普華永道在 9 月 17 日發(fā)布了一份《2019年數(shù)字信任洞察之中國(guó)報(bào)告》，雖然名字比較“玄乎”，但是調(diào)查的是目前中國(guó)企業(yè)和國(guó)外企業(yè)在數(shù)字化轉(zhuǎn)型過程做的“安全事”以及面臨的問題。

“別人家”的“孩子”是什么樣？這份報(bào)告對(duì)中國(guó)地區(qū)121位安全從業(yè)人士進(jìn)行了訪談，得到了以下結(jié)果：

想獲得的VS怕失去的

隨著企業(yè)的數(shù)字化轉(zhuǎn)型，中國(guó)私營(yíng)企業(yè)發(fā)展迅速。就企業(yè)預(yù)期從數(shù)字化進(jìn)程中獲取的價(jià)值而言，32%的受訪者預(yù)計(jì)企業(yè)收入將會(huì)提高（全球：27%） , 26% 的受訪者希望研發(fā)出新產(chǎn)品或進(jìn)行產(chǎn)品創(chuàng)新（全球：9%） ,12%的受訪者則希望提供更好的客戶體驗(yàn)（全球：16%）。

數(shù)字化轉(zhuǎn)型為促進(jìn)企業(yè)發(fā)展和創(chuàng)新帶來了大量機(jī)會(huì)的同時(shí)，也導(dǎo)致了企業(yè)需要應(yīng)對(duì)轉(zhuǎn)型期間所來帶的特有風(fēng)險(xiǎn)。從中國(guó)企業(yè)高管和 IT專業(yè)人士的角度來看，數(shù)字化進(jìn)程中面臨的最嚴(yán)峻風(fēng)險(xiǎn)是數(shù)據(jù)治理或隱私問題（中國(guó)：28%；全球：11%）。

中國(guó)企業(yè)普遍對(duì)數(shù)據(jù)收集和傳輸存在顧慮，而加強(qiáng)信息安全和對(duì)個(gè)人數(shù)據(jù)收集的保護(hù)是國(guó)家戰(zhàn)略重點(diǎn)。

 企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)需要解決客戶、員工及企業(yè)其他利益相關(guān)者與新科技成果之間的互動(dòng)方式問題。中國(guó)受訪者也面臨著數(shù)字化轉(zhuǎn)型帶來的創(chuàng)新風(fēng)險(xiǎn)，即推出新產(chǎn)品、服務(wù)和流程所產(chǎn)生的風(fēng)險(xiǎn)（中國(guó)：19%；全球：8%）。

我們預(yù)估到會(huì)有這樣的情況發(fā)生，因?yàn)樗姆种灰陨系闹袊?guó)受訪者想要在數(shù)字化轉(zhuǎn)型過程中進(jìn)行產(chǎn)品研發(fā)或創(chuàng)新，管理這項(xiàng)風(fēng)險(xiǎn)需要對(duì)業(yè)務(wù)部門進(jìn)行企業(yè)數(shù)字化戰(zhàn)略的教育培訓(xùn)，讓其了解創(chuàng)新對(duì)其業(yè)務(wù)運(yùn)作的影響。

中國(guó)信息通信研究院數(shù)據(jù)顯示，2017 年中國(guó)數(shù)字經(jīng)濟(jì)總量達(dá)到3.8萬億美元，占中國(guó)GDP比重近三分之一。鑒于私營(yíng)企業(yè)在數(shù)字化進(jìn)程中的發(fā)展?fàn)顩r，它們比以往更容易受到網(wǎng)絡(luò)安全攻擊。因此，網(wǎng)絡(luò)安全是中國(guó)企業(yè)高管和專業(yè)人士面臨的另—個(gè)重要風(fēng)險(xiǎn)（中國(guó)：18%；全球：29%）。

在企業(yè)數(shù)字化轉(zhuǎn)型風(fēng)險(xiǎn)管理能力方面，認(rèn)為自己效率極高的中國(guó)企業(yè)高管和IT專業(yè)人士（24%）比例低于全球受訪者（31%），多數(shù)中國(guó)受訪者（55%）對(duì)此看法不太樂觀，認(rèn)為在管理這些風(fēng)險(xiǎn)方面只是略有成效（全球：40%）。

雖然大部分中國(guó)受訪者表示建立數(shù)字信任是企業(yè)優(yōu)先事項(xiàng)（中 國(guó)：90%；全球：85%），但在數(shù)字化轉(zhuǎn)型快速發(fā)展的情況下，其風(fēng)險(xiǎn)管理能力有所欠缺。對(duì)企業(yè)高管和 IT 專業(yè)人士而言，他們最缺乏建立數(shù)字信任的能力，包括不確定如何實(shí)現(xiàn)企業(yè)轉(zhuǎn)型目標(biāo)（中國(guó)：17%;全球：11%），不確定未來10年其數(shù)字戰(zhàn)略將有何變化（中國(guó)：15%；全球：11%），不確定其數(shù)字計(jì)劃將取得怎樣的成果（中國(guó)：14%;全球：13%）。

科技企業(yè)集團(tuán)百度、阿里巴巴和騰訊正在引領(lǐng)中國(guó)的數(shù)字化新 趨勢(shì)，并顛覆著金融服務(wù)業(yè)、零售業(yè)和旅游業(yè)的發(fā)展。這些互聯(lián)網(wǎng)巨頭不斷打破技術(shù)障礙，傳統(tǒng)企業(yè)面臨壓力，導(dǎo)致一些老牌企業(yè)與時(shí)代脫節(jié)。由于88%的中國(guó)受訪者來自非科技行業(yè)， 包括工業(yè)制造業(yè)、金融服務(wù)業(yè)或零售和消費(fèi)行業(yè)。

顯而易見，其中部分企業(yè)所處的行業(yè)受到科技巨頭的顛覆性影響，但他們無法跟上變革的速度，發(fā)現(xiàn)自己對(duì)于如何完成企業(yè)轉(zhuǎn)型目標(biāo)或數(shù)字化目標(biāo)茫然無措。為了縮短這些差距，中國(guó)企業(yè)正逐漸加強(qiáng)其網(wǎng)絡(luò)安全計(jì)劃，重新規(guī)劃企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)的工作方式。一些企業(yè)正在考慮將數(shù)字創(chuàng)新流程外包給第三方技術(shù)服務(wù)供應(yīng)商，其他企業(yè)正在經(jīng)歷由行業(yè)協(xié)會(huì)（以及監(jiān)管機(jī)構(gòu)）推動(dòng)的數(shù)字化轉(zhuǎn)型，這些舉措將強(qiáng)化整體企業(yè)生態(tài)系統(tǒng)，并為企業(yè)謀求數(shù)字發(fā)展提供支持。

安全團(tuán)隊(duì)被企業(yè)認(rèn)可嗎

當(dāng)很多企業(yè)紛紛主動(dòng)采用科技主導(dǎo)型商業(yè)模式之際，為了建立數(shù)字信任，網(wǎng)絡(luò)安全計(jì)劃必須要與企業(yè)目標(biāo)相稱。為此，網(wǎng)絡(luò)安全團(tuán)隊(duì)需要加快推進(jìn)企業(yè)戰(zhàn)略，了解企業(yè)風(fēng)險(xiǎn)承受能力，而首要事項(xiàng)是在數(shù)字化轉(zhuǎn)型過程中管理風(fēng)險(xiǎn)。

事實(shí)上，從一系列衡量指標(biāo)來看，多數(shù)中國(guó)受訪者的網(wǎng)絡(luò)安全與業(yè)務(wù)發(fā)展相配的程度高于全球受訪者。83%的受訪者表示，其網(wǎng)絡(luò)安全團(tuán)隊(duì)正嵌入企業(yè)的業(yè)務(wù)當(dāng)中，他們不僅熟悉業(yè)務(wù)策略，而且制定了支持業(yè)務(wù)需要的網(wǎng)絡(luò)安全策略（全球：72%）。

83%的受訪者認(rèn)為，其網(wǎng)絡(luò)安全團(tuán)隊(duì)與其他所有管理企業(yè)風(fēng)險(xiǎn)的部門建立起戰(zhàn)略合作關(guān)系，防范企業(yè)面臨的最嚴(yán)峻威脅和風(fēng)險(xiǎn)（全球： 68%）。81%的受訪者認(rèn)為，其網(wǎng)絡(luò)安全團(tuán)隊(duì)在網(wǎng)絡(luò)風(fēng)險(xiǎn)和相關(guān)風(fēng)險(xiǎn)問題上能夠與董事會(huì)和高級(jí)管理層進(jìn)行有效溝通（全球：70%）。

中國(guó)安全團(tuán)隊(duì)的做法

為了實(shí)現(xiàn)以戰(zhàn)略及業(yè)務(wù)為導(dǎo)向，中國(guó)網(wǎng)絡(luò)安全團(tuán)隊(duì)采取哪些不同的做法呢？在問卷中，我們調(diào)查了那些成功轉(zhuǎn)型并滿足業(yè)務(wù)發(fā)展需求的企業(yè)，他們對(duì)自己的網(wǎng)絡(luò)安全團(tuán)隊(duì)工作開展方式進(jìn)行了排序。選項(xiàng)最多的26%受訪者表示，其網(wǎng)絡(luò)安全團(tuán)隊(duì)與業(yè)務(wù)團(tuán)隊(duì)密切合作，確保網(wǎng)絡(luò)安全策略與業(yè)務(wù)需要 相配（全球：18%）。15%的受訪者提到，其團(tuán)隊(duì)正在應(yīng)用自動(dòng)化及新興科技提高網(wǎng)絡(luò)安全能力（全球：11%），而8%的受訪者將加強(qiáng)第三方風(fēng)險(xiǎn)管理（全球：13%）。

然而，中國(guó)企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)處于落后的方面是，并沒有那么頻繁地向公司董事會(huì)（中國(guó)：4%；全球：5%）和企業(yè)首席高管（中國(guó)：4%；全球：7%）匯報(bào)問題。

網(wǎng)絡(luò)安全團(tuán)隊(duì)必須與董事會(huì)和高級(jí)管理層一起探討網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問題。這樣一來，董事會(huì)和高級(jí)管理層才能承擔(dān)起公司某些領(lǐng)域的網(wǎng)絡(luò)風(fēng)險(xiǎn)策略的責(zé)任，例如為網(wǎng)絡(luò)安全事件提前做好準(zhǔn)備，應(yīng)對(duì)網(wǎng)絡(luò)安全事件，以及提高員工網(wǎng)絡(luò)安全 意識(shí)等。

安全團(tuán)隊(duì)只響應(yīng)，沒有識(shí)別風(fēng)險(xiǎn)

深入了解網(wǎng)絡(luò)安全團(tuán)隊(duì)的哪些做法能更好地與企業(yè)目標(biāo)相配無疑非常重要，與此同時(shí)，衡量網(wǎng)絡(luò)安全團(tuán)隊(duì)現(xiàn)有的網(wǎng)絡(luò)安全措施成熟度同樣大有裨益。

此次調(diào)研在這方面對(duì)企業(yè)進(jìn)行評(píng)價(jià)，評(píng)價(jià)的依據(jù)是美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）所發(fā)布的《網(wǎng)絡(luò)安全框架》中的具體類別，6包括五個(gè)主要網(wǎng)絡(luò)安全功能：識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)。

成熟度方面，中國(guó)網(wǎng)絡(luò)安全團(tuán)隊(duì)在“響應(yīng)”和“保護(hù)”兩項(xiàng)功能中成熟度最高，在“識(shí)別”功能中成熟度最低，這一情況堪憂，因?yàn)檫@說明調(diào)研受訪者只處于響應(yīng)狀態(tài)，在風(fēng)險(xiǎn)發(fā)生后采取緩解措施，而未能充分識(shí)別風(fēng)險(xiǎn)并防范于未然。這表明網(wǎng)絡(luò)安全團(tuán)隊(duì)在識(shí)別關(guān)鍵資源和企業(yè)情況，從而根據(jù)企業(yè)風(fēng)險(xiǎn)管理策略和業(yè)務(wù)需要促使企業(yè)重點(diǎn)保障網(wǎng)絡(luò)安全方面較為薄弱。于是，網(wǎng)絡(luò)安全團(tuán)隊(duì)只能進(jìn)行損害控制，或只能在偵測(cè)到事故后為企業(yè)提供支持，而且對(duì)企業(yè)的保護(hù)方式也只是減弱或遏制事件的影響。

究其原因，或許是更少比例的中國(guó)受訪者（相對(duì)其他類別）認(rèn)為，其網(wǎng)絡(luò)安全團(tuán)隊(duì)在保障企業(yè)生態(tài)系統(tǒng)時(shí)采用的是基于風(fēng)險(xiǎn)的方法，而不是就事論事處理問題（中國(guó)：69%；全球：63%）。

與同業(yè)相比，更少比例的受訪者認(rèn)為其企業(yè)采用NIST《網(wǎng)絡(luò)安全框架》等標(biāo)準(zhǔn)框架對(duì)網(wǎng)絡(luò)安全團(tuán)隊(duì)的能力進(jìn)行評(píng)估（中國(guó)：75%；全球：68%）。采用基于風(fēng)險(xiǎn)的方法開展網(wǎng)絡(luò)安全活動(dòng)，使用標(biāo)準(zhǔn)框架進(jìn)行自我管理，中國(guó)網(wǎng)絡(luò)安全團(tuán)隊(duì)才能充分預(yù)測(cè)和管理系統(tǒng)、人員、資產(chǎn)、數(shù)據(jù)以及性能方面的網(wǎng)絡(luò)安全問題。

與其他類別相比，企業(yè)高管和IT專業(yè)人士認(rèn)為（“識(shí)別”功能內(nèi)的）“資產(chǎn)管理”類別相對(duì)落后，若要保證與網(wǎng)絡(luò)安全的一致性，則需要識(shí)別機(jī)構(gòu)中的實(shí)物資產(chǎn)和軟件資產(chǎn)。與其他類別相比，相對(duì)較少的中國(guó)網(wǎng)絡(luò)安全團(tuán)隊(duì)參與到企業(yè)新產(chǎn)品和服務(wù)的“安全與隱私”設(shè)計(jì)當(dāng)中 （中國(guó)64%，全球：60%）。

中國(guó)企業(yè)在（“識(shí)別”功能內(nèi)的）“治理”類別中成熟度也相對(duì)較低，該類別內(nèi)容包括識(shí)別符合外部法律及監(jiān)管要求的治理項(xiàng) 目或網(wǎng)絡(luò)安全政策。這與事實(shí)相符，過去一年內(nèi)，相對(duì)其他類別，較少網(wǎng)絡(luò)安全團(tuán)隊(duì)為了遵循新法規(guī)要求而采取跨部門措施（中國(guó)：60%；全球：53%）。國(guó)內(nèi)網(wǎng)絡(luò)安全團(tuán)隊(duì)必須清楚中國(guó)網(wǎng)絡(luò)安全監(jiān)管架構(gòu)，并確?，F(xiàn)有控制措施與當(dāng)前及未來法律法規(guī)保持一致。

雖然《中華人民共和國(guó)網(wǎng)絡(luò)安全法》已于2017年6月開始施行，但是許多法律條文仍有待通過規(guī)定和條例的實(shí)施來加以完善和解釋。

然而，中國(guó)網(wǎng)絡(luò)安全團(tuán)隊(duì)在（“響應(yīng)”功能內(nèi)的）“溝通”類別中表現(xiàn)出色，因此在網(wǎng)絡(luò)安全問題發(fā)生后，能夠有效地管理與內(nèi)部和外部利益相關(guān)者的溝通。（“保護(hù)”功能內(nèi)的）“數(shù)據(jù)安全”類別的成熟度也較高，公司數(shù)據(jù)管理得當(dāng)，以保障信息的保密性、完整性和可用性。

商業(yè)啟發(fā)

過去 20 年，數(shù)字化轉(zhuǎn)型帶動(dòng)中國(guó)企業(yè)快速發(fā)展，卻導(dǎo)致數(shù) 字信任度下降。為了重新建立數(shù)字信任，網(wǎng)絡(luò)安全團(tuán)隊(duì)需要從應(yīng)對(duì)重大風(fēng)險(xiǎn)轉(zhuǎn)變?yōu)橹鲃?dòng)識(shí)別重大風(fēng)險(xiǎn)，其中包括：

1.遵循基于風(fēng)險(xiǎn)的方法和標(biāo)準(zhǔn)框架，以加強(qiáng)“識(shí)別”功能

網(wǎng)絡(luò)安全團(tuán)隊(duì)在從事網(wǎng)絡(luò)安全活動(dòng)時(shí)，需要提倡使用基于風(fēng)險(xiǎn)的方法和標(biāo)準(zhǔn)框架解決問題。如此，他們可以加強(qiáng)自身能力，以識(shí)別關(guān)鍵資源和企業(yè)情況，從而根據(jù)企業(yè)風(fēng)險(xiǎn)管理策略和業(yè)務(wù)需要促使企業(yè)重點(diǎn)保障 網(wǎng)絡(luò)安全。

2.確保網(wǎng)絡(luò)安全策略與業(yè)務(wù)發(fā)展并進(jìn)

這需要網(wǎng)絡(luò)安全團(tuán)隊(duì)加快推進(jìn)企業(yè)戰(zhàn)略，了解企業(yè)風(fēng)險(xiǎn)承受能力，有效管理與數(shù)字化轉(zhuǎn)型相關(guān)的企業(yè)風(fēng) 險(xiǎn)。例如，這或許需要將安全和隱私保護(hù)納入到企業(yè)新產(chǎn)品和服務(wù)中。

3.使用自動(dòng)化及新興科技提高網(wǎng)絡(luò)安全能力

通過機(jī)器學(xué)習(xí)實(shí)現(xiàn)自動(dòng)化以及使用人工智能、機(jī)器人流程自動(dòng)化或物聯(lián)網(wǎng)等新興科技，為網(wǎng)絡(luò)安全團(tuán)隊(duì)帶來獨(dú)特機(jī)會(huì)，幫助其提升網(wǎng)絡(luò)威脅情報(bào)、防范和恢復(fù)方面的功能。

4.定治理計(jì)劃，以遵守外部監(jiān)管要求

網(wǎng)絡(luò)安全團(tuán)隊(duì)有必要制定治理計(jì)劃，以滿足網(wǎng)絡(luò)安全、數(shù)據(jù)治理和隱私方面的外部監(jiān)管要求，在中國(guó)尤應(yīng)如此，原因在于其戰(zhàn)略重要性，以及該領(lǐng)域發(fā)展一日千里。

5.將網(wǎng)絡(luò)安全作為企業(yè)問題處理，而非將其 歸為IT問題

網(wǎng)絡(luò)風(fēng)險(xiǎn)是整個(gè)企業(yè)范圍內(nèi)面臨的問題，因此涉及公司董事會(huì)、管理層、業(yè)務(wù)部門主管以及IT和安全職能部門。網(wǎng)絡(luò)安全團(tuán)隊(duì)需要與董事會(huì)和高級(jí)管理層共同探討網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問題，以便董事會(huì)和高級(jí)管理層負(fù)起企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)策略的責(zé)任。為了制定適當(dāng)?shù)木W(wǎng)絡(luò)安全計(jì)劃，企業(yè)還需要考慮讓員工參與其中。員工可通過培訓(xùn)和遵守企業(yè)標(biāo)準(zhǔn)及指引的方式為網(wǎng)絡(luò)安全出一份力。

6.靈活響應(yīng)和改進(jìn)

靈活性是產(chǎn)品或服務(wù)開發(fā)領(lǐng)域中非常熱門的概念之一。要將靈活性與網(wǎng)絡(luò)安全計(jì)劃相結(jié)合，不能只關(guān)注技術(shù)本身，還要重視整個(gè)管理流程。通過追求靈活響應(yīng)和樹立精益求精的文化，網(wǎng)絡(luò)安全團(tuán)隊(duì)可以在其計(jì)劃中實(shí)現(xiàn)效率和建立高度信任。

雷鋒網(wǎng)注：上述圖文來自普華永道《2019年數(shù)字信任洞察之中國(guó)報(bào)告》，想要獲得更多網(wǎng)絡(luò)安全訊息，可以關(guān)注雷鋒網(wǎng)旗下微信公眾號(hào)“宅客頻道”（微信ID：letshome）。

雷鋒網(wǎng)。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。