陸續出臺的網絡安全相關法律法規和條例，包括《數據安全法》《關鍵信息基礎設施安全保護條例》《個人信息保護法》《網絡產品安全漏洞管理規定》《網絡安全審查辦法》等，為網絡安全工作提供了方向和指南，也體現了網絡安全領域規范化的發展趨勢。為更好貫徹和落實相關法律法規，風險控制和合規管理成為科技企業至關重要的優先工作。風險控制和合規管理工作的前提是全面系統地識別各類風險，制定并落實管控措施，確保網絡安全和隱私保護等風險不出現合規問題，更好支撐利益相關方的信任構建。

　　一、RGC 框架的背景和目標

　　RGC 框架是華為風險控制和合規管理的實踐方法論，由風險、治理、控制（Risk，Governance，Control）三個詞的英文縮寫構成。該框架基于業界理念、COSO 框架，融合華為現有風險管理和內控實踐形成，可以為業務流程中的一二三道防線開展風險監管工作提供方法，進而實現創造客戶價值、高質量商業發展、公司長治久安的目標。

　　RGC 框架的提出源于業界的 GRC 方法，即治理、風險與合規（Governance，Risk and Compliance）。從業務到風險再到管控，考慮到內控風險核心，尤其是崩潰性風險和大面積腐敗風險，華為在提出這個框架時，把風險因素放到第一的位置，調整了這三個詞的次序，成為針對內控風險展開管理和監督的 RGC 框架。

　　采用 RGC 框架，目的是保障一二三道防線開展風險監管工作。這三道防線包括業務流程中關鍵監控崗位（業務人員/合規官/POPC 等）的第一道防線；BC、工程稽查等工作中的第二道防線；內審、獨立第三方檢查組織等工作中的第三道防線（見圖1）。

　　圖1 RGC 框架監管的三層防線

　　采用 RGC 框架，目標是實現整體監管。一是使命與核心價值守護，促使公司的共同價值得到有效傳承、踐行和維護，防止文化變味、組織板結、分裂，防止大面積腐敗引起的組織潰敗。二是保證戰略制定與公司的愿景保持一致，并保證在戰略執行時的績效結果真實和業務管理真實。三是實現合法合規，將對法律、法規的遵從要求轉化成公司的管理制度和流程并得到有效遵從，對合規紅線進行有效管理，杜絕系統性和崩潰性風險。四是實現運營健康，使流程得到業務的有效遵從，風險得到有效控制。

　　二、RGC 框架的要素與內涵

　　RGC 框架包括風險（R）、治理（G）、控制（C）三個層面的七大要素，即風險評估與目標設定、基調、責任體系、誠信環境、確定性控制、非確定性控制、監督（見圖2）。

　　圖2 RGC 框架各要素間邏輯關系

　　第一，從風險視角看，RGC 框架包括風險評估與目標設定（R1）和監督（R2）兩個層面。

　　風險評估與目標設定是指組織識別能通過各種監管手段實現監管的風險，評估其重要性和確定其監管目標，并且持續評估監管目標達成情況，不斷改進。風險評估與目標設定的關注點包括，一是風險識別與評估，有效識別能通過各種監管手段實現監管的風險、評估所識別的風險、跟蹤影響風險的重大業務變化。二是風險目標的設定與應對，確定管理層的風險容忍度（監管目標），建立相應的應對措施（包括接受、降低、規避、轉移等）。三是風險目標的自我評估，風險目標達成情況的自我評估機制，如半年控制評估（SACA）、持續改進的措施等。

　　監督是指組織建立獨立的監督機制，以確認風險管控過程的有效性和結果是否達成監管目標。監督的關注點包括，一是審計對一二道防線風險管控過程及管控結果的獨立監督，二是及時溝通與進行報告。

　　第二，從治理視角看，RGC 框架包括基調（G1）、責任體系（G2）、和誠信環境（G3）三個層面。

　　基調是指管理層應建立誠信、道德的監管氛圍，創造實現監管目標的整體環境，包括公司文化、管理理念、經營風格、行為準則等內容。基調的關注點包括樹立基調——核心價值觀、誠信和道德、風險意識；建立行為準則——定義員工的行為邊界，明確“可為與不可為”；建立獎懲與問責機制，及時糾偏。

　　責任體系是指組織應確立合理的監管責任體系，明確監管工作（包括一二三道防線）邊界和職責。責任體系的關注點包括監管工作相關部門的架構、監管工作的匯報路線、監管工作的授權體系、監管工作的角色和職責。

　　誠信環境是指組織應宣導和傳遞對誠信和道德的要求，確保廣泛理解，并建立有效的反饋渠道。誠信環境的關注點包括宣傳教育（包括員工和供應商/合作伙伴），以及打通內外部舉報/投訴渠道。

　　第三，從控制視角看，RGC 框架包括確定性控制（C1）和非確定性控制（C2）兩個層面。

　　確定性控制是指組織通過如政策、原則、程序、模板、基線等確定監管手段應對和控制風險，包括接觸性控制和非接觸性控制。確定性控制的關注點包括控制設計和控制執行，控制設計關注與風險評估（包括業務特點和監管目標）相結合、明確相關業務流程中的關鍵控制點（KCP）或關鍵指標（KRI）、考慮控制活動的適用層級、考慮控制活動類別的組合、應用信息技術（IT 控制）；控制執行關注及時執行與遵從政策和程序以及選用足以勝任的人員等。

　　非確定性控制是指組織可能無法通過確定的監管手段，但可以通過例如專業稽查、管理層監管等其他方式應對和控制風險。非確定性控制的關注點包括糾偏和應對，即實現專業稽查、群眾監督、管理層監管，做好應急管理。

　　三、實施 RGC 框架的方法與措施

　　RGC 框架可以成為實現網絡安全與隱私保護風險管理方法，特別是 RGC 框架中的 C1、G1/G2/G3因素。

　　一是在管理者層面，可以根據公司制定的行為規范、問責制度，結合當地使用的法律法規進行本地化適配。業務一把手要通過清晰的高層基調，建立行為準則，定義員工的行為邊界，制定問責政策并執行，明確“可為與不可為”，營造良好的風控環境。通過公開聲明、總體政策、白皮書持續地傳達網絡安全的基調，將相關行為融入《商業準則》，并明確高風險領域和崗位的紅線行為準則和獎懲問責措施，進行本地化適配。在激勵機制方面，在公司、區域及業務領域設置網絡安全與隱私保護專項。例如，每年設置一定金額，用于激勵負責網絡安全與隱私保護工作落地的各業務部門和網絡安全與隱私保護體系。在問責方面，制定網絡安全與隱私保護違規問責定級標準，針對以下情況對主管進行管理問責：安全質量嚴重不達標，或多次不達標；管理原因導致嚴重網絡安全事件、安全危機、嚴重的個人數據泄露事件；審計發現嚴重的網絡安全與隱私保護風險。在網絡安全與隱私保護風險管控方面，重點關注服務無授權/超授權接入、無授權/超授權使用客戶網絡數據、收集/處理/轉移個人數據等風險行為，需要在公司、區域及業務領域設置網絡安全與隱私保護專項工作進行看護。

　　二是在責任體系建設層面，確立合理的監管責任體系，明確監管工作（包括一二三道防線）邊界和職責。全球網絡安全與用戶隱私保護委員會（GSPC）是華為的最高網絡安全與隱私保護管理機構，負責決策和批準公司總體網絡安全和隱私保護戰略。全球網絡安全與用戶隱私保護辦公室（GSPO）組織業務部分建立支撐戰略的操作細則，推動落地執行并執行稽核。內部審計部獨立監督并向 GSPC和審計委員會匯報。公司建立端到端的網絡安全保障體系，識別每個流程的關鍵控制點（KCPs）。

　　三是在誠信環境建設方面，宣導和傳遞對誠信和道德的要求，確保廣泛理解，并建立有效的反饋渠道。以法律為基礎，提升員工的網絡安全和隱私保護意識，讓員工意識到即使主觀上沒有惡意，也要對自己的行為負責；華為全體員工及合作伙伴、外部顧問都必須嚴格執行公司相關安全及隱私政策，接受安全、隱私保護培訓，同時，公司鼓勵員工獲取業界網絡安全與隱私保護相關資質認證，比如 CISSP、CIPM/CIPP 等認證，使安全、隱私理念融入整個組織和員工之中；對關鍵崗位要進行安全資格認證，采取措施震懾心存惡意的員工、竭力防止惡意行為發生。

　　四是在激勵機制方面，在區域及業務領域設置網絡安全與隱私保護專項。用于激勵負責網絡安全與隱私保護工作落地的各業務部門和網絡安全與隱私保護體系。設置的激勵獎項，可以包括平臺建設獎、合規建設獎、外部洞察獎、組織人才文化建設獎等。

　　四、實施 RGC 框架的效果與影響

　　檢查實施 RGC 框架的效果，主要是通過稽查來實現。RGC 框架控制層面的非確定性控制，關注糾偏實現專業稽查、群眾監督、管理層監管等方面。主要的稽查方法包括四個環節十七個步驟，即體現在立項、準備、執行和閉環等環節的關鍵活動。

　　在立項階段，一是確定稽查對象，根據風險輸入確定稽查對象；二是與利益相關人溝通，就稽查可行性、稽查對象及初步稽查范圍達成一致意見；三是組建稽查工作組，明確責任分工及稽查計劃。

　　在準備階段，一是要確定業務范圍，啟動分析及調研，圈定業務范圍（包括流程階段、業務活動、資產和環境、關鍵人群、IT 系統、抽樣產品等）。二是識別稽查重點，根據涉及的發文規范和要求結合前期的風險識別結果，詳細分析每個要求的落地風險及級別。三是擬定稽查基線，包括詳細的風險點清單及對應的調查問卷、調查方法等。四是明確責任主體，明確稽查涉及的責任主體，并與相關責任部門提前溝通、獲取接口人。五是簽發稽查通知，擬定稽查通知書（包括稽查項目名稱、被稽查單位、稽查范圍、稽查周期等信息）并提交簽發。六是擬定執行計劃，初步擬定執行計劃，分析執行所需的預置條件（包括系統權限、文檔資料、門禁準入等），與接口人溝通初步計劃、協調提供所需的預置條件。

　　在執行階段，一是召開開工會，對齊信息、澄清疑問并啟動稽查。二是執行稽查測試，測試方法包括現場訪談、穿行測試、抽樣測試、數據及日志分析、多方信息對比、調取記錄等。三是刷新稽查基線，根據稽查的深入及時更新風險點并刷新稽查基線，視情況判斷是否調整稽查范圍，及時協調相關方。四是溝通稽查問題，與稽查接口人完成稽查問題確認，有分歧及時上報解決。五是形成稽查報告，評審確認的稽查報告經審批通過后發布。

　　在閉環管理階段，主要實現問題的閉環管理。在這個階段，一是在問題跟蹤閉環，實現問題錄入跟蹤系統并跟蹤問題進展。二是在改進方案審評階段，可以視情況進行可選項判斷。三在稽查總結改進環節，總結形成案例收割并歸檔。通過簽發管理類問題閉環管理規定，明確網絡安全與隱私保護管理問題的閉環責任人及例行化規定動作。

　　五、完善 RGC 支撐平臺，提升安全風險管控水平

　　目前，在中國市場，華為運用 RGC 方法，深入業務流程關鍵環節，識別風險，分析原因并匹配相應的管理措施，取得了良好的效果。

　　同時，為推進風險管控的有效性和提升管控效率，作為正在開發和完善網絡安全隱私治理平臺，從外部要求入手，將涉及的法律法規，標準指南，客戶需求等進行系統性梳理，構建適用中國市場的外部合規庫，關鍵的合規要求條目融入業務流程，通過 IT 系統進行流程打點，后續監管團隊通過系統直觀明了的審視合規要求的適配情況、風險情況，并通過可視化平臺進行合規稽查，逐步提升風險管控的數字化水平和管控效率。