GRC 代表治理、風險和合規性，在當今的網絡安全領域很普遍。 這是由於行業標準組織和政府對數據洩露情況做出反應的結果。 新的合規要求對於製定極其有效的風險管理計劃至關重要。 另一種看待 GRC 的方法是將信息技術與業務目標保持一致，同時管理風險並遵守要求的結構方法。

治理：確保所有組織活動都與支持長期業務目標保持一致。 治理與外部和內部利益相關者進行溝通，以審計和順利運行所有流程。

風險旨在確保與組織活動相關的風險和機會都與業務目標保持一致。

合規性：確保組織內的活動在影響系統的法律法規範圍內運作。

審計治理

什麼是公司治理？

公司需要建立流程、實踐和規則來證明治理。 至關重要的是，有知識地審查風險的責任在於高級管理層和董事會。 治理賦予這兩個機構權力。

什麼是網絡安全中的公司治理？

公司治理在網絡安全方面存在扭曲。 董事會和高級管理人員通常必須了解業務目標導致的網絡安全風險，但不需要做出與安全相關的決策。 此外，網絡安全治理需要審查內部控制的成功與否。

審計委員會的職責是什麼？

許多公司現在都專注於網絡安全，並使審計委員會成為將董事會與審計計劃聯繫起來的中間人。

因此，審計委員會成員需要比組織的所有其他成員更好地了解網絡風險。 然而，他們不需要精通技術。 他們只需要與公司內的 IT（信息技術）領導者進行詳細的對話即可。

公司審計計劃必須關注數據威脅，即使他們更多地使用平台即服務 (PaaS)、基礎設施即服務 (IaaS) 和軟件即服務 (SaaS) 供應商. 您用來確定合規計劃的 (KPI) 關鍵績效指標的過程是審計計劃的主要重點。 因此，建立網絡安全審計計劃可以指導您如何開發和證明治理。

定時

內部審計計劃是一個持續的過程。 在製定審計計劃之前，檢查您過去的控制缺陷檢查。 之後，您可以確定範圍。

例如，如果您的組織沒有所需的操作系統和軟件補丁管理，那麼這應該是下次審計範圍的一部分。 如果修補是完美的，但您過去的審核發現許多網絡和系統都保持出廠預設登錄，請關注這一點。

換句話說，根據您對網絡安全監督所做的改進，不斷地進行計劃和時間安排。

風險評估

每個審計計劃都應從整體角度考慮網絡安全風險。 在創建審計計劃時，建立包含數據洩露可能性、位置、潛在數據洩露成本和數據的風險容忍度。 在確定審計計劃範圍時，重點關注風險最高的信息評估。

合規委員會

合規委員會由內部利益相關者組成，其職責是記錄和監控內部控制。 合規委員會與審計委員會一起確保公司與法規和標準的變化保持一致。 因此，它們是努力保持控制有效並提供治理計劃的第一道防線。

內部審計師如何審查網絡安全治理

審計計劃規定了包含治理證明所需步驟的範圍。 由於您需要第二雙眼睛，您的內部審計就扮演了這個角色。

您將需要一個獨立的人員進行內部審計，以評估和審查網絡安全是否符合行業合規要求設定的標準和法規。 內部審計員將考慮與網絡安全合規計劃相關的所有文件。 審計檢查您是否通過定義的內部控制保持合規性。

對於治理，內部審計師檢查合規委員會是否向審計委員會報告並審查由流程和政策定義的控制。

內部委員會發揮作用的一個例子是，它可以審查審計和合規委員會會議記錄，以確保團隊有效溝通風險和監控。 然後，審計師會將這些註釋與董事會會議記錄進行比較，以確保信息傳遞給所有相關人員。

理想情況下，記錄活動和溝通將為審計員提供審計網絡安全計劃治理所需的證據。

如何使用文檔來簡化審計治理

自動化有助於促進內部治理審計，因為它可以實現大量文檔和通信。

組織規模不同。 組織的規模直接影響審計委員會、合規委員會和董事會之間信息的協調。 審計委員會材料應包括識別問題、風險和後續步驟所需的執行摘要。

自動化在簡化治理審計系統方面發揮著重要作用。 通過共享驅動器，您可以在很大程度上減輕溝通負擔。 共享的另一面是，當任何更改受到影響時，共享文件會自動更新。 在這種情況下，查找歷史文件需要花費大量時間。 由於任何有權訪問的人都可以進行更改並進而更新所有共享文件，因此信息完整性受到損害，從而破壞了治理。

因此，組織需要一個中央信息源，要求他們記錄所有合規活動，並挑選出可以編輯或更改文檔的人員。

在實施GRC之前，首先需要準備環境。 檢查您是否有足夠的控件以及可用的控件是否功能齊全。 儘管 GRC 專注於 IT，但在實施戰略時，整個組織的參與至關重要。 您需要注意並事先建立實施可能影響的所有流程和人員。

對此有什麼想法嗎？ 在下面的評論中讓我們知道，或者將討論帶到我們的 Twitter 或 Facebook。

編輯推薦：

• 合規經理職責
• 保險業風險管理
• 網絡安全與高等教育
• 保護雲
• 什麼是風險承受能力和風險偏好