企業(yè)信息安全的重要性高管必讀

企業(yè)信息安全的重要性[高管必讀]信息安全是“一把手”工程，發(fā)生安全事件首先對(duì)法人進(jìn)行問責(zé)，“信息安全管理失職”可能是高管和相關(guān)人員被直接開除的原因之一，高管需了解一些信息安全知識(shí)，有利于保護(hù)企業(yè)和自己。1、沒有網(wǎng)絡(luò)安全就沒有國家安全2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組宣告成立，中共中央總書記、國家主席、中央軍委主席習(xí)近平親自擔(dān)任組長。在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議上，習(xí)近平強(qiáng)調(diào)“沒有網(wǎng)絡(luò)安全就沒有國家安全”，確立“網(wǎng)絡(luò)空間”已成為海、陸、空、天之后的第五戰(zhàn)略空間，各機(jī)構(gòu)和企業(yè)須提高政治站位，把網(wǎng)絡(luò)安全作為重點(diǎn)工作來抓。2018年3月，中共中央引發(fā)《深化黨和國家機(jī)構(gòu)改革方案》，將中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組改為中央網(wǎng)絡(luò)安全和信息化委員會(huì)。2、國家法律要求企業(yè)履行網(wǎng)絡(luò)安全管理義務(wù)中國要成為網(wǎng)絡(luò)強(qiáng)國需社會(huì)各界的大力支持，國家法律體系在網(wǎng)絡(luò)安全方面已較為完善，對(duì)攻擊行為和不履行安全管理義務(wù)行為的懲處能做到有法可依，公安機(jī)關(guān)可對(duì)各類違法行為進(jìn)行嚴(yán)厲打擊。從企業(yè)安全管理來看，以下法律和標(biāo)準(zhǔn)的施行具有里程碑意義：1)《刑法修正案(九)》增加拒不履行網(wǎng)絡(luò)安全管理義務(wù)可處三年有期徒刑條款2015年11月1日起施行的《刑法修正案(九)》，在刑法第二百八十六條后增加一條，作為第二百八十六條之一：網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正，可處三年以下有期徒刑、拘役或者管制，并處或者單處罰金：特別需要補(bǔ)充的是：入刑標(biāo)準(zhǔn)其實(shí)很低，根據(jù)最高法、最高檢聯(lián)合印發(fā)的司法解釋，“致使泄露行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息五百條以上的”就達(dá)到刑法規(guī)定的“造成嚴(yán)重后果”。2)《網(wǎng)絡(luò)安全法》要求網(wǎng)絡(luò)運(yùn)營者履行網(wǎng)絡(luò)安全保護(hù)義務(wù)2017年6月1日起施行的《網(wǎng)絡(luò)安全法》明確要求網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行安全保護(hù)義務(wù)。企業(yè)相關(guān)管理者疏于管理導(dǎo)致發(fā)生信息安全事件已上升為違法犯罪，普法說明中強(qiáng)調(diào)“不會(huì)因?yàn)椴欢ň涂梢悦馐芴幜P?！被ヂ?lián)網(wǎng)業(yè)務(wù)系統(tǒng)偶爾存在高危漏洞在以前被認(rèn)為是很普通的事，現(xiàn)在可就不一樣了，公安機(jī)關(guān)一經(jīng)發(fā)現(xiàn)會(huì)直接上門執(zhí)法，相關(guān)人員需當(dāng)面簽字畫押并承諾限時(shí)整改。企業(yè)法人作為第一責(zé)任人需到公安機(jī)關(guān)接受行政處罰，同時(shí)此違法行為會(huì)通報(bào)給行業(yè)主管單位(例如中國證監(jiān)會(huì))。3)“等保2.0”正式實(shí)施對(duì)于如何進(jìn)行系統(tǒng)保護(hù)，每個(gè)人的理解都不盡相同，中國在1994年提出信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)是一項(xiàng)偉大創(chuàng)舉，開啟了"等保1.0"時(shí)代，對(duì)于指導(dǎo)安全管理者進(jìn)行系統(tǒng)保護(hù)具有重要意義。2019年12月1日起實(shí)施的“等保2.0”是對(duì)“等保1.0"的補(bǔ)充和完善，內(nèi)容涵蓋云計(jì)算、移動(dòng)互聯(lián)、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新技術(shù)，增加了大量重要要求項(xiàng)，將全面改善企業(yè)的信息安全狀況，實(shí)現(xiàn)從被動(dòng)防御到主動(dòng)防御的轉(zhuǎn)換。3、信息安全是企業(yè)的自身需求企業(yè)法人是信息安全的第一責(zé)任人，企業(yè)信息安全工作做不好，一定是企業(yè)高層不重視引起。換句話說，企業(yè)高層重視信息安全，信息安全水平就不會(huì)差，如果會(huì)也是短暫的。安全行業(yè)有廠家提出“內(nèi)生安全”概念，這個(gè)非常好！信息安全不能總是依靠外部力量，推動(dòng)“內(nèi)生安全”需要企業(yè)發(fā)自內(nèi)心的安全訴求。1)網(wǎng)絡(luò)安全納入央企負(fù)責(zé)人考核內(nèi)容2019年4月1日起施行的《中央企業(yè)負(fù)責(zé)人經(jīng)營業(yè)績考核辦法》，網(wǎng)絡(luò)安全已成為央企負(fù)責(zé)人考核內(nèi)容的一部分。企業(yè)法定代表人及相關(guān)負(fù)責(zé)人違反國家法律法規(guī)和規(guī)定，導(dǎo)致發(fā)生較大及以上生產(chǎn)安全責(zé)任事故和網(wǎng)絡(luò)安全事件，造成重大不良影響或者國有資產(chǎn)損失的。輕則降級(jí)或扣分，重則紀(jì)律處分或撤職。評(píng)價(jià)企業(yè)負(fù)責(zé)人是否重視信息安全，看看企業(yè)負(fù)責(zé)人的業(yè)績考核目標(biāo)內(nèi)是否包括信息安全即可。2)信息安全決定企業(yè)的生存狀況互聯(lián)網(wǎng)企業(yè)必須重視信息安全，因?yàn)閮H需一個(gè)安全漏洞就可以把一家初始企業(yè)直接“薅”倒閉，大型互聯(lián)網(wǎng)企業(yè)因單一漏洞損失過億的事件也時(shí)有發(fā)生。傳統(tǒng)金融行業(yè)多數(shù)業(yè)務(wù)活動(dòng)不依賴互聯(lián)網(wǎng)，來至互聯(lián)網(wǎng)端的風(fēng)險(xiǎn)較小，傳統(tǒng)金融行業(yè)更多關(guān)注業(yè)務(wù)連續(xù)性和數(shù)據(jù)泄露。美國911事件是典型的信息安全事件，沒有做好業(yè)務(wù)連續(xù)性管理的企業(yè)因?yàn)闊o法恢復(fù)數(shù)據(jù)而直接倒閉。3)合規(guī)不等于安全合規(guī)管理是大型企業(yè)的重點(diǎn)工作，組織架構(gòu)中必然有合規(guī)管理部門，合規(guī)審查也是年年做，結(jié)果肯定是合格，但安全事件還是頻發(fā)，所以說“合規(guī)不等于安全”，合規(guī)只是強(qiáng)大安全計(jì)劃的一部分。從近幾年持續(xù)升級(jí)的HW行動(dòng)來看，公安部門更看重安全防護(hù)的實(shí)際效果，遠(yuǎn)遠(yuǎn)超出合規(guī)的范疇，這也是以前只談合規(guī)的企業(yè)感到戰(zhàn)戰(zhàn)兢兢的原因。4)行業(yè)主管機(jī)構(gòu)將信息安全作為評(píng)價(jià)企業(yè)管理水平的重要指標(biāo)在中國證監(jiān)會(huì)發(fā)布的《證券公司分類監(jiān)管規(guī)定》中，信息安全占有較高的評(píng)分比例，如發(fā)生信息安全事件將較大程度影響評(píng)級(jí)結(jié)果，進(jìn)而影響對(duì)企業(yè)的監(jiān)管力度和業(yè)務(wù)批復(fù)。公安機(jī)構(gòu)持續(xù)加大對(duì)企業(yè)不履行網(wǎng)絡(luò)安全保護(hù)義務(wù)的打擊力度，行政處罰金額會(huì)不斷增加，處置情況將通報(bào)到行業(yè)主管機(jī)構(gòu)，由行業(yè)主管機(jī)構(gòu)進(jìn)行監(jiān)督落實(shí)。5)信息安全日趨成為企業(yè)核心競(jìng)爭(zhēng)里的重要因素隨著數(shù)字化轉(zhuǎn)型在企業(yè)業(yè)務(wù)發(fā)展中扮演越來越重要的角色，好的信息安全治理體系和日常運(yùn)作