网络安全合规-安全合规地图

网络安全行业国内本质上是合规驱动，但对合规的理解和尺度，甲方与甲方、甲方与乙方之间就有很大差别。
甲方通常来说都具有一定合规方面的积累，包括体系、制度、结构以及职责等等，如果有新的监管要求或是强制性标准发布，都会第一时间去解读和分析。

企业无论做什么，第一个要考虑的就是成本，对于某些弱监管的行业或组织，如果不合规所造成的影响在可接受范围内，那么完全有可能不进行整改。而对于强监管的行业来说，这是一个必选项，做是一定要做的，至于做成什么程度可以再讨论。
甲方考虑成本时会涉及诸多因素，比如直接导致业务服务中断、违规监管处罚、声誉风险以及客户流失损失等，都需要考虑；此外，具体监管要求落地性、可操作性也要考虑。
对于一项新的合规要求，根据企业自身治理水平，所考虑的因素和维度可能会有较大差异，但本质一定是从成本考虑，这其中主要会关注措施的可落地性、业务影响情况、操作复杂度、维护成本等方面。
一、采购第三方网络产品和服务的合规要求
根据《网安法》和《网络关键设备和网络安全专用产品目录(第一批)》，列入《网络关键设备和网络安全专用产品目录》的设备和产品，应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。
距离我们将“网络安全与数据合规”（Cybersecurity & Data Compliance）作为合规工作的单独门类已经近四年时间，网络安全与数据合规工作的内涵和外延不断的发生变化，逐步形成了以《网络安全法》（以下简称“《网安法》”）以及《全国人大常委会关于加强网络信息保护的决定》（统称“一法一决定”）为基础，配套法律法规以及国家标准为框架的合规体系。