IT治理风险和合规性指引

发布时间：2022-06-13 14:17 所属栏目：53 来源：互联网

导读：自从OCEG公司创始人Scott L.Mitchell在2007年首次将GRC定义为使企业能够可靠地实现目标、解决不确定性，并以诚信行事的综合能力集合以来，GDPR法规等数据标准已经被引入和修改，而威胁包括勒索软件和欺诈行为造成的严重破坏。定义治理、风险和合规性(GRC)

　　自从OCEG公司创始人Scott L.Mitchell在2007年首次将GRC定义为“使企业能够可靠地实现目标、解决不确定性，并以诚信行事的综合能力集合”以来，GDPR法规等数据标准已经被引入和修改，而威胁包括勒索软件和欺诈行为造成的严重破坏。

　　定义治理、风险和合规性(GRC)
　　为了确定如何有效地控制GRC，必须首先明确定义每个方面在业务环境中的含义：

　　治理需要监督系统的运作方式，实施所需的规则和流程框架，并在企业内部建立持续的问责制。
　　风险是指为减轻业务威胁而制定的计划管理，其中包括网络攻击、IT中断和系统漏洞。
　　合规性意味着同意围绕数据和业务实践遵守政府法规和行业框架。
　　综合起来，这些领域对于企业维持合法和合乎道德的业务运营同样重要。考虑到这一点，以下探讨各种规模和行业的企业在GRC方面需要牢记的事项。

　　风险管理最佳实践
　　企业的IT基础设施面临的风险包括来自威胁参与者和内部威胁(恶意或意外)的网络攻击，以及由于技术故障和自然灾害导致的IT中断。无论在何种情况下，建立备份和恢复系统以最大程度地减少影响都是值得的。如果没有这样的策略，可能会丢失数据，客户也会失去信任。在当今技术支持大多数业务流程的世界中，企业领导者无法将风险管理完全交给IT团队。

　　控制审计——所有数据、安全和现金流流程都需要进行严格审计，以确保它们符合法规和道德框架。市场上的许多工具可以自动执行这一操作，从而降低员工工作的复杂性。
　　网络安全意识培训——有一些工具可以通过举办网络钓鱼预防练习和其他模拟来帮助加强安全意识培训。
　　了解客户(KYC)—一套标准，旨在确保企业了解其客户的风险管理能力，并能够与他们开展相应的业务。这在金融服务领域尤为重要。
　　安全和财务文件的组织——至关重要的是，企业基础设施和财务控制的所有安全措施都必须有据可查，并保存在一个安全、易于访问的位置，以使信息专员办公室等监管机构受益。
　　零信任——由于勒索软件等网络威胁仍然猖獗，零信任网络访问(ZTNA)工具仅允许用户使用正确的凭据通过，并且能够发现和隔离威胁。
　　对大型科技公司行为的监管
　　随着谷歌公司和Meta公司等科技公司不断扩大其数据实践的范围，在日常生活中发挥越来越大的作用，适当监管竞争的重要性也在不断增加。对所谓的大型科技公司行为的监管已经上升到政府议程上，英国和欧盟正在探索制定立法。制定这些新法规意味着，大型科技公司内外的企业将需要重新评估他们的在线活动，以确保他们保持合规性。

　　例如，英国的在线安全法案旨在解决任何“合法但有害”的在线活动——这个术语对许多人来说似乎是模棱两可的。这是指事物的道德方面，并强调需要维护积极的用户体验。毕竟，随着企业社会责任(CSR)在消费者和人才(尤其是千禧一代和Z世代)的认知中发挥着越来越重要的作用，这是保持社会信任的关键。

（编辑：ASP站长网）

IT治理 风险和合规性指引

IT治理风险和合规性指引