陸續(xù)出臺的網(wǎng)絡安全相關法律法規(guī)和條例,包括《數(shù)據(jù)安全法》《關鍵信息基礎設施安全保護條例》《個人信息保護法》《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》《網(wǎng)絡安全審查辦法》等,為網(wǎng)絡安全工作提供了方向和指南,也體現(xiàn)了網(wǎng)絡安全領域規(guī)范化的發(fā)展趨勢。為更好貫徹和落實相關法律法規(guī),風險控制和合規(guī)管理成為科技企業(yè)至關重要的優(yōu)先工作。風險控制和合規(guī)管理工作的前提是全面系統(tǒng)地識別各類風險,制定并落實管控措施,確保網(wǎng)絡安全和隱私保護等風險不出現(xiàn)合規(guī)問題,更好支撐利益相關方的信任構建。
一、RGC 框架的背景和目標
RGC 框架是華為風險控制和合規(guī)管理的實踐方法論,由風險、治理、控制(Risk,Governance,Control)三個詞的英文縮寫構成。該框架基于業(yè)界理念、COSO 框架,融合華為現(xiàn)有風險管理和內(nèi)控實踐形成,可以為業(yè)務流程中的一二三道防線開展風險監(jiān)管工作提供方法,進而實現(xiàn)創(chuàng)造客戶價值、高質(zhì)量商業(yè)發(fā)展、公司長治久安的目標。
RGC 框架的提出源于業(yè)界的 GRC 方法,即治理、風險與合規(guī)(Governance,Risk and Compliance)。從業(yè)務到風險再到管控,考慮到內(nèi)控風險核心,尤其是崩潰性風險和大面積腐敗風險,華為在提出這個框架時,把風險因素放到第一的位置,調(diào)整了這三個詞的次序,成為針對內(nèi)控風險展開管理和監(jiān)督的 RGC 框架。
采用 RGC 框架,目的是保障一二三道防線開展風險監(jiān)管工作。這三道防線包括業(yè)務流程中關鍵監(jiān)控崗位(業(yè)務人員/合規(guī)官/POPC 等)的第一道防線;BC、工程稽查等工作中的第二道防線;內(nèi)審、獨立第三方檢查組織等工作中的第三道防線(見圖1)。
圖1 RGC 框架監(jiān)管的三層防線
采用 RGC 框架,目標是實現(xiàn)整體監(jiān)管。一是使命與核心價值守護,促使公司的共同價值得到有效傳承、踐行和維護,防止文化變味、組織板結(jié)、分裂,防止大面積腐敗引起的組織潰敗。二是保證戰(zhàn)略制定與公司的愿景保持一致,并保證在戰(zhàn)略執(zhí)行時的績效結(jié)果真實和業(yè)務管理真實。三是實現(xiàn)合法合規(guī),將對法律、法規(guī)的遵從要求轉(zhuǎn)化成公司的管理制度和流程并得到有效遵從,對合規(guī)紅線進行有效管理,杜絕系統(tǒng)性和崩潰性風險。四是實現(xiàn)運營健康,使流程得到業(yè)務的有效遵從,風險得到有效控制。
二、RGC 框架的要素與內(nèi)涵
RGC 框架包括風險(R)、治理(G)、控制(C)三個層面的七大要素,即風險評估與目標設定、基調(diào)、責任體系、誠信環(huán)境、確定性控制、非確定性控制、監(jiān)督(見圖2)。
圖2 RGC 框架各要素間邏輯關系
第一,從風險視角看,RGC 框架包括風險評估與目標設定(R1)和監(jiān)督(R2)兩個層面。
風險評估與目標設定是指組織識別能通過各種監(jiān)管手段實現(xiàn)監(jiān)管的風險,評估其重要性和確定其監(jiān)管目標,并且持續(xù)評估監(jiān)管目標達成情況,不斷改進。風險評估與目標設定的關注點包括,一是風險識別與評估,有效識別能通過各種監(jiān)管手段實現(xiàn)監(jiān)管的風險、評估所識別的風險、跟蹤影響風險的重大業(yè)務變化。二是風險目標的設定與應對,確定管理層的風險容忍度(監(jiān)管目標),建立相應的應對措施(包括接受、降低、規(guī)避、轉(zhuǎn)移等)。三是風險目標的自我評估,風險目標達成情況的自我評估機制,如半年控制評估(SACA)、持續(xù)改進的措施等。
監(jiān)督是指組織建立獨立的監(jiān)督機制,以確認風險管控過程的有效性和結(jié)果是否達成監(jiān)管目標。監(jiān)督的關注點包括,一是審計對一二道防線風險管控過程及管控結(jié)果的獨立監(jiān)督,二是及時溝通與進行報告。
第二,從治理視角看,RGC 框架包括基調(diào)(G1)、責任體系(G2)、和誠信環(huán)境(G3)三個層面。
基調(diào)是指管理層應建立誠信、道德的監(jiān)管氛圍,創(chuàng)造實現(xiàn)監(jiān)管目標的整體環(huán)境,包括公司文化、管理理念、經(jīng)營風格、行為準則等內(nèi)容。基調(diào)的關注點包括樹立基調(diào)——核心價值觀、誠信和道德、風險意識;建立行為準則——定義員工的行為邊界,明確“可為與不可為”;建立獎懲與問責機制,及時糾偏。
責任體系是指組織應確立合理的監(jiān)管責任體系,明確監(jiān)管工作(包括一二三道防線)邊界和職責。責任體系的關注點包括監(jiān)管工作相關部門的架構、監(jiān)管工作的匯報路線、監(jiān)管工作的授權體系、監(jiān)管工作的角色和職責。
誠信環(huán)境是指組織應宣導和傳遞對誠信和道德的要求,確保廣泛理解,并建立有效的反饋渠道。誠信環(huán)境的關注點包括宣傳教育(包括員工和供應商/合作伙伴),以及打通內(nèi)外部舉報/投訴渠道。
第三,從控制視角看,RGC 框架包括確定性控制(C1)和非確定性控制(C2)兩個層面。
確定性控制是指組織通過如政策、原則、程序、模板、基線等確定監(jiān)管手段應對和控制風險,包括接觸性控制和非接觸性控制。確定性控制的關注點包括控制設計和控制執(zhí)行,控制設計關注與風險評估(包括業(yè)務特點和監(jiān)管目標)相結(jié)合、明確相關業(yè)務流程中的關鍵控制點(KCP)或關鍵指標(KRI)、考慮控制活動的適用層級、考慮控制活動類別的組合、應用信息技術(IT 控制);控制執(zhí)行關注及時執(zhí)行與遵從政策和程序以及選用足以勝任的人員等。
非確定性控制是指組織可能無法通過確定的監(jiān)管手段,但可以通過例如專業(yè)稽查、管理層監(jiān)管等其他方式應對和控制風險。非確定性控制的關注點包括糾偏和應對,即實現(xiàn)專業(yè)稽查、群眾監(jiān)督、管理層監(jiān)管,做好應急管理。
三、實施 RGC 框架的方法與措施
RGC 框架可以成為實現(xiàn)網(wǎng)絡安全與隱私保護風險管理方法,特別是 RGC 框架中的 C1、G1/G2/G3因素。
一是在管理者層面,可以根據(jù)公司制定的行為規(guī)范、問責制度,結(jié)合當?shù)厥褂玫姆煞ㄒ?guī)進行本地化適配。業(yè)務一把手要通過清晰的高層基調(diào),建立行為準則,定義員工的行為邊界,制定問責政策并執(zhí)行,明確“可為與不可為”,營造良好的風控環(huán)境。通過公開聲明、總體政策、白皮書持續(xù)地傳達網(wǎng)絡安全的基調(diào),將相關行為融入《商業(yè)準則》,并明確高風險領域和崗位的紅線行為準則和獎懲問責措施,進行本地化適配。在激勵機制方面,在公司、區(qū)域及業(yè)務領域設置網(wǎng)絡安全與隱私保護專項。例如,每年設置一定金額,用于激勵負責網(wǎng)絡安全與隱私保護工作落地的各業(yè)務部門和網(wǎng)絡安全與隱私保護體系。在問責方面,制定網(wǎng)絡安全與隱私保護違規(guī)問責定級標準,針對以下情況對主管進行管理問責:安全質(zhì)量嚴重不達標,或多次不達標;管理原因?qū)е聡乐鼐W(wǎng)絡安全事件、安全危機、嚴重的個人數(shù)據(jù)泄露事件;審計發(fā)現(xiàn)嚴重的網(wǎng)絡安全與隱私保護風險。在網(wǎng)絡安全與隱私保護風險管控方面,重點關注服務無授權/超授權接入、無授權/超授權使用客戶網(wǎng)絡數(shù)據(jù)、收集/處理/轉(zhuǎn)移個人數(shù)據(jù)等風險行為,需要在公司、區(qū)域及業(yè)務領域設置網(wǎng)絡安全與隱私保護專項工作進行看護。
二是在責任體系建設層面,確立合理的監(jiān)管責任體系,明確監(jiān)管工作(包括一二三道防線)邊界和職責。全球網(wǎng)絡安全與用戶隱私保護委員會(GSPC)是華為的最高網(wǎng)絡安全與隱私保護管理機構,負責決策和批準公司總體網(wǎng)絡安全和隱私保護戰(zhàn)略。全球網(wǎng)絡安全與用戶隱私保護辦公室(GSPO)組織業(yè)務部分建立支撐戰(zhàn)略的操作細則,推動落地執(zhí)行并執(zhí)行稽核。內(nèi)部審計部獨立監(jiān)督并向 GSPC和審計委員會匯報。公司建立端到端的網(wǎng)絡安全保障體系,識別每個流程的關鍵控制點(KCPs)。
三是在誠信環(huán)境建設方面,宣導和傳遞對誠信和道德的要求,確保廣泛理解,并建立有效的反饋渠道。以法律為基礎,提升員工的網(wǎng)絡安全和隱私保護意識,讓員工意識到即使主觀上沒有惡意,也要對自己的行為負責;華為全體員工及合作伙伴、外部顧問都必須嚴格執(zhí)行公司相關安全及隱私政策,接受安全、隱私保護培訓,同時,公司鼓勵員工獲取業(yè)界網(wǎng)絡安全與隱私保護相關資質(zhì)認證,比如 CISSP、CIPM/CIPP 等認證,使安全、隱私理念融入整個組織和員工之中;對關鍵崗位要進行安全資格認證,采取措施震懾心存惡意的員工、竭力防止惡意行為發(fā)生。
四是在激勵機制方面,在區(qū)域及業(yè)務領域設置網(wǎng)絡安全與隱私保護專項。用于激勵負責網(wǎng)絡安全與隱私保護工作落地的各業(yè)務部門和網(wǎng)絡安全與隱私保護體系。設置的激勵獎項,可以包括平臺建設獎、合規(guī)建設獎、外部洞察獎、組織人才文化建設獎等。
四、實施 RGC 框架的效果與影響
檢查實施 RGC 框架的效果,主要是通過稽查來實現(xiàn)。RGC 框架控制層面的非確定性控制,關注糾偏實現(xiàn)專業(yè)稽查、群眾監(jiān)督、管理層監(jiān)管等方面。主要的稽查方法包括四個環(huán)節(jié)十七個步驟,即體現(xiàn)在立項、準備、執(zhí)行和閉環(huán)等環(huán)節(jié)的關鍵活動。
在立項階段,一是確定稽查對象,根據(jù)風險輸入確定稽查對象;二是與利益相關人溝通,就稽查可行性、稽查對象及初步稽查范圍達成一致意見;三是組建稽查工作組,明確責任分工及稽查計劃。
在準備階段,一是要確定業(yè)務范圍,啟動分析及調(diào)研,圈定業(yè)務范圍(包括流程階段、業(yè)務活動、資產(chǎn)和環(huán)境、關鍵人群、IT 系統(tǒng)、抽樣產(chǎn)品等)。二是識別稽查重點,根據(jù)涉及的發(fā)文規(guī)范和要求結(jié)合前期的風險識別結(jié)果,詳細分析每個要求的落地風險及級別。三是擬定稽查基線,包括詳細的風險點清單及對應的調(diào)查問卷、調(diào)查方法等。四是明確責任主體,明確稽查涉及的責任主體,并與相關責任部門提前溝通、獲取接口人。五是簽發(fā)稽查通知,擬定稽查通知書(包括稽查項目名稱、被稽查單位、稽查范圍、稽查周期等信息)并提交簽發(fā)。六是擬定執(zhí)行計劃,初步擬定執(zhí)行計劃,分析執(zhí)行所需的預置條件(包括系統(tǒng)權限、文檔資料、門禁準入等),與接口人溝通初步計劃、協(xié)調(diào)提供所需的預置條件。
在執(zhí)行階段,一是召開開工會,對齊信息、澄清疑問并啟動稽查。二是執(zhí)行稽查測試,測試方法包括現(xiàn)場訪談、穿行測試、抽樣測試、數(shù)據(jù)及日志分析、多方信息對比、調(diào)取記錄等。三是刷新稽查基線,根據(jù)稽查的深入及時更新風險點并刷新稽查基線,視情況判斷是否調(diào)整稽查范圍,及時協(xié)調(diào)相關方。四是溝通稽查問題,與稽查接口人完成稽查問題確認,有分歧及時上報解決。五是形成稽查報告,評審確認的稽查報告經(jīng)審批通過后發(fā)布。
在閉環(huán)管理階段,主要實現(xiàn)問題的閉環(huán)管理。在這個階段,一是在問題跟蹤閉環(huán),實現(xiàn)問題錄入跟蹤系統(tǒng)并跟蹤問題進展。二是在改進方案審評階段,可以視情況進行可選項判斷。三在稽查總結(jié)改進環(huán)節(jié),總結(jié)形成案例收割并歸檔。通過簽發(fā)管理類問題閉環(huán)管理規(guī)定,明確網(wǎng)絡安全與隱私保護管理問題的閉環(huán)責任人及例行化規(guī)定動作。
五、完善 RGC 支撐平臺,提升安全風險管控水平
目前,在中國市場,華為運用 RGC 方法,深入業(yè)務流程關鍵環(huán)節(jié),識別風險,分析原因并匹配相應的管理措施,取得了良好的效果。
同時,為推進風險管控的有效性和提升管控效率,作為正在開發(fā)和完善網(wǎng)絡安全隱私治理平臺,從外部要求入手,將涉及的法律法規(guī),標準指南,客戶需求等進行系統(tǒng)性梳理,構建適用中國市場的外部合規(guī)庫,關鍵的合規(guī)要求條目融入業(yè)務流程,通過 IT 系統(tǒng)進行流程打點,后續(xù)監(jiān)管團隊通過系統(tǒng)直觀明了的審視合規(guī)要求的適配情況、風險情況,并通過可視化平臺進行合規(guī)稽查,逐步提升風險管控的數(shù)字化水平和管控效率。
