将风险管理融入组织基因的 5 个关键步骤

彼得·舒马赫：好的，感谢各位。抱歉开场稍有延迟。欢迎大家参加今天的网络研讨会，感谢各位拨冗出席。本次主题是《将风险管理融入组织基因的五大关键步骤》。我们很荣幸邀请到PayPal信息安全高级总监布莱恩·约翰逊。我是彼得·舒马赫，将担任本次会议的主持人。 正式开始前请允许我说明几项注意事项：首先提醒各位，为最大限度减少背景噪音，所有参会者麦克风均已静音。为保持会议互动性，我们鼓励大家通过屏幕底部的问答面板提交问题。 若时间允许，将在会议结束时安排与布莱恩的现场问答环节。本次网络研讨会全程录制，我们将在一两天内通过邮件发送录播副本。 嗯，我知道各位参与并非为听我发言，现在请布莱恩接手主持。非常感谢您参与本次会议，布莱恩，请您开始吧。

布莱恩·约翰逊：彼得，感谢您的邀请，也欢迎各位的到来。感谢大家参与本次网络研讨会，我们聚焦风险管理这一关键议题，探讨如何将其融入组织基因。这个话题如今尤为重要，尤其在当前全球疫情背景下，我们的工作环境正经历剧变。 我们的社交方式、工作模式乃至所有生活形态都因突发事件而彻底颠覆。这凸显出一个比我们这一代人以往任何时候都更为紧迫的需求：企业不仅需要周密的计划、应急预案和商业准备，更要确保能在关键时刻做出及时决策，且这些决策必须基于充分的信息支撑。 能否在正确时机基于准确信息决策，正是区分企业能否在危机中蓬勃发展或艰难求生的关键。因此即便在数月前——甚至疫情爆发前——我们提出这个议题时，其重要性已不言而喻。如今面对现实环境的演变， 我们意识到必须向领导层、董事会及高管层提供决策所需的信息，以确保决策尽可能精准有效。首先，衷心祝愿各位平安顺遂。当前能抽空获取继续教育学分、提升技能或就相关议题开展协作，实属难得机遇。 在PayPal的工作环境中，我们正经历剧变。市场环境已深刻改变了工作模式与协作方式。与全球同事交流时，我们听到诸多案例：工作岗位受到冲击，市场波动正重塑我们的业务模式。 但在这所有变化中，人类的团结精神、彼此间的信任建立与维护始终是我们重点投入的方向。我们致力于持续维系人际关系，让员工尽可能感到安全，并灵活调整以满足这些需求。 言归正传，我将简要介绍背景后进入今日主题，并预留问答时间。期待聆听各位对内容的见解、对分享观点的反馈，更盼知晓诸位的视角与疑问。关于我在技术领域的履历背景： 我在技术领导岗位上已有二十余年经验，曾服务于大型金融机构的基础设施与运营部门，也曾在初创科技公司任职，最近则在PayPal从事金融科技领域工作。 在技术与安全领域，我目睹过各种安全成熟度模式和倡导程度——从抵制风险管理理念、质疑信息安全与网络信任/网络安全在组织中的价值，到全力支持并投入重金。 我深知各位的立场也各不相同。有些组织会全力支持安全项目及所需投资，以维持并发展安全体系。这类投资往往成为我们信赖的运营模式范本，需要持续维护。 而在多数情况下，我们需要构建商业案例说服管理层投资特定业务领域、拓展新市场，甚至仅是管理基础风险项目。呃，请稍等片刻——我看到有人反馈回声异常严重。让我尝试调整音频设备，正在处理该评论。 现在声音改善了吗？各位能听得更清楚了吗？

彼得·舒马赫：布莱恩，据我所知，嗯，情况似乎没问题。嗯，虽然有点回声，但你的音频现在和视频同步了，我觉得，嗯，这应该能行。

布莱恩·约翰逊：好的。很好。那么我继续。 我想要向各位阐述的基础背景，是高德纳公司曾进行过相关研究的课题——作为该课题的组成部分，它提供了一套风险管理开发的方法论与框架。我将分享自己及合作机构如何将该框架融入组织实践的视角，包括如何在组织架构、职能设置及优先级规划中构建这一体系。 其中部分实践已促使不同行业伙伴重塑组织架构，甚至调整团队结构，并在组织中设立此前可能不存在的特定岗位。在接下来的交流中，我将阐述这些实践案例，同时介绍一些您可能熟悉或陌生的概念。 希望这些内容能为各位提供可运用于本组织的宝贵经验。现在我想就风险管理与技术安全风险管理中的定量与定性问题进行探讨——请使用Zoom会议中的举手功能：若贵公司在业务中采用过定量风险分析（即通过定量模型或统计分析进行风险测算与管理），请点击举手按钮。 换言之，即通过定量模型或统计分析手段在贵组织实施风险测算与管理。目前有10位同事举手。这意味着约10%的参与者采用此方法。感谢反馈，这有助于了解大家的实践基础。好的。 看来不到10%的听众表示使用过定量风险分析。这个数据很有参考价值。接下来要讨论的定量风险分析对多数组织而言是新概念——坦白说，我们中很多人此前甚至缺乏定量衡量风险的工具、框架或方法论。

布莱恩·约翰逊：因此，我们多数人通常通过红黄绿三色报告来定性评估风险——可能是红黄绿指示灯，也可能是某种箭头指示器，或是哈维球来显示进度完成百分比或风险动量指标。这些工具需要综合运用。随着风险管理计划的成熟，会发现市场上和行业内现有的工具与平台正逐渐演变为兼具定性与定量双重功能的解决方案。没错，你应当定性评估组织内部及全公司的风险状况，但同时必须进行定量测量——这样才能建立基准线、追踪趋势变化，并衡量进展成效。 当我们投资技术、安全平台及业务计划时，必须能衡量风险随时间的差异、变化与演进，从而向业务部门证明价值。因此我们讨论的核心主题将围绕业务价值展开——风险管理的商业价值是亟需在企业领导层加强关注的重点领域。 接下来让我们深入探讨应对这些挑战的具体方法及行业痛点。审视该领域的行业挑战时，我们必须认识到所处环境正经历剧烈变革。 无论是全球性疫情，还是在所谓"恢复常态"的常规业务中，我们始终面临着新法规的持续出台。作为受监管实体，无论身处医疗、能源、金融或任何行业领域，企业都必然承受着来自监管机构或合规部门的压力与要求。 我们观察到这些监管领域正呈现出一个趋势：监管测试正从被动响应转向主动持续的动态监测。

布莱恩·约翰逊：因此，我们通过这种将风险融入组织架构的模型所采取的部分策略，就是更主动地开展风险评估与风险管理。我建议必须实施的核心原则之一，就是持续测试和验证与风险相关的控制措施。高德纳公司也强烈建议将项目建设为持续主动的模式。 后续演示中将介绍具体实施方法。另一关键点是集成与自动化。当前风险管理常被孤立处理，相关数据往往被视为附属品。我建议将风险管理嵌入业务职能体系，至少实现虚拟整合。 具体实现方式包括：自动化数据采集流程，自动化仪表盘或KPI与KRI关联关系，确保数据采集能实时应用——而非仅限于季度或年度周期。这意味着您可随时调取仪表盘，至少掌握与风险驱动因素相关的关键绩效指标，进而将其整合至业务线。这样当您采用OKR（目标与关键结果）体系， 无论是采用目标与关键结果法，还是其他业务目标与风险对齐模型，都能将其融入业务计划，真正驱动整个业务集团及组织内各团队和合作伙伴的决策与优先事项。 第三点是量化与情境化。关键在于：当我们用红黄绿三色或箭头标识来定性描述风险时，商业术语往往无法随时间推移持续传达风险演变。

布莱恩·约翰逊：所以，吸引注意是好事。当你带着报告介入时——或者当你从合规团队或技术组织的风险管理角度出发时——通常会用听起来很可怕的方式呈现风险，比如说："嘿，这是个非常糟糕的领域，我们必须重点关注。" 但若用业务影响来量化风险，就能传递更具说服力的信息，这种信息具有持久性，让你能随着时间推移证明价值——而不是仅仅说风险等级从红色降到橙色，或是变成琥珀色之类的渐变色。 随后我们开始进行定性讨论——相信在座诸位也常面临类似情境：试图通过模型类比来传达风险。纯粹的定性方法未必能准确传递信息。若结合业务场景，比如你的支付服务应用或交易应用需要与银行、医疗服务商等合作伙伴网络进行转账，此时损失就涉及服务等级协议（SLA）。 假设你签订了服务等级协议，合同规定每次服务中断或停机、客户生产力损失、或因监管机构罚款制裁导致的影响，都将造成每小时1万美元的损失。 这些损失需通过业务服务进行情境化处理，并以美元或当地货币量化呈现。通过精细化计量，风险可转化为业务价值的组成部分，同时能以实际硬通货、成本节约及利润提升等形式反向衡量风险的业务价值。 因此，成本规避与风险情境化模型需要在决策过程中实现渐进式应用，必须进行情境化与量化处理。衡量与问责机制将成为推动行业全面改进的关键驱动力，但我们常看到许多委员会结构未能有效衡量交付成果并实施问责——究其根源，往往是因为这些机构未采用OKR（目标与关键结果）等任务分配模式。

布莱恩·约翰逊： 因此我建议——这其实也是最佳实践模式——组织领导者不仅要理解并参与制定针对关键风险及组织风险衡量指标的目标设定流程，更需通过某种形式的领导问责机制或委员会监督来确保其对目标负责。而监督体系的作用正是要确保组织领导者和部门负责人切实执行这些风险降低目标。 关于衡量与问责的议题，若贵组织尚未采用防线模型——这是近年来日益普及的框架——我强烈建议您考虑三道防线模型。该模型包含三层防线：第一线是技术、产品及职能部门； 以首席信息官（CIO）团队为例，该团队可能为企业提供基础服务，其职责是确保消息系统（如邮件投递）、移动应用等基础服务正常运行。该团队即属于第一道防线职能。 在职责划分与权责归属上，第一道防线需自主管理风险目标、评估交付成效，并通过工程与运维职能提供支持。作为第二道防线，风险管理组织通常承担监督职能：制定风险阈值与目标（采用OKR模式），确保其与业务目标保持一致，并监督执行进度。 因此，技术交付与运营的第一线职能（即职能层面的风险所有权）需向上汇报至第二线组织（作为监督职能），以确保职责分离、问责机制及交付体系的有效运作，并使业务与整体战略目标保持一致。

布莱恩·约翰逊：第三道防线组织包括内部审计、外部监管机构，以及可能引入的第三方测试与保证职能机构——无论是HIPAA合规评估、PCI合规评估，还是贵行业适用的其他评估模型。 第三防线被视为三级监督职能，其核心在于验证控制措施的覆盖范围，确保第二防线已对所采用的方法和手段进行充分测试，并履行作为第一防线组织的承诺。因此，在评估与问责层面，若尚未建立第三防线模型，也无需过度追求官僚化架构。 在中型企业中，它可能仅由10至12人组成的小组承担，但明确划分其职责有助于厘清目标管理与监督职能的职责分离。第五点（但绝非次要）——我强烈主张企业必须保持合规，但合规应是结果而非目标。 业内最严重的误区在于：将合规企业等同于安全企业，或认为合规企业即为管理完善的企业。这种认知完全错误。近年来所有数据泄露事件都发生在合规企业身上。你很少看到——比如Equifax未能通过PCI评估（当然这种情况从未发生）。 你也不会看到某公司在遭受数据泄露前刚被SSA 16审计判定不合格。合规性无法衡量安全保障水平，它仅能确保基础控制措施的落实。但应将合规视为团队（尤其是第二道防线组织）衡量成果的功能模块。例如我们实施渗透测试计划时，该计划产生的测试结果将为合规部门所需的报告提供依据。

布莱恩·约翰逊：不过，若将合规性设定为目标，就意味着你关注的是行业层面的预期标准——这种标准未必适合你的业务风险。因此，将业务风险置于具体情境中考量，是必须纳入职责范畴的思考：测试结果与监督职能的产出，都应是测试工作的直接成果。但测试范围可以比这更全面。 换言之，若能将这些成果纳入考量，就不要将自己局限于合规驱动的项目框架。 好的，我先暂停片刻。接下来要探讨行业挑战这一主题。那么，我们为何要重视风险管理？监管合规的关注点何在？为何需要着力解决？正如先前所述，法规日益严苛，数据隐私监管不断加强。 我们看到合规性测试甚至渗透测试项目都以验证合规水平为导向。若贵公司业务遍布全球，这种差异性将尤为显著——有时不同区域对数据类型的定义都存在差异。因此随着法规日益严苛，我们必须调整风险模型与业务风险应对策略。衡量风险绝非易事。 衡量业务风险绝非易事，但风险评估至关重要。我们采用量化方式衡量风险，以清晰展示进展。整合是关键——将风险管理嵌入业务体系，在各业务单元或业务线中建立相应职能，虽非易事，却是必须攻克的课题，以确保其与业务的关联性。 我们不希望风险管理职能沦为象牙塔式的存在——既不能被职能部门视为无关紧要的空谈，也不能沦为单纯的勾选式流程，更不能丧失对业务优先级的指导作用及监督职能。

布莱恩·约翰逊：我们业务所面临的市场潜力与时机当然是巨大的，这意味着无论在哪个行业或市场，我们的业务都面临着确保风险合规、风险遵循以及风险测量的挑战。这将是一张视力表，但我们先暂停片刻。 我暂停一下让画面加载。接下来我将重点阐述高德纳提出的"卡特模型"。该模型作为一种方法论已被系统化阐述，其核心理念在于通过持续、适应性的风险与信任评估实现动态管理。 其核心在于解决当前许多组织中存在的职能孤岛问题。职能孤岛表现为：某个团队可能有两人负责漏洞扫描、两人负责问题管理、两人负责架构设计；而在中小型企业中，可能出现一人身兼数职的情况——比如架构师同时担任技术专家，还兼顾邮件处理。 无论如何，角色定义必须基于适应性与风险导向的视角。这意味着：若不明确业务风险与员工工作的关联性，他们将难以理解自身工作如何服务于公司整体目标。 因此，作为风险管理者，我们不仅要确保业务适应风险，更要时刻掌握企业风险状况及关键业务驱动因素。 在构建这种风险导向方法时，我借鉴了卡特模型，形成了一个四维框架，具体阐述如下：

布莱恩·约翰逊：如果我们将信息安全与技术整合并分解为其各个组成部分，就会发现其中包含风险管理、合规管理、执行管理以及战略职能。这些职能在贵组织中可能仅由两三人承担，而在大型企业中则可能扩展至两三百人。 事实上，我们仍在风险管理框架下履行这些职能。试想：若组织中设有风险经理负责识别评估风险，并列出十大业务风险清单进行监控，而其职能未与合规直接关联。 那么通常会出现这样的情况：合规团队自行构建合规计划，而执行部门或治理部门或监督部门（也可能是技术治理部门）则另行建立自己的流程并产出独立成果。与此同时，战略团队正围绕某项想部署的先进技术制定三年路线图。 而战略往往更多源于业务驱动和对技术演进的长期关注，而非风险管理。因此我建议——这同样借鉴了Gartner模型——采用整合式风险管理方法。这种以风险为中心的整合视角要求：风险管理团队负责风险测评与优先级排序，并将成果输入安全评估团队。这意味着当需要评估组织风险承受度及风险阈值时，例如判定数据泄露风险极高，安全评估团队就应依据风险团队的评估结果确定优先级。 安全评估团队可能是渗透测试团队，也可能是企业聘请的第三方团队，负责执行渗透测试或各类技术评估。他们应依据风险评估结果开展工作，而该风险评估又需参照业务目标进行量化排序，并与企业风险偏好及预测保持一致。

布莱恩·约翰逊：该测试计划将量化评估结果。他们会提供控制保障，指出已检测到四起一级事件、两起二级事件，并判定该环境存在安全漏洞。这些数据自然会纳入合规与治理体系。 构建自适应风险流程的这一功能或框架，能有效指导各团队在整个过程中保持风险导向——从安全保障、治理职能、执行或问题管理团队，直至最终融入战略制定。而战略职能必须明确：当我们制定政策时——假设组织规模较小，技术领域仅有一项政策——通常会从终端用户管理入手。例如制定《可接受使用政策》时，需明确员工使用电子邮件和互联网的商业用途，并围绕此设定标准。但这种战略方向或政策驱动因素，很少基于测试结果测量的风险数据。 通常是基于某种愿景目标制定AUP，或是出于义务制定IT政策。因此我们倾向于在横向层面划定界限——将合规与战略作为政策内容的核心指标。我们的战略方向应是什么？让我们先审视合规义务。 而我的观点是：政策制定不应止步于此。它还应融入治理职能、问题管理、反馈机制及产出成果，并基于风险评估进行优先级排序与审核。至于风险评估，初期至少可采用电子表格或草稿纸方案。 但只要能证明我们已衡量业务风险、量化结果，就能为各项测试驱动计划、问题管理执行提供依据。随后战略团队将据此制定政策，评估如何撰写政策或如何根据这些目标制定路线图，并从政府职能的测试结果中创造价值。

布莱恩·约翰逊：那么，嗯，我先稍作停顿，接着再谈这个要点。当我们考虑在组织中建立信息安全与风险管理职能体系时，如果思考如何着手——这看似需要消化大量内容——但若要确定起点，我建议先明确目标与关键成果。 我认为，首先要明确组织希望实现的目标是什么？无论是拓展新市场还是退出现有市场，我们都需要通过风险和关键风险指标来衡量这些目标的实现情况。 当前许多企业都在思考是否要缩减规模，或削减提供特定产品的职能部门——这些决策同样需要风险评估。 虽然风险管理通常被视为持续运营与扩张的管控手段，但我认为它实则是企业生命周期的组成部分——无论扩张或衰退时期。当我们考虑衰退期策略时，将风险管理决策纳入高管考量，其重要性甚至不亚于维持现有运营阶段。 关键风险指标可能包括：在业务收缩期间，确保完成数据迁移验证、数据销毁、访问权限撤销等核心环节的交接——这些环节可能涉及品牌声誉风险、数据窃取损失，以及因记录缺失导致的业务影响量化评估。 这种方法将为我们提供更全面的业务视角，使高管决策时能充分考量业务风险，并基于我们提供的风险评估体系作出判断。另一关键点在于合规评估环节：当政策升级时，我们常发现政策制定后往往被束之高阁长达一年之久。

布莱恩·约翰逊：自适应模型的一部分是运用政策，这些政策不必过于繁琐到需要制定20项，但即使只有两三项政策，只要以恰当方式撰写，也应遵循季度更新周期，甚至根据所有团队的反馈进行更新和完善。因此，首次制定政策时，修订流程自然需要涵盖各职能部门的关键利益相关者。 风险团队是否有负责人或分析师代表？测试团队是否有人能指出控制机制的缺陷？合规部门是否有人能体现政策中的监管要求？那么问题管理与战略职能如何融入政策制定？这相当于整体视角的体现——我们如何确保政策得到执行？ 政策应以可量化方式撰写，战略团队需从中获取未来收益——既要设定预期目标，更要确保政策能切实推动控制状态升级，而非仅满足我们视为基准的政策预期。这些要素在规划风险管理项目时尤需关注。 另外我想回应几个话题。看到有人提问，我打算实时插话解答。Bob Shaw提到如何处理多数企业仅具愿景性质的项目及其量化问题。 风险量化不仅是组织基因中固有的功能，更可通过可重复流程实现——即构建量化模型。该模型可能用于衡量漏洞风险，而漏洞本身可能关联特定评分。

布莱恩·约翰逊：那么如果我们要建立一个漏洞管理评分体系，并赋予权重——以益博睿数据泄露事件为例，漏洞管理可能占环境完整性风险或系统可用性影响风险的40%。 通过量化风险的方式衡量，意味着我们可以将风险转化为可量化的评分体系。若以1到10分作为风险基准，则通过累加各类评分（无论是漏洞评分还是访问权限评分）来降低风险——这可以采用NIST CSF框架或ISO标准模型。 虽然存在一些优秀的工具可用于建模和权衡安全领域的测量方式，但我更倾向于将这些工具关联到客观风险评估中——该评分或客观风险格式实际上是通过测量控制措施累加得出的。 例如，若采用漏洞评分模型：先统计所有未修复漏洞，对照服务等级协议（SLA）评估补丁部署周期，再量化为1-10或1-100等任意粒度的评分。随后将漏洞管理评分与风险关联——在企业层面，这可能是可用性损失风险；若存在服务时效合同义务，则可能是服务韧性风险；若涉及数据泄露，则可能是业务中断及品牌声誉风险。 在您的业务中，风险可能表现为可用性损失、服务弹性受损（若存在服务时长合约义务）、数据泄露风险，或是对品牌声誉的业务冲击。 将漏洞扫描、补丁修复、问题整改及配置管理等控制措施与风险关联，最终汇总为总风险值。随着流行度分析等技术的持续进步，市场上相关工具也将不断演进。

布莱恩·约翰逊： 你会发现，这些控制措施的实施与风险量化将逐步形成可适配业务的模型，通过构建风险控制映射机制，最终设定业务风险阈值。当你确立具体目标并建立风险监测体系后，进度评估的呈现方式将变得清晰明了。 那么，我先暂停一下。虽然刚才讲了许多内容，但这个节点似乎很合适。现在我们来看看是否有问题。彼得，你还在听吗？

彼得·舒马赫：是的，我还在这里。我们确实收到了一些问题。我鼓励大家在屏幕底部的问答区输入问题。不过在此之前，让我先读几条已收到的提问。呃，我趁此机会发起个投票，请大家先看屏幕上的这个。 好的。如果各位不介意在我们讨论问题时回答这个投票问题，我将不胜感激。那么，第一个问题是：第三方风险管理如何持续创造商业价值？其次，如何利用这一点向董事会争取资金支持？

布莱恩·约翰逊：问得好。要知道，第三方风险管理作为我们风险管理计划的重要组成部分，其重要性不仅体现在我们向更多SaaS供应商或云服务商迁移的过程中。更关键的是，这个领域有时存在一种"无知即幸福"的微妙状态——我们往往对第三方及其管控措施习以为常，却屡屡目睹来自第三方供应商的风险，而这些风险我们却未能充分评估。 在供应商生命周期管理中，评估供应商对业务的风险评估更多与业务职能相关。无论是云服务商、薪资服务商还是其他供应商，对第三方集成风险的评估都必须结合业务影响进行情境化考量。对吧？ 换言之，薪资服务商对某公司风险较小，对另一公司风险却可能显著。因此需通过量化手段将其转化为评分体系。我们将提供仪表盘、热力图或图表等可视化呈现方式，当您进行高层汇报时，可展示"第三方风险必须纳入投资计划"的观点。 无论是人员配置、管控措施还是工具投入，对第三方进行投资时必须权衡风险——即验证这些第三方给企业带来的风险成本。 风险对冲策略有二：要么接受第三方对业务造成高风险的残余风险，要么通过投入管控措施降低风险。具体可通过强化第三方管控或增加评估频次，将高严重性风险降至中等水平。 当然，不进行风险量化绝非选项——这不仅意味着风险将处于未被认知或量化的状态，更会导致董事会缺乏明确的问责对象与可视化依据，使领导层监督体系存在重大漏洞。 但行业经验表明，将第三方评估与供应商管理风险整合为量化评分的标准化报告，能显著提升关注度，激发CFO或COO的风险降低意愿。当风险在该领域得到明确阐述后，我们必须回答的第二个问题是：如何降低风险？ 替代方案与解决方案是什么？风险对冲可能包括：考察其他供应商；寻找固有风险更低的第三方供应商并纳入项目选项；或明确接受该风险但需持续监测评估；亦或实施额外管控措施。这可能需要与供应商展开协商。 我们将在下次续约时要求贵方提升审计权限，完善评估方案。需提供额外控制措施或工具，或提出保障方案以增强数据保护、访问限制等方面的信心——无论采用何种第三方保障模式。但向董事会汇报时，我将尽可能采用量化方式，同时提供替代方案与具体建议。

彼得·舒马赫：有意思。 是的，我认为风险对冲是个极具吸引力的议题，这个主题完全可以单独开一场网络研讨会。嗯，我们收到了一些后续问题。那么我们继续探讨这个主题：您建议在定量分析中纳入哪些具体的风险事件领域，以衡量风险并向业务部门证明风险管理计划的价值？您应该能看到那个问题。

布莱恩·约翰逊：是的，罗伯，问得好。我认为在衡量这些特定风险事件领域时，你关注的是诸如财务损失之类的问题。实际上存在一份清单，如果你跨行业查看的话——当然这取决于你的行业，医疗行业有其清单，能源行业有其清单， 科技等领域都有对应清单。多数风险事件框架会针对行业特性进行细化，但从普遍意义上说，风险事件主要体现在财务影响、品牌影响、监管影响及罚款等方面。若需量化行业特有的影响，可依据已知的制裁标准或每条记录的成本来评估。此外我还建议——虽然不想深入展开以免占用问答时间——但威胁管理和威胁评估环节也值得关注，这同样是风险评估中值得探索的维度。我不会深入探讨，因为想为问答环节留些时间。但威胁管理和威胁评估作为风险管理的重要维度也值得关注——如果你参考NIST（美国国家标准与技术研究院）的框架，比如通过谷歌搜索NIST CSF网络安全框架，就能获得风险视角的清单，并能将控制措施与风险关联起来，从而构建风险视角。 Gartner有篇关于如何为企业定义风险管理和风险记分卡的精彩文章，Forrester也有类似内容。不过令我倍感鼓舞的是，商业风险讨论及相关术语正日趋成熟。事实上，涉及国防与能源领域（抱歉，是政府合同）的机构会接触到CMMC标准。 您可通过谷歌搜索CMMC，该框架已发布在政府门户网站上。其中包含联邦政府分级计划（FedRAMP）视图，以及最低成熟度评估要求。该框架融合了NIST、ISO等标准，为网络安全与风险管理成熟度提供了极佳的评估视角。若您身处政府机构或国防领域，会发现国防承包商的预期要求正不断提升，成熟度评估标准也随之提高——这些评估正是通过风险评估实现的。因此我强烈建议大家充分利用这些资源和工具。

彼得·舒马赫：谢谢布莱恩。嗯，接下来呢。这个挺有意思的。我不知道你能不能给出好答案。就是如何应对新冠疫情带来的前瞻性风险，毕竟大多数基于风险的评估都依赖历史数据。所以嘛，拿出你的小水晶球来，给我们指点迷津吧，布莱恩。

布莱恩·约翰逊：我的意思是，我会避免任何经济或政治预测，但我认为业务风险评估——虽然这听起来很理想化——但绝不该成为企业经营的意外。换言之，通过完善的应急预案和业务风险评估，企业计划应能灵活应对业务扩张或收缩，涵盖业务连续性规划及替代性工作环境方案。 当然，大型企业在执行时具备优势。我们所接触的大型企业确实拥有管理员工业务连续性计划的广度与能力。但我合作过的小企业主、中型企业伙伴及同行朋友——那些经营小型企业的人——同样做到了这一点。 因此建议实施季度评估：例如当办公楼发生爆炸时，如何确保员工远程连接？或当办公地点无法使用时？将这些简易业务连续性计划纳入商业规划，就能获得前瞻性风险评估。疫情后的新型前瞻性风险颇具深意——比如前几天我在沃尔玛网购时（此处绝非贬低沃尔玛）， 我本人是忠实顾客，但昨天妻子告知其官网无法访问。 我当时就觉得有意思——毕竟实体店购物受限于客流量。但网站规划不同，当多数企业从线上业务的次要渠道转向主力阵地时，它们并未预见到这种增长态势。 因此现在需要前瞻性调整，采用"假设情景分析"模式：如果三年后线上结账占比达到25%——假设明天就发生这种情况——该如何应对？通过提出这类关键问题，至少能建立情景规划。帕特里克，针对你的问题，我认为围绕前瞻性风险评估开展的桌面推演，本质就是将预测数据 反向推演。例如：若三年内增长50%会怎样？ 若三年内萎缩50%又如何？再以半年为单位进行建模。当我们回溯审视行业未来三年的规划时，多数情况下企业实际遭遇的恰是其计划的反面。那么我们究竟多频繁地为衰退期制定预案，围绕应急计划评估风险？ 若这并非企业主动业务流程，那么前瞻性风险评估就需审视这些模型：如何规划裁员方案？如何布局扩张？当前市场是否存在收购良机——某些估值极低的企业是否值得我们关注？此类扩张将带来何种风险？ 或者我们是否考虑缩减业务规模、减少业务覆盖范围，并根据企业决策来衡量风险？所有这些情景至少需要以桌面推演的形式记录下来。进行桌面推演时，将三年路线图展开，设想如果三个月内发生这种情况会怎样，然后反向推演。 若我们退回到一年前的业务状态会怎样？若这种状态在未来三个月内发生又会怎样？对我而言，用"三"作为单位处理这类问题很直观：三年规划加三个月加速选项，三年回溯加三个月加速选项。这或许能为情景规划提供一些约束条件。

彼得·舒马赫：好建议。嗯，还有几个问题。 我们看看现在几点。嗯，还有点时间。那么，让我直接跳到这个问题。嗯，这个问题与之前类似，但您认为监管机构在今年后期及明年会重点关注第三方风险管理的哪些方面？您认为法规会有所调整吗？或者您对此有何见解？

布莱恩·约翰逊：是的，实际上在与监管机构等相关人士的讨论中，我们已观察到监管方对第三方关注度的显著转变。我们已开始询问贵方的应急预案，这已成为高管层和董事会层级讨论的核心议题。 关于第三方依赖、业务韧性及企业对第三方依赖的规划，已成为商业计划的重要组成部分。如今监管机构显然注意到，企业运营高度依赖第三方——其产能模型、资源人力可用性、交付能力及供应链等环节已成为重点关注领域。 因此，第三方风险评估绝非表面文章，而是企业规划流程中至关重要的环节。我们目睹的连锁反应——从下游供应商到上游交付伙伴，乃至分销物流网络——都印证了这一点。这与我们以往面临的问题形成了鲜明对比。 除非你是亚马逊或奈飞这类企业，否则必须以全新视角审视商业模式——重新评估与供应商的服务交付方式，并通过第三方视角检验供应商能否满足需求。这意味着要向第三方明确质询：若业务量激增50%会如何？ 你们的服务容量阈值是多少？裁员是否会影响我们？哪些服务等级协议（SLA）必须写进合同？围绕这些SLA的合同义务，希望能让你明白该如何做出基于风险的决策。你和另一家供应商签订了应急合同。 或许你们有备用方案，可通过该渠道交付服务或能力，并建立测试站点。我在不同公司任职时曾采取的措施是：至少与具备应急能力的第三方建立合作关系，使其处于待命状态，或在其站点托管某项功能，以便随时部署服务。 但确实，无论是监管环境还是合规要求，未来一年都将迎来重大变革。

彼得·舒马赫：有意思。嗯，我想还有两个问题可以问。这个也可以跳过不回答，不过——PayPal目前采取哪些措施来管理第三方风险？当然，如果不便讨论或不愿透露也完全理解。

布莱恩·约翰逊：是的。 托尼，我得先道歉。这个话题或这个论坛里，我确实不便讨论此事。在同行论坛里我乐意畅谈——毕竟我已提前安排好议题——但在此我只能说：请理解在企业层面，我今天提到的内容都包含多层次的风险管理视角，以及融入项目体系的风险偏好定义。

彼得·舒马赫：说得对。那么下一个问题。如今我们在网上共享数据时如何规避风险？嗯，大多数情况下，通过任何方式——特别是当别无选择时。如何规避风险才是当下最关键的问题。

布莱恩·约翰逊：关于这个问题，我只想先直截了当地说——波尼塔，我们无法规避风险，风险规避根本不存在。真正规避风险的唯一方式就像最安全的电脑是关机状态那样，但即便关机也存在风险。所以当你在网上共享数据时，所谓规避风险其实更侧重于风险缓解与管理。这需要评估各种数据共享协议的方法——无论是通过加密、隧道传输还是安全通道。不过我注意到，尤其在过去半年里，许多服务商（无论是Office 365、Gmail，还是我们签约的数据供应商）数据共享服务正涌现出更多选项和灵活功能，例如建立安全数据套接字、提供加密邮件传输方式，或是通过数据流与第三方共享数据。当前市场上涌现出大量新特性和新能力，可通过基于密钥的加密与管理方案实现数据加密与管控。 技术层面选项已大幅扩展，组织层面也同样如此——无论是Salesforce、Workday还是众多其他平台，都在全面升级数据共享、加密及管理能力。 因此涉及第三方时，无论是向ADP传输数据还是向供应商发送信息，确保数据安全已有多种方案可选。 如今，具备工业级强度且易于实施的安全数据传输方案正以惊人速度涌入市场。因此我建议：数据共享协议和第三方协议必须包含数据分类体系——运用数据分类矩阵明确第一类、第二类、第三类、第四类数据，借助数据分类工具根据业务需求描述各类数据的具体类型。 在分类体系中，公共卫生信息可能被划为特定等级。该矩阵将决定您对第三方实施的要求与管控措施。这些条款需写入合同，确保数据交换过程得到监督与测试，以验证其符合政策要求。同时需在政策层面明确第三方责任，将其纳入问卷评估体系。 通过产品获取数据与反馈，管理第三方评估，确保数据安全标准符合贵司数据交换的分类与定义。同时进行常规审计。可实施快速抽样检查，甚至要求其提供书面证明（若合同允许），并由团队或您亲自抽取样本验证，根据需求调整双方采用的工具与解决方案。 但若任何第三方供应商未提供保密数据（尤其是专有数据或敏感级信息）的安全交换方案，我将深感意外。若真存在此类情况，我自然会另寻供应商。

彼得·舒马赫：感谢建议，不是说要另寻供应商，而是整体而言，这里有很多宝贵建议。最后一个问题我觉得很有价值。 如果贵公司业务高度依赖第三方供应商，是否会将第三方集中风险列为首要战略风险？若未纳入，将如何应对该风险？是将其归入其他风险类别，还是单独设立风险分类？

布莱恩·约翰逊：是的。这是个非常好的问题。嗯，我认为在多数企业中，第三方风险属于最高级别的风险类别。第三方风险当然与商业的许多其他领域相关，但作为第三方风险管理职能，它往往被列为首要事项——甚至属于董事会层级的风险事项。因此管理第三方风险的重要性并未减弱。 我认为当今任何企业的第三方依赖程度，都不比十年前或五年前更低。随着对第三方依赖的加深，尽职调查、管控要求及风险验证的力度也必须同步提升。记得云计算刚兴起时，有人辩称："云不过是别人的数据中心，运作模式并无二致。" 事实并非如此。要知道，没有任何第三方服务商能像企业自建系统那样运营。因此控制措施必须适应这种差异，企业风险评估与量化体系也需相应调整。 第三方系统故障、资源不可用、罢工事件、雇佣纠纷或法律诉讼等风险，其影响未必会直接波及企业核心业务。因此必须采用独特方式管理这些风险——当第三方风险日益成为业务重要组成部分时，需通过独立的第三方风险评估团队进行差异化量化评估。

布莱恩·约翰逊：谢谢你的提问。

彼得·舒马赫：说得对。这是个很好的收尾问题。嗯，我将在此结束投票环节，非常感谢大家今天参与。布莱恩，感谢你分享的真知灼见。提醒各位，本次会议正在录制，我们将于明天结束前发送录播。感谢各位的参与，祝大家余下时光愉快，我们下次网络研讨会再见。

布莱恩·约翰逊：谢谢你，彼得。非常感谢。