信息化觀察網(wǎng)

6月以來，網(wǎng)絡安全相關的政策密集發(fā)布，網(wǎng)絡安全板塊一度出現(xiàn)多家企業(yè)漲停、全線飆升的景象。

許多扎根安全圈多年的老炮兒們，都不禁感概政策的利好“終于從十八線行業(yè)熬成了一線”“千億級網(wǎng)安行業(yè)迎來政策風口”。

然而，當我們在討論政策利好網(wǎng)安產(chǎn)業(yè)時，似乎忽略了“故事的主角”——眾多互聯(lián)網(wǎng)企業(yè)，乃至幾乎所有“插上網(wǎng)線”的企業(yè)。

這些公司正是迫切需要熟悉政策，找準跑道的邊界線，快速適應并奔跑。本文將嘗試從近期陸續(xù)出臺的政策為背景，探討其對企業(yè)的影響。

重磅文件連續(xù)出臺

•6月10日，《數(shù)據(jù)安全法》正式通過，將于9月1日起施行。

•7月7日，《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》正式公布，將于2022年1月1日起施行。

•7月10日，網(wǎng)信辦發(fā)布《網(wǎng)絡安全審查辦法(修訂草案征求意見稿)》。

•7月12日，工信部發(fā)布《網(wǎng)絡安全產(chǎn)業(yè)高質量發(fā)展三年行動計劃(2021-2023年)(征求意見稿)》。

•7月13日，工信部、網(wǎng)信辦、公安部發(fā)布《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》。

短短34天之內(nèi)，網(wǎng)絡安全領域的重磅政策文件接連發(fā)布，這一番景象實屬罕見。而隨著網(wǎng)絡安全行業(yè)“大動作”不斷，A股市場聞風而動，網(wǎng)絡安全概念指數(shù)5月以來累計漲幅超30%，千億級別市場的網(wǎng)絡安全行業(yè)迎來政策風口。

一直身居幕后的網(wǎng)絡安全產(chǎn)業(yè)，這一次來到了臺前。許多扎根安全圈多年的老炮兒們，都不禁感概政策的利好“終于從十八線行業(yè)熬成了一線”。

但是在硬幣的另一面，對于政策所規(guī)范的對象，即眾多互聯(lián)網(wǎng)企業(yè)，乃至幾乎所有“插上網(wǎng)線”的企業(yè)而言，是挑戰(zhàn)還是機遇？

挑戰(zhàn)還是機遇？

在探討這些企業(yè)的挑戰(zhàn)與機遇之前，我們先來分析政策密集發(fā)布背后的原因。

一方面，這與當前愈加復雜的網(wǎng)絡安全形勢不無關系，近期頻發(fā)的安全事件提高了對網(wǎng)絡安全防護的要求，另一方面，行業(yè)的新場景、新技術下，政府部門也對安全提出了更高的要求。

中國數(shù)字化進程的快速發(fā)展，讓商業(yè)重新回到了最本質的狀態(tài)——一切商業(yè)運作的前提條件應該是安全。自身要安全，用戶要安全，環(huán)境要安全，一切的安全都必須在透明公開的監(jiān)督下保障。

換句話說，不是“政策越來越嚴了”，而是“原本就存在的邊界越來越清晰了”。

復旦大學沈逸教授在一期節(jié)目中提出了一個觀點：

中國互聯(lián)網(wǎng)經(jīng)歷了從早期的野蠻生長，到后來的精細化管理的演變過程。信息技術革命的發(fā)展和它的商業(yè)化運用，最初是領先于治理能力和領先于社會認知的。技術的商業(yè)化運用帶來了巨大的便捷和創(chuàng)造出了海量的價值，同時也帶來了一些損害。但是隨著治理體系的追趕和事件的沖擊，一個更加完善的精細化治理體系正在催生。

這也就有了近期的政策發(fā)布，它們是政府和相關部門作為裁判，規(guī)劃出的更清晰的邊界。

打一個比方，最開始的互聯(lián)網(wǎng)就像野球場的籃球，規(guī)則簡單、運轉激烈;慢慢的，籃球場上有了裁判，有了三分線，有了24秒，有了罰球線，比賽沒有變得乏味，反而讓這項運動走得更遠，既有花哨的扣籃動作，也有豐富的戰(zhàn)術變換。

回到前面的問題，清晰的邊界對于企業(yè)的長期發(fā)展毋庸置疑是好事，能讓企業(yè)在安全可控的基礎上，更加充分地發(fā)揮互聯(lián)網(wǎng)的價值。只不過在適應階段，企業(yè)需要積極調(diào)整，快速尋找邊界。

對互聯(lián)網(wǎng)企業(yè)產(chǎn)生什么影響

密集發(fā)布的網(wǎng)絡安全相關政策，對于企業(yè)會產(chǎn)生什么影響呢？我們采訪了騰訊安全戰(zhàn)略發(fā)展中心行業(yè)安全專家組負責人陳顥明，從他的相關解讀中我們提煉了三個角度。

對企業(yè)重視程度的影響

以《數(shù)據(jù)安全法》為例，行業(yè)最關注的是其保護義務和法律責任。如下圖，我們摘取了部分條例?？梢钥吹?，哪些事情做得不好，可能會面臨怎樣的最高處罰。

同時，除了法律責任的處罰，還會涉及到整個企業(yè)的口碑。一旦處罰被公布和曝光，實際上對企業(yè)的品牌、信譽都將造成嚴重的負面影響。社會和用戶會對這個處罰進行解讀，因此對企業(yè)的業(yè)務影響非常大。

鑒于潛在的巨大風險，企業(yè)必須自上而下主動地做好安全建設。舉個例子，以往企業(yè)的安全部門很難申請到安全建設的預算，需要從營收、績效等維度向更高一級解釋?，F(xiàn)在，法律已經(jīng)有了明確規(guī)定，安全部門將能更順暢地做好前置性的預算。

對組織架構的影響

安全對企業(yè)組織架構的影響，其實早在4年就有相關政策。2017年《網(wǎng)絡安全法》實施，其中就規(guī)定了一項“設置專門安全管理機構和安全管理負責人”，也就是我們常說的CISO(首席信息安全官)。而這次頒布了《數(shù)據(jù)安全法》，企業(yè)也必須考慮設置數(shù)據(jù)安全的第一負責人，類似“首席數(shù)據(jù)安全官”的角色。

同時，其工作職能也需要按照法規(guī)做相應的調(diào)整，例如企業(yè)要保護的內(nèi)容、工作任務就決定了他們要建什么樣的安全系統(tǒng)保障數(shù)據(jù)，等等一系列的推動作用。因此，企業(yè)想要做好相應的安全建設，就需要對它整個管理結構、組織、流程、系統(tǒng)建設，以及投入預算進行通盤考慮。

這令人聯(lián)想起安全行業(yè)長期號召的一個提議：數(shù)字時代的安全不再只是CTO、CIO的工作范疇，也需要CEO的戰(zhàn)略關注，安全正成為CEO的一把手工程。

對安全投入的影響

安全投入始終是企業(yè)首要關注的一個點，畢竟企業(yè)的最終目的是創(chuàng)造商業(yè)價值和社會價值。盡管已經(jīng)有不少的案例證明，安全的前置部署能為企業(yè)降本增效，但企業(yè)管理者對安全的投入依然難以決斷。

這一次，《網(wǎng)絡安全產(chǎn)業(yè)高質量發(fā)展三年行動計劃》明確說明了“電信等重點行業(yè)網(wǎng)絡安全投入占信息化投入比例達10%”。而7月9日的世界人工智能大會安全高端對話上，裘薇處長也透露，正在和網(wǎng)信辦協(xié)商，進一步明確政府和公共企事業(yè)單位在網(wǎng)絡安全上的投入比例不低于10%。這兩個數(shù)據(jù)將為企業(yè)提供一定的參考意義。

據(jù)了解，當前國內(nèi)網(wǎng)絡安全投入較大的行業(yè)，其預算比例大概在5%-8%，很多行業(yè)基本在1%-2%，因此提升空間還非常大。

結語

上述分別從企業(yè)意識、組織架構、安全投入三個方面解析政策對企業(yè)產(chǎn)生的影響，可以看到，政策除了通過法律約束，同時也在指導企業(yè)從整體戰(zhàn)略視角看待企業(yè)安全，并通盤考慮做好安全建設。

企業(yè)需要企業(yè)從經(jīng)營戰(zhàn)略視角進行統(tǒng)一規(guī)劃，建立系統(tǒng)性的安全防御機制，同時，借助云、借助安全廠商，通過情報、技術、人才的開放和共享，在新的網(wǎng)絡安全環(huán)境下保持競爭力。