达信:新法亮剑,风险升级,网络安全新环境下企业如何应对?

摘要: 各种网络事件为企业敲响了警钟,网络安全风险的管理和防控已然成为企业高度重视的课题。在本周达信和苏黎世保险联合举办的网络安全新环境下的企业应对策略研讨会上,我们从法律、保险以及技术方面与大家分享了有关网络风险的相关议题。

11-01 03:28 首页 达信Marsh

之前肆虐全球的“WannaCry”阴影还未散去,新一代勒索病毒“Petya”又横扫了欧美。近日刚刚发布的《中国互联网站发展状况及其安全报告(2017)》显示,中国网站规模发展迅猛,截至2016年12月底,中国网站总量达到475.4万个,同比年度净增长48.7万个,与之伴随而来的就是互联网安全风险的提升。


信息是公司的命脉。现代公司对信息技术和网络的依赖使得他们更加容易遭受数据泄露和网络袭击。客户私人信息以及专利产品信息通常是网络罪犯窃取的重要目标。今年发生的各种事件所造成影响之深之广再次给企业敲响警钟,网络安全风险的管理和防控已然成为企业必须高度重视的课题。

《中华人民共和国网络安全法》已于2017年6月1日正式施行。该法对个人信息保护有了更明确的规定,同时对企业在网络安全管理方面进行规制,要求企业在应对黑客攻击、避免用户损失等安全管理方面应承担相应的义务。



在本周达信和苏黎世保险联合在上海、北京和深圳举办的网络安全新环境下的企业应对策略研讨会上,我们邀请到了国际领先的金杜律师事务所高级合伙人,网络保险市场主要的保险公司之一苏黎世财险网络安全保险业务负责人,和在IT管理咨询领域有丰富经验的普华永道风险及控制服务部门高级经理,从法律、保险以及技术方面与大家分享了有关网络风险的相关议题。小编在此为您总结一下此次研讨会的精彩内容。


网络风险的现状及对企业的影响


网络风险现在根植于各行各业的日常运营当中,对网络依赖程度的加深是决定全球发展的前五大风险之一。现今,网络攻击造成的损失巨大,从直接的收入损失,到受影响客户的赔偿、营业中断、名誉损害或因勒索而支付赎金等等。

从全球范围来看,商业主体的网络风险意识增强,但仍缺乏有效的防范措施。


2017年全球风险格局


根据《2017年全球风险报告》中的2017年全球风险格局显示(上图),在发生概率上,数据欺诈和网络攻击成为下个十年内位居第六的最有可能发生的风险。


亚太地区的网络风险现状



达信财务及专业责任险部负责人及我们的网络安全大使曲婉如女士总结了如下网络风险对企业的影响:


从《网络安全法》看中国网络安全与个人信息保护


来自金杜律师事务所的高级合伙人宁宣凤律师为大家解读了今年刚刚施行的《网络安全法》,介绍了它的适用范围、“网络运营者”的核心基本义务以及“网络运营者”的法律责任。

《网络安全法》(以下简称“《网安法》“)由全国人民代表大会常务委员会于2016年11月7日发布,自2017年6月1日起施行。作为国家实施网络空间管辖的第一部法律,《网络安全法》属于国家基本法律,是网络安全法制体系的重要基础。


《网安法》的适用范围
适用主体: 网络运营者 或 关键信息基础设施(CII)运营者
适用行为:境内建设、运营、维护和使用网络
适用对象:个人信息,重要数据


“网络运营者”的核心基本义务



“网络运营者”的法律责任



网络风险与保险解决方案


苏黎世金融险部的高级核保经理王树楠先生则为大家详细介绍了网络风险、网络安全及网络保险的相关内容。


网络风险是指通过恶意行为影响或者瘫痪一个组织的信息科技系统使其遭受财产损失、经济损失、业务中断或者商誉损失的风险。它遍布于各地区、存在于各类型、规模的企业。既可以来源于外部也可以从内部引发。


网络安全的目的在于帮助企业建立和维持一个安全的可持续的商业运营。不是仅仅依靠IT安全来实现的,它是通过一套系统的风险管理制度来实现的,风险规避、风险控制和风险转移等手段之间不存在替代关系。


网络安全保险保障企业因发生网络安全事故或隐私泄露事故造成的第一方损失和导致的第三方索赔。


网络风险造成的损失类型



网络安全保险不仅仅是一纸保障合同,更是一份服务合同。


事故前服务(Pre-incident Services)

  • 网络安全知识在线培训

  • 网络风险远程和现场评估服务

  • 企业危机响应方案评估服务

  • 事故模拟演习

  • 外部和内部漏洞威胁检测

  • 企业网络安全战略制订和管理


事故后服务(Post-incident Services)

  • 7*24小时报案电话

  • IT调查取证服务

  • 会计审计服务

  • 公关服务

  • 法律顾问咨询服务

  • 谈判专家服务


网络安全保护思路


最后来自普华永道风险及控制服务部门的高级经理刘广坤为我们带来了有关网络保护的新思路。


全球隐私数据的保护概况



刘经理建议企业以业务为导向规划网络安全。


  • 企业不清楚其信息安全能力和成熟度在同行业的横向比较中处于何种水平,对于本行业所面临的安全威胁亦缺乏清晰认识。

  • 企业的信息安全资源往往投入在合规性等强制要求上,与应对现实风险仍有差距,安全事故依然频发。

  • 信息安全被视为成本中心,未被视作企业整体战略的一个有机组成部分。

  • 信息安全没有融入企业文化,各业务部门对信息安全的认识参差不齐。


风险管理才是网络安全管理的核心。


  • 监管机构以及内外部审核对于企业信息安全施加的压力与日俱增。

  • 当今世界,任何拥有私有数据或涉及国际商业交易的企业都是潜在的攻击目标。

  • 随着物联网、云计算、大数据、移动计算等新技术的应用,企业边界日益模糊,传统的边界安全思想已不能适应新的需求。

  • 企业需要将以技术为主导的控制测试(例如:渗透测试)和高层次的战略审核有机的结合起来。


如果您想要了解更多有关网络安全的内容,请联系贵公司的达信代表,或者联系我们的中国网络安全大使:


曲婉如
+86 21 6096 5749
iris.chu@marsh.com



首页 - 达信Marsh 的更多文章: