17日，普华永道发布《2019年数字信任洞察之中国报告》指出，从一系列衡量指标来看，中国企业管理者认为网络安全与业务发展相匹配的程度高于全球平均水平，但风险管理工作尚未成熟，仍处于“被动应对”阶段。

“对日常生活的影响不仅仅是数据的丢失，也会威胁到生命健康，比如无人驾驶领域的网络安全问题。” 普华永道中国网络安全和隐私保护服务合伙人冼嘉乐说。5G时代，黑客的攻击伴随着网络速度加快，攻击的速度会更快。同时，万物互联意味着攻击的影响面将更广，不仅仅是电脑系统网络，还包括智能家居、工业。

根据普华永道的调查，中国受访企业在“网络安全贯穿于运营和研发过程”、“网络安全团队深入业务、熟悉业务策略并制定支持业务计划的网络安全策略”以及“网络安全团队在网络风险和相关风险问题上建立战略合作伙伴关系，防范企业面临最严峻威胁和风险”三项上的认可程度均领先全球企业10%。总体而言，调查显示中国受访者的网络安全与业务发展相匹配的程度高于全球受访者，显然中国受访者相对更为乐观。

但是情绪乐观不代表安全风险低。根据2019年Veeam（卫盟）云数据管理报告，停机每年为中国企业带来1490美元的损失，77%的中国企业用户无法满足用户对应用程序和数据的不间断的访问需求。

卫盟软件是一家数据备份、恢复和复制解决方案的厂商，一方面提供与多个虚拟机管理程序、物理服务器和断电的集成，以及基于共有云和SaaS（软件即服务）的工作负载；另一方面，与云、存储、服务器等应用程序供应商合作，联合提供强大的云数据管理平台。

“现在对很多企业的挑战是什么？他们没有非常良好的数据管理体系。其结果就是，有38%的企业认为管理不好的数据对他们造成宕机、停机，对品牌的声誉或者名誉带来很大的损害；还有54%的企业因为停机的情况，给他们客户带来非常不好的体验，客户对他们的信任和信心带来损伤。”卫盟企业战略副总裁 Dave Russell接受第一财经在内的媒体采访时表示。

在第三方的风险管理和汇报网络风险问题方面，中国落后于全球。“在应对安全事故中国是以事件驱动的类型为主，采用的是止损控制，（考虑）如何减弱产生的影响，企业可能会疲于应对事件的发生，跟进分析和预防、风险识别相对薄弱。” 普华永道中国网络安全和隐私保护合伙人李睿说。

事实上，超出企业管理概念范畴的风险管理越来越必要。网络安全也已经超过了单一IT部门的问题，而是需要内控、安全、业务等部门协同完成，上升到企业级别的统一管理。特别是随着数字化转型的发展，不少企业把数据创新流程外包给第三方，也容易导致风险管理能力有所欠缺。同时，某项服务或者操作外包不代表企业可以转移相应的网络安全责任。

李睿建议，需要了解企业的业务风险和资源，基于风险搭建体系框架进行管理。

如今，不少国家也已把网络安全上升到法律法规的层面。

根据《中国网络安全法》第二章网络安全支持与促进的第十五条，国家要建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。

美国国家标准与技术研究院（NIST）发布的《网络安全框架》中则包括五个方面的网络安全管控：识别、保护、检测、响应和恢复。普华永道认为，中国网络安全团队在“响应”和“保护”两项功能中成熟度最高。

“新兴科技带来挑战，也带来了助力。数据也会驱动安全，通过AI 分析和机器学习能力，制定数据治理计划，遵守外部监管要求。” 冼嘉乐说。

基于调研，普华永道为中国企业提出6点建议，分别是：遵循基于风险的方法和标准框架，以加强“识别”功能；确保网络安全策略与业务发展并进；使用自动化及新兴科技提高网络安全能力；建立治理框架，以遵循外部监管要求；将网络安全管理作为企业层面的事项，而非将其归为 IT 事项以及灵活响应和改进。

责编：刘佳 此内容为第一财经原创，著作权归第一财经所有。未经第一财经书面授权，不得以任何方式加以使用，包括转载、摘编、复制或建立镜像。第一财经保留追究侵权者法律责任的权利。 如需获得授权请联系第一财经版权部：021-22002972或021-22002335；banquan@yicai.com。