CSO：老板，我要涨工资！老板：？？？

0

有一位网络安全专家曾这么说过：“作为一名网络安全专家，我不会贬低安全的重要性。但是大家需要认清一个事实，安全的重要性不如性能，性能的重要性不如功能。”不论是网络安全与信息化，还是信息化与网络安全，业务发展永远是企业的第一要务。

所以，在甲方从事网络安全的工作人员，企业内部的地位相对是比较“低”的，即便银行这种安全需求非常高的行业，网络安全同样要为可用性让步。即使《中国人民共和国网络安全法》（以下简称《网络安全法》）的实施，也不会当然也不能改变这个局面。只不过……

在笔者看来，《网络安全法》不仅仅规定了相关责任人的法律责任和义务，还有一个很重要的意义就是提升社会各界的网络安全意识。这就意味着，甲方的安全团队有希望摆脱这样的工作状态。

这里开个玩笑。不过可以肯定的是，甲方网络安全团队的地位肯定会有所提升，因为伴随着《网络安全法》到来的是，网络运营者的法律责任。

在《网络安全法》第六章法律责任部分可以看到，不论是企业还是负责企业网络安全的个人（比如首席安全官，CSO），都会在违反相关规定后，受到应有的罚款，罚款数额在数万元至100万元之间。

从法律责任和网络安全的重要性来看，涨工资的申请是合情合理的。

1

尽管相关的司法解释还不十分明确，然而《网络安全法》的法律效力却已经崭露头角。

近日，汕头网警依法对汕头某信息科技有限公司给予警告处罚并责令其整改，理由是该企业违反《网络安全法》第十四条第一款规定，等保三级应每年至少进行一次等保测评。该企业在2015年完成等保三级认定后，至今再未进行过等保测评。

据悉，这是首宗适用《网络安全法》的行政案件，非常值得其他企业从中吸取教训。

从中我们可以看到，甲方的安全团队尤其是CSO在地位提升、薪资上涨后，压力也会随之增大。

2

这个案子肯定还会有后续，警告和责令整改并不会是结束。《网络安全法》第六章法律责任部分几乎每一条都有这样的规定：对拒不改正的或者造成危害网络安全等后果的，对企业以及主管负责人处以一定数额的罚款。

所以，在这个案子中，该企业如果在规定时间内完成等保测评当然OK，一次行政处罚而已，如果超过规定时间或者企业在未完成等保期间被黑，造成用户数据泄露等后果，那么根据《网络安全法》等五十九条规定，该企业将会被处以一万元以上、十万元以下罚款，主要负责人将会被处以五千元以上、五万元以下的罚款。

企业被罚几万块倒并不是特别大的问题，可让个人被罚个几万块钱可就不是特别舒服了。在C3安全峰会上，亚信安全通用安全产品中心副总经理刘政平半开玩笑地说“CSO可以申请涨工资来抵消这部分罚款，当然也可以向公司申请报销这笔罚款。”

亚信安全通用安全产品中心副总经理 刘政平

3

另外，我们还可以假设一种情况，假设这家汕头的公司在规定的时间内完成了等保测评。如果完成等保测评后企业没出事，当然万事大吉；如果完成等保测评后还是出事了，那么就该说道说道了。

这里分为两种情况：第一种是企业按照等保要求进行运维，但是无奈遇到了0-day或者其他形式的高级威胁；第二种是未按照等保要求进行运维，比如安全设备处于关闭状态，日志没有留存或者审计等，那么可能很低级的攻击都可能攻入企业内部。这就像工厂的污水处理系统一样，不少“黑厂”在检查的时候把污水处理系统打开，没人检测又把它关上了。毕竟网络安全设备和污水处理系统一样，运维都需要消耗时间和经济成本。

对于这两种情况，亚信安全通用安全产品中心总经理童宁认为，相关执法机构需要对安全事故进行调查取证和溯源分析，得到一个合理的判断。只不过目前缺乏相关案例以及司法解释，对涉案企业应该采取怎样的处罚还不好说。

亚信安全通用安全产品中心总经理 童宁

这里可以顺便安利一下，亚信安全首创的取证黑匣子在调查取证以及追踪溯源方面，算得上业界数一数二了。

回到刚才那个假设，其实不论是哪种情况，企业的损失以及负面影响已经是无法避免了。

4

所以，现在已经有部分网络安全企业采用金融的手段，通过引入保险赔付来转移风险，挽回企业一定的经济损失，同时为自身的产品能力和服务能力做背书。比如，华途发布了数据安全险，安恒发布了信息安全综合保险。有点巧，两家都是杭州的公司。

当然不论是哪种保险，其基本的业务逻辑都非常类似：客户在满足合规性要求以及企业的信息安全标准后，仍然出现信息安全事故的，经安全企业和保险公司认定后，便可以享受到一定数额的保险赔付。不过，现在还没有明确的案例，具体细节还不得而知。

但是能知道的是，这样的保险赔付并不具备普属性，因为保险公司不会接受一个无上限的保险赔付合同。对于某些大型央企、国企来说，一旦出现信息安全事件，那么损失可能是无法估量的，甚至会高达数十亿美金，保险赔付可以说是杯水车薪。不过，这种保险赔付对于部分中小企业来说，是比较合适的。

那怎么办呢？童宁给了一个很有意思的答案。

虽然企业经济风险不好通过保险来转移，但是个人的网络安全风险转移却相对容易。例如上文中提到的法律责任，CSO因企业不合规而被行政罚款，让他个人来背有点不太合适，企业自然要给他撑腰的。那么，安全公司联合保险公司推出一个责任人的网络安全责任险，对于客户来说，是不是就相对更有新引力一点呢？这个保额不会太大，用来覆盖罚款就可以了，不论对于哪一方来说都比较容易接受。再比如，如果劳动合同里规定，如果CSO由于企业网络安全出现事故而被迫离职，而企业需要给予一定的经济补偿的话，类似的保险同样可以覆盖到这笔支出。

5

话说回来，不论是CSO涨工资还是保险赔付，其关键点在于责任。从根本上明白网络安全的重要性和自身肩负的责任，提升网络安全意识，在一定程度上要比掌握最先进的网络安全产品技术，更为重要！