IT GRC(治理、風(fēng)險(xiǎn)與審計(jì))的價(jià)值主張

G-Governance治理。公司治理主要涉及建立完善的制度安排，明確責(zé)任，制定公司戰(zhàn)略目標(biāo)和策略，制定和評(píng)估績(jī)效，遵循法律及制度規(guī)定，透明地披露經(jīng)營(yíng)狀況，對(duì)各項(xiàng)經(jīng)營(yíng)和管理過(guò)程本身進(jìn)行有效的管理和監(jiān)督，實(shí)現(xiàn)利益相關(guān)者的利益；

R-Risk風(fēng)險(xiǎn)。風(fēng)險(xiǎn)管理則是對(duì)所有業(yè)務(wù)和法規(guī)風(fēng)險(xiǎn)進(jìn)行有效的識(shí)別、評(píng)估和管理；

C-Compliance合規(guī)（遵循法律及制度規(guī)定）。合規(guī)- 遵循管理是指通過(guò)內(nèi)部控制管理機(jī)制和體系，確保各項(xiàng)制度和法規(guī)得以遵從、政策得以貫徹、各項(xiàng)經(jīng)營(yíng)和管理目標(biāo)得以有效達(dá)成。

GRC 代表治理、風(fēng)險(xiǎn)（管理）與合規(guī)（審計(jì)）。大多數(shù)企業(yè)都熟悉這些術(shù)語(yǔ)，但在過(guò)去它們是分開(kāi)使用的。IT GRC將治理、風(fēng)險(xiǎn)管理與合規(guī)結(jié)合在一個(gè)協(xié)調(diào)的模型中，這樣有助于企業(yè)減少浪費(fèi)、提高效率、降低不合規(guī)風(fēng)險(xiǎn)，并更有效地共享信息。

• 幫助企業(yè)高級(jí)管理層做出準(zhǔn)確的決策
• 幫助IT部門與企業(yè)目標(biāo)保持一致
• 管理風(fēng)險(xiǎn)并符合所有行業(yè)和政府法規(guī)
• 有效利用信息資源并構(gòu)建可持續(xù)發(fā)展信息化機(jī)制

IT GRC之間的共生關(guān)系

盡管治理、風(fēng)險(xiǎn)和合規(guī)通常被視為獨(dú)立的功能，但它們之間存在共生關(guān)系。治理為滿足協(xié)調(diào)和支持業(yè)務(wù)的特定要求建立了戰(zhàn)略策略。風(fēng)險(xiǎn)管理將特定的控制與治理和評(píng)估的風(fēng)險(xiǎn)聯(lián)系起來(lái)，并為業(yè)務(wù)領(lǐng)導(dǎo)者提供他們需要的信息來(lái)確定資源的優(yōu)先級(jí)并做出風(fēng)險(xiǎn)知情的決策。合規(guī)性是對(duì)特定治理要求的控制的遵守和監(jiān)控。

實(shí)施IT GRC面臨哪些挑戰(zhàn)？

• 變更管理GRC 報(bào)告提供了指導(dǎo)企業(yè)做出準(zhǔn)確決策的見(jiàn)解，這有助于適應(yīng)快速變化的業(yè)務(wù)環(huán)境。然而，公司需要投資于變更管理計(jì)劃，以便根據(jù) GRC 見(jiàn)解快速采取行動(dòng)。
• 數(shù)據(jù)管理公司長(zhǎng)期以來(lái)一直通過(guò)保持部門職能分離來(lái)運(yùn)營(yíng)。每個(gè)部門都生成并存儲(chǔ)自己的數(shù)據(jù)。GRC 通過(guò)組合組織內(nèi)的所有數(shù)據(jù)來(lái)工作。這導(dǎo)致了重復(fù)數(shù)據(jù)，并給信息管理帶來(lái)了挑戰(zhàn)。
• 缺乏一個(gè)完整的 GRC 框架完整的 GRC 框架將業(yè)務(wù)活動(dòng)與 GRC 組件集成在一起。它適合用于不斷變化的業(yè)務(wù)環(huán)境，尤其是當(dāng)您處理新法規(guī)時(shí)。如果沒(méi)有無(wú)縫集成，您的 GRC 實(shí)施可能會(huì)支離破碎且效率低下。
• 倫理文化發(fā)展讓每個(gè)員工分享符合倫理道德的文化需要付出巨大的努力。高級(jí)管理人員必須確定轉(zhuǎn)型的基調(diào)，并確保信息在組織的所有層面?zhèn)鬟f。
• 清晰的溝通GRC 實(shí)施的成功取決于無(wú)縫溝通。GRC 合規(guī)團(tuán)隊(duì)、利益相關(guān)者和員工之間的信息共享必須透明。這使得創(chuàng)建政策、規(guī)劃和決策等活動(dòng)變得更加容易。

如何應(yīng)對(duì)這些挑戰(zhàn)？

• 定義明確的目標(biāo)首先，確定您希望使用 GRC 模型實(shí)現(xiàn)的目標(biāo)。例如，您可能希望解決不遵守?cái)?shù)據(jù)隱私法的風(fēng)險(xiǎn)。
• 評(píng)估現(xiàn)有程序評(píng)估您公司中用于處理治理、風(fēng)險(xiǎn)與合規(guī)的當(dāng)前流程和技術(shù)。然后，您可以規(guī)劃并選擇正確的 GRC 框架和工具。
• 從高層開(kāi)始高級(jí)管理人員在 GRC 計(jì)劃中起著主導(dǎo)作用。他們必須了解實(shí)施 GRC 政策的優(yōu)勢(shì)，以及它如何幫助他們做出決策和建立風(fēng)險(xiǎn)意識(shí)文化。高層領(lǐng)導(dǎo)者制定明確的 GRC 驅(qū)動(dòng)型政策，并鼓勵(lì)組織內(nèi)部接受。
• 使用 GRC 解決方案您可以使用 GRC 解決方案來(lái)管理和監(jiān)控企業(yè) GRC 計(jì)劃。這些 GRC 解決方案為您提供了底層流程、資源和記錄的整體視圖。使用工具監(jiān)控并滿足合規(guī)要求。
• 測(cè)試 GRC 框架在一個(gè)業(yè)務(wù)部門或流程中測(cè)試 GRC 框架，然后評(píng)估選擇的框架是否符合您的目標(biāo)。通過(guò)進(jìn)行小規(guī)模測(cè)試，您可以在整個(gè)組織中實(shí)施 GRC 系統(tǒng)之前對(duì)其進(jìn)行有益的更改。
• 設(shè)定明確的角色和職責(zé)GRC 是集體的團(tuán)隊(duì)努力。盡管高級(jí)管理人員負(fù)責(zé)制定關(guān)鍵政策，但法律、財(cái)務(wù)和 IT 人員對(duì) GRC 的成功同樣負(fù)有責(zé)任。定義每個(gè)員工的角色和職責(zé)有助于增強(qiáng)責(zé)任感。它允許員工及時(shí)報(bào)告和解決 GRC 問(wèn)題。

實(shí)施IT GRC的指導(dǎo)方針

• 了解了解自己公司的背景、價(jià)值觀和文化，這樣就可以確定可靠地實(shí)現(xiàn)目標(biāo)的戰(zhàn)略和行動(dòng)。
• 保持一致確保戰(zhàn)略、行動(dòng)和目標(biāo)是一致的?？梢酝ㄟ^(guò)在做決策時(shí)考慮機(jī)會(huì)、威脅、價(jià)值和需求來(lái)做到這一點(diǎn)。
• 執(zhí)行GRC 鼓勵(lì)采取能夠帶來(lái)結(jié)果的行動(dòng)，避免阻礙實(shí)現(xiàn)目標(biāo)的行動(dòng)，并監(jiān)控運(yùn)營(yíng)以檢測(cè)突然的變化。
• 審視重新審視戰(zhàn)略和行動(dòng)，以確保它們符合業(yè)務(wù)目標(biāo)。例如，法規(guī)變化可能需要改變方法。

IT GRC實(shí)施清單

治理（Governance）

• 確定合規(guī)要求● 確定所需的合規(guī)框架（例如 HIPAA 或 PCI）和合同/協(xié)議義務(wù)。
  ● 確定云或新興技術(shù)的限制/限制。
  ● 確定要實(shí)施的要求或選擇的標(biāo)準(zhǔn)（例如 NIST、ISO、COBIT、CSA、CIS 等）。
• 進(jìn)行計(jì)劃評(píng)估● 根據(jù) NIST 網(wǎng)絡(luò)安全框架 (CSF) 或 ISO/IEC TR 27103:2018 等行業(yè)流程進(jìn)行計(jì)劃評(píng)估，以了解您當(dāng)前配置文件的能力和成熟度。
  ● 確定所需的狀態(tài)能力和成熟度，也稱為目標(biāo)配置文件。
  ● 記錄資源分配的差距（人員、流程和技術(shù)）并確定其優(yōu)先級(jí)。
  ● 建立云卓越中心 (CCoE) 團(tuán)隊(duì)。
  ● 起草并發(fā)布包含采購(gòu)、DevSecOps、管理和安全的云戰(zhàn)略。
  ● 定義和分配功能、角色和職責(zé)。
• 更新和發(fā)布政策、流程、程序● 根據(jù)與您的業(yè)務(wù)相一致的目標(biāo)和所需功能更新策略。
  ● 更新現(xiàn)代組織和管理技術(shù)（例如 DevSecOps 和敏捷）的流程，指定如何升級(jí)舊技術(shù)。
  ● 更新程序以集成云服務(wù)和其他新興技術(shù)。
  ● 建立用于選擇控制和監(jiān)控合規(guī)性的技術(shù)治理標(biāo)準(zhǔn)。

風(fēng)險(xiǎn)管理（Risk）

• 進(jìn)行風(fēng)險(xiǎn)評(píng)估● 進(jìn)行或更新組織風(fēng)險(xiǎn)評(píng)估（例如，市場(chǎng)、財(cái)務(wù)、聲譽(yù)、法律等）。
  ● 對(duì)每個(gè)業(yè)務(wù)線（如使命、市場(chǎng)、產(chǎn)品/服務(wù)、財(cái)務(wù)等）進(jìn)行或更新風(fēng)險(xiǎn)評(píng)估。
  ● 對(duì)每種資產(chǎn)類型進(jìn)行或更新風(fēng)險(xiǎn)評(píng)估。
  * 使用預(yù)先建立的威脅模型可以簡(jiǎn)化風(fēng)險(xiǎn)評(píng)估過(guò)程，包括初始和更新。
• 風(fēng)險(xiǎn)計(jì)劃草案● 實(shí)施計(jì)劃以減輕、避免、轉(zhuǎn)移或接受每一層、??業(yè)務(wù)線和資產(chǎn)的風(fēng)險(xiǎn)（例如，業(yè)務(wù)連續(xù)性計(jì)劃、運(yùn)營(yíng)連續(xù)性計(jì)劃、系統(tǒng)安全計(jì)劃）。
  ● 針對(duì)特定風(fēng)險(xiǎn)領(lǐng)域（如供應(yīng)鏈風(fēng)險(xiǎn)、內(nèi)部威脅）實(shí)施計(jì)劃。
• 授權(quán)系統(tǒng)● 使用 NIST 風(fēng)險(xiǎn)管理框架 (RMF) 或其他流程來(lái)授權(quán)和跟蹤系統(tǒng)。
  ● 使用 NIST 特別出版物 800-53、ISO ISO/IEC 27002:2013 或其他控制集來(lái)選擇、實(shí)施和評(píng)估基于風(fēng)險(xiǎn)的控制。
  ● 實(shí)施對(duì)控制和風(fēng)險(xiǎn)的持續(xù)監(jiān)控，盡可能地采用自動(dòng)化。
• 將風(fēng)險(xiǎn)信息納入決策● 將系統(tǒng)風(fēng)險(xiǎn)與業(yè)務(wù)和組織風(fēng)險(xiǎn)聯(lián)系起來(lái)
  ● 自動(dòng)將持續(xù)的系統(tǒng)風(fēng)險(xiǎn)監(jiān)控和狀態(tài)轉(zhuǎn)換為業(yè)務(wù)和組織風(fēng)險(xiǎn)
  ● 包含“有什么風(fēng)險(xiǎn)？” （財(cái)務(wù)、網(wǎng)絡(luò)、法律、聲譽(yù)）納入領(lǐng)導(dǎo)決策

合規(guī)（Compliance）

• 監(jiān)控政策、標(biāo)準(zhǔn)和安全控制的合規(guī)性● 自動(dòng)化技術(shù)控制監(jiān)控和報(bào)告（高級(jí)成熟度將導(dǎo)致 AI/ML）。
  ● 對(duì)非技術(shù)控制實(shí)施手動(dòng)監(jiān)控（例如定期審查訪客日志）。
  ● 將合規(guī)監(jiān)控與安全信息和事件管理 (SIEM) 以及其他工具聯(lián)系起來(lái)。
• 持續(xù)自我評(píng)估● 自動(dòng)化應(yīng)用程序安全測(cè)試和漏洞掃描。
  ● 從控制抽樣、整個(gè)功能區(qū)域和滲透測(cè)試中進(jìn)行定期自我評(píng)估。
  ● 對(duì)假設(shè)、觀點(diǎn)過(guò)于挑剔
• 應(yīng)對(duì)事件和風(fēng)險(xiǎn)變化● 將安全操作與合規(guī)團(tuán)隊(duì)集成以進(jìn)行響應(yīng)管理。
  ● 建立標(biāo)準(zhǔn)操作程序以應(yīng)對(duì)控制的意外變化。
  ● 減輕影響并重置受影響的控制；盡可能自動(dòng)化。
• 傳達(dá)事件和風(fēng)險(xiǎn)變化● 為每種類型的事件建立報(bào)告樹和閾值。
  ● 在報(bào)告中包括總法律顧問(wèn)。
  ● 確保在需要時(shí)通知適用的監(jiān)管機(jī)構(gòu)。
  ● 在適當(dāng)?shù)牡胤阶詣?dòng)化。