等保2.0时代企业如何实现网络安全价值

（文章来源：百家号）

随着等保2.0时代的到来，云计算、物联网、移动互联、大数据、工业控制系统、区块链、5G等新技术的快速发展，网络安全建设的重要性愈发凸显，等保2.0标准逐步从等保1.0被动防御的安全体系，向事前预防、事中响应、事后审计的动态保障体系转变，注重全方位主动防御、安全可信、动态感知和全面审计，如何利用现有的安全防护技术，提升企业网络安全防护能力，体现网络安全价值，逐渐成为企业高度关注的一个问题。

分析讨论网络安全对企业的价值，首先要弄清楚企业的价值目标。企业价值最大化是公司经营的最高纲领，满足用户的需求、扩大市场份额、加强与供应商的合作伙伴关系、缩短产品研发周期、增强员工的使命感等，所有这些都是为了一个目的，即使公司的价值最大化。

企业价值最大化包含两层意思，一层是财务的观点，即获得尽可能多的利润；另一个则是战略的观点，即获得足够的发展动力、获得持久的盈利能力、获得足够的口碑和赞誉。企业的最高管理当局负有的责任，就是必须在促进公司价值最大化的过程中，创造一种有力的机制，使得公司拥有“智慧”和“长寿”。

网络安全价值作为企业价值的重要组成部分，也存在于两个方面：一是通过提升网络安全风险控制能力，对用户和企业信息的机密性、完整性和真实性进行保护，实现网络安全自身的价值；二是通过提升网络安全工作的效率以及可靠性，支持企业在业务创新、财务收入、管理效率及用户体验等方面实现应有的业务价值。

网络安全价值的实现在于明确网络安全目标及主要工作任务，确保网络安全目标与业务目标一致，并从工作任务的紧迫性、可实施性、实施难易程度和预期效果等四个角度进行综合分析，制定任务优先级和实施计划，提升网络安全工作的合规性、全面性、前瞻性和可执行性，确保合理分配相关资源和投入。网络安全价值实现的过程，可理解为网络安全建设规划实施的过程。

从业务发展的角度出发，分析业务运营活动中的用户及其安全需求，确保个人隐私及商业利益信息在网络上传输时受到安全保护；从IT战略角度出发，随着互联网蓬勃发展，IT战略的支撑作用更加迫切和明显，构筑网络安全体系应充分考虑IT战略发展规划。

风险事件是推动网络安全建设的重要因素之一，风险评估是确定网络安全驱动因素最主要的一个途径，风险评估的结果反应了企业最真实的安全现状，通过综合评估企业的管理风险和技术风险，可以分析并确定具体的安全需求。