网络安全行业在国内受合规驱动,企业在面对新的监管要求时会考虑成本、业务影响和可操作性。对于强监管行业,合规是必须的,而弱监管行业则可能基于成本效益分析选择是否整改。《网络安全法》规定了网络关键设备和产品的安全认证要求,网络安全与数据合规工作已形成一套法规和国家标准框架的体系。
网络安全行业国内本质上是合规驱动,但对合规的理解和尺度,甲方与甲方、甲方与乙方之间就有很大差别。
甲方通常来说都具有一定合规方面的积累,包括体系、制度、结构以及职责等等,如果有新的监管要求或是强制性标准发布,都会第一时间去解读和分析。
企业无论做什么,第一个要考虑的就是成本,对于某些弱监管的行业或组织,如果不合规所造成的影响在可接受范围内,那么完全有可能不进行整改。而对于强监管的行业来说,这是一个必选项,做是一定要做的,至于做成什么程度可以再讨论。
甲方考虑成本时会涉及诸多因素,比如直接导致业务服务中断、违规监管处罚、声誉风险以及客户流失损失等,都需要考虑;此外,具体监管要求落地性、可操作性也要考虑。
对于一项新的合规要求,根据企业自身治理水平,所考虑的因素和维度可能会有较大差异,但本质一定是从成本考虑,这其中主要会关注措施的可落地性、业务影响情况、操作复杂度、维护成本等方面。
一、采购第三方网络产品和服务的合规要求
根据《网安法》和《网络关键设备和网络安全专用产品目录(第一批)》,列入《网络关键设备和网络安全专用产品目录》的设备和产品,应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
距离我们将“网络安全与数据合规”(Cybersecurity & Data Compliance)作为合规工作的单独门类已经近四年时间,网络安全与数据合规工作的内涵和外延不断的发生变化,逐步形成了以《网络安全法》(以下简称“《网安法》”)以及《全国人大常委会关于加强网络信息保护的决定》(统称“一法一决定”)为基础,配套法律法规以及国家标准为框架的合规体系。
910
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
