在本周的Gartner CIO峰會(huì )期間,Gartner研究總監Jie Zhang為參會(huì )CIO們帶來(lái)了“對待中國《網(wǎng)絡(luò )安全法》的四個(gè)步驟”的精彩演講。以下為演講精華內容。
步驟一
辨識相關(guān)的責任 (Identify Relevant Obligations)
跨國公司服務(wù)的市場(chǎng)廣大,因此其須對每一個(gè)國家或地區的法律、法規要求有明確理解。《網(wǎng)絡(luò )安全法》中的七大領(lǐng)域值得企業(yè)機構關(guān)注,分別是:個(gè)人數據保護、出境數據評估、網(wǎng)絡(luò )運營(yíng)商的安全規范、關(guān)鍵信息基礎設施、事故應對、人員培訓及處罰措施。
隨著(zhù)《網(wǎng)絡(luò )安全法》的實(shí)施,具體的法規及條例也將相繼出臺,企業(yè)機構須密切關(guān)注。
步驟二
進(jìn)行差距分析 (Perform Gap Analysis)
了解《網(wǎng)絡(luò )安全法》的適用范圍及主要內容后,企業(yè)機構應對自身狀況進(jìn)行分析,設立基準線(xiàn)(baseline),包括識別自身營(yíng)業(yè)模式(operation type)及采集的信息類(lèi)型(information type),并據此決定是否要做安全評估(security assessment)。
其中,營(yíng)業(yè)模式分為關(guān)鍵信息基礎設施(CII)及網(wǎng)絡(luò )運營(yíng)者(network operator),不同模式的企業(yè)機構所要遵循的法律、法規內容存在差異。如何辨別企業(yè)是否屬于關(guān)鍵基礎信息提供者,一般從行業(yè)領(lǐng)域(industry sector)、網(wǎng)絡(luò )影響力(online presence)、相關(guān)損害帶來(lái)的不良影響(impact)三個(gè)方面判斷。但企業(yè)機構也應向相關(guān)咨詢(xún)及法律機構咨詢(xún),降低相關(guān)風(fēng)險。
根據《網(wǎng)絡(luò )安全法》規定,企業(yè)機構采集的信息類(lèi)型分為一般類(lèi)個(gè)人信息(personal information in general)、敏感類(lèi)個(gè)人信息(personal information sensitive)及關(guān)鍵商業(yè)信息(critical information)。針對信息敏感程度和價(jià)值高低,企業(yè)機構須采取不同的保護措施。
步驟三
處理合規風(fēng)險(Address Compliance Risks)
進(jìn)行差距分析后,企業(yè)機構應進(jìn)行風(fēng)險分析(risk-based analysis),考慮如下幾個(gè)方面:安全策略(security practice)、關(guān)鍵系統架構(architecture of key systems)、物理安全影響(physical safety impact)及公司合規(corporate compliance)、公司管理(corporate governance)。
通過(guò)風(fēng)險分析,企業(yè)機構將發(fā)現目前狀況與未來(lái)理想狀況之間的差距,并制定行動(dòng)計劃(action plan)來(lái)達成該目標,為最終的商業(yè)決策提供支持。
此外,企業(yè)機構須考慮在企業(yè)內部設置響應團隊(reaction team),處理與網(wǎng)絡(luò )安全相關(guān)的事務(wù),為降低和評估風(fēng)險提供咨詢(xún)。該團隊須包括應用架構師、首席信息安全官、法務(wù)顧問(wèn)、首席風(fēng)險官、本地工作人員,并由首席信息官組織起來(lái),進(jìn)行相關(guān)討論。
步驟四
具備靈活性 (Be Adaptive)
最后,在全球規管環(huán)境不斷變幻的今天,企業(yè)機構須具備一定靈活性。隨著(zhù)《網(wǎng)絡(luò )安全法》的實(shí)施,響應團隊應逐漸過(guò)渡為運營(yíng)團隊(operation team),不斷監督、評估逐漸完善的法規帶來(lái)的影響,落實(shí)安全評估。此外,公司內部也應做好培訓工作,保證相關(guān)行為始終合規。
Gartner預測,到2021年,80%在中國運營(yíng)的企業(yè)機構將會(huì )與咨詢(xún)公司或中國本土的安全公司合作,共同管理風(fēng)險、安全及隱私問(wèn)題。Gartner也建議相關(guān)企業(yè)機構盡快了解《網(wǎng)絡(luò )安全法》體系,開(kāi)展與之相關(guān)的評估,并組建團隊處理其帶來(lái)的風(fēng)險問(wèn)題。與此同時(shí),企業(yè)機構也須不斷調整自身,以適應不斷完善的法規。
