出版计算机与互联网数字时代的网络风险管理
数字时代的网络风险管理

数字时代的网络风险管理

策略、计划与执行

作者[美] 布莱恩·艾伦[美] 布兰登·巴思德[美] 特里·艾伦·希克斯

译者张力强马成明周聪

类别 出版 / 非虚构

出版社机械工业出版社 / 2025-10

提供方机械工业出版社

字数约 134,000 字

ISBN9787111791959

暂无评价综合评分的显示会考虑用户真实性等多项因素,每部作品出现综合评分的时间不定。
开通会员 开通会员,可免费在线阅读本书 ,首月特惠 去开通
¥47.00

作品简介

本书围绕企业如何在数字化转型时代开展网络风险管理工作进行系统阐述。全书基于网络安全管理最佳实践,围绕CRMP框架展开,包含敏捷治理、风险指引体系、基于风险的战略和执行、风险升级和披露四大核心组件及23项原则。通过波音737 MAX坠机事故、Equifax数据泄露事件等典型案例,验证了框架的有效性。此外,本书还探讨了AIGC等新兴技术带来的风险,强调了企业董事会、高管层、部门经理及各职能组织的协同作用,旨在建设有利于企业网络风险管理的文化,驾驭数字化转型时代的网络风险。全书结构清晰,内容丰富,为企业提供了完整的网络风险管理参考框架和实战指南。

Brian Allen现任美国银行政策研究所(Bank Policy Institute)网络安全与技术风险管理高级副总裁,主要负责与银行高管协作,并代表行业与监管机构、立法机构、执法机关及情报部门对接,为行业发声。

Brandon Bapst是安永(EY)网络安全业务板块的顾问与风险咨询师。他与企业高管、首席安全官(CSO)及首席信息安全官(CISO)紧密合作,助力企业制订战略性网络风险计划。

Terry Allan Hicks拥有超过30年商业与科技领域的撰稿经验,其中在Gartner任职逾20年,主要聚焦金融服务、信息安全、合规监管及公司治理领域。

作品目录

  1. O'Reilly Media, Inc.介绍
  2. 本书赞誉
  3. 译者序
  4. 前言
  5. 第1章 数字化转型时代的网络安全
  6. 1.1 第四次工业革命
  7. 1.2 网络安全从根本上说是一种风险管理实践
  8. 1.2.1 网络风险的管理监督与问责
  9. 1.2.2 数字化转型和逐渐成熟的网络风险管理计划
  10. 1.2.3 网络安全不仅仅是安全范畴的问题
  11. 1.3 网络风险管理计划:企业迫切关注的问题
  12. 1.4 小结
  13. 第2章 网络风险管理计划
  14. 2.1 引发全球关注的SEC规则
  15. 2.1.1 事件披露(“临时披露”)
  16. 2.1.2 风险管理、战略和治理披露(“定期披露”)
  17. 2.2 网络风险管理计划框架
  18. 2.2.1 网络风险管理计划:关键驱动因素
  19. 2.2.2 义务和责任的履行
  20. 2.3 风险管理完败之鉴:波音737 MAX之祸
  21. 2.4 风险管理计划在波音公司灾难中的应用
  22. 2.5 安全风险计划的好处
  23. 2.5.1 好处1:对安全风险功能的战略性识别
  24. 2.5.2 好处2:确保网络风险职能部门拥有有效的预算
  25. 2.5.3 好处3:对风险决策者的保护
  26. 2.5.4 系统化但非零风险
  27. 2.6 董事会问责制和法律责任
  28. 2.7 波音公司的裁决和网络风险监督问责制
  29. 2.8 处于责任风口浪尖的首席信息安全官
  30. 2.9 小结
  31. 第3章 敏捷治理
  32. 3.1 优步隐瞒“被黑”事件
  33. 3.2 良好的治理模式是什么样的
  34. 3.3 与企业治理战略保持一致
  35. 3.4 敏捷治理的7个原则
  36. 3.4.1 原则1:制订战略和流程
  37. 3.4.2 原则2:在“三道防线模型”中确立治理结构、角色和职责
  38. 3.4.3 原则3:治理实践与现有风险框架保持一致
  39. 3.4.4 原则4:董事会和高层管理人员确定范围
  40. 3.4.5 原则5:董事会和高层管理人员应履行监督职责
  41. 3.4.6 原则6:审计治理流程
  42. 3.4.7 原则7:将资源与确定的角色和职责相匹配
  43. 3.5 小结
  44. 第4章 风险指引体系
  45. 4.1 风险信息为何至关重要——在企业高层
  46. 4.2 风险和风险信息的定义
  47. 4.3 风险指引体系的5个原则
  48. 4.3.1 原则1:定义风险评估框架和方法
  49. 4.3.2 原则2:制订风险阈值确定方法
  50. 4.3.3 原则3:明确风险指引的需求
  51. 4.3.4 原则4:商定风险评估间隔期
  52. 4.3.5 原则5:启用报告流程
  53. 4.4 小结
  54. 第5章 基于风险的战略和执行
  55. 5.1 ChatGPT震撼商业世界
  56. 5.2 人工智能风险:两家科技巨头选择了两条路
  57. 5.3 华尔街:尽快行动,否则将被取代
  58. 5.4 数字游戏变革者不断涌现
  59. 5.5 确定基于风险的战略和执行方式
  60. 5.6 基于风险的战略和执行的6个原则
  61. 5.6.1 原则1:确定可接受的风险阈值
  62. 5.6.2 原则2:使战略和预算与批准的风险阈值保持一致
  63. 5.6.3 原则3:执行以达成已批准的风险阈值
  64. 5.6.4 原则4:持续监测
  65. 5.6.5 原则5:根据风险阈值进行审计
  66. 5.6.6 原则6:将第三方纳入风险应对计划
  67. 5.7 小结
  68. 第6章 风险升级和披露
  69. 6.1 SEC与风险披露
  70. 6.2 全球监管机构要求披露风险
  71. 6.3 风险升级
  72. 6.3.1 网络风险分类
  73. 6.3.2 升级和披露:不仅仅是安全事件
  74. 6.4 信息披露:企业必须关注的问题
  75. 6.4.1 Equifax的丑闻
  76. 6.4.2 SEC的重要性考虑因素
  77. 6.5 网络风险管理计划与机构风险管理的一致性
  78. 6.6 风险升级和披露的5个原则
  79. 6.6.1 原则1:建立升级流程
  80. 6.6.2 原则2:建立信息披露流程——所有企业
  81. 6.6.3 原则3:建立信息披露流程——上市公司
  82. 6.6.4 原则4:测试风险升级和披露流程
  83. 6.6.5 原则5:审计风险升级和披露流程
  84. 6.7 小结
  85. 第7章 实施网络风险管理计划
  86. 7.1 网络风险管理历程
  87. 7.2 开启网络风险管理历程
  88. 7.3 实施网络风险管理计划
  89. 7.3.1 敏捷治理
  90. 7.3.2 风险指引体系
  91. 7.3.3 基于风险的战略和执行
  92. 7.3.4 风险升级和披露
  93. 7.4 推广网络风险管理计划
  94. 7.5 小结
  95. 第8章 CRMP在运营风险和韧性中的应用
  96. 8.1 参与构建运营韧性的企业职能部门
  97. 8.2 一次恶意软件攻击导致马士基全球系统瘫痪
  98. 8.3 提升运营韧性:运用CRMP的四大核心组成部分
  99. 8.3.1 敏捷治理
  100. 8.3.2 风险指引体系
  101. 8.3.3 基于风险的战略和执行
  102. 8.3.4 风险升级和披露
  103. 8.4 小结
  104. 第9章 AI及其他——数字化世界风险管理的未来
  105. 9.1 AI的定义
  106. 9.2 AI:一个全新的风险世界
  107. 9.3 对抗性机器学习:NIST分类法与术语
  108. 9.3.1 具有AI影响的风险管理框架
  109. 9.3.2 关键AI实施概念与框架
  110. 9.4 超越AI:数字前沿永不止步
  111. 9.5 小结
  112. 附录 网络风险管理计划框架V1.0
  113. 关于作者
  114. 关于封面