 translate(0, -860.8406647116325)' d='M154.804 384.176l412.234 406.975-48.149 48.772-485.070-478.883 484.522-500.59 49.245 47.664-394.447 407.529h1094.134v68.535h-1112.468z' /></svg>)
 translate(0, -860.8406647116325)' d='M1146.737 384.176l-412.234 406.975 48.149 48.772 485.070-478.883-484.522-500.59-49.245 47.664 394.447 407.529h-1094.134v68.535h1112.468z' /></svg>)
财务工作中的网络风险管理
在网络攻击层出不穷的今天,对许多企业而言,如何有效管理这一首要风险已成为一项重大问题。
网络风险的性质正在不断发展演变。随着技术的变化,企业面临的网络攻击也会变得越来越复杂。然而,风险管理原则却并未得到相应调整。因此,财务团队必须警惕网络风险,并对所拥有数据的敏感性保持警觉。
网络风险管理对于财务工作的意义
财务团队掌握着许多敏感数据,其中既有财务数据,也有详细的客户和供应商资料。与企业其他部门一样,财务部门需要对网络威胁保持警惕,并设置适当的预防和安保程序。
网络漏洞需得到妥善管理。随着监管机构和媒体对漏洞管理的日益重视,企业可能面临着更为严重的声誉损失,必须对此加以有效控制。通过有效计划和反复演习来应对网络攻击的影响及后果,是企业风险管理战略不可或缺的组成部分。
实施网络风险管理
首先,企业需要了解自身持有的数据、及其敏感程度。虽然保护企业极为必要,但只有清楚理解数据,才能厘清问题的来龙去脉。每位员工都有各自必须承担的职责,不过保护所在企业是所有员工的共同责任。
企业需要采取的行动可分为以下三类:
· 风险抵御——通过相关政策和流程尽可能保护企业免受网络攻击的影响;
· 业务恢复——发生网络攻击后,通过管理流程尽快使业务恢复正常;
· 事件应急——一旦发生网络攻击,需立即启动检测程序,并通过情境模拟汲取经验教训。
企业不应低估恢复期的重要性,而业务恢复正常所需的投入可能相当庞大。随着网络攻击日益隐蔽、老到,数据的可恢复性正在成为愈发棘手的难题。
此外,由于数据流变得越来越复杂,我们需要反思现行的风险抵御和恢复策略,确保对全球网络和供应链的固有风险进行妥善管理。
行动指南
可考虑将已确立的行动指南——如ISO27001信息安全管理体系,作为制定网络风险管理战略的依据。
关于克莱夫·韦博(Clive Webb),ACCA首席作者
