2025網(wǎng)絡(luò)安全重要趨勢

2025網(wǎng)絡(luò)安全重要趨勢在由AI主導(dǎo)的商業(yè)環(huán)境中,網(wǎng)絡(luò)安全的基本原則正變得愈發(fā)重要畢馬威國際/cyberconsiderations41420743致謝2025年八大關(guān)鍵網(wǎng)絡(luò)安全考量因素目錄作者簡介0503五年回顧2020–2025前言畢馬威如何助力您的網(wǎng)絡(luò)安全392025年網(wǎng)絡(luò)安全戰(zhàn)略2025網(wǎng)絡(luò)安全重要趨勢2?

2025畢馬威企業(yè)咨詢(中國)有限公司—中國有限責(zé)任公司，是與畢馬威國際有限公司(英國私營擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。版權(quán)所有，不得轉(zhuǎn)載。在中國印刷。在科技深度滲透職業(yè)和日常生活方方面面的當(dāng)下，網(wǎng)絡(luò)安全已不僅僅是企業(yè)關(guān)注的問題，更成為了影響社會各方面的廣泛議題。根據(jù)畢馬威的研究，首席執(zhí)行官們認(rèn)為網(wǎng)絡(luò)安全是過去十年中的首要威脅。1智能產(chǎn)品的普及，從汽車和醫(yī)療器械到家用電器及其他與物聯(lián)網(wǎng)相關(guān)的設(shè)備，持續(xù)擴(kuò)大了網(wǎng)絡(luò)攻擊面，并以前所未有的方式將物理威脅和數(shù)字威脅相結(jié)合。深度偽造技術(shù)的興起，以及加密貨幣等數(shù)字資產(chǎn)的復(fù)蘇（此類資產(chǎn)仍基本處于無監(jiān)管且波動性高的狀態(tài)）進(jìn)一步加劇了這些威脅的復(fù)雜性，要求人們提高警惕并采取創(chuàng)新對策。在此環(huán)境中，首席信息安全官亟需專注于自身及團(tuán)隊(duì)對AI技術(shù)的學(xué)習(xí)，不僅要組建最佳團(tuán)隊(duì)，還要理解每個(gè)應(yīng)用場景所帶來的獨(dú)特風(fēng)險(xiǎn)。至于人才招聘和開發(fā)，首席信息安全官面臨著艱巨任務(wù)，即組建能夠理解AI復(fù)雜性及其潛在風(fēng)險(xiǎn)的團(tuán)隊(duì)——由于該領(lǐng)域的快速創(chuàng)新以及整個(gè)企業(yè)中出現(xiàn)的難以管理的“影子AI”，這項(xiàng)任務(wù)變得更加復(fù)雜。與此同時(shí)，網(wǎng)絡(luò)安全能力的合理化或整合也已經(jīng)提上日程，安全團(tuán)隊(duì)正在從其安全運(yùn)營中心（SOC）中的數(shù)十種解決方案轉(zhuǎn)向一套精簡的最佳工具套件，以更有效更經(jīng)濟(jì)地集成解決方案，并持續(xù)利用這些工具提供商提供的新AI能力。今天的網(wǎng)絡(luò)安全挑戰(zhàn)遠(yuǎn)超傳統(tǒng)技術(shù)技能的范疇，需要采用跨學(xué)科的方法，涵蓋對風(fēng)險(xiǎn)管理的深刻理解，以及問題解決、批判性思維和溝通等軟技能。網(wǎng)絡(luò)安全專業(yè)人士可以來自非傳統(tǒng)背景，并且必須能夠迅速適應(yīng)并掌握超出計(jì)算機(jī)科學(xué)、軟件工程或信息技術(shù)等傳統(tǒng)學(xué)位培訓(xùn)通常教授的知識。2

對于網(wǎng)絡(luò)安全專業(yè)人士而言，優(yōu)先進(jìn)行情境風(fēng)險(xiǎn)評估至關(guān)重要，但同時(shí)不能忽視明確且靈活的控制措施的需求。畢馬威《2024年全球首席執(zhí)行官展望》（KPMG

2024

Global

CEO

Outlook），2024年8月。世界經(jīng)濟(jì)論壇，《戰(zhàn)略性網(wǎng)絡(luò)安全人才框架》（Strategic

Cybersecurity

Talent

Framework），2024年4月。2025網(wǎng)絡(luò)安全重要趨勢3?

2025畢馬威企業(yè)咨詢(中國)有限公司—中國有限責(zé)任公司，是與畢馬威國際有限公司(英國私營擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。版權(quán)所有，不得轉(zhuǎn)載。在中國印刷。人工智能（ArtificialIntelligence，簡稱AI）在幾乎所有工業(yè)領(lǐng)域的應(yīng)用揭示了在AI模型和流程中嵌入信任的緊迫性，即通過建立一個(gè)全面而穩(wěn)健的治理計(jì)劃，使首席執(zhí)行官能夠借此了解各種商業(yè)案例，確定AI在組織中的使用范圍和方式，并識別相關(guān)的漏洞。前言隨著2025年的到來，數(shù)字環(huán)境以前所未有的速度持續(xù)演變，在帶來新挑戰(zhàn)的同時(shí)，也放大了企業(yè)對采取強(qiáng)有力網(wǎng)絡(luò)安全措施的迫切需求。在此背景下，第六期年度《網(wǎng)絡(luò)安全重要趨勢》的全球發(fā)布揭示了各行業(yè)組織目前及即將面臨的挑戰(zhàn)，并強(qiáng)調(diào)其可采取的幾項(xiàng)戰(zhàn)略舉措。這些舉措均與本報(bào)告中深入探討的八項(xiàng)關(guān)鍵網(wǎng)絡(luò)安全重要趨勢一致。首席信息安全官（CISO）職責(zé)持網(wǎng)絡(luò)安全人才管理至關(guān)重要構(gòu)建可信人工智能駕馭AI賦能網(wǎng)絡(luò)安全：快速安全管理平臺整合：數(shù)字身份安全管理迫在眉睫智能設(shè)備的“智能”安全防護(hù)構(gòu)建企業(yè)韌性：網(wǎng)絡(luò)安全護(hù)航企業(yè)和續(xù)演變前行與安全并重平衡風(fēng)險(xiǎn)與收益社會安全網(wǎng)絡(luò)安全并非靜態(tài)功能，而是一個(gè)動態(tài)且不斷演變的挑戰(zhàn)。例如，量子技術(shù)的崛起，攻擊者可以通過量子計(jì)算以驚人的速度繞過加密工具，可能會破壞從銀行和零售交易到商業(yè)數(shù)據(jù)、文件、電子郵件等的一切；“超級智能”AI系統(tǒng)的潛力，該系統(tǒng)能持續(xù)完善和擴(kuò)展知識，并在感知危險(xiǎn)時(shí)自我保護(hù)；以及虛假信息的傳播速度，尤其是通過深度偽造的音頻和視頻內(nèi)容的傳播——這些正是導(dǎo)致首席信息安全官夜不能寐的新興問題。這些威脅和其他威脅也凸顯了對創(chuàng)新和戰(zhàn)略遠(yuǎn)見的迫切需求。立法環(huán)境正在向更本地化的監(jiān)管方向轉(zhuǎn)變，這給全球安全運(yùn)營帶來了多方面的挑戰(zhàn)。這一點(diǎn)，再加上經(jīng)濟(jì)上迫切需要不僅以投資回報(bào)為基礎(chǔ)，而且需要以緩釋風(fēng)險(xiǎn)為基礎(chǔ)來證明安全預(yù)算的合理性，使首席信息安全官處于在沒有預(yù)算保證的情況下使用安全資源的危險(xiǎn)境地。首席信息安全官還面臨日益復(fù)雜的地緣政治局勢的挑戰(zhàn)。隨著國家支持的網(wǎng)絡(luò)攻擊、監(jiān)管環(huán)境的變化以及跨境數(shù)據(jù)流動的不斷增加，首席信息安全官必須在錯(cuò)綜復(fù)雜的局面中有效保護(hù)企業(yè)網(wǎng)絡(luò)。顯然，提前應(yīng)對新興威脅并確保合規(guī)的壓力比以往任何時(shí)候都更加嚴(yán)峻。當(dāng)今首席信息安全官的廣泛經(jīng)驗(yàn)——無論是經(jīng)歷過重大安全事件的人，還是僅經(jīng)歷過小規(guī)模安全沖突的人——都強(qiáng)調(diào)了對動態(tài)威脅環(huán)境進(jìn)行細(xì)致評估的必要性。在本報(bào)告中，畢馬威專家更深入地探討了這些問題，提供了對當(dāng)前網(wǎng)絡(luò)安全狀況的全面分析，并為首席信息安全官提供了與八項(xiàng)網(wǎng)絡(luò)安全重要趨勢相契合的實(shí)際策略。我們的目標(biāo)是為領(lǐng)導(dǎo)者提供能夠應(yīng)對數(shù)字時(shí)代復(fù)雜性的知識和工具，以應(yīng)對數(shù)字時(shí)代的復(fù)雜性，確保他們的組織在充滿魅力和激動人心、但往往不確定的未來中保持安全和韌性。技術(shù)格局正在迅速演變，新的威脅每天都在涌現(xiàn)。為了保持領(lǐng)先，企業(yè)必須積極主動，而不是被動應(yīng)對，以保護(hù)其數(shù)字資產(chǎn)、確保合規(guī)性，并營造一個(gè)安全且有利發(fā)展的環(huán)境。Bobby

Soni全球技術(shù)咨詢主管畢馬威國際首席信息安全官（CISO）職責(zé)持網(wǎng)絡(luò)安全人才管理至關(guān)重要構(gòu)建可信人工智能駕馭AI賦能網(wǎng)絡(luò)安全：快速安全管理平臺整合：數(shù)字身份安全管理迫在眉睫智能設(shè)備的“智能”安全防護(hù)構(gòu)建企業(yè)韌性：網(wǎng)絡(luò)安全護(hù)航企業(yè)和續(xù)演變前行與安全并重平衡風(fēng)險(xiǎn)與收益社會安全2025網(wǎng)絡(luò)安全重要趨勢4?2025畢馬威企業(yè)咨詢(中國)有限公司—中國有限責(zé)任公司，是與畢馬威國際有限公司(英國私營擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。版權(quán)所有，不得轉(zhuǎn)載。在中國印刷。過去五年間，本報(bào)告的編寫始終以不斷演變的網(wǎng)絡(luò)安全格局為核心，如今這一核心也已成為組織領(lǐng)導(dǎo)者的切實(shí)關(guān)注點(diǎn)。此外，許多關(guān)鍵主題持續(xù)引起共鳴——韌性、身份訪問管理（IAM）、云安全、人才與技能缺口等，不一而足。從下一頁的趨勢分析（2020-2025年）可以看出，許多基本的網(wǎng)絡(luò)安全基礎(chǔ)仍在當(dāng)前研究中占據(jù)核心地位。但面對新技術(shù)、新的監(jiān)管要求、更復(fù)雜的工具以及日益嚴(yán)峻的威脅態(tài)勢，首席信息安全官的職責(zé)范圍和責(zé)任正在顯著加大。五年回顧

2020–2025首席信息安全官（CISO）職責(zé)持網(wǎng)絡(luò)安全人才管理至關(guān)重要構(gòu)建可信人工智能駕馭AI賦能網(wǎng)絡(luò)安全：快速安全管理平臺整合：數(shù)字身份安全管理迫在眉睫智能設(shè)備的“智能”安全防護(hù)構(gòu)建企業(yè)韌性：網(wǎng)絡(luò)安全護(hù)航企業(yè)和續(xù)演變前行與安全并重平衡風(fēng)險(xiǎn)與收益社會安全2025網(wǎng)絡(luò)安全重要趨勢5?2025畢馬威企業(yè)咨詢(中國)有限公司—中國有限責(zé)任公司，是與畢馬威國際有限公司(英國私營擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。版權(quán)所有，不得轉(zhuǎn)載。在中國印刷。然而，這一關(guān)鍵領(lǐng)域的底層邏輯已經(jīng)從傳統(tǒng)的網(wǎng)絡(luò)安全措施轉(zhuǎn)向了全球多維數(shù)字景觀中的優(yōu)先事項(xiàng)和挑戰(zhàn)，首席信息安全官及其團(tuán)隊(duì)必須近乎實(shí)時(shí)地對此作出響應(yīng)。最重要的是，必須強(qiáng)調(diào)網(wǎng)絡(luò)安全的普遍性，它已經(jīng)超越了技術(shù)風(fēng)險(xiǎn)，涵蓋了更廣泛的企業(yè)威脅，影響著各行各業(yè)和社會。讓我們更深入探討一下：隨著新冠肺炎疫情的暴發(fā)以及遠(yuǎn)程工作安排的常態(tài)化，云安全和AI安全已成為首席信息安全官的關(guān)鍵目標(biāo)。人才以及始終存在的技能缺口，長期以來一直至關(guān)重要，因?yàn)樾屡d技術(shù)的應(yīng)用和發(fā)展，要求人才具備新的、多樣化的技能。身份管理的轉(zhuǎn)變，從傳統(tǒng)的IAM（一個(gè)重要但獨(dú)立的功能）轉(zhuǎn)移到了零信任戰(zhàn)略的核心，涵蓋數(shù)字身份驗(yàn)證和深度偽造識別。韌性已成為一個(gè)核心目標(biāo)，并將繼續(xù)保持這一地位。首席信息安全官持續(xù)努力強(qiáng)化網(wǎng)絡(luò)安全措施，尤其是隨著網(wǎng)絡(luò) 威脅轉(zhuǎn)變?yōu)橛绊憦V泛的業(yè)務(wù)威脅，這些威脅有可能擾亂行業(yè)并 危害社會。趨勢分析2020–202520252020關(guān)鍵主題新冠肺炎疫情遠(yuǎn)程工作—新常態(tài)生成式

AI歐盟AI法案網(wǎng)絡(luò)攻擊變得更為普遍，影響著企業(yè)、行業(yè)和社會整體。關(guān)鍵事件基于AI的網(wǎng)絡(luò)威脅，即AI釣魚、智能惡意軟件、深度偽造、大規(guī)模監(jiān)控等……戰(zhàn)略與領(lǐng)導(dǎo)力首席信息安全官已成為值得信賴的內(nèi)部顧問和運(yùn)營領(lǐng)導(dǎo)者。將對話從成本和速度轉(zhuǎn)移到戰(zhàn)略性及有效的網(wǎng)絡(luò)安全。首席信息安全官的預(yù)算越來越與降低業(yè)務(wù)風(fēng)險(xiǎn)掛鉤。隨著網(wǎng)絡(luò)安全在組織內(nèi)部變得更加普 遍，首席信息安全官面臨的交付壓力 也在增大。首席信息安全官的角色分散了，但問責(zé) 制卻因監(jiān)管發(fā)展而增加。人員與人才網(wǎng)絡(luò)安全團(tuán)隊(duì)正在轉(zhuǎn)型，成為戰(zhàn)略 決策桌上擁有重要話語權(quán)的關(guān)鍵資 源。網(wǎng)絡(luò)安全的存在是為了支持組織，而不是阻礙——從組織執(zhí)行者到影響者。將網(wǎng)絡(luò)安全納入組織結(jié)構(gòu)中。網(wǎng)絡(luò)技能差距依然存在——AI可能會提供一些可行的解決方案，但勞動力仍需要掌握和應(yīng)用新的技能。技術(shù)與數(shù)據(jù)新的虛擬基礎(chǔ)設(shè)施模型和協(xié)作工具。加速的云轉(zhuǎn)型（由于COVID-19），但網(wǎng)絡(luò)安全問題被置于次要地位。傳統(tǒng)身份認(rèn)證與管理（IAM）。通過自動化增強(qiáng)網(wǎng)絡(luò)安全。生成式AI的快速發(fā)展給網(wǎng)絡(luò)安全創(chuàng)造了活力。保護(hù)一個(gè)無邊界的以數(shù)據(jù)為中心的世界。將身份置于零信任的核心。對網(wǎng)絡(luò)AI的投資變得更具戰(zhàn)略性和前瞻性。企業(yè)范圍的成本節(jié)約、效率、安全和創(chuàng)新（尤其是AI實(shí)施）推動了平臺整合。數(shù)字身份和深度偽造的興起。數(shù)字信任網(wǎng)絡(luò)安全和隱私法規(guī)聚焦于業(yè)務(wù)優(yōu)先事項(xiàng)和責(zé)任，以及信任的重要性。數(shù)字信任是一項(xiàng)共同責(zé)任，始于業(yè)務(wù)本身，并涉及多個(gè)利益相關(guān)者，例如：CISO、DPO、CDO、

CIO等等。在AI中嵌入信任并滲透到商業(yè)和社會的所有結(jié)構(gòu)中-重點(diǎn)關(guān)注網(wǎng)絡(luò)安全、隱私、物理安全、道德等。韌性從基于場景到基于影響——重點(diǎn)關(guān)注批判性和監(jiān)管。不再僅僅是預(yù)防——重點(diǎn)在于響應(yīng)和恢復(fù)。首席信息官繼續(xù)加強(qiáng)組織韌性，因?yàn)?網(wǎng)絡(luò)威脅已經(jīng)從技術(shù)風(fēng)險(xiǎn)演變?yōu)槠髽I(yè) 和行業(yè)威脅，并對社會造成潛在的危 害。網(wǎng)絡(luò)戰(zhàn)爭在地緣政治沖突中的使用增加2024CrowdStrike事件首席信息安全官（CISO）職責(zé)持網(wǎng)絡(luò)安全人才管理至關(guān)重要構(gòu)建可信人工智能駕馭AI賦能網(wǎng)絡(luò)安全：快速安全管理平臺整合：數(shù)字身份安全管理迫在眉睫智能設(shè)備的“智能”安全防護(hù)構(gòu)建企業(yè)韌性：網(wǎng)絡(luò)安全護(hù)航企業(yè)和續(xù)演變前行與安全并重平衡風(fēng)險(xiǎn)與收益社會安全2025網(wǎng)絡(luò)安全重要趨勢6?2025畢馬威企業(yè)咨詢(中國)有限公司—中國有限責(zé)任公司，是與畢馬威國際有限公司(英國私營擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。版權(quán)所有，不得轉(zhuǎn)載。在中國印刷。首席信息安全官（CISO）職責(zé)持續(xù)演變01

隨著網(wǎng)絡(luò)安全職能在組織內(nèi)更廣泛地嵌入并被深入理解，CISO及其團(tuán)隊(duì)的工作重點(diǎn)，以及與組織其他部門的協(xié)作模式將持續(xù)演變。網(wǎng)絡(luò)安全人才管理至關(guān)重要面對數(shù)字化轉(zhuǎn)型壓力，組織普遍面臨工作負(fù)荷激增的挑戰(zhàn)，使得網(wǎng)絡(luò)安全人員能力差距被放大。盡管AI與自動化技術(shù)可提供支持，但團(tuán)隊(duì)仍會面臨無法解決的問題，存在人員流失風(fēng)險(xiǎn)。02駕馭AI賦能網(wǎng)絡(luò)安全：快速前行與安全并重從技術(shù)培訓(xùn)缺失到對新興技術(shù)落后的擔(dān)憂，多重因素都在推動AI應(yīng)用熱潮。其中一個(gè)關(guān)鍵挑戰(zhàn)在于找到AI在網(wǎng)絡(luò)安全與隱私管理領(lǐng)域中的潛在收益與風(fēng)險(xiǎn)的平衡點(diǎn)。04構(gòu)建可信人工智能AI技術(shù)雖已與各類組織職能有了良好的結(jié)合，但其自身面臨的網(wǎng)絡(luò)安全與隱私保護(hù)風(fēng)險(xiǎn)，仍會能影響AI技術(shù)的全面推廣。03安全管理平臺整合：平衡風(fēng)險(xiǎn)與收益為降低技術(shù)復(fù)雜性與成本，全球企業(yè)正加速整合安全工具與服務(wù)至單一或有限平臺，但需同步識別并規(guī)避集中化衍生的固有風(fēng)險(xiǎn)。數(shù)字身份安全管理迫在眉睫盡管全球數(shù)字身份計(jì)劃加速推進(jìn)，但系統(tǒng)互操作性仍受深度偽造技術(shù)威脅掣肘，且生物識別數(shù)據(jù)處理面臨監(jiān)管差異與公眾信任挑戰(zhàn)。06構(gòu)建企業(yè)韌性：網(wǎng)絡(luò)安全護(hù)航企業(yè)和社會安全韌性正成為CISO議程的核心，因?yàn)楣粽呤褂美账鬈浖蚱渌麗阂馐侄卧斐纱笠?guī)模工業(yè)中斷的可能性仍然令人擔(dān)憂，這不僅危及數(shù)據(jù)，也危及人類生命。08智能設(shè)備的“智能”安全防護(hù)智能設(shè)備與產(chǎn)品的普及正顛覆傳統(tǒng)安全范式，推動監(jiān)管機(jī)構(gòu)建立新制度以確保產(chǎn)品滿足基礎(chǔ)安全要求。072025年八大關(guān)鍵網(wǎng)絡(luò)安全重要趨勢點(diǎn)擊每個(gè)趨勢以了解更多信息。首席信息安全官（CISO）職責(zé)持網(wǎng)絡(luò)安全人才管理至關(guān)重要構(gòu)建可信人工智能駕馭AI賦能網(wǎng)絡(luò)安全：快速安全管理平臺整合：數(shù)字身份安全管理迫在眉睫智能設(shè)備的“智能”安全防護(hù)構(gòu)建企業(yè)韌性：網(wǎng)絡(luò)安全護(hù)航企業(yè)和續(xù)演變前行與安全并重平衡風(fēng)險(xiǎn)與收益社會安全052025網(wǎng)絡(luò)安全重要趨勢7?2025畢馬威企業(yè)咨詢(中國)有限公司—中國有限責(zé)任公司，是與畢馬威國際有限公司(英國私營擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。版權(quán)所有，不得轉(zhuǎn)載。在中國印刷。重要趨勢1首席信息安全官（CISO）職責(zé)持續(xù)演變多重因素正在重塑網(wǎng)絡(luò)安全格局，并顯著轉(zhuǎn)變首席信息安全官（CISO）的角色。監(jiān)管審查的加強(qiáng)、近乎零失敗的交付壓力、以及問責(zé)制和個(gè)人風(fēng)險(xiǎn)的增加，共同推進(jìn)

了這一角色的轉(zhuǎn)變。與此同時(shí)傳統(tǒng)的首席信息安全官職能正逐漸分散到組織各處，這引發(fā)了人們對于該角色未來定位和網(wǎng)絡(luò)安全職能演變的思考。首席信息安全官的成功很可能取決于其能否有效建立決策權(quán)威、管理新興技術(shù)特別是AI的影響，以及能否適應(yīng)新威脅。運(yùn)營模式演變下的更高期望首席信息安全官（

CISO）的角色正變得越來越復(fù)雜。監(jiān)管審查以及確保整個(gè)組織具有強(qiáng)大的網(wǎng)絡(luò)安全成果的需求是主要驅(qū)動因素。這種復(fù)雜性進(jìn)一步因運(yùn)營模式的變化以及對外部供應(yīng)商依賴的增加而加劇。然而，現(xiàn)有的網(wǎng)絡(luò)安全控制措施可能并不總是與組織的獨(dú)特需求相符合，特別是在涉及跨越多個(gè)國家的全球運(yùn)營的情況下。當(dāng)談到基于云軟件供應(yīng)商時(shí)，情況會更加復(fù)雜，因?yàn)槠淇刂拼胧┩ǔＪ嵌摹词褂靡床皇褂?。理想情況下，首席信息安全官希望根據(jù)情況或地理位置靈活調(diào)整控制措施的開關(guān)——在美國開啟，但在德國關(guān)閉；在新加坡開啟，但在瑞士關(guān)閉。Paul

Spacey全球首席信息安全官畢馬威國際首席信息安全官現(xiàn)在面臨著管理并配置供應(yīng)商提供的網(wǎng)絡(luò)安全控制措施的挑戰(zhàn)，他們需要確保這些控制措施符合目的并遵守當(dāng)?shù)胤煞ㄒ?guī)。運(yùn)營模式的轉(zhuǎn)變意味著首席信息安全官對網(wǎng)絡(luò)安全措施實(shí)施的直接控制力減弱。雖然這些供應(yīng)商提供的嵌入式網(wǎng)絡(luò)安全和隱私控制可能有益，但它們通常缺乏首席信息安全官有效管理跨多種環(huán)境風(fēng)險(xiǎn)所需的靈活性和細(xì)致程度。首席信息安全官們必須在應(yīng)對這種復(fù)雜性的同時(shí)，確保員工高效工作，并保持對組織內(nèi)控制操作的可視性。首席信息安全官（CISO）職責(zé)持網(wǎng)絡(luò)安全人才管理至關(guān)重要構(gòu)建可信人工智能駕馭AI賦能網(wǎng)絡(luò)安全：快速安全管理平臺整合：數(shù)字身份安全管理迫在眉睫智能設(shè)備的“智能”安全防護(hù)構(gòu)建企業(yè)韌性：網(wǎng)絡(luò)安全護(hù)航企業(yè)和續(xù)演變前行與安全并重平衡風(fēng)險(xiǎn)與收益社會安全2025網(wǎng)絡(luò)安全重要趨勢8?2025畢馬威企業(yè)咨詢(中國)有限公司—中國有限責(zé)任公司，是與畢馬威國際有限公司(英國私營擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。版權(quán)所有，不得轉(zhuǎn)載。在中國印刷。過去，CISO的首要任務(wù)是識別并保護(hù)組織的‘皇冠上的明珠’——關(guān)鍵數(shù)據(jù)、知識產(chǎn)權(quán)，商業(yè)秘密等。但如今，CISO必須聚焦于業(yè)務(wù)的網(wǎng)絡(luò)安全和韌性。Wendy

Lim合伙人，網(wǎng)絡(luò)安全，咨詢畢馬威新加坡首席信息安全官（CISO）職責(zé)持網(wǎng)絡(luò)安全人才管理至關(guān)重要構(gòu)建可信人工智能駕馭AI賦能網(wǎng)絡(luò)安全：快速安全管理平臺整合：數(shù)字身份安全管理迫在眉睫智能設(shè)備的“智能”安全防護(hù)構(gòu)建企業(yè)韌性：網(wǎng)絡(luò)安全護(hù)航企業(yè)和續(xù)演變前行與安全并重平衡風(fēng)險(xiǎn)與收益社會安全設(shè)計(jì)網(wǎng)絡(luò)安全的組織角色和范圍的藍(lán)圖圍繞CISO職位的組織結(jié)構(gòu)正在演變，越來越多的趨勢是如果公司設(shè)有技術(shù)信息安全官（TISO），則會將其職責(zé)與CISO分開。這種角色劃分使CISO能夠?qū)Ｗ⒂陲L(fēng)險(xiǎn)管理及更廣泛的網(wǎng)絡(luò)安全規(guī)劃。

TISO通常嵌入在組織的技術(shù)職能中，負(fù)責(zé)監(jiān)督相關(guān)控制措施的實(shí)施并管理日常運(yùn)營。2025網(wǎng)絡(luò)安全重要趨勢9?2025畢馬威企業(yè)咨詢(中國)有限公司—中國有限責(zé)任公司，是與畢馬威國際有限公司(英國私營擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。版權(quán)所有，不得轉(zhuǎn)載。在中國印刷。此外，較大的組織可能擁有多名CISO，每位負(fù)責(zé)不同的業(yè)務(wù)線，如供應(yīng)鏈網(wǎng)絡(luò)或商業(yè)線上平臺。這種職責(zé)劃分是因?yàn)閱我唤巧赡茈y以在精通所有領(lǐng)域細(xì)節(jié)的同時(shí)有效管理整體網(wǎng)絡(luò)安全態(tài)勢。隨著網(wǎng)絡(luò)安全領(lǐng)域的不斷擴(kuò)大，首席信息安全官（CISOs）發(fā)現(xiàn)自

己承擔(dān)了更廣泛的職責(zé)范圍。他們必須成為包括控制、性能、風(fēng)險(xiǎn)、情報(bào)、身份管理以及整體網(wǎng)絡(luò)安全等各個(gè)方面的事實(shí)來源。首席信息安全官被要求以對企業(yè)相關(guān)且易于理解的方式呈現(xiàn)這些信息，從而支持管理層做出明智的決策。雖然首席信息安全官（CISO）可以將許多安全優(yōu)先事項(xiàng)委托給其

他團(tuán)隊(duì)，例如報(bào)告關(guān)鍵風(fēng)險(xiǎn)指標(biāo)、運(yùn)行風(fēng)險(xiǎn)評估和執(zhí)行滲透測試，但他們?nèi)员仨毐３謱@些活動的監(jiān)督和了解。CISO面臨的挑戰(zhàn)是：如何在擴(kuò)大職責(zé)范圍的同時(shí)，確保組織的敏捷性、效率和態(tài)勢感知能力。走鋼絲：在日益增長的風(fēng)險(xiǎn)面前平衡責(zé)任與權(quán)力日益增加的監(jiān)管審查和個(gè)人責(zé)任的風(fēng)險(xiǎn)突顯了為首席信息安全官（CISO）明確界定責(zé)任和決策權(quán)的必要性。如果發(fā)生網(wǎng)絡(luò)安全事件，CISO可能會發(fā)現(xiàn)自己面臨法律和專業(yè)后果，尤其是在受到嚴(yán)格監(jiān)管的行業(yè)中。為降低這一風(fēng)險(xiǎn)，組織必須建立正式的治理流程，賦予首席信息安全官（CISO）在事件發(fā)生時(shí)采取必要行動的權(quán)力，避免因猶豫而延誤響應(yīng)。這包括向CISO明確說明他們的權(quán)限以及他們可以操作的范圍。有了這些，他們可以迅速而自信地做出關(guān)鍵決策。CISO的匯報(bào)線也決定了有效管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的能力。雖然與高管層、總法律顧問和董事會直接溝通很重要，但CISO仍需基于技術(shù)專長保有自主決策權(quán)。在緊急情況下，如供應(yīng)鏈遭到破壞時(shí)，CISO需有權(quán)立即采取行動，而無需等待缺乏技術(shù)背景的上級批準(zhǔn)。然而，這種自主性必須與高層共同定制的明確的問責(zé)制和約束機(jī)制相平衡。首席信息安全官（CISO）應(yīng)在評估網(wǎng)絡(luò)安全事件的關(guān)鍵時(shí)刻綜合思量，充分考慮潛在后果，并評估確定最有效的行動方案。在未來，CISO很可能需要持續(xù)地在組織的其他領(lǐng)域之間進(jìn)行權(quán)衡，平衡董事會、業(yè)務(wù)、技術(shù)管理人員以及他們自己管理內(nèi)在風(fēng)險(xiǎn)的需求。這要求CISO必須成為精明的利益相關(guān)方管理者，能夠駕馭復(fù)雜的關(guān)系并有效傳達(dá)網(wǎng)絡(luò)安全優(yōu)先事項(xiàng)的重要性。為了實(shí)現(xiàn)這一目標(biāo)，首席信息安全官（

CISO

）可以考慮在關(guān)鍵業(yè)務(wù)職能內(nèi)嵌入安全人員，推動安全文化與優(yōu)先事項(xiàng)的全局對齊。通過培養(yǎng)全局視角，CISO可以為董事會提供高價(jià)值洞察，并確保網(wǎng)絡(luò)安全融入組織的核心結(jié)構(gòu)中。還有就是許多監(jiān)管機(jī)構(gòu)關(guān)注的韌性目標(biāo)。韌性要求企業(yè)梳理關(guān)鍵業(yè)務(wù)流程及應(yīng)對事件的系統(tǒng)性能力，而非僅靠CISO一鍵啟動響應(yīng)那么簡單。正因如此，企業(yè)開始拆分職責(zé)。公司意識到，要想實(shí)現(xiàn)高效運(yùn)營不能只依賴于某一個(gè)人。整個(gè)安全團(tuán)隊(duì)必須全天候保護(hù)企業(yè)，但攻擊者只需要一個(gè)漏洞就能突破防線。顯然，這是一場不公平的戰(zhàn)爭，要想贏得勝利，必須依賴企業(yè)多部門的協(xié)同作戰(zhàn)。CISO可能是最佳指揮官，但他們絕非孤軍奮戰(zhàn)。網(wǎng)絡(luò)安全已經(jīng)成為一個(gè)高度分工與協(xié)作的工作。盡管如今的首席信息安全官（CISO）與業(yè)務(wù)各部門密切合作，但他們必須用統(tǒng)一的方式來管理風(fēng)險(xiǎn)，同時(shí)支持組織的商業(yè)利益。Oscar

Caballero合伙人，網(wǎng)絡(luò)安全負(fù)責(zé)人畢馬威墨西哥3畢馬威《2024年全球首席執(zhí)行官展望》（KPMG

2024

Global

CEO

Outlook），2024年8月。首席信息安全官（CISO）職責(zé)持網(wǎng)絡(luò)安全人才管理至關(guān)重要構(gòu)建可信人工智能駕馭AI賦能網(wǎng)絡(luò)安全：快速安全管理平臺整合：數(shù)字身份安全管理迫在眉睫智能設(shè)備的“智能”安全防護(hù)構(gòu)建企業(yè)韌性：網(wǎng)絡(luò)安全護(hù)航企業(yè)和續(xù)演變前行與安全并重平衡風(fēng)險(xiǎn)與收益社會安全重塑未來的CISO行動指南隨著組織越來越多地采用自動化和AI技術(shù)，CIS

O的角色預(yù)計(jì)將經(jīng)歷重大變化。安全運(yùn)營中心（

SOCs）的自動化程度不斷提高，預(yù)計(jì)將導(dǎo)致團(tuán)隊(duì)規(guī)模縮小，對日常運(yùn)營的關(guān)注減少。網(wǎng)絡(luò)安全職責(zé)的龐雜性迫使企業(yè)拆分職能，CISO將難以有效地監(jiān)督技術(shù)交付團(tuán)隊(duì)、管理能力、解讀控制信號以及處理報(bào)告、數(shù)據(jù)工程、人員管理、外聯(lián)和培訓(xùn)等各個(gè)方面的工作。這種繁重的工作量可能會使他們在崗位上陷入困境，最終無法正常履職。2025網(wǎng)絡(luò)安全重要趨勢10?2025畢馬威企業(yè)咨詢(中國)有限公司—中國有限責(zé)任公司，是與畢馬威國際有限公司(英國私營擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。版權(quán)所有，不得轉(zhuǎn)載。在中國印刷。因此，首席信息安全官（

CISO）需將注意力擴(kuò)展到其他關(guān)鍵戰(zhàn)略領(lǐng)域。隨著生成式AI在各行業(yè)的迅速采用，CISO可以在確保組織理解和緩解相關(guān)風(fēng)險(xiǎn)方面發(fā)揮關(guān)鍵作用。他們需要更具戰(zhàn)略性和前瞻性，在AI項(xiàng)目的早期階段介入，向業(yè)務(wù)部門解釋潛在風(fēng)險(xiǎn)并提出必要的緩解措施?？傊?，首席信息安全官需要確定如何利用AI更好地保護(hù)公司、員工和客戶，并在AI模型中嵌入針對性的網(wǎng)絡(luò)安全措施。畢

馬威研究發(fā)現(xiàn)，64%的全球CEO表示無論經(jīng)濟(jì)情況如何都將持續(xù)投資AI。3建議行動隨時(shí)了解法規(guī)變化，與董事會溝通，明確職權(quán)范圍，以降低個(gè)人責(zé)任風(fēng)險(xiǎn)。為由于AI自動化和轉(zhuǎn)向基于云的服務(wù)而演變的首席信息安全官（CISO）角色做好準(zhǔn)備。牽頭討論采用AI等顛覆性技術(shù)，解釋風(fēng)險(xiǎn)及緩解措施。繼續(xù)在DevSecOps過程中通過設(shè)計(jì)構(gòu)建安全性，并且將專注于網(wǎng)絡(luò)安全的團(tuán)隊(duì)成員嵌入到業(yè)務(wù)功能中。隨著個(gè)人數(shù)據(jù)與企業(yè)數(shù)據(jù)在基于云和AI服務(wù)之間的界限變得模糊，需對第三方供應(yīng)商進(jìn)行全面的盡職調(diào)查，以確保他們的合同義務(wù)清晰且與其組織的整體數(shù)據(jù)治理框架一致。了解更多從根本上說，降低攻擊概率始于對環(huán)境的理解。你無法保護(hù)你不了解的東西。CISO必須了解整個(gè)網(wǎng)絡(luò)安全狀況：組織的關(guān)鍵業(yè)務(wù)應(yīng)用程序和服務(wù)、公開暴露的資產(chǎn)、現(xiàn)有控制措施、主動防御策略、安全態(tài)勢以及攻擊者常用手段等。所有這些都是基礎(chǔ)。只有這樣，他們才能確定如何減少壞事發(fā)生的幾率。Lou

Fiorello副總裁—安全產(chǎn)品

ServiceNow畢馬威《2024年全球首席執(zhí)行官展望》畢馬威2024年全球技術(shù)報(bào)告CISO如何幫助啟動生成式AI項(xiàng)目112025網(wǎng)絡(luò)安全重要趨勢?2025畢馬威企業(yè)咨詢(中國)有限公司—中國有限責(zé)任公司，是與畢馬威國際有限公司(英國私營擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全首席信息安全官（CISO）職責(zé)持網(wǎng)絡(luò)安全人才管理至關(guān)重要構(gòu)建可信人工智能駕馭AI賦能網(wǎng)絡(luò)安全：快速安全管理平臺整合：數(shù)字身份安全管理迫在眉睫智能設(shè)備的“智能”安全防護(hù)構(gòu)建企業(yè)韌性：網(wǎng)絡(luò)安全護(hù)航企業(yè)和續(xù)演變前行與安全并重平衡風(fēng)險(xiǎn)與收益社會安全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。版權(quán)所有，不得轉(zhuǎn)載。在中國印刷。在網(wǎng)絡(luò)安全領(lǐng)導(dǎo)層面臨的一系列挑戰(zhàn)中，人才技能缺口尤為突出。人力因素仍然是對抗網(wǎng)絡(luò)威脅中最關(guān)鍵的因素。新技術(shù)的復(fù)雜性以及威脅的快速演變，正加劇本已嚴(yán)峻的技能缺口。為了應(yīng)對這些挑戰(zhàn)并保障其數(shù)字資產(chǎn)，組織必須采取全面策略，認(rèn)識到人在構(gòu)建韌性網(wǎng)絡(luò)安全生態(tài)系統(tǒng)中的核心作用。賦能人才所需的工具，培養(yǎng)強(qiáng)大的網(wǎng)絡(luò)安全文化，優(yōu)化AI的使用，以及強(qiáng)化人才輸送管道均是一些可行的解決方案。解決網(wǎng)絡(luò)安全技能缺口和人才留存問題根據(jù)世界經(jīng)濟(jì)論壇的數(shù)據(jù)，超過一半（52%）的公共組織表示缺乏資源和技能不足是創(chuàng)建有效網(wǎng)絡(luò)韌性的最大挑戰(zhàn)。4

許多報(bào)道都圍繞著經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全人才短缺和技能缺口問題，網(wǎng)絡(luò)安全崗位的流失率比其他職位高出近8個(gè)百分點(diǎn)，使得團(tuán)隊(duì)的穩(wěn)定性難以維持。5

在現(xiàn)階段，網(wǎng)絡(luò)安全作為一門職業(yè)在迅速發(fā)展，對擁有專門知識人才的持續(xù)需求，已經(jīng)遠(yuǎn)超教育機(jī)構(gòu)培養(yǎng)足夠合格候選人的速度。6技術(shù)技能與非技術(shù)技能的割裂日益明顯。雖然強(qiáng)大的技術(shù)能力仍然是核心關(guān)鍵，但溝通能力、解決問題能力、適應(yīng)力和協(xié)作等非技術(shù)技能對于隱私、風(fēng)險(xiǎn)和合規(guī)專業(yè)人士而言愈發(fā)重要。為了應(yīng)對這一差距，行業(yè)領(lǐng)導(dǎo)者需優(yōu)先實(shí)施綜合性培訓(xùn)計(jì)劃。人才保留是另一關(guān)鍵挑戰(zhàn)，近期的畢馬威安全運(yùn)營中心（SOC）調(diào)查顯示，近半數(shù)（47%）的安全領(lǐng)導(dǎo)者在留住優(yōu)秀員工方面存在“重大問題”。7隨著對經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全專業(yè)人士的需求持續(xù)超出供給，CISO必須制定策略吸引和保留多元化人才。這需要與人力資源（

HR）合作，了解并滿足多個(gè)代際員工的獨(dú)特需求。例如，職場中最年輕且增長最快的Z世代與千禧一代，他們尤為重視工作與生活的平衡、認(rèn)可度以及職業(yè)發(fā)展機(jī)會。8組織可通過提供靈活的工作安排、清晰的職業(yè)路徑和發(fā)展專業(yè)技能的機(jī)會，為網(wǎng)絡(luò)安全人才創(chuàng)造一個(gè)更具吸引力的工作環(huán)境。包容性、多樣性和公平性（IDE）倡議也將有助于解決網(wǎng)絡(luò)安全人才短缺問題。積極鼓勵(lì)和支持女性與多元群體參與網(wǎng)絡(luò)安全，有助于組織拓寬人才池，并受益于獨(dú)特的視角和創(chuàng)造力。然而，僅僅促進(jìn)多樣性是不夠的；雇主還必須創(chuàng)造支持性和包容性的環(huán)境，使多元化的員工能夠茁壯成長，特別是那些處于神經(jīng)多樣性譜系上的人群。世界經(jīng)濟(jì)論壇，《戰(zhàn)略性網(wǎng)絡(luò)安全人才框架》白皮書（Strategic

Cybersecurity

Talent

Framework

white

paper），2024年4月。STI

Group,《美國網(wǎng)絡(luò)安全就業(yè)狀況：分析增長、需求和留存挑戰(zhàn)》（The

State

of

US

Cybersecurity

Employment:Analyzing

Growth），2024年4月5日。畢馬威,Matthew

Miller,關(guān)于SOC網(wǎng)絡(luò)安全人才缺口的應(yīng)對措施（Addressing

the

Cybersecurity

Talent

Gap

in

the

SOC）,LinkedIn,2024年8月1日。畢馬威網(wǎng)絡(luò)安全調(diào)查，《安全運(yùn)營中心領(lǐng)導(dǎo)者視角》（Security

Operations

Center

Leaders

Perspective），2024年4月。Paychex,《駕馭新勞動力：在職場上吸引千禧一代和Z世代》（Navigating

the

New

Workforce:Engaging

Millennials

and

Gen

Z

in

the

Workplace），2024年4月23日。重要趨勢2網(wǎng)絡(luò)安全人才管理至關(guān)重要首席信息安全官（CISO）職責(zé)持網(wǎng)絡(luò)安全人才管理至關(guān)重要構(gòu)建可信人工智能駕馭AI賦能網(wǎng)絡(luò)安全：快速安全管理平臺整合：數(shù)字身份安全管理迫在眉睫智能設(shè)備的“智能”安全防護(hù)構(gòu)建企業(yè)韌性：網(wǎng)絡(luò)安全護(hù)航企業(yè)和續(xù)演變前行與安全并重平衡風(fēng)險(xiǎn)與收益社會安全2025網(wǎng)絡(luò)安全重要趨勢12?2025畢馬威企業(yè)咨詢(中國)有限公司—中國有限責(zé)任公司，是與畢馬威國際有限公司(英國私營擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。版權(quán)所有，不得轉(zhuǎn)載。在中國印刷。AI是網(wǎng)絡(luò)安全的核心組成部分，而不是簡化因素盡管許多組織仍處于AI技術(shù)應(yīng)用的早期階段，但隨著網(wǎng)絡(luò)犯罪分子越來越多地轉(zhuǎn)向AI來增強(qiáng)其攻擊策略，首席信息安全官

(CISO)應(yīng)該探索如何安全負(fù)責(zé)地將AI整合至網(wǎng)絡(luò)安全戰(zhàn)略中。為了保持領(lǐng)先地位，AI賦能的領(lǐng)域（如實(shí)時(shí)威脅檢測、快速事件響應(yīng)和預(yù)測建模）應(yīng)成為主要關(guān)注點(diǎn)。AI也可以幫助緩解人員短缺的壓力。在大多數(shù)情況下，AI將成為安全團(tuán)隊(duì)彌補(bǔ)技能缺口的真正助力——而非取代人類。根據(jù)畢馬威SOC調(diào)查，至少六成的安全領(lǐng)導(dǎo)者認(rèn)為AI是網(wǎng)絡(luò)安全功能的

“游戲規(guī)則變革者”，包括身份和訪問管理、威脅檢測與響應(yīng)以及邊界監(jiān)控。9通過使用AI自動化處理常規(guī)任務(wù)，組織可以顯著提高效率，使網(wǎng)絡(luò)安全團(tuán)隊(duì)能夠?qū)Ｗ⒂诟鼜?fù)雜、更具戰(zhàn)略性的網(wǎng)絡(luò)防護(hù)任務(wù)。人為監(jiān)督在AI的應(yīng)用過程中發(fā)揮關(guān)鍵作用。CISO應(yīng)確保他們的團(tuán)隊(duì)接受充分培訓(xùn)，以便與AI系統(tǒng)協(xié)同工作，理解其能力、局限性和潛在偏見。AI也是工作場所中的焦慮來源，因此，與AI達(dá)成共識并信任AI將是進(jìn)步的關(guān)鍵。根據(jù)畢馬威的研究，超過四分之三的組織（

78%）擔(dān)心團(tuán)隊(duì)仍然認(rèn)為AI是一個(gè)神秘的“黑盒子”。幾乎同樣多的人（

77%）預(yù)計(jì)AI將引起操作挑戰(zhàn)，導(dǎo)致崗位縮減并引發(fā)倫理問題。10

但我們相信，人類的直覺、創(chuàng)造力和情境理解力與AI的速度、可擴(kuò)展性和數(shù)據(jù)分析能力的結(jié)合將共同構(gòu)建一個(gè)更具韌性的網(wǎng)絡(luò)安全生態(tài)系統(tǒng)。畢馬威網(wǎng)絡(luò)安全調(diào)查，《安全運(yùn)營中心領(lǐng)導(dǎo)者視角》（Security

Operations

Center

Leaders

Perspective），2024年4月。畢馬威《2024年全球首席執(zhí)行官展望》（KPMG

2024

Global

CEO

Outlook），2024年8月。畢馬威與麻省理工學(xué)院斯隆管理學(xué)院網(wǎng)絡(luò)安全聯(lián)合研究，2024年9月。畢馬威，《新時(shí)代的網(wǎng)絡(luò)安全文化：如何利用AI促進(jìn)安全的工作行為》（Anew

age

of

cybersecurity

culture:How

to

harness

AI

to

promote

secure

workplacebehaviors），2024年12月。人們應(yīng)該認(rèn)為網(wǎng)絡(luò)安全的存在不應(yīng)成為中斷業(yè)務(wù)運(yùn)營的障礙或減速帶，而應(yīng)快速、安全地解決問題，并與內(nèi)部和外部利益相關(guān)者建立信任。BreahSandoval首席網(wǎng)絡(luò)安全與技術(shù)風(fēng)險(xiǎn)總監(jiān)畢馬威美國為了更好地理解這種關(guān)系，畢馬威與麻省理工學(xué)院（

MIT）合作研究了網(wǎng)絡(luò)安全文化、其挑戰(zhàn)以及AI可以產(chǎn)生的影響。11

雖然許多組織在建立網(wǎng)絡(luò)安全文化的旅程中仍處于早期階段——尤其是在利用AI來支持這一方面——但在畢馬威和麻省理工學(xué)院的一項(xiàng)定量調(diào)查中，74%的受訪者同意建立以網(wǎng)絡(luò)安全為中心的文化是企業(yè)范圍內(nèi)成功整合AI的核心。12

從意識至行動：培育主動型網(wǎng)絡(luò)安全文化當(dāng)組織內(nèi)的每個(gè)人都積極參與有效管理網(wǎng)絡(luò)風(fēng)險(xiǎn)時(shí)，才會建立強(qiáng)大的網(wǎng)絡(luò)安全文化。首席信息安全官（

CISO）必須認(rèn)識到，人類并不是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)，當(dāng)員工充分參與到網(wǎng)絡(luò)安全建設(shè)中時(shí)就會成為組織最強(qiáng)的網(wǎng)絡(luò)防御能力。如果不在整個(gè)組織中優(yōu)先嵌入風(fēng)險(xiǎn)規(guī)避文化，那么主動識別風(fēng)險(xiǎn)的重?fù)?dān)就完全落在了網(wǎng)絡(luò)安全團(tuán)隊(duì)的肩上。這不僅不可持續(xù)，也會使組織容易受到潛在安全漏洞的威脅。為了建立一個(gè)真正具有彈性的網(wǎng)絡(luò)安全生態(tài)系統(tǒng)，CISO必須專注于彌合安全團(tuán)隊(duì)與更廣泛員工隊(duì)伍之間的差距。這包括積極與團(tuán)隊(duì)成員和高級領(lǐng)導(dǎo)層互動，教育他們了解網(wǎng)絡(luò)安全的重要性，并賦予他們保護(hù)組織數(shù)字資產(chǎn)的責(zé)任。充分動員員工并形成對網(wǎng)絡(luò)風(fēng)險(xiǎn)的共同理解可以轉(zhuǎn)變整個(gè)組織

處理網(wǎng)絡(luò)安全的方法。因此，網(wǎng)絡(luò)安全不僅是一個(gè)獨(dú)立的功能，更是一種集體責(zé)任。這要求首席信息安全官（

CISO）成為能夠連接技術(shù)與非技術(shù)利益相關(guān)者的領(lǐng)導(dǎo)者。首席信息安全官（CISO）職責(zé)持網(wǎng)絡(luò)安全人才管理至關(guān)重要構(gòu)建可信人工智能駕馭AI賦能網(wǎng)絡(luò)安全：快速安全管理平臺整合：數(shù)字身份安全管理迫在眉睫智能設(shè)備的“智能”安全防護(hù)構(gòu)建企業(yè)韌性：網(wǎng)絡(luò)安全護(hù)航企業(yè)和續(xù)演變前行與安全并重平衡風(fēng)險(xiǎn)與收益社會安全2025網(wǎng)絡(luò)安全重要趨勢13?2025畢馬威企業(yè)咨詢(中國)有限公司—中國有限責(zé)任公司，是與畢馬威國際有限公司(英國私營擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。版權(quán)所有，不得轉(zhuǎn)載。在中國印刷。為了創(chuàng)建一個(gè)對用戶更友好且高效的網(wǎng)絡(luò)安全環(huán)境，首席信息安全官應(yīng)采用以人為中心的設(shè)計(jì)方法來評估和優(yōu)化安全流程。這意味著識別并解決那些讓員工感到沮喪或困擾的具體流程。許多此類問題可能導(dǎo)致生產(chǎn)力下降以及違規(guī)風(fēng)險(xiǎn)增加。通過仔細(xì)分析這些流程，首席信息安全官可以確定哪些控制措施對于保護(hù)關(guān)鍵資產(chǎn)是必不可少的，哪些可以簡化、合理化甚至取消。通過這種方法，首席信息安全官可以為員工創(chuàng)造一個(gè)更直觀且干擾更小的安全體驗(yàn)，從而培養(yǎng)合規(guī)文化和共同責(zé)任感。這有助于提升員工對網(wǎng)絡(luò)安全的積極認(rèn)知，并鼓勵(lì)員工成為主動參與者。從更廣泛的網(wǎng)絡(luò)人力資源管理角度來看，首席信息安全官可以發(fā)揮至關(guān)重要的跨職能協(xié)調(diào)作用，衡量員工的安全知識、態(tài)度和行為，揭示以人為中心的風(fēng)險(xiǎn)潛在驅(qū)動因素，并將網(wǎng)絡(luò)安全從限制性功能轉(zhuǎn)變?yōu)橐环N關(guān)鍵能力和業(yè)務(wù)推動力。政府和企業(yè)間的合作可以支持網(wǎng)絡(luò)作為一項(xiàng)職能，并促進(jìn)其作為職業(yè)的發(fā)展除了彌補(bǔ)當(dāng)前的技能缺口，政府、學(xué)術(shù)機(jī)構(gòu)和組織應(yīng)合作推廣網(wǎng)絡(luò)安全作為有吸引力的職業(yè)選擇。1313世界經(jīng)濟(jì)論壇，《為什么彌合網(wǎng)絡(luò)安全技能差距需要協(xié)作方法》（Why

closing

the

cyber

skills

gap

requiresa

collaborative

approach），2024年7月23日。這一努力應(yīng)盡早開始，吸引初中及以下的年輕群體——尤其是女生——但也應(yīng)包括那些正在開啟第二職業(yè)或重新進(jìn)入職場的男女，以展示可供選擇的多樣機(jī)會。政府可以通過投資網(wǎng)絡(luò)安全教育項(xiàng)目、提供獎學(xué)金和實(shí)習(xí)機(jī)會，并與行業(yè)合作提供實(shí)踐學(xué)習(xí)經(jīng)驗(yàn)來支持這一倡議。讓孩子們從青少年時(shí)期就開始接觸網(wǎng)絡(luò)安全，并通過活躍的生態(tài)系統(tǒng)激發(fā)其對網(wǎng)絡(luò)安全的興趣，從而鼓勵(lì)更多人投身這一關(guān)鍵領(lǐng)域。除了早期教育和意識提升外，政府和行業(yè)領(lǐng)袖還需共同開發(fā)個(gè)人進(jìn)入網(wǎng)絡(luò)安全勞動力市場的非傳統(tǒng)路徑。雖然傳統(tǒng)的計(jì)算機(jī)科學(xué)及相關(guān)領(lǐng)域的大學(xué)學(xué)位仍然很有價(jià)值，但它們往往無法跟上迅速變化的威脅環(huán)境以及崗位所需的特定技能。對此，投資于短期認(rèn)證項(xiàng)目和專項(xiàng)培訓(xùn)課程有助于快速提升技能和重新培養(yǎng)來自不同背景的專業(yè)人士。通過一個(gè)更加靈活和包容的人才供應(yīng)鏈，建立一支更強(qiáng)壯、更有韌性的網(wǎng)絡(luò)安全隊(duì)伍，以應(yīng)對未來的挑戰(zhàn)。我們面臨的最大網(wǎng)絡(luò)挑戰(zhàn)和脆弱性不再主要存在于代碼、系統(tǒng)、或者數(shù)字通道中，而在于日常管理并操作這些網(wǎng)絡(luò)的人員。他們需要支持、培訓(xùn)和培養(yǎng)，以掌握他們所需的技能和防御能力來保護(hù)我們的數(shù)據(jù)和系統(tǒng)。Dominika

Zerbe-Anders網(wǎng)絡(luò)安全風(fēng)險(xiǎn)合作伙伴及解決方案負(fù)責(zé)人畢馬威澳大利亞首席信息安全官（CISO）職責(zé)持網(wǎng)絡(luò)安全人才管理至關(guān)重要構(gòu)建可信人工智能駕馭AI賦能網(wǎng)絡(luò)安全：快速安全管理平臺整合：數(shù)字身份安全管理迫在眉睫智能設(shè)備的“智能”安全防護(hù)構(gòu)建企業(yè)韌性：網(wǎng)絡(luò)安全護(hù)航企業(yè)和續(xù)演變前行與安全并重平衡風(fēng)險(xiǎn)與收益社會安全2025網(wǎng)絡(luò)安全重要趨勢14?2025畢馬威企業(yè)咨詢(中國)有限公司—中國有限責(zé)任公司，是與畢馬威國際有限公司(英國私營擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。版權(quán)所有，不得轉(zhuǎn)載。在中國印刷。Verizon,《數(shù)據(jù)泄露調(diào)查報(bào)告》（Data

Breach

Investigation

Report）,2023.世界經(jīng)濟(jì)論壇，《彌合網(wǎng)絡(luò)安全人才缺口》（Bridging

the

Cyber

Skills

Gap），2024。開發(fā)并部署超越傳統(tǒng)做法的持續(xù)培訓(xùn)項(xiàng)目方法，利用創(chuàng)新和沉浸式的技術(shù)（如模擬演練）來推動員工行為可持續(xù)性變化。通過讓員工參與網(wǎng)絡(luò)安全倡議，提供適當(dāng)?shù)慕逃?，并營造一種認(rèn)可他們作為組織最強(qiáng)網(wǎng)絡(luò)防御能力的角色的文化，來增強(qiáng)員工的能力。建立一個(gè)年度網(wǎng)絡(luò)影響力人物項(xiàng)目，確保與員工和高級管理層的定期互動，以提高網(wǎng)絡(luò)安全意識并開展合作。15實(shí)施以人為中心的風(fēng)險(xiǎn)降低策略，專注于解決網(wǎng)絡(luò)安全中的人為因素，因?yàn)槿藶橐蛩卣剂怂姆种木W(wǎng)絡(luò)入侵。14投資于AI技術(shù)以衡量、量化和跟蹤人為風(fēng)險(xiǎn)，從而實(shí)現(xiàn)更有效的風(fēng)險(xiǎn)管理，并與不斷演變的威脅格局保持一致。建議行動認(rèn)識到CISO的角色從單一的網(wǎng)絡(luò)防御者擴(kuò)展到風(fēng)險(xiǎn)管理師、政策倡導(dǎo)者和影響力推動者。需要培養(yǎng)和提升溝通與影響能力，以有效地傳達(dá)網(wǎng)絡(luò)安全的重要性，并推動各層級和各部門的變革。了解更多網(wǎng)絡(luò)安全文化的新時(shí)代畢馬威2024網(wǎng)絡(luò)安全調(diào)查未來工作模式152025網(wǎng)絡(luò)安全重要趨勢?2025畢馬威企業(yè)咨詢(中國)有限公司—中國有限責(zé)任公司，是與畢馬威國際有限公司(英國私營擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全首席信息安全官（CISO）職責(zé)持網(wǎng)絡(luò)安全人才管理至關(guān)重要構(gòu)建可信人工智能駕馭AI賦能網(wǎng)絡(luò)安全：快速安全管理平臺整合：數(shù)字身份安全管理迫在眉睫智能設(shè)備的“智能”安全防護(hù)構(gòu)建企業(yè)韌性：網(wǎng)絡(luò)安全護(hù)航企業(yè)和續(xù)演變前行與安全并重平衡風(fēng)險(xiǎn)與收益社會安全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。版權(quán)所有，不得轉(zhuǎn)載。在中國印刷。組織持續(xù)探索如何通過AI增加其業(yè)務(wù)運(yùn)營的價(jià)值，但領(lǐng)導(dǎo)層在AI的采用上仍然持懷疑態(tài)度，尤其是在安全和隱私方面。數(shù)據(jù)泄露、未經(jīng)授權(quán)的訪問和濫用的風(fēng)險(xiǎn)居高不下。此外，某些AI的具體機(jī)制仍缺乏明確性，部分算法可能導(dǎo)致偏見、歧視及其他意外后果。在此背景下，提升圍繞AI的開發(fā)和部署的透明度、問責(zé)制的明確和治理框架的搭建很可能會繼續(xù)成為首席信息安全官（

CISO）的首要任務(wù)。管理AI數(shù)據(jù)至關(guān)重要顯然，數(shù)據(jù)是組織的關(guān)鍵資產(chǎn)，為AI系統(tǒng)的發(fā)展和部署提供動力。然而許多企業(yè)仍然難以建立明確的指導(dǎo)方針和流程來管理其擁有的大量數(shù)據(jù)。這進(jìn)一步凸顯了與數(shù)據(jù)訪問、使用、分類和質(zhì)量相關(guān)的挑戰(zhàn)。所有這些因素直接影響AI系統(tǒng)生成可靠洞察并做出合理決策——當(dāng)數(shù)據(jù)質(zhì)量低下時(shí)，AI模型更有可能產(chǎn)生不可靠的結(jié)果，導(dǎo)致性能欠佳和潛在的危害。事實(shí)上，盡管許多組織正在投資于數(shù)據(jù)的可訪問性，但畢馬威研究表明只有24%的組織專注于建立以數(shù)據(jù)為中心的文化并確保數(shù)據(jù)互操作性。這種短視行為削弱了組織各層級有效使用和理解數(shù)據(jù)的能力。16此外，組織擁抱AI的速度給數(shù)據(jù)管理實(shí)踐帶來了巨大的壓力。積極的一面是，這凸顯了可靠AI實(shí)踐與高效數(shù)據(jù)管理之間的緊密關(guān)聯(lián)。傳統(tǒng)的數(shù)據(jù)治理通常依賴手動流程和孤立的系統(tǒng)，面對AI應(yīng)用產(chǎn)生的數(shù)據(jù)規(guī)模、速度和多樣性，這些方法已顯不足。企業(yè)現(xiàn)在需要采用更敏捷和自動化的數(shù)據(jù)管理策略以跟上時(shí)代步伐。16畢馬威2024年全球技術(shù)報(bào)告，2024年9月。重要趨勢3構(gòu)建可信人工智能無論公司是依賴自有數(shù)據(jù)還是第三方的數(shù)據(jù)來生成和訓(xùn)練其AI模型，都已清楚地表明，低質(zhì)量的數(shù)據(jù)必然導(dǎo)致低性能AI模型。Samantha

Gloede執(zhí)行總監(jiān)，美國及全球風(fēng)險(xiǎn)咨詢畢馬威美國首席信息安全官（CISO）職責(zé)持網(wǎng)絡(luò)安全人才管理至關(guān)重要構(gòu)建可信人工智能駕馭AI賦能網(wǎng)絡(luò)安全：快速安全管理平臺整合：數(shù)字身份安全管理迫在眉睫智能設(shè)備的“智能”安全防護(hù)構(gòu)建企業(yè)韌性：網(wǎng)絡(luò)安全護(hù)航企業(yè)和續(xù)演變前行與安全并重平衡風(fēng)險(xiǎn)與收益社會安全2025網(wǎng)絡(luò)安全重要趨勢16?2025畢馬威企業(yè)咨詢(中國)有限公司—中國有限責(zé)任公司，是與畢馬威國際有限公司(英國私營擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。版權(quán)所有，不得轉(zhuǎn)載。在中國印刷。17畢馬威《2024年全球首席執(zhí)行官展望》（KPMG

2024Global

CEO

Outlook），2024年8月。這需要組織從根本上轉(zhuǎn)變對數(shù)據(jù)的認(rèn)知和思維方式，從靜態(tài)資產(chǎn)轉(zhuǎn)變?yōu)閯討B(tài)資源。為了降低低質(zhì)量數(shù)據(jù)帶來的風(fēng)險(xiǎn)，組織必須優(yōu)先考慮強(qiáng)有力的信息治理機(jī)制。這包括建立明確的數(shù)據(jù)收集、存儲和管理政策及流程，以及實(shí)施嚴(yán)格的數(shù)據(jù)驗(yàn)證和清理過程。這樣做不僅能使企業(yè)改善其AI模型的表現(xiàn)，還能通過踐行負(fù)責(zé)任和透明數(shù)據(jù)實(shí)踐的承諾來贏得利益相關(guān)者的信任。面對AI采納的風(fēng)險(xiǎn)雷區(qū)AI的采用伴隨著一系列組織必須謹(jǐn)慎應(yīng)對的風(fēng)險(xiǎn)：運(yùn)營、技術(shù)、法律、合規(guī)以及人身安全只是其中幾個(gè)方面。AI系統(tǒng)可能引入新的漏洞和故障點(diǎn)導(dǎo)致干擾業(yè)務(wù)流程并造成財(cái)務(wù)損失。技術(shù)風(fēng)險(xiǎn)，如算法偏見和數(shù)據(jù)漂移，會損害AI模型的準(zhǔn)確性和可靠性。這就是為什么70%的CEO表示他們的組織正在增加對網(wǎng)絡(luò)安全的投資，具體目的是保護(hù)運(yùn)營和知識產(chǎn)權(quán)免受與AI相關(guān)的威脅。17

不遵守隱私法規(guī)、歧視受保護(hù)群體或侵犯知識產(chǎn)權(quán)的AI系統(tǒng)可能導(dǎo)致法律和合規(guī)風(fēng)險(xiǎn)。最令人擔(dān)憂的風(fēng)險(xiǎn)是對人身安全的威脅，特別是在醫(yī)療保健和交通運(yùn)輸領(lǐng)域，AI失效可能會危及生命。與AI相關(guān)的另一個(gè)重要風(fēng)險(xiǎn)是“被遺忘權(quán)”的削弱，即從模型中刪除個(gè)人數(shù)據(jù)。這需要基于全新數(shù)據(jù)集重新訓(xùn)練AI模型，程序復(fù)雜且成本高昂。但即使個(gè)人數(shù)據(jù)被刪除并且模型重新訓(xùn)練模型，它仍然可以通過從其他數(shù)據(jù)點(diǎn)學(xué)習(xí)到的模式和關(guān)聯(lián)對某個(gè)個(gè)體做出相當(dāng)準(zhǔn)確的推斷。在數(shù)字領(lǐng)域真正“被遺忘”正變得越來越難以實(shí)現(xiàn)。隨著AI更加普及并嵌入到各類“智能”產(chǎn)品中，許多組織，甚至是預(yù)算有限的小型企業(yè)，也開始轉(zhuǎn)向第三方供應(yīng)商以獲取AI

能力。雖然這可以帶來成本節(jié)約和快速部署，但也引入了新的風(fēng)險(xiǎn)。組織可能無法深入了解AI系統(tǒng)的內(nèi)部運(yùn)作，例如模型訓(xùn)練所用的數(shù)據(jù)、它的算法邏輯以及可能存在的偏見。“影子”AI——即在領(lǐng)導(dǎo)層和安全團(tuán)隊(duì)不知情或未監(jiān)督的情況下，在組織內(nèi)部使用AI系統(tǒng)——是另一種新興風(fēng)險(xiǎn)?！坝白印?/p>

AI可能在各部門或員工自行部署AI解決方案時(shí)出現(xiàn)，通常沒有經(jīng)過適當(dāng)?shù)臋z查。這種風(fēng)險(xiǎn)不僅在于未受管理的AI的漏洞，還在于可能無意中將潛在有偏見的結(jié)果整合到業(yè)務(wù)決策中，而未理解其影響。因此，未管理的AI系統(tǒng)可能會引入安全漏洞并損害數(shù)據(jù)隱私。為降低這些風(fēng)險(xiǎn)，組織應(yīng)主動建立圍繞內(nèi)部和第三方AI系統(tǒng)的采購、部署和監(jiān)控的明確政策和程序。此外，首席信息安全官（

CISOs）被鼓勵(lì)探索新型網(wǎng)絡(luò)安全工具和能力，以使組織能夠識別和分析AI使用模式，降低“影子”AI的風(fēng)險(xiǎn)。在此過程中，業(yè)務(wù)領(lǐng)導(dǎo)、IT團(tuán)隊(duì)和安全專家之間的密切合作至關(guān)重要。僅僅依賴首席信息安全官或首席隱私官來應(yīng)對AI風(fēng)險(xiǎn)意味著可能會忽略透明度、可靠性、甚至可能是安全性等關(guān)鍵問題。Katie

Boswell網(wǎng)絡(luò)安全與技術(shù)風(fēng)險(xiǎn)總監(jiān)畢馬威美國首席信息安全官（CISO）職責(zé)持網(wǎng)絡(luò)安全人才管理至關(guān)重要構(gòu)建可信人工智能駕馭AI賦能網(wǎng)絡(luò)安全：快速安全管理平臺整合：數(shù)字身份安全管理迫在眉睫智能設(shè)備的“智能”安全防護(hù)構(gòu)建企業(yè)韌性：網(wǎng)絡(luò)安全護(hù)航企業(yè)和續(xù)演變前行與安全并重平衡風(fēng)險(xiǎn)與收益社會安全2025網(wǎng)絡(luò)安全重要趨勢17?2025畢馬威企業(yè)咨詢(中國)有限公司—中國有限責(zé)任公司，是與畢馬威國際有限公司(英國私營擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。版權(quán)所有，不得轉(zhuǎn)載。在中國印刷。自下而上地處理與AI相關(guān)的風(fēng)險(xiǎn)即使AI應(yīng)用速度加快，許多領(lǐng)導(dǎo)者仍缺乏對AI治理及其復(fù)雜的技術(shù)、倫理和法律影響的全面理解。因此，許多人采取被動應(yīng)對的方式。將AI風(fēng)險(xiǎn)管理策略與整體業(yè)務(wù)目標(biāo)和價(jià)值觀保持一致的組織更有可能取得成功。事實(shí)上，為了建立和維持對AI系統(tǒng)的信任，組織必須優(yōu)先考慮利益相關(guān)者的利益，包括客戶、員工以及更廣泛的社會在AI決策中的利益。組織領(lǐng)導(dǎo)者，包括首席信息安全官、數(shù)據(jù)保護(hù)官和隱私官，在將安全和隱私嵌入AI開發(fā)生命周期方面發(fā)揮著至關(guān)重要的作用。此外，領(lǐng)導(dǎo)層必須保持對各種AI業(yè)務(wù)案例的可見性，并明確識別組織內(nèi)AI的應(yīng)用范圍和方式。這可以指導(dǎo)安全和道德的數(shù)據(jù)管理實(shí)踐的發(fā)展以及更廣泛的AI安全框架內(nèi)的適當(dāng)控制措施。鞏固信任和監(jiān)控外部風(fēng)險(xiǎn)組織需要前瞻性策略來應(yīng)對AI相關(guān)風(fēng)險(xiǎn)，不僅限于對問題作出反

應(yīng)，而是盡早應(yīng)對潛在風(fēng)險(xiǎn)。建立AI安全框架并非一次性項(xiàng)目，它必須是持續(xù)進(jìn)行的，并且需要通過身份和訪問管理、多重認(rèn)證以及危機(jī)響應(yīng)和恢復(fù)計(jì)劃等現(xiàn)有安全領(lǐng)域來支持。簡而言之，應(yīng)將AI系統(tǒng)的持續(xù)監(jiān)控和評估納入組織的日常業(yè)務(wù)流程中。通過繪制AI生態(tài)系統(tǒng)中的數(shù)據(jù)流，組織可以更好地評估潛在風(fēng)險(xiǎn)和漏洞，并制定有針對性的戰(zhàn)略。外部風(fēng)險(xiǎn)的核心之一是與AI相關(guān)的法規(guī)的潛在影響，例如于

2024年8月生效的《歐盟AI法案》。該法案對任何在歐盟運(yùn)營并提供可在歐盟內(nèi)使用的AI產(chǎn)品、服務(wù)或系統(tǒng)的企業(yè)都具有廣泛約束力。盡管這可能是最知名和影響最深遠(yuǎn)的規(guī)則，但該法案是全球

AI監(jiān)管指南不斷上升的更廣泛趨勢的一部分。許多世界各地的政策制定者都希望將該法案作為范例，并在安全、安全、隱私、治理和合規(guī)，以及公平性、透明度和可信度等議題上尋求某種程度的一致性。面向歐盟提供服務(wù)的企業(yè)CIOs需評估合規(guī)要求并采取行動。組織必須密切關(guān)注所有監(jiān)管動態(tài)，并主動調(diào)整其AI治理實(shí)踐，以建立與利益相關(guān)者的信任，并在緩解AI的風(fēng)險(xiǎn)和挑戰(zhàn)的同

時(shí)實(shí)現(xiàn)其全部潛力。許多企業(yè)因未看到數(shù)據(jù)項(xiàng)目的直接價(jià)值而長期推遲這些項(xiàng)目，但他們最終會意識到，清理數(shù)據(jù)并為大型語言模型（LLMs）提供相關(guān)且準(zhǔn)確的訓(xùn)練信息已迫在眉睫。然而，在很多情況下，首席信息安全官并不是數(shù)據(jù)的所有者。為了建立數(shù)據(jù)團(tuán)隊(duì)與安全團(tuán)隊(duì)之間的橋梁并加強(qiáng)合作，企業(yè)需要建立統(tǒng)一的數(shù)據(jù)分類標(biāo)準(zhǔn)和跨部門協(xié)作機(jī)制，特別是在涉及AI時(shí)。不良的數(shù)據(jù)必將導(dǎo)致錯(cuò)誤的決策。Erin

Hughes網(wǎng)絡(luò)安全咨詢服務(wù)負(fù)責(zé)人SAP北美區(qū)首席信息安全官（CISO）職責(zé)持網(wǎng)絡(luò)安全人才管理至關(guān)重要構(gòu)建可信人工智能駕馭AI賦能網(wǎng)絡(luò)安全：快速安全管理平臺整合：數(shù)字身份安全管理迫在眉睫智能設(shè)備的“智能”安全防護(hù)構(gòu)建企業(yè)韌性：網(wǎng)絡(luò)安全護(hù)航企業(yè)和續(xù)演變前行與安全并重平衡風(fēng)險(xiǎn)與收益社會安全2025網(wǎng)絡(luò)安全重要趨勢18?2025畢馬威企業(yè)咨詢(中國)有限公司—中國有限責(zé)任公司，是與畢馬威國際有限公司(英國私營擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。版權(quán)所有，不得轉(zhuǎn)載。在中國印刷。理解與AI實(shí)施相關(guān)的監(jiān)管義務(wù)并評估現(xiàn)有的合規(guī)要求。制定并溝通清晰的AI使用政策、標(biāo)準(zhǔn)和程序。與其他行業(yè)領(lǐng)導(dǎo)者以及全球政策制定者合作并保持開放對話。提升現(xiàn)有的治理流程，并清晰地溝通AI使用的政策、標(biāo)準(zhǔn)和程序。這應(yīng)包括一個(gè)AI技術(shù)引入流程，采用一致的方法來識別AI風(fēng)險(xiǎn)、確定適當(dāng)?shù)目刂拼胧┎⒔⑾鄳?yīng)的事件管理計(jì)劃以應(yīng)對潛在的AI相關(guān)問題。確定并建立必要的控制措施的所有權(quán)，以減輕與AI相關(guān)的風(fēng)險(xiǎn)，并明確界定誰擁有并對其負(fù)責(zé)，確保這些控制措施與組織的整體數(shù)據(jù)治理框架一致。建立紅隊(duì)結(jié)構(gòu)以對AI模型進(jìn)行測試，確保其穩(wěn)健性和可靠性，避免生成不準(zhǔn)確的結(jié)果，或者不良信息。明確第一道（業(yè)務(wù)線）和第二道（風(fēng)險(xiǎn)與合規(guī)）防線之間支持AI能力的角色和責(zé)任。建議行動召集跨職能利益相關(guān)者，包括首席信息安全官、數(shù)據(jù)保護(hù)官和隱私官，共同更新政策并就組織應(yīng)對AI實(shí)施潛在影響和風(fēng)險(xiǎn)的方法達(dá)成一致。了解更多AI中的信任智能經(jīng)濟(jì)藍(lán)圖您的AI威脅矩陣

如何反應(yīng)組織現(xiàn)狀192025網(wǎng)絡(luò)安全重要趨勢?2025畢馬威企業(yè)咨詢(中國)有限公司—中國有限責(zé)任公司，是與畢馬威國際有限公司(英國私營擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全首席信息安全官（CISO）職責(zé)持網(wǎng)絡(luò)安全人才管理至關(guān)重要構(gòu)建可信人工智能駕馭AI賦能網(wǎng)絡(luò)安全：快速安全管理平臺整合：數(shù)字身份安全管理迫在眉睫智能設(shè)備的“智能”安全防護(hù)構(gòu)建企業(yè)韌性：網(wǎng)絡(luò)安全護(hù)航企業(yè)和續(xù)演變前行與安全并重平衡風(fēng)險(xiǎn)與收益社會安全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。版權(quán)所有，不得轉(zhuǎn)載。在中國印刷。AI的潛在益處持續(xù)吸引著各行業(yè)的商業(yè)領(lǐng)袖。對于首席信息安全官而言，AI被視為提高效率、削減運(yùn)營成本、改善風(fēng)險(xiǎn)管理以及可能應(yīng)對不斷增長的工作量的一種手段，特別是在安全運(yùn)營中心（

SOCs）中。然而，仍然存在一些疑問：組織是否全面理解AI風(fēng)險(xiǎn)范圍？是否已建立穩(wěn)健且專門針對AI的安全基礎(chǔ)？若不知道從何入手或者如何識別AI最有用的領(lǐng)域怎么辦？在此背景下，首席信息安全官必須在企業(yè)廣泛部署AI

的訴求和優(yōu)先考慮良好的網(wǎng)絡(luò)安全實(shí)踐之間取得微妙的平衡。重要趨勢4駕馭AI賦能網(wǎng)絡(luò)安全：快速前行與安全并重坦率地說，當(dāng)你的補(bǔ)丁管理和權(quán)限控制都尚未完善時(shí)，盲目應(yīng)用AI工具是沒有意義的?；A(chǔ)網(wǎng)絡(luò)安全永遠(yuǎn)是第一要務(wù)。Koos

Wolters網(wǎng)絡(luò)安全負(fù)責(zé)人畢馬威荷蘭構(gòu)建AI的強(qiáng)大安全基礎(chǔ)在不斷變化的網(wǎng)絡(luò)安全生態(tài)系統(tǒng)中，保持對潛在攻擊者的領(lǐng)先不僅需要警惕，還需要創(chuàng)新。AI已成為安全運(yùn)營中心（

SOCs）的強(qiáng)大工具，它改變了安全專業(yè)人士感知和應(yīng)對威脅的方式。如果說2024年是生成式AI的一年，2025年將是代理型AI的一年。代理型AI有可能變革安全操作，通過“智能體”以前所未有的方式主動分析、檢測并響應(yīng)網(wǎng)絡(luò)威脅。事實(shí)上，將近四分之三的組織已從其AI投資中獲得了業(yè)務(wù)價(jià)值，但只有三分之一的組織能夠?qū)崿F(xiàn)這些收益的規(guī)?；?8但在全面采用AI之前，組織必須確保他們具備堅(jiān)實(shí)的基礎(chǔ)網(wǎng)絡(luò)安全實(shí)踐。這包括從有效的補(bǔ)丁管理、設(shè)備加密，以及安全的身份和訪問管理等各個(gè)方面。倉促部署AI工具可能會使組織面臨更大的風(fēng)險(xiǎn)。首席信息安全官在這里扮演著關(guān)鍵的角色。他們必須評估其組織當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢，并識別任何可能存在的漏洞或薄弱環(huán)節(jié)，以便逐步且戰(zhàn)略性地引入AI。簡而言之，投資應(yīng)謹(jǐn)慎且具有戰(zhàn)略性，以避免實(shí)施過程中的脫節(jié)。19

18

19畢馬威2024年全球技術(shù)報(bào)告，2024年9月。首席信息安全官（CISO）職責(zé)持網(wǎng)絡(luò)安全人才管理至關(guān)重要構(gòu)建可信人工智能駕馭AI賦能網(wǎng)絡(luò)安全：快速安全管理平臺整合：數(shù)字身份安全管理迫在眉睫智能設(shè)備的“智能”安全防護(hù)構(gòu)建企業(yè)韌性：網(wǎng)絡(luò)安全護(hù)航企業(yè)和續(xù)演變前行與安全并重平衡風(fēng)險(xiǎn)與收益社會安全2025網(wǎng)絡(luò)安全重要趨勢20?2025畢馬威企業(yè)咨詢(中國)有限公司—中國有限責(zé)任公司，是與畢馬威國際有限公司(英國私營擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。版權(quán)所有，不得轉(zhuǎn)載。在中國印刷。人才困境：彌合AI技能缺口圍繞AI在網(wǎng)絡(luò)安全中的討論不可避免地會轉(zhuǎn)向人才問題。當(dāng)前存在的顯著技術(shù)缺口不僅在于理解AI本身，更在于如何在網(wǎng)絡(luò)安全領(lǐng)域有效利用它。AI技術(shù)的發(fā)展速度，特別是生成式AI，已經(jīng)遠(yuǎn)超市場現(xiàn)有技能水平。增強(qiáng)員工的AI技能是這一環(huán)境下的首席信息安全管理官（

CISO）面臨的主要挑戰(zhàn)之一。安全團(tuán)隊(duì)逐漸意識到用于與AI模型互動和查詢的指令質(zhì)量會顯著影響輸出的準(zhǔn)確性和相關(guān)性。如果沒有對最佳實(shí)踐的深刻理解，安全團(tuán)隊(duì)可能難以從AI實(shí)施中獲得有價(jià)值的洞察和可操作的情報(bào)。為了應(yīng)對這一技能缺口，并確保安全團(tuán)隊(duì)能夠跟上AI技術(shù)的快速進(jìn)步，CISO們必須優(yōu)先考慮推動技能培訓(xùn)計(jì)劃——不僅針對他們的團(tuán)隊(duì)，也包括他們自己，以便他們能夠識別正確的技能需求以及最適合招聘的人才。這包括投資專注于AI概念的教育項(xiàng)目，例如指令工程、數(shù)據(jù)分析和模型評估。首席信息安全官應(yīng)培養(yǎng)持續(xù)學(xué)習(xí)的文化，鼓勵(lì)其他安全專業(yè)人士探索新的AI能力，與同事分享他們的發(fā)現(xiàn)，并確保他們及其團(tuán)隊(duì)具備求知欲和知識，以利用AI的力量、保護(hù)組織的數(shù)字資產(chǎn)并增強(qiáng)網(wǎng)絡(luò)韌性。應(yīng)對AI炒作與現(xiàn)實(shí)差距畢馬威的研究發(fā)現(xiàn)，網(wǎng)絡(luò)安全領(lǐng)域?qū)I的炒作已經(jīng)導(dǎo)致組織，尤其是高級管理層，產(chǎn)生了一種害怕錯(cuò)失機(jī)會（

FOMO）的感覺。事實(shí)上，82%的人承認(rèn)他們正投資于AI驅(qū)動的虛擬現(xiàn)實(shí)（

VR）與增強(qiáng)現(xiàn)實(shí)（

AR）技術(shù)以保持競爭力。20

然而，領(lǐng)導(dǎo)者需要根據(jù)AI當(dāng)前能力和局限性做出決策。盡管AI具有變革網(wǎng)絡(luò)安全的潛力，但它目前在安全運(yùn)營中心（

SOC）中的應(yīng)用仍然相對不成熟且范圍有限。首席信息安全官需要設(shè)定現(xiàn)實(shí)的期望，并向高級管理層和董事會傳達(dá)AI的真正潛力。這包括強(qiáng)調(diào)當(dāng)前的局限性并采取戰(zhàn)略性的應(yīng)用方法。通過鼓勵(lì)實(shí)驗(yàn)文化，首席信息安全官可以發(fā)現(xiàn)與組織的獨(dú)特需求和優(yōu)先事項(xiàng)相符合的適當(dāng)用例。隨著AI不斷成熟和發(fā)展，首席信息安全官必須保持警惕，評估其能力和局限性。20畢馬威2024年全球技術(shù)報(bào)告，2024年9月。在網(wǎng)絡(luò)安全領(lǐng)域，我們更容忍誤報(bào)而非漏報(bào)。我寧愿AI認(rèn)為有壞事發(fā)生并促使我通過手動流程調(diào)查，以確定網(wǎng)絡(luò)是否受到攻擊，也不愿實(shí)際上存在網(wǎng)絡(luò)安全問題卻不知道，并且沒有采取行動來解決它。Matt

Miller首席網(wǎng)絡(luò)安全服務(wù)合伙人畢馬威美國首席信息安全官（CISO）職責(zé)持網(wǎng)絡(luò)安全人才管理至關(guān)重要構(gòu)建可信人工智能駕馭AI賦能網(wǎng)絡(luò)安全：快速安全管理平臺整合：數(shù)字身份安全管理迫在眉睫智能設(shè)備的“智能”安全防護(hù)構(gòu)建企業(yè)韌性：網(wǎng)絡(luò)安全護(hù)航企業(yè)和續(xù)演變前行與安全并重平衡風(fēng)險(xiǎn)與收益社會安全2025網(wǎng)絡(luò)安全重要趨勢21?2025畢馬威企業(yè)咨詢(中國)有限公司—中國有限責(zé)任公司，是與畢馬威國際有限公司(英國私營擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。版權(quán)所有，不得轉(zhuǎn)載。在中國印刷。識別并部署最具影響力的用例首席信息安全官必須仔細(xì)評估并優(yōu)先考慮那些能夠產(chǎn)生最大影響并與組織特定需求相契合的潛在AI應(yīng)用場景。一個(gè)有前景的領(lǐng)域是分析大量數(shù)據(jù)以識別潛在威脅或異常，因?yàn)锳I在處理大量信息以提取洞察方面表現(xiàn)出色。此外，AI可用于自動化重復(fù)性、手動任務(wù)，從而使人力分析師專注于更復(fù)雜和更具戰(zhàn)略性的任務(wù)。由AI驅(qū)動的分析可以使開發(fā)人員在小漏洞變成大問題之前進(jìn)行修復(fù)。通過賦能團(tuán)隊(duì)成員探索AI的能力并提出實(shí)施建議，首席信息安全管理官（

CISO）可以發(fā)現(xiàn)AI最有效部署的領(lǐng)域。仔細(xì)評估和選擇解決實(shí)際問題的用例使CISO能夠確保其AI投資是目標(biāo)明確、有效且與組織的整體網(wǎng)絡(luò)安全和業(yè)務(wù)目標(biāo)一致的。準(zhǔn)備應(yīng)對由AI驅(qū)動的網(wǎng)絡(luò)安全威脅在采用AI技術(shù)以增強(qiáng)其網(wǎng)絡(luò)安全工作的同時(shí)，首席信息安全官也必須準(zhǔn)備好應(yīng)對由AI驅(qū)動的攻擊所帶來的新興威脅。一個(gè)特別令人擔(dān)憂的例子是深度偽造（

deepfakes

）的興起，AI算法現(xiàn)在可以快速、輕松且低成本地創(chuàng)建高度逼真且具有說服力的操縱音頻和視頻內(nèi)容。事實(shí)上，deepfake技術(shù)已經(jīng)變得大眾化，以至于任何攻擊者幾乎都可以輕松獲取并操作它。這種欺詐性材料越來越多地被用于社會工程攻擊或傳播虛假

信息中，使得網(wǎng)絡(luò)安全團(tuán)隊(duì)更難區(qū)分真實(shí)內(nèi)容和欺詐性內(nèi)容。此外，呼叫中心中越來越多地使用AI進(jìn)行語音檢測和生物識別認(rèn)證可能會無意中使其更難檢測和防御深度偽造

（

deepfakes

）。攻擊者可能利用這些相同的技術(shù)繞過安全措施并操縱系統(tǒng)。為了應(yīng)對這些不斷演變的風(fēng)險(xiǎn)，首席信息安全官必須隨時(shí)了

解關(guān)于AI驅(qū)動威脅的最新發(fā)展情況，并相應(yīng)調(diào)整他們的防御策略。這可能涉及投資先進(jìn)的由AI驅(qū)動的安全工具，如那些旨在檢測和標(biāo)記潛在被操縱內(nèi)容的工具，以及培訓(xùn)員工。企業(yè)需要確保任何AI部署都有明確的角色、責(zé)任和背景支持，以最大限度地提高其對網(wǎng)絡(luò)安全效率和效果的影響。Terence

JacksonCISM,

CDPSE,

GRCP客戶安全官M(fèi)icrosoft安全解決方案不幸的是，就AI而言，安全團(tuán)隊(duì)承擔(dān)了很大的責(zé)任。首席信息安全官已經(jīng)處境艱難，但如今AI被迅速部署的速度正在指數(shù)級地增加他們在大規(guī)模引入這些大語言模型（

LLM）時(shí)對良好安全標(biāo)準(zhǔn)的壓力。不過，有一些有效的策略和工具可用來管理這一不斷變化的環(huán)境。首席信息安全官（CISO）職責(zé)持網(wǎng)絡(luò)安全人才管理至關(guān)重要構(gòu)建可信人工智能駕馭AI賦能網(wǎng)絡(luò)安全：快速安全管理平臺整合：數(shù)字身份安全管理迫在眉睫智能設(shè)備的“智能”安全防護(hù)構(gòu)建企業(yè)韌性：網(wǎng)絡(luò)安全護(hù)航企業(yè)和續(xù)演變前行與安全并重平衡風(fēng)險(xiǎn)與收益社會安全2025網(wǎng)絡(luò)安全重要趨勢22?2025畢馬威企業(yè)咨詢(中國)有限公司—中國有限責(zé)任公司，是與畢馬威國際有限公司(英國私營擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。版權(quán)所有，不得轉(zhuǎn)載。在中國印刷。提升員工和客戶對企業(yè)以及對手使用AI所帶來的風(fēng)險(xiǎn)的認(rèn)知。繼續(xù)評估將AI用于安全運(yùn)營中心一級和二級任務(wù)的用例。明確AI使用者的角色和職責(zé)，并透明公開

AI被應(yīng)用的場景和計(jì)劃。優(yōu)先提升網(wǎng)絡(luò)安全團(tuán)隊(duì)所需的必備技能，并確保他們跟上最新的AI發(fā)展。鼓勵(lì)團(tuán)隊(duì)對AI保持好奇心，并提出實(shí)驗(yàn)想法及潛在應(yīng)用場景。建議行動首先解決基本的網(wǎng)絡(luò)安全問題——比如補(bǔ)丁管理、數(shù)據(jù)保護(hù)、IAM等——然后再轉(zhuǎn)向更復(fù)雜的活動，如在整個(gè)企業(yè)中實(shí)施和擴(kuò)展AI。了解更多畢馬威安全運(yùn)營中心調(diào)查2024用AI重新定義安全運(yùn)營重塑網(wǎng)絡(luò)安全：需要使用AI來對抗AI232025網(wǎng)絡(luò)安全重要趨勢?2025畢馬威企業(yè)咨詢(中國)有限公司—中國有限責(zé)任公司，是與畢馬威國際有限公司(英國私營擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全首席信息安全官（CISO）職責(zé)持網(wǎng)絡(luò)安全人才管理至關(guān)重要構(gòu)建可信人工智能駕馭AI賦能網(wǎng)絡(luò)安全：快速安全管理平臺整合：數(shù)字身份安全管理迫在眉睫智能設(shè)備的“智能”安全防護(hù)構(gòu)建企業(yè)韌性：網(wǎng)絡(luò)安全護(hù)航企業(yè)和續(xù)演變前行與安全并重平衡風(fēng)險(xiǎn)與收益社會安全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。版權(quán)所有，不得轉(zhuǎn)載。在中國印刷。為了應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，

組織不斷增強(qiáng)用于保護(hù)其數(shù)字資產(chǎn)的工具和解決方案。從端點(diǎn)安全和安全信息與事件管理（SIEM）到漏洞管理、物聯(lián)網(wǎng)（IoT）安全、擴(kuò)展檢測和響應(yīng)（

XDR

）以及托管檢測和響應(yīng)（MDR），可供選擇的選項(xiàng)數(shù)量之多令人驚嘆，使得首席信息安全官（CISO）們難以管理、維護(hù)并整合這一復(fù)雜且分散的工具組合。更糟糕的是，花在整合上的時(shí)間比利用數(shù)據(jù)來獲取可用的安全洞察的時(shí)間更多。因此，許多組織正在探索采用安全平臺，這使他們能夠提高效率、改善可見性并增強(qiáng)對安全環(huán)境的控制。這種向平臺整合的廣泛轉(zhuǎn)變既帶來了希望也帶來了風(fēng)險(xiǎn)。重要趨勢5安全管理平臺整合：平衡風(fēng)險(xiǎn)與收益規(guī)模經(jīng)濟(jì)是通過與特定平臺或領(lǐng)域（如身份）整合而產(chǎn)生的。讓安全團(tuán)隊(duì)使用更精簡但或許更高效的技術(shù)，有助于培養(yǎng)一支能力更為全面的安全人才隊(duì)伍，使其在多個(gè)領(lǐng)域提升效能。Jim

Wilhelm全球微軟安全負(fù)責(zé)人畢馬威美國認(rèn)識平臺整合的價(jià)值大型組織尤其熱衷于轉(zhuǎn)向平臺整合。原因之一是不同的工具

會產(chǎn)生大量的數(shù)據(jù)和信號，并且它們執(zhí)行整體安全政策的不同方面。這種復(fù)雜性使得集成和實(shí)施一致的安全政策變得具有挑戰(zhàn)性。通過整合不同的解決方案來精簡網(wǎng)絡(luò)安全工具集，使領(lǐng)導(dǎo)者能夠更清晰、更全面地了解其組織的安全狀況。這進(jìn)而促進(jìn)了在整個(gè)組織范圍內(nèi)一致執(zhí)行安全政策，使組織能夠填補(bǔ)潛在的漏洞的薄弱環(huán)節(jié)。在零信任框架的背景下，平臺整合也非常重要。零信任的核心要求是評估組織網(wǎng)絡(luò)內(nèi)每一種交互，包括訪問網(wǎng)絡(luò)所使用的設(shè)備、采用的身份驗(yàn)證方法以及具體請求的數(shù)據(jù)。然而，當(dāng)組織依賴于分散的安全工具時(shí)，實(shí)施零信任模型可能會非常具有挑戰(zhàn)性。平臺整合可以幫助執(zhí)行細(xì)粒度的訪問控制并提供所需的可見性。首席信息安全官（CISO）職責(zé)持網(wǎng)絡(luò)安全人才管理至關(guān)重要構(gòu)建可信人工智能駕馭AI賦能網(wǎng)絡(luò)安全：快速安全管理平臺整合：數(shù)字身份安全管理迫在眉睫智能設(shè)備的“智能”安全防護(hù)構(gòu)建企業(yè)韌性：網(wǎng)絡(luò)安全護(hù)航企業(yè)和續(xù)演變前行與安全并重平衡風(fēng)險(xiǎn)與收益社會安全2025網(wǎng)絡(luò)安全重要趨勢24?2025畢馬威企業(yè)咨詢(中國)有限公司—中國有限責(zé)任公司，是與畢馬威國際有限公司(英國私營擔(dān)保有限