在前几期专栏中，我提出了这个问题：面对网络攻击，企业中通常哪个职能部门应该主导网络韧性的发展？在对网络韧性的定义进行了一些争论和纠缠之后，我建议包括信息安全、业务连续性管理和业务领导在内的职能部门可以作为备选，每个职能都有潜在的优缺点。所有这些职能以及更多部门都需要参与，还需要一个项目管理办公室来牵头。所有这些都提出了另一个问题：面对潜在的网络攻击，私营和公共部门的企业应该如何组织起来以建立韧性？回答这个问题的关键是，网络韧性不是限定于一个人的工作。它需要企业中几乎所有职能部门的参与。这种说法的困难在于，如果每个人都参与其中，那么就需要一个相当严格的并具备角色定义的组织，以防止互相拖后腿。管理利益冲突首先，需要一个流程来裁决冲突的利益，以保持组织的网络韧性。例如，销售部门可能希望系统重新投入使用，即使没有证明恶意软件已被从中删除，而信息安全部门将坚决反对此举。或者，即使无法正常运营，人力资源（HR）也可能强调留住员工，但在现金流受限的时候，首席财务官（CFO）会优先考虑降低成本。这些只是我知道的争议的例子——肯定还有很多其他的例子。这些相互冲突的观点并非网络攻击应对所独有。在这些例子中，销售人员不了解运营，他们无法弄清楚财务在做什么。没有人了解

引言：ISACA作为全球IT审计权威机构，近年来持续关注个人信息与隐私保护，推动全球数字信任生态的建立。2020年ISACA推出了备受全球专业人士青睐的CDPSE注册数据隐私安全专家认证，为组织和个人提供专业经验和实施能力的双重背书。针对各国不同的监管要求，ISACA还开发了各种资源，包括GDPR审计指南、隐私监管查询工具和《ISACA个人信息保护能力成熟度评估最佳实践指南》等，助力企业合规体系建设。恰逢个保法实施两周年之际，ISACA特邀《实践指南》首席开发人员、ISACA中国技术委员会委员支云龙先生，从实务角度分析AI技术对隐私的威胁及风险，并分享了《实践指南》的使用方法，助力专业人士和组织在内部进行个人信息保护保护合规审计，建立有效的个人信息保护能力，进而建立其全面的数字信任体系。一、

“橘生淮南则为橘，生于淮北则为枳，叶徒相似，其实味不同。”这句出自《晏子使楚》的话在人工智能颠覆性变革的时代也同样适用。不同国家因地缘政治和所处技术发展环境的差异，在监管或鼓励某一领域人工智能发展方面，不同国家或地区政府采取的监管力度、提供的激励措施以及整体态度存在明显的不同和不一致。各国如何通过法律法规规制出适合本国国情的治理战略是抢占制高点和发展机遇的关键。根据“2023年斯坦福人工智能指数”对127个国家的立法记录的分析显示，包含

无法提供服务，组织声誉将受到负面影响。沟通和营销只能做这么多。如果缺乏客户支持，客户就会抱怨，尽管在组织的其他领域做出了英勇的努力，但组织的品牌和声誉将受到损害。架构领域我曾经是一个组织的

Trends/Newsletter/<u>@ISACA</u>。文章内容仅代表作者本人观点。作者：JOHN

萨福克县位于美国纽约州长岛的东端，该县以其海滩、葡萄园和捕鱼船队而闻名。而最近，它因勒索软件攻击而臭名昭著，该攻击迫使当地政府将其所有系统从互联网上移除。结果，所有机构的技术都被迫倒退回1990年代。除了我从媒体和与该地区信息安全专业人员的对话中了解到的信息外，我对这次网络攻击一无所知，人们对这件事情也知之甚少。但从那以后，报道的一个细节一直萦绕在我的脑海中。12月下旬，县政府宣布，一个机构的IT主管，即县文员，被指责造成了这次攻击，并被行政休假。他被指控以“令人难以置信的冷漠方式”对待办公室的网络安全。被告辩解说，他已经努力尝试唤起对需要更强大的网络安全保护的认识，但没有得到重视。为什么必须有人担责？一直在我脑子里嘎嘎作响的是，为什么有人要为这件事承担责任？肯定有一些相当讨厌的人应该受到指责，他们试图从生活在和平乡村地区的公民那里榨取赎金（和大量个人信息）。但为什么要追究一名IT主管的责任？还有其他令人不安的例子：Uber的前首席安全官因没有披露几年前发生的黑客攻击而被定罪；美国佛罗里达州的一名IT主管在勒索软件攻击后被解雇；一名在苏格兰的一家公司被骗的信贷控制员；一位加利福尼亚州的信息安全官。出于我不明白的原因，网络攻击这种罪行除了犯罪分子以外，一定要有其他人担责。如果小偷闯入某人的家并偷走了所有贵重物品，房主会有错吗？在某些情况下，答案是“是”。如果主人与土匪勾结，那很可能是一个保险骗局，让他陷入困境。或者如果业主将所有门窗都打开，走廊上有一个牌子，上面写着“珠宝在面包盒里”，那么对所遭受的损失的同情可能会少得多。这个几乎不加掩饰的类比旨在确定以与网络攻击有关的原因解雇或起诉任何员工的唯一合理理由。如果那个人与袭击者勾结，解雇和起诉当然是必要的，尽管我从未听说过这样的袭击。共同过失？但是，共同过失是一个恰当的比较吗？我想假设某个地方可能有一位信息安全经理，他对他所看管的数据非常不关心，以至于不需要身份证明或授权即可访问它们；病毒被允许混乱运行；并且不进行任何备份。非常假设的场景。如果真有这样的人，责任应该落在当初雇用这个傻瓜的经理身上。假设基本安全性已经到位，如何为恶意外部人员的行为负责？值得注意的是，一些在信息安全产品和人员上投入巨资的企业和政府遭受了网络攻击。如果他们又多花了一百万，攻击会被成功拦截吗？即便如此，如果攻击者使用诡计来窃取对系统具有特权访问权限的人的凭据，从而窃取数据，那么所有这些投资也可能是徒劳的。凭据泄露肯定是导致网络犯罪的一个贡献因素，尽管对它的影响大小存在相当大的争议。一个简单的搜索显示这组统计数据，37%到81%的网络攻击者使用被盗的凭据。毫无疑问，许多网络攻击中都涉及到网络钓鱼和鱼叉式网络钓鱼。任何被网络钓鱼愚弄的人都应该感到尴尬，但不应被解雇。让一个从未被欺骗的人打响反诈第一枪，我是不会这么干的。防止指责许多ISACA

Trends/Newsletter/<u>@ISACA</u>。文章内容仅代表作者本人观点。作者：Jon

分布式账本技术的引入，或所谓的区块链技术，对当前的商业模式提出了挑战。这些挑战之一是会计师和审计师角色的重大转变。由于会计和审计职能都与组织的交易密切相关（交易被转换为货币价值，并提供有关价值的保证），它们受到所采用的任何新技术的影响。如果采用区块链等新技术改变了进行交易的过程，会计师和审计师应该了解这些变化，以便正确地反映在他们的工作中。如果他们不这样做，他们将无法测试技术中包含的控制并跟踪使用区块链记录的金融交易，这意味着他们将无法正确执行大部分工作。新技术的预期效应会计和审计的基础并不受区块链技术实施的影响；然而，区块链确实增加了需要考虑的风险和要测试的控制。例如，在审计期间，收集的有关向供应商付款的证据已从供应商收据更改为区块链中的交易哈希。外部审计师需要提高与区块链中可用证据，以及如何使用该技术记录交易的相关技能，否则可能有失去其他具有更多区块链技术专业知识的企业的风险。为了防止这种情况，审计师应该了解区块链技术，并将其纳入他们为客户提供的服务中。有管理层提供和审计师应保证的两种主张：记录所有交易和负债的完整性；以及资产的存在或记录交易的发生。当该期间发生的所有交易都列报在财务报表中时，就实现了完整性，这一主张可以由审计员核实。例如，可以通过查看区块链中某实体的交易历史记录来验证实体在其运营中使用加密货币的情况。同样，审计人员可以通过跟踪区块链中的交易哈希来验证资产是否存在，以识别实体内资产的接收方，然后确认资产驻留在所描述的位置。验证其他主张的过程可以使用存储在区块链中的数据来完成；不同之处在于，这些数据经过验证，因此可以认为比一方（即客户）提供的传统数据更值得信赖。外部审计的相同方法也适用于内部审计师，其主要职责是提供保证和咨询，以改进治理、风险管理和控制系统的过程。内部审计师在完成财务审计时可以执行由外部审计师执行的相同程序。但是，在合规性审计期间，内部审计师可能需要审查区块链中智能合约的代码，以确保它们包含原始合约的条款和条件，然后对每个智能合约进行抽样，并在原始合约中指定的日期跟踪其执行。智能合约是一种代码，反映了实体和供应商之间合同的条款和条件，并在没有任何人为干预的情况下自行执行。对于运营审计，内部审计师可以通过跟踪区块链中在特定时期内发生的所有内部交易来审查程序流程，并确保满足所有目标。此外，内部审计师可以通过验证谁负责创建交易、谁可以验证交易以及哪一方负责审查交易来测试区块链中的治理问题。在会计方面，区块链技术可以为组织提供与银行、客户甚至内部各方的更多可验证交易4。当外部和内部审计师跟踪交易以验证其真实性时，这种验证也很有用。当前会计惯例的局限性允许有时向虚假供应商付款或转移到虚假银行账户。例如，欺诈者可以伪装成组织的供应商，并向该组织发送带有自己帐号的发票。或者它可以入侵供应商的电子邮件系统，并使用它来向受害组织发送发票和银行详细信息。但是，当通过区块链技术处理付款时，这种风险就消除了，因为所有付款都由供应商验证，并带有交易哈希记录在块中以供以后参考。风险也降至最低，因为供应商和组织都可以看到他们在网络中所有交易的历史记录，这使他们能够识别任何欺诈活动。区块链改变的另一个会计方面与向客户交付商品和服务有关。现在，客户可以通过验证区块链中的交付交易来直接确认商品和服务的接收。此外，与供应商的合同执行可以使用区块链中的智能合约完成。此执行是根据嵌入在区块链中智能合约代码中的合同条款和条件完成的。结论区块链技术就像组织使用的任何新技术一样：它需要发展会计师和审计师的技能，以理解、管理和评估新型交易。实施区块链技术的实体应培训会计师使用它来发起交易，验证这些交易并跟踪交易历史。外部审计师应发展技能，以提供新的区块链相关服务并改进当前的保证实践，否则他们可能会失去技术更熟练的组织中的角色。同时，内部审计师应将区块链技术纳入其对控制、风险和治理流程的测试中。如果不这样做，当新技术成为各组织用来记录和核实财务交易的唯一技术时，审计员和会计师就无法记录和审查交易。此外，如果外部和内部审计师不能胜任使用该技术，他们将无法测试嵌入在区块链中的控制；这也将影响他们是否符合要求审计员能力的审计标准。往期推荐ISACA

◮点击上方视频立即观看ISACA是一个学习社区。无论是学习如何将新技术融入工作，如何应对不断演变的安全威胁，还是如何通过认证考试，对知识的渴求永无止境。我在担任ISACA首席执行官的头50天里采取了同样的方法。我把所有时间用来学习、倾听和准备，我还将继续这样做，以便更深入地了解我如何才能最好地与大家合作，让这个伟大的组织更加伟大。以下是我的一些初步想法：会员是我们宇宙的核心，我们的优先事项必须与我们当前和未来的会员和持证人员的需求紧密相关。我们希望在您职业生涯的每个阶段都成为您的宝贵的合作伙伴，从我们提供的培训到验证您技能和知识的证书，到您可以通过ISACA平台触达的本地和全球专业网络，我们希望每一步都能帮助您的职业生涯和组织蓬勃发展。我们以业界领先的证书、CMMI性能解决方案模型、COBIT治理框架等而闻名于世。这是一个很好的基础。但与我们任何令人印象深刻的缩写词相比，我们最大的优势是我们全球网络中的人。ISACA会员之间令人难以置信的联结和社区让我深受鼓舞。这一点很快变得显而易见，因为有这么多会员在LinkedIn上联系我，欢迎我加入ISACA；许多分会也向我发出邀请与他们互动。当一群人如此热情、投入和相互联结时，这种感觉真的很特别。虽然我之前也领导过其他组织，但是ISACA社区表现出来的对这个组织的热情让ISACA变得与众不同。在我认识每一位ISACA员工的时候，我看到他们既有丰富的经验，同时对新想法也有很高的接受能力，这也让我感到了激励。最重要的是，我们的员工坚定地致力于支持我们的会员。我们一起还有很多工作要做。今天新技术采用的速度是前所未有的，尤其是人工智能的发展速度比我见过的任何技术都快。人工智能正在改变组织的运营方式，我们有责任为我们的会员和客户提供指导和专业知识，帮助他们成功驾驭这一充满变化的新局面。ISACA拥有美好的未来。还有很多美好的日子。我期待着与我们的分会社区、我们的会员、我们的企业合作伙伴、我们的员工和我们的董事会合作，确定我们的社区如何共同发挥最大影响力。作者：Erik

在过去十年中，公众对隐私泄露的反应越来越大，比如由剑桥分析公司丑闻中带来的#DeleteFacebook趋势，这些反应可能会造成财务、客户和声誉影响。正如美国亿万富翁、投资者和慈善家沃伦·巴菲特所说，“建立声誉需要20年，而毁掉它只需要5分钟。如果你考虑到这一点，你会改变的做事方式。”随着企业寻求了解其数据隐私要求以及与数据安全计划的关系，人们对通过首席信息安全官（CISO）和首席隐私官（CPO）合作来整合这些活动提出了疑问。这两个角色有共同目标：保护组织的数据。但是他们的关注点不同，CISO负责保护所有信息资产，CPO负责保护组织数据主体（如客户、员工）的利益。但是他们可以进行合作，例如对涉及使用第三方应用程序的客户数据的信息泄露事件进行响应处置。在这种情况下，两个角色必须共同管理事件，与受影响的群体沟通，并参加事件后审查会议，以确定第三方供应商管理计划的改进。数据安全和数据隐私这两个术语往往可以互换使用；然而，它们并不相同。它们在保护和控制信息资产方面都有其独特的应用并发挥着关键作用。企业必须了解数据隐私和数据安全之间的区别，为什么这种区别很重要，以及如何以综合方式管理这两个概念以达到（例如保护个人信息）的目的。定义数据隐私和数据安全一般来说，数据隐私是指个人自行确定何时、如何以及在多大程度上与他人共享或交流其个人信息的能力，如一个人的姓名、位置、联系信息或在网络或现实世界的行为。正如有人可能希望将他人排除在私人对话之外一样，许多在线用户希望控制或阻止某些类型的个人数据收集。为了实施数据隐私，政策和程序必须遵守法规（如《欧盟通用数据保护条例》[GDPR]），确保根据数据主体的偏好控制和管理个人身份信息（PII）的收集、使用、共享、存储和删除。另一方面，数据安全通过各种预防、检测和纠正控制措施，保护包括个人信息在内的所有信息资产免受各种威胁，如未经授权的访问、不当使用或网络攻击。总的来说，它试图确保满足保密性、完整性和可用性（CIA）三重要求。隐私和安全具有相互关联的关系，如图1所示。隐私定义了如何使用和管理个人信息，而安全则是实施控制措施以保护这些信息免受潜在威胁。这种关系的一个简单例子是，一所房子的窗户是安全控制装置，而窗帘由房主自行决定是否保护隐私。另一个例子是，当一个人在智能手机上下载新的应用程序（App）时，需要同意隐私政策

AHMED，在信息和通信技术治理、网络安全、数据隐私和保护、风险管理、企业创新以及数字化和战略转型等领域拥有超过17年的经验。

变更管理是企业IT环境的基本组成部分之一。变更管理控制措施的有效性对企业整体风险有直接影响。在这个科技飞速发展的时代，组织正在采用自动化来简化流程。为了使自动化系统有效运行并实现预期结果，拥有复杂的变更管理控制措施至关重要。尽管软件工程工具的不当使用很容易被恶意行为者所利用，但将变更管理的责任仅归于工程部门将是一个严重的错误。合规部门有义务教育董事会和执行管理层，使其了解实施稳健的变革管理流程的重要性。作为被审计方，工程和DevOps团队了解不当变更管理实践的影响很重要。审计人员在审计与复杂工具相关的工件以合理鉴证新的变更管理控制措施是否有效时，也发挥着关键作用。所有审计利益相关者都必须了解行业的常见缺陷和最新的技术控制措施，以便轻松适应新的变更管理审计实践。被审计方的通用实践代码库工具、持续集成/持续交付（CI/CD）工具和变更文档是工程变更管理的重要组成部分。被审计方使用这些要素的行为直接影响到企业变更管理实践的有效性。代码库与持续集成和部署代码库工具通常用于存储源代码和控制代码版本。随着组织走向自动化，使用代码库和版本控制软件提供的分支规则保护(Branch

8月3日，为指导、规范个人信息保护合规审计活动，中央网信办就《个人信息保护合规审计管理办法》及配套的《个人信息保护合规审计参考要点》公开征求意见。ISACA作为全球IT审计权威机构，近年来持续关注个人信息与隐私保护，推动全球数字信任生态的建立。2020年ISACA推出了备受全球专业人士青睐的CDPSE注册数据隐私安全专家认证，为组织和个人提供专业经验和实施能力的双重背书。针对各国不同的监管要求，ISACA还开发了各种资源，包括GDPR审计指南、隐私监管查询工具（点击阅读）等，助力企业合规体系建设。7月15日，ISACA中国在第二届数字信任峰会上发布了《ISACA个人信息保护能力成熟度评估指南》，为中国的专业人士和组织提供了在个人信息保护合规方面的建议和指导。该文件包含《上篇：基于个人信息生命周期的安全管理》和《下篇：个人信息日常安全运营和保障》两个重要的工具，具有极强的实用性，欢迎下载。扫描小程序码立即下载白皮书点击阅读原文立即获取白皮书下载链接ISACA版权所有，如果引用或转载其中全部或部分内容，请标注来源。

人工智能（AI）发展如火如荼，特别是随着OpenAI聊天机器人ChatGPT的发布，人工智能更加容易使用，正悄然改变人们的工作、沟通和决策方式。然而，尽管人工智能现在已经成为日常生活的一部分，但人们对人工智能的认知各不相同，有人将其视为一组花哨但无害的算法，也有人将其认为是人类的终结。此外，对于人工智能是否比人类或传统的基于规则的软件具有更多或更少的预期特性（如公平性、准确性和强健性）存在非常不同的意见。显而易见的是，人们对于如何应对人工智能的发展的态度仍不清晰。对ChatGPT的输出应该给予多少信任？组织能否依靠人工智能做出招聘决策？人们应该如何看待决定他们的信用额度的人工智能工具？人工智能的使用缺乏明确性，这促使监管机构开始建议建立法律框架。特别是，旨在规范人工智能在欧盟的道德和安全部署的《欧盟人工智能法案》（EU

ChatGPT是OpenAI基于其先进的大型语言模型家族开发的人工智能(AI)聊天机器人。自2022年11月推出以来，它的下载量碾压Instagram和TikTok等热门应用，并保持着用户群增长最快的记录。置身于“完美风暴”之眼的ChatGPTChatGPT前所未有的采用率凸显了其在重塑当今以数字为中心的世界中的沟通和参与实践方面的变革潜力。最近在波士顿举行的ISACA数字信任世界会议上，我发表了题为“掌握ChatGPT”的演讲，其中强调了过去半年中几个关键事件的融合，最终形成了推动ChatGPT崛起的”完美风暴”。这场风暴的核心是ChatGPT能力的快速发展，标志着我们所说的“人工智能时代”或“第四次工业革命”的到来。我介绍了ChatGPT的转型能力，特别是它重塑商业运营的潜力。根据我的个人经验，ChatGPT已经证明了在起草初始文档版本和创建LinkedIn帖子等任务，甚至建议合适的表情符号中的价值！然而，伴随这场风暴而来的是我们对相关风险的有限理解，再加上缺乏针对此类先进人工智能模型的监管框架，以及组织对人工智能驱动的未来的准备程度各不相同。了解“完美风暴”：ChatGPT的影响ChatGPT或任何人工智能技术的集成应被视为一项全组织范围的工作，要求跨学科合作，包括技术专长、监管合规、风险管理和业务理解。组织通过确保这种平衡和全面的方法，可以充分利用ChatGPT等人工智能技术的优势，同时减轻潜在的风险和陷阱。研讨会结束后，许多与会者联系了我，表达了对ChatGPT影响的好奇和担忧，其中有以下三个关键主题：1.

网络风险显然已经成为“全球所有组织的明显和现实的危险”。虽然有一些方法可以降低网络风险，但并非所有与网络安全相关的风险都可以消除。我们必须理解网络风险是一个不断变化的参数，需要不断分析并且难以量化。并非每个与风险相关的网络安全举措都能显著降低风险。有时，随着时间的推移，小的举措会产生累计效应而显著降低风险，并且对组织的成本很低。这些小举措与常规的网络安全尽职调查活动相结合，值得探索。总是有风险需要识别例如有一个拥有成熟、资金充足的网络安全，在审计方面有着良好历史的组织，已经开展了详细的风险分析项目和业务影响分析（BIAs），补丁执行速度快，端点管理良好，所有凭据都需要多因素身份验证

☝☝☝点击上方链接报名参加第二届数字信任峰会在快速发展的监管环境中，隐私专业人士必须及时了解可能影响组织业务发展的最新立法。随着全球各地隐私和数据保护相关法律法规的不断发布，专业人士很难从诸多法律法规中找到适用于他们的条款。为了帮助组织应对这一系列合规义务，ISACA创建了一个工具来比较主要的法律法规，以帮助技术隐私从业者更快地确定他们的企业如何实现合规。它是如何工作的？隐私监管查询工具是由ISACA召集专家评审团队开发的，以确保其全面和有效。它利用Excel工具绘制了《通用数据保护条例》（GDPR）、《中华人民共和国个人信息保护法》（PIPL）、《加利福尼亚消费者隐私法》（CCPA）、《加州隐私权法》（CPRA）、《加拿大个人信息保护和电子文件法》（PIPEDA）、《巴西通用数据保护法》（LGPD）、《澳大利亚隐私原则》（APP）和《泰国个人数据保护法（PDPA）》以及ISACA制定的一套核心原则。核心原则是什么？ISACA的隐私监管查询工具涵盖了与法律或法规相关的关键术语的定义；法律或法规的范围；数据主体权利；企业要求；数据保护；数据管理；执行以及第三方考虑。这些原则中的每一项都深入探讨了适用的主题和子主题，以简化比较过程。例如，企业需求原则包括通知、响应期、业务权限、销售数据、同意、隐私政策和数据保护影响评估（DPIA）等子原则。

☝☝☝点击上方链接报名参加第二届数字信任峰会2022年注定是不平凡的一年，是党的二十大召开之年，是向第二个百年奋斗目标进军的发轫之年，也是面对疫情冲击等复杂多变形势，极具挑战的一年。对ISACA中国社区而言，2022年的不平凡之处还表现在，面对疫情、技术迭代、行业发展、合规升级等等诸多不确定性时，ISACA志愿者团队以无比的热情和无私的奉献精神，化不可能为可能，以各种形式和方式持续为社区输出宝贵的知识、经验、实践，帮助中国社区不断成长和壮大，意义非凡。为表彰对ISACA社区作出突出贡献的同仁，我们将向为其中的优秀个人和团队颁发奖项。让我们相约2023年7月15日ISACA中国2023年度大会，共同见证Ta们获奖的荣耀时刻！ISACA中国2022年度志愿者优秀团队ISACA上海社区核心志愿者团队ISACA华南社区核心志愿者团队CMMI中国区PAG小组ISACA中国2022年度优质内容创作奖涂佳兵，财务审计视角看IT审计系列文章策划人注册会计师，信永中和成都分所信息系统咨询部副经理《ISACA个人信息保护能力成熟度评估指南》开发团队ISACA中国2022年度优秀志愿者ISACA社区：蔡俊磊

☝☝☝点击上方链接报名参加第二届数字信任峰会数字信任和数字信任生态系统有很多内容，但网络安全仍然是核心组成部分之一。一个组织的网络安全声誉有多好？它是否有任何已知的违规行为？这些违规行为是否极其严重，或者造成了业务影响（和产品损失）或造成了客户数据丢失？一个组织的数字可信度受到许多非网络安全因素的影响。组织应该关注他们的品牌和整体声誉。他们必须改善关系，包括与第三方和客户的关系。他们必须确保他们的执行和交付能力符合预期。然而，现实情况是，在网络安全方面表现不佳可能会影响所有这些事情。网络安全对产业链上下游仍很重要今年年初，信息安全领域的大新闻是GoDaddy持续多年的安全漏洞事件。GoDaddy披露的内容令人震惊：它不知道攻击者是谁；客户和员工的证书被盗，攻击者能够安装恶意软件，导致合法网站被重定向至恶意网站（又称“水坑攻击”）。在写这篇文章的时候，此次事件对GoDaddy及其现有客户的影响程度还未知。会有多少客户将离开？目前GoDaddy的客户体量约为2100万，2022年的收入约为40亿美元。关于什么被攻破和如何被攻破的细节，以及被攻破的时间，都令人震惊。虽然GoDaddy可能有强大的网络安全资产，但这显然是不够的。此次事件不仅损害了GoDaddy的声誉，而且还可能损害依赖GoDaddy托管的客户的声誉，例如通过GoDaddy

☝☝☝点击上方链接报名参加第二届数字信任峰会米娜的审计小组得到了一个不寻常的要求，必须对他们将要审查的项目治理过程和支持软件中的包容性进行验证。新任首席信息官打算通过扩大参与取得更好的开发成果。他认为一些利益相关者选择不参与项目进程，不是因为他们认为这超出了他们的工作职责，而是因为他们觉得自己像是局外人。他希望通过审计来发现参与方面的差距，并找到导致一部分参与者被针对而其他参与者被劝退的因素。这位首席信息官不仅相信技术能够以积极的方式推动多样性，而且相信这一过程本身能够促进团队更好地合作。在开始界定范围之前，米娜认为必须对多样性和包容性有一个基本的了解，而这正是她想提出建议的地方。为什么多样性需要努力才能实现多样性的好处长期以来一直被管理学院所追捧。多样化的风格产生了广泛的想法和方法，这可以转化为一个更有凝聚力的工作环境，并创造一个降低成本的竞争优势。具有包容性思维的多元化工作团队可以弥合理解上的差距，有助于避免返工。典型的例子是IT部门和业务部门之间的紧密合作，使开发后的用户验收测试（UAT）产生令用户满意的上线结果。多元化的团队还可以通过创造具有广泛吸引力的产品和服务，更容易接触到更广泛的受众。技术有助于使这些产品和服务更加普遍。如果多样性可以带来这样的优势，为什么它如此难以实现？"无意识偏见"、"男孩俱乐部"、"派系小团体"和"内部小圈子"等习语表明，工作和社会团体是围绕着熟悉的东西形成的，即物以类聚人以群分。人们更容易在一个已知的框架内工作，与那些感觉像是例行公事的人和风格一起工作。摆脱已知的和舒适的，包括新的方法和不同的人，可能会感到有风险，就像任何变化对那些习惯于在既定边界内运作的人来说一样。正如米娜的情况所显示的那样，实现最佳的结果不仅意味着要了解应该如何为一个项目定义多样性，而且还意味着要确保所使用的技术能够在上线时和稳定状态下获得多样性的优势。米娜关于范围界定的想法米娜非常喜欢她的工作，她并不介意作为EMEA（欧洲、中东和非洲）团队成员服务于一家美国企业。虽然有时她希望在组织做出一些关键决定时，特别是围绕组织的审计计划时，她能在场，但她喜欢在每天安静的早晨，在下午总部团队上线之前，她可以完成一些思考性的工作。事实上，纳入其他地区是她对这个具体项目的范围评估和流程规划的建议之一。她认为强调她的观点的最好方法是从一个关键属性的清单开始，这些属性将会是审计的目标：需要界定多样性，避免完全同化。狭义的范围可能会忽视或阻碍非传统思维，从而有可能排除有价值的信息。米娜的观点是，在确定审计项目的范围时，要让团队预先定义多样性。为了正确地定义多样性，团队必须培养意识和理解，并在项目和软件如何吸引广泛的用户群体方面进行发散性思维。范围应包括对控制措施的审查，以专门检测潜在的偏见。米娜认为，检测偏见只是挑战的一部分。她建议，在每一个里程碑上，审计团队都应该寻找缺失的东西--也许是地区包容性、文化包容性、技术专家包容性、年龄包容性或业务包容性。她一直对商业利益相关者对IT审计结果的半信半疑感到困扰，但她强烈认为这种反应是由于缺乏合作和相互理解造成的。一个人必须通过与广大受众一起探索各种选择来为变革制定规则。米娜认为技术和软件开发可以探索和实施那种只有广泛多样的人群才能创造的独特计划。她的建议提倡采用一种假设监控的理念，在整个敏捷过程中使用上线后的检查点。最后一点是实时、详实的建议。米娜相信这将与该组织对三道防线（译者注：现在应为新的三线模型）的承诺很好地结合起来，在信息实时和相关的情况下利用技术赋能的人工检查点。技术在哪里为成为多样性的催化剂？技术的优势有两个方面。首先，正如米娜的首席信息官所认为的那样，技术可以成为一种促进因素，增强对新想法的了解，允许以独特的方式看待问题，并改善对影响结果的因素的考虑。多样性从综合风险/审计方法开始，并努力利用每一个可行的想法。其次，通过协同工作空间计划和网络技术，技术使许多人而不是少数人能够参与进来。即使是通过最基本的视频协作，也能在所有参与者、利益相关者和客户之间建立更好的联系。能增强构思和项目广度、实现全面的团队协作、甚至加强关系建设的技术，可以作为多样性的催化剂在各种行业和学科中使用。以下内容值得思考：工作场所中技术赋能的多样性不仅意味着要考虑所有的可能性和优势，而且还意味着要注意和鼓励通过使用网络会议来参与。技术通过使资源更容易获得来改善教育，并帮助技术专家满足所有年龄和背景的用户和学生的需求。尽管有大量的数据，但政府的技术有助于建立运营框架。它提供了对网络犯罪的控制，并在国家和地方政府设法援助其公民时，实现了大量数据的关联。医疗保健方面的技术有两个关键目的：保护隐私，同时识别和评估不同人群的潜在疾病和治疗方法。关键是如何定义"多样性"，以便不遗漏任何一个人，并确保匿名性，鼓励研究参与，从而找出准确服务于各种人群的治疗方法。技术被指责过度地影响了消费者的意见和购买决定，但这种风险是可以减轻的。重要的是，要牢固建立监督和治理，以避免这种过度影响。在多数情况下，如果治理到位并尽职尽责地进行监督，知情的消费者就可以通过适当地使用社交媒体和网络服务来获得广泛的产品和建议。归根结底，多样性和包容性之所以重要，是因为它具有改善每个人的生活质量的潜力。不公平的现象总会存在，特别是在需要更新多样性定义的拐点。保持技术作为多样性的推动力，正是ISACA专业人员带来价值的地方。技术在促成多样性方面有哪些优势？以下领域将从专业贡献中受益：识别不平等现象正在渗入的领域。在风险评估和审计评估中包含发现点。避免同化所有数据。相反，要支持一个允许思想蓬勃发展的框架和范围。尽早让更多的参与者和利益相关者参与进来，以实现这一创造性目标。实践包容。成为发展、业务和其他利益相关者之间的桥梁。风险和审计专业人员可以利用他们的客观角色，将包容性的要求付诸实施。在你自己的部门中通过把想法表达出来，开始实践包容。广泛沟通，及时反馈。沟通时要考虑更广泛的受众，使用对不同群体有吸引力的媒体，满足人们的需要。通过征求反馈意见，确保你的信息不会在传递中丢失真意。在项目里程碑期间进行测试，评估早期建议是否被采用，如果没有，则检查沟通方法，看看是否需要改进。你必须去做才能做好重要的是，风险管理和审计最佳实践领域的专家以身作则采用技术。这可能是一个简单的事情，比如在适合跨时区的时间举行虚拟视频直播会议。或者是告诉别人你使用了什么技术来验证工作范围的多样性准确性。不管是什么项目，也不管最终的目标是什么，审计专业人员的一致行动都会增加多样性的结果，并实现技术的作为多样化推动力的潜力。更多的想法，准确的概念证明，加速增强了数字信任，产生了更好的结果。往期推荐:报名开启

☝☝☝点击上方链接名参加第二届数字信任峰会人工智能领域刚刚发生了划时代的发展，如果你从事网络安全工作，你很快就会意识到它的影响。我自己的专业知识主要来自网络安全，但在过去的几年里，我一直致力于各种研究，其中包括利用各种工具了解人工智能。你们中的许多人也将对人工智能有越来越多的认识。到目前为止，大多数人都至少尝试过ChatGPT，这是一种很棒的基于文本的聊天机器人AI，能够实时交互，并拥有比历史上任何人类都学识渊博。这已经给网络安全带来了一些问题，因为这种AI的各种功能可以通过API（应用程序编程接口）以非常低的成本被调用。ChatGPT和其他商业人工智能平台的滥用虽然受到政策的限制，但仍然需要首先检测到任何不道德或非法的使用。这些AI不会故意以违反任何法律为目的，但那些没有任何道德规范的AI却在忙于寻找规避规则的方法。在我解释它是如何发生的之前，让我先跳转到结局。想象一下，如果网络犯罪分子获得的不是一个庞大的数据中心，而是像ChatGPT

☝☝☝点击上方链接报名参加第二届数字信任峰会随着经济发展进入不确定时代，各行各业都在讨论始终存在的技能差距和裁员，网络安全专业人员也在思考未来前景几何。尽管我们愈发需要保护数字生活与信息安全，网络安全行业是否也将迎来裁员潮？ISACA与几位业内专家探讨了网络安全行业的发展趋势与职业前景，为网络安全新人总结出几大要点，并为雇主提出几点建议。网络安全专业人员是业务成功的关键网络安全是保护网络、系统、设备、程序、敏感信息和其他数据免于犯罪活动或未经授权的使用和数字攻击的实践。随着全球数字化程度加深，人们在网上花费更多的时间，网络安全成为几乎所有组织的关键成功要素。企业数字化转型对网络安全的需求加深，随着企业发展、数字业务进一步扩张，对网络安全专业人员的需求也将扩大。ISACA网络安全现状等调查报告显示，市场对既有技术也有软技能（包括沟通和批判性思维）的IT和数字信任专业人士的需求很大，这类求职者与其他求职者相比更具优势，同时，持有网络安全相关认证也是一大优势。网络安全领域的常见职位包括网络安全工程师、信息安全分析师、渗透测试员和安全架构师。网络安全就业市场展望美国劳工统计局的数据显示，预计到2031年，信息安全分析师等职位的网络安全就业人数将增长35%，2021年5月，该类职位的平均薪酬为102,600美元。网络安全招聘专家、职业顾问、J.

Trends/Newsletter/<u>@ISACA</u>。文章内容仅代表作者本人观点。作者：Guy

☝☝☝点击上方链接名参加第二届数字信任峰会人工智能算法（AI）在指导决策方面显示出巨大的潜力，因此许多企业已经实施了该技术。据统计，2021年的人工智能投资达到约680亿美元。然而人工智能的推广还存在许多未知因素：65%的企业无法解释人工智能工具是如何工作的；决策者可能过度信任人工智能神奇黑匣子中的未知组件，因此可能无意中使企业面临道德、社会和法律威胁。尽管许多人认为这项新技术是客观和中立的，但基于人工智能的算法往往只是重复过去的做法和模式。人工智能可以简单地将现状“自动化”。事实上，基于人工智能的系统有时会做出有问题、歧视性或有偏见的决定，因为它们往往会复制人工智能引入之前已经存在的有问题、歧视性或有偏见的过程。随着人工智能的广泛应用，这项技术影响了大多数人。因此，现在是时候从全系统的角度审视这项技术，确保它能够用于合乎道德、公正的决策了。系统理论许多学科鼓励采用系统理论方法研究现象。这种方法指出，输入引入到系统而过程将这些输入转化为输出（图1）。算法定义为是“一种涉及多个步骤的标准程序，如果正确遵循这些步骤，可以依靠这些步骤解决特定类型的问题。”人工智能算法使用定义的模型将输入转换为输出。英国统计学家乔治·E·P·博克斯曾说过：“所有的模型都是错误的，但有些是有用的。”关键是，世界是复杂的，不可能建立一个考虑所有可能变量的模型，从而获得理想的结果。然而，模型可以根据过去发生的事情为未来可能发生的事情提供一般性指导，为决策者提供帮助。人工智能算法要么使用预定义的模型，要么创建自己的模型来进行预测。这是将人工智能算法分类为符号或统计的基础。符号算法使用一组规则将数据转换为预测结果。规则定义了模型，用户可以通过查看模型轻松地理解系统。从系统理论的角度看，输入和过程是明确定义的。例如，符号算法用于开发信用评分，其中输入是先验定义的，并且使用相关的权重和公式执行过程（计算）以获得输出。然后，输出用于决定是否扩大信用。相反，统计算法通常允许计算机开发新的模型（过程）时选择最重要的输入。这些模型通常比符号算法开发的模型更复杂，但仍然基于输入预测结果。与使用统计算法相关的一个问题是，用户可能不知道选择了哪些输入或使用了哪些过程将输入转换为输出，因此可能无法理解他们用于做出决策的模型。系统理论表明，这些模型的输出在很大程度上取决于提供的输入（数据）和选择的算法（过程）类型。随后使用人工智能模型的输出做出的决策很容易导致偏见，从而导致对个人或群体的系统性和不知情的歧视。计算机系统偏见人工智能算法的系统理论讨论可以通过考虑偏见如何影响结果进行扩展。偏见定义为选择一种泛化而不是另一种泛化，而不是与观察到的训练实例保持严格一致，通常出现在一个结果更有可能来自一组函数而不是来自另一组函数的情况下。偏见通常出现在数据收集中，即采集了影响结果的非代表性样本，或者算法本身倾向于一个结果。基于人工智能算法输出的决策通常会引起公众的极大兴趣，因为它们会对人们的生活产生重大影响，比如人员是否选中参加面试或是否批准获得住房贷款。在IT领域，偏见可以分为三类：预存的、技术性的和突现的。早已存在的偏见有时，社会中形成的偏见（早已存在的）会转移到软件中。这种转移既可以显式地发生，比如在算法中故意植入歧视态度，也可以隐式地发生，比如在基于偏见的历史数据的帮助下训练分析算法。预存的偏见通常是在系统的输入阶段引入的。一个早已存在的偏见的例子是使用经典的Fair

☝☝☝点击上方链接报名参加第二届数字信任峰会企业的规模和跨越的地域都在增长，部分原因是第四次工业革命（工业4.0）带来的技术，如人工智能（AI）、数字化制造、物联网（IoT）、数据科学和分析、机器学习（ML）和大数据。为了帮助企业维持这种高速增长，内外部审计和鉴证合作伙伴必须确保企业IT系统和控制的性能和弹性。作为鉴证合作伙伴，审计团队在支持全球范围内正在进行的数字化转型中发挥着重要作用。必须在内部控制的设计和运营有效性以及识别技术、运营、法律和监管、人力资源（HR）和环境治理风险的潜在来源等方面提供鉴证。应在确保信任的审计活动中提供有关IT如何保护组织免受此类风险影响的指导。在这个过程中，审计小组除了担任鉴证合作伙伴外，还将担任着咨询合作伙伴的角色。重新思考审计如何支持数字化转型内部审计职能可以通过识别数字化增长的潜在风险因素及其影响来为组织增加价值。内部审计团队应专注于为组织推动的数字化转型的有效治理提供鉴证，以实现业务目标。为了在快节奏的数字化转型中成为一个有效的鉴证合作伙伴，内部审计团队必须重新设计自己的运营模式并开发新的能力。全球组织正在使用新的、替代性的审计方法，帮助组织跟上与数字化转型工作相关的风险鉴证。基于风险的审计规划由于对鉴证的巨大需求，审计团队必须在一个日历年内进行多次审计。在此过程中，审计团队可能面临提供不充分或不准确鉴证的风险，原因是：缺乏持续监测和持续审计---组织无法主动和频繁地识别风险，这将导致组织暴露在意想不到的、重大的严重风险中。有缺陷的审计方法---不充分和不适当的职业怀疑、缺乏审计文档、过度依赖某些形式的审计证据以及薄弱的风险评估，这些都是可能导致审计失败的一些有缺陷的审计技术。不熟练的审计团队---如果不具备足够的主题专业知识、技能和最新的审计技术知识，审计师就会成为单纯的检查表驱动的审计师，不能帮助规划和执行审计业务，从而无法为客户增加真正的价值。不遵守全球审计标准---遵守全球审计标准将有助于审计团队确保审计结果的一致性、有效性和可信赖性。无效、冗长的审计程序---当代大多数审计组织花费大量的时间，使用从外部购买的检查表来执行冗长的以标准为驱动的审计程序，这往往会大大延长审计周期。为了避免这个陷阱，审计组织应该根据其独特的审计业务的需要，开发他们自己的定制审计程序和检查表。审计业务中缺乏技术使用---在审计业务中使用适当的技术可以使审计工作更加有效。例如，在审计业务中使用数据分析，可以消除与审计抽样有关的限制。审计业务中使用的流程挖掘技术有助于开发模型，展示企业流程在现实中如何运作。新兴技术，如人工智能、数据分析、数据可视化、机器人流程自动化（RPA）和其他技术，预计在未来也将成为内部审计部门使用的工具。然而，技能挑战依然存在。在最近的一项全球调查中，内部审计负责人表示，他们在人才和技能方面最大的差距是赋能技术，包括高级分析、自动化、机器学习、人工智能和流程挖掘。审计实践的数字化转型可以提高内部审计团队为管理层量化审计意见的能力。英国皇家特许内部审计师协会（CIIA）对基于风险的内部审计的定义是：“一种将内部审计与组织的整体风险框架联系起来的方法。风险导向审计的显著特点是将风险领域置于审计规划的中心，重点解决组织面临的高度优先风险。”基于风险的审计规划包括分析企业及其审计团队所面临的所有相关风险来源，并向首席审计执行官提出基于风险的审计方法。在制定年度审计计划之前，应彻底审查整个组织的风险登记册，以确定风险领域的优先级。根据优先考虑的风险领域，可以为年度审计计划确定当年的审计项目。基于风险的审计可以通过主动识别与数字化转型工作相关的潜在风险，帮助推动安全、可靠的数字化转型。此外，审计实践的数字化转型可以提高内部审计团队为管理层量化审计意见的能力。充分利用审计分析借助数据分析、算法以及结构化和非结构化数据元素，内部审计团队可以有效分析大量匹配的数据集，并及时出具审计结果。利用审计分析有几个好处，包括：提高对企业运营和企业所面临的各种风险源的理解（例如，潜在的欺诈）。发现重大错报的可能性增加，有助于解决审计抽样相关风险改善与被审计客户的沟通在过去，审计分析只是以描述性的方式进行，使用的是原始的预测方法（如线性回归）。由于机器学习的出现，当代审计师现在可以使用预测性审计分析解决方案。相较于关注已经发生的事情，审计师现在可以借助行业中可用的描述性和预测性审计分析解决方案来推断可能发生和将要发生的事情。审计分析也可用于执行其他审计程序，如控制测试。美国注册会计师协会（AICPA）的分析程序AU-C第520节中涉及了公认审计准则（GAAS）所要求的分析程序。根据实际需要，还可以参考国际审计与鉴证准则委员会（IAASB）、美国2002年萨班斯-奥克斯利法案（SOX）或环境和社会治理（ESG）规定的审计准则和当前趋势。在对操作技术（OT）环境进行内部审计时，应收集由各种接触点产生的数据元素，其格式应允许审计团队在分析过程中应用定义明确的审计分析算法。在适当和方便的情况下，可以使用统计或非统计抽样方法来收集审计证据。此外，还应从安全角度对OT环境中产生各种数据元素的可用接触点进行审计，以确定相关安全风险。审计部门的最高优先级事项应该是通过审计本组织中最关键的风险领域来支持管理层的目标。用于审计的人工智能和机器学习组织拥有的信息资产的数量和复杂性随着数字化转型的深入而增加。因此，使用传统的审计技术可能已经无法有效地发现欺诈性交易和其他潜在的风险源，而这些风险恰恰是企业在新的和复杂的数字化转型中必然会面临的。为了克服这种风险，审计团队必须掌握包括人工智能、机器学习和数据科学等技术实践。机器学习是人工智能实践的一个子集，旨在教机器以类似人类的方式学习。有两种主要的机器学习类型：监督学习和无监督学习。监督学习是一种基于使用标记的输入和输出的机器学习方法，旨在训练机器更准确地预测结果。使用标记的输入和输出，机器学习算法衡量其准确性，并随着时间的推移进行学习。通过结合使用机器学习与分析，审计团队可以在应用程序处理之前验证各种数据元素的完整性。在分析和机器学习技术的帮助下，审计团队可以清理数据元素，并通过将数据元素与其他数据群体进行比较来监测异常值。实施机器学习算法可以改善和改变审计行业，正如它有望在正在进行的工业4.0转型中改变其他行业一样。当机器学习能力有效地用于内部审计时，可以从组织维护的不同系统中汇总大量的财务和运营相关数据元素，这些数据元素可以作为组织中成功实施预防和检测控制的潜在证据。将传统审计转变为敏捷和精益实践新的颠覆性技术正在改变全球组织的技术格局。由于信息源、大型数据库和数据存储/备份众多，各组织已经开始使用大数据环境。内部审计团队应利用数据分析解决方案支持的新方法，从数据质量和可靠性的角度持续监测和审计这些环境。内部审计的规划也应侧重于测试检测控制措施，以识别与数据及其相关的潜在风险。这可以通过识别预防性控制的设计和实施效果来实现。但这些审计应该有一个整体的目标，即识别所有存在的潜在风险因素，而不是识别孤立的风险。由于在大数据环境中生成了大量数据，因此无法使用传统的审计方法来验证与数据质量和数据的准确性、可靠性和安全性相关的风险。为了持续有效地解决这个问题，需要采用敏捷审计方法。敏捷审计是一种用于在较短生命周期内规划和执行审计的审计方法，目的是识别和解决企业在数字化转型过程中面临的最紧迫的风险因素。敏捷方法可以有效地用于审计活动，如风险评估、审计规划、现场工作和报告。在规划和实施敏捷审计时，需要考虑的关键原则包括：审计部门的最高优先级事项应该是通过审计本组织最关键的风险领域来支持管理层的目标。即使在审计规划阶段，审计人员也应接受待审计领域的变更。应定期向审计委员会提供见解，并持续向客户提供见解。客户和审计师应在整个审计业务中通力合作。应确定和支持审计业务责任人。应经常与客户进行面对面的会谈。在审计期间，应及时向高层领导提供与风险和控制环境状况有关的见解。最好通过与企业内部各道防线（如风险管理和安全团队）保持无缝沟通来理解风险。审计团队成员应努力不断提高他们的技能组合，以增强审计的敏捷性。审计范围不应无节制地扩大。化繁为简就是关键。应该组建和维护由积极主动和技术熟练的个人组成的自治团队。审计团队成员应接受持续培训，使他们随时具备审计业务所需的技能（例如，欺诈分析培训，机器学习）。敏捷审计本质上反映了敏捷软件开发团队所使用的流行的Scrum方法，该方法以项目管理活动为重点，在开发生命周期中实现卓越。Scrum实践可能包括指定一个敏捷教练，使用可视化仪表板和进行每日站会（daily

研究表明，在所有网络安全漏洞中，多达20%是勒索软件攻击。这种形式的恶意软件可能很复杂，对组织产生重大影响。为应对这些攻击，组织需要专注于基础知识，并在攻击发生前制定明确、有组织的行动计划。ISACA最新推出了《勒索软件事件管理快速指南》，为组织和个人提供了一份具有强大实用性的清单和指南，其中包括从规划和准备、识别和检测、分析，到遏制、清除、恢复和复盘、总结经验教训及后续行动等每个步骤，您可以采取的行动，以便提高组织应对勒索软件的能力。《勒索软件事件管理快速指南》中文版可在此免费下载：关注ISACA公众号→资源库→白皮书下载《勒索软件事件管理快速指南》英文版可在ISACA官网免费下载：https://www.isaca.org/resources/infographics/ransomware-incident-management往期推荐:ISACA中国2023年度大会暨第二届数字信任峰会赞助商火热招募中新闻发布

数字信任可以决定一个组织的成败。随着数据泄露、错误、勒索软件和黑客攻击的增加，组织在发生重大事故之后，是继续遭受严重、耗时和昂贵的损失还是重建声誉和客户忠诚度，数字信任可能会起到决定性作用。商业领袖可以通过ISACA的《2023年全球数字信任状况》报告了解其组织的数字信任水平与其他组织相比的结果，该报告收集了来自全球8100名数字信任专业人士对数字信任收益、障碍、优先事项、责任和预算的见解。数字信任的收益根据ISACA的《2023年数字信任状况》报告显示，76%的人表示数字信任对数字化转型很重要，但他们也认为，在领导层支持和员工技能/培训等几个战略领域存在令人担忧的差距。数字信任成熟度较高的组织可以获得实实在在的收益和积极的业务成果。2023年调查报告显示如下收益：1.

会议背景“十四五”期间，加快数字化发展是我国的国家战略，“数字中国”被写入2035年远景目标。新型的数字信任体系是企业乃至国家可持续发展和数字化转型成功的重要影响因素，企业只有建立数字信任体系，有效抵御网络攻击、保障系统和数据安全、保护用户隐私，才能加快数字化转型并极大降低经济活动中的交易成本。数字信任是所有企业的根本，也是企业在动荡且高度关联的全球市场中实现创新、扩张和保持弹性的关键因素。这给企业的高管带来更大的挑战，不仅要关注自身，还要关注数字生态系统中的人、组织、流程和技术。在这样的背景下，ISACA将于2023年7月15日于上海举行ISACA中国2023年度大会暨第二届数字信任峰会，诚邀各界专家共同探讨如何在BANI时代建立数字信任体系，弥合数字鸿沟。会议信息

数据偏见是数据治理中的一个隐藏风险。它可能通过在人们使用应用程序或创建的人工智能算法时，偷偷进入数据收集、存储和使用过程中。虽然数据偏见的存在是毫无疑问的，但在制定数据治理政策和法规时，我们常常忽视或忽略了它。我们往往不像我们应该的那样认真对待伦理问题。数据治理，即确保数据是可用的、适用的、可信的和一致的，如果存在数据偏见，因为它会使可信的数据受到污染，使得数据治理变得不可能。数据安全是一套用于保护数字信息免受内部和外部以及故意、恶意和意外威胁的法规，如果存在数据偏见，数据安全很难做到，因为它使法规的执行具有歧视性。数据保护是保护信息不被破坏、损害或丢失以及加强数据隐私的行动，当数据偏见发生的情况下，数据保护是无效的，因为它削弱了行动的有效性。此外，忽视数据偏见会加剧已经长期存在的数据保护问题。由于我们对人工智能和机器学习等新兴技术的依赖程度越来越高，需要缓解由此产生的复杂而纠结的法律和伦理问题。对伦理分析的结果进行量化有助于缓解这些问题。必须解决这些棘手的问题，以深入了解问题的原因，其中最突出的一点是在制定和建立保护政策和对策时，忽视或排除了问题的社会、伦理方面。有必要对每个可识别的问题的后果进行衡量和量化。成本效益分析和风险分析往往倾向于关注物理损害和经济损失，但在处理问题的社会和伦理方面的隐藏风险（如数据偏见）时却显得不足。尽管所提出的伦理矩阵有助于提供对伦理问题的整体看法，但分析的结果往往有时是相互关联的，有时又是相互矛盾的，这使得决策者很难确定一个结论性的裁决。基于伦理的算法可能是答案。为了说明这一点，我们可以用这样一个例子来说明：员工Alex下班后从公司带了一个USB设备回家，打算在家里继续工作。尽管这是一个简单的行为，但它可能会违反企业的规章制度。企业不允许将公司财产带出公司，因为这可能会导致设备容易受到物理损坏或设备丢失，并违反隐私政策，因为USB设备可能包含专有数据，不确定是否加密，这可能会导致不可预测的后果和潜在的责任，如诉讼费用、声誉损害和信任度降低。采用建议的伦理矩阵算法和六维度量算法可以帮助各利益相关方根据Alex的行为做出决策。再举一个例子，考虑一下英国国王的角色。他既没有治理的职权，也没有治理的权力，这些都掌握在英国首相手中。英国国王是政府的象征性首脑。有些人可能会认为他的角色是毫无用处的；然而，在现实中，无用之物的使用却至关重要，因为国王在台前象征、证明和投射出一个宽容、平易近人和有道德约束力的君主，为在幕后的英国首相依法治国铺平了道路。伦理在数据保护中非常重要，因为它的无用之用，方为大用，并得到了法律和伦理学的相互支持。事实上，长期难以根除的数据保护问题相当于对那些不认真对待道德的人的斥责，因为他们认为道德是被动的，缺乏说服力（即无用）。伦理学的功效体现在法律与伦理学的合作中——在伦理学软弱无力的地方，法律会出手相救；在法律陷入困境的地方，伦理学会伸出援手。判决是根据法律规定的规则和条例以及伦理原则作出的。现有的应对措施既缺乏巨额投资又没有取得成效，但是当人们采用六维度量对它们进行衡量时，情况必将改善。编者按:

Trends/Newsletter/<u>@ISACA</u>。文章内容仅代表作者本人观点。作者：Ricky

Trends/Newsletter/<u>@ISACA</u>。文章内容仅代表作者本人观点。作者：Masood

鉴于当前众所周知的安全漏洞和威胁状况，组织对其最敏感的数据进行处置变得越来越重要。在当今的数字世界中，保护敏感数据的安全并不像在文件柜上锁那么容易。为保护敏感数据，组织需要建立一个流程。第一步是定义他们所认为的敏感信息。确定什么使数据敏感，从而值得组织花时间和精力来保护它，这对于网络安全团队来说是一个真正的挑战。敏感数据可以有多种形式—从物理到数字，包括书面文档、照片、视频、录音等。敏感数据分为两大类：受监管数据和不受监管数据。受监管的数据包括社会保障号码、银行账户信息、医疗保健历史等信息。不受管制的数据包含公开已知的信息，这些信息可能会也可能不会与敏感信息混合。敏感、不受监管的数据的一些示例包括客户调查、工作申请或员工合同。这些数据可能并不总是包含机密信息，但它们通常会包含。认为由于不受监管的数据包括公开已知的信息，因此不应将其视为敏感信息，这是不正确的想法。组织收集的大多数数据都是不受监管的数据，这给安全团队带来了最大的挑战。由于敏感数据可以分为受监管或不受监管的类别，因此这不是对组织敏感数据进行分类的最有效方法。IT

区块链技术经常被吹捧为世界商业行为的一场潜在革命。通过提供一个安全的分布式账本，它有可能提供无与伦比的透明度和各方之间的信任。该技术仍处于发展和采用的早期阶段，但随着今天一些大规模应用的部署，这场革命正在慢慢变成现实。随着这种情况的发生，标准化和审计将在降低组织在实施这种新兴技术时可能面临的风险方面发挥关键作用。区块链的应用目前，区块链有几个解决现实世界问题的用例，例如跟踪供应链、管理金融交易和验证身份：欧洲投资银行（EIB）通过私有区块链处理了其首个欧元计价的数字债券的发行。这笔期限为2年的1亿欧元债券是在高盛公司的代币化平台上使用私有区块链技术发行、记账和结算的。航运巨头马士基为全球航运业开发并实施了一个名为TradeLens的数字平台。它的目的是提高全球贸易的效率和透明度。它于2019年8月上线，被全球80多个领先的航运组织、港口和海关当局使用（尽管目前已被停用）。该平台使用区块链技术来安全地存储和共享数据，使所有利益相关方对货物运输有实时的了解。瑞波公司（瑞波币）正在利用技术，通过为金融机构提供实时全额结算系统和货币兑换，来促进更快和更便宜的国际支付。沃尔玛正在使用区块链来追踪其产品的供应链。它还在使用Civic，这是一个身份管理平台，允许用户以安全的方式存储、保护和共享其个人数据。在奢侈品行业，法国奢侈品-路威酩轩集团创建了AURA区块链联盟。它是一个用于验证奢侈品真实性的平台，并跟踪它们从生产到销售的整个过程。它还允许客户访问有关产品的详细信息，如其原产地和使用的材料。它被用于时尚和奢侈品行业，特别是由路威酩轩集团及其合作品牌使用。此外，许多组织正在探索如何使用区块链来安全地存储和传输数据，并创建更安全和高效的系统。微软和IBM等一些知名组织已经开始提供区块链即服务（BaaS）平台，以促进其使用。这些跨行业的例子表明，区块链技术已经应用于平台和实际用例，人们对区块链技术已建立信任。

网络安全供应链风险管理是企业日益重视的问题。随着云数据中心和软件即服务的采用越来越多，对复杂的全球供应链的依赖也在增加，这些供应链引入了大量可被网络犯罪分子利用的潜在漏洞。在这篇博文中，我们将探讨一些识别和减轻供应链风险的关键策略，特别强调供应链中的勒索软件风险。首先，对企业的IT相关供应链有清晰的认识很重要。这包括对识别那些处理、传输或存储用于创建企业产品和服务的数据的所有供应商、分包商和其他合作伙伴。用映射来了解这些不同实体之间的关系以及每个实体提供的特定产品和服务也很重要。规划好供应链后，下一步就是确定与供应链的每个组成部分相关的潜在风险。这包括外部和内部风险。外部风险可能包括自然灾害、政治不稳定或经济衰退等。内部风险可能包括员工流失、设备故障或数据泄露等。为识别这些风险，企业应考虑进行风险评估。这将涉及从各种来源收集和分析数据，包括供应商合同、保险政策和监管合规报告。它还可能涉及对供应商进行现场访问或进行其他形式的尽职调查。一旦确定并记录了风险，下一步就是制定减轻风险的策略。这将涉及实施流程或技术以减少网络供应链中断的可能性，或制定应急计划以防中断确实发生。例如，企业可能会实施一个软件平台，使其能够实时监控其供应链或与多个电子邮件供应商建立关系以减少任何单个供应商中断的影响。除了这些主动措施外，还需要制定供应链中断发生时的响应计划。此外，与包括员工、客户和股东在内的利益相关者进行清晰有效的沟通也很重要，以确保他们了解情况以及正在采取的解决措施。这可能涉及启动应急计划，例如从替代供应商处采购产品或暂时停止运营。解决勒索软件风险目前，对于依赖第三方供应商进行关键业务运营的企业来说，勒索软件是一个重大风险。对供应商系统的勒索软件攻击可能会破坏商品和服务的流动，导致企业遭受财务损失和声誉损害。成为勒索软件攻击受害者的供应商可能无法保证攻击已被完全遏制或客户数据未被泄露。为了降低通过第三方进行勒索软件攻击的风险，企业在选择供应商时进行彻底的尽职调查非常重要。这可能包括审查供应商的网络安全实践和政策，以及使用第三方供应商管理平台或在线新闻来源评估他们的安全漏洞或事件的追踪记录。企业还应考虑要求供应商通过定期评估或认证来证明其网络弹性。除了进行尽职调查外，企业还可以实施其他风险管理策略，以保护自己免受供应链中的勒索软件攻击。这可能包括实施和测试应对中断的应急计划、采用备用通信方法、拥有经过可恢复性测试的可靠数据和系统备份，以及定期更新软件和系统以抵御新威胁。总之，供应链风险管理是企业必须关注的问题。通过花时间了解企业的供应链并识别潜在风险，企业可以帮助减轻这些风险并保护企业免受潜在的破坏。通过实施积极措施并制定明确的计划来应对中断，企业可以帮助确保他们在面对任何挑战时继续有效运营。往期推荐:新闻发布

我四十多年的职业生涯相当精彩，见证了企业运营从物理环境迁移到多元的数字环境中。为了与时俱进，我不断优化技能组合、工具组合，不断改进思维方式。有了正确的思维，技能、工具组合升级都能变得更简单。习惯对于思维养成至关重要。专业人员只要养成了正确的思维，就能应对不断变化的技术带来的挑战，保持竞争力，培养数字信任。现在的企业通常采用数字优先的政策来实现加速增长，而数字信任正是实现并维持加速增长的最关键因素。数字信任专业人士有责任为所有利益相关者实现数字信任。美国教育家、作家、商人史蒂芬·柯维在《成功人士的7个习惯》一书中，列举了成功人士通常具备的7大习惯；对于数字信任专业人士而言，也有类似的7个习惯帮助他们增进数字信任。我跟大家分享一则故事，讲一讲思维模式和数字信任的关系。一个年轻人坐在山脚冥思苦想，反复琢磨爬山的风险，这时他看到一位老者快乐地唱着歌，从山上走下来。年轻人问：“您爬山的秘诀是什么？”老者笑着回答：“你的心要先上山了，你的身体才能上山。”当今时代数字化转型加速，企业和专业人士必须通过选择正确的框架和实施适当的政策、程序和实践来攀登数字信任这座大山。数字信任专业人士必须首先培养数字化思维，才能拥有数字化技能组合。为了最准确地把握这一理念，了解与数字信任、思维模式和习惯有关的关键概念非常重要：数字信任——ISACA®

首席信息安全官（CISO）是负责监督组织信息安全战略和运营的高级管理人员,负责识别、评估和减轻安全风险，并确保组织的信息资产免受网络威胁和攻击。CISO在保护组织有价值的信息资产方面发挥着至关重要的作用。因此，他们必须对网络安全领域的最新威胁和技术有深刻的理解，还必须具有强大的领导能力和沟通能力，以及与其他组织高管和利益相关者有效合作的能力。但为什么他们经常被迫扮演救火队员的角色呢？当CISO被称为“救火队员”时，通常意味着他们花费了大量的时间应对安全事件和灭火，而不是能够从一开始就专注于积极预防这些事件的发生。以下是CISO可能成为救火队员的一些原因：1缺乏资源CISO可能没有足够的资源（如预算、人员或技术）有效实施全面的网络安全计划，从而可能会导致需要对安全事件作出反应性响应。2风险管理不足CISO可能没有健全的风险管理计划，意味着更容易发生安全事件。如果没有适当的风险管理，CISO可能会被安全事件打个措手不及，不得不迅速做出反应以减轻损失。3缺乏安全意识员工可能没有接受适当的网络安全最佳实践培训，可能导致网络钓鱼攻击或恶意软件感染等安全事件。当员工没有意识到这些风险时，可能会无意中做出将组织置于风险之中的行为。4快速演变的威胁态势网络威胁不断演变，因此CISO必须保持警惕并适应新的威胁。如果CISO没有积极主动地了解最新的威胁，那么当出现新的威胁时可能会措手不及。5组织文化组织文化可能不会优先考虑网络安全，使得CISO很难实施全面的网络安全计划。如果组织不优先考虑网络安全，则可能无法为CISO分配足够的资源有效预防安全事件。为了避免成为救火队员，CISO必须采取主动措施，防止安全事件的发生。这些措施包括实施全面的网络安全计划，定期执行风险评估，并就网络安全最佳实践教育员工。通过采取积极主动的方法，CISO可以降低安全事件的可能性，并减少对安全事件做出反应的时间。值得注意的是，成为一名救火队员并不一定是消极的，因为事件响应是全面网络安全战略的关键组成部分。虽然CISO积极主动地识别和缓解潜在威胁很重要，但当事件发生时，迅速有效地做出反应也至关重要。理想情况下，CISO应该能够在主动预防和被动事件响应之间平衡时间。这需要有一个全面的安全计划，包括技术控制措施、政策、程序和员工培训计划。通过采取全方位的网络安全方法，CISO可以减少他们需要响应的安全事件的数量和严重程度，并将重点更多地转向主动预防。往期推荐:ISACA

Luttrell对这个话题的更多见解，请登录isaca.org搜索文章Protecting

公共政策是国家用来实现其期望的一种工具。社会共同拥有和共享的道德准则迫使其政策制定者起草代表社会风气和期望的政策、法律和法规。历史上，人类一直依赖信息和数据在社会中进行创新和创造价值。银行和金融部门、医疗设施提供商和政府实体一直依赖信息和数据来提供服务、创造产品，并为整体社会经济增长作出贡献。然而，在整个人类历史上，数据的规模、结构和可用性是各不相同的。图片来源：公共图片库在当今世界，计算能力的提高使企业、公共及私营组织能够以庞大数据库的形式更好地构建数据，并利用分析来产生商业情报，促进价值创造。有了这些计算和分析能力，人们可以通过越来越多的途径来了解人类的购买、开支和消费习惯、基因图谱、旅行史、病史等行为，来发展人类的行为档案。虽然这些能力为人类社会增加了价值，但它们也伴随着侵犯个人隐私的风险。不幸的是，围绕着个人数据的讨论只集中在保护其不被泄露或防止被破坏。然而，保护个人数据的主要目的是确保对这些数据的处理不会造就一个更加不公平的社会，带来不公平的结果。今天，大量的离散数据使我们能够将更多的细微差别和创新带入公共政策中，从而有助于消除社会失衡现象。公共政策专家希望利用公共和私营组织积累的离散个人数据，有效地解决与医疗保健、财政可持续性和整体安全问题相关的问题。为了提出政策建议，需要确定人类行为的广泛模式，并提出可能需要一些算法进一步决策的解决方案。这种对人类行为或偏好的识别，然后将其与民族、种族或宗教联系起来，可能会导致社会内部的裂痕进一步加深。图片来源：公共图片库因此，对个人数据的保护不仅仅是将其安全地储存在保险箱或信息系统中，而是对其进行公平的处理，这有助于消除或最大限度地减少社会阶层中的不对等。但是，当这些个人数据被用来制定可能具有压榨性质的政策，或者用来针对社会的某一部分特定阶层时，那么很有可能最终会使偏见和系统性的种族主义合法化。隐私倡导者有一个强烈的看法，就是使用这种离散的个人数据可以加强掌权者的掌控，并培养出榨取性的公共政策，社会上的少数群体可能被进一步锁定为压榨对象。考虑这样一种情况：在一个社会中需要解决日益增长的医疗费用，当公共政策制定者开始仔细研究数据时，他们发现很大一部分医疗费用与治疗某种特定的疾病有关，而这种疾病可能在特定种族或民族背景的个人和家庭中更为流行。如果类似的信息被公共政策制定者或监管机构用来允许医疗保险公司提高属于该种族或族裔社区的个人的保险费，那么它可能会使该社区处于不利地位，或者可能使类似社区的一些人根本无法负担医疗保险。类似的情况还有很多，社会上的少数群体可能会受到政策决定的影响，从而对社会结构造成损害，因此，这样的数据处理可能会导致问题的长期存在，而不是解决方案。因此，数据隐私应当被看作是一项公共政策挑战，而不仅仅是一个信息安全问题。保护个人数据的目标与创建一个公平、和谐和公正的社会相关。编者按:

Trends/Newsletter/<u>@ISACA</u>。文章内容仅代表作者本人观点。作者：Hafiz

认为最值得注意的是隐私合规计划的操作和战术要素与战略要素之间的平衡。“无论你在何时何地实施隐私计划，你都在‘灭火’，所以你必须能够以非常敏捷的方式做出反应，”

人工智能（AI）的崛起给所有行业带来翻天覆地的变化。从医疗到金融行业的众多企业都在使用AI工具实现流程自动化、改进决策以取得竞争优势。在信息技术（IT）行业，AI正在改变企业治理、风险与合规工作以及安全运营的方式。AI工具可以通过实现上述流程的自动化和提高速度，协助团队快速准确地识别并应对潜在的风险和问题。团队可训练机器学习算法识别数据模式、检测数据异常，也可利用自然语言处理分析电子邮件和社交媒体资料等非结构化数据源，从而更好地管理日益复杂庞大的数据、改善风险和合规管理、加强组织的整体安全态势。自动化是GRC工作运用AI工具的一大主要好处。GRC工作往往耗时漫长、繁重复杂，需要企业与不断变化的法律法规保持同步。而AI工具就可以帮助团队自动化处理许多任务，确保企业始终合规。例如，AI工具可以帮助企业出台并更新政策和程序保证符合法规，也可以通过分析数据、识别潜在风险协助企业监测合规性。AI改变安全运营除GRC外，安全运营也在AI工具的介入下发生改变。应对越来越多的网络威胁绝非易事，而AI工具正有助于实现威胁检测、事件响应等众多安全运营工作流程自动化，还能够通过分析大量数据、识别潜在漏洞助力风险评估。AI工具带给IT行业的益处不言而喻。自动化流程和改进决策可以为企业节省时间和资金，同时降低错误的风险。AI工具还可以帮助企业更敏捷灵活地应对市场变化。然而，AI工具在IT行业的应用也带来了一些挑战。其中关键的一项就是需要专门的技术知识。虽然一些AI工具上手简单，但企业仍然需要有专业知识来有效使用AI工具。这对小型企业而言可能并不容易，它们可能需要投入更多资源获取专业知识。©摄图网对数据的依赖另一大挑战是对数据的依赖。AI工具需要大量的数据来学习和改进。这对无法获得大量数据或可能需要更多资源来有效收集和分析数据的企业来说可能是一个挑战。尽管挑战重重，AI在IT行业的运用只会越来越普遍。随着技术不断发展，企业将需要积极适应AI技术以保持竞争力。积极尝试、有效使用AI工具的企业更可能在未来走向成功。总而言之，AI工具的出现为IT行业带来新的挑战，需要企业自动化GRC工作和安全操作来提高竞争力。AI工具带来的益处不言而喻，但企业需要意识到其中的挑战，投资于专业知识和数据，从而有效使用AI工具。随着AI技术不断升级，积极使用AI工具、能够适应不断变化的环境的企业将更能取得成功。虽然不太可能完全取代人类，但AI工具无疑会改变人类的工作方式和业务模式。未来，我们必将面临激烈的竞争，积极投资于AI工具、早做准备的企业将更能占得先机、繁荣发展。往期推荐:ISACA

监测风险除了过程实施步骤，白皮书还研究了敏捷风险管理的成功之道，包括以下关键因素：结合敏捷方法根据组织和项目背景调整风险工作认识到风险管理最为一门学科可以提供正收益ISACA

我92岁的母亲已经孀居两年了，她的三个兄弟姐妹都已辞世。如今，也许不像1970年代那样引人注目，但她也面临着看不见的挑战。她是两家家族企业的董事，拥有重要的控制权，并将留下各种遗产。她的心智完全正常，但她的整个工作生涯中从未拥有任何在线身份（例如，Microsoft

在这个技术不断发展和网络威胁不断增加的时代，组织必须严格分析那些旨在解决隐私和安全问题的解决方案的有效性。几乎每天都会发现新的威胁和漏洞。当我们把这些与新兴技术的使用结合起来时，网络威胁的风险就会成倍增加。用于应对安全漏洞和隐私方面漏洞的视角有时是基于数据的，但遗憾的是，更多时候是基于主观分析、偏见和有限的数据集。作为人类，我们根据经验来解决问题，这并不奇怪。与其说这种经验是基于收集的数据集，不如说我们倾向于基于判断和对安全或隐私事件的临界偏差。这里的关键是，由于新时代的技术，个人数据比以往任何时候都更加暴露，但很少受到保护而免于被盗或被破坏。好消息是，我们目前有几项当代技术，如人工智能（AI）和区块链，可以帮助我们了解安全事件的趋势，分析原因和影响，并揭示个人数据的哪些方面受到威胁。有几个智能安全解决方案本质上是预防性的，可以实施以避免安全或隐私事件；然而，这些解决方案可能不足以解决不可预见的隐私泄露问题，并同时有效地应对它们。因此，人工智能可能在开发网络威胁模型以预测安全和隐私泄露方面发挥重要作用，并帮助安全团队制定主动的解决方案。©摄图网在《Verizon

Pearce对这个话题的更多见解，请登录isaca.org搜索文章Beware

随着越来越多的企业与专业人士认可数字信任的重要性，ISACA正在推出全新系列会议：数字信任世界大会。该系列会议专为商业IT专业人士打造，帮助与会者拓展知识、通过实践指导积累数字信任相关经验和心得、获取动态内容，从而提升所在组织的信任水平、与行业领袖交流、推动职业进阶。数字信任世界大会推出后，将取代ISACA原有的年度大会系列活动。新会议系列将涵盖数字信任领域多个热门话题，包括IT审计、风险、治理、信息安全、网络安全、隐私和新兴技术。同时，会议系列还将包括支持职业发展、弥补劳动力和技术教育差距等内容。与会者可根据自身学习需求，选择出席以下活动：数字信任世界波士顿大会，会期定于2023年5月9日至11日。此次会议将在美国马塞诸塞州波士顿线下召开，大会将在9日下午由理论物理学家、作家加来道雄（Michio

第三方云服务为企业降低了复杂性，提供了灵活性。然而，组织需要能够将其数据和客户数据委托给云服务提供商（CSP），这些提供商通常被激励将这些数据货币化。与此同时，美国加利福尼亚州的《加利福尼亚消费者隐私法案（CCPA）》、《美国消费者在线隐私权法案（COPRA）》、《欧盟通用数据保护条例（GDPR）》和《中华人民共和国个人信息保护法（PIPL）》等法规旨在保护消费者的隐私，不合规的组织将受到严重罚款以及名誉损害。这导致了组织在数据隐私和实用性之间的权衡。然而，全同态加密（FHE）允许组织确保其客户的隐私，而不损害他们从数据中获取见解的能力。同态加密允许计算加密数据而无需解密。相反，计算结果保存在加密域中（将明文视为未加密域，密文视为加密域）。当解密时，其结果与在未加密域上执行的操作相同。FHE可用于私有存储和计算，允许加密数据，并将其外包给商业云环境，以便在加密时处理。尽管FHE有很多应用，但请考虑两个用例：私有联系人发现和日志异常检测。例如，要将好友添加到消息服务中，用户必须将他们的联系人号码或电子邮件上传到应用程序的服务器上。尽管用户的联系人信息可以加密以防在传输到应用服务器期间被窃听，但是必须在服务器上对联系人信息解密以计算哈希值并检测与已经使用该服务的其他人是否匹配。未加密的数据可以以任何方式使用，用户被迫将其数据信任给应用程序。另一个用例是从日志数据中检测泄露事件（IoC）。第三方安全工具，如安全信息和事件管理（SIEM）系统和扩展检测和响应（XDR）工具，需要访问未加密的日志以检测异常。使用FHE，可以对加密数据执行这些操作，而不会损害用户数据的隐私。全同态加密FHE计划最初设想于1978年，即RSA计划发布一年内。支持加法或乘法的部分同态加密方案已经存在，包括：RSA，一种用于在线数据传输的非对称加密，基于将两个大素数的因式分解的实际困难ElGamal（乘法同态），一种基于Diffie-Hellman密钥交换的非对称密钥加密算法，用于公钥加密，提供了一种共享密钥的方法，但不允许安全通信Paillier（加法同态），一种基于计算n个余类的大计算量公钥密码学概率的非对称算法美国计算机科学家Craig

IT类似的情况，也就是行业实践与第三方意见的一致性带来了普遍的期望标准。这有点像奶油浮上表面。当你采用了一些通用的框架如NIST

对于从事会计业务的IT审计师来说，IT一般控制的重要性是显而易见的，尤其是在财务报表的访问管理领域。十多年来，IT一般控制几乎没有变化，而美国注册会计师协会（AICPA）的信托服务标准和云安全联盟（CSA）的云控制矩阵等框架却在不断发展。国际标准化组织（ISO）标准ISO

的天然气。这意味着它遭受了超过900万美元的收入损失。这还只是对一家公司的一次攻击，这就是为什么在我看来，强制宕机的经济后果压倒了其他所有类型的网络攻击。图片来源于公共图片库数据中心、云、SaaS