《网安法》让CIO变身高危职业？一位零售老兵的思考和建议

                                       关注ITValue，查看企业级市场最新鲜、最具价值的报道！

在刚刚过去的9月份，德勤邮件服务器被攻击，重要客户敏感数据遭泄露。甚至亚马逊AWS上也接连发生四起数据泄露事件，原因各不相同。据国外媒体披露，9月份了发生了4起与AWS S3有关的数据泄露事件，TigerSwan、时代华纳、传媒公司Viacom、SVR Tracking接连中招。

 

黑客组织向数千家企业发送DDoS攻击勒索邮件，要求支付0.2比特币赎金。有国外研究人员发现，近期发现黑客组织 Phantom Squad 已向全球数千家企业发送勒索信函，要求支付 0.2 比特币赎金，否则将于 9 月30 日开展大规模 DDoS 攻击。勒索的目标包括了亚洲、欧洲和美国公司的教育、制造业与零售行业等。

 

网络攻击无时不在，世界各国特别是网络强国都已经在制定数据相关的保护或者是网络安全方面保护的政策或者是法律法规。6月1日，《中华人民共和国网络安全法》正式开始实施。对于企业管理者和使用数据的CIO来说，《网络安全法》俨然头上的一根“紧箍咒”。

作为第一批快速应对并积极布局数据安全的企业，樱花卫厨（中国）股份有限公司资深经理齐磊于近日的ITValue微信公开课【深V课堂】上阐述了樱花卫厨的应对措施，并站在行业的角度（零售）分析了《网络安全法》带来的影响与对应措施。

 樱花卫厨（中国）股份有限公司资深经理  齐磊

以下是樱花卫厨（中国）股份有限公司资深经理齐磊在ITValue微信公开课上的演讲，经ITValue编辑整理：

 

我今天要分享的主题是《网络安全法》对新零售的影响和对应措施。主要分五个部分：

• 大数据在新零售的重要性；

• 网安法对于数据安全的要求使我们CIO变成高危职业；

• 数据安全相关的法律介绍；

• 先进企业的对应动作以及企业如何确保不违法的对应案例（樱花卫厨案例）。

01

客户数据在新零售中的重要性

这张图是在2010年左右，我参加IBM一个会议的时候，所拿到他们对于全球消费者的调查。从这张图里我们也可以看到消费者的习惯，以往是说，我必须要有这个东西彰显我的地位，再来变成我们需要有这个东西，针对这个品牌来确保产品的质量。现在直接进化到消费者的个性化，希望对我的需求有特别的定制的服务，然后会享受到独特的体验。

 

所以当消费者的关注点已经到了个性化的服务的时候，企业就必须要收集他们的一些个人信息，这样才能够在未来提供的服务里面做识别。同时这也应对了现在的社会化营销的一些方面。

而新的零售的方式，它是一个线上线下加物流，然后以消费者为中心的方式，不管是会员资料、支付资料、库存、服务等方面的整体数据实现全面打通。实际上在新零售里面，跟消费者的连接和沟通，这是非常重要的一件事情。既然需要跟消费者做连接、沟通，那么我们对于消费者资料的收集就会变成非常重要的一件事。

这是我们的厨电行业，我们会针对使用者的一些消费信息来做一些大数据分析，实际上因为我们的产品有一个安装和维修的过程，所以和一般的买走了不知道详细信息的产品有比较大的不同，这算是我们比较能够深入地搜集客户资料的一个方法。

 

我们搜集这些资料之后就可以来做一些，比如说它最后被安装在哪个小区，我们可以针对这个部分去做，不管是我们在维修站或者是我们的销售点，或者说是我们的广告投放方式的追踪。

02

CIO变身高危职业？

CIO会很关注这些数据的营运部分，以及利用这些大数据来推动业务的创新。但是在《网络安全法》出台之后，我们对于数据营运和创新，我们做得越多，那也可能会造成企业非常高的风险。

 

网安法有针对企业的责任做特别的规范和要求。那其中在40条和50条，主要都是在规定了网络营运者（也就是我们一般提供网络服务的企业，就是属于网络营运者），收集和使用客户信息的要求。

比如说在第41条，搜集客户的信息必须要经过同意，第42条不能泄漏篡改毁损信息，未经同意不能提供给第三方信息。第43条，必须要让人有去修改、更正信息或者说是删除信息的能力。

 

像我们这些面对最终用户的企业，都会收集一些用户的信息。也就是这几条的法律规定，把我们对于客户信息的保护、修改、传递等这部分，做了一个明确的要求。

 

为什么网安法出来之后，会说CIO变成高危职业呢？这在网安法里面也有要求，如果当违反41到43条的规定，如果是有违法所得，你是拿来做商用的，你会罚1到10倍以下的罚款。要注意这一条，没有违法所得的，可能会处到100万元以下的罚款，而且还会针对负责的主管人员和其他直接的责任人员，处1万到10万元以下的罚款。

同时除了处罚法人之外，有特别对于负责的主管人员和其他的间接人员例如CIO，都要处以相应的罚款。

03

网络安全法体系介绍

 

在很多的企业，并不是有CSO角色的存在，通常讲到数据、收集会员资料等部分，如果企业没有CSO，或者是责任能够很明确地划分到其他的部门来负责，大部分的企业CIO就会是直接的负责主管人员，或是直接责任人员。

 

最上面的部分是网络安全法，它在6月1号实施，它是一个基础性的法律，也是一个强制性的法律。下面一层叫做数据安全管理法，这个是在2018年发布，它是针对网络安全法的一个落实的办法，也是强制性的。

 

此外在数据安全管理法下面还有两个法令：

• 大数据服务安全能力要求。

• 数据安全能力成熟度模型。

 

因此对于现在网络安全法、大数据相关管理的部分，会从整体框架到实施、实践标准，出具一个有检验办法的法律。同时在网络安全法之中，它所要求的数据安全不只是技术，它对一个组织的建设、制度的流程、技术的工作和人员的能力都有相关的要求。甚至还包括整个数据的生命周期（即数据的采集、储存、传输、处理、交换和销毁的过程）。

《网络安全法》针对数据安全的监管，不只是一个很单纯的法律，它把执行和评估的机制都建立好了。

 

在2016年国家已经对BAT做了大数据的安全审查。2017年还会开始针对一些传统的行业的企业来进行推进。

 

《网络安全法》跟之前等级保护和ISO27001不同的地方是哪些呢？

 

等级保护它是依照信息系统的安全保护等级，对可能造成的危害进行分级和要求，它是比较偏重在安全的架构方面。

 

ISO27001是针对信息安全的行业标准。

 

网络安全法的体系是围绕在数据的采集、获取、共享、交换、数据脱敏等等，有比较明确的执行和衡量的方法，它会成为一个法律上面的论证标准。而对一般的企业而言，更偏向是在个人信息资料安全的保护要求。

 

实际上网络安全法对于一般的企业来讲，它更像是其他国家的消费者资料保护法令。就算你有做等保，或者你是有做ISO27001，实际上这个跟国家要求在数据方面的整个数据生命周期的保护，它是有不相同的地方。

04

先进企业如何应对《网络安全法》？

我为什么会特别对网络安全法有比较早的动作和反应呢？

 

这就不得不提到元祖食品，中国烘焙业前三大公司之一。2008年的时候，我在元祖食品，2008年有一个非常重要的法令出现——食品安全法。正是食品安全法的推出，基本上改变了整个食品业的格局。

它是一个最严的监管制度，它设置重点是治乱的部分，同时强化了企业的主体责任。2009年当食品安全法的推动和执行，导致了食品业的巨变。2017年的网络安全法，我感觉这件事情实际上是有相同的一个经历。

 

我认为《网络安全法》对于消费者信息保护的部分，会对我们2C的行业有一个非常重要的警示的作用。

 

例如之前在食品业的时候，就会有很多像是“网络打假者”，他们会抓着法令的要求，针对企业的一些产品、食品方面的“疏失”，要求庭外和解，他们可以赚取很大的利润。

 

实际上我想在整个行业里面，看了完全可以模拟出一些“作战策略”，可以针对这些公司关于消费者信息保护法律要求上面没做到的部分，来进行索赔或者是补偿，要求能够“庭外和解”。

 

此外阿里巴巴的应对措施是非常有前瞻性的。它除了主动参与国家标准的制订，自己也推动了《数据安全成熟度模型》（DSMM）的建设。参与制订标准之后，现在当然是防范本身的不合规。在未来可以做两件事情：

 

• 一是防范外部的合作伙伴可能造成的外部数据不合规。比如说他把信息交给了这个快递公司，快递公司的泄漏或者是因为数据交换交给了某一家的企业，然后这家企业造成了数据外漏之外。

  
  

• 二是规避非技术性贸易壁垒。

 

在未来，可能你没有通过安全成熟度模型（DSMM），你可能就不能跟他做数据对接，不能做相关的更深层的合作。

05

樱花卫厨如何确保不违法？

就像我之前提到的，我们公司（樱花卫厨）因为有很多的消费者的资料（而且是范围比较大的资料），我们对于数据的申请和使用、怎样做数据的对接、怎样确保这些信息不会外泄，以及这些数据在哪些系统里面、哪些地方可能有漏洞，甚至我们怎样针对它做组织上面的法令推动都有明确的规定。

  

这也是我们希望能够通过对数据的明确规定，来缩小们跟网络安全法的要求之间的差距。

数据安全成熟度模型（DSMM）包含的范围

 

数据安全能力成熟度等级、数据安全生命周期、数据安全能力，这三个维度之下总共有32个构面，用这32个构面的过程，来去衡量你是在哪一个等级的状况之下。

我们在今年3月成立了公司内部的小组来应对网络安全法，我们很荣幸地在5月的时候，和阿里巴巴以及苏州臻合合作成为阿里巴巴第一批的“评量”的对象。同时我们在6月启动“评量”，8月完成“评量”。

 

我们“评量”的办法和依据就是阿里的DSMM（数据安全成熟度模型），同样它也是对应着国家未来会推动的“国家执行标准”。

这是我们后面发现的风险的部分的简短总结。因为我们知道自己的短板，才能够针对这些事情去做改善，在未来不管是针对消费者资料安全的保护，国家的法令要求，我们希望在这个“评量”之下，逐步进行改善。

 

因此，对于《网络安全法》和CIO的应对法则，我认为：

 

• 首先，数据安全开始已经有了明确的法律支持、标准和衡量机制。而数据安全远远不只是在IT部门来做就能够改变和应对，它需要企业全面来应对。

  
  

• 其次，针对有用户资料的企业会有非常高的风险。企业如果没有CSO，那CIO就会面临风险。

钛媒体最强T-EDGE来了，长按图片二维码或是点击阅读原文，抢购早鸟票！

中国最大的技术高管实名社区，提供互联网时代最全面权威、也最前沿有趣的B2B市场信息解读。

点击【阅读原文】，进入ITValue社区，与CIO们一起脑力激荡！

我们只提供有价值的干货！

长按二维码
关注ITValu