彭宏超

網(wǎng)絡(luò)安全已成為當今數(shù)字互聯(lián)世界中每個組織的重要問題。在公司體系內(nèi)，從董事會到最低級別的員工，對網(wǎng)絡(luò)風(fēng)險和適當反應(yīng)的意識和理解至關(guān)重要。對管理會計來說，信息共享是決策的基礎(chǔ)，而網(wǎng)絡(luò)安全是信息共享的基礎(chǔ)保障。正是在這樣的背景下，CIMA（皇家特許管理會計師協(xié)會）和AICPA（美國注冊會計師協(xié)會）在2017年5月聯(lián)合發(fā)布了《特許全球管理會計師網(wǎng)絡(luò)安全工具》（以下簡稱“CGMA網(wǎng)絡(luò)安全工具”），以保證特許全球管理會計師針對其所在組織，設(shè)計有效的網(wǎng)絡(luò)安全制度，確保管理會計信息安全，促使管理會計決策的有效實施。

“CGMA網(wǎng)絡(luò)安全工具”提供了一個組織應(yīng)對網(wǎng)絡(luò)攻擊威脅、建立網(wǎng)絡(luò)安全的總體概括，主要包括識別網(wǎng)絡(luò)安全的風(fēng)險，方法和應(yīng)對措施；此外，它還包含了一個美國注冊會計師協(xié)會所制訂的開發(fā)框架的基本要素，管理會計師可以借助這個框架來開發(fā)一個有效的網(wǎng)絡(luò)安全風(fēng)險管理方案，以確保所在組織的持續(xù)成功。

一、“CGMA網(wǎng)絡(luò)安全工具”主要內(nèi)容分析

新發(fā)布的“CGMA網(wǎng)絡(luò)安全工具”，針對新形勢下的網(wǎng)絡(luò)環(huán)境提出了應(yīng)對網(wǎng)絡(luò)風(fēng)險的安全指南。該管理會計工具主要包括引言、了解網(wǎng)絡(luò)安全、網(wǎng)絡(luò)安全基礎(chǔ)、網(wǎng)絡(luò)安全應(yīng)用、網(wǎng)絡(luò)安全的高級主題、中小企業(yè)網(wǎng)絡(luò)安全的“簡明要點”和附錄。

（一）引言

網(wǎng)絡(luò)風(fēng)險已經(jīng)成為當今全球經(jīng)濟的前沿和中心問題。近年來，大眾媒體充斥著網(wǎng)絡(luò)攻擊的報道，從主要客戶記錄的失竊及健康保險記錄的篡改，再到形形色色色的政治事件。根據(jù)《世界經(jīng)濟論壇2017年全球風(fēng)險報告》，在十大可能性風(fēng)險清單中，數(shù)據(jù)欺詐或盜竊、網(wǎng)絡(luò)攻擊分別排名第五和第六。網(wǎng)絡(luò)安全不再是IT部門和首席信息官的問題，在當今這個時代，公司董事會和經(jīng)理層必須在整個組織范圍內(nèi)，全面采取確保網(wǎng)絡(luò)安全的措施及方法。

（二）了解網(wǎng)絡(luò)安全

在當今復(fù)雜的數(shù)字世界中，了解網(wǎng)絡(luò)安全應(yīng)當從以下三個方面開始：知曉最常見的的威脅是什么、誰是潛在的“壞角色”、能夠做些什么來加強防御。

1.今天面臨的網(wǎng)絡(luò)安全威脅

對網(wǎng)絡(luò)安全來說，最常見的威脅是惡意軟件。惡意軟件是關(guān)于惡性軟件的一個術(shù)語，這些軟件從竊取證據(jù)、其他信息、金錢，到肆意破壞或者拒絕正常程序的服務(wù)。典型的惡意軟件如下：

勒索軟件：是一種旨在阻止訪問計算機系統(tǒng)的惡意軟件，直到使用人支付了一筆錢。

僵尸網(wǎng)絡(luò)：是相互關(guān)聯(lián)的網(wǎng)絡(luò)被“僵尸代理人”控制，按照其指令攻擊其中受感染的計算機。

惡意廣告：涉及惡意或惡意注入惡意軟件廣告變成合法的在線廣告網(wǎng)絡(luò)和網(wǎng)頁；惡意廣告是一個嚴重的威脅，很少或不需要用戶交互。

網(wǎng)絡(luò)釣魚：通常通過偽裝成可信賴的來源或合法企業(yè)，發(fā)送電子郵件誘惑閱讀者做一些不明智的事情；網(wǎng)絡(luò)釣魚還發(fā)送帶有附件的電子郵件，要求收到者打開附件或點擊一個鏈接，然后安裝惡意軟件到用戶的電腦以竊取資金；網(wǎng)絡(luò)釣魚還可能涉及更多直接請求提供私人信息如密碼、信用卡帳戶的詳細信息。

應(yīng)用程序攻擊：隨著網(wǎng)絡(luò)應(yīng)用程序開發(fā)的越來越多，應(yīng)用程序攻擊變得日益普遍；除了復(fù)雜的商業(yè)應(yīng)用程序通過網(wǎng)絡(luò)傳送外，我們的個人手機應(yīng)用程序和我們的家庭物聯(lián)網(wǎng)都存在很多漏洞。各種各樣的應(yīng)用程序攻擊雖然性質(zhì)和設(shè)計不同，但是其通常具有惡意攻擊軟件的共同意圖和目的，即 從數(shù)據(jù)庫服務(wù)器中盜取數(shù)據(jù)、在其他用戶電腦上運行攻擊腳本、竊取用戶證書等。

2.誰是壞角色

“黑客”一詞最初可能用于描述那些特別有才華的電腦程序員和系統(tǒng)設(shè)計師，可能還包括那些被認為是“計算機好奇者”；但今天這個詞更加廣泛地用來描述那些懷有不良意圖的電腦入侵者或犯罪分子。 除了基本的盜賊之外，這些“壞角色”可以是外部人士，如商業(yè)競爭者或民族國家；也可以是內(nèi)部人士，比如不滿或惡意的員工。

3.安全漏洞的風(fēng)險

網(wǎng)絡(luò)安全漏洞可能是技術(shù)本質(zhì)或程序造成的。技術(shù)缺陷會造成暴露敏感功能或信息，包括軟件缺陷和使用安全保護失敗。程序缺陷可以和IT相關(guān)，包括系統(tǒng)配置錯誤或者未能及時進行軟件安全更新。但是，有許多程序缺陷和用戶相關(guān)，比如選擇使用了不正確的密碼。

（三）網(wǎng)絡(luò)安全基礎(chǔ)

對企業(yè)來說，至關(guān)重要的是應(yīng)對上述網(wǎng)絡(luò)風(fēng)險，保護信息資產(chǎn)的安全，確保企業(yè)持續(xù)的可行性。本部分包括兩個內(nèi)容：網(wǎng)絡(luò)安全的目標及控制。

1.網(wǎng)絡(luò)安全的目標

美國注冊會計師協(xié)會制定了一個網(wǎng)絡(luò)安全報告框架，一個組織可以借助此來向關(guān)鍵利益相關(guān)者展示以及衡量自己網(wǎng)絡(luò)安全風(fēng)險管理程序的有效性。任何網(wǎng)絡(luò)安全風(fēng)險管理方案中的一個關(guān)鍵因素是需要管理層制定目標。

管理層確定的網(wǎng)絡(luò)安全目標，應(yīng)能解決可能影響網(wǎng)絡(luò)安全的風(fēng)險，該風(fēng)險影響主體整體經(jīng)營目標（包括合規(guī)，報告和運營目標）的實現(xiàn)。網(wǎng)絡(luò)安全目標會因下列因素而不同：經(jīng)營環(huán)境、主體使命和愿景、已確立的整體經(jīng)營目標、管理風(fēng)險偏好等。

一個主體網(wǎng)絡(luò)安全風(fēng)險管理方案中管理層（目標）描述的幾個標準包括：（1）可獲得性，主體可以及時、可靠和持續(xù)訪問和使用信息和系統(tǒng)。（2）保密性，保護主體信息未經(jīng)授權(quán)的訪問和披露，包括保護專有信息的手段以及受隱私保護的個人信息要求。（3）數(shù)據(jù)的完整性，防止不當?shù)男畔⑿薷幕蛐畔⑵茐摹＃?）處理過程的完整性，防范不適當?shù)厥褂?、修改或破壞系統(tǒng)。

2.安全控制：保護、偵測、響應(yīng)

為了實現(xiàn)上述網(wǎng)絡(luò)安全目標和減輕網(wǎng)絡(luò)風(fēng)險，有必要實施一套安全機制：第一，制定（網(wǎng)絡(luò)安全）目標以保護信息資產(chǎn)；第二，偵測（網(wǎng)絡(luò)）惡意活動（不發(fā)生也要偵測）什么時候發(fā)生；第三，對（網(wǎng)絡(luò)）惡意活動作出有效應(yīng)對，并最小化（網(wǎng)絡(luò)）惡意活動對主體經(jīng)營的影響。

不同的控制需要在軟件的不同級別間實現(xiàn)，涵蓋以下部分：服務(wù)器、臺式機、移動設(shè)備、網(wǎng)絡(luò)、數(shù)據(jù)存儲、商業(yè)應(yīng)用，對其采取的相應(yīng)保護措施是：政策和政策管理、軟件更新、配置、安全產(chǎn)品、應(yīng)用軟件控制。

（1）保護

首先，盡量保護信息資產(chǎn)和系統(tǒng)免受攻擊。保護戰(zhàn)略是第一道防線，違規(guī)通常是保護戰(zhàn)略的失敗。保護控制包括以下措施：一是識別：為了對用戶負責(zé)，無論是個人還是交互式系統(tǒng)組件，都需要識別，例如用戶名。二是認證：還需要能夠認證該標識。三是授權(quán)：除認證外，需要確保用戶有權(quán)進行交易，驗證用戶對特定類型訪問或交易的權(quán)限級別。四是保護秘密：例如信用卡信息的加密，不用時儲存，使用時傳送。

證書是安全系統(tǒng)的重要基礎(chǔ)，特別是涉及付款或特別敏感的信息時。證書被用于各種實際應(yīng)用程序，包括傳輸機密信息和數(shù)字簽名文件。證書可用于被稱作“握手”的程序中，使用證書來驗證發(fā)送者的身份，從而使私密地傳輸加密的機密信息成為可能；并且還使得接收者能夠通過使用防篡改密封知道信息是否被篡改。

CGMA提供了一種半公開、半私密的證書。私人證書的一半保持安全并且不在當事人之間傳遞是至關(guān)重要的。在一個組織內(nèi)部，可以對證書進行集中管理，使用戶能夠訪問他們希望發(fā)送加密信息的人的公共證書。對于外部使用，公共證書由第三方證書頒發(fā)機構(gòu)頒發(fā)，用于驗證使用者的身份。

（2）偵測

除了保護性或預(yù)防性策略之外，主體采用偵測策略來識別威脅發(fā)生的時間也是至關(guān)重要的，偵測實質(zhì)上是安全攝像機的計算機等同物。

常見的偵測策略包括：一是事件監(jiān)視：可以檢查登錄到文件中的事件的文檔，以查找不尋常的活動模式。二是入侵檢測和預(yù)防系統(tǒng)：現(xiàn)在可以使用高級的應(yīng)用程序來執(zhí)行持續(xù)監(jiān)控。三是威脅監(jiān)控：安全社區(qū)可以研究攻擊者為了開發(fā)“威脅情報”而使用的工具和技術(shù)，這些威脅情報可以用來為新控件的開發(fā)提供信息。四是用戶報告：用戶報告對識別異常活動也很有幫助。

（3）響應(yīng)

計算機事件響應(yīng)小組（CIRTs），有時被稱為計算機安全事件響應(yīng)小組（CSIRTS），是網(wǎng)絡(luò)安全變革的一部分。該相應(yīng)小組的主要職能是：減少損失，幫助企業(yè)盡快恢復(fù)業(yè)務(wù)，在必要時支持執(zhí)法、法律等調(diào)查，在事件情景意識、行動計劃和知情決策期間提供決策支持，促進客戶、執(zhí)法部門、媒體等之間的危機溝通。當一個組織受到攻擊時，事件響應(yīng)小組的關(guān)鍵作用是協(xié)助企業(yè)，使其能夠保持活力。

（四）網(wǎng)絡(luò)安全的應(yīng)用

對于擁有大量臺式電腦、筆記本電腦和移動設(shè)備的企業(yè)級系統(tǒng)，集中化實施預(yù)防性和偵查性的控制措施以及對網(wǎng)絡(luò)漏洞的反應(yīng)，是實施網(wǎng)絡(luò)安全的重要因素。

1.集中化管理

臺式機：代操作系統(tǒng)在安全特性方面非常有用。集中管理是控制和協(xié)調(diào)關(guān)鍵安全功能的關(guān)鍵方法。向遠程用戶“推送”安全協(xié)議，軟件更新和安全更新“補丁”的能力使大型企業(yè)級系統(tǒng)具有可擴展性。集中化還提供了維護用戶配置文件的目錄的能力，使用戶能夠從多個位置訪問他們的信息。

筆記本電腦：臺式機和筆記本電腦之間的安全功能很常見，但由于筆記本電腦固有的易移動性，特別是丟失或被盜設(shè)備的風(fēng)險，提出了一些獨特的挑戰(zhàn)。無論是操作系統(tǒng)還是端點產(chǎn)品，對整個磁盤進行加密是確保筆記本電腦產(chǎn)品數(shù)據(jù)安全的基本特征。

移動設(shè)備：第三方移動設(shè)備管理（MDM）產(chǎn)品便于這些設(shè)備的集中管理。一些公司認為公司自己擁有“第三方移動設(shè)備管理產(chǎn)品”很重要，這樣可進行文件配置，禁止下載非公司應(yīng)用程序?，F(xiàn)在許多公司都有自己的設(shè)備（BYOD）計劃，為了確保這些員工擁有的移動設(shè)備的安全，他們要求員工提交這些設(shè)備進而在整個公司內(nèi)進行統(tǒng)一管理，類似于筆記本電腦安全策略，為了靈活執(zhí)行安全政策，公司可以為其移動設(shè)備的不同類別的用戶創(chuàng)建不同的配置文件。

網(wǎng)絡(luò)配置：公司用于實施各種企業(yè)網(wǎng)絡(luò)（包括臺式機，筆記本電腦和移動設(shè)備）策略的另一個關(guān)鍵組件是網(wǎng)絡(luò)配置，這些網(wǎng)絡(luò)級控制的價值在于它們是非常難以規(guī)避的。

網(wǎng)絡(luò)防火墻：這是有關(guān)誰可以訪問什么的預(yù)定義策略，可用于限制訪問社交媒體或其他類別的網(wǎng)站。實施網(wǎng)絡(luò)級別的訪問控制可以用來為公司內(nèi)人們提供限制其他人訪問網(wǎng)站的訪問，例如，溝通團隊可能被授權(quán)訪問社交媒體網(wǎng)站，以供公司使用。

應(yīng)用程序防火墻：除了旨在限制訪問授權(quán)個人的網(wǎng)絡(luò)防火墻之外，還可以使用應(yīng)用程序防火墻來防范已知的Web應(yīng)用程序攻擊。

防病毒和端點產(chǎn)品：除集中管理安全功能外，大多數(shù)組織還通常使用“端點產(chǎn)品”來增強操作系統(tǒng)提供的功能。端點產(chǎn)品對于確保多個用戶訪問的企業(yè)級系統(tǒng)的安全性具有特別的價值，這些產(chǎn)品可以確保符合組織的政策，除了驗證應(yīng)用程序產(chǎn)品的完整性和檢測病毒以外，還會在發(fā)現(xiàn)問題時阻止活動。

2.集中監(jiān)控

隨著擁有數(shù)百甚至數(shù)千臺筆記本電腦的企業(yè)系統(tǒng)已經(jīng)成為組織的標準，系統(tǒng)活動的集中監(jiān)控也隨著時間的推移而發(fā)生了演變。集中監(jiān)控的重要組件包括：

事件日志記錄和聚合：所有現(xiàn)代計算機操作系統(tǒng)都會記錄他們的活動，誰登錄？他們運行什么程序？什么文件被訪問？什么是失敗以及成功？雖然登錄操作系統(tǒng)的事件記錄在很大程度上是膚淺的，但是，對于行政和問責(zé)目的以及潛在的法證使用來說，這仍然是至關(guān)重要的。最佳做法通常是將日志發(fā)送到位于數(shù)據(jù)中心或安全操作中心的中央監(jiān)控點，除了專業(yè)考慮之外，隱私考慮要求這些“日志”只能由安全人員查看。記錄此信息對于取證目的至關(guān)重要，真正的價值在于網(wǎng)絡(luò)攻擊活動發(fā)生時可以去查看這些數(shù)據(jù)。

安全信息和事件管理（SIEM）：已經(jīng)開發(fā)出來的SIEM系統(tǒng)使這種監(jiān)測更有效。 SIEM可以分析全部可得到的數(shù)據(jù)，并在數(shù)據(jù)中查找可能的攻擊或安全危害的特定模式，SIEM會深入探討可能發(fā)生的事件，自動分析可能被稱為“大海撈針”場景的過程。

現(xiàn)代安全運營中心（SOC）功能：SOC環(huán)境已經(jīng)逐漸成熟，并且擁有一系列重要的團隊或功能。一是事件響應(yīng)團隊：當監(jiān)測SIEM的小組發(fā)現(xiàn)潛在的威脅時，他們將啟動事件響應(yīng)過程，重點是保證經(jīng)營的連續(xù)性。事件響應(yīng)小組實際上是IT世界的“突發(fā)事件管理小組”。二是威脅情報團隊：威脅情報小組的任務(wù)是監(jiān)視當前趨勢，特別是在組織所涉及特定行業(yè)領(lǐng)域時。威脅情報團隊將這些信息提供給負責(zé)通過SIEM監(jiān)控活動的團隊。三是搜尋團隊：這個團隊的使命是假設(shè)組織已經(jīng)被侵犯時開始運作，但是SIEM團隊還沒有確定這個違規(guī)行為已經(jīng)發(fā)生。搜尋團隊的作用是尋找“沙地上的腳印”，以防可能的入侵。四是內(nèi)部人員威脅團隊：該團隊通過研究去發(fā)現(xiàn)員工違規(guī)的相關(guān)因素，例如，員工晉升失敗、績效評估下降、財務(wù)困難等。雖然一些組織已經(jīng)部署了內(nèi)部威脅團隊，但是調(diào)查潛在的內(nèi)部人員參與，需考慮嚴肅的隱私和法律規(guī)定。

（五）網(wǎng)絡(luò)安全的高級主題

預(yù)防是任何網(wǎng)絡(luò)安全戰(zhàn)略的目標，應(yīng)及時發(fā)現(xiàn)并有效應(yīng)對不可避免的入侵，同時包括：深入了解這種攻擊，并持續(xù)不斷地努力改進您的信息系統(tǒng)。

1.取證分析

取證分析雖然采用了與事件響應(yīng)小組相同的方式和方法，但其目的不同。 除了確定發(fā)生什么之外，還要確定未來如何防止一個特定的違規(guī)行為，取證分析就是檢查可能對研究人員有價值的事情的過程。 三個主要取證分析的要素包括系統(tǒng)級分析，存儲分析和網(wǎng)絡(luò)分析。

2.惡意軟件分析

如果系統(tǒng)中存在惡意軟件，特別是如果它是一個未經(jīng)授權(quán)的軟件，深入了解“惡意軟件到底想干什么”是非常重要的。手段包括：逆向工程、反編譯和拆分。

3.滲透測試

進行滲透測試的目的是在對手發(fā)現(xiàn)它們之前，去找到軟件中的弱點。如果我們找到了弱點，就可以修復(fù)它們；否則，就要建立一個檢測機制來阻止入侵。滲透測試的步驟包括確定它是如何工作以及它在做那些工作。手段包括：網(wǎng)絡(luò)發(fā)現(xiàn)、漏洞探測、利用漏洞。

4.軟件安全

軟件安全即編寫能夠抵御攻擊的軟件，基本的軟件安全性包括三個等級：第1層是能夠阻止連續(xù)的攻擊；第2層是能夠安全（SIEM）提醒，并提供關(guān)于攻擊的關(guān)鍵信息；第3層是能夠采取回避性措施，例如保護敏感數(shù)據(jù)（例如信用卡信息）和鎖定帳戶。

（六）中小企業(yè)（網(wǎng)絡(luò)安全）的簡要清單

雖然許多更復(fù)雜的安全措施更多地屬于較大的“企業(yè)級”系統(tǒng)，但對于小型公司而言，即使在臺式機或筆記本電腦數(shù)量較少的環(huán)境中，也有許多重要事情要做。中小企業(yè)開始與外部服務(wù)提供商建立關(guān)系的時間不是在危機時期，而是在危機之前。以下是中小型企業(yè)“必做之事”的簡短清單。

1.集中管理

事件記錄、集中或集中事件日志非常重要。對中小企業(yè)來說，有負擔(dān)得起的SIEM產(chǎn)品和SIEM類產(chǎn)品可用于執(zhí)行此任務(wù)；無論是IT安全人員還是系統(tǒng)管理員，都應(yīng)將日志發(fā)送到中央位置。中小企業(yè)還可以選擇入侵檢測服務(wù)，該服務(wù)能夠使其查看日志并發(fā)送有關(guān)潛在事件的通知。

2.外包服務(wù)

該服務(wù)應(yīng)該考慮到其他需求，特別是能夠幫助解決突發(fā)事件。許多服務(wù)是由供應(yīng)商提供的，他們能夠提供給中小企業(yè)的具體服務(wù)包括：取證、惡意軟件分析、掃描和滲透測試。如前所述，這些需要權(quán)衡，因為外部供應(yīng)商可以非常接近地觀察系統(tǒng)內(nèi)部的情況，不利于保密。

（七）附錄

1.網(wǎng)絡(luò)安全保險

由于與網(wǎng)絡(luò)安全事件有關(guān)的損害賠償并不包括在商業(yè)保險政策內(nèi)，所以獨立的政策、補充文件是必需的。對于擁有重要客戶或個人身份信息（PII）的組織、處理在線信用卡付款或以其他方式高度依賴網(wǎng)絡(luò)進行業(yè)務(wù)的組織，尤其重要。

除了涵蓋與信息技術(shù)系統(tǒng)和網(wǎng)絡(luò)的損壞或信息丟失有關(guān)的損失之外，政策通常還包括對事件本身的重大幫助和管理，這在遇到聲譽損害或監(jiān)管時可能是必不可少的。如“倫敦勞埃德銀行風(fēng)險快速指南”所述，網(wǎng)絡(luò)風(fēng)險可分為第一方和第三方風(fēng)險。

第一方保險涵蓋企業(yè)的資產(chǎn)。這可能包括：（1）數(shù)字資產(chǎn)（如數(shù)據(jù)或軟件程序）的損失或損壞；（2）網(wǎng)絡(luò)停機時間導(dǎo)致業(yè)務(wù)中斷；（3）網(wǎng)絡(luò)勸告，如果第三方?jīng)]有向他們支付款項，威脅要破壞或發(fā)布數(shù)據(jù)；（4）客戶通知費用，當有法律或監(jiān)管要求通知他們的安全或隱私違規(guī)；（5）因違反數(shù)據(jù)而導(dǎo)致聲譽損害，導(dǎo)致知識產(chǎn)權(quán)或客戶流失；（6）盜竊設(shè)備或竊取電子盜竊金錢或數(shù)字資產(chǎn)。

第三方保險涵蓋他人的資產(chǎn)，通常是客戶。這可能包括：（1）安全和隱私違規(guī)，以及調(diào)查、辯護費用和民事?lián)p害賠償與他們相關(guān)聯(lián)；（2）多媒體責(zé)任、涵蓋誹謗、隱私或電子或平面媒體出版過程中疏忽引起的調(diào)查，辯護費和民事?lián)p害賠償；（3）第三方數(shù)據(jù)丟失，包括向客戶支付拒絕訪問的賠償以及軟件或系統(tǒng)故障。

雖然網(wǎng)絡(luò)安全保險是組織戰(zhàn)略的一個重要方面，但它不應(yīng)取代最佳實踐、政策和控制。 事實上，制定有效的網(wǎng)絡(luò)安全計劃可以降低保費。

2.網(wǎng)絡(luò)安全風(fēng)險管理報告框架

為了應(yīng)對組織管理網(wǎng)絡(luò)安全威脅、獲取有效性信息的日益增長的需求，AICPA制定了網(wǎng)絡(luò)安全風(fēng)險管理報告框架。雖然制定網(wǎng)絡(luò)安全風(fēng)險管理程序的方法和框架很多，但AICPA框架才是組織溝通和報告這些（管理網(wǎng)絡(luò)安全）工作的通用語言。

該框架旨在幫助組織向關(guān)鍵利益相關(guān)方展示其網(wǎng)絡(luò)風(fēng)險準備工作的程度和有效性。企業(yè)可以在內(nèi)部使用它來以一致的方式解釋所實施的所有政策、程序和控制措施，以解決對其業(yè)務(wù)至關(guān)重要的網(wǎng)絡(luò)安全風(fēng)險。它還可以用于向高級管理層、董事會和其他利益相關(guān)方報告，以便于他們了解該實體的網(wǎng)絡(luò)風(fēng)險管理計劃。

作為網(wǎng)絡(luò)安全新系統(tǒng)和組織控制（SOC）的關(guān)鍵組成部分，該框架還可以幫助組織向分析師、投資者和其他外部人員展示其有效的流程和控制措施，以檢測、響應(yīng)、緩解、應(yīng)對違規(guī)和其他安全事故。同時，作為管理層描述其網(wǎng)絡(luò)安全風(fēng)險管理方案的標桿，框架規(guī)定了主體網(wǎng)絡(luò)安全風(fēng)險管理的管理細節(jié)標準。網(wǎng)絡(luò)安全風(fēng)險管理報告也是一個例證，為實體如何編制網(wǎng)絡(luò)安全風(fēng)險管理計劃提供了一個示例。

（八）補充讀物和資源

網(wǎng)絡(luò)資源：AICPA網(wǎng)絡(luò)安全資源中心，AICPA網(wǎng)絡(luò)安全SOC；GMA風(fēng)險管理工具包確保企業(yè)在一個不確定的世界中的生存能力：圍繞風(fēng)險進行討論；全球管理會計原則；IRM網(wǎng)絡(luò)風(fēng)險：為從業(yè)者提供資源；ISO /IEC 27001——信息安全管理；NIST網(wǎng)絡(luò)安全框架；重新思考價值鏈；風(fēng)險和創(chuàng)新。

會計學(xué)期刊文章：警惕網(wǎng)絡(luò)安全，警告前聯(lián)邦調(diào)查局特工；如何在安全預(yù)算方面做到更機智；數(shù)據(jù)泄露的隱藏成本；通過COSO鏡頭審視網(wǎng)絡(luò)安全。

二、對“CGMA網(wǎng)絡(luò)安全工具”的評價

（一）提出了“超越IT部門、全員參與”網(wǎng)絡(luò)安全管理新理念

在傳統(tǒng)管理中，一般認為信息安全是“IT或信息管理部門”的職責(zé)，但在“CGMA網(wǎng)絡(luò)安全工具”的“前言”部分，CGMA大膽提出：信息系統(tǒng)安全不再僅僅是IT部門和首席信息官的問題，公司董事會和經(jīng)理層必須在整個組織范圍內(nèi)采取確保網(wǎng)絡(luò)安全的措施及方法。在大數(shù)據(jù)時代，越來越多的公司建立了基于網(wǎng)絡(luò)的“財務(wù)共享中心”或“管理會計信息中心”，以網(wǎng)絡(luò)電腦、手機作為終端，所以當今的網(wǎng)絡(luò)安全不應(yīng)再單單是信息管理部門的職責(zé)，而應(yīng)是公司一把手負責(zé)下的全員參與，只有這樣才能更有效地防止來自公司內(nèi)、外的網(wǎng)絡(luò)攻擊，保證管理會計信息的連續(xù)不斷地服務(wù)于管理決策。

（二）科學(xué)地制定了網(wǎng)絡(luò)安全目標的具體標準

“CGMA網(wǎng)絡(luò)安全工具”指出：一個主體網(wǎng)絡(luò)安全風(fēng)險管理目標的標準包括：一是可獲得性，主體可以及時、可靠和持續(xù)訪問和使用信息和系統(tǒng)；二是保密性，保護主體信息未經(jīng)授權(quán)的訪問和披露；三是數(shù)據(jù)的完整性，防止不當?shù)男畔⑿薷幕蛐畔⑵茐?；四是處理過程的完整性，防范不適當?shù)厥褂谩⑿薷幕蚱茐南到y(tǒng)。這四個標準可用于評價一個單位“網(wǎng)絡(luò)安全”管理水平的高低，同時也為大數(shù)據(jù)時代下，管理會計信息的網(wǎng)絡(luò)安全指明了行動方向。

（三）提出了分層次的網(wǎng)絡(luò)安全管理措施

在“CGMA網(wǎng)絡(luò)安全工具”中，提出了一個分層次的應(yīng)用步驟：第一層是深入理解網(wǎng)絡(luò)安全，包括三項任務(wù)：知曉最常見的的威脅（勒索軟件、僵尸網(wǎng)絡(luò)、惡意廣告、網(wǎng)絡(luò)釣魚和應(yīng)用程序攻擊），識別潛在的“壞角色”，能夠做些什么來加強防御。第二層是基礎(chǔ)網(wǎng)絡(luò)安全管理，包括兩項任務(wù)：制訂網(wǎng)絡(luò)安全目標，實施安全控制（保護、偵測、響應(yīng)）。第三層是大型“企業(yè)級系統(tǒng)”網(wǎng)絡(luò)安全（綜合）應(yīng)用，包括：集中化管理、集中監(jiān)控。

（四）提出了完整的“網(wǎng)絡(luò)安全風(fēng)險管理報告框架”

在“CGMA網(wǎng)絡(luò)安全工具”的附錄中，還提供了一個包括9項內(nèi)容的網(wǎng)絡(luò)安全風(fēng)險管理報告框架，分別是：業(yè)務(wù)及營運性質(zhì)、信息風(fēng)險的性質(zhì)、網(wǎng)絡(luò)安全風(fēng)險管理計劃目標、對固有網(wǎng)絡(luò)安全風(fēng)險產(chǎn)生重大影響的因素、網(wǎng)絡(luò)安全風(fēng)險治理結(jié)構(gòu)、網(wǎng)絡(luò)安全風(fēng)險評估流程、網(wǎng)絡(luò)安全通信和網(wǎng)絡(luò)安全信息的質(zhì)量、網(wǎng)絡(luò)安全風(fēng)險管理程序的監(jiān)控、網(wǎng)絡(luò)安全控制流程。這9項內(nèi)容覆蓋了網(wǎng)絡(luò)安全的方方面面，有利于指導(dǎo)企業(yè)按照該工具，進行網(wǎng)絡(luò)安全管理的計劃、實施、報告及評價。

（五）探討了“網(wǎng)絡(luò)安全管理”的高級話題

在“CGMA網(wǎng)絡(luò)安全工具”中，還探討了四個網(wǎng)絡(luò)安全管理的高級內(nèi)容：第一是取證分析，包括系統(tǒng)級分析，存儲分析和網(wǎng)絡(luò)分析；第二是惡意軟件分析，包括逆向工程，反編譯和拆分；第三是滲透測試，包括網(wǎng)絡(luò)發(fā)現(xiàn)、漏洞探測、利用漏洞；第四是軟件安全，包括設(shè)計審查、代碼審查、安全測試。這些高級主題的討論深化了網(wǎng)絡(luò)安全管理的內(nèi)容。

（六）覆蓋面完整，規(guī)定了適用于中小企業(yè)的網(wǎng)絡(luò)安全管理清單

對于小型公司而言，即使在臺式機或筆記本電腦數(shù)量較少的環(huán)境中，也有許多重要事情做，中小企業(yè)開始與外部服務(wù)提供商建立關(guān)系的時間不是在危機時期，而是在危機之前，中小型企業(yè)“必做之事”如下：一是集中管理，包括事件記錄、集中或集中事件日志，還可以選擇入侵檢測服務(wù)；二是外包服務(wù)，包括：取證、惡意軟件分析、掃描和滲透測試。這樣一來，就增強了“CGMA網(wǎng)絡(luò)安全工具”的實用性，不僅適用于大型企業(yè)，也為中小企業(yè)的網(wǎng)絡(luò)安全管理提出了合適的參照。

三、結(jié)論

由上述分析可以看出，“CGMA網(wǎng)絡(luò)安全工具”從對網(wǎng)絡(luò)風(fēng)險的認識，到防止網(wǎng)絡(luò)風(fēng)險的基本要素，再到網(wǎng)絡(luò)安全工具的應(yīng)用和防范手段，都給出了具體的應(yīng)用指南。同時探討了網(wǎng)絡(luò)安全的高級話題，有針對性地提出了中小企業(yè)的網(wǎng)絡(luò)安全清單，在附錄中給出了網(wǎng)絡(luò)安全保險的特殊性分析，介紹了美國注冊會計師協(xié)會的“網(wǎng)絡(luò)安全風(fēng)險管理報告框架”。最后還列出了網(wǎng)絡(luò)安全的網(wǎng)上資源及相關(guān)讀物。“CGMA網(wǎng)絡(luò)安全工具”提出了一個新形勢下如何確保管理會計信息網(wǎng)絡(luò)安全的詳細而全面的框架，對世界范圍內(nèi)基于管理會計信息的網(wǎng)絡(luò)安全管理具有重要的指導(dǎo)作用，也為我國相關(guān)管理會計指引的制訂提供了有益參考。為了保證大數(shù)據(jù)時代下管理會計信息的安全，建議有關(guān)部門盡快參照“CGMA網(wǎng)絡(luò)安全工具”，制訂并發(fā)布相關(guān)的管理會計應(yīng)用指引，使得管理會計更好地服務(wù)于企業(yè)決策，提高企業(yè)管理水平。