防范网络风险 高级管理层的最佳结构化实践发布

鉴于高级别网络攻击和勒索软件攻击全球泛滥，各级组织都在强调网络安全的重要性，如世界经济论坛此前就将网络犯罪定义为未来十年（至2030年）全球商业中第二大最受关注的风险。
 
日前，国际律师协会（IBA）发布了一份《防范网络风险的全球视角：高管和董事会的最佳治理实践》报告，该报告借鉴了全球十个不同国家的法律法规要求，总结了高级管理层和董事会应如何保护其企业免受网络风险的影响的诸多最佳实践。



IBA网络安全特别工作组联席主席Sören Skibsted和Luke Dembosky解释称，尽管网络风险正在迅速演变和全球化，但监管机构一直在努力跟上步伐。但问题在于不同国家和地区的网络安全法规在要求、详细程度以及监督和执行方法方面存在很大差异，指导文件零散且针对性强，欠缺全球化的网络安全治理方法或原则。
 
因此，这份报告的出发点意在填补一项空白，即高级管理层和董事会角度下，结合全球多地区的合规性要求下的网络安全最佳结构化实践进行全面概述。
 
其为高级管理层和董事会提出的结构化建议如下：
 
1、理解组织的网络风险概况，通过内部和外部简报，参加威胁情报共享，组织并维护风险登记册；

2、了解要保护的信息资产，包括第三方持有的信息资产。在主要业务和技术变更后，应重新进行评估，数据治理框架至关重要；

3、了解重要的法规要求，以便经得起未来考验并优化安全投资。可能需要寻求专门的法律专业知识；

4、根据客户和监管机构的期望、声誉风险和竞争形势，确定组织的风险承受能力；

5、了解组织正在使用的安全标准，并定期重新评估它们是否适用；

6、根据高级技术建议，确保做出正确的风险决策以保护关键资产；

7、以竞争对手为基准，进行由外部专家领导的定期风险评估；

8、充分了解企业内拥有网络安全以及法律和合规员工定位的职能角色；

9、确保董事会和管理层拥有足够的网络安全专业知识；

10、在网络风险管理方面投入足够的资金；

11、了解并定期审查安全测试和培训计划；

12、确保高级管理层/董事会定期收到最新信息，并确保网络风险报告线；

13、审查、理解和测试事件响应计划以及不断发展的业务发展导致的风险态势变化；

14、监督对“重大”事件的响应。