管理数字风险 ： 入门

管理数字风险 底漆 2023年12月 亚洲发展银行 管理数字风险 底漆 2023年12月 亚洲发展银行 知识共享署名3.0IGO许可证(CCBY3.0IGO) ©2023亚洲开发银行 菲律宾马尼拉大都会1550号亚行大道6号电话63286324444；传真63 286362444 保留一些权利。出版于2023年。 ISBN978-92-9270-557-2（打印）；978-92-9270-558-9（电子）；978-92-9270-559-6（电子书） 出版物库存编号TIM230604-2 DOI：http://dx.doi.org/10.22617/TIM230604-2 本出版物中表达的观点是作者的观点，不一定反映亚洲开发银行（ADB）或其理事会或其代表的政府的观点和政策。 亚行不保证本出版物中包含的数据的准确性，也不对其使用的任何后果承担任何责任。提及特定公司或制造商的产品并不意味着它们得到亚行的认可或推荐，而不是其他未提及的类似性质的公司或产品。 通过对特定领土或地理区域进行任何指定或提及，或在本出版物中使用“国家”一词，亚行无意对任何领土或区域的法律或其他地位做出任何判断。 本出版物可通过知识共享署名3.0IGO许可证(CCBY3.0IGO)https://creativecommons.org/licenses/by/3.0/igo/。通过使用本出版物的内容，您同意受本许可证条款的约束。有关归属、翻译、改编和权限，请阅读https://www.adb.org/terms-use。 本CC许可不适用于本出版物中的非亚行版权材料。如果该材料归因于其他来源，请联系该来源的版权所有者或出版商以获得复制许可。亚行对因使用该材料而引起的任何索赔概不负责。 请联系pubsmarketing@adb.org，如果您对内容有疑问或意见，或者如果您希望获得版权许可，您的预期使用不属于这些条款，或使用亚行标志的许可。 亚行出版物的更正见http://www.adb.org/publications/corrigenda。在本出版物中，“$”是指美元。 印在再生纸上 亚行承认“中国”为中华人民共和国，“韩国”和“韩国”为大韩民国。 CONTENTS vviiviiiix x 21 表格、数字和BOXES前文 ACKNOWLEDGMENTS 缩写 EXECUTIVESUMMARY 介绍1 1.数字诊断：方法和途径5 1.1.非洲数字经济框架7 1.2.美国国际开发署数字生态系统框架10 1.3.数字政府准备情况评估12 1.4.亚行国家数字风险评估16 2.数字转换：挑战，选择标准，21 和未来趋势 2.1.数字化转型挑战22 2.2.技术选择27 2.3.供应商选择31 2.4.技术预测和预见33 3.数字风险41 3.1.数字风险的频谱43 3.2.风险信心差距48 3.3.管理数字风险：走向综合方法50 3.4.数字风险管理政策和实践51 3.5.有效数字风险管理的好处56 4.网络安全风险59 4.1.宏观视角61 4.2.关键网络安全概念64 4.3.网络安全框架和成熟度模型67 4.4.下一代网络风险能力70 4.5.网络安全对发展议程日益重要74 4.6.将网络安全集成到开发计划中79 5.第三方数字风险管理87 5.1. 5.2. 5.3. 6.隐私风险和数据保护：构建信任99 通过治理 6.1. 6.2. 6.3. 6.4. 6.5. 6.6. 6.7. 7.道德AI风险123 7.1全球争夺人工智能124 7.2. 7.3. 8.人权和弱势群体的数字风险143 8.1. 8.2. 9.可持续性风险159 9.1. 9.2. 9.3. 9.4. 10.数字电阻169 10.1. 10.2. 10.3. 10.4. 10.5. 附录 1网络安全词汇表181 2主要网络行为者和机构184 3网络安全资源190 4网络犯罪全球行动的备选方案195 参考文献198 ivContents 表格、数字和盒子 TABLES 1 使用数字政府就绪性评估来识别数字风险 14 2 国家数字风险扫描 17 3 世界经济论坛技术先锋社区的2022年预测 35 4 传统风险计划与综合风险管理模型 49 5 集成数字风险管理的关键能力 55 6 网络攻击的向上轨迹 62 7 网络攻击目标 65 8 精选网络武器的插图 65 9 下一代网络攻击 71 10 将网络安全集成到发展战略、计划和项目中 80 11 评估网络安全格局、风险和机遇 81 12 将系统级方法应用于网络安全干预 82 13 谁负责第三方风险管理活动？ 96 14 国家标准与技术研究所隐私框架摘要 105 15 AI道德工具套件概述（涵盖2018年至2022年的样本） 135 16 确保数字人权的保护 145 A4 网络条约的现行和拟议框架 196 Figures 1 数字经济的基本要素 8 2 基于各国数字成熟度的评估领域 8 3 美国国际开发署的数字生态系统框架 11 4 数字政府准备组件 13 5 焦点从数字化转向社会转型？ 18 6 组织如何为成功的数字化转型奠定基础？ 26 7 10技术选择标准 28 8 可变技术成本可以为新技术投资创造空间 30 9 Gartner的2022年政府炒作周期：以公民为中心提供服务 37 10 亚行的未来思考：2030年技术支持运输服务的原则和战略 38 11 数字风险域 44 12 不同行业和地区的风险比较，2021-2022年 47 v 13发展数字风险的综合观点48 14石油和天然气行业的网络弹性原则76 15日益扩展的企业及其第三方网络89 16第三方生命周期92 17分布式风险决策环境96 18隐私法的影响102 1916个全球市场对隐私的态度103 20隐私、网络安全和组织风险之间的关系105 21隐私工程108的组件 22数据处理生态系统111 23映射数据生态系统112 24全球数据治理映射115 25AI131的数据驱动风险评估概述 26映射AI生命周期中的道德AI陷阱133 272022年大型科技计分卡147 28数字服务与能源需求之间联系的系统视角161 29剑桥比特币电力消费指数166 30绘制中断频率和严重程度的增加171 31分析中断的幅度和可预测性172 32评估弹性的价值173 33恢复能力失败的成本176 BOXES 1数字化转型：研究现状概述25 2数字化转型的替代途径如何影响技术选择？29 3实施欧洲复兴开发银行的第一个数字方法80 4SolarWinds供应链攻击及其后果 5综合国家数据生态系统的支柱114 6发展数据伙伴关系：将第三方数据用于公益121 7在英国的医疗保健系统中进行算法影响评估140 8采取行动应对错误信息和虚假信息的威胁148 9什么是ICT部门的人权影响评估？149 vi表格、数字和框 前文 随着数字技术的不断创新和指数级扩张，我们正在见证经济和社会的令人敬畏的变革。数字服务、产品和解决方案使我们更加高效，使我们能够跨越语言和空间的障碍，扩大我们对知识的获取，通过数据分析产生见解，并增强我们的能力。难怪数字化正在重塑社会互动、政治进程、商业实践、商业模式、市场、工作场所、休闲甚至未来愿景。 很自然，这些数字中断也带来了挑战。在亚洲开发银行（ADB），我们熟悉发展干预措施的好处和风险，包括其意外后果 。在我们的运营中，我们仔细考虑不同的情况，并应用保障政策和风险管理程序，以确保我们相对于所有可能的选择和结果做出最佳选择。 当谈到数字解决方案时，选择不太明显，相关的数字风险往往不太为人所知。新兴技术在评估潜在风险时尤其具有挑战性。新的解决方案通常非常强调收益，而已知和未知的负面因素却被淡化，因此很难区分炒作与现实。 借助人工智能，数字领域的风险格局变得越来越复杂，不断变化，因此很难掌握。然而，要了解亚行发展中成员国的背景， 并为我们的项目利用技术进步，并确保它们实现预期的影响，亚行及其对应方需要充分意识到，如果不理解，风险。本入门旨在提高认识，并为读者提供可用于更好地评估数字风险的知识基础和评估工具。亚行意识到数字变革的速度，计划在未来的版本中定期添加新主题并更新内容。 总之，随着亚行在其投资组合中扩大对数字解决方案的投资，它也提高了内部能力，以利用新的数字发展机会。我们完全致力于提高我们的发展影响力，同时管理相关风险，包括气候、环境和灾害风险。我希望通过本文，读者将更充分地了解数字风险相对于非凡的数字机遇的复杂性，从而更有效地促进亚洲及太平洋地区的公平繁荣和可持续发展。 布鲁诺·卡拉斯科 亚洲开发银行气候变化与可持续发展部总干事 vii ACKNOWLEDGMENTS 本入门书的编写由亚洲开发银行（亚行）亚洲及太平洋区域技术援助项目数字发展基金资助，该基金由大韩民国电子亚洲和知识伙伴关系基金共同资助。 亚行要感谢主要作者KlausTilmes，亚行高级顾问，他在研究过程中建立了庞大的研究基础，以及共同作者ArndtHusar，高级公共管理 专家（数字转型），数字技术发展司（CCDT），气候变化部和亚行可持续发展部，他还促进了与评估亚行运营中数字技术风险的部门间工作组的联系。该出版物是在亚行CCDT主任ThomasAbell的总体指导下开发的。 TRPCPteLtd编写的诊断报告为开发ADB运营中数字技术风险评估方法提供了初步框架。 这份报告的同行评审者是威尔逊中心人工智能实验室主任、全球合作安全中心高级研究员EleoorePawels；数字经济和政策专家PrasaaLalDas；亚行风险管理办公室高级风险管理专家AssaadSaha。数字技术专家（网络安全和数据隐私）MasataeYamamichi和数字技术专家（数据分析和大数据）ByeogjoKog提供了其他评论。 JessMacasaet文案编辑，LawrenceCasiraya校对报告，RocilynLacay创作了封面和内页图形，JoeMarkGanaban排版了最终出版物。CCDT数字技术官员CarmelaFernando-Villamar和CCDT高级运营助理GennyMabunga提供了行政支持。 viii 缩写 亚行亚洲开发银行 AI人工智能 CCPA加州消费者隐私法案 CMM各国网络安全能力成熟度模型 COVID-19冠状病毒病 DE4A面向非洲的数字经济/面向所有人的数字经济 DECA数字生态系统国家评估 DGRA数字政府准备情况评估 DMC发展中成员国 DPA数据保护机构 DX数字化转型 eAI伦理AI ESG环境、社会和治理 EU欧洲联盟 GDPR一般数据保护条例(欧盟) ICT信息和通信技术 IEC国际电工委员会 IoT物联网 IRM综合风险管理 ISO国际标准化组织 IT信息技术 ITU国际电信联盟 NIST国家标准与技术研究所 OECD经济合作与发展组织人权高专办联合国人权事务高级专员办事处PII个人身份信息 PoW工作量证明 PRC中华人民共和国 RMF风险管理框架 中小企业中小企业 美国国际开发署美国国际开发署 ix 执行摘要 数字技术已经成为我们这个时代最具变革性的力量。随着这些技术的普及，其传播、创新和颠覆的前所未有的速度带来了实实在在的好处——从获取、包容和经济机会到透明度、政治参与和韧性。冠状病毒病（COVID-19）造成的破坏表明 ，奠定了数字基础的政府和企业，拥有基于云的数据系统，现代安全协议，敏捷的工作场所文化和数字化流程，其表现远好于那些没有这样做的人。在后COVID-19的世界中，随着全球数字化转型的加速，这些动态继续发挥，并给发展中国家带来了越来越大的挑战。 到2026年，全球数字化转型支出预计将达到3.4万亿美元，其中亚太地区将占据最大的市场份额。对于大多数企业而言 ，数字技术计划集中在（i）核心基础设施和业务功能的运营改进；（ii）