1.1. CRMP

1.2. 一套以明确界定的既定计划为代表的正规方法，只有通过它企业才有希望以最快的速度和最关键的方式应对所面临的风险，并获得所需的稳定和可靠的结果

1.3. 全球监管机构越来越明确地表示，将不再接受宽松或缺失的网络风险管理计划

1.4. P主要优势

1.4.1. 对董事会和高管层级的保护

1.4.1.1. 在参与整个企业范围业务的过程中，高级决策者有义务监督网络风险管理活动，以确保他们能够收到足够和适当的风险信息

1.4.1.2. 意味着他们可以解释，并在必要时为已建立的风险职能和已做出的风险决策进行辩护

1.4.2. 将安全视为战术层职能的观念会转变成战略层风险角色的观念

1.4.2.1. 通过敏捷的风险运营模型，更快的决策和优先级排序使企业的安全风险决策能够跟上不断变化的形式，并根据其整体业务战略来执行，进而提供明显优于竞争对手的战略优势

1.4.3. 可解释的预算

1.4.3.1. 基于既定的偏好和容忍度、风险和回报的平衡来进行安全风险管理，更容易证明人员和其他资源成本的合理性

1.4.4. 安全从业人员职业满意度和保护

1.4.4.1. 既定的计划在决策时为首席信息安全官或其他高级安全从业人员提供了一席之地，能够防止事故发生后的后果和无端的指责

2.1. SEC在制订和采用全球监管标准方面具有很大的影响力

2.1.1. 其他国家和司法管辖区的监管机构经常效仿SEC

2.1.2. 意味着世界各地的企业风险利益相关者都应该了解该规则及其可能产生的影响

2.1.3. 举措是为了确保个人和企业在做出投资决策时拥有“更一致、可比较的和对决策有用的信息”

2.2. 对重大信息的定义是“与普通审慎投资者在购买注册证券之前应合理了解事项相关的信息”

2.2.1. 一个公认的原则，新规则不但不会改变它，反而表明将其重要性延伸到了网络空间

2.3. 越来越多的生态活动依赖于电子系统，因此，对这些系统的干扰可能会对（公司）产生重大影响，在大规模攻击的情况下，会对整个经济产生系统性影响

2.4. 公司可能低估了网络安全事件，并且“投资者需要更及时、更一致的网络安全信息披露，以做出明智的投资决策”

2.5. 事件披露（“临时披露”）

2.5.1. 披露包括网络攻击、数据泄露和其他故障在内的安全事件的要求进行了根本性修改

2.5.2. “网络安全事件”的定义大幅扩展，包括了“一系列相关的未经授权的事件”

2.5.3. 反映了一个现实，即网络攻击和其他安全故障不一定是孤立发生的，而且可能会持续很长一段时间

2.5.4. 网络安全事件披露所需的信息现在需要更为清楚地进行说明

2.5.4.1. 事件发现时间以及是否持续

2.5.4.2. 对事件性质和范围的简要描述

2.5.4.3. 是否有任何数据被盗、被更改或以其他方式被访问或未授权被使用

2.5.4.4. 该事件对公司运营的影响

2.5.5. 必须在确定重大网络安全事件后的四个工作日内披露该事件

2.5.6. 公司在做出重要性决定时“不得无故拖延”

2.6. 风险管理、战略和治理披露（“定期披露”）

2.6.1. 公司必须定期披露其为评估、识别和管理网络安全风险而制订的流程

2.6.2. 公司必须披露董事会在监督网络安全威胁风险方面的作用，特别是那些监督这些风险的董事会成员或委员会

2.6.3. 公司必须披露管理层在评估和管理网络安全威胁带来的重大风险方面发挥的作用

2.7. 网络安全和网络风险问题过于复杂、影响深远且重要，无法在那些以临时、即兴和事件为重点的方法上加以解决

2.8. SEC的声明强调了上市公司采取积极措施及时告知投资者网络安全风险和事件的重要性

3.1. 董事会和高管必须能够通过系统化的方法对公司的网络风险环境进行适当监督

3.2. CRMP框架整合了诸多领先实践和标准的见解，为网络风险管理提供了一种结构化和全面的方法

3.3. 网络风险管理计划：关键驱动因素

3.3.1. 四个组成部分不是抽象的概念或任意划定的重点领域

3.3.2. 企业决策者不能忽视这一系列复杂且快速增长的法律、监管、政治和环境因素，它们中的每一个都至关重要，而且在许多情况下是必需的

3.3.3. 监管合规框架

3.3.4. 法律责任

3.3.4.1. 法院并不要求完美，但明确表示，希望企业在评估、管理和报告安全风险方面做出真诚的努力，并且法院已经做好了追责的准备，可以追究那些未诚信行事的企业和个人的责任，具体追责措施包括罚款和民事判决等民事处罚，甚至判处入狱

3.3.5. 有影响力的权威机构向董事会和高管层面的受众提供有关网络风险的指导

3.3.6. 行业公认的标准和框架组织

3.4. 义务和责任的履行

3.4.1. 敏捷治理

3.4.1.1. 不遵循SEC的指导可能会给包括公司高管和董事会成员在内的最高决策者带来严重后果

3.4.2. 风险指引体系

3.4.2.1. 风险总是会产生经济影响，这使得它成为首席财务官和其他负责企业财务状况的人的主要关注点

3.4.3. 基于风险的战略和执行

3.4.4. 风险升级和披露

3.5. 风险问责和责任：一种国际现象

3.5.1. 对企业最高层在责任、问责制和义务方面的呼声越来越高

3.6. 一个正式的网络风险管理计划在数字世界中是至关重要的

3.7. 网络和数字化的关键区别

3.7.1. 将网络视为一个独特的、特定的环境可能会有所帮助

3.7.2. 网络环境也是一种环境

3.7.2.1. 它代表了一个数字领域，电子数据通过网络传输，企业进行通信、数据交换等操作

3.7.3. 数字化的主要目标是提高性能和效率，并扩大业务运营和沟通的可能性范围

4.1. 敏捷治理

4.1.1. 任何企业都需要建立一个适当的结构，对风险管理计划提供全面的风险管理，包括确定该计划的范围、深度和期望，明确职责，建立完善的权力和问责制

4.1.2. 如果一个治理机构在飞机设计和制造过程的早期介入，并确定与飞行管理系统相关的风险是不可接受的，那么整个波音公司的灾难可能就可以避免

4.1.3. 一个好的计划至少会在第一次坠机后使737 MAX停飞，从而挽救在第二次坠机事故中丧生的157人的生命

4.2. 风险指引体系

4.2.1. 意味在日益复杂的数字化环境中，要在整个企业范围内采用一种系统化的、企业级的方法，来识别、接受、管理和缓释风险，包括所有类型的风险

4.2.2. 世界上没有所谓的零风险环境，试图实现这一目标毫无意义，有时甚至适得其反

4.2.3. 进行必要的修复将有助于保护这些决策者免于承担部分责任，因为波音公司本来能够证明，它至少在风险方面已经做出了更为系统的考虑

4.3. 基于风险的战略和执行

4.3.1. 零风险环境是无法实现的，以风险评估和容忍度为依据的企业战略并不一定会使波音做出所有正确的决策

4.4. 风险升级和披露

4.4.1. 如果波音公司最高层管理人员在第一起坠机事件后能够开诚布公，那么美国联邦航空局和世界其他监管机构几乎肯定会停飞737 MAX，而该航班就没有执飞的机会

4.5. 基础和关键的任务

4.5.1. 所有风险都是数字化风险，而所有数字化风险都会产生网络风险

4.5.2. 网络风险是“基础和关键的任务”

4.5.3. 意味着企业、董事会和高层管理人员对网络风险负有与任何其他重大风险相同的责任和义务

5.1. 安全风险计划是应对企业所面临风险的战略层方法

5.2. 安全专业人员希望并且需要被视为战略业务合作伙伴，而不仅仅是技术人员

5.3. 对安全风险管理工作的期望和投入需要改变

5.4. 好处1：对安全风险功能的战略性识别

5.4.1. 明确定义的安全风险计划最重要的好处之一是，它使安全组织及其活动被公认为一项关键的战略性工作，并获得应有的认可

5.4.2. 一致性对于任何企业计划的成功都至关重要

5.4.2.1. 风险管理从根本上关注预测、管理和缓释意外事件，这使得风险管理计划本身的一致性至关重要

5.4.3. 可预期的

5.4.3.1. 网络安全风险计划中的所有利益相关者（从董事会到CXO再到业务线领导者）都必须能够及时获得适合其特定需求并被及时提供的风险信息

5.4.4. 可信的

5.4.4.1. 制订明确定义的计划意味着其产出是可信的

5.5. 好处2：确保网络风险职能部门拥有有效的预算

5.5.1. 预算问题值得详细考虑

5.5.2. IT预算总是受到高度限制，安全预算更是如此，因为安全职能部门一直被视为成本中心

5.5.3. 现实的情况：安全被认为是业务高效运行的障碍，而不是贡献者或战略合作伙伴

5.5.4. 安全预算往往基于企业预算或IT预算的既定百分比，在发现新威胁时或更糟的是，在事件发生后临时分配新资源。这种基于反应的和临时性的方法尤其具有破坏性，因为数字化转型正在导致越来越危险的威胁环境，攻击的数量、速度和负面业务影响都在不断增加

5.6. 好处3：对风险决策者的保护

5.6.1. 当网络安全事件不可避免地发生时，既定的计划可以更容易地避免那些通常无益的指责

5.6.2. 当风险被识别和承认后，根据既定的风险容忍度采取措施，所有人将更难责怪某个个人或单个部门

5.6.3. 定义明确且传达清晰的网络风险管理计划可以保护整个企业免于承担某些特定法律和监管责任

5.6.4. 一个精心设计的CRMP不仅可以保护所有级别的安全从业人员，甚至可以保护整个安全组织，在出现问题时不会受到指责

5.6.5. 可以保护整个企业（包括业务线领导者、首席运营官、首席执行官，甚至董事会）免于承担包括法律和监管责任在内的各种后果

5.7. 系统化但非零风险

5.7.1. 企业必须符合可接受的标准保持良好的安全卫生习惯

5.7.2. 领导者需要建立并实施CRMP的组成部分，并开展适当的监督，包括以风险指引的决策过程和治理结构、利益相关者的参与和适当的风险升级计划

5.7.3. 风险计划必须是系统化的

5.7.3.1. 确保了风险管理实践在整个企业中能够得到一致的实施和管理

5.7.4. 风险管理决策方面需要更多的工作、更完善的结构以及众多利益相关者的持续承诺

5.7.5. 为了防止因缺乏监督而承担责任，企业及其领导者需要证明已经问过自己一些基本问题，并根据答案制订了完善的网络风险管理实践

6.1. “诚信努力”（good-faith effort）一词对承担责任来说是很高的门槛

6.2. 波音公司

6.2.1. 董事会未建立监控、讨论或定期报告飞机安全的体系

6.2.2. 虽然董事会具有风险监督职能，但其监督工作主要集中在财务风险上，并未涵盖“基本和关键的任务”的飞机安全

6.2.3. 董事会收到的临时管理报告不够透明，无法满足知情决策流程的要求，也没有要求提供更多信息，以及更彻底或定期的报告流程

6.2.4. 管理层收到了危险信号，但没有适当地上报给董事会，这表明未能建立适当的报告体系