在本周的Gartner CIO峰會(huì)期間,Gartner研究總監(jiān)Jie Zhang為參會(huì)CIO們帶來(lái)了“對(duì)待中國(guó)《網(wǎng)絡(luò)安全法》的四個(gè)步驟”的精彩演講。以下為演講精華內(nèi)容。
步驟一
辨識(shí)相關(guān)的責(zé)任 (Identify Relevant Obligations)
跨國(guó)公司服務(wù)的市場(chǎng)廣大,因此其須對(duì)每一個(gè)國(guó)家或地區(qū)的法律、法規(guī)要求有明確理解!毒W(wǎng)絡(luò)安全法》中的七大領(lǐng)域值得企業(yè)機(jī)構(gòu)關(guān)注,分別是:個(gè)人數(shù)據(jù)保護(hù)、出境數(shù)據(jù)評(píng)估、網(wǎng)絡(luò)運(yùn)營(yíng)商的安全規(guī)范、關(guān)鍵信息基礎(chǔ)設(shè)施、事故應(yīng)對(duì)、人員培訓(xùn)及處罰措施。
隨著《網(wǎng)絡(luò)安全法》的實(shí)施,具體的法規(guī)及條例也將相繼出臺(tái),企業(yè)機(jī)構(gòu)須密切關(guān)注。
步驟二
進(jìn)行差距分析 (Perform Gap Analysis)
了解《網(wǎng)絡(luò)安全法》的適用范圍及主要內(nèi)容后,企業(yè)機(jī)構(gòu)應(yīng)對(duì)自身狀況進(jìn)行分析,設(shè)立基準(zhǔn)線(baseline),包括識(shí)別自身營(yíng)業(yè)模式(operation type)及采集的信息類型(information type),并據(jù)此決定是否要做安全評(píng)估(security assessment)。
其中,營(yíng)業(yè)模式分為關(guān)鍵信息基礎(chǔ)設(shè)施(CII)及網(wǎng)絡(luò)運(yùn)營(yíng)者(network operator),不同模式的企業(yè)機(jī)構(gòu)所要遵循的法律、法規(guī)內(nèi)容存在差異。如何辨別企業(yè)是否屬于關(guān)鍵基礎(chǔ)信息提供者,一般從行業(yè)領(lǐng)域(industry sector)、網(wǎng)絡(luò)影響力(online presence)、相關(guān)損害帶來(lái)的不良影響(impact)三個(gè)方面判斷。但企業(yè)機(jī)構(gòu)也應(yīng)向相關(guān)咨詢及法律機(jī)構(gòu)咨詢,降低相關(guān)風(fēng)險(xiǎn)。
根據(jù)《網(wǎng)絡(luò)安全法》規(guī)定,企業(yè)機(jī)構(gòu)采集的信息類型分為一般類個(gè)人信息(personal information in general)、敏感類個(gè)人信息(personal information sensitive)及關(guān)鍵商業(yè)信息(critical information)。針對(duì)信息敏感程度和價(jià)值高低,企業(yè)機(jī)構(gòu)須采取不同的保護(hù)措施。
步驟三
處理合規(guī)風(fēng)險(xiǎn)(Address Compliance Risks)
進(jìn)行差距分析后,企業(yè)機(jī)構(gòu)應(yīng)進(jìn)行風(fēng)險(xiǎn)分析(risk-based analysis),考慮如下幾個(gè)方面:安全策略(security practice)、關(guān)鍵系統(tǒng)架構(gòu)(architecture of key systems)、物理安全影響(physical safety impact)及公司合規(guī)(corporate compliance)、公司管理(corporate governance)。
通過(guò)風(fēng)險(xiǎn)分析,企業(yè)機(jī)構(gòu)將發(fā)現(xiàn)目前狀況與未來(lái)理想狀況之間的差距,并制定行動(dòng)計(jì)劃(action plan)來(lái)達(dá)成該目標(biāo),為最終的商業(yè)決策提供支持。
此外,企業(yè)機(jī)構(gòu)須考慮在企業(yè)內(nèi)部設(shè)置響應(yīng)團(tuán)隊(duì)(reaction team),處理與網(wǎng)絡(luò)安全相關(guān)的事務(wù),為降低和評(píng)估風(fēng)險(xiǎn)提供咨詢。該團(tuán)隊(duì)須包括應(yīng)用架構(gòu)師、首席信息安全官、法務(wù)顧問(wèn)、首席風(fēng)險(xiǎn)官、本地工作人員,并由首席信息官組織起來(lái),進(jìn)行相關(guān)討論。
步驟四
具備靈活性 (Be Adaptive)
最后,在全球規(guī)管環(huán)境不斷變幻的今天,企業(yè)機(jī)構(gòu)須具備一定靈活性。隨著《網(wǎng)絡(luò)安全法》的實(shí)施,響應(yīng)團(tuán)隊(duì)?wèi)?yīng)逐漸過(guò)渡為運(yùn)營(yíng)團(tuán)隊(duì)(operation team),不斷監(jiān)督、評(píng)估逐漸完善的法規(guī)帶來(lái)的影響,落實(shí)安全評(píng)估。此外,公司內(nèi)部也應(yīng)做好培訓(xùn)工作,保證相關(guān)行為始終合規(guī)。
Gartner預(yù)測(cè),到2021年,80%在中國(guó)運(yùn)營(yíng)的企業(yè)機(jī)構(gòu)將會(huì)與咨詢公司或中國(guó)本土的安全公司合作,共同管理風(fēng)險(xiǎn)、安全及隱私問(wèn)題。Gartner也建議相關(guān)企業(yè)機(jī)構(gòu)盡快了解《網(wǎng)絡(luò)安全法》體系,開(kāi)展與之相關(guān)的評(píng)估,并組建團(tuán)隊(duì)處理其帶來(lái)的風(fēng)險(xiǎn)問(wèn)題。與此同時(shí),企業(yè)機(jī)構(gòu)也須不斷調(diào)整自身,以適應(yīng)不斷完善的法規(guī)。
