陸續(xù)出臺(tái)的網(wǎng)絡(luò)安全相關(guān)法律法規(guī)和條例，包括《數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》《網(wǎng)絡(luò)安全審查辦法》等，為網(wǎng)絡(luò)安全工作提供了方向和指南，也體現(xiàn)了網(wǎng)絡(luò)安全領(lǐng)域規(guī)范化的發(fā)展趨勢(shì)。為更好貫徹和落實(shí)相關(guān)法律法規(guī)，風(fēng)險(xiǎn)控制和合規(guī)管理成為科技企業(yè)至關(guān)重要的優(yōu)先工作。風(fēng)險(xiǎn)控制和合規(guī)管理工作的前提是全面系統(tǒng)地識(shí)別各類風(fēng)險(xiǎn)，制定并落實(shí)管控措施，確保網(wǎng)絡(luò)安全和隱私保護(hù)等風(fēng)險(xiǎn)不出現(xiàn)合規(guī)問(wèn)題，更好支撐利益相關(guān)方的信任構(gòu)建。

　　一、RGC 框架的背景和目標(biāo)

　　RGC 框架是華為風(fēng)險(xiǎn)控制和合規(guī)管理的實(shí)踐方法論，由風(fēng)險(xiǎn)、治理、控制（Risk，Governance，Control）三個(gè)詞的英文縮寫(xiě)構(gòu)成。該框架基于業(yè)界理念、COSO 框架，融合華為現(xiàn)有風(fēng)險(xiǎn)管理和內(nèi)控實(shí)踐形成，可以為業(yè)務(wù)流程中的一二三道防線開(kāi)展風(fēng)險(xiǎn)監(jiān)管工作提供方法，進(jìn)而實(shí)現(xiàn)創(chuàng)造客戶價(jià)值、高質(zhì)量商業(yè)發(fā)展、公司長(zhǎng)治久安的目標(biāo)。

　　RGC 框架的提出源于業(yè)界的 GRC 方法，即治理、風(fēng)險(xiǎn)與合規(guī)（Governance，Risk and Compliance）。從業(yè)務(wù)到風(fēng)險(xiǎn)再到管控，考慮到內(nèi)控風(fēng)險(xiǎn)核心，尤其是崩潰性風(fēng)險(xiǎn)和大面積腐敗風(fēng)險(xiǎn)，華為在提出這個(gè)框架時(shí)，把風(fēng)險(xiǎn)因素放到第一的位置，調(diào)整了這三個(gè)詞的次序，成為針對(duì)內(nèi)控風(fēng)險(xiǎn)展開(kāi)管理和監(jiān)督的 RGC 框架。

　　采用 RGC 框架，目的是保障一二三道防線開(kāi)展風(fēng)險(xiǎn)監(jiān)管工作。這三道防線包括業(yè)務(wù)流程中關(guān)鍵監(jiān)控崗位（業(yè)務(wù)人員/合規(guī)官/POPC 等）的第一道防線；BC、工程稽查等工作中的第二道防線；內(nèi)審、獨(dú)立第三方檢查組織等工作中的第三道防線（見(jiàn)圖1）。

　　圖1 RGC 框架監(jiān)管的三層防線

　　采用 RGC 框架，目標(biāo)是實(shí)現(xiàn)整體監(jiān)管。一是使命與核心價(jià)值守護(hù)，促使公司的共同價(jià)值得到有效傳承、踐行和維護(hù)，防止文化變味、組織板結(jié)、分裂，防止大面積腐敗引起的組織潰敗。二是保證戰(zhàn)略制定與公司的愿景保持一致，并保證在戰(zhàn)略執(zhí)行時(shí)的績(jī)效結(jié)果真實(shí)和業(yè)務(wù)管理真實(shí)。三是實(shí)現(xiàn)合法合規(guī)，將對(duì)法律、法規(guī)的遵從要求轉(zhuǎn)化成公司的管理制度和流程并得到有效遵從，對(duì)合規(guī)紅線進(jìn)行有效管理，杜絕系統(tǒng)性和崩潰性風(fēng)險(xiǎn)。四是實(shí)現(xiàn)運(yùn)營(yíng)健康，使流程得到業(yè)務(wù)的有效遵從，風(fēng)險(xiǎn)得到有效控制。

　　二、RGC 框架的要素與內(nèi)涵

　　RGC 框架包括風(fēng)險(xiǎn)（R）、治理（G）、控制（C）三個(gè)層面的七大要素，即風(fēng)險(xiǎn)評(píng)估與目標(biāo)設(shè)定、基調(diào)、責(zé)任體系、誠(chéng)信環(huán)境、確定性控制、非確定性控制、監(jiān)督（見(jiàn)圖2）。

　　圖2 RGC 框架各要素間邏輯關(guān)系

　　第一，從風(fēng)險(xiǎn)視角看，RGC 框架包括風(fēng)險(xiǎn)評(píng)估與目標(biāo)設(shè)定（R1）和監(jiān)督（R2）兩個(gè)層面。

　　風(fēng)險(xiǎn)評(píng)估與目標(biāo)設(shè)定是指組織識(shí)別能通過(guò)各種監(jiān)管手段實(shí)現(xiàn)監(jiān)管的風(fēng)險(xiǎn)，評(píng)估其重要性和確定其監(jiān)管目標(biāo)，并且持續(xù)評(píng)估監(jiān)管目標(biāo)達(dá)成情況，不斷改進(jìn)。風(fēng)險(xiǎn)評(píng)估與目標(biāo)設(shè)定的關(guān)注點(diǎn)包括，一是風(fēng)險(xiǎn)識(shí)別與評(píng)估，有效識(shí)別能通過(guò)各種監(jiān)管手段實(shí)現(xiàn)監(jiān)管的風(fēng)險(xiǎn)、評(píng)估所識(shí)別的風(fēng)險(xiǎn)、跟蹤影響風(fēng)險(xiǎn)的重大業(yè)務(wù)變化。二是風(fēng)險(xiǎn)目標(biāo)的設(shè)定與應(yīng)對(duì)，確定管理層的風(fēng)險(xiǎn)容忍度（監(jiān)管目標(biāo)），建立相應(yīng)的應(yīng)對(duì)措施（包括接受、降低、規(guī)避、轉(zhuǎn)移等）。三是風(fēng)險(xiǎn)目標(biāo)的自我評(píng)估，風(fēng)險(xiǎn)目標(biāo)達(dá)成情況的自我評(píng)估機(jī)制，如半年控制評(píng)估（SACA）、持續(xù)改進(jìn)的措施等。

　　監(jiān)督是指組織建立獨(dú)立的監(jiān)督機(jī)制，以確認(rèn)風(fēng)險(xiǎn)管控過(guò)程的有效性和結(jié)果是否達(dá)成監(jiān)管目標(biāo)。監(jiān)督的關(guān)注點(diǎn)包括，一是審計(jì)對(duì)一二道防線風(fēng)險(xiǎn)管控過(guò)程及管控結(jié)果的獨(dú)立監(jiān)督，二是及時(shí)溝通與進(jìn)行報(bào)告。

　　第二，從治理視角看，RGC 框架包括基調(diào)（G1）、責(zé)任體系（G2）、和誠(chéng)信環(huán)境（G3）三個(gè)層面。

　　基調(diào)是指管理層應(yīng)建立誠(chéng)信、道德的監(jiān)管氛圍，創(chuàng)造實(shí)現(xiàn)監(jiān)管目標(biāo)的整體環(huán)境，包括公司文化、管理理念、經(jīng)營(yíng)風(fēng)格、行為準(zhǔn)則等內(nèi)容?；{(diào)的關(guān)注點(diǎn)包括樹(shù)立基調(diào)——核心價(jià)值觀、誠(chéng)信和道德、風(fēng)險(xiǎn)意識(shí)；建立行為準(zhǔn)則——定義員工的行為邊界，明確“可為與不可為”；建立獎(jiǎng)懲與問(wèn)責(zé)機(jī)制，及時(shí)糾偏。

　　責(zé)任體系是指組織應(yīng)確立合理的監(jiān)管責(zé)任體系，明確監(jiān)管工作（包括一二三道防線）邊界和職責(zé)。責(zé)任體系的關(guān)注點(diǎn)包括監(jiān)管工作相關(guān)部門(mén)的架構(gòu)、監(jiān)管工作的匯報(bào)路線、監(jiān)管工作的授權(quán)體系、監(jiān)管工作的角色和職責(zé)。

　　誠(chéng)信環(huán)境是指組織應(yīng)宣導(dǎo)和傳遞對(duì)誠(chéng)信和道德的要求，確保廣泛理解，并建立有效的反饋渠道。誠(chéng)信環(huán)境的關(guān)注點(diǎn)包括宣傳教育（包括員工和供應(yīng)商/合作伙伴），以及打通內(nèi)外部舉報(bào)/投訴渠道。

　　第三，從控制視角看，RGC 框架包括確定性控制（C1）和非確定性控制（C2）兩個(gè)層面。

　　確定性控制是指組織通過(guò)如政策、原則、程序、模板、基線等確定監(jiān)管手段應(yīng)對(duì)和控制風(fēng)險(xiǎn)，包括接觸性控制和非接觸性控制。確定性控制的關(guān)注點(diǎn)包括控制設(shè)計(jì)和控制執(zhí)行，控制設(shè)計(jì)關(guān)注與風(fēng)險(xiǎn)評(píng)估（包括業(yè)務(wù)特點(diǎn)和監(jiān)管目標(biāo)）相結(jié)合、明確相關(guān)業(yè)務(wù)流程中的關(guān)鍵控制點(diǎn)（KCP）或關(guān)鍵指標(biāo)（KRI）、考慮控制活動(dòng)的適用層級(jí)、考慮控制活動(dòng)類別的組合、應(yīng)用信息技術(shù)（IT 控制）；控制執(zhí)行關(guān)注及時(shí)執(zhí)行與遵從政策和程序以及選用足以勝任的人員等。

　　非確定性控制是指組織可能無(wú)法通過(guò)確定的監(jiān)管手段，但可以通過(guò)例如專業(yè)稽查、管理層監(jiān)管等其他方式應(yīng)對(duì)和控制風(fēng)險(xiǎn)。非確定性控制的關(guān)注點(diǎn)包括糾偏和應(yīng)對(duì)，即實(shí)現(xiàn)專業(yè)稽查、群眾監(jiān)督、管理層監(jiān)管，做好應(yīng)急管理。

　　三、實(shí)施 RGC 框架的方法與措施

　　RGC 框架可以成為實(shí)現(xiàn)網(wǎng)絡(luò)安全與隱私保護(hù)風(fēng)險(xiǎn)管理方法，特別是 RGC 框架中的 C1、G1/G2/G3因素。

　　一是在管理者層面，可以根據(jù)公司制定的行為規(guī)范、問(wèn)責(zé)制度，結(jié)合當(dāng)?shù)厥褂玫姆煞ㄒ?guī)進(jìn)行本地化適配。業(yè)務(wù)一把手要通過(guò)清晰的高層基調(diào)，建立行為準(zhǔn)則，定義員工的行為邊界，制定問(wèn)責(zé)政策并執(zhí)行，明確“可為與不可為”，營(yíng)造良好的風(fēng)控環(huán)境。通過(guò)公開(kāi)聲明、總體政策、白皮書(shū)持續(xù)地傳達(dá)網(wǎng)絡(luò)安全的基調(diào)，將相關(guān)行為融入《商業(yè)準(zhǔn)則》，并明確高風(fēng)險(xiǎn)領(lǐng)域和崗位的紅線行為準(zhǔn)則和獎(jiǎng)懲問(wèn)責(zé)措施，進(jìn)行本地化適配。在激勵(lì)機(jī)制方面，在公司、區(qū)域及業(yè)務(wù)領(lǐng)域設(shè)置網(wǎng)絡(luò)安全與隱私保護(hù)專項(xiàng)。例如，每年設(shè)置一定金額，用于激勵(lì)負(fù)責(zé)網(wǎng)絡(luò)安全與隱私保護(hù)工作落地的各業(yè)務(wù)部門(mén)和網(wǎng)絡(luò)安全與隱私保護(hù)體系。在問(wèn)責(zé)方面，制定網(wǎng)絡(luò)安全與隱私保護(hù)違規(guī)問(wèn)責(zé)定級(jí)標(biāo)準(zhǔn)，針對(duì)以下情況對(duì)主管進(jìn)行管理問(wèn)責(zé)：安全質(zhì)量嚴(yán)重不達(dá)標(biāo)，或多次不達(dá)標(biāo)；管理原因?qū)е聡?yán)重網(wǎng)絡(luò)安全事件、安全危機(jī)、嚴(yán)重的個(gè)人數(shù)據(jù)泄露事件；審計(jì)發(fā)現(xiàn)嚴(yán)重的網(wǎng)絡(luò)安全與隱私保護(hù)風(fēng)險(xiǎn)。在網(wǎng)絡(luò)安全與隱私保護(hù)風(fēng)險(xiǎn)管控方面，重點(diǎn)關(guān)注服務(wù)無(wú)授權(quán)/超授權(quán)接入、無(wú)授權(quán)/超授權(quán)使用客戶網(wǎng)絡(luò)數(shù)據(jù)、收集/處理/轉(zhuǎn)移個(gè)人數(shù)據(jù)等風(fēng)險(xiǎn)行為，需要在公司、區(qū)域及業(yè)務(wù)領(lǐng)域設(shè)置網(wǎng)絡(luò)安全與隱私保護(hù)專項(xiàng)工作進(jìn)行看護(hù)。

　　二是在責(zé)任體系建設(shè)層面，確立合理的監(jiān)管責(zé)任體系，明確監(jiān)管工作（包括一二三道防線）邊界和職責(zé)。全球網(wǎng)絡(luò)安全與用戶隱私保護(hù)委員會(huì)（GSPC）是華為的最高網(wǎng)絡(luò)安全與隱私保護(hù)管理機(jī)構(gòu)，負(fù)責(zé)決策和批準(zhǔn)公司總體網(wǎng)絡(luò)安全和隱私保護(hù)戰(zhàn)略。全球網(wǎng)絡(luò)安全與用戶隱私保護(hù)辦公室（GSPO）組織業(yè)務(wù)部分建立支撐戰(zhàn)略的操作細(xì)則，推動(dòng)落地執(zhí)行并執(zhí)行稽核。內(nèi)部審計(jì)部獨(dú)立監(jiān)督并向 GSPC和審計(jì)委員會(huì)匯報(bào)。公司建立端到端的網(wǎng)絡(luò)安全保障體系，識(shí)別每個(gè)流程的關(guān)鍵控制點(diǎn)（KCPs）。

　　三是在誠(chéng)信環(huán)境建設(shè)方面，宣導(dǎo)和傳遞對(duì)誠(chéng)信和道德的要求，確保廣泛理解，并建立有效的反饋渠道。以法律為基礎(chǔ)，提升員工的網(wǎng)絡(luò)安全和隱私保護(hù)意識(shí)，讓員工意識(shí)到即使主觀上沒(méi)有惡意，也要對(duì)自己的行為負(fù)責(zé)；華為全體員工及合作伙伴、外部顧問(wèn)都必須嚴(yán)格執(zhí)行公司相關(guān)安全及隱私政策，接受安全、隱私保護(hù)培訓(xùn)，同時(shí)，公司鼓勵(lì)員工獲取業(yè)界網(wǎng)絡(luò)安全與隱私保護(hù)相關(guān)資質(zhì)認(rèn)證，比如 CISSP、CIPM/CIPP 等認(rèn)證，使安全、隱私理念融入整個(gè)組織和員工之中；對(duì)關(guān)鍵崗位要進(jìn)行安全資格認(rèn)證，采取措施震懾心存惡意的員工、竭力防止惡意行為發(fā)生。

　　四是在激勵(lì)機(jī)制方面，在區(qū)域及業(yè)務(wù)領(lǐng)域設(shè)置網(wǎng)絡(luò)安全與隱私保護(hù)專項(xiàng)。用于激勵(lì)負(fù)責(zé)網(wǎng)絡(luò)安全與隱私保護(hù)工作落地的各業(yè)務(wù)部門(mén)和網(wǎng)絡(luò)安全與隱私保護(hù)體系。設(shè)置的激勵(lì)獎(jiǎng)項(xiàng)，可以包括平臺(tái)建設(shè)獎(jiǎng)、合規(guī)建設(shè)獎(jiǎng)、外部洞察獎(jiǎng)、組織人才文化建設(shè)獎(jiǎng)等。

　　四、實(shí)施 RGC 框架的效果與影響

　　檢查實(shí)施 RGC 框架的效果，主要是通過(guò)稽查來(lái)實(shí)現(xiàn)。RGC 框架控制層面的非確定性控制，關(guān)注糾偏實(shí)現(xiàn)專業(yè)稽查、群眾監(jiān)督、管理層監(jiān)管等方面。主要的稽查方法包括四個(gè)環(huán)節(jié)十七個(gè)步驟，即體現(xiàn)在立項(xiàng)、準(zhǔn)備、執(zhí)行和閉環(huán)等環(huán)節(jié)的關(guān)鍵活動(dòng)。

　　在立項(xiàng)階段，一是確定稽查對(duì)象，根據(jù)風(fēng)險(xiǎn)輸入確定稽查對(duì)象；二是與利益相關(guān)人溝通，就稽查可行性、稽查對(duì)象及初步稽查范圍達(dá)成一致意見(jiàn)；三是組建稽查工作組，明確責(zé)任分工及稽查計(jì)劃。

　　在準(zhǔn)備階段，一是要確定業(yè)務(wù)范圍，啟動(dòng)分析及調(diào)研，圈定業(yè)務(wù)范圍（包括流程階段、業(yè)務(wù)活動(dòng)、資產(chǎn)和環(huán)境、關(guān)鍵人群、IT 系統(tǒng)、抽樣產(chǎn)品等）。二是識(shí)別稽查重點(diǎn)，根據(jù)涉及的發(fā)文規(guī)范和要求結(jié)合前期的風(fēng)險(xiǎn)識(shí)別結(jié)果，詳細(xì)分析每個(gè)要求的落地風(fēng)險(xiǎn)及級(jí)別。三是擬定稽查基線，包括詳細(xì)的風(fēng)險(xiǎn)點(diǎn)清單及對(duì)應(yīng)的調(diào)查問(wèn)卷、調(diào)查方法等。四是明確責(zé)任主體，明確稽查涉及的責(zé)任主體，并與相關(guān)責(zé)任部門(mén)提前溝通、獲取接口人。五是簽發(fā)稽查通知，擬定稽查通知書(shū)（包括稽查項(xiàng)目名稱、被稽查單位、稽查范圍、稽查周期等信息）并提交簽發(fā)。六是擬定執(zhí)行計(jì)劃，初步擬定執(zhí)行計(jì)劃，分析執(zhí)行所需的預(yù)置條件（包括系統(tǒng)權(quán)限、文檔資料、門(mén)禁準(zhǔn)入等），與接口人溝通初步計(jì)劃、協(xié)調(diào)提供所需的預(yù)置條件。

　　在執(zhí)行階段，一是召開(kāi)開(kāi)工會(huì)，對(duì)齊信息、澄清疑問(wèn)并啟動(dòng)稽查。二是執(zhí)行稽查測(cè)試，測(cè)試方法包括現(xiàn)場(chǎng)訪談、穿行測(cè)試、抽樣測(cè)試、數(shù)據(jù)及日志分析、多方信息對(duì)比、調(diào)取記錄等。三是刷新稽查基線，根據(jù)稽查的深入及時(shí)更新風(fēng)險(xiǎn)點(diǎn)并刷新稽查基線，視情況判斷是否調(diào)整稽查范圍，及時(shí)協(xié)調(diào)相關(guān)方。四是溝通稽查問(wèn)題，與稽查接口人完成稽查問(wèn)題確認(rèn)，有分歧及時(shí)上報(bào)解決。五是形成稽查報(bào)告，評(píng)審確認(rèn)的稽查報(bào)告經(jīng)審批通過(guò)后發(fā)布。

　　在閉環(huán)管理階段，主要實(shí)現(xiàn)問(wèn)題的閉環(huán)管理。在這個(gè)階段，一是在問(wèn)題跟蹤閉環(huán)，實(shí)現(xiàn)問(wèn)題錄入跟蹤系統(tǒng)并跟蹤問(wèn)題進(jìn)展。二是在改進(jìn)方案審評(píng)階段，可以視情況進(jìn)行可選項(xiàng)判斷。三在稽查總結(jié)改進(jìn)環(huán)節(jié)，總結(jié)形成案例收割并歸檔。通過(guò)簽發(fā)管理類問(wèn)題閉環(huán)管理規(guī)定，明確網(wǎng)絡(luò)安全與隱私保護(hù)管理問(wèn)題的閉環(huán)責(zé)任人及例行化規(guī)定動(dòng)作。

　　五、完善 RGC 支撐平臺(tái)，提升安全風(fēng)險(xiǎn)管控水平

　　目前，在中國(guó)市場(chǎng)，華為運(yùn)用 RGC 方法，深入業(yè)務(wù)流程關(guān)鍵環(huán)節(jié)，識(shí)別風(fēng)險(xiǎn)，分析原因并匹配相應(yīng)的管理措施，取得了良好的效果。

　　同時(shí)，為推進(jìn)風(fēng)險(xiǎn)管控的有效性和提升管控效率，作為正在開(kāi)發(fā)和完善網(wǎng)絡(luò)安全隱私治理平臺(tái)，從外部要求入手，將涉及的法律法規(guī)，標(biāo)準(zhǔn)指南，客戶需求等進(jìn)行系統(tǒng)性梳理，構(gòu)建適用中國(guó)市場(chǎng)的外部合規(guī)庫(kù)，關(guān)鍵的合規(guī)要求條目融入業(yè)務(wù)流程，通過(guò) IT 系統(tǒng)進(jìn)行流程打點(diǎn)，后續(xù)監(jiān)管團(tuán)隊(duì)通過(guò)系統(tǒng)直觀明了的審視合規(guī)要求的適配情況、風(fēng)險(xiǎn)情況，并通過(guò)可視化平臺(tái)進(jìn)行合規(guī)稽查，逐步提升風(fēng)險(xiǎn)管控的數(shù)字化水平和管控效率。