0
一位网络安全权威曾经说过,“作为网络安全权威,我不想破坏安全的必要性。但是,每个人都必须正确认识一个客观事实。安全性的必要性不如特性,特性的必要性不如它的功能。”无论是网络安全与信息管理,还是信息管理与网络安全,市场拓展始终是企业的重中之重。
因此,招标人的网络安全人员在企业内部的相对影响力相对较低。即使在金融机构等安全要求非常高的领域,网络安全也不得不为了易用性而妥协。即使实施《中华人民共和国网络安全法》(以下简称《网络安全法》),这种情况也不会也不可能改变。只是...
在边肖看来,《网络安全法》不仅要求责任人承担法律法规责任和义务,还有一个非常重要的现实意义,那就是提高各界人士的网络安全观念。这意味着招标方的安全精英团队期待解决那种运行状态。
这里有个笑话。但毫无疑问,招标方的网络安全精英团队的影响力无疑会得到一定程度的提升,因为随着互联网运营商的法律依据《网络安全法》的到来。
在《网络安全法》第六章的法律依据中可以看到,无论是企业还是承担企业网络安全的人员(如最高安全官,CSO)违反相关要求后,都将遭受所需的罚款,罚款金额从数万元到百万元不等。
从法律依据和网络安全的必要性来看,申请加薪是正当的。
一个
虽然相关法律规定不是很明确,但鲜为人知的是,《网络安全法》的法律认可度早已很突出。
近日,汕头网警对汕头某网络科技有限责任公司给予警告处罚,并责令其按照规定整改。原因是该公司违反了《网络安全法》第十四条第一款的要求,三类保险每年至少应评估一次。2015年平等保险三级评估后,公司至今未进行平等保险评估。
据了解,它是第一个可以适用网络安全法的行政案件,非常非常值得其他企业借鉴。
由此可见,在招标方尤其是CSO的安全精英团队的影响,以及薪资上涨后,工作压力也会增大。
2
毫无疑问,这个案子以后还会继续发生,警告和责令整改不会是终点。《网络安全法》第六章的部分法律依据基本要求,对于未能改正或者造成网络安全等不良影响的,对企业及其责任人处以一定数额的罚款。
所以在这种情况下,如果企业在规定的时间内进行了等保评估,自然是可以的,只是行政许可。如果超过规定时间或者在等级保护不全期间企业网站被黑,造成客户资料泄露等不良影响,那么根据《网络安全法》第五十九条的要求,可以对企业处以一万元以上十万元以下的罚款,对负责人处以五千元以上五万元以下的罚款。
一个企业被罚几万元不是特别难受,但是我被罚几万元不是特别舒服。在C3安全峰会上,亚信安全通用安全产品展总经理刘正平半开玩笑地说,“CSO可以申请加薪来抵消这些罚款,自然可以从申请费中报销罚款。”
亚信安全通用安全产品展总经理刘正平
三
另外,我们还可以假设一种情况,假设这个汕头企业在要求的时间内完成了等保评估。如果等保评估后企业没有问题,自然一切顺利;如果保险公估后出了大事,就该说说了。
这里有两种情况:第一种是企业按照等级保护的规定进行运维管理,但遇到0天或其他高级威胁时别无选择;二是没有按照等级保护规定进行运维管理。比如关闭安全防护设备,不保存日志或者进行财务审计,那么很有可能是低级攻击很有可能攻击企业。像加工厂的废水处理系统软件,很多“黑厂”都是在检查的情况下打开废水处理系统软件,但是没人检查,又关闭了。毕竟网络安全的机器设备和污水处理系统的软件是一样的,运维管理肯定要花时间和经济开发成本。
针对这两种情况,亚信通用安全产品展示经理童宁觉得,相关检测机构必须对安全生产事故进行证据调查和追溯分析,才能获得有效的判别。只是现阶段没有相关的例子和法律规定,如何处罚涉事企业还不好说。
亚信安防通用安防产品展示经理童宁
顺便安利一下,亚信创新的调查取证飞机黑匣子,在证据调查和追踪方面是业界数一数二的。
回到刚才的假设,其实不管是什么情况,企业的损害及其不良影响已经无法预防。
四
所以现在一些网络安全企业已经选择了金融行业的方式,根据保险理赔的引入来迁移风险,留存企业一定的财产损失,为自己的商品工作能力和服务能力做功课。例如,涂画宣布推出网络信息安全保险,安恒宣布推出全面的网络信息安全保险。正好两家都是杭州的企业。
自然,无论是哪种商业保险,其基本的域模型都是非常相似的:客户在考虑合规规定和所在企业的网络信息安全规范后,仍然发生网络信息安全事故,经安全企业和车险公司评估后,可以享受一定的保险赔付。但尚未成立的例子,实际的关键点还不得而知。
但也可以理解为,这样的保险理赔并不具有普遍性,因为车险公司并不容易接受无限量的保险理赔合同。对于一些大中型央企、国企来说,一旦发生网络信息安全恶性事件,损失可能不可估量,甚至达到数十亿美元,保险赔付可以说是九牛一毛。不过这种保险赔付更适合一些中小企业。
那我该怎么办?童宁给出了一个非常有趣的答案。
虽然企业经济发展的风险不太好,但是按照商业保险来转移我的网络安全风险还是比较容易的。比如上一条提到的法律依据,CSO因企业管理不合规被行政部门罚款,让他自己背有点不合适。当然,企业应该支持他们。那么,安全企业与车险公司合作发行责任人网络安全责任险,是不是在相对性上对客户更有一点吸引力?这个保险金额不容易大。可以用来盖罚款,对任何一方来说都比较容易认。比如在劳动合同中要求,如果CSO因为企业网络安全事故被迫辞职,企业必须给予一定的经济补偿,类似的商业保险可以覆盖费用。
五
总的来说,无论是CSO加薪还是保险赔付,关键环节还是要看义务。从源头上了解网络安全的必要性和自身的义务,在一定层面上提高网络安全的观念,比掌握网络安全产品的最佳技术更重要。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)