王国维说,看书有三种境界:
第一境界:昨夜西风凋碧树,独上高楼,望断天涯路。
第二境界:衣带渐宽终不悔,为伊消得人憔悴。
第三境界:众里寻他千百度,蓦然回首,那人却在灯火阑珊处。
在小编看来,网络安全合规工作的发展,也经历三重境界:
第一境界 被迫合规,关注“不实现合规的坏处有什么”
这部分群体,大部分是社会上规模较小的单位。提到网络安全,第一反应就是不耐烦和又需要花多少钱。
对于这种情况,小编觉得有两个原因:一是他们并不真正理解网络安全对于国家安全的意义,觉得“这与我无关,自有那些大人物去操心”,二是确实没有多余的财力投入了。
毕竟网络安全是一件与经济强关联的事情,我们从来也没见过哪个经济落后的国家或者地区把网络安全做得很好的。因此也很难让一个刚刚温饱的机构去锦上添花。
这种情况下,就需要我们的监管部门带着强制的手段开展各项检查和专项行动,断了他们得过且过和继续张望的念头。我们常说的法律的“滞后”在这里倒是刚刚好——滞后的时间宽容地成全了这一小部分“缓慢的成长”,但是法律的刚性也强调了“强制合规”的底线。
所以他们追求的,就是 以尽可能低的代价完成任务,图一个平安免打扰。
第二境界 主动合规,关注“实现合规能带来什么好处”
在省级机关事业单位、大型国企,安全责任部门的领导往往更关心“合规能带来什么好处”。这里带来的好处包括但不限于:工作成绩、奖励荣誉、降低风险、规避责任(尤其是事后追溯的责任)。
在实际工作中,他们其实是非常辛苦、甚至是有苦难言的。单位级别不低,但真正能够专职做安全的人手却有限。因为被打上了“安全责任部门”的标签,很多时候还要承担“看起来和安全差不多、反正都是那一摊”的各项工作,例如:网络运维、信息化设备管理、报修、保密管理等。
而与之不对等的,是“网络安全主体责任”、“安全协调小组办公室”等无法推卸的责任,需要时常面对多个监管部门的轮番检查、填写报送名目繁多的自查表格、统计数据、协助提供各种材料。
他们就像是后续乏力的少年,营养不全的植物。
一方面根植“网络安全就是国家安全”的教育土壤, 发自内心希望把安全做好, 绝不认为这是一件没有意义的工作,但另一方面 又深受人力、资金和工作压力的限制, 活多人少,多做有时难免多错,还要承受其他部门甚至领导的误解。
常年下来,只好在“安全合规之余能带来哪些一丝丝好处中”得到些许安慰,不,更确切的形容,应该是“哄骗自己得到些乐趣和动力”。他们常说的一句话是“按道理,这件事情应该如何如何,但现在,先做到如何如何也就罢了”。
第三境界 拥抱合规,关注“合规本身关注什么”
在某网约车安全研究院,有一个300人的安全团队。他们最重要的工作,是对已出台甚至还未出台的安全规定进行充分解读,尤其是关注“安全本身关注什么”主动查找自身业务中存在的不符合项,在监管部门检查发现之前,先一步提出改进建议并推动落地。
在这里解释一下“合规本身关注什么”这句话。“合规”指的是具体的某一条安全合规法律或规定具体保护的对象和适用的范围,“什么”指的是比对条款,本机构对应到哪些业务流,哪些数据要素、哪些执行环节。
直白一点,就是:只要有规定,我都主动查找自身业务中存在的不符合项,在监管部门检查发现之前,先一步提出改进建议并推动落地, 尽快合规、主动合规、并且将合规的范围落实到所有的业务生产环节。
同样的事情也发生在大型央企某安科技,约300人的安全团队中,有近20人专职解读各类安全管理规定和检查要求,并落地转化为集团公司内部正式下发实行的管理制度。执行范围根据具体要求不同有所区别,但原则就是要确保全线业务合规。
这种将外部规定转化为内部规章制度并确保落地的过程,就叫做“ 外规转内规 ”,而转化之后,再根据不同的需要,转化为“ 让一线员工听得懂的安全规定 ”,则是实现了“ 让安全从纸面文字跳下来,真正落地生根 ”的效果。
有幸亲身经历10余年来等保的发展,小编时常感慨,这一切都发生得如此不知不觉,浑然天成。令人欣喜的是,有过去的十年夯实基础,改变观念,未来数据安全、密码安全的发展之路,必将快速前行,迎来“主动拥抱、权责并重”的明天。
回顾过往,就让这“蓦然回首”的感慨记录下我们的奋斗历程,也祝福我们的未来更多一份“胸有成足”的把握。
与各单位从事安全合规工作的读者共勉!