《畢馬威：2025網絡安全重要趨勢報告（44頁）.pdf》由會員分享，可在線閱讀，更多相關《畢馬威：2025網絡安全重要趨勢報告（44頁）.pdf（44頁珍藏版）》請在三個皮匠報告上搜索。

1、2025網絡安全重要趨勢在由AI 主導的商業環境中,網絡安全的基本原則正變得愈發重要畢馬威國際 20202025前言畢馬威如何助力您的網絡安全392025年網絡安全戰略2 22025網絡安全重要趨勢 2025 畢馬威企業咨詢(中國)有限公司中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。在科技深度滲透職業和日常生活方方面面的當下，網絡安全已不僅僅是企業關注的問題，更成為了影響社會各方面的廣泛議題。根據畢馬威的研究，首席執行官們認為網絡安全是過去十年中的首要威脅。1智能產品的普及，從汽車和醫療

2、 器 械 到家用電器及其他與物聯網相關的設備，持續擴大了網絡攻擊面，并以前所未有的方式將物理威脅和數字威脅相結合。深度偽造技術的 興 起，以及加密貨幣等數字資產的復蘇（此類資產仍基本處于無監管且波動性高的狀態）進一步加劇了這些威脅的復雜性，要求人們提高警惕并采取創新對策。在此環境中，首席信息安全官亟需專注于自身及團隊對AI技術的學習，不僅要組建最佳團隊，還要理解每個應用場景所帶來的獨特風險。至于人才招聘和開發，首席信息安全官 面臨著艱巨任務，即組建能夠理解 AI 復雜性及其潛在風險的團隊由于該領域的快速創新以及整個企業中出現的難以管理的“影子 AI”，這項任務變得更加復雜。與此同時，網絡安全能

3、力的合理化或整合也已經提上日程，安全團隊正在從其安全運營中心（SOC）中的數十種解決方案轉向一套精簡的最佳工具套件，以更有效更經濟地集成解決方案，并持續利用這些工具提供商提供的新 AI 能力。今天的網絡安全挑戰遠超傳統技術技能的范疇，需要采用跨學科的方法，涵蓋對風險管理的深刻理解，以及問題解決、批判性思維和溝通等軟技能。網絡安全專業人士可以來自非傳統背景，并且必須能夠迅速適應并 掌 握 超出計算機科學、軟件工程或信息技術等傳統學位培訓通常教授的知識。2對于網絡安全專業人士而言，優先進行情境風險評估至關重要，但 同時不能忽視明確且靈活的控制措施的需求。1 畢馬威2024年全球首席執行官展望（KP

4、MG 2024 Global CEO Outlook），2024年8月。2 世界經濟論壇，戰略性網絡安全人才框架（Strategic Cybersecurity Talent Framework），2024年4月。隨著2025年的到來，數字環境以前所未有的速度持續演變，在帶來新挑戰的同時，也放大了企業對采取強有力網絡安全措施的迫切需求。在此背景下，第六期年度網絡安全重要趨勢的全球發布揭示了各行業組織目前及即將面臨的挑戰，并強調其可采取的幾項戰略舉措。這些舉措均與本報告中深入探討的八項關鍵網絡安全重要趨勢一致。網絡安全人才管理至關重要2025網絡安全重要趨勢 2025 畢馬威企業咨詢(中國)有限

5、公司中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。3 3構建可信人工智能數字身份安全管理迫在眉睫智能設備的“智能”安全防護首席信息安全官（CISO）職責持續演變人工智能（Artificial Intelligence，簡稱AI）在幾乎所有工業領域的應用揭示了在AI模型和流程中嵌入信任的緊迫性，即通過建立一個全面而穩健的治理計劃，使首席執行官能夠借此了解各種商業案例，確定AI在組織中的使用范圍和方式，并識別相關的漏洞。前言駕馭AI賦能網絡安全：快速前行與安全并重安全管理平臺整合：平衡風險與收

6、益構建企業韌性：網絡安全護航企業和社會安全網絡安全 并 非 靜態功能，而是一個動態且不斷演變的挑戰。例如，量子技術的崛起，攻擊者可以通過量子計算以驚人的速度繞過加密工具，可能會破壞從銀行和零售交易到商業數據、文件、電子郵件等的一切；“超級智能”AI系統的潛力，該系統能持續完善和擴展知識，并在感知危險時自我保護；以及虛假信息的傳播速度，尤其是通過深度偽造的音頻和視頻內容的傳播這些正是導致首席信息安全官夜不能寐的新興問題。這些威脅和其他威脅也凸顯了對創新和戰略遠見的迫切需求。立法環境正在向更本地化的監管方向轉變，這給全球安全運營帶來了多方面的挑戰。這一點，再加上經濟上迫切需要不僅以投資回報為基礎，

7、而且需要以緩釋風險為基礎來證明安全預算的合理性，使首席信息安全官處于在沒有預算保證的情況下使用安全資源的危險境地。首席信息安全官還面臨日益復雜的地緣政治局勢的挑戰。隨著國家 支 持 的 網 絡 攻擊、監管環境的變化以及跨境數據流動的不斷增加，首席信息安全官必須在錯綜復雜的局面中有效保護企業網絡。顯然，提前應對新興威脅并確保合規的壓力比以往任何時候都更加嚴峻。當今首席信息安全官的廣泛經驗無論是經歷過重大安全事件的人，還是僅經歷過小規模安全沖突的人都強調了對動態威脅環境進行細致評估的必要性。在本報告中，畢馬威專家更深入地探討了這些問題，提供了對當前網絡安全狀況的全面分析，并為首席信息安全官提供了與

8、八項網絡安全重要趨勢相契合的實際策略。我們的目標是為領導者提供能夠應對數字時代復雜性的知識和工具，以應對數字時代的復雜性，確保他們的組織在充滿魅力和激動人心、但往往不確定的未來中保持安全和韌性。Akhilesh Tuteja網絡安全全球主管畢馬威國際技術格局正在迅速演變，新的威脅每天都在涌現。為了保持領先，企業必須積極主動，而不是被動應對，以保護其數字資產、確保合規性，并營造一個安全且有利發展的環境。Bobby SoniBobby Soni全球技術咨詢主管畢馬威國際20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公

9、司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。4 4首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全過去五年間，本報告的編寫始終以不斷演變的網絡安全格局為核心，如今這一核心也已成為組織領導者的切實關注點。此外，許多關鍵主題持續引起共鳴韌性、身份訪問管理（IAM）、云安全、人才與技能缺口等，不一而足。從下一頁的趨勢分析（2020-2025年）可以看出，許多基本的

10、網絡安全基礎仍在當前研究中占據核心地位。但面對新技術、新的監管要求、更復雜的工具以及日益嚴峻的威脅態勢，首席信息安全官的職責范圍和責任正在顯著加大。五年回顧 202020255 5首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全駕馭AI賦能網絡安全：快速前行與安全并重20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，

11、不得轉載。版權所有，不得轉載。在中國印刷。然而，這一關鍵領域的底層邏輯已經從傳統的網絡安全措施轉向了全球多維數字景觀中的優先事項和挑戰，首席信息安全官及其團隊必須近乎實時地對此作出響應。最重要的是，必須強調網絡安全的普遍性，它已經超越了技術風險，涵蓋了更廣泛的企業威脅，影響著各行各業和社會。讓我們更深入探討一下：隨著新冠肺炎疫情的暴發以及遠程工作安排的常態化，云安全和AI安全已成為首席信息安全官的關鍵目標。人才以及始終存在的技能缺口，長期以來一直至關重要，因為新興技術的應用和發展，要求人才具備新的、多樣化的技能。身份管理的轉變，從傳統的IAM（一個重要但獨立的功能）轉移到了零信任戰略的核心，涵

12、蓋數字身份驗證和深度偽造識別。韌性已成為一個核心目標，并將繼續保持這一地位。首席信息安全官持續努力強化網絡安全措施，尤其是隨著網絡威脅轉變為影響廣泛的業務威脅，這些威脅有可能擾亂行業并危害社會。趨勢分析 2020 20252025202520202020關鍵主題新冠肺炎疫情遠程工作 新常態生成式AI歐盟 AI 法案網絡攻擊變得更為普遍，影響著企業、行業和社會整體。關鍵事件關鍵事件基于AI的網絡威脅，即AI釣魚、智能惡意軟件、深度偽造、大規模監控等戰略與領導力首席信息安全官已成為值得信賴的內部顧問和運營領導者。將對話從成本和速度轉移到戰略性及有效的網絡安全。首席信息安全官的預算越來越與降低業務風

13、險掛鉤。隨著網絡安全在組織內部變得更加普遍，首席信息安全官面臨的交付壓力也在增大。首席信息安全官的角色分散了，但問責制卻因監管發展而增加。人員與人才網絡安全團隊正在轉型，成為戰略決策桌上擁有重要話語權的關鍵資源。網絡安全的存在是為了支持組織，而不是阻礙從組織執行者到影響者。將網絡安全納入組織結構中。網絡技能差距依然存在AI可能會提供一些可行的解決方案，但勞動力仍需要掌握和應用新的技能。技術與數據新的虛擬基礎設施模型和協作工具。加速的云轉型（由于 COVID-19），但網絡安全問題被置于次要地位。傳統身份認證與管理（IAM）。通過自動化增強網絡安全。生成式AI 的快速發展給網絡安全創造了活力。保

14、護一個無邊界的以數據為中心的世界。將身份置于零信任的核心。對網絡AI的投資變得更具戰略性和前瞻性。企業范圍的成本節約、效率、安全和創新（尤其是AI實施）推動了平臺整合。數字身份和深度偽造的興起。數字信任網絡安全和隱私法規聚焦于業務優先事項和責任，以及信任的重要性。數字信任是一項共同責任，始于業務本身，并涉及多個利益相關者，例如：CISO、DPO、CDO、CIO 等等。在AI中嵌入信任并滲透到商業和社會的所有結構中-重點關注網絡安全、隱私、物理安全、道德等。韌性從基于場景到基于影響重點關注批判性和監管。不再僅僅是預防重點在于響應和恢復。首席信息官繼續加強組織韌性，因為網絡威脅已經從技術風險演變為

15、企業和行業威脅，并對社會造成潛在的危害。20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。6 6網絡戰爭在地緣政治沖突中的使用增加2024 CrowdStrike 事件首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全首席信息安全官（CI

16、SO）職責持續演變隨著網絡安全職能在組織內更廣泛地嵌入并被深入理解，CISO及其團隊的工作重點，以及與組織其他部門的協作模式將持續演變。網絡安全人才管理至關重要面對數字化轉型壓力，組織普遍面臨工作負荷激增的挑戰，使得網絡安全人員能力差距被放大。盡管AI與自動化技術可提供支持，但團隊仍會面臨無法解決的問題，存在人員流失風險。02駕馭AI賦能網絡安全：快速前行與安全并重從技術培訓缺失到對新興技術落后的擔憂，多重因素都在推動AI應用熱潮。其中一個關鍵挑戰在于找到AI在網絡安全與隱私管理領域中的潛在收益與風險的平衡點。04構建可信人工智能AI技術雖已與各類組織職能有了良好的結合，但其自身面臨的網絡安全

17、與隱私保護風險，仍會能影響AI技術的全面推廣。03安全管理平臺整合：平衡風險與收益為降低技術復雜性與成本，全球企業正加速整合安全工具與服務至單一或有限平臺，但需同步識別并規避集中化衍生的固有風險。01數字身份安全管理迫在眉睫盡管全球數字身份計劃加速推進，但系統互操作性仍受深度偽造技術威脅掣肘，且生物識別數據處理面臨監管差異與公眾信任挑戰。06構建企業韌性：網絡安全護航企業和社會安全韌性正成為CISO議程的核心，因為攻擊者使用勒索軟件或其他惡意手段造成大規模工業中斷的可能性仍然令人擔憂，這不僅危及數據，也危及人類生命。08智能設備的“智能”安全防護智能設備與產品的普及正顛覆傳統安全范式，推動監管

18、機構建立新制度以確保產品滿足基礎安全要求。072025年八大關鍵網絡安全重要趨勢點擊每個趨勢以了解更多信息。7 7首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全0520252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。重要趨勢 1首席信息

19、安全官（CISO）職責持續演變多重因素正在重塑網絡安全格局，并顯著轉變首席信息安全官（CISO）的角色。監管審查的加強、近乎零失敗的交付壓力、以及問責制和個人風險的增加，共同推進了這一角色的轉變。與此同時傳統的首席信息安全官職能正逐漸分散到組織各處，這引發了人們對于該角色未來定位和網絡安全職能演變的思考。首席信息安全官的成功很可能取決于其能否有效建立決策權威、管理新興技術特別是AI的影響，以及能否適應新威脅。運營模式演變下的更高期望首席信息安全官（CISO）的角色正變得越來越復雜。監管審查以及確保整個組織具有強大的網絡安全成果的需求是主要驅動因素。這種復雜性進一步因運營模式的變化以及對外部供應

20、商依賴的增加而加劇。然而，現有的網絡安全控制措施可能并不總是與組織的獨特需求相符合，特別是在涉及跨越多個國家的全球運營的情況下。當談到基于云軟件供應商時，情況會更加復雜，因為其控制措施通常是二元化的要么使用要么不使用。理想情況下，首席信息安全官希望根據情況或地理位置靈活調整控制措施的開關在美國開啟，但在德國關閉；在新加坡開啟，但在瑞士關閉。Paul Spacey 全球首席信息安全官畢馬威國際8 8首席信息安全官現在面臨著管理并配置供應商提供的網絡安全控制措施的挑戰，他們需要確保這些控制措施符合目的并遵守當地法律法規。運營模式的轉變意味著首席信息安全官對網絡安全措施實施的直接控制力減弱。雖然這些

21、供應商提供的嵌入式網絡安全和隱私控制可能有益，但它們通常缺乏首席信息安全官有效管理跨多種環境風險所需的靈活性和細致程度。首席信息安全官們必須在應對這種復雜性的同時，確保員工高效工作，并保持對組織內控制操作的可視性。首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立

22、成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。過去，CISO的首要任務是識別并保護組織的皇冠上的明珠關鍵數據、知識產權，商業秘密等。但如今，CISO必須聚焦于業務的網絡安全和韌性。Wendy Lim合伙人，網絡安全，咨詢畢馬威新加坡9 9首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與

23、畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。設計網絡安全的組織角色和范圍的藍圖圍繞CISO職位的組織結構正在演變，越來越多的趨勢是如果公司設有技術信息安全官（TISO），則會將其職責與CISO分開。這種角色劃分使CISO能夠專注于風險管理及更廣泛的網絡安全規劃。TISO通常嵌入在組織的技術職能中，負責監督相關控制措施的實施并管理日常運營。此外，較大的組織可能擁有多名CISO，每位負責不同的業務線，如供應鏈網絡或商業線上平臺。這種職責劃分是因為單一角色可能難以在精通所有領域細節的同時有效管理整體網絡安全態勢。隨

24、著網絡安全領域的不斷擴大，首席信息安全官（CISOs）發現自己承擔了更廣泛的職責范圍。他們必須成為包括控制、性能、風險、情報、身份管理以及整體網絡安全等各個方面的事實來源。首席信息安全官 被要求以對企業相關且易于理解的方式呈現這些信息，從而支持管理層做出明智的決策。雖然首席信息安全官（CISO）可以將許多安全優先事項委托給其他團隊，例如報告關鍵風險指標、運行風險評估和執行滲透測試，但他們仍必須保持對這些活動的監督和了解。CISO面臨的挑戰是：如何在擴大職責范圍的同時，確保組織的敏捷性、效率和態勢感知能力。走鋼絲：在日益增長的風險面前平衡責任與權力日益增加的監管審查和個人責任的風險突顯了為首席信

25、息安全官（CISO）明確界定責任和決策權的必要性。如果發生網絡安全事件，CISO 可能會發現自己面臨法律和專業后果，尤其是在受到嚴格監管的行業中。為降低這一風險，組織必須建立正式的治理流程，賦予首席信息安全官（CISO）在事件發生時采取必要行動的權力，避免因猶豫而延誤響應。這包括向CISO明確說明他們的權限以及他們可以操作的范圍。有了這些，他們可以迅速而自信地做出關鍵決策。CISO的匯報線也決定了有效管理網絡安全風險的能力。雖然與高管層、總法律顧問和董事會直接溝通很重要，但CISO仍需基于技術專長保有自主決策權。在緊急情況下，如供應鏈遭到破壞時，CISO需有權立即采取行動，而無需等待缺乏技術背

26、景的上級批準。然而，這種自主性必須與高層共同定制的明確的問責制和約束機制相平衡。首席信息安全官（CISO）應在評估網絡安全事件的關鍵時刻綜合思量，充分考慮潛在后果，并評估確定最有效的行動方案。在未來，CISO很可能需要持續地在組織的其他領域之間進行權衡，平衡董事會、業務、技術管理人員以及他們自己管理內在風險的需求。這要求 CISO必須成為精明的利益相關方管理者，能夠駕馭復雜的關系并有效傳達網絡安全優先事項的重要性。為了實現這一目標，首席信息安全官（CISO）可以考慮在關鍵業務職能內嵌入安全人員，推動安全文化與優先事項的全局對齊。通過培養全局視角，CISO可以為董事會提供高價值洞察，并確保網絡安

27、全融入組織的核心結構中。還有就是許多監管機構關注的韌性目標。韌性要求企業梳理關鍵業務流程及應對事件的系統性能力，而非僅靠CISO一鍵啟動響應那么簡單。正因如此，企業開始拆分職責。公司意識到，要想實現高效運營不能只依賴于某一個人。整個安全團隊必須全天候保護企業，但攻擊者只需要一個漏洞就能突破防線。顯然，這是一場不公平的戰爭，要想贏得勝利，必須依賴企業多部門的協同作戰。CISO可能是最佳指揮官，但他們絕非孤軍奮戰。網絡安全已經成為一個高度分工與協作的工作。盡管如今的首席信息安全官（CISO）與業務各部門 密切合作，但他們必須用統一的方式來管理風險，同時支持組織的商業利益。Oscar Caballe

28、ro合伙人，網絡安全負責人畢馬威墨西哥20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。10103 畢馬威2024年全球首席執行官展望（KPMG 2024 Global CEO Outlook），2024年8月。首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網

29、絡安全護航企業和社會安全重塑未來的CISO行動指南隨著組織越來越多地采用自動化和 AI 技術，CISO 的角色預計將經歷重大變化。安全運營中心（SOCs）的自動化程度不斷提高，預計將導致團隊規?？s小，對日常運營的關注減少。網絡安全職責的龐雜性迫使企業拆分職能，CISO 將難以有效地監督技術交付團隊、管理能力、解讀控制信號以及處理報告、數據工程、人員管理、外聯和培訓等各個方面的工作。這種繁重的工作量可能會使他們在崗位上陷入困境，最終無法正常履職。因此，首席信息安全官（CISO）需將注意力擴展到其他關鍵戰略領域。隨著生成式 AI 在各行業的迅速采用，CISO 可以在確保組織理解和緩解相關風險方面發

30、揮關鍵作用。他們需要更具戰略性和前瞻性，在 AI 項目的早期階段介入，向業務部門解釋潛在風險并提出必要的緩解措施?？傊?，首席信息安全官需要確定如何利用 AI 更好地保護公司、員工和客戶，并在AI模型中嵌入針對性的網絡安全措施。畢馬威研究發現，64%的全球CEO表示無論經濟情況如何都將持續投資AI。3建議行動隨時了解法規變化，與董事會溝通，明確職權范圍，以降低個人責任風險。為由于 AI 自動化和轉向基于云的服務而演變的首席信息安全官（CISO）角色做好準備。牽頭討論采用AI等顛覆性技術，解釋風險及緩解措施。繼續在 DevSecOps 過程中通過設計構建安全性，并且將專注于網絡安全的團隊成員嵌入到

31、業務功能中。隨著個人數據與企業數據在基于云和AI服務之間的界限變得模糊，需對第三方供應商進行全面的盡職調查，以確保他們的合同義務清晰且與其組織的整體數據治理框架一致。了解更多從根本上說，降低攻擊概率始于對環境的理解。你無法保護你不了解的東西。CISO必須了解整個網絡安全狀況：組織的關鍵業務應用程序和服務、公開暴露的資產、現有控制措施、主動防御策略、安全態勢以及攻擊者常用手段等。所有這些都是基礎。只有這樣，他們才能確定如何減少壞事發生的幾率。Lou Fiorello副總裁 安全產品ServiceNow畢馬威2024年全球首席執行官展望畢馬威2024年全球技術報告CISO如何幫助啟動生成式AI項目

32、111120252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全在網絡安全領導層面臨的一系列挑戰中，人才技能缺口尤為突出。人力因素仍然是對抗網絡威脅中最關鍵的因素。新技術的復雜性以及威脅的快速演

33、變，正加劇本已嚴峻的技能缺口。為了應對這些挑戰并保障其數字資產，組織必須采取全面策略，認識到人在構建韌性網絡安全生態系統中的核心作用。賦能人才所需的工具，培養強大的網絡安全文化，優化AI的使用，以及強化人才輸送管道均是一些可行的解決方案。解決網絡安全技能缺口和人才留存問題根據世界經濟論壇的數據，超過一半（52%）的公共組織表示缺乏資源和技能不足是創建有效網絡韌性的最大挑戰。4許多報道都圍繞著經驗豐富的網絡安全人才短缺和技能缺口問題，網絡安全崗位的流失率比其他職位高出近8個百分點，使得團隊的穩定性難以維持。5在現階段，網絡安全作為一門職業在迅速發展，對擁有專門知識人才的持續需求，已經遠超教育機構

34、培養足夠合格候選人的速度。6技術技能與非技術技能的割裂日益明顯。雖然強大的技術能力仍然是核心關鍵，但溝通能力、解決問題能力、適應力和協作等非技術技能對于隱私、風險和合規專業人士而言愈發重要。為了應對這一差距，行業領導者需優先實施綜合性培訓計劃。人才保留是另一關鍵挑戰，近期的畢馬威安全運營中心（SOC）調查顯示，近半數（47%）的安全領導者在留住優秀員工方面存在“重大問題”。7隨著對經驗豐富的網絡安全專業人士的需求持續超出供給，CISO必須制定策略吸引和保留多元化人才。這需要與人力資源（HR）合作，了解并滿足多個代際員工的獨特需求。例如，職場中最年輕且增長最快的Z世代與千禧一代，他們尤為重視工作

35、與生活的平衡、認可度以及職業發展機會。8 組織可通過提供靈活的工作安排、清晰的職業路徑和發展專業技能的機會，為網絡安全人才創造一個更具吸引力的工作環境。包容性、多樣性和公平性（IDE）倡議也將有助于解決網絡安全人才短缺問題。積極鼓勵和支持女性與多元群體參與網絡安全，有助于組織拓寬人才池，并受益于獨特的視角和創造力。然而，僅僅促進多樣性是不夠的；雇主還必須創造支持性和包容性的環境，使多元化的員工能夠茁壯成長，特別是那些處于神經多樣性譜系上的人群。4 世界經濟論壇，戰略性網絡安全人才框架白皮書（Strategic Cybersecurity Talent Framework white paper

36、），2024年4月。5 STI Group,美國網絡安全就業狀況：分析增長、需求和留存挑戰（The State of US Cybersecurity Employment:Analyzing Growth），2024年4月5日。6 畢馬威,Matthew Miller,關于SOC網絡安全人才缺口的應對措施（Addressing the Cybersecurity Talent Gap in the SOC）,LinkedIn,2024年8月1日。7 畢馬威網絡安全調查，安全運營中心領導者視角（Security Operations Center Leaders Perspective），20

37、24年4月。8 Paychex,駕馭新勞動力：在職場上吸引千禧一代和Z世代（Navigating the New Workforce:Engaging Millennials and Gen Z in the Workplace），2024年4月23日。重要趨勢 2網絡安全人才管理至關重要20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。1212網絡安全人才管理至關重要首席信息安全官（CISO）職責持續演變構建可信人工智能駕

38、馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全AI 是網絡安全的核心組成部分，而不是簡化因素盡管許多組織仍處于 AI 技術應用的早期階段，但隨著網絡犯罪分子越來越多地轉向 AI 來增強其攻擊策略，首席信息安全官(CISO)應該探索如何安全負責地將AI整合至網絡安全戰略中。為了保持領先地位，AI賦能的領域（如實時威脅檢測、快速事件響應和預測建模）應成為主要關注點。AI也可以幫助緩解人員短缺的壓力。在大多數情況下，AI將成為安全團隊彌補技能缺口的真正助力而非取代人類。根據畢馬威 SOC

39、 調查，至少六成的安全領導者認為 AI 是網絡安全功能的“游戲規則變革者”，包括身份和訪問管理、威脅檢測與響應以及邊界監控。9通過使用 AI 自動化處理常規任務，組織可以顯著提高效率，使網絡安全團隊能夠專注于更復雜、更具戰略性的網絡防護任務。人為監督在AI的應用過程中發揮關鍵作用。CISO應確保他們的團隊接受充分培訓，以便與 AI 系統協同工作，理解其能力、局限性和潛在偏見。AI 也是工作場所中的焦慮來源，因此，與AI達成共識并信任AI將是進步的關鍵。根據畢馬威的研究，超過四分之三的組織（78%）擔心團隊仍然認為 AI 是一個神秘的“黑盒子”。幾乎同樣多的人（77%）預計 AI 將引起操作挑戰

40、，導致崗位縮減并引發倫理問題。10但我們相信，人類的直覺、創造力和情境理解力與AI的速度、可擴展性和數據分析能力的結合將共同構建一個更具韌性的網絡安全生態系統。9 畢馬威網絡安全調查，安全運營中心領導者視角（Security Operations Center Leaders Perspective），2024年4月。10 畢馬威2024年全球首席執行官展望（KPMG 2024 Global CEO Outlook），2024年8月。11 畢馬威與麻省理工學院斯隆管理學院網絡安全聯合研究，2024年9月。12 畢馬威，新時代的網絡安全文化：如何利用 AI 促進安全的工作行為（A new age

41、 of cybersecurity culture:How to harness AI to promote secure workplace behaviors），2024年12月。人們應該認為網絡安全的存在不應成為中斷業務運營的障礙或減速帶，而應快速、安全地解決問題，并與內部和外部利益相關者建立信任。Breah Sandoval首席網絡安全與技術風險總監畢馬威美國為了更好地理解這種關系，畢馬威與麻省理工學院（MIT）合作研究了網絡安全文化、其挑戰以及AI可以產生的影響。11 雖然許多組織在建立網絡安全文化的旅程中仍處于早期階段尤其是在利用AI來支持這一方面但在畢馬威和麻省理工學院的一項定量

42、調查中，74%的受訪者同意建立以網絡安全為中心的文化是企業范圍內成功整合AI的核心。12從意識至行動：培育主動型網絡安全文化當組織內的每個人都積極參與有效管理網絡風險時，才會建立強大的網絡安全文化。首席信息安全官（CISO）必須認識到，人類并不是網絡安全中最薄弱的環節，當員工充分參與到網絡安全建設中時就會成為組織最強的網絡防御能力。如果不在整個組織中優先嵌入風險規避文化，那么主動識別風險的重擔就完全落在了網絡安全團隊的肩上。這不僅不可持續，也會使組織容易受到潛在安全漏洞的威脅。為了建立一個真正具有彈性的網絡安全生態系統，CISO必須專注于彌合安全團隊與更廣泛員工隊伍之間的差距。這包括積極與團隊

43、成員和高級領導層互動，教育他們了解網絡安全的重要性，并賦予他們保護組織數字資產的責任。充分動員員工并形成對網絡風險的共同理解可以轉變整個組織處理網絡安全的方法。因此，網絡安全不僅是一個獨立的功能，更是一種集體責任。這要求首席信息安全官（CISO）成為能夠連接技術與非技術利益相關者的領導者。1313首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國

44、有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。為了創建一個對用戶更友好且高效的網絡安全環境，首席信息安全官應采用以人為中心的設計方法來評估和優化安全流程。這意味著識別并解決那些讓員工感到沮喪或困擾的具體流程。許多此類問題可能導致生產力下降以及違規風險增加。通過仔細分析這些流程，首席信息安全官可以確定哪些控制措施對于保護關鍵資產是必不可少的，哪些可以簡化、合理化甚至取消。通過這種方法，首席信息安全官 可以為員工創造一個更直觀且干擾更小的安全體驗，從而培養合規文化和共同責任感。這有助于

45、提升員工對網絡安全的積極認知，并鼓勵員工成為主動參與者。從更廣泛的網絡人力資源管理角度來看，首席信息安全官 可以發揮至關重要的跨職能協調作用，衡量員工的安全知識、態度和行為，揭示以人為中心的風險潛在驅動因素，并將網絡安全從限制性功能轉變為一種關鍵能力和業務推動力。政府和企業間的合作可以支持網絡作為一項職能，并促進其作為職業的發展除了彌補當前的技能缺口，政府、學術機構和組織應合作推廣網絡安全作為有吸引力的職業選擇。1313 世界經濟論壇，為什么彌合網絡安全技能差距需要協作方法（Why closing the cyber skills gap requires a collaborative ap

46、proach），2024年7月23日。這一努力應盡早開始，吸引初中及以下的年輕群體尤其是女生但也應包括那些正在開啟第二職業或重新進入職場的男女，以展示可供選擇的多樣機會。政府可以通過投資網絡安全教育項目、提供獎學金和實習機會，并與行業合作提供實踐學習經驗來支持這一倡議。讓孩子們從青少年時期就開始接觸網絡安全，并通過活躍的生態系統激發其對網絡安全的興趣，從而鼓勵更多人投身這一關鍵領域。除了早期教育和意識提升外，政府和行業領袖還需共同開發個人進入網絡安全勞動力市場的非傳統路徑。雖然傳統的計算機科學及相關領域的大學學位仍然很有價值，但它們往往無法跟上迅速變化的威脅環境以及崗位所需的特定技能。對此，投

47、資于短期認證項目和專項培訓課程有助于快速提升技能和重新培養來自不同背景的專業人士。通過一個更加靈活和包容的人才供應鏈，建立一支更強壯、更有韌性的網絡安全隊伍，以應對未來的挑戰。我們面臨的最大網絡挑戰和脆弱性不再主要存在于代碼、系統、或者數字通道中，而在于日常管理并操作這些網絡的人員。他們需要支持、培訓和培養，以掌握他們所需的技能和防御能力來保護我們的數據和系統。Dominika Zerbe-Anders網絡安全風險合作伙伴及解決方案負責人畢馬威澳大利亞20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨

48、立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。1414首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全14 Verizon,數據泄露調查報告（Data Breach Investigation Report）,2023.15 世界經濟論壇，彌合網絡安全人才缺口（Bridging the Cyber Skills Gap），2024。開發并部署超越傳統做法的持續培訓項目方法，

49、利用創新和沉浸式的技術（如模擬演練）來推動員工行為可持續性變化。通過讓員工參與網絡安全倡議，提供適當的教育，并營造一種認可他們作為組織最強網絡防御能力的角色的文化，來增強員工的能力。建立一個年度網絡影響力人物項目，確保與員工和高級管理層的定期互動，以提高網絡安全意識并開展合作。15認識到CISO的角色從單一的網絡防御者擴展到風險管理師、政策倡導者和影響力推動者。需要培養和提升溝通與影響能力，以有效地傳達網絡安全的重要性，并推動各層級和各部門的變革。實施以人為中心的風險降低策略，專注于解決網絡安全中的人為因素，因為人為因素占了四分之三的網絡入侵。14投資于 AI 技術以衡量、量化和跟蹤人為風險，

50、從而實現更有效的風險管理，并與不斷演變的威脅格局保持一致。建議行動了解更多網絡安全文化的新時代畢馬威 2024 網絡安全調查未來工作模式151520252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社

51、會安全組織持續探索如何通過 AI 增加其業務運營的價值，但領導層在 AI 的采用上仍然持懷疑態度，尤其是在安全和隱私方面。數據泄露、未經授權的訪問和濫用的風險居高不下。此外，某些 AI 的具體機制仍缺乏明確性，部分算法可能導致偏見、歧視及其他意外后果。在此背景下，提升圍繞AI的開發和部署的透明度、問責制的明確和治理框架的搭建很可能會繼續成為首席信息安全官（CISO）的首要任務。管理AI 數據至關重要顯然，數據是組織的關鍵資產，為AI 系統的發展和部署提供動力。然而 許多企業仍然難以建立明確的指導方針和流程來管理其擁有的大量數據。這進一步凸顯了與數據訪問、使用、分類和質量相關的挑戰。所有這些因素

52、直接影響AI系統生成可靠洞察并做出合理決策當數據質量低下時，AI模型更有可能產生不可靠的結果，導致性能欠佳和潛在的危害。事實上，盡管許多組織正在投資于數據的可訪問性，但畢馬威研究表明只有 24%的組織專注于建立以數據為中心的文化并確保數據互操作性。這種短視行為削弱了組織各層級有效使用和理解數據的能力。16此外，組織擁抱 AI 的速度給數據管理實踐帶來了巨大的壓力。積極的一面是，這凸顯了可靠 AI 實踐與高效數據管理之間的緊密關聯。傳統的數據治理通常依賴手動流程和孤立的系統，面對AI應用產生的數據規模、速度和多樣性，這些方法已顯不足。企業現在需要采用更敏捷和自動化的數據管理策略以跟上時代步伐。1

53、6 畢馬威2024年全球技術報告，2024年9月。重要趨勢 3構建可信人工智能無論公司是依賴自有數據還是第三方的數據來生成和訓練其 AI 模型，都已清楚地表明，低質量的數據必然導致低性能AI 模型。Samantha Gloede執行總監，美國及全球風險咨詢畢馬威美國20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。1616構建可信人工智能首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要駕馭AI賦能網絡安全：快速

54、前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全17 畢馬威2024年全球首席執行官展望（KPMG 2024 Global CEO Outlook），2024年8月。這需要組織從根本上轉變對數據的認知和思維方式，從靜態資產轉變為動態資源。為了降低低質量數據帶來的風險，組織必須優先考慮強有力的信息治理機制。這包括建立明確的數據收集、存儲和管理政策及流程，以及實施嚴格的數據驗證和清理過程。這樣做不僅能使企業改善其AI模型的表現，還能通過踐行負責任和透明數據實踐的承諾來贏得利益相關者的信任。面對AI 采納的風險雷

55、區AI 的采用伴隨著一系列組織必須謹慎應對的風險：運營、技術、法律、合規以及人身安全只是其中幾個方面。AI 系統可能引入新的漏洞和故障點導致干擾業務流程并造成財務損失。技術風險，如算法偏見和數據漂移，會損害 AI 模型的準確性和可靠性。這就是為什么 70%的 CEO 表示他們的組織正在增加對網絡安全的投資，具體目的是保護運營和知識產權免受與 AI 相關的威脅。17不遵守隱私法規、歧視受保護群體或侵犯知識產權的 AI 系統可能導致法律和合規風險。最令人擔憂的風險是對人身安全的威脅，特別是在醫療保健和交通運輸領域，AI 失效可能會危及生命。與 AI 相關的另一個重要風險是“被遺忘權”的削弱，即從模

56、型中刪除個人數據。這需要基于全新數據集重新訓練AI模型，程序復雜且成本高昂。但即使個人數據被刪除并且模型重新訓練模型，它仍然可以通過從其他數據點學習到的模式和關聯對某個個體做出相當準確的推斷。在數字領域真正“被遺忘”正變得越來越難以實現。隨著 AI 更加普及并嵌入到各類“智能”產品中，許多組織，甚至是預算有限的小型企業，也開始轉向第三方供應商以獲取 AI 能力。雖然這可以帶來成本節約和快速部署，但也引入了新的風險。組織可能無法深入了解 AI 系統的內部運作，例如模型訓練所用的數據、它的算法邏輯以及可能存在的偏見?！坝白印盇I即在領導層和安全團隊不知情或未監督的情況下，在組織內部使用 AI 系統

57、是另一種新興風險?！坝白印盇I 可能在各部門或員工自行部署 AI 解決方案時出現，通常沒有經過適當的檢查。這種風險不僅在于未受管理的 AI 的漏洞，還在于可能無意中將潛在有偏見的結果整合到業務決策中，而未理解其影響。因此，未管理的 AI 系統可能會引入安全漏洞并損害數據隱私。為降低這些風險，組織應主動建立圍繞內部和第三方 AI 系統的采購、部署和監控的明確政策和程序。此外，首席信息安全官（CISOs）被鼓勵探索新型網絡安全工具和能力，以使組織能夠識別和分析 AI 使用模式，降低“影子”AI 的風險。在此過程中，業務領導、IT 團隊和安全專家之間的密切合作至關重要。僅僅依賴首席信息安全官或首席隱

58、私官來應對 AI 風險意味著可能會忽略透明度、可靠性、甚至可能是安全性等關鍵問題。Katie Boswell網絡安全與技術風險總監畢馬威美國20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。1717首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業

59、和社會安全自下而上地處理與AI相關的風險即使AI應用速度加快，許多領導者仍缺乏對 AI 治理及其復雜的技術、倫理和法律影響的全面理解。因此，許多人采取被動應對的方式。將 AI 風險管理策略與整體業務目標和價值觀保持一致的組織更有可能取得成功。事實上，為了建立和維持對AI系統的信任，組織必須優先考慮利益相關者的利益，包括客戶、員工以及更廣泛的社會在AI決策中的利益。組織領導者，包括首席信息安全官、數據保護官和隱私官，在將安全和隱私嵌入AI開發生命周期方面發揮著至關重要的作用。此外，領導層必須保持對各種 AI 業務案例的可見性，并明確識別組織內 AI 的應用范圍和方式。這可以指導安全和道德的數據管

60、理實踐的發展以及更廣泛的 AI 安全框架內的適當控制措施。鞏固信任和監控外部風險組織需要前瞻性策略來應對AI相關風險，不僅限于對問題作出反應，而是盡早應對潛在風險。建立 AI 安全框架并非一次性項目，它必須是持續進行的，并且需要通過身份和訪問管理、多重認證以及危機響應和恢復計劃等現有安全領域來支持。簡而言之，應將 AI 系統的持續監控和評估納入組織的日常業務流程中。通過繪制 AI 生態系統中的數據流，組織可以更好地評估潛在風險和漏洞，并制定有針對性的戰略。外部風險的核心之一是與 AI 相關的法規的潛在影響，例如于2024 年 8 月生效的歐盟 AI 法案。該法案對任何在歐盟運營并提供可在歐盟內

61、使用的AI產品、服務或系統的企業都具有廣泛約束力。盡管這可能是最知名和影響最深遠的規則，但該法案是全球AI 監管指南不斷上升的更廣泛趨勢的一部分。許多世界各地的政策制定者都希望將該法案作為范例，并在安全、安全、隱私、治理和合規，以及公平性、透明度和可信度等議題上尋求某種程度的一致性。面向歐盟提供服務的企業CIOs需評估合規要求并采取行動。組織必須密切關注所有監管動態，并主動調整其 AI 治理實踐，以建立與利益相關者的信任，并在緩解 AI 的風險和挑戰的同時實現其全部潛力。許多企業因未看到數據項目的直接價值 而長期推遲這些項目，但他們最終會意識到，清理數據并 為 大型語言模型（LLMs）提供相關

62、且準確的訓練信息已迫在眉睫。然而，在很多情況下，首席信息安全官并不是數據的所有者。為了建立數據團隊與安全團隊之間的橋梁并加強合作，企業需要建立統一的數據分類標準和跨部門協作機制，特別是在涉及 AI 時。不良的數據必將導致錯誤的決策。Erin Hughes網絡安全咨詢服務負責人SAP北美區20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。1818首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭

63、AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全理解與 AI 實施相關的監管義務并評估現有的合規要求。制定并溝通清晰的 AI 使用政策、標準和程序。與其他行業領導者以及全球政策制定者合作并保持開放對話。提升現有的治理流程，并清晰地溝通 AI 使用的政策、標準和程序。這應包括一個 AI 技術引入流程，采用一致的方法來識別 AI 風險、確定適當的控制措施并建立相應的事件管理計劃以應對潛在的 AI 相關問題。確定并建立必要的控制措施的所有權，以減輕與 AI 相關的風險，并明確界定誰擁有并對其

64、負責，確保這些控制措施與組織的整體數據治理框架一致。建立紅隊結構以對 AI 模型進行測試，確保其穩健性和可靠性，避免生成不準確的結果，或者不良信息。明確第一道（業務線）和第二道（風險與合規）防線之間支持 AI 能力的角色和責任。建議行動召集跨職能利益相關者，包括 首席信息安全官、數據保護官和隱私官，共同更新政策并就組織應對 AI 實施潛在影響和風險的方法達成一致。了解更多AI中的信任智能經濟藍圖您的AI威脅矩陣如何反應組織現狀191920252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中

65、的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全AI的潛在益處持續吸引著各行業的商業領袖。對于首席信息安全官 而言，AI被視為提高效率、削減運營成本、改善風險管理以及可能應對不斷增長的工作量的一種手段，特別是在安全運營中心（SOCs）中。然而，仍然存在一些疑問：組織是否全面理解AI風險范圍？是否已建立穩健且專門針對 AI 的安全基礎？若不知道從何

66、入手或者如何識別 AI 最有用的領域怎么辦？在此背景下，首席信息安全官 必須在企業廣泛部署 AI 的訴求和優先考慮良好的網絡安全實踐之間取得微妙的平衡。重要趨勢 4駕馭AI賦能網絡安全：快速前行與安全并重坦率地說，當你的補丁管理和權限控制都尚未完善時，盲目應用 AI 工具是沒有意義的?；A網絡安全永遠是第一要務。Koos Wolters網絡安全負責人畢馬威荷蘭構建AI 的強大安全基礎在不斷變化的網絡安全生態系統中，保持對潛在攻擊者的領先不僅需要警惕，還需要創新。AI 已成為安全運營中心（SOCs）的強大工具，它改變了安全專業人士感知和應對威脅的方式。如果說 2024 年是生成式AI的一年，20

67、25 年將是代理型AI的一年。代理型 AI 有可能變革安全操作，通過“智能體”以前所未有的方式主動分析、檢測并響應網絡威脅。事實上，將近四分之三的組織已從其 AI 投資中獲得了業務價值，但只有三分之一的組織能夠實現這些收益的規?；?。18但在全面采用 AI 之前，組織必須確保他們具備堅實的基礎網絡安全實踐。這包括從有效的補丁管理、設備加密，以及安全的身份和訪問管理等各個方面。倉促部署 AI 工具可能會使組織面臨更大的風險。首席信息安全官 在這里扮演著關鍵的角色。他們必須評估其組織當前的網絡安全態勢，并識別任何可能存在的漏洞或薄弱環節，以便逐步且戰略性地引入 AI。簡而言之，投資應謹慎且具有戰略性

68、，以避免實施過程中的脫節。1920252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。202018 19 畢馬威2024年全球技術報告，2024年9月。首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全人才困境：彌合AI 技能缺口圍繞 AI 在

69、網絡安全中的討論不可避免地會轉向人才問題。當前存在的顯著技術缺口不僅在于理解 AI本身，更在于如何在網絡安全領域有效利用它。AI 技術的發展速度，特別是生成式 AI，已經遠超市場現有技能水平。增強員工的 AI 技能是這一環境下的首席信息安全管理官（CISO）面臨的主要挑戰之一。安全團隊逐漸意識到用于與 AI 模型互動和查詢的指令質量會顯著影響輸出的準確性和相關性。如果沒有對最佳實踐的深刻理解，安全團隊可能難以從 AI 實施中獲得有價值的洞察和可操作的情報。為了應對這一技能缺口，并確保安全團隊能夠跟上AI技術的快速進步，CISO們必須優先考慮推動技能培訓計劃不僅針對他們的團隊，也包括他們自己，以

70、便他們能夠識別正確的技能需求以及最適合招聘的人才。這包括投資專注于AI概念的教育項目，例如指令工程、數據分析和模型評估。首席信息安全官應培養持續學習的文化，鼓勵其他安全專業人士探索新的 AI 能力，與同事分享他們的發現，并確保他們及其團隊具備求知欲和知識，以利用 AI 的力量、保護組織的數字資產并增強網絡韌性。應對AI 炒作與現實差距畢馬威的研究發現，網絡安全領域對AI的炒作已經導致組織，尤其是高級管理層，產生了一種害怕錯失機會（FOMO）的感覺。事實上，82%的人承認他們正投資于AI驅動的虛擬現實（VR）與增強現實（AR）技術以保持競爭力。20然而，領導者需要根據 AI 當前能力和局限性做出

71、決策。盡管 AI 具有變革網絡安全的潛力，但它目前在安全運營中心（SOC）中的應用仍然相對不成熟且范圍有限。首席信息安全官 需要設定現實的期望，并向高級管理層和董事會傳達 AI 的真正潛力。這包括強調當前的局限性并采取戰略性的應用方法。通過鼓勵實驗文化，首席信息安全官 可以發現與組織的獨特需求和優先事項相符合的適當用例。隨著 AI 不斷成熟和發展，首席信息安全官 必須保持警惕，評估其能力和局限性。20 畢馬威2024年全球技術報告，2024年9月。在網絡安全領域，我們更容忍誤報而非漏報。我寧愿 AI 認為有壞事發生并促使我通過手動流程調查，以確定網絡是否受到攻擊，也不 愿 實際上存在網絡安全問

72、題卻不知道，并且沒有采取行動來解決它。Matt Miller首席網絡安全服務合伙人畢馬威美國20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。2121首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全識別并部署最具影響力的用例首席信息安全

73、官 必須仔細評估并優先考慮那些能夠產生最大影響并與組織特定需求相契合的潛在 AI 應用場景。一個有前景的領域是分析大量數據以識別潛在威脅或異常，因為 AI 在處理大量信息以提取洞察方面表現出色。此外，AI 可用于自動化重復性、手動任務，從而使人力分析師專注于更復雜和更具戰略性的任務。由 AI 驅動的分析可以使開發人員在小漏洞變成大問題之前進行修復。通過賦能團隊成員探索 AI 的能力并提出實施建議，首席信息安全管理官（CISO）可以發現 AI 最有效部署的領域。仔細評估和選擇解決實際問題的用例使 CISO 能夠確保其 AI 投資是目標明確、有效且與組織的整體網絡安全和業務目標一致的。準備應對由A

74、I 驅動的網絡安全威脅在采用 AI 技術以增強其網絡安全工作的同時，首席信息安全官也必須準備好應對由 AI 驅動的攻擊所帶來的新興威脅。一個特別令人擔憂的例子是深度偽造（deepfakes）的興起，AI算法現在可以快速、輕松且低成本地創建高度逼真且具有說服力的操縱音頻和視頻內容。事實上，deepfake 技術已經變得大眾化，以至于任何攻擊者幾乎都可以輕松獲取并操作它。這種欺詐性材料越來越多地被用于社會工程攻擊或傳播虛假信息中，使得網絡安全團隊更難區分真實內容和欺詐性內容。此外，呼叫中心中越來越多地使用 AI 進行語音檢測和生物識 別 認 證 可 能 會 無 意 中 使 其 更 難 檢 測 和

75、防 御 深 度 偽 造（deepfakes）。攻擊者可能利用這些相同的技術繞過安全措施并操縱系統。為了應對這些不斷演變的風險，首席信息安全官必須隨時了解關于AI驅動威脅的最新發展情況，并相應調整他們的防御策略。這可能涉及投資先進的由AI驅動的安全工具，如那些旨在檢測和標記潛在被操縱內容的工具，以及培訓員工。企業需要確保任何 AI 部署都有明確的角色、責任和背景支持，以最大限度地提高其對網絡安全效率和效果的影響。Terence JacksonCISM,CDPSE,GRCP客戶安全官Microsoft 安全解決方案20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公

76、司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。2222不幸的是，就 AI 而言，安全團隊承擔了很大的責任。首席信息安全官已經處境艱難，但如今AI被迅速部署的速度正在指數級地增加他們在大規模引入這些大語言模型（LLM）時對良好安全標準的壓力。不過，有一些有效的策略和工具可用來管理這一不斷變化的環境。首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌

77、性：網絡安全護航企業和社會安全首先解決基本的網絡安全問題比如補丁管理、數據保護、IAM等然后再轉向更復雜的活動，如在整個企業中實施和擴展 AI。提升員工和客戶對企業以及對手使用 AI 所帶來的風險的認知。繼續評估將 AI 用于安全運營中心一級和二級任務的用例。明確 AI 使用者的角色和職責，并透明公開AI 被應用的場景和計劃。優先提升網絡安全團隊所需的必備技能，并確保他們跟上最新的 AI 發展。鼓勵團隊對 AI 保持好奇心，并提出實驗想法及潛在應用場景。建議行動了解更多畢馬威安全運營中心調查 2024用 AI 重新定義安全運營重塑網絡安全：需要使用 AI 來對抗 AI2323駕馭AI賦能網絡安

78、全：快速前行與安全并重20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全為了應對日益復雜的網絡安全風險，組織不斷增強用于保護其數字資產的工具和解決方案。從端點安全和安全信息與事件管理（SIEM）到漏洞管理、物聯網（IoT）安全、

79、擴展檢測和響應（XDR）以 及 托 管 檢 測 和 響 應（MDR），可供選擇的選項數量之多令 人 驚 嘆，使 得 首 席 信 息 安 全 官（CISO）們難以管理、維護并整合這一復雜且分散的工具組合。更糟糕的是，花在整合上的時間比利用數據來獲取可用的安全洞察的時間更多。因此，許多組織正在探索采用安全平臺，這使他們能夠提高效率、改善可見性并增強對安全環境的控制。這種向平臺整合的廣泛轉變既帶來了希望也帶來了風險。重要趨勢 5安全管理平臺整合：平衡風險與收益規模經濟是通過與特定平臺或領域（如身份）整合而產生的。讓安全團隊使用更精簡但或許更高效的技術，有助于培養一支能力更為全面的安全人才隊伍，使其在

80、多個領域提升效能。Jim Wilhelm全球微軟安全負責人畢馬威美國認識平臺整合的價值大型組織尤其熱衷于轉向平臺整合。原因之一是不同的工具會產生大量的數據和信號，并且它們執行整體安全政策的不同方面。這種復雜性使得集成和實施一致的安全政策變得具有挑戰性。通過整合不同的解決方案來精簡網絡安全工具集，使領導者能夠更清晰、更全面地了解其組織的安全狀況。這進而促進了在整個組織范圍內一致執行安全政策，使組織能夠填補潛在的漏洞的薄弱環節。在零信任框架的背景下，平臺整合也非常重要。零信任的核心要求是評估組織網絡內每一種交互，包括訪問網絡所使用的設備、采用的身份驗證方法以及具體請求的數據。然而，當組織依賴于分散

81、的安全工具時，實施零信任模型可能會非常具有挑戰性。平臺整合可以幫助執行細粒度的訪問控制并提供所需的可見性。20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。2424首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全此外，在管理身份、數據安

82、全、威脅管理、端點保護和網絡控制方面，組織可以通過規模經濟獲益。整合能顯著成本節約，因為較少的工具意味著較少的維護、培訓和支持成本。通過整合數據源，安全團隊也可以更好地利用 AI 的力量。理解您的安全數據（日志和監控、信號、威脅情報、身份驗證策略、權限分配、用戶賬戶數據等）對于賦能安全人員使用生成式AI 的能力以提升安全運營中心（SOC）及更廣泛領域的效率至關重要。這項工作的副產品是數據整合，并開始邁向建立一個由AI 驅動的網絡安全項目的第一步。應對潛在風險和挑戰雖然平臺整合提供了諸多好處，但CISO們必須意識到潛在的風險和挑戰。一個雖不新鮮但重要的問題是集中風險即組織可能過度依賴單一供應商或

83、平臺。把所有雞蛋放在一個籃子里這 是 一 個 自 云 計 算 采 用 初 期 就 一 直 存 在 于 首 席 信 息 安 全 官（CISO）視線中的風險如果某個產品或平臺存在漏洞或被攻破，公司將面臨更高的風險。最近一些備受矚目的IT相關中斷事件凸顯了這一點。因此，CISO們必須在享受精簡安全棧的好處與減輕單一故障點潛在影響之間找到微妙的平衡。從商業角度來看，另一個可能逐漸浮現的挑戰是供應商鎖定。隨著組織越來越依賴于特定的一系列產品或服務，他們可能會發現所選擇的平臺已不再滿足其需求。在這種情況下，切換到不同的供應商可能是必要的。這是一項成本高昂且復雜的任務。這可能涉及重大的兼容性問題和額外的培訓

84、要求。為了緩解這些風險，首席信息安全官（CISO）應考慮采用混合方法來整合平臺。通過依賴平臺提供商的基礎安全能力，并用專門構建的解決方案彌補不足，組織可以確保他們具備必要的彈性和靈活性以適應變化的情況。因此，首席信息安全官 可以在仍然利用平臺方法的核心優勢的同時，最小化對單一供應商或平臺過度依賴的潛在負面影響。整合決策很少是孤立作出的。相反，這是一個需要關鍵利益相關者如CISO、CIO、CFO、COO和CDO共同參與的合作過程。所有領導者都扮演著共同確保所選平臺與組織的整體安全策略和業務目標相一致的重要角色。人才和技能提升需同步跟進在平臺整合的趨勢下，人才發展和技能提升計劃也需要隨之演變。網絡

85、安全專業人士需要準備好適應并駕馭這個全新的、截然不同的環境。CISO們必須優先考慮安全運營中心（SOC）到監控人員等整個安全領域內的持續學習和人才培養。首席信息安全官及其所在組織擔心人才短缺。在這些條件下，為了增強網絡安全，有必要簡化并整合用于保護數字資產的工具和解決方案的數量。Motoki Sawada合伙人，技術風險服務部畢馬威日本20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。2525首席信息安全官（CISO）職責持

86、續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全通過在技能和知識上的適當投資，安全團隊可以建立必要的敏捷性和專業能力，以充分利用平臺整合的潛力。通過使用更精簡的工具集，安全專家將能夠把時間和精力投入到高價值的戰略行動中，并更有效地應對威脅。平臺整合也為首席信息安全官提供了一個獨特的機會來優化他們的人才培養策略。減少供應商合作數量使首席信息安全官能夠簡化培訓工作，以更低成本更便捷的方式地提升團隊技能。隨著SOC工程師和分析師接受一系列整合

87、工具的培訓，他們的工作效率和效能也將提高，這有助于提升組織整體的安全態勢。通過將人才培養與發展與平臺整合的目標相匹配，首席信息安全官（CISO）可以創建一個持續改進和降低風險的良性循環。與業務速度同步并運行隨著企業拓展新市場與新區域，網絡安全團隊面臨的挑戰也在增加。CISO們必須應對激增的用戶、設備和數據點，所有這些都需要強大的保護和監控。與此同時，據多為客戶反饋，網絡安全預算仍然受到限制，僅同比小幅增長。在這種情況下，證明網絡安全支出的合理性并向領導層展示明確價值的壓力從未如此之大，這要求CISO持續從現有投資中挖掘更多價值。重點必須放在進行明智的戰略性投資上，以實現有形價值和投資回報。此外

88、，安全措施需要與業務速度相匹配。然而，隨著業務的增長以及新技術功能的推出，與安全工具的集成不能以指數級增加成本。它必須靈活且可適應而平臺化方法有助于使這一過程在長期內更加可重復和敏捷。無論是將高級認證方法應用于新的應用程序或技術資產，還是基于信號的訪問控制，常見的模式和集成平臺方法都有助于提高系統的彈性和采用速度。首席信息安全官 必須能夠闡明他們在平臺整合方面的投資如何有助于彌補關鍵能力缺口、減少漏洞降低風險，并支持整個企業的總體目標。通過在財務責任和戰略性投資之間找到正確的平衡，首席信息安全官 可為企業奠定成功基礎。Philip BicePhilip Bice全球負責人 服務提供商合作伙伴關

89、系谷歌262620252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全駕馭AI賦能網絡安全：快速前行與安全并重傳統上，大多數網絡安全獨立軟件供應商（ISV）表示他們可以與不同的平臺互通，但市場在互操作性和有效性的實際效果參差不齊往往伴

90、隨著高昂的勞動力和維護成本。新一代的網絡安全獨立軟件供應商（ISV）則采取了不同的方法，他們將傳統分散的產品整合成一個全新的、無縫的工具，該工具具有更廣泛的功能和更好的數據訪問性。這種方法更加有效，使公司能夠為個別客戶定制環境并實現情景化，從而在數據、速度、規模、效率、成本和功能等方面持續改進。識別混合方法可帶來優勢的領域；在整合平臺與專用工具之間找到平衡點。建立備份和恢復程序以確保企業的韌性。認識到完全整合可能不可行；識別出可能需要專門工具或供應商的領域。制定分階段的整合方法，優先處理高價值高影響領域。投資于培訓并提升網絡安全團隊的技能，使其能夠高效地使用整合工具集。實施持續監控和審計流程以

91、確保平臺性能。建議行動評估現有供應商，評估平臺與企業技術架構的兼容性，并建立明確的供應商選擇和績效監控標準，為整合奠定堅實的基礎。了解更多通過技術變革保護您的業務隨著云超支增加，關注成本優化以運營韌性作為北極星目標2727安全管理平臺整合：平衡風險與收益20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身

92、份安全管理迫在眉睫智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全數字身份正在為一個更加敏捷和高效的數字世界鋪平道路。然而，由于系統與控制措施的不足以及深度偽造技術的崛起，確保數字身份的安全性正變得越來越具有挑戰。因此，迫切需要將更先進的安全機制納入驗證體系中。更重要的是，CISO和決策者需要全面理解這一領域的現狀，重新審視根深蒂固的流程，并投資于基于可靠原則的創新系統。重要趨勢 6數字身份安全管理迫在眉睫深度偽造技術帶來了另一個嚴峻的挑戰，因為它日益模糊了現實與操縱之間的界限。隨著當前AI技術更加強大、更易于獲取且成本更低，個人信息、聲音和面部特征尤其容易遭到竊取和利用。雖

93、然深度偽造在假冒和虛假信息傳播方面構成了重大威脅，但它們也為內容創作者和內容消費者帶來了機遇。改進的身份驗證方法將有助于提升內容創作者的問責性、道德標準和透明度。由此增強的認知度可以引導出更具辨別力的消費者群體。投資更好的身份驗證將有助于保護數字信息的完整性并恢復人們對所消費內容的信任。另一個組織日益擔憂的領域是機器身份的增多，特別是在與特權非人類服務賬戶相關的方面，這些賬戶可以訪問敏感數據以運行特定應用程序。隨著物聯網越來越突出，機器身份正成為組織管理的一個重要挑戰。不出所料，首席信息安全官（CISO）將其團隊的大部分注意力集中在人類訪問權限上，但他們也必須記錄非人類網絡用戶的行為，以便監控

94、他們是否以及何時會受到攻擊和潛在的威脅。數字身份管理日益復雜的局面從根本上說，每個人擁有一個屬于他們自己的獨特的身份。然而，在不同的背景下例如政府、金融或生命科學身份被應用于各種方式以服務于特定功能或滿足不同需求。CISO必須認識到，盡管個人的核心身份是單一的，但其解釋和驗證方式在不同的組織環境中可能會有所不同。隨著組織努力維護個人身份的完整性，它們越來越多地轉向高級認證技術包括生物識別技術，如指紋、面部、語音和視網膜掃描以增強安全性和簡化流程。然而，這些模式也帶來了風險，其影響可能遠遠超出典型數據泄露事件。如果這些獨特的標識符被泄露，例如，個人將長期面臨身份盜用和濫用的風險。由于生物特征本質

95、上是永久且不可替代的，因此一旦泄露難以補救。生物特征數據的收集和處理也引發了人們對生物特征系統中潛在的數據歧視和偏見的擔憂，這使得在數據編碼實踐中確保多樣性和準確性比以往任何時候都更加重要，從而保障公平可靠的識別。20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。2828數字身份安全管理迫在眉睫首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重安全管理平臺整

96、合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全為什么企業需要一個面向未來的數字身份策略從商業角度來看，無論是 B2B 還是 B2C 的情境，數字身份管理都圍繞著在組織與其網絡訪問者之間建立信任展開。通過賦予用戶對其個人信息的控制權，通過提供有關其使用的信息并增強透明度，企業可以培養客戶對其的信任和忠誠度。這種信任建立在個人能夠訪問所需資源的保障上，建立在不再需要時訪問權限會迅速撤銷的信心上，以及所有系統內采取的行為都將被記錄并可完全追溯的確切性上。維護這種信任需要在整個身份和訪問管理生命周期中采取主動管理措施，從權限配置、持續管理到撤銷訪問權限。這一點尤為

97、重要，因為長期任職的員工可能會獲得多個系統的訪問權限，從而掌握相當大的權力。為了降低與權限累積相關的風險，首席信息安全官（CISO）及其團隊必須遵循兩個關鍵的網絡安全原則：最小權限原則和知必所需原則。通過確保個人僅能訪問與其特定角色相關的系統，組織可以大幅減少攻擊者通過高權限管理員賬戶入侵并獲取敏感數據的風險。隨著員工身份和消費者身份之間的界限日益模糊，組織必須采取整體性策略。對于員工而言，一個強大的數字身份框架確保訪問敏感信息是基于明確定義的角色和責任授予的。這包括實施安全的入職和離職流程，并定期進行訪問權限的審查和更新。一個有效的數字身份策略也可以顯著提升效率和用戶體驗。一個流程優化的過程

98、可以減少重復填寫表格的需求，例如報稅、理賠保險和就醫等。這可以減少員工和客戶的摩擦和等待時間。隨著組織越來越依賴數字技術來推動增長和創新，強大的數字身份框架將成為其整體業務戰略的基石。通過投資安全、透明且以用戶為中心的數字身份解決方案，企業可以為成功奠定基礎。組織往往更關注網絡安全中人的維度，因為這更易感知。驗證機器的身份、用途、以及它在系統中創建的時間則困難得多。AnubhaSinha合伙人，數字信任與身份畢馬威澳大利亞2929首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風

99、險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。政府如何賦能受信任的數字身份生態系統數字身份仍然是確保各類政府服務和交易中實現安全高效驗證流程的關鍵接觸點。全球各國政府和大型跨國公司正在積極尋求改進個人及企業相關數字身份的解決方案。例如，澳大利亞最近推出了一項全面的數字身份計劃，名為“信任交換平臺”（Trust Exchange），其核心是通過數字錢

100、包整合需要身份認證的不同領域，如政府、社會、金融和職場身份。21通過實現跨服務的數字身份驗證，Trust Exchange 力求增加組織間的信任，同時賦予公民對其分享的個人信息的控制權。愛沙尼亞是另一個例子，該國在每個公民出生時就發放一個數字身份，并且這個身份在其一生中都有效。公民對其身份何時以及何地被驗證具有完全透明度，這有助于緩解隱私擔憂。22盡管存在這些令人鼓舞的發展，但全球系統之間的互操作性仍然是一項挑戰。由于不同國家在處理個人和生物識別數據方面的監管、風險偏好和公眾意見存在差異，若要在全球范圍內達成可信身份交換的共識，可能需要由意愿一致的企業聯盟推動，例如歐盟正在開發的互操作框架以構

101、建共享可信身份體系。然而，并非所有國家都優先考慮相同價值觀，特別是隱私方面的問題，這可能在短期內限制互操作性的深度。21 澳大利亞社會服務部，信任交換驅動安全數字服務（Trust exchange drives secure digital services），2024年8月13日。22 e-Estonia，解決方案和服務：數字身份（Solutions and services:e-Identity），2024。首席信息安全官如何引領實施數字身份策略的行動在制定數字身份策略時，CISO可以充當政府、監管機構和企業的連接紐帶。在日益復雜的環境中（大部分身份管理流程遠超出其直接控制范圍），CISO

102、必須采取主動且協作的思維模式，自上而下地協調利益相關者，以確保認知統一并推動必要的變革。安全領導者需要跟上用戶需求和期望，確保遵守核心安全原則，并持續關注新興技術如 AI 和深度偽造的影響。此外，首席信息安全官 必須將數字身份議題提升至董事會層面，確保高級領導理解其重要性并提供必要的支持。通過將身份作為網絡安全的新邊界優先考慮并在整個組織中培育網絡安全文化，首席信息安全官可為成功的數字身份管理奠定基礎。在數字身份的世界里透明度是信任的基石。我們相信，通過公開說明個人信息收集和使用方式，可以緩解人們對隱私的擔憂，并賦予個人作出明智選擇的能力。流程越透明，人們對這個系統的信任度越高。Imraan

103、Bashir合伙人及國家公共部門網絡安全負責人畢馬威加拿大303020252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全確保遵守核心安全原則，例如數據最小化和及時刪除不必要的數據，以維持最高標

104、準的數據保護。建立與其他業務部門的牢固關系和信任，以確保身份管理流程中的高效協作和協調。了解 AI 和 deepfakes 對數字身份的影響，主動應對新興威脅和漏洞。調動所有相關方，從高層開始，確保提高意識并推動圍繞可持續數字身份和訪問管理的需求。將身份視為網絡安全的新邊界，明確其在保護組織資產和利益相關者方面的關鍵作用。在保障網絡安全的同時簡化身份管理流程。通過簡化憑證的發放和使用、減少密碼依賴等來提升用戶體驗。建議行動了解更多深度偽造 它有多真實深度偽造：真實威脅隨著深度偽造技術的進步，身份操縱和欺詐的風險加劇，因此構建強大的數字身份保護機制成為保護消費者和組織免受新興威脅的關鍵。Nanc

105、y Chase全球及加拿大國家風險服務負責人畢馬威國際2025網絡安全重要趨勢2025 畢馬威企業咨詢(中國)有限公司 中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。3131首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全隨著技術的進步，智能設備和物聯網產品的爆炸式增長改變了我們與世界的互動方式。從家

106、用電器、可穿戴工業設備，以及車輛，互聯設備的激增為網絡安全從業者帶來了需要防范的新漏洞，這同時影響著公司和消費者。許多風險仍在持續演變。保護聯網設備訪問的組織數據將成為維護各行業及基礎設施完整性、安全性的關鍵。十年前的傳統方法已不再適用。企業亟需制定有效的網絡安全策略連接資產的整個生命周期以及整個組織生態系統。23 畢馬威，Smart-X：智能設備網絡安全的全面方法，2024年1月。24 畢馬威2024年全球技術報告，2024年9月。首席信息安全官在智能產品安全中的角色當各行各業包括工業制造、能源和國防等領域都希望提升效率并獲得競爭優勢時，消費者則要求便利性、可訪問性和個性化體驗。在此背景下，

107、我們預計會出現一波互聯智能設備的增長浪潮，這些設備將幾乎改變全球經濟的每一個領域，特別是醫療保健、交通運輸、制造業和零售業。隨著這些由“Smart-X”技術驅動的產品日益與公司的后端系統和數據庫相連，首席信息安全官（CISO）將不得不采取更加以產品為核心的網絡安全策略。他們需要深入參與組織和特定產品的流程，確保安全措施貫穿智能設備整個生命周期，從安全設計到設備退役。23 根據畢馬威的研究，72%的組織 正在踐行“設計即安全”的原則，即確保網絡安全團隊從初始階段就參與相關技術項目。24從初始設計和開發階段到持續維護和更新，首席信息安全官必須與工程、開發及產品支持等團隊密切合作，共同應對互聯設備帶

108、來的獨特安全挑戰。重要趨勢 7智能設備的“智能”安全防護Marko Vogel合伙人，網絡安全畢馬威德國這些技術的發展帶來了新的風險和漏洞。此外，這一新現實使得網絡安全更加貼近社會整體一旦出現問題，不再僅僅是企業層面的危機。潛在影響可能從輕微的不便到對公共安全、安全和隱私的重大威脅不等。因此，保護 Smart-X 技術的安全性不僅對于保護單一實體至關重要，更是維護整個行業和基礎設施的完整性和安全性的關鍵。20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版

109、權所有，不得轉載。在中國印刷。3232智能設備的“智能”安全防護首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益構建企業韌性：網絡安全護航企業和社會安全CISO必須認識到智能產品供應鏈極其復雜。在安全層面，這些外部供應商和流程必須從端到端嚴格管理，因為所有環節都是相互關聯的。當輪胎遇到科技一個顯著改變并現在歸入智能設備范疇的設備是汽車。近年來，車輛從簡單的機械裝置進化為復雜的聯網設備?，F代汽車如今配備了一系列傳感器、處理器和軟件系統，使自主駕駛、實時導航和空中升級成為可

110、能。此外，OEMs（原始設備制造商）越來越多地提供“作為服務”的額外功能，這突顯了向基于服務的模式轉變的趨勢，以便訪問高級車輛功能。顯然，聯網汽車已經從根本上改變了我們與汽車互動的方式。然而，隨著技術的日益復雜，這也為網絡安全專業人士帶來了新的挑戰。隨著車輛越來越依賴軟件和連接性，它們也變得更容易受到與其他聯網設備所面臨的相同類型的網絡威脅，如黑客攻擊、數據泄露以及惡意軟件感染。智能車輛作為企業的延伸，可以直接訪問企業后端系統和數據庫。這可能導致敏感的組織數據暴露于潛在的黑客面前。從消費者的角度來看，隨著電動汽車、自動駕駛汽車和聯網汽車越來越普遍，網絡攻擊的威脅顯著增加。今天的汽車利用數百萬行

111、代碼來支持其眾多高級功能，這使它們更容易受到未經授權的訪問和黑客攻擊。該領域的首席信息安全官（CISO）必須研究并采用工具和策略，將相關的網絡安全協議及流程落地。25智能醫療設備的安全審視同理，隨著醫療設備的激增以及網絡攻擊者發現其漏洞，針對醫療設備的網絡攻擊頻率和嚴重程度正在加劇。醫療設備已成為攻擊者的高價值目標。盡管技術創新迅速，但仍有大量老舊的醫療設備在使用中，其中許多設備存在安全漏洞或管理不足。存在安全漏洞的醫療設備可能會向未經授權的人員泄露敏感的患者信息，擾亂關聯技術，危害患者健康甚至可能導致醫院運營癱瘓。這要求所有利益相關者從制造商和醫療服務提供商到安全團隊進行溝通并協作，主動識別

112、網絡風險及相關威脅，制定緩解和補救措施，并確?；颊叩某掷m安全與保障。隨著網絡安全標準和實踐的不斷演變，制造商以及首席信息安全官（CISO）面臨著確保這些設備符合最新安全要求這一艱巨任務。25 畢馬威國際，網絡安全車輛：聯網車輛數量的增長需要更好的網絡安全措施（Cybersecure Vehicles:Growing number of connected vehicles warrants better cybersecurity measures），2024。26 網絡安全政策與法律中心，英國 PSTI 法案生效，2024年4月29日。27 澳大利亞政府，內政部，網絡安全法（Cyber Se

113、curity Act），2024年11月29日。物聯網和工業物聯網（IIoT）安全法規的演變圍繞物聯網（IoT）和工業物聯網（IIoT）的安全性的監管環境也在不斷發展。出現了新的法規來應對人們對連接設備的隱私和安全日益增長的關注。歐盟網絡韌性法案（CRA），一項于2024年生效的具有開創性的歐盟法規，規范聯網硬件和軟件產品的制造商。CRA旨在“解決消費者和企業當前面臨的如何判斷哪些產品是網絡安全的并如何安全配置的挑戰?！彼性跉W盟銷售和使用產品的制造商和供應商，無論是歐盟內部還是外部，都必須遵守CRA。這對在歐盟擁有設施與供應鏈的全球企業尤為重要。在英國，產品安全與電信基礎設施法案（PSTI）

114、為使用聯網技術產品的消費者設定了保護標準。它要求制造商專注于安全設計原則，例如禁止默認弱密碼，明確安全更新最低周期，并提供合規聲明。26PSTI為其他地區在智能產品安全監管方面樹立了先例。隨著物聯網（IoT）和工業物聯網（IIoT）設備的日益普及，組織必須應對越來越復雜的安全法規網絡，特別是在歐洲。為了有效應對這一環境，公司必須開發統一的安全管理方法，考慮不同管轄區內的全部法規范圍。這要求首席信息安全官（CISO）與包括法律和合規團隊在內的各種利益相關者密切合作。2024年，澳大利亞通過了類似立法，以確保智能設備的制造商和供應商符合相關安全標準。272025網絡安全重要趨勢2025 畢馬威企業

115、咨詢(中國)有限公司 中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。3333首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全管理智能產品的長生命周期智能產品的長生命周期為CISO及其團隊帶來了獨特的安全挑戰。與傳統設備可能具有相對較短的使用壽命不同，智能產品如汽車可以使用數十年。這些設備的基礎架構必須

116、設計為能夠定期更新和升級，以適應新技術、法規要求和不斷演變的安全威脅。在這樣的動態環境中，CISO必須與產品開發團隊密切合作，將安全考量嵌入智能產品的長期規劃中，這意味著企業需要探索可能的發展趨勢，如量子計算，這些趨勢可能會在未來幾十年影響安全格局。與傳統的IT系統不同，傳統的IT系統可以輕松部署補丁和更新，而智能設備通常嵌入了軟件，由于諸如連接限制和無法實時打補丁等因素限制，這些軟件更難更新。因此，首席信息安全官需要制定強大的策略來管理整個產品生命周期中的軟件更新。此外，CISO還需教育最終用戶認識到定期更新軟件的重要性，并提供清晰的指導。圍繞所有智能產品而不僅僅是汽車和醫療設備的供應鏈進一

117、步增加了復雜性。由于組件來自不同供應商，理解構成每款智能產品的軟件模塊至關重要。CISO 需要通過評估潛在漏洞來確保供應鏈的完整性和安全性。這包括維護詳細的軟件物料清單，這使制造商能夠快速檢測并解決關鍵漏洞，即使在設備部署給最終用戶后也是如此。從整體角度出發，應對智能設備的安全問題和將其融入 Smart-X 生命周期的每一個方面都至關重要，不僅是為了保護敏感信息和資產，也是為了維護客戶和利益相關者的信任。評估新興技術對Smart-X 安全的影響AI 和其他新興技術，如自動化，robotics、5G 和邊緣計算為CISO們在確保智能產品的安全方面帶來了機遇和挑戰。通過踐行DevSecOps原則，

118、并在開發的最早階段將AI能力嵌入到智能產品中，組織可以創建一個更強大且適應性強的安全框架，覆蓋整個產品生命周期。然而，這也引入了新的復雜性和風險。隨著這些技術變得更加先進并深入嵌入到智能產品的功能中，安全漏洞或故障的潛在影響變得更為嚴重。CISO應該努力加深對 AI 和其他新興技術如何與智能設備交互的理解，識別可能存在的被惡意行為者利用的模式和潛在漏洞。這需要與產品開發團隊密切合作，并致力于持續測試和評估，以確保安全措施在技術發展過程中保持有效。AI 有望徹底改變安全威脅的檢測和緩解方式，使安全團隊能夠主動預測并規劃潛在漏洞。最終，CISO必須在擁抱智能設備中新興技術的好處與保持強大且適應性強

119、的安全框架之間找到平衡。統一的安全觀是首要任務。如果沒有統一的安全觀，組織將無法高效或有效地開展業務，因為如今合同中包含了許多安全要求當然這理應如此。Jayne Goble合伙人，網絡安全 K畢馬威英國20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。3434首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險

120、與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全實施一個涵蓋 Smart-X 設備整個生命周期的安全框架，從安全設計到設備退役，包括針對物聯網 IoT 和工業物聯網 IIoT 設備的具體策略。建立早期保障機制并維護詳細的軟件物料清單，以實現對設備的快速檢測和召回，從而管理關鍵漏洞。制定并實施針對智能設備特定使用環境的安全計劃，充分認識安全和信任在提升設備整體可靠性和客戶信心方面的重要性。鼓勵在各種網絡協議和標準（如Bluetooth、Ethernet、5G/6G）上的投資，以優化連接性和安全性。通過透明的網絡安全措施、第三方審計以及合規性管理來解決潛在的物理安全問題并建

121、立客戶信任。建議行動了解更多控制系統網絡安全年度報告 2024Smart-X KPMG 沙特阿拉伯網絡安全車輛20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。3535首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全韌性已成為組織和社會

122、關注的焦點，尤其是在關鍵基礎設施領域以及信息技術（IT）和操作技術（OT）之間。其核心在于通過管理攻擊面降低入侵概率，快速識別以及在最大限度地減少事故的同時對事故做出反應，實現迅速恢復。隨著攻擊者可能利用勒索軟件或其他惡意手段引發大規模工業中斷（危及數據與人身安全）的風險持續加劇，這一主題正成為首席信息安全官（CISO）議程的核心。為了有效地嵌入彈性，CISO需要綜合考量多重因素-威脅態勢、組織資產形態演變、政府角色及法規要求。通過全面的資產管理增強網絡安全韌性有效的資產管理仍然是網絡彈性的基石。CISO必須意識到，如果不了解自身資產，便無法保護需要保護的東西。這不僅包括維護日常運營的組織數據

123、中心內的資產，企業IT之外的工廠運行系統、大眾交通網絡調控系統及能源電網管理系統等關鍵終端。缺乏此類監管，識別企業資源規劃（ERP）系統等核心系統及其潛在威脅就會變成猜謎游戲，從而使組織暴露于風險之中。針對關鍵基礎設施的網絡攻擊頻率與規模將持續攀升，動機從經濟利益到地緣政治問題和恐怖主義不等。這些攻擊的影響可能是毀滅性的，甚至可能導致嚴重的社會危害。網絡犯罪造成的財務損失也在急劇上升，全球數據泄露的平均成本在2023年第一季度至2024年第一季度期間達到了近500萬美元，比上一時期增加了10%。28重要趨勢 8構建企業韌性：網絡安全護航企業和社會安全28 IBM，2024 年數據泄露成本報告（

124、Cost of a Data Breach Report 2024），2024 年 7 月。研究時間為 2023年3月至2024年2月。到2025年，我們仍在討論如何正確地發現、理解、分類并最終保護組織的關鍵資產，這真是令人驚訝。Jason Haward-Grau全球網絡恢復服務主管畢馬威美國20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。3636首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智

125、能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全為應對這一挑戰，組織越來越多地采用終端檢測與響應（EDR）和擴展檢測與響應（XDR）解決方案。EDR專注于監控并保護終端設備，如筆記本電腦、臺式機和移動設備，而XDR通過整合來自多個安全工具和系統的數據，提供更全面、高效的組織安全態勢視圖。盡管 EDR 和 XDR 已經被更廣泛地采用，但它們尚未達到全覆蓋。這些解決方案本身并不是萬能藥，應被視為組織建立的更廣泛的安控框架中的重要組成部分，以幫助組織有效管理問題、獲得可見性、快速檢測異

126、常與威脅，并高效響應事件。應對生態系統擴張和第三方合作的風險隨著組織越來越多地依賴第三方供應商提供軟件和服務，供應鏈薄弱環節的風險也在增加。生態系統不斷擴張也擴大了攻擊面，每增加一個第三方合作關系，潛在的入侵點也隨之增多。黑客常尋找最小阻力的路徑入侵網絡，一臺未受保護的打印機即可成為突破口。外部供應商的安全漏洞可能會危及整個系統，可能導致諸如“藍屏死機”之類的災難性事件，即關鍵系統陷入無響應且不可訪問狀態。這使得首席信息安全官（CISO）必須通過評估和強化合作伙伴和供應商的安全態勢來有效管理這些風險。為了應對這些挑戰并確保符合新興法規（如歐盟的 DORA 數字運營韌性法案、NIS2網絡和信息系

127、統安全指令2和CRA網絡安全韌性法案），組織正在采取更為積極主動的方法來管理第三方安全。這些法規旨在構建運營韌性，其中DORA特別針對金融機構的韌性要求，其目標是為韌性提供框架，包括如何為中斷做準備、事件發生時的應對措施及中斷報告機制。29通過從合作初期明確安全預期，并要求軟件和硬件供應鏈中保持透明度和問責制，組織可以更好地保護自己免受各種供應鏈攻擊。值得注意的是，CRA 要求供應商除常規硬件物料清單（HBOM）外，還需提供軟件物料清單（SBOM），以確保對其產品和服務中使用的庫和組件有全面的理解。30面對物理和虛擬威脅融合的局面，采取全面的安全策略在應對網絡攻擊時，物理世界與虛擬世界的界限已

128、不再分明。這意味著組織必須考慮網絡威脅對其物理資產和運營的潛在影響，以及物理安全漏洞如何導致虛擬脆弱性。CISO需要將其團隊的關注點從持續監控轉向主動識別深度偽造等潛在攻擊入口。采用兼顧物理與虛擬屬性的整體安全策略，對于防御全方位威脅至關重要。這包括為遠程工作者加固VPN隧道，并確保所有設備無論是公司配發的還是員工個人擁有的都得到充分管理和保護。29 畢馬威，迎接 DORA合規挑戰,2024.30 網絡韌性法案將Manifest Cyber和SBOMs置于歐盟舞臺中央，2024年3月6日。我們每天都能聽到一個國家對另一個國家發動網絡攻擊的消息，反之亦然。當前國際沖突中，幾乎每一次實體軍事對抗都

129、伴隨著同樣破壞性但無形的網絡攻擊。這凸顯了構建強大網絡防御體系的迫切需求。Merril Cherian合伙人畢馬威印度組織也必須準備好應對網絡攻擊可能引發現實世界后果的事實。例如針對關鍵基礎設施的成功攻擊，可能導致大范圍癱瘓、經濟損失甚至人員傷亡。通過認識到物理世界和虛擬世界的相互關聯性，組織可以更好地為這些類型的事件做好準備并作出響應。373720252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。首席信息安全官（CISO）職責

130、持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全政府在網絡安全中不斷演變的角色隨著網絡攻擊對關鍵基礎設施的影響越來越大，政府在保護企業免受導致重大社會危害的攻擊方面的作用愈發重要。同時，組織不能僅僅依靠政府的保護，政府可以通過一些監管之外的措施支持組織網絡安全工作的解決方案。例如，政府可在促進組織間信息共享和制定法規方面發揮關鍵作用，以保護企業免受大規模網絡攻擊并增強其整體韌性。像美國的信息共享和分析中心正致力于推動跨行業情報共享。通

131、過鼓勵和支持這些類型的倡議，政府可以幫助打破歷史上阻止組織公開討論網絡攻擊的壁壘。盡管政府主動針對網絡犯罪集團的定向打擊可能性較低，但仍有可能通過切斷其資金來源、削弱其攻擊能力來遏制特定組織。然而，許多此類犯罪集團活躍于難以觸及的國家。實施主動安全措施，例如分析用戶行為和識別異常。以增強組織的實時韌性。制定一份韌性計劃，明確關鍵資產及在遭受網絡攻擊時維持運營的策略。定期測試和演練網絡安全響應計劃，為領導者應對重大攻擊做好準備，并提高組織的準備度。評估第三方安全漏洞，將法規視為強化組織網絡安全基礎的機遇。優先持續學習與演進，及時了解最新的威脅、漏洞和網絡安全的最佳實踐。開展徹底的事后分析，以識別

132、根本原因，制定整改計劃并加強網絡安全防御。建議行動了解更多迎接 DORA合規挑戰保持網絡警惕并保持韌性勒索軟件的十年 畢馬威荷蘭20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。3838構建企業韌性：網絡安全護航企業和社會安全首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護保

133、持對不斷變化的監管環境的關注，并積極游說政府以推動其立法制定增強整體韌性的控制措施2025年網絡安全戰略隨著組織在未來一年戰略性地投資AI及其他技術，首席信息安全官（CISO）及更廣泛的業務線應采取哪些行動，確保網絡安全真正成為企業目標的推動者？以下是CISO在日益復雜的全球環境中保護業務并賦能增長的關鍵建議清單。為由于 AI 自動化和轉向基于云的服務而導致的首席信息安全官（CISO）角色的變化做好準備。認識到CISO的角色從單一的網絡防御者擴展到風險管理師、政策倡導者和影響力推動者。培養和提升溝通與影響能力，有效地傳達網絡安全的重要性，推動各層級和各部門的變革。開發并部署超越傳統做法的持續培

134、訓項目方法，利用創新和沉浸式的技術（如模擬演練）來推動員工行為可持續性變化。確定并建立必要的控制措施的所有權，以緩解與AI相關的風險，并明確界定誰擁有并對其負責，確保這些控制措施與組織的整體數據治理框架一致。提升員工和客戶對企業及對手使用 AI 所帶來的風險的認知。明確 AI 使用者的角色和職責，并透明公開 AI 被應用的場景和計劃。優先提升安全團隊所需的必備技能，并確保他們跟上最新的 AI 發展。投資于培訓并提升網絡安全團隊的技能，使其能夠高效地使用整合工具集。人員流程繼續在 DevSecOps 過程中通過設計構建安全性，并且將專注于網絡安全的團隊成員嵌入到業務功能中。實施以人為中心的風險降

135、低策略，專注于解決網絡安全中的人為因素，因為人為因素占了四分之三的網絡入侵。建立紅隊結構以對 AI 模型進行測試，確保其穩健性和可靠性，避免生成不準確的結果，或者不良信息。明確第一道（業務線）和第二道（風險與合規）防線之間支持 AI 能力的角色和責任。在保障網絡安全的同時簡化身份管理流程。通過簡化憑證的發放和使用、減少密碼依賴等來提升用戶體驗。實施涵蓋 Smart-X 設備整個生命周期的安全框架，從安全設計到設備退役，包括針對物聯網（IoT）和工業物聯網（IIoT）設備的具體策略。定期測試和演練網絡安全響應計劃，為領導者應對重大攻擊做好準備，并提高組織的準備度。開展徹底的事后分析，以識別根本原

136、因，制定整改計劃，并加強網絡安全防御。20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。3939首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全牽頭討論采用AI等顛覆性技術，解釋風險及緩解措施。隨著個人數據與企業數據在基于云和AI服務之

137、間的界限變得模糊，需對第三方供應商進行全面的盡職調查，以確保他們的合同義務清晰且與其組織的整體數據治理框架一致。首先解決基本的安全問題比如補丁管理、數據保護、IAM等然后再轉向更復雜的活動，如在整個企業中實施和擴展 AI。持續評估AI在安全運營中心（SOC）一級與二級任務中的應用場景，投資AI技術以量化并追蹤人為風險，提升風險管理效能并適應威脅態勢演變。識別混合方法可帶來優勢的領域；在整合平臺與專用工具之間找到平衡點。建立備份和恢復程序以確保企業的韌性。確保遵守核心安全原則，如數據最小化和及時刪除不必要的數據，以維持最高標準的數據保護。了解 AI 和 deepfakes 對數字身份的影響，主動

138、應對新興威脅和漏洞。數據和技術監管隨時了解法規變化，與董事會溝通，明確職權范圍，以降低個人責任風險。評估第三方安全漏洞，將合規要求視為強化組織網絡安全基礎的契機。保持對不斷變化的監管環境的關注，并積極游說政府以推動其立法制定增強整體韌性的控制措施。理解與 AI 實施相關的監管義務并評估現有的合規要求。制定并傳達清晰的 AI 使用政策、標準和流程。與其他行業領導者以及全球政策制定者合作并保持開放對話。通過透明的網絡安全措施、第三方審計以及合規性管理來解決潛在的物理安全問題并建立客戶信任。根據監管要求為智能設備建立早期保障機制，并維護詳細的軟件物料清單，以實現快速檢測和召回設備，從而管理關鍵漏洞。

139、2025年網絡安全戰略20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。4040首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全畢馬威如何助力您的網絡安全畢馬威團隊擁有從董事會到數據中心的全程服務經驗。除了評估您的網絡安全態勢并使其與業

140、務優先級對齊外，畢馬威專家還能協助開發先進數字化解決方案、實施部署、持續監控風險，并高效應對網絡事件。無論您處于網絡安全建設的哪個階段，畢馬威均可助您達成目標。作為網絡安全的專業服務商與實施者，畢馬威專家深諳如何應用前沿安全實踐并構建定制化方案。我們在網絡安全領域的創新方法也體現在服務交付模式上無論以何種方式合作，您都將與懂業務、懂技術的專業團隊并肩前行。無論您正進軍新市場、推出新產品服務，還是以創新方式與客戶互動，畢馬威專家都能助您預見未來，通過安全可信的技術加速發展、搶占先機。因為我們匯聚了獨特的技術經驗、深厚的行業洞見，以及致力于助您守護并構建利益相關方信任的創新型人才。畢馬威 創見不同

141、 智啟未來了解更多請訪問 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。作者簡介作為畢馬威網絡安全實踐的美國區領導人，KyleKyle擁有超過20年的信息系統的從業經驗，并在網絡安全、數據隱私、監管合規、風險管理以及一般技術問題等領域具備豐富的背景知識。盡管他具備強大的技術能力，但KyleKyle更傾向于采用以業務為中心的方法來解決技術問題，即通過根治問題本質而非僅僅修復技術表象來實現目標。他是一位受眾多財富500強企業信賴的顧問，與企業的高級管理人員（包括董事會成員、審計委

142、員會、首席信息官、首席財務官、首席運營官、首席技術官和首席信息安全官）緊密合作。在超過22年的網絡安全職業生涯中，Dani曾與政府機構合作制定國家網絡安全戰略，并與國際監管機構合作應對網絡風險。她擁有豐富的經驗，幫助客戶提升董事會層面對網絡安全問題的理解。她曾在亞洲的電信和電力公司擔任首席信息安全官（CISO），負責組建并管理網絡安全團隊。Dani積極倡導包容與多樣性，并支持女性參與計算機科學和網絡安全領域。她曾領導畢馬威馬來西亞及亞太地區的網絡安全和新興技術風險實踐，也曾擔任畢馬威全球物聯網工作組的負責人。Matt負責推動畢馬威在亞太地區12家成員所中的網絡安全戰略。他擁有超過25年的科技、

143、財務、審計和咨詢經驗，主要服務于金融服務行業的客戶。Matt專精于科技咨詢領域，尤其在養老基金與財富管理、銀行及保險行業方面，并提供涵蓋科技治理與風險、網絡安全、項目管理、IT戰略與績效等多方面的服務。他熱衷于利用技術推動組織目標的實現，助力客戶的數字化戰略與運營模式，并保護其數據、資產及系統安全。Prasanna是畢馬威網絡安全服務團隊的高級合伙人，常駐美國。他是美國網絡安全負責人，擁有20年專注于網絡安全和科技風險管理轉型的豐富經驗。此前，他曾領導畢馬威的全球及美國網絡解決方案業務。憑借對市場領先的網絡安全與治理、風險及合規（GRC）技術解決方案的深刻理解，他協助客戶實現整合轉型。Pras

144、anna憑借其在基于技術的轉型方面的豐富經驗，為能源、媒體和電信行業的客戶提供支持。除了擔任畢馬威印度全球網絡安全業務負責人外，AkhileshAkhilesh還領導該公司的信息技術咨詢與風險咨詢服務。他熱衷于探索信息技術的發展如何助力企業推動智能化流程并實現高效成果。AkhileshAkhilesh已在網絡安全、IT戰略及技術選型領域為超過200家企業提供咨詢服務，并幫助他們充分挖掘技術帶來的商業價值。此外，他還精通行為心理學領域，致力于通過用戶行為分析等手段，全面解決IT風險問題。Kyle Kappel 網絡安全服務網絡負責人高級合伙人，畢馬威美國Dani Michaux EMA 網絡安全

145、負責人合伙人，畢馬威愛爾蘭dani.michauxkpmg.ieMatt OKeefe ASPAC 網絡安全負責人合伙人，畢馬威澳大利亞.auPrasanna Govindankutty美國網絡安全負責人高級合伙人，畢馬威美國Akhilesh Tuteja全球網絡安全負責人畢馬威國際合伙人，畢馬威印度20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。42駕馭AI賦能網絡安全：快速前行與安全并重首席信息安全官（CISO）職責持

146、續演變網絡安全人才管理至關重要構建可信人工智能數字身份安全管理迫在眉睫安全管理平臺整合：平衡風險與收益智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和社會安全致謝20252025()()網絡安全重要趨勢畢馬威企業咨詢 中國 有限公司中國有限責任公司，是與畢馬威國際有限公司 英國私營擔保有限公司 相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。43安全管理平臺整合：平衡風險與收益構建企業韌性：網絡安全護航企業和社會安全本報告的出版與全球各地同事的鼎力支持密不可分，特此感謝他們共同參與報告的設計、分析、撰寫和制作。我們的全球網絡安全團隊:John

147、HodsonSamar IqbalBilly Lawrence LeonidasLykos MichaelThayerImraan Bashir 畢馬威加拿大ibashirkpmg.caKatieBoswell畢馬威美國OscarCaballero畢馬威墨西哥.mxNancy Chase 畢馬威國際nchasekpmg.caMerril Cherian 畢馬威印度Samantha Gloede 畢馬威國際JayneGoble畢馬威英國jayne.goblekpmg.co.ukJasonHaward-Grau畢馬威美國MatthewMiller畢馬威美國WendyLim畢馬威新加坡.sgBrea

148、hSandoval畢馬威美國MotokiSawada畢馬威日本AnubhaSinha畢馬威澳大利亞.auBobbySoni畢馬威國際PaulSpacey畢馬威國際paul.spaceykpmg.co.ukMarkoVogel畢馬威德國JimWilhelm畢馬威美國KoosWolters畢馬威荷蘭wolters.kooskpmg.nlDominikaZerbe-Anders 畢馬威澳大利亞.auPhilipBice全球負責人服務提供商合作伙伴谷歌LouFiorello副總裁安全產品ServiceNowErinHughes網絡安全咨詢主管SAP北美TerenceJacksonCISM,CDPSE,

149、GRCP客戶安全官微軟安全解決方案我們的全球合作伙伴:我們的聯盟合作伙伴：首席信息安全官（CISO）職責持續演變網絡安全人才管理至關重要數字身份安全管理迫在眉睫智能設備的“智能”安全防護構建可信人工智能駕馭AI賦能網絡安全：快速前行與安全并重如需獲取畢馬威中國各辦公室信息，請掃描二維碼或登陸我們的網站:https:/home.kpmg/cn/zh/home/about/ofices.html本刊物經畢馬威國際授權翻譯，已獲得原作者及成員所授權。本刊物為畢馬威國際發布的英文原文“Cybersecurity considerations 2025”(“原文刊物”)的中文譯本。如本中文譯本的字詞含義

150、與其原文刊物不一致，應以原文刊物為準所載資料僅供一般參考用，并非針對任何個人或團體的個別情況而提供。雖然本所已致力提供準確和及時的資料，但本所不能保證這些資料在閣下收取時或日后仍然準確。任何人士不應在沒有詳細考慮相關的情況及獲取適當的專業意見下依據所載資料行事。2025 畢馬威企業咨詢(中國)有限公司 中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。畢馬威的名稱和標識均為畢馬威全球組織中的獨立成員所經許可后使用的商標。聯系我們張令琪畢馬威中國科技咨詢服務主管合伙人Tel:+86(21)221

151、2 3637郝長偉畢馬威中國科技咨詢技術風險管理服務主管合伙人Tel:+86(10)8508 5485黃芃芃畢馬威中國科技咨詢技術風險管理服務業務合伙人Tel:+86(21)2212 2355 周文韜畢馬威中國科技咨詢技術風險管理服務業務合伙人Tel:+86(21)2212 3149張倪海畢馬威中國科技咨詢技術風險管理服務業務合伙人Tel:+852 2847 林海燕畢馬威中國科技咨詢技術風險管理服務業務合伙人Tel:+852 2143 8803赫榮科畢馬威中國科技咨詢技術風險管理服務業務合伙人Tel:+86(755)2547 3398鄔敏華畢馬威中國科技咨詢技術風險管理服務業務總監Tel:+86(21)2212 3180 宋智佳畢馬威中國科技咨詢技術風險管理服務業務總監Tel:+86(21)2212 3306李振畢馬威中國科技咨詢技術風險管理服務業務總監Tel:+86(10)8508 5397