淺析「網路安全政策陸續釋出」對企業的影響

騰訊安全發表於2021-07-26

編者按

6月以來,網路安全相關的政策密集釋出,網路安全板塊一度出現多家企業漲停、全線飆升的景象。

許多紮根安全圈多年的老炮兒們,都不禁感概政策的利好“終於從十八線行業熬成了一線”“千億級網安行業迎來政策風口”。

然而,當我們在討論政策利好網安產業時,似乎忽略了“故事的主角”——眾多網際網路企業,乃至幾乎所有“插上網線”的企業。

這些公司正是迫切需要熟悉政策,找準跑道的邊界線,快速適應並奔跑。本文將嘗試從近期陸續出臺的政策為背景,探討其對企業的影響。

淺析「網路安全政策陸續釋出」對企業的影響

作者&編輯:罐子

專家支援:陳顥明

重磅檔案連續出臺

l  6月10日,《資料安全法》正式透過,將於9月1日起施行。

l  7月7日,《深圳經濟特區資料條例》正式公佈,將於2022年1月1日起施行。

l  7月10日,網信辦釋出《網路安全審查辦法(修訂草案徵求意見稿)》。

l  7月12日,工信部發布《網路安全產業高質量發展三年行動計劃(2021-2023年)(徵求意見稿)》。

l  7月13日,工信部、網信辦、公安部發布《網路產品安全漏洞管理規定》。

短短34天之內,網路安全領域的重磅政策檔案接連發布,這一番景象實屬罕見。而隨著網路安全行業“大動作”不斷,A股市場聞風而動,網路安全概念指數5月以來累計漲幅超30%,千億級別市場的網路安全行業迎來政策風口。

一直身居幕後的網路安全產業,這一次來到了臺前。許多紮根安全圈多年的老炮兒們,都不禁感概政策的利好“終於從十八線行業熬成了一線”。但是在硬幣的另一面,對於政策所規範的物件,即眾多網際網路企業,乃至幾乎所有“插上網線”的企業而言,是挑戰還是機遇?

 

挑戰還是機遇?

在探討這些企業的挑戰與機遇之前,我們先來分析政策密集釋出背後的原因。

一方面,這與當前愈加複雜的網路安全形勢不無關係,近期頻發的安全事件提高了對網路安全防護的要求,另一方面,行業的新場景、新技術下,政府部門也對安全提出了更高的要求。

中國數字化程式的快速發展,讓商業重新回到了最本質的狀態——一切商業運作的前提條件應該是安全。自身要安全,使用者要安全,環境要安全,一切的安全都必須在透明公開的監督下保障。

換句話說,不是“政策越來越嚴了”,而是“原本就存在的邊界越來越清晰了”。

復旦大學沈逸教授在一期節目中提出了一個觀點:

中國網際網路經歷了從早期的野蠻生長,到後來的精細化管理的演變過程。資訊科技革命的發展和它的商業化運用,最初是領先於治理能力和領先於社會認知的。技術的商業化運用帶來了巨大的便捷和創造出了海量的價值,同時也帶來了一些損害。但是隨著治理體系的追趕和事件的衝擊,一個更加完善的精細化治理體系正在催生。

這也就有了近期的政策釋出,它們是政府和相關部門作為裁判,規劃出的更清晰的邊界。

打一個比方,最開始的網際網路就像野球場的籃球,規則簡單、運轉激烈;慢慢的,籃球場上有了裁判,有了三分線,有了24秒,有了罰球線,比賽沒有變得乏味,反而讓這項運動走得更遠,既有花哨的扣籃動作,也有豐富的戰術變換。

回到前面的問題,清晰的邊界對於企業的長期發展毋庸置疑是好事,能讓企業在安全可控的基礎上,更加充分地發揮網際網路的價值。只不過在適應階段,企業需要積極調整,快速尋找邊界。

 

對網際網路企業產生什麼影響

密集釋出的網路安全相關政策,對於企業會產生什麼影響呢?我們採訪了騰訊安全戰略發展中心 行業安全專家組負責人陳顥明,從他的相關解讀中我們提煉了三個角度。

對企業重視程度的影響

以《資料安全法》為例,行業最關注的是其保護義務和法律責任。如下圖,我們摘取了部分條例。可以看到,哪些事情做得不好,可能會面臨怎樣的最高處罰。

淺析「網路安全政策陸續釋出」對企業的影響

同時,除了法律責任的處罰,還會涉及到整個企業的口碑。一旦處罰被公佈和曝光,實際上對企業的品牌、信譽都將造成嚴重的負面影響。社會和使用者會對這個處罰進行解讀,因此對企業的業務影響非常大。

鑑於潛在的巨大風險,企業必須自上而下主動地做好安全建設。舉個例子,以往企業的安全部門很難申請到安全建設的預算,需要從營收、績效等維度向更高一級解釋。現在,法律已經有了明確規定,安全部門將能更順暢地做好前置性的預算。

對組織架構的影響

安全對企業組織架構的影響,其實早在4年就有相關政策。2017年《網路安全法》實施,其中就規定了一項“設定專門安全管理機構和安全管理負責人”,也就是我們常說的CISO(首席資訊保安官)。而這次頒佈了《資料安全法》,企業也必須考慮設定資料安全的第一負責人,類似“首席資料安全官”的角色。

同時,其工作職能也需要按照法規做相應的調整,例如企業要保護的內容、工作任務就決定了他們要建什麼樣的安全系統保障資料,等等一系列的推動作用。因此,企業想要做好相應的安全建設,就需要對它整個管理結構、組織、流程、系統建設,以及投入預算進行通盤考慮。

這令人聯想起安全行業長期號召的一個提議:數字時代的安全不再只是CTO、CIO的工作範疇,也需要CEO的戰略關注,安全正成為CEO的一把手工程。

對安全投入的影響

安全投入始終是企業首要關注的一個點,畢竟企業的最終目的是創造商業價值和社會價值。儘管已經有不少的案例證明,安全的前置部署能為企業降本增效,但企業管理者對安全的投入依然難以決斷。

這一次,《網路安全產業高質量發展三年行動計劃》明確說明了“電信等重點行業網路安全投入佔資訊化投入比例達10%”。而7月9日的世界人工智慧大會安全高階對話上,裘薇處長也透露,正在和網信辦協商,進一步明確政府和公共企事業單位在網路安全上的投入比例不低於10%。這兩個資料將為企業提供一定的參考意義。

據瞭解,當前國內網路安全投入較大的行業,其預算比例大概在5%-8%,很多行業基本在1%-2%,因此提升空間還非常大。

 

結語

上述分別從企業意識、組織架構、安全投入三個方面解析政策對企業產生的影響,可以看到,政策除了透過法律約束,同時也在指導企業從整體戰略視角看待企業安全,並通盤考慮做好安全建設。

企業需要企業從經營戰略視角進行統一規劃,建立系統性的安全防禦機制,同時,藉助雲、藉助安全廠商,透過情報、技術、人才的開放和共享,在新的網路安全環境下保持競爭力。

以上觀點僅代表作者個人,歡迎交流指正。


相關文章