數(shù)字信任洞察之中國(guó)報(bào)告

1、2469121517前言數(shù)字化轉(zhuǎn)型帶來的風(fēng)險(xiǎn)網(wǎng)絡(luò)安全計(jì)劃與業(yè)務(wù)發(fā)展并進(jìn)網(wǎng)絡(luò)安全活動(dòng)的成熟度重要商業(yè)啟發(fā)研究方法聯(lián)系方式1前言如今，建立數(shù)字信任，不僅僅是一個(gè)優(yōu)先事項(xiàng)，更是不可或缺 之舉。為了實(shí)現(xiàn)企業(yè)運(yùn)營(yíng)的現(xiàn)代化，并提高運(yùn)營(yíng)速度和效率， 很多企業(yè)正在快速地進(jìn)行著數(shù)字化轉(zhuǎn)型。其結(jié)果是，企業(yè)面臨 的網(wǎng)絡(luò)安全及數(shù)據(jù)隱私風(fēng)險(xiǎn)正在攀升，因此對(duì)全球以及中國(guó)內(nèi) 地企業(yè)來說，建立數(shù)字信任的難度有增無減。中國(guó)在數(shù)字化進(jìn)程高速發(fā)展的同時(shí)，一直在積極推進(jìn)網(wǎng)絡(luò)治 理。今年的“兩會(huì)”提出了要進(jìn)一步加強(qiáng)信息安全，包括加強(qiáng)對(duì) 個(gè)人數(shù)據(jù)搜集行為及國(guó)家網(wǎng)絡(luò)安全建設(shè)的監(jiān)管。此外，粵港 澳大灣區(qū)發(fā)展規(guī)劃綱要也強(qiáng)調(diào)，優(yōu)化改良信息基礎(chǔ)設(shè)

2、施，以 提升網(wǎng)絡(luò)安全保障水平。12自2017年6月1日中華人民共和國(guó)網(wǎng)絡(luò)安全法i正式落實(shí)以 來，監(jiān)管機(jī)構(gòu)一直積極參與中國(guó)的數(shù)字化轉(zhuǎn)型。為進(jìn)一步監(jiān) 管數(shù)字化環(huán)境，監(jiān)管機(jī)構(gòu)還實(shí)施了更加詳細(xì)的規(guī)定和條例， 例如新的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)以及個(gè)人信息出境 安全評(píng)估辦法（征求意見稿）。雖然就數(shù)字化轉(zhuǎn)型而言，其 環(huán)境看似更加嚴(yán)格了，但是詳細(xì)的條例將有助于企業(yè)在制定 其經(jīng)營(yíng)戰(zhàn)略的初期就把法律要求納入考慮。國(guó)家和地方條例 的發(fā)展，促使中國(guó)企業(yè)及其網(wǎng)絡(luò)安全團(tuán)隊(duì)在網(wǎng)絡(luò)活動(dòng)監(jiān)管過 程中發(fā)揮重要作用。為此，網(wǎng)絡(luò)安全團(tuán)隊(duì)需要轉(zhuǎn)變思維模式， 才能支持企業(yè)的戰(zhàn)略目標(biāo)。此外，人工智能、區(qū)塊鏈和云計(jì)算等新興科技已經(jīng)成為

3、不可 忽視的力量。未來數(shù)年內(nèi)，5G 移動(dòng)通信技術(shù)必將取代4G標(biāo) 準(zhǔn)，5G的網(wǎng)速會(huì)快100倍，而且網(wǎng)絡(luò)承載能力則是4G網(wǎng)絡(luò) 的1000 倍，更加有利于這些新興科技的發(fā)展與融合。2面對(duì) 實(shí)現(xiàn)增長(zhǎng)的壓力，企業(yè)在運(yùn)營(yíng)中更傾向于采納這些科技創(chuàng)新。新興科技有助于催生更容易獲取、更具個(gè)性化的產(chǎn)品和 服務(wù)，而在隱私和數(shù)據(jù)保護(hù)方面的要求也會(huì)隨之提高。為了提升數(shù)字信任，風(fēng)險(xiǎn)管理對(duì)于如何負(fù)責(zé)任地使用新興科技 的重視程度越來越高。3考慮到具體國(guó)家法律法規(guī)對(duì)企業(yè)數(shù)字 化轉(zhuǎn)型的影響，企業(yè)逐漸地從一開始就承擔(dān)起這項(xiàng)責(zé)任。企業(yè) 首席高管們積極以身作則，針對(duì)如何處理隱私和數(shù)據(jù)保護(hù)問題 與監(jiān)管機(jī)構(gòu)和政策制定者開展合作。普華永道2

4、019數(shù)字信任洞察之中國(guó)報(bào)告對(duì)中國(guó)內(nèi)地企業(yè) 建立數(shù)字信任的舉措以及企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)為建立數(shù)字信任 所發(fā)揮的作用進(jìn)行了評(píng)估。本報(bào)告旨在為網(wǎng)絡(luò)安全團(tuán)隊(duì)如何通 過企業(yè)網(wǎng)絡(luò)安全建設(shè)提高競(jìng)爭(zhēng)力提供建議。本報(bào)告汲取了全 球數(shù)字信任洞察問卷（過去稱為全球信息安全狀況調(diào)查） 對(duì)來自89 個(gè)國(guó)家和地區(qū)的300 0多位企業(yè)高管和IT專業(yè)人士 展開調(diào)研的成果。中國(guó)報(bào)告代表的是中國(guó)內(nèi)地（以下簡(jiǎn)稱“中 國(guó)”）121位受訪者的觀點(diǎn)。此次調(diào)研在2019年3月至4月之間 進(jìn)行。i. 中華人民共和國(guó)網(wǎng)絡(luò)安全法是為了對(duì)企業(yè)保障數(shù)字信息和防范系統(tǒng)受到網(wǎng) 絡(luò)攻擊進(jìn)行監(jiān)管的最新法規(guī)。3數(shù)字化轉(zhuǎn)型帶來的風(fēng)險(xiǎn)隨著企業(yè)的數(shù)字化轉(zhuǎn)型，中國(guó)私營(yíng)

5、企業(yè)發(fā)展迅速。就企業(yè)預(yù)期 從數(shù)字化進(jìn)程中獲取的價(jià)值而言，32%的受訪者預(yù)計(jì)企業(yè)收 入將會(huì)提高（全球：27%），26%的受訪者希望研發(fā)出新產(chǎn)品 或進(jìn)行產(chǎn)品創(chuàng)新（全球：9%），12%的受訪者則希望提供更好 的客戶體驗(yàn)（全球：16%）。數(shù)字化轉(zhuǎn)型為促進(jìn)企業(yè)發(fā)展和創(chuàng)新帶來了大量機(jī)會(huì)的同時(shí)，也 導(dǎo)致了企業(yè)需要應(yīng)對(duì)轉(zhuǎn)型期間所來帶的特有風(fēng)險(xiǎn)。從中國(guó)企業(yè) 高管和IT專業(yè)人士的角度來看，數(shù)字化進(jìn)程中面臨的最嚴(yán)峻風(fēng) 險(xiǎn)是數(shù)據(jù)治理或隱私問題（中國(guó)：28%；全球：11%）。中國(guó)企 業(yè)普遍對(duì)數(shù)據(jù)收集和傳輸存在顧慮，而加強(qiáng)信息安全和對(duì)個(gè) 人數(shù)據(jù)收集的保護(hù)是國(guó)家戰(zhàn)略重點(diǎn)。ii企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)需要解決客戶、員工及企業(yè)其他利益

6、相關(guān)者 與新科技成果之間的互動(dòng)方式問題。中國(guó)受訪者也面臨著數(shù)字 化轉(zhuǎn)型帶來的創(chuàng)新風(fēng)險(xiǎn)，即推出新產(chǎn)品、服務(wù)和流程所產(chǎn)生的 風(fēng)險(xiǎn)（中國(guó)：19%；全球：8%）。我們預(yù)估到會(huì)有這樣的情況發(fā) 生，因?yàn)樗姆种灰陨系闹袊?guó)受訪者想要在數(shù)字化轉(zhuǎn)型過程中 進(jìn)行產(chǎn)品研發(fā)或創(chuàng)新。管理這項(xiàng)風(fēng)險(xiǎn)需要對(duì)業(yè)務(wù)部門進(jìn)行企業(yè) 數(shù)字化戰(zhàn)略的教育培訓(xùn)，讓其了解創(chuàng)新對(duì)其業(yè)務(wù)運(yùn)作的影響。中國(guó)信息通信研究院數(shù)據(jù)顯示，2018年中國(guó)數(shù)字經(jīng)濟(jì)總量達(dá)到 31.3萬億元，占中國(guó)GDP比重超過三分之一，接近35%。4 鑒 于私營(yíng)企業(yè)在數(shù)字化進(jìn)程中的發(fā)展?fàn)顩r，它們比以往更容易受 到網(wǎng)絡(luò)安全攻擊。因此，網(wǎng)絡(luò)安全是中國(guó)企業(yè)高管和IT專業(yè)人 士面臨的另一

7、個(gè)重要風(fēng)險(xiǎn)（中國(guó)：18%；全球：29%）。在企業(yè)數(shù)字化轉(zhuǎn)型風(fēng)險(xiǎn)管理能力方面，認(rèn)為自己效率極高的中 國(guó)企業(yè)高管和IT專業(yè)人士（24%）比例低于全球受訪者（31%）。多數(shù)中國(guó)受訪者（55%）對(duì)此看法不太樂觀，認(rèn)為在 管理這些風(fēng)險(xiǎn)方面只是略有成效（全球：40%）。ii. 最高人民法院工作報(bào)告提到，2018年國(guó)內(nèi)各地法院審結(jié)互聯(lián)網(wǎng)相關(guān)犯罪案件 達(dá)到8907件，包括網(wǎng)絡(luò)詐騙、非法使用及收集或購(gòu)買個(gè)人信息、網(wǎng)絡(luò)傳銷、 利用網(wǎng)絡(luò)技術(shù)竊取商業(yè)秘密等案件。4雖然大部分中國(guó)受訪者表示建立數(shù)字信任是企業(yè)優(yōu)先事項(xiàng)（中 國(guó)：90%；全球：85%），但在數(shù)字化轉(zhuǎn)型快速發(fā)展的情況下， 其風(fēng)險(xiǎn)管理能力有所欠缺。對(duì)企業(yè)高管和I

8、T專業(yè)人士而言，他 們最缺乏建立數(shù)字信任的能力，包括不確定如何實(shí)現(xiàn)企業(yè)轉(zhuǎn)型 目標(biāo)（中國(guó)：17%；全球：11%），不確定未來10年其數(shù)字戰(zhàn)略 將有何變化（中國(guó)：15%；全球：11%），不確定其數(shù)字計(jì)劃將 取得怎樣的成果（中國(guó)：14%；全球：13%）?？萍计髽I(yè)集團(tuán)百度、阿里巴巴和騰訊正在引領(lǐng)中國(guó)的數(shù)字化新 趨勢(shì)，并顛覆著金融服務(wù)業(yè)、零售業(yè)和旅游業(yè)的發(fā)展。這些互 聯(lián)網(wǎng)巨頭不斷打破技術(shù)障礙，傳統(tǒng)企業(yè)面臨壓力，導(dǎo)致一些老 牌企業(yè)與時(shí)代脫節(jié)。由于88%的中國(guó)受訪者來自非科技行業(yè)， 包括工業(yè)制造業(yè)、金融服務(wù)業(yè)或零售和消費(fèi)行業(yè)，顯而易見，其中部分企業(yè)所處的行業(yè)受到科技巨頭的顛覆性影響，但他們 無法跟上變革的速

9、度，發(fā)現(xiàn)自己對(duì)于如何完成企業(yè)轉(zhuǎn)型目標(biāo)或 數(shù)字化目標(biāo)茫然無措。為了縮短這些差距，中國(guó)企業(yè)正逐漸 加強(qiáng)其網(wǎng)絡(luò)安全計(jì)劃，重新規(guī)劃企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)的工作方 式。一些企業(yè)正在考慮將數(shù)字創(chuàng)新流程外包給第三方技術(shù)服 務(wù)供應(yīng)商，其他企業(yè)正在經(jīng)歷由行業(yè)協(xié)會(huì)（以及監(jiān)管機(jī)構(gòu)） 推動(dòng)的數(shù)字化轉(zhuǎn)型，這些舉措將強(qiáng)化整體企業(yè)生態(tài)系統(tǒng)，并為 企業(yè)謀求數(shù)字發(fā)展提供支持。圖1：企業(yè)業(yè)務(wù)轉(zhuǎn)型或數(shù)字化項(xiàng)目所產(chǎn)生的最嚴(yán)峻風(fēng)險(xiǎn)數(shù)據(jù)治理或隱私推出新產(chǎn)品、服務(wù)和流程所產(chǎn)生的風(fēng)險(xiǎn)（創(chuàng)新風(fēng)險(xiǎn)）網(wǎng)絡(luò)安全企業(yè)決策失誤所產(chǎn)生的風(fēng)險(xiǎn)（策略風(fēng)險(xiǎn)）品牌或聲譽(yù)4%12%28%11%19%8%18%29%7%11%中國(guó)全球5網(wǎng)絡(luò)安全計(jì)劃與業(yè)務(wù)發(fā)展并進(jìn)6當(dāng)很多企

10、業(yè)紛紛主動(dòng)采用科技主導(dǎo)型商業(yè)模式之際，為了建立 數(shù)字信任，網(wǎng)絡(luò)安全計(jì)劃必須要與企業(yè)目標(biāo)相稱。為此，網(wǎng)絡(luò) 安全團(tuán)隊(duì)需要加快推進(jìn)企業(yè)戰(zhàn)略，了解企業(yè)風(fēng)險(xiǎn)承受能力，而 首要事項(xiàng)是在數(shù)字化轉(zhuǎn)型過程中管理風(fēng)險(xiǎn)。事實(shí)上，從一系列衡量指標(biāo)來看，多數(shù)中國(guó)受訪者的網(wǎng)絡(luò)安全與 業(yè)務(wù)發(fā)展相配的程度高于全球受訪者。83%的受訪者表示，其網(wǎng) 絡(luò)安全團(tuán)隊(duì)正嵌入企業(yè)的業(yè)務(wù)當(dāng)中，他們不僅熟悉業(yè)務(wù)策略，而 且制定了支持業(yè)務(wù)需要的網(wǎng)絡(luò)安全策略（全球：72%）。83%的 受訪者認(rèn)為，其網(wǎng)絡(luò)安全團(tuán)隊(duì)與其他所有管理企業(yè)風(fēng)險(xiǎn)的部門建 立起戰(zhàn)略合作關(guān)系，防范企業(yè)面臨的最嚴(yán)峻威脅和風(fēng)險(xiǎn) （全球： 68%）。81%的受訪者認(rèn)為，其網(wǎng)絡(luò)安全團(tuán)隊(duì)在

11、網(wǎng)絡(luò)風(fēng)險(xiǎn)和相關(guān) 風(fēng)險(xiǎn)問題上能夠與董事會(huì)和高級(jí)管理層進(jìn)行有效溝通（全球： 70%）。圖2：對(duì)以下企業(yè)網(wǎng)絡(luò)安全及網(wǎng)絡(luò)安全團(tuán)隊(duì)相關(guān)說法的認(rèn)可程度我們的網(wǎng)絡(luò)安全團(tuán)隊(duì)在保障企業(yè)生態(tài)系統(tǒng)時(shí)采用的是基于風(fēng)險(xiǎn)的方法，而 非就事論事處理問題網(wǎng)絡(luò)安全貫穿于運(yùn)營(yíng)和研發(fā)過程網(wǎng)絡(luò)安全團(tuán)隊(duì)深入到業(yè)務(wù)中，熟悉業(yè)務(wù)策略并制定支持業(yè)務(wù)計(jì)劃的 網(wǎng)絡(luò)安全策略我們的網(wǎng)絡(luò)安全團(tuán)隊(duì)與其他所有管理企業(yè)風(fēng)險(xiǎn)的部門建立起戰(zhàn)略合作伙伴 關(guān)系，防范企業(yè)面臨的最嚴(yán)峻威脅和風(fēng)險(xiǎn)我們的網(wǎng)絡(luò)安全團(tuán)隊(duì)在網(wǎng)絡(luò)風(fēng)險(xiǎn)和相關(guān)風(fēng)險(xiǎn)問題上能夠與董事會(huì)和高級(jí)管 理層進(jìn)行有效溝通網(wǎng)絡(luò)安全團(tuán)隊(duì)建立起數(shù)字信任。（是指對(duì)人員、流程和科技建立安全數(shù)字世界的信心）企業(yè)使用標(biāo)準(zhǔn)框架評(píng)

12、估網(wǎng)絡(luò)安全團(tuán)隊(duì)相比同業(yè)的能力網(wǎng)絡(luò)安全團(tuán)隊(duì)在網(wǎng)絡(luò)威脅情報(bào)、防范和恢復(fù)方面使用自動(dòng)化及新興科技全球受訪者28%42%44%39%37%39%41%41%38%28%29%33%30%27%29%25%非常同意同意中國(guó)受訪者43%43%18%65%31%52%33%48%33%45%30%45%32%41%21%48%同意非常同意7iii. 董事會(huì)及高級(jí)管理層問責(zé)制，是“董事和首席風(fēng)險(xiǎn)官”（DCRO，一個(gè)由超 過115個(gè)國(guó)家的2000多位企業(yè)董事成員構(gòu)成的組織）發(fā)布的網(wǎng)絡(luò)風(fēng)險(xiǎn)治理 指導(dǎo)原則：董事監(jiān)督網(wǎng)絡(luò)安全的原則（Guiding Principles for Cyber Risk Governanc

13、e: Principles for Directors in Overseeing Cybersecurity）中列明的 五大原則之一。圖3：企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)發(fā)展的特定方式與企業(yè)密切合作，確保網(wǎng)絡(luò)安全策略與業(yè)務(wù)需要保持一致使用自動(dòng)化及新興科技提高能力加強(qiáng)第三方風(fēng)險(xiǎn)管理采用基于風(fēng)險(xiǎn)的全局性方法，與風(fēng)險(xiǎn)部門密切合作了解在企業(yè)生態(tài)系統(tǒng)內(nèi)部及外部相關(guān)方的數(shù)據(jù)足跡制定數(shù)字策略時(shí)考慮未來商業(yè)模式中的潛在變化更頻繁地向董事會(huì)匯報(bào)網(wǎng)絡(luò)風(fēng)險(xiǎn)問題更頻繁地向企業(yè)首席高管匯報(bào)網(wǎng)絡(luò)風(fēng)險(xiǎn)問題826%15%8%7%6%4%4%4%18%11%13%7%4%4%5%7%中國(guó)全球?yàn)榱藢?shí)現(xiàn)以戰(zhàn)略及業(yè)務(wù)為導(dǎo)向，中國(guó)網(wǎng)絡(luò)安全團(tuán)隊(duì)采取

14、哪些不同的做法呢？ 在問卷中，我們調(diào)查了那些成功轉(zhuǎn)型并滿足業(yè)務(wù)發(fā)展需求的企業(yè)，他們對(duì) 自己的網(wǎng)絡(luò)安全團(tuán)隊(duì)工作開展方式進(jìn)行了排序。選項(xiàng)最多的26%受訪者表 示，其網(wǎng)絡(luò)安全團(tuán)隊(duì)與業(yè)務(wù)團(tuán)隊(duì)密切合作，確保網(wǎng)絡(luò)安全策略與業(yè)務(wù)需要 相配（全球： 18%）。15%的受訪者提到，其團(tuán)隊(duì)正在應(yīng)用自動(dòng)化及新興科 技提高網(wǎng)絡(luò)安全能力（全球：11%），而8%的受訪者將加強(qiáng)第三方風(fēng)險(xiǎn)管理（全球：13%）。然而，中國(guó)企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)處于落后的方面是，頻繁地向公司董事會(huì)（中 國(guó)：4%；全球：5%）和企業(yè)首席高管（中國(guó)：4%；全球：7%）。網(wǎng)絡(luò)安全團(tuán) 隊(duì)必須與董事會(huì)和高級(jí)管理層一起探討網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問題。這樣一來，董 事會(huì)和高

15、級(jí)管理層才能承擔(dān)起公司某些領(lǐng)域的網(wǎng)絡(luò)風(fēng)險(xiǎn)策略的責(zé)任，例如 為網(wǎng)絡(luò)安全事件提前做好準(zhǔn)備，應(yīng)對(duì)網(wǎng)絡(luò)安全事件，以及提高員工網(wǎng)絡(luò)安全 意識(shí)等。iii溝通（響應(yīng)）12%23%改進(jìn)（恢復(fù)）16%16%數(shù)據(jù)安全（保護(hù)）11%17%深入了解網(wǎng)絡(luò)安全團(tuán)隊(duì)的哪些做法能更好地與企業(yè)目標(biāo)相配無疑非常重要，與此同信息保護(hù)流程和程序（保護(hù)）9%17%能在偵測(cè)到事故后為企業(yè)提供支持，而且對(duì)企業(yè)的保護(hù)方式也只是減弱或遏制事件風(fēng)險(xiǎn)評(píng)估（識(shí)別）6%14%的影響?；謴?fù)計(jì)劃（恢復(fù)）7%11%維護(hù)（保護(hù)）9%9%供應(yīng)鏈風(fēng)險(xiǎn)管理（識(shí)別）7%11%治理（識(shí)別）5%12%風(fēng)險(xiǎn)管理策略（識(shí)別）6%11%異?，F(xiàn)象和事件（檢測(cè)）5%11%緩解措施

16、（響應(yīng)）5%9%商業(yè)環(huán)境（識(shí)別）3%11%資產(chǎn)管理（識(shí)別）2%12%定量管理級(jí)意識(shí)和培訓(xùn)（保護(hù)）4%7%優(yōu)化級(jí)iv. NIST網(wǎng)絡(luò)安全框架使用通用語言根據(jù)業(yè)務(wù)和組織需求解決和管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，而且不對(duì)業(yè)務(wù)提出額 外的監(jiān)管要求。受訪者使用能力成熟度模型集成（CMMI）的成熟度對(duì)具體類別進(jìn)行排序，成熟度按照階 段式表示法分為五個(gè)等級(jí)：初始級(jí)、管理級(jí)、定義級(jí)、定量管理級(jí)和優(yōu)化級(jí)。本報(bào)告分別顯示排名最高的 兩項(xiàng)成熟度結(jié)果。網(wǎng)絡(luò)安全活動(dòng)的成熟度時(shí)，衡量網(wǎng)絡(luò)安全團(tuán)隊(duì)現(xiàn)有的網(wǎng)絡(luò)安全措施成熟度同樣大有裨益。此次調(diào)研在這方 面對(duì)企業(yè)進(jìn)行評(píng)價(jià)，評(píng)價(jià)的依據(jù)是美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）所發(fā)布的網(wǎng)絡(luò)安全框架5

17、中的具體類別，包括五個(gè)主要網(wǎng)絡(luò)安全功能：識(shí)別、保護(hù)、檢 測(cè)、響應(yīng)和恢復(fù)。iv成熟度方面，中國(guó)網(wǎng)絡(luò)安全團(tuán)隊(duì)在“響應(yīng)”和“保護(hù)”兩項(xiàng)功能中成熟度最高，在 “識(shí)別”功能中成熟度最低。這一情況堪憂，因?yàn)檫@說明調(diào)研受訪者只處于響應(yīng)狀 態(tài)，在風(fēng)險(xiǎn)發(fā)生后采取緩解措施，而未能充分識(shí)別風(fēng)險(xiǎn)并防范于未然。這表明網(wǎng)絡(luò) 安全團(tuán)隊(duì)在識(shí)別關(guān)鍵資源和企業(yè)情況，從而根據(jù)企業(yè)風(fēng)險(xiǎn)管理策略和業(yè)務(wù)需要促使 企業(yè)重點(diǎn)保障網(wǎng)絡(luò)安全方面較為薄弱。于是，網(wǎng)絡(luò)安全團(tuán)隊(duì)只能進(jìn)行損害控制，或只圖4：企業(yè)網(wǎng)絡(luò)安全活動(dòng)的成熟度（中國(guó)受訪者）保護(hù)性技術(shù)（保護(hù)）響應(yīng)計(jì)劃（響應(yīng)）檢測(cè)流程（檢測(cè)）安全持續(xù)監(jiān)控（檢測(cè)）分析（響應(yīng)）身份管理、身份驗(yàn)證和訪問控制

18、（保護(hù)）7%7%8%7%7%7%18%17%14%15%13%14%9究其原因，或許是更少比例的中國(guó)受訪者（相對(duì)其他類別）認(rèn) 為，其網(wǎng)絡(luò)安全團(tuán)隊(duì)在保障企業(yè)生態(tài)系統(tǒng)時(shí)采用的是基于風(fēng)險(xiǎn) 的方法，而不是就事論事處理問題（中國(guó)：69%；全球：63%）（見圖2）。與同業(yè)相比，更少比例的受訪者認(rèn)為其企業(yè)采用 NIST網(wǎng)絡(luò)安全框架等標(biāo)準(zhǔn)框架對(duì)網(wǎng)絡(luò)安全團(tuán)隊(duì)的能力進(jìn) 行評(píng)估（中國(guó)：75%；全球：68%）（見圖2）。采用基于風(fēng)險(xiǎn)的方法開展網(wǎng)絡(luò)安全活動(dòng)，使用標(biāo)準(zhǔn)框架進(jìn)行自我管理，中國(guó)網(wǎng) 絡(luò)安全團(tuán)隊(duì)才能充分預(yù)測(cè)和管理系統(tǒng)、人員、資產(chǎn)、數(shù)據(jù)以及 性能方面的網(wǎng)絡(luò)安全問題。與其他類別相比，企業(yè)高管和IT專業(yè)人士認(rèn)為（“識(shí)別

19、”功能內(nèi) 的）“資產(chǎn)管理”類別相對(duì)落后，若要保證與網(wǎng)絡(luò)安全的一致 性，則需要識(shí)別機(jī)構(gòu)中的實(shí)物資產(chǎn)和軟件資產(chǎn)。另外，過去12 個(gè)月內(nèi)，因此，與其他類別相比，相對(duì)較少的中國(guó)網(wǎng)絡(luò)安全 團(tuán)隊(duì)參與到企業(yè)新產(chǎn)品和服務(wù)的“安全與隱私”設(shè)計(jì)當(dāng)中（中國(guó)64%，全球：60%）（見圖5）。10中國(guó)企業(yè)在（“識(shí)別”功能內(nèi)的）“治理”類別中成熟度也相對(duì) 較低，該類別內(nèi)容包括識(shí)別符合外部法律及監(jiān)管要求的治理項(xiàng) 目或網(wǎng)絡(luò)安全政策。這與事實(shí)相符，過去一年內(nèi)，相對(duì)其他類 別，較少網(wǎng)絡(luò)安全團(tuán)隊(duì)為了遵循新法規(guī)要求而采取跨部門措施（中國(guó)：60%；全球：53%）（見圖5）。國(guó)內(nèi)網(wǎng)絡(luò)安全團(tuán)隊(duì)必須清楚中國(guó)網(wǎng)絡(luò)安全監(jiān)管架構(gòu)，并確保現(xiàn)有控制措

20、施與當(dāng)前及未 來法律法規(guī)保持一致。雖然中華人民共和國(guó)網(wǎng)絡(luò)安全法已 于2017年6月開始施行，但是許多法律條文仍有待通過規(guī)定和 條例的實(shí)施來加以完善和解釋。6然而，中國(guó)網(wǎng)絡(luò)安全團(tuán)隊(duì)在（“響應(yīng)”功能內(nèi)的）“溝通”類別 中表現(xiàn)出色，因此在網(wǎng)絡(luò)安全問題發(fā)生后，能夠有效地管理與 內(nèi)部和外部利益相關(guān)者的溝通。（“保護(hù)”功能內(nèi)的）“數(shù)據(jù)安 全”類別的成熟度也較高，公司數(shù)據(jù)管理得當(dāng)，以保障信息的 保密性、完整性和可用性。圖5：過去12個(gè)月內(nèi)網(wǎng)絡(luò)安全團(tuán)隊(duì)的成就提升運(yùn)營(yíng)技術(shù)安全性預(yù)測(cè)與數(shù)字計(jì)劃相關(guān)的新網(wǎng)絡(luò)風(fēng)險(xiǎn)，使我 們能夠在該風(fēng)險(xiǎn)影響合作伙伴或客戶前對(duì)其加以管理幫助企業(yè)在遭受嚴(yán)重攻擊后迅速恢復(fù)，最大程度地降低潛在

21、損失改善供應(yīng)鏈風(fēng)險(xiǎn)管理幫助企業(yè)設(shè)計(jì)新產(chǎn)品和服務(wù)的“安全與隱私”保護(hù)對(duì)網(wǎng)絡(luò)安全漏洞或攻擊快速作出響應(yīng)，以免運(yùn)營(yíng)遭到重創(chuàng)為了遵循新法規(guī)要求而采取跨部門措施檢測(cè)出企業(yè)面臨的重大網(wǎng)絡(luò)風(fēng)險(xiǎn)，防止風(fēng)險(xiǎn)對(duì)運(yùn)營(yíng)造成影響中國(guó)全球81%69%67%60%80%68%64%58%66%49%55%53%67%56%60%49%11重要商業(yè)啟發(fā)過去20年，數(shù)字化轉(zhuǎn)型帶動(dòng)中國(guó)企業(yè)快速發(fā)展，卻導(dǎo)致數(shù) 字信任度下降。為了重新建立數(shù)字信任，網(wǎng)絡(luò)安全團(tuán)隊(duì)需 要從應(yīng)對(duì)重大風(fēng)險(xiǎn)轉(zhuǎn)變?yōu)橹鲃?dòng)識(shí)別重大風(fēng)險(xiǎn)，其中包括：12確保網(wǎng)絡(luò)安全策略與業(yè)務(wù)發(fā)展并進(jìn)這需要網(wǎng)絡(luò)安全團(tuán)隊(duì)加快推進(jìn)企業(yè)戰(zhàn)略，了解企業(yè)風(fēng)險(xiǎn)承受能力，有效管理與數(shù)字化轉(zhuǎn)型相關(guān)的企業(yè)

22、風(fēng) 險(xiǎn)。例如，這或許需要將安全和隱私保護(hù)納入到企業(yè)新產(chǎn)品和服務(wù)中。遵循基于風(fēng)險(xiǎn)的方法和標(biāo)準(zhǔn)框架，以加強(qiáng)“識(shí)別”功能網(wǎng)絡(luò)安全團(tuán)隊(duì)在從事網(wǎng)絡(luò)安全活動(dòng)時(shí)，需要提倡使用基于風(fēng)險(xiǎn)的方法和標(biāo)準(zhǔn)框架解決問題。如此，他們可 以加強(qiáng)自身能力，以識(shí)別關(guān)鍵資源和企業(yè)情況，從而根據(jù)企業(yè)風(fēng)險(xiǎn)管理策略和業(yè)務(wù)需要促使企業(yè)重點(diǎn)保障 網(wǎng)絡(luò)安全。13制定治理計(jì)劃，以遵守外部監(jiān)管要求使用自動(dòng)化及新興科技提高網(wǎng)絡(luò)安全能力通過機(jī)器學(xué)習(xí)實(shí)現(xiàn)自動(dòng)化以及使用人工智能、機(jī)器人流程自動(dòng)化或物聯(lián)網(wǎng)等新興科技，為網(wǎng)絡(luò)安全團(tuán)隊(duì)帶 來獨(dú)特機(jī)會(huì)，幫助其提升網(wǎng)絡(luò)威脅情報(bào)、防范和恢復(fù)方面的功能。網(wǎng)絡(luò)安全團(tuán)隊(duì)有必要制定治理計(jì)劃，以滿足網(wǎng)絡(luò)安全、數(shù)據(jù)治理和隱私方

23、面的外部監(jiān)管要求，在中國(guó)尤應(yīng) 如此，原因在于其戰(zhàn)略重要性，以及該領(lǐng)域發(fā)展一日千里。14靈活響應(yīng)和改進(jìn)將網(wǎng)絡(luò)安全作為企業(yè)問題處理，而非將其 歸為IT問題網(wǎng)絡(luò)風(fēng)險(xiǎn)是整個(gè)企業(yè)范圍內(nèi)面臨的問題，因此涉及公司董事會(huì)、管理層、業(yè)務(wù)部門主管以及IT和安全職能 部門。網(wǎng)絡(luò)安全團(tuán)隊(duì)需要與董事會(huì)和高級(jí)管理層共同探討網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問題，以便董事會(huì)和高級(jí)管理層負(fù) 起企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)策略的責(zé)任。為了制定適當(dāng)?shù)木W(wǎng)絡(luò)安全計(jì)劃，企業(yè)還需要考慮讓員工參與其中。員工可通 過培訓(xùn)和遵守企業(yè)標(biāo)準(zhǔn)及指引的方式為網(wǎng)絡(luò)安全出一份力。7靈活性是產(chǎn)品或服務(wù)開發(fā)領(lǐng)域中非常熱門的概念之一。要將靈活性與網(wǎng)絡(luò)安全計(jì)劃相結(jié)合，不能只關(guān)注技 術(shù)本身，還要重視整個(gè)管理流程。通過追求靈活響應(yīng)和樹立精益求精