Search
Free Trial

Hongke's latest articles

HongKe

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

[Hongke Solutions] From Passive Defense to Proactive Prevention: Easily Handle Annual Risk Assessments and Security Audits with KnowBe4

01. 引言:香港《保護關鍵基礎設施(電腦系統)條例》即將到來

在2026新年一開始,很多 CISO 和風險經理都在面臨同一個頭痛的問題:《保護關鍵基礎設施(電腦系統)條例》第24條和第25條要求,必須每年做一次電腦系統安全風險評估,每兩年做一次安全審核,而且還得在指定期限內提交完整報告。
 
聽起來很熟悉對吧?但實際上,這兩個要求的「分量」比你想的重很多。
第24條不只是說「評估一下有沒有漏洞」,而是要你系統性地識別、分析、記錄威脅和風險,並持續追蹤。 第25條更要求你安排獨立審核員驗證你的安全管理計劃是否真正在運作,控制措施是否有效。 換句話說,你需要拿得出證據——不是猜測,不是「我覺得風險不大」,而是紮實的、可追蹤的、可驗證的數據。
 
大多數企業的做法是:掃描漏洞、寫個報告、交給監管單位,完事。但這種「交功課式」的評估有個致命的弱點——它往往忽視了最難量化、卻最致命的風險來源:員工行為The
統計數據很無情:超過 80% 的網絡安全事故都牽涉人為因素,從釣魚郵件、密碼重用、到無心分享敏感資料。但在很多企業的年度風險評估裡,這一塊卻是一片空白。你會看到「技術風險評級:高」,但看不到「員工安全意識風險:未評估」。
這就是為什麼 KnowBe4 正在變成越來越多企業在第24、25條合規旅程中的必選項——它幫你把「人為風險」從一個看不見、摸不著的黑盒,變成一套可量化、可改進、可審計的系統The

02. 核心價值一:風險評估變「真實」——量化人為風險,別再靠猜

傳統評估的盲點

傳統的風險評估通常會問:
  • 有沒有防火牆?
  • 系統有沒有打補丁?
  • 備份是否定期進行?
這些都重要,但只回答了「技術層面的風險」。卻完全沒碰到一個尖銳的問題:你的員工有多容易被騙?
根據業界研究,這個數字通常是 20~40%——意思是,你公司裡大概有 1/5 到 2/5 的人會點開釣魚郵件。這不是小數字,這是一個嚴重的風險缺口The
但問題是,傳統評估方法根本沒辦法精確量化這個缺口。你問員工「你覺得自己能識別釣魚嗎?」,99% 的人會回答「能啊,我很小心」。然後你真的發一封釣魚郵件給他們,結果一半的人都上鉤了。

KnowBe4 的方案:基線測試 + 動態評分

KnowBe4 用最直接的方式——實戰——來建立「人為風險」的評估基線:
1. 首次釣魚基準測試(Phishing Security Test)
在第24條風險評估正式開始前,KnowBe4 會對全公司員工發送一波精心設計的模擬釣魚郵件。這些郵件不是隨意的,而是根據你們行業常見的社工手法打造的——比如假匯款通知、假快遞簽收提醒、假老闆授權要求等。
 
測試完成後,你會得到一份清晰的報告:
  • 整公司易受釣魚率(Phish-prone Percentage):比如 28%
  • 按部門的風險分佈:人資部 15%、財務部 35%、IT 部 8%
  • 按職級的風險分佈:普通員工 30%、中層主管 18%、高層 5%
這份數據,就是你風險評估報告裡「人為威脅可能性」那一欄的第一手證據。而且重點是——這是真實行為數據,不是問卷調查,說服力完全不一樣。
2. 持續的動態風險評分
一次測試不叫評估,持續監測才叫管理。KnowBe4 的智能風險評分引擎會根據以下訊號,對每個員工動態計算風險分數:
 
  • 是否點擊了釣魚郵件?
  • 有沒有完成安全培訓課程?
  • 在測試中的表現有沒有改善?
  • 是否主動舉報可疑郵件?
綜合這些因素,系統會給出一個可視化的「員工風險分布圖」——你能清楚看到有多少人從「高風險」轉移到「中風險」再到「低風險」,這就是風險改善趨勢的最佳證明The
對於風險評估報告來說,這意味著你不是在交一份「去年的風險快照」,而是在展示「我們的風險管理如何在持續改進」——這正正是第24條要求的「持續監察」。

三、核心價值二:審核變「有底氣」——用實戰測試證明控制真的在運作

審核員會問什麼

CISO 第25條要求的審核,不是簡單的「檢查清單」。 第三方審核員會深入詢問:
  • 你說員工有進行安全培訓,怎麼證明
  • 你說有風險控制機制,這些控制真的在運作嗎?
  • 過去一年有沒有持續驗證這些控制的有效性?
傳統企業的回答通常是:「有啦,我們每年都發一份《員工安全手冊》PDF,讓大家簽名確認收到。」
審核員聽了會皺眉:「簽名確認≠實際知道內容,更不等於員工改變了行為。」
這是審核的難點——你需要證明的不只是「做了什麼」,而是「有什麼效果」。

KnowBe4 的方案:把測試變成持續的「控制驗證」活動

在審核員眼前,KnowBe4 最強的招牌是什麼?不是培訓課程的多寡,而是一套完整的、歷史可查的、不斷疊代的「實戰驗證記錄」The
 
1. 標準化的社交工程測試 = 審核的「控制測試」
CISO 第25條要求安全審核必須涵蓋「驗證安全管理計劃的有效運作」。 什麼叫「有效運作」?其中最直觀的方式,就是定期的、真實的攻擊模擬。
 
KnowBe4 的做法很簡單:每週或每月給員工發一波釣魚模擬。這些模擬涵蓋:
 
  • 常見的銀行 & 金融詐騙郵件
  • 假冒供應商的採購詐騙
  • 假冒 CEO 的授權要求
  • 假冒快遞 / 物流的簽收通知
每一輪測試都會被紀錄下來,審核員可以看到:
  • 測試時間、內容、針對人群
  • 多少人點擊、多少人舉報、多少人上當後接受了再培訓
  • 前後測試的點擊率是否有改善
這不只是「數據」,而是「控制有效性的實時體溫表」。審核員會看到,不是你說「我們有安全意識計劃」,而是你展示「我們每月都在實測員工防禦能力,並根據結果調整培訓策略」。這完全是兩個層級的說服力。
2. 可追蹤的證據鏈
CISO 第25條要求你交出「書面紀錄」,證明審核是怎麼進行的。 KnowBe4 可以自動生成的審核級別報告包括:
 
  • 測試明細表:每次釣魚測試的具體參數(發送時間、內容、目標人群、結果數據)
  • 風險改善趨勢圖:用圖表展示員工安全意識的改善軌跡(通常是向下傾斜的「好消息」曲線)
  • 部門對標表:各部門的風險評分對比
  • 個人學習紀錄:誰完成了什麼培訓、通過了什麼測試、改進了多少
審核員看到這套資料,會感到:「這家企業對人為風險的管理非常系統,不是應付式的。」

四、核心價值三:報告變「簡單」——一鍵導出監管級別的文檔

時間成本的真相

根據很多企業的回饋,年度風險評估和兩年一度審核最耗時間的,往往不是「做評估」的技術工作,而是「找數據、組織數據、砌報告」的行政工作。一份合規的評估報告,通常要跨越多個部門、多套系統,才能拼湊出完整的圖景,這個過程往往耗時 4~8 週。
KnowBe4 可以把這個時間縮短到幾天。

KnowBe4 的內建報告系統

平台內置 60+ 種報告模板,包括:
 
  • 管理層儀表板:CEO 和風險委員會一眼就能看到整公司的安全姿態、主要風險指標、改善趨勢
  • 詳細風險評估報告:可直接作為第24條報告的「人為風險」章節提交
  • 審核就緒報告:按照 ISO 27001、NIST 等標準框架組織,第三方審核員一看就知道你符合哪些要求
  • 部門/職能分析報告:讓不同部門主管了解本部門的安全漏洞在哪
所有報告都可以一鍵導出為 PDF 或 Excel,直接嵌入你的評估文檔,不用再手工轉製。

「已盡應盡努力」的法律護盾

CISO 第66條提到了「已盡應盡努力」的概念,意思是:即使你確實遭遇了網絡攻擊,只要能證明你已經竭盡所能做好防禦,責任會大幅減輕。
 
KnowBe4 產生的這套紀錄體系,就是你「已盡應盡努力」的最佳法律武器。因為你能證明:
  • 我們定期評估人為風險
  • 我們持續進行社交工程測試
  • 我們根據測試結果不斷優化培訓
  • 我們有詳盡的改善記錄
這套證據在事後的審查或甚至法律訴訟中,都能幫你大大減輕責任。

實踐清單:從今天開始的三步行動

如果你是風險或技術負責人,正在為年度評估和即將到來的審核忙得焦頭爛額,不妨考慮這三步:
第一步:基線診斷(本月完成) 預約 KnowBe4 免費演示,進行一次全公司釣魚基準測試。花 30 分鐘的部署時間,換回一份清晰的人為風險快照。
第二步:評估報告重構(下月啟動) 將基線數據整合到你的年度風險評估報告中,特別是在「威脅識別」和「現有控制有效性」這兩個章節。
第三步:審核就緒(持續進行) 建立月度的釣魚測試和培訓計劃,讓第三方審核員在查閱時,看到的是一份動態進行的、有持續驗證的安全管理計劃,而不是一份靜態的、過時的文件。

IV. CONCLUSION

CISO 第24、25條不是要增加你的工作量,而是在督促你:把安全管理從「應付式」轉向「系統性」The
 
KnowBe4 的核心貢獻是什麼?就是幫你在最容易被忽視的「人為風險」維度上,建立起一套可重複、可驗證、可改進的管理機制。這樣,當監管機構或審計師問「你怎麼確保員工不會成為你的最大弱點」時,你有數據、有故事、有趨勢圖作支撐,而不是一句「我們很重視」。
👉 立即行動:預約 KnowBe4 評估演示,30 分鐘內完成一次全公司釣魚基準測試。了解你今天的人為風險在哪裡,為明年的評估和審核預留充足的改進時間。
前往KnowBe4产品页面

Other Articles
Hongke Case

【虹科方案】為何規則密集型業務更適合低程式碼:把決策邏輯從「寫死」變「可配置」

眾多規則密集型企業於數位轉型時,常面臨業務規則與底層程式綁死、調校流程繁瑣、跨系統邏輯難統一等痛點。低程式碼可將判斷邏輯轉為可視化配置,縮短規則迭代週期,釐清業務與IT分工。Decisions平台整合低程式碼環境與規則引擎,獨立搭建共用決策層,支援拖拉式規則管理、跨系統串接調用,兼顧營運彈性與IT治理監管需求。

Read more
HongKeTechnology June 23, 2026
Hongke Case

[Hongke Case Study] Hongke Panorama SCADA System: Enabling Industrial Automation and IT/OT Convergence Through REST Web Services

Learn more about how Hongke Panorama Suite uses standard REST Web Services (REST APIs) to enable bidirectional data exchange, break down data silos on the industrial floor, and seamlessly connect SCADA systems with real-world weather, energy, and telemetry big data—thereby comprehensively accelerating the deep integration of enterprise IT and OT.

Read more
HongKeTechnology June 23, 2026
Hongke Case

[Hongke Solutions] SimData High-Fidelity Virtual Dataset Solution: Perception Training for Autonomous Driving Based on aiSim

Hongke has launched SimData, a high-fidelity virtual dataset built on the aiSim simulation platform and fully compatible with the nuScenes format. It provides high-quality multimodal training data for autonomous driving perception algorithms, LiDAR, and BEV models, effectively addressing the challenge of data collection in extreme scenarios (Edge Cases). Click now to learn about the development process and see real-world results!

Read more
HongKeTechnology June 16, 2026
close menu icon

Contact Hongke to help you solve your problems.

Let's have a chat