鉴于网络技术的快速发展和不断出现的网络安全问题，现有的内部控制规定对网络风险管理显得力不从心。我国在网络强国战略推进过程中，需要配套的系统化、全面化网络风险管理。在这方面，2013年美国COSO委员会发布的最新内部控制整合框架（以下简称新框架）能够提供强大的支持。在新框架下，企业可以从控制环境、风险评估、控制活动、信息与沟通、监督活动五个要素出发审视自身的网络风险。

一、控制环境和监督活动——网络风险管理的基础

控制环境和监督活动是网络风险管理的基础性要素，主要涉及到两个关键部分。第一，董事会和管理层要重视网络风险，并就网络风险及时进行沟通和交流，这是网络风险管理能够得到足够资源的前提。第二，董事会和管理层为了履行与网络风险相关的责任，需要将技术性的问题上升到企业目标和优先事项的战略高度来加以考虑。这需要企业内部专门人员以及外部网络风险专家的协助，以指导战略决策并有效配置资源。

监督活动是通过持续评价和独立评价，确定每一个内部控制要素是否存在以及发挥作用，并将评价结果以及缺陷和其他严重事项及时报告给董事会和管理层的过程。由于网络风险的多样性和动态性，应对措施不可能一劳永逸，必须根据风险演变的特征进行不断更新与调整，使其不落后于现实需求。鉴于网络风险的复杂性，企业内部负责监督活动的人员要有较强的网络风险处置能力，或者寻求外部网络风险专家的协助。此外，由于信息网络加强了经营主体之间的联系，构成了实体经营的网络化，单个企业的信息技术环境会延伸到其他实体，这要求监督所涵盖的范围考虑到其他主体，实现联网监督。

二、网络风险评估

网络风险主要是指通过网络攻击对企业的信息系统造成损害，从而对企业目标实现产生负面影响的可能性。企业将有限的资源投入到网络风险管理中，必须要关注资源配置及利用的效率和效果。为此，必须要提前对企业的网络风险进行评估，以指导网络风险的应对。根据新框架的风险评估原则，网络风险评估可以按照以下环节进行。

（一）明确网络风险管理的目标

网络风险管理的目标是保护企业的信息系统免受损害，从而保证企业目标的实现。网络风险管理的目标，最终要落脚到实现企业整体目标。为此企业需要根据自身设定的各类目标（如经营目标、合规目标、财务报告目标和非财务报告目标）来判断支持此目标实现的相关信息系统的价值。考虑到时间、预算以及可得资源的有限性，企业不可能保护所有的信息系统，管理层应当确定可接受的风险水平并找出最关键的信息系统。因此，网络风险评估的第一步就是通过权衡信息系统对企业整体目标的潜在影响，确定最有价值的信息系统而予以重点保护。

（二）开展网络风险的评估

全面分析影响目标实现的网络风险，评估网络风险的严重性以及发生的可能性。要了解企业的网络风险概况，首先要从网络攻击者的角度考虑对其有价值的信息系统类别、脆弱点，预测攻击者的动机、可能的攻击方法、技术、工具以及过程等。网络攻击的目标、模式飘忽不定，但其动机无非是窃取机密；实施有组织的犯罪；发动针对关键组织与基础设施的袭击；带有社会和政治诉求的黑客活动；公司内部监守自盗等。其次，企业也要从行业的角度来评估网络风险。针对不同行业部门的网络攻击目标有所不同。例如，针对零售业的网络攻击是为了窃取商业机密、信用卡数据或个人身份认证信息等；针对油气行业的网络攻击是为了窃取未来开发地址的战略数据等。而同行业商业环境和经营方式的相似性也使得某一行业内的网络风险性质与作用途径具有一定的相似性。同行业企业应该就网络风险管理进行沟通交流，从中弥补自身网络风险控制和管理中的缺失。

（三）识别和评估对网络风险管理产生较大影响的变化

由于信息与互联网技术的动态发展，网络风险评估也应当是动态变化的，涵盖企业信息更新、网络技术和由此造成的企业结构、业务流程或人员结构的变化，也包括网络攻击技术的改变、网络风险的新特性等。

（四）网络风险评估应当持续更新，以反映影响控制活动实施的重大变化

企业高级管理层和其他利益相关者应当就网络风险评估得出的信息进行及时、深入的沟通，为控制活动的制定与实施做出导向性的决策。

三、网络风险控制活动

网络风险无法避免，但可以通过恰当的方式予以管理。企业应当根据网络风险评估的结果采取控制活动，以应对潜在网络攻击，将网络风险降低至可接受的水平。

根据控制活动的作用，网络风险控制活动可分为防御性控制和发现性控制。防御性控制的目的是将外部网络攻击者阻挡在重要的信息系统之外，或是减缓网络攻击的速度和破坏性。发现性控制是当确认网络攻击已经发生时，明确网络风险的特性、可能威胁的信息系统以及攻击方式，以在防御活动失效时迅速确定风险的爆发点或是被攻击的重点区域，及时开展针对性的补救和纠正措施，以降低网络攻击带来的危害。如何在有限的资源下平衡这两种控制活动是关键。在防御活动层面，企业应关注防御的层次性与立体性，实行分层部署，在微观层面分散威胁和破坏力，减缓侵入速度并为补救争取时间。

除了防御性控制和发现性控制，控制活动还可分为一般信息技术控制和其他业务控制。一般信息技术控制注重防止或发现网络漏洞。对于具体业务控制，由于每个企业的管理层技能和经验各异，专业判断也千差万别，因而无法针对个别企业设计通用的业务控制。由信息系统审计与控制协会制定的《信息和相关技术控制目标》（COBIT5，2012）、由奥巴马政府发布的《提高关键基础设施网络安全框架》（美国总统第13636号行政令，2013）等是网络风险管理方面比较权威的标准或框架，可以作为企业网络风险控制设计和实施合理与否的评估标准，为企业减少潜在网络风险提供参考。

四、网络风险信息与沟通

（一）获取或生成相关的质量信息

在信息层面，企业首先要明确信息的需求，分辨出哪些信息是网络控制与管理所必需的。鉴于网络风险管理的特殊背景，要生成相关的质量信息需要从以下几点入手：

1.从企业内外部获取综合性相关信息。首先，企业要关注内部信息来源。企业内部每天都会生成大量与信息系统相关的日志数据与警示，这是信息的首要来源。为了应对网络风险，企业需要将这些信息转化为具有可操作性的整合信息，以采取有针对性的控制活动。其次，企业需要考虑外部信息来源。经济全球化以及实体经营网络化加强了企业之间、行业之间、企业与政府之间、国别之间的联系，行业数据、政府数据、外包服务提供商数据等对企业管理网络风险的意义不可忽视。最后，企业需要识别一段时间内不同来源的网络整合数据，而不是仅仅观察单一数据来确认潜在的网络攻击事件。

2.保证信息质量。网络控制活动的设计依赖于信息质量，信息不适、信息缺失都将造成网络风险应对基础薄弱。因此，企业首先应当建立信息管理制度，明确信息质量责任，保护数据和信息免于无权接触或随意变更。其次，企业内部各方要针对数据管理计划达成共识，建立、执行并维护有效的数据管理计划，以保证信息质量。

（二）进行内部沟通

针对网络风险进行内部沟通的对象应当涉及全体工作人员，并明确不同层次人员的目标和责任。

1.一般员工。企业内部员工作为网络风险管理的基层参与者，是网络风险管理有效性的关键因素。尽管企业有专门人员负责管理网络风险，但仍应当在整个企业范围内实施定期的持续沟通计划，使员工树立网络风险管理理念，增强风险意识，在工作中注意网络风险的控制如工作信息的保护等，减少网络攻击的几率。

2.对网络风险管理和控制负有明确责任的人员。管理层以及专业人员对保护信息系统负有明确责任。为了帮助他们履行网络控制责任，企业内部应当共享内部控制信息，并将相关的网络控制形成正式文件，提高企业有效管理网络风险的能力。

3.董事会。董事会负责设定企业的目标、风险承受水平，对内部控制进行监督，在网络风险管理中发挥基础性的作用，是公司内部控制基调的奠定者与资源分配者。董事会和管理层之间的有效沟通对于董事会实施其内部控制监管责任非常重要。为在董事会层面形成有效的沟通，需要将复杂的信息技术问题转化为可操作的信息，这可以参考前述提及的网络风险管理权威标准或框架。

（三）外部沟通

鉴于网络风险的传染性，有必要针对网络安全问题及时与外部进行沟通。外部沟通的对象主要有股东、客户、业务伙伴、监管者、财务分析人员、政府部门以及其他外部方面。外部沟通一方面可以为企业带来有价值的信息，以影响网络风险评估和控制活动；另一方面可以向外部各方通知潜在的网络攻击事件或其他情况，为外部各方提供有价值的信息。值得注意的是，外部沟通必须置于一定的制度约束或管理框架下，以防止因内部信息泄露而给企业造成不利影响，甚至诱发攻击者进行针对性的网络攻击开发。

责任编辑 鲍双双