Gartner：对待中国《网络安全法》的四个步骤

2017年6月，中国《网络安全保护法》正式实施，适用于在中国运营的企业机构及任何与该机构在中国业务相关的合作伙伴。对于希望挖掘中国市场潜力和增大市场占有率的跨国公司而言，理解《网络安全保护法》涉及范围及影响至关重要。

在本周的Gartner CIO峰会期间，Gartner研究总监Jie Zhang为参会CIO们带来了“对待中国《网络安全法》的四个步骤”的精彩演讲。以下为演讲精华内容。

步骤一

辨识相关的责任 (Identify Relevant Obligations) 

跨国公司服务的市场广大，因此其须对每一个国家或地区的法律、法规要求有明确理解。《网络安全法》中的七大领域值得企业机构关注，分别是：个人数据保护、出境数据评估、网络运营商的安全规范、关键信息基础设施、事故应对、人员培训及处罚措施。

随着《网络安全法》的实施，具体的法规及条例也将相继出台，企业机构须密切关注。

步骤二

进行差距分析 (Perform Gap Analysis) 

了解《网络安全法》的适用范围及主要内容后，企业机构应对自身状况进行分析，设立基准线（baseline），包括识别自身营业模式（operation type）及采集的信息类型（information type），并据此决定是否要做安全评估（security assessment）。

其中，营业模式分为关键信息基础设施（CII）及网络运营者（network operator），不同模式的企业机构所要遵循的法律、法规内容存在差异。如何辨别企业是否属于关键基础信息提供者，一般从行业领域（industry sector）、网络影响力（online presence）、相关损害带来的不良影响（impact）三个方面判断。但企业机构也应向相关咨询及法律机构咨询，降低相关风险。

根据《网络安全法》规定，企业机构采集的信息类型分为一般类个人信息（personal information in general）、敏感类个人信息（personal information sensitive）及关键商业信息（critical information）。针对信息敏感程度和价值高低，企业机构须采取不同的保护措施。

步骤三

处理合规风险（Address Compliance Risks）

进行差距分析后，企业机构应进行风险分析（risk-based analysis），考虑如下几个方面：安全策略（security practice）、关键系统架构（architecture of key systems）、物理安全影响（physical safety impact）及公司合规（corporate compliance）、公司管理（corporate governance）。

通过风险分析，企业机构将发现目前状况与未来理想状况之间的差距，并制定行动计划（action plan）来达成该目标，为最终的商业决策提供支持。

此外，企业机构须考虑在企业内部设置响应团队（reaction team），处理与网络安全相关的事务，为降低和评估风险提供咨询。该团队须包括应用架构师、首席信息安全官、法务顾问、首席风险官、本地工作人员，并由首席信息官组织起来，进行相关讨论。

步骤四

具备灵活性 (Be Adaptive) 

最后，在全球规管环境不断变幻的今天，企业机构须具备一定灵活性。随着《网络安全法》的实施，响应团队应逐渐过渡为运营团队（operation team），不断监督、评估逐渐完善的法规带来的影响，落实安全评估。此外，公司内部也应做好培训工作，保证相关行为始终合规。

Gartner预测，到2021年，80%在中国运营的企业机构将会与咨询公司或中国本土的安全公司合作，共同管理风险、安全及隐私问题。Gartner也建议相关企业机构尽快了解《网络安全法》体系，开展与之相关的评估，并组建团队处理其带来的风险问题。与此同时，企业机构也须不断调整自身，以适应不断完善的法规。

声明：本文来自GartnerInc，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。