GRC 代表治理、风险和合规性，在当今的网络安全领域很普遍。 这是由于行业标准组织和政府对数据泄露情况做出反应的结果。 新的合规要求对于制定极其有效的风险管理计划至关重要。 另一种看待 GRC 的方法是将信息技术与业务目标保持一致，同时管理风险并遵守要求的结构方法。

治理：确保所有组织活动都与支持长期业务目标保持一致。 治理与外部和内部利益相关者进行沟通，以审计和顺利运行所有流程。

风险旨在确保与组织活动相关的风险和机会都与业务目标保持一致。

合规性：确保组织内的活动在影响系统的法律法规范围内运作。

审计治理

什么是公司治理？

公司需要建立流程、实践和规则来证明治理。 至关重要的是，有知识地审查风险的责任在于高级管理层和董事会。 治理赋予这两个机构权力。

什么是网络安全中的公司治理？

公司治理在网络安全方面存在扭曲。 董事会和高级管理人员通常必须了解业务目标导致的网络安全风险，但不需要做出与安全相关的决策。 此外，网络安全治理需要审查内部控制的成功与否。

审计委员会的职责是什么？

许多公司现在都专注于网络安全，并使审计委员会成为将董事会与审计计划联系起来的中间人。

因此，审计委员会成员需要比组织的所有其他成员更好地了解网络风险。 然而，他们不需要精通技术。 他们只需要与公司内的 IT（信息技术）领导者进行详细的对话即可。

公司审计计划必须关注数据威胁，即使他们更多地使用平台即服务 (PaaS)、基础设施即服务 (IaaS) 和软件即服务 (SaaS) 供应商. 您用来确定合规计划的 (KPI) 关键绩效指标的过程是审计计划的主要重点。 因此，建立网络安全审计计划可以指导您如何开发和证明治理。

定时

内部审计计划是一个持续的过程。 在制定审计计划之前，检查您过去的控制缺陷检查。 之后，您可以确定范围。

例如，如果您的组织没有所需的操作系统和软件补丁管理，那么这应该是下次审计范围的一部分。 如果修补是完美的，但您过去的审核发现许多网络和系统都保持出厂预设登录，请关注这一点。

换句话说，根据您对网络安全监督所做的改进，不断地进行计划和时间安排。

风险评估

每个审计计划都应从整体角度考虑网络安全风险。 在创建审计计划时，建立包含数据泄露可能性、位置、潜在数据泄露成本和数据的风险容忍度。 在确定审计计划范围时，重点关注风险最高的信息评估。

合规委员会

合规委员会由内部利益相关者组成，其职责是记录和监控内部控制。 合规委员会与审计委员会一起确保公司与法规和标准的变化保持一致。 因此，它们是努力保持控制有效并提供治理计划的第一道防线。

内部审计师如何审查网络安全治理

审计计划规定了包含治理证明所需步骤的范围。 由于您需要第二双眼睛，您的内部审计就扮演了这个角色。

您将需要一个独立的人员进行内部审计，以评估和审查网络安全是否符合行业合规要求设定的标准和法规。 内部审计员将考虑与网络安全合规计划相关的所有文件。 审计检查您是否通过定义的内部控制保持合规性。

对于治理，内部审计师检查合规委员会是否向审计委员会报告并审查由流程和政策定义的控制。

内部委员会发挥作用的一个例子是，它可以审查审计和合规委员会会议记录，以确保团队有效沟通风险和监控。 然后，审计师会将这些注释与董事会会议记录进行比较，以确保信息传递给所有相关人员。

理想情况下，记录活动和沟通将为审计员提供审计网络安全计划治理所需的证据。

如何使用文档来简化审计治理

自动化有助于促进内部治理审计，因为它可以实现大量文档和通信。

组织规模不同。 组织的规模直接影响审计委员会、合规委员会和董事会之间信息的协调。 审计委员会材料应包括识别问题、风险和后续步骤所需的执行摘要。

自动化在简化治理审计系统方面发挥着重要作用。 通过共享驱动器，您可以在很大程度上减轻沟通负担。 共享的另一面是，当任何更改受到影响时，共享文件会自动更新。 在这种情况下，查找历史文件需要花费大量时间。 由于任何有权访问的人都可以进行更改并进而更新所有共享文件，因此信息完整性受到损害，从而破坏了治理。

因此，组织需要一个中央信息源，要求他们记录所有合规活动，并挑选出可以编辑或更改文档的人员。

在实施GRC之前，首先需要准备环境。 检查您是否有足够的控件以及可用的控件是否功能齐全。 尽管 GRC 专注于 IT，但在实施战略时，整个组织的参与至关重要。 您需要注意并事先建立实施可能影响的所有流程和人员。

对此有什么想法吗？ 在下面的评论中让我们知道，或者将讨论带到我们的 Twitter 或 Facebook。

编辑推荐：

• 合规经理职责
• 保险业风险管理
• 网络安全与高等教育
• 保护云
• 什么是风险承受能力和风险偏好