英国《最小网络安全标准》对企业网络安全保护的启示
作者:luanrencom1 日期:2018-07-17 浏览

《最小标准》的显著特点是它保持了一定的开放性。该标准分五个步骤,对政府部门必须达成的保护目标进行了规定,但并未限定达成有关目标的方式、途径。也就是说,英国政府各部门将依照《最小标准》提供的目标框架,根据各自的具体情况来决定需要采取的具体措施。这一特点使得《最小标准》可以被其它企业、组织所借鉴,用以对照自查,并根据自身情况来编制更加详细的网络保护方案。


对于我国企业而言,《最小标准》所提出的 “识别(identify)、保护(protect)、察觉(detect)、应对(respond)、恢复(recover)”,这网络保护的五个步骤具有较高的借鉴价值,可以为企业具体履行网络安全保护义务提供方法论指导。下面对每一个步骤中值得借鉴的地方进行介绍:



识 别

对企业来讲,为了做到后续开展网络安全保护工作心中有数,就要先对需保护的对象以及容易发生风险的环节行识别。《最小标准》的识别环节具体包含了两个层次:

第一层次:设置恰当的网络安全治理流程

  •  明确敏感信息和关键运营服务负责人的职责及责任;

  • 建立恰当的管理制度和流程对网络安全的管理进行指引;

  • 应当理解并管理因依赖外部供应商或供应链而产生的安全问题;

  • 对承担相应职责的高级别员工进行培训,进行网络安全培训教育、提升网络安全意识和组织文化。

第二层次:对掌握的敏感信息以及提供的关键运营服务进行识别并编制目录。

  • 首先,网络安全治理不仅仅涉及企业的内部,还要包括对外部供应商、供应链的管理,因为他们也是风险的来源;

  • 其次,网络安全培训不仅仅包括对企业的基层的技术员工和业务员工的培训,也包括对承担网络安全相关职责的高级别的员工的培训。

在进行第二层次的具体识别时,企业可以参考下述问题清单进行自查,并结合企业自身的经营范围、特点进行调整、扩充。

识别敏感信息自查问题清单

  • 持有哪些敏感信息?

  • 为什么持有这些信息?

  • 这些信息存储的位置?

  • 哪些电脑系统和服务会对这些信息进行处理?

  • 如果这些信息丢失、泄露会造成哪些后果?

识别关键运营服务自查问题清单

  • 提供哪些运营服务?

  • 这些运营服务的持续、安全运作需要依靠的科技、服务有哪些?

  • 这些运营服务的运作是否依赖其它因素?

  • 如果这些运营服务停止运作,可能带来的影响?


保 护

对敏感信息和运营服务进行识别后,企业就可以有针对性地对保护对象采取措施进行保护,可以采取的具体措施如:

  • 对敏感信息和关键服务的访问进行限制,仅允许经识别、鉴定和授权的用户或系统进行访问;

  • 对包含了敏感信息或关键运营服务的系统进行保护,防止因系统缺陷而被滥用(包括对企业科技、终端用户设备、电子邮件和电子服务的保护);

  • 防止高权限的账户受到网络攻击。


察 觉

仅自身采取了相应的保护措施是不够的,及时察觉和防范网络攻击,是企业开展网络安全保护工作的重要步骤:

采取相关步骤以察觉常见的网络攻击,具体措施包括:

  • 首先,清晰定义要保护的客体、明确必须要对其进行保护的原因,并以此为依据调整监控方案,以监控相关风险事件;

  • 其次,还需要根据业务、科技、面临威胁的改变而随时调整和更新监控方案。

这一点提示企业,在对网络威胁进行监控的过程中需要有目的、有计划地设计监控方案,并及时对监控方案更新,以保证监控方案的有效性。


应 对

企业需要事先做好充分的准备,在发生网络安全事件时,积极进行应对。

对可能对敏感信息、关键运营服务造成冲击的事件,预先制定明确的应对计划并进行测试。需要注意的事项有:

  • 不管是否需必须进行报告,都要将所有事件记录为副本;

  • 应当制定通讯计划,以便在发生事故的时候向有关监管机关、承担相关职责的高级员工等进行报告;

  • 事件处理完毕后,应当对相关经验教训进行分析,并用以对未来的事件管理计划进行改进。

对于发生相应事件后,网络运营者的报告义务,《网安法》以及《保护条例》也进行了规定;特别是《保护条例》的第20条第10款还规定对网络中发生的案件或事件,应当在24小时内向有关部门进行汇报。要在如此紧迫的时间里履行汇报义务,企业如果没有实现建立相应的通讯计划,是很难做到的。故企业要注意将通讯计划的建立包括在网络安全保护的制度建设工作中。

另外,在相关事件发生后,企业也要注意总结经验教训,并用以对内部管理机制进行改进,避免在未来再发生同样的事件。


恢 复

为确保在发生相关事件时,仍能够正常提供服务、并保护网络的安全,企业需要事先建立相应的事件处理机制。

事先建立明确的处理机制并进行测试,以保证在发生故障的情况下关键运营服务能够持续运行。

  • 首先,要经常对正常服务的恢复进行情景演练;

  • 其次,要及时修正发现的系统缺陷。

这一点与《网安法》及《保护条例》中对制订应急预案并定期演练的要求有异曲同工之处。我们认为,企业从这一点中可以借鉴的是,在制订应急预案并演练的过程中,最好能够制订相应目标,如在遇到安全事件时能够保证个人信息的安全、保障网络系统能够持续运行等,并在演练过程中加以检验,发现漏洞并及时填补;而不是仅仅为了走过场、熟悉流程而进行测试。


稿件来源:江三角合规业务部


本文作者

李晶晶,上海江三角律师事务所资深律师,合规业务部负责人。执业领域主要是公司合规、劳动与雇佣,纠纷解决、企业并购等法律事宜。

漆思瑶,上海江三角律师事务所合规业务部律师。有为外商投资企业、房地产企业提供法律服务的经验;曾在金融机构从事合规风控工作。


为贯彻落实《网络安全法》(下称“《网安法》”),公安部于2018年6月27日发布了《网络安全等级保护条例(征求意见稿)》(下称“《保护条例》”),对网络安全的分等级保护作出了具体的规定。无独有偶,6月25日,英国政府内阁办公室发布了《最小网络安全标准》(Minimum Cyber Security Standard for Government Departments,version 1.0)(以下简称“《最小标准》”)。该《最小标准》是英国政府所有部门必须遵守的强制性、最低标准,涵盖了对其掌握的信息、科技以及电子服务的保护规定。