?自從OCEG公司創(chuàng)始人Scott L.Mitchell在2007年首次將GRC定義為“使企業(yè)能夠可靠地實現目標、解決不確定性，并以誠信行事的綜合能力集合”以來，GDPR法規(guī)等數據標準已經被引入和修改，而威脅包括勒索軟件和欺詐行為造成的嚴重破壞。

定義治理、風險和合規(guī)性(GRC)

為了確定如何有效地控制GRC，必須首先明確定義每個方面在業(yè)務環(huán)境中的含義：

• 治理需要監(jiān)督系統(tǒng)的運作方式，實施所需的規(guī)則和流程框架，并在企業(yè)內部建立持續(xù)的問責制。
• 風險是指為減輕業(yè)務威脅而制定的計劃管理，其中包括網絡攻擊、IT中斷和系統(tǒng)漏洞。
• 合規(guī)性意味著同意圍繞數據和業(yè)務實踐遵守政府法規(guī)和行業(yè)框架。

綜合起來，這些領域對于企業(yè)維持合法和合乎道德的業(yè)務運營同樣重要?？紤]到這一點，以下探討各種規(guī)模和行業(yè)的企業(yè)在GRC方面需要牢記的事項。

風險管理最佳實踐

企業(yè)的IT基礎設施面臨的風險包括來自威脅參與者和內部威脅(惡意或意外)的網絡攻擊，以及由于技術故障和自然災害導致的IT中斷。無論在何種情況下，建立備份和恢復系統(tǒng)以最大程度地減少影響都是值得的。如果沒有這樣的策略，可能會丟失數據，客戶也會失去信任。在當今技術支持大多數業(yè)務流程的世界中，企業(yè)領導者無法將風險管理完全交給IT團隊。

無論端點位于何處，保護端點在風險管理最佳實踐中都發(fā)揮著重要作用。這意味著確保在必要時不斷管理、強制實施和更改密碼，并對所有用于工作的設備實施多因素身份驗證(MFA)。

業(yè)務中的風險和漏洞會不斷演變，這意味著需要對IT基礎設施進行嚴密監(jiān)控。威脅情報功能講述了數據處理背后的故事，解釋了網絡攻擊和其他威脅將如何進入系統(tǒng)，以及需要加強的地方。此外，企業(yè)應該始終為所有漏洞安裝補丁。

除此之外，企業(yè)的員工都需要參與進來，每位員工都有責任確?；A設施的安全。這需要建立一種將數據隱私和安全放在首位的企業(yè)文化。確保員工了解所有可能的威脅和漏洞，以及如何幫助預防它們成為了關鍵。

IT合規(guī)性工具

為確保企業(yè)的IT基礎設施符合法規(guī)和道德框架，市場上有一系列工具可以幫助簡化流程。在當今不斷發(fā)展的商業(yè)世界中，真正成功的治理、風險和合規(guī)性對工作人員來說變得越來越困難。為了緩解這種情況，IT合規(guī)工具可以幫助履行一系列重要職責：

• 控制審計——所有數據、安全和現金流流程都需要進行嚴格審計，以確保它們符合法規(guī)和道德框架。市場上的許多工具可以自動執(zhí)行這一操作，從而降低員工工作的復雜性。
• 網絡安全意識培訓——有一些工具可以通過舉辦網絡釣魚預防練習和其他模擬來幫助加強安全意識培訓。
• 了解客戶(KYC)—一套標準，旨在確保企業(yè)了解其客戶的風險管理能力，并能夠與他們開展相應的業(yè)務。這在金融服務領域尤為重要。
• 安全和財務文件的組織——至關重要的是，企業(yè)基礎設施和財務控制的所有安全措施都必須有據可查，并保存在一個安全、易于訪問的位置，以使信息專員辦公室等監(jiān)管機構受益。

• 零信任——由于勒索軟件等網絡威脅仍然猖獗，零信任網絡訪問(ZTNA)工具僅允許用戶使用正確的憑據通過，并且能夠發(fā)現和隔離威脅。

對大型科技公司行為的監(jiān)管

隨著谷歌公司和Meta公司等科技公司不斷擴大其數據實踐的范圍，在日常生活中發(fā)揮越來越大的作用，適當監(jiān)管競爭的重要性也在不斷增加。對所謂的大型科技公司行為的監(jiān)管已經上升到政府議程上，英國和歐盟正在探索制定立法。制定這些新法規(guī)意味著，大型科技公司內外的企業(yè)將需要重新評估他們的在線活動，以確保他們保持合規(guī)性。

例如，英國的在線安全法案旨在解決任何“合法但有害”的在線活動——這個術語對許多人來說似乎是模棱兩可的。這是指事物的道德方面，并強調需要維護積極的用戶體驗。畢竟，隨著企業(yè)社會責任(CSR)在消費者和人才(尤其是千禧一代和Z世代)的認知中發(fā)揮著越來越重要的作用，這是保持社會信任的關鍵。

為了使這樣的使命真正發(fā)揮作用，按照法規(guī)，企業(yè)需要擁有自上而下的多元化員工隊伍，這會帶來各種各樣的背景、思維方式和經驗。企業(yè)需要建立一種根深蒂固的多元化、公平性和包容性(DEI)|價值觀文化，并讓來自不同背景的團隊參與設計，確保對用戶的可能傷害降至最低。

金融服務的合規(guī)性

鑒于擁有高度敏感的資產，金融機構尤其需要遵守監(jiān)管法規(guī)。英國金融行為監(jiān)管局(FCA)等機構幫助確保消費者獲得適當的服務，確保整個行業(yè)的競爭保持公平。

數字優(yōu)先銀行和新銀行的出現增加了另一層監(jiān)管方法。隨著金融科技的不斷創(chuàng)新，適用于傳統(tǒng)金融服務(例如目前在美國使用)或東南亞地區(qū)正在發(fā)展的更具體的數字銀行文件的許可證。

為了使銀行和其他金融機構保持合規(guī)性，他們需要及時了解不斷變化的法規(guī)。合規(guī)性檢查需要嵌入到營銷和銷售業(yè)務中。企業(yè)的所有員工都應接受培訓，使他們具備將合規(guī)性放在首位的心態(tài)，并了解企業(yè)違反法規(guī)的后果。使用自動化和低代碼功能可以顯著地幫助金融機構輕松管理其流程，在必要時對其進行調整，而無需具有高科技背景。