編者按
6月以來,網(wǎng)絡(luò)安全相關(guān)的政策密集發(fā)布,網(wǎng)絡(luò)安全板塊一度出現(xiàn)多家企業(yè)漲停、全線飆升的景象。
許多扎根安全圈多年的老炮兒們,都不禁感概政策的利好“終于從十八線行業(yè)熬成了一線”“千億級網(wǎng)安行業(yè)迎來政策風(fēng)口”。
然而,當(dāng)我們在討論政策利好網(wǎng)安產(chǎn)業(yè)時,似乎忽略了“故事的主角”——眾多互聯(lián)網(wǎng)企業(yè),乃至幾乎所有“插上網(wǎng)線”的企業(yè)。
這些公司正是迫切需要熟悉政策,找準(zhǔn)跑道的邊界線,快速適應(yīng)并奔跑。本文將嘗試從近期陸續(xù)出臺的政策為背景,探討其對企業(yè)的影響。
重磅文件連續(xù)出臺
•6月10日,《數(shù)據(jù)安全法》正式通過,將于9月1日起施行。
•7月7日,《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》正式公布,將于2022年1月1日起施行。
•7月10日,網(wǎng)信辦發(fā)布《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見稿)》。
•7月12日,工信部發(fā)布《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計劃(2021-2023年)(征求意見稿)》。
•7月13日,工信部、網(wǎng)信辦、公安部發(fā)布《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》。
短短34天之內(nèi),網(wǎng)絡(luò)安全領(lǐng)域的重磅政策文件接連發(fā)布,這一番景象實屬罕見。而隨著網(wǎng)絡(luò)安全行業(yè)“大動作”不斷,A股市場聞風(fēng)而動,網(wǎng)絡(luò)安全概念指數(shù)5月以來累計漲幅超30%,千億級別市場的網(wǎng)絡(luò)安全行業(yè)迎來政策風(fēng)口。
一直身居幕后的網(wǎng)絡(luò)安全產(chǎn)業(yè),這一次來到了臺前。許多扎根安全圈多年的老炮兒們,都不禁感概政策的利好“終于從十八線行業(yè)熬成了一線”。
但是在硬幣的另一面,對于政策所規(guī)范的對象,即眾多互聯(lián)網(wǎng)企業(yè),乃至幾乎所有“插上網(wǎng)線”的企業(yè)而言,是挑戰(zhàn)還是機(jī)遇?
挑戰(zhàn)還是機(jī)遇?
在探討這些企業(yè)的挑戰(zhàn)與機(jī)遇之前,我們先來分析政策密集發(fā)布背后的原因。
一方面,這與當(dāng)前愈加復(fù)雜的網(wǎng)絡(luò)安全形勢不無關(guān)系,近期頻發(fā)的安全事件提高了對網(wǎng)絡(luò)安全防護(hù)的要求,另一方面,行業(yè)的新場景、新技術(shù)下,政府部門也對安全提出了更高的要求。
中國數(shù)字化進(jìn)程的快速發(fā)展,讓商業(yè)重新回到了最本質(zhì)的狀態(tài)——一切商業(yè)運作的前提條件應(yīng)該是安全。自身要安全,用戶要安全,環(huán)境要安全,一切的安全都必須在透明公開的監(jiān)督下保障。
換句話說,不是“政策越來越嚴(yán)了”,而是“原本就存在的邊界越來越清晰了”。
復(fù)旦大學(xué)沈逸教授在一期節(jié)目中提出了一個觀點:
中國互聯(lián)網(wǎng)經(jīng)歷了從早期的野蠻生長,到后來的精細(xì)化管理的演變過程。信息技術(shù)革命的發(fā)展和它的商業(yè)化運用,最初是領(lǐng)先于治理能力和領(lǐng)先于社會認(rèn)知的。技術(shù)的商業(yè)化運用帶來了巨大的便捷和創(chuàng)造出了海量的價值,同時也帶來了一些損害。但是隨著治理體系的追趕和事件的沖擊,一個更加完善的精細(xì)化治理體系正在催生。
這也就有了近期的政策發(fā)布,它們是政府和相關(guān)部門作為裁判,規(guī)劃出的更清晰的邊界。
打一個比方,最開始的互聯(lián)網(wǎng)就像野球場的籃球,規(guī)則簡單、運轉(zhuǎn)激烈;慢慢的,籃球場上有了裁判,有了三分線,有了24秒,有了罰球線,比賽沒有變得乏味,反而讓這項運動走得更遠(yuǎn),既有花哨的扣籃動作,也有豐富的戰(zhàn)術(shù)變換。
回到前面的問題,清晰的邊界對于企業(yè)的長期發(fā)展毋庸置疑是好事,能讓企業(yè)在安全可控的基礎(chǔ)上,更加充分地發(fā)揮互聯(lián)網(wǎng)的價值。只不過在適應(yīng)階段,企業(yè)需要積極調(diào)整,快速尋找邊界。
對互聯(lián)網(wǎng)企業(yè)產(chǎn)生什么影響
密集發(fā)布的網(wǎng)絡(luò)安全相關(guān)政策,對于企業(yè)會產(chǎn)生什么影響呢?我們采訪了騰訊安全戰(zhàn)略發(fā)展中心 行業(yè)安全專家組負(fù)責(zé)人陳顥明,從他的相關(guān)解讀中我們提煉了三個角度。
對企業(yè)重視程度的影響
以《數(shù)據(jù)安全法》為例,行業(yè)最關(guān)注的是其保護(hù)義務(wù)和法律責(zé)任。如下圖,我們摘取了部分條例。可以看到,哪些事情做得不好,可能會面臨怎樣的最高處罰。
同時,除了法律責(zé)任的處罰,還會涉及到整個企業(yè)的口碑。一旦處罰被公布和曝光,實際上對企業(yè)的品牌、信譽都將造成嚴(yán)重的負(fù)面影響。社會和用戶會對這個處罰進(jìn)行解讀,因此對企業(yè)的業(yè)務(wù)影響非常大。
鑒于潛在的巨大風(fēng)險,企業(yè)必須自上而下主動地做好安全建設(shè)。舉個例子,以往企業(yè)的安全部門很難申請到安全建設(shè)的預(yù)算,需要從營收、績效等維度向更高一級解釋。現(xiàn)在,法律已經(jīng)有了明確規(guī)定,安全部門將能更順暢地做好前置性的預(yù)算。
對組織架構(gòu)的影響
安全對企業(yè)組織架構(gòu)的影響,其實早在4年就有相關(guān)政策。2017年《網(wǎng)絡(luò)安全法》實施,其中就規(guī)定了一項“設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人”,也就是我們常說的CISO(首席信息安全官)。而這次頒布了《數(shù)據(jù)安全法》,企業(yè)也必須考慮設(shè)置數(shù)據(jù)安全的第一負(fù)責(zé)人,類似“首席數(shù)據(jù)安全官”的角色。
同時,其工作職能也需要按照法規(guī)做相應(yīng)的調(diào)整,例如企業(yè)要保護(hù)的內(nèi)容、工作任務(wù)就決定了他們要建什么樣的安全系統(tǒng)保障數(shù)據(jù),等等一系列的推動作用。因此,企業(yè)想要做好相應(yīng)的安全建設(shè),就需要對它整個管理結(jié)構(gòu)、組織、流程、系統(tǒng)建設(shè),以及投入預(yù)算進(jìn)行通盤考慮。
這令人聯(lián)想起安全行業(yè)長期號召的一個提議:數(shù)字時代的安全不再只是CTO、CIO的工作范疇,也需要CEO的戰(zhàn)略關(guān)注,安全正成為CEO的一把手工程。
對安全投入的影響
安全投入始終是企業(yè)首要關(guān)注的一個點,畢竟企業(yè)的最終目的是創(chuàng)造商業(yè)價值和社會價值。盡管已經(jīng)有不少的案例證明,安全的前置部署能為企業(yè)降本增效,但企業(yè)管理者對安全的投入依然難以決斷。
這一次,《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計劃》明確說明了“電信等重點行業(yè)網(wǎng)絡(luò)安全投入占信息化投入比例達(dá)10%”。而7月9日的世界人工智能大會安全高端對話上,裘薇處長也透露,正在和網(wǎng)信辦協(xié)商,進(jìn)一步明確政府和公共企事業(yè)單位在網(wǎng)絡(luò)安全上的投入比例不低于10%。這兩個數(shù)據(jù)將為企業(yè)提供一定的參考意義。
據(jù)了解,當(dāng)前國內(nèi)網(wǎng)絡(luò)安全投入較大的行業(yè),其預(yù)算比例大概在5%-8%,很多行業(yè)基本在1%-2%,因此提升空間還非常大。
結(jié)語
上述分別從企業(yè)意識、組織架構(gòu)、安全投入三個方面解析政策對企業(yè)產(chǎn)生的影響,可以看到,政策除了通過法律約束,同時也在指導(dǎo)企業(yè)從整體戰(zhàn)略視角看待企業(yè)安全,并通盤考慮做好安全建設(shè)。
企業(yè)需要企業(yè)從經(jīng)營戰(zhàn)略視角進(jìn)行統(tǒng)一規(guī)劃,建立系統(tǒng)性的安全防御機(jī)制,同時,借助云、借助安全廠商,通過情報、技術(shù)、人才的開放和共享,在新的網(wǎng)絡(luò)安全環(huán)境下保持競爭力。
以上觀點僅代表作者個人,歡迎交流指正。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )