德勤：提升金融機構網絡安全成熟度——風險管理領先實踐(20頁).pdf

《德勤：提升金融機構網絡安全成熟度——風險管理領先實踐(20頁).pdf》由會員分享，可在線閱讀，更多相關《德勤：提升金融機構網絡安全成熟度——風險管理領先實踐(20頁).pdf（20頁珍藏版）》請在三個皮匠報告上搜索。

1、提升金融機構網絡安全成熟度 風險管理領先實踐 金融服務信息共享與分析中心(FS-ISAC) / 網絡風險服務首席信息安全官（CISO）年度調研與分析報告（第二期） 網絡安全服務（Deloitte Cyber）助力企業構建自內而外的網絡安全意識，幫助企業在 面對持續變化的網絡威脅時變得更強大、反應更敏捷，自身更具創新性，靈活應對挑戰。 本報告由金融服務行業研究中心及金融服務信息共享與分析中心（FS-ISAC）共同發布 1 目錄 關于本調研|2 引言|3 聚焦成本|4 領先網絡安全管理特征|6 持續提升網絡安全成熟度|12 尾注|15 2 關于本調研 本調研由金融服務信息共享和分析中心（FS-IS

2、AC） 與網絡風險服務共同完成。FS-ISAC是一家總 部位于美國的行業聯盟，成員包括近7,000家金融 機構，致力于降低全球金融體系中的網絡風險。本 次調研共有97家企業參與，覆蓋了不同規模企業 （圖1）和所有金融子行業（因部分受訪企業可分屬 多個子行業，故圖2數量總和超過97）。 本調研考察了金融機構網絡安全運營的多個環節， 包括組織和管理網絡安全活動，首席信息安全官 （CISO）的匯報路線，董事會對CISO工作的關注程 度，以及在財務方面應優先考慮哪些網絡安全領 域等。 調研還要求受訪者提供其在國家標準與技術研究 院（NIST）四級網絡安全框架下的成熟度水平1 （圖3）。百分之八十的受訪

3、企業自行評估了他們 的成熟度水平，其余則由第三方評估得出。在97 家參與調查的企業中，74家反饋了對16個NIST網 絡安全框架下各不同控制項的單獨評價。 根據每個控制項中成熟度的評分，17家企業被 認定為成熟度達到自適應級，43家達到可重復 級，12家達到可知曉級，剩下的兩家為初始級。 我們將網絡安全成熟度判定為初始級的企業與可 知曉級企業進行了分組合并，以確保本報告分析 的嚴謹性。 注意：所有金額均以美元計算 analysis. 圖1 受受訪訪企企業業規規模模 36 38 小型 (低于5億美金) 中型 (5億至20億美金） 大型 (超過20億美金) 23 資料來源：2019年FS-ISAC

4、/網絡風險服務CISO調查，德 勤金融服務行業研究中心。 Deloitte Insights | 圖2 受訪企業所處行業 85% 84% 82% 零售/公司銀行 消費者/金融服務（非銀） 保險 服務提供商（金融產品/服務/應用程序） 金融設施（清算公司、交易所、支付平臺等) 信用社 貿易聯合會 IT或信息安全 管理服務供應商 0510152025303540 40 38 25 16 1 9 5 1 提升金融機構網絡安全成熟度 3 來源：國家標準與技術研究院（NIST），“提升關鍵基礎設施安全框架”，2018年4月16日。 Deloitte Insights | 圖3 網絡安全成熟度水平 企業沒

5、有正式的網絡安全風險管理，風險管理多數是無序的、甚至是被動的。初始級 可知曉級 可重復級 自適應級 風險管理實踐由管理層批準，但沒有在整個組織中形成政策。 企業的風險管理活動獲得管理層的批準，并形成政策與制度。 企業根據網絡安全活動中獲取的經驗教訓和預測指標，自動調整其網絡安全活動。 引言 如 今，數字化與物理技術的連接更加緊密。 如何理解并識別網絡風險的發生對金融機 構至關重要。與此同時，網絡安全團隊必 須不斷努力履行其義務及監督職責，同時滿足客戶 對隱私和創新業務解決方案不斷提高的期望。 在過去的兩年中，與FS-ISAC進行合作，通過對 FS-ISAC各成員單位就如何應對網絡安全挑戰進行調

6、 研，旨在評估各家網絡安全預算和整體網絡風險管 理是否達到了良好狀態。 在2018年的抽樣調研中， 我們了解了受訪企業的CISO 如何履行其職能和職責， 進而對整個行業的網絡安全 戰略、 架構以及預算優先級提出了初步的見解。 2 今年，除了根據行業、公司規模和網絡風險管理成 熟度來確定整個行業的預算支出模式外，我們還識 別出那些已經達到NIST所定義的最高成熟度水平公 司的幾個核心特征 （參見圖3）。 NIST網絡安全成熟度框架3中所定義的“自適應級” 的公司具備以下特征: 確保企業包括董事會及高級管理層的參與; 提升網絡安全在企業內的重要程度。網絡安全可 以在信息技術（IT）部門外獲得更高級

7、別的關注 和更強的影響力; 對網絡安全的投入與公司業務戰略保持緊密的協 同一致。 能夠整合這些基本特征，并以網絡安全行業領先實 踐為參考的組織，將更有可能適應不斷變化的業務 模式和應對來自日益白熱化的外部競爭格局的威脅。 調查顯示，單靠資金的投入可能無法解決網絡安全 問題，高昂的網絡安全支出并不意味著能轉化成更 高的安全成熟水平。金融機構采用何種方式以更好 的保護其數字資產安全，至少應與投入在網絡安全 方面的資金數量同樣重要。 提升金融機構網絡安全成熟度 4 聚焦成本 了 解企業對網絡風險資源的投入是我們希望調 研的重要信息之一 （圖4） 。 基于調研回復統計， 企業將IT預算的6%到14%用

8、于網絡安全， 平均 用于網絡安全費用為IT總預算的10%； 相比企業總收 入， 這一數字約為0.2%到0.9%， 平均約為0.3%； 若分 析人均網絡安全支出， 受訪者為每位全職或同等員工 支付1,300至3,000美元， 平均則2,300美元。 不同規模的企業在網絡安全領域的支出差異明顯 （圖5）。顯而易見的是，規模較小的企業需要加快 腳步，才能趕上規模較大企業對網絡安全的投入。 接受調查的小型企業在網絡安全方面的支出占其收 入的比例(0.2%)，幾乎僅為中型企業(0.5%)或大型企 業(0.4%)的一半。 盡管小型企業全職員工人均網絡安全支出2,100美元 與中型企業相當，但遠低于大型企業

9、的2,700美元。 這可能是因為大型企業組織架構較復雜，通常需要 提供更多的產品和服務，并需要同時考慮多個業務 部門和交付渠道。 接受調查的小型企業在IT預算中用于網絡安全的比 例(12%)高于大、中型企業(9%)。這或許表明小型 企業意識到它們需要在網絡安全方面加大投入力度， 以滿足網絡安全監管要求和運營需求。 進一步對企業投入數據進行深入分析， 我們發現大型 企業將其約五分之一的網絡安全開支用于身份和訪問 管理 這幾乎是中小型企業的兩倍； 而中小型企業往 往傾向在終端和網絡安全上增加支出。 （關于如何根 據受訪者的收入規模對其網絡安全支出進行比較， 請 參閱第13-14頁 “企業規模決定差

10、異化策略” 。 ） 注意：所有金額均以美元計算。 資料來源：2019年FS-ISAC/網絡風險服務CISO調查，金融服務行業研究中心。 圖4 金融機構平均網絡安全支出（總樣本） 平均網絡安全費用占IT 總預算百分比：10% 14%6% 平均每位全職員工 網絡安全支出：2,300美元 $3,000$1,300 平均網絡安全費用占總 收入百分比：0.3% 0.9%0.2% 提升金融機構網絡安全成熟度 5 在金融行業的不同領域中， 網絡安全支出也存在差異。 例如， 銀行業受訪者表示， 他們將約11%的IT預算用于 網絡安全， 略高于行業平均水平； 而保險和非銀行金 融服務公司在網絡安全方面分配的預算

11、低于行業平 均水平 （10%） - 即便如此， 不同領域對于網絡安全分 配的預算均為其整體收入的0.33%。 就每位全職雇員 人均網絡安全支出而言， 非銀行金融服務公司支出金 額大約為2,800美元， 大于銀行 （約2,000美元） 或保 險公司 （約2,200美元） 。 調查樣本中金融設施， 如清算機構， 交易所和結算 公司， 其網絡安全預算投入最高， 約占其整體IT預算 的15%、 總收入的0.75%、 每位全職員工人均支出約 3,600美元。 服務提供商 （金融產品/服務/應用程序） 對網絡安全的投入也較多， 約占其IT總預算的11%和 收入的0.60%。 但每位全職員人均支出只有2,0

12、00美 元左右， 這一數字與銀行業受訪者大致相同。 盡管按照網絡安全成熟度水平劃分， 不同成熟度企業 的網絡安全開支略有不同， 但成熟度為自適應級公司 在網絡安全上的花費并不一定高于樣本總體平均水平， 這符合我們的核心主題即網絡安全工作如何計 劃、 執行和治理與其資金投入同等重要。 那么， 成熟 度最高的自適應級公司在其網絡安全中所運用的管 理與技術有何過人之處？ 注意：所有金額均以美元計算。 資料來源：2019年FS-ISAC/網絡風險服務CISO調查，金融服務行業研究中心。 圖5 金融機構平均網絡安全支出，按企業規模分析 小 網絡安全費用占總收入百分比 全職員工人均網絡安全支出 網絡安全費

13、用占IT總預算百分比 9% $2,700 0.4% 9% $2,100 0.5% 12% $2,100 0.2% 中大 提升金融機構網絡安全成熟度 6 領先網絡安全管理特征 來源：金融服務行業研究中心調研反饋 Deloitte Insights | 圖6 自適應級企業網絡安全的三項特征 確保公司董事會和高管參與 Aligning cybersecurity with business strategy 1 提高網絡安全在企業內部的影響，不僅限于IT部門 2 網絡安全與業務戰略更緊密地協同一致 3 C ISO通過大量系統和流程來確保他們的企業免 受網絡入侵， 建立高效的預警機制， 以使他們 在可

14、能面臨強大的網絡威脅之前提早發現， 并 在遭受重大網絡攻擊時快速恢復。 由于大量風險管控 活動在同時進行， CISO有時會很難確定其工作的優先 順序。 那么， 應采取哪些基本手段來快速提升金融機 構的網絡安全成熟度， 并持續保持較高水平？ 雖然促成網絡安全工作成功的因素有很多，但與其 他企業相較，領先的網絡安全實踐自適應級企業 具有三項主要特征，它們通常能夠：1）確保公司董 事會和高管參與； 2）提升IT部門以外的其他各部門 的整體網絡安全意識；3） 網絡風險管理與業務戰略 結合更加緊密 （圖6） 。 這些發現符合NIST對自適應級企業的描述。幾乎所 有歸類為“自適應級”企業的受訪者都進行了自

15、評 估，這意味著他們完全理解企業需要做到以上三點， 才能達到最高的成熟度水平。 這些自適應級企業可作為其他成熟度較低組織的模板 和參考， 成功效仿這些特征的金融機構可在短期內提 高其網絡安全成熟度， 并在長期內持續加強其網絡防 御能力。 提升金融機構網絡安全成熟度 7 低成熟度企業通過效仿自適應級企業，還可以使 CISO發揮其作為傳統的技術專家和監護人角色以外 的職能，使其同時作為戰略專家和顧問投入更多時 間，更好地支持業務部門、管理團隊和董事會實現 運營目標。4 特征一：董事會和管理層 在網絡安全方面的參與 NIST定義的具有自適應能力的企業， 要求高級管理層 將網絡風險和財務風險以及其他企

16、業風險給予同等 程度的重視與監控。 5 這與我們的調查結果一致， 即缺乏管理層支持或資金 不足是成熟度較低企業在管理網絡安全方面所面臨 的最大挑戰。 我們分析發現， 除了高管以外， 那些自評估成熟度在 自適應級別的受訪企業的董事會和管理層， 對網絡安 全的關注不僅限于日常的工作匯報， 而是幾乎對網絡 安全的所有領域感興趣 （圖7） 。 相比之下， 網絡安全 成熟度最低的公司的董事會和管理層似乎對網絡安 全活動毫無興趣。 來源：2019年FS-ISAC/網絡風險服務CISO調研，金融服務行業研究中心。 圖7 成熟度為自適應級企業，其董事會對網絡安全活動參與度通常會更高 審查安全測試結果 審查安全

17、企業的角色和職責 審查當前的威脅和安全風險 安全政策 安全預算 總體安全戰略 可知曉級可重復級自適應級 其他 審查企業是否容易受到 其他組織的公開攻擊 項目進展 安全技術 受訪總數 174314 0 11 12 3 11 3 13 5 6 14 3 27 29 5 24 6 31 11 19 33 5 4 1 1 6 7 0 7 6 3 提升金融機構網絡安全成熟度 8 相比之下， 成熟度曲線上的可重復級企業， 管理層對 總體安全策略、 威脅和安全風險審查、 網絡安全項目 進展、 安全漏洞、 第三方泄露風險， 以及安全測試結 果審查有著更大的興趣。 在大多數領域， 自適應級公 司的董事會和管理層

18、對網絡安全尤為關注。 CISO和其他高管人員圍繞當前威脅和安全風險， 對 其業務產生的影響， 對董事會和管理層進行了大力宣 貫， 有助提升管理層參與度。 設立一個與高級管理層 就網絡安全問題密切合作的委員會可以幫助整個企 業集中精力應對挑戰， 確保為任務分配足夠的資源。 我們的調研表明， 在14家自適應級企業中， 有5家將 提升企業網絡安全意識和進行相關培訓列為高優先 級事項； 而在12家可知曉級企業中只有1家在這樣做。 提升網絡安全意識與進行相關的培訓無疑需要多個 職能部門的資源和支持， 更具自適應能力的公司往往 能夠更好地跨部門協調運作， 將安全意識的實踐嵌入 到日常工作流程中， 包括從新

19、產品開發到客戶服務等 核心流程。 特征二：在IT部門以外 提升網絡安全影響 網絡安全是起始于IT部門內的一項任務與關鍵職能。 所有受訪者中的一半 （包括自適應級企業）報告說， 安全團隊在其企業中是IT職能的一部分， 這并不奇怪。 然而， 企業的技術系統在大多數情況下已經不僅僅是 網絡攻擊的目標， 更逐漸成為企業防止入侵與及時止 損的解決方案中尤為重要的一部分。 網絡威脅越來越被認為是企業所面臨的最關鍵的風 險之一， 今天的網絡安全挑戰也已經不僅僅是技術挑 戰。 成熟度更高的公司已經認識到需要提高信息安全 重要程度， 從而在進行相關決策時， 能夠不受傳統IT 考慮因素的約束和禁錮。 調查結果 （

20、圖8） 顯示， 自適應級公司更有可能將網 絡安全從IT中分離出來， 有效提升企業網絡安全能力。 可重復級公司正在努力將IT與網絡安全職能分開， 但 仍保持共同的匯報路線。 可知曉級的企業更傾向于將 網絡安全作為IT的一部分， 并不打算將IT與網絡安全 分開， 賦予其單獨的身份。 大約一半自適應級企業 （17個中的9個） 實行完全獨立 的一道防線和二道防線， 而在可知曉級企業中， 14個 中只有2個建立了獨立的一、 二道防線。 充分重視網絡安全并將其與IT獨立， 也體現在自適應 級企業的匯報路線中 （圖9） ， 其中更多的CISO報告給 首席運營官 （COO） 和首席風險官 （CRO） ， 而不

21、是首 席信息官 （CIO） 和首席技術官 （CTO） 。 調研還發現， 幾乎所有自適應級企業CISO的匯報級 別不會低于首席執行官 （CEO） 兩級； 而在成熟度為可 重復級企業中， 3/4的匯報級別較低， 成熟度可知曉 級企業中， 2/3的匯報級別偏低。 在整個調查樣本中， 很少有CISO向總法律顧問或CCO 報告。 這表明金融機構的大多數網絡安全計劃已遠 大于合規范圍； 他們正承擔著更廣泛的網絡安全職能， 負責打擊網絡風險， 并且正在觸及企業的每個角落。 對于大多數積極主動的CISO而言， 下一步可能是在業 務規劃和決策階段提供戰略支持。 網絡安全獨立于IT部門 提升金融機構網絡安全成熟度

22、 9 來源：2019年FS-ISAC / 網絡風險服務CISO調研，金融服務行業研究中心。 Deloitte Insights | 9 3 1 4 17 11 10 51 1 10 2 圖8 更成熟的網絡安全管控模式正向著將網絡安全從IT中獨立出來的方向發展 網絡安全職能是 IT的一部分 IT和網絡安全人員 共同承擔安全責任 IT和網絡安全職能是獨立的， 但具有共同的報告線 網絡安全功能從 IT職能中完全獨立 可知曉級可重復級自適應級 受訪總數 174314 *或同級別 來源：2019年FS-ISAC/網絡風險服務CISO調研，金融服務行業研究中心。 Deloitte Insights | 圖

23、9 首席信息安全官（CISO）或同等職能部門向誰報告？ 首席技術官（CTO)* 首席合規官（CCO)* 首席風險官（CRO)* 首席信息官（CIO)* 首席財務官（CFO)* 首席執行官（CEO) 可知曉級可重復級自適應級 其他 總法律顧問 首席隱私官* 首席運營官（COO)* 1 1 0 5 0 4 1 2 1 2 6 3 1 6 5 0 6 10 1 5 0 0 0 3 0 1 0 7 1 2 受訪總數 174314 提升金融機構網絡安全成熟度 10 特征三：網絡安全與業務戰略 保持密切協同 在當今日益數字化、 數據驅動的世界中， 日常業務活 動從內到外在很大程度上依賴于技術。 只有企業利

24、用 新的技術創新、 改變運營方式， 才可以在眾多競爭對 手中脫穎而出。 然而， 新的技術也可能使企業面臨其他網絡威脅。 例如， 大多數受訪者表示， 他們的企業計劃在未來兩年采用 的兩大新技術是云計算和數據分析。 然而， 正如 2019年保險業展望報告中所指出的那樣， 隨著保 險公司增加云的使用以加速轉型和釋放資源， 監管機 構一直在擔心使用云可能導致的網絡安全問題， 因為 核心系統和關鍵數據基本上被移到了第三方。 6雖然服 務提供商對其硬件和軟件的安全負責， 但確保云安全 這項工作的最終責任仍然在托管公司， 任何第三方云 安全方面的問題都可能對公司產生監管和聲譽影響。 7 銀行CISO也經常面

25、臨類似的挑戰。 2019年全 球銀行業和資本市場展望報告中指出 “隨著人工智 能應用中使用的數據越來越多， 對數據保護和隱私考 量可能會使企業的風險管理復雜性升級” ， “與第三方 供應商的互聯程度提高以及潛在的網絡風險增加也 是日益受到關切的問題。 ” 8 自適應級企業似乎已經認識到網絡安全需要與整體業 務戰略更緊密地聯系在一起， 他們意識到在管理網絡 安全的工作中， 面臨的第二大挑戰是業務的增長與拓 展 （圖10） 。 無論公司的成熟度如何， 公司網絡安全能 力落后于快速變化和日益復雜的IT技術， 是所有CISO 面臨的問題。 隨著企業通過增加新的平臺、 產品、 地 理區域、 應用程序和網

26、絡功能來實現業務增長， 每個 新元素的引入都會使網絡安全方面的考量成倍增加。 相比之下， 網絡安全管理成熟度較低的企業通常仍面 臨著更基本的問題， 而不是如何應對業務增長所帶來 的挑戰。 例如， 成熟度為可重復級企業面臨的第二大 問題是提升公司網絡保護優先級， 而成熟度為可知曉 級企業面臨的最大挑戰是缺乏管理支持和資金不足。 將網絡安全策略更好地與業務戰略保持一致有助于 CISO識別并應對新出現的風險。 自適應級和可重復 級企業的CISO認為， 第三方/供應鏈控制缺陷是其面 臨的三大網絡安全威脅之一。 與此同時， 成熟度為可 知曉級企業似乎正在努力解決更多內部問題， 例如未 經授權的系統訪問，

27、 網絡風險檢測和響應能力不足。 從一開始就將網絡安全專業人員納入戰略計劃和轉 型項目， 將有助于安全職能部門更好地管理企業整體 網絡安全風險， 促進企業內更大的合作和創新。 9 提升金融機構網絡安全成熟度 11 來源：2019年FS-ISAC/網絡風險服務CISO調研，金融服務行業研究中心。 Deloitte Insights | 圖10 成熟度為自適應級企業更加意識到業務擴展對網絡安全的影響 網絡安全挑戰排名 總體 3 6 安全解決方案的 功能性和互操作性不足 5 難以確定保護企業的 網絡安全工作優先級 4 缺乏有經驗的網絡專業人員 更關注合規， 較少關注網絡風險管理 業務增長和擴張 IT的

28、快速變化 和復雜度的增加 1 4 5 3 2 6 2 5 6 4 6 10 1 2 3 4 5 6 可知曉級可重復級自適應級 1 2 7 8 缺乏網絡安全戰略 9 治理架構不充分 10 對網絡風險和安全的理解不足 缺乏管理支持/資金不足 8 7 9 10 1 9 3 8 7 8 9 10 提升金融機構網絡安全成熟度 12 持續提升網絡安全成熟度 在 審視金融機構的網絡安全工作時， 還有許多 超出網絡安全成熟度的其他因素考量， 企 業規模就是其中之一 （參見附文 “企業規模 決定差異化策略” ） ； 另一個則是企業所處行業。 然而， 無論企業如何與其競爭對手相抗衡或開展競爭， 網絡安全仍是所有金

29、融機構必須持續開展的一項工 作。 實際上， 企業中無論誰最終對網絡安全負責或者 如何構建網絡安全治理體系， 網絡安全意識、 網絡安 全職責和對應的問責機制都應成為每個金融機構內 部職能的一部分。 即使是網絡安全成熟度較高的企業也應不斷提升其 網絡安全的自適應能力 自適應級企業不應滿足于其網絡安全管理現狀。 雖然 調研顯示， 成熟度較高的企業可能已經建立了穩固的 治理體系， 并打下了有效的網絡風險管理基礎， 但為 了保持對網絡威脅的防御和響應能力， 仍有許多工作 要做。 如上所述， 無論企業規模大小或成熟度高低， 即使是 自適應級企業， 都在努力跟上IT快速發展的腳步和日 益復雜化的技術系統，

30、以保障其網絡安全， 這也被認 為是CISO所面臨的最大挑戰。 在這個消費者對數據 安全和隱私保護高度敏感、 監管要求層出不絕的時代， 這些工作顯得尤為迫切。 要想在網絡安全領域取得卓越成績將是一段曲折且 沒有終點的旅程。 網絡攻擊將會變得更加嚴重和復雜， 這要求金融機構具備更強大的響應能力。 企業需要不 斷提升網絡安全、 人力和技術能力， 從而達到保證網 絡安全、 提前預警和遇到攻擊快速恢復的目標。 CISO也應不斷積極主動的對潛在網絡安全風險進行 預測， 時刻準備應對， 而不是在出現新的攻擊時再做 出反應。 如果沒有采取有效的手段來提前防范網絡安 全風險， 即使是自適應級企業， 也很有可能在

31、面對數 字邊界滲透和運營的攻擊時變的不堪一擊。 提升金融機構網絡安全成熟度 13 企業規模決定差異化策略 在我們的調研所提到的許多特征中，受訪企業規模（按年收入）影響較大。 例如，企業規模較大的受訪者更有 可能將所有網絡安全職能留在其內部，同樣也最不可能將網絡安全人員外包（圖11）。 規模較大的企業傾向于將其CISO設置在IT架構內部：56%的受訪者表示他們的CISO向CIO或CTO匯報，而不是 CRO或COO，而大約四分之一的中型和小型企業CISO向CRO或COO匯報（圖12）。也許由于小型企業組織架 構扁平化，來自小型企業的受訪者最有可能讓他們的CISO向CEO報告。與此同時，只有少數中型

32、企業的受訪者 表示，他們CISO向公司高級管理層報告，這一現象在大企業中幾乎不存在。 規模較大的企業受訪者更有可能嘗試混合運營模式，即在集權機構和單個業務線或地區都具有戰略和執行能力。 不管是在集權機構還是單個業務線，職能都是集成在一起并相互協調。然而，不論企業規模大小，這種做法仍 是少數。只有十分之一的大型企業走這條路，這一比例在中、小型企業中更低。 大型企業也更有可能擁有獨立的網絡安全二道防線，并通過安全聯絡人或每個板塊的“接口人”與企業建立網 絡安全接口。 風險轉移是另一個使企業在網絡安全層面產生差異的因素。受訪者中只有不到十分之一的大型企業在沒有網絡 安全保險的情況下運營，這一比例在中

33、型企業中為四分之一。有網絡安全保險的受訪企業整體網絡安全計劃也 相對較為成熟。 23家大型企業受訪者中有8家表示他們的網絡安全成熟度為自適應級，13家為可重復級，2家 為可知曉級。20家中型企業中，只有2家處于自適應級，14家可重復級，4家可知曉級。 31家小型企業受訪者 中，有7家表示他們的網絡安全成熟度為自適應級，16家可重復級，8家可知曉級。 注意：所有金額均以美元計算。 來源：2019年FS-ISAC/網絡風險服務CISO調研，金融服務行業研究中心。 5175%2650%2125%1620%1115%110%無外包 其他 75% 圖11 網絡安全人員外包百分比，按企業年收入進行排序 小

34、型 （低于5億美元) 中型（5億至20億美元） 大型（超過20億美元） 總回復：34 總回復：22 總回復：35 10 9 7 8 18 3 1 4 2 2 11 4 3 2 0 22 44 22 0 0 4 3 5 提升金融機構網絡安全成熟度 14 注：所有金額均以美元計算。 來源：2019 FS-ISAC/網絡風險服務CISO調研，金融服務行業研究中心。 Deloitte Insights | 圖12 CISO向誰匯報，根據公司年收入劃分 小型（低于5億美元） 中型（5億至20億美元） 大型（超過20億美元） 總回復：35 總回復：22 總回復： 36 首席執行官 (CEO) 首席財務官

35、(CFO)* 首席信息官 (CIO)* 首席技術官 (CTO)* 首席風險官 (CRO)* 首席合規官 (CCO)* 首席運營官 (COO)* 首席隱私官* 總法律顧問 其他 7 5 15 9 3 6 2 1 5 5 3 3 3 5 4 1 1 1 1 0 0 0 0 0 0 3 1 2 7 0 提升金融機構網絡安全成熟度 15 1. NIST, “Framework for improving critical infrastructure cybersecurity.” 2. Jim Eckenrode and Sam Friedman, The state of cybersecurit

36、y at financial institutions: Theres no “one size fits all” approach, Deloitte Insights, May 21, 2018. 3. National Institute of Standards and Technology (NIST), “Framework for improving critical infrastructure cybersecurity,” April 16, 2018. 4. Khalid Kark, Monique Francois, and Taryn Aguas, “The new

37、 CISO: Leading the strategic security organization,” Deloitte Review 19, July 25, 2016. 5. NIST, “Framework for improving critical infrastructure cybersecurity.” 6. Sam Friedman et al., 2019 insurance outlook, Deloitte, November 2018. 7. Ibid. 8. Val Srinivas et al., 2019 banking and capital markets

38、 outlook, Deloitte, November 2018. 9. Deloitte, The future of cyber survey 2019, March 4, 2019. 尾注 提升金融機構網絡安全成熟度 16 聯絡我們 中國聯系人 方燁 中國金融服務業 風險咨詢領導合伙人（中國大陸） +86 21 6141 1569 薛梓源 中國 風險咨詢網絡安全合伙人 +86 10 8520 7315 肖騰飛 中國 風險咨詢網絡安全合伙人 +86 10 8512 5858 張震 中國 風險咨詢網絡安全合伙人 +86 21 6141 1505 石沛恩 中國 風險咨詢網絡安全合伙人 +86

39、 21 3313 8366 何微 中國 風險咨詢網絡安全合伙人 +86 755 3353 8697 郭儀雅 中國 風險咨詢網絡安全合伙人 +852 2852 6304 .hk Tony Wood 中國金融服務業 風險咨詢領導合伙人（中國香港） +852 2852 6602 .hk 何曉明 中國 風險咨詢網絡安全合伙人 +86 10 8512 5312 馮曄 中國 風險咨詢網絡安全合伙人 +86 21 6141 1575 江瑋 中國 風險咨詢網絡安全合伙人 +86 21 2312 7088 Puneet Kukreja 中國 風險咨詢網絡安全合伙人 +86 21 3313 8338 Miro P

40、ihkanen 中國 風險咨詢網絡安全合伙人 +852 2852 6778 .hk 17 海外聯系人 Julie Bernard Advisory principal Cyber Risk Services Deloitte & Touche LLP +1 714 436 7350 Kenny M. Smith Vice chairman US Financial Services Industry leader Deloitte LLP +1 415 783 6148 Sam Friedman Insurance research leader Deloitte Center for Fin

41、ancial Services Deloitte Services LP +1 212 436 5521 Nikhil Gokhale Insurance research manager Deloitte Center for Financial Services Deloitte Support Services India Private Limited 關于 Deloitte （ “” ） 泛指一家或多家有限公司， 以及其全球成員所網絡和它們的關聯機構。 有限公司 （又稱 “全球” ） 及其每一家成員所和它們的關聯機構均為具有獨立法律地位的法律實體。 有限公司并不向客戶提供服務。 請參

42、閱www.deloitte. com/cn/about 了解更多信息。 亞太有限公司 （即一家擔保有限公司） 是有限公司的成員所。 亞太有限公司的每一家成員及其關聯機構均為具有獨立法 律地位的法律實體， 在亞太地區超過100座城市提供專業服務， 包括奧克蘭、 曼谷、 北京、 河內、 香港、 雅加達、 吉隆坡、 馬尼拉、 墨爾 本、 大阪、 上海、 新加坡、 悉尼、 臺北和東京。 于1917年在上海設立辦事處， 品牌由此進入中國。 如今， 中國為中國本地和在華的跨國及高增長企業客戶提供全面的審 計及鑒證、 管理咨詢、 財務咨詢、 風險咨詢和稅務服務。 中國持續致力為中國會計準則、 稅務制度及專業人才培養作出重要貢獻。 中國是一家本土注冊成立的中國專業服務機構， 由中國的合伙人所擁有。 敬請訪問 通過我們的社交媒體平臺， 了解在中國市場成就不凡的更多信息。 本通信中所含內容乃一般性信息， 任何有限公司、 其成員所或它們的關聯機構 （統稱為 “網絡” ） 并不因此構成提供任何專業 建議或服務。 在作出任何可能影響您的財務或業務的決策或采取任何相關行動前， 您應咨詢合資格的專業顧問。 任何網絡內的機 構均不對任何方因使用本通信而導致的任何損失承擔責任。 2019。 欲了解更多信息， 請聯系中國。