1、数字化转型要求网络安全团队 主动识别风险 2019年数字信任洞察之中国报告 2 4 6 9 12 15 17 前言 数字化转型带来的风险 网络安全计划与业务发展并进 网络安全活动的成熟度 重要商业启发 研究方法 联系方式 1 前言 如今, 建立数字信任, 不仅仅是一个优先事项, 更是不可或缺 之举。 为了实现企业运营的现代化, 并提高运营速度和效率, 很多企业正在快速地进行着数字化转型。 其结果是, 企业面临 的网络安全及数据隐私风险正在攀升, 因此对全球以及中国内 地企业来说, 建立数字信任的难度有增无减。 中国在数字化进程高速����发展的同时, 一直在积极推进网络治 理。 今年的 “两会” 提出
2、了要进一步加强信息安全, 包括加强对 个人数据搜集行为及国家网络安全建设的监管。此外, 粤港 澳大湾区发展规划纲要也强调, 优化改良信息基础设施, 以 提升网络安全保障水平。 1 2 自2017年6月1日 中华人民共和国网络安全法i正式落实以 来, 监管机构一直积极参与中国的数字化转型。为进一步监 管数字化环境, 监管机构还实施了更加详细的规定和条例, 例如新的网络安全等级保护制度2.0标准以及 个人信息出境 安全评估办法 (征求意见稿) 。������ 虽然就数字化转型而言, 其 环境看似更加严格了, 但是详细的条例将有助于企业在制定 其经营战略的初期就把法律要求纳入考虑。 国家和地方条例 的发展, 促
3、使中国企业及其网络安全团队在网络活动监管过 程中发挥重要作用。 为此, 网络安全团队需要转变思维模式, 才能支持企业的战略目标。 此外,人工智能、区块链和云计算等新兴科技已经成为不可 忽视的力量。未来数年内,5G�������移动通信技术必将取代4G标 准,5G的网速会快100倍, 而且网络承载能力则是4G网络 的1000倍, 更加有利于这些新兴科技的发展与融合。 2面对 实现增长的压力, 企业在运营中更倾向于采纳这些科技创 新������。 新兴科技有助于催生更容易获取、 更具个性化的产品和 服务, 而在隐私和数据保护方面的要求也会随之提高。 为了提升数字信任, 风险管理对于如何负责任地使用新兴科技 的重视程度越来越
4、高。3考虑到具体国家法律法规对企业数字 化转型的影响, 企业逐渐地从一开始就承担起这项责任。����� 企业 首席高管们积极以身作则, 针对如何处理隐私和数据保护问题 与监管机构和政策制定者开展合作。 2019数字信任洞察之中国报告对中国内地企业 建立数字信任的举措以及企业网络安全团队为建立数字信任 所发挥的作用进行了评估。 本报告旨在为网络安全团队如何通 过企业网络安全建设提高竞争力提供建议。 本报告汲取了 全 球数字信任洞察问卷 (过去称为全球信息安全状况调查) 对来自89个国家和地区的3000多位企业高管和IT专业人士 展开调研的成果。 中国报告代表的是中国内地 (以下简称“中 国” ) 121位
5、受访者的观点。 此次调研在2019年3月至4月之间 进行。 i. 中华人民共和国网络安全法是为了对企业保障数字信息和防范系统受到网 络攻击进行监管的最新法规。 3 数字化转型带来的风险 随着企业的�����数字化转型, 中国私营企业发展迅速。 就企业预期������� 从数字化进程中获取的价值而言,32%的受访者预计企业收 入将会提高 (全球: 27%) ,26%的受访者希望研发出新产品 或进行产品创新 (全球: 9%) , 12%的受访者则希望提供更好 的客户体验 (全球: 16%)。 数字化转型为促进企业发展和创新带来了大量机会的同时, 也 导致了企业需要应对转型期间所来带的特有风险。 从中国企业 高管和IT专业
6、人士的角度来看, 数字化进程中面临的最严峻风 险是数据治理或隐私问题 (中国: 28%; 全球: 11%) 。 中国企 业普遍对数据收集和传输存在顾虑, 而加强信息安全和对个 人数据收集的保护是国家战略重点。ii 企业网络安全团队需要解决客�������户、 员工及企业其他利益相关者 与新科技成果之间的互动方式问题。 中国受访者也面临着数字 化转型带来的创新风险, 即推出新产品、 服务和流程所产生的 风险 (中国: 19%; 全球: 8%) 。 我们预估到会有这样的情况发 生, 因为四分之一以上的中国受访者想要在数字化转型过程中 进行产品研发或创新。 管理这项风险需要对业务部门进行企业 数字化战略的教育培训
7、, 让其了解创新对其业务运作的影响����。 中国信息通信研究院数据显示,2018年中国数字经济总量达到 31.3万亿元,占中国GDP比重超过三分之一,接近35%。4 鉴 于私营企业在数字化进程中的发展状况, 它们比以往更容易受 到网络安全攻击。 因此, 网络安全是中国企业高管和IT专业人 士面临的另一个重要风险 (中国: 18%; 全球: 29%) 。 在企业数字化转型风险管理能力方面, 认为自己效率极高的中 国企业高管和IT专业人士 (24%) 比例低于全球受访者 (31%) 。 多数中国受访者 (55%) 对此看法不太乐观, 认为在 管理这些风险方面只是略有成效 (全球:������� 40%) 。 ii.
8、最高人民法院工作报告提到,2018年国内各地法院审结互联网相关犯罪案件 达到8907件,包括网络诈骗、非法使用及收集或购买个人信息、网络传销、 利用网络技术窃取商业秘密等案件。 4 虽然大部分中国受访者表示建立�������数字信任是企业优先事项 (中 国: 90%; 全球: 85%) , 但在数字化转型快速发展的情况下, 其风险管理能力有所欠缺。 对企业高管和IT专业人士而言, 他 们最缺乏建立数字信任的能力, 包括不确定如何实现企业转型 目标 (中国: 17%; 全球: 11%) , 不确定未来10年其数字战略 将有何变化 (中国: 15%; 全球: 11%) , 不确定其数字计划将 取得�����怎样的成果 (
9、中国: 14%; 全球: 13%) 。 科技企业集团百度、 阿里巴巴和腾讯正在引领中国的数字化新 趋势, 并颠覆着金融服务业、 零售业和旅游业的发展。 这些互 联网巨头不断打破技术障碍, 传统企业面临压力, 导致一些老 牌企业与时代脱节。 由于88%的中国受访者来自非科技行业, 包括工业制造业、金融服务业或������零售和消费行业,显而易见, 其中部分企业所处的行业受�������到科技巨头的颠覆性影响, 但他们 无法跟上变革的速度, 发现自己对于如何完成企业转型目标或 数字化目标茫然无措。 为了缩短这些差距, 中国企业正逐渐 加强其网络安全计划, 重新规划企业网络安全团队的工作方 式。 一些企业正在考虑将数字创新流
10、程外包给第三方技术服 务供应商, 其他企业正在经历由行业协会(以及监管机构) 推动的数字化转型, 这些举措将强化整体企业生态系统, 并为 企业谋求数字发展提供支持。 图1: 企业业务转型或数字化项目所产生的最严峻风险 数据治理或隐私 推出新产品、 服务和流程所������产生的风险 (创新风险) 网络安全 企业决策失误所产生的风险 (策略风险) 品牌或声誉 4% 12% 28% 11% 19% 8% 18% 29% 7% 11% 中国 全球 5 网络安全计划与业务发展并进 6 当很多企业纷纷主动采用科技主导型商业模式之际, 为了建立 数字信任, 网络安全计划必须要与企业目标相称。 为此, 网络 安全团队需
11、要加快推进企业战略, 了解企业风险承受能力, 而 首要事项是在数字化转型过程中管理风险。 事实上,从一系列衡量指标来看,多数中国受访者的网络安全与 业务发展相配的程度高于全球受访者。83%的受访者表示,其网 络安全团队正嵌入企业的业务当中,他们不仅熟悉业务策略,而 且制定������了支持业务需要的网络安全策略(全球:72%)。83%的 受访者认为,其网络安全团队与其他所有管理企业风险的部门建 立起战略合作关系,防范企业面临的最严峻威胁和风险 (全球: 68%)。81%的受访者认为,其网络安全团队在网络风险和相关 风险问题上能够与董事会和高级管理层进行有效沟通(全球: 70%)。 图2:对以下企业网络安全
�����12、及网络安全团队相关说法的认可程度图2:对以下企业网络安全及网络安全团队相关说法的认可程度 我们的网络安全团队在保障企业生态系统时采用的是基于风险的方法, 而 非就事论事处理问题 网络安全贯穿于运营和研发过程 网络安全团队深入到业务中, 熟悉业务策略并制定支持业务计划的 网络安全策略 我们的网络安全团队与其他所有管理企业风险的部门建立起战略合作伙伴 关系, 防范企业面临的最严峻威胁和风险 我们的网络安全团队在网络风险和相关风险问题上能够与董事会和高级管 理层进行有效沟通 网络安全团队建立起数字信任。 (是指对人员、 流程和科技建立安全数字世界的信心) 企业使用标准框架评估网络安全团队相比同业的能
13、力 网络安全团队在网络威胁情报、 防范和恢复方面使用自动化及新兴科技 全球受访者全球受访者 28%42% 44% 39% 37% 39% 41% 41% 38% 28% 29% 33% 30% 27% 29% 25% 非常同意同意 中国受访者中国受访者 43%43% 18%65������% 31%52% 33%48% 33%45% 30%45% 32%41% 21%48% 同意非常同意 7 iii. 董事会及高级管理层问责制,是“董事和首席风险官”(DCRO,一个由超 过115个国家的2000多位��������企业董事成员构成的组织)发布的网络风险治理 指导原则:董事监督网络安全的原则(Guiding Princip
14、les for Cyber Risk Governance: Principles for Directors in Overseeing Cybersecurity)中列明的 五大原则之一。 图3:企业网络安全团队发展的特定方式 与企业密切合作, 确保网络安全策略与 业务需要保持一致 使用自动化及新兴科技提高能力 加强第三方风险管理 采用基于风险的全局性方法, 与风险部 门密切合作 了解在企业生态系统内部及外部 相关方的�������数据足迹 制定数字策略时考虑未来商业模式中的 潜在变化 更频繁地向董事会汇报网络风险问题 更频繁地向企业首席高管汇报网络 风险问题 8 26% 15% 8% 7% 6% 4%
15、 4% 4% 18% 11% 13% 7% 4% 4% 5% 7% 中国全球 为了实现以战略及业务为导向, 中国网络安全团队采取哪些不同的做法呢? 在问卷中, 我们调查了那些成功转型并满足业务发展需求的企业, 他们对 自己的网络安全团队工作开展方式进行了排序。 选项最多的26%受访者表 示, 其网络安全团队与业务团队密切合作, 确保网络安全策略与业务需要 相配 (全球: 18%) 。 15%的受访者提到, 其团队正在应用自动化及新兴科 技提高网络安全能力 (全球:���� 11%) , 而8%的受访者将加强第三方风险管理 (全球: 13%) 。 然而, 中国企业网络安全团队处于落后的方面是, 频繁地向
16、公司董事会 (中 国: 4%; 全球: 5%) 和企业首席高管 (中国: 4%; 全球: 7%) 。 网络安全团 队必须与董事会和高级管理层一起探讨网络安全风险问题。 这样一来, 董 事会和高级管理层才能承担起公司某些领域的网络风险策略的责任, 例如 为网络安全事件提前做好准备, 应对网络安全事件, 以及提高员工网络安全 意识等。 iii iv. NIST网络安全框架使用通用语言根据业务和组织需求解决和管理网络安全风险,而且不对业务提出额 外的监管要求。受访者使用能力成熟度模型集成(CMMI)的成�����熟度对具体类别进行排序,成熟度按照阶 段式表示法分为五个等级:初始级、管理级、定义级、定量管理级和
17、优化级。本�����报告分别显示排名最高的 两项成熟度结果。 网络安全活动的成熟度 深入了解网络安全团队的哪些做法能更好地与企业目标相配无疑非常重要, 与此同 时, 衡量网络安全团队现有的网络安全措施成熟度同样大有裨益。 此次调研在这方 面对企业进行评价, 评价的依据是美国国家标准与技术研究院 (NIST) 所发布的 网络安全框架5中的具体类别, 包括五个主要网络安全功能: 识别、 保护、 检 测、 响应和恢复。 iv 成熟度方面, 中国网络安全团队在“响应”和“保护”两项功能中成熟度最高, 在 “识别”功能中成熟度最低。 这������一情况堪忧, 因为这说明调研受访者只处于响应状 态, 在风险发生后采取缓解措施
18、, 而未能充分识别风险并防范于未然。 这表明网络 安全团队在识别关键资源和企业情况, 从而根据企业风险管理策略和业务需要促使 企业重点保障网络安全方面较为薄弱。 于是, 网络安全团队只能进行损害控制, 或只 能在侦测到事故后为企业提供支持, 而且对企业的保护方式也只是减弱或遏制事件 的影响。 图4: 企业网络安全活动的成熟度 (中国受访者) 沟通 (响应) 身份管理、 身份验证和访问控制 (保护) 保护性技术 (保护) 供应链风险管理 (识别) 缓解措施 (响应) 数据安全 (保护) 响应计划 (响应) 恢复计划 (恢复) 风险管������理策略 (识别) 资产管理 (识别) 改进 (恢复) 检测流程
19、(检测) 风险评估 (识别) 治理 (识别) 商业环境 (识别) 信息保护流程和程序 (保护) 安全持续监控 (检测) 维护 (保护) 异常现象和事件 (检测) 意识和培训 (保护) 分析 (响应) 12% 16% 11% 9% 7% 7% 8% 7% 7% 7% 6% 7% 9% 7% 5% 5% 5% 3% 4%������� 2% 6% 23% 16% ������17% 17% 18% 17% 14% 15% 13% 14% 14% 11% 9% 11% 12% 11% 11% 9% 11% 12% 7%优化级 定量管理级 9 究其原因, 或许是更少比例的中国受访者(相对其他类别)认 为, 其网络安全团队在保障
20、企业生态系统时采用的是基于风险 的方法, 而不是就事论事处理问题 (中国: 69%; 全球: 63%) (见图2) 。与同业相比, 更少比例的受访者认为其企业采用 NIST网络安全框架等标准框架对网络安全团队的能力进 行评估 (中国: 75%; 全球: 68%) (见图2) 。 采用基于风险的 方法开展网络安全活动, 使用标准框架进行自我管理, 中国网 络安全团队才能充分预测和管理系统、 人员、 资产、 数据以及 性能方面的网络安全问题。 与其他类别相比, 企业高管和IT专业人士认为 ( “识别”���� 功能内 的) “资产管理”类别相对落后, 若要保证与网络安全的一致 性, 则需要识别机构中的实物
21、资产和软件资产。 另外, 过去12 个月内,因此,与其他类别相比,相对较少的中国网络安全 团队参与到企业新产品�����和服务的“安全与隐私”设计当中 (中国64%,全球:60%)(见图5)。 10 中国企业在 ( “识别” 功能内的) “治理” 类别中成熟度也相对 较低, 该类别内容包括识别符合外部法律及监管要求的治理项 目或网络安全政策。 这与事实相符, 过去一年内��������, 相对其他类 别, 较少网络安全团队为了遵循新法规要求而采取跨部门措施 (中国: 60%; 全球: 53%) (见图5) 。 国内网络安全团队必须 清楚中国网络安全监管架构, 并确保现有控制措施与当前及未 来法律法规保持一致。 虽然中华
22、人民共和国网络安全法 已 于2017年6月开始施行, 但是许多法律条文仍有待通过规定和 条例的实施来加以完善和解释。 6 然而, 中国网络安全团队在 ( “响应”功能内的) “沟通”类别 中表现出色, 因此在网络安全问题发生后, 能够有效地管理与 内部和外部利益相关者的沟通。 ( “保护” 功能内的) “数据安 全”类别的成熟度也较高, 公司数据管理得当, 以保障信息的 保密性、 完整性和可用性。 图5: 过去12个月内网络安全团队的成就 提升运营技术安全性 预测与数字计划相������关的新网络风险, 使我 们能够在该风险影响合作伙伴或客户前对 其加以管���理 帮助企业在遭受严重攻击后迅速恢复, 最大程度地
23、降低潜在损失 改善供应链风险管理 帮助企业设计新产品和服务的 “安全与 隐私” 保护 对网络安全漏洞或攻击快速作出响应, 以 免运营遭到重创 为了遵循新法规要求而采取跨部门措施 检测出企业面临的重大网络风险, 防止风 险对运营造成影响 中国全球 81% 69% 67% 60% 80% 68% 64% 58% 66% 49% 55% 53% 67% 56% 60% 49% 11 重要商业启发 过去20年, 数字化转型带动中国企业快速发展, 却导致数 字信任度下降。 为了重新建立数字信任, 网络安全团队需 要从应对重大风险转变为主动识别重大风险, 其中包括: 12 确保网络安全策略与业务发�����展并进
24、这需要网络安全团队加快推进企业战略, 了解企业风险承受能力, 有效管理与数字化������转型相关的企业风 险。 例如, 这或许需要将安全和隐私保护纳入�����到企业新产品和服务中。 遵循基于风险的方法和标准框架, 以加强 “识别” 功能 网络安全团队在从事网络安全活动时, 需要提倡使用基于风险的方法和标准框架解决问题。 如此, 他们可 以加强自身能力, 以识别关键资源和企业情况, 从而根据企业风险管理策略和业务需要促使企业重点保障 网络安全。 13 制定治理计划, 以遵守外部监管要求 使用自动化及新兴科技提高网络安全能力 通过机器学习实现自动化以及使用人工智能、 机器人流程自动化或物联网等新兴科技, 为网络安全
25、团队带 来独特机会, 帮助其提升网络威胁情报、 防范和恢复方面的功能。 网络安全团队有必要制定治理计划, 以满足网络安全、 数据治理和隐私方面的外部监管要求, 在中国尤应 ������如此, 原因在于其战略重要性, 以及该领域发展一日千里。 14 灵活响应和改进 将网络安全作为企业问题处理, 而非将其 归为IT问题 网络风险是整个企业范围内面临的问题, 因此涉及公司董事会、 管理层、 业务部门主管以及IT和安全职能 部门。 网络安全团队需要与董事会和高级管理层共同探讨网络安全风险问题, 以便董事会和高级管理层负 起企业网络风险策略的责任。 为了�������制定适当的网络安全计划, 企业还需要考虑让员工参与其中。 员工
26、可通 过培训和遵守企业标准及指引的方式为网络安全出一份力。7 灵活性是产品或服务开发领域中非常热门的概念之一。 要将灵活性与网络安全计划相结合, 不能只关注技 术本身, 还要重视整个管理流程。 通过追求灵活响应和树立精益求精的文化, 网络安全团队可以在其计划 中实现效率和建立高度信任。 通过这些步骤, 中国网络安全团队可确保其所在企业具 备良好条件, 以利用数字化转型的优势, 同时主动检测 和降低风险。 通过加强防范能力, 网络安全团队能够做 好本分、 未雨绸缪, 提高企业竞争能力, 以免企业因为安 全、 信任和声誉问题而影����响盈利能力。 图6: 中国样本分布情况 (按受访�������者职位划分) *其他包
27、括政府关系部门; 首席风险官/风险管理主管; 副总裁级首席信息安 全官;首席数据官;其他董事会成员;网络/系统管理员;信息安全经理以及 总监。 高级项目/项目经理 首席执行官/总裁/董事总经理 首席运营官 高级顾问/顾问 首席信息官 信息技术经理 信息系统经理 信息安全人员/协调员 首席技术官 信息技术总监 内部审计师 网络/系统工程师 业务部��������门主管 首席财务官/财务总监 信息安全总监 其他* 信息技术主管 14% 11% 7% 6% 5% 2% 2% 2% 12% 9% 7% 5% 3% 2% 2% 2% 10% 15 研究方法 受访者概况如下图所示, 按照行业构成、 受访者职位及年收入 划
28、分。 16 9900万美元或以下 工业制造 5亿美元至9.99亿美元 零售及消费品 500亿美元或以上 医药及生命科学 其他* 1亿美元至4.99亿美元 技术、 通信、 娱乐和媒体 200亿美元至499亿美元 电力及公用��������事业 50亿美元至99亿美元 100亿美元至199亿美元 10亿美元至49亿美元 金融服务 商业服务 工程及建筑 图8: 中国样本分布情况 (按企业全球收入划分) (单位: 美元) 图7: 中国样本分布情况 (按行业划分) 注:由于四舍五入以及排除了“不清楚/不知道”这两类回复,所以并非所有数据之和均为100%。 21% 12% 8% 4% 18% 19% 12% 6% 11%
29、 3% 18% 15% 14% 13% 6% 8% 7% *其他包括汽车,能源(包括石油和天然气���)、运输和物流、航空航天和 国防、化工、林业、造纸和包装以及酒店和休闲。 联系方式: 鸣谢 编辑与撰写 Monica Uttam Sanjukta Mukherjee 项目管理 Monica Uttam 雷国锋 设计师 刘永 尾注 1. 粤港澳大湾区发展规划纲要 , 2019年2月, https:/ www.bayarea.gov.hk/filemanager/en/s������hare/pdf/ Outline_Development_Plan.pdf 2. 实现5G盈利之道 (Making 5G pay)
30、 , 2019年 4月, consulting/publications/making-5g-pay.html 2019 年风险趋势 3.(Risk trends 2019) , 2019年3月, https:/www. them�������es/risk-trends.html 4.2018年中国数字经济总量达到31.3万亿元,2019年5 月, WS5cd0fbb6a3104842260ba445.html 5.五大功能 (The Five Functions) , 2018年8月, https:/ www.nist.gov/cyberframework/online-learning/five- f
31、unctions 6.公安部发布 互联网安全监督检查规定 (Ministry of Public Security Issued Rules on Supervision and Inspection internet Security) , 2018年10月, public�����ations/2018/10/ministry-of-public-security- issued-rules 7. 企业董事会如何能更好地监督网络风险 (How your b������oard can better oversee cyber risk) , 2018年11 月, https:/www.pwc.dk/da/pub
32、likationer/2018/ pwc-how-your-board-can-better-oversee-cybe����r- risk.pdf 北区中区南区 李睿 合伙人 +86 (10) 6533 2312 冼嘉乐 合伙人 +86 (21) 2323 2296 黄景深 合伙人 +852 2289 2719 姚皓轩 合伙人 +86 (10) 6533 7576 张俊贤 合伙人 Tel: +86 (21) 2323 3927 颜国定 合伙人 +852 2289 1935 万彬 合伙人 +86 (21) 2323 8149 简培钦 合伙人 +852 2289 1970 来穆萨 (Ramesh Moosa) 合伙人 +86 (21) 2323 8688 翁泽鸿 合伙人 +86 (20) 3819 2629������ 17 李扬 合伙人 +86 (10) 6533 7800 2019 。版权所有。系指网络中国成员机构,有时也指网络。每家成员机构各自独立。 详情请进入
sgpjbg002
工作日 8:30 - 17:30
报告分类
