致同中国使用Cookie来监视该网站的性能并提高用户体验

要了解更多，请参阅我们的隐私条款说明通知，它还提供了有关如何从硬盘中删除Cookie的信息。

全球网站

全球

阿尔及利亚
博茨瓦纳
埃及
埃塞俄比亚
加蓬
几内亚
肯尼亚
利比亚
毛里求斯
摩洛哥
莫桑比克
纳米比亚
尼日利亚
卢旺达
塞内加尔
南非
坦桑尼亚
多哥
突尼斯
乌干达
赞比亚
津巴布韦

安圭拉
安提瓜
阿根廷
伯利兹
巴哈马
玻利维亚
巴西
英属维尔京群岛
加拿大 LLP
加拿大 RCGT
开曼群岛
智利
哥伦比亚
哥斯达黎加
多米尼加
多米尼加共和国
厄瓜多尔
萨尔瓦多
格林纳达
危地马拉
海地
洪都拉斯
牙买加
墨西哥
蒙特塞拉特
尼加拉瓜
巴拿马
巴拉圭
秘鲁
波多黎各
圣基茨
圣卢西亚
圣文森特和格林纳丁斯
特立尼达和多巴哥
美国
乌拉圭
委内瑞拉

澳大利亚
孟加拉国
柬埔寨
中国
中国香港特别行政区
印度
印度尼西亚
日本
韩国
马来西亚
蒙古
缅甸
新西兰
巴基斯坦
菲律宾
新加坡
中国台湾
泰国
越南

阿尔巴尼亚
亚美尼亚
奥地利
阿塞拜疆
比利时
波斯尼亚和黑塞哥维那
保加利亚
海峡群岛
克罗利亚
塞浦路斯
捷克共和国
丹麦
爱沙尼亚
芬兰
法国
格鲁吉亚
德国
直布罗陀
希腊
匈牙利
冰岛
爱尔兰
马恩岛
以色列
意大利-Bernoni
意大利-Ria
哈萨克斯坦
科索沃
吉尔吉斯斯坦
拉脱维亚
列支敦士登
立陶宛
卢森堡
马其顿
马耳他
摩尔多瓦
摩纳哥
荷兰
北爱尔兰
挪威
波兰
葡萄牙
罗马尼亚
塞尔维亚
斯洛伐克共和国
斯洛文尼亚
西班牙
瑞典
瑞士
塔吉克斯坦
土耳其
乌克兰
联合王国
乌兹别克斯坦

巴林
科威特
阿曼
卡塔尔
沙特阿拉伯
阿拉伯联合酋长国
也门

语言版本：

联系我们

关于我们
服务
新闻中心
致同视角
工作机会
办公室地址
执业信息

审计
税务
咨询
评估与估值
工程管理
日本事业部
海外投资

审计

公司改制及IPO 审计
香港公司法定年度财务报表审计
中国企业法定年度财务报表审计
国际财务报告准则审计（IFRS 审计）
美国公认会计准则审计（USGAAP 审计）
非上市公司公开发行企业债券审计
并购业务专项审计
盈利预测审核
年度（任期）绩效评价审计
商定程序审计
内部控制审计
基本建设项目竣工决算财务审计
验资

税务

税务管理咨询
并购税务支持
税务合规审核
个人税务服务
转让定价方案
外包服务
香港税务
技术中心
税务文章

咨询

管理咨询
业务流程解决方案服务
风险管理服务
信息科技咨询
法证、调查和争端解决服务
重整与重组服务
金融咨询
融资与并购财务顾问服务
交易支持服务

评估与估值

资产评估服务
估值咨询及其相关服务

工程管理

工程造价咨询服务
工程项目管理咨询服务（全过程跟踪审计）
可视化数字工程管理服务（全过程BIM咨询）

日本事业部

审计服务
税务服务
评估服务
企业风险管理和内部控制服务
并购咨询服务
法证服务
投资日本服务

海外投资

投资美国
投资日本
投资欧洲
投资加拿大
投资“一带一路”沿线国家和地区

Grant Thornton CN
致同视角
整合网络安全和数据隐私正逢其时

整合网络安全和数据隐私正逢其时

2019-10-14

随着企业对个人用户数据的使用逐步增加，原本无关的数据隐私和网络安全产生了内在联系。企业作为数字信息的使用者，面临着数据隐私和网络安全的双重威胁。网络攻击可能造成数据泄露，进而影响数据隐私安全。

通用数据保护条例（以下简称GDPR）和其他与数据隐私相关的法规已经开始发力，这意味着企业要考虑侵犯数据隐私所带来的商业成本。致同在针对逾4500名国际商业领袖的调查中发现，三分之二的受访者认为，日趋严格的监管导致企业管理层对隐私问题的重视程度已经超过了网络安全问题。

但同时，网络安全风险仍然呈上升趋势，企业不能掉以轻心。根据调查显示，2016年到现在，造成损失超过100万美元的网络攻击上升了63%。
致同全球网络安全负责人Vishal Chawla强调：“数据隐私和网络安全从未如此息息相关。在当今世界，数据隐私和网络安全无法割裂考虑，应从更广泛的角度将二者视为数字风险的一部分。”

什么是数字风险？

数字风险不仅包含狭义上的网络攻击或是隐私数据泄露，还应从整个商业流程的角度出发，协调监管、自动化和职业道德等因素，全面考虑企业为解决数字带来的问题所需要花费的成本。

“在评估企业的数字风险时，仅关注单个威胁不再是行之有效的办法，采取主动，整合管理才是正解”。Chawla 说。

实际上，这种综合解决方案已经融入监管之中。GDPR规定，为了更好地合规，公司应有专门的数据保护措施并加以应用。这意味着公司必须从生命周期开始到结束，将数据保护融入到整个商业流程中。

数字风险综合解决方案能带来哪些收益？

1.便于优化数据分类
统一的团队可以确保企业在整个业务流程中进行的数据分类是一致的、相互协调的。数据分类是遵守GDPR等数据隐私法规的关键环节，它包含了企业拥有哪些数据，业务流程如何，以及数据管理归属等问题。通过采用结构化程序、评估数据资产、使用分类或分级流程等手段，企业可以识别关键数据，建立有效的安全性。

Chawla补充说，“我们注意到二八定律适用于许多企业的数据风险，20％的企业数据承担了80％的风险。既然无法让所有系统都具有防黑客的功能，那为何不关注对业务和客户至关重要的数据呢？”

致同荷兰网络风险服务合伙人Hans Bootsma赞同整合数据隐私和网络安全，并认为整合应包括数据分类过程。“大多数公司从未在GDPR之前对数据进行分类，现在大家开始这么做是因为只有将个人身份信息和其它类型的数据分类，才能合规。如果您的企业也开始这样做，可以将数据分类的用途扩展，并与其它类型数据结合以识别最重要的数据。”

只有将数据隐私和网络安全联系起来，才能让二者分享彼此的收益。

2.便于对数据泄露进行综合响应

数据隐私与网络安全之间的关系在数据泄露后会体现得更加明显。企业需要知道泄露是如何发生的，以及哪些网络防御措施失败了。但更重要的是要了解哪些数据受到了损害、受损数据是个人数据还是敏感数据。如果数据受损，企业需要进行披露。然而，根据致同调查的数据，仅有28%的企业对于数据的保护措施感到满意；26%的企业认为自己能够判断出什么是数据泄露，并会对数据泄露带来的结果进行评估；25%的企业认为自己能够侦测出新的与数据相关的风险。
致同爱尔兰网络安全服务合伙人Mike Harris认为：“数据隐私和网络安全很复杂，因为问题往往在二者身上同时出现。数据泄露可能源于外包的云服务商，并且涉及技术性问题。而且还应考虑泄露是否涉及个人数据，是否需要对监管披露。”

数据隐私和网络安全忽然之间就变得紧密相关，与其让网络和隐私部门各自应对泄露事件，不如建立一个具备专业技能的综合部门管理整个过程，以最小化损失。

3.便于管理供应链和第三方带来的数字风险

网络安全和数据隐私的整合会对第三方风险管理产生影响。例如，GDPR等数据隐私法规要求代表企业处理数据的第三方供应商能够提供强有力的保证。

“对于企业而言，将第三方风险管理中的网络安全与隐私管理相结合会高效很多，” Harris说，“二者关系紧密，互为影响，同时处理二者最为直接和简单，但这种做法目前在企业中并没有广泛开展，网络安全团队和隐私团队依然各行其是。”

这种“一站式”第三方风险管理将减少重复工作，提高效率。但更重要的是，它让我们将对数字风险产生了更多的综合理解。

如何实现对新部门的监督和管理？

组建综合的数字风险部门势在必行，但如何进行监督和管理呢？

首先要考虑由谁对数字风险进行日常管理。大多数公司会让首席风险官或首席技术官负责这项工作。但是，有效的数字风险管理不只依赖于技术（具体内容详见明日微信），而首席风险官负责的是战略、财务及运营等层面的业务风险。

致同认为，有必要建立首席数字风险官一职。“一些企业已经开始创建由该职位领导的数字风险部门，” Arthur说道，“但目前在大多数公司的组织架构中，数字风险职能部门仍然非常独特。”

一旦日常的数字风险管理到位，就必须考虑由谁监督。与金融风险一样，数字风险的严重性意味着董事会必须发挥积极作用，但他们可能并不具备了解数字风险的技术专长。因此，理想情况下，应在董事会内设立一个由专家组成的特定数字风险委员会，监督风险。