1. 抽象

1.1. 安全是风险管控功能的一部分

1.2. 风险经管是一种锻真金不怕火的实践

1.2.1. 安全领域的风险实践并莫得那么锻真金不怕火

1.3. 大大批安全组织和从业者选定一种临时方法

1.3.1. 法律、监管机构和络续变化的经济环境正要求企业安全实践的盼愿发生滚动，统共这些齐指向选定更为锻真金不怕火的风险功能四肢异日的发展地点

1.4. 网络风险经管计算应被明确界说为一个沉静的计算

1.4.1. 咫尺这极少已不再是可选项

1.5. 企业运营的快速数字化和日益加多的监管压力意味着企业的安全策略必须抓续迭代

1.6. 为这个快速变化的世界提供了指南，因为尽管本事和要挟在络续发展，但风险经管原则是不灭的

1.7. 数字化转型的影响深切、复杂且难以预计

1.7.1. 每一家企业齐在缺少必要或适合风险考量的情况下进行数字化转型，这使得风险敞口呈指数级加速增长

1.7.2. 网络风险经管莫得一蹴而就的目的

2. 网络安全

2.1. 纵横交叉的互联网络是由世界对数字本事的过度依赖（不管是在通讯照旧合作方面）酿成的，同期，它们以极快的速率引入了前所未有的风险，况兼这些风险还在络续加重

2.2. 安全组织正勤快支吾这些要挟和过失所带来的要紧挑战，但是往往力不从心

2.3. 企业咫尺和异日是通过制订一个全面的、企业级的网络风险经管计算来保护我方

2.3.1. 要津是界说、制订和实施网络风险经管计算

3. 工业鼎新

3.1. 第一次工业鼎新欺骗水力

3.1.1. 河流启动水车和燃煤汽锅为蒸汽机提供能源

3.1.2. 来鼓励制造业坐褥（钢铁厂和纺织厂）和交通运载（火车和船只）

3.2. 第二次工业鼎新使这些过程电气化，使得信得过的大范围坐褥成为可能

3.3. 第三次工业鼎新

3.3.1. 基于电子本事，欺骗自动化和信断交换来进步运营后果

3.3.2. 咫尺仍在链接

3.4. 第四次工业鼎新

3.4.1. 未必被称为工业4.0

3.4.2. 由世界经济论坛（WEF）首创东谈主、经济学家克劳斯·施瓦布在2010年代扩充的一个术语

3.4.3. 由本事的日益互联互通和自动化所启动的系统和过程的快速且络续加速的变革，这种形势无极了物理世界和数字世界之间的分散

3.4.4. 包括东谈主工智能、先进机器东谈主本事、机器对机器（M2M）通讯、组成物联网（IoT）的自主开发网络，以及很多行将出现的本事

3.4.5. 第四次工业鼎新的发展速率是指数级的而不是线性的

3.4.5.1. 实在在每个国度对每个行业齐酿成了龙套

3.4.6. 它的根柢驱能源在于现存系统、应用、开发和过程的数字化，况兼至关进击的是抓续且快速浮现出的新的数字本事

3.5. 五个要津趋势

3.5.1. 行业交融

3.5.1.1. 各个行业齐在变化，变化周期络续变短

3.5.1.2. 新的生态系统、生意样式和破钞者行径正在无极各个阛阓细分的行业鸿沟

3.5.2. 大家化

3.5.2.1. 当价值链中触及的东谈主和组织（制造商、供应商、合作伙伴、客户）遍布大家时，企业必须矫健到自身靠近的风险是不同的、高度不行预计的，况兼范围之大所当年从未处理过的

3.5.3. 监管盼愿

3.5.3.1. 企业比以往任何时候齐更受立法者、监管机构、行业和破钞者组织以及平时的其他利益联系者的密切监视

3.5.4. 法律诉讼挑战

3.5.4.1. 在靠近诸如数据显露等网络安全事件时，企业的四肢或不四肢时常导致损伤性的诉讼

3.5.5. 络续变化的监管环境

3.5.5.1. 监管要求正变得越来越复杂、越来越严格，同期这些要求之间的矛盾也日益加多

3.5.5.2. 这导致了违纪风险的加多，以及经管这些风险的难度和老本

3.6. 两个极具颠覆性的身分

3.6.1. 速率

3.6.1.1. 变化速率的一个极好的料想缠绵是好意思国最陈旧和最进击的股票阛阓指数之一的尺度普尔500指数（S&P500）

3.6.1.1.1. 1964年，一家公司在S&P的平均上市期是33年

3.6.1.1.2. S&P预计，到2027年，这一数据将降至仅12年

3.6.1.2. 企业需要快速行动

3.6.1.2.1. 快速行动也意味着承担风险

3.6.1.2.2. 风险与陈说对话中的某种均衡则触及如安在不同风险之间进行量度

3.6.1.2.3. 网络风险可能会以葬送后果和其他神气的融资为代价，更有甚者，所以输给那些可能温存或简略承担更多风险的竞争敌手为代价

3.6.1.2.4. 一个细腻的网络风险经管计算，简略提供实时和值得信托的风险信息，能让公司在了解异日情况的条目下更快地前进

3.6.1.2.5. 这个计算将更快地识别风险，也能意志到落实经管风险的设施所需要的磨蹭时刻

3.6.1.2.5.1. 代表了在这个数字化环境中的战术上风

3.6.2. 波动性

3.7. 一切齐在以惊东谈主的速率加速发展，而这种加速自身还在抓续加速—阛阓、政事、破钞者行径—这使得一切变得愈加复杂、不褂讪、难以预计，也更难经管

3.7.1. 企业别无弃取，只可变得比以往任何时候齐要敏捷，况兼必须通过风险方案过程络续优化和增强其敏捷性

3.8. 数字化转型使得制造商简略杀青几年前还无法遐想的运营和物流后果

3.8.1. 该过程中统共不同的武艺齐不错由不同的实体来处理

3.8.2. 它们不属于并吞组织结构，也不必属于并吞家公司

3.8.3. 它们齐将是数字化世界的一部分，迫使统共参与者再行念念考这些过程和互动所蕴含的数字化风险

3.9. 大家经济从未经验过比咫尺更浓烈的“创造性龙套”时期，这一过程实在充足由数字化转型鼓励

3.9.1. 数字本事为具有创新精神和前瞻性念念维的企业开辟了创造性的机遇，同期，也在推行中构陷了那些未能创新或创新速率不够快的企业

3.9.2. 数字本事使企业的运营和过程变得比以往任何时候齐愈加脆弱

3.9.3. 在一个被数字本事蜕变的世界中，必须对安全风险经管进行澈底变革，以跟上企业环境络续发生的数字化变革

3.10. 数字本事对咱们的办事和个东谈主生活的渗入咫尺仍是如斯澈底，以致于咱们大大批东谈主觉得这是理所虽然的

3.10.1. 往往意味着咱们莫得矫健到它所带来的根人性变化，包括这些变化对咱们的责任生活产生的剧烈影响，以及咱们对统共本事的依赖进程

4. 风险经管实践

4.1. 网络安全从根柢上说是一种风险经管实践

4.2. 企业老是需要在适合、创新、竞争和活命中承担风险

4.2.1. 生意的各个方面齐触及风险经管

4.3. 不存在所谓的零风险环境

4.3.1. 网络风险经管计算的变装是匡助企业方案者瓦解他们靠近的风险，并指点他们完成一个基于风险信息的方案过程

4.4. 安全专科东谈主士，不管他们的变装怎么，不管他们在企业中的地位怎么，齐不应考图废除统共风险

4.4.1. 因为这是作念不到的，还因为这是对他们选藏的时刻和资源的一种毋庸的奢华

4.4.2. 在日常生活中咱们齐在络续地作念出基于风险的方案

4.4.3. 应该与企业的要津利益联系者合作，界说风险和陈说之间的恰当均衡，诞生可接受的风险水平，并制订适合的安全和风险经管设施

4.4.4. 会有助于确保这些利益联系者将他们视为有同等地位的战术方案者，而不单是是安设防病毒软件或部署VPN的本事东谈主员

4.4.4.1. 意味着安全应该在作念出进击方案之时占有一隅之地

4.4.5. 培养对正在重塑世界、企业和锻真金不怕火风险经管学科的变化的瓦解才能，这种瓦解才能会更丰富、更紧密

4.5. 安全从业者虽然一直在实践风险经管

4.5.1. 往往以一种临时的形势处理风险经管，当风险、要挟和过失出现并被识别出来时才去支吾

4.6. 安全领域必须锻真金不怕火起来，以支吾新兴风险所需的速率和忻悦企业络续变化的需求

4.6.1. 这只可通过一个全面的网络风险经管计算来杀青

4.7. 变革老是不毛的，像数字化转型带来的激进的变革坚信会异常不毛

4.7.1. 由数字化转型启动的基于新风险的安全方法不仅带来了挑战，也意味着新的专科和个东谈主参与及发展的新机遇

5. 网络风险的经管监督与问责

5.1. 独一的出息即是重塑自我

5.1.1. 你能领有的独一的可抓续上风即是敏捷性，即是这么，因为其他莫得什么是可抓续的，你创造的任何东西，别东谈主齐会加以复制

5.2. 数字化转型使得每一个坏隐痛件齐成为网络事件，这意味着网络已成为企业安全和企业级业务风险方案的中枢

5.3. 网络风险经管计算有助于提供一个更为合理的计算，该计算基于现存尺度、先前的案例法和由诸如世界公司董事协会（NACD）与世界经济论坛等董事会层面的施展提供者提供的指导

5.4. 新本事创造的络续加速给企业带来了相通快速变化的风险

5.5. 网络安全亦然一个更平时的问题，触及统共企业、行业和组织

6. 网络风险经管计算

6.1. 安全风险经管计算旨在匡助指导企业、最高层的携带者，以偏执他要津利益联系者参与安全风险方案过程

6.2. 安一起门不是作念方案，而是欺骗其专科学问和素质来提供信息

6.2.1. 瞎想的甩掉是，形成一套经过三念念此后行的风险指引方案体系，以期通过这些方案在风险和陈说之间得回均衡

6.3. 企业安全风险计算是在数字世界中得回告捷的进击先决条目

6.3.1. 这项责任必须是战术性的，而不是战术性的

6.4. 将安全推行看作战术层职能，或更有甚者，将安全只是看作一个老本中心，是该领域靠近的最大问题之一

6.4.1. 要津是要系统地、镂刻胁制地、公开地实践战术风险经管

6.5. 框架

6.5.1. 细目了四个中枢组成部分和提拔原则，以匡助指导安全或风险从业者、审计师或监管机构了解网络风险经管计算是什么，以及应该磋商汲取哪些组成部分

6.5.2. 敏捷惩处（Agile Governance）

6.5.3. 风险指引体系（Risk-Informed System）

6.5.4. 基于风险的战术和施行（Risk-Based Strategy and Execution）

6.5.5. 风险升级和袒露（Risk Escalation and Disclosure）