2025能源行業(yè)

網(wǎng)絡(luò)安全重要趨勢(shì)能源行業(yè)首席信息安全官

肩負(fù)著前所未有的信息技術(shù)安全職責(zé)/cn?

2025畢馬威華振會(huì)計(jì)師事務(wù)所(特殊普通合伙)—中國(guó)合伙制會(huì)計(jì)師事務(wù)所，畢馬威企業(yè)咨詢(中國(guó))有限公司—中國(guó)有限責(zé)任公司，畢馬威會(huì)計(jì)師事務(wù)所—澳門特別行政區(qū)合伙制事務(wù)所，及畢馬威會(huì)計(jì)師事務(wù)所

—

香港特別行政區(qū)合伙制事務(wù)所，均是與畢馬威國(guó)際有限公司(英國(guó)私營(yíng)擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織

2中的成員。版權(quán)所有，不得轉(zhuǎn)載。對(duì)于全球能源企業(yè)而言，其網(wǎng)絡(luò)安全狀況正因一系列影響因素而悄然發(fā)生變化。這些因素包括首席信息安全官職責(zé)的擴(kuò)大、人工智能和物聯(lián)網(wǎng)等信息技術(shù)的廣泛應(yīng)用，以及建立具有韌性的企業(yè)文化和網(wǎng)絡(luò)環(huán)境的迫切需求。在當(dāng)前復(fù)雜且相互關(guān)聯(lián)的環(huán)境下，該行業(yè)許多首席信息安全官正著力提升員工的數(shù)字意識(shí)，以應(yīng)對(duì)面臨的前所未有的挑戰(zhàn)和機(jī)遇。為此，他們必須承擔(dān)起網(wǎng)絡(luò)安全倡導(dǎo)者的角色，在組織的各個(gè)層面激勵(lì)和鼓舞員工將認(rèn)知付諸行動(dòng)。在能源行業(yè)中，首席信息安全官的職責(zé)不再局限于傳統(tǒng)的信息技術(shù)安全范圍。事實(shí)上，畢馬威的調(diào)查顯示，該行業(yè)70%的受訪首席執(zhí)行官認(rèn)為，網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)安全問(wèn)題將在未來(lái)三年影響企業(yè)發(fā)展。1隨著信息技術(shù)和運(yùn)營(yíng)技術(shù)的融合，首席信息安全官如今肩負(fù)著保護(hù)從管理到生產(chǎn)的整個(gè)技術(shù)生態(tài)系統(tǒng)的職責(zé)。履行新的職責(zé)需要具備新的技能。首席信息安全官必須有效地讓高級(jí)管理層認(rèn)識(shí)到網(wǎng)絡(luò)安全對(duì)企業(yè)的影響，確保獲得足夠的預(yù)算，并在內(nèi)部打造具有韌性的企業(yè)文化。我們看到許多積極跡象表明，企業(yè)在如何進(jìn)一步將網(wǎng)絡(luò)安全融入自身組織方面取得了進(jìn)展。我們的調(diào)查發(fā)現(xiàn)，在能源行業(yè)中，59%的受訪者表示他們通常在技術(shù)投資決策初期就已將網(wǎng)絡(luò)安全納入考慮范圍并予以高度重視。2該行業(yè)特有的挑戰(zhàn)增加了首席信息安全官工作的復(fù)雜性。能源行業(yè)在技術(shù)、網(wǎng)絡(luò)安全和環(huán)境方面面臨著若干復(fù)雜的監(jiān)管要求，例如，歐盟《網(wǎng)絡(luò)安全措施的指令》（NIS2指令）、北美電力可靠性公司關(guān)鍵基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn)和歐盟人工智能法案等。首席信息安全官在確保合規(guī)的同時(shí)，還要處理地緣政治問(wèn)題和日益增多的網(wǎng)絡(luò)攻擊，這些問(wèn)題都可能對(duì)企業(yè)的自身運(yùn)營(yíng)、利益相關(guān)方乃至更廣泛的社會(huì)造成嚴(yán)重影響。2024年4月，北美電力可靠性公司指出，美國(guó)電網(wǎng)風(fēng)險(xiǎn)點(diǎn)數(shù)量正以每天約60個(gè)的速度增加。3在歐洲，丹麥的關(guān)鍵基礎(chǔ)設(shè)施在2023年5月遭受了有史以來(lái)最嚴(yán)重的網(wǎng)絡(luò)攻擊，幾天之內(nèi)多達(dá)

22家公司遭到入侵，部分企業(yè)被迫完全斷開與外界的網(wǎng)絡(luò)連接，轉(zhuǎn)而采用離線運(yùn)行模式。4要在這種環(huán)境中實(shí)現(xiàn)繁榮發(fā)展，首席信息安全官必須采取積極主動(dòng)的戰(zhàn)略性思維。應(yīng)提早從業(yè)務(wù)層面開展漏洞管理，并根據(jù)風(fēng)險(xiǎn)對(duì)企業(yè)的潛在影響提供戰(zhàn)略指引；通過(guò)基于風(fēng)險(xiǎn)的方法引領(lǐng)實(shí)施。除戰(zhàn)略引領(lǐng)外，首席信息安全官的重要職責(zé)還包括打破信息技術(shù)和運(yùn)營(yíng)技術(shù)團(tuán)隊(duì)之間的傳統(tǒng)壁壘，確保雙方團(tuán)隊(duì)緊密合作，共同構(gòu)建持久的韌性。在本報(bào)告中，我們探討了能源行業(yè)在網(wǎng)絡(luò)安全方面的重要趨勢(shì)，并提供了許多真知灼見和務(wù)實(shí)建議，涵蓋我們認(rèn)為業(yè)內(nèi)首席信息安全官在當(dāng)前環(huán)境中應(yīng)優(yōu)先考慮的諸多領(lǐng)域。1

《畢馬威2024年全球首席執(zhí)行官展望》2

《畢馬威2024年全球技術(shù)報(bào)告》3

《KnowBe4報(bào)告指出，關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)激增30%》，Industrial

Cyber，2024年8月28日4

《針對(duì)丹麥關(guān)鍵基礎(chǔ)設(shè)施的攻擊》，SektorCERT，2023年11月首席信息安全官角色不斷演變智慧生態(tài)系統(tǒng)安全保障韌性設(shè)計(jì)：為企業(yè)與社會(huì)提供網(wǎng)絡(luò)安全保障首席信息安全官應(yīng)考慮的關(guān)鍵網(wǎng)絡(luò)安全因素1?

2025畢馬威華振會(huì)計(jì)師事務(wù)所(特殊普通合伙)—中國(guó)合伙制會(huì)計(jì)師事務(wù)所，畢馬威企業(yè)咨詢(中國(guó))有限公司—中國(guó)有限責(zé)任公司，畢馬威會(huì)計(jì)師事務(wù)所—澳門特別行政區(qū)合伙制事務(wù)所，及畢馬威會(huì)計(jì)師事務(wù)所—香港特別行政區(qū)合伙制事務(wù)所，均是與畢馬威國(guó)際有限公司(英國(guó)私營(yíng)擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。3231監(jiān)管審查的加強(qiáng)和網(wǎng)絡(luò)安全的戰(zhàn)略重要性使首席信息安全官肩負(fù)著更大的責(zé)任。在某些情況下，他們還會(huì)面臨個(gè)人法律責(zé)任的風(fēng)險(xiǎn)。如今，企業(yè)比以往任何時(shí)候都更加期望在網(wǎng)絡(luò)安全保障方面能夠取得成效。與此同時(shí)，傳統(tǒng)的首席信息安全官職能也變得日益分散，許多安全和隱私職責(zé)已交由其他業(yè)務(wù)領(lǐng)導(dǎo)者負(fù)責(zé)，例如，首席安全官負(fù)責(zé)物理安全和欺詐管理，信息技術(shù)基礎(chǔ)設(shè)施主管負(fù)責(zé)邊界安全和身份及訪問(wèn)管理，首席數(shù)據(jù)官負(fù)責(zé)隱私管理等。因此，首席信息安全官的職責(zé)發(fā)生了巨大轉(zhuǎn)變。他們必須明確自身職責(zé)范圍，與其他業(yè)務(wù)領(lǐng)導(dǎo)者密切合作，并倡導(dǎo)職責(zé)共擔(dān)文化，以適應(yīng)這一新的現(xiàn)實(shí)。這需要企業(yè)領(lǐng)導(dǎo)層對(duì)持續(xù)進(jìn)行網(wǎng)絡(luò)安全投資給予大力支持。畢馬威的調(diào)查發(fā)現(xiàn)，在能源行業(yè)中，72%的受訪企業(yè)的首席執(zhí)行官表示，他們已經(jīng)為此增加網(wǎng)絡(luò)安全投資，以保護(hù)業(yè)務(wù)和知識(shí)產(chǎn)權(quán)。5最終，首席信息安全官應(yīng)從單一的網(wǎng)絡(luò)安全守護(hù)者角色轉(zhuǎn)變?yōu)樨?fù)責(zé)打造穩(wěn)健、靈活安全框架的架構(gòu)師。主要挑戰(zhàn)構(gòu)建新的網(wǎng)絡(luò)安全秩序在能源行業(yè)中，首席信息安全官不僅需應(yīng)對(duì)快速發(fā)展的技術(shù)，還需面對(duì)新的、具有特殊挑戰(zhàn)性的現(xiàn)實(shí)問(wèn)題，例如氣候危機(jī)以及隨之而來(lái)的增強(qiáng)可持續(xù)發(fā)展和環(huán)境、社會(huì)和治理（ESG）價(jià)值的壓力。此外，地緣政治緊張局勢(shì)，如中東和烏克蘭的持續(xù)沖突，也對(duì)供應(yīng)鏈造成了嚴(yán)重影響，從而增加了監(jiān)管負(fù)擔(dān)。事實(shí)上，畢馬威的研究表明，供應(yīng)鏈風(fēng)險(xiǎn)是首席執(zhí)行官們共同面臨的最大威脅，6

而“電力、經(jīng)濟(jì)中心和貿(mào)易的結(jié)構(gòu)性變化，以及供應(yīng)鏈、資產(chǎn)和基礎(chǔ)設(shè)施的多重威脅”，正在對(duì)能源企業(yè)產(chǎn)生重大影響。7因此，企業(yè)需要更多具備豐富經(jīng)驗(yàn)和全面技能的資深安全專家，而不僅僅是技術(shù)人員，來(lái)應(yīng)對(duì)這種充滿不確定性的風(fēng)險(xiǎn)環(huán)境。將網(wǎng)絡(luò)風(fēng)險(xiǎn)界定為業(yè)務(wù)風(fēng)險(xiǎn)首席信息安全官必須將網(wǎng)絡(luò)風(fēng)險(xiǎn)界定為業(yè)務(wù)風(fēng)險(xiǎn)，以促進(jìn)領(lǐng)導(dǎo)層和技術(shù)團(tuán)隊(duì)之間形成共識(shí)。戰(zhàn)略思維、談判技巧和卓越領(lǐng)導(dǎo)力是實(shí)現(xiàn)這一目標(biāo)的關(guān)鍵因素。面對(duì)特定的行業(yè)挑戰(zhàn)，如在保障運(yùn)營(yíng)連續(xù)性的同時(shí)保護(hù)數(shù)據(jù)和信息安全，獲得董事會(huì)的信任至關(guān)重要。若網(wǎng)絡(luò)安全措施（如定期安裝補(bǔ)丁和部署適當(dāng)控制）能夠得到良好規(guī)劃和有效實(shí)施，通常會(huì)對(duì)運(yùn)營(yíng)連續(xù)性產(chǎn)生積極影響。通過(guò)平衡網(wǎng)絡(luò)安全的投入和價(jià)值產(chǎn)出，可以幫助董事會(huì)認(rèn)識(shí)到相關(guān)投入對(duì)于增強(qiáng)安全性并緩解業(yè)務(wù)風(fēng)險(xiǎn)的重要性。首席信息安全官角色不斷演變?

2025畢馬威華振會(huì)計(jì)師事務(wù)所(特殊普通合伙)—中國(guó)合伙制會(huì)計(jì)師事務(wù)所，畢馬威企業(yè)咨詢(中國(guó))有限公司—中國(guó)有限責(zé)任公司，畢馬威會(huì)計(jì)師事務(wù)所—澳門特別行政區(qū)合伙制事務(wù)所，及畢馬威會(huì)計(jì)師事務(wù)所—香港特別行政區(qū)合伙制事務(wù)所，均是與畢馬威國(guó)際有限公司(英國(guó)私營(yíng)擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。45

《畢馬威2024年全球首席執(zhí)行官展望》6

《畢馬威2024年全球首席執(zhí)行官展望》7

《畢馬威2025年最大地緣政治風(fēng)險(xiǎn)》，2025年3月31日主要機(jī)遇主要挑戰(zhàn)監(jiān)管挑戰(zhàn)首席信息安全官面臨監(jiān)管機(jī)構(gòu)對(duì)企業(yè)網(wǎng)絡(luò)安全計(jì)劃有效性和韌性的嚴(yán)格審查。盡管在個(gè)人法律責(zé)任方面各不相同，但隨著越來(lái)越多相關(guān)法規(guī)的出臺(tái)，例如，美國(guó)證券交易委員會(huì)于2023年末生效的《網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理、戰(zhàn)略、治理和事件披露法規(guī)》，董事會(huì)在網(wǎng)絡(luò)安全方面面臨著越來(lái)越大的上層壓力。8融合環(huán)境中的職責(zé)劃分信息技術(shù)與運(yùn)營(yíng)技術(shù)的融合模糊了相關(guān)傳統(tǒng)職務(wù)的界限，這就要求首席信息安全官同時(shí)具備技術(shù)和戰(zhàn)略專長(zhǎng)。明確區(qū)分業(yè)務(wù)運(yùn)營(yíng)和網(wǎng)絡(luò)安全，對(duì)于避免薄弱環(huán)節(jié)及確保數(shù)字化戰(zhàn)略的安全性至關(guān)重要。將網(wǎng)絡(luò)安全納入董事會(huì)議程——首席信息安全官可以定位為擁有關(guān)鍵董事會(huì)參與權(quán)和業(yè)務(wù)目標(biāo)話語(yǔ)權(quán)的戰(zhàn)略合作伙伴。由于首席信息安全官通常不屬于董事會(huì)成員，因此建立與領(lǐng)導(dǎo)層明確且直接的匯報(bào)關(guān)系，使其能夠與董事會(huì)定期溝通。打破團(tuán)隊(duì)隔閡——網(wǎng)絡(luò)安全和運(yùn)營(yíng)團(tuán)隊(duì)之間的合作可使首席信息安全官發(fā)揮主導(dǎo)作用。將物理安全、合規(guī)、隱私和運(yùn)營(yíng)等領(lǐng)域串聯(lián)起來(lái)，有助于打造全面的風(fēng)險(xiǎn)管理措施。此舉能彌補(bǔ)技術(shù)和運(yùn)營(yíng)之間的差距，為實(shí)現(xiàn)業(yè)務(wù)目標(biāo)提供支持并增強(qiáng)韌性。能源行業(yè)的首席信息安全官必須在滿足可持續(xù)轉(zhuǎn)型的迫切要求與保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的需求之間取得平衡。在持續(xù)探索人工智能驅(qū)動(dòng)的預(yù)測(cè)性維護(hù)、先進(jìn)儲(chǔ)能和智能電網(wǎng)等解決方案的過(guò)程中，這一點(diǎn)尤為重要?？芍鸩綄⒋祟惣夹g(shù)與現(xiàn)有系統(tǒng)進(jìn)行集成，以確保短期和長(zhǎng)期的運(yùn)營(yíng)連續(xù)性。隨著基于認(rèn)知的應(yīng)用程序的廣泛使用，首席信息安全官必須仔細(xì)權(quán)衡創(chuàng)新的好處與潛在的安全風(fēng)險(xiǎn)。通過(guò)數(shù)據(jù)評(píng)估，并將新興技術(shù)的應(yīng)用與業(yè)務(wù)目標(biāo)掛鉤，使用基于數(shù)據(jù)的見解來(lái)衡量風(fēng)險(xiǎn)并證明投資的合理性。此舉有助于贏得利益相關(guān)方的認(rèn)可，并確保網(wǎng)絡(luò)安全計(jì)劃具有可持續(xù)性。?

2025畢馬威華振會(huì)計(jì)師事務(wù)所(特殊普通合伙)—中國(guó)合伙制會(huì)計(jì)師事務(wù)所，畢馬威企業(yè)咨詢(中國(guó))有限公司—中國(guó)有限責(zé)任公司，畢馬威會(huì)計(jì)師事務(wù)所—澳門特別行政區(qū)合伙制事務(wù)所，及畢馬威會(huì)計(jì)師事務(wù)所—香港特別行政區(qū)合伙制事務(wù)所，均是與畢馬威國(guó)際有限公司(英國(guó)私營(yíng)擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。58

《網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理、戰(zhàn)略、治理和事件披露：小型實(shí)體合規(guī)指南》，美國(guó)證券交易委員會(huì)，2023年7月26日2智慧生態(tài)系統(tǒng)安全保障智能設(shè)備和物聯(lián)網(wǎng)的快速普及已使現(xiàn)代電網(wǎng)轉(zhuǎn)變?yōu)橐粋€(gè)包含眾多傳感器和軟件的龐大互連網(wǎng)絡(luò)，這就要求能源行業(yè)的首席信息安全官在處理數(shù)字設(shè)備安全問(wèn)題方面采取根本性轉(zhuǎn)變。例如，智能傳感器、儀表和電網(wǎng)通常僅有有限的安全功能，可能會(huì)成為入侵傳統(tǒng)運(yùn)營(yíng)技術(shù)系統(tǒng)的突破口，從而大大擴(kuò)展?jié)撛诘墓裘?。此類設(shè)備所需的安全保障措施與十年前的措施存在很大不同。如今，首席信息安全官必須考慮此類智能產(chǎn)品的整個(gè)生命周期，從設(shè)計(jì)和開發(fā)到部署和維護(hù)。安全策略應(yīng)考慮到這些設(shè)備運(yùn)行時(shí)所處的供應(yīng)鏈和生態(tài)系統(tǒng)。隨著歐盟《NIS2指令》、網(wǎng)絡(luò)韌性法案（CRA）、歐盟人工智能法案以及國(guó)際自動(dòng)化學(xué)會(huì)（ISA）和國(guó)際電工委員會(huì)（IEC）62443等監(jiān)管標(biāo)準(zhǔn)的出臺(tái)，能源行業(yè)的首席信息安全官在應(yīng)對(duì)上述潛在影響的同時(shí)，必須遵守這些新興的法規(guī)要求。此外，上文所述的地緣政治趨勢(shì)以及國(guó)家與黑客團(tuán)體結(jié)盟的增加，也不斷影響數(shù)字產(chǎn)品的安全，使關(guān)鍵基礎(chǔ)設(shè)施面臨更大的攻擊威脅。首席信息安全官必須為這些發(fā)展變化做好準(zhǔn)備，并及時(shí)調(diào)整其應(yīng)對(duì)策略。主要挑戰(zhàn)數(shù)據(jù)管理和隱私能源行業(yè)的智能設(shè)備為預(yù)測(cè)性維護(hù)和能源優(yōu)化等功能提供了大量數(shù)據(jù)集。然而，這些設(shè)備通常缺乏統(tǒng)一的安全標(biāo)準(zhǔn)，其身份驗(yàn)證和加密功能較弱，更容易遭受未經(jīng)授權(quán)的訪問(wèn)和數(shù)據(jù)操縱，從而為企業(yè)帶來(lái)隱私風(fēng)險(xiǎn)和合規(guī)挑戰(zhàn)?，F(xiàn)有系統(tǒng)和智能產(chǎn)品之間的互通與融合許多能源企業(yè)使用的傳統(tǒng)系統(tǒng)并未考慮與互聯(lián)網(wǎng)連接或與現(xiàn)代智能技術(shù)集成。因此，當(dāng)使用物聯(lián)網(wǎng)設(shè)備和智能產(chǎn)品對(duì)此類系統(tǒng)進(jìn)行強(qiáng)化時(shí)，可能會(huì)暴露安全漏洞。此外，可再生能源技術(shù)的使用增加了系統(tǒng)的復(fù)雜性，使網(wǎng)絡(luò)安全問(wèn)題更加突出。生命周期和第三方產(chǎn)品安全確保智能儀表和電網(wǎng)傳感器等互聯(lián)設(shè)備在其整個(gè)生命周期中的安全性和韌性至關(guān)重要。然而，能源行業(yè)對(duì)龐大供應(yīng)鏈的依賴導(dǎo)致風(fēng)險(xiǎn)上升，因?yàn)榈谌疆a(chǎn)品的漏洞可能會(huì)危及整個(gè)系統(tǒng)的安全性。?

2025畢馬威華振會(huì)計(jì)師事務(wù)所(特殊普通合伙)—中國(guó)合伙制會(huì)計(jì)師事務(wù)所，畢馬威企業(yè)咨詢(中國(guó))有限公司—中國(guó)有限責(zé)任公司，畢馬威會(huì)計(jì)師事務(wù)所—澳門特別行政區(qū)合伙制事務(wù)所，及畢馬威會(huì)計(jì)師事務(wù)所—香港特別行政區(qū)合伙制事務(wù)所，均是與畢馬威國(guó)際有限公司(英國(guó)私營(yíng)擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。6主要機(jī)遇數(shù)據(jù)收集和效率——智能產(chǎn)品的廣泛應(yīng)用不僅提高了效率、服務(wù)質(zhì)量和可靠性，還能夠收集、分析和利用更多數(shù)據(jù)，為運(yùn)營(yíng)和客戶帶來(lái)益處。預(yù)測(cè)、維護(hù)和需求預(yù)估——物聯(lián)網(wǎng)傳感器可以實(shí)時(shí)監(jiān)控設(shè)備并分析運(yùn)營(yíng)數(shù)據(jù)，從而及早發(fā)現(xiàn)問(wèn)題。這有助于減少服務(wù)中斷時(shí)間、降低維護(hù)成本，并延長(zhǎng)資產(chǎn)壽命。在需求預(yù)估方面，智能技術(shù)可以通過(guò)分析模式和趨勢(shì)，優(yōu)化資源分配、電網(wǎng)管理和可再生能源的融合利用，從而實(shí)現(xiàn)供需平衡。監(jiān)管機(jī)遇——?dú)W盟《NIS2》指令和網(wǎng)絡(luò)韌性法案等法規(guī)將更嚴(yán)格的安全標(biāo)準(zhǔn)、風(fēng)險(xiǎn)評(píng)估和合規(guī)性列為強(qiáng)制要求，從而加強(qiáng)智能設(shè)備的網(wǎng)絡(luò)安全。此類要求將推動(dòng)企業(yè)實(shí)施安全設(shè)計(jì)原則，同時(shí)提高供應(yīng)鏈的整體安全性。在智能電網(wǎng)和工業(yè)物聯(lián)網(wǎng)等關(guān)鍵基礎(chǔ)設(shè)施中運(yùn)行的設(shè)備必須符合與安全通信、補(bǔ)丁安裝和事件響應(yīng)相關(guān)的嚴(yán)格標(biāo)準(zhǔn)。能源企業(yè)正積極采用智能技術(shù)，以提高效率、可持續(xù)性和運(yùn)營(yíng)可靠性。例如，利用區(qū)塊鏈和Web3技術(shù)實(shí)現(xiàn)去中心化的能源系統(tǒng)，并促進(jìn)點(diǎn)對(duì)點(diǎn)能源交易。電網(wǎng)運(yùn)營(yíng)商也在智能電網(wǎng)技術(shù)方面進(jìn)行戰(zhàn)略投資。他們通過(guò)部署先進(jìn)的傳感器、實(shí)時(shí)數(shù)據(jù)分析技術(shù)和需求響應(yīng)系統(tǒng)，優(yōu)化能源分配并融合利用可再生能源。此外，企業(yè)也紛紛使用智能傳感器、物聯(lián)網(wǎng)設(shè)備和先進(jìn)隔熱材料打造節(jié)能建筑，以最大限度地減少能源消耗，降低對(duì)化石燃料的依賴，并減少碳排放。這些尖端技術(shù)使公用事業(yè)和消費(fèi)者得以增強(qiáng)對(duì)能源使用的控制，從而改善電網(wǎng)運(yùn)營(yíng)并降低成本。?

2025畢馬威華振會(huì)計(jì)師事務(wù)所(特殊普通合伙)—中國(guó)合伙制會(huì)計(jì)師事務(wù)所，畢馬威企業(yè)咨詢(中國(guó))有限公司—中國(guó)有限責(zé)任公司，畢馬威會(huì)計(jì)師事務(wù)所—澳門特別行政區(qū)合伙制事務(wù)所，及畢馬威會(huì)計(jì)師事務(wù)所—香港特別行政區(qū)合伙制事務(wù)所，均是與畢馬威國(guó)際有限公司(英國(guó)私營(yíng)擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。73韌性設(shè)計(jì)：為企業(yè)與社會(huì)提供網(wǎng)絡(luò)安全保障由于能源企業(yè)日益依賴物聯(lián)網(wǎng)和運(yùn)營(yíng)技術(shù)系統(tǒng)，且工業(yè)控制系統(tǒng)面臨日益復(fù)雜的網(wǎng)絡(luò)威脅，這些企業(yè)中負(fù)責(zé)關(guān)鍵基礎(chǔ)設(shè)施和資源的首席信息安全官因此面臨多重挑戰(zhàn)。企業(yè)應(yīng)認(rèn)識(shí)到，大規(guī)模業(yè)務(wù)中斷可能危及人類生命安全并造成數(shù)據(jù)安全風(fēng)險(xiǎn)。監(jiān)管機(jī)構(gòu)加強(qiáng)對(duì)企業(yè)關(guān)鍵基礎(chǔ)設(shè)施安全性和韌性的監(jiān)管審查，這使得本已艱巨的挑戰(zhàn)更加復(fù)雜。在基礎(chǔ)設(shè)施安全備受威脅的情況下，例如數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）破壞、電網(wǎng)攻擊和管線中斷等，該行業(yè)的運(yùn)營(yíng)連續(xù)性經(jīng)受著嚴(yán)峻的挑戰(zhàn)。為了維持韌性，首席信息安全官必須實(shí)施網(wǎng)絡(luò)安全戰(zhàn)略，優(yōu)先防止業(yè)務(wù)中斷并確保業(yè)務(wù)在事故發(fā)生后能迅速恢復(fù)。這包括開展實(shí)時(shí)監(jiān)控、攻擊面管理、事件響應(yīng)計(jì)劃，以及在團(tuán)隊(duì)中倡導(dǎo)韌性為先的文化。不斷演進(jìn)的監(jiān)管環(huán)境，特別是歐盟《NIS2》指令以及北美電力可靠性公司關(guān)鍵基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn)的實(shí)施，提升了對(duì)通過(guò)強(qiáng)有力網(wǎng)絡(luò)安全措施保護(hù)物理和數(shù)字資產(chǎn)安全的要求。將韌性列入工作重點(diǎn)有助于能源企業(yè)減少漏洞，并在面對(duì)復(fù)雜網(wǎng)絡(luò)威脅時(shí)保持穩(wěn)健運(yùn)營(yíng)。首席信息安全官可據(jù)此定位為戰(zhàn)略業(yè)務(wù)推動(dòng)者，致力于幫助企業(yè)提升業(yè)務(wù)韌性和競(jìng)爭(zhēng)力。主要挑戰(zhàn)數(shù)字化轉(zhuǎn)型風(fēng)險(xiǎn)通過(guò)將原有的運(yùn)營(yíng)技術(shù)系統(tǒng)連接到互聯(lián)網(wǎng)以推動(dòng)數(shù)字化轉(zhuǎn)型，這些通常安全性不高的系統(tǒng)會(huì)面臨來(lái)自互聯(lián)網(wǎng)的威脅。此外，物聯(lián)網(wǎng)設(shè)備在能源系統(tǒng)中的部署（例如海上風(fēng)電場(chǎng)和電網(wǎng)的智能電表、遠(yuǎn)程傳感器等），顯著擴(kuò)大了能源系統(tǒng)的攻擊面。這些設(shè)備通常缺乏有效的安全措施，因此容易被攻擊者利用。此外，設(shè)備互聯(lián)還可能引發(fā)連鎖故障，使事故控制變得更加困難?？稍偕茉椿A(chǔ)設(shè)施安全問(wèn)題由于可再生能源基礎(chǔ)設(shè)施的許多組成部分都提供了數(shù)字接口用于遠(yuǎn)程監(jiān)控，因此存在安全問(wèn)題。支持Wi-Fi的物聯(lián)網(wǎng)設(shè)備的加入也使這一問(wèn)題更加復(fù)雜。紛繁復(fù)雜且不斷演變的運(yùn)營(yíng)韌性法規(guī)由于缺乏統(tǒng)一的區(qū)域和國(guó)際網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，能源企業(yè)難以確保合規(guī)，尤其是關(guān)鍵基礎(chǔ)設(shè)施提供商。對(duì)于跨國(guó)企業(yè)而言，應(yīng)對(duì)不同司法管轄區(qū)之間相互矛盾或重疊的法規(guī)，增加了合規(guī)的復(fù)雜性。違規(guī)可能會(huì)使其面臨巨額罰款、聲譽(yù)受損以及更嚴(yán)格的審查。?

2025畢馬威華振會(huì)計(jì)師事務(wù)所(特殊普通合伙)—中國(guó)合伙制會(huì)計(jì)師事務(wù)所，畢馬威企業(yè)咨詢(中國(guó))有限公司—中國(guó)有限責(zé)任公司，畢馬威會(huì)計(jì)師事務(wù)所—澳門特別行政區(qū)合伙制事務(wù)所，及畢馬威會(huì)計(jì)師事務(wù)所—香港特別行政區(qū)合伙制事務(wù)所，均是與畢馬威國(guó)際有限公司(英國(guó)私營(yíng)擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。8主要機(jī)遇實(shí)時(shí)監(jiān)控——使用安全信息和事件管理（SIEM）系統(tǒng)以及入侵檢測(cè)與預(yù)防系統(tǒng)等先進(jìn)威脅檢測(cè)工具至關(guān)重要。在信息技術(shù)和運(yùn)營(yíng)技術(shù)環(huán)境中利用機(jī)器學(xué)習(xí)、人工智能識(shí)別和預(yù)測(cè)惡意行為，可以更快地識(shí)別和應(yīng)對(duì)網(wǎng)絡(luò)威脅。監(jiān)管發(fā)展——?dú)W盟《NIS2》指令等法規(guī)對(duì)行業(yè)合作和第三方風(fēng)險(xiǎn)管理提出了具體要求。這些法規(guī)要求企業(yè)控制供應(yīng)鏈風(fēng)險(xiǎn)，因此監(jiān)控關(guān)鍵供應(yīng)商的網(wǎng)絡(luò)安全狀況勢(shì)在必行。與其他企業(yè)以及政府機(jī)構(gòu)共享威脅情報(bào)并進(jìn)行合作，可以幫助能源企業(yè)更好地應(yīng)對(duì)新興網(wǎng)絡(luò)威脅。與值得信賴的網(wǎng)絡(luò)安全供應(yīng)商建立合作伙伴關(guān)系，也有助于快速響應(yīng)并為事件處理提供支持。網(wǎng)絡(luò)安全意識(shí)和危機(jī)模擬演練——在現(xiàn)代網(wǎng)絡(luò)韌性培訓(xùn)中，可利用虛擬現(xiàn)實(shí)（VR）技術(shù)實(shí)施沉浸式危機(jī)模擬演練，利用人工智能驅(qū)動(dòng)的自適應(yīng)場(chǎng)景開展個(gè)性化學(xué)習(xí)，以及利用游戲化平臺(tái)幫助員工和運(yùn)營(yíng)商開展交互式事件應(yīng)對(duì)演練。這有助于增強(qiáng)企業(yè)的反應(yīng)能力和運(yùn)營(yíng)韌性。能源企業(yè)作為重要的基礎(chǔ)設(shè)施提供商，在應(yīng)用新技術(shù)方面應(yīng)小心謹(jǐn)慎。探索網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)的價(jià)值——隨著網(wǎng)絡(luò)安全威脅的擴(kuò)大，企業(yè)應(yīng)投入時(shí)間了解網(wǎng)絡(luò)安全保險(xiǎn)可以覆蓋的風(fēng)險(xiǎn)范圍。企業(yè)可以設(shè)法確定第三方服務(wù)中斷可能造成的損失，并通過(guò)降低服務(wù)費(fèi)率、購(gòu)買保險(xiǎn)或提出訴訟來(lái)減少影響。?

2025畢馬威華振會(huì)計(jì)師事務(wù)所(特殊普通合伙)—中國(guó)合伙制會(huì)計(jì)師事務(wù)所，畢馬威企業(yè)咨詢(中國(guó))有限公司—中國(guó)有限責(zé)任公司，畢馬威會(huì)計(jì)師事務(wù)所—澳門特別行政區(qū)合伙制事務(wù)所，及畢馬威會(huì)計(jì)師事務(wù)所—香港特別行政區(qū)合伙制事務(wù)所，均是與畢馬威國(guó)際有限公司(英國(guó)私營(yíng)擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載。9積極識(shí)別風(fēng)險(xiǎn)并打造能在重大網(wǎng)絡(luò)事件發(fā)生后快速恢復(fù)運(yùn)營(yíng)的能力，仍然是業(yè)內(nèi)首席信息安全官關(guān)注的一大領(lǐng)域。挑戰(zhàn)一家能源分銷商委托畢馬威幫助其打造在最嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題出現(xiàn)后迅速恢復(fù)運(yùn)營(yíng)的能力，并開發(fā)用于重新評(píng)估其最關(guān)鍵業(yè)務(wù)應(yīng)用程序的工具。項(xiàng)目的主要目標(biāo)是為客戶提供一份詳盡的手冊(cè)，其中包含在信息技術(shù)系統(tǒng)完全癱瘓情況下應(yīng)遵循的詳細(xì)流程、程序和分步指導(dǎo)。此外，還需幫助客戶構(gòu)建用于識(shí)別其最關(guān)鍵業(yè)務(wù)流程的方法。措施畢馬威的團(tuán)隊(duì)與客戶的主要業(yè)務(wù)利益相關(guān)方展開合作，深入了解其既有的內(nèi)部恢復(fù)流程。憑借深厚的行業(yè)知識(shí)和經(jīng)驗(yàn)，我們?yōu)榭蛻艟木幹屏松鲜鍪謨?cè)，并制定了從零開始逐步恢復(fù)信息技術(shù)系統(tǒng)的可行流程。此外，我們還為客戶設(shè)計(jì)并開發(fā)了一款工具，使其能夠重新分類自己的關(guān)鍵業(yè)務(wù)應(yīng)用程序。由于客戶之前用于分類應(yīng)用程序的標(biāo)準(zhǔn)已經(jīng)過(guò)時(shí)，導(dǎo)致部分應(yīng)用程序被錯(cuò)誤地歸類為關(guān)鍵業(yè)務(wù)應(yīng)用程序。這款新工具可幫助客戶評(píng)估商業(yè)影響分析（BIA）中收集的數(shù)據(jù)，以便重新對(duì)其應(yīng)用程序進(jìn)行重要性排序?；貓?bào)此次合作使客戶在信息技術(shù)系統(tǒng)全面癱瘓后能夠通過(guò)流程減少業(yè)務(wù)中斷時(shí)間和損失。另外，客戶對(duì)其業(yè)務(wù)應(yīng)用程序和流程的重要程度有了更清晰的了解，從而能夠更好地為抵御網(wǎng)絡(luò)威脅做好準(zhǔn)備。業(yè)界切實(shí)應(yīng)對(duì)網(wǎng)絡(luò)安全問(wèn)題由于存在大范圍的供應(yīng)鏈以及相互連接的信息技術(shù)和運(yùn)營(yíng)技術(shù)系統(tǒng)，網(wǎng)絡(luò)安全必須始終放在首位。在缺乏有效防護(hù)措施的情況下，迅速采用新技術(shù)可能會(huì)增加系統(tǒng)漏洞的風(fēng)險(xiǎn)，使企業(yè)成為網(wǎng)絡(luò)攻擊的目標(biāo)。而能源企業(yè)在應(yīng)對(duì)此類問(wèn)題方面正日益成熟。他們通過(guò)人工智能和機(jī)器學(xué)習(xí)開展預(yù)測(cè)性維護(hù)和威脅檢測(cè)，利用區(qū)塊鏈確保安全交易，通過(guò)高性能計(jì)算和物聯(lián)網(wǎng)進(jìn)行實(shí)時(shí)監(jiān)控，并通過(guò)安全設(shè)計(jì)原則提高安全性。此外，云安全解決方案和集中式網(wǎng)絡(luò)安全治理還可以幫助企業(yè)有效管理和保護(hù)數(shù)據(jù)。?

2025畢馬威華振會(huì)計(jì)師事務(wù)所(特殊普通合伙)—中國(guó)合伙制會(huì)計(jì)師事務(wù)所，畢馬威企業(yè)咨詢(中國(guó))有限公司—中國(guó)有限責(zé)任公司，畢馬威會(huì)計(jì)師事務(wù)所—澳門特別行政區(qū)合伙制事務(wù)所，及畢馬威會(huì)計(jì)師事務(wù)所—香港特別行政區(qū)合伙制事務(wù)所，均是與畢馬威國(guó)際有限公司(英國(guó)私營(yíng)擔(dān)保有限公司)相關(guān)聯(lián)的獨(dú)立成員所全球組織中的成員。版權(quán)所有，不得轉(zhuǎn)載