fù)能力。.在處理過程中確保信息質(zhì)量網(wǎng)絡(luò)時代的控制活動的設(shè)計(jì)依賴于信息，因此組織在實(shí)施控制活動時需要考慮信 息的質(zhì)量。正如應(yīng)當(dāng)在組織中廣泛建立信息管理相關(guān)制度，這些制度也應(yīng)應(yīng)用于 網(wǎng)絡(luò)風(fēng)險(xiǎn)控制活動中。組織應(yīng)當(dāng)明確責(zé)任和義務(wù)，遵循數(shù)據(jù)治理相關(guān)要求，保護(hù) 數(shù)據(jù)和信息避免未經(jīng)授權(quán)的訪問和修改，從而保證信息的質(zhì)量。組織生成并使用用以支持內(nèi)部控制持續(xù)運(yùn)

27、行的相關(guān)的高質(zhì)量信息的能力依賴于數(shù)據(jù)治理。在利益相關(guān)方中建立共識并由管理層牽頭實(shí)施，對建立有效的數(shù)據(jù)治理機(jī)制至關(guān)重要。一旦組織建立了有效的數(shù)據(jù)治理項(xiàng)目且能夠持續(xù)實(shí)施該項(xiàng)目， 則能夠獲得高質(zhì)量的信息。信息質(zhì)量能夠提升組織的內(nèi)控體系，完善與網(wǎng)絡(luò)風(fēng)險(xiǎn) 相關(guān)的內(nèi)部控制。原則14組織應(yīng)在內(nèi)部對內(nèi)部控制目標(biāo)和責(zé)任等必要信息進(jìn)行溝通，從而支持內(nèi)部控制持續(xù)運(yùn)行。.溝通內(nèi)部控制信息(1)全體員工。保持安全性、警惕性、可恢復(fù)性是組織的責(zé)任，每位員工在保 護(hù)信息系統(tǒng)安全中扮演不同的角色。盡管某些員工有明確責(zé)任負(fù)責(zé)管理網(wǎng)絡(luò)風(fēng)險(xiǎn) 和控制，組織中的每位員工都應(yīng)對保護(hù)信息系統(tǒng)保持警惕。組織應(yīng)當(dāng)制定并實(shí)行 全組織范圍的溝通計(jì)

28、劃，提升每位員工的網(wǎng)絡(luò)風(fēng)險(xiǎn)和控制意識。信息溝通能夠幫助加強(qiáng)內(nèi)控鏈條中的薄弱點(diǎn) 一一人。由于人性使然，人成為了內(nèi) 控中最薄弱的環(huán)節(jié)，尤其考慮到人的好奇心帶來的后果時：當(dāng)人們收到被認(rèn)為是可信任的同事、 顧客、供應(yīng)商或其他商業(yè)伙伴的郵件時， 人 們會怎么做？如果郵件看起來是正式的，僅僅點(diǎn)擊一個鏈接就可能導(dǎo)致網(wǎng)絡(luò)入侵。 當(dāng)人們發(fā)現(xiàn)地上有一個 U盤，人們會怎么做？當(dāng)他們把 U盤插到電腦上想查看 是誰的U盤時，在U盤中預(yù)先加載的程序會導(dǎo)致公司面臨網(wǎng)絡(luò)攻擊者的威脅。人的特性比如好奇心和對他人的信任，為網(wǎng)絡(luò)攻擊者提供了攻擊組織內(nèi)控薄弱點(diǎn) 的機(jī)會。針對這種情況，比較有效的方式是定期對員工進(jìn)行培訓(xùn)， 提升網(wǎng)絡(luò)安全

29、 意識，降低攻擊者從普通員工入手進(jìn)行網(wǎng)絡(luò)攻擊的可能性。用不同的方式來實(shí)現(xiàn) 溝通計(jì)劃，能夠最大限度的提升員工網(wǎng)絡(luò)風(fēng)險(xiǎn)意識和責(zé)任感。持續(xù)的溝通（如直播會議，全公司范圍發(fā)送消息）為員工提供了相關(guān)且及時的信息傳遞機(jī)制。例如新員工培訓(xùn)和年度培訓(xùn)項(xiàng)目可以幫助組織完成相關(guān)信息傳遞。（2）對于網(wǎng)絡(luò)風(fēng)控有明確管理和監(jiān)督責(zé)任的人員。正如之前控制活動要素中提 到的，管理層應(yīng)當(dāng)選擇、執(zhí)行和部署內(nèi)控，以保護(hù)信息系統(tǒng)。內(nèi)控信息應(yīng)當(dāng)內(nèi)部 共享，使管理層和員工能夠履行網(wǎng)絡(luò)控制責(zé)任。由于網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性，維護(hù)正式的網(wǎng)絡(luò)控制的文檔是十分重要的。 沒有支持內(nèi) 部控制預(yù)期的正式文檔，組織有效管理網(wǎng)絡(luò)風(fēng)險(xiǎn)的能力就會急劇降低。組織需要

30、正式的文檔來評估控制設(shè)計(jì)和實(shí)施的有效性，以保護(hù)組織的信息系統(tǒng)。（3）董事會。當(dāng)前，董事會比以往任何時候都需要了解那些可能影響組織實(shí)現(xiàn) 其目標(biāo)的網(wǎng)絡(luò)趨勢。董事會在以下方面發(fā)揮了重要的作用：通過了解網(wǎng)絡(luò)風(fēng)險(xiǎn)， 保持組織安全性、警惕性和可恢復(fù)性；基于已設(shè)定的風(fēng)險(xiǎn)容忍度，確定應(yīng)對網(wǎng)絡(luò) 風(fēng)險(xiǎn)的預(yù)防性和發(fā)現(xiàn)性控制措施已實(shí)施；并且明確對于管理層所確立的風(fēng)險(xiǎn)應(yīng)對 流程和程序的期望。董事會和管理層（包括高級管理層和運(yùn)營管理層）的有效溝通，對董事會履行內(nèi) 部控制監(jiān)督職責(zé)至關(guān)重要。為了保持董事會層面的有效溝通，復(fù)雜的信息技術(shù)內(nèi) 容，需要轉(zhuǎn)換成有意義的、可操作的信息。盡管董事會成員或其他下屬委員會中有網(wǎng)絡(luò)和（或）信息

31、技術(shù)專家，但大部分董 事會成員對于網(wǎng)絡(luò)和信息技術(shù)的相關(guān)知識是有限的。董事會成員的這種差異使得 對信息需求的解釋和定義顯得極為重要，以確保董事會能夠履行監(jiān)督職能。根據(jù)董事會對信息要求的定義，組織可以利用相關(guān)的信息技術(shù)框架和標(biāo)準(zhǔn)， 從而 將技術(shù)性很強(qiáng)的內(nèi)容轉(zhuǎn)換為無論信息技術(shù)背景還是業(yè)務(wù)背景的人員都能夠理解 的內(nèi)容。這些框架和標(biāo)準(zhǔn)在上文控制活動要素中有所涉及，包括 COBIT ISO以 及NIST發(fā)行的網(wǎng)絡(luò)安全框架等其他近期頒布的框架和標(biāo)準(zhǔn)。盡管董事會層面的定期溝通會涵蓋網(wǎng)絡(luò)方面的討論，也應(yīng)當(dāng)建立其他溝通渠道， 以確保及時溝通出現(xiàn)的重要網(wǎng)絡(luò)事件。當(dāng)發(fā)生影響組織目標(biāo)實(shí)現(xiàn)的重大網(wǎng)絡(luò)風(fēng)險(xiǎn) 事件，且組織可能

32、需要就該事件與外部溝通時， 及時與董事會進(jìn)行溝通，并提供 當(dāng)時可獲得的高質(zhì)量信息，是組織具備快速反應(yīng)及恢復(fù)能力的體現(xiàn)。原則15組織應(yīng)就影響內(nèi)部控制持續(xù)運(yùn)行的事項(xiàng)，與外部進(jìn)行溝通。(4)外部機(jī)構(gòu)。在網(wǎng)絡(luò)安全大環(huán)境下，政策和標(biāo)準(zhǔn)的應(yīng)用是有效管理和控制外 部溝通的重要手段。外部溝通會涉及到股東、所有者、客戶、商業(yè)伙伴、監(jiān)管者、 金融分析師、政府機(jī)構(gòu)和其他外部機(jī)構(gòu)。就網(wǎng)絡(luò)風(fēng)險(xiǎn)而言，與外部機(jī)構(gòu)溝通的兩 個驅(qū)動因素：?確保由外及內(nèi)的溝通能夠影響網(wǎng)絡(luò)風(fēng)險(xiǎn)評估和控制。?通過由內(nèi)及外的溝通向外部相關(guān)方傳遞與網(wǎng)絡(luò)事件、活動相關(guān)的信息，或者其他可能影響外部相關(guān)方與組織互動的情況。通過與外部機(jī)構(gòu)對組織的溝通，組織可以

33、獲得有價(jià)值的信息。盡管管理層必須確 認(rèn)這些信息的質(zhì)量，但通常來說，由外對內(nèi)的溝通會為網(wǎng)絡(luò)風(fēng)險(xiǎn)評估和內(nèi)控提供 有價(jià)值的信息。相反地，由內(nèi)及外的溝通能夠向外部機(jī)構(gòu)提供有價(jià)值的信息。這是組織所具備的可恢復(fù)能力的一種體現(xiàn)。如果沒有使用恰當(dāng)?shù)目刂疲@種溝通可能會損害組織的 利益。當(dāng)組織向外界提供信息后，組織對于這些信息的控制能力有限， 這些信息 可能會被其他組織獲得且利用。在權(quán)衡外部溝通的利弊，并減少其可能導(dǎo)致的對組織的負(fù)面影響時， 面對名譽(yù)損 害、股價(jià)變動、潛在訴訟致使客戶或其他利益相關(guān)方受損，甚至是暴露更多機(jī)會 給網(wǎng)絡(luò)攻擊者等后果，制度與標(biāo)準(zhǔn)對管理風(fēng)險(xiǎn)的重要性就顯而易見了。五、控制環(huán)境和監(jiān)督活動一一

34、缺乏有效的公司治理將無法管理網(wǎng)絡(luò)風(fēng)險(xiǎn)控制環(huán)境和監(jiān)督活動要素是組織有效管理網(wǎng)絡(luò)風(fēng)險(xiǎn)的基礎(chǔ)。正如2013框架中所述 控制環(huán)境是一套標(biāo)準(zhǔn)、流程和結(jié)構(gòu)，能夠?yàn)榻M織實(shí)施內(nèi) 部控制提供基礎(chǔ)。董事會和高級管理層應(yīng)在高層建立基調(diào)， 強(qiáng)調(diào)內(nèi)部控制的重要 性(包括期望的行為準(zhǔn)則)。”董事會和高級管理層有權(quán)力和責(zé)任明確公司的首要任務(wù)。如果組織沒有將安全性、警惕性和可恢復(fù)性設(shè)定為首要任務(wù)并在組織內(nèi)部進(jìn)行溝通，組織將無法部署足夠 的資源來保護(hù)其信息系統(tǒng)并適當(dāng)?shù)貞?yīng)對網(wǎng)絡(luò)事件。應(yīng)對復(fù)雜的網(wǎng)絡(luò)風(fēng)險(xiǎn)對于董事會和管理層來說是一個艱巨的挑戰(zhàn)。為了履行其管理網(wǎng)絡(luò)風(fēng)險(xiǎn)的責(zé)任，信息技術(shù)的主題需要被納入組織目標(biāo)中并得到優(yōu)先關(guān)注。盡 管一些

35、組織可能有專業(yè)人員可以就信息技術(shù)如何影響一個組織的流程和目標(biāo)進(jìn) 行解釋，但許多組織仍需要外部專家的幫助引導(dǎo)戰(zhàn)略決策， 以使組織變得更安全、 更警惕和更具可恢復(fù)性。為了有效的將資源優(yōu)先部署到應(yīng)對網(wǎng)絡(luò)風(fēng)險(xiǎn)中，得到專業(yè)的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理專家的 援助是至關(guān)重要的。董事會和管理層必須認(rèn)識到并被告知信息系統(tǒng)的價(jià)值是與組 織目標(biāo)相一致的。根據(jù)這些信息，他們可以設(shè)定自身的風(fēng)險(xiǎn)承受水平， 并確保將 足夠的資源用以保護(hù)對組織目標(biāo)至關(guān)重要的信息系統(tǒng)。正如2013框架在監(jiān)督活動所述主體應(yīng)通過持續(xù)評估、單獨(dú)評估或者兩者的組 合，以確認(rèn)內(nèi)部控制的五個要素，包括實(shí)現(xiàn)每個要素中原則的控制活動是否存在 并持續(xù)運(yùn)行。對監(jiān)督時所發(fā)現(xiàn)的問題應(yīng)進(jìn)行評估，并及時溝通缺陷，如有重大事 項(xiàng)應(yīng)向高級管理層和董事會報(bào)告?！睂I(yè)的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理人員對于組織的監(jiān)督活動也非常重要。 為了減少潛在的網(wǎng)絡(luò) 風(fēng)險(xiǎn)暴露，組織應(yīng)對控制活動的設(shè)計(jì)和執(zhí)行有