在本周的Gartner CIO峰會期間，Gartner研究總監(jiān)Jie Zhang為參會CIO們帶來了“對待中國《網(wǎng)絡安全法》的四個步驟”的精彩演講。以下為演講精華內(nèi)容。

　　跨國公司服務的市場廣大，因此其須對每一個國家或地區(qū)的法律、法規(guī)要求有明確理解。《網(wǎng)絡安全法》中的七大領域值得企業(yè)機構關注，分別是：個人數(shù)據(jù)保護、出境數(shù)據(jù)評估、網(wǎng)絡運營商的安全規(guī)范、關鍵信息基礎設施、事故應對、人員培訓及處罰措施。

　　隨著《網(wǎng)絡安全法》的實施，具體的法規(guī)及條例也將相繼出臺，企業(yè)機構須密切關注。

　　了解《網(wǎng)絡安全法》的適用范圍及主要內(nèi)容后，企業(yè)機構應對自身狀況進行分析，設立基準線（baseline），包括識別自身營業(yè)模式（operation type）及采集的信息類型（information type），并據(jù)此決定是否要做安全評估（security assessment）。

　　其中，營業(yè)模式分為關鍵信息基礎設施（CII）及網(wǎng)絡運營者（network operator），不同模式的企業(yè)機構所要遵循的法律、法規(guī)內(nèi)容存在差異。如何辨別企業(yè)是否屬于關鍵基礎信息提供者，一般從行業(yè)領域（industry sector）、網(wǎng)絡影響力（online presence）、相關損害帶來的不良影響（impact）三個方面判斷。但企業(yè)機構也應向相關咨詢及法律機構咨詢，降低相關風險。

　　根據(jù)《網(wǎng)絡安全法》規(guī)定，企業(yè)機構采集的信息類型分為一般類個人信息（personal information in general）、敏感類個人信息（personal information sensitive）及關鍵商業(yè)信息（critical information）。針對信息敏感程度和價值高低，企業(yè)機構須采取不同的保護措施。

　　進行差距分析后，企業(yè)機構應進行風險分析（risk-based analysis），考慮如下幾個方面：安全策略（security practice）、關鍵系統(tǒng)架構（architecture of key systems）、物理安全影響（physical safety impact）及公司合規(guī)（corporate compliance）、公司管理（corporate governance）。

　　通過風險分析，企業(yè)機構將發(fā)現(xiàn)目前狀況與未來理想狀況之間的差距，并制定行動計劃（action plan）來達成該目標，為最終的商業(yè)決策提供支持。

　　此外，企業(yè)機構須考慮在企業(yè)內(nèi)部設置響應團隊（reaction team），處理與網(wǎng)絡安全相關的事務，為降低和評估風險提供咨詢。該團隊須包括應用架構師、首席信息安全官、法務顧問、首席風險官、本地工作人員，并由首席信息官組織起來，進行相關討論。

　　最后，在全球規(guī)管環(huán)境不斷變幻的今天，企業(yè)機構須具備一定靈活性。隨著《網(wǎng)絡安全法》的實施，響應團隊應逐漸過渡為運營團隊（operation team），不斷監(jiān)督、評估逐漸完善的法規(guī)帶來的影響，落實安全評估。此外，公司內(nèi)部也應做好培訓工作，保證相關行為始終合規(guī)。

　　Gartner預測，到2021年，80%在中國運營的企業(yè)機構將會與咨詢公司或中國本土的安全公司合作，共同管理風險、安全及隱私問題。Gartner也建議相關企業(yè)機構盡快了解《網(wǎng)絡安全法》體系，開展與之相關的評估，并組建團隊處理其帶來的風險問題。與此同時，企業(yè)機構也須不斷調(diào)整自身，以適應不斷完善的法規(guī)。