网络安全行业国内本质上是合规驱动,但对合规的理解和尺度,甲方与甲方、甲方与乙方之间就有很大差别。
甲方通常来说都具有一定合规方面的积累,包括体系、制度、结构以及职责等等,如果有新的监管要求或是强制性标准发布,都会第一时间去解读和分析。
企业无论做什么,第一个要考虑的就是成本,对于某些弱监管的行业或组织,如果不合规所造成的影响在可接受范围内,那么完全有可能不进行整改。而对于强监管的行业来说,这是一个必选项,做是一定要做的,至于做成什么程度可以再讨论。
甲方考虑成本时会涉及诸多因素,比如直接导致业务服务中断、违规监管处罚、声誉风险以及客户流失损失等,都需要考虑;此外,具体监管要求落地性、可操作性也要考虑。
对于一项新的合规要求,根据企业自身治理水平,所考虑的因素和维度可能会有较大差异,但本质一定是从成本考虑,这其中主要会关注措施的可落地性、业务影响情况、操作复杂度、维护成本等方面。
一、采购第三方网络产品和服务的合规要求
根据《网安法》和《网络关键设备和网络安全专用产品目录(第一批)》,列入《网络关键设备和网络安全专用产品目录》的设备和产品,应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
距离我们将“网络安全与数据合规”(Cybersecurity & Data Compliance)作为合规工作的单独门类已经近四年时间,网络安全与数据合规工作的内涵和外延不断的发生变化,逐步形成了以《网络安全法》(以下简称“《网安法》”)以及《全国人大常委会关于加强网络信息保护的决定》(统称“一法一决定”)为基础,配套法律法规以及国家标准为框架的合规体系。
