基于 RGC 框架提升风险意识和管控水平

0收藏

0点赞

浏览量：1077

2021-11-03

陆续出台的网络安全相关法律法规和条例，包括《数据安全法》《关键信息基础设施安全保护条例》《个人信息保护法》《网络产品安全漏洞管理规定》《网络安全审查办法》等，为网络安全工作提供了方向和指南，也体现了网络安全领域规范化的发展趋势。为更好贯彻和落实相关法律法规，风险控制和合规管理成为科技企业至关重要的优先工作。风险控制和合规管理工作的前提是全面系统地识别各类风险，制定并落实管控措施，确保网络安全和隐私保护等风险不出现合规问题，更好支撑利益相关方的信任构建。

一、RGC 框架的背景和目标

RGC 框架是华为风险控制和合规管理的实践方法论，由风险、治理、控制（Risk，Governance，Control）三个词的英文缩写构成。该框架基于业界理念、COSO 框架，融合华为现有风险管理和内控实践形成，可以为业务流程中的一二三道防线开展风险监管工作提供方法，进而实现创造客户价值、高质量商业发展、公司长治久安的目标。

RGC 框架的提出源于业界的 GRC 方法，即治理、风险与合规（Governance，Risk and Compliance）。从业务到风险再到管控，考虑到内控风险核心，尤其是崩溃性风险和大面积腐败风险，华为在提出这个框架时，把风险因素放到第一的位置，调整了这三个词的次序，成为针对内控风险展开管理和监督的 RGC 框架。

采用 RGC 框架，目的是保障一二三道防线开展风险监管工作。这三道防线包括业务流程中关键监控岗位（业务人员/合规官/POPC 等）的第一道防线；BC、工程稽查等工作中的第二道防线；内审、独立第三方检查组织等工作中的第三道防线（见图1）。

图1 RGC 框架监管的三层防线

采用 RGC 框架，目标是实现整体监管。一是使命与核心价值守护，促使公司的共同价值得到有效传承、践行和维护，防止文化变味、组织板结、分裂，防止大面积腐败引起的组织溃败。二是保证战略制定与公司的愿景保持一致，并保证在战略执行时的绩效结果真实和业务管理真实。三是实现合法合规，将对法律、法规的遵从要求转化成公司的管理制度和流程并得到有效遵从，对合规红线进行有效管理，杜绝系统性和崩溃性风险。四是实现运营健康，使流程得到业务的有效遵从，风险得到有效控制。

二、RGC 框架的要素与内涵

RGC 框架包括风险（R）、治理（G）、控制（C）三个层面的七大要素，即风险评估与目标设定、基调、责任体系、诚信环境、确定性控制、非确定性控制、监督（见图2）。

图2 RGC 框架各要素间逻辑关系

第一，从风险视角看，RGC 框架包括风险评估与目标设定（R1）和监督（R2）两个层面。

风险评估与目标设定是指组织识别能通过各种监管手段实现监管的风险，评估其重要性和确定其监管目标，并且持续评估监管目标达成情况，不断改进。风险评估与目标设定的关注点包括，一是风险识别与评估，有效识别能通过各种监管手段实现监管的风险、评估所识别的风险、跟踪影响风险的重大业务变化。二是风险目标的设定与应对，确定管理层的风险容忍度（监管目标），建立相应的应对措施（包括接受、降低、规避、转移等）。三是风险目标的自我评估，风险目标达成情况的自我评估机制，如半年控制评估（SACA）、持续改进的措施等。

监督是指组织建立独立的监督机制，以确认风险管控过程的有效性和结果是否达成监管目标。监督的关注点包括，一是审计对一二道防线风险管控过程及管控结果的独立监督，二是及时沟通与进行报告。

第二，从治理视角看，RGC 框架包括基调（G1）、责任体系（G2）、和诚信环境（G3）三个层面。

基调是指管理层应建立诚信、道德的监管氛围，创造实现监管目标的整体环境，包括公司文化、管理理念、经营风格、行为准则等内容。基调的关注点包括树立基调——核心价值观、诚信和道德、风险意识；建立行为准则——定义员工的行为边界，明确“可为与不可为”；建立奖惩与问责机制，及时纠偏。

责任体系是指组织应确立合理的监管责任体系，明确监管工作（包括一二三道防线）边界和职责。责任体系的关注点包括监管工作相关部门的架构、监管工作的汇报路线、监管工作的授权体系、监管工作的角色和职责。

诚信环境是指组织应宣导和传递对诚信和道德的要求，确保广泛理解，并建立有效的反馈渠道。诚信环境的关注点包括宣传教育（包括员工和供应商/合作伙伴），以及打通内外部举报/投诉渠道。

第三，从控制视角看，RGC 框架包括确定性控制（C1）和非确定性控制（C2）两个层面。

确定性控制是指组织通过如政策、原则、程序、模板、基线等确定监管手段应对和控制风险，包括接触性控制和非接触性控制。确定性控制的关注点包括控制设计和控制执行，控制设计关注与风险评估（包括业务特点和监管目标）相结合、明确相关业务流程中的关键控制点（KCP）或关键指标（KRI）、考虑控制活动的适用层级、考虑控制活动类别的组合、应用信息技术（IT 控制）；控制执行关注及时执行与遵从政策和程序以及选用足以胜任的人员等。

非确定性控制是指组织可能无法通过确定的监管手段，但可以通过例如专业稽查、管理层监管等其他方式应对和控制风险。非确定性控制的关注点包括纠偏和应对，即实现专业稽查、群众监督、管理层监管，做好应急管理。

三、实施 RGC 框架的方法与措施

RGC 框架可以成为实现网络安全与隐私保护风险管理方法，特别是 RGC 框架中的 C1、G1/G2/G3因素。

一是在管理者层面，可以根据公司制定的行为规范、问责制度，结合当地使用的法律法规进行本地化适配。业务一把手要通过清晰的高层基调，建立行为准则，定义员工的行为边界，制定问责政策并执行，明确“可为与不可为”，营造良好的风控环境。通过公开声明、总体政策、白皮书持续地传达网络安全的基调，将相关行为融入《商业准则》，并明确高风险领域和岗位的红线行为准则和奖惩问责措施，进行本地化适配。在激励机制方面，在公司、区域及业务领域设置网络安全与隐私保护专项。例如，每年设置一定金额，用于激励负责网络安全与隐私保护工作落地的各业务部门和网络安全与隐私保护体系。在问责方面，制定网络安全与隐私保护违规问责定级标准，针对以下情况对主管进行管理问责：安全质量严重不达标，或多次不达标；管理原因导致严重网络安全事件、安全危机、严重的个人数据泄露事件；审计发现严重的网络安全与隐私保护风险。在网络安全与隐私保护风险管控方面，重点关注服务无授权/超授权接入、无授权/超授权使用客户网络数据、收集/处理/转移个人数据等风险行为，需要在公司、区域及业务领域设置网络安全与隐私保护专项工作进行看护。

二是在责任体系建设层面，确立合理的监管责任体系，明确监管工作（包括一二三道防线）边界和职责。全球网络安全与用户隐私保护委员会（GSPC）是华为的最高网络安全与隐私保护管理机构，负责决策和批准公司总体网络安全和隐私保护战略。全球网络安全与用户隐私保护办公室（GSPO）组织业务部分建立支撑战略的操作细则，推动落地执行并执行稽核。内部审计部独立监督并向 GSPC和审计委员会汇报。公司建立端到端的网络安全保障体系，识别每个流程的关键控制点（KCPs）。

三是在诚信环境建设方面，宣导和传递对诚信和道德的要求，确保广泛理解，并建立有效的反馈渠道。以法律为基础，提升员工的网络安全和隐私保护意识，让员工意识到即使主观上没有恶意，也要对自己的行为负责；华为全体员工及合作伙伴、外部顾问都必须严格执行公司相关安全及隐私政策，接受安全、隐私保护培训，同时，公司鼓励员工获取业界网络安全与隐私保护相关资质认证，比如 CISSP、CIPM/CIPP 等认证，使安全、隐私理念融入整个组织和员工之中；对关键岗位要进行安全资格认证，采取措施震慑心存恶意的员工、竭力防止恶意行为发生。

四是在激励机制方面，在区域及业务领域设置网络安全与隐私保护专项。用于激励负责网络安全与隐私保护工作落地的各业务部门和网络安全与隐私保护体系。设置的激励奖项，可以包括平台建设奖、合规建设奖、外部洞察奖、组织人才文化建设奖等。

四、实施 RGC 框架的效果与影响

检查实施 RGC 框架的效果，主要是通过稽查来实现。RGC 框架控制层面的非确定性控制，关注纠偏实现专业稽查、群众监督、管理层监管等方面。主要的稽查方法包括四个环节十七个步骤，即体现在立项、准备、执行和闭环等环节的关键活动。

在立项阶段，一是确定稽查对象，根据风险输入确定稽查对象；二是与利益相关人沟通，就稽查可行性、稽查对象及初步稽查范围达成一致意见；三是组建稽查工作组，明确责任分工及稽查计划。

在准备阶段，一是要确定业务范围，启动分析及调研，圈定业务范围（包括流程阶段、业务活动、资产和环境、关键人群、IT 系统、抽样产品等）。二是识别稽查重点，根据涉及的发文规范和要求结合前期的风险识别结果，详细分析每个要求的落地风险及级别。三是拟定稽查基线，包括详细的风险点清单及对应的调查问卷、调查方法等。四是明确责任主体，明确稽查涉及的责任主体，并与相关责任部门提前沟通、获取接口人。五是签发稽查通知，拟定稽查通知书（包括稽查项目名称、被稽查单位、稽查范围、稽查周期等信息）并提交签发。六是拟定执行计划，初步拟定执行计划，分析执行所需的预置条件（包括系统权限、文档资料、门禁准入等），与接口人沟通初步计划、协调提供所需的预置条件。

在执行阶段，一是召开开工会，对齐信息、澄清疑问并启动稽查。二是执行稽查测试，测试方法包括现场访谈、穿行测试、抽样测试、数据及日志分析、多方信息对比、调取记录等。三是刷新稽查基线，根据稽查的深入及时更新风险点并刷新稽查基线，视情况判断是否调整稽查范围，及时协调相关方。四是沟通稽查问题，与稽查接口人完成稽查问题确认，有分歧及时上报解决。五是形成稽查报告，评审确认的稽查报告经审批通过后发布。

在闭环管理阶段，主要实现问题的闭环管理。在这个阶段，一是在问题跟踪闭环，实现问题录入跟踪系统并跟踪问题进展。二是在改进方案审评阶段，可以视情况进行可选项判断。三在稽查总结改进环节，总结形成案例收割并归档。通过签发管理类问题闭环管理规定，明确网络安全与隐私保护管理问题的闭环责任人及例行化规定动作。

五、完善 RGC 支撑平台，提升安全风险管控水平

目前，在中国市场，华为运用 RGC 方法，深入业务流程关键环节，识别风险，分析原因并匹配相应的管理措施，取得了良好的效果。

同时，为推进风险管控的有效性和提升管控效率，作为正在开发和完善网络安全隐私治理平台，从外部要求入手，将涉及的法律法规，标准指南，客户需求等进行系统性梳理，构建适用中国市场的外部合规库，关键的合规要求条目融入业务流程，通过 IT 系统进行流程打点，后续监管团队通过系统直观明了的审视合规要求的适配情况、风险情况，并通过可视化平台进行合规稽查，逐步提升风险管控的数字化水平和管控效率。

（来源：中国信息安全网）

（原文链接：https://mp.weixin.qq.com/s/IdNGc1OtftcYg5pEGY0pNg）

基于 RGC 框架提升风险意识和管控水平

发表评论