Cyber​​ Essentials Plus-减轻风险并符合GDPR要求

RFA的乔治·拉尔夫（George Ralph）称，风险已成为私募股权行业公司日常生活的一部分，远远超出了动荡的市场和不可预测的现金流。公司必须应对私募股权公司及其投资组合公司中与技术使用相关的风险。

如果基础架构或系统无法达到期望，如果它们的运行成本更高，不可靠且运行不正常，则会带来不确定性并带来重大的技术风险。使用第三方供应商还存在风险，因为许多公司通常会聘请第三方来执行管理或人力资源服务。外包可以提高效率并提供竞争优势，但是这样做可以增加公司的风险敞口，而最终责任仍然在于私人股本公司。除此之外，即将出台的GDPR法规，脆弱的声誉以及不当行为或欺诈活动的持续威胁，而且企业有很多风险需要缓解。

除了上述风险外，网络安全威胁也是日常生活的一部分，并构成了巨大的威胁。网络威胁可能来自员工犯错，被网络钓鱼攻击抢劫或故意进行恶意行为。威胁可能来自外部，也可能通过第三方出现，并且一直存在。此外，根据GDPR，如果客户数据被泄露，并且发现它们没有得到充分保护，则可以起诉公司。但是，企业是否已尽力减轻网络安全风险？根据2017年4月发布的Ipsos Mori网络安全违规调查，只有33％的受调查高级经理制定了涵盖网络安全风险的正式政策，只有11％制定了网络安全事件管理计划。如果您决定制定计划，则其中应包括详细的基础架构映射，并使用适当的工具来突出显示和缓解薄弱环节。如果外包服务在内部相遇，请确保这些不是弱点。同一份调查结果报告说，有19％的受访者担心供应商的网络安全，但只有13％的受访者要求供应商遵守特定的网络安全标准或最佳做法。

我很高兴地说，RFA已获得IASME认证机构的完整认证，这意味着我们经过培训并获得许可，可以通过政府的“ Cyber​​ Essentials Plus计划”和IASME治理标准进行认证。作为GDPR专家审核员，我们提供的咨询服务可以帮助我们的客户实现强大的治理体系和受到充分保护的数据，从而符合GDPR法规。我们为制定风险战略和员工培训政策提供指导，为如何实施正确的安全硬件和软件基础架构以及如何训练有素的网络事件响应团队提供建议。

对于小型公司而言，网络安全风险管理可能是一项艰巨的任务，但是您可以采取一些简单的步骤：

获得Cyber​​ Essentials和Cyber​​ Essentials Plus认证是迈出的第一步，如果公司遭受违规，可以减轻ICO罚款。Cyber​​ Essentials认证证明您已采取基本步骤来保护您的业务和数据免受基于Internet的网络攻击，安心和符合GDPR的要求。RFA可以评估和认证私募股权公司的Cyber​​ Essentials和更高级别的Cyber​​ Essentials Plus。

进行供应链审核，以确保所有与公司合作的第三方均合规。如果您的系统之一不合规或不安全，则个人责任可能意味着无知是不可行的选择。

最后，将风险管理嵌入业务结构。将网络安全纳入员工入职培训中，定期更新员工，并将其保留在董事会会议上。