1、网络复原力现状达信和 Microsoft 共同发布了一份新报告，旨在帮助所有部门的领导者协调并确定 2022 年及以后网络战略的优先事务。网络复原力现状2 2目录01前言02040506执行摘要03了解网络风险：当今需要了解的 8 个关键趋势建立企业的网络风险团队建立企业级网络风险管理的最佳实践共担责任可树立对网络复原力的信心网络复原力现状3前言由于近三年所经历的职场受到重创、数字化转型和勒索软件攻击等挑战，使得大多数领导者对自身管理网络风险的能力相比两年前明显信心不再。这是 2022 年达信和 Microsoft 网络风险调查（双方公司在过去四年中开 展的第三次合作）的结果之一。令人不再抱有

2、信心的一件事情是，大多数公司没有采用企业级的网络风险控制方法；这种方法的核心内容之一是在公司对自身网络复原力的真实情况作出关键决策的过程中，促进利益相关者之间的协作和统一。例如，所有涉及网络风险的部门都应参与网络事件管理，并在整个企业范围内分享网络见解，以恰当地解决公司网络安全的薄弱环节。今年，我们的报告探讨了公司各职能部门和领导者（尤其是 网络安全和 IT、风险管理和保险、财务以及高管领导层）对网络风险的看法。虽然所有这些职能部门在网络风险方面有着共同的利益，但我们发现他们往往独立行事，忽视了企业级的方法所能带来的潜在好处。我们的调查中反映了他们不同的网络风险管理观点和方法，并且发现只有 4

3、1%的组织在制定网络风险计划时得到了法律、企业规划、财务、运营或供应链管理部门的参与。在接下来的几页中，您将了解到公司网络领导者在寻求网络风险方面的共识时可以讨论的 8 个关键趋势。该报告还介绍了企业网络团队的角色和职责，以帮助他们了解彼此的需求、责任和观点。最后，我们分享了一些最佳实践，希望可以帮助企业调整自身行为以更有效地管理网络风险。在此，我们特别感谢来自世界各地多个组织的 650 多名网络风险领导者，感谢他们百忙之中抽出宝贵时间分享自己对这一重要话题的想法。希望本报告能将您的整个组织凝聚在一起，并在您构建企业级的网络复原力方法时促进对话。只有 41%的组织让法务、企业规划、财务、运营或

4、供应链管理等部门共同参与制定网络风险计划网络复原力现状4执行摘要网络风险普遍存在于大多数组织当中。员工或供应商从家中启动笔记本电脑会带来风险。将新产品连接到物联网的用户会引入风险。因担心网络威胁而决定不推出新产品是一种风险。诸如此类。应对此类风险需要在整个企业范围内采取统一的措施。关键网络风险趋势在分析 2022 年达信和 Microsoft 网络风险调查的回应时，我们发现了 8 个趋势：1.网络特定的企业级目标 包括网络安全措施、保险、数据和分析以及事件响应计划）应与构建网络复原力（而不是简单地预防事件）保持一致，因为每个组织都可能遭受网络攻击。73%的公司表示他们经历过网络攻击。2.勒索软

5、件被认为是公司面临的首要网络威胁，但不是唯一的威胁。其他常见的威胁包括网络钓鱼/社会工程学攻击、隐私泄露以及由于外部供应商受到攻击而造成的业务中断。3.保险是网络风险管理战略的重要组成部分，并会影响最佳实践和控制措施的采用。61%的受访者表示他们的公司购买了某种类型的网络保险。4.采用更多的网络安全控制措施可提高网络卫生评级。只有 3%的受访者将其公司的网络卫生级别评为优秀。5.组织在从财务角度衡量网络风险方面较为滞后，这损害了其在企业内部有效传达网络威胁的能力。只有 26%的受访者表示他们的组织采用财务手段来应对网络风险。6.尽管企业各项开支的优先级有所不同，但在降低网络风险方面的投资仍在继

6、续增加。64%的受访者表示，网络风险投资不断增加的刺激因素是遭受了攻击。7.新技术需要不断地进行评估和监控，而不仅仅是在采用前的探索和测试期间。54%的公司表示，他们不会在实施阶段以外对新技术进行风险评估。8.公司采取了许多网络安全措施，但普遍忽视了他们的供应商/数字供应链。只有 43%的受访者对其供应商/供应链进行了风险评估。建立一支富有弹性的团队了解企业中的专业人士如何看待自身在网络保险、网络事件管理、网络安全工具和服务等方面的角色非常重要。他们是否认为自己起到决策者的作用？是否作为整个团队的一员，并为决策提供意见？或者他们是否根本没有参与？这些答案将在很大程度上决定公司为了发展企业级网络

7、复原力而需要采取的后续措施。我们发现，在网络风险管理各领域的参与程度方面，存在角色和职责混乱不清问题。例如，风险管理和保险专业人士往往是网络事件管理团队的成员，但通常在讨论网络安全工具和服务时不在场。在网络保险决策方面，没有明确的领导者。此外，超过四分之一的风险经理和财务专业人士表示他们没有参与网络事件管理。虽然这些回应反映出人们普遍希望增加网络风险方面的开支，但投资的具体领域因职能而异。厘清角色和明确决策权限是为了帮助组织最大限度地提高这些投资的效率。最佳实践 网络风险管理的最佳实践方法涵盖了组织的各个角色。这包括投入和参与广泛、均衡且持续更新的一系列资源和活动，以缓解网络风险并增强网络复原

8、力。但是，如果整个企业内部没有有效的沟通，即使是最佳的工具和活动也不可能充分发挥其潜力。网络复原力现状5了解网络风险：当今需要了解的 8 个关键 趋势重要的是，整个组织中的领导者必须对整体网络风险趋势以及这些趋势如何影响他们的业务达成共识。对公司面临的风险问题达成共识有助于协调决策者 和推动战略，并且也有助于向其他内部和外部利益 相关者传达统一的信息。与任何风险一样，网络趋势也会随着时间的推移 而变化。以下是当今网络环境中的 8 个关键领域。重要的网络复原力趋势网络复原力现状6网络特定的企业级目标应与构建网络复原力保持一致，因为每个组织都可能遭受网络攻击。围绕网络风险，形成了一个值得重复提及的

9、常理：如果您知道您的网络今天会被攻破，您现在会采取什么不同的做法？在我们的调查受访者当中，近四分之三的受访者表示，他们的组织在过去一年经历过一次或多次网络攻击，其中最常见的类型是网络钓鱼/社会工程学攻击和勒索软件。收入名列前茅的公司往往会面临着更多的攻击-无论是在数量上，还是在种类上，85%的公司表示他们至少遭受过一次攻击，相比之下，只有 68%的小型公司表示受到过攻击。从地区来看，拉丁美洲的企业最不可能报告受到过任何类型的网络攻击，尤其是隐私泄露。太平洋区域的企业比其他区域更有可能遭遇隐私泄露。网络钓鱼和社会工程攻击勒索软件攻击隐私泄露（个人数据丢失或被盗）外部供应商/合作伙伴网络中断导致的

10、业务中断 05%10%15%DOS（拒绝服务）攻击20%25%非个人隐私信息（知识产权、商业秘密等）丢失供应链中断对运营技术的物理影响全国范围的网络攻击组织经历的网络攻击的类型以上都不是（未受到任何网络攻击的影响）27%75%的组织经历过网络攻击几乎重要趋势 1网络复原力现状7勒索软件被认为是公司面临的首要网络威胁，但不是唯一的威胁。今天，许多关于网络风险的对话都会首先谈及无处不在的勒索软件。调查受访者将勒索软件列为其组织面临的首要网络风险，其中三分之一以上的受访者表示勒索软件是头号威胁，并且近四分之三的受访者将其排在前三位。许多组织认为，无限数量的漏洞导致勒索软件几乎无法抵御。这使人们深刻认

11、识到发展具备网络复原力的组织的重要性。风险管理和保险领域的专业人士更有可能将勒索软件视为攻击的关键驱动因素；而董事会和首席执行官级别的领导者不太可能持有这种观点。超过半数的北美公司表示，向攻击者支付赎金的公司加剧了攻击事件的发生。在全球范围内，勒索软件位居网络威胁之首，隐私泄露、供应商中断和网络钓鱼/社会工程学攻击紧随其后。撇开勒索软件不谈，各地区最关心的问题有所不同。例如，位于欧洲的组织可能更在意供应商/合作伙伴中断，位于亚洲的组织会对侵犯隐私问题表现出更大的担忧，而位于拉丁美洲的组织则更经常提到专有商业信息的丢失。重要趋势 2勒索软件位居网络威胁之首组织面临的主要网络威胁勒索软件攻击（在支

12、付赎金之前 阻止访问公司系统）隐私泄露（个人数据丢失或被盗）外部供应商/合作伙伴网络中断导致的业务中断员工在家工作（网络钓鱼和社交工程攻击增加）非个人隐私信息/专有信息丢失DOS（拒绝服务）攻击（限制合法用户对网络的访问）损害供应链网络攻击造成的物理损坏全国范围的网络攻击71%50%41%40%34%31%17%9%5%欧洲大陆79%亚洲68%区域偏差%欧洲大陆52%拉丁美洲与加勒比地区44%英国和爱尔兰35%网络复原力现状8保险是网络风险管理战略的重要组成部分，并会影响最佳实践和控制措施的采用。自 20 世纪 90 年代末推出以来，网络保险已证明了其出色的网络攻击抵御成效。它已发展成为一种解

13、决众多数字衍生风险的产品，能够按预期有效地支付索赔，这有助于公司在对其业务进行创新和数字化时更负责任、更全面地管理风险。此外，随着保险公司从理赔中汲取经验教训，并将承保要求的重点转移到可以减轻索赔的控制措施上，这也创造了非常有价值的反馈循环。在调查受访者中，61%的受访者表示他们的组织购买了某种类型的网络保险，比 2019 年的上次调查增加了近 30%。作为抵御网络攻击所造成的潜在成本的一项保障，保险经常被视为整个网络风险策略的重要组成部分。现在，由于各组织的潜在可保性已岌岌可危，因此采用某些控制措施已成为大多数保险公司的最低要求。据说，这对网络安全态势产生了积极影响，41%的受访者表示，保险

14、公司的要求影响了其组织强化现有控制措施或采用新控制措施的决策。虽然这些控制措施已被确立为最佳做法好几年了，但一些组织仍在努力采用，最常见的原因是他们无法证明成本的合理性，或者他们不理解或明白是否需要这些措施。重要趋势 3网络保险承保要求影响控制措施的采用保险承保要求/网络安全控制措施对 网络安全决策的影响我们的保险公司促使我们采用新的或额外的网络安全控制措施41%57%保险公司的要求没有使我们的网络安全计划发生变化2%我们的保险公司促使我们降低或减少我们的网络安全控制措施保险被普遍视为网络风险管理战略的重要一环购买网络保险的原因这是我们网络风险管理站略的重要一环63%58%34%29%28%2

15、0%18%值得购买保险来防范攻击的风险和潜在成本拥有网络保险是我们行业中的最佳实践/标准如果没有保险，我们就无法承担网络事件的所有潜在成本值得信赖的顾问或咨询师建议我们购买网络保险我们发现，我们行业中的其他组织因缺乏网络保险而受到损害我们的供应商/合作伙伴要求购买网络复原力现状9采用更多的网络安全控制措施可提高网络卫生评级。寻求战略性地解决网络风险和提高网络卫生评级的组织应考虑采用网络安全专家认可的 12 项网络安全控制措施，以帮助预防、应对和尽量减轻网络攻击并尽快在遭受网络攻击后恢复。虽然这些控制措施已经建立了相当长的一段时间，但最近得到了更多的关注。一部分原因是勒索软件攻击的频率和严重程度

16、持续上升，另一部分原因是保险公司认识到了某些控制措施对相应网络事件和索赔的影响。使用全部或大部分 12 项网络安全控制措施的组织的网络卫生评级被评为“非常好”或“优秀”的可能性增加了近两倍。大型公司通常领先于小型公司，并且更可能实施几乎所有的控制措施，即使在这种情况下，一些公司仍面临缺口。与没有网络保险的公司相比，拥有网络保险的公司可能采取更多的措施来建立安全性并实施更严格的控制。重要趋势 4电子邮件过滤和网络安全在十几种网络卫生控制措施中非常普遍目前使用的网络安全控制措施电子邮件过滤和网络安全96%90%日志记录和监控/网络保护90%安全、经过加密和测试的备份87%补丁管理/漏洞管理83%网

17、络安全意识培训/网络钓鱼测试79%用于远程访问和管理员特权访问 的多因素身份验证(MFA)78%端点检测和响应(EDR)应更换或保护报废的系统 76%强化技术，包括远程桌面协议(RDP)缓解72%网络事件响应规划和测试67%特权访问管理(PAM)65%供应商/数字供应链风险管理49%66%的受访者表示，在家办公和远程办公最容易遭受网络攻击网络复原力现状10受访者如何评价其组织的整体“网络卫生”状况需要提高40%满意34%很好23%优秀3%网络复原力现状10网络复原力现状11许多组织在从财务角度衡量网络风险方面存在滞后，这损害了他们在整个企业有效传达网络威胁的能力。将网络风险纳入财务范畴对于构建

18、企业级的网络风险管理方法至关重要。作为抵御网络风险的一部分，人们需要了解网络攻击和其他事件如何在短期和长期内造成财务波动。然而，大多数受访者表示，他们的组织在评估网络风险时没有采用财务措施。这会导致一些问题，例如：他们如何知道自己能承受多少风险或哪些风险？他们如何为其预留资金？大型企业更可能使用正规方法评估网络风险敞口。从地区来看，设在拉丁美洲和加勒比区域的组织更有可能使用定性评估方法。在使用风险价值计算的 26%组织当中，大多数(90%)在其计算中使用了业务中断，而超过一半的组织使用了个人数据失窃/隐私泄露、潜在的勒索软件要求和服务成本来帮助客户跟踪攻击。重要趋势 5采用财务方法将有益于衡量

19、网络风险敞口 用于衡量网络风险敞口的方法 财务计算中使用的因素通过 NIST 框架内的阶段或实施层级系统地进行29%28%26%22%18%在视觉上或分类上，有颜色或级别在财务方面，基于特定时间范围内网络攻击的估计潜在损失（风险值建模）定量，通过数字分数或排名我们尚无衡量网络风险的方法业务中断90%71%65%52%49%个人数据被盗/隐私泄露潜在的勒索软件需求攻击后为客户提供帮助的服务成本监管罚款（包括制裁）法律费用知识产权(IP)盗窃金钱或证券盗窃财产损失人身伤害/死亡48%44%37%32%11%网络复原力现状12只有 26%的受访者表示 其组织使用财务措施 来应对网络风险网络复原力现状

20、13尽管企业各项开支的优先级有所不同，但在降低网络风险方面的投资仍在继续增加。在全球范围内，大多数组织计划在下一年度增加网络安全技术、事件规划、员工培训、网络保险和网络咨询服务方面的开支。总体而言，网络风险领导者认识到需要对多项内部和外部资源进行投资，以增强整体网络复原力。然而，在组织内部，各部门和网络风险领导者对投资方向的想法往往不同。经历过网络事件是决定增加投资的主要推动因素。其他主要原因包括外部顾问的建议以及采用新技术/数字化转型。近四分之一的组织表示，网络保险方面的开支将在 2022 年增加 25%或更高。风险管理/保险主管最常提及他们会优先考虑网络保险投资和招聘网络安全人员。首席执行

21、官/董事会级别的主管通常表示会在网络安全技术/缓解、员工培训以及网络安全事件规划和准备方面增加投资。大型组织更有可能表示他们将使用投资来招聘网络安全人才并建立 SOC 能力。重要趋势 6网络安全技术和缓解领域是最常增加投资的领域未来 12 个月网络风险投资的预期变化网络安全技术/缓解网络安全事件 规划和准备员工培训网络保险外部网络风险咨询服务招聘网络安全人员构建安全运营中心(SOC)的能力53%71%49%63%45%32%51%46%34%45%认为增加投资 1-25%的百分比认为增加投资 25%或更多的百分比18%14%17%62%55%23%40%11%34%13%12%IT/网络安全职

22、责78%风险管理职责67%董事会/首席执行官40%财务/采购职责57%风险管理职责57%董事会/首席执行官29%职能偏差+/百分比网络复原力现状14新技术应持续地（而不仅仅是在采用前的探索和测试阶段）进行评估和监测。虽然 69%的受访公司认为在新技术处于开发的探索和测试阶段时评估其风险很重要，但 54%的受访公司表示，他们不会在实施阶段以外对新技术进行风险评估。鉴于数字化和技术进步增加了新网络漏洞和更严重网络漏洞的暴露，因此有必要在实施阶段之后对新技术进行持续的评估和监控。采用后风险评估次数的下降可能与网络风险评估实施方法中存在的更广泛障碍问题有关。其中包括缺乏人才、相关数据和内部共识。当受访

23、者被问及网络风险评估的最大障碍是什么时，53%的受访者认为最大的障碍是没有合适的员工和人才执行评估，而 33%的受访者声称，访问正确的数据是一个障碍。此外，还有一些问题可能涉及开发小组向组织的其他部门“交接”新技术。这个示例说明了在整个企业范围内开展网络风险评估工作所蕴含的潜在优势；如果协调的跨职能的思维成为常态，则这种差距不太可能出现。重要趋势 753%的组织认为，网络风险评估的最大障碍是没有合适的员工/人才来进行此工作33%声称缺乏正确的数据是评估新技术的障碍实施网络风险评估方法的障碍许多公司在采用新技术的某个阶段会停止评估新技术的网络风险在技术采用和实施过程中评估网络风险时在探索/测试阶

24、段采用前评估风险的净百分比2019 年 74%2022 年 69%采用后评估风险的净百分比实施后/使用中2019 年 54%2022 年 46%2019年2022 年在我们采用或实施新技术的任何阶段都不评估网络风险67%63%24%24%37%39%在探索/测试阶段29%26%25%17%发生网络攻击/事件时11%6%网络复原力现状15公司采取了许多网络安全措施，但普遍忽视了他们的供应商/数字供应链。对于许多组织而言，了解网络风险与其第三方提供商/供应商之间的全部关系可能是一个盲点。但这是至关重要的。例如，部分原因是许多网络保险公司在寻求识别和承保一级提供商/供应商以外的关键依赖关系时，增加了

25、对供应商生态系统信息的要求。审计并验证供应商和供应链是大型组织最不可能解决的领域，尽管他们在采取网络安全措施方面总体上相当积极。小型组织就供应链采取措施的可能性更低。金融服务公司在进行供应商评估方面领先于其他部门。大多数公司都在采取措施以改善一些“基本”领域，例如计算机、设备和系统的安全。重要趋势 8在所采取的网络安全行动中，供应商和供应链问题滞后过去 12 个月采取的网络安全行动提高计算机、设备和系统的安全性91%79%64%63%61%43%42%提高数据保护能力进行渗透测试（模拟攻击）将网络安全集成到组织的业务连续性计划中定义/重新定义网络安全治理、角色和职责对我们的供应商/供应链进行风

26、险评估进行业务中断估值在开发过程中采用设计安全和/或 DevSecOps 概念审计并核实我们供应商/供应链的技术和运营措施40%36%网络复原力现状16建立企业的网络风险团队网络风险管理应是您企业上下共同承担的责任。风险经理、首席财务官、首席信息安全官、执行层领导及其团队都应该讨论重要网络风险，并共同识别、量化和管理这些风险。现实情况往往非常不同，对网络风险和组织优劣势的看法会因职能不同而异。这通常会导致视野狭隘，公司无法获得及早发现和应对网络风险从而缓解风险所需的宏观了解。在本节中，我们将了解有助于您在企业内建立更好联盟的信息，包括在首席执行官、董事会和总裁、风险经理和保险专业人员、财务部门

27、以及 IT 和网络安全部门之间。实现协同效应将有助于降低风险、减少成本并建立网络复原力。网络复原力现状17了解不同角色、责任和看法将增强网络风险复原力。企业中的专业人士如何看待他们在网络保险、网络事件管理以及网络安全工具和服务中的角色？他们是否认为自己起到决策者的作用？是否作为整个团队的一员，并为决策提供意见？或者他们是否根本就没有参与？根据我们对受访者的调查结果，IT/网络安全专业人士是参与人数最多的一项。在超过 90%的回答中，他们在三个领域中要么是决策者要么是团队成员，并且“不参与”的总体人数最少。他们也最有可能将自己视为网络事件管理和网络安全工具和服务的决策者。董事会/首席执行官/总裁

28、受访者最有可能将自己视为网络保险的最终决策者，其次是风险管理和财务的最终决策者。有趣的是，90%的风险经理受访者称制定了网络事件响应计划，而只有 60%的执行层领导表示如此。导致如此低比例的执行层领导回答，与其说是缺乏实际计划，倒不如说是缺乏与网络风险管理负责人的接触。网络保险决策显示，最高级别的受访者表示他们是团队的一员。与其他领域相比，在网络安全工具和服务领域中，企业内部专业人士的协作水平最低。网络保险网络事件管理网络安全工具和服务风险管理/保险 财务/采购 IT/网络安全 董事会/首席执行官/总裁 网络领域的参与程度因职责的不同而异决策者团队的一员未参与5%25%73%2%22%75%2

29、%12%79%9%29%64%6%66%32%2%69%26%5%35%63%2%24%60%15%36%63%1%56%41%4%62%17%22%54%2%43%网络复原力现状18效率（所有利益相关者都了解他们的角色和职责）全面（能够处理一系列潜在事件或影响）清晰度（您和组织中的其他人对它的理解程度）准备情况（测试和更新计划的频率）网络事件响应计划的质量（将每个方面评为“良好”或“优秀”的百分比）58%26%57%27%54%27%59%23%高度自信的风险管理组织不太有信心网络领域的参与程度因职责的不同而异79%的组织制定了响应计划网络复原力现状19对网络风险管理战略的信心相对较低。对一

30、个组织评估、衡量、缓解和响应网络威胁的能力的信心仍然较低，相比在 2019 年达信和微软网络调查中收集的调查回复，没有看到任何实质性的变化，2019 年和 2022 年都是只有 19%的受访者表示他们对网络风险管理非常有信心。总体而言，与部门领导相比，执行层领导对这些领域的信心最低。例如，对于组织管理和响应网络攻击的能力，只有 9%的执行层领导表示他们非常有信心，而有 19%部门领导这样认为。这些不同的看法很可能会影响作为网络风险战略一部分的资源最终部署位置。执行层领导和部门领导都对组织了解和评估网络威胁的能力表现出最高的信心。这反映了对有关社会大部分领域经历的网络风险的信息的掌握日益增多。最

31、大的观点差距也与管理和应对网络攻击的能力有关，近三分之一的执行层领导表示他们没有信心，而有 18%的部门领导这样认为。更有效的跨企业沟通有可能弥补这种差距。随着信息在各职能部门之间共享，可能会更有效地协调组织的能力以及在哪里进行投资。2019 年 执行层领导最有可能对网络风险管理计划缺乏信心极有信心较有信心没有信心2020 年对组织的以下能力的信心了解/评估网络威胁衡量/监控网络威胁执行层领导23%53%24%部门领导26%61%13%16%57%27%20%63%17%12%64%24%17%69%14%缓解/防止网络攻击管理/应对网络攻击9%60%31%19%63%18%执行层领导部门领导

32、执行层领导部门领导执行层领导部门领导对网络风险管理的总体信心19%61%20%19%64%17%网络复原力现状20随着网络投资的增加，需要采取跨企业战略。与 2019 年相比，各组织角色对于增加网络风险管理资源和能力投资的必要性达成了广泛共识。极少数受访者预计投资将会减少，超过半数的受访者表示大部分领域可能会出现一定程度的增长。与大多数预算决策一样，决定在哪里投资可能是一项复杂、耗时的事情。在企业内共享网络风险专业知识的组织可能会发现任务更有效和高效。预计担任不同职位、处于不同部门的网络风险领导者可能会为未来投资制定各种计划和优先事项。IT 和网络安全受访者更有可能计划在网络安全技术方面增加支

33、出；而持同等看法的财务和采购职位的受访者更少。风险管理和保险领导者更有可能预计在网络保险和招聘更多网络安全专业人士方面增加支出；而持同等看法的董事会和首席执行官级别的受访者明显更少。例如，35%的风险管理领导者预计保险支出将增加 25%或更多；而只有 9%的执行层领导预计这一增加水平。缺乏相关员工/人才被视为阻碍公司实施更正式和更严格的风险评估方法的主要障碍之一。与此同时，执行层领导最不可能预见网络安全人才招聘的增加；只有 29%的执行层领导预计这一领域会有任何增长，而有 57%的风险经理和 46%的网络安全和 IT 领导者对此抱有期望。这是否代表各职能部门和领导者之间的沟通有误？如果是这样，

34、这又是一个将从企业级网络风险管理方法中受益的领域。网络保险网络安全技术/缓解网络安全事件规划和准备招聘网络安全人员 和人才建立安全运营中心(SOC)风险管理/保险 财务/采购 IT/网络安全 董事会/首席执行官/总裁 各职责之间的广泛共识是，2022 年将增加网络投资您预计您组织的投资在未来 12 个月将如何发展？67%任何增加百分比72%67%57%52%56%57%57%37%33%51%78%67%46%52%40%63%53%29%37%网络复原力现状21网络复原力现状21建立企业级网络风险 管理的最佳实践 网络风险管理的最佳实践方法依赖于企业内部共同承担责任的承诺。这包括投入和参与广

35、泛、均衡且持续更新的一系列资源和活动，以缓解网络风险并增强网络复原力。此类项目包括但不限于网络安全技术和人才获取、事件响应培训、渗透测试、供应商/供应链风险评估、网络保险和网络风险咨询服务。在本节中，我们将着眼于之前确定的 8 个趋势，重点关注网络风险领导者针对每种趋势制定企业内部方法的意义。网络复原力现状22勒索软件是公司面临的首要网络威胁，但并不是唯一的威胁。部门领导（风险管理/保险、财务/采购、IT/网络安全）定期监控、审查和共享组织内外的威胁评估更新。维护网络事件响应计划，该计划每年审查和测试一次。参加培训练习，帮助所有利益相关者了解彼此的角色和责任，以及在发生事故时如何应对。执行层领

36、导（董事会/首席执行官/总裁）接收定期威胁更新，以加强对勒索软件即服务等风险的了解。就网络风险与组织增长战略之间的联系提出问题并提供指导。批准包括支付/不支付赎金情形的响应战略。参加年度网络事件响应计划测试。重要趋势 2执行层领导和部门领导 致力于就网络风险威胁、准备情况和战略进行持续的跨职能沟通。参与网络风险管理规划，包括定期实施计划。参与事件后审查。重要趋势 1针对网络的企业内部目标应与构建网络复原力保持一致，因为每个组织都可能会受到网络攻击。网络复原力现状23采用更多的网络安全控制措施可提高网络卫生评级。部门领导（风险管理/保险、财务/采购、IT/网络安全）采用风险管理思维，利用网络风险

37、管理工具和策略之间的协同作用，在组织的所有技术用户中加强日常网络卫生水平。网络安全/IT 部门领导实施广泛而均衡的网络安全技术策略和控制措施组合，包括电子邮件过滤和网络安全、端点检测和响应、强化技术（包括远程桌面协议缓解）、特权访问管理。风险管理部门将保险公司的见解/要求传达给 IT 部门。执行层领导（董事会/首席执行官/总裁）采用包括网络风险管理思维在内的组织战略，其中包括在组织的所有技术用户中开发和维护网络卫生。重要趋势 4组织在从财务角度衡量网络风险方面较为滞后，这损害了其在企业内部有效传达网络威胁的能力。部门领导（风险管理/保险、财务/采购、IT/网络安全）使用定量方法评估和了解网络风

38、险敞口。财务部门牵头，从其他部门（运营部、研发部等）获取信息，帮助确定风险复原力。执行层领导（董事会/首席执行官/总裁）要求提供从财务角度说明网络风险潜在成本的信息。要求提供有关网络风险偏好和复原力的定 期更新。将这些措施纳入业务战略优先事项的制定中。重要趋势 5保险是网络风险管理战略的重要组成部分，并会影响最佳实践和控制措施的采用。部门领导（风险管理/保险、财务/采购、IT/网络安全）参与财务和风险管理有助于从财务角度量化网络风险，并制定有关企业风险复原力的指标。评估企业内部的风险融资需求。根据需要购买全面的网络保险，例如覆盖技术错误和遗漏、监管防御和处罚、运营资产的物理损坏、网络安全责任等

39、等的保险。考虑备选风险融资，例如自保和参数化保险。风险管理/保险部门在与保险公司的沟通中发挥主导作用，并与网络安全/IT 部门，财务部门、执行层领导和其他人员分享保险公司的见解/要求。风险经理应考虑让其首席信息安全官（或同等职务人员）参与到与保险公司的讨论中。执行层领导（董事会/首席执行官/总裁）让部门领导参与到有关网络风险融资如何融入企业增长战略的讨论中。就预算分配作出决策。重要趋势 3网络复原力现状24新技术需要不断地进行评估和监控，而不仅仅是在采用前的探索和测试期间。部门领导（风险管理/保险、财务/采购、IT/网络安全）在评估新技术时，技术领导者应与网络风险领导者合作进行融资和采购事宜，

40、并可能与外部合作伙伴（包括保险公司和网络风险咨询服务）合作。评估新业务技术实施前后所带来的风险。风险管理部门和网络安全/IT 部门携手合作，部署和监控网络风险，从而实现从研发到运营的顺利过渡。执行层领导（董事会/首席执行官/总裁）让各部门负责确保监控没有任何漏洞。重要趋势 7部门领导（风险管理/保险、财务/采购、IT/网络安全）评估供应商和供应链合作伙伴，包括对网络安全控制措施和协议的审计。与供应商和销售商签订的合同包含与网络安全状况相关的条款。与法务、运营、采购和其他部门适当合作，审计和核实供应商的技术和运营措施。执行层领导（董事会/首席执行官/总裁）从网络风险角度全面审查第三方销售商和 供

41、应商。公司采取了许多网络安全措施，但普遍忽视了他们的供应商/数字供应链。重要趋势 8部门领导（风险管理/保险、财务/采购、IT/网络安全）所有部门都为财务和执行层领导提供有关投资优先事项的意见。风险管理/保险专业人士根据网络保险公司的要求/见解，提供有关投资优先事项的意见。执行层领导（董事会/首席执行官/总裁）综合整个公司的意见，提出问题，分配预算。尽管企业各项开支的优先级有所不同，但在降低网络风险方面的投资仍在继续增加。重要趋势 6网络复原力现状25共担责任可树立对网络复原力的信心对于当今企业面临的网络风险，没有一刀切的解决方案。网络安全措施、保险、数据和分析以及事件响应计划全都发挥着重要作

42、用。但是，让这些和其他部分共同发挥作用的一个关键因素是在企业内部建立网络风险管理的一致性，从而培养共同责任。所有利益相关者，包括风险经理、财务部门、网络安全/IT 部门、执行层领导，都有可能通过更好地与更广泛的企业建立联系，来获得对组织网络安全状况的信心。网络复原力现状25方法本研究包括针对 n=662 名网络风险决策者的全球在线调查。调查以 16 种语言进行，并从 56 个国家/地区收集了回复。在 2021 年 11 月和 12 月期间进行了实地调查。所有受访者均来自达信数据库和 7DOTS 的网络推广。本文件及其中由达信提供的任何建议或分析（统称为“达信分析”）不能被视作针对任何个别情况的

43、建议，也不得作为此类问题的处置依据。本文包含的信息来自我们认为可靠的来源，但是我们对其准确性不作任何声明或保证。达信没有更新“达信分析”的义务，而且对您或者与本出版物或本出版物所载任何事项有关的其他任何一方均不承担责任。任何关于保险精算、税务、会计、法律问题的陈述都完全基于我们作为保险经纪人和风险顾问的经验，不得以此作为相关保险精算、税务、会计或法律问题的建议。被保险人如遇上述问题应咨询各自的专业顾问。任何建模、分析和预测都存在其固有的不确定性，任何基本假定、条件、信息和因素的不准确、不完整或变化都有可能对“达信分析”造成重大影响。达信对于政策措辞的应用或财务状况或保险公司或再保险公司的偿付能

44、力不作任何声明或保证。达信对于可用性、成本或承保范围的条款不作任何保证。尽管达信可能提供意见或建议，但所有关于保险数额、类型或条款的决策均由保险购买者承担最终责任，最适合于此人特定情况和财务状况的具体保险范围必须由其自行决定。1166 Avenue of the Americas,New York 10036版权所有 2022 Marsh LLC。保留所有权利。MA21-XXXXXX 869450023关于达信达信（Marsh）是全球领先的保险经纪和风险咨询公司，在130多个国家有超过45000名员工，致力于向全球商业企业和个人客户提供数据驱动型风险解决方案和咨询建议服务。达信是Marsh McLennan（纽交所代码：MMC）的旗下公司，后者是一家全球性专业服务公司，向客户提供风险、战略和人力资源服务，达信于1981年进入中国，目前有450多名员工在中国各地开展业务。作为首家在中国取得保险经纪人执照的外商独资企业，达信中国为本地和跨国公司提供全方位的保险经纪、风险管理和理赔服务。关于 MicrosoftMicrosoft(Nasdaq“MSFT”microsoft)致力于为智能云和智能边缘时代实现数字化转型。它的使命是助力地球上的每个人和每一个组织取得更大的进步。