在网络攻击层出不穷的今天，对许多企业而言，如何有效管理这一首要风险已成为一项重大问题。

网络风险的性质正在不断发展演变。随着技术的变化，企业面临的网络攻击也会变得越来越复杂。然而，风险管理原则却并未得到相应调整。因此，财务团队必须警惕网络风险，并对所拥有数据的敏感性保持警觉。

网络风险管理对于财务工作的意义

财务团队掌握着许多敏感数据，其中既有财务数据，也有详细的客户和供应商资料。与企业其他部门一样，财务部门需要对网络威胁保持警惕，并设置适当的预防和安保程序。

网络漏洞需得到妥善管理。随着监管机构和媒体对漏洞管理的日益重视，企业可能面临着更为严重的声誉损失，必须对此加以有效控制。通过有效计划和反复演习来应对网络攻击的影响及后果，是企业风险管理战略不可或缺的组成部分。

实施网络风险管理

首先，企业需要了解自身持有的数据、及其敏感程度。虽然保护企业极为必要，但只有清楚理解数据，才能厘清问题的来龙去脉。每位员工都有各自必须承担的职责，不过保护所在企业是所有员工的共同责任。

企业需要采取的行动可分为以下三类：

·    风险抵御——通过相关政策和流程尽可能保护企业免受网络攻击的影响；

·    业务恢复——发生网络攻击后，通过管理流程尽快使业务恢复正常；

·    事件应急——一旦发生网络攻击，需立即启动检测程序，并通过情境模拟汲取经验教训。

企业不应低估恢复期的重要性，而业务恢复正常所需的投入可能相当庞大。随着网络攻击日益隐蔽、老到，数据的可恢复性正在成为愈发棘手的难题。

此外，由于数据流变得越来越复杂，我们需要反思现行的风险抵御和恢复策略，确保对全球网络和供应链的固有风险进行妥善管理。

行动指南

可考虑将已确立的行动指南——如ISO27001信息安全管理体系，作为制定网络风险管理战略的依据。

关于克莱夫·韦博（Clive Webb），ACCA首席作者