普華永道在 9 月 17 日發(fā)布了一份《2019年數(shù)字信任洞察之中國報告》，雖然名字比較“玄乎”，但是調(diào)查的是目前中國企業(yè)和國外企業(yè)在數(shù)字化轉(zhuǎn)型過程做的“安全事”以及面臨的問題。

“別人家”的“孩子”是什么樣？這份報告對中國地區(qū)121位安全從業(yè)人士進行了訪談，得到了以下結(jié)果：

想獲得的VS怕失去的

隨著企業(yè)的數(shù)字化轉(zhuǎn)型，中國私營企業(yè)發(fā)展迅速。就企業(yè)預期從數(shù)字化進程中獲取的價值而言，32%的受訪者預計企業(yè)收入將會提高（全球：27%） , 26% 的受訪者希望研發(fā)出新產(chǎn)品或進行產(chǎn)品創(chuàng)新（全球：9%） ,12%的受訪者則希望提供更好的客戶體驗（全球：16%）。

數(shù)字化轉(zhuǎn)型為促進企業(yè)發(fā)展和創(chuàng)新帶來了大量機會的同時，也導致了企業(yè)需要應對轉(zhuǎn)型期間所來帶的特有風險。從中國企業(yè)高管和 IT專業(yè)人士的角度來看，數(shù)字化進程中面臨的最嚴峻風險是數(shù)據(jù)治理或隱私問題（中國：28%；全球：11%）。

中國企業(yè)普遍對數(shù)據(jù)收集和傳輸存在顧慮，而加強信息安全和對個人數(shù)據(jù)收集的保護是國家戰(zhàn)略重點。

 企業(yè)網(wǎng)絡(luò)安全團隊需要解決客戶、員工及企業(yè)其他利益相關(guān)者與新科技成果之間的互動方式問題。中國受訪者也面臨著數(shù)字化轉(zhuǎn)型帶來的創(chuàng)新風險，即推出新產(chǎn)品、服務和流程所產(chǎn)生的風險（中國：19%；全球：8%）。

我們預估到會有這樣的情況發(fā)生，因為四分之一以上的中國受訪者想要在數(shù)字化轉(zhuǎn)型過程中進行產(chǎn)品研發(fā)或創(chuàng)新，管理這項風險需要對業(yè)務部門進行企業(yè)數(shù)字化戰(zhàn)略的教育培訓，讓其了解創(chuàng)新對其業(yè)務運作的影響。

中國信息通信研究院數(shù)據(jù)顯示，2017 年中國數(shù)字經(jīng)濟總量達到3.8萬億美元，占中國GDP比重近三分之一。鑒于私營企業(yè)在數(shù)字化進程中的發(fā)展狀況，它們比以往更容易受到網(wǎng)絡(luò)安全攻擊。因此，網(wǎng)絡(luò)安全是中國企業(yè)高管和專業(yè)人士面臨的另—個重要風險（中國：18%；全球：29%）。

在企業(yè)數(shù)字化轉(zhuǎn)型風險管理能力方面，認為自己效率極高的中國企業(yè)高管和IT專業(yè)人士（24%）比例低于全球受訪者（31%），多數(shù)中國受訪者（55%）對此看法不太樂觀，認為在管理這些風險方面只是略有成效（全球：40%）。

雖然大部分中國受訪者表示建立數(shù)字信任是企業(yè)優(yōu)先事項（中 國：90%；全球：85%），但在數(shù)字化轉(zhuǎn)型快速發(fā)展的情況下，其風險管理能力有所欠缺。對企業(yè)高管和 IT 專業(yè)人士而言，他們最缺乏建立數(shù)字信任的能力，包括不確定如何實現(xiàn)企業(yè)轉(zhuǎn)型目標（中國：17%;全球：11%），不確定未來10年其數(shù)字戰(zhàn)略將有何變化（中國：15%；全球：11%），不確定其數(shù)字計劃將取得怎樣的成果（中國：14%;全球：13%）。

科技企業(yè)集團百度、阿里巴巴和騰訊正在引領(lǐng)中國的數(shù)字化新 趨勢，并顛覆著金融服務業(yè)、零售業(yè)和旅游業(yè)的發(fā)展。這些互聯(lián)網(wǎng)巨頭不斷打破技術(shù)障礙，傳統(tǒng)企業(yè)面臨壓力，導致一些老牌企業(yè)與時代脫節(jié)。由于88%的中國受訪者來自非科技行業(yè)， 包括工業(yè)制造業(yè)、金融服務業(yè)或零售和消費行業(yè)。

顯而易見，其中部分企業(yè)所處的行業(yè)受到科技巨頭的顛覆性影響，但他們無法跟上變革的速度，發(fā)現(xiàn)自己對于如何完成企業(yè)轉(zhuǎn)型目標或數(shù)字化目標茫然無措。為了縮短這些差距，中國企業(yè)正逐漸加強其網(wǎng)絡(luò)安全計劃，重新規(guī)劃企業(yè)網(wǎng)絡(luò)安全團隊的工作方式。一些企業(yè)正在考慮將數(shù)字創(chuàng)新流程外包給第三方技術(shù)服務供應商，其他企業(yè)正在經(jīng)歷由行業(yè)協(xié)會（以及監(jiān)管機構(gòu)）推動的數(shù)字化轉(zhuǎn)型，這些舉措將強化整體企業(yè)生態(tài)系統(tǒng)，并為企業(yè)謀求數(shù)字發(fā)展提供支持。

安全團隊被企業(yè)認可嗎

當很多企業(yè)紛紛主動采用科技主導型商業(yè)模式之際，為了建立數(shù)字信任，網(wǎng)絡(luò)安全計劃必須要與企業(yè)目標相稱。為此，網(wǎng)絡(luò)安全團隊需要加快推進企業(yè)戰(zhàn)略，了解企業(yè)風險承受能力，而首要事項是在數(shù)字化轉(zhuǎn)型過程中管理風險。

事實上，從一系列衡量指標來看，多數(shù)中國受訪者的網(wǎng)絡(luò)安全與業(yè)務發(fā)展相配的程度高于全球受訪者。83%的受訪者表示，其網(wǎng)絡(luò)安全團隊正嵌入企業(yè)的業(yè)務當中，他們不僅熟悉業(yè)務策略，而且制定了支持業(yè)務需要的網(wǎng)絡(luò)安全策略（全球：72%）。

83%的受訪者認為，其網(wǎng)絡(luò)安全團隊與其他所有管理企業(yè)風險的部門建立起戰(zhàn)略合作關(guān)系，防范企業(yè)面臨的最嚴峻威脅和風險（全球： 68%）。81%的受訪者認為，其網(wǎng)絡(luò)安全團隊在網(wǎng)絡(luò)風險和相關(guān)風險問題上能夠與董事會和高級管理層進行有效溝通（全球：70%）。

中國安全團隊的做法

為了實現(xiàn)以戰(zhàn)略及業(yè)務為導向，中國網(wǎng)絡(luò)安全團隊采取哪些不同的做法呢？在問卷中，我們調(diào)查了那些成功轉(zhuǎn)型并滿足業(yè)務發(fā)展需求的企業(yè)，他們對自己的網(wǎng)絡(luò)安全團隊工作開展方式進行了排序。選項最多的26%受訪者表示，其網(wǎng)絡(luò)安全團隊與業(yè)務團隊密切合作，確保網(wǎng)絡(luò)安全策略與業(yè)務需要 相配（全球：18%）。15%的受訪者提到，其團隊正在應用自動化及新興科技提高網(wǎng)絡(luò)安全能力（全球：11%），而8%的受訪者將加強第三方風險管理（全球：13%）。

然而，中國企業(yè)網(wǎng)絡(luò)安全團隊處于落后的方面是，并沒有那么頻繁地向公司董事會（中國：4%；全球：5%）和企業(yè)首席高管（中國：4%；全球：7%）匯報問題。

網(wǎng)絡(luò)安全團隊必須與董事會和高級管理層一起探討網(wǎng)絡(luò)安全風險問題。這樣一來，董事會和高級管理層才能承擔起公司某些領(lǐng)域的網(wǎng)絡(luò)風險策略的責任，例如為網(wǎng)絡(luò)安全事件提前做好準備，應對網(wǎng)絡(luò)安全事件，以及提高員工網(wǎng)絡(luò)安全 意識等。

安全團隊只響應，沒有識別風險

深入了解網(wǎng)絡(luò)安全團隊的哪些做法能更好地與企業(yè)目標相配無疑非常重要，與此同時，衡量網(wǎng)絡(luò)安全團隊現(xiàn)有的網(wǎng)絡(luò)安全措施成熟度同樣大有裨益。

此次調(diào)研在這方面對企業(yè)進行評價，評價的依據(jù)是美國國家標準與技術(shù)研究院（NIST）所發(fā)布的《網(wǎng)絡(luò)安全框架》中的具體類別，6包括五個主要網(wǎng)絡(luò)安全功能：識別、保護、檢測、響應和恢復。

成熟度方面，中國網(wǎng)絡(luò)安全團隊在“響應”和“保護”兩項功能中成熟度最高，在“識別”功能中成熟度最低，這一情況堪憂，因為這說明調(diào)研受訪者只處于響應狀態(tài)，在風險發(fā)生后采取緩解措施，而未能充分識別風險并防范于未然。這表明網(wǎng)絡(luò)安全團隊在識別關(guān)鍵資源和企業(yè)情況，從而根據(jù)企業(yè)風險管理策略和業(yè)務需要促使企業(yè)重點保障網(wǎng)絡(luò)安全方面較為薄弱。于是，網(wǎng)絡(luò)安全團隊只能進行損害控制，或只能在偵測到事故后為企業(yè)提供支持，而且對企業(yè)的保護方式也只是減弱或遏制事件的影響。

究其原因，或許是更少比例的中國受訪者（相對其他類別）認為，其網(wǎng)絡(luò)安全團隊在保障企業(yè)生態(tài)系統(tǒng)時采用的是基于風險的方法，而不是就事論事處理問題（中國：69%；全球：63%）。

與同業(yè)相比，更少比例的受訪者認為其企業(yè)采用NIST《網(wǎng)絡(luò)安全框架》等標準框架對網(wǎng)絡(luò)安全團隊的能力進行評估（中國：75%；全球：68%）。采用基于風險的方法開展網(wǎng)絡(luò)安全活動，使用標準框架進行自我管理，中國網(wǎng)絡(luò)安全團隊才能充分預測和管理系統(tǒng)、人員、資產(chǎn)、數(shù)據(jù)以及性能方面的網(wǎng)絡(luò)安全問題。

與其他類別相比，企業(yè)高管和IT專業(yè)人士認為（“識別”功能內(nèi)的）“資產(chǎn)管理”類別相對落后，若要保證與網(wǎng)絡(luò)安全的一致性，則需要識別機構(gòu)中的實物資產(chǎn)和軟件資產(chǎn)。與其他類別相比，相對較少的中國網(wǎng)絡(luò)安全團隊參與到企業(yè)新產(chǎn)品和服務的“安全與隱私”設(shè)計當中 （中國64%，全球：60%）。

中國企業(yè)在（“識別”功能內(nèi)的）“治理”類別中成熟度也相對較低，該類別內(nèi)容包括識別符合外部法律及監(jiān)管要求的治理項 目或網(wǎng)絡(luò)安全政策。這與事實相符，過去一年內(nèi)，相對其他類別，較少網(wǎng)絡(luò)安全團隊為了遵循新法規(guī)要求而采取跨部門措施（中國：60%；全球：53%）。國內(nèi)網(wǎng)絡(luò)安全團隊必須清楚中國網(wǎng)絡(luò)安全監(jiān)管架構(gòu)，并確保現(xiàn)有控制措施與當前及未來法律法規(guī)保持一致。

雖然《中華人民共和國網(wǎng)絡(luò)安全法》已于2017年6月開始施行，但是許多法律條文仍有待通過規(guī)定和條例的實施來加以完善和解釋。

然而，中國網(wǎng)絡(luò)安全團隊在（“響應”功能內(nèi)的）“溝通”類別中表現(xiàn)出色，因此在網(wǎng)絡(luò)安全問題發(fā)生后，能夠有效地管理與內(nèi)部和外部利益相關(guān)者的溝通。（“保護”功能內(nèi)的）“數(shù)據(jù)安全”類別的成熟度也較高，公司數(shù)據(jù)管理得當，以保障信息的保密性、完整性和可用性。

商業(yè)啟發(fā)

過去 20 年，數(shù)字化轉(zhuǎn)型帶動中國企業(yè)快速發(fā)展，卻導致數(shù) 字信任度下降。為了重新建立數(shù)字信任，網(wǎng)絡(luò)安全團隊需要從應對重大風險轉(zhuǎn)變?yōu)橹鲃幼R別重大風險，其中包括：

1.遵循基于風險的方法和標準框架，以加強“識別”功能

網(wǎng)絡(luò)安全團隊在從事網(wǎng)絡(luò)安全活動時，需要提倡使用基于風險的方法和標準框架解決問題。如此，他們可以加強自身能力，以識別關(guān)鍵資源和企業(yè)情況，從而根據(jù)企業(yè)風險管理策略和業(yè)務需要促使企業(yè)重點保障 網(wǎng)絡(luò)安全。

2.確保網(wǎng)絡(luò)安全策略與業(yè)務發(fā)展并進

這需要網(wǎng)絡(luò)安全團隊加快推進企業(yè)戰(zhàn)略，了解企業(yè)風險承受能力，有效管理與數(shù)字化轉(zhuǎn)型相關(guān)的企業(yè)風 險。例如，這或許需要將安全和隱私保護納入到企業(yè)新產(chǎn)品和服務中。

3.使用自動化及新興科技提高網(wǎng)絡(luò)安全能力

通過機器學習實現(xiàn)自動化以及使用人工智能、機器人流程自動化或物聯(lián)網(wǎng)等新興科技，為網(wǎng)絡(luò)安全團隊帶來獨特機會，幫助其提升網(wǎng)絡(luò)威脅情報、防范和恢復方面的功能。

4.定治理計劃，以遵守外部監(jiān)管要求

網(wǎng)絡(luò)安全團隊有必要制定治理計劃，以滿足網(wǎng)絡(luò)安全、數(shù)據(jù)治理和隱私方面的外部監(jiān)管要求，在中國尤應如此，原因在于其戰(zhàn)略重要性，以及該領(lǐng)域發(fā)展一日千里。

5.將網(wǎng)絡(luò)安全作為企業(yè)問題處理，而非將其 歸為IT問題

網(wǎng)絡(luò)風險是整個企業(yè)范圍內(nèi)面臨的問題，因此涉及公司董事會、管理層、業(yè)務部門主管以及IT和安全職能部門。網(wǎng)絡(luò)安全團隊需要與董事會和高級管理層共同探討網(wǎng)絡(luò)安全風險問題，以便董事會和高級管理層負起企業(yè)網(wǎng)絡(luò)風險策略的責任。為了制定適當?shù)木W(wǎng)絡(luò)安全計劃，企業(yè)還需要考慮讓員工參與其中。員工可通過培訓和遵守企業(yè)標準及指引的方式為網(wǎng)絡(luò)安全出一份力。

6.靈活響應和改進

靈活性是產(chǎn)品或服務開發(fā)領(lǐng)域中非常熱門的概念之一。要將靈活性與網(wǎng)絡(luò)安全計劃相結(jié)合，不能只關(guān)注技術(shù)本身，還要重視整個管理流程。通過追求靈活響應和樹立精益求精的文化，網(wǎng)絡(luò)安全團隊可以在其計劃中實現(xiàn)效率和建立高度信任。

雷鋒網(wǎng)注：上述圖文來自普華永道《2019年數(shù)字信任洞察之中國報告》，想要獲得更多網(wǎng)絡(luò)安全訊息，可以關(guān)注雷鋒網(wǎng)旗下微信公眾號“宅客頻道”（微信ID：letshome）。

雷鋒網(wǎng)。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。