压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

根據(jù)一項(xiàng)調(diào)查發(fā)現(xiàn)，網(wǎng)絡(luò)安全和數(shù)據(jù)隱私對風(fēng)險(xiǎn)管理專業(yè)人員來說，幾乎與道德職業(yè)行為一樣重要，當(dāng)企業(yè)與信息安全實(shí)踐“失控”的第三方打交道時(shí)，其承擔(dān)的安全風(fēng)險(xiǎn)將進(jìn)一步加劇。

道德與合規(guī)情報(bào)專業(yè)公司NAVEX Global在其2018年的《道德&合規(guī)第三方風(fēng)險(xiǎn)管理基準(zhǔn)報(bào)告》中提供了受訪者對第三方風(fēng)險(xiǎn)管理計(jì)劃的深入認(rèn)識，該報(bào)告指出，44%的受訪者將“網(wǎng)絡(luò)安全”和“數(shù)據(jù)隱私”列為首要關(guān)注點(diǎn)。

這一比例僅僅落后于受訪者提出的“道德規(guī)范和行為準(zhǔn)則合規(guī)性”（46%）問題，但卻遠(yuǎn)遠(yuǎn)超過質(zhì)量控制（28%）、利益沖突（25%）和反腐工作（21%）等問題。

此外，擁有10億美元以上收入的組織更有可能將“網(wǎng)絡(luò)安全”和“數(shù)據(jù)隱私”作為主要關(guān)注點(diǎn)（所占比例為53%），這一比例要高于小型企業(yè)（36%）和政府組織（45%）。

報(bào)告指出，網(wǎng)絡(luò)安全長期以來一直是“道德和合規(guī)專業(yè)人員不斷面臨的高風(fēng)險(xiǎn)問題”，雖然一些組織正在“以加密方式進(jìn)行反擊”，但仍然面臨來自惡意內(nèi)部參與者，或無意中受到網(wǎng)絡(luò)釣魚或其他攻擊行為侵?jǐn)_的受害者所帶來的安全風(fēng)險(xiǎn)。

該分析還警告稱，雖然培訓(xùn)項(xiàng)目已被越來越多的企業(yè)采納為提升員工網(wǎng)絡(luò)釣魚意識的關(guān)鍵工具，但第三方“通過訪問不容忽視的公司數(shù)據(jù)也會造成重大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)”。許多組織可能會過于輕視這種行為——即第三方通過最小化企業(yè)的關(guān)注重點(diǎn)或完全忽略這一基本的合規(guī)計(jì)劃因素來對其聲譽(yù)和財(cái)務(wù)造成影響——所帶來的損害。

報(bào)告指出，“行為準(zhǔn)則”為推動圍繞網(wǎng)絡(luò)安全和其他風(fēng)險(xiǎn)的第三方行為提供了一種高效的方法。然而，盡管第三方安全具有如此重要的意義，但卻只有23%的受訪者表示他們將在未來12個(gè)月內(nèi)優(yōu)先考慮他們的第三方盡職調(diào)查和監(jiān)督。

該調(diào)查結(jié)果突顯了風(fēng)險(xiǎn)管理實(shí)踐中存在的差距所帶來的安全挑戰(zhàn)，而許多公司都在努力提高這種風(fēng)險(xiǎn)管理的成熟度。

特別是，內(nèi)部漏洞管理長期以來都被證實(shí)是一項(xiàng)異常艱難的任務(wù)，而想要管理外部第三方的漏洞配置文件更是難上加難。

Tenable在其最新發(fā)布的《2018年網(wǎng)絡(luò)防御者戰(zhàn)略報(bào)告》中指出，三分之一的受訪企業(yè)正在遵循低成熟度的極簡風(fēng)格漏洞管理——其中，公用事業(yè)、醫(yī)療保健、教育和娛樂行業(yè)最常使用這種方法。

根據(jù)Tenable分析，極簡風(fēng)格是四個(gè)成熟度水平中最低的——其他成熟度水平還包括Surveying（測量）、Investigative（調(diào)查）以及Diligent（細(xì)致）——僅有5%的受訪者企業(yè)表現(xiàn)出了高成熟度特征。

該分析還發(fā)現(xiàn)了公司規(guī)模與相關(guān)成熟度之間的相關(guān)性，并建議組織可以使用自定義掃描模板來定制針對特定資產(chǎn)組、業(yè)務(wù)單元和用例的漏洞評估。

澄清有關(guān)網(wǎng)絡(luò)安全場景的問題已經(jīng)成為風(fēng)險(xiǎn)管理專業(yè)人員的戰(zhàn)斗口號，最近，ISO 27000系列風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)更新了其2011年第一次修訂的ISO 27005。該標(biāo)準(zhǔn)專門涉及信息安全風(fēng)險(xiǎn)管理技術(shù)，定位為與支持信息安全風(fēng)險(xiǎn)管理的第三方相關(guān)。

第三方相關(guān)的違規(guī)行為——例如2013年影響深遠(yuǎn)的?Target數(shù)據(jù)泄露事件，以及今年廣受關(guān)注的PageUp事件——加深了人們對于將風(fēng)險(xiǎn)管理成熟度擴(kuò)展到第三方的重要性的理解。

這些事件證明了潛在的影響可以促使公司在違規(guī)發(fā)生之前考慮，一旦發(fā)生違規(guī)行為，他們將如何與第三方接觸。

但是，根據(jù)2018年2月澳大利亞《Notifiable Data Breaches scheme》（NDB）正式生效后一些企業(yè)的表現(xiàn)所示，一旦違規(guī)涉及雙方共同持有的東西，那么公司就如何與第三方合作就會產(chǎn)生一些“混亂”。

針對數(shù)百起報(bào)告的違規(guī)行為進(jìn)行的分析顯示，第三方關(guān)系會引入一系列復(fù)雜問題，包括決定誰應(yīng)該對違規(guī)行為作出回應(yīng)；每個(gè)組織應(yīng)該負(fù)責(zé)哪些事情；應(yīng)該如何傳達(dá)可疑的違規(guī)行為；如何進(jìn)行評估；哪一方應(yīng)該負(fù)責(zé)遏制和通知違規(guī)行為等等。

在簽訂合同時(shí)，明確上述問題非常重要。組織應(yīng)該在與第三方簽訂合同前事先考慮未來可能引發(fā)“混亂”的問題，并在合同中對相關(guān)問題做出明確規(guī)定。此外，在與第三方簽訂服務(wù)協(xié)議時(shí)，還應(yīng)該制定明確的程序來遵守NDB計(jì)劃。企業(yè)應(yīng)該明白這樣一點(diǎn)，隱私已經(jīng)從“關(guān)于合規(guī)性”發(fā)生了新的轉(zhuǎn)變。