内容简介
本书系统介绍了在网络信息时代,无论企业、行政部门、公共服务部门,甚至是国家基础设施、防务或情报部门,在网络安全、数据安全和数字信任方面都将面临前所未有的规则和法律风险挑战。公司网络安全,已经成为和公司财务业绩一样需要优先考虑的事项,所有利益攸关方都需要适应网络信息时代的规则,包括选择董事会应该坚持的原则等问题。
本书主要内容包括:网络犯罪的概念、类别,以及网络安全市场和网络安全典型案例和场景;公司治理和各利益相关方应该承担的责任、面对的网络风险及如何应对等;对于网络安全危机的适应力及危机可能的发生发展机制,如何进行治理和应对的方法、思路和策略等。
本书可供关注网络安全的高级决策部门、企业管理者、行政部门、公共服务部门或国家基础设施运维机构、国家防务或情报部门人员,以及从事网络安全研究的高校和研究机构从业者阅读、参考。
目录
目 录
推荐序一
推荐序二
原书序
原书前言
绪论 金融和网络绩效 1
第1章 日益脆弱的世界 5
1.1 背景 5
1.1.1 技术冲击和全球化 5
1.1.2 数据是工业生产力的核心 6
1.1.3 网络空间,一个没有边界的领域 7
1.1.4 信息技术资源 7
1.2 网络犯罪 8
1.2.1 网络犯罪的概念 8
1.2.2 五种威胁 10
1.2.3 五种类型的攻击者 13
1.3 网络安全市场 18
1.3.1 市场规模及其演变 18
1.3.2 按活动部门划分的市场 18
1.3.3 采购和投资的类型 19
1.3.4 地理分布 19
1.4 网络安全事件 20
1.4.1 事实 20
1.4.2 证词与沉默 26
1.4.3 趋势 27
1.4.4 案例 29
1.5 极易受到网络攻击的运营部门的例子 32
1.5.1 电影院 32
1.5.2 银行 33
1.5.3 卫生部门 36
1.5.4 旅游和商务酒店 36
1.5.5 关键国家基础设施 37
1.6 高级职员和董事的职责 38
第2章 公司治理与数字责任 40
2.1 公司治理和利益相关者 40
2.2 股东 41
2.2.1 公司估值 41
2.2.2 网络评级机构 42
2.2.3 内幕交易 43
2.2.4 激进股东 44
2.2.5 证券交易主管部门 45
2.2.6 年度报告 46
2.3 董事会 47
2.3.1 事实 47
2.3.2 董事会的四大使命 47
2.3.3 民事和刑事责任 48
2.3.4 董事会与网络安全 50
2.3.5 董事会与数据保护 52
2.3.6 法定审查员 53
2.3.7 董事会的数字责任 54
2.4 客户和供应商 55
2.5 业务领导 56
2.5.1 数字化转型的影响 56
2.5.2 数字化战略 57
2.5.3 数字化业绩差的后果 60
2.5.4 网络安全 60
2.5.5 并购和交易 63
2.5.6 治理和数据保护、网络安全 63
第3章 风险映射 66
3.1 网络风险 66
3.2 背景 68
3.3 漏洞 68
3.3.1 对公司负责人的诈骗 69
3.3.2 供应商诈骗 70
3.3.3 其他经济影响 70
3.4 法律风险 72
3.4.1 集体诉讼 72
3.4.2 法国国家信息自由委员会与国际石油公司的制裁 72
3.5 风险映射的目标 74
3.6 风险分析的不同方法 74
3.7 风险评估(识别) 76
3.7.1 主要行为体 77
3.7.2 步骤 77
3.8 保护 78
3.9 检测 78
3.10 响应 79
3.11 恢复 80
3.12 分散映射 80
3.12.1 内部威胁 80
3.12.2 工业风险 81
3.12.3 供应商、分包商和服务提供商 82
3.12.4 连接对象 84
3.13 保险 87
3.14 违规风险和道德 89
第4章 规程 91
4.1 背景 91
4.1.1 向国家信息自由委员会提出的投诉 92
4.1.2 Vectaury(维多利亚) 93
4.1.3 Optical Center(光学中心) 94
4.1.4 Dailymotion(每日影像) 94
4.2 不同的国际法规(数据保护) 95
4.2.1 美国 95
4.2.2 亚洲国家 96
4.2.3 欧洲国家 96
4.3 网络安全条例及《欧盟网络与信息系统安全指令》 96
4.4 部门规章 97
4.4.1 银行业 97
4.4.2 健康 99
4.5 《通用数据保护条例》(GDPR) 100
4.5.1 基础条款 100
4.5.2 个人资料的定义 101
4.5.3 所谓的“敏感”数据 101
4.5.4 《通用数据保护条例》原则 102
4.5.5 符合《通用数据保护条例》的五项行动 103
4.5.6 处理记录 103
4.5.7 要采取的五项行动 104
4.5.8 cookie 106
4.6 对公司和董事会的影响 107
第5章 董事会的最佳做法 109
5.1 数字技能 109
5.2 态势感知 110
5.2.1 主要问题 111
5.2.2 保险 114
5.3 内部治理 115
5.3.1 首席信息安全官 115
5.3.2 首席信息安全官和公司 117
5.3.3 明确责任 120
5.3.4 精简供应商组合 121
5.3.5 安全政策和程序 122
5.3.6 人员 124
5.4 数据保护 126
5.4.1 电子邮件 127
5.4.2 工具 128
5.4.3 双重身份验证:更好,但不是100%可靠 129
5.5 选择服务提供商 129
5.6 预算 130
5.7 网络安全文化 130
5.8 高级职员和主管的检查表 132
第6章 恢复能力和危机管理 133
6.1 如何保证恢复能力 133
6.2 计算机应急响应小组的定义 135
6.3 安全运营中心的定义 135
6.4 欧洲网络和信息安全局的作用 135
6.
前言/序言
原书前言
我参加的巴黎高等商学院(HEC)管理委员会组织的圆桌会议,以及瑞士女董事协会组织的研讨会是本书出版的起点。本书面向决策者:公司、公共组织、基金会或协会的经理和董事。
保护公司的战略数据和信息系统是公司内外运营和职能部门的董事、高管及公司决策者的责任。
以下圆桌会议中各发言者的评论已被纳入本书:
(1)2016年10月,“理解和预防网络风险:优先事项”。
埃尔韦·吉鲁,法国海军集团总裁兼首席执行官。
阿兰·朱伊莱特,法国对外安全总局局长,国家安全局经济情报高级经理,兼企业安全和改革指导者俱乐部主席。
纪尧姆·波帕德,法国国家网络安全局局长。
阿兰·布伊利,信息和数字安全专家俱乐部主席。
亚历山大·蒙泰,国际企业运动(METI)秘书长。
(2)2017年6月,“网络风险:需要治理的主题”。
伊夫·比戈,TV5 Monde总经理。
布里吉特·布科特,企业风险管理和保证协会主席。
弗雷德里克·杜泽特,巴黎第八大学法国地缘政治研究所(IFG)教授、Castex网络战略主席。
索兰吉·格纳尔努蒂,洛桑大学信息安全教授兼瑞士网络安全咨询和研究小组主任。
菲利普·盖拉德,法国安盛公司技术和网络风险总监。
阿兰·罗比奇,德勤合作伙伴企业风险和服务部(信息系统安全)。
(3)2018年12月,“网络犯罪与个人数据保护:董事会和经理有哪些好的做法”。
伊莎贝尔·福尔克·皮埃罗廷,自2011年起担任法国国家信息自由委员会(CNIL)主席,2017年当选世界数据保护和隐私专员会议主席。
菲利普·卡斯塔涅克,马扎尔斯管理委员会主席。马扎尔斯管理委员会是一个国际性、综合性和独立的组织,专门从事审计、咨询和会计、税务和法律服务。
安尼克·林林格,安全和企业董事俱乐部执行董事、Cercle K2创始人和哈克学院董事会成员。
伊莱恩·鲁耶,独立董事、审计委员会主席兼罗格朗薪酬委员会成员,Vigéo Eiris独立董事。
我要感谢所有这些发言者的贡献和支持,以及马克·特里布雷特(我在巴黎高等商学院管理委员会的队友,我与他一起发起了这一系列圆桌会议)。
我在为空客集团子公司的董事和经理开展培训、为上述会议开展工作,以及在这些圆桌会议期间的交流中,得到了过去五年开展的研究工作的补充,这些工作包括参与工作组(例如瑞士的网络安全战略)、支持网络安全领域的几个初创公司、实施培训,在HEC和瑞士管理大学以及公司或服务提供商发表演讲,介绍风险摸底的实施,定义和部署措施以提高对《通用数据保护条例》(GDPR)一的遵守,以及通过公司、协会、基金会和公共机构实施网络计划。
玛丽·德·弗雷明维尔
2019年12月
一 《通用数据保护条例》(General Data Protection Regulation,GDPR),是欧盟于2018年5月25日出台的条例。
