5月13日,公安部正式发布《信息安全技术网络安全等级保护基本要求》(以下简称等保2.0)等国家标准,这也预示着我国已将信息安全提升到了更高的层次。时隔一个月,中企网络通信技术有限公司(简称“中企通信”)于6月13日举办标题为“安全·合规·赋能——‘等保2.0’时代的企业信息安全战略”的等保2.0解读会,全方位的对等保2.0进行阐述。2019年12月1日,等保2.0将正式实施,届时企业又将如何应对?
等保2.0有哪些改变 如何帮助企业对等保2.0进行合规
如今随着等保2.0的到来,几乎所有与信息相关的企业都值得关注。其中最重要的一个变化是在网络安全法第21条、第31条明确规定了网络运营者和关键信息基础设施运营者,都应该按网络安全等级保护制度的要求对系统进行安全保护,这意味着将以法律形式确定等级保护工作为国家网络安全的基本国策,并在法律层面确立了其在网络安全领域的基础、核心地位。
另一方面等保2.0对覆盖范围进行了全升级,对保护对象进行全覆盖,更具普适性与指导性,同时对相关技术应用进行了拓展覆盖,如工控、云计算、大数据、物联网、移动互联等,更适应当前信息化高速发展所面临的新问题与新挑战。
中企通信首席信息及创新总裁邝伟基
对此中企通信首席信息及创新总裁邝伟基认为:“虽然等保2.0还比较新,但我们在做了大量研究后发现,在流程上与等保1.0相差不大。最主要的核心是新技术加入,如IoT、大数据、移动物联网等,如果客户有用到这些新技术,我们会帮助他们在这方面进行相应的升级。”
“此外,等保2.0非常看重长期性培训,需要将信息安全提升到公司的战略高度。以我们自己为例,由于中企通信本身是信息安全的专家,因此我们对于信息安全要求也放在了一个较高的层面。每个入职公司的同事,每年都需要做相关培训,了解如GDPR、PIS或者基本信息安全等。培训的目的是要求公司的同事具有基本的安全概念。毕竟绝大部分信息安全事件,都是由人为的错误所导致。”
中企通信销售总经理(南中国区 )郭远达
中企通信销售总经理(南中国区 )郭远达对此进行了补充,“在明确等保1.0与2.0的区别在哪后,我们会根据这个对比,在解决方案、落地及具体的服务方面直接帮助企业解决问题。另外,由于2.0覆盖的行业更多,因此对于许多企业而言,或许没有1.0的经验,直接便升级到2.0,这等同于企业要一次性把1.0与2.0中的所有要求都完成,对于没有经验的企业而言是非常困难的。因此这时要看供应商是否能将等保2.0吃透,是否能够给出一个较好的解决方案及后续的跟进服务帮助企业根据等保2.0进行合规。”
合规等保2.0 中企通信已经静候多时
等保2.0的落地属于安全政策上的变化,在影响力上可能超过之前的网络安全法。同时,由于等保2.0的新增要求,其所对应的产品类型及服务领域有所增加,市场容量也将随之扩大。对于许多企业而言,等保2.0不仅意味着企业需要在法务上对信息安全进行考量,同时也为一些企业带来了许多新的商机。
郭远达表示等保对于中企通信是个非常好的机会,“单从等保1.0来看,中企通信已经有许多的机会。而在等保2.0,由于囊括了更多的行业,对我们而言机会将呈几何级增长。不过适应等保对于许多中国市场中的企业是一件比较困难的事情,毕竟在等保2.0上不仅涉及到企业的利益,同时还上升到法律层面,因此大家都会非常谨慎。而中企通信在法务层面上已经积累到了足够的经验,如今我们要考虑的是,如何发挥过去几年积累的良好经验,使其能够帮助我们的客户从完全陌生的情况中尽快适应。”
同时郭远达表示中企通信在等保合规上有较好的优势,“针对中企通信的优势,可以分成几部分来看。首先,我们有不同的生态机构,可以共同应对等保2.0,不止从技术角度,还从法务角度出发,帮助企业解决等保方面所遇到的问题,这是我们的一大优势。第二点,从服务能力上看,我们拥有近二十年的经验,并且在不同国家及地区都有很强的服务能力及技术实力。针对一些多分支的集团企业,除了总部需要进行相关网络安全机制以外,众多子机构也需要对信息安全进行考量,这时就可以发挥我们的优势,在不同的区域进行本地化的服务。针对那些跨国企业,可以根据不同的规则及当地的法律,制定相应的安全解决方案。第三点,中企通信很早便在做ISO27001,同时也熟悉等保、GDPR等安全条例,这可以更好的服务于不同地区的客户,并提出针对性的解决方案。”
邝伟基则以大湾区为例,表述了中企通信的优势,“大湾区属于一个国家,两套系统,三个关税区的特殊地域,三个地方都有不同的法律。而中企通信在香港、澳门及中国大陆都有相当多的客户,因此在大湾区,我们非常有经验帮助客户在信息安全上去合规。”
不仅针对国内企业走出去,许多国外企业在进入中国后,中企通信也能在信息安全合规上给出良好的解决方案。邝伟基认为:“以欧洲企业为例,当他们来到中国后,可能需要推翻原来的GDPR,重新适应国内的等保,这对企业而言,并不是最明智的办法。最好的方式是,根据GDPR中已做的项目与国内现有等保相匹配,这种工作企业自身很难操作,需要求助于一些如中企通信这种专业的机构来提供相关方案。以中企通信为例,回到ISO27001这部分要求中,进行对比后发现,在遵循欧洲GDPR所推荐的安全体系后,国内许多项目其实不必重复投资。我们可以提供相关经验给到这些欧洲客户,帮助他们来中国有一个良好的发展环境,并节省一定成本。”
注重安全管理服务 营运与商务并进
针对等保2.0,除了技术上帮助企业进行合规以外,还需要有后续相应的服务进行配套,毕竟信息安全是一个长期的工作。同时,在未来等保2.0将会在每隔一个时间段后,都会再次进行检测,并对其进行相应修改,这就需要供应商能够长期提供相应服务来辅助企业对等保进行合规。
邝伟基表示:“除了技术方面,在营运性这块我们也非常重视。我们有一个7×24小时的安全营运中心(SOC),通过AI来对客户众多的安全设备进行全天候的监控。如果有异常情况发生,我们会立刻进行安全分析,判断是否为真正的异常。如果确认,我们会立即通知客户此异常情况的发生,同时我们还会定期向客户反馈每月安全状况。这其实是ISO27001上的要求,所以如果企业愿意遵守ISO27001,那么等保2.0也不会太难通过,只需要在一些细节上进行调整就可以了。”
郭远达也在随后补充到,“除了在运营层面外,中企通信还在商务层面上针对客户进行了一定的服务。首先,我们在ISO27001上已经有十年的经验,可以很好的匹配如今的等保2.0,在经验上相比其他服务商而言更加丰富。第二,我们与其他服务商不同的是,目前市场上许多企业对等保2.0是作为单次项目来看待,我们则是把等保2.0当做运营型项目来看待。因为等保2.0并非简单的一次性项目,后续每隔一段时间都会有不同的修改,如果供应商把项目做完退出去后,客户将有可能面临管理、人才、管理成本等问题。而我们如果以运营的方式,每年都为客户提供相应解决方案及服务,可以很好的帮助客户解决这些问题。”
由于在ISO27001上中企通信已经积累了十年以上的经验,同时等保2.0与ISO27001在许多方面都相当契合,因此中企通信可以很快的将经验转化到等保2.0中。同时,在针对客户对等保2.0进行合规时,中企通信将采用运营方式对客户进行服务,确保等保2.0每次改变后,客户都能尽快适应。
