?自從OCEG公司創(chuàng)始人Scott L.Mitchell在2007年首次將GRC定義為“使企業(yè)能夠可靠地實(shí)現(xiàn)目標(biāo)、解決不確定性，并以誠(chéng)信行事的綜合能力集合”以來，GDPR法規(guī)等數(shù)據(jù)標(biāo)準(zhǔn)已經(jīng)被引入和修改，而威脅包括勒索軟件和欺詐行為造成的嚴(yán)重破壞。

定義治理、風(fēng)險(xiǎn)和合規(guī)性(GRC)

為了確定如何有效地控制GRC，必須首先明確定義每個(gè)方面在業(yè)務(wù)環(huán)境中的含義：

• 治理需要監(jiān)督系統(tǒng)的運(yùn)作方式，實(shí)施所需的規(guī)則和流程框架，并在企業(yè)內(nèi)部建立持續(xù)的問責(zé)制。
• 風(fēng)險(xiǎn)是指為減輕業(yè)務(wù)威脅而制定的計(jì)劃管理，其中包括網(wǎng)絡(luò)攻擊、IT中斷和系統(tǒng)漏洞。
• 合規(guī)性意味著同意圍繞數(shù)據(jù)和業(yè)務(wù)實(shí)踐遵守政府法規(guī)和行業(yè)框架。

綜合起來，這些領(lǐng)域?qū)τ谄髽I(yè)維持合法和合乎道德的業(yè)務(wù)運(yùn)營(yíng)同樣重要?？紤]到這一點(diǎn)，以下探討各種規(guī)模和行業(yè)的企業(yè)在GRC方面需要牢記的事項(xiàng)。

風(fēng)險(xiǎn)管理最佳實(shí)踐

企業(yè)的IT基礎(chǔ)設(shè)施面臨的風(fēng)險(xiǎn)包括來自威脅參與者和內(nèi)部威脅(惡意或意外)的網(wǎng)絡(luò)攻擊，以及由于技術(shù)故障和自然災(zāi)害導(dǎo)致的IT中斷。無論在何種情況下，建立備份和恢復(fù)系統(tǒng)以最大程度地減少影響都是值得的。如果沒有這樣的策略，可能會(huì)丟失數(shù)據(jù)，客戶也會(huì)失去信任。在當(dāng)今技術(shù)支持大多數(shù)業(yè)務(wù)流程的世界中，企業(yè)領(lǐng)導(dǎo)者無法將風(fēng)險(xiǎn)管理完全交給IT團(tuán)隊(duì)。

無論端點(diǎn)位于何處，保護(hù)端點(diǎn)在風(fēng)險(xiǎn)管理最佳實(shí)踐中都發(fā)揮著重要作用。這意味著確保在必要時(shí)不斷管理、強(qiáng)制實(shí)施和更改密碼，并對(duì)所有用于工作的設(shè)備實(shí)施多因素身份驗(yàn)證(MFA)。

業(yè)務(wù)中的風(fēng)險(xiǎn)和漏洞會(huì)不斷演變，這意味著需要對(duì)IT基礎(chǔ)設(shè)施進(jìn)行嚴(yán)密監(jiān)控。威脅情報(bào)功能講述了數(shù)據(jù)處理背后的故事，解釋了網(wǎng)絡(luò)攻擊和其他威脅將如何進(jìn)入系統(tǒng)，以及需要加強(qiáng)的地方。此外，企業(yè)應(yīng)該始終為所有漏洞安裝補(bǔ)丁。

除此之外，企業(yè)的員工都需要參與進(jìn)來，每位員工都有責(zé)任確保基礎(chǔ)設(shè)施的安全。這需要建立一種將數(shù)據(jù)隱私和安全放在首位的企業(yè)文化。確保員工了解所有可能的威脅和漏洞，以及如何幫助預(yù)防它們成為了關(guān)鍵。

IT合規(guī)性工具

為確保企業(yè)的IT基礎(chǔ)設(shè)施符合法規(guī)和道德框架，市場(chǎng)上有一系列工具可以幫助簡(jiǎn)化流程。在當(dāng)今不斷發(fā)展的商業(yè)世界中，真正成功的治理、風(fēng)險(xiǎn)和合規(guī)性對(duì)工作人員來說變得越來越困難。為了緩解這種情況，IT合規(guī)工具可以幫助履行一系列重要職責(zé)：

• 控制審計(jì)——所有數(shù)據(jù)、安全和現(xiàn)金流流程都需要進(jìn)行嚴(yán)格審計(jì)，以確保它們符合法規(guī)和道德框架。市場(chǎng)上的許多工具可以自動(dòng)執(zhí)行這一操作，從而降低員工工作的復(fù)雜性。
• 網(wǎng)絡(luò)安全意識(shí)培訓(xùn)——有一些工具可以通過舉辦網(wǎng)絡(luò)釣魚預(yù)防練習(xí)和其他模擬來幫助加強(qiáng)安全意識(shí)培訓(xùn)。
• 了解客戶(KYC)—一套標(biāo)準(zhǔn)，旨在確保企業(yè)了解其客戶的風(fēng)險(xiǎn)管理能力，并能夠與他們開展相應(yīng)的業(yè)務(wù)。這在金融服務(wù)領(lǐng)域尤為重要。
• 安全和財(cái)務(wù)文件的組織——至關(guān)重要的是，企業(yè)基礎(chǔ)設(shè)施和財(cái)務(wù)控制的所有安全措施都必須有據(jù)可查，并保存在一個(gè)安全、易于訪問的位置，以使信息專員辦公室等監(jiān)管機(jī)構(gòu)受益。

• 零信任——由于勒索軟件等網(wǎng)絡(luò)威脅仍然猖獗，零信任網(wǎng)絡(luò)訪問(ZTNA)工具僅允許用戶使用正確的憑據(jù)通過，并且能夠發(fā)現(xiàn)和隔離威脅。

對(duì)大型科技公司行為的監(jiān)管

隨著谷歌公司和Meta公司等科技公司不斷擴(kuò)大其數(shù)據(jù)實(shí)踐的范圍，在日常生活中發(fā)揮越來越大的作用，適當(dāng)監(jiān)管競(jìng)爭(zhēng)的重要性也在不斷增加。對(duì)所謂的大型科技公司行為的監(jiān)管已經(jīng)上升到政府議程上，英國(guó)和歐盟正在探索制定立法。制定這些新法規(guī)意味著，大型科技公司內(nèi)外的企業(yè)將需要重新評(píng)估他們的在線活動(dòng)，以確保他們保持合規(guī)性。

例如，英國(guó)的在線安全法案旨在解決任何“合法但有害”的在線活動(dòng)——這個(gè)術(shù)語對(duì)許多人來說似乎是模棱兩可的。這是指事物的道德方面，并強(qiáng)調(diào)需要維護(hù)積極的用戶體驗(yàn)。畢竟，隨著企業(yè)社會(huì)責(zé)任(CSR)在消費(fèi)者和人才(尤其是千禧一代和Z世代)的認(rèn)知中發(fā)揮著越來越重要的作用，這是保持社會(huì)信任的關(guān)鍵。

為了使這樣的使命真正發(fā)揮作用，按照法規(guī)，企業(yè)需要擁有自上而下的多元化員工隊(duì)伍，這會(huì)帶來各種各樣的背景、思維方式和經(jīng)驗(yàn)。企業(yè)需要建立一種根深蒂固的多元化、公平性和包容性(DEI)|價(jià)值觀文化，并讓來自不同背景的團(tuán)隊(duì)參與設(shè)計(jì)，確保對(duì)用戶的可能傷害降至最低。

金融服務(wù)的合規(guī)性

鑒于擁有高度敏感的資產(chǎn)，金融機(jī)構(gòu)尤其需要遵守監(jiān)管法規(guī)。英國(guó)金融行為監(jiān)管局(FCA)等機(jī)構(gòu)幫助確保消費(fèi)者獲得適當(dāng)?shù)姆?wù)，確保整個(gè)行業(yè)的競(jìng)爭(zhēng)保持公平。

數(shù)字優(yōu)先銀行和新銀行的出現(xiàn)增加了另一層監(jiān)管方法。隨著金融科技的不斷創(chuàng)新，適用于傳統(tǒng)金融服務(wù)(例如目前在美國(guó)使用)或東南亞地區(qū)正在發(fā)展的更具體的數(shù)字銀行文件的許可證。

為了使銀行和其他金融機(jī)構(gòu)保持合規(guī)性，他們需要及時(shí)了解不斷變化的法規(guī)。合規(guī)性檢查需要嵌入到營(yíng)銷和銷售業(yè)務(wù)中。企業(yè)的所有員工都應(yīng)接受培訓(xùn)，使他們具備將合規(guī)性放在首位的心態(tài)，并了解企業(yè)違反法規(guī)的后果。使用自動(dòng)化和低代碼功能可以顯著地幫助金融機(jī)構(gòu)輕松管理其流程，在必要時(shí)對(duì)其進(jìn)行調(diào)整，而無需具有高科技背景。