新書推薦:
《
靠谱:极少数人的成功法则
》
售價:HK$
74.8
《
刹海
》
售價:HK$
74.8
《
我欲因之梦吴越:江南园林之美
》
售價:HK$
129.8
《
史学与性别:《明史·列女传》与明代女性史之建构
》
售價:HK$
96.8
《
家庭财富守护与传承 作者邵毅力
》
售價:HK$
87.8
《
法国国家图书馆藏敦煌文献.114
》
售價:HK$
4180.0
《
中国现代性的起点:戴震的新古典世界(海外中国研究文库·一力馆)
》
售價:HK$
119.9
《
生存与尊严:律师定位与展业方法(第四版)
》
售價:HK$
74.8
|
| 編輯推薦: |
在数字化转型浪潮下,网络风险已从技术问题升级为企业战略核心议题,本书正是破解这一难题的实战指南。其作者团队阵容权威:美国银行政策研究所高级副总裁Brian Allen、安永网络安全顾问Brandon Bapst、Gartner前资深撰稿人Terry Allan Hicks,三人结合数十年跨国企业实战经验,打造出CRMP(网络风险管理计划)框架,为企业提供从战略到执行的完整解决方案。
全书以CRMP框架为核心,系统拆解四大组件与23项落地原则:“敏捷治理”确保风险管控与企业战略协同,“风险指引体系”为高层决策提供数据支撑,“基于风险的战略和执行”衔接理论与实操,“风险升级和披露”满足全球监管合规要求。为让理论更易落地,书中引入波音737 MAX坠机事故、Equifax数据泄露、马士基勒索病毒等典型案例,直观展现风险管理失效的代价与CRMP框架的防御价值;同时引用ISO 27001、NIST CSF 2.0等国际标准,兼顾合规性与专业性。
尤为难得的是,本书前瞻性覆盖AIGC等新兴技术风险,在第9章结合对抗性机器学习与NIST框架,为企业应对算法偏见、数据污染等挑战提供路径。此外,FIS
|
| 內容簡介: |
|
本书围绕企业如何在数字化转型时代开展网络风险管理工作进行系统阐述。全书基于网络安全管理最佳实践,围绕CRMP框架展开,包含敏捷治理、风险指引体系、基于风险的战略和执行、风险升级和披露四大核心组件及23项原则。通过波音737 MAX坠机事故、Equifax数据泄露事件等典型案例,验证了框架的有效性。此外,本书还探讨了AIGC等新兴技术带来的风险,强调了企业董事会、高管层、部门经理及各职能组织的协同作用,旨在建设有利于企业网络风险管理的文化,驾驭数字化转型时代的网络风险。全书结构清晰,内容丰富,为企业提供了完整的网络风险管理参考框架和实战指南。
|
| 關於作者: |
Brian Allen现任美国银行政策研究所(Bank Policy Institute)网络安全与技术风险管理高级副总裁,主要负责与银行高管协作,并代表行业与监管机构、立法机构、执法机关及情报部门对接,为行业发声。
Brandon Bapst是安永(EY)网络安全业务板块的顾问与风险咨询师。他与企业高管、首席安全官(CSO)及首席信息安全官(CISO)紧密合作,助力企业制订战略性网络风险计划。
Terry Allan Hicks拥有超过30年商业与科技领域的撰稿经验,其中在Gartner任职逾20年,主要聚焦金融服务、信息安全、合规监管及公司治理领域。
|
| 目錄:
|
目录
前言1
第1章 数字化转型时代的网络安全9
1.1 第四次工业革命10
1.2 网络安全从根本上说是一种风险管理实践14
1.2.1 网络风险的管理监督与问责16
1.2.2 数字化转型和逐渐成熟的网络风险管理计划16
1.2.3 网络安全不仅仅是安全范畴的问题17
1.3 网络风险管理计划:企业迫切关注的问题19
1.4 小结20
第2章 网络风险管理计划21
2.1 引发全球关注的SEC规则21
2.1.1 事件披露(“临时披露”)22
2.1.2 风险管理、战略和治理披露(“定期披露”)23
2.2 网络风险管理计划框架23
2.2.1 网络风险管理计划:关键驱动因素26
2.2.2 义务和责任的履行27
2.3 风险管理完败之鉴:波音737 MAX之祸29
2.4 风险管理计划在波音公司灾难中的应用31
2.5 安全风险计划的好处34
2.5.1 好处1:对安全风险功能的战略性识别36
2.5.2 好处2:确保网络风险职能部门拥有有效的预算36
2.5.3 好处3:对风险决策者的保护37
2.5.4 系统化但非零风险37
2.6 董事会问责制和法律责任39
2.7 波音公司的裁决和网络风险监督问责制41
2.8 处于责任风口浪尖的首席信息安全官42
2.9 小结44
第3章 敏捷治理45
3.1 优步隐瞒“被黑”事件47
3.2 良好的治理模式是什么样的48
3.3 与企业治理战略保持一致49
3.4 敏捷治理的7个原则51
3.4.1 原则1:制订战略和流程51
3.4.2 原则2:在“三道防线模型”中确立治理结构、角色和职责52
3.4.3 原则3:治理实践与现有风险框架保持一致55
3.4.4 原则4:董事会和高层管理人员确定范围56
3.4.5 原则5:董事会和高层管理人员应履行监督职责57
3.4.6 原则6:审计治理流程58
3.4.7 原则7:将资源与确定的角色和职责相匹配59
3.5 小结60
第4章 风险指引体系61
4.1 风险信息为何至关重要—在企业高层63
4.2 风险和风险信息的定义63
4.3 风险指引体系的5个原则65
4.3.1 原则1:定义风险评估框架和方法65
4.3.2 原则2:制订风险阈值确定方法67
4.3.3 原则3:明确风险指引的需求69
4.3.4 原则4:商定风险评估间隔期71
4.3.5 原则5:启用报告流程73
4.4 小结74
第5章 基于风险的战略和执行75
5.1 ChatGPT 震撼商业世界78
5.2 人工智能风险:两家科技巨头选择了两条路79
5.3 华尔街:尽快行动,否则将被取代81
5.4 数字游戏变革者不断涌现81
5.5 确定基于风险的战略和执行方式83
5.6 基于风险的战略和执行的6个原则83
5.6.1 原则1:确定可接受的风险阈值84
5.6.2 原则2:使战略和预算与批准的风险阈值保持一致86
5.6.3 原则3:执行以达成已批准的风险阈值88
5.6.4 原则4:持续监测89
5.6.5 原则5:根据风险阈值进行审计90
5.6.6 原则6:将第三方纳入风险应对计划91
5.7 小结92
第6章 风险升级和披露93
6.1 SEC与风险披露94
6.2 全球监管机构要求披露风险95
6.3 风险升级97
6.3.1 网络风险分类98
6.3.2 升级和披露:不仅仅是安全事件101
6.4 信息披露:企业必须关注的问题101
6.4.1 Equifax的丑闻102
6.4.2 SEC的重要性考虑因素105
6.5 网络风险管理计划与机构风险管理的一致性107
6.6 风险升级和披露的5个原则107
6.6.1 原则1:建立升级流程107
6.6.2 原则2:建立信息披露流程—所有企业109
6.6.3 原则3:建立信息披露流程—上市公司111
6.6.4 原则4:测试风险升级和披露流程113
6.6.5 原则5:审计风险升级和披露流程114
6.7 小结115
第7章 实施网络风险管理计划116
7.1 网络风险管理历程116
7.2 开启网络风险管理历程118
7.3 实施网络风险管理计划119
7.3.1 敏捷治理120
7.3.2 风险指引体系123
7.3.3 基于风险的战略和执行 132
7.3.4 风险升级和披露135
7.4 推广网络风险管理计划 137
7.5 小结141
第8章 CRMP在运营风险和韧性中的应用142
8.1 参与构建运营韧性的企业职能部门144
8.2 一次恶意软件攻击导致马士基全球系统瘫痪147
8.3 提升运营韧性:运用CRMP的四大核心组成部分149
8.3.1 敏捷治理149
8.3.2 风险指引体系150
8.3.3 基于风险的战略和执行151
8.3.4 风险升级和披露151
8.4 小结151
第9章 AI及其他—数字化世界风险管理的未来153
9.1 AI的定义154
9.2 AI:一个全新的风险世界156
9.3 对抗性机器学习:NIST分类法与术语158
9.3.1 具有AI影响的风险管理框架160
9.3.2 关键AI实施概念与框架163
9.4 超越AI:数字前沿永不止步166
9.5 小结168
附录 网络风险管理计划框架 V1.0171
|
| 內容試閱:
|
前言
在我们的职业生涯中,会遇到一些关键的时刻,无论是换工作、选择新的职业道路,还是采纳创新观点,这些都显著地改变着我们的前进方向。对于我们来说,敏锐而专注的好奇心激发了无数带有启迪性的讨论。本书构建的基本框架是在这些讨论的基础之上采用一种以价值为中心的主动方法来管理安全风险。这些想法和策略最终演变成了一个结构清晰且全面的网络风险管理计划。
Brian的故事
几年前,在和妻子飞往加利福尼亚度假途中,我向自己提出了一个简单的问题,结果却是我的一个“尤里卡时刻译注1”(至少对我来说是如此)。“什么是网络风险管理计划?”这个问题当时看起来很简单。但在30000英尺高空,网速缓慢的情况下,我进行了一些搜索,却找不到权威答案。引发这个问题的是我当时正在阅读的文件——2018年SEC对董事会和公司高管关于网络安全监督事项的指南。在那份指南中,SEC指出董事会和公司高管必须对网络风险管理计划进行监督。但无论是在这份指南中,还是在其他我能找到的材料中,都没有令人满意的答案。鉴于SEC期望公司能够给出答案,且责任问题悬而未决,这很显然是一个重要但尚无答案的问题。
让我回顾一下为什么我在度假时阅读SEC的指南。10多年来,我一直是时代华纳有线公司(Time Warner Cable)的首席安全官(CSO),这是一家《财富》130强的关键基础设施提供商(提供电话和互联网服务)。基于我的经验,早些年我和长期合作伙伴 Rachelle Loyear一起写了Enterprise Security Risk Management Concepts and Applications。企业安全风险管理的概念基于一个基本前提,即安
全从本质上讲属于风险管理领域的功能,安全从业者执行的每项任务都可以也
应该从5个核心风险概念的视角来看待,这些概念适用于所有风险范式:
1.资产是什么?
2.风险有哪些?
3.如何降低这些风险?
4.如何应对事件?
5.如何开展针对环境变化的持续性学习?
不管实践中涉及的是网络安全、物理安全、业务连续性、欺诈管理还是其他任何相关的安全学科,每个学科中的每种策略都符合这5个核心概念视角。我后来去了咨询公司安永,与不同的董事会和高管合作,以实践那本书的概念。正是在我职业生涯的这一阶段,我对高管的安全风险管理角色感到好奇。尽管SEC的文件可能听起来很无聊,但它给了我改变职业生涯的启示。我又有了好奇心。
在接下来的几年里,Brandon和我深入研究了这个问题,并与同事们进行了大量的探讨,从而发掘出更多的问题。我们俩都在大型机构从事网络安全风险评估和网络风险管理计划构建方面的工作,积累了丰富的经验。在我离开安永后我们花时间梳理了一系列与风险相关的标准,评估了董事会收到的指导意见审视了确立高管责任的判例法,在网络安全管理战术层面的基础上,从总体上考虑了安全作为战略功能的价值和角色。
以下是研究中的一些发现:
?安全是风险管控功能的一部分(我们知道这一点)。
?风险管理是一种成熟的实践(而安全领域的风险实践并没有那么成熟)。
?大多数安全组织和从业者采用一种临时方法(法律、监管机构和不断变化的经济环境正要求企业安全实践的期望发生转变,所有这些都指向采用更为成熟的风险功能作为未来的发展方向)。
?网络风险管理计划应被明确定义为一个独立的计划,坦率地说,现在这一点已不再是可选项。
构建一个网络风险管理计划确实具有价值,但它需要一个清晰的框架,所以我
们应该将风险管理作为一个正式的项目来执行。
与 Brandon合作的旅程一直很棒,而且还在继续。我们在相互尊重的同时不断挑战对方……这是将安全从我们心中的状态转变为它需要成为的状态的必要步
骤。每次我们交谈时我都收获颇丰。我珍视和 Brandon的同事加挚友的关系。
Brandon 的故事
作为安永的网络安全实践顾问,我有幸能涉猎不同的行业领域,与一些世界上最大和最知名品牌企业中的高管、首席安全官,首席信息安全官(CISO)以及
安全从业者一起合作。这段经历涉及指导公司将战术性安全实践转变为全面的安全风险管理计划,这是一次令人满意的冒险经历,解决了企业面临的最复杂
的挑战。
在这条道路上,我的进步得益于宝贵的经验,尤其是几位关键人物的影响。15年前,经我的叔叔Jim Mazotas的介绍,我开始进人网络安全领域,他是一位连
续创业者和多家网络安全公司的创始人。接下来,我在Malone大学打下了学术基础,随后获得了认证。在安永的时光里,几位领导和同事的指导进一步丰富
了我的泙捲伊磲髭?癜橢骓鸦酚跟憎碼矚準模帶涺稠髒脂旅程。
通过服务客户的这段经历,我了解到每家公司的网络安全旅程都是独特的。有些公司处于变革的早期阶段,正在应对基础性挑战,且领导层的支持程度参差
不齐。其他公司,特别是在金融服务和医疗保健等行业,则拥有更为成熟的网络安全风险实践。但有一个始终存在的共同点:企业运营的快速数字化和日益
增加的监管压力意味着企业的安全策略必须持续迭代。
本书是对我和 Brian 多年来相关心得、经验和最佳实践的提炼。它超越了理论范畴,为安全从业者(以及承担风险管理职责的专家)提供了一张蓝图,即如何
在职业成长、增强工作保障等方面,在他们各自的角色中获得更大的个人和职业满足感。它为这个快速变化的世界提供了指南,因为尽管技术和威胁在不断发
展,但我们所描绘的风险管理原则是永恒的。
我非常尊敬 Brian,视他为导师,与他的合作是一种启迪人心的经历。在写这本书的过程中,我对职业信念的宗旨有了更清晰的理解。我们在各自领域的专
业知识--我在咨询方面的实践经验和Brian作为首席安全官和顾问的宝贵经验--确保了本书能够提供全面的视角来构建网络风险管理计划。
两人的话
我们(Brian和Brandon)多年来一直致力于更好地定义网络风险管理计划这次旅程源于好奇心和对现有观念的挑战。我们希望本书也能激励你踏上新的或持续的旅程,希望它能激起你的好奇心,促使你以深思熟虑的方法,使自己在这个领域的实践、所在部门或个人职业生涯更为成熟。本书不仅定义了风险管理,还描述了如何构建你自己的网络风险管理计划。在理想情况
下,该计划应符合现有标准、法律和权威指导文件的规则要求。它应该独立存在,成为安全实践战略要素的坚实基础。它还应该有可预期和可信的产出。最后,网络风险管理计划可以为数字化带来的未知挑战提供安全实践支持,也可以推动战略性决策,防范潜在责任风险,并彰显安全部门作为战略合作伙伴的重要价值。
当我们开始解析SEC的指导文件以支持我们对网络风险管理计划的定义时,个更大的图景浮现出来:SEC不仅将相关义务正式化,法院体系也开始关注到包括首席信息安全官在内的公司高管的责任。此外,每个行业都面对着数字化风险,新的威胁和违规事件不断出现。安全组织努力传达其工作价值,并试图避免在出现问题时互相指责。这些组织一直在与这样一种观念作斗争:只要预算获批,就对所有风险都进行了保护。
如今,所有这些挑战在程度和复杂性上都有所强化。每一家企业都在缺乏必要或适当风险考量的情况下进行数字化转型,这使得风险敞口呈指数级加速增长与此同时,由于业务竞争威胁更为重大,企业领导者开始对安全预算感到疲劳然而如果行动不够迅速,可能会面临更加严重的后果,这也给安全组织带来了更大的压力。
我们绘制了包含多种权威资源的“地图”,这张“地图”可以帮助我们清晰地定义网络风险管理计划。结果发现,有很多资源可以利用,只是它们之前没有被系统地组织起来。我们将SEC的指导文件、国际风险标准、监管方法、判例法以及美国国家公司董事协会(NACD)的指导文件整合到了一个网络风险管理计划框架中。该框架涵盖了构成正式计划的四个核心组件,以及提供更详细实施指导的支持原则,支撑了本书中的概念。一旦实施,它应该能够形成一个独立的正式计划--一个解答引发这一切问题所需的计划。
我们对这本书的共同愿景是清晰的:给你提供一个结构化且经权威定义的网络风险管理计划,其中包括为协助每个独立主体实施计划所需要的概念和指南。
目标读者
我们撰写本书的目的是尽可能地为广泛的读者群体提供实际价值,同时在每个阶段都清楚地指出不同的细分读者应关注的对应内容。我们认为将从本书中受益的关键读者包括:
各层级的安全从业者
风险管理是一种高度成熟的实践,它已经发展、实践并经过数十年的完善但对于安全领域来说,并没有采取类似本书提供的全面、正式的计划。制订这样一个计划将有助于推动改善安全实践的成熟度、意图和宗旨。
各个职能领域的安全从业者
尽管本书专注于网络安全,但如果你将“网络”这个词去掉,你将得到可以应用于物理安全、欺诈管理、业务连续性管理和运营韧性等风险管理的基本要素。这些基本要素可以应用到不同的安全领域,帮助安全从业者在各自的职能范围内更有效地管理风险。
董事会成员
本书旨在为董事会成员提供一个全局视角,让他们明确自己在监督网络风险管理计划中所承担的重要角色和责任。书中深入阐释管理层在计划制订过程中应发挥的职能期望。其基本原则强调将网络安全视为业务风险的重要性,为董事会成员提供一种视角,使他们能够提出更有针对性的问题,并向管理层提供更好的指导。通过将工作重点从网络安全策略和运营的技术细节转移到更广泛的战略风险监督角色上,董事会成员可以提高网络风险管理计划的有效性,同时加强履行与日俱增的法律和监管责任的能力。
CXO 和业务线领导者
这些高层决策者会清楚地理解将安全纳入成熟的风险实践的必要性,这将有助于他们了解并保护自己免于承担更多的责任。这些决策者还将学习如何设定安全预期,以便能够做出与整体战略一致、适当且明智的安全风险决策。
监管机构
监管机构可以使用本书中的指导原则来帮助制订有着合理性、一致性、可重复预期的且被明确定义的监管制度。共同的术语体系和共享的期望将使他们的工作更为高效、有效且相互协同。
审计师
审计师通常专注于通过最佳实践评估企业或组织的安全控制和流程的有效性,以符合既定的政策、标准、框架和法规。本书可以为审计师提供一个全面的框架,用于评估网络风险管理计划,因为该框架专注于与企业预期的风险偏好和容忍度相关的安全执行。
企业领导者及工作可能受数字化带来的风险影响的专业人士
数字化转型的影响深远、复杂且难以预测。因此,许多不同领域的专业人士(大多数企业职能部门的业务领导者和决策者)将发现,了解如何识别数字化风险并在平衡风险与回报方面做出明智的决策,具有很高的实际价值。
内容组织
本书将带领我们进人一段定义和制订网络风险管理计划,并评估计划价值的旅程。第1章介绍网络风险管理计划的重要性。在第2章中,我们将明确构成该计划的要素。在第3章~第6章中,我们将进一步详细定义四个核心组成部分和指导原则。第7章提供对计划实施的指导,在考虑与企业的成熟度、运营环境和行业特定要求相一致的前提下,确保有适当的起步方法。第8章讨论从整体组织韧性角度考虑,如何将计划与其他运营风险实践(例如,物理安全、供应链和第三方安全、业务连续性管理和灾难恢复等)进行协同,进而构建全面的企业风险态势。在第9章中,我们通过探讨新兴技术以及风险管理如何继续成为领先实践来结束本书,此章将较为深入地探讨人工智能。书中所举案例,除了部分与纯粹的网络风险相关,其他则可与任何形式的风险管理相关。
小结
网络风险管理没有一蹴而就的办法,这个话题中有着无穷无尽的值得学习的地方和细微之处,但这一切都是值得的。我们需要做的是一方面挑战自己现有的观念和过去的做法,另一方面怀有一颗好奇心。
我们相信,你所获得的见解将赋子你的职业旅程以力量。
|
|
購物車/收銀台(0) | 在線留言板
| 付款方式
| 運費計算
| 聯絡我們
| 幫助中心 |
加入書簽
HOME
新書上架
