发布日期:2025-10-02 浏览次数:
2025年,网络安全和监管合规已成为全球企业的战略重点,超越了传统的勾选式考核,成为巩固业务韧性和信任的基础。网络威胁、隐私问题和新兴技术正在快速推动新法律和新标准的制定。与此同时,从投资者到消费者,利益相关者都期望企业不仅能够保护数据和系统,还能展现道德治理和透明度。
本文全面探讨了塑造2025年的关键合规趋势,涵盖数据保护和隐私、加密授权、人工智能治理、违规披露、供应链安全、身份管理、合规自动化以及关键行业面临的挑战。本报告旨在为网络安全专业人士、合规专家和技术利益相关者清晰呈现不断变化的全球合规格局,并提供实用见解,助您引领未来发展。
全球范围内,数据保护法规不断扩展,越来越多的国家和州颁布了隐私法。截至2025年初,已有144个国家制定了数据保护或消费者隐私法,覆盖全球约79%至82%的人口。这在过去五年中实现了大幅增长。在美国,隐私监管正在从单一州(加州开创性的《消费者隐私法案》(CCPA)/《消费者隐私权法案》(CPRA))转变为各州法律的融合。截至2025年,美国42%的州(21个州)已通过了全面的消费者隐私法规。
至关重要的是,八个新的州隐私法将于2025年生效,其中包括特拉华州、爱荷华州、内布拉斯加州、新罕布什尔州(均于1月1日生效),随后田纳西州、印第安纳州、蒙大拿州、俄勒冈州、德克萨斯州等州也将陆续出台,更多州也将于今年晚些时候陆续出台。到今年年底,这些法律将使拥有隐私框架的州数量翻一番,从占所有州的16%增至32%,覆盖美国约43%的人口。这种快速扩张标志着一个新时代的到来,数据隐私将成为美国大部分地区的基本法律要求,而不仅仅是以加州为中心的担忧。
GDPR 和国际框架正在日趋成熟。在欧盟,具有里程碑意义的《通用数据保护条例》(GDPR)仍然是全球基准,并且正在不断完善和严格执行。2024 年,欧盟监管机构仅针对违反 GDPR 的行为就开出了12 亿欧元的罚款(较 2023 年下降了 33%),这表明执法力度十足。虽然 GDPR 的核心原则保持不变,但目前正在讨论简化中小企业的合规程序以及其他改进措施,以确保该法律的有效性。
英国脱欧后正在更新其自身制度——《数据保护和数字信息法案》(通常被称为“英国GDPR”)将于2025年接受审查,旨在调整要求并减轻某些负担,同时保持高标准。欧洲以外的许多国家都已出台或加强了隐私法:例如,印度的《数字个人数据保护法》(2023年颁布)即将生效,而从巴西到韩国和肯尼亚等国也将于2025年制定新的或更新的数据保护法规。
据联合国统计,目前超过70%的国家已制定数据隐私立法,另有10%的国家正在起草相关法律,这几乎是全球性的。这意味着在国际上运营的组织面临着各种各样的要求(同意、数据本地化、违规通知、个人权利等),并且必须及时了解不同地区的细微差别。
美国联邦政府的行动和全球协调的压力。尽管美国出台了一系列州级法律,但仍然缺乏一部统一的联邦隐私法。然而,公众压力巨大。72% 的美国人认为政府应该加强对公司个人数据处理方式的监管,超过半数的美国选民(调查结果显示)支持制定统一的国家隐私法。
现已搁置的《美国数据隐私与保护法案》(ADPPA)体现了国会两党的共同关注;虽然该法案最终未能通过,但它概述了公众广泛支持的措施(例如,禁止未经同意出售数据、数据最小化、私人诉讼权利)。这表明,最终可能会出现联邦标准来协调这些零散的制度。
在国际上,诸如经合组织的隐私指南和全球跨境隐私规则(CBPR)体系等框架正在蓬勃发展,旨在弥合差异,促进不同司法管辖区之间相互认可的数据流动。值得注意的是,欧盟和美国于2023年达成了一项新的数据隐私框架,允许跨大西洋数据传输,取代已失效的“隐私盾”,这对跨国公司来说是一个至关重要的发展。
在亚洲,跨境框架和区域协议也正在形成。总体而言,尽管本地合规细节不断增多,但全球隐私原则的趋同趋势仍在不断增强。
对企业的关键启示:2025年的数据保护合规需要真正的全球视野。企业必须跟踪并执行一系列要求,从GDPR的严格同意和数据主体权利,到授予销售退出或人工智能分析等权利的州法律。他们应该预期更频繁的更新和新法律的出台,例如,在一个月内(2025年5月),全球至少记录了264项隐私监管变更,这凸显了该领域的快速发展。
执法力度正在不断加强,不仅通过罚款,还通过法院裁决和监管机构之间的跨境合作。企业应该投资于强大的隐私项目,例如进行数据映射、更新隐私声明、启用消费者权益请求工作流程,并确保新产品采用“从设计上保护隐私”的方法。公众对隐私的意识和担忧日益增强(许多国家的大多数人都担心他们的数据是如何被使用的),这意味着合规性对于维护客户信任和声誉也至关重要。简而言之,保护个人数据不再仅仅是一个法律问题,而是核心运营和品牌诚信的重要组成部分。
加密已从最佳实践迈向基线要求。随着网络威胁的不断升级,敏感数据加密已成为合规和风险缓解策略的核心。企业越来越认识到,对静态数据和传输中的数据进行强大的加密可以显著降低数据泄露的影响。《2025年全球加密趋势研究》发现,72%实施企业加密策略的组织的数据泄露影响有所降低,这凸显了加密在数据保护方面的有效性。
相反,缺乏加密保护的公司会遭受更严重的数据泄露;一项分析指出,与没有全面加密覆盖的组织相比,实施全面加密的组织遭遇重大数据泄露的可能性要低 70% 。
监管机构正在关注此事。许多数据保护法都明确或隐含地要求对个人数据进行加密。例如,GDPR 将加密列为建议的保障措施(如果被盗数据已加密,则可以避免收到违规通知)。在美国,各州法律和行业法规(例如金融和医疗保健)越来越多地要求对某些数据进行加密。
即使是历来较为宽松的制度也正在变得愈发严格:美国《健康保险流通与责任法案》 (HIPAA)安全规则拟议于2025年更新,将使受保护的电子健康信息加密成为一项强制性要求(此前,这项要求是“可寻址”的)。同样,欧盟的《国家信息安全指令》(NIS2) 将“密码和加密使用政策”列为基本服务的必要安全措施。简而言之,曾经的可选措施现在变成了必须加密数据,否则将面临合规后果。
今年的全球加密趋势报告(及相关研究)还揭示了加密合规性的几个新兴主题:
加密采用率创历史新高:企业对加密的采用率激增,越来越多的组织在数据库、应用程序和云服务中一致应用加密。波耐蒙研究所 (Ponemon Institute) 的一项调查指出,过去一年加密部署量创下十多年来最大增幅,这既反映了监管压力,也反映了董事会层面对数据安全的重视。然而,在管理加密密钥、发现所有需要加密的敏感数据以及在混合云环境中集成加密方面,仍然存在挑战。
密钥管理中的自动化和人工智能:目前约有 58% 的大型企业利用人工智能或高级自动化技术来执行加密密钥管理和合规性任务。这包括使用机器学习来轮换密钥、检测对加密模块的异常访问以及简化加密部署。自动化有助于解决管理数千个密钥和证书的复杂性,而审计结果显示,这方面存在一个普遍的弱点。这一趋势也与加密敏捷性息息相关;各组织正在投资开发工具,以便在需要时(例如,应对入侵或算法弃用)自动更新或替换加密算法和密钥。
后量子密码学 (PQC) 准备: 2025 年的一个突出主题是为量子计算时代做好准备。虽然能够破解当今加密技术(如 RSA 或 ECC)的强大量子计算机尚未问世,但“先收集,后解密”的威胁依然巨大。在泰雷兹 2025 年数据威胁调查中,63% 的安全专业人士将量子攻击导致的“未来加密泄露”列为主要担忧,58% 的安全专业人士担心对手现在收集加密数据,并在量子计算能力到来后进行解密。
标准机构正在做出回应:NIST于 2024 年发布了新的后量子加密标准(例如 CRYSTALS Kyber)和过渡路线图,建议到 2030 年逐步淘汰 RSA/ECC,到 2035 年完全停止使用。企业开始采取行动。超过一半的组织(约 57-60%)报告说,他们正在设计或评估2025 年的 PQC 算法,近一半的组织正在评估他们目前的加密库存,以确定需要升级的地方。此外,45% 的组织表示,他们正专注于提高加密敏捷性,确保他们可以在需要时轻松切换算法。监管机构可能很快会在风险评估中询问量子准备情况,因此早期行动者的目标是做好准备。在某些司法管辖区,政府机构有义务在规定的期限内对加密货币进行清点和过渡,这表明哪些措施最终可能会惠及私营部门。
加密与数字主权:随着数据保护法的不断涌现,加密被视为一种确保数据驻留和主权合规的工具。泰雷兹的报告强调,人们越来越重视“谁控制数据和加密密钥”。76 %的企业使用多家公有云提供商,各组织正在通过 BYOK(自带密钥)和 HYOK(自持密钥)等加密技术来维护控制权,在这些技术中,加密密钥的保管权归企业而非云提供商所有。这确保了即使数据存储在海外或云端,公司也可以通过保留密钥来防止未经授权的访问(包括来自云管理员或政府的访问)。
2025年,42%的组织认为强加密和密钥管理是实现数字主权目标的关键因素(例如,确保遵守欧盟数据传输规则)。预计将出现更多解决方案,允许企业本地化密钥、使用硬件安全模块 (HSM) 或采用同态加密等技术,在满足司法管辖要求的同时,仍能利用全球服务。
法规对加密标准的规定越来越严格。例如,许多法律和行业标准现在都规定使用强加密算法(例如 AES256、TLS 1.3)并弃用过时的协议。美国联邦贸易委员会的安全保障规则和各州法律都要求对个人信息进行加密,这既是法律规定,也是有效的谨慎标准。支付卡行业数据安全标准 (PCI DSS) 4.0(将于 2025 年 3 月生效)规定对持卡人数据进行传输中和静态加密,并提出了特定的技术要求。
如上所述,在医疗保健领域,即将出台的规则将消除灵活性,并要求所有处理患者数据的系统必须完全加密和进行多因素身份验证 (MFA)。各国政府也设定了期望:美国白宫已发布指令,要求联邦机构在未来几年采用抗量子密码技术,欧盟网络安全局 (ENISA) 也根据 NIS2 指令,为最先进的密码控制提供了指导。
组织机构应密切关注这些发展。不合规不仅会造成数据泄露风险,还可能造成高昂的代价,未能满足加密要求还可能招致罚款或承担法律责任。从好的方面来看,实施强加密不仅可以满足合规义务,还可以减少数据泄露通知义务(如果数据加密得当,许多法律规定此类事件不需公开披露)。
展望2025年及以后,加密既是合规的必要条件,也是企业差异化的竞争优势,它向客户证明其数据安全无虞。企业应进行加密审计,确保密钥管理得当(职责分离和备份),并及时了解最新的加密政策(例如,政府对加密使用的限制,或允许某些数据导出的算法)。
监管机构应对人工智能革命。 人工智能 (AI) 的应用呈现爆炸式增长,从企业分析中的机器学习到改变业务流程的生成式人工智能模型。这股浪潮引发了对治理的迫切呼声,以确保人工智能得到负责任、公平和安全的使用。2025 年,我们将见证全球首部全面的人工智能法规的出台。
欧盟《人工智能法案》最终确定为第2024/1689号法规(EU),并将在未来几年分阶段实施。该法案采取基于风险的措施:自2025年2月起,部分条款明确禁止人工智能使用某些“不可接受的风险”(例如,社交评分、剥削性技术),并对“高风险”人工智能系统(例如用于关键基础设施、就业决策、信用评分、医疗设备等的系统)施加严格的义务。
高风险人工智能提供商和部署者需要为其系统实施一致性评估、透明度、人工监督和强大的风险管理。例如,招聘或贷款审批中的人工智能系统必须接受偏见测试,并且其结果必须可追溯。该法案还要求人工智能的总体透明度:用户在与人工智能(而非人类)互动时必须被告知,并且在许多情况下,人工智能生成的内容(例如深度伪造)应被标记为此类内容。一些要求将于2025年开始实施(例如某些透明度规则和自愿行为准则),而高风险系统则需要在实施期结束后,于2026年或2027年实现全面合规。
欧盟人工智能法案具有开创性,它是第一本重要的人工智能规则手册,预计将影响全球法规,类似于 GDPR 影响隐私法的方式。
在美国,目前尚无一部单独的人工智能法律,但监管机构正在利用现有的权力和指导方针来约束人工智能。美国联邦贸易委员会 (FTC)警告称,将把带有偏见或欺骗性的人工智能输出视为可能违反消费者保护法的行为(例如,如果人工智能决策算法在贷款方面存在不公平的歧视,则可能构成“不公平行为”)。美国平等就业机会委员会 (EEOC) 也同样警告雇主,使用具有不同影响的人工智能招聘工具可能违反歧视法。
我们也看到美国正在出台一些有针对性的立法,例如“TAKE IT DOWN”法案和国会其他法案,旨在将某些恶意深度伪造(尤其是露骨色情或旨在煽动暴力的深度伪造)定为犯罪。另一项拟议法案将要求人工智能生成的内容必须加水印或进行信息披露。虽然这些法案到2025年尚未通过,但它们表明了两党对人工智能滥用的担忧。
在州一级,纽约市实施了首部此类法律(2023-2024年生效),要求公司对人工智能招聘工具进行偏见审计,并在招聘决策中使用人工智能或算法时通知候选人。其他司法管辖区正在考虑类似的算法问责措施,尤其是在就业和信贷领域。
强制披露违规行为日益增多。网络安全领域最明显的合规趋势之一是强制披露网络事件。企业悄悄处理违规行为的时代已经一去不复返;如今,监管机构要求企业及时向主管部门、投资者和受影响的个人报告。在美国,美国证券交易委员会 (SEC) 于 2023 年实施了一项具有里程碑意义的规定(该规定将分阶段实施至 2024 年),要求上市公司在认定重大网络安全事件后 4 个工作日内向市场披露。
自2023年末起,公司必须提交一份8K报告,详细说明重大网络事件的性质和影响,例如投资者认为重要的重大数据泄露或系统中断。唯一允许的延期情况是,美国司法部长证明立即披露会对国家安全或公共安全构成严重风险。到2025年末,即使是规模较小的报告公司也将遵守SEC的这些要求。
此外,美国证券交易委员会 (SEC) 现在要求公司在年度 10K 报告中定期披露其网络风险管理、治理和董事会监督情况。这包括确定哪个董事会委员会负责网络安全。事实上,在这些规则实施后,标普 500 指数公司董事会中未设立指定网络安全委员会的比例从 2021 年的 15% 下降到 2024 年的 5%;现在 95% 的公司明确在董事会层面指定网络监督机构,这在一定程度上得益于 SEC 对治理问责的重视。
快速向监管机构和利益相关者报告事件:除了美国证券交易委员会以投资者为中心的规则外,各国政府也在关键领域强制要求报告违规行为。美国于2022年颁布了《关键基础设施网络事件报告法案》(CIRCIA),预计其实施条例将于2025年10月生效。CIRCIA将要求指定关键基础设施领域(例如能源、医疗保健、金融、交通运输以及其他对国家安全至关重要的领域)的公司在72小时内向国土安全部网络安全和基础设施安全局(CISA)报告重大网络事件,并在24小时内报告勒索软件支付情况。
新的行业特定信息披露规则也正在涌现。美国国防部现在要求国防承包商及时报告影响国防部信息的网络事件,否则将面临失去合同的风险。各州监管机构也纷纷加入,例如,纽约州金融服务部 (NYDFS) 的《网络安全条例》要求受监管的金融机构在 72 小时内向 NYDFS 通报某些网络事件。在医疗保健领域,《健康保险流通与责任法案》(HIPAA) 长期以来一直要求,影响 500 多人的健康数据泄露事件必须在 60 天内向卫生与公众服务部 (HHS) 和公众报告;现在,报告速度和透明度正在进一步提升(一些拟议的联邦立法将缩短健康数据泄露通知时限)。
公开披露和沟通:另一个方面是向公众和受影响的个人披露。像GDPR这样的隐私法规定,如果个人数据被泄露,且对个人构成高风险,必须“毫不拖延地”通知他们。美国许多新出台的州隐私法也包含数据泄露通知条款,或依赖现有的州数据泄露法律(通常要求在发现数据泄露后30-60天内通知居民,但会有一些变化)。结果是,如果公司不能妥善处理数据泄露通知,公司将遭受声誉损害,延迟或混淆信息可能导致监管罚款,这不仅会影响事件本身,还会导致罚款。
例如,2023年,多家公司因未能及时通知客户数据泄露事件而被欧洲监管机构罚款。2025年,随着美国证券交易委员会(SEC)要求披露重大事件,我们将看到更多公司通过文件公开声明,如果事件严重,这反过来可能引发投资者诉讼或导致股价下跌。这为确保强有力的网络防御创造了新的激励机制:除了监管处罚之外,市场还将直接惩罚遭受数据泄露的公司。
网络安全作为治理和合规问题:这些披露要求迫使高管团队和董事会直接参与网络安全监督。由于重大事件必须报告,并会迅速公开,董事会不禁要问:我们是否做好了应对违规行为的准备?合规现在不仅意味着拥有技术保障措施,还意味着拥有清晰的事件响应流程、内部升级路径以及针对“重大”事件的决策框架。
有趣的是,美国证券交易委员会(SEC)规则要求披露董事会如何监管网络风险,这促使许多公司改进其治理结构(例如,成立网络风险委员会或将网络风险纳入审计/风险委员会章程)。目前,近77%的美国大型公司表示网络安全明确属于审计委员会的职责,而2019年这一比例仅为25%,这在短短几年内发生了巨大的转变。这意味着越来越多的董事正在接受网络安全方面的教育,公司也正在进行董事会层面的网络审查和桌面演习。
为新常态做好准备:为了遵守这些规定,组织机构应确保能够快速发现事件(你无法报告你不知道的事情)。这意味着要具备强大的监控和威胁检测能力。组织机构应根据适用法律,制定构成可报告事件的标准(重大影响、某些数据泄露等)。
制定包含通知步骤的事件响应计划至关重要,例如,谁负责联系监管机构,谁负责起草公开声明,以及如何在压力下获取准确信息。许多公司还在购买网络安全保险,这通常也要求在严格的时间范围内通知保险公司。重点应放在透明度和准确性上;一些监管机构表示,虽然初步报告可能很少,但他们希望随着了解情况的深入,能够及时跟进。
网络安全已加入ESG议程。到2025年,网络安全和数据保护将不再被视为纯粹的技术问题,而是直接成为企业环境、社会和治理 (ESG)考量的一部分。ESG合规性传统上侧重于环境可持续性、社会责任和公司治理伦理。网络安全已在“治理”支柱(在将隐私视为消费者权利时,也可以说是“社会”支柱)下强行进入这一讨论。投资者、评级机构和监管机构正在评估公司如何管理网络风险,将其作为衡量良好治理的指标。
在最近的一项调查中,近五分之四的投资者(79%)表示,董事会应展现其在网络安全(以及气候和其他新兴风险)方面的专业知识,并详细说明其为降低这些风险所做的努力。换句话说,利益相关者期望高层领导将网络风险与财务或战略风险同等对待。这是一个巨大的转变,十年前,网络安全很少出现在年度报告或投资者讨论中,而现在,一次重大漏洞可能在一夜之间摧毁股票价值和利益相关者的信心,投资者对此深有体会。
ESG 方面的监管驱动因素: ESG 领域的新法规隐含地纳入了网络和隐私。欧盟的《企业可持续发展报告指令》(CSRD)将于 2025 年对大型企业生效,要求广泛披露治理和风险管理信息,其中包括企业如何应对网络安全等风险,以确保业务的连续性和韧性。CSRD 下的《欧洲可持续发展报告标准》(ESRS)明确要求企业报告“商业行为”事项,数据安全和隐私实践可以作为社会和治理因素的一部分。
此外,针对金融实体的欧盟数字运营弹性法案(DORA)等法规虽然主要涉及网络/运营风险,但也通过强调运营弹性和中断对利益相关者的影响与 ESG 相联系(弹性越来越被视为可持续性问题,如果企业不断受到破坏或中断,就无法可持续发展)。
与此同时,美国证券交易委员会(SEC)的气候信息披露规则(尽管目前处于搁置状态)已使董事会意识到,全面的风险披露正在成为常态;许多人认为,除了事件报告规则之外,网络风险披露可能是SEC的下一个议程。即使没有明确的规则制定,SEC现有的指导方针也要求,如果重大网络风险可能影响投资者,则应在年度报告中披露。
从社会责任的角度来看,保护客户数据是 ESG 议题之一。大规模数据泄露可能会损害客户利益(身份盗窃、隐私侵犯),因此,企业的数据保护能力正在接受评估,就像产品安全性评估一样。提供 ESG 评分的评级机构通常会将数据隐私和安全作为“社会”或“治理”评分的子因素。
例如,MSCI 和 Sustainalytics 的 ESG 评级会考虑公司近期是否发生过数据泄露或因侵犯隐私而被罚款,以及其信息安全政策。因此,良好的网络安全会获得更高的 ESG 评分,反之,数据泄露或合规不达标则会损害 ESG 评级。
总而言之,2025 年的趋势是,网络安全合规不再是孤立的,而是更广泛的 ESG 叙事的一部分。在这一领域表现卓越的组织将网络安全视为公司治理的核心要素,公开报告其安全态势和改进情况,并将数据保护视为其社会责任的核心。这不仅满足了新兴的合规需求,也吸引了那些越来越重视数字信任的投资者和客户。
第三方网络风险受到严格审查:近年来发生的多起备受瞩目的事件(从 SolarWinds 后门到 HVAC 承包商的违规行为)让监管机构认识到,一家公司的安全性取决于其最薄弱的环节——通常是供应商或服务提供商。2025 年,合规要求将重点关注供应链网络安全。企业不仅需要管理自身内部的风险,还需要管理由供应商、云提供商、软件供应商和合作伙伴组成的网络。
根据一项针对全球首席信息安全官 (CISO) 的调查,高达 88% 的组织担心其供应链可能存在的网络风险,这并非杞人忧天:超过 70% 的组织在过去一年中经历过来自第三方的重大网络安全事件。这些事件可能包括因软件更新泄露、供应商凭证被盗或数据从安全性较低的合作伙伴处窃取而导致的违规行为。
尽管存在担忧,但同一项调查也揭示了一个危险的漏洞:不到一半的组织对其供应商的网络安全问题进行监控,甚至不到50%。换句话说,对第三方风险的可视性很差。监管机构看到了这一漏洞,并正在通过强制执行更严格的第三方风险管理 (TPRM) 实践来应对。
强制供应链安全的法规:欧盟的《NIS2指令》是将供应链安全义务纳入法典的典范。正如前文所述,NIS2适用于众多关键和重要实体,它强制实施全面的供应链风险管理(不再仅仅是指导)。受NIS2约束的公司必须识别和评估与每个供应商和数字服务提供商相关的网络风险,并根据这些评估实施适当的安全控制措施,并持续监控供应商风险。这有效地迫使组织制定供应商安全评估计划。
此外,NIS2 强调供应商责任,要求组织通过合同将网络安全要求下达给供应商,设定明确的安全预期,并定期对供应商进行审计。事实上,NIS2 第 85 条规定,如果主要供应商的疏忽导致事故,他们可能要承担连带责任。这是一个重大进展,互相指责的时代即将结束,客户和供应商都可能对安全漏洞承担责任。NIS2 还要求在事故响应期间与供应商进行协调,这意味着您必须准备好沟通渠道,以应对事故涉及第三方的情况。
在金融领域,欧盟的《数字运营韧性法案》(DORA)将于2025年1月生效,同样要求银行和金融机构管理ICT第三方风险。DORA要求企业盘点其关键ICT供应商,评估外包风险,并确保合同中涵盖安全和事件报告条款。该法案还赋予监管机构监督关键技术供应商的权力(例如,为银行提供服务的云服务提供商可能被指定并直接受到监管)。英国和其他司法管辖区正在考虑类似的规则,出于系统性风险的考虑,银行的云服务提供商和技术提供商可能受到监管。
软件和硬件供应链规则:另一个维度是产品安全:像《欧盟网络弹性法案》(CRA)(于2024年通过,预计于2027年生效)这样的法律将要求数字产品(软件、物联网设备等)制造商构建网络安全机制并提供漏洞披露机制。虽然CRA的全面生效还需要几年时间,但它的存在现在就影响着合规策略,尤其对于任何在欧洲销售科技产品的公司而言。
它的基本意思是,不安全的产品是不合规的产品。美国正在推出新的物联网网络安全标签(“网络信任标志”),以便消费者能够判断哪些设备符合特定的安全标准。各国政府也出于安全原因,禁止或限制某些高风险供应商进入供应链(例如,禁止华为等中国电信设备进入关键网络)。现在,合规意味着确保你的供应商不在禁用名单上,并且你没有使用存在已知安全问题的组件。
第三方风险管理 (TPRM) 最佳实践正在成为强制性要求。许多组织已经实施了涉及问卷调查、审计和合同标准的 TPRM 方案。现在,这些方案正被纳入合规义务。如上所述,NIS2 和其他机构希望在合同中纳入安全要求,这意味着采购和法务团队必须纳入数据处理、事件通知(例如,要求供应商在发生违规行为时在 X 小时内通知您)、审计权以及可能的最低安全认证(例如 ISO 27001 或SOC 2)等条款。
政府和行业标准日益要求持续监控供应商安全,而不仅仅是每年进行一次勾选。鉴于目前只有 26% 的组织集成了供应商事件响应,这是一个增长领域。为了满足持续监控的期望,企业正在采用自动化工具(例如使用评级服务等)来扫描供应商的外部网络态势。
对合规计划的影响:在监管机构强制执行之前,公司应加强第三方风险评估。这意味着要对所有关键供应商和合作伙伴进行分类,按风险等级(例如,谁有权访问敏感数据或系统)进行分类,并对每个供应商和合作伙伴进行尽职调查。尽职调查的范围包括发送详细的安全问卷、审查他们的审计报告,以及对最关键的供应商和合作伙伴进行现场评估。
现在,许多公司都要求供应商提供安全认证或评估,例如,要求云提供商提供 SOC 2 Type II 报告或 ISO 27001 认证,以提供保障。此外,监控新闻和威胁情报以发现供应商的违规行为也是明智之举,因为有时您会在供应商通知您之前就从媒体上了解到问题。
另一个关键步骤是更新合同,确保新合同和续签合同包含网络安全条款。例如,规定供应商维护最低安全程序、遵守相关标准/法律、在48小时内通知事件、配合调查,以及可能提供安全事件赔偿的条款。这些合同措施不仅能帮助您遵守规定(并符合NIS2等法律),还能在出现问题时为您提供保护。
身份和访问管理 (IAM) 是合规性的基石。如今,许多网络安全框架和法规都比以往任何时候都更加重视 IAM 控制。原因很简单:大多数违规行为都涉及凭证泄露或滥用过度访问权限。到 2025 年,几乎所有主要的网络法规或标准都将包含强身份验证和访问治理的要求。
例如,欧盟NIS2指令明确规定“在适当情况下”使用多因素身份验证(MFA)作为受影响实体的基准控制。该指令还要求实施严格的访问控制和定期账户审查。
同样,美国卫生部门提出的 HIPAA 安全规则变更将强制要求对任何访问患者数据系统的用户进行 MFA,并要求医疗保健工作人员进行正式的身份验证和授权程序。
这些举措反映了最佳实践:多因素身份验证如今已成为许多行业的必要条件,例如,支付卡行业 (PCI) 标准要求管理员和远程访问必须使用多因素身份验证 (MFA),纽约州金融服务部 (NYDFS) 银行网络规则要求任何访问敏感数据都必须使用多因素身份验证 (MFA),而网络保险公司通常也坚持将多因素身份验证作为承保条件。监管机构已明确表示,特权或敏感访问的单因素(仅密码)登录已不再被接受。
一个明显的趋势是将过去的建议转变为要求:
身份治理与合规性:监管机构也关注组织如何在其生命周期内管理身份。例如,确保入职和离职流程到位(以便创建具有正确角色的账户,并在员工离职后及时停用)通常会受到审计。一些隐私法规也与身份访问管理 (IAM) 相交叉,例如,GDPR 的数据最小化和安全原则意味着用户只能访问他们需要的数据,并且可能需要记录/监控访问以证明合规性。身份是安全和合规的核心;80% 的数据泄露都与凭证泄露或被盗有关,这并不奇怪,因此解决身份问题可以全面降低合规风险。
对于合规官和 CISO 来说,遵守这些 IAM 和零信任要求意味着:
总而言之,2025 年的合规环境本质上要求组织证明他们始终了解谁在何时、为何以及如何访问哪些内容。这种以身份为中心的方法是零信任的关键。具有前瞻性的组织不会将零信任仅仅视为一个流行词,而是将其转化为具体的策略和控制措施,审计人员可以通过 MFA 仪表板访问审查记录和微分段图来验证这些策略和控制措施。
这样做,他们不仅遵守了当前的规则,而且为未来做好了更好的准备,因为未来可能会出现更严格的访问控制要求(例如,我们可能会看到保险监管机构或其他机构明确将零信任编入法典)。
虽然许多合规趋势具有广泛的普遍性,但某些挑战却是特定行业所独有的。2025年,金融服务、医疗保健和关键基础设施等行业将面临定制化的法规和威胁,需要特别关注。下文我们将探讨几个行业的具体情况:
长期以来,金融机构一直受到严格监管,但如今网络安全和技术风险已成为银行合规的重中之重。银行、保险公司和投资公司不仅必须保护敏感的客户数据(以遵守美国的隐私法和《绿卡法案》),还必须确保关键金融系统能够抵御网络攻击。
欧盟的数字运营韧性:《数字运营韧性法案》(DORA)将于2025年1月在欧盟全面生效,这将对银行和金融公司产生重大影响。DORA要求企业实施全面的ICT风险管理框架,定期进行压力测试和网络韧性情景测试,并制定涵盖网络事件的业务连续性计划。该法案还要求企业在紧迫的期限内向监管机构报告事件,并正式规定对第三方技术提供商(例如许多银行依赖的云服务)的监管。
本质上,DORA 将许多最佳实践(银行可能已在指导下遵循)捆绑到法律中,并规定了违规处罚措施。欧洲的银行需要向监管机构出示证据,证明其进行了年度渗透测试、网络恢复演习,以及董事会定期审查网络风险的治理。这大大提高了监管门槛,并且很可能成为其他司法管辖区监管机构可以效仿的模式。
网络披露与治理:全球金融公司都面临着网络风险透明化的压力。在美国,除了美国证券交易委员会(SEC)针对上市公司的规定外,银行监管机构还要求在重大事件发生时(如上所述,36小时内)发出通知。如果一家银行的ATM网络因黑客攻击而瘫痪,监管机构希望立即获知。
金融行业也率先开展了网络信息共享(通过金融安全与分析中心 (FSISAC) 等机构),如今合规框架鼓励参与此类信息共享,以此作为加强安全态势的一部分。金融机构董事会预计将特别积极参与,纽约联储甚至为银行董事举办了网络研讨会。
反欺诈和数据安全:金融服务面临着账户盗用和支付欺诈等特殊威胁,因此合规性与消费者保护息息相关。欧盟第二版支付服务指令 (PSD2) 等法规要求在线支付必须采用强客户身份验证,这实际上相当于银行客户的多因素身份验证 (MFA)。
在美国,银行必须遵守联邦贸易委员会(FTC)的安全保障规则(该规则于2023年最近有所收紧),该规则规定了针对客户数据的具体安全控制措施,包括加密和访问控制。此外,银行还要求监控交易是否存在欺诈行为(反洗钱/了解你的客户法),由于网络欺诈(例如网络钓鱼导致的电信欺诈等)猖獗,这通常需要网络安全团队的参与。
支付与 PCI DSS 4.0:任何金融实体(或零售商,但许多金融公司处理支付业务)都必须在 2025 年 3 月之前遵守支付卡行业数据安全标准 4.0 版。PCI DSS 4.0 引入了新的要求,例如更频繁的网络钓鱼培训、更严格的多因素身份验证 (MFA)、更强大的日志访问,以及明确强调持续合规而非一次性标准。这不是法律,而是一项由支付网络严格执行的合同/监管要求。对于发行信用卡的银行或受理信用卡的商户而言,不遵守规定可能意味着罚款,甚至失去处理信用卡支付的能力。
金融公司应确保满足最高标准。这通常意味着在全公司范围内采用 NIST 或 ISO 27001 等框架,并在此基础上附加特定法规。财务数据强加密、持续监控(许多银行设有全天候 SOC)、第三方审计和董事会报告是必备条件。鉴于某些情况下涉及个人责任(例如,NIS2可能要求管理层承担责任,而在英国,高级管理人员的制度可能会扩展到技术风险),高级管理层的参与至关重要。
归根结底,金融监管机构关心的是金融体系的稳定性,重大网络事件可能导致信心丧失或经济问题,因此他们将其与金融偿付能力同等对待。合规团队需要以与资本充足率控制同等严格的态度对待网络控制。
在日益数字化和互联化的医疗环境中,医疗保健机构面临着保护高度敏感的个人健康信息和确保患者安全的双重挑战。多年来,医疗保健行业的安全成熟度一直落后于其他行业,因此合规要求也日益严格。
在美国,《健康保险流通与责任法案》(HIPAA)长期以来为健康数据隐私和安全设定了基准。然而,其安全规则(可追溯至2005年)赋予了受保实体一定的灵活性,使其能够通过“可寻址”控制措施获得保护。如今,鉴于当前的威胁,监管机构正在采取行动,取消这种灵活性。
如上所述,美国卫生与公众服务部 (HHS) 于 2025 年 1 月提出了一项规则,要求所有先前可寻址的规范,其中明确强制要求加密、多因素身份验证、风险分析和事件响应等。该提案还引入了现代要求:年度技术安全评估、资产清单维护、网络映射和记录的恢复计划。
这是一个巨大的变化,许多之前合规程度很低的小型诊所或业务伙伴将不得不大幅提升合规水平(例如,如果一家诊所没有加密其数据库或使用多因素身份验证 (MFA) 访问 EHR,那么这种做法将行不通)。卫生与公众服务部 (HHS) 还在推动根据 2021 年的一项法律 (HR 7898) 采用网络安全实践,该法律赋予遵循公认安全实践(例如 NIST HC 网络安全框架)的实体在违规调查方面享有宽容度。这实际上激励了医疗保健提供者采用强有力的框架,否则在事件发生后将面临更严厉的处罚。
医疗设备和物联网安全:医院里到处都是联网设备(影像机、静脉输液泵等)。美国食品药品监督管理局 (FDA) 意识到了这些风险,现在要求在审批过程中对新医疗设备进行网络安全披露(自 2023 年起通过《补丁法案》(PATCH Act) 进行披露)。设备制造商必须提供SBOM并承诺提供补丁。
对于医院合规性而言,这意味着维护设备及其软件的库存,快速应用补丁,并在网络上对设备进行分段。联合委员会(负责医院认证的机构)还在2022-2023年推出了有关技术风险管理的新标准,医院必须满足这些标准才能保持认证资格。在欧盟,医疗器械法规(MDR)也包含对设备网络安全的基本要求。因此,医疗保健机构需要将设备安全纳入其整体合规性之中。
隐私和患者权利:隐私合规依然至关重要;GDPR 适用于欧盟患者数据,这会影响所有跨国制药公司或研究机构。互操作性举措(例如美国《治愈法案》,该法案允许患者通过 API 访问更多数据)为数据泄露带来了新的可能,因此合规性现在也意味着要审查这些第三方应用程序。
医疗保健机构通常不仅要遵守《健康保险隐私及责任法》(HIPAA),还要遵守《联邦法规汇编》第42卷第2部分(关于药物滥用记录保密性的规定)、加州《医疗信息保密法》(CMIA) 等州法律,以及现在新出台的州隐私法。这些法律通常不会豁免所有健康数据(如果某个机构未完全受 HIPAA 保护,则可能需要遵守州隐私法)。因此,医疗保健合规官员需要应对一系列复杂的隐私规则。
在实践中确保电子医疗信息 (ePHI) 安全:医疗保健领域常见的合规漏洞包括未打补丁的基本系统、老旧的 Windows 计算机以及共享密码。监管机构已经不再宽容。美国民权办公室 (OCR) 已对违规行为处以数百万美元的罚款,并且随着新规的出台,可能会加大执法力度。风险分析的执行是趋势之一。OCR 经常对实体处以罚款,并非因为发生了违规行为,而是因为其风险评估不足或未更新,这是《健康保险流通与责任法》(HIPAA) 的要求。展望未来,全面(或持续)的风险评估势在必行。
医疗保健机构应更新其合规计划,使其更具规范性。如果 HIPAA 规则最终确定,他们将需要满足所有要求(对所有 PHI 进行静态和传输中的加密、所有账户的 MFA、用户的唯一 ID、每年测试紧急模式操作计划等)。为此,许多机构正在与NIST 的健康网络安全框架保持一致,或采用 HITRUST 认证(一种融合多种标准的医疗保健通用框架)。
员工培训是关键,因为网络钓鱼猖獗,医护人员很忙,有时没有网络意识,但通过内部人员或被盗凭证进行的违规行为很常见,因此合规性包括严格的培训方案(通常也是法律所要求的)。
总体而言,医疗保健行业面临的主要挑战是在严格的监管压力下,在安全成熟度方面赶上其他行业,同时还要兼顾生死攸关的服务交付和通常紧张的预算。鉴于医疗服务的重要性,趋势是,医疗行业的合规框架在严格程度上将越来越类似于金融行业。
关键基础设施领域,例如能源(电力、石油和天然气)、水务、交通运输(航空、铁路、港口)、电信等,或许正面临网络安全领域最严格的监管。在这些行业中,网络事件不仅可能造成数据丢失,还可能造成大规模的物理或经济损失。2025年,各国政府将积极采取行动,通过合规性要求来强化关键基础设施。
NIS2(欧盟)指令覆盖范围更广:欧盟的NIS2指令相比前身扩大了受监管行业的范围。它现在涵盖了广泛的行业,包括能源、交通、银行、医疗保健、公共基础设施、数字基础设施(例如DNS和数据中心)、航天等。此外,它还增加了关键产品制造的适用范围。实际上,许多以前从未向监管机构报告安全状况的组织,如果符合这些行业的规模标准,现在将受到NIS2的监管。
遵守NIS2意味着必须实施所有基本安全措施(风险评估、事件响应计划、供应链安全、加密、访问控制等),并建立管理问责制和网络风险治理监督机制。例如,如果欧盟的电网运营商未能修补已知漏洞,根据NIS2,他们可能面临巨额罚款,就像违反安全规则一样。此外,该指令中针对管理人员的个人责任条款是确保高层认真对待网络安全的有力措施。
揽阁信息提供结构化的合规咨询服务,旨在帮助您的组织符合 GDPR、PCI DSS、HIPAA、NIS2 和 DORA 等全球监管框架。作为我们服务的一部分,我们提供:
通过这种端到端的方法,我们不仅可以帮助组织满足合规性要求,还可以帮助组织增强弹性、降低风险并为未来的监管要求做好准备。
2025年是合规领域的转折点,网络安全、隐私和治理义务的严谨性和广度将达到新的高度。我们探索的趋势,从全球数据隐私扩展和加密授权,到人工智能治理、信息披露要求、环境、社会和治理 (ESG) 整合、供应链安全、零信任、自动化以及行业特定规则,共同描绘出一个组织必须积极主动、透明且富有韧性的未来图景。合规不再是一份静态的清单,而是一项充满活力的战略职能,必须不断适应新兴的风险和规则。
那么,组织该如何为未来几年的合规形势做好准备呢?
2025年及以后的合规无疑充满挑战,门槛比以往任何时候都高。但通过采取战略性、主动性的方法并利用上述趋势,企业不仅可以避免处罚和事故,还能真正将强大的合规性转化为竞争优势。
那些今天就为未来的法规和风险做好准备的人,将在信任和问责至上的环境中获得最大的发展。俗话说,“合规是一段旅程,而非终点”,而这段旅程正在加速推进。现在是时候系紧安全带,规划路线,满怀信心地推动您的合规计划迈向未来。
揽阁信息 · 值得您信赖的信息安全顾问!
沪公网安备31011202021337号 网站地图
友情链接: Thales官网 芯片产品网站 服务热线
