我是广州一家中小型科技公司的老板,公司主要做服务器和云计算相关的IT运维服务。2018年《网络安全法》正式实施,对我们这种小企业来说,一开始确实有点懵。今天我就以亲身经历,跟大家聊聊那一年为了合规,我们到底花了多少钱。
最直接的成本是人力。公司原本只有一个兼职的网管,根本不懂法律要求。我们不得不花每月8000元招聘了一名全职的安全专员,专门负责日志留存、数据备份和用户信息保护。光是这一年的人工成本,就增加了近10万元。
第二项大支出是技术设备。为了达到“日志留存不少于六个月”的要求,我们采购了一套企业级日志审计系统,硬件加授权花了3万多。同时,为了防止数据泄露,还买了防火墙和入侵检测设备,又是2万块。小企业没有财大气粗的预算,这些都是硬着头皮上的。
第三是服务外包。很多条款我们自己理解不透,比如“网络安全等级保护”到底怎么定级。只好找了一家专业的测评机构,花了1.5万元做了等级测评和整改方案。另外,还签了一家法律顾问的年度服务,每年1.2万元,帮我们审阅用户协议和隐私条款。
算下来,2018年这一年,我们在《网络安全法》合规上的总投入接近18万元。对于一个年营收不到300万的小公司来说,确实肉疼。但回过头看,这笔钱其实买了个安心——后来有同行因为用户数据泄露被罚了50万,我们才庆幸当初没省那点钱。合规不是负担,而是对企业最基础的保护。