2025網絡安全重要趨勢在由AI主導的商業環境中,網絡安全的基本原則正變得愈發重要畢馬威國際/cyberconsiderations41420743致謝2025年八大關鍵網絡安全考量因素目錄作者簡介0503五年回顧2020–2025前言畢馬威如何助力您的網絡安全392025年網絡安全戰略2025網絡安全重要趨勢2?

2025畢馬威企業咨詢(中國)有限公司—中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。在科技深度滲透職業和日常生活方方面面的當下，網絡安全已不僅僅是企業關注的問題，更成為了影響社會各方面的廣泛議題。根據畢馬威的研究，首席執行官們認為網絡安全是過去十年中的首要威脅。1智能產品的普及，從汽車和醫療器械到家用電器及其他與物聯網相關的設備，持續擴大了網絡攻擊面，并以前所未有的方式將物理威脅和數字威脅相結合。深度偽造技術的興起，以及加密貨幣等數字資產的復蘇（此類資產仍基本處于無監管且波動性高的狀態）進一步加劇了這些威脅的復雜性，要求人們提高警惕并采取創新對策。在此環境中，首席信息安全官亟需專注于自身及團隊對AI技術的學習，不僅要組建最佳團隊，還要理解每個應用場景所帶來的獨特風險。至于人才招聘和開發，首席信息安全官面臨著艱巨任務，即組建能夠理解AI復雜性及其潛在風險的團隊——由于該領域的快速創新以及整個企業中出現的難以管理的“影子AI”，這項任務變得更加復雜。與此同時，網絡安全能力的合理化或整合也已經提上日程，安全團隊正在從其安全運營中心（SOC）中的數十種解決方案轉向一套精簡的最佳工具套件，以更有效更經濟地集成解決方案，并持續利用這些工具提供商提供的新AI能力。今天的網絡安全挑戰遠超傳統技術技能的范疇，需要采用跨學科的方法，涵蓋對風險管理的深刻理解，以及問題解決、批判性思維和溝通等軟技能。網絡安全專業人士可以來自非傳統背景，并且必須能夠迅速適應并掌握超出計算機科學、軟件工程或信息技術等傳統學位培訓通常教授的知識。2

對于網絡安全專業人士而言，優先進行情境風險評估至關重要，但同時不能忽視明確且靈活的控制措施的需求。畢馬威《2024年全球首席執行官展望》（KPMG

2024

Global

CEO

Outlook），2024年8月。世界經濟論壇，《戰略性網絡安全人才框架》（Strategic

Cybersecurity

Talent

Framework），2024年4月。2025網絡安全重要趨勢3?

2025畢馬威企業咨詢(中國)有限公司—中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。人工智能（ArtificialIntelligence，簡稱AI）在幾乎所有工業領域的應用揭示了在AI模型和流程中嵌入信任的緊迫性，即通過建立一個全面而穩健的治理計劃，使首席執行官能夠借此了解各種商業案例，確定AI在組織中的使用范圍和方式，并識別相關的漏洞。前言隨著2025年的到來，數字環境以前所未有的速度持續演變，在帶來新挑戰的同時，也放大了企業對采取強有力網絡安全措施的迫切需求。在此背景下，第六期年度《網絡安全重要趨勢》的全球發布揭示了各行業組織目前及即將面臨的挑戰，并強調其可采取的幾項戰略舉措。這些舉措均與本報告中深入探討的八項關鍵網絡安全重要趨勢一致。首席信息安全官（CISO）職責持網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速安全管理平臺整合：數字身份安全管理迫在眉睫智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和續演變前行與安全并重平衡風險與收益社會安全網絡安全并非靜態功能，而是一個動態且不斷演變的挑戰。例如，量子技術的崛起，攻擊者可以通過量子計算以驚人的速度繞過加密工具，可能會破壞從銀行和零售交易到商業數據、文件、電子郵件等的一切；“超級智能”AI系統的潛力，該系統能持續完善和擴展知識，并在感知危險時自我保護；以及虛假信息的傳播速度，尤其是通過深度偽造的音頻和視頻內容的傳播——這些正是導致首席信息安全官夜不能寐的新興問題。這些威脅和其他威脅也凸顯了對創新和戰略遠見的迫切需求。立法環境正在向更本地化的監管方向轉變，這給全球安全運營帶來了多方面的挑戰。這一點，再加上經濟上迫切需要不僅以投資回報為基礎，而且需要以緩釋風險為基礎來證明安全預算的合理性，使首席信息安全官處于在沒有預算保證的情況下使用安全資源的危險境地。首席信息安全官還面臨日益復雜的地緣政治局勢的挑戰。隨著國家支持的網絡攻擊、監管環境的變化以及跨境數據流動的不斷增加，首席信息安全官必須在錯綜復雜的局面中有效保護企業網絡。顯然，提前應對新興威脅并確保合規的壓力比以往任何時候都更加嚴峻。當今首席信息安全官的廣泛經驗——無論是經歷過重大安全事件的人，還是僅經歷過小規模安全沖突的人——都強調了對動態威脅環境進行細致評估的必要性。在本報告中，畢馬威專家更深入地探討了這些問題，提供了對當前網絡安全狀況的全面分析，并為首席信息安全官提供了與八項網絡安全重要趨勢相契合的實際策略。我們的目標是為領導者提供能夠應對數字時代復雜性的知識和工具，以應對數字時代的復雜性，確保他們的組織在充滿魅力和激動人心、但往往不確定的未來中保持安全和韌性。技術格局正在迅速演變，新的威脅每天都在涌現。為了保持領先，企業必須積極主動，而不是被動應對，以保護其數字資產、確保合規性，并營造一個安全且有利發展的環境。Bobby

Soni全球技術咨詢主管畢馬威國際首席信息安全官（CISO）職責持網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速安全管理平臺整合：數字身份安全管理迫在眉睫智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和續演變前行與安全并重平衡風險與收益社會安全2025網絡安全重要趨勢4?2025畢馬威企業咨詢(中國)有限公司—中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。過去五年間，本報告的編寫始終以不斷演變的網絡安全格局為核心，如今這一核心也已成為組織領導者的切實關注點。此外，許多關鍵主題持續引起共鳴——韌性、身份訪問管理（IAM）、云安全、人才與技能缺口等，不一而足。從下一頁的趨勢分析（2020-2025年）可以看出，許多基本的網絡安全基礎仍在當前研究中占據核心地位。但面對新技術、新的監管要求、更復雜的工具以及日益嚴峻的威脅態勢，首席信息安全官的職責范圍和責任正在顯著加大。五年回顧

2020–2025首席信息安全官（CISO）職責持網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速安全管理平臺整合：數字身份安全管理迫在眉睫智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和續演變前行與安全并重平衡風險與收益社會安全2025網絡安全重要趨勢5?2025畢馬威企業咨詢(中國)有限公司—中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。然而，這一關鍵領域的底層邏輯已經從傳統的網絡安全措施轉向了全球多維數字景觀中的優先事項和挑戰，首席信息安全官及其團隊必須近乎實時地對此作出響應。最重要的是，必須強調網絡安全的普遍性，它已經超越了技術風險，涵蓋了更廣泛的企業威脅，影響著各行各業和社會。讓我們更深入探討一下：隨著新冠肺炎疫情的暴發以及遠程工作安排的常態化，云安全和AI安全已成為首席信息安全官的關鍵目標。人才以及始終存在的技能缺口，長期以來一直至關重要，因為新興技術的應用和發展，要求人才具備新的、多樣化的技能。身份管理的轉變，從傳統的IAM（一個重要但獨立的功能）轉移到了零信任戰略的核心，涵蓋數字身份驗證和深度偽造識別。韌性已成為一個核心目標，并將繼續保持這一地位。首席信息安全官持續努力強化網絡安全措施，尤其是隨著網絡 威脅轉變為影響廣泛的業務威脅，這些威脅有可能擾亂行業并 危害社會。趨勢分析2020–202520252020關鍵主題新冠肺炎疫情遠程工作—新常態生成式

AI歐盟AI法案網絡攻擊變得更為普遍，影響著企業、行業和社會整體。關鍵事件基于AI的網絡威脅，即AI釣魚、智能惡意軟件、深度偽造、大規模監控等……戰略與領導力首席信息安全官已成為值得信賴的內部顧問和運營領導者。將對話從成本和速度轉移到戰略性及有效的網絡安全。首席信息安全官的預算越來越與降低業務風險掛鉤。隨著網絡安全在組織內部變得更加普 遍，首席信息安全官面臨的交付壓力 也在增大。首席信息安全官的角色分散了，但問責 制卻因監管發展而增加。人員與人才網絡安全團隊正在轉型，成為戰略 決策桌上擁有重要話語權的關鍵資 源。網絡安全的存在是為了支持組織，而不是阻礙——從組織執行者到影響者。將網絡安全納入組織結構中。網絡技能差距依然存在——AI可能會提供一些可行的解決方案，但勞動力仍需要掌握和應用新的技能。技術與數據新的虛擬基礎設施模型和協作工具。加速的云轉型（由于COVID-19），但網絡安全問題被置于次要地位。傳統身份認證與管理（IAM）。通過自動化增強網絡安全。生成式AI的快速發展給網絡安全創造了活力。保護一個無邊界的以數據為中心的世界。將身份置于零信任的核心。對網絡AI的投資變得更具戰略性和前瞻性。企業范圍的成本節約、效率、安全和創新（尤其是AI實施）推動了平臺整合。數字身份和深度偽造的興起。數字信任網絡安全和隱私法規聚焦于業務優先事項和責任，以及信任的重要性。數字信任是一項共同責任，始于業務本身，并涉及多個利益相關者，例如：CISO、DPO、CDO、

CIO等等。在AI中嵌入信任并滲透到商業和社會的所有結構中-重點關注網絡安全、隱私、物理安全、道德等。韌性從基于場景到基于影響——重點關注批判性和監管。不再僅僅是預防——重點在于響應和恢復。首席信息官繼續加強組織韌性，因為 網絡威脅已經從技術風險演變為企業 和行業威脅，并對社會造成潛在的危 害。網絡戰爭在地緣政治沖突中的使用增加2024CrowdStrike事件首席信息安全官（CISO）職責持網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速安全管理平臺整合：數字身份安全管理迫在眉睫智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和續演變前行與安全并重平衡風險與收益社會安全2025網絡安全重要趨勢6?2025畢馬威企業咨詢(中國)有限公司—中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。首席信息安全官（CISO）職責持續演變01

隨著網絡安全職能在組織內更廣泛地嵌入并被深入理解，CISO及其團隊的工作重點，以及與組織其他部門的協作模式將持續演變。網絡安全人才管理至關重要面對數字化轉型壓力，組織普遍面臨工作負荷激增的挑戰，使得網絡安全人員能力差距被放大。盡管AI與自動化技術可提供支持，但團隊仍會面臨無法解決的問題，存在人員流失風險。02駕馭AI賦能網絡安全：快速前行與安全并重從技術培訓缺失到對新興技術落后的擔憂，多重因素都在推動AI應用熱潮。其中一個關鍵挑戰在于找到AI在網絡安全與隱私管理領域中的潛在收益與風險的平衡點。04構建可信人工智能AI技術雖已與各類組織職能有了良好的結合，但其自身面臨的網絡安全與隱私保護風險，仍會能影響AI技術的全面推廣。03安全管理平臺整合：平衡風險與收益為降低技術復雜性與成本，全球企業正加速整合安全工具與服務至單一或有限平臺，但需同步識別并規避集中化衍生的固有風險。數字身份安全管理迫在眉睫盡管全球數字身份計劃加速推進，但系統互操作性仍受深度偽造技術威脅掣肘，且生物識別數據處理面臨監管差異與公眾信任挑戰。06構建企業韌性：網絡安全護航企業和社會安全韌性正成為CISO議程的核心，因為攻擊者使用勒索軟件或其他惡意手段造成大規模工業中斷的可能性仍然令人擔憂，這不僅危及數據，也危及人類生命。08智能設備的“智能”安全防護智能設備與產品的普及正顛覆傳統安全范式，推動監管機構建立新制度以確保產品滿足基礎安全要求。072025年八大關鍵網絡安全重要趨勢點擊每個趨勢以了解更多信息。首席信息安全官（CISO）職責持網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速安全管理平臺整合：數字身份安全管理迫在眉睫智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和續演變前行與安全并重平衡風險與收益社會安全052025網絡安全重要趨勢7?2025畢馬威企業咨詢(中國)有限公司—中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。重要趨勢1首席信息安全官（CISO）職責持續演變多重因素正在重塑網絡安全格局，并顯著轉變首席信息安全官（CISO）的角色。監管審查的加強、近乎零失敗的交付壓力、以及問責制和個人風險的增加，共同推進

了這一角色的轉變。與此同時傳統的首席信息安全官職能正逐漸分散到組織各處，這引發了人們對于該角色未來定位和網絡安全職能演變的思考。首席信息安全官的成功很可能取決于其能否有效建立決策權威、管理新興技術特別是AI的影響，以及能否適應新威脅。運營模式演變下的更高期望首席信息安全官（

CISO）的角色正變得越來越復雜。監管審查以及確保整個組織具有強大的網絡安全成果的需求是主要驅動因素。這種復雜性進一步因運營模式的變化以及對外部供應商依賴的增加而加劇。然而，現有的網絡安全控制措施可能并不總是與組織的獨特需求相符合，特別是在涉及跨越多個國家的全球運營的情況下。當談到基于云軟件供應商時，情況會更加復雜，因為其控制措施通常是二元化的——要么使用要么不使用。理想情況下，首席信息安全官希望根據情況或地理位置靈活調整控制措施的開關——在美國開啟，但在德國關閉；在新加坡開啟，但在瑞士關閉。Paul

Spacey全球首席信息安全官畢馬威國際首席信息安全官現在面臨著管理并配置供應商提供的網絡安全控制措施的挑戰，他們需要確保這些控制措施符合目的并遵守當地法律法規。運營模式的轉變意味著首席信息安全官對網絡安全措施實施的直接控制力減弱。雖然這些供應商提供的嵌入式網絡安全和隱私控制可能有益，但它們通常缺乏首席信息安全官有效管理跨多種環境風險所需的靈活性和細致程度。首席信息安全官們必須在應對這種復雜性的同時，確保員工高效工作，并保持對組織內控制操作的可視性。首席信息安全官（CISO）職責持網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速安全管理平臺整合：數字身份安全管理迫在眉睫智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和續演變前行與安全并重平衡風險與收益社會安全2025網絡安全重要趨勢8?2025畢馬威企業咨詢(中國)有限公司—中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。過去，CISO的首要任務是識別并保護組織的‘皇冠上的明珠’——關鍵數據、知識產權，商業秘密等。但如今，CISO必須聚焦于業務的網絡安全和韌性。Wendy

Lim合伙人，網絡安全，咨詢畢馬威新加坡首席信息安全官（CISO）職責持網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速安全管理平臺整合：數字身份安全管理迫在眉睫智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和續演變前行與安全并重平衡風險與收益社會安全設計網絡安全的組織角色和范圍的藍圖圍繞CISO職位的組織結構正在演變，越來越多的趨勢是如果公司設有技術信息安全官（TISO），則會將其職責與CISO分開。這種角色劃分使CISO能夠專注于風險管理及更廣泛的網絡安全規劃。

TISO通常嵌入在組織的技術職能中，負責監督相關控制措施的實施并管理日常運營。2025網絡安全重要趨勢9?2025畢馬威企業咨詢(中國)有限公司—中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。此外，較大的組織可能擁有多名CISO，每位負責不同的業務線，如供應鏈網絡或商業線上平臺。這種職責劃分是因為單一角色可能難以在精通所有領域細節的同時有效管理整體網絡安全態勢。隨著網絡安全領域的不斷擴大，首席信息安全官（CISOs）發現自

己承擔了更廣泛的職責范圍。他們必須成為包括控制、性能、風險、情報、身份管理以及整體網絡安全等各個方面的事實來源。首席信息安全官被要求以對企業相關且易于理解的方式呈現這些信息，從而支持管理層做出明智的決策。雖然首席信息安全官（CISO）可以將許多安全優先事項委托給其

他團隊，例如報告關鍵風險指標、運行風險評估和執行滲透測試，但他們仍必須保持對這些活動的監督和了解。CISO面臨的挑戰是：如何在擴大職責范圍的同時，確保組織的敏捷性、效率和態勢感知能力。走鋼絲：在日益增長的風險面前平衡責任與權力日益增加的監管審查和個人責任的風險突顯了為首席信息安全官（CISO）明確界定責任和決策權的必要性。如果發生網絡安全事件，CISO可能會發現自己面臨法律和專業后果，尤其是在受到嚴格監管的行業中。為降低這一風險，組織必須建立正式的治理流程，賦予首席信息安全官（CISO）在事件發生時采取必要行動的權力，避免因猶豫而延誤響應。這包括向CISO明確說明他們的權限以及他們可以操作的范圍。有了這些，他們可以迅速而自信地做出關鍵決策。CISO的匯報線也決定了有效管理網絡安全風險的能力。雖然與高管層、總法律顧問和董事會直接溝通很重要，但CISO仍需基于技術專長保有自主決策權。在緊急情況下，如供應鏈遭到破壞時，CISO需有權立即采取行動，而無需等待缺乏技術背景的上級批準。然而，這種自主性必須與高層共同定制的明確的問責制和約束機制相平衡。首席信息安全官（CISO）應在評估網絡安全事件的關鍵時刻綜合思量，充分考慮潛在后果，并評估確定最有效的行動方案。在未來，CISO很可能需要持續地在組織的其他領域之間進行權衡，平衡董事會、業務、技術管理人員以及他們自己管理內在風險的需求。這要求CISO必須成為精明的利益相關方管理者，能夠駕馭復雜的關系并有效傳達網絡安全優先事項的重要性。為了實現這一目標，首席信息安全官（

CISO

）可以考慮在關鍵業務職能內嵌入安全人員，推動安全文化與優先事項的全局對齊。通過培養全局視角，CISO可以為董事會提供高價值洞察，并確保網絡安全融入組織的核心結構中。還有就是許多監管機構關注的韌性目標。韌性要求企業梳理關鍵業務流程及應對事件的系統性能力，而非僅靠CISO一鍵啟動響應那么簡單。正因如此，企業開始拆分職責。公司意識到，要想實現高效運營不能只依賴于某一個人。整個安全團隊必須全天候保護企業，但攻擊者只需要一個漏洞就能突破防線。顯然，這是一場不公平的戰爭，要想贏得勝利，必須依賴企業多部門的協同作戰。CISO可能是最佳指揮官，但他們絕非孤軍奮戰。網絡安全已經成為一個高度分工與協作的工作。盡管如今的首席信息安全官（CISO）與業務各部門密切合作，但他們必須用統一的方式來管理風險，同時支持組織的商業利益。Oscar

Caballero合伙人，網絡安全負責人畢馬威墨西哥3畢馬威《2024年全球首席執行官展望》（KPMG

2024

Global

CEO

Outlook），2024年8月。首席信息安全官（CISO）職責持網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速安全管理平臺整合：數字身份安全管理迫在眉睫智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和續演變前行與安全并重平衡風險與收益社會安全重塑未來的CISO行動指南隨著組織越來越多地采用自動化和AI技術，CIS

O的角色預計將經歷重大變化。安全運營中心（

SOCs）的自動化程度不斷提高，預計將導致團隊規模縮小，對日常運營的關注減少。網絡安全職責的龐雜性迫使企業拆分職能，CISO將難以有效地監督技術交付團隊、管理能力、解讀控制信號以及處理報告、數據工程、人員管理、外聯和培訓等各個方面的工作。這種繁重的工作量可能會使他們在崗位上陷入困境，最終無法正常履職。2025網絡安全重要趨勢10?2025畢馬威企業咨詢(中國)有限公司—中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。因此，首席信息安全官（

CISO）需將注意力擴展到其他關鍵戰略領域。隨著生成式AI在各行業的迅速采用，CISO可以在確保組織理解和緩解相關風險方面發揮關鍵作用。他們需要更具戰略性和前瞻性，在AI項目的早期階段介入，向業務部門解釋潛在風險并提出必要的緩解措施。總之，首席信息安全官需要確定如何利用AI更好地保護公司、員工和客戶，并在AI模型中嵌入針對性的網絡安全措施。畢

馬威研究發現，64%的全球CEO表示無論經濟情況如何都將持續投資AI。3建議行動隨時了解法規變化，與董事會溝通，明確職權范圍，以降低個人責任風險。為由于AI自動化和轉向基于云的服務而演變的首席信息安全官（CISO）角色做好準備。牽頭討論采用AI等顛覆性技術，解釋風險及緩解措施。繼續在DevSecOps過程中通過設計構建安全性，并且將專注于網絡安全的團隊成員嵌入到業務功能中。隨著個人數據與企業數據在基于云和AI服務之間的界限變得模糊，需對第三方供應商進行全面的盡職調查，以確保他們的合同義務清晰且與其組織的整體數據治理框架一致。了解更多從根本上說，降低攻擊概率始于對環境的理解。你無法保護你不了解的東西。CISO必須了解整個網絡安全狀況：組織的關鍵業務應用程序和服務、公開暴露的資產、現有控制措施、主動防御策略、安全態勢以及攻擊者常用手段等。所有這些都是基礎。只有這樣，他們才能確定如何減少壞事發生的幾率。Lou

Fiorello副總裁—安全產品

ServiceNow畢馬威《2024年全球首席執行官展望》畢馬威2024年全球技術報告CISO如何幫助啟動生成式AI項目112025網絡安全重要趨勢?2025畢馬威企業咨詢(中國)有限公司—中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全首席信息安全官（CISO）職責持網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速安全管理平臺整合：數字身份安全管理迫在眉睫智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和續演變前行與安全并重平衡風險與收益社會安全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。在網絡安全領導層面臨的一系列挑戰中，人才技能缺口尤為突出。人力因素仍然是對抗網絡威脅中最關鍵的因素。新技術的復雜性以及威脅的快速演變，正加劇本已嚴峻的技能缺口。為了應對這些挑戰并保障其數字資產，組織必須采取全面策略，認識到人在構建韌性網絡安全生態系統中的核心作用。賦能人才所需的工具，培養強大的網絡安全文化，優化AI的使用，以及強化人才輸送管道均是一些可行的解決方案。解決網絡安全技能缺口和人才留存問題根據世界經濟論壇的數據，超過一半（52%）的公共組織表示缺乏資源和技能不足是創建有效網絡韌性的最大挑戰。4

許多報道都圍繞著經驗豐富的網絡安全人才短缺和技能缺口問題，網絡安全崗位的流失率比其他職位高出近8個百分點，使得團隊的穩定性難以維持。5

在現階段，網絡安全作為一門職業在迅速發展，對擁有專門知識人才的持續需求，已經遠超教育機構培養足夠合格候選人的速度。6技術技能與非技術技能的割裂日益明顯。雖然強大的技術能力仍然是核心關鍵，但溝通能力、解決問題能力、適應力和協作等非技術技能對于隱私、風險和合規專業人士而言愈發重要。為了應對這一差距，行業領導者需優先實施綜合性培訓計劃。人才保留是另一關鍵挑戰，近期的畢馬威安全運營中心（SOC）調查顯示，近半數（47%）的安全領導者在留住優秀員工方面存在“重大問題”。7隨著對經驗豐富的網絡安全專業人士的需求持續超出供給，CISO必須制定策略吸引和保留多元化人才。這需要與人力資源（

HR）合作，了解并滿足多個代際員工的獨特需求。例如，職場中最年輕且增長最快的Z世代與千禧一代，他們尤為重視工作與生活的平衡、認可度以及職業發展機會。8組織可通過提供靈活的工作安排、清晰的職業路徑和發展專業技能的機會，為網絡安全人才創造一個更具吸引力的工作環境。包容性、多樣性和公平性（IDE）倡議也將有助于解決網絡安全人才短缺問題。積極鼓勵和支持女性與多元群體參與網絡安全，有助于組織拓寬人才池，并受益于獨特的視角和創造力。然而，僅僅促進多樣性是不夠的；雇主還必須創造支持性和包容性的環境，使多元化的員工能夠茁壯成長，特別是那些處于神經多樣性譜系上的人群。世界經濟論壇，《戰略性網絡安全人才框架》白皮書（Strategic

Cybersecurity

Talent

Framework

white

paper），2024年4月。STI

Group,《美國網絡安全就業狀況：分析增長、需求和留存挑戰》（The

State

of

US

Cybersecurity

Employment:Analyzing

Growth），2024年4月5日。畢馬威,Matthew

Miller,關于SOC網絡安全人才缺口的應對措施（Addressing

the

Cybersecurity

Talent

Gap

in

the

SOC）,LinkedIn,2024年8月1日。畢馬威網絡安全調查，《安全運營中心領導者視角》（Security

Operations

Center

Leaders

Perspective），2024年4月。Paychex,《駕馭新勞動力：在職場上吸引千禧一代和Z世代》（Navigating

the

New

Workforce:Engaging

Millennials

and

Gen

Z

in

the

Workplace），2024年4月23日。重要趨勢2網絡安全人才管理至關重要首席信息安全官（CISO）職責持網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速安全管理平臺整合：數字身份安全管理迫在眉睫智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和續演變前行與安全并重平衡風險與收益社會安全2025網絡安全重要趨勢12?2025畢馬威企業咨詢(中國)有限公司—中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。AI是網絡安全的核心組成部分，而不是簡化因素盡管許多組織仍處于AI技術應用的早期階段，但隨著網絡犯罪分子越來越多地轉向AI來增強其攻擊策略，首席信息安全官

(CISO)應該探索如何安全負責地將AI整合至網絡安全戰略中。為了保持領先地位，AI賦能的領域（如實時威脅檢測、快速事件響應和預測建模）應成為主要關注點。AI也可以幫助緩解人員短缺的壓力。在大多數情況下，AI將成為安全團隊彌補技能缺口的真正助力——而非取代人類。根據畢馬威SOC調查，至少六成的安全領導者認為AI是網絡安全功能的

“游戲規則變革者”，包括身份和訪問管理、威脅檢測與響應以及邊界監控。9通過使用AI自動化處理常規任務，組織可以顯著提高效率，使網絡安全團隊能夠專注于更復雜、更具戰略性的網絡防護任務。人為監督在AI的應用過程中發揮關鍵作用。CISO應確保他們的團隊接受充分培訓，以便與AI系統協同工作，理解其能力、局限性和潛在偏見。AI也是工作場所中的焦慮來源，因此，與AI達成共識并信任AI將是進步的關鍵。根據畢馬威的研究，超過四分之三的組織（

78%）擔心團隊仍然認為AI是一個神秘的“黑盒子”。幾乎同樣多的人（

77%）預計AI將引起操作挑戰，導致崗位縮減并引發倫理問題。10

但我們相信，人類的直覺、創造力和情境理解力與AI的速度、可擴展性和數據分析能力的結合將共同構建一個更具韌性的網絡安全生態系統。畢馬威網絡安全調查，《安全運營中心領導者視角》（Security

Operations

Center

Leaders

Perspective），2024年4月。畢馬威《2024年全球首席執行官展望》（KPMG

2024

Global

CEO

Outlook），2024年8月。畢馬威與麻省理工學院斯隆管理學院網絡安全聯合研究，2024年9月。畢馬威，《新時代的網絡安全文化：如何利用AI促進安全的工作行為》（Anew

age

of

cybersecurity

culture:How

to

harness

AI

to

promote

secure

workplacebehaviors），2024年12月。人們應該認為網絡安全的存在不應成為中斷業務運營的障礙或減速帶，而應快速、安全地解決問題，并與內部和外部利益相關者建立信任。BreahSandoval首席網絡安全與技術風險總監畢馬威美國為了更好地理解這種關系，畢馬威與麻省理工學院（

MIT）合作研究了網絡安全文化、其挑戰以及AI可以產生的影響。11

雖然許多組織在建立網絡安全文化的旅程中仍處于早期階段——尤其是在利用AI來支持這一方面——但在畢馬威和麻省理工學院的一項定量調查中，74%的受訪者同意建立以網絡安全為中心的文化是企業范圍內成功整合AI的核心。12

從意識至行動：培育主動型網絡安全文化當組織內的每個人都積極參與有效管理網絡風險時，才會建立強大的網絡安全文化。首席信息安全官（

CISO）必須認識到，人類并不是網絡安全中最薄弱的環節，當員工充分參與到網絡安全建設中時就會成為組織最強的網絡防御能力。如果不在整個組織中優先嵌入風險規避文化，那么主動識別風險的重擔就完全落在了網絡安全團隊的肩上。這不僅不可持續，也會使組織容易受到潛在安全漏洞的威脅。為了建立一個真正具有彈性的網絡安全生態系統，CISO必須專注于彌合安全團隊與更廣泛員工隊伍之間的差距。這包括積極與團隊成員和高級領導層互動，教育他們了解網絡安全的重要性，并賦予他們保護組織數字資產的責任。充分動員員工并形成對網絡風險的共同理解可以轉變整個組織

處理網絡安全的方法。因此，網絡安全不僅是一個獨立的功能，更是一種集體責任。這要求首席信息安全官（

CISO）成為能夠連接技術與非技術利益相關者的領導者。首席信息安全官（CISO）職責持網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速安全管理平臺整合：數字身份安全管理迫在眉睫智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和續演變前行與安全并重平衡風險與收益社會安全2025網絡安全重要趨勢13?2025畢馬威企業咨詢(中國)有限公司—中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。為了創建一個對用戶更友好且高效的網絡安全環境，首席信息安全官應采用以人為中心的設計方法來評估和優化安全流程。這意味著識別并解決那些讓員工感到沮喪或困擾的具體流程。許多此類問題可能導致生產力下降以及違規風險增加。通過仔細分析這些流程，首席信息安全官可以確定哪些控制措施對于保護關鍵資產是必不可少的，哪些可以簡化、合理化甚至取消。通過這種方法，首席信息安全官可以為員工創造一個更直觀且干擾更小的安全體驗，從而培養合規文化和共同責任感。這有助于提升員工對網絡安全的積極認知，并鼓勵員工成為主動參與者。從更廣泛的網絡人力資源管理角度來看，首席信息安全官可以發揮至關重要的跨職能協調作用，衡量員工的安全知識、態度和行為，揭示以人為中心的風險潛在驅動因素，并將網絡安全從限制性功能轉變為一種關鍵能力和業務推動力。政府和企業間的合作可以支持網絡作為一項職能，并促進其作為職業的發展除了彌補當前的技能缺口，政府、學術機構和組織應合作推廣網絡安全作為有吸引力的職業選擇。1313世界經濟論壇，《為什么彌合網絡安全技能差距需要協作方法》（Why

closing

the

cyber

skills

gap

requiresa

collaborative

approach），2024年7月23日。這一努力應盡早開始，吸引初中及以下的年輕群體——尤其是女生——但也應包括那些正在開啟第二職業或重新進入職場的男女，以展示可供選擇的多樣機會。政府可以通過投資網絡安全教育項目、提供獎學金和實習機會，并與行業合作提供實踐學習經驗來支持這一倡議。讓孩子們從青少年時期就開始接觸網絡安全，并通過活躍的生態系統激發其對網絡安全的興趣，從而鼓勵更多人投身這一關鍵領域。除了早期教育和意識提升外，政府和行業領袖還需共同開發個人進入網絡安全勞動力市場的非傳統路徑。雖然傳統的計算機科學及相關領域的大學學位仍然很有價值，但它們往往無法跟上迅速變化的威脅環境以及崗位所需的特定技能。對此，投資于短期認證項目和專項培訓課程有助于快速提升技能和重新培養來自不同背景的專業人士。通過一個更加靈活和包容的人才供應鏈，建立一支更強壯、更有韌性的網絡安全隊伍，以應對未來的挑戰。我們面臨的最大網絡挑戰和脆弱性不再主要存在于代碼、系統、或者數字通道中，而在于日常管理并操作這些網絡的人員。他們需要支持、培訓和培養，以掌握他們所需的技能和防御能力來保護我們的數據和系統。Dominika

Zerbe-Anders網絡安全風險合作伙伴及解決方案負責人畢馬威澳大利亞首席信息安全官（CISO）職責持網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速安全管理平臺整合：數字身份安全管理迫在眉睫智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和續演變前行與安全并重平衡風險與收益社會安全2025網絡安全重要趨勢14?2025畢馬威企業咨詢(中國)有限公司—中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。Verizon,《數據泄露調查報告》（Data

Breach

Investigation

Report）,2023.世界經濟論壇，《彌合網絡安全人才缺口》（Bridging

the

Cyber

Skills

Gap），2024。開發并部署超越傳統做法的持續培訓項目方法，利用創新和沉浸式的技術（如模擬演練）來推動員工行為可持續性變化。通過讓員工參與網絡安全倡議，提供適當的教育，并營造一種認可他們作為組織最強網絡防御能力的角色的文化，來增強員工的能力。建立一個年度網絡影響力人物項目，確保與員工和高級管理層的定期互動，以提高網絡安全意識并開展合作。15實施以人為中心的風險降低策略，專注于解決網絡安全中的人為因素，因為人為因素占了四分之三的網絡入侵。14投資于AI技術以衡量、量化和跟蹤人為風險，從而實現更有效的風險管理，并與不斷演變的威脅格局保持一致。建議行動認識到CISO的角色從單一的網絡防御者擴展到風險管理師、政策倡導者和影響力推動者。需要培養和提升溝通與影響能力，以有效地傳達網絡安全的重要性，并推動各層級和各部門的變革。了解更多網絡安全文化的新時代畢馬威2024網絡安全調查未來工作模式152025網絡安全重要趨勢?2025畢馬威企業咨詢(中國)有限公司—中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全首席信息安全官（CISO）職責持網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速安全管理平臺整合：數字身份安全管理迫在眉睫智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和續演變前行與安全并重平衡風險與收益社會安全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。組織持續探索如何通過AI增加其業務運營的價值，但領導層在AI的采用上仍然持懷疑態度，尤其是在安全和隱私方面。數據泄露、未經授權的訪問和濫用的風險居高不下。此外，某些AI的具體機制仍缺乏明確性，部分算法可能導致偏見、歧視及其他意外后果。在此背景下，提升圍繞AI的開發和部署的透明度、問責制的明確和治理框架的搭建很可能會繼續成為首席信息安全官（

CISO）的首要任務。管理AI數據至關重要顯然，數據是組織的關鍵資產，為AI系統的發展和部署提供動力。然而許多企業仍然難以建立明確的指導方針和流程來管理其擁有的大量數據。這進一步凸顯了與數據訪問、使用、分類和質量相關的挑戰。所有這些因素直接影響AI系統生成可靠洞察并做出合理決策——當數據質量低下時，AI模型更有可能產生不可靠的結果，導致性能欠佳和潛在的危害。事實上，盡管許多組織正在投資于數據的可訪問性，但畢馬威研究表明只有24%的組織專注于建立以數據為中心的文化并確保數據互操作性。這種短視行為削弱了組織各層級有效使用和理解數據的能力。16此外，組織擁抱AI的速度給數據管理實踐帶來了巨大的壓力。積極的一面是，這凸顯了可靠AI實踐與高效數據管理之間的緊密關聯。傳統的數據治理通常依賴手動流程和孤立的系統，面對AI應用產生的數據規模、速度和多樣性，這些方法已顯不足。企業現在需要采用更敏捷和自動化的數據管理策略以跟上時代步伐。16畢馬威2024年全球技術報告，2024年9月。重要趨勢3構建可信人工智能無論公司是依賴自有數據還是第三方的數據來生成和訓練其AI模型，都已清楚地表明，低質量的數據必然導致低性能AI模型。Samantha

Gloede執行總監，美國及全球風險咨詢畢馬威美國首席信息安全官（CISO）職責持網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速安全管理平臺整合：數字身份安全管理迫在眉睫智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和續演變前行與安全并重平衡風險與收益社會安全2025網絡安全重要趨勢16?2025畢馬威企業咨詢(中國)有限公司—中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。17畢馬威《2024年全球首席執行官展望》（KPMG

2024Global

CEO

Outlook），2024年8月。這需要組織從根本上轉變對數據的認知和思維方式，從靜態資產轉變為動態資源。為了降低低質量數據帶來的風險，組織必須優先考慮強有力的信息治理機制。這包括建立明確的數據收集、存儲和管理政策及流程，以及實施嚴格的數據驗證和清理過程。這樣做不僅能使企業改善其AI模型的表現，還能通過踐行負責任和透明數據實踐的承諾來贏得利益相關者的信任。面對AI采納的風險雷區AI的采用伴隨著一系列組織必須謹慎應對的風險：運營、技術、法律、合規以及人身安全只是其中幾個方面。AI系統可能引入新的漏洞和故障點導致干擾業務流程并造成財務損失。技術風險，如算法偏見和數據漂移，會損害AI模型的準確性和可靠性。這就是為什么70%的CEO表示他們的組織正在增加對網絡安全的投資，具體目的是保護運營和知識產權免受與AI相關的威脅。17

不遵守隱私法規、歧視受保護群體或侵犯知識產權的AI系統可能導致法律和合規風險。最令人擔憂的風險是對人身安全的威脅，特別是在醫療保健和交通運輸領域，AI失效可能會危及生命。與AI相關的另一個重要風險是“被遺忘權”的削弱，即從模型中刪除個人數據。這需要基于全新數據集重新訓練AI模型，程序復雜且成本高昂。但即使個人數據被刪除并且模型重新訓練模型，它仍然可以通過從其他數據點學習到的模式和關聯對某個個體做出相當準確的推斷。在數字領域真正“被遺忘”正變得越來越難以實現。隨著AI更加普及并嵌入到各類“智能”產品中，許多組織，甚至是預算有限的小型企業，也開始轉向第三方供應商以獲取AI

能力。雖然這可以帶來成本節約和快速部署，但也引入了新的風險。組織可能無法深入了解AI系統的內部運作，例如模型訓練所用的數據、它的算法邏輯以及可能存在的偏見。“影子”AI——即在領導層和安全團隊不知情或未監督的情況下，在組織內部使用AI系統——是另一種新興風險。“影子”

AI可能在各部門或員工自行部署AI解決方案時出現，通常沒有經過適當的檢查。這種風險不僅在于未受管理的AI的漏洞，還在于可能無意中將潛在有偏見的結果整合到業務決策中，而未理解其影響。因此，未管理的AI系統可能會引入安全漏洞并損害數據隱私。為降低這些風險，組織應主動建立圍繞內部和第三方AI系統的采購、部署和監控的明確政策和程序。此外，首席信息安全官（

CISOs）被鼓勵探索新型網絡安全工具和能力，以使組織能夠識別和分析AI使用模式，降低“影子”AI的風險。在此過程中，業務領導、IT團隊和安全專家之間的密切合作至關重要。僅僅依賴首席信息安全官或首席隱私官來應對AI風險意味著可能會忽略透明度、可靠性、甚至可能是安全性等關鍵問題。Katie

Boswell網絡安全與技術風險總監畢馬威美國首席信息安全官（CISO）職責持網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速安全管理平臺整合：數字身份安全管理迫在眉睫智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和續演變前行與安全并重平衡風險與收益社會安全2025網絡安全重要趨勢17?2025畢馬威企業咨詢(中國)有限公司—中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。自下而上地處理與AI相關的風險即使AI應用速度加快，許多領導者仍缺乏對AI治理及其復雜的技術、倫理和法律影響的全面理解。因此，許多人采取被動應對的方式。將AI風險管理策略與整體業務目標和價值觀保持一致的組織更有可能取得成功。事實上，為了建立和維持對AI系統的信任，組織必須優先考慮利益相關者的利益，包括客戶、員工以及更廣泛的社會在AI決策中的利益。組織領導者，包括首席信息安全官、數據保護官和隱私官，在將安全和隱私嵌入AI開發生命周期方面發揮著至關重要的作用。此外，領導層必須保持對各種AI業務案例的可見性，并明確識別組織內AI的應用范圍和方式。這可以指導安全和道德的數據管理實踐的發展以及更廣泛的AI安全框架內的適當控制措施。鞏固信任和監控外部風險組織需要前瞻性策略來應對AI相關風險，不僅限于對問題作出反

應，而是盡早應對潛在風險。建立AI安全框架并非一次性項目，它必須是持續進行的，并且需要通過身份和訪問管理、多重認證以及危機響應和恢復計劃等現有安全領域來支持。簡而言之，應將AI系統的持續監控和評估納入組織的日常業務流程中。通過繪制AI生態系統中的數據流，組織可以更好地評估潛在風險和漏洞，并制定有針對性的戰略。外部風險的核心之一是與AI相關的法規的潛在影響，例如于

2024年8月生效的《歐盟AI法案》。該法案對任何在歐盟運營并提供可在歐盟內使用的AI產品、服務或系統的企業都具有廣泛約束力。盡管這可能是最知名和影響最深遠的規則，但該法案是全球

AI監管指南不斷上升的更廣泛趨勢的一部分。許多世界各地的政策制定者都希望將該法案作為范例，并在安全、安全、隱私、治理和合規，以及公平性、透明度和可信度等議題上尋求某種程度的一致性。面向歐盟提供服務的企業CIOs需評估合規要求并采取行動。組織必須密切關注所有監管動態，并主動調整其AI治理實踐，以建立與利益相關者的信任，并在緩解AI的風險和挑戰的同

時實現其全部潛力。許多企業因未看到數據項目的直接價值而長期推遲這些項目，但他們最終會意識到，清理數據并為大型語言模型（LLMs）提供相關且準確的訓練信息已迫在眉睫。然而，在很多情況下，首席信息安全官并不是數據的所有者。為了建立數據團隊與安全團隊之間的橋梁并加強合作，企業需要建立統一的數據分類標準和跨部門協作機制，特別是在涉及AI時。不良的數據必將導致錯誤的決策。Erin

Hughes網絡安全咨詢服務負責人SAP北美區首席信息安全官（CISO）職責持網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速安全管理平臺整合：數字身份安全管理迫在眉睫智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和續演變前行與安全并重平衡風險與收益社會安全2025網絡安全重要趨勢18?2025畢馬威企業咨詢(中國)有限公司—中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。理解與AI實施相關的監管義務并評估現有的合規要求。制定并溝通清晰的AI使用政策、標準和程序。與其他行業領導者以及全球政策制定者合作并保持開放對話。提升現有的治理流程，并清晰地溝通AI使用的政策、標準和程序。這應包括一個AI技術引入流程，采用一致的方法來識別AI風險、確定適當的控制措施并建立相應的事件管理計劃以應對潛在的AI相關問題。確定并建立必要的控制措施的所有權，以減輕與AI相關的風險，并明確界定誰擁有并對其負責，確保這些控制措施與組織的整體數據治理框架一致。建立紅隊結構以對AI模型進行測試，確保其穩健性和可靠性，避免生成不準確的結果，或者不良信息。明確第一道（業務線）和第二道（風險與合規）防線之間支持AI能力的角色和責任。建議行動召集跨職能利益相關者，包括首席信息安全官、數據保護官和隱私官，共同更新政策并就組織應對AI實施潛在影響和風險的方法達成一致。了解更多AI中的信任智能經濟藍圖您的AI威脅矩陣

如何反應組織現狀192025網絡安全重要趨勢?2025畢馬威企業咨詢(中國)有限公司—中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全首席信息安全官（CISO）職責持網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速安全管理平臺整合：數字身份安全管理迫在眉睫智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和續演變前行與安全并重平衡風險與收益社會安全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。AI的潛在益處持續吸引著各行業的商業領袖。對于首席信息安全官而言，AI被視為提高效率、削減運營成本、改善風險管理以及可能應對不斷增長的工作量的一種手段，特別是在安全運營中心（

SOCs）中。然而，仍然存在一些疑問：組織是否全面理解AI風險范圍？是否已建立穩健且專門針對AI的安全基礎？若不知道從何入手或者如何識別AI最有用的領域怎么辦？在此背景下，首席信息安全官必須在企業廣泛部署AI

的訴求和優先考慮良好的網絡安全實踐之間取得微妙的平衡。重要趨勢4駕馭AI賦能網絡安全：快速前行與安全并重坦率地說，當你的補丁管理和權限控制都尚未完善時，盲目應用AI工具是沒有意義的。基礎網絡安全永遠是第一要務。Koos

Wolters網絡安全負責人畢馬威荷蘭構建AI的強大安全基礎在不斷變化的網絡安全生態系統中，保持對潛在攻擊者的領先不僅需要警惕，還需要創新。AI已成為安全運營中心（

SOCs）的強大工具，它改變了安全專業人士感知和應對威脅的方式。如果說2024年是生成式AI的一年，2025年將是代理型AI的一年。代理型AI有可能變革安全操作，通過“智能體”以前所未有的方式主動分析、檢測并響應網絡威脅。事實上，將近四分之三的組織已從其AI投資中獲得了業務價值，但只有三分之一的組織能夠實現這些收益的規模化。18但在全面采用AI之前，組織必須確保他們具備堅實的基礎網絡安全實踐。這包括從有效的補丁管理、設備加密，以及安全的身份和訪問管理等各個方面。倉促部署AI工具可能會使組織面臨更大的風險。首席信息安全官在這里扮演著關鍵的角色。他們必須評估其組織當前的網絡安全態勢，并識別任何可能存在的漏洞或薄弱環節，以便逐步且戰略性地引入AI。簡而言之，投資應謹慎且具有戰略性，以避免實施過程中的脫節。19

18

19畢馬威2024年全球技術報告，2024年9月。首席信息安全官（CISO）職責持網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速安全管理平臺整合：數字身份安全管理迫在眉睫智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和續演變前行與安全并重平衡風險與收益社會安全2025網絡安全重要趨勢20?2025畢馬威企業咨詢(中國)有限公司—中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。人才困境：彌合AI技能缺口圍繞AI在網絡安全中的討論不可避免地會轉向人才問題。當前存在的顯著技術缺口不僅在于理解AI本身，更在于如何在網絡安全領域有效利用它。AI技術的發展速度，特別是生成式AI，已經遠超市場現有技能水平。增強員工的AI技能是這一環境下的首席信息安全管理官（

CISO）面臨的主要挑戰之一。安全團隊逐漸意識到用于與AI模型互動和查詢的指令質量會顯著影響輸出的準確性和相關性。如果沒有對最佳實踐的深刻理解，安全團隊可能難以從AI實施中獲得有價值的洞察和可操作的情報。為了應對這一技能缺口，并確保安全團隊能夠跟上AI技術的快速進步，CISO們必須優先考慮推動技能培訓計劃——不僅針對他們的團隊，也包括他們自己，以便他們能夠識別正確的技能需求以及最適合招聘的人才。這包括投資專注于AI概念的教育項目，例如指令工程、數據分析和模型評估。首席信息安全官應培養持續學習的文化，鼓勵其他安全專業人士探索新的AI能力，與同事分享他們的發現，并確保他們及其團隊具備求知欲和知識，以利用AI的力量、保護組織的數字資產并增強網絡韌性。應對AI炒作與現實差距畢馬威的研究發現，網絡安全領域對AI的炒作已經導致組織，尤其是高級管理層，產生了一種害怕錯失機會（

FOMO）的感覺。事實上，82%的人承認他們正投資于AI驅動的虛擬現實（

VR）與增強現實（

AR）技術以保持競爭力。20

然而，領導者需要根據AI當前能力和局限性做出決策。盡管AI具有變革網絡安全的潛力，但它目前在安全運營中心（

SOC）中的應用仍然相對不成熟且范圍有限。首席信息安全官需要設定現實的期望，并向高級管理層和董事會傳達AI的真正潛力。這包括強調當前的局限性并采取戰略性的應用方法。通過鼓勵實驗文化，首席信息安全官可以發現與組織的獨特需求和優先事項相符合的適當用例。隨著AI不斷成熟和發展，首席信息安全官必須保持警惕，評估其能力和局限性。20畢馬威2024年全球技術報告，2024年9月。在網絡安全領域，我們更容忍誤報而非漏報。我寧愿AI認為有壞事發生并促使我通過手動流程調查，以確定網絡是否受到攻擊，也不愿實際上存在網絡安全問題卻不知道，并且沒有采取行動來解決它。Matt

Miller首席網絡安全服務合伙人畢馬威美國首席信息安全官（CISO）職責持網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速安全管理平臺整合：數字身份安全管理迫在眉睫智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和續演變前行與安全并重平衡風險與收益社會安全2025網絡安全重要趨勢21?2025畢馬威企業咨詢(中國)有限公司—中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。識別并部署最具影響力的用例首席信息安全官必須仔細評估并優先考慮那些能夠產生最大影響并與組織特定需求相契合的潛在AI應用場景。一個有前景的領域是分析大量數據以識別潛在威脅或異常，因為AI在處理大量信息以提取洞察方面表現出色。此外，AI可用于自動化重復性、手動任務，從而使人力分析師專注于更復雜和更具戰略性的任務。由AI驅動的分析可以使開發人員在小漏洞變成大問題之前進行修復。通過賦能團隊成員探索AI的能力并提出實施建議，首席信息安全管理官（

CISO）可以發現AI最有效部署的領域。仔細評估和選擇解決實際問題的用例使CISO能夠確保其AI投資是目標明確、有效且與組織的整體網絡安全和業務目標一致的。準備應對由AI驅動的網絡安全威脅在采用AI技術以增強其網絡安全工作的同時，首席信息安全官也必須準備好應對由AI驅動的攻擊所帶來的新興威脅。一個特別令人擔憂的例子是深度偽造（

deepfakes

）的興起，AI算法現在可以快速、輕松且低成本地創建高度逼真且具有說服力的操縱音頻和視頻內容。事實上，deepfake技術已經變得大眾化，以至于任何攻擊者幾乎都可以輕松獲取并操作它。這種欺詐性材料越來越多地被用于社會工程攻擊或傳播虛假

信息中，使得網絡安全團隊更難區分真實內容和欺詐性內容。此外，呼叫中心中越來越多地使用AI進行語音檢測和生物識別認證可能會無意中使其更難檢測和防御深度偽造

（

deepfakes

）。攻擊者可能利用這些相同的技術繞過安全措施并操縱系統。為了應對這些不斷演變的風險，首席信息安全官必須隨時了

解關于AI驅動威脅的最新發展情況，并相應調整他們的防御策略。這可能涉及投資先進的由AI驅動的安全工具，如那些旨在檢測和標記潛在被操縱內容的工具，以及培訓員工。企業需要確保任何AI部署都有明確的角色、責任和背景支持，以最大限度地提高其對網絡安全效率和效果的影響。Terence

JacksonCISM,

CDPSE,

GRCP客戶安全官Microsoft安全解決方案不幸的是，就AI而言，安全團隊承擔了很大的責任。首席信息安全官已經處境艱難，但如今AI被迅速部署的速度正在指數級地增加他們在大規模引入這些大語言模型（

LLM）時對良好安全標準的壓力。不過，有一些有效的策略和工具可用來管理這一不斷變化的環境。首席信息安全官（CISO）職責持網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速安全管理平臺整合：數字身份安全管理迫在眉睫智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和續演變前行與安全并重平衡風險與收益社會安全2025網絡安全重要趨勢22?2025畢馬威企業咨詢(中國)有限公司—中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。提升員工和客戶對企業以及對手使用AI所帶來的風險的認知。繼續評估將AI用于安全運營中心一級和二級任務的用例。明確AI使用者的角色和職責，并透明公開

AI被應用的場景和計劃。優先提升網絡安全團隊所需的必備技能，并確保他們跟上最新的AI發展。鼓勵團隊對AI保持好奇心，并提出實驗想法及潛在應用場景。建議行動首先解決基本的網絡安全問題——比如補丁管理、數據保護、IAM等——然后再轉向更復雜的活動，如在整個企業中實施和擴展AI。了解更多畢馬威安全運營中心調查2024用AI重新定義安全運營重塑網絡安全：需要使用AI來對抗AI232025網絡安全重要趨勢?2025畢馬威企業咨詢(中國)有限公司—中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全首席信息安全官（CISO）職責持網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速安全管理平臺整合：數字身份安全管理迫在眉睫智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和續演變前行與安全并重平衡風險與收益社會安全球組織中的成員。版權所有，不得轉載。版權所有，不得轉載。在中國印刷。為了應對日益復雜的網絡安全風險，

組織不斷增強用于保護其數字資產的工具和解決方案。從端點安全和安全信息與事件管理（SIEM）到漏洞管理、物聯網（IoT）安全、擴展檢測和響應（

XDR

）以及托管檢測和響應（MDR），可供選擇的選項數量之多令人驚嘆，使得首席信息安全官（CISO）們難以管理、維護并整合這一復雜且分散的工具組合。更糟糕的是，花在整合上的時間比利用數據來獲取可用的安全洞察的時間更多。因此，許多組織正在探索采用安全平臺，這使他們能夠提高效率、改善可見性并增強對安全環境的控制。這種向平臺整合的廣泛轉變既帶來了希望也帶來了風險。重要趨勢5安全管理平臺整合：平衡風險與收益規模經濟是通過與特定平臺或領域（如身份）整合而產生的。讓安全團隊使用更精簡但或許更高效的技術，有助于培養一支能力更為全面的安全人才隊伍，使其在多個領域提升效能。Jim

Wilhelm全球微軟安全負責人畢馬威美國認識平臺整合的價值大型組織尤其熱衷于轉向平臺整合。原因之一是不同的工具

會產生大量的數據和信號，并且它們執行整體安全政策的不同方面。這種復雜性使得集成和實施一致的安全政策變得具有挑戰性。通過整合不同的解決方案來精簡網絡安全工具集，使領導者能夠更清晰、更全面地了解其組織的安全狀況。這進而促進了在整個組織范圍內一致執行安全政策，使組織能夠填補潛在的漏洞的薄弱環節。在零信任框架的背景下，平臺整合也非常重要。零信任的核心要求是評估組織網絡內每一種交互，包括訪問網絡所使用的設備、采用的身份驗證方法以及具體請求的數據。然而，當組織依賴于分散的安全工具時，實施零信任模型可能會非常具有挑戰性。平臺整合可以幫助執行細粒度的訪問控制并提供所需的可見性。首席信息安全官（CISO）職責持網絡安全人才管理至關重要構建可信人工智能駕馭AI賦能網絡安全：快速安全管理平臺整合：數字身份安全管理迫在眉睫智能設備的“智能”安全防護構建企業韌性：網絡安全護航企業和續演變前行與安全并重平衡風險與收益社會安全2025網絡安全重要趨勢24?2025畢馬威企業咨詢(中國)有限公司—中國有限責任公司，是與畢馬威國際有限公司(英國私營擔保有限