活动中心网络风险报告
网络风险报告提供了关于组织的网络安全风险、当前安全态势及风险缓解策略的结构化视图。使用此报告,可获得关于网络安全风险及其对业务目标潜在影响的清晰度、透明度与实用洞察。
此报告可作为战略沟通工具,弥合技术性网络安全运营与业务决策之间的鸿沟。它使领导层能够做出基于风险的明智决策,并将网络安全举措与整体业务目标保持一致。
使用可自定义的报告功能创建分析仪表盘。调整可视化图表和布局,并为董事会讨论添加注解。您还可以与 Boards 网站共享仪表盘,从而在 Diligent One 平台内无缝共享和发布报告。
访问“活动中心”中的报告模板
先决条件
必须在“活动中心”部署和启用报告模板。如需帮助,请联系您的客户成功经理。
将仪表盘连接到 Boards 网站
有关将活动中心仪表盘连接到 Boards 站点的信息,请参阅 Diligent One:连接活动中心仪表盘与 Boards 网站 。
了解仪表盘结构
网络风险报告提供多项核心功能,旨在提供全面的网络风险洞察,并支持基于数据的决策。仪表盘结构包含六个选项卡,您可以在选项卡中添加注解,并向董事会展示结果。报告包含可视化图表与关键绩效指标 (KPI),展示当前及新兴的网络威胁与漏洞,以及您所在组织网络安全绩效与改进情况的历史视图。选择下面的每个选项卡以了解更多信息。
此选项卡提供专为董事会层级讨论定制的关键网络安全洞察摘要。您可在此查看背景信息以及报告其他部分的关键指标,确保董事会能够基于清晰且重点显示的注解做出明智决策。
提供的可视化图表
这一部分提供以下可视化图表:
执行摘要
使用此部分提供战略背景、突出趋势并详细说明风险缓解工作,以便高管快速做出决策。
威胁态势
此图表呈现当前网络安全威胁态势的洞察,总结您所在组织面临的相关威胁。
基准测试
此部分重点展示来自 BitSight 等平台的历史网络安全风险评级,支持与行业标准进行对比。
使用可视化图表- BitSight 风险评级BitSight 风险评级是基于从公开来源收集的实时、客观、非侵入性数据生成的数字评分,范围在 250 至 900 之间。使用折线图查看您所在组织的历史网络安全评级。此可视化图表帮助您跟踪网络安全效能随时间变化的趋势。
- NIST 网络安全框架成熟度由美国国家标准与技术研究院 (NIST) 制定的成熟度框架,提供结构化指南、最佳实践与标准,以帮助您的组织管理与降低网络安全风险。成熟度级别范围从“临时级”到“优化级”,标志着从初期的非结构化实践,逐步演进至完全优化且整合的网络安全流程。
关键风险
获取最紧迫的网络安全风险的详细信息,包括其状态及任何必要的缓解措施。
使用可视化图表- 摘要编制一份关于已识别的最关键风险、其趋势以及自上次审核以来任何变化的简明概述。
- 风险登记着重展示自上次审核以来发生显著变化的关键风险。此表格包含根据严重程度、风险评分因素及其他商定标准被判定为关键的风险。其中描述了诸如补救计划、风险负责人以及风险处置时间表等工作。
- 关键风险逾期此可视化图表突出显示关键风险的状态,区分按时完成处置的风险与已逾期的风险。
事件
此部分以易于理解的格式汇总所报告网络安全事件的频率与性质。
使用可视化图表- 摘要汇总每季度报告的关键事件数量,以及为解决这些事件所采取的措施和任何待处理行动。
- 每季度事件数此图表展示本年度各季度内记录和报告的网络事件数量。
举措
获取正在进行或拟议中的、旨在提升组织安全态势的网络安全举措详情。
使用可视化图表- 已完成及成果重点展示已完成的重要举措及其影响。
- 优先举措重点展示下一季度已优先安排的部分关键或战略举措及其影响。
此选项卡提供网络风险报告中包含的所有关键术语、KPI 及技术概念的定义与解释,以便快速参考。它使您能够对报告中其他部分使用的复杂或技术性语言形成统一且易于理解的认知,从而支持清晰的沟通与更有效的决策。
这一部分解释了以下术语:
漏洞管理是一项主动的流程,旨在识别、评估、缓解和监控组织系统、网络及软件中的漏洞,以降低网络安全风险。
扫描工具用于识别组织 IT 基础设施中的漏洞并评估安全风险。这些工具有助于持续监控和分析系统,以检测可能被攻击者利用的安全弱点。
渗透测试用于识别组织 IT 基础设施中的漏洞、弱点和安全缺口,帮助评估安全防御能力、确定潜在攻击路径,并协助组织在真实攻击者利用这些风险之前进行缓解。
安全事件与事件管理 (SIEM) 软件可实时整合组织的安全信息与事件。它通过提供组织安全态势的全面视图,在识别、管理和响应安全事件方面发挥着至关重要的作用。
事件管理是一个结构化流程,可最大限度降低安全事件的影响、快速恢复正常运营并防止未来再次发生。
NIST CSF 网络安全框架是一个提供结构化指南、最佳实践和标准的框架,用于识别、防护、检测、响应网络威胁并从中恢复。
此选项卡以系统和组织控制 2 (SOC 2) 与《健康保险便携性和责任法案》(HIPAA) 等通用框架为参考,帮助您跟踪各产品或服务的审计状态。获取近期审计结果的摘要,确定哪些方面不合规,并查看哪些产品或域已通过检查。
提供的可视化图表
这一部分提供以下可视化图表:
合规/审计
使用此部分记录各产品或服务的审计报告状态。
使用可视化图表审计报告状态(按产品/服务)此图表说明了对各产品或服务进行审计的状态。它显示哪些产品或服务已被审计、使用的各种审计框架(如 SOC2 和 HIPAA),以及这些审计的状态。
安全培训
使用此部分跟踪您的安全培训分析数据,并准备安全意识活动完成情况报告。
使用可视化图表安全意识活动完成情况此图表跟踪安全意识项目的完成情况,显示已完成强制性或自愿性网络安全培训的员工或承包商百分比。
渗透测试
使用此部分按严重程度汇总已识别但未解决的问题,并统计修复高风险问题的平均时间。
使用可视化图表按严重程度划分的未解决问题此图表显示在审计或合规检查中识别出的未解决问题的严重程度。严重程度按关键、高、中、低四级衡量。这有助于理解各严重级别问题所占的比例。
修复高风险问题的平均时间此指标跟踪修复审计中发现的高风险问题所需的平均时间,深入分析了您所在组织应对关键漏洞的效率。
此选项卡展示组织事件响应计划的稳健性。它由定量数据支撑,并侧重于事件的检测、诊断、修复与预防。
提供的可视化图表
这一部分提供以下可视化图表:
事件管理
使用此部分识别、突出显示并解释组织网络安全事件出现显著异常增长或下降的时期。您可以添加从组织事件管理系统中获取的注解与数据。
使用可视化图表季度事件趋势获取在特定时间段(如月度、季度或半年度)内生成警报或记录事件数量的高层级指标。此图表中的风险按其严重程度分类,分为关键、高、中、低四个等级。
事件识别
使用此部分制定在特定时间段(如月度、季度或半年度)内生成警报或记录事件数量的高层级指标。
使用可视化图表季度事件趋势此图表按事件收集来源对事件进行分类。图表中描述的信息来自以下来源:
审计指在安全审计期间识别的事件。
持续监控指通过持续监控组织网络与系统的自动化系统识别的事件,用于发现异常或安全违规。
客户报告指由客户报告的事件。这可能包括曾遇到可能表明安全事件问题的客户所提供的反馈或投诉。
员工报告指由您员工报告的事件。员工可能注意到可疑活动或潜在的安全违规,并将其报告给 IT 或安全团队。
事件披露
使用此部分报告和分析基于定量和定性因素被视为重大的网络安全事件。
使用可视化图表8K 披露是指美国证券交易委员会 (SEC) 要求提交的报告。所有上市公司必须提交此报告,以披露可能影响股东或投资者的重大事件。8K 披露的目的是确保重大企业事件(包括被视为重大的网络安全事件)的透明度和及时报告。
上次更新显示公司披露报告最近一次更新的日期。
披露日期显示公司提交披露报告的日期。
公司显示已提交披露报告的公司名称。
此选项卡侧重于在您组织的系统、网络和软件中识别、评估、缓解和监控漏洞的主动流程。
提供的可视化图表
这一部分提供以下可视化图表:
漏洞管理
概述您组织内当前的漏洞,突出显示需要立即关注的高风险资产和关键漏洞。
使用可视化图表生产环境漏洞使用此图表洞察历史数据,其中显示未修复漏洞与已修复漏洞的比例,以评估资源在修复工作上的分配情况。红线代表未修复漏洞,灰线代表已修复漏洞。
漏洞响应能力
评估您所在组织对已识别漏洞作出响应的速度与有效性。
使用可视化图表未修复的生产环境漏洞此图表深入分析了您所在组织对报告漏洞结果的响应能力水平。图表包含平均响应时间和/或平均修复时间等指标,并将其与您漏洞管理策略中定义的 SLA 进行对比,以展示您的响应能力。
修复服务等级协议 (SLA)
提供关于 SLA 的更新。SLA 是正式协议,定义了处理和解决已识别漏洞的预期时间框架与责任。
使用可视化图表高风险与关键基础设施漏洞 - SLA 合规情况此图表说明按风险严重程度划分、在要求期限内修复的漏洞比例。
使用此部分专注于评估和管理您的供应商及第三方信息系统带来的风险。此部分评估您所在组织在识别这些风险方面取得的进展,以及为管理这些风险所采取的措施。
提供的可视化图表
这一部分提供以下可视化图表:
第三方与供应商分类
根据供应商所提供服务的关键性对其进行分类,如关键、高、中或低风险。此分类有助于优先管理风险较高的合作关系。
使用可视化图表按分类划分的供应商使用此可视化图表,根据供应商对您组织构成的风险级别对其进行分类。此图表将供应商分为关键、高、中、低风险等类别。
第三方与供应商风险评估
通过在风险评估 SLA 中纳入供应商数量及百分比等指标,识别与第三方供应商相关的风险。
使用可视化图表风险评估 SLA 中的供应商使用此图表识别第三方供应商的风险评估是否在约定的服务等级协议 (SLA) 时间框架内执行。SLA 确定了进行风险评估的频率和截止日期,尤其是对被识别为高风险或关键风险的供应商。
