1、 网络风险管理： 重心转向治理 网络风险管理： 重心转向治理 银行治理领导网络 银行治理领导网络 Type here 视点 网络风险管理：重心转向治理 “企业的对手换了一批又一批，但不变的是，总有些人对你虎视眈眈，其中包括黑客、有组织犯罪乃至某些长期以来一直筹谋此道的国家。这是一种动态的、不对称的风险。”与会者 近年来，银行开始加大对网络风险的关注力度，大幅提高对网络安全的投资。尽管如此，近期的一项风险专业人士调查显示，网络风险和数据安全仍是2017年的首要操作风险关注点。1 “网络威胁与日俱增。随便读一份报告，你就能看到其影响。网络威胁不断变化，且越来越严重，”一位董事表示。事实上，国家行为

2、者篡改选举数据并组织攻击以银行为主的诸多公司等新闻头条屡见不鲜。2 客户、投资者和监管机构都希望确保董事会了解相关风险，并竭尽所能确保银行已经采取相关管控措施。 银行治理领导网络在几个月的时间内举办了多次会议，包括2017年2月23日和3月16日分别于纽约与伦敦举行的会议。与会者在会上分享了董事会和风险管理团队在网络安全监督方面遇到的实际挑战。本期视点3 总结了会上提出的观点与理念，以及董事、高管人员及监管者和银行业专业人士之间近30次事先会谈内容。参与讨论的人员名单见附录1。同期还发布了视点系列刊物银行业转型：非金融风险监督在技术和业务模式转型中不可或缺，重点阐述了有关其他非金融风险和转型议

3、程管理的内容。从上述讨论中得出的重要主题与洞见概述见以下各章节： 网络漏洞为风险管理和监督带来独特挑战 监管机构在明确网络风险预期方面更加规范 网络漏洞为风险管理和监督带来独特挑战 由于网络风险不断变化且数字化银行业务导致的漏洞与日俱增，网络安全仍是董事会在风险监督方面面临的特别挑战。一位与会者指出，“所有大型金融机构都 已意识到自身在应对网络风险方面的弱势，并为此投入大量资源。我们与不同的国家和国际机构密切合作。我认为我们已经竭尽所能了。”那么董事会如何才能知道他们所采取的措施是否充分呢？一位高管提醒称，“在网络风险得到有效管控之前，你的耐心就会耗尽我们尚未做到有条不紊。” “在网络风险得到

4、有效 管控之前，你 的耐心就会 耗尽。” 与会高管 Type hereTAPESTRY NETWORKS, INC 网站：WWW.TAPESTRYNETWORKS.COM 电话：+1 781 290 银行治理领导网络 视点 银行治理领导网络 网络风险管理：重心转向治理网络风险管理：重心转向治理 2 设定风险容忍度 设定风险容忍度 金融机构的领导者们普遍认为无法百分之百杜绝网络漏洞。他们中的很多人正在尝试针对网络风险的各个方面设定风险偏好或容忍度。而此任务充满挑战。一位董事表示，“我们的信息安全现状导致我们一直处于违反风险偏好的状态中。我们并不清楚自己能否处理不断变化的威胁。尽管已经采取了一些措

5、施，但我们一直在违反自己的风险偏好，我们很清楚这一点。”一些董事询问如何才能确保采取了适当的措施应对网络风险。一位董事承认，“除了表明正在研究整改项目之外，你什么都做不了。”一位与会者表示，设定网络风险容忍度时面临的一项特别挑战是“网络风险并不对称。坏人只要成功一次即可，而你却必须始终保持无懈可击。”此外，一位与会者指出，“某些类型的威胁是无法减轻的。如果某个国家特别针对你采用了先前未知的策略，那么你不得不面对。”这一挑战表明，对于董事会和高管团队而言，了解所面临的风险范围、应采取的特定缓释措施以及如何将风险和缓释措施与其风险偏好保持一致是多么重要。 了解所需的投资了解所需的投资 “如果你意识

6、到无论如何都会发生网络攻击，你的风险容忍度就不可能为零，那么问题来了，你愿意为此花费多少钱？答案是投资巨大，”一位与会者表示。另一位与会者分享了一些历史背景：“许多大型银行在五年前就掌握了主要的网络安全能力。他们为此投入了大量资金。尽管如此，仍存在许多数据漏洞。这是为什么呢？因为这些能力并不成熟，而且是在孤立状态下实施的。我们发现，薄弱环节大多出现在相互联通方面。这为网络攻击者提供了新的机会。”而这种持续的脆弱导致的结果就是，很多董事会都认为其首席信息安全官（CISO）“总是告诉我们，网络环境极其糟糕，我们需要大量投资，”一位与会者表示。一位高管指出，“作为风险专业人士，我们必须为董事会提供更