浅析「网络安全政策陆续发布」对企业的影响

编者按

6月以来,网络安全相关的政策密集发布,网络安全板块一度出现多家企业涨停、全线飙升的景象。

许多扎根安全圈多年的老炮儿们,都不禁感概政策的利好“终于从十八线行业熬成了一线”“千亿级网安行业迎来政策风口”。

然而,当我们在讨论政策利好网安产业时,似乎忽略了“故事的主角”——众多互联网企业,乃至几乎所有“插上网线”的企业。

这些公司正是迫切需要熟悉政策,找准跑道的边界线,快速适应并奔跑。本文将尝试从近期陆续出台的政策为背景,探讨其对企业的影响。

浅析「网络安全政策陆续发布」对企业的影响

重磅文件连续出台

•6月10日,《数据安全法》正式通过,将于9月1日起施行。

•7月7日,《深圳经济特区数据条例》正式公布,将于2022年1月1日起施行。

•7月10日,网信办发布《网络安全审查办法(修订草案征求意见稿)》。

•7月12日,工信部发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》。

•7月13日,工信部、网信办、公安部发布《网络产品安全漏洞管理规定》。

短短34天之内,网络安全领域的重磅政策文件接连发布,这一番景象实属罕见。而随着网络安全行业“大动作”不断,A股市场闻风而动,网络安全概念指数5月以来累计涨幅超30%,千亿级别市场的网络安全行业迎来政策风口。

一直身居幕后的网络安全产业,这一次来到了台前。许多扎根安全圈多年的老炮儿们,都不禁感概政策的利好“终于从十八线行业熬成了一线”。

但是在硬币的另一面,对于政策所规范的对象,即众多互联网企业,乃至几乎所有“插上网线”的企业而言,是挑战还是机遇?

挑战还是机遇?

在探讨这些企业的挑战与机遇之前,我们先来分析政策密集发布背后的原因。

一方面,这与当前愈加复杂的网络安全形势不无关系,近期频发的安全事件提高了对网络安全防护的要求,另一方面,行业的新场景、新技术下,政府部门也对安全提出了更高的要求。

中国数字化进程的快速发展,让商业重新回到了最本质的状态——一切商业运作的前提条件应该是安全。自身要安全,用户要安全,环境要安全,一切的安全都必须在透明公开的监督下保障。

换句话说,不是“政策越来越严了”,而是“原本就存在的边界越来越清晰了”。

复旦大学沈逸教授在一期节目中提出了一个观点:

中国互联网经历了从早期的野蛮生长,到后来的精细化管理的演变过程。信息技术革命的发展和它的商业化运用,最初是领先于治理能力和领先于社会认知的。技术的商业化运用带来了巨大的便捷和创造出了海量的价值,同时也带来了一些损害。但是随着治理体系的追赶和事件的冲击,一个更加完善的精细化治理体系正在催生。

这也就有了近期的政策发布,它们是政府和相关部门作为裁判,规划出的更清晰的边界。

打一个比方,最开始的互联网就像野球场的篮球,规则简单、运转激烈;慢慢的,篮球场上有了裁判,有了三分线,有了24秒,有了罚球线,比赛没有变得乏味,反而让这项运动走得更远,既有花哨的扣篮动作,也有丰富的战术变换。

回到前面的问题,清晰的边界对于企业的长期发展毋庸置疑是好事,能让企业在安全可控的基础上,更加充分地发挥互联网的价值。只不过在适应阶段,企业需要积极调整,快速寻找边界。

对互联网企业产生什么影响

密集发布的网络安全相关政策,对于企业会产生什么影响呢?我们采访了腾讯安全战略发展中心 行业安全专家组负责人陈颢明,从他的相关解读中我们提炼了三个角度。

对企业重视程度的影响

以《数据安全法》为例,行业最关注的是其保护义务和法律责任。如下图,我们摘取了部分条例。可以看到,哪些事情做得不好,可能会面临怎样的最高处罚。

浅析「网络安全政策陆续发布」对企业的影响

同时,除了法律责任的处罚,还会涉及到整个企业的口碑。一旦处罚被公布和曝光,实际上对企业的品牌、信誉都将造成严重的负面影响。社会和用户会对这个处罚进行解读,因此对企业的业务影响非常大。

鉴于潜在的巨大风险,企业必须自上而下主动地做好安全建设。举个例子,以往企业的安全部门很难申请到安全建设的预算,需要从营收、绩效等维度向更高一级解释。现在,法律已经有了明确规定,安全部门将能更顺畅地做好前置性的预算。

对组织架构的影响

安全对企业组织架构的影响,其实早在4年就有相关政策。2017年《网络安全法》实施,其中就规定了一项“设置专门安全管理机构和安全管理负责人”,也就是我们常说的CISO(首席信息安全官)。而这次颁布了《数据安全法》,企业也必须考虑设置数据安全的第一负责人,类似“首席数据安全官”的角色。

同时,其工作职能也需要按照法规做相应的调整,例如企业要保护的内容、工作任务就决定了他们要建什么样的安全系统保障数据,等等一系列的推动作用。因此,企业想要做好相应的安全建设,就需要对它整个管理结构、组织、流程、系统建设,以及投入预算进行通盘考虑。

这令人联想起安全行业长期号召的一个提议:数字时代的安全不再只是CTO、CIO的工作范畴,也需要CEO的战略关注,安全正成为CEO的一把手工程。

对安全投入的影响

安全投入始终是企业首要关注的一个点,毕竟企业的最终目的是创造商业价值和社会价值。尽管已经有不少的案例证明,安全的前置部署能为企业降本增效,但企业管理者对安全的投入依然难以决断。

这一次,《网络安全产业高质量发展三年行动计划》明确说明了“电信等重点行业网络安全投入占信息化投入比例达10%”。而7月9日的世界人工智能大会安全高端对话上,裘薇处长也透露,正在和网信办协商,进一步明确政府和公共企事业单位在网络安全上的投入比例不低于10%。这两个数据将为企业提供一定的参考意义。

据了解,当前国内网络安全投入较大的行业,其预算比例大概在5%-8%,很多行业基本在1%-2%,因此提升空间还非常大。

结语

上述分别从企业意识、组织架构、安全投入三个方面解析政策对企业产生的影响,可以看到,政策除了通过法律约束,同时也在指导企业从整体战略视角看待企业安全,并通盘考虑做好安全建设。

企业需要企业从经营战略视角进行统一规划,建立系统性的安全防御机制,同时,借助云、借助安全厂商,通过情报、技术、人才的开放和共享,在新的网络安全环境下保持竞争力。

以上观点仅代表作者个人,欢迎交流指正。

(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )