淺析「網路安全政策陸續釋出」對企業的影響

編者按

6月以來，網路安全相關的政策密集釋出，網路安全板塊一度出現多家企業漲停、全線飆升的景象。

許多紮根安全圈多年的老炮兒們，都不禁感概政策的利好“終於從十八線行業熬成了一線”“千億級網安行業迎來政策風口”。

然而，當我們在討論政策利好網安產業時，似乎忽略了“故事的主角”——眾多網際網路企業，乃至幾乎所有“插上網線”的企業。

這些公司正是迫切需要熟悉政策，找準跑道的邊界線，快速適應並奔跑。本文將嘗試從近期陸續出臺的政策為背景，探討其對企業的影響。

作者&編輯：罐子

專家支援：陳顥明

重磅檔案連續出臺

l  6月10日，《資料安全法》正式透過，將於9月1日起施行。

l  7月7日，《深圳經濟特區資料條例》正式公佈，將於2022年1月1日起施行。

l  7月10日，網信辦釋出《網路安全審查辦法（修訂草案徵求意見稿）》。

l  7月12日，工信部發布《網路安全產業高質量發展三年行動計劃（2021-2023年）（徵求意見稿）》。

l  7月13日，工信部、網信辦、公安部發布《網路產品安全漏洞管理規定》。

短短34天之內，網路安全領域的重磅政策檔案接連發布，這一番景象實屬罕見。而隨著網路安全行業“大動作”不斷，A股市場聞風而動，網路安全概念指數5月以來累計漲幅超30%，千億級別市場的網路安全行業迎來政策風口。

一直身居幕後的網路安全產業，這一次來到了臺前。許多紮根安全圈多年的老炮兒們，都不禁感概政策的利好“終於從十八線行業熬成了一線”。但是在硬幣的另一面，對於政策所規範的物件，即眾多網際網路企業，乃至幾乎所有“插上網線”的企業而言，是挑戰還是機遇？

挑戰還是機遇？

在探討這些企業的挑戰與機遇之前，我們先來分析政策密集釋出背後的原因。

一方面，這與當前愈加複雜的網路安全形勢不無關係，近期頻發的安全事件提高了對網路安全防護的要求，另一方面，行業的新場景、新技術下，政府部門也對安全提出了更高的要求。

中國數字化程式的快速發展，讓商業重新回到了最本質的狀態——一切商業運作的前提條件應該是安全。自身要安全，使用者要安全，環境要安全，一切的安全都必須在透明公開的監督下保障。

換句話說，不是“政策越來越嚴了”，而是“原本就存在的邊界越來越清晰了”。

復旦大學沈逸教授在一期節目中提出了一個觀點：

中國網際網路經歷了從早期的野蠻生長，到後來的精細化管理的演變過程。資訊科技革命的發展和它的商業化運用，最初是領先於治理能力和領先於社會認知的。技術的商業化運用帶來了巨大的便捷和創造出了海量的價值，同時也帶來了一些損害。但是隨著治理體系的追趕和事件的衝擊，一個更加完善的精細化治理體系正在催生。

這也就有了近期的政策釋出，它們是政府和相關部門作為裁判，規劃出的更清晰的邊界。

打一個比方，最開始的網際網路就像野球場的籃球，規則簡單、運轉激烈；慢慢的，籃球場上有了裁判，有了三分線，有了24秒，有了罰球線，比賽沒有變得乏味，反而讓這項運動走得更遠，既有花哨的扣籃動作，也有豐富的戰術變換。

回到前面的問題，清晰的邊界對於企業的長期發展毋庸置疑是好事，能讓企業在安全可控的基礎上，更加充分地發揮網際網路的價值。只不過在適應階段，企業需要積極調整，快速尋找邊界。

對網際網路企業產生什麼影響

密集釋出的網路安全相關政策，對於企業會產生什麼影響呢？我們採訪了騰訊安全戰略發展中心 行業安全專家組負責人陳顥明，從他的相關解讀中我們提煉了三個角度。

對企業重視程度的影響

以《資料安全法》為例，行業最關注的是其保護義務和法律責任。如下圖，我們摘取了部分條例。可以看到，哪些事情做得不好，可能會面臨怎樣的最高處罰。

同時，除了法律責任的處罰，還會涉及到整個企業的口碑。一旦處罰被公佈和曝光，實際上對企業的品牌、信譽都將造成嚴重的負面影響。社會和使用者會對這個處罰進行解讀，因此對企業的業務影響非常大。

鑑於潛在的巨大風險，企業必須自上而下主動地做好安全建設。舉個例子，以往企業的安全部門很難申請到安全建設的預算，需要從營收、績效等維度向更高一級解釋。現在，法律已經有了明確規定，安全部門將能更順暢地做好前置性的預算。

對組織架構的影響

安全對企業組織架構的影響，其實早在4年就有相關政策。2017年《網路安全法》實施，其中就規定了一項“設定專門安全管理機構和安全管理負責人”，也就是我們常說的CISO（首席資訊保安官）。而這次頒佈了《資料安全法》，企業也必須考慮設定資料安全的第一負責人，類似“首席資料安全官”的角色。

同時，其工作職能也需要按照法規做相應的調整，例如企業要保護的內容、工作任務就決定了他們要建什麼樣的安全系統保障資料，等等一系列的推動作用。因此，企業想要做好相應的安全建設，就需要對它整個管理結構、組織、流程、系統建設，以及投入預算進行通盤考慮。

這令人聯想起安全行業長期號召的一個提議：數字時代的安全不再只是CTO、CIO的工作範疇，也需要CEO的戰略關注，安全正成為CEO的一把手工程。

對安全投入的影響

安全投入始終是企業首要關注的一個點，畢竟企業的最終目的是創造商業價值和社會價值。儘管已經有不少的案例證明，安全的前置部署能為企業降本增效，但企業管理者對安全的投入依然難以決斷。

這一次，《網路安全產業高質量發展三年行動計劃》明確說明了“電信等重點行業網路安全投入佔資訊化投入比例達10%”。而7月9日的世界人工智慧大會安全高階對話上，裘薇處長也透露，正在和網信辦協商，進一步明確政府和公共企事業單位在網路安全上的投入比例不低於10%。這兩個資料將為企業提供一定的參考意義。

據瞭解，當前國內網路安全投入較大的行業，其預算比例大概在5%-8%，很多行業基本在1%-2%，因此提升空間還非常大。

結語

上述分別從企業意識、組織架構、安全投入三個方面解析政策對企業產生的影響，可以看到，政策除了透過法律約束，同時也在指導企業從整體戰略視角看待企業安全，並通盤考慮做好安全建設。

企業需要企業從經營戰略視角進行統一規劃，建立系統性的安全防禦機制，同時，藉助雲、藉助安全廠商，透過情報、技術、人才的開放和共享，在新的網路安全環境下保持競爭力。

以上觀點僅代表作者個人，歡迎交流指正。