洞察

网络安全法即将生效,企业如何识别差距并采取行动?

德勤正式发布“网络安全合规成熟度自评工具”!

持续的合规要求

众所周知,《中华人民共和国网络安全法》(以下简称《网络安全法》或《网安法》)作为网络安全的基本大法,即将于2017年6月1日正式实施。另外国家陆续发布《网络产品和服务安全审查办法》(试行)、《个人信息和重要数据出境安全评估办法(征求意见稿)》、《中华人民共和国密码法(草案征求意见稿)》、《互联网新闻信息服务管理规定》、《互联网信息内容管理行政执法程序规定》等相关法律、行政法规、部门规章指导其落实。另外全国信息安全标准化技术委员会亦向社会发布《网络安全等级保护标准》等系列文件并征求意见,提出网络安全等级保护具体技术和管理要求。

此次立法和后续细则要求出台进展迅速,凸显党和国家对网络安全问题的高度重视,是我国网络安全法治建设的一个重大战略契机。网络安全有法可依,未来企业的信息安全工作将由传统的业务驱动变为业务、合规强制驱动并重。

企业面临的合规挑战

网络安全法出台后,众多企业积极主动地采取行动满足合规要求,但工作中也遇到一些实际问题,例如:

  • 如何统筹考虑《网安法》及其后续法律、行政法规、部门规章、技术标准提出多方面要求?
  • 企业实现网络安全合规重点和难点是什么?监管检查关注点是什么?
  • 法律、行政法规、部门规章的要求如何理解,如何执行才能满足要求?
  • 企业当前网络安全现状与合规要求相比有多大差距?具体问题是什么?
  • 企业应该优先解决哪些问题?行动计划是什么?
  • 与同行业企业比,企业目前的网安法合规中处于什么位置?同行业标杆是怎么做的?

德勤网络安全合规成熟度自评工具

德勤作为业内领先的专业服务机构,基于监管机构沟通和解读、不同类型企业广泛调研、行业研讨和专业交流之上,研发出德勤“网络安全合规成熟度自评工具”帮助企业积极上述挑战。

德勤的工具紧扣中国网络安全法及其相关法律、行政法规、部门规章、技术标准的要求,借鉴国内外网络安全管理框架、工具、模型的先进评估方法,包括中国网络安全等级保护框架、NIST 网络安全成熟度模型、ISO27001信息安全管理标准等内容,可以帮助企业执行:

  • 合规自我检查:通过德勤研发的成熟度评估模型、合规成熟度自评矩阵,快速、完整的帮助企业识别企业现有网络安全治理、管理和技术与网络安全法合规要求之间存在的主要差距;
  • 驱动自我改善:德勤的模型、工具不仅能帮助企业发现合规差异,更能帮助企业自主识别网络安全未来改进方向、工作内容,驱动企业自行定义短期、中长期安全工作计划;
  • 强化内部协同:网络安全合规不仅是企业信息安全管理部门的责任,而且是企业整体包括管理层、业务、信息安全管理部门等多个部门责任,因此通过合规自评工具导入实施,帮助企业各方增强企业内部网络安全管理协同和应对,建立长效的网络安全合规机制。

德勤网络安全合规成熟度自评工具介绍

实施德勤网络安全合规成熟度自评工具时,包括以下三大步骤:

1)计划和信息搜集

  • 明确自评工作计划,形成工作小组,指定负责人,该负责人建议由公司层面领导担任,有能力协调各方投入必要资源执行具体合规成熟度自评工作;
  • 调研和搜集企业合规相关信息资产情况:基于网络安全法及其关键信息基础设施确定指南(试行)说明文件、与监管互动沟通,调研企业现有信息资产情况,例如涉及国家安全、国计民生、公共利益的企业信息系统建设、运营情况、个人信息搜集、使用和存储情况、个人信息和重要数据跨境转移情况、网络关键设备和网络安全专用产品的采购和使用情况等内容,从而明确网络安全合规成熟度自评的主要工作对象和范围;
  • 确认网络安全合规成熟度自评人员:应该不仅包括企业信息安全管理人员,更要涉及企业管理层、众多业务部门例如法律、人力资源、市场营销、生产制造、新技术等作为自评主体积极参与。

2)执行网络安全合规成熟度自评

此阶段内企业将借助德勤网络安全合规成熟度自评矩阵,基于公司现有网络安全治理、管理和技术的实施情况,识别公司现有成熟度,同时对标目标成熟度的要求识别合规差异。

该自评矩阵工具综合了网安法及其后续法律法规、行政规章、技术标准等不同层面要求,从以下六大领域进行评估:

图1:德勤网络安全合规成熟度自评范围

基于上述领域的合规要求,德勤从人员、工具和流程三个切入点对网络安全合规要求进行详细的成熟度定义,成熟度整体分为0~5级,见下面示意图。

图2:德勤网络安全合规成熟度示意图

作为德勤成熟度自评工具的核心内容,网络安全成熟度自评矩阵将具体指导企业人员如何确定现有成熟度水平并驱动未来改进。矩阵首先定义完整的网络安全合规评估问题,这些问题的设计是基于监管方、德勤、业内专业人员对网络安全法深入解读定制的,能够帮助自评人员深入理解网安法的要求。然后企业自评人员对标德勤网络安全合规成熟度模型(涵盖人员、工具和管理流程三个方面)快速诊断企业现有成熟度并识别出差异,下一步企业自评人员应参考德勤网络安全合规成熟度模型中超过企业自身成熟度的具体定义快速定位工作改进内容。除此之外,自评矩阵中还定义了评估问题对应的法规条款、处罚细则等辅助信息帮助企业人员明确问题影响程度和重要性。

图3:德勤网络安全合规成熟度自评矩阵

3)报告与分析

在此阶段,德勤成熟度自评工具可以帮助企业人员自动化统计、汇总上述评估矩阵的评估结果,生成网络安全成熟度自评报告。报告的最终汇总结果可以与行业内其他企业合规成熟度平均水平、行业标杆进行对标帮助企业进一步定义差距,确认改进方向和实施路线图。

图4:德勤网络安全成熟度自评报告样例

企业执行措施

对大部分企业来说,网络安全法正式生效直到全面落实还有一定的窗口期,我们强烈建议企业应积极利用这段窗口时间,借助各种方法,包括使用德勤网络安全合规成熟度自评工具对公司网络安法合规情况进行评估和整改,确保短期内能满足合规要求;另外面向在中长期,企业也可以结合德勤网络安全合规成熟度模型中高级别要求和行业标杆企业的合规成熟度,建立可持续改进的网络安全合规管理机制。

联系我们

如您在法规遵循或对该网络安全合规成熟度自评工具有任何问题,欢迎随时与我们联系!

此内容是否提供了您需要的资讯?