4.2　安全合规管理体系

4.2.1　GRC理念

GRC的含义是公司治理、风险管理和合规审查，指以企业的各种经营活动为基础，以战略为中心，以流程为管理基础，通过绩效管理和风险内控管理措施对各项业务管理流程进行管理和控制，确保战略与业务目标的管理方法和工具的统一。现代公司或组织的公司治理、风险管理和合规审查往往被视为一个全面的整体。在实际的经营活动中，GRC包括许多相关的交叉行为，如内部审计、SOX等监管审查、企业风险管理、操作风险、事故管理等。GRC理念如图4-1所示，主要包括以下三点内容。

（1）公司治理：由高级管理人员负责，侧重于在本组织内创造透明度，并通过一种机制确保本组织所有成员遵守既定的程序和政策。适当的治理策略可以监控和记录当前的业务活动，采取步骤并确保步骤符合既定的策略，在出现误解或不符合时提供纠正措施。

（2）风险管理：组织识别潜在风险，根据组织的经营目标对风险进行优先级排序，并判断其抗风险能力的过程。风险管理通过组织的内部控制来管理和降低风险。

（3）合规审查：指通过记录和测试控制项目，确认其符合法律要求、行业规范和组织内部政策。

重要的是，在GRC领域如果没有公司治理，那么风险管理和合规审查将毫无用处，可能无法真正实现。同样，如果没有风险管理，合规审查也将变得毫无用处，而且很可能无法实现。这就是为什么这个词缩写为“G”+“R”+“C”而不是其他顺序。公司治理、风险管理和合规审查是高度相关的，它们是处理不同问题的、明显不同的活动，也是处理组织内不同类型的要素。

对GRC给出一个精确的定义是非常困难的。根据GRC行业分析师迈克尔·拉斯穆森（Michael Rasmussen）的说法，准确定义GRC的挑战在于构成GRC的三个词在组织中都有许多不同的含义，包括：公司治理、IT治理、财务风险、战略风险、运营风险、IT风险、公司规范、SOX法案、劳动法规、隐私法规。

最初对创建GRC系统的兴趣来自SOX法案，但现在对GRC的需求已经发生了变化。GRC现在被认为是实现企业资源规划（Enterprise Resourse Planning，ERP）的一种手段。这尤其代表着从单纯地将风险管理视为一种强制或合规行为，转变为一种被认为可以提高决策和战略规划科学性以增加业务价值的变革。

4.2.2　核心机制

实施安全合规闭环管理不可缺少的管理体系核心机制包括体系策略、管理与实施、安全检查、整改与跟踪。

（1）体系策略：在安全管理体系建设阶段，要对安全体系进行协调和系统管理，全面把握体系建设的全貌，有效地警示体系的缺失和盲点。

（2）管理与实施：在安全管理体系实施阶段，对企业各责任部门、岗位和人员明确落实安全管控要求。在实施管理和控制要求时，可告知特定的管理人员，并进行定期提醒。

（3）安全检查：安全管理体系检查阶段促进安全检查标准化、统一化、平台化的实施，有助于及时发现安全管理和控制的薄弱环节，并对隐患的整改过程进行有效的预警和跟踪。

（4）整改与跟踪：在安全管理体系评价阶段，搜集、分析安全检查结果，跟踪整改结果，评价安全管控水平，通过统计视图展示安全合规的总体情况，并获取可视化的安全决策信息，为未来的网络安全建设方向提供支持。机构战略和控制实施与GRC中的“G”相对应，前者是网络安全治理的基础和实施指导，后者是治理需求在具体实施层面的事实和实施；安全检查对应“R”，检查网络安全治理要求的执行情况和风险规避程度；合规性评估对应GRC中的“C”，评估网络安全控制措施的内外合规程度，指导未来的改进方向。

4.2.3　实现要素

企业任何业务的有效运作都离不开人、过程和技术的有机结合。因此，一个成熟的安全合规管理体系，人员、流程和技术也构成了其实现的要素。在安全合规管理中，“人”是企业的安全组织；“技术”是指安全矩阵，它是支持安全管理、安全检查、合规评估实施的知识库；“流程”是指网络安全合规管理平台，将系统管理、控制实施、安全检查、合规评估、整改等安全管理流程固化到平台中，提供高效、精简的管理。

1. 安全组织

安全组织由三级人员组成：安全决策层、安全管理层和安全执行层。

（1）安全决策层负责制定公司网络安全目标，全面掌握网络安全管理和风险水平，部署网络安全，完善建设方向。

（2）安全管理层负责制定和审核网络安全体系规章制度，制定网络安全控制要求、执行标准和检查依据，监督安全问题整改的实施。

（3）安全执行层主要负责按照要求落实公司各项管控要求，确保网络安全工作落实到岗位，完成问题区域整改。

2. 安全矩阵

安全合规管理的核心是建立安全矩阵，系统梳理内外部安全合规要求，建立安全矩阵框架，包括控制矩阵、检查矩阵、对应矩阵、资产矩阵。

（1）控制矩阵主要提供网络安全的各种管理和控制要求，并指导实施人员实施。其关键属性包括控制点描述、控制域、控制类型和控制频率。

（2）检查矩阵主要提供控制矩阵中每个控制点的实现。它规定了检查标准和具体的检查步骤，以指导检查人员进行安全检查。其关键属性包括检查点描述、检查方法、检查步骤、检查点的固有严重性、执行建议、控制点编号、资产类型。

（3）对应矩阵主要提供企业内部安全体系与安全控制矩阵的对应关系，以便满足相应的查询和分析需求；提供外部安全监管规范要求与安全控制矩阵的对应关系，便于分析当前控制矩阵是否完全满足外部监管机构的监管要求。其关键属性主要包括内部系统、外部规范控制要求编号和控制点编号。

（4）资产矩阵主要提供安全资产的定义、分类、管理和查询；为控制点提供统一的资产数据接口，进行管理、网络安全检查、网络安全合规和风险评估。其关键属性主要包括资产编号、部门、资产所有者、资产类型和资产重要性级别。

3. 网络安全合规管理平台

在建立了全面的企业级安全组织和安全矩阵后，为了能够有效地实施安全合规的闭环管理，需要构建安全合规管理平台，以支持各种安全管理的平台化管理和管理过程的实施。从业务角度来看，安全合规管理平台需要实现以下功能要求。

（1）企业各类安全管理工作要求结构合理，易于维护。

（2）企业中的任何人都可以通过该平台了解企业对本单位甚至是单位自身提出的网络安全工作要求。

（3）企业各级部门通过本平台明确本部门的安全工作目标，各级安全管理部门可以利用本平台对企业各组织、各系统的安全管理工作进行检查、评价和整改指导。

（4）企业各级安全管理部门可以利用该平台进行安全风险分析和量化评估。

4.2.4　应用与价值

构建安全合规管理平台，实现安全合规管理系统具有重要的价值。

（1）提高安全管理的统一性和有效性。集中管理分散的安全系统，形成以安全合规矩阵为核心、在全公司普遍适用的标杆管理框架。通过平台对制度体系的整合，可以随时随地对安全体系进行查询、分析和基准测试，也更加方便制度体系的更新和维护。同时，公司为整个企业建立了标准的安全合规管理体系框架，通过平台统一对公司总部和子公司进行安全控制实施、检查和评估，有效避免了实际实施中的差异。

（2）实现安全合规控制实施的规范化、流程化。通过安全合规管理平台整合安全合规管理流程和安全矩阵，包括控制实施方式、控制执行频率、控制岗位、控制关联资产配置等信息，指导具体IT人员落实安全管理控制工作要求。通过实施过程的实施，将安全管理和控制要求落实到个人，以确保管理要求能够得到有效的实施，或结合安全控制要求的执行频率，定期向高管发出日常提醒，促进合规管理和执行的规范化。

（3）提高安全合规检查效率。通过整合标准化检验工具、遵循标准化检验要求和程序，大大降低了人工检验的成本，避免了检验过程中标准不一致、质量参差不齐的问题。针对不同的检验需求，可以通过平台轻松制定有针对性的检验计划。针对新的内外部安全监管要求，可以及时、方便地将相应的检查内容和要求更新并添加到平台中，确保与外部监管要求的一致性和有效性。同时，对于检查中发现的问题，平台可以提供流程整改任务，下达工单，交由安全管理人员进行整改，并限定时间，结合提醒机制，通过平台对整改流程进行有效跟踪，确保安全问题得到及时整改。

（4）提高安全合规量化评价水平和决策支持能力。建立统一的安全量化评价体系和标准，并固化为平台，实现安全合规等级的量化管理，结合平台的数据处理和分析能力，提供多维、直观的安全合规管理和风险视图。执行层可以根据部门、省市公司、IT或业务流程、资产、外部合规要求等不同维度获取统计分析信息，为持续改进安全合规工作提供充分的信息。通过统计结果，管理层可以直观地掌握企业整体安全管控水平的总体情况和当前面临的主要风险，为决策提供有力的数据支持。