確保數(shù)據(jù)安全 企業(yè)應(yīng)該承擔(dān)的兩項(xiàng)義務(wù)

申請免費(fèi)試用、咨詢電話：400-8352-114

履行安全保護(hù)義務(wù)

對于大多數(shù)IT組織來說，確保企業(yè)數(shù)據(jù)安全是最首要任務(wù)。因此，企業(yè)需要提防最新的安全風(fēng)險(xiǎn)，在安全防范方面投入不少IT運(yùn)營成本，從而讓企業(yè)置于良好的發(fā)展環(huán)境中。

關(guān)于IT安全方面的態(tài)度，我們也需要轉(zhuǎn)變。以前如果有人搶劫銀行，我們會痛恨那些作惡多端的不法之徒;現(xiàn)在，如果有人成功侵入公司的電腦系統(tǒng)，我們應(yīng)該質(zhì)疑系統(tǒng)的安全性，是公司未能提供足夠的安全保障。

實(shí)現(xiàn)這一轉(zhuǎn)變的是一系列相關(guān)法律法規(guī)的出臺。據(jù)悉，這些法律旨在保護(hù)個人數(shù)據(jù)的機(jī)密性和完整性，以免被人盜取受到侵害。如果有人違反這些法律規(guī)定，將可能面臨嚴(yán)厲的法律制裁。

本文，將向你簡要介紹這些相關(guān)法律內(nèi)容，并指出作為公司組織應(yīng)該承擔(dān)的兩項(xiàng)義務(wù)：落實(shí)增強(qiáng)數(shù)據(jù)安全保護(hù)措施的義務(wù);告知安全漏洞的義務(wù)。

履行安全保護(hù)義務(wù)

擬定公司的所有信息安全義務(wù)，不可能依靠某個單一的法律法規(guī)來實(shí)現(xiàn)。相反，只有不斷完善的的法律法規(guī)，才能滿足不斷變化的數(shù)據(jù)安全保護(hù)需要。

相關(guān)的法律法規(guī)也比較多：隱私權(quán)保護(hù)法要求公司保障私人的數(shù)據(jù)安全;電子交易法要求電子記錄具有完整性和可利用性;公司法則要求采取適當(dāng)?shù)拇胧?，保障公眾和股東、投資者、商業(yè)伙伴的利益;反不正當(dāng)競爭法則解釋了包括缺乏安全可靠性的不公正商業(yè)準(zhǔn)則。

近期的一些訴訟也表明，企業(yè)未能對其數(shù)據(jù)安全提供足夠的保護(hù)。例如，MBNA的美國銀行因一個客戶的身份資料遭到盜用而被起訴，就是一個未能提供足夠安全的良好例子。

除了法律章程和法院裁決需要履行的義務(wù)外，公司還需要根據(jù)自身所簽訂的合同承擔(dān)額外的安全義務(wù)。舉例來說，任何涉及到商業(yè)機(jī)密信息的外包或者類似協(xié)議，都需要根據(jù)合同內(nèi)容履行相應(yīng)的數(shù)據(jù)保護(hù)安全義務(wù)。同樣，企業(yè)只有做出一些安全承諾，才能參加某些商業(yè)組織活動。比如，商家要接受信用卡，必須事先同意并遵守PCI(Payment Card Industry，支付卡行業(yè))數(shù)據(jù)安全標(biāo)準(zhǔn)。

全身心投入以確保信息安全，是一個組織應(yīng)該履行的責(zé)任和義務(wù)。通過在隱私政策、公司網(wǎng)站或者廣告資料里面事先申明，可以根據(jù)收集到的信息對應(yīng)不同的安全級別，制定不同的索賠標(biāo)準(zhǔn)。這樣，將有助于加強(qiáng)公眾對企業(yè)義務(wù)執(zhí)行的監(jiān)督。

遵守法律標(biāo)準(zhǔn)

法律法規(guī)或者合同等其他章程要求履行的安全義務(wù)，一般都是最基本、最合理、最恰當(dāng)?shù)陌踩?，而它們針對安全提供的一些保障措施卻遠(yuǎn)遠(yuǎn)不夠。另外，法律上所講的“合理”、“恰當(dāng)”到底是怎么樣一個概念?

然而，如果你留心觀察近期的規(guī)章條例、判例法和政府的一些政策措施，就會發(fā)現(xiàn)這類“法律”標(biāo)準(zhǔn)都出奇地一致——該標(biāo)準(zhǔn)側(cè)重于行為過程，而不是具體的安全防范措施。

法律并沒有什么情況下采取什么樣的措施才能實(shí)現(xiàn)合理安全的標(biāo)準(zhǔn)，相反，它只要求公司根據(jù)風(fēng)險(xiǎn)情況，采取合理的防范措施，以達(dá)到預(yù)期的安全標(biāo)準(zhǔn)。這也就意味著，公司必須根據(jù)他們所面臨的情況進(jìn)行風(fēng)險(xiǎn)評估，然后采取相應(yīng)的安全防范措施，并確保這些措施得到具體落實(shí)。同時(shí)，還要根據(jù)變化的情況對措施進(jìn)行適時(shí)調(diào)整。

因此，根據(jù)實(shí)際情況采取的必要安全措施，也會受到公司安全策略的影響。比如，法院駁回了就筆記本電腦上的私人加密資料的措施請求，而建議根據(jù)風(fēng)險(xiǎn)等級采取更加合理的安全防范措施。也就是說，問題的首要因素在于風(fēng)險(xiǎn)評估，然后才是根據(jù)公司面臨的風(fēng)險(xiǎn)狀況采取的安全措施。

比如，在小區(qū)周圍布滿武警人員，并且在入口處安裝智能卡門禁系統(tǒng)，這樣可能會擁有比較高的安全等級。但是，如果小區(qū)面臨的威脅是來自互聯(lián)網(wǎng)上的黑客攻擊，那么，可以說這種人身安全措施起不到任何幫助。類似地，防火墻或者檢測軟件只能對付黑客或者保護(hù)敏感數(shù)據(jù)庫，如果公司內(nèi)部有員工故意(或者不小心)泄露了機(jī)密資料，那么即使有再先進(jìn)的安全技術(shù)措施，也不能阻止事情的發(fā)生。

根據(jù)風(fēng)險(xiǎn)評估采取相應(yīng)的安全措施，在劃分安全事故責(zé)任方面起著極為重要的作用。例如，在對數(shù)據(jù)信息的可預(yù)見風(fēng)險(xiǎn)下，采取了相應(yīng)的安全防范措施，即使結(jié)果還是遭受了損失，行為主體也可以免責(zé)。

法律還會對安全防范措施進(jìn)行審查，以明確是否適當(dāng)是否有效。因?yàn)槿绻麛?shù)據(jù)僅僅是被加密了，也并不意味著安全措施做到位。為了確保安全措施得到落實(shí)并且持續(xù)有效，需要不斷地對其進(jìn)行監(jiān)測、測試和評估。

為應(yīng)對企業(yè)所面臨風(fēng)險(xiǎn)，當(dāng)你制定自己的安全策略時(shí)，請不要忽略第三方。外包本身并不會免除你保護(hù)外包數(shù)據(jù)安全的義務(wù)和責(zé)任?？紤]到后果，你必須慎重對待與外包供應(yīng)商簽訂的合同，并認(rèn)真考慮與之相關(guān)的安全保護(hù)措施。