如果你对该问题感兴趣的话,推荐你看看《2023年全球数字信任洞察调研中国报告:常备不懈,中国企业构筑未来网络安全防线》这篇报告,下面是部分摘录的内容,具体请以原报告为准。
随着数字经济的进一步发展,世界各国政府正在不断努力跟上新的发展趋势,并实施法规以保 护公众。例如,美国的2022年《关键基础设施网络事件报告法案》要求公司报告重大网络安全 事件,并为上报行为提供激励措施。中国的《网络安全法》包含发生网络安全事件向主管机构 披露漏洞的强制性要求和对违规的处罚v。
在新冠疫情爆发后,人们花费更多的时间使用移动设备,更多的公司采用混合工作模式,加快 了全球转向数字经济的步伐。在这种背景下,自2020年以来,中国企业经历了许多挑战,包括 网络风险内部报告的质量,以及外部对网络事件和措施披露需求的增加。一方面,一些企业可 能采取了“预防胜于治疗”的思路,试图建立一套全面的政策,以确保详尽的内部报告既能比 法规领先一步,又能预防那些可能需要披露的网络事件,从而避免公司声誉受损。另一方面, 一些企业可能正尝试跟上最新的法规,并确保其流程符合规定。
自2020年以来,企业正在加强其网络安全工作并保持谨慎的态度。在中国和全球企业所面临的 影响中,“监管调查、执法行动或法律诉讼”排名最末。
在中国公司对利益相关者的优先级排序方面,首席执行官和董事会占据前两位,而负责网络安 全对策的政府机构和消费者权益保护监管机构排在第三和第四位。这印证了自《网络安全 法》、《数据安全法》和《个人信息保护法》等法规实施以来,中国企业所面临的披露要求日 趋严格。
与全球同行相比,中国企业往往对法规变化作出更有力的反应,并更加严格地遵守法规。更高 比例的中国高管同意或十分同意,他们的企业有能力对外披露网络安全措施、战略和事件。特 别是,86%的中国企业表示能够在报告期限内提供有关重大或重要事件所要求的信息,88% 的企业能够有效评估网络事件的重要性以便报告。
在研究企业如何管理和披露内部风险时,随着托管服务的普及,企业有必要深入了解其风险暴 露范围。随着全球加强对风险的关注,公司和涉及第三方实体的价值链上的风险透明度更加明 晰。85%的中国高管表示,他们的企业可以提供有关第三方网络风险管理的信息,这比全球 高管高出10个百分点。这一点非常重要,因为41%的中国企业预计,相比2022年,2023年的 第三方违规事件会显著增加。
在日益数字化的经济中,首席信息安全官 (CISO) 被指定负责管理第三方风险。由于企业日常 管理涉及敏感客户数据,公众欣慰地看到企业已经制定管理和治理客户数据的相关政策。在这 些实践中,大多数企业会审查与其共享客户数据的第三方和合作伙伴;然而,更高比例的中国 企业更加频繁地采取这种第三方审查(中国:82%;全球:78%)。考虑到最近实施的《个 人信息保护法》,这样的行动预计将持续,因为数据隐私将成为所有CISO的首要任务。
