在本周的Gartner CIO峰會期間,Gartner研究總監(jiān)Jie Zhang為參會CIO們帶來了“對待中國《網(wǎng)絡(luò)安全法》的四個步驟”的精彩演講。以下為演講精華內(nèi)容。
步驟一
辨識相關(guān)的責任 (Identify Relevant Obligations)
跨國公司服務(wù)的市場廣大,因此其須對每一個國家或地區(qū)的法律、法規(guī)要求有明確理解!毒W(wǎng)絡(luò)安全法》中的七大領(lǐng)域值得企業(yè)機構(gòu)關(guān)注,分別是:個人數(shù)據(jù)保護、出境數(shù)據(jù)評估、網(wǎng)絡(luò)運營商的安全規(guī)范、關(guān)鍵信息基礎(chǔ)設(shè)施、事故應(yīng)對、人員培訓及處罰措施。
隨著《網(wǎng)絡(luò)安全法》的實施,具體的法規(guī)及條例也將相繼出臺,企業(yè)機構(gòu)須密切關(guān)注。
步驟二
進行差距分析 (Perform Gap Analysis)
了解《網(wǎng)絡(luò)安全法》的適用范圍及主要內(nèi)容后,企業(yè)機構(gòu)應(yīng)對自身狀況進行分析,設(shè)立基準線(baseline),包括識別自身營業(yè)模式(operation type)及采集的信息類型(information type),并據(jù)此決定是否要做安全評估(security assessment)。
其中,營業(yè)模式分為關(guān)鍵信息基礎(chǔ)設(shè)施(CII)及網(wǎng)絡(luò)運營者(network operator),不同模式的企業(yè)機構(gòu)所要遵循的法律、法規(guī)內(nèi)容存在差異。如何辨別企業(yè)是否屬于關(guān)鍵基礎(chǔ)信息提供者,一般從行業(yè)領(lǐng)域(industry sector)、網(wǎng)絡(luò)影響力(online presence)、相關(guān)損害帶來的不良影響(impact)三個方面判斷。但企業(yè)機構(gòu)也應(yīng)向相關(guān)咨詢及法律機構(gòu)咨詢,降低相關(guān)風險。
根據(jù)《網(wǎng)絡(luò)安全法》規(guī)定,企業(yè)機構(gòu)采集的信息類型分為一般類個人信息(personal information in general)、敏感類個人信息(personal information sensitive)及關(guān)鍵商業(yè)信息(critical information)。針對信息敏感程度和價值高低,企業(yè)機構(gòu)須采取不同的保護措施。
步驟三
處理合規(guī)風險(Address Compliance Risks)
進行差距分析后,企業(yè)機構(gòu)應(yīng)進行風險分析(risk-based analysis),考慮如下幾個方面:安全策略(security practice)、關(guān)鍵系統(tǒng)架構(gòu)(architecture of key systems)、物理安全影響(physical safety impact)及公司合規(guī)(corporate compliance)、公司管理(corporate governance)。
通過風險分析,企業(yè)機構(gòu)將發(fā)現(xiàn)目前狀況與未來理想狀況之間的差距,并制定行動計劃(action plan)來達成該目標,為最終的商業(yè)決策提供支持。
此外,企業(yè)機構(gòu)須考慮在企業(yè)內(nèi)部設(shè)置響應(yīng)團隊(reaction team),處理與網(wǎng)絡(luò)安全相關(guān)的事務(wù),為降低和評估風險提供咨詢。該團隊須包括應(yīng)用架構(gòu)師、首席信息安全官、法務(wù)顧問、首席風險官、本地工作人員,并由首席信息官組織起來,進行相關(guān)討論。
步驟四
具備靈活性 (Be Adaptive)
最后,在全球規(guī)管環(huán)境不斷變幻的今天,企業(yè)機構(gòu)須具備一定靈活性。隨著《網(wǎng)絡(luò)安全法》的實施,響應(yīng)團隊應(yīng)逐漸過渡為運營團隊(operation team),不斷監(jiān)督、評估逐漸完善的法規(guī)帶來的影響,落實安全評估。此外,公司內(nèi)部也應(yīng)做好培訓工作,保證相關(guān)行為始終合規(guī)。
Gartner預測,到2021年,80%在中國運營的企業(yè)機構(gòu)將會與咨詢公司或中國本土的安全公司合作,共同管理風險、安全及隱私問題。Gartner也建議相關(guān)企業(yè)機構(gòu)盡快了解《網(wǎng)絡(luò)安全法》體系,開展與之相關(guān)的評估,并組建團隊處理其帶來的風險問題。與此同時,企業(yè)機構(gòu)也須不斷調(diào)整自身,以適應(yīng)不斷完善的法規(guī)。
