2023网络安全重要趋势重要脉络毕马威国际kpmg.com/cyberconsiderations ©2023 毕马威华振会计师事务所(特殊普通合伙) —中国合伙制会计师事务所及毕马威企业咨询(中国) 有限公司— 中国有限责任公司，均是与英国私营担保有限公司—毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。在中国印刷。22023网络安全重要趋势Akhilesh Tuteja网络安全全球主管毕马威国际数据和数字化基础设施建设已渐渐成为未来发展的重要支柱。新冠疫情使全球数字化转型的进程大大加快，并使其成为焦点。全球各经济体和各行各业的供应链正经历着颠覆性变革，企业亟需重新审视自身对供应链上下游的产品、服务和数字化基础设施的依赖程度。人工智能、区块链、生物识别、物联网和虚拟现实等突破性技术有望塑造我们的未来，但这些技术会带来新的安全、隐私和道德挑战，甚至可能使人们对数字化的发展进程提出质疑。由于国别文化观点的差异性，各国难以就上述问题的应对措施达成一致，但这正是全球化企业面临的经营环境。因此，我们应以创新方式处理当下的问题，而非被动地应对其造成的后果。我们认为具有重要系统的行业也在变化。过去，我们聚焦基建设施、电信行业和金融服务行业。现在，我们关注更为复杂多样的公私伙伴关系、互联生态系统和信息基础设施。例如：我们注意到如今的金融市场环境就像是一个由金融机构、市场化的基础设施、数据和托管服务供商组成的具有密切关联的世界，其所有要素都具有同等重要性。随着关联性和依赖程度的增加，基础设施也逐渐成为黑客攻击及利用的对象。这些改变也导致全球网络安全监管力度持续加强，进一步加重企业负担，企业对日益增长的监管和报告需求产生了更多的担忧。因此，企业越发重视将隐私和安全要求嵌入到日常经营过程中，这既是为了应对不断变化的网络安全威胁，也是为了满足不同国家的差异化的监管要求。网络安全应贯穿各业务条线、职能、产品和服务中。企业应致力确保网络安全深入贯穿数字化的各个方面，并融入到企业整体战略、发展和运营中。毕马威国际首席全球数字官LisaHeneghan表示：“企业应将网络安全贯穿其各个方面。网络安全建设应成为支撑业务的关键要素，以及数字化的信任基础。但网络安全不能仅靠首席信息安全官及其团队完成，而应成为企业所有员工的责任。这绝非易事；员工应了解网络安全与自身的关系，再思考如何将安全纳入现有流程之中。在建设企业网络安全过程中，如果将各业务部门视作顾客，根据已有经验为其定制化安全管控策略，能够大大加强并激励企业员工的网络安全责任感，积极遵守安全行为，为企业业务经营带来巨大收益。”首席信息安全官将在业务连续性、数字化进程的业务中断等议题的拥有更多话语权，且扮演更重要的角色，他们能够帮助企业更好地了解需要保护的资产和数字化服务，并对相关的系统提供保护以建立信任。本报告旨在探讨未来一年首席信息安全官可以采取的行动，以向董事会及高管层表明：数字信任可以并且应当成为一项竞争优势。人员、流程、数据/技术及监管建议参见第22页 。前言数字信任：一项共同承担的责任以“无形”措施护航安全实现无边界的、以数据为中心的未来新合作，新模式自动化技术可信智能世界安全应对多变的网络攻击业务连续性2023年度网络安全战略 ©2023 毕马威华振会计师事务所(特殊普通合伙) —中国合伙制会计师事务所及毕马威企业咨询(中国) 有限公司— 中国有限责任公司，均是与英国私营担保有限公司—毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。在中国印刷。32023网络安全重要趋势2023年应聚焦网络安全方面八个关键词请点击各项了解详情数字信任：一项共同承担的责任企业在如何保护员工、客户、供应商及合作伙伴利益的问题上是否已进行充分考虑？自动化技术可信企业如何确保机器流程自动化、机器学习和其他形式的人工智能得到有效、合理和安全的实施和管理？以“无形”措施护航安全安全团队如何有效地将安全性整合进业务流程、敏捷开发项目和各种运营模式之中？智能世界安全企业目光逐步转向智能化、超连接产品，对安全及隐私团队有何影响？实现无边界的、以数据为中心的未来在无边界的环境中，企业如何切实向零信任模式过渡，为生态系统寻求全方位保护？03应对多变的网络攻击安全团队如何应对日益变化的网络攻击威胁，并应对越发猛烈的网络攻击？业务连续性为何企业在考虑应对之外，还应积极部署备份恢复计划？新合作，新模式企业如何在外包与托管服务与日俱增的环境中维持安全、隐私和业务连续性。01050702040608数字信任：一项共同承担的责任以“无形”措施护航安全实现无边界的、以数据为中心的未来新合作，新模式自动化技术可信智能世界安全应对多变的网络攻击业务连续性2023年度网络安全战略 ©2023 毕马威华振会计师事务所(特殊普通合伙) —中国合伙制会计师事务所及毕马威企业咨询(中国) 有限公司— 中国有限责任公司，均是与英国私营担保有限公司—毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。在中国印刷。42023网络安全重要趋势数字信任：一项共同承担的责任数字信任涵盖诸多领域，触及企业运营的各方面 ，并与企业战略存在着密切联系，这不仅因为它能为企业带来竞争优势，它还能造福行业和乃至社会。John Anyanwu网络安全服务合伙人毕马威尼日利亚随着监管与公众对隐私、安全和道德的关注度日渐提升 ，数字信任正逐渐成为董事会的议题之一。任何通过数字化赋能业务的成功均须建立在数字信任之上 ，而网络安全和隐私保护正是建立此信任的重要根基。首席信息安全官必须协助董事会和高管层赢得并维持利益相关者的信任，以为自身企业创造竞争优势。此目标的实现要求所有利益相关者的共同承诺和通力合作。全球化已令全球跨界相联，新冠疫情对全球供应链带来的颠覆影响充分反映了这一现实。为了与客户建立长久的关系（无论是B2B还是B2C），企业都必须建立和维护数字信任。信息来源：《2022年毕马威网络信任洞见调查》但65%的企业表示，信息安全建设仅是合规驱动，而非长期战略目标。49%的企业认为董事会将信息安全视为必要成本，而非建立竞争优势的途径。65%的高管依然将信息安全视为被动的降低风险手段，而非业务赋能要素。信任与价值信任是成功的关键，其牵涉的不仅是企业声誉。信任的提升可为企业带来竞争优势以及收益。聚焦事项一数字信任：一项共同承担的责任以“无形”措施护航安全实现无边界的、以数据为中心的未来新合作，新模式自动化技术可信智能世界安全应对多变的网络攻击业务连续性2023年度网络安全战略超过三分一的企业认为信任提升将可带来盈利增长。 ©2023 毕马威华振会计师事务所(特殊普通合伙) —中国合伙制会计师事务所及毕马威企业咨询(中国) 有限公司— 中国有限责任公司，均是与英国私营担保有限公司—毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。在中国印刷。52023网络安全重要趋势数字信任正引起关注越来越多高层管理者意识到数字信任的裨益：37%的高管认为能促进盈利增长是信任提升的最大商业优势。1数字信任涵盖广泛。网络安全广泛关联到数字信任的问题（包括可靠性、安全性、隐私性和透明度）。它们会影响企业所采取的业务开展、价值追求方式、产品、服务，所用技术，应用系统的数据收集及使用方式，以及针对客户、员工、供应商和所有第三方合作伙伴、利益相关者所实施的利益保护手段。相比而言，65%的高管仍然将信息安全视为被动降低风险的手段，而非业务赋能要素。2许多企业仍然将网络安全视为成本开销，而非对未来的投资，这是一种错误的理念。首席信息安全官应全面接纳数字信任这一概念，并阐明安全性作为业务赋能要素将如何为企业的数字化发展提供稳健支持。首席信息安全官须协助企业建立数字信任体系，但仅靠他们并不能完成，而应投入足够的时间，鼓励其他主要的内外部利益相关者承担在数字信任体系建立过程中的角色。事实上，首席信息安全官需要向董事会和高管层阐明此事的重要性，并说明数字信任体系与业务战略的依存关系。.世界经济论坛认为，业界已开始承认网络安全就如同企业风险、产品开发和数据管理一样，是一项重要的战略业务要素。世界经济论坛在其“Earningdigitaltrust:Decision-makingfortrustworthytechnologies”（《赢取数字信任：为可信任技术制定决策》）报告中提及：“获取数字信任需要一套整体的方案，而网络安全是建立信任重要维度之一。”3数字信任对客户的意义虽然一般个体消费者可能不关心企业数据保护程序中的具体措施，但一旦客户知道数据遭到泄露，便希望了解企业正采取什么应对措施，也希望确认企业会以客户的利益为重。企业能迅速、透明地应对数据安全事件，从而重新建立客户信任。当今，消费者理解数据泄露事件不可避免，但如果企业能够持续提供有竞争力的产品价格和优良的服务，并保持良好的客户体验，当网络安全事件发生时，及时通报应对情况以及恢复措施，客户一般不会大量流失。1毕马威国际，毕马威网络信任洞见调查，《通过网络安全与隐私保护建立信任》（Building trust through cybersecurity and privacy)，2022年。2 同上。3 世界经济论坛，《赢取数字信任：为可信任技术制定决策》（Earning Digital Trust: Decision —Making for Trustworthy Technologies)，2022年11月。透明性对不同受众有着不同的含义。当网络安全事件发生，消费者要求企业公布相关情况时，企业必须也了解其供应商和合作伙伴如何保护用户信息。这是因为企业应对客户承担更多责任，并确保在个人信息保护方面不辜负客户的信任。石浩然网络安全服务合伙人毕马威中国数字信任：一项共同承担的责任以“无形”措施护航安全实现无边界的、以数据为中心的未来新合作，新模式自动化技术可信智能世界安全应对多变的网络攻击业务连续性2023年度网络安全战略 ©2023 毕马威华振会计师事务所(特殊普通合伙) —中国合伙制会计师事务所及毕马威企业咨询(中国) 有限公司— 中国有限责任公司，均是与英国私营担保有限公司—毕马威国际有限公司相关联的独立成员所全球性组织中的成员。版权所有，不得转载。在中国印刷。62023网络安全重要趋势4 毕马威网络信任洞见调查，同上。首席信息安全官需要协助选定合适的合作伙伴和供应商。评判标准须包含信息保护程序的透明度以及具备业务连续性的能力。毫无疑问，监管机构极有可能加强对数字信任的监管，对企业公开透明程度及问责要求也可能相应提升。企业若能以数字信任原则为导向，采取更为全面的方式应对日益复杂的各类监管要求，能够有效减少以合规驱动为目的所造成的高昂成本。数字信任战略应自上而下逐步实施，领导层应先认可上述理念，再落实到企业其他成员。这也意味着企业可将其在年报中突出展示其数字信任理念和战略。鉴于34%的企业领袖担心其企业是否有能力满足监管对于网络安全和隐私透明度的报告要求，毕马威提出了一个主动应对方案。4简而言之，能通过其产品、服务、运营模式建立利益相关者的数字信任并妥善保护其业务信息的公司，将更可能收获商业及声誉回报。Annemarie Zielstra网络安全服务合伙人毕马威荷兰Cyber trust insights 2022（《2022年网络信任洞察》）通过网络安全与隐私保护建立信任。Earning digital trust, together（《以合作赢取数字信任》）信任在当今互联世界中变得空前重要的原因。Reversing the digital trust deficit（《弥补数字信任缺失》）重建数字信任作为技术进化的紧迫需求构建有效的数字信任战略企业应将数字信任这一概念纳入企业战略、产品开发、整体市场形象和公私客户关系中，广泛思考数字信任对不同利益相关者群体的意义，以突出网络安全以及其他建立数字信任核心要素的重要性。信任是采取特定技术所必