普华永道2019年网络安全报告：数字信任洞察

前言

如今，建立数字信任，不仅仅是一个优先事项，更是不可或缺之举。为了实现企业运营的现代化，并提高运营速度和效率，很多企业正在快速地进行着数字化转型。其结果是，企业面临的网络安全及数据隐私风险正在攀升，因此对全球以及中国内地企业来说，建立数字信任的难度有增无减。

中国在数字化进程高速发展的同时，一直在积极推进网络治理。今年的"两会"提出了要进一步加强信息安全，包括加强对澳大湾区发展规划纲要》也强调，优化改良信息基础设施，以提升网络安全保障水平。

自2017年6月1日《中华人民共和国网络安全法》i正式落实以来，监管机构一直积极参与中国的数字化转型。为进一步监管数字化环境，监管机构还实施了更加详细的规定和条例，例如新的网络安全等级保护制度2.0标准以及《个人信息出境安全评估办法（征求意见稿）》。虽然就数字化转型而言，其环境看似更加严格了，但是详细的条例将有助于企业在制定其经营战略的初期就把法律要求纳入考虑。国家和地方条例的发展，促使中国企业及其网络安全团队在网络活动监管过程中发挥重要作用。为此，网络安全团队需要转变思维模式，才能支持企业的战略目标。

此外，人工智能、区块链和云计算等新兴科技已经成为不可忽视的力量。未来数年内，5G移动通信技术必将取代4G标准，5G的网速会快100倍，而且网络承载能力则是4G网络的1000倍，更加有利于这些新兴科技的发展与融合。2面对实现增长的压力，企业在运营中更倾向于采纳这些科技创新。新兴科技有助于催生更容易获取、更具个性化的产品和服务，而在隐私和数据保护方面的要求也会随之提高。

为了提升数字信任，风险管理对于如何负责任地使用新兴科技的重视程度越来越高。3考虑到具体国家法律法规对企业数字化转型的影响，企业逐渐地从一开始就承担起这项责任。企业首席高管们积极以身作则，针对如何处理隐私和数据保护问题与监管机构和政策制定者开展合作。

普华永道2019《数字信任洞察之中国报告》对中国内地企业建立数字信任的举措以及企业网络安全团队为建立数字信任所发挥的作用进行了评估。本报告旨在为网络安全团队如何通过企业网络安全建设提高竞争力提供建议。本报告汲取了《全球数字信任洞察问卷》（过去称为全球信息安全状况®调查）对来自89个国家和地区的3000多位企业高管和 IT专业人士展开调研的成果。中国报告代表的是中国内地（以下简称"中国"）121位受访者的观点。此次调研在2019年3月至4月之间进行。

数字化转型带来的风险

随着企业的数字化转型，中国私营企业发展迅速。就企业预期从数字化进程中获取的价值而言，32%的受访者预计企业收入将会提高（全球：27%），26%的受访者希望研发出新产品或进行产品创新（全球：9%），12%的受访者则希望提供更好的客户体验（全球：16%）。

数字化转型为促进企业发展和创新带来了大量机会的同时，也导致了企业需要应对转型期间所来带的特有风险。从中国企业高管和IT专业人士的角度来看，数字化进程中面临的最严峻风险是数据治理或隐私问题（中国：28%；全球：11%）。中国企业普遍对数据收集和传输存在顾虑，而加强信息安全和对个人数据收集的保护是国家战略重点。

企业网络安全团队需要解决客户、员工及企业其他利益相关者与新科技成果之间的互动方式问题。中国受访者也面临着数字化转型带来的创新风险，即推出新产品、服务和流程所产生的风险（中国：19%；全球：8%）。我们预估到会有这样的情况发生，因为四分之一以上的中国受访者想要在数字化转型过程中进行产品研发或创新。管理这项风险需要对业务部门进行企业数字化战略的教育培训，让其了解创新对其业务运作的影响。

中国信息通信研究院数据显示，2018年中国数字经济总量达到31.3万亿元，占中国GDP比重超过三分之一，接近35%。鉴于私营企业在数字化进程中的发展状况，它们比以往更容易受到网络安全攻击。因此，网络安全是中国企业高管和IT专业人士面临的另一个重要风险（中国：18%；全球：29%）。

在企业数字化转型风险管理能力方面，认为自己效率极高的中国企业高管和IT专业人士（24%）比例低于全球受访者（31%）。多数中国受访者（55%）对此看法不太乐观，认为在管理这些风险方面只是略有成效（全球：40%）。

虽然大部分中国受访者表示建立数字信任是企业优先事项（中国：90%；全球：85%），但在数字化转型快速发展的情况下，其风险管理能力有所欠缺。对企业高管和 IT专业人士而言，他们最缺乏建立数字信任的能力，包括不确定如何实现企业转型目标（中国：17%；全球：11%），不确定未来10年其数字战略将有何变化（中国：15%；全球：11%），不确定其数字计划将取得怎样的成果（中国：14%；全球：13%）。

科技企业集团百度、阿里巴巴和腾讯正在引领中国的数字化新趋势，并颠覆着金融服务业、零售业和旅游业的发展。这些互联网巨头不断打破技术障碍，传统企业面临压力，导致一些老牌企业与时代脱节。由于88%的中国受访者来自非科技行业，包括工业制造业、金融服务业或零售和消费行业，显而易见，其中部分企业所处的行业受到科技巨头的颠覆性影响，但他们无法跟上变革的速度，发现自己对于如何完成企业转型目标或数字化目标茫然无措。为了缩短这些差距，中国企业正逐渐加强其网络安全计划，重新规划企业网络安全团队的工作方式。一些企业正在考虑将数字创新流程外包给第三方技术服务供应商，其他企业正在经历由行业协会（以及监管机构）推动的数字化转型，这些举措将强化整体企业生态系统，并为企业谋求数字发展提供支持。

网络安全计划与业务发展并进

当很多企业纷纷主动采用科技主导型商业模式之际，为了建立数字信任，网络安全计划必须要与企业目标相称。为此，网络安全团队需要加快推进企业战略，了解企业风险承受能力，而首要事项是在数字化转型过程中管理风险。

事实上，从一系列衡量指标来看，多数中国受访者的网络安全与业务发展相配的程度高于全球受访者。83%的受访者表示，其网络安全团队正嵌入企业的业务当中，他们不仅熟悉业务策略，而且制定了支持业务需要的网络安全策略（全球：72%）。83%的受访者认为，其网络安全团队与其他所有管理企业风险的部门建立起战略合作关系，防范企业面临的最严峻威胁和风险 （全球：68%）。81%的受访者认为，其网络安全团队在网络风险和相关风险问题上能够与董事会和高级管理层进行有效沟通（全球：70%）。

为了实现以战略及业务为导向，中国网络安全团队采取哪些不同的做法呢？在问卷中，我们调查了那些成功转型并满足业务发展需求的企业，他们对自己的网络安全团队工作开展方式进行了排序。选项最多的26%受访者表示，其网络安全团队与业务团队密切合作，确保网络安全策略与业务需要相配（全球： 18%）。15%的受访者提到，其团队正在应用自动化及新兴科技提高网络安全能力（全球：11%），而8%的受访者将加强第三方风险管理（全球：13%）。

然而，中国企业网络安全团队处于落后的方面是，频繁地向公司董事会（中国：4%；全球：5%）和企业首席高管（中国：4%；全球：7%）。网络安全团队必须与董事会和高级管理层一起探讨网络安全风险问题。这样一来，董事会和高级管理层才能承担起公司某些领域的网络风险策略的责任，例如为网络安全事件提前做好准备，应对网络安全事件，以及提高员工网络安全意识等。

iv. NIST《网络安全框架》使用通用语言根据业务和组织需求解决和管理网络安全风险，而且不对业务提出额外的监管要求。受访者使用能力成熟度模型集成（CMMI）的成熟度对具体类别进行排序，成熟度按照阶段式表示法分为五个等级：初始级、管理级、定义级、定量管理级和优化级。本报告分别显示排名最高的两项成熟度结果。

网络安全活动的成熟度

深入了解网络安全团队的哪些做法能更好地与企业目标相配无疑非常重要，与此同时，衡量网络安全团队现有的网络安全措施成熟度同样大有裨益。此次调研在这方面对企业进行评价，评价的依据是美国国家标准与技术研究院（NIST）所发布的《网络安全框架》5中的具体类别，包括五个主要网络安全功能：识别、保护、检测、响应和恢复。

成熟度方面，中国网络安全团队在"响应"和"保护"两项功能中成熟度最高，在"识别"功能中成熟度最低。这一情况堪忧，因为这说明调研受访者只处于响应状态，在风险发生后采取缓解措施，而未能充分识别风险并防范于未然。这表明网络安全团队在识别关键资源和企业情况，从而根据企业风险管理策略和业务需要促使企业重点保障网络安全方面较为薄弱。于是，网络安全团队只能进行损害控制，或只能在侦测到事故后为企业提供支持，而且对企业的保护方式也只是减弱或遏制事件的影响。

究其原因，或许是更少比例的中国受访者（相对其他类别）认为，其网络安全团队在保障企业生态系统时采用的是基于风险的方法，而不是就事论事处理问题（中国：69%；全球：63%）（见图2）。与同业相比，更少比例的受访者认为其企业采用NIST《网络安全框架》等标准框架对网络安全团队的能力进行评估（中国：75%；全球：68%）（见图2）。采用基于风险的方法开展网络安全活动，使用标准框架进行自我管理，中国网络安全团队才能充分预测和管理系统、人员、资产、数据以及性能方面的网络安全问题。

与其他类别相比，企业高管和IT专业人士认为（"识别"功能内的）"资产管理"类别相对落后，若要保证与网络安全的一致性，则需要识别机构中的实物资产和软件资产。另外，过去12个月内，因此，与其他类别相比，相对较少的中国网络安全团队参与到企业新产品和服务的"安全与隐私"设计当中（中国64%，全球：60%）（见图5）。

中国企业在（"识别"功能内的）"治理"类别中成熟度也相对较低，该类别内容包括识别符合外部法律及监管要求的治理项目或网络安全政策。这与事实相符，过去一年内，相对其他类别，较少网络安全团队为了遵循新法规要求而采取跨部门措施（中国：60%；全球：53%）（见图5）。国内网络安全团队必须清楚中国网络安全监管架构，并确保现有控制措施与当前及未来法律法规保持一致。虽然《中华人民共和国网络安全法》已于2017年6月开始施行，但是许多法律条文仍有待通过规定和条例的实施来加以完善和解释。

然而，中国网络安全团队在（"响应"功能内的）"沟通"类别中表现出色，因此在网络安全问题发生后，能够有效地管理与内部和外部利益相关者的沟通。（"保护"功能内的）"数据安全"类别的成熟度也较高，公司数据管理得当，以保障信息的保密性、完整性和可用性。

重要商业启发

过去20年，数字化转型带动中国企业快速发展，却导致数字信任度下降。为了重新建立数字信任，网络安全团队需要从应对重大风险转变为主动识别重大风险，其中包括：

确保网络安全策略与业务发展并进

这需要网络安全团队加快推进企业战略，了解企业风险承受能力，有效管理与数字化转型相关的企业风险。例如，这或许需要将安全和隐私保护纳入到企业新产品和服务中。

遵循基于风险的方法和标准框架，以加强"识别"功能

网络安全团队在从事网络安全活动时，需要提倡使用基于风险的方法和标准框架解决问题。如此，他们可以加强自身能力，以识别关键资源和企业情况，从而根据企业风险管理策略和业务需要促使企业重点保障网络安全。

使用自动化及新兴科技提高网络安全能力

通过机器学习实现自动化以及使用人工智能、机器人流程自动化或物联网等新兴科技，为网络安全团队带来独特机会，帮助其提升网络威胁情报、防范和恢复方面的功能。

制定治理计划，以遵守外部监管要求

网络安全团队有必要制定治理计划，以满足网络安全、数据治理和隐私方面的外部监管要求，在中国尤应如此，原因在于其战略重要性，以及该领域发展一日千里。

将网络安全作为企业问题处理，而非将其归为IT问题

网络风险是整个企业范围内面临的问题，因此涉及公司董事会、管理层、业务部门主管以及IT和安全职能部门。网络安全团队需要与董事会和高级管理层共同探讨网络安全风险问题，以便董事会和高级管理层负起企业网络风险策略的责任。为了制定适当的网络安全计划，企业还需要考虑让员工参与其中。员工可通过培训和遵守企业标准及指引的方式为网络安全出一份力。

灵活响应和改进

灵活性是产品或服务开发领域中非常热门的概念之一。要将灵活性与网络安全计划相结合，不能只关注技术本身，还要重视整个管理流程。通过追求灵活响应和树立精益求精的文化，网络安全团队可以在其计划中实现效率和建立高度信任。

通过这些步骤，中国网络安全团队可确保其所在企业具备良好条件，以利用数字化转型的优势，同时主动检测和降低风险。通过加强防范能力，网络安全团队能够做好本分、未雨绸缪，提高企业竞争能力，以免企业因为安全、信任和声誉问题而影响盈利能力。

（报告来源：普华永道）

登陆未来智库www.vzkoo.com获取高端报告。

（本文仅供参考，不代表我们的任何投资建议。如需使用相关信息，请参阅报告原文。）