Gartner发布2025年网络治理、风险与合规战略路线图

新型网络风险和合规义务，日益成为网络治理、风险与合规实践面临的问题。安全和风险管理领导者可以参考本文，实现从被动、专注于合规的方法到主动、进一步自动化方法的转型。

主要发现

• 不断变化的监管环境和不断扩大的攻击面，使企业机构难以实现网络治理、风险与合规（GRC）与其整体风险管理战略的协调，因此必须推动GRC进行战略性转变。然而，许多安全和风险管理（SRM）领导者难以适应这些变化。

• 重心在满足监管要求的话，通常会导致被动的网络风险管理和评估方式。因此，网络安全团队与业务部门之间的接触和协作通常较低。

• 许多网络GRC管理流程缺乏充分且相关的技术自动化，导致资源紧张和控制测试疲劳。

建议

• 利用美国国家标准与技术研究院网络安全框架（NIST CSF）2.0版本或类似标准和框架，建立和规范网络GRC职能的治理组件，从而明确网络GRC与整体风险管理目标之间的界限和联系。

• 优先实施基于影响的评估和自动化的持续监控能力，实现合规和风险管理的有效结合。

• 通过实施专门设计的网络GRC工具（具有持续控制监控、嵌入式人工智能功能和网络风险量化等功能），减轻SRM领导者的资源负担并提高网络GRC职能的成熟度。

战略规划假设

到2027年，三分之一的大型企业机构将重新设计网络安全控制测试和风险评估流程，通过减少至少一半的技术控制审核时间，减轻其网络GRC职能的资源负担。

到2028年，在所有网络风险类别成功实施基于影响的网络风险评估的企业机构中，50%的企业机构将在风险优先次序确定和手动操作最小化方面实现显著改善。

导语

网络GRC是一个专门的战略框架，整合了网络安全工具、方法、流程和标准，以实现业务运营与相关安全投资的协调一致。该框架旨在管理网络风险，并确保数字环境中的合规性。治理涉及明确决策权、领导层、组织结构和流程，以确保网络安全控制得到有效实施和维护。风险管理侧重于识别、评估、缓解和报告网络风险，而合规确保企业机构符合与网络安全相关的所有法律和政策要求。

许多企业机构采用了各种网络GRC标准和最佳实践，但所遵循的流程往往不一致。不同的风险领域可能使用多个风险登记册，但这些登记单完全无关联或只是部分关联。SRM领导者与其他风险领域和网络安全之外的关键GRC和业务领导者的协作，是临时性和半例行的。可能设有各种委员会和小组委员会，但其并非完全有效。

网络GRC实践通常由各种规定推动，特别是由外部合规要求和针对IT资产的风险评估驱动。网络GRC与更广泛的业务目标和风险之间的联系和指导有限。各种工具被用于支持网络GRC（包括Excel电子表格），但缺乏用于管理和跟踪网络风险的标准化、集成式工具集。

SRM领导者必须提升其网络GRC实践，更加注重战略性，原因如下：

• 新的责任领域：不断扩展的数字化环境使SRM领导者必须在企业风险管理（ERM）中发挥更大的作用。新的监管和框架更新定期出台，SRM领导者需要调整网络GRC战略以有效应对这些变化。在许多企业机构中，SRM领导者现在不仅负责安全和技术，而且还要负责将创新集成到企业的非网络GRC方面（如IT GRC和企业GRC）并提供相关支持。这一职责转变至关重要，因为其确保网络安全被纳入整体业务战略，使安全投资与业务目标相一致。例如美国证券交易委员会（SEC）最近关于上市公司信息披露管理的规则、欧盟NIS2指令的更新版，以及NIST CSF 2.0版本的推出，都要求企业机构在网络安全与合规方面采取积极主动的做法。通过优化网络GRC重点，SRM领导者可以确保企业机构具备相关能力，以降低新兴风险并遵守不断变化的法规。

• 利益相关者的信任：SRM领导者需要结合实际情况，直面利益相关者的关切，特别是董事会和高管们所关心的问题。沟通不力、安全事件数量增加、错失数字业务机会、可证明的价值有限，这些都会有损利益相关者对SRM领导者和网络安全管理计划成效的信任度和满意度。通过从战略上提升网络GRC实践，SRM领导者可以表明其对于改善合作、协调、优化资源分配、管理风险和确保合规的承诺。这有助于重建信任，提升企业机构内部对SRM领导者价值的认识。

• 资源限制：这是SRM领导者及其团队面临的巨大挑战。被动的风险评估、各自为政的控制测试和基于项目的合规工作，可能会加剧预算、人员和技术投资等资源的短缺。通过将网络GRC工作与业务优先事项、首席财务官（CFO）议程、企业风险管理、各种合规工作以及业务风险状况进行战略协调，SRM领导者可以优化资源分配，从而确保资源得到有效分配，以应对业务视角下最关键的风险和合规要求。此举可提高成本效率和资源利用率，有助于SRM领导者用有限的资源实现更多目标。

• 控制映射和框架集成：SRM领导者必须应对复杂且重叠的网络安全框架和标准，例如最具影响力的标准——ISO/IEC 27001和NIST CSF。将控制措施与这些框架对应起来，对于确保全面覆盖和避免重复劳动至关重要。通过战略性地协调网络GRC实践，SRM领导者可以简化跨多个管理法规要求的控制实施和评估流程。这种方法不仅简化了合规工作，而且通过确保所有关键领域都得以覆盖，增强了企业机构的整体安全态势。例如利用统一控制框架有助于确定共同点和差距，从而优化资源分配并减少审计疲劳。整体视角有利于SRM领导者展现强有力和统一的网络安全战略，这对于合规和利益相关者的信心至关重要。

战略性网络GRC实践应具备三个基本要素：业务目标、基于影响的网络风险评估和基于框架的网络安全控制（见图1）。将这三个要素进行关联，有利于采用一种更为深思熟虑、基于风险的方法，针对可能会对企业机构运营、声誉和净利润产生重大影响的特定风险定制网络安全措施。

图1：基于影响的网络GRC实践的三个基本要素

建立基于影响的网络GRC实践需要一系列投入。例如由业务部门或流程和数据资产的特定业务负责人制定明确的、具有引导性的网络风险偏好。这有助于SRM领导者为风险处理分配资源时准确地确定优先级。同样的，当具备必要的系列投入并持续予以更新时，基于影响的网络GRC实践将产生相应的成果（见表1）。

表1: 基于影响的网络GRC的投入与成果

投入	成果
针对网络风险偏好、明确的业务方向 更好地了解网络对业务目标和背景的影响 优先保护关键业务要素 符合行业标准和惯例 有效保护关键资产 适应不断变化的风险形势	明确的战略方向，以基于潜在影响制定考虑了网络GRC的决策 为网络安全工作优化资源分配 灵活的网络安全战略能够应对业务和风险变化

来源：Gartner（2024年10月）

本文为SRM领导者提供了关键关注领域的指导，以提升网络GRC实践。图2是网络GRC战略路线图概览。战略路线图比较了网络GRC的未来状态和当前状态，明确了相关机会，以评估组织和技术变革，并弥合SRM领导者在网络GRC方面面临的日益扩大的差距。改进计划按照优先顺序，为SRM领导者提供了行动建议，以采用现代化的方法应对网络风险、合规义务和治理结构。请注意：企业机构应根据其重点领域和优先任务，选择最合适的行动建议。

图2：网络GRC战略路线图概览

未来状态

随着Microsoft Copilot、Google Gemini、Amazon Q和ChatGPT等新的AI技术开始试点并集成到数字环境中，以及监管机构制定了更多的保护措施（如SEC披露规则、NIS2网络安全规则、AI法规），SRM领导者与业务价值链的合作日益成为必要。企业机构的整体风险管理需要更好地整合网络安全，而战略重点突出的网络GRC工作可以在未来（即2025年及以后；见表2）有效地促进这一整合。

表 2: 网络GRC未来状态

职能特征	说明
由框架提供支持	虽然框架和标准提供了坚实的基础，但企业机构应将其视为工具，而非最终目标。企业机构应超越框架和标准中概述的基线能力，并考虑采取额外措施增强其网络GRC实践。这可能包括合并评估和审核所用数据源、监控和衡量所用的度量和指标，以及吸取事件和违规行为中的经验教训。
显性治理模式	显性治理模式会结合企业机构自身情况，确立明确的政策、程序和报告关系，以确保网络安全实践的问责和一致性。这包括界定风险所有者的角色、职责和决策权；确定主要利益相关者；建立决策流程；以及实施持续监控和报告机制。 通过过渡到显性治理模式，企业机构可以改善其网络GRC工作的有效性。这为网络安全实践提供了明确性、问责制和一致性，确保网络风险得到妥善管理，并与业务目标保持一致。
深思熟虑、协作式风险评估	为了提高风险评估的效力，企业机构必须采取更加积极主动的战略方法。这包括考虑更广泛的网络风险，例如新兴威胁和漏洞，并评估其对企业机构关键资产和战略目标的潜在影响。 全面的风险评估还应考虑更广泛的业务情境，包括监管要求、行业标准和客户期望；应符合企业机构的风险偏好，并考虑到不断变化的网络风险状况。 此外，将网络风险评估纳入企业机构的风险管理整体框架和治理结构至关重要。这可确保定期进行网络风险评估，评估结果明确传达至风险所有者和利益相关者并被理解，以及实施适当的风险缓解措施。
定性和定量相结合的风险分析	通过将定性和定量的风险分析方法相结合，企业机构可以通过为风险暴露进行分级，优化其在评估方面的投资，并获得对网络风险的更具体和全面的理解，作出更明智的决策。定性分析提供了对风险性质和背景的洞察，而有根据的定量分析为风险评估增添了一个更加客观和可衡量的维度。
近实时持续监控	持续控制监控（CCM）包括对控制进行实时或近实时的监控，以发现和纠正任何偏差或异常现象。它使用自动化的工具和技术来持续监控和评估控制的有效性，对控制性能提供即时反馈。在实践中，可减少手动评估所需的时间和精力。
数据集成	数据集成对来自不同网络安全和IT系统及来源的数据进行关联和分析，例如漏洞扫描仪、威胁情报馈送、安全事件日志和合规报告。这样做是为了全面了解网络风险状况，并根据准确和最新的信息作出知情决策。 集成还意味着将网络GRC纳入企业机构的整体GRC计划架构，例如将其嵌入企业机构的ERM整体框架。数据集成可实现网络风险管理各职能部门之间的协调和协作，还有利于GRC计划利用现有流程和结构，确保对网络GRC采取更高效和更有效的方法。

来源：Gartner（2024年10月）

当前状态

企业机构经常采用各种网络GRC框架和标准，导致不同领域的流程不一致和风险登记册缺乏关联。SRM领导者临时性地与其他风险领域和关键领导者进行互动，同时认为后者对企业机构面临的网络风险负有责任。网络GRC实践受外部合规要求和以IT资产为中心的风险评估的驱动，将其与更广泛业务目标相关联的指南却很有限。各种工具被用于支持网络GRC，通常包括Excel电子表格，但缺乏用于管理和跟踪网络风险的标准化、集成式工具集（见表3）。

表 3: 网络GRC当前状态

职能特征	说明
由框架驱动	框架和标准在网络GRC中扮演着关键作用。它们为企业机构建立有效的网络安全实践提供了结构化的方法和准则。但是，由框架和标准驱动时，企业机构的网络安全方法是由框架和标准决定的，其所遵守的框架和标准所概述的要求和建议成为塑造和影响其网络安全实践和流程的主要因素。企业机构可能会优先考虑将遵守这些框架和标准作为网络安全工作的主要目标。这种方法可能导致较少关注风险或不一致的风险管理方法。
隐性治理模式	隐性的治理实践和决策流程，往往是临时性的、不恰当的或基于非正式安排的。网络安全治理的责任通常由不同个人或部门分担，没有明确的问责或监督。这可能导致网络安全实践存在不一致、差距且低效。隐性治理模式可能给有效管理网络风险以及协调网络安全工作与业务目标带来挑战。如果没有清晰的治理结构，就很难建立问责制、确保实践一致性以及网络安全举措的有效沟通和协调。
以网络安全卫生为重点的被动式风险评估	这种评估网络风险的方法主要侧重于发现和解决企业机构网络安全实践中迫在眉睫的漏洞和弱点。这种方法通常涉及定期评估或审核，以查明网络安全控制和实践方面的不足，并采取纠正行动来缓解这些风险。 虽然这种方法对于保持网络安全卫生的基线水平和解决已知的漏洞很重要，但它也有局限性。它往往是被动的，这意味着进行评估通常是为了通过标准化的关键控制措施应对一般性风险，而不是主动发现和缓解情境化的潜在风险。这可能会使企业机构容易受到新兴威胁和不断变化的攻击向量的攻击。 此外，“仅注重卫生的”风险评估方法可能不会考虑企业机构更广泛的业务情境和战略目标，忽略网络风险对关键业务流程、声誉和整体业务连续性的潜在影响。
定性风险分析为主	仅使用定性风险分析的局限性在于，其提供对风险的主观和定性评估，而没有量化其潜在影响。虽然定性分析可以对风险的性质及其潜在后果提供有价值的洞察，但它缺乏定量分析所提供的精确性和客观性。 如果不进行定量分析，就很难确定风险的轻重缓急，有效分配资源，并根据潜在影响和风险发生可能性作出知情决策。它还限制了比较企业机构内不同领域或项目风险的能力。
所用定量风险分析不可靠	无法证明风险量化所用数据和信息（包括假设和计算）的合理性，大大损害了分析的可信度。这种缺陷削弱了风险分析或优先提案处理的完整性、方法论的严谨性、透明度、专家验证和决策质量。
定期采样式控制监控	对样本进行定期评估或审核并评估控制措施的有效性，需要在特定时间间隔内选择部分控制措施或过程进行审核，通常会以风险评估或合规要求为依据。 此举可获取特定时间点控制有效性的基本情况，从而实现系统化和结构化的控制评估。 由于依赖于手动评估，定期采样式控制监控通常非常耗时且耗费资源。更重要的是，它无法捕获评估期之间发生的控制故障或偏差，也无法提供控制性能的实时可见性。
有限的集成	造成这种状况的主要原因是不同防线之间的分隔，以及网络风险态势与合规/认证工作之间的孤立。 企业机构内部的防线（如IT运营、风险管理、合规和审计）往往独立运行，导致信息共享和协作存在孤岛现象。这可能会阻碍网络GRC的有效性，因为每道防线可能有不同的优先事项、目标和报告结构。 此外，网络风险态势与合规/认证工作之间的孤立可能造成各自为政的局面。网络风险态势侧重于识别并缓解风险，而合规和认证工作主要旨在满足监管要求。这两个领域可能并不总是一致的，导致集成和协调不足。

来源：Gartner（2024年10月）

差距分析和相互依存关系

缺乏集中式可见性

缺乏对网络风险的集中式可见性，是存在隐性治理模式以及风险和合规管理方法不一致现象的企业机构所面临的共同挑战。这一问题在风险迅速演变的背景下尤为突出，SRM领导者及其执行团队难以全面了解特定业务情境和项目中的网络暴露情况。其特点是：

• 分散的治理模式：企业机构若采用分散的治理模式，将网络安全责任分散到不同部门或业务单元，就很难形成网络风险的集中视图。这些实体之间缺乏协调和沟通，可能导致各自为政的风险管理实践和有限的可见性。

• 风险管理方法不一致：如果整个企业机构没有标准化和一致的风险管理方法，则很难汇总和比较网络风险。风险评估、风险衡量和风险报告方法不一致，可能妨碍建立网络风险的集中视图。

• 快速变化的风险：网络风险在不断演变，新兴威胁和漏洞时常出现。网络风险的动态性使得保持集中式可见性成为一项挑战。传统的定期风险评估可能无法捕捉到实时变化和新兴风险，导致在理解当前风险形势方面存在不足。

• 沟通和协作有限：网络安全与IT团队、高管层与业务单元之间的沟通和协作不足，可能导致缺乏集中式可见性。如果整个企业机构对网络风险缺乏共同的理解和认识，那么构建集中视图就很具挑战性。

持续对风险进行优先排序的能力有限

持续对风险进行优先排序的能力有限，在公开讨论和分享感知到的网络风险、威胁或问题信息上的参与度低，都可能会阻碍有效的GRC实践。这导致将重点放在合规要求和政策遵守上，而不是积极解决和批准对实现业务目标至关重要的偏差。其特点是：

• 不采用风险评分和优先排序框架：Gartner在与客户交谈的基础上了解到，企业机构经常使用临时或孤立的方法，而不是根据网络风险的潜在影响制定标准化的评分和优先排序框架。

• 有限的信息流动：在职能领域内，信息流动可以实现优化和透明。然而，跨风险领域的话，信息流动则变得不稳定且不可预测。一个企业机构中可能存在多个风险登记册，但没有一个良好的设计原则将其进行关联。

• 风险接受流程不完整：指未能建立正式流程，在必要时批准偏离或例外于合规要求和政策遵循的情况。完整的流程应涉及利益相关者，如风险所有者、SRM领导者、高管层、法务或合规团队，以确保对例外情形进行评估、合理化、适当管理及经常审核。

• 缺乏网络风险培训和意识：大多数上市公司现在都有强制性网络安全培训和意识计划。然而，它们往往不以网络风险为重点，也不培训网络风险相关技术、其潜在影响、通用风险术语的重要性，以及将其转化为业务术语进行报告和处理，例如现代安全行为和文化计划（SBCP）。

资源使用不当

资源使用不当可能导致网络风险管理支离破碎、消耗资源且被动应对。这阻碍了企业机构有效地共享信息、保持集中式可见性并就其整体风险状况作出知情决策。其特点是：

• 分散的治理：可能导致SRM领导者试图管理所有网络风险，而这是不可持续的。

• 网络GRC数据集成有限：许多数据源对网络GRC很有价值，但可能存在于企业机构的不同层。一般而言，因特定报告需要可能会将这些数据源进行关联，但相关工作耗费大量人力，而且收集数据源的过程可能不可重复。与网络风险和合规相关的信息可能会困于各自为政的孤岛中，这意味着这些信息无法有效共享或根本无法在不同部门或业务部门之间传递。信息共享的缺失会阻碍企业机构全面了解网络风险并作出知情决策的能力。

• 缺乏自动化和工具：依赖半人工流程进行风险评估和报告的企业机构，可能难以保持集中式可见性。手动过程会非常耗时、耗资源，并且容易出现人为错误。缺乏用于近实时风险监控和报告的自动化工具，可能会妨碍集中收集和分析风险数据的能力。

• 审计驱动和认证导向：这是指企业机构碎片式地优先遵守特定的法规或标准，而不考虑网络风险的更广泛背景以及企业机构的整体风险态势。孤立开展合规工作，可能导致割裂和被动的网络风险管理，还会给SRM领导者的资源带来额外压力。

改进计划

基于差距分析，Gartner提出了未来几年的路线图和行动建议，作为适用于大多数企业机构的网络GRC及改进计划模板。实现图3中详细描述的最终成功状态，可以采用不同的顺序或并行的方法，但企业机构必须确定完全集成的网络GRC方法是否符合其需求，如果符合，需要在什么时间框架内实现。

企业机构不应认为网络GRC的全面成功有捷径可走。因此，许多大型企业机构将明确利用专业服务来协助其在今后三年内实现这些目标。绝大多数企业机构可能从零开始，建立全职或资源共享的网络GRC职能。这可能需要几年的时间，应优先推进基于影响的风险分析、有意义的网络风险登记册和采用正式的风险接受流程以降低风险等机会最大的领域。

图3：网络GRC战略路线图时间表

高优先级事项

在接下来的18个月中，采取以下行动。

过渡到显性治理模式

治理职能的重点是建立和维护网络安全治理层和流程，其强调企业机构需要明确了解自身的网络安全角色和职责，并使网络安全目标与整体业务目标保持一致。

NIST CSF 2.0版本增加了“治理”层，以加强监督，使网络安全目标与业务目标保持一致，并确保监管合规，从而促进积极主动的风险管理和资源优化方法。这一新增内容建立利益相关者信任，将网络安全纳入战略规划，加强了全面且有韧性的网络安全态势。

将网络安全战略与企业机构目标保持一致的根本原则是正确的。它强调将网络安全纳入整体治理结构和决策过程的重要性。

该原则也强调了需要采用考虑企业机构独特风险状况、行业法规和业务目标的网络安全方法。为有效实施治理职能，SRM领导者应采取以下具体步骤：

• 正式确定治理委员会成员，并建立定期的会议和决策节奏。

• 强调网络风险管理与ERM的协调甚至整合。整合可确保结合业务情境考量网络风险及其他业务风险，从而实现全面的风险管理。

• 创建负责、问责、支持、咨询和知情（RASCI）矩阵，明确界定参与网络安全治理的个人和团队的角色和职责。该矩阵有助于建立明确的问责制，并确保每个人都了解自己在管理网络安全风险方面的角色。

• 利用Gartner的保护等级协议，使安全计划与业务优先级和整体网络风险战略保持一致。

建立正式的风险接受流程并利用技术予以支持

这一行动计划高度依赖于显性治理以及有效的网络风险评估实践。正式的风险接受流程有助于确定缓解工作的优先次序并有效分配资源。SRM领导者应：

• 创建相关的风险偏好声明。明确界定企业机构风险接受或容忍标准。这涉及确定可接受的风险阈值、考虑法规要求以及与企业机构的风险偏好和业务目标保持一致。以成果驱动型指标衡量的保护等级协议（PLA）为SRM领导者提供了新方法，可以重新定义风险偏好，以更加明确和合理的方式管理网络安全投资。

• 建立风险接受流程。确定风险评估和接受的正式流程和工作流。此举利用显性治理结构，并将关键利益相关者纳入决策过程。明确记录所涉及的步骤、角色和职责以及风险接受标准，以改进RASCI矩阵。

• 利用网络GRC技术解决方案。技术解决方案可用于支持和自动化风险接受流程。具体包括风险管理软件、工作流管理工具和集成式GRC平台。这些工具可以简化风险接受工作流，提供风险接受决策状态的可见性，并方便文档记录和报告。

• 将风险接受流程与网络风险登记册进行整合。这可确保持续对已接受风险的正确记录、跟踪和监控，还可识别风险接受状态的任何变化或重新评估的必要性。

采用持续控制监控，整合合规和风险管理工作

网络安全持续控制监控（CCM）是一个持续监控和评估安全控制的过程，以确保其有效性和遵守网络安全政策、标准和监管要求。它是一种主动预防的方法，旨在实时或近实时地识别和解决安全漏洞、威胁和事件。

CCM涉及从安全工具、日志和系统事件等多种来源持续收集、分析和报告与安全相关的数据。将数据与预定义的安全基线或基准进行比较，检测可能表示潜在安全风险或不遵守安全政策的任何偏差或异常。

通过协调控制监控与风险评估，CCM整合了合规和风险管理工作。这确保了合规活动由风险优先级驱动，以及风险管理战略以合规要求为依据。使用CCM，企业机构将实现以下能力：

• 基于风险的方法：CCM允许采用基于风险的方法来实现合规和风险管理。通过持续监控各项控制措施，企业机构可以及时发现潜在的漏洞和风险，从而能够主动缓解风险并降低安全事件发生的可能性。

• 及时发现问题并进行补救：使用CCM，企业机构可以实时检测控制故障或偏差，便于立即采取补救措施，最大限度地减少潜在安全事件的影响，并缩短攻击者的时间窗口。

• 数据驱动型决策：CCM为SRM领导者提供了宝贵的数据和洞察，便于其了解控制的有效性、合规状态和潜在风险。该数据可用于就控制改进、资源分配和风险缓解策略作出知情决策。

这种方法能够主动识别和缓解风险，同时保持对法规和标准的持续遵守。CCM需要技术工具予以支持。

加大自动化投资，提升网络GRC实践

网络GRC技术是指实现网络GRC自动化和标准化的各类工具。这些工具旨在自动化和简化网络GRC领域的各个方面，提高准确性、有效性和效率。

网络GRC工具旨在满足SRM领导者的需求。这些工具通常提供以下与众不同的功能：

• 连续、近实时的数据收集

• 网络安全框架和标准的管理

• 框架对照

• 网络GRC流程和工作流自动化

• 依据业务战略目标，衡量并传达网络风险

• CCM

• 网络安全持续合规自动化（CCCA）

• 网络风险量化（CRQ）

• 与网络安全保险战略相关联

• 网络安全项目绩效管理（CPPM）

• 漏洞管理/威胁情报（VM/TI）

• 事件响应（IR）

• 持续威胁暴露面管理（CTEM）

SRM领导者应该选择符合下述要求的网络GRC工具：

• 符合企业机构需求并能与现有IT和控制基础设施集成；可评估连接器和低代码或无代码集成。为基于角色的培训投入资金，以确保有效使用网络GRC工具，不仅要关注工具的运行，还要关注网络GRC的基本原则。

• 促进业务、法务合规和运营部门的利益相关者参与评估过程，确保网络GRC工具与企业机构的整体目标保持一致，并支持更广泛的战略，而不仅仅是网络安全技术目标。

• 在早期评估时考虑企业架构因素，以建立通用的数据模型和报告配置。

中优先级事项

在接下来的36个月中，采取以下行动。

将网络风险量化与AI辅助风险分析相结合，实现网络风险评估转型

网络风险量化（CRQ）是一种采用业务相关术语表达企业机构在互联数字环境中风险暴露的方法（例如从概率/影响的序数标度表达到年度预期损失的高级统计建模和高级分析）。

数字时代网络风险评估需要将CRQ与更经典的定性分析相结合。在Gartner的客户中，有大量证据表明，领先的网络安全计划已经投资于CRQ。

SRM领导者应考虑以下CRQ最佳实践：

• 关注高价值用例，例如优先考虑重要安全投资和网络安全保险，从而提高CRQ的效益。

• 在与业务领导者讨论CRQ时，将风险与业务成果相挂钩，并重点介绍潜在影响。

• 根据所需的复杂性和精确性筛选出合适的风险分析方法。例如，如果不需要蒙特卡罗模型，请选择一个不太复杂的分析方案。

• 在启动CRQ时，使用现有业务影响分析和监控功能中的客观数据来分析业务资产，而不使用基于历史事件或罕见事件的主观概率估计。

• 与其他风险领域展开协作，以就风险缓解方案提供更加综合的视角。

• 投资于概念验证，以验证CRQ是否将获得足够支持。考虑供应商基于AI的最佳实践建议以改进自身方法，并在实际投资之前验证供应商能力。

除CRQ之外，AI在网络风险管理中可以优化评估和监控流程，提高实时沟通能力。相关功能包括：

• 加强控制措施的实施

• 识别缺陷并触发调整

• 通过持续检查合规性、发现潜在问题并提出行动建议进行风险监控

• 网络安全框架映射

• 收集和分析网络风险数据以进行知情决策和有效监督，从而报告风险

• 要利用这些新兴和快速发展的AI相关功能，SRM领导者应考虑：

• 制定全面的数据战略，解决数据质量、可访问性、安全和隐私方面的问题。首先明确说明预期成果，并确定AI可以在哪些具体用例中增加网络风险管理的价值。

• 评估数据质量和可用性、技术基础设施、企业文化以及AI技术方面的专业知识。

• 联系现有的网络GRC供应商，评估其已具备的AI驱动功能类型。要求供应商提供客户采用案例及AI驱动的产品路线图。

• 从小规模概念验证入手，展示AI在网络风险管理中的可行性和价值。随着对AI技术信心的增强和企业机构能力的提高，逐步扩大采用规模。

• 改进现有指标（如成本节约和合规等级），进行持续评估和监控，以衡量AI驱动型网络风险管理解决方案的成果。

• 应理性地看待AI相关炒作，重点考察真实客户已采用的产品，而并非仅存于路线图中的产品。

纳入正确的要素，完善网络风险登记册

网络风险登记册是一个集中存储库，记录和跟踪整个企业机构的网络风险。它系统地记录风险分类、风险所有者、相关性和容忍性、固有和剩余风险、缓解控制及其有效性和未解决的问题等要素。

网络风险登记册应有效记录并优先考虑通过业务影响分析（BIA）发现的风险（图4中的核对表供参考）。

图4：网络风险登记册优秀标准的核对表

根据威胁形势、新兴技术和监管要求的变化，定期审查、更新并向利益相关者和委员会提交网络风险登记册，对于保持其准确性和相关性至关重要。这有助于企业机构保持韧性，并更好地准备应对潜在威胁。

建立基于影响的风险分析

这一行动涉及将网络安全进一步纳入企业机构的治理框架和决策流程。网络安全工作必须始终符合企业机构的战略目标和风险偏好。这有助于确定需要加强保护的关键资产和系统，从而能够相应地分配资源。随着新数据的出现或风险形势的变化，持续监控和更新风险评估非常重要。这确保了评估保持准确和最新的状态。

要实现这一目标似乎很难。SRM领导者应考虑下述网络风险评估的关键步骤：明确重点、评估潜在风险、评估风险等级、商定处理方法、与风险偏好相协调以及量化影响和控制（见图5）。这些目标无法在短期内实现，需要持续的投入。毕竟，它们代表着战略方向，不应被视为项目计划。

图5：建立基于影响和共识的风险评估的关键步骤

1.    明确重点。此举是为了解关键资产，即对企业机构的运作和声誉至关重要的数据、系统和流程。通过明确、优先考虑有价值的资产并了解其具体情况，企业机构可以将风险评估和缓解工作的重点放在保护最重要的资产上。这通常是通过BIA和业务风险偏好/接受度评估实现。此外，还要考虑企业机构的战略目标、行业法规和合规要求。

2.    评估潜在风险。此举是为了确定和评估企业机构在关键资产、系统和流程方面可能面临的特定风险。评估应考虑可能威胁企业机构网络安全的内部和外部因素。内部因素可能包括系统漏洞、安全控制不力或雇员疏忽。外部因素可能包括新兴网络威胁、监管变化或供应链风险。

3.    评估风险等级。此举旨在根据潜在影响和发生可能性，对已识别风险进行评估。风险等级可以作为确定工作优先次序和相应分配资源的基础。评估应考虑财务影响、声誉损害、运营中断和监管合规等因素（见表4）。为每个已识别风险分配一个风险等级或分数，有助于确定风险的严重性和紧迫性，使企业机构能够优先集中精力解决最关键的风险。

4.    量化影响和控制。此举是为风险事件的潜在影响和现有控制措施对风险缓解的有效性分配数值或分数。量化影响，有助于理解风险事件可能造成的财务、运营或声誉后果。量化控制有效性，可深入了解现有控制措施提供的保护水平。

5.    与风险偏好相协调。风险被量化，其影响和控制有效性得到评估后，SRM领导者需要将这些结果与企业机构预先确定的风险偏好进行比较。风险偏好是指企业机构愿意接受或容忍的风险水平。应主要由业务部门而非网络安全或IT部门确定风险偏好。通过将量化的风险与风险偏好相协调，SRM领导者可以确定所识别的风险是否在可接受水平之内，或者是否需要额外的缓解措施。此举可帮助SRM和业务领导者在风险接受、风险转移和风险缓解策略方面作出知情决策，以确保整体风险暴露保持在可接受的限度内。

6.    商定处理方法。此举旨在将各类方案考虑在内，例如风险规避、风险转移、风险缓解或风险接受。关于处理方法的决定应与企业机构的风险偏好和整体风险管理战略相一致。这可能涉及由安全或IT团队实施额外控制、加强现有控制、通过网络安全保险或第三方协议转移风险，或由业务部门根据成本效益分析同意接受某些风险。商定的处理计划应记录在案并传达给利益相关者，以确保采取协调一致的方法来管理网络风险。

表 4: 风险影响类别示例

风险影响类别	影响详细信息
1.    财务损失	资金或资产被盗 调查和缓解网络事件的成本 法律和监管罚款
2.    运营中断	关键系统和服务的停机时间 业务流程中断 生产力损失
3.    声誉受损	失去客户的信任和信心 负面宣传和媒体报道 对品牌形象造成长期损害
4.    数据泄露后果	敏感客户信息的丢失或泄露 违反数据保护法规 法律行为和诉讼
5.    知识产权盗窃	盗窃或泄露专有信息 丧失竞争优势 影响研发工作
6.    商业机密泄露	丧失市场优势 对创新和业务战略造成负面影响
7.    供应链中断	供应商受损导致供应链中断 交付延迟和费用增加
8.    业务连续性挑战	在攻击期间和之后维护运营存在困难 需要投资于全面的韧性计划
9.    员工生产力	在事件期间和之后员工生产力受损 IT和安全团队的工作负载增加
10. 保险费用增加	网络安全保险费成本上升 风险增加导致承保范围受限
11. 客户关系	对客户关系产生负面影响 客户支持需求增加
12. 监管合规问题	未能遵守行业特定法规 监管机构审核加强
13. 诉讼案件	与受影响当事方的法律行动有关的成本 聘请辩护律师的成本
14. 恢复	与恢复系统和数据相关的成本 为未来预防而投资于网络安全改进
15. 股价波动	感知到的漏洞对股价产生负面影响 股东的担忧和反应
16. 网络安全投资压力	网络安全投资压力加大 平衡网络安全投资与其他业务重点
17. 实物财产和设备的损坏和破坏	业务运营中断和生产损失 修理和更换价格高昂
18. 健康和人身安全	员工的福祉和生产力 公司声誉、合规罚款和诉讼

来源：Gartner（2024年10月）

低优先级事项

低优先级的战略考虑事项可能因企业机构的具体需求和情况而异。以下是一些与先前概述的重点领域相比通常被认为优先级较低的任务。

持续的风险数据集成。除了CCM和网络GRC之外，其他相关数据源的长期集成是至关重要的。从长远来看，持续优化数据模型和利用更多数据源需要跨职能部门的大量投资。随着时间的推移，集成数据越多，就能获得更好的上下文和洞察。不过，这可能涉及与技术实施、数据集成工作和人员培训有关的成本。

企业机构应仔细评估风险数据进一步集成的潜在收益和成本。尽管这可能需要持续投资，但长期优势可能超过支出。这些优势包括提高风险可见性、增强风险评估能力、更好地识别新兴威胁以及更有效的风险缓解策略。

建议采取分阶段实施办法，例如从在短期内集成关键数据源开始，并逐步扩大到涵盖其他来源。IT、网络安全、风险管理和合规等职能之间的协作对于确保协调一致和优化资源分配至关重要。

管理流程优化。在这一领域，政策文档管理可能优先级较低。尽管保持结构化、系统化的网络GRC非常重要，但它可能无法从战略层面直接影响即时风险管理和合规工作。平衡管理任务和网络GRC核心目标，对于确保全面和良好运行的网络GRC实践至关重要。

需要注意的是，网络GRC职能中的战略优先次序应基于企业机构的风险状况、合规要求和战略目标。必须定期审核并重新评估优先事项，以确保有效分配精力和资源。

缩略语和术语表

BIA	业务影响分析
CCCA	网络安全持续合规自动化
CCM	持续控制监控
CPPM	网络安全项目绩效管理
CTEM	持续威胁暴露面管理
CRQ	网络风险量化
GRC	治理、风险与合规
IR	事件响应
KPI	关键绩效指标
NIST CSF	美国国家标准与技术研究院网络安全框架
RASCI	负责、问责、支持、咨询和知情
VM/TI	漏洞管理/威胁情报