《畢馬威：2024網絡安全重要趨勢報告（41頁）.pdf》由會員分享，可在線閱讀，更多相關《畢馬威：2024網絡安全重要趨勢報告（41頁）.pdf（41頁珍藏版）》請在三個皮匠報告上搜索。

1、2024網絡安全重要趨勢技術創新離不開務實戰略畢馬威國際 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。前言謹慎挖掘人工智能潛力通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡安全戰略實現供應鏈安全現代化滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界與此同時，由于企業面臨著各種經濟不確定因素，網絡安全領域的預算必須更加客觀合理。許多首席信息安全官認為相關預算將與之

2、前大致持平，并非一定會被調降，因為其中部分費用將被用于企業創新，尤其是人工智能和自動化解決方案等領域。這一顯著變化要求安全團隊須進行技術合理化及預算優化，以期達到降本增效的目的。在經濟下行給企業預算帶來壓力的情況下，越來越多的人認為，網絡安全領域已趨于成熟，企業可以削減相關投資。此外，安全職能已被納入其他信息技術和業務轉型預算中，而不再是一個獨立的預算項目。另外，企業轉用基于云的安全即服務模式，也使安全成本以前所未見的方式納入到涵蓋范圍更廣的企業運營費用之中。有見及此，我們建議首席信息安全官應加強網絡風險量化（CRQ）流程，通過數學建模利用可度量的變量1來闡明相關風險，以財務的維度揭示網絡安全

3、風險的影響。從網絡風險量化的角度來審視風險，能夠有效地向領導層和董事會展示投資回報和投資重點，以確保企業從技術和財務的雙重角度了解相關威脅。本報告從多個角度探討了企業領導者最為關心的問題，即如何確保企業韌性。當發生數據泄露或網絡安全事件時，企業如何迅速恢復正常運作，以及如何將對客戶的影響降至最低。許多近期出臺的法規，特別是與關鍵基礎設施領域相關的法規更多的提及了企業韌性。與傳統安全視角相比，安全事件的響應和恢復以及減輕對客戶造成的損害成為當下企業的側重點。網絡安全是一項不斷變化的持續性工作。企業提高“網絡安全事件不可避免但可管理“概念的認知度，將更好的協助企業在網絡安全防護及網絡安全事件響應和

4、恢復之間取得平衡。AkhileshAkhilesh TutejaTuteja網絡安全全球主管畢馬威國際1 Forrester，2022年第4季度網絡風險量化概覽(The Cyber Risk Quantification Landscape,Q4 2022)，2022年11月29日2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢3謹慎挖掘人工智能潛力通過自動化增強安全性以個體而非機構

5、的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡安全戰略實現供應鏈安全現代化滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界2024年應聚焦網絡安全方面八個關鍵詞請點擊各項了解詳情2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢4滿足客戶期望，贏得更多信任隨著網絡威脅和數據隱私問題愈發嚴峻，首席信息安全官應積極尋求與企業各利益相關者密切合

6、作的機會，確保在發生事故時保持運營彈性，從而維護客戶信任。01010202將網絡安全和隱私合規無縫融入企業將安全融入企業整體應被視為推動企業卓越運營的一項舉措。應對日益模糊的全球邊界對企業而言，應重點關注如何最有效地應對日益復雜的全球化業務環境，以確保具備業務韌性和連續性。03030404實現供應鏈安全現代化盡管面臨各種挑戰和重點工作之爭，但不應使保障供應商及合作伙伴業務生態體系安全成為制約因素，而應將其作為業務的推動因素。謹慎挖掘人工智能潛力安全和隱私領域的領導者應積極支持以人工智能為依托的各種業務目標，并關注如何有效及負責任地利用這項顛覆性技術。05050606通過自動化增強安全性隨著企業

7、的數字化轉型，安全團隊必須對其流程進行自動化和升級，以跟上發展的步伐。0808使網絡安全與業務韌性保持一致企業應建立安全韌性的企業文化，并與所有利益相關者達成共識。以個體而非機構的維度進行身份管理隨著業務模式的不斷擴展，企業應從總體角度考慮身份管理，而不應進行割裂管理。0707當前存在利用視頻和音頻制作深度偽造文件的情況，這個問題可能會對隱私甚至民主產生重大影響，因此增強信任應成為網絡安全工作的重要事項。MikaMikaLaaksonenLaaksonen合伙人ESG網絡安全全球主管畢馬威芬蘭滿足客戶期望，贏得更多信任企業的利益相關者，包括消費者、員工、供應商在內的每一位均期望企業追求增長和利

8、潤。然而，如今越來越多的企業也面臨著以對社會負責任的方式運作的要求。企業應加強安全和隱私與環境、社會和治理（ESG）因素之間的聯系。這種聯系在整個業務生態系統中正日益得到重視，尤其是ESG評級機構，他們致力于尋求更高的透明度對企業進行衡量和比較。聚焦事項一2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢5應對日益模糊的全球邊界實現供應鏈安全現代化謹慎挖掘人工智能潛力通過自動化增強安全

9、性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡安全戰略將網絡安全和隱私合規無縫融入企業滿足客戶期望，贏得更多信任ESG的重要性以及如何將安全和隱私納入整體框架根據畢馬威2023年全球首席執行官展望所載，69%的首席執行官已將ESG融入其業務，作為創造價值的一種方式，50%的首席執行官預計這方面的努力和投入將在未來三到五年內帶來巨大回報。相較于ESG中與環境因素的備受關注，網絡安全和隱私等治理因素卻較少得到充分構建。隨著網絡威脅和數據隱私問題的日益嚴峻，首席信息安全官需要與ESG相關人員攜手合作，以確保在發生安全事故時，企業運營具有良好的韌性，能夠隨時啟動業務連續

10、性計劃確保業務的正常運行。通過將網絡安全和隱私安全納入社會責任計劃并保護客戶數據，企業能夠更好地維護其聲譽及客戶信任，即便是在發生重大事故之時。對于向公共和私人服務提供商提供其個人信息的消費者而言，他們希望自己的個人信息受到保護，且不會被用于其他目的。與此同時，人們亦期望企業在追求業務目標的過程中，能夠采取對社會負責任的措施減少其碳足跡，為當地社區提供幫助，完善勞工政策、并確保員工多樣性及平等性。切實解決網絡安全和隱私問題，廣泛應對ESG問題，已成為企業及企業首席信息安全官的重點工作。不同的地區和行業面臨不同的監管規定，這些規定需要與消費者間建立信任。從合規性的角度來看，這一點十分重要，須加以

11、重視，因為無論是B2B還是B2C，消費者的期望值均受到各種規定的直接影響因而各不相同。如果個人消費者對產品或服務提供商在個人信息、隱私數據以及違規處罰等方面的處理結果不滿意，則可能選擇購買其他產品或服務。實際上，82%的消費者更青睞與其價值觀相一致的品牌；75%的消費者則表示會因為與品牌的價值觀不合而放棄該品牌。2 在有選擇的情況下，大多數消費者更傾向于選擇那些遵守ESG準則，優先考慮安全、隱私和可持續發展的企業。這一點在B2B領域尤為明顯，這是因為企業客戶非常重視保護其機密數據和知識產權。越來越多的行業被提出了網絡安全和數據隱私相關的監管要求，能夠遵循這些要求的企業更受利益相關方的青睞。3

12、對于許多B2B行業企業而言，這并非僅是“加分項”，更重要的是，監管義務會直接從受監管行業的企業擴大至供應商，如果企業遭遇重大網絡安全事件，供應商因為合作關系亦可能會因此而蒙受損失。2Google Cloud，新研究表明消費者比以往更關注品牌價值(New research shows consumers more interested in brands values than ever)，2022年4月27日。3 畢馬威，ESG領域的網絡安全(Cybersecurity in ESG)，2023年。4First Insight/賓夕法尼亞大學沃頓商學院，消費者與零售企業高管的可持續發展分歧(T

13、he Sustainability Disconnect Between Consumers and Retail Executives)，2022年1月。事實上，大約有三分之二的消費者愿意為可持續產品支付更高的費用，盡管三分之二的零售企業高管對消費者是否真會如此持懷疑態度。4雖然消費者可能愿意為安全、隱私和社會責任支付額外費用，但這些因素目前仍是“籌碼”（即成本），這些“籌碼”將很快初級消費者的底線。對于涉及私募股權或風險投資的案例中，企業看待投資的道德視角尤為值得注意。如今，許多投資者注重于企業對于網絡安全和隱私管理的能力，其原因是，投資者擔心網絡安全問題可能會對他們所投資的企業造成品牌損

14、害。網絡安全在人工智能和數據倫理方面發揮著越來越重要的作用。確保用于訓練人工智能算法的數據準確無誤、未被篡改且不存在偏見是一項艱巨的任務，也或許最終成為不可能完成的任務，但仍然非常值得我們為之付出努力。Caroline Caroline RivettRivett合伙人生命科學行業網絡安全全球主管畢馬威英國2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢6應對日益模糊的全球邊界實現供應

15、鏈安全現代化謹慎挖掘人工智能潛力通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡安全戰略將網絡安全和隱私合規無縫融入企業滿足客戶期望，贏滿足客戶期望，贏得更多信任得更多信任5 畢馬威國際，警惕網絡安全問題，維系企業彈性“Maintaining cyber vigilance and stayingresilient,”2023年。積極將網絡安全納入ESG議程的社會效益當前在許多企業中，在ESG背景下對于網絡安全和隱私問題的探討尚不常見。ESG領域的討論范圍需進一步擴大。在當前的環境下，企業、員工和消費者之間的社會契約與數據保護存在著深層次的矛盾。

16、在涉及如何利用視頻和音頻來制作深度偽造文件方面，提高信任度應該成為重要的網絡安全議題。深度偽造文件是指將某人的圖像、視頻或音頻替換成他人的面孔或聲音，或進行篡改使其看起來或聽起來像是做過或說過某些事情。打擊深度偽造文件十分困難，因為在許多情況下，需要人們自行判斷視頻或音頻的真假。企業必須保持警惕，及時識別和刪除這些深度偽造文件，并應積極向廣大群眾宣傳相關知識。網絡安全在人工智能以及數據倫理方面發揮著越來越重要的作用。確保用于訓練人工智能算法的數據準確無誤、未被篡改且不存在偏見是一項艱巨的任務，也或許最終成為不可能完成的任務，但仍然非常值得我們為之付出努力。網絡安全和隱私管理在保護言論自由和確保

17、當前日益普及的數字通信渠道安全方面，也發揮著至關重要的作用。隱私控制措施在限制未經同意或不知情的情況下利用及濫用個人信息方面也蔚為關鍵。這對于維護公眾對企業的信任非常重要。許多脫碳以及二氧化碳減排項目均依靠數字技術和自動化系統來監控和管理能源生產、輸送和使用。盡管這些工具可以提高效率，但也可能會造成不可預見的網絡安全漏洞，因此需要采取高水平的數據保護措施。企業引入網絡安全戰略可有助于減輕各種威脅，降低數據泄露的風險，并確保遵循相關監管要求。值得注意的是，網絡安全和隱私管理均為企業重要的社會責任，企業應與B2C及B2B客戶攜手合作，幫助他們提高網絡安全意識。銀行已紛紛將此作為常規事務，越來越多的

18、零售企業也正加入其中。此舉與供應鏈及生態系統也息息相關，因為增強供應商生態系統安全十分重要。若企業的網絡安全問題能夠得到管理，人們是否還會關心此類問題？理論上，大多數人可能會表示不希望自己所使用的產品或服務的供應商發生數據泄露。但他們并不想為此支付更多費用，同時希望企業與客戶的交互快速、順暢。在未出現安全問題之前，人們大多對此并不關心，且可能希望相關工作在幕后開展。對于企業而言，重要的是向客戶闡明網絡安全是當務之急，具有實際意義。企業應就此引導客戶，使其了解和關注網絡安全意識的影響，并證明企業所開展的工作并非僅是一般事務，而是一項至關重要的服務。對企業外部人員進行引導本身就是一項ESG實踐工作

19、?！熬W絡安全意識宣傳月”正是政府和企業共同努力確保員工及消費者了解網絡安全基礎知識并避免各種重大風險的典范之舉。百分之百的安全不切實際。即便已采取各種預防措施，但網絡安全事件仍會時有發生。如若發生，企業應迅速決定是否需要進行披露。如有需要，還應確定準備或必須向公眾披露的信息范圍。5 開誠布公對企業至關重要，網絡安全事件發生后進行良好的溝通，會讓客戶更加信任企業。2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷

20、。2024網絡安全重要趨勢7應對日益模糊的全球邊界實現供應鏈安全現代化謹慎挖掘人工智能潛力通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡安全戰略將網絡安全和隱私合規無縫融入企業滿足客戶期望，贏滿足客戶期望，贏得更多信任得更多信任KPMG global tech report:ESG（畢馬威全球技術報告：ESG領域）企業如何以技術為契機實現ESG目標Road to readiness（求“證”之路）2023年畢馬威環境、社會與治理鑒證成熟度指數報告措施建議與您企業的ESG團隊進行溝通，確定他們是否將網絡安全視為其一大職責。如若不是，則應努力使其認

21、識到網絡安全對于ESG三個領域的重要性。增強企業在網絡安全、ESG和隱私方面的全球監管情報工作，以確保及時滿足合規要求和報告要求；密切關注和洞悉不斷發展的監管法規及其對企業網絡安全工作的影響。務實。有效確保網絡安全不是讓合作伙伴各行其是，而是在企業內部重構關系，激勵企業內其他業務領域將安全融入其現有工作。參閱以下報告了解詳情Cybersecurity in ESG（ESG領域的網絡安全）從同一維度審視ESG和網絡安全2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立

22、成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢8應對日益模糊的全球邊界實現供應鏈安全現代化謹慎挖掘人工智能潛力通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡安全戰略將網絡安全和隱私合規無縫融入企業滿足客戶期望，贏滿足客戶期望，贏得更多信任得更多信任將網絡安全和隱私合規無縫融入企業如今，無論是首席信息安全官還是其領導的團隊，在安全方面均扮演著與以往截然不同的角色。企業的核心業務流程日益網絡化。相應地，網絡安全也正從由首席信息安全官集中管理，向聯合管理模式轉變。在聯合管理模式中，首席信息安全官發揮著引領作用，負責

23、建立框架，評估相關風險并提供落地支持。從前端到后端，安全與企業各職能部門均密不可分。許多領導者都已意識到，將安全意識融入其獨特的企業文化和業務流程極具價值。聚焦事項二將網絡安全和隱私合規無縫融入企業2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢9應對日益模糊的全球邊界實現供應鏈安全現代化謹慎挖掘人工智能潛力通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持

24、一致2024年度網絡安全戰略滿足客戶期望，贏得更多信任業務模式和技術正不斷演進，并產生安全影響無論企業從事的是產品制造、服務提供還是信息創造，基于云的運營模式將越來越普及，并與其他新興技術相結合，以提高可擴展性，降低成本，獲取收入，擴大利潤率。汽車行業提供了很好的業務模式轉型案例?，F如今的汽車已然成為一臺裝有輪子的巨型平板電腦。人們在路上訂購披薩甚至都不需要使用手機。燃油汽車（更不用說電動汽車）的技術含量已相當高，可以說已成為零售消費者能購買到的最先進的產品。技術的弊端在于它擴大了攻擊面，從而導致了新的潛在漏洞，并提高了業務生態系統的復雜性，這些都是首席信息安全官們必須應對的問題。與此同時，應

25、對網絡安全問題的成本也在飆升，促使企業必須考慮如何更有效地提供服務。在當下新形勢中，企業無法部署數百人的安全團隊，而是必須保持精簡，尤其是對于那些嵌入業務線的團隊而言。企業必須正確地將人員與技術相結合，廣泛應用人工智能，特別是機器學習技術，來完成人類無法高效完成的工作。人類無法對成千上萬的應用程序進行及時的審查。企業必須決定從何處起將安全納入應用程序的開發流程，并開展持續監控，以了解潛在攻擊和漏洞的影響。但是，這并不是首席信息安全官的責任。管理該等風險需要的是整個企業文化的轉變，并將安全作為企業標準運營程序的一部分。首席信息安全官并不負責安裝補丁，亦不負責管理運營。安全團隊應確定在業務中嵌入安

26、全任務的方式和環節，并對這些任務進行監控，以確保其正常執行。這就是我們對于安全團隊發展方式的看法。企業可以通過“內包”的方式為客戶提高安全性，或通過外包給第三方服務提供商的方式有效引入自身可能缺乏的專業技能。許多企業都在努力將安全作為自身的核心競爭力，尤其是在嘗試掌握大量新興技術之時。與企業領導者攜手合作有效構建安全當前有很多關于“安全左移”（在開發階段提前考慮安全性）的討論。我們認為此舉極為重要，但同時也認為企業必須端到端地考慮安全問題（從概念階段到構建，包括持續監控），并持續確保安全。在此過程中，可見性是安全的首要因素。企業的安全專家越來越像空中交通管制員，必須保持跑道暢通。首席信息安全官

27、必須確?！敖煌ā保磻贸绦颍┮愿咝?、安全的方式運作。安全不應妨礙產品和服務的發布，但應盡早對企業正在采用的流程進行了解。十年或十五年前，安全專家的“80/20”法則是指80%的技術能力以及20%的軟技能。如果首席信息安全官希望避免自己被視為支持人員，則必須適應新的“80/20”法則，將溝通、建立信任、解決問題和沖突管理等的重要性與確保高效的運營中心等同視之。BrianBrian GeffertGeffert合伙人網絡安全畢馬威美國將安全融入更廣泛的業務中應被視為推動企業卓越運營的一項舉措。安全團隊應說明和展示何謂“安全良好”，并激勵企業內部的安全專家朝著這一愿景努力做好管理工作。這就需要設置

28、適當的“安全護欄”，以實現“設計即安全”，并將適當的工具和模板集成至開發環境之中。首席信息安全官及其團隊，以及業務安全人員，應從整體上考慮企業的卓越運營，并分擔相關責任。這意味著人員、流程、技術和監管要求均要同等考慮。2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢10將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界實現供應鏈安全現代化謹慎挖掘人工智能潛力通過自動化增強安全性以

29、個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡安全戰略滿足客戶期望，贏得更多信任企業可通過重點關注風險管理、事件管理、治理與合規、技術解決方案以及員工培訓和意識來培養可持續的安全文化。這對于須符合美國證券交易委員會（SEC）頒布的新網絡安全規則6 以及歐盟頒布的網絡與信息系統安全第二版安全指令（NIS2 Directive）的企業尤為關鍵。后者要求各成員國在2024年10月7 前實施相關法律，以保護重要企業免受網絡威脅。首席信息安全官應如何保持影響力大多數首席信息安全官對數據、應用程序和整體攻擊面相關的安全影響有深刻的了解，但還可以在與人才、預算和跨組織政治等方面進

30、行深耕，以真正展現其獨特價值。那些了解如何在企業整體開展工作，將安全融入業務，同時又維持合作伙伴身份的首席信息安全官，將會實現最卓越的成就。安全團隊必須深入了解各業務部門正在規劃的措施，以及可能會暴露的潛在新威脅。首席信息安全官應使用業務合作伙伴所熟悉的語言，而非深奧的技術語言來進行溝通。不應談論諸如零日漏洞、高級持續性威脅或安全編排、自動化和響應(SOAR)策略等術語。這些術語對于大多數非安全領域的同事而言毫無意義。而應這樣表述：“如果這項計劃行不通，就會被市場拒之門外。如果不能保護產品線，則無法獲得足夠收入，因為消費者不會使用這些產品?！卑踩珗F隊不需要制造緊張。相反，應該提出旨在促進業務發

31、展和降低風險的新觀點。首席信息安全官必須讓人們相信，其指導意見和策略愿景均符合企業的最佳利益。其兜售的產品叫做“信任”。新的必備技能和能力安全專家必須提高自身的軟技能，包括談判、時間管理、傾聽和建立人脈等人際交往技能。十年或十五年前，安全專家的“80/20”法則是指80%的技術能力以及20%的軟技能。如今，這項法則已顛倒過來。如果首席信息安全官未能與企業領導層合作，闡述企業能夠理解的計劃，且能夠有條理地提出想法以影響整體業務行動，則根本無法取得成功。6美國證券交易委員會（SEC），SEC出臺上市公司網絡安全風險管理、策略、治理和網絡安全風險事件披露規則，2023年7月26日。7歐洲議會，NIS

32、 2 Directive：歐盟范圍內高度共同的網絡安全措施指令，2023年8月2日。除了這些軟技能以外，安全領導者還應考慮利用網絡風險量化的方法，來更有效地管理整體風險敞口。這將有助于更好地進行溝通，并闡明相關財務風險，以及企業應在哪些領域應優先進行網絡安全投資。安全團隊必須意識到，自己主要是與非技術領域的同事進行溝通，幫助他們了解相關風險并采取相應行動。如果首席信息安全官希望避免自己被視為支持人員，則必須適應新的“80/20”法則，將溝通、建立信任、解決問題和沖突管理等的重要性與確保高效的運營中心等同視之。2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業

33、咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢11將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界實現供應鏈安全現代化謹慎挖掘人工智能潛力通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡安全戰略滿足客戶期望，贏得更多信任KPMG global tech report 2023（畢馬威2023年全球技術報告）了解領導層如何自信從容應對不確定性，把握機遇創造價值。The future of IT（信息技術未來展望）探

34、索信息技術職能發展戰略，幫助企業做好準備迎接云計算和人工智能時代的蓬勃發展。KPMG 2023 CEO Outlook（畢馬威2023年全球首席執行官展望）全球超過1,300名首席執行官分享了他們對地緣政治學、辦公室辦公、ESG以及生成式人工智能的看法。措施建議為董事會提供全新視角，使其了解可能會阻礙業務運營的因素，以及應該如何在不影響業務運營和客戶體驗的情況下管理此類風險。像管理企業一樣去管理網絡安全團隊，即管理者應在一定程度上放松對企業其他部門安全工作的控制。安全團隊應確定將安全任務嵌入業務流程的方式和環節，而不是外包給第三方服務提供商，同時安全團隊應監控安全任務確保安全任務的正確執行。參

35、閱以下報告了解詳情2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢12將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界實現供應鏈安全現代化謹慎挖掘人工智能潛力通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡安全戰略滿足客戶期望，贏得更多信任安全專家面臨的最大問題是如何在確保符合監管機構相關要求的同時，在企業賦能和企業價值之間取得適

36、當的平衡。Orson Orson LucasLucas合伙人網絡安全畢馬威美國聚焦事項三應對日益模糊的全球邊界2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢13滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界世界各地的企業正在日趨復雜的網絡和隱私監管環境中開展業務。國家利益的不斷演變，對信息主權、供應鏈安全、網絡控制合規透明度、事件報告以及隱私等方面

37、提出了多樣化的監管要求。企業需要適應日益“無國界”化的世界，在調整其監管寶貝要求的同時也需要維持符合當地監管要求的安全控制措施。各企業應做好充分準備，以迅速應對不斷變化的地緣政治形勢以及各種不同的制裁規定。實現供應鏈安全現代化謹慎挖掘人工智能潛力通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡安全戰略全球企業概況：網絡和隱私目標相同，實現措施各異多年來，全球監管環境一直極為脫節。盡管在過去幾年中，部分市場優先采取了積極的監管措施，但其他許多市場并未同步跟進。因此，企業不得不面臨抉擇，是根據不同市場的具體情況實施更高級別的治理、流程和控制措施，還是

38、將新出臺的監管規定視作未來趨勢的風向標，并對成熟、自動化和主動的隱私及安全計劃進行投資。盡管有些企業選擇了后者，但許多企業卻因為預算、資源和其他業務優先級而選擇了前者。然而，這種情況正在慢慢發生變化。歐洲、中國和美國等市場正就此定下基調，許多其他市場亦紛紛效仿。隨著安全、隱私和人工智能領域出現了若干監管模式和原則，為各龍頭企業提供了機遇，使其能夠在本地和全球范圍內基于原則攜手積極主動地保護和管理敏感信息。理想情況下，這將在全球范圍內形成統一的隱私和安全計劃，并兼顧特定市場在監管規定和當地實踐上的細微差別。然而，對于真正的全球化企業而言，實現這一愿景仍需克服許多挑戰。例如，在考慮數據本地化和數據

39、傳輸時，需切實了解內部以及與第三方業務和供應鏈合作伙伴之間的數據清單和數據流轉/數據傳輸情況。通常情況下，企業有多種途徑可供選擇，但無論選擇哪種途徑，都必須進行大量的規劃和意向設定，以確保高效、低成本以及合規地開展實施。隨著當今世界網絡犯罪的意圖和手段變得愈發險惡及復雜，客戶、企業和監管機構都應采取更為全面的方法管理數據及保護信息。Henry Henry ShekShek 石浩然石浩然合伙人網絡安全畢馬威中國從業務角度考慮，無論位于哪個司法管轄區以及總部位于何處，企業都需要通過全球客戶以及全球業務擴展規模。對于安全人員而言，面臨的最大問題是如何既能符合監管機構相關要求，又能在企業賦能和企業價值

40、之間取得適當的平衡。這對于首席信息安全官、首席流程官（CPO）及其團隊而言是一項挑戰。監管要求不斷變化，全球企業面臨各種合規挑戰鑒于規定的不斷變化發展，企業應謹慎應對。隨著客戶關系管理和市場營銷技術（MarTech）工具的日趨成熟，企業紛紛借助數據提供給業務的洞察力和投資回報率（ROI）來實現數據價值。全球多個司法管轄區的監管機構均已出臺了具有針對性的隱私規則，并要求首席信息安全官、首席市場官、首席數字官和首席流程官確保自身企業已建立了健全的第二道防線，以應對和遵守當前已出臺的和計劃實施的監管合規要求。在監管處罰層面，許多國家和地區對侵犯隱私的行為實施了嚴厲的經濟處罰，情節嚴重的將面臨吊銷其營

41、業執照。在隱私處理方面，原本“各自為政”的狀況正在迅速消失。隨著監管機構關注焦點的演變，在數據買賣、同意及偏好管理、數據倫理以及負責任地使用人工智能等領域，利益相關者和各業務職能之間的障礙正逐漸被打破，并促使董事會和高管層從目的出發，審視如何確保監管合規并贏得消費者信任。而消費者的信任正是龍頭企業在尋求與消費者建立、維系和增進關系時展現自身與眾不同之道。2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。202

42、4網絡安全重要趨勢14應對日益模糊的全球邊界滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業實現供應鏈安全現代化謹慎挖掘人工智能潛力通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡安全戰略地緣政治發展要求企業具備相應的響應速度以及適用能力在當前環境下，企業在某個市場所使用的工具和技術可能無法用于其他市場，因此在多地開展業務頗具挑戰。例如，部分企業可能會因為供應商決定不在部分國家或地區市場提供某些工具而受到影響。這種情況既是供應鏈問題，也是企業運營韌性問題，可能會嚴重影響企業的生產力。如何最有效地應對日趨復雜的全球業務環境，以確保企業具備

43、彈性以及業務連續性是企業必須仔細考慮的一個核心問題。要應對隱私和數據方面的挑戰，企業就必須制定具體明確的治理計劃，在存在嚴格制裁制度的司法管轄區開展業務時，此類治理計劃可以協助企業迅速滿足最低成熟度水平要求。中國所采用的監管條例不同于歐盟，而歐盟所采用的相關監管條例亦有別于世界其他地區。這些監管條例在適用范圍、個人信息定義、信息收集限制、問責規則以及基本法律框架等方面均存在差異。若不具備基于相關原則合理制定的企業愿景、戰略、治理和策略計劃，企業將面臨越來越多的創新挑戰，或面臨發展落后的風險。企業的政治化及其對安全的影響則是另一項需要關注的動態。例如，在美國，部分企業具有明顯的政治傾向，這種情況

44、有時是由其領導層內部的價值觀所導致，但更多的是為了迎合其目標客戶群體。俄烏沖突爆發后，那些繼續在俄羅斯運營或開展業務的企業紛紛遭受制裁，使此類問題變得廣為人知。從安全和信息技術的角度來看，分段或微分段的概念具有啟發意義，即公司可以通過細粒度的訪問控制策略來管理數據中心或云環境，并限制橫向擴散的威脅。具備網絡控制權限的企業可以使用分段模型，并設置防火墻作出隔離。我們發現，已采用分段模型的企業在必要時更能迅速且有效地切斷其相關地區業務。全球化企業應通過不同的視角來審視各國的司法管轄情況。例如，當企業為在歐洲以外的歐盟公民提供相關 服 務 時，則 應 遵 守 通 用 數 據 保 護 條 例（GDPR

45、）。一般而言，企業需要清楚了解其業務所在地、開展業務所依賴的對象（即供應商）、提供產品和服務的市場、以及法人實體的注冊地點。2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢15應對日益模糊的全球邊界滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業實現供應鏈安全現代化謹慎挖掘人工智能潛力通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年

46、度網絡安全戰略參閱以下報告了解詳情措施建議持續關注全球監管環境變化，尤其是對司法管轄區的相關細化規則進行深入了解。了解企業內關鍵數據（包括結構化和非結構化數據）的存儲位置，以及與第三方合作伙伴共享的數據存儲位置。提高企業透明度，從而在全球供應鏈中贏得信任；不應僅僅將第三方、第四方甚至第五方供應商關系視為交易及合作關系（盡管事實確實如此），而應將其視為企業生態體系的延伸。這四個主權概念之間的相互作用，形成了復雜的監管局面，而靈活的、以相關政策為基準的營運方式則能使企業最為有效地去應對這樣的局面。另一項考慮因素則是冗余性。例如，一家企業將其整個呼叫中心業務設立在某個由于某種原因而受限的司法管轄區內

47、，且在該地的所有業務均都需要關閉。這種情況下，這個業務怎么辦？當企業需要暫停某地的業務以應對當前的地緣政治挑戰時，企業在業務、安全和冗余性方面做好一定程度的準備可以幫助企業減輕在此過程中企業面臨更廣泛的業務風險。歸根到底，首席信息安全官及其團隊應始終保持企業韌性和預防視角。這有助于企業在下一次“黑天鵝”事件之前保持領先，并鞏固企業迅速地做出“應急”決策的能力，而不是被迫匆忙拼湊一個戰略性的局部化網絡策略。The hostilelimelight（沖突聚焦）從地緣政治展望網絡安全未來。Privacy risk Study 2023（畢馬威2023年隱私風險研究）應對不斷變化的隱私風險挑戰。Glo

48、bal Economic Outlook（全球經濟展望）2023年下半年畢馬威國際全球經濟展望。2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢16應對日益模糊的應對日益模糊的全球邊界全球邊界滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業實現供應鏈安全現代化謹慎挖掘人工智能潛力通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡

49、安全戰略盡管面臨各種挑戰和重點工作之爭，但不應使保障供應商及合作伙伴業務生態體系安全成為制約因素，而應將其作為業務的推動因素。這方面并無任何捷徑可走。這也突顯出現代化的迫切需求，即如何在不影響質量的前提下，更快、更高效地利用最少的資源實現目標。這將是基于風險的思維方式與智能自動化驅動的數據驅動方法相結合后可以產生切實影響的地方。MitushiMitushiPittiPitti執行總監網絡安全畢馬威美國聚焦事項四2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所

50、全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢17滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界謹慎挖掘人工智能潛力通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡安全戰略實現供應鏈安全現代化實現供應鏈安全現代化許多企業當前對第三方和供應鏈安全的處理方法有悖于當今復雜且相互依賴的合作伙伴生態體系。傳統模式是圍繞第三方依據交易提供服務的假設建立的，這并不能反應當今復雜的應用編程接口（API）網絡和依賴復雜的“軟件即服務”依賴關系所束縛的流程。建議企業應建立更多的戰略供應商合作伙伴關系，

51、同時應重點關注供應商持續監控和管理供應商不斷變化的風險狀況，以增強企業運營韌性。不斷變化的供應鏈格局正在影響傳統的安全模式一直以來，第三方安全模型通常側重于時間點評估。對經常使用的供應商軟件組件開展持續監控和盤點，可以幫助首席信息安全官更好地了解供應商的安全架構并識別潛在風險?？紤]到這一動態因素，首席信息安全官應制定更現代化的標準，以實現實時隔絕風險的目的。為實現這一目標，首席信息安全官及其團隊可能面臨下列三大挑戰：可見性長期以來，企業面臨著無法顧及其整個供應商群體的問題。大型企業可能擁有成千上萬家供應商，而采用傳統方法往往無法準確地評估這些供應商的活動。此類情況下通常需要大量的安全人員開展評

52、估工作，這是人力不可為的，而且這可能要花費數千萬美元，在后勤保障和預算方面都是不現實的?？蓴U展性除了了解供應商群體的風險狀況外，擴展能力使企業能夠應對環境不斷發展變化所帶來的挑戰。從新技術和流程帶來的風險到供應商違反企業安全協議的可能性等風險，第三方環境始終是一個不斷變化的威脅向量。第三方合作伙伴不斷變化的風險狀況老的交易模式并不具備相關機制以跟蹤關系的變化以及由此可能產生的新的漏洞。因此，根據供應商的成熟度，企業需要采取更多行動（實行月度審查），或采取更少行動（允許供應商有更多的自主權，并開展季度審查），以確保這些關系的高效運作，并遵循所有監管合規要求。2024()()畢馬威華振會計師事務所

53、 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢18滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界謹慎挖掘人工智能潛力通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡安全戰略實現供應鏈安全現代化ElizabethElizabethHuthmanHuthman總監網絡安全畢馬威英國隨著技術的日新月異以及客戶要求的不斷提高，各個企業都在不斷尋求

54、創新。當然，第三方和第四方供應商以及網絡犯罪分子也同樣如此。例如，許多供應商正在部署人工智能，用以改進流程及提升任務效率。不過，盡管人工智能功能強大，但同時也帶來了各種潛在的新風險，包括數據完整性、統計有效性和模型準確性以及透明度和可靠性問題等。在企業層面及第三方合作伙伴層面，機器模擬人類思維的功能必須得到安全和負責任的使用。在整個供應鏈體系中推斷此類風險是首席信息安全官及其團隊需要監控的新威脅。盡管面臨各種挑戰和重點工作之爭，但不應使保障供應商及合作伙伴業務生態體系安全成為制約因素，而應作為業務的推動因素。這也突顯出現代化的迫切需求，即如何在不影響質量的前提下，更快、更高效地利用最少的資源實

55、現目標。這將是基于風險的思維方式與智能自動化驅動的數據驅動方法相結合后可以產生切實影響的地方。政府的職責強監管企業必須與監管要求的變化保持同步，且在與沒有相同監管約束的供應商合作時，必須設法促使這些供應商采取適當的安全控制措施。這是企業當前正面臨的持續性挑戰。另外，企業也正探索相關監管條例將在哪些領域幫助推動第三方提升整體的安全性。人工智能帶來了各種潛在風險，包括數據完整性、統計有效性和模型準確性以及透明度和可靠性問題等。在企業層面及第三方合作伙伴層面，機器模擬人類思維的功能必須得到安全和負責任的使用。在整個供應鏈體系中推斷此類風險是首席信息安全官及其團隊需要監控的新威脅。最近，美國證券交易委

56、員會（SEC）圍繞網絡安全所制定的規則對第三方作出了相關規定。監管機構已經意識到這是所有企業最關心的問題也是一個日益嚴峻的挑戰。監管機構的助推有助于促使安全成熟度不足的供應商更好地參與網絡安全體系建設并助力網絡安全態勢。同樣，歐盟修訂后的網絡與信息系統安全指令（NIS-2）強調企業應積極主動管理第三方所帶來的風險。此外，數字運營彈性法案（DORA），旨在有效監控第三方信息和通信技術提供商所帶來的風險以及更好地處理供應鏈安全問題。監管機構通過數字運營彈性法案來識別對整個供應商生態體系韌性至關重要的第三方。這些企業可能并未直接受到監管，但由于他們被識別為供應商生態體系的重要供應商，因此受監管的實體

57、也必須將監管要求傳遞至此類第三方。協作式情報共享：新興且有價值的戰略實際上，企業與供應商之間的信息共享可能仍需數年時間的演進，但可以想象的是，企業與供應商之間的信息共享有助于鞏固最佳實踐并增強供應鏈關系。隨著惡意者帶來的威脅呈指數級增長，各行各業的企業，尤其是關鍵基礎設施領域的企業，須在威脅和風險情報方面進行更多的共享，包括內部共享、與市場共享以及與供應商和合作伙伴共享。2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。

58、在中國印刷。2024網絡安全重要趨勢19滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界謹慎挖掘人工智能潛力通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡安全戰略實現供應鏈安全現代化Staying ahead of cyber risk in the supply chain（防范供應鏈中的網絡風險）面對錯綜復雜的全球供應商網絡，以及越來越多的威脅途徑，了解和預防網絡風險必須成為企業的一大要務。The future of supply chain（供應鏈未來展望）從ESG到機器人，再到元宇宙，供應鏈領導企業面臨全

59、新挑戰。Supply chain trends 2024:The digital shake-up（畢馬威2024年供應鏈趨勢：數字化變革）隨著數字化機遇席卷供應鏈領域，準備度和洞察力將成為取得成功的關鍵要素。參閱以下報告了解詳情措施建議采用基于風險的方法來評估第三方流程，而非對提供不同服務的不同供應商采取“一刀切”的管理方式。利用智能自動化技術來提高對不斷變化的供應商風險狀況的可見性，并針對第三方建立可持續且可擴展的前瞻性計劃。建議在企業內部以及可信賴的第三方進行情報共享。各企業應打破各自為政的思維模式，并鼓勵業務利益相關者采購部門、法律部門、業務部門、風險部門以及第三方等加強溝通與合作。協

60、作和信息共享亦有助于企業管理供應商集中風險。這是供應鏈擴展（第三方、第四方和第五方）的主要考慮因素，因為在供應鏈中，多個企業均依賴于相同的供應商。在這種情況下，企業應在某些競爭方面維持保密性的同時，相互聯合行動，以確保第三方不會成為整個生態體系的薄弱環節。許多企業不愿意開展這種形式的協作?？紤]到這一現實情況，歐盟網絡安全局（ENISA）信息共享和分析中心（ISAC）以及美國網絡安全和基礎設施安全局（CISA）已牽頭開展各種集中式項目，對各種威脅及漏洞相關的信息進行收集和快速發布。協作和信息共享不僅僅關系到供應商能否訪問客戶或企業的敏感數據。假設某供應商對企業維持運營韌性至關重要，即該供應商影響

61、著企業生產和分銷產品的能力，但從安全角度來看，供應商安全成熟度不足。在這種情況下，企業必須采取措施提高供應商的安全性，或者可能需要做出艱難的決定去尋求其他替代合作伙伴。通過建立基于風險意識和安全的企業文化，以防任何個人或流程不會成為企業的薄弱環節或業務障礙。這種思想應貫穿企業的方方面面，其中亦包括第三方附屬機構。2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢20實現供應鏈安全現代化

62、謹慎挖掘人工智能潛力通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡安全戰略滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界數據通常是安全領域的關鍵項，尤其是在隱私保護領域。人工智能行業需要世界各地政府機構作出相應協調，各國家對于該行業不同的立法（某些國家的立法較其他國家更為嚴格）將會阻礙該行業的創新。人工智能需要在創新需求與有效監管指引及限制之間取得平衡。Sylvia Sylvia Klasovec Kingsmill Klasovec Kingsmill 隱私解決方案全球主管畢馬威國際/畢馬威加拿大合伙人聚焦事

63、項五2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢21通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡安全戰略謹慎挖掘人工智能潛力實現供應鏈安全現代化滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界謹慎挖掘人工智能潛力通過審慎規劃和實施，人工智能將改變完成工作的方式、時間以及交付形式。當前所討論的話題均

64、圍繞著生成式人工智能，但人工智能的許多其他分支（從機器人到機器學習）均在持續重塑各項業務。精確衡量人工智能技術固有的安全行、隱私行和倫理行影響并非易事，各企業正致力于建立框架為實施人工智能提供所需的風險管理和治理。人工智能當前的發展道路：監管限制措施有限，但機遇無所不在企業對業務營收的擔憂，以及在員工和客戶，乃至整個社會之間建立信任的必要性，引起了一場關于如何以負責任、透明和誠信的方式控制及部署人工智能的廣泛倫理辯論。為此，該領域的監管力度正不斷加強。公共和私營機構必須攜手合作，在創新和發展過程中提供切實可行的解決方案，以確保從源頭將安全和隱私納入其中。由于各種警示性新聞報道、缺乏監管限制措施

65、以及缺乏全球通用的人工智能標準，市場對于創新存在一定程度的擔憂。然而，在人們對此感到不安的同時，也同樣對人工智能推動創新的潛力充滿期待。即便是地方性的關于人工智能模型和算法的管理、部署和立法方式的規范要求目前仍不清晰。一些國家和地區交其他國家和地區在此領域建樹更深。企業應保持對建立和維護信任所需的關鍵基本要素的認識，同時也要留意相關監管法規的發展趨勢。這將在很大程度上減少企業未來合規遵從所需的資源投入。雖然我們鼓勵各企業適用人工智能開展工作，但與此同時，企業應確保充分了解人工智能的復雜性，以及如何有效降低模型的風險。隨著市場的不斷發展，給予全球監管機構和立法機構充裕的時間為人工智能的發展制定適

66、當的指導方針非常重要。歐盟出臺的人工智能法案作為典型代表，具有里程碑意義，該項法案將在人工智能領域做出與歐盟通用數據保護條例（GDPR）在隱私保護方面相類似的貢獻，并為該領域的蓬勃發展鋪平道路。盡管在人工智能領域缺乏相關法律法規是一項明顯的發展障礙，但現有的隱私法規具有類似的規范性要求，可以且應該適用于新的人工智能算法?，F行法律法規已將諸如告知、同意、可解釋性、透明性和損害風險等隱私因素納入其中。為了保持市場競爭力，首席信息安全官應與首席數據官及數據保護官攜手合作，為各項依賴于人工智能的業務目標保駕護航，并確保企業可以有效且負責任地利用這項顛覆性技術。與此同時，他們也需要對那些可能已運行一段時

67、間但基本未受監控的流程實施充分的治理和控制。這種實施與治理之間的平衡是成功應用人工智能的關鍵所在。在人工智能創新與安全及隱私問題間取得平衡所面臨的主要挑戰為了促進人工智能的應用，企業必須做出關鍵選擇，此過程將影響公司的決策，如創建內部模型還是依靠第三方。首席信息安全官和其他高層領導者及其團隊需為各項依賴于人工智能的業務目標提供支持，并確定如何有效且負責任地利用這項革新的技術。與此同時，他們亦需要對那些可能在一段時間內基本未具備監督措施的流程進行充分的治理和控制。這種實施與治理之間的協調一致正是成功應用的關鍵所在。Katie Katie Boswell Boswell 總監網絡安全服務畢馬威美國

68、雖然其中一種可能具有更少的不確定性，但事實上，這兩者均存在固有風險，企業必須意識到并有效的管理這些風險。各企業必須了解與透明度、問責制、公平性、隱私和安全有關的保障措施，為創新和實施奠定基石。例如，在負責任的發展方面，企業可以向在人工智能發展領域中走在前沿的大型技術公司及司法管轄區尋求指導。從隱私和安全的角度來看，許多企業在某種意義上處于被動跟隨狀態。隨著眾多企業全速推進人工智能的應用，首席信息安全官和首席產品官必須緊隨其后，并確保必要的控制措施得以落實。開始便建立和維系人工智能解決方案的可信度，對于品牌和業務目標實現能力至關重要。2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制

69、會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢22通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡安全戰略謹慎挖掘人工智能潛力實現供應鏈安全現代化滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界這就需要跨職能部門的合作，特別是從資金的角度來看。為了徹底把握和尋求創新機遇，企業應制定統一的戰略，在安全、隱私、數據科學和法律層面達成一致。最近，美國政府借鑒歐盟所出臺的

70、人工智能法案，發布了一項“關于安全、可靠和可信的人工智能”的行政命令，明確了人工智能安全和保障的要求，該行政命令中包括了人工智能的安全保障、隱私、公平和公民權利以及創新和競爭等。8在快速推進人工智能創新與實施健全的隱私和安全措施之間取得平衡數據通常是安全領域的關鍵項，尤其是在隱私保護領域。人工智能行業需要世界各地政府機構作出相應協調，各國家對于該行業不同的立法（某些國家的立法較其他國家更為嚴格）將會阻礙該行業的創新。人工智能需要在創新需求與有效監管指引及限制之間取得平衡。這不僅是一種文化的轉變，也是一場技術的轉變，而變革管理則是取得成功的關鍵要素。為了將隱私和安全設計思維與人工智能及其他新興技

71、術相結合，管理這些技術的專業人員（不僅僅是技術）必須培養以隱私和安全為第一優先級的思維方式。如果企業從一開始便考慮到隱私和安全，它們就會自然而然地被納入其運營模式當中。如果全球都堅持采用人工智能來滿足各種創新需求，那么人工智能最終將像云計算一樣成為業務常態。不久前，遷移到云端是一項艱巨的任務。如今，已經成為企業常規業務實踐的一部分沒有哪項安全領域不涉及云元素。我們認為這也可能是人工智能的發展趨勢，“人工智能安全”這個概念將不復存在，因為它將成為整體安全的一部分。8Whitehouse.gov，白宮新聞簡報室，總統行政行動，“關于安全、可靠和值得信賴地開發和使用人工智能的行政命令”，2023年1

72、0月30日。2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢23通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡安全戰略謹慎挖掘人工智能潛力實現供應鏈安全現代化滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界Privacy in the new world ofAI（人工智能新世界中的隱私問題）如何通過隱

73、私保護建立對人工智能的信任。KPMG generative AI surveyreport:Cybersecurity（畢馬威生成式人工智能調查報告：網絡安全）畢馬威獨家調查報告，揭示了人工智能這一卓越技術具有巨大潛力的四個領域。Generative AI models the risks and potential rewards in business（生成式人工智能模型對業務的風險和收益）ChatGPT、DALLE 2、Bard等人工智能的崛起對企業的意義。措施建議將人工智能框架與企業戰略保持一致，通過調整企業內部各業務領導者的工作優先級，并與在人工智能領域中取得成果的業務部門開展跨職能

74、協助，以開展人工智能治理。了解歐盟出臺的人工智能法案以及拜登政府頒布的關于“安全、可靠和可信的人工智能”的行政命令中的相關規定。確保人工智能算法的目的（無論是企業內部開發還是外部開發）被明的確定義和記錄，且人工智能算法的目的與業務目標相匹配，人工智能算法僅適用相關的訓練數據，人工智能算法獲取相應的同意。參閱以下報告了解詳情2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢24謹慎挖掘人

75、工智能潛力通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡安全戰略實現供應鏈安全現代化滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界由多個掃描程序源識別的安全漏洞大量涌現。當務之急是關聯并識別真正的威脅，并進行溯源發現問題的根本原因。此舉有助于首席信息安全官和治理團隊獲得企業的風險視圖，并揭示在哪些領域需要更多具備專業技能的人員。自動化則能幫助安全團隊明確工作的優先級。Pratiksha Pratiksha DoshiDoshi合伙人網絡安全畢馬威印度聚焦事項六2024()()畢馬威華振會計師事務所 特殊普通合伙

76、中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢25以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡安全戰略通過自動化增強安全性謹慎挖掘人工智能潛力實現供應鏈安全現代化滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界通過自動化增強安全性越來越多的企業將系統遷移至云端，導致需要保護的數據量急劇增加，而且越來越多的人通過個人設備遠程辦公并訪問公司網絡。因此，網絡攻擊面正在不斷擴大

77、，隨之而來的是首席信息安全官需要對驟增的警報、誤報和分流事件進行處理。安全運營中心（SOC）中存在大量的誤報，而且沒有足夠的人員或可視化界面來處理這些信息。首席信息安全官(CISO)如何持續不斷地發現威脅，并且確保安全運營中心沒有遺漏任何信息？安全運營中心必須迅速收集、關聯和升級需要應對的告警。實現此目的，唯一可行的方法就是自動化。當前實施安全自動化的原因數字化正以驚人的速度蓬勃發展。與此同時，由于企業必須采用和掌握的新興數字技術激增，促使許多企業將自身視作科技企業，而忽視了自身的核心業務。例如，金融機構目前在客戶互動方面已幾乎完全實現數字化，許多醫療服務提供商也已使用遠程醫療技術、人工智能驅

78、動的醫療設備以及基于區塊鏈的記錄存儲技術。隨著企業的數字化轉型，安全團隊必須對其流程進行自動化和升級，以跟上發展的步伐。事實上，惡意攻擊者也在使用這些新技術，導致威脅正變得越發復雜。而且，惡意攻擊者不僅試圖訪問網絡環境，還利用人工智能技術實施各種欺詐行為。網絡犯罪分子正使用深度偽造技術（經過處理以模仿他人面部、聲音或動作的合成媒體文件）來與呼叫中心聯系，并實施更具迷惑性的網絡釣魚。首席信息安全官必須像潛在攻擊者一樣老練，才能從紛繁復雜的信息中快速識別合法事件，而最有效的方法就是在安全運營中心中采用自動化和人工智能技術。通過將日志管理、威脅掃描和訪問控制等簡單的安全功能進行自動化，使安全團隊能夠

79、更迅速、更高效地進行響應。不同行業的許多企業都已成功實現安全職能的自動化，并通過將例行、重復但至關重要的任務自動化來釋放勞動力。許多具有資深經驗的專業人士以往所開展的工作（如：漏洞掃描、日志分析和合規檢查）均可以標準化的方式自動執行。首席信息安全官及其安全團隊可實施自動化，通過收集現實世界的證據來驗證控制措施運行的有效性。這將簡化企業第一道、第二道和第三道防線的風險管理和治理。Angela Angela Leggett Leggett 執行總監網絡安全畢馬威美國自動化正不斷改變整體安全格局安全自動化已經成為每個網絡安全能力的關鍵工具，首先是自動化預防工具。自動更新及執行預先設定的程序在組織面臨

80、惡意攻擊者擴大規模和加速攻擊時，對于確保組織主權防御的彈性和可靠性具有至關重要的作用。此外，自動化也能協助確保第三方生態體系的安全，評估各項漏洞并發現供應商生態體系中的薄弱環節。在檢測和響應方面，自動化技術能有效幫助首席信息安全官實現一定程度的自助服務安全性，這對完成評估和測試并將結果應用于生產網絡中非常重要。這種做法大大減少了企業所需的勞動力。此外，如果企業已將特定IP地址列入黑名單，則無需人為干預便可自動進行工單分析。惡意攻擊者會利用自動化技術來擴大攻擊規模和加快攻擊速度。抵御這些自動化攻擊最有效的方法是采用自動化檢測和響應措施。在發生違規事件時，自動監控流程能夠近乎實時地識別出安全問題，

81、并通過更改訪問策略規則或者隔離可疑設備或用戶等方式進行補救。2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢26以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡安全戰略通過自動化增強安全性謹慎挖掘人工智能潛力實現供應鏈安全現代化滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界一些安全團隊通過自動化措施收集數字取證證據，并驗證

82、控制措施是否按相關規定運行，從而簡化了企業第一道、第二道和第三道防線的風險管理和治理。監管合規則是自動化價值體現的另一種典型案例。例如，美國證券交易委員會（SEC）在2023年7月采納了針對上市公司的網絡安全風險管理、策略和治理規范。根據此規范，重大安全事故必須在四個工作日內進行報告。為遵循此項要求，企業必須對安全事故進行檢測，評估安全事故的嚴重程度，并提交6-K文件。建立能自動生成并提交該文件的工作流程，對企業開展合規工作具有實用價值。9對于全球性企業而言，這不僅限于提交6-K表格。企業必須以不同格式、在不同時限內（有時甚至是在幾個小時內）滿足一系列的監管報告要求。對這些相關流程實施自動化則

83、可能決定了企業能否滿足合規性要求。自動化技術對安全團隊及業務在人員和技能方面的影響自動化技術增強了企業的安全流程，并使首席信息安全官能夠優先考慮人力部署的最佳領域。由多個掃描程序源識別的安全漏洞大量涌現。當務之急是關聯并識別真正的威脅，并進行溯源發現問題的根本原因。此舉有助于首席信息安全官和治理團隊獲得企業的風險視圖，并揭示在哪些領域需要更多具備專業技能的人員。自動化則能幫助安全團隊明確工作的優先級。顯然，安全團隊的工作將發生改變。人們將愈發關注涉及威脅評估、意識培訓和業務協調等更具戰略性的問題，而非執行可以由人工智能或預測分析引擎完成的重復性任務。這項工作需要相關人員具備新的技能。例如，首席

84、信息安全官及其團隊必須著手探究大型語言模型的工作原理，訓練方法和編程方法等。此外，還需要了解并熟練掌握與云技術、物聯網和人工智能相關的安全概念。9 SEC.gov，SEC出臺上市公司網絡安全風險管理、策略、治理和網絡安全風險事件披露規則，2023年7月26日。2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢27以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網

85、絡安全戰略通過自動化增強安全性謹慎挖掘人工智能潛力實現供應鏈安全現代化滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界Empoweringsecurity（增強安全性）通過安全編排和自動化響應，為未來保駕護航。Building trust in cloudenvironments（在云環境中建立信任）2023年畢馬威云轉型調查Mastering a multi-cloudenvironment（掌握多云環境）云端能力的演進。參閱以下報告了解詳情措施建議制定企業自動化的初始愿景和戰略。明確企業的短期和長期安全目標，確保其與企業的業務優先級保持一致，并確定這些目標所

86、需的安全保護類型。確定應自建或需要采購的工具，了解供應鏈合作伙伴如何通過自動化技術提高企業間的信任度，并在適當的情況下運用此類經驗。識別企業可集中訪問的數據，并制定自動化的持續控制監測計劃，以提高企業三道防線的效率。2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢28通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡安全戰略謹慎挖掘人工智

87、能潛力實現供應鏈安全現代化滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界隨著身份保障措施水平的提高，我們逐漸開始看到向聯合式身份模型發展的趨勢，這意味著，在不同領域需使用不同數字身份確保安全性的情況會逐步減少。MarkoMarkoVogelVogel合伙人網絡安全畢馬威德國采用聯合式方法來改進傳統的身份識別模型在當前環境下，正確識別與企業有業務往來之人的身份是安全領導者們最為關心的問題，這也是一個不斷變化的目標。在過去的10到20年里，大部分企業均設計并實施了身份管理程序。安全專業人員的想法是：“如果自己實施這些管理程序，那么我就掌握了完全的控制權?！贝祟惿矸?/p>

88、管理程序一定程度上施加了控制措施，但這種做法會導致權限控制的割裂，并增加了需要管理的身份的數量。從客戶的角度來看，他們最終會擁有數十個或數百個與不同業務一一對應的身份。如今，B2C和B2B業務安全性之間的界線已逐漸變得模糊。雖然B2B用戶訪問的網絡資源通常比B2C更多，但是這些用戶都屬于外部用戶，這就使得企業在許多情況下會將兩者進行合并以進行身份管理。隨著業務模式的不斷擴大，企業已不能割裂地看待身份問題，而應從整體角度出發。這推動了身份模型的發展，使供應商和終端客戶可以靈活地與多個部門開展互動，而不必每次都要經歷復雜的身份驗證流程。消費者應對自身的數字身份具有控制權，使其數字身份能夠在消費者和

89、員工之間互相轉換。聚焦事項七2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢29使網絡安全與業務韌性保持一致2024年度網絡安全戰略以個體而非機構的維度進行身份管理謹慎挖掘人工智能潛力通過自動化增強安全性實現供應鏈安全現代化滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界以個體而非機構的維度進行身份管理與消費者互動的企業都會為消費者分配唯一的數字身份，

90、如用戶名和密碼不同一樣，數字身份的驗證方法也不相同。從網絡安全的角度來看，身份識別模型正在不斷發生演變。大多數身份和訪問管理（IAM）模型最初是為單個企業管理數字身份和用戶訪問權限而設計的。許多IAM模型當前正被重新構建，以涵蓋聯合、私有、公共或多重云端計算環境所需的彈性。此舉將使個人用戶，無論是作為客戶還是員工，每次與新機構互動時，都無需再進行繁瑣、費時的身份驗證流程。近年來，許多知名科技企業和社會企業提供的網絡保障措施水平均有所提升，數字身份在整個數字商務生態系統中得到了廣泛應用。隨著人們對數字身份信任度的提高，我們逐漸開始看到向聯合式身份模型發展的趨勢，這意味著，在不同領域需使用不同數字

91、身份確保安全性的情況會逐步減少。身份識別模型發展到以具備高保障水平的數字身份作為標準時，將使企業減少收集、存儲和處理個人身份信息（PII），這對消費者而言無疑是一件好事。值得一提的是，區塊鏈在身份管理方面所體現的價值。分布式賬本系統正越來越多地被用于開發有效的聯合式身份模型。企業將安全基礎設施與區塊鏈技術相結合，并通過可視性、可驗證同意、加密及審計跟蹤來獲取信任。企業可將數據權限管理和訪問控制授予信息主體而非由第三方集中處理，這將有助其解決隱私和欺詐問題。數字身份的保障水平越高，就約具備便攜性。當數字身份具備高便捷性時，將會出現消費者整體登錄次數減少的趨勢 即數字身份的減少。最終，我們不僅需要

92、使數據身份具備便捷性預計到2026年，全球數字錢包的用戶將超過50億，較2022年的34億用戶增長50%以上10而且要確保數據身份具有防止篡改及可驗證的功能。這正是生物識別技術（使用唯一的生物、物理和行為特征作為標識）能夠發揮作用的領域。與此相關的一個考慮因素是，企業何時或是否可能會放棄使用密碼，這是因為密碼是所有身份識別系統的首要問題點之一。摒棄密碼模式，使用多樣化的身份驗證因素（設備、位置、生物特征、行為）進行安全身份驗證，似乎是一項頗有成效的舉措，尤其是在業務生態體系中。密碼模式的消失可能還需要數年時間才能實現，但我們正在朝著這個方向發展。深度偽造技術正在改變身份認證的格局深度偽造技術（

93、通過合成圖像、視頻或音頻文件，篡改和替換個人的面部、聲音或行為）帶來了切實的威脅，并伴隨著對財務、聲譽和服務方面的影響。首席信息安全官必須加快安全創新，跟上時代發展的步伐。隨著技術的快速發展，相較于25年前人們對網絡釣魚的擔憂，深度偽造技術帶來的威脅和擔憂正以更迅猛的速度蔓延。當下，惡意攻擊者正在尋找比個人消費者或公眾人物更大的攻擊目標。惡意攻擊者已利用最新技術，并將目標投向更有利可圖的目標企業、機構和國家而他們大多數尚未做好防范此類威脅的準備。問題的關鍵在于，能夠通過基于生物特征進行身份驗證的音視頻深度偽造技術是如何實現的。單從成本方面考慮，攻擊者需要不斷學習先進的技術，但隨著技術的普及，成

94、本也將逐漸降低。這將導致惡意攻擊者更容易利用深度偽造技術進行欺詐。防范深度偽造的一項關鍵問題是檢測深度偽造所需的資源（包括維持適當的計算能力、取證算法和審計流程，以及使用相關工具的人力資源）。首席信息安全官應與企業高層決策者達成一致，以確保相關資金預算與新出現的威脅相匹配，并確保軟件更新發布后能得到及時使用，以使最新的技術得到實施。11開發出一個數字身份具有高度保障的模型將使企業減少收集、存儲和處理更少的個人身份信息，這對消費者而言無疑是一個積極的結果。JimJim WilhelmWilhelm合伙人網絡安全畢馬威美國10Juniper Research,Digital Wallets:Mar

95、ket Forecasts,Key Opportunities andVendorAnalysis 20222026.（數字錢包：市場預測，關鍵機遇及供應商分析）2022年8月。11 畢馬威美國，“Deepfakes:Real threat,”（深度偽造技術：真正的威脅）2023年。2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢30使網絡安全與業務韌性保持一致2024年度網絡安全戰

96、略以個體而非機構的維度進行身份管理謹慎挖掘人工智能潛力通過自動化增強安全性實現供應鏈安全現代化滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界政府在新身份認證生態體系中的作用政府和企業機構正在身份驗證話題上共同發力。例如，某地政府正引入可信數字身份框架（TDIF）。該框架明確了身份認證服務提供商必須遵循的最低要求，供應商須通過并定期維護TDIF認證方可向客戶提供數字政府服務。此舉最終的目標則是為用戶提供一個便利的平臺，促進數字身份的可用性、安全性和私密性。重要的是，個人信息主體將能夠使用多個身份服務提供商來維護不同或統一的個人及企業數字身份。TDIF在保護個人信

97、息主體的數字身份的同時，賦予了個人信息主體選擇使用數字身份的類型、目的及使用時長的權利。但是，從成本效益角度出發，政府機構無法獨自承擔這項工作。此外，在當前環境下，企業機構似乎比政府機構更受信任。在某些國家，由于監管活動主要基于不同地區開展，因此導致背景更為復雜。但這種問題只是冰山一角，在數字身份的認同方面還引發了一系列新的思考。隨著跨境業務的普及，其數字憑證是否會被境外的監管機構接受呢？在公私合作方面，如果個人擁有與金融機構相關聯的數字身份以及政府頒發的數字憑證，那么他們在不同情況下應使用哪一種數字身份呢？此外，當個人信息主體出示政府頒發的數字身份時，是否應該強制其分享其中的所有信息？雖然金

98、融機構、醫療機構或執法官員可能需要了解某些詳細信息。但是，個人信息主體應對其個人信息的披露具有控制權。例如，個人信息主體應有權自主披露自己的公民身份、大學學位、專業資格/執照等，而不是被強制要求提供更多的個人信息。數字身份泄露風險應由誰來承擔，這是安全專家面臨的另一個關鍵問題。倘若某人的數字身份被泄露并被用于欺詐，那么是頒發人還是持有人需要對此負責？政府應根據數字身份的預期用途，對企業施加嚴格但可管理的監管措施。在這個問題上，監管規范和通用標準必須被制定，以確保數字身份的提供商能夠安全地協同運作。歐盟通用數據保護條例（GDPR）的基本原則之一，企業在特定場景下使用個人信息主體的個人信息時，必須

99、獲得個人信息主體的同意。密碼模式的消失可能還需要數年時間才能實現，但我們正在朝著這個方向發展。DannyDanny FlintFlint合伙人網絡安全畢馬威澳大利亞2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢31使網絡安全與業務韌性保持一致2024年度網絡安全戰略以個體而非機構的維度進行身份管理謹慎挖掘人工智能潛力通過自動化增強安全性實現供應鏈安全現代化滿足客戶期望，贏得更多信任

100、將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界Deepfakes rewrite the cybersecurityplaybook（深度偽造技術改寫網絡安全策略）弄虛作假不再僅僅局限于愚人節，而是正向身邊大大小小的事務蔓延，且很可能對危及企業的穩定性。Fake content is becoming a realproblem（虛假內容正逐漸發展成為切實的問題）先進的計算技術和人工智能的廣泛應用使得幾乎任何人都可以制作出高度逼真的虛假內容。How Identity and Access Managementcan enhance resilience andDORAcomplianc

101、e（身份和訪問管理如何增強企業彈性和DORA合規性）隨著新出臺的歐盟監管條例要求對安全問題保持警惕，強大的身份和訪問管理框架將成為企業運營不可或缺的重要工具。參閱以下報告了解詳情但是，如果企業將個人身份信息（PII）用于其他目的或出售，則必須重新征得個人信息主體的同意。這一基本要求應成為一項全球通用標準。同樣，歐盟數字身份，即歐盟公民和居民的個人數字錢包，使個人信息主體能夠自證身份或確認其個人信息。這一電子身份可被歐盟范圍內線上及線下的公共服務和私人服務所使用。12全球范圍內涉及身份的監管要求存在分散且不一致的現狀。在某種程度上，市場已經對不斷發生的數據泄露事件感到麻木。個人和機構客戶必須對他

102、們披露的敏感數據以及披露的地點保持警惕。首席信息安全官及其團隊在制定身份管理政策和策略時，應將客戶對負責任使用及數據保護的要求作為核心要素。措施建議保持相關身份識別方式的靈活性以適應不斷變化的監管環境，并確保企業的架構能夠以超出未來二至四年發展預測的速度將新興技術整合到安全流程中。探索更具靈活性和互操作性的身份系統，以促進聯合式身份生態體系的發展。在不斷發展的身份生態體系中，思考自身在當前和未來所承擔的角色，即身份/憑證頒發方，依賴方、和/或數字錢包提供商。12 歐盟委員會，“Digital Identity for all Europeans,”（適用于所有歐洲人民的數字身份），2021年。

103、2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢32以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡安全戰略謹慎挖掘人工智能潛力通過自動化增強安全性實現供應鏈安全現代化滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界使網絡安全與業務韌性保持一致當發生網絡安全事件時，企業應在幾分鐘或數小時內做出響應，而非數天或數周內作出響應。

104、在當今動蕩的環境中，業務韌性已成為能源、通信和交通等關鍵基礎設施行業中各企業的共同話題，企業高層著重關注如何在預防性控制措施失效后進行業務恢復。企業應將業務韌性與網絡安全無縫銜接，強調預防、檢測以及快速響應和恢復。網絡韌性對于企業維持業務運營能力、維系客戶信任和降低未知攻擊的影響至關重要。企業應在此領域共同發力，以管理相關風險。具備韌性意味著能夠更快速、全面地管理相關安全事件，并減少對業務的影響。而不是意味著可以杜絕類似事件的發生。首席信息安全官無法控制外部威脅，但卻可以把控企業的預防工作開展。DaniDaniMichauxMichauxEMA網絡安全主管畢馬威愛爾蘭合伙人聚焦事項八2024(

105、)()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢332024年度網絡安全戰略謹慎挖掘人工智能潛力通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致實現供應鏈安全現代化滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界發生安全事件后關鍵的是挽回信任當發生數據泄露或被勒索軟件攻擊事件時，信任作為企業的一項重要資產將最先受到影響。企業預防措

106、施越充分，其事件響應及事件恢復的效率就越塊。而事件響應及事件恢復的效率則是重新取得客戶信任和投資者（對于上市企業）信任的關鍵決定因素。當企業致力于獲取和挽回重要利益相關者的信任時，便會堅定地走上業務運營韌性的道路。在某些情況下，挽回信任需要做到快速恢復；而在其他情況下，則需要尋找所提供服務的替代方案。在任何情況下，企業都需要識別出容易被影響和/或已經受到影響的利益相關者，迅速處理他們的需求并最大限度減少其損失。全球各地的監管機構如今都更加強調業務韌性和信任。譬如，英國金融行為管理局于2021年頒布了相關規則，以確保該國金融服務業的重要業務服務在受到干擾時具備足夠的韌性。企業必須證明自身具備業務

107、連續性。這些監管規范要求的目的是避免因網絡安全事件而對消費者造成廣泛傷害并危及市場完整性。13任務重要性：提前規劃，專注重點各企業都有自身獨特的工作內容和工作方式，但從安全角度來看，在網絡安全事件發生前進行結構化、基于場景的桌面演練，以確保人員、流程和技術的一致性通常具有指導意義。場景規劃不應僅作為一項應付式的任務?；趫鼍暗难菥毧蓞f助企業明確在應對諸如勒索軟件攻擊等重大破壞性事件時所做的戰略選擇，并建立領導層管理、協調響應工作流程，最終幫助企業減少安全事件對客戶及客戶可信的影響。企業亦必須提前識別需盡快恢復運行的關鍵業務流程。網絡韌性是指應對和抵御網絡安全事件的能力，業務連續性則是指企業在事

108、件發生期間所遵循的運作程序。二者有所不同。韌性具有戰略性，而連續性則以流程為導向。因此，在遇到需進行業務恢復的情況前進行韌性演練所面臨的壓力，要比實際開展處置事項所面臨的壓力小得多，因為在實際開展處理恢復事項時，企業的多個業務領域可能仍處于恐慌狀態。持續評估企業網絡韌性是整體預防工作開展的基石，依據優先級開展演練對于維護網絡安全計劃的適用性至關重要，可為企業的響應和恢復措施提供詳盡的指引。惡意攻擊者會利用新的攻擊方式利用不同的攻擊向量給企業到來持續性的威脅。這種攻擊演變的情況正是首席信息安全官所必須考慮的現實問題。企業通過制定經審批的業務連續性計劃作為開展應急響應工作的出發點，比企業在遭受攻擊

109、時臨時組織開展相應工作更能有效。避免在應對不斷變化的威脅時存在自滿心態企業的基礎安全性正逐步提升。與此同時，業務和供應鏈格局也正在不斷演變，企業對信息技術、軟件和其他服務供應商網絡的依賴性日益增加，且企業也在嘗試諸如人工智能、Web 3.0和智能產品等新技術。而作為攻擊方，惡意攻擊者（無論是有組織/國家支持的，還是單獨行動的）也正變得愈發老練，惡意攻擊者不斷探尋新的載體，并通過盜用身份和深度偽造發起攻擊。如今的攻擊方式經已發生轉變，包括入侵供應鏈以及通過復雜的“犯罪即服務”生態系統實施的雙重或三重勒索軟件攻擊。14作為企業整體準備工作的主要環節以及優先開展的演練事項，持續評估企業的網絡彈性狀況

110、對于維持一個既滿足目的，又適合當前情況的網絡安全計劃而言至關重要，可為企業的響應和恢復措施提供詳盡的指引。JasonJasonHawardHaward-GrauGrau畢馬威國際全球網絡恢復服務主管畢馬威美國主管13英國金融行為管理局，政策聲明 PS21/3，“Building operational resilience,”（構建企業業務彈性），2021年3月。14 畢馬威國際，“Maintaining cyber vigilance and staying resilient,”（警惕網絡安全問題，維系企業彈性）2023年。2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計

111、師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢342024年度網絡安全戰略謹慎挖掘人工智能潛力通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致實現供應鏈安全現代化滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界Maintaining cyber vigilance and staying resilient（警惕網絡安全問題，維系企業彈性）如何從網絡攻擊中恢復，重建有效性以及避免故步

112、自封。Cyber and digital operationalresilience（網絡和數字運營韌性）以戰略韌性作為目標。Mid-market:a holistic approach toboost cyber resilience（中端市場：全面提升網絡韌性的方法）在日益互聯的世界中，風險和期望不斷上升。中端市場可以實施全面的網絡安全戰略來適應當下的環境?？偠灾?，企業需要采取動態的方式來提高韌性。企業不能故步自封，因為不僅威脅在不斷演進，惡意者破壞企業內部流程和供應鏈的方式也在不斷變化。企業應不斷改進和調整。具備韌性意味著能夠更快速、全面地管理相關安全事件，并減少對業務的影響。而不是意

113、味著可以杜絕類似事件的發生。首席信息安全官無法控制外部威脅，但卻可以把控企業的預防工作開展。企業對時間、人員和預算的投入不應僅僅集中在事件預防上，而應集中在保持韌性的持續性上，使其成為整體網絡安全計劃中不可或缺的組成部分。企業和惡意者之間的角力從未停止，而后者由于只需專注于此，因此其發展和創新的速度更快。如果首席信息安全官能夠了解并管理企業的安全趨勢，便能夠削弱攻擊者識別和利用漏洞的能力。企業在應對當今發雜多變的網絡安全態勢時，不應將業務韌性視為一系列一次性或間歇性的工作。而將其應視為一項適應性戰略，業務韌性與企業網絡安全目標相輔相成、保障客戶利益、契合企業業務目標并注重長期價值。參閱以下報告

114、了解詳情2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢352024年度網絡安全戰略謹慎挖掘人工智能潛力通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致實現供應鏈安全現代化滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界措施建議評估企業在下周、下個月或下一年再次遭受攻擊時如何更好、更快地做出響應，以確定能夠實現“速戰速決

115、”，譬如加快付款、確保流動性、改善溝通以及提高應對速度。建立企業文化并確保其有效落地，并識別企業在數據、服務和基礎設施方面的優先級。定期更新相關計劃和指導手冊，以適應不斷變化的威脅態勢以及信息技術和供應鏈依賴關系的變化。2024年度網絡安全戰略首席信息安全官與其他業務線可在來年采取哪些行動確保安全成為企業保障的重要脈絡？下文列舉了可供首席信息安全官參考的若干可行建議，以期縮短業務恢復時間、減少安全事件對員工、客戶及合作伙伴的影響、確保安全計劃能為更好的支持業務發展、避免業務暴露于風險之下。人員流程 與您企業的ESG團隊進行溝通，確定其是否將網絡安全視為其一大職責。如若不是，則應努力使其認識到網

116、絡安全對于ESG中所有三個領域的重要性及相關原因。為董事會提供全新視角，使其了解可能會阻礙企業業務發展的因素，以及應該如何在不影響運營和客戶體驗的情況下管理此類風險。建立企業文化并確保其有效落地，并識別企業在數據、服務和基礎設施方面的優先級。安全團隊應確定將安全任務嵌入業務流程的方式和環節，而不是外包給第三方服務提供商，同時安全團隊應監控安全任務確保安全任務的正確執行。務實。有效確保網絡安全不是讓合作伙伴各行其是，而是在企業內部重構關系，激勵企業內其他業務領域將安全融入其現有工作。像管理企業一樣去管理網絡安全團隊，即管理者應在一定程度上放松對企業其他部門安全工作的控制。制定企業自動化的初始愿景

117、和戰略。明確企業的短期和長期安全目標，確保其與企業的業務優先級保持一致，并確定這些目標所需的安全保護類型。提高企業透明度，從而在全球供應鏈中贏得信任；不應僅僅將第三方、第四方甚至第五方供應商關系視為交易及合作關系（盡管事實確實如此），而應將其視為企業生態體系的延伸。定期更新相關計劃和指導手冊，以適應不斷變化的威脅態勢以及信息技術和供應鏈依賴關系的變化。采用基于風險的方法來評估第三方流程，而非對提供不同服務的不同供應商采取“一刀切”的管理方式。建議在企業內部以及可信賴的第三方進行情報共享。評估企業在下周、下個月或下一年再次遭受攻擊時如何更好、更快地做出響應，以確定能夠實現“速戰速決”，譬如加快付

118、款、確保流動性、改善溝通以及提高應對速度。2024年度網絡安全戰略2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢36謹慎挖掘人工智能潛力通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致實現供應鏈安全現代化滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界數據與技術監管 識別企業可集中訪問的數據，并制定自動化的持續控制監測

119、計劃，以提高企業三道防線的效率。了解企業內關鍵數據（包括結構化和非結構化數據）的存儲位置，以及與第三方合作伙伴共享的數據存儲位置。確保人工智能算法的目的（無論是企業內部開發還是外部開發）被明的確定義和記錄，且人工智能算法的目的與業務目標相匹配，人工智能算法僅適用相關的訓練數據，人工智能算法獲取相應的同意。利用智能自動化技術來提高對不斷變化的供應商風險狀況的可見性，并針對第三方建立可持續且可擴展的前瞻性計劃。確定應自建或需要采購的工具，了解供應鏈合作伙伴如何通過自動化技術提高企業間的信任度，并在適當的情況下運用此類經驗。探索更具靈活性和互操作性的身份系統，以促進聯合式身份生態體系的發展。在不斷發

120、展的身份生態體系中，思考自身在當前和未來所承擔的角色，即身份/憑證頒發方，依賴方、和/或數字錢包提供商。增強企業在網絡安全、ESG和隱私方面的全球監管情報工作，以確保及時滿足合規要求和報告要求；密切關注和洞悉不斷發展的監管法規及其對企業網絡安全工作的影響。將人工智能框架與企業戰略保持一致，通過調整企業內部各業務領導者的工作優先級，并與在人工智能領域中取得成果的業務部門開展跨職能協助，以開展人工智能治理。了解歐盟出臺的人工智能法案以及拜登政府頒布的關于“安全、可靠和可信的人工智能”的行政命令中的相關規定。持續關注全球監管環境變化，尤其是對司法管轄區的相關細化規則進行深入了解。保持相關身份識別方式

121、的靈活性以適應不斷變化的監管環境，并確保企業的架構能夠以超出未來二至四年發展預測的速度將新興技術整合到安全流程中。2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢372024年度網絡安全戰略謹慎挖掘人工智能潛力通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致實現供應鏈安全現代化滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業應對日益模糊的全球

122、邊界畢馬威的服務上至董事會議題到數據中心運營，畢馬威均具有豐富的服務經驗。除了評估您的網絡安全現狀并使其匹配您的業務重點外，畢馬威專業人士還可助您開發并實施先進的數字化解決方案、持續監控安全風險、有效應對網絡安全事件。無論您的網絡安全項目正處于何種階段，畢馬威均可助您實現目標。作為網絡安全服務的領先供應商和實施方，畢馬威了解如何開展先進的安全服務和構建符合貴企業需求的創新方案。提供網絡安全服務時，我們還可分階段進行項目交付。因此，無論您采取何種業務合作方式，我們均可甄選了解您的產品和技術的專業人士為您服務。無論您將進入新市場、推出新產品及服務還是以全新方式與客戶互動，畢馬威專業人士均可助您預測

123、未來、迅速行動并以安全、可信任的技術建立優勢。依賴我們擁有豐富的技術經驗、深厚的業務知識以及致力于助您贏得并保持利益相關者的信任的創新人才，這三者的結合造就了不凡的服務體驗。畢馬威，鑄就不凡。點擊點擊 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢38謹慎挖掘人工智能潛力通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡安全戰略實現供應鏈安全現代化滿足客戶期望，贏得更多信任將

124、網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界作者簡介As the US Leader of KPMGs Cyber Security practice,Kyle has more than 20 years of experience in the information systems field and a diversebackground in cybersecurity,data privacy,regulatory compliance,risk management,and general technology issues.While he has strong tec

125、hnical skills,Kyle utilizes a business-centered approachto solving technology problems by addressing root causes rather than technical symptoms.He is a trusted advisor to numerousorganizations,working with senior executives,including Boards of Directors,audit committees,Chief Information Officers,Ch

126、ief Financial Officers,Chief Operating Officers,Chief TechnologyOfficers and Chief Information Security Officers.In more than 22 years in cybersecurity,Dani has worked with government agencies on national cybersecurity strategies and with international regulatory bodies on cyber risk.She has extensi

127、ve experience working with clients to improve Board-level understanding of cybersecurity matters.She has built and managed cybersecurity teams as a CISO at telecommunications and power companies in Asia.Dani advocates for inclusion and diversity and womens participation in computer science and cyber

128、security.Shepreviously led the Cyber Security and Emerging Technology Risk practices for KPMG in Malaysia and the ASPAC region and also led KPMGs global IoT working group.Matt is responsible for driving KPMGs cyber strategywithin the 12 KPMG member firms in Asia Pacific.He has more than 25 years of

129、technology,finance,assurance and advisory experience,focusing on financial services industry clients.Matt specializes in technology advisory,particularly in superannuation and wealth management,banking and insurance,and provides a range of services across technologygovernance and risk,cybersecurity,

130、project management,IT strategy and performance.He is deeply interested in using technologyto advance organizational goals,enabling clients digital strategies and operating models,and protecting data,assets and systems.Prasanna is a principal in KPMGs Cyber Security Services based in the US.Hes the A

131、mericas Cyber leader with 20 years of specialized experience in cybersecurity and technology risk transformation.Previously,he led the Global and US Powered Cyber solution for KPMG.With a deep understanding of market-leading technology solutions for cyber and governance,risk and compliance(GRC)funct

132、ions,he helps clients with their integrated transformation.Prasanna leverages his extensive experience in technology-based transformation to help his clients in the energy,media and telecom sectors.In addition to serving as the Global Cyber Securitypractice leader,Akhilesh heads the IT Advisory and

133、Risk Consulting practices for KPMG in India.He is passionate about how developments in informationtechnology can help businesses drive smart processes and effective outcomes.Akhilesh has advised many clients on cybersecurity,IT strategy and technology selection andhelped them realize the business be

134、nefits of technology.He is also knowledgeable in the area of behavioral psychology and isenthusiastic about addressing the IT risk issues holistically,primarily through the application of user-behavior analytics.DaniMichauxEMACyberSecurityLeaderPartner,KPMG in IrelandMattOKeefeASPACCyberSecurityLead

135、erPartner,KPMG AustraliaKyleKappelCyber SecurityServices Network Leader Principal,KPMG in the USAkhileshTutejaGlobalCyberSecurityLeader KPMGInternationalPartner,KPMG in IndiaPrasanna Govindankutty Americas Cyber SecurityLeader and Principal,KPMG in the US2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢

136、 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢39謹慎挖掘人工智能潛力通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡安全戰略實現供應鏈安全現代化滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界本報告的出版與全球各地同事的鼎力支持密不可分，特此感謝他們共同參與報告的設計、分析、撰寫和制作。Our global cyber considerations team:John Hodson Bil

137、ly Lawrence Leonidas Lykos MichaelThayer Jessica BoothKatie BoswellKPMG in the US Pratiksha DoshiKPMG in India Danny FlintKPMG Australia .auBrian GeffertKPMG in the US Jason Haward-Grau Principal,KPMG in the US Elizabeth HuthmanKPMG in the UK elizabeth.huthmankpmg.co.ukKPMG firmscollaborators:鳴謝Sylv

138、ia Klasovec Kingsmill KPMG in Canada skingsmillkpmg.caMika Laaksonen KPMG in Finland mika.laaksonenkpmg.fiAngela Leggett KPMG in the US Orson Lucas KPMG in the US Dani MichauxKPMG in Ireland dani.michauxkpmg.ieMitushi PittiKPMG in the US Caroline RivettKPMG in the UK caroline.rivettkpmg.co.ukHenry S

139、hekKPMG China Akhilesh TutejaKPMG in India Marko Vogel KPMG in Germany Jim WilhelmKPMG in the US 2024()()畢馬威華振會計師事務所 特殊普通合伙中國合伙制會計師事務所及畢馬威企業咨詢 中國 有限公司中國有限責任公司，均是與英國私營擔保有限公司畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。2024網絡安全重要趨勢40謹慎挖掘人工智能潛力通過自動化增強安全性以個體而非機構的維度進行身份管理使網絡安全與業務韌性保持一致2024年度網絡安全戰略實現供應鏈安全現

140、代化滿足客戶期望，贏得更多信任將網絡安全和隱私合規無縫融入企業應對日益模糊的全球邊界聯系我們所載資料僅供一般參考用，并非針對任何個人或團體的個別情況而提供。雖然本所已致力提供準確和及時的資料，但本所不能保證這些資料在閣下收取時或日后仍然準確。任何人士不應在沒有詳細考慮相關的情況及獲取適當的專業意見下依據所載資料行事。2024 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司 中國有限責任公司，均是與英國私營擔保有限公司 畢馬威國際有限公司相關聯的獨立成員所全球性組織中的成員。版權所有，不得轉載。在中國印刷。畢馬威的名稱和標識均為畢馬威全球性組織中的獨

141、立成員所經許可后使用的商標。 considerations 2024”（“原文刊物”）的中文譯本。如本中文譯本的字詞含義與其原文刊物不一致，應以原文刊物為準網絡安全和數據保護咨詢服務主管合伙人畢馬威中國電話：+86(21)2212 3637郵箱：張令琪網絡安全和數據保護咨詢服務主管合伙人畢馬威中國電話：+8522143 8799郵箱：石浩然郝長偉網絡安全和數據保護咨詢服務合伙人畢馬威中國電話：+86(10)8508 5485郵箱：黃芃芃網絡安全和數據保護咨詢服務合伙人畢馬威中國電話：+86(21)2212 2355郵箱：周文韜網絡安全和數據保護咨詢服務合伙人畢馬威中國電話：+86(21)2212 3149郵箱：林海燕網絡安全和數據保護咨詢服務合伙人畢馬威中國電話：+852 2143 8803郵箱：張倪海網絡安全和數據保護咨詢服務合伙人畢馬威中國電話：+852 2847 5026郵箱：