无规矩,难成方圆。这句话在现实世界如此,放在虚拟数字世界里也一样。网络安全行业约 30 年的发展历程中,合规始终是一个极其重要的安全发展驱动引擎。从 2017 年 6 月实施的《中华人民共和国网络安全法》,再到 2019 年 12 月实施的网络安全等级保护制度 2.0 标准(简称:等保2.0),以及 2021 年连续实施的《关键信息基础设施安全保护条例》、《中华人民共和国数据安全法》等等,2022 年《网络数据安全管理条例》也正式纳入立法过程。其中,网络安全等级保护不仅是我国的基本国策,更是保障我国网络安全的重要举措。近年来,社会各界对网络安全等级保护工作的重视和了解程度不断提高,但仍有一部分网络运营者因为对等保制度不够了解与重视,而导致严重后果。某科技公司未履行数据安全保护义务,导致存在数据泄露风险隐患被处罚2022 年 3 月,广州警方工作发现,广州某科技公司向各地驾校提供的某驾培平台,储存处理了驾校培训学员的个人信息数据,这些数据被挂在外网售卖。经查,该公司存在未授权访问漏洞,未落实网络安全等级保护制度,存在数据泄露的重大风险隐患。广州警方依据法律条款规定,对该公司作出警告并处罚款人民币 5 万元。某医院第三级等保系统未落实“每年至少进行一次等级保护测评”法定义务而被处罚2022 年 9 月,广州警方工作发现,广州某医院建设运营的“电子病历 EMR 系统”确定为三级网络,并按规定到公安机关进行了等保备案。但该系统自投入运行以来,医院一直未按规定对其安全等级状况开展等级保护测评,经督促整改后仍未进行改正未落等保,未履行网络安全保护义务。某医疗门诊机构信息系统上线运行前,未按规定开展等级保护测评被处罚2022 年 12 月,广州警方工作发现,广州某医疗门诊机构运营使用的“互联网医院系统”确定为三级网络,虽到公安机关进行了等保备案,但该系统上线运行前及运行之后,该机构一直未按规定对系统的安全等级状况开展等级保护测评,未充分落实网络安全等级保护制度,未履行网络安全保护义务。广州警方对该医疗门诊机构作出行政处罚,并责令其限期改正。
这些政策法规、规章条例的数量之多,以及处罚案件的频度之密,都凸显了网络安全合规的重要性和紧迫性。那么,近年来显著加大网络安全特别是等级保护的合规力度,对 SaaS 企业又意味着什么?等保合规力度加大
软件企服市场呈现新趋势是机遇也是挑战
首先,原本一些行业如在线教育、物流、游戏等互联网属性的应用软件不需要过等保, 但是现在都已经被明确要求全行业的企业应用都必须过等保。一些之前不是全行业要求的,由于应用涉及到的用户信息量较大,一旦泄漏会对社会稳定产生潜在威胁的企业应用,也被强制要求过等保,如电商类。各行各业对于网络信息安全的意识也不断提高,很多甲方单位如政府、国企、医院、学校等等,都要求应用软件系统开发商 ISV 必须确保应用系统能过等保,甚至交付的时候就要先过等保。一些投标项目,也明确把等保作为必须符合的应标条件,原因在开头也有提到,目前国内各地公安部门、网信部门依据《网络安全法》对相关单位进行处罚的案例已有多起,故而,民营企业在参与到政企事业单位的投标工作时,被要求提供“安全等保测评”是为符合招标单位需采购符合法律和有关标准要求的网络产品的合规需求。甚至,一些老旧系统原本不需要过等保,但现在甲方为了安全考虑,也都要求应用开发商配合进行等保的整改。目前监管比较严格,不做等保不让运营的行业有:金融、医疗、教育、快递、酒店、物联网行业、软件开发、能源行业、通信行业、交通行业、征信行业、政府机关 、工业数据安全、云计算等。一、政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等;二、金融行业:金融监管机构、各大银行、证券、保险公司等,不做等保不允许经营,监管最严;三、医疗行业:医院、疾病控制中心、计划生育机构、医疗卫生研究机构等,各大医院系统必须做等保,互联网医疗要想上线取得线上诊疗资质,必须过等保;四、教育行业:高校、职校、普教等,211,985 大学必须做等保,互联网+教育如学生管理系统、学校网站等重要系统必须做等保;五、电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等,应上级主管部门要求必须做等保;六、能源行业:电力公司、石油公司等,应上级主管部门要求必须做等保;八、企业单位:大中型企业、央企、上市公司等,等保和负责人的绩效考核挂钩。虽然目前等级保护合规力度加大,但对软件企服行业来说,既是挑战也是机遇。
即然要过等保,那我们要先把过等保之路上的坑讲清楚。首先,不少 SaaS 企业会有这样一个问题:觉得“SaaS 过了等保,用户就不需要再过等保”,“过等保是最终客户的事,跟 SaaS 无关”。那提供软件服务的 SaaS 企业自己过了等保,用户企业还需要过等保吗?《网络安全法》规定,网络运营者要按要求落实等级保护工作。目前,在金融、电力、广电、医疗、教育等行业,主管单位明确要求从业机构的信息系统要开展等级保护工作。因此,SaaS企业交付给这些行业的软件,一上线就要进行等级测评。为了能让上线的软件成功通过等级测评:一方面,SaaS 企业在建设软件的过程中,要参照等级保护相关要求来规范开发过程。同时,SaaS 企业还要结合软件的运营环境,协助用户企业完成技术和应用方面的整改;还要根据软件的部署情况,考虑物理环境、主机环境、IT 运维等方面的内容。此外,SaaS 企业的软件获得等级保护备案证明,并不代表用户企业使用这个软件的时候就不需要再管备案和测评的事情,因为软件的部署环境等是不一样的。用户企业怎么做软件的等级保护,还要参考主管单位的具体要求。等级保护工作包含定级、备案、安全建设、等级测评、监督检查五个环节,在做等保测评之前,企业需要先确定软件的等级保护级别,备案通过后,再根据定级备案结果来进行等保测评。备案是几级,就做几级的等保测评,因为每一个级别的测评要求是不一样的。但是目前市面上的等保咨询机构大多鱼龙混杂,急着做等保的企业稍有不慎就踩坑,付出高昂成本不说,拿到等保证书的时间也巨长无比。对接受软件服务的用户说, 过等保是一件“三又”的事情,又贵又慢又烦!所以一开始大家都会奔着一站式服务而去,但目前市面上一站式服务良莠不齐,很多测评机构和安全厂家也打着一站式服务的旗号,而各自的身份也决定了无法真正站在客户的立场来提供最合适客户的服务方案。对软件开发商 ISV 们来说,一些用户会将等保这项工作甩手给ISV帮忙搞定,所以 ISV 现在普遍有两种选择:如果接这活,由于没有熟悉这方面的经验和人力,对交付没有把握,做不好反而会影响主业项目进度,纠结!不敢接!如果不接,好像又错失了一个提升客户粘性的机会,更别说客户最终还是会要求ISV配合整改,花了时间精力但却并没有收益。可以说是进退两难。软件企服企业过等保是为了自己合规,给用户信心保障;同时,接受软件服务方企业也要为自己的系统过等保,确保自己企业的信息安全。既然软件企服企业自己本身需要过等保,其用户也都要过等保,那为何不顺便选择一家具有丰富一站式等保服务经验的企业合作,给用户提供等保这一可选的服务项?这完全可以成为软件企服企业的一项创收服务。
全云在线一站式等保服务帮助企业解决过等保路上“贵慢烦”的痛点:1. 全国范围一站安全等保服务,让客户省时省力过等保提供等保测评全过程贴心服务,一站等保咨询:定级备案、差距测评、整改、测评报告、安全检查,全程专人项目管理;全国范围对接协调相关机构: 监管部门、测评机构、专家库、安全产品厂家、基础架构厂家。
2. 真正从客户角度出发,为客户提供最适合的整改方案有别于安全产品厂家,以专业中立的站位,为客户提供性价比更优、更灵活的整改方案建议。安全厂家的销售在等保项目中通常只会在客户的项目预算中争取更多的安全产品份额,很容易造成客户买了一堆实际并不必要的昂贵的安全产品回来,造成实际浪费;
有别于测评机构,可以为客户提出具体的整改方案,服务更全面、更完整。测评机构由于法规执行的限制,在等保项目中只能充当裁判员的角色,通常不太可能真正站在客户的角度帮助客户去想如何更快更省钱地达到合规要求。只有一站式等保服务商才可能真正以客户的立场作为教练员帮助客户省心省力地过等保。
3. 值得信赖的专业安全服务团队,提供云上云下全栈服务有丰富实际客户案例,无论云上还是机房都有成熟整改服务方案与案例;
具有安全服务实施的相关资质,如 ISO27001, 安全运维资质等等。对于 SaaS 企业来说,等保合规不仅是一项挑战,更是一次业务增长的机会!选择一个可靠的合作伙伴,可以帮助 SaaS 企业抓住这一机遇,实现业务增长。在选择合作伙伴时,企业应该考虑其专业能力、经验和信誉,以确保其能够提供高质量的等保合规服务。通过与合作伙伴紧密合作,SaaS 企业可以更好地满足等保合规要求,提高客户信任度和业务竞争力,实现可持续发展。总结以上内容,对于 ISV 与 SaaS 企业来说,要采取哪些行动抓住这个机遇呢?笔者有以下两点行动建议:1. 加强企业尤其是客户一线团队对于等保合规的学习,不能有“法盲”,最少客户提起来知道怎么回事,也清楚自己的业务所处行业或业务场景是否在强制等保的范围内,能跟客户讲清楚等保测评过程中的角色分工责权利;2. 跟专业的一站式等保服务伙伴建立起长期稳定合作,这样在客户需要过等保时能提供及时专业的服务,加大客户的粘性,赢得客户进一步的信任,而且还能把一站式等保服务业务作为一项增值服务。
