20191217-普华永道中天会计师事务所-互联网行业2019年数字信任洞察之中国报告：数字化转型要求网络安全团队主动识别风险_20页_1mb.pdf

数字化转型要求网络安全团队 主动识别风险2019年数字信任洞察之中国报告 2469121517前言数字化转型带来的风险 网络安全计划与业务发展并进 网络安全活动的成熟度 重要商业启发 研 究 方法 联系方式 1前言如今，建立数字信任，不仅仅是一个优先事项，更是不可或缺之举。为了实现企业运营的现代化，并提高运营速度和效率，很多企业正在快速地进行着数字化转型。其结果是，企业面临的网络安全及数据隐私风险正在攀升，因此对全球以及中国内地企业来说，建立数字信任的难度有增无减。中国在数字化进程高速发展的同时，一直在积极推进网络治理。今年的“两会”提出了要进一步加强信息安全，包括加强对个人数据搜集行为及国家网络安全建设的监管。此外，粤港澳大湾区发展规划纲要也强调，优化改良信息基础设施，以提升网络安全保障水平。1 2自 2017年 6月 1日中华人民共和国网络安全法 i正式落实以来 ，监管机构一直积极参与中国的数字化转型。为进 一步 监管 数 字化环境，监管机构还实施了更加详细的规定和条例，例 如新 的网络安全等级保护制度2.0标准以及个人信息出境安 全 评 估 办法 （ 征求意见 稿 ） 。虽然就数字化转型 而言 ， 其环境看似 更 加 严 格 了，但是详细的条例将有助于企业在制定其 经 营战略的初期就把法律要求纳入考虑。国家和地方条例的发展，促使中国企业及其网络安全团队在网络活动监管过程 中 发挥重要作用。为此，网络安全团队需要转变思维模式，才能支持企业的战略目标 。 此外，人工智能、区块链和云计算等新兴科技已经成为不可忽 视的力量。未来数年内，5G移动通信技术必将取代4G标准，5G的网速会快100倍，而且 网络承载能力则是4G网络的 1000倍，更加有利于这些新兴科技的发展与融合。 2面 对实 现 增 长的压力，企业在运营中更倾向于采纳这些科技创新。新兴科技有助于催生更容易获取、更具个性化的产品和服务， 而在隐私和数据保护方面的要求也会随之提高。为 了 提升数字信任，风险管理对于如何负责任地使用新兴科技的重视程度越来越高。 3考 虑 到 具体 国家 法律 法规对企业数字化转型的影响，企业逐渐地从一开始就承 担起 这项 责任。企业首 席高管们积极以身作则，针对如何处理隐私和数据保护问题与 监 管 机 构 和 政 策 制 定 者 开 展 合 作。普 华永道 2019数字信任洞察之中国报告 对中国内地企业建立数字信任的举措以及企业网络安全团队为建立数字信任所 发挥的作用进行了评估 。 本报告旨在为网络安全团队如何通过企业网络安全建设提高竞 争 力提供建议 。本报告汲取 了 全球数字信任洞察问卷 （过去称为全球信息安全状况 调查）对来自 89个 国家和地区的 3000多位企业高管和 IT专 业人士展开调研的成果 。中国报告代表的是中国内 地 （以下简 称“中国 ” ） 121位受访者的观点 。此次调研在 2019年 3月至 4月之间进 行 。i. 中华人民共和国网络安全法是为了对企业保障数字信息和防范系统受到网络攻击进行监管的最新法规。3数字化转型带来的风险随着企业的数字化转型 ，中国私营企业发展迅速 。就企业预期从数字 化 进程中获取的价值而 言 ， 32% 的受访者预计企业收入 将会提高（全球： 27% ）， 26% 的 受访者希望研发出新产品或 进 行产品创新（全球：9% ），12%的受访者则希望提供更好的 客户体验（全球：16%） 。数字化转型为促进企业发展和创新带来了大量机会的同 时，也导致了企业需要应对转型期间所来带 的特有风险 。 从中国企业高管和 IT专业人士的角度来 看 ， 数字化进程中面临的最严峻风险是数据治理或隐私问 题 （中国 ： 28% ； 全球： 11% ）。 中国企业普遍对数据收集和传输存在顾虑，而加强信息安全和对个人数据收集的保护是国 家 战 略 重 点 。 ii企业网络安全团队需要解决客 户 、 员工及企业其他利益相关者与新科技成果之间的互动方式问题 。 中国受访者也面临着数字化 转 型 带 来 的 创 新 风 险 ， 即 推 出 新 产 品 、 服 务 和 流 程 所产生的风 险 （ 中 国 ： 19% ； 全 球 ： 8% ） 。 我们预估到会有这样的情况发生 ， 因为四分 之 一以上的中国受访者想要在数字化转型过程中进 行产品研发 或创新 。 管理这项风险需要对业务部门进行企业数字化战略的教育培训 ， 让其了解创新对其业务运作的影响。 中国信息通信研究院数据显示， 2018年中国数字经济总量达到31.3万亿元，占中国GDP 比重超过三分之一，接近 35% 。 4 鉴于 私营企业在数字化进程中的发展状况，它们比以往更容易受到 网 络安全攻击 。 因此，网络安全是中国企业高管和IT专业人士 面 临 的 另 一 个 重 要 风险（中国：18 % ； 全 球：29% ）。 在 企 业 数字化转型风险管理能力方面 ， 认为自己效率极高的中国企业高管和 IT专业人士（24% ） 比 例 低 于 全 球 受 访 者（ 31% ） 。 多 数 中 国 受 访 者 （ 55% ） 对 此 看 法 不 太 乐 观 ， 认 为 在管 理 这 些风险方面只是略有成 效 （全球 ： 40%）。ii. 最高人民法院工作报告提到， 2018年国内各地法院审结互联网相关犯罪案件达到 8907件，包括网络诈骗、非法使用及收集或购买个人信息、网络传销、利用网络技术窃取商业秘密等案件。 4虽 然大部分中国受访者表示建立数字信任是企业优先事 项 （中国 ： 90% ； 全球： 85% ），但在 数字化转型快速发展的情况 下，其风险管理能 力有所欠缺 。对企业高管和 IT专业人士而言，他们最 缺乏建立数字信任的能 力，包括不确定如何实现企业转型目标（中国： 17% ； 全 球： 11% ）， 不确定未 来 10年其数字战略将有 何 变 化 （ 中国： 15% ； 全 球： 11% ），不确定其数字计划将取 得怎样的成果（中国：14%；全球：13%）。 科技企业集团百度、阿里巴巴和腾讯正在引领中国的数字化新趋 势 ， 并颠覆着金融服务业、零售业和旅游业的发展。这些互联 网巨头不断打破技术障碍，传统企业面临压力，导致一些老牌企 业 与 时 代 脱 节。由 于88%的中国受访者来自非科技行业，包括工业制造业、金融服务业或零售和消费行业，显而易见，其中部分企业所处的行业受到科技巨头的颠覆性影响，但他们无 法跟上变革的速度，发现自己对于如何完成企业转型目标或数字 化 目 标茫然无措。为了缩短这些差距，中国企业正逐渐加 强 其 网 络 安 全 计 划 ，重新规划 企业 网络 安全 团队 的工 作方式 。 一 些企业正在考虑将数字创新流程外包给第三方技术服务供应商，其他企 业正在经历由行业协会（以及监管机构）推动的数字化转型，这些举措将强化整体企业生态系统，并为企 业谋求数字发展提供支持。m1 33K-B数据治理或隐私推 出 新 产 品 、服 务 和 流 程 所 产 生 的 风 险（创新风险）网络安全企业决策失误所产生的风险（策略风险）品牌或声誉4%12%28%11%19%8%18%29%7%11%中国全球5网络安全计划与业务发展并进 6当 很多企业纷纷主动采用科技主导型商业模式之际 ， 为了建立数 字信任，网 络安全计 划必须要与企业目标相称。 为 此，网络安 全团队需要加快推进企业战 略，了解企业风险承受能 力 ，而首 要 事项是在数字化转型过程中管理风险。事 实 上 ， 从 一 系 列 衡 量 指 标 来 看 ， 多 数 中 国 受 访 者 的 网 络 安 全 与业 务 发 展 相 配 的 程 度 高 于 全 球 受 访 者 。 83% 的 受 访 者 表 示 ， 其 网络 安 全 团 队 正 嵌 入 企 业 的 业 务 当 中 ， 他 们 不 仅 熟 悉 业 务 策 略 ， 而且 制 定 了 支 持 业 务 需 要 的 网 络 安 全 策 略 （ 全 球 ： 72% ） 。 83%的受 访 者 认 为 ， 其 网 络 安 全 团 队 与 其 他 所 有 管 理 企 业 风 险 的 部 门 建立 起 战 略 合 作 关 系 ， 防 范 企 业 面 临 的 最 严 峻 威 胁 和 风 险 （全球：68% ） 。 81%的受访者认为，其网络安全团队在网络风险和相关风 险 问 题 上 能 够 与 董 事 会 和 高 级 管 理 层 进 行 有 效 沟 通 （ 全 球 ：70% ） 。图2 ：对以下企业网络安全及网络安全团队相关说法的认可程度我们的网络安全团队在保障企业生态系统时采用的是基于风险的方法，而非就事论事处理问题网络安全贯穿于运营和研发过程网络安全团队深入到业务中，熟悉业务策略并制定支持业务计划的 网络安全策略我们的网络安全团队与其他所有管理企业风险的部门建立起战略合作伙伴关 系 ，防 范 企 业 面 临 的 最 严 峻 威 胁 和 风 险我们的网络安全团队在网络风险和相关风险问题上能够与董事会和高级管理层进行有效沟通网络安全团队建立起数字信任。 （是指对人员、流程和科技建立安全数字世界的信心）企业使用标准框架评估网络安全团队相比同业的能力网络安全团队在网络威胁情报、防范和恢复方面使用自动化及新兴科技全球受访者28% 42%44%39%37%39%41%41%38%28%29%33%30%27%29%25%非常 同意 同意中国受访者43%43%18%65%31%52%33%48%33%45%30%45%32%41%21%48%同意 非常同意7iii. 董事会及高级管理层问责制，是“董事和首席风险官”（ DCRO，一个由超过 115个国家的 2000多位企业董事成员构成的组织）发布的网络风险治理指导原则：董事监督网络安全的原则（ Guiding Principles for Cyber RiskGovernance: Principles for Directors in Overseeing Cybersecurity）中列明的五大原则之一。m3v?Z+ZT与企业密切合作，确保网络安全策略与 业务需要保持一致使用自动化及新兴科技提高能力加强第三方风险管理采用基于风险的全局性方法，与风险部门密切合作了解在企业生态系统内部及外部 相关方的数据足迹制定数字策 略时考虑未来商业模式中的潜在变化更频繁地向董事会汇报网络风险问题更频繁地向企业首席高管汇报网络风险问题826%15%8%7%6%4%4%4%18%11%13%7%4%4%5%7%中国 全球为了实现以战略及业务为导向，中国网络安全团队采取哪些不同的做法呢？在问卷中，我们调查了那些成功转型并满足业务发展需求的企业，他们对自己的网络安全团队工作开展方式进行了排序。选项最多的 26% 受访者表示，其网络安全团队与业务团队密切合作，确保网络安全策略与业务需要相 配（ 全 球 ： 18% ）。 15% 的受访者提到，其团队正在应用自动化及新兴科技提高网络安全能力（全球： 11% ），而 8% 的受访者将加强第三方风险管理（全球： 13% ）。然而，中国企业网络安全团队处于落后的方面是，频繁地向公司董事会（中国： 4% ；全 球 ： 5% ）和 企 业 首 席 高 管（中 国： 4% ；全 球 ： 7% ）。 网络安全团队必须与董事会和高级管理层一起探讨网络安全风险问题。这样一来，董事会和高级管理层才能承担起公司某些领域的网络风险策略的责任，例如为网络安全事件提前做好准备，应对网络安全事件，以及提高员工意识等。iii iv. NIST网络安全框架使用通用语言根据业务和组织需求解决和管理网络安全风险，而且不对业务提出额外的监管要求。受访者使用能力成熟度模型集成（ CMMI）的成熟度对具体类别进行排序，成熟度按照阶段式表示法分为五个等级：初始级、管理级、定义级、定量管理级和优化级。本报告分别显示排名最高的两项成熟度结果。网 络安全 活 动的成 熟度深 入 了解网络安全团队的哪些做法能更好地与企业目标相配无疑非常重要 ， 与此同时 ， 衡量网络安全团队现有的网络安全措施成熟度同样大有裨益 。此次调研在这方面对企业进行评价，评价的依据是美国国家标准与技术研究院（NIST）所发布的 网 络安全框架 5中 的 具 体 类别，包括五个 主要网络安全功能：识 别、保护、检测 、响应和 恢 复。 iv成熟度方 面 ，中国网络安全团队 在 “响应 ” 和 “保护 ”两项功能中成熟度最 高 ， 在“识别 ” 功能中成熟度最低 。这一情 况堪忧 ，因为这说明调研受访者只处于响应状态，在风险发 生后采取缓解措施 ，而未能充分识别风险并防范于未然 。这表明网络安全团队在识别关键资源和企业情况 ， 从而根据企业风险管理策略和业务需要促使企业重点保障网络安全方面较为薄弱 。于是 ，网络安全团队只能进行损害控制 ，或只能在侦测到事故后为企业提供支 持，而且对企业的保护方式也只是减弱或遏制事件的 影响。m 4Ss沟 通（ 响 应 ）身份管理、身份验证和访问控制（保护）保护性技术（保护）供 应 链 风 险 管 理（ 识 别 ）缓解措施（响应）数据安全（保护）响应计划（响应）恢复计划（恢复）风险管理策略（识别）资产管理（识别）改 进（恢 复 ）检测流程（检测）风 险 评 估（ 识 别 ）治 理（ 识 别 ）商 业 环 境（ 识 别 ）信息保护流程和程序（保护）安 全 持 续 监 控（检 测 ）维 护（保 护）异 常 现 象 和 事 件（检 测 ）意 识 和 培 训（保 护 ）分 析（ 响 应 ）12%16%11%9%7%7%8%7%7%7%6%7%9%7%5%5%5%3%4%2%6%23%16%17%17%18%17%14%15%13%14%14%11%9%11%12%11%11%9%11%12%7% 优化级定量管理级9究其原因 ， 或许是更少比例的中国受访 者 （相对其他类别 ）认为 ，其网络安全团队在保障企业生态系统时采用的是基于风险的方法 ， 而不是就事论事处理问 题（ 中国 ： 69% ； 全球： 63% ）（见图 2）。 与同业相比 ， 更少比例的受访者认为其企业采用NIST 网络安全框架 等标准框架对网络安全团队的能力进行 评 估（ 中国 ： 75% ； 全球： 68% ） （见图 2） 。 采用基于风险的方 法 开 展 网 络 安 全活动 ， 使用标准框架进行自我管理，中国网络安全 团队才能充分预测和管理系统 、人员 、资 产、 数据以及性能方面的网络安全问题。与 其他类别相比 ， 企 业高管和 IT专业人士认为（ “识 别” 功 能内的 ） “资产管理 ”类别相对落后 ，若要保证与网络安全的一致性，则需要识别机构中的实物资产和软件资产。另外，过去12个 月 内 ， 因 此 ，与其他类别相比，相对较少的中国网络安全团 队 参 与 到 企 业新产品和服务的“安全与隐私”设计当中（ 中 国 64%，全球：60%）（见图5）。10中国企业 在 （ “识别 ”功能内的 ） “治理 ”类别中成熟度也相对较低 ， 该类别内容包括识别符合外部法律及监管要求的治理项目或网络安全政策 。 这与事实相 符，过去一年 内，相对其他类别， 较少网络安全团队 为 了遵循新法规要求而采取跨部门措施（ 中国 ： 60% ； 全球 ： 53% ） （ 见图 5）。 国 内网络安全团队必 须清楚中国网 络安全监管架构 ， 并确 保现有控制措施与当前 及未来法律法规保持一致 。虽 然中华人民共和国网络安全法 已于 2017年 6月 开 始施行， 但是许多法律条文仍有待通过规定和条例的实施来加以完善和解释。 6然 而 ， 中国网 络 安 全团队在（ “响应 ” 功能 内 的）“ 沟通”类别中 表现出色 ， 因 此在网络安全问题发生后 ，能够有效地管理与内部和外部利益相关者的沟通 。 （ “保护 ”功能内的 ）“数据安全 ” 类别的成熟度也较 高 ，公司数据管理得 当，以保障信息的保密 性 、 完整性和可用性。m 5V 12=v提升运营技术安全性预测与数字计划相关的新网络风险，使我们能够在该风险影响合作伙伴或客户前对其加以管理帮助企业在遭受严重攻击后迅速恢复， 最大程度地降低潜在损失改善供应链风险管理帮助企业设计新产品和服务的“安全与 隐 私 ”保 护对网络安全漏洞或攻击快速作出响应，以免运营遭到重创为了遵循新法规要求而采取跨部门措施检测出企业面临的重大网络风险，防止风险对运营造成影响中国 全球81%69%67%60%80%68%64%58%66%49%55%53%67%56%60%49%11重要商业启发 过去 20年，数字化转型带动中国企业快速发展，却导致数字信任度下降。为了重新建立数字信任，网络安全团队需要从应对重大风险转变为主动识别重大风险，其中包括：12确保网络安全策略与业务发展并进这需要网络安全团队加快推进企业战略，了解企业风险承受能力，有效管理与数字化转型相关的企业风险。例如，这或许需要将安全和隐私保护纳入到企业新产品和服务中。 遵循基于风险的方法和标准框架，以加强“识别”功能 网络安全团队在从事网络安全活动时，需要提倡使用基于风险的方法和标准框架解决问题。如此，他们可以加强自身能力，以识别关键资源和企业情况，从而根据企业风险管理策略和业务需要促使企业重点保障网络安全。 13制定治理计划，以遵守外部监管要求使用自动化及新兴科技提高网络安全能力通过机器学习实现自动化以及使用人工智能、机器人流程自动化或物联网等新兴科技，为网络安全团队带来独特机会，帮助其提升网络威胁情报、防范和恢复方面的功能。 网络安全团队有必要制定治理计划，以满足网络安全、数据治理和隐私方面的外部监管要求，在中国尤应如此，原因在于其战略重要性，以及该领域发展一日千里。14灵活响应和改进将网 络安全作为企业问 题 处理 ， 而非将其归 为 IT问 题网络风险是整个企业范围内面临的问题 ，因此涉及公司董事会 、 管理层 、 业务部门主管以及 IT和安全职能部门 。网络安全团队需要与董事会和高级管理层共同探讨网络安全风险问题 ，以便董事会和高级管理层负起企业网络风险策略的责任。为了制定适当的网络安全计划，企业还需要考虑让员工参与其中。员工可通过培训和遵守企业标准及指引的方式为网络安全出一份力。 7灵活性是产品或服务开发领域中非常热门的概念之一。要将灵活性与网络安全计划相结合，不能只关注技术本身，还要重视整个管理流程。通过追求灵活响应和树立精益求精的文化，网络安全团队可以在其计划中实现效率和建立高度信任。通过这些步骤，中国网络安全团队可确保其所在企业具备 良 好 条 件 ，以 利 用 数 字 化 转 型 的 优 势，同 时 主 动 检 测和降低风险。通过加强防范能力，网络安全团队能够做好本分、未雨绸缪，提高企业竞争能力，以免企业因为安全、信任和声誉问题而影响盈利能力。m 6Ssfss*其 他 包 括 政 府 关 系 部 门 ；首 席 风 险 官 /风险管理主管；副总裁级首席信息安全 官 ； 首席数据官；其他董事会成员；网络/系统管理员；信息安全经理以及总 监。高级项目 /项目经理首席执行官 /总裁 /董事总经理首席运营官高级顾问 /顾问首席信息官信息技术经理信息系统经理信息安全人员 /协调员首席技术官信息技术总监内部审计师网络 /系统工程师业务部门主管首席财务官 /财务总监信息安全总监其他 *信息技术主管14%11%7%6%5%2%2%2%12%9%7%5%3%2%2%2%10%15研 究 方 法受访者概况如下图所示，按照行业构成、受访者职位及年收入 划分。169900万美元或以下工业制造5亿美元至 9.99亿美元零售及消费品500亿美元或以上医药及生命科学其他 *1亿美元至 4.99亿美元技术、通信、娱乐和媒体200亿美元至 499亿美元电力及公用事业 50亿美元至 99亿美元 100亿美元至 199亿美元 10亿美元至 49亿美元金融服务商业服务工程及建筑m 8Ssfolsm 7Ssfs注：由于四舍五入以及排除了“不清楚 /不知道”这两类回复，所以并非所有数据之和均为100%。21%12%8%4%18%19%12%6%11%3%18%15%14%13%6%8%7%*其他包括汽车，能源（包括石油和天然气）、运输和物流、航空航天和国防、化工、林业、造纸和包装以及酒店和休闲 。联 系 方 式 ： 鸣谢编辑与撰写Monica Uttam Sanjukta Mukherjee项目管理Monica Uttam雷 国 锋设计师刘永尾 注1. 粤港澳大湾区发展规划纲要，2019年2月，bayarea.gov.hk/filemanager/en/share/pdf/Outline_Development_Plan.pdf2. 实现5G盈利之道（Making 5G pay），2019年4月， 2019年风险趋势3.（Risk trends 2019），2019 年 3月， 5.五 大功能（ The Five Functions），2018年8月， nist.gov/cyberframework/online-learning/five-functions6.公安部发布互联网安全监督检查规定（Ministry of Public Security Issued Rules on Supervision and Inspection internet Security） ，2018年10月， 企业董事会如何能更好地监督网络风险（How your board can better oversee cyber risk）， 2018年 11月， pwc.dk/da/publikationer/2018/pwc-how-your-board-can-better-oversee-cyber-risk.pdfu u 2um合伙人+86 (10) 6533 A合伙人+86 (21) 2323 2296 合伙人+852 2289 -/ 合伙人 +86 (10) 6533 f.:合伙人Tel: +86 (21) 2323 S合伙人+852 2289 合伙人+86 (21) 2323 eR合伙人+852 2289 % (Ramesh Moosa)合伙人+86 (21) 2323 8688 6合伙人 +86 (20) 3819 17李 扬合 伙人+86 (10) 6533 7800 2019 普华永道。版权所有。普华永道系指普华永道网络中国成员机构，有时也指普华永道网络。每家成员机构各自独立。 详情请进入 NO.000464