ISACA发布的《全球量子计算趋势调查报告》，揭示了一个严峻现实：尽管量子计算的革命性潜力与安全威胁并存，但95%的企业仍未制定明确应对方案，全球网络安全与商业稳定性面临巨大挑战。

进入2026年，ISACA Now博客开启新一年“数字信任”系列专题，聚焦塑造未来的关键议题。在本周的系列文章中，我们将目光投向IT治理从业者——以下五个问题，将在接下来的几个月里深刻影响你的工作方向。更多治理资源，请参见 ISACA 官网。进入2026年，治理专业人士正身处一个加速演进、技术融合、责任边界模糊却要求更高的环境中。以人工智能为代表的新技术，早已不是边缘性的创新尝试，而是深度嵌入企业

在当今变幻莫测的网络安全威胁格局下，单纯的技术堆砌已不足以应对挑战。有效的防御，必须是一场覆盖云安全实践、精细化补丁管理、常态化人员意识培训的多维战役。而清晰的安全政策与结构化的网络安全手册，则为这场战役提供了作战蓝图与行动准则。AI智能体的价值，在于将手册中的静态指令转化为自主执行的动态防御能力。它们7×24小时持续监测勒索软件、云漏洞、钓鱼攻击、社会工程学及补丁风险，极大缩短了威 胁发现与响应

中国同样强调人工介入的重要性，不仅要求建立风险识别、持续监测和应急响应机制，还进一步细化了“人在控制”的技术实现：比如设置安全阈值、配置紧急停止按钮或手动接管开关，在技术防护之外再加一道“人控保险”，杜绝AI失控运行的可能。中国则采取更动态、更综合的评估方式，从应用场景、智能水平和系统规模三个维度出发，识别技术本身、应用过程及衍生影响中的各类风险，并结合行业特点和运营实际进行分级。模型的提供方详细

OpenClaw 的广泛应用，标志着AI应用正加速向Agent（智能体）执行阶段演进。它为我们展现了极具潜力的生产力愿景，但同时也暴露出企业在引入新技术时普遍存在的治理真空。在 AI 已经可以自主操作系统的今天，企业真正需要的，不仅是懂技术的工程师，更需要懂得如何在创新与风险之间寻找平衡的专业的AI治理、AI风险管理、AI审计人才。这就从根本上要求我们从业者必须建立起系统性的人工智能审计与管理思维

OpenClaw 的广泛应用，标志着AI应用正加速向Agent（智能体）执行阶段演进。它为我们展现了极具潜力的生产力愿景，但同时也暴露出企业在引入新技术时普遍存在的治理真空。在 AI 已经可以自主操作系统的今天，企业真正需要的，不仅是懂技术的工程师，更需要懂得如何在创新与风险之间寻找平衡的专业的AI治理、AI风险管理、AI审计人才。这就从根本上要求我们从业者必须建立起系统性的人工智能审计与管理思维

摘要：本文基于ISACA中国2025年度大会演讲内容，重点探讨大语言模型(LLM)安全风险及治理框架。首先列出OWASP发布的LLM十大风险，包括提示注入、数据泄露等新型安全威胁。其次介绍ISO/IEC发布的AI治理国际标准，包括风险管理指南(23894)和首个AI管理体系标准(42001)。最后解析欧盟《AI法案》合规要求，并提出实施AI管理体系的关键步骤：明确角色定位、制定AI管理方针、开展风

2026年审计工作面临五大核心挑战：1）网络与运营韧性的实战验证，需超越纸面预案；2）AI应用的独立鉴证能力，需掌握全流程风险；3）审计资源的精准投放，需聚焦关键脆弱点；4）数据可靠性的深度验证，需构建完整证据链；5）AI时代的审计伦理与人才保留，需平衡技术与人本。审计人员必须选择最紧迫的领域重点突破，才能在危机来临时给出令人信服的回应。

2025年注定是变革与挑战并存的年份，AI和网络安全将成为主导议题。无论是通过创新应用还是向通用人工智能（AGI）的自然演进，这一年都将以突破性进展与重大的风险并行而著称。孤立的数据集将日益融合，在无需破解加密的情况下揭示新的真相——从追踪加密货币混币器的资金流向，到医疗领域的突破。想象一下通过识别看似无关的医疗症状中的早期或细微模式，为疾病早期检测提供关键线索。然而，这种数据融合同样赋能黑客聚合

2026年网络安全五大核心问题：1）AI决策责任归属需明确治理机制；2）风险沟通需转向业务语言和场景化评估；3）第三方依赖需关注实质性业务影响；4）防护重点应从系统转向业务价值；5）身份管理需应对AI代理等新型挑战。网络安全正从技术实施转向决策问责，专业价值将取决于清晰解释和承担责任的能力。