《网安法》让CIO变身高危职业？一位零售老兵的思考和建议

最新推荐文章于 2024-08-14 10:16:29 发布

ITValue

最新推荐文章于 2024-08-14 10:16:29 发布

阅读量2.1k

点赞数

本文链接：https://blog.csdn.net/jR2qkuHiR0G/article/details/78410235

版权

关注ITValue，查看企业级市场最新鲜、最具价值的报道！

在刚刚过去的9月份，德勤邮件服务器被攻击，重要客户敏感数据遭泄露。甚至亚马逊AWS上也接连发生四起数据泄露事件，原因各不相同。据国外媒体披露，9月份了发生了4起与AWS S3有关的数据泄露事件，TigerSwan、时代华纳、传媒公司Viacom、SVR Tracking接连中招。

黑客组织向数千家企业发送DDoS攻击勒索邮件，要求支付0.2比特币赎金。有国外研究人员发现，近期发现黑客组织 Phantom Squad 已向全球数千家企业发送勒索信函，要求支付 0.2 比特币赎金，否则将于 9 月30 日开展大规模 DDoS 攻击。勒索的目标包括了亚洲、欧洲和美国公司的教育、制造业与零售行业等。

网络攻击无时不在，世界各国特别是网络强国都已经在制定数据相关的保护或者是网络安全方面保护的政策或者是法律法规。6月1日，《中华人民共和国网络安全法》正式开始实施。对于企业管理者和使用数据的CIO来说，《网络安全法》俨然头上的一根“紧箍咒”。

作为第一批快速应对并积极布局数据安全的企业，樱花卫厨（中国）股份有限公司资深经理齐磊于近日的ITValue微信公开课【深V课堂】上阐述了樱花卫厨的应对措施，并站在行业的角度（零售）分析了《网络安全法》带来的影响与对应措施。

樱花卫厨（中国）股份有限公司资深经理齐磊

以下是樱花卫厨（中国）股份有限公司资深经理齐磊在ITValue微信公开课上的演讲，经ITValue编辑整理：

我今天要分享的主题是《网络安全法》对新零售的影响和对应措施。主要分五个部分：

大数据在新零售的重要性；
网安法对于数据安全的要求使我们CIO变成高危职业；
数据安全相关的法律介绍；
先进企业的对应动作以及企业如何确保不违法的对应案例（樱花卫厨案例）。

客户数据在新零售中的重要性

这张图是在2010年左右，我参加IBM一个会议的时候，所拿到他们对于全球消费者的调查。从这张图里我们也可以看到消费者的习惯，以往是说，我必须要有这个东西彰显我的地位，再来变成我们需要有这个东西，针对这个品牌来确保产品的质量。现在直接进化到消费者的个性化，希望对我的需求有特别的定制的服务，然后会享受到独特的体验。

所以当消费者的关注点已经到了个性化的服务的时候，企业就必须要收集他们的一些个人信息，这样才能够在未来提供的服务里面做识别。同时这也应对了现在的社会化营销的一些方面。

而新的零售的方式，它是一个线上线下加物流，然后以消费者为中心的方式，不管是会员资料、支付资料、库存、服务等方面的整体数据实现全面打通。实际上在新零售里面，跟消费者的连接和沟通，这是非常重要的一件事情。既然需要跟消费者做连接、沟通，那么我们对于消费者资料的收集就会变成非常重要的一件事。

这是我们的厨电行业，我们会针对使用者的一些消费信息来做一些大数据分析，实际上因为我们的产品有一个安装和维修的过程，所以和一般的买走了不知道详细信息的产品有比较大的不同，这算是我们比较能够深入地搜集客户资料的一个方法。

我们搜集这些资料之后就可以来做一些，比如说它最后被安装在哪个小区，我们可以针对这个部分去做，不管是我们在维修站或者是我们的销售点，或者说是我们的广告投放方式的追踪。

CIO变身高危职业？

CIO会很关注这些数据的营运部分，以及利用这些大数据来推动业务的创新。但是在《网络安全法》出台之后，我们对于数据营运和创新，我们做得越多，那也可能会造成企业非常高的风险。

网安法有针对企业的责任做特别的规范和要求。那其中在40条和50条，主要都是在规定了网络营运者（也就是我们一般提供网络服务的企业，就是属于网络营运者），收集和使用客户信息的要求。

比如说在第41条，搜集客户的信息必须要经过同意，第42条不能泄漏篡改毁损信息，未经同意不能提供给第三方信息。第43条，必须要让人有去修改、更正信息或者说是删除信息的能力。

像我们这些面对最终用户的企业，都会收集一些用户的信息。也就是这几条的法律规定，把我们对于客户信息的保护、修改、传递等这部分，做了一个明确的要求。

为什么网安法出来之后，会说CIO变成高危职业呢？这在网安法里面也有要求，如果当违反41到43条的规定，如果是有违法所得，你是拿来做商用的，你会罚1到10倍以下的罚款。要注意这一条，没有违法所得的，可能会处到100万元以下的罚款，而且还会针对负责的主管人员和其他直接的责任人员，处1万到10万元以下的罚款。

同时除了处罚法人之外，有特别对于负责的主管人员和其他的间接人员例如CIO，都要处以相应的罚款。

网络安全法体系介绍

在很多的企业，并不是有CSO角色的存在，通常讲到数据、收集会员资料等部分，如果企业没有CSO，或者是责任能够很明确地划分到其他的部门来负责，大部分的企业CIO就会是直接的负责主管人员，或是直接责任人员。

最上面的部分是网络安全法，它在6月1号实施，它是一个基础性的法律，也是一个强制性的法律。下面一层叫做数据安全管理法，这个是在2018年发布，它是针对网络安全法的一个落实的办法，也是强制性的。

此外在数据安全管理法下面还有两个法令：

大数据服务安全能力要求。
数据安全能力成熟度模型。

因此对于现在网络安全法、大数据相关管理的部分，会从整体框架到实施、实践标准，出具一个有检验办法的法律。同时在网络安全法之中，它所要求的数据安全不只是技术，它对一个组织的建设、制度的流程、技术的工作和人员的能力都有相关的要求。甚至还包括整个数据的生命周期（即数据的采集、储存、传输、处理、交换和销毁的过程）。

《网络安全法》针对数据安全的监管，不只是一个很单纯的法律，它把执行和评估的机制都建立好了。

在2016年国家已经对BAT做了大数据的安全审查。2017年还会开始针对一些传统的行业的企业来进行推进。

《网络安全法》跟之前等级保护和ISO27001不同的地方是哪些呢？