浅析「网络安全政策陆续发布」对企业的影响
2021-07-26 12:36:27 Author: www.freebuf.com(查看原文) 阅读量:35 收藏

6月以来,网络安全相关的政策密集发布,网络安全板块一度出现多家企业涨停、全线飙升的景象。

许多扎根安全圈多年的老炮儿们,都不禁感概政策的利好“终于从十八线行业熬成了一线”“千亿级网安行业迎来政策风口”。

然而,当我们在讨论政策利好网安产业时,似乎忽略了“故事的主角”——众多互联网企业,乃至几乎所有“插上网线”的企业。

这些公司正是迫切需要熟悉政策,找准跑道的边界线,快速适应并奔跑。本文将尝试从近期陆续出台的政策为背景,探讨其对企业的影响。

重磅文件连续出台

  • 6月10日,《数据安全法》正式通过,将于9月1日起施行。
  • 7月7日,《深圳经济特区数据条例》正式公布,将于2022年1月1日起施行。
  • 7月10日,网信办发布《网络安全审查办法(修订草案征求意见稿)》。
  • 7月12日,工信部发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》。
  • 7月13日,工信部、网信办、公安部发布《网络产品安全漏洞管理规定》。

短短34天之内,网络安全领域的重磅政策文件接连发布,这一番景象实属罕见。而随着网络安全行业“大动作”不断,A股市场闻风而动,网络安全概念指数5月以来累计涨幅超30%,千亿级别市场的网络安全行业迎来政策风口。

一直身居幕后的网络安全产业,这一次来到了台前。许多扎根安全圈多年的老炮儿们,都不禁感概政策的利好“终于从十八线行业熬成了一线”。但是在硬币的另一面,对于政策所规范的对象,即众多互联网企业,乃至几乎所有“插上网线”的企业而言,是挑战还是机遇?

挑战还是机遇?

在探讨这些企业的挑战与机遇之前,我们先来分析政策密集发布背后的原因。

一方面,这与当前愈加复杂的网络安全形势不无关系,近期频发的安全事件提高了对网络安全防护的要求,另一方面,行业的新场景、新技术下,政府部门也对安全提出了更高的要求。

中国数字化进程的快速发展,让商业重新回到了最本质的状态——一切商业运作的前提条件应该是安全。自身要安全,用户要安全,环境要安全,一切的安全都必须在透明公开的监督下保障。

换句话说,不是“政策越来越严了”,而是“原本就存在的边界越来越清晰了”。

复旦大学沈逸教授在一期节目中提出了一个观点:

中国互联网经历了从早期的野蛮生长,到后来的精细化管理的演变过程。信息技术革命的发展和它的商业化运用,最初是领先于治理能力和领先于社会认知的。技术的商业化运用带来了巨大的便捷和创造出了海量的价值,同时也带来了一些损害。但是随着治理体系的追赶和事件的冲击,一个更加完善的精细化治理体系正在催生。

这也就有了近期的政策发布,它们是政府和相关部门作为裁判,规划出的更清晰的边界。

打一个比方,最开始的互联网就像野球场的篮球,规则简单、运转激烈;慢慢的,篮球场上有了裁判,有了三分线,有了24秒,有了罚球线,比赛没有变得乏味,反而让这项运动走得更远,既有花哨的扣篮动作,也有丰富的战术变换。

回到前面的问题,清晰的边界对于企业的长期发展毋庸置疑是好事,能让企业在安全可控的基础上,更加充分地发挥互联网的价值。只不过在适应阶段,企业需要积极调整,快速寻找边界。

对互联网企业产生什么影响

密集发布的网络安全相关政策,对于企业会产生什么影响呢?我们采访了腾讯安全战略发展中心 行业安全专家组负责人陈颢明,从他的相关解读中我们提炼了三个角度。

对企业重视程度的影响

以《数据安全法》为例,行业最关注的是其保护义务和法律责任。如下图,我们摘取了部分条例。可以看到,哪些事情做得不好,可能会面临怎样的最高处罚。

同时,除了法律责任的处罚,还会涉及到整个企业的口碑。一旦处罚被公布和曝光,实际上对企业的品牌、信誉都将造成严重的负面影响。社会和用户会对这个处罚进行解读,因此对企业的业务影响非常大。

鉴于潜在的巨大风险,企业必须自上而下主动地做好安全建设。举个例子,以往企业的安全部门很难申请到安全建设的预算,需要从营收、绩效等维度向更高一级解释。现在,法律已经有了明确规定,安全部门将能更顺畅地做好前置性的预算。

对组织架构的影响

安全对企业组织架构的影响,其实早在4年就有相关政策。2017年《网络安全法》实施,其中就规定了一项“设置专门安全管理机构和安全管理负责人”,也就是我们常说的CISO(首席信息安全官)。而这次颁布了《数据安全法》,企业也必须考虑设置数据安全的第一负责人,类似“首席数据安全官”的角色。

同时,其工作职能也需要按照法规做相应的调整,例如企业要保护的内容、工作任务就决定了他们要建什么样的安全系统保障数据,等等一系列的推动作用。因此,企业想要做好相应的安全建设,就需要对它整个管理结构、组织、流程、系统建设,以及投入预算进行通盘考虑。

这令人联想起安全行业长期号召的一个提议:数字时代的安全不再只是CTO、CIO的工作范畴,也需要CEO的战略关注,安全正成为CEO的一把手工程。

对安全投入的影响

安全投入始终是企业首要关注的一个点,毕竟企业的最终目的是创造商业价值和社会价值。尽管已经有不少的案例证明,安全的前置部署能为企业降本增效,但企业管理者对安全的投入依然难以决断。

这一次,《网络安全产业高质量发展三年行动计划》明确说明了“电信等重点行业网络安全投入占信息化投入比例达10%”。而7月9日的世界人工智能大会安全高端对话上,裘薇处长也透露,正在和网信办协商,进一步明确政府和公共企事业单位在网络安全上的投入比例不低于10%。这两个数据将为企业提供一定的参考意义。

据了解,当前国内网络安全投入较大的行业,其预算比例大概在5%-8%,很多行业基本在1%-2%,因此提升空间还非常大。

结语

上述分别从企业意识、组织架构、安全投入三个方面解析政策对企业产生的影响,可以看到,政策除了通过法律约束,同时也在指导企业从整体战略视角看待企业安全,并通盘考虑做好安全建设。

企业需要企业从经营战略视角进行统一规划,建立系统性的安全防御机制,同时,借助云、借助安全厂商,通过情报、技术、人才的开放和共享,在新的网络安全环境下保持竞争力。

以上观点仅代表作者个人,欢迎交流指正。

作者&编辑:罐子

专家支持:陈颢明


文章来源: https://www.freebuf.com/articles/neopoints/282131.html
如有侵权请联系:admin#unsafe.sh