世界经济论坛于2021年3月发布了《网络风险董事会治理原则洞察报告》。
报告指出,网络风险仍是当今商业组织面临的最大风险之一。董事会和领导层必须在高层定下基调,并确定其组织必须如何解决网络安全问题。报告阐述了网络安全委员会治理的六项共识原则。
全球风险水平图
网络风险专家合作制定了六项原则,以整合和更新针对董事的主要指南。六项共识原则旨在支持董事会对网络弹性组织的监督,同时推动战略目标。
深入探讨网络风险原则
1. 网络安全是一种战略性的业务促成因素
网络威胁对所有组织来说都是持久的、战略性的企业风险,无论它们在哪个行业运营。有效的组织网络安全直接有助于价值维护和为企业和更大社会创造价值的新机会。应对这一风险需要一种网络安全文化,领导层致力于并模拟良好的网络安全决策。
2. 了解网络风险的经济驱动因素和影响
许多推动盈利的商业计划也会增加网络风险。为了使组织做出有效的业务决策,风险确定应侧重于对组织的财务影响,包括数字转型和网络风险之间的权衡。通过使用场景规划,组织中的领导者可以考虑与其他业务优先级和义务相关的潜在收益和损失。领导者还应根据战略目标、监管和法定要求、业务成果以及接受、缓解或转移的成本来衡量网络风险(从经验和经济角度)。
3.使网络风险管理与业务需求保持一致
董事会应了解并评估如何在追求业务目标的过程中有效管理网络风险
通过关注如何处理网络风险,组织可以构建符合业务需求和定义的风险容忍度或风险偏好的安全概要。任何企业的有效治理都需要在决策的各个方面,包括并购、业务转型、创新、数字化、定价、产品开发、市场拓展等,将网络风险管理与业务目标明确地结合起来。
4.确保组织设计支持网络安全
组织结构应整合并支持安全和战略目标
组织应该设计一个内部治理结构,在企业范围内解决网络安全问题。这包括在所有内部利益相关者中明确关键风险管理和报告责任的所有权、权限和关键绩效指标(KPI)。它还要求将网络安全实践整合到企业运营和决策中。
共识原则可视化图
报告总结
董事会应采纳本报告所述的共识原则,以形成有效的网络风险治理制度的基础。
董事会需要了解网络风险及其在治理这一威胁方面的作用,以便有效地履行其监督职能。对于董事会成员和行业专业人士来说,提高对如何在组织内解决网络安全问题的认识仍然很重要。报告为董事们提供了一个机会,提高他们对网络风险的理解,并为董事会更充分地接受在网络风险方面的角色提供互动指导。
文本由@云闲原创发布于三个皮匠报告网站,未经授权禁止转载。
数据来源:《世界经济论坛(WEF):网络风险董事会治理原则洞察报告》。