您当前的位置: 首期寄语
在网络安全成为热点的今天,各种论坛已经使我们淹没在了资讯的海洋;网络安全资讯的泛滥,并没有提高我们认识网络安全客观世界的水平,反而降低了接收有用知识的效率 — 专业、专注、客观的网络安全资讯,仍为少数。
“政府安全资讯”,是从信息的海洋中挑选珍珠。阅读高相关性、高专业度的资讯,我们能“知彼知己、百战不殆”,也能“取他山之石以攻玉”,但更能“指点江山、激扬文字”。如此,则善莫大焉。
中国信息安全研究院副院长 左晓栋
【全球政策趋势】
新加坡发布《网络安全法案》(草稿),加强关键信息基础设施监管。点击查看原文
概要:新加坡七月中旬发布了《网络安全法案》草稿征求公共意见。法案要求设立专门的网络安全官员,并授予管理和应对网络安全威胁的权利;明确了关键信息基础设施(CII)的概念及认定程序,建立了监管框架,明确了关键系信息网络安全风险评估义务、审查义务、网络安全事件报告义务、重大事项变更告等义务。
点评:对比新加坡《网安法》(草稿)和网信办日前发布的《关键信息基础设施安全保护条例(征求意见稿)》,不难看到关键信息基础设施(后面简称CII)是各国网络安全保障的重中之重。关于CII认定,新加坡规定由网络安全委员(Commissioner of Cybersecurity)负责。被认定为CII的主体有权在收到书面通知后14日内通过相关渠道和程序进行申诉;关于CII的认定有效期,定为5年,在有效期间,只要网络安全委员认为不再符合认定标准可随时撤销认定;在国内,目前CII认定、有效期及取消资格流程与标准尚未确定。
英国监管加强对隐私违规活动的处罚,为GDPR做准备。点击查看原文
概要: 英国隐私监管部门Information Commissioner’s Office今年大幅度提高了数据安全与隐私违规的处罚力度。上半年的处罚总金额达到了259万英镑,已经是去年全年的60%。同时,处罚的频率也在提高,重点执法对象包括直销和数据泄漏两个方面。许多行业专家认为,英国监管提高处罚力度是为了提高英国企业对明年即将生效的GDPR的重视。
点评: 欧盟GDPR的适用原则是“属人原则”。只要是涉及到欧盟成员国公民个人信息的公司,都必须遵守;所有与欧盟有业务往来的中国企业,均将面临GDPR合规挑战,即使欧盟人员在华寻求服务,其隐私也受到GDPR保护,并可以向欧盟寻求法律保障,相比之下,我国的《网络安全法》是“属地原则”:只要在中国境内则必须合规,一旦国人出国,则其隐私保护将依据其寻求服务所在地法律法规原则。
【相关安全事件】
瑞典政府泄露数百万公民敏感信息。点击查看原文
概要:瑞典史上最严重的数据泄漏事件被披露。事件起因是瑞典交通局(Swedish Transport Agency,STA)将数据库和其它IT服务的管理外包给捷克的IBM和塞尔维亚的NCR两家外国企业。STA不仅将整个数据库上传到外包商服务器,授予访问该数据库的所有权限,而且未设置专业IT技术人员进行监督管理。经调查发现,多名未经安全审核的外国技术人员都可以获取该数据库保密信息。被泄漏数据包括瑞典所有驾驶执照、精英军事单位和战机飞行员的个人资料、政府和军用车辆的详细信息以及其他重要交通数据。
评论:瑞典此次的大规模数据泄漏严重影响了政府公信力。前任交通部长已被辞退,并仅受到了约合人民币5.75万元的罚款。随着各国不断加强对网络安全管理,政府机构建议加强人力和资金投入,建立有效的问责与处罚机制,以免重大事件发生后才亡羊补牢。
从近期国内的安全事件头条可以看出,人为因素导致的数据泄漏事件增加趋势明显。2017最新数据显示,全球25%的数据泄露是由内部员工或外包商疏忽造成,且该比例逐年上升。许多企业甚至政府机构引入外包商进行开发、测试、分析或代理运维,授予外部人员访问、管理数据库的高权限。这种做法节约了人力成本投入,但增加了因人为误操作、高危操作导致数据泄漏的可能性。收集数据的公司和机构,即数据控制者,应当更加重视对内部人员和外包商的监督,从技术、管控、法律责任划分等多个层面降低数据泄漏的风险。