全球數據安全風險映射

I目錄

■CONTEMTS

第一部分數據保護法和法規的地域差異........................................2

第二部分網絡犯罪和惡意軟件的不斷演變.....................................5

第三部分云計算和物聯網中的數據安全挑戰....................................8

第四部分人為錯誤和內部威脅的持續風險.....................................10

第五部分供應鏈攻擊和勒索軟件的威脅.......................................12

第六部分人工智能和機器學習對數據安全的影響..............................15

第七部分個人數據隱私和監管環境...........................................17

第八部分數據安全風險評估和管理實踐.......................................19

第一部分數據保護法和法規的地域差異

關鍵詞關鍵要點

法律管轄權

1.不同國家/地區對數據管轄權的認定存在差異，影響數據

處理和傳輸活動。例如，歐洲通用數據保護條例(GDPR)

規定，在歐盟境內處理的個人數據受其保護，無論數據控制

者的所在地如何。

2.域外數據訪問要求復雜多變，加劇跨境數據流動的難度。

隨著數據在全球范圍內流動增多，企業需要了解目標國家/

地區的數據保護法，以符合當地合規要求。

3.數據本地化要求限制數據跨虎流動，對全球業務運營產

生重大影響。為了保護敏感數據，一些國家/地區要求將數

據存儲在境內，阻礙了跨國企業的數據共享和處理活動。

數據保護等級

1.數據保護法對不同類型數據的敏感性進行了分類，規定

了不同的保護等級。例如，健康數據通常被視為高度敏感數

據，需要采取更嚴格的保護措施。

2.數據保護等級決定了數據處浬和存儲的具體要求，包括

訪問控制、加密和匿名化。企業需要了解目標國家/地區對

不同數據類型的保護要求，并制定相應的安全策略。

3.數據分類和分級過程有助于企業明確數據保護責任，避

免因數據泄露或濫用而造成的法律風險。企業應建立健全

的數據分類和分級機制，以確保數據得到適當的保護。

個人數據處理

I.個人數據處理原則和同意要求因國家/地區而異，影響企

業在獲取和使用個人數據方面的做法。例如，歐盟GDPR

規定，企業必須獲得個人的明示同意才能處理其個人數據。

2.數據主體權利在不同國家/地區有不同的法律保障，包括

訪問、更正、刪除和限制處理的權利。企業需要了解目標國

家/地區的數據主體權利，并建立機制來滿足這些要求。

3.違反個人數據處理規定的處罰力度因國家/地區而異，從

行政罰款到刑事處罰不等。企業應注意遵守當地法律，避免

因數據違規而面臨巨大風險。

數據保護法和法規的地域差異

引言

數據保護法律和法規因地域而異，反映出不同國家的社會、政治和經

濟背景。這些差異影響著企業在全球范圍內運營的方式，也影響著個

人對數據隱私的保護。

歐洲

歐洲的數據保護框架以歐盟《通用數據保護條例》(GDPR)為基礎。GDPR

是一項全面且嚴苛的法規，賦予個人廣泛的數據權利，例如訪問、更

正和刪除數據的權利。此外,GDPR對數據控制者施加了嚴格的義務，

例如收集和處理個人數據時需要獲得明確同意。

美國

與歐盟相比，美國的隱私法相對分散，由聯邦和州法律的復雜網絡組

成。聯邦《隱私權法案》(PrivacyActof1974)僅適用于聯邦機構，

而州法律對數據收集、使用和披露的限制差異很大。此外，美國沒有

全面的同意要求，這為企業提供了更大的靈活性。

中國

過去，中國對數據保護的監管較少，但近年來采取了更積極的態度。

《個人信息保護法》(PIPL)于2021年頒布，規定了收集、處理和

傳輸個人數據的嚴格要求。PIPL還建立了數據安全評估機制，要求

企業評估其數據處理實踐。

其他地區

其他地區的隱私法也有很大差異。例如：

*加拿大：《個人信息保護和電子文件法》(PTPEDA)類似于GDPR,

但對同意要求有所放松。

*日本：《個人數據保護法》受GDPR的影響，并重點關注數據主體

權利。

*巴西：《通用數據保護法》（LGPD）是拉丁美洲最全面的隱私法律之

一，受到GDPR的強烈影響。

*澳大利亞：《1988年隱私法》規定了隱私原貝I,但缺乏全面的數據

保護框架。

關鍵差異

數據保護法和法規的地域差異主要體現在以下幾個方面：

*數據主體權利：歐盟和一些其他地區賦予個人廣泛的數據權利，而

其他地區則限制這些權利。

*同意要求：一些地區要求對數據處理明確同意，而另一些地區則有

更寬松的標準。

*數據安全措施：不同地區對數據安全措施的要求差異很大，從強制

性數據泄露通知到數據保護影響評估。

*執法：數據保護當局在不同地區擁有不同的權力，從調查和處罰違

規行為到促進遵守。

*文化影響：對隱私的文化態度也會影響法律和法規的制定。

影響

數據保護法和法規的地域差異對企業和個人都有重大影響。

*企業：跨國公司必須遵守多個司法管轄區的復雜法律法規，這可能

會增加合規成本并阻礙創新。

*個人：不同地區的數據保護法可能會影響個人對其個人數據控制和

保護的能力。

*執法：數據保護當局在不同地區擁有不同的執法權力，這可能會影

響跨境執法的有效性。

*國際合作：地域差異阻礙了全球數據治理和合作，可能會導致數據

孤島。

結論

數據保護法和法規的翅域差異反映了不同國家對隱私和數據安全的

不同態度。這些差異對企業和個人都有重大影響，強調了制定全球統

一標準以促進跨境數據流動和保護個人權利的必要性。

第二部分網絡犯罪和惡意軟件的不斷演變

關鍵詞關鍵要點

【網絡犯霏和惡意軟件的不

斷演變】1.網絡犯罪組織的專業化和復雜化：網絡犯罪團伙逐漸專

業化，擁有專門的技術和資源，采取復雜的攻擊手法，造成

更嚴重的破壞和損失。

2.勒索軟件的興起和進化：勒索軟件持續威脅企業和個人，

攻擊者不斷改進加密和勒索技犬，要求越來越高的贖金。

3.供應鏈攻擊的增加：攻擊者通過針對供應鏈中的薄弱環

節，擴大攻擊范圍。一旦滲透成功，他們可以訪問多個組織

的系統和數據。

【惡意軟件的不斷演變】

網絡犯罪和惡意軟件的不斷演變

引言

網絡犯罪和惡意軟件的格局正在不斷演變，對全球數據安全構成重大

威脅。《全球數據安全風險映射》報告強調了這一演變的各個方面及

其影響。

網絡犯罪的復雜化

*網絡犯罪團伙變得更加專業化和組織化，采用復雜的策略和技術來

逃避檢測和逃避安全措施。

*勒索軟件攻擊變得越來越普遍，罪犯針對關鍵基礎設施和企業，要

求支付巨額贖金。

*網絡釣魚和網絡欺詐利用社會工程技術，欺騙用戶透露敏感信息或

訪問惡意網站。

*供應鏈攻擊目標是供應鏈中的薄弱環節，利用軟件更新或第三方組

件的漏洞進行攻擊。

惡意軟件的創新

*惡意軟件變得更加復雜，采用繞過傳統安全措施的先進技術。

*無文件惡意軟件利用操作系統進程和內存中存在的漏洞，使得檢測

和刪除變得困難。

*多態和變異惡意軟件使用代碼混淆和加擾技術逃避簽名和檢測工

具。

*惡意軟件即服務(MaaS)使犯罪分子可以訪問開發工具包和惡意軟

件，從而降低了進入威脅環境的門檻。

針對特定行業的攻擊

*醫療保健行業成為網絡犯罪的熱門目標，因尤其擁有大量敏感患者

數據。

*金融服務業也受到網絡攻擊的威脅，其系統和數據對經濟穩定至關

重要。

*關鍵基礎設施，如電網和交通網絡，也面臨網絡攻擊的風險，這些

攻擊可能會造成重大的經濟和社會后果。

國家支持的網絡威脅

*國家支持的網絡威脅越來越多，政府利用網絡攻擊來進行間諜活動、

破壞和影響。

*國家支持的網絡犯罪集團與傳統網絡犯罪團伙合作，協調大規模攻

擊。

*這些類型的攻擊對國家數據安全和全球穩定構成嚴重威脅。

全球合作應對

應對網絡犯罪和惡意軟件的不斷演變需要全球合作。政府、行業和執

法機構需要共同努力，采取以下措施：

*分享情報和最佳實踐，以識別和應對新的威脅。

*開發和實施有效的安全措施，以抵御網絡攻擊。

*提高公眾對網絡安全風險的認識，促進安全做法。

*加強國際合作，打擊跨國網絡犯罪活動。

結論

網絡犯罪和惡意軟件的格局不斷演變，對全球數據安全構成重大威脅。

必須采取協同行動，從多方面應對這些不斷發展的風險，包括技術措

施、法律強制和國際合作。通過合作，我們可以提高網絡彈性并保護

全球數據免受惡意威脅。

第三部分云計算和物聯網中的數據安全挑戰

關鍵詞關鍵要點

【云計算中的數據安全挑

戰】：1.多租戶環境：不同租戶共享云基礎設施，可能存在交叉

感染和數據泄露風險。

2.API和接口暴露：云服務提供商開放大量API和接口，

可能成為網絡攻擊的切入點，導致數據竊取或破壞。

3.供應商鎖定：企業依賴單一云提供商可能造成數據轉移

困難，增加數據安全風險。

【物聯網中的數據安全挑戰】：

云計算中的數據安全挑戰

1.數據隱私和合規性

*云服務提供商對用戶數據的訪問和使用可能會違反數據隱私法規

和行業標準。

*云中的數據跨多區域存儲，□口□口口遵守數據本地化法規變得具

有挑戰性。

*云應用程序中的影子IT可以使數據暴露于未經授權的訪問中。

2.數據泄露和丟失

*云供應商的網絡安全漏洞和人為錯誤可能會導致數據泄露。

*惡意內部人員可能未經授權訪問和竊取敏感數據。

*從云端下載數據的過程中可能發生數據丟失或損壞。

3.數據鎖入

*用戶將數據遷移到云端后，可能會難以將其遷移到其他服務提供商

或本地環境中。

*云供應商可能出于商業利益或法律原因限制數據導出。

物聯網中的數據安全挑戰

1.設備漏洞和攻擊面擴展

*物聯網設備通常具有有限的安全功能和補丁程序能力。

*設備連接到互聯網，增加了暴露攻擊面的風險。

*惡意軟件和僵尸網絡可以感染和控制物聯網設備。

2.數據隱私和敏感信息收集

*物聯網設備收集大量個人數據，包括位置、健康和財務信息。

*未經授權的數據收集和使用可能會侵犯用戶隱私。

*設備上的敏感數據可能被竊取并用于網絡犯罪。

3.互操作性和標準化不足

*物聯網設備來自不同的制造商，使用不同的協議和標準。

*這使得確保端到端安全性和數據保護變得具有挑戰性。

*缺乏互操作性限制了安全解決方案的實施。

4.持續安全監控和響應

*物聯網設備數量龐大且分布廣泛，難以持續監控和檢測威脅。

*傳統的安全解決方案可能無法跟上物聯網安仝威脅的快速演變。

*延遲發現和響應可能導致嚴重的后果。

5.供應商管理和責任分攤

*物聯網系統包括多個供應商，每個人都對安全負有部分責任。

*責任劃分不清可能會導致安全漏洞和問責制不足。

*供應商安全實踐的脆弱性可能會影響整個物聯網生態系統的安全

性。

第四部分人為錯誤和內部威脅的持續風險

關鍵詞關鍵要點

【人為錯誤的持續風險】：

1.頻繁的誤操作和配置錯誤：人為錯誤是導致數據泄露的

主要原因，例如錯誤配置的安全設置、意外刪除數據或發

送敏感信息到錯誤的收件人。

2.安全意識的缺乏：許多員工缺乏必要的安全意識，無法

識別和應對網絡釣魚攻擊、社交工程技術或惡意軟件威脅，

從而增加數據泄露的風險。

3.遠程工作的挑戰：遠程和分布式工作場所的興起增加了

人為錯誤的可能性，因為員工必須處理更復雜的網絡環境

和安全協議。

【內部威脅的持續風險】：

人為錯誤和內部威脅的持續風險

人為錯誤和內部威脅是當今數據安全領域持續存在的重大風險。這些

風險源自各種來源，包括無意的行為、缺乏知識、惡意活動和內鬼威

脅。

無意的行為

無意的行為通常是人為錯誤的主要來源。這些錯誤可能包括配置不當、

訪問控制失誤或敏感數據的意外泄露。例如，員工無意中向外部電子

郵件地址發送包含機密信息的電子郵件。無意的行為通常源自對安全

實踐缺乏理解或遵守。

缺乏知識

缺乏知識是另一個重要的風險因素。當員工對數據安全措施和良好做

法不了解時，他們更有可能犯錯誤或無意中違反安全協議。例如，員

工可能不了解如何安全地處理機密數據，從而導致意外泄露。缺乏培

訓和教育往往會導致此類知識缺失。

惡意活動

惡意活動是人為錯誤和內部威脅的另一個主要來源。惡意攻擊者可能

通過多種方法利用內部威脅，包括社會工程、網絡釣魚和勒索軟件攻

擊。例如，惡意攻擊者可能會冒充高層員工并欺騙員工透露敏感信息。

內鬼威脅

內鬼威脅是最嚴重的內部威脅之一。內鬼是通過合法手段獲得對組織

資產或信息的訪問權限的人員，他們利用這些訪問權限實施惡意或有

害的行動。例如，內鬼可能會竊取敏感數據、破壞系統或泄露機密信

息。內鬼威脅往往更成檢測和預防，因為他們具有合法訪問權限。

減輕人為錯誤和內部威脅的風險

減輕人為錯誤和內部威脅的風險至關重要，可以采取多種措施來實現

這一目標：

*加強安全培訓和教育：定期為員工提供數據安全最佳實踐和公司政

策的培訓，以提高認識并減少錯誤。

*實施強大的訪問控制：限制對敏感數據的訪問權限，僅授予有明確

業務需要的員工權限。

*啟用多因素身份驗證：在訪問關鍵系統和數據時，要求員工提供額

外的身份驗證因素，以降低密碼泄露的風險。

*使用數據加密：加密敏感數據，即使數據遭到泄露，也可以保護其

機密性。

*監控異常活動：部署監控系統以檢測可疑活動，并對異常情況及時

采取措施。

*建立內部舉報機制：鼓勵員工舉報可疑活動或違規行為，以快速發

現和解決內部威脅。

*定期進行滲透測試和安全審計：通過外部或內部安全專家定期評估

系統和流程的安全性，識別弱點并采取補救措施。

通過采取這些措施，組織可以降低人為錯誤和內部威脅的風險，并保

護其敏感數據。

第五部分供應鏈攻擊和勒索軟件的威脅

關鍵詞關鍵要點

【供應鏈攻擊】

1.攻擊者通過滲透供應鏈中薄弱環節（如第三方供應商或

軟件更新），從而對目標組織發動攻擊，導致廣泛破壞和數

據泄露。

2.供應商評估和風險管理至關重要，組織應建立嚴格的審

查流程，以確保供應商的安全標準和合規性。

3.采用軟件供應能安全最佳實踐，如代碼簽名和漏洞管理，

有助于降低供應鏈攻擊風險。

【勒索軟件】

供應鏈攻擊和勒索軟件的威脅

#供應鏈攻擊

供應鏈攻擊是針對供應鏈中企業的網絡攻擊，目的是通過受信任的供

應商獲取對目標組織的訪問權限。供應鏈攻擊會對組織造成重大影響,

因為它們可能導致數據泄露、業務中斷和聲譽受損。

近年來，供應鏈攻擊的頻率和復雜性都在增加。這主要是由于以下幾

個原因：

*供應鏈的復雜性：現代供應鏈高度復雜，涉及多個供應商和合作

伙伴。這種復雜性為攻擊者提供了隱藏在合法流量中的機會。

*供應鏈中的信任關系：組織通常信任其供應商，這使得攻擊者可

以利用這種信任通過供應鏈部署惡意軟件。

*缺乏安全措施：許多供應商缺乏適當的安全措施，這使他們更容

易受到攻擊。

供應鏈攻擊可采取多種形式，包括：

*軟件供應商攻擊：攻擊者針對軟件供應商，向其產品注入惡意軟

件，該惡意軟件隨后被分發給供應商的客戶。

*第三方供應商攻擊：攻擊者針對第三方供應商，竊取或操縱其提

供給其他企業的服務或數據。

*硬件供應商攻擊：攻擊者針對硬件供應商，在設備中植入惡意固

件，該固件可在設備部署后被觸發。

#勒索軟件

勒索軟件是一種惡意軟件，它加密受害者的數據并要求支付贖金以解

鎖數據。勒索軟件攻擊對于組織來說可能非常昂貴，因為它們可能導

致業務中斷、數據丟失和聲譽受損。

勒索軟件攻擊近年來也變得更加普遍和復雜。這主要是由于以下幾個

原因：

*加密技術的進步：勒索軟件攻擊者現在使用強大的加密技術，這

使得解密數據變得更加困難。

*勒索軟件即服務(RaaS)：RaaS允許沒有技術技能的個人通過租

用勒索軟件工具發動勒索軟件攻擊。

*雙重勒索：攻擊者現在經常竊取數據并在威脅加密數據的情況下

泄露數據，從而增加受害者的壓力。

勒索軟件攻擊可采取多種形式，包括：

*電子郵件附件攻擊：攻擊者發送帶有惡意附件的電子郵件，當受

害者打開附件時，就會部署勒索軟件。

*網絡釣魚攻擊：攻擊者發送偽裝成合法網站或電子郵件的網絡釣

魚電子郵件，試圖誘使受害者點擊惡意鏈接并下載勒索軟件。

*遠程桌面協議（RDP）攻擊：攻擊者利用RDP漏洞獲得對受害者

計算機的遠程訪問權限，然后部署勒索軟件。

緩解供應鏈攻擊和勒索軟件威脅的措施

組織可以實施多種措施來緩解供應鏈攻擊和勒索軟件威脅，包括：

*對供應鏈進行風險評估：組織應評估其供應鏈的風險，并確定可

能受到供應鏈攻擊的領域。

*制定供應鏈安全策略：組織應制定供應鏈安全策略，概述與供應

商合作的安全要求。

*審查和監控供應商：組織應定期審查和監控供應商的安全措施，

以確保它們符合安全標準。

*使用網絡安全工具和技術：組織應實施網絡安全工具和技術，如

入侵檢測系統（IDS）和防火墻，以檢測和阻止供應鏈攻擊。

*實施勒索軟件預防措施：組織應實施勒索軟件預防措施，如數據

備份、補丁管理和安全意識培訓。

*制定勒索軟件響應計劃：組織應制定勒索軟件響應計劃，概述在

發生勒索軟件攻擊時的行動方案。

通過實施這些措施，組織可以降低供應鏈攻擊和勒索軟件威脅的風險

并保護其資產和聲譽。

第六部分人工智能和機器學習對數據安全的影響

人工智能和機器學習對數據安全的影響

人工智能(AI)和機器學習(ML)技術正在迅速改變數據安全領域。

這些技術為保護數據帶來新的可能性，同時也帶來了獨特的挑戰。

數據安全增強

*自動化威脅檢測和響應：ML算法可以分析大量數據，識別異常模

式和潛在威脅，并自動觸發響應。這可以極大地提高安全團隊發現和

應對攻擊的能力。

*增強身份驗證和訪問控制：A1可以利用面部識別、生物識別和其

他高級技術來加強身份驗證和訪問控制措施。這降低了未經授權訪問

數據和系統的風險。

*數據匿名化和加密：AI和ML算法可以用于匿名化和加密數據，從

而保護敏感信息免遭泄露或濫用。

數據安全挑戰

*數據偏差和歧視：AI和ML模型在訓練數據中存在偏差或歧視的風

險。這可能會導致算法做出不公平或錯誤的決定，對某些群體的數據

安全構成風險。

*模型可解釋性：ML模型通常是復雜的，解釋它們的決策過程可能

很困難。這給安全團隊帶來了理解算法行為并評估其可靠性的挑戰。

*隱私泄露：AI和ML算法需要訪問大量數據進行訓練和操作。這可

能會增加敏感信息的泄露風險，尤其是在數據處理不當的情況下。

*攻擊面擴大：AI和ML系統的引入擴展了攻擊面，為攻擊者提供了

新的漏洞來利用。例如，他們可以瞄準訓練數據，或操縱算法做出有

利于他們的決定。

緩解措施

為了緩解人工智能和機器學習帶來的數據安全風險，至關重要的是采

取以下措施：

*道德AI和ML實踐：建立道德準則，以確保負責任和公平地使用AI

和ML技術。

*數據治理和隱私保護：實施嚴格的數據治理和隱私保護措施，以確

保數據的正確收集、使用和處置。

*模型審查和監控：定期審查和監控AI和ML模型，以檢測偏差、可

解釋性問題和潛在的漏洞。

*安全意識和培訓I：提高安全團隊和數據處理人員對人工智能和機器

學習帶來的風險的認識，并提供必要的培訓。

人工智能和機器學習在數據安全領域具有變革潛力。通過意識和理解

這些技術的影響，并采取適當的緩解措施，組織可以利用其優勢，同

時最大程度地降低其帶來的風險。

第七部分個人數據隱私和監管環境

關鍵詞關鍵要點

個人數據隱私和監管環境

主題名稱：數據隱私法規的1.歐盟《通用數據保護條例》(GDPR)的出臺，建立了全球

演變數據隱私保護的基準，對個人數據的收集、處理和傳輸施加

了嚴格的限制。

2.加州《消費者隱私法案》(CCPA)和巴西《一般數據保護

法》(LGPD)等其他國家和地區也緊隨其后制定了全面的數

據隱私法規。

3.跨境數據傳輸的監管變得更加嚴格，促進了數據本地化

要求的興起，這給跨國企業帶呆了額外的合規負擔。

主題名稱：隱私意識的提高

個人數據隱私和監管環境

在當今數據驅動的世界中，個人數據隱私和監管環境變得至關重要。

隨著企業和政府收集和處理大量個人數據，保護個人信息免受濫用和

非法使用至關重要。

個人數據隱私

個人數據是指與個人有關的任何信息，可用于識別、聯系或定位該個

人。個人數據隱私涉及保護此類信息免遭未經授權的訪問、收集、使

用、披露或處理。

監管環境

為了保障個人數據隱私，世界各地制定了廣泛的監管框架。這些框架

旨在確保個人數據以公平、合法和透明的方式收集和處理。

主要監管框架

*歐盟通用數據保護條例(GDPR)：該條例是一項全面的歐盟法律，

為個人數據的收集、處理和傳輸設定了嚴格的規則。它賦予個人廣泛

的權利，包括訪問、更正、刪除和限制數據處理的權利。

*加利福尼亞消費者隱私法(CCPA)：該法律適用于在加利福尼亞州

經營的大多數企業，為消費者提供了與GDPR類似的權利。它還要求

企業實施合理的安全措施來保護個人數據。

*巴西通用數據保護法(LGPD)：該法律受GDPR啟發，為巴西公民

提供了全面的數據保護權利。它規定了數據控制者和處理者的義務,

并建立了國家數據保護機構。

*中國的個人信息保護法(PIPL)：該法律旨在加強對中國境內個人

信息的保護。它涵蓋了個人數據的收集、處理、存儲和轉移的各個方

回O

監管環境的趨勢

近年來，個人數據隱私和監管環境發生了重大變化。以下是幾個關鍵

趨勢：

*日益增長的監管力度：全球各國政府都在加強對個人數據隱私的監

管。預計未來監管環境將變得更加嚴格。

*消費者意識的提高：消費者越來越意識到自己的數據隱私權。這導

致對企業更負責任地處理個人數據的需求增加。

*技術的進步：人工智能和機器學習等技術進步帶來了新的個人數據

收集和處理方法。這些進步需要新的監管措施來解決隱私問題。

對企業的影響

不斷變化的個人數據隱私和監管環境對企業產生了重大影響。企業必

須遵守日益嚴格的法律，否則面臨巨額罰款和其他處罰。他們還需要

實施強有力的數據隱私計劃，以保護個人數據免受濫用和非法使用。

結論

個人數據隱私和監管環境是當今數字經濟的核心問題。隨著越來越多

的個人數據被收集和處理，保護這些信息免遭濫用和非法使用至關重

要。世界各地政府正在加強監管，企業必須采取措施遵守這些規定并

保護其客戶的個人數據。

第八部分數據安全風險評估和管理實踐

關鍵詞關鍵要點

數據安全風險評估

1.系統化風險評估方法：采用成熟的方法論，如NISTSP

800-30、ISO27005,全面識別和評估數據資產面臨的風險。

2.持續性評估流程：定期更新風險評估，反映業務和技術

環境的變化，確保持續了解風險狀況。

3.協作式風險評估:melibatkan業務部門、IT團隊和安全