随着《网络安全法》、《数据安全法》、《个人信息保护法》,以及最近的《工业和信息化领域数据安全管理办法(试行)》等法律法规办法的颁布,网络及数据安全的重要性不言而喻。本文目的不是阐述网络及数据安全政策法规或者技术解决方案,而是面向专精特新小巨人及制造业单项冠军(本文均统一简称为“专精特新工业企业”),就网络及数据安全防护问题:“如何发挥专精特新工业企业“内在能动性”(主动去做),而非“被监督/被检查/被要求”(被动去做)”进行探讨。
一、专精特新工业企业的特征及其重要性
中小企业富有活力、善于创新、经营灵活、反应敏捷,具有很多大企业不可比拟的竞争优势。其中,专精特新“小巨人”企业、制造业单项冠军等更是独居优势,是培育经济增长新动能、助力实体经济发展、促进我国经济未来持续增长的中坚力量。
(一)定义:
1、“专精特新”企业是指具有“专业化、精细化、特色化、新颖化”特征的工业中小企业。专精特新“小巨人”企业,即为“专精特新”中小企业中的佼佼者,是专注于细分市场、创新能力强、市场占有率高、掌握关键核心技术、质量效益优的排头兵企业。
2、制造业单项冠军企业是指长期专注于制造业某些特定细分产品市场,生产技术或工艺国际领先,单项产品市场占有率位居全球前列的企业。
简言之,“专精特新”可以认为是一种企业发展模式,在某种意义上,“专精特新”小巨人企业是制造业单项冠军前一个阶段,制造业单项冠军可以说是经济全球化、产业结构转型升级、供给侧改革背景下专精特新“小巨人”企业的升级加强版。
(二)所在领域的重要性:
当前九成以上专精特新“小巨人”企业聚焦工业“六基”领域(核心基础零部件、核心基础元器件、关键软件、先进基础工艺、关键基础材料、产业技术基础)和制造强国战略明确的十大重点产业领域,具有专业程度高、创新能力强等特点。
(三)经营管理具有一定先进性:
截至目前,工信部公布认定专精特新“小巨人”企业共计3 批4922家,单项冠军企业5 批596 家,总计约5500家。其经营特征表现为:企业有完整的精细化管理方案,采用先进的企业管理方式,如5S管理、卓越绩效管理、ERP、CRM、SCM等;企业实施系统化品牌培育战略并取得良好绩效;企业产品生产执行标准达到国际或国内先进水平等。
二、专精特新工业企业的网络及数据安全现状及相关监管工作
(一)专精特新工业企业网络及数据安全现状:
正由于上述经营管理方面的优势,专精特新工业企业在工业互联网应用方面,在同行业内也是处于领先地位。而随着我国工业互联网发展进入实践深耕阶段,这些企业安全防护水平也亟待提升,风险隐患开始突出,一旦发生安全事件则影响严重。按照《工业互联网企业网络安全分类分级指南(试行)》标准,结合实际的评估工作经验,专精特新工业企业的普遍安全状况表现为如下:
01网络安全风险
网络IP化、无线化、组网灵活化,给工业互联网环境下的工业控制系统带来更大的安全风险。TCP/IP等通用的网络协议在工业网络中的应用,大大降低了网络攻击门槛,传统的工业控制系统防护策略无法抵御多数网络攻击。
02数据安全风险
工业互联网业务结构复杂,工业数据更是种类多样、体量巨大、流向复杂,而且涉及大量用户隐私数据,导致工业数据保护难度增大。
03数据备份及恢复风险
大多数工业互联网企业未定期开展数据(业务数据、配置数据、审计数据等)备份和数据备份文件恢复性测试,一旦系统出现故障,会出现需要恢复数据存在无数据可恢复的情况,或者备份的数据未经过测试,导致恢复数据失败的情况,将会企业造成极大的损失。
04企业网络安全制度的缺失
虽然有明确的制度要求,但企业内部仍然缺失管理抓手和支撑力量,而且责任不清, 对内部的管控不足是普遍现象;有针对性的工业企业网络安全制度建设比较滞后,主要工业企业网络安全防护基本是以合规为主,管理制度也相对简单,缺乏针对性。
(二)工信部推出多项政策加强对工业互联网安全工作的监管:
为有效应对上述问题,工信部持续推动完善相关网络及数据安全各项政策,以提升安全能力。包括不限于《关于加强工业互联网安全工作的指导意见》【〔2019〕168号】;《工业互联网创新发展行动计划(2021- 2023 年)》(2020年12月);《工业和信息化部办公厅开展工业互联网企业网络安全分类分级管理试点工作的通知》(2021年1月),最新印发的《工业和信息化领域数据安全管理办法(试行)》的通知【〔2022〕166号,2022年12月8日】,从网络及数据安全标准、评估检查以及试点等等多角度进行推动企业注重及提升网络及数据安全能力。已颁布的各项网络安全管理办法、分类分级指南等,都是希望推动上述问题的逐步解决.这些政策都是非常必要的及时雨,给企业指明了网络及数据安全提升的方向。
三、专精特新工业企业网络和数据安全—深层次问题:管理层的意识问题
专精特新工业企业具备专业化发展战略,普遍具有经营业绩良好、有科技含量高、设备工艺先进、管理体系完善、市场竞争力强等特点,为何在网络及数据安全防护力度上,其表现远远与其制造业的身份地位不相符?除工业企业传统特性外,还有如下深层次管理层意识问题:
1、假如某工业企业在资金有限前提下,是扩展生产能力,还是用于网络及数据安全防护?
2、如果资金没有问题,管理层会否足够重视?有建立完善的安全管理制度,配备专业人员,建立一定的安全防护体系?
3、如上述2个问题已有一定解决,制度、专业人员、设备都有一定基础,是否企业就能达到“物尽其用”,真正发挥这些人财物的作用,真的“安全无忧“了?
上述3个问题代表了不同阶段、规模或者层次的专精特新工业企业。从实践中,我们发现大部分企业管理层对1、2、3的答案都是否定的。简言之,因为“网络和数据安全防护-经济效果不显性-而不重视”。
四、管理层“意识问题”解决思路——引入两个层面保险机制
(一)企业管理层面:“董监高责任险”
1、董监高责任险定义及作用:
董监高责任险是指公司董事、监事及高级管理人员在行使职权的过程中,因工作疏忽、不当行为被追究责任时,由保险公司赔偿法律诉讼费用及承担其他相应民事赔偿责任的保险。作用如下:
(1)购买该保险,可以将公司高层因个人原因需要承担的责任,或者企业需要为高管个人责任承担的补偿等,通过投保的方式转移至保险公司。
(2)该责任险还能解除上市公司高管在履职过程中的后顾之忧,有利于发挥高管的积极性与能动性,提出更加富有创造性的决策。
(3)当高管出现履职不力,或者上市公司遇到资不抵债的困难时,董监高责任险保单也可以用于赔偿利益受到损害的投资者。
随着法制环境的完善,越来越多的企业强化治理结构,其中一项就是董监高责任险来化解经营及管理风险。有统计数据显示,自2020年至今,有60%购买该保险的上市公司属于制造业,今年以来国内已有数百家上市公司计划或已经投保这一保险,保费接近两亿元。
1、“董监高责任险”本身的风险--网络安全事件迭出,网络安全风险成热点:
有国际保险巨头研究分析显示,从国际市场来看,虽然董监高责任险化解了相关的风险,但是由于复杂的经济环境、政治环境和社会环境的变化,对于这一保险本身也面临着多项风险--网络安全风险高居第二。
(1)近日,安联全球企业与特殊风险(AGCS)发布报告提纲,2023年企业管理有五大风险需要防范:宏观经济和衰退风险,对网络安全风险的斗争,环境、社会和治理方面的披露和暴露,美国集体诉讼证券诉讼,反垄断和竞争风险。
(2)其中第二个风险“对网络安全风险的斗争”,主要是指网络安全事件的数量急剧增加,数据泄露等事件的后果对受影响的公司来说是毁灭性的,包括罚款、昂贵的泄露通知程序、业务中断和强烈的负面宣传。无论是勒索软件、供应链还是数据泄露事件,在当今蓬勃发展的数字经济中,各类公司都面临着不断变化的网络安全威胁,网络风险管理被认为只是IT部门的职责的日子已经彻底过去。
(3)数据安全和信息保护等问题是网络安全管理的关键,鉴于处理网络事件的潜在成本和后果,以及世界各地更严格的数据泄露和隐私法规的扩展,网络安全复原力越来越被视为任何企业的重要因素。在世界各地,董事们已经被要求承担责任,包括在间接和直接诉讼中,因为他们被指控未能建立适当的公司治理措施来保护网络安全风险。
3、“董监高责任险”本身风险的再防范:
综上,单一的“董监高责任险”对承保的保险公司而言,已比较难以复制并规模化发展。而能分担网络及数据安全风险的“网络安全保险”将成为与之匹配的产品,从而推动宏观层面(管理)与微观层面(执行)相结合的、高层管理者主动作为、网络及数据安全管理可体系化的一揽子方案得到落实。更重要的,如在“董监高责任险”中,把“网络安全风险的不作为”定义为“不当行为”,则从根本上让董监高管理层重视并强化网络安全风险防范。
(二)网络及数据安全技术层面:“网络安全保险”
1、政策层面:
2022年11月7日,工业和信息化部会同银保监会公布《关于促进网络安全保险规范健康发展的意见(征求意见稿)》,明确面向电信和互联网、能源、金融、医疗卫生等重点行业,以及工业互联网、车联网等新兴融合领域,开展网络安全保险服务试点,形成可复制、可推广的网络安全保险服务模式,促进网络安全保险推广应用。
2、网络安全保险产品的目标:
在得到政策面的支持下,从具体网络安全保险角度,设计合适安全产品与保险融合品种,“高性价比”安全产品/“智能化”全程安全服务/可“兜底”(生效)的保险机制,可较好的解决上述问题,从而可达到如下目标:
(1)通过承保前购保条件,协助企业找到差距,用性价比较高安全产品完善网络安全体系;
(2)承保后保险风控及监督,提醒企业主动遵守正确安全策略及规范,降低企业出险概率;
(3)出险后应急处理,不仅止损而且不用承担应急费用,且对已发生损失由保险进行赔付。
3、对企业降低网络安全风险的意义:
(1)安全产品及服务与保险三者融合后,除产品本身功能外,主要利用保险机制,通过安全服务把保险的风控意识贯穿至:企业网络安全风险预防管理、事中日常安全管理、事件发生后应急处置等全流程。
(2)这种把网络安全“产品+服务+保险”三方进行统一协调/行动一致的立体构架体系,不仅可把产品功能最大效用化,而且通过持续性安全服务与保险风险管控方式,把企业内部从执行层面人员的“安全意识”与“执行力”焕发出来,从源头降低安全故障率,减少由网络安全事故带来的损失,最终达到牢固网络安全防护目的。
(三)融合“董监高责任险”+“网络安全保险”,有效解决网络及数据安全问题”
1、专精特新工业企业,在国家级中,已有300多家企业在 A 股上市;后续金融市场在支持“专精特新”企业方面也将起积极作用,会优先支持创新能力强和发展潜力大的“专精特新”中小企业在主板市场、科创板、新三板等上市,提升直接融资比重。例如,海南省股权交易中心设立“专精特新板”;广东提出,力争未来 5 年推动 300 家“专精特新”中小企业登陆沪深交易所主板、创业板、科创板、新三板等。由此可见,专精特新工业企业将会越来越多走向资本市场。
2、这些既是专精特新工业企业机遇,但也给这些企业的公司治理尤其是董监高带来责任与压力,而且还都会面临着“数据安全和信息保护、处理网络事件的潜在成本和后果,以及世界各地更严格的数据泄露和隐私法规的扩展”等网络及数据安全问题。与上文列举的其他四大风险“宏观经济和衰退风险,环境、社会和治理方面的披露和暴露,美国集体诉讼证券诉讼,反垄断和竞争风险”比较,显然,“对网络安全风险的斗争”对管理层而言,相对是陌生且不太可控的。
3、“董监高责任险”+“网络安全保险”的融合,可提升管理层重视度,从而将网络及数据安全落到实处
“网络安全保险”不仅解决了企业管理层对“安全产品防护效果”的顾虑,又因“网络安全保险”的承保,减轻“董监高责任险”的承压,从而获得更多保险公司的参与,提升董监高责任险的优化。最终,二者的融合,减轻管理层的“非可控”(防不胜防的网络安全事件)层面的压力,精力放在主营业务上,吸引优秀人才担任公司董监高,有助于强化公司治理;帮助解除其履职行权中的后顾之忧。而对企业的IT部门而言,因为有网络及数据安全相关保险的风控要求,IT部门可以得到企业各个业务/生产/管理部门的重视,其提出的安全要求、规范及制度也能得到各部门及人员真正的贯彻与落实。
五、完善相关政策的建议
上述保险机制设立后的举措看,从管理层意识,到执行层有了抓手,是一个较好的网络及数据安全防护体系建立的起点。但这要让广大的专精特新工业企业认识到重要性,且上升到“提高专精特新工业企业整体生态网络及数据安全”的高度,建议有关部门从财税、资本市场以及主管部门等方面出台政策以推动实施落地:
第一,对网络安全保险购置等成本给予相关的减税降费等政策,网络安全保险的减税降税政策,能降低专精特新中小企业的企业成本负担;且在保险机制建立初始阶段,能够引发企业广泛关注并积极参与;
第二,对拟IPO专精特新工业企业-作为衡量公司治理规范的“加分项”:把“董监高责任险”+“网络安全保险”作为这些企业在登陆沪深交易所主板、创业板、科创板、新三板等,一个明确的“加分项”,把从传统的治理规范的“制度性描述”以量化形式得以佐证。
第三,对向工信部新申“专精特新工业企业小巨人”等更多后备优秀企业,可将“网络安全保险”作为加分项,以作为新申企业重视内部网络及数据安全建设的佐证。
注:上文内容有引用:智慧保“董监高责任险”直面五大风险文章-来源网易新闻20221217
(本文作者:广州竞远安全技术股份有限公司 何丽萍)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。