CSO怎么做(7)信息安全、大安全与合规

围观次数:6,405 views

本来这一篇的标题是“如何满足信息安全合规要求”,但是2018年发生的一些事情让我重新审视这个话题,并且根据与一些同行的交流发现,很多中小企业主其实对于信息安全应该干什么、不干什么其实并不清晰,因此我修改了本篇的话题内容,并提前来聊聊这个内容。

一、“大安全”的由来

很幸运的是,我在前后几家公司里面负责信息安全工作的时候,所在部门都是与IT分开的,向不同的领导汇报。这种局面让自己很早就摆脱了“安全=IT”的印象,但反而陷入了另一个误区,“信息安全部”=“安全部”。于是很多主管、员工甚至CXO就有这样的诉求:

  • 公司的保安你们管不管啊?要是有外人出入不受管控,安全上很容易出事啊!
  • 安全部门你们要管管盗版软件哪,软件还得用,但是不能太过分,会被人找麻烦的。
  • 现在外面各种个人信息满天飞,员工的个人信息、个人数据你们要看好啊,不然被骗、被骚扰是很麻烦的事情。
  • 你们认识不认识黑客?我有个QQ号被盗了,能不能帮我找回来?
  • 我们有个主管涉嫌搞小三,他岗位比较敏感、不能出事,但没有证据、我们又不好直接找他谈话,你们能不能黑进他手机,帮公司查一下?
  • 公司有笔业务做成了,销售给客户送了点钱表示感谢。但是送钱这事儿不能落下把柄,你去查查有没有落下什么证据,如果有赶紧去删除了。

以上是我和其他一些安全从业人员身上真实发生过的事情,刚开始的时候真的是哭笑不得。慢慢的我就开始思考为什么会这样?2018年中兴被美国公司制裁,圈内就有争论,说中兴的安全团队是不是要为这些事情负责?也引发了我的思考。我觉得大体有如下几个原因吧:

  • 信息安全的英文是Information Security,而同样中文名、但内涵完全不一样的一个单词叫“Safety”,确实容易给人造成混淆。你还真不能指望每个老板都懂这些差异。
  • 老板是需要有人看家护院的,所以必然有“大安全”的诉求,说到底就是“不出大事、出事打的赢”。公司有事儿,得有人管哪,“安全部”不管、谁管?
  • 国内有些事务,现在意识、法规和执行都还不完善,确实有一些灰色地带。再加上信息安全有时确实会有一些强力的管控和审计工具,而且既懂攻、也懂防,让人觉得神秘又专业,不找你找谁?

所以呐,读者在回顾“我眼中的信息安全意识教育体系”时候,一定要记得:对老板的教育是持之以恒的的工作,不可松懈。

二、CSO可能面临哪些“大安全”的诉求?

基于过往的经验和认知,总结了一下。不一定完整和恰当,还欢迎各位读者指正、补充。

1、遵守国家或地区颁布的强制性法律法规。如中国政府颁布的《网络安全法》,公安部颁布的重要、基础行业必须要遵守的《等保》。

2、遵守行业规范或标准,如

(1)工信部颁布的对电信运营商、互联网服务提供商的《电信和互联网用户个人信息保护规定》。这几年由于监管检查到位,基本没有灰色地带。

(2)银监会证监会颁布的各类行业信息安全规范,属于强制性要求。由于监管检查到位,基本没有灰色地带。

(3)在研发过程中使用开源软件模块,所必须遵守的GPL、BSD、LGPL等开源软件协议;以及可能附带的灰色要求,比如某些情况下不遵守开源协议要求、又不想被发现。

3、遵守与合作伙伴、供应商签署的商业合同中的条款,如;

(1)购买或使用商业软件、授权软件时,所必须遵守的软件协议要求,俗称“软件正版化”;以及可能附带的灰色要求,比如实在无力购买、导致某些软件的使用数量远远大于授权数量,又不想被发现。

(2)使用供应商、合作伙伴提供的零部件、技术时,必须采取措施保护他们的知识产权、商业秘密;以及可能附带的灰色要求,比如可能违反规定将零部件、技术提供给非授权客户使用,又不想被发现。

4、各种ISO管理标准、体系中附带的信息安全要求。标准太多,我也不全知道,就不献丑了。

5、如果是上市公司,还要遵循上市监管要求当中所包含的信息安全要求。比如著名的SOX法案,比如中国证监会对于上市公司要求的信息披露要求、内控要求。

6、管理企业的物理安全,包括人员、物品出入管控,物理区域隔离、监控与巡查,物理安全设备系统的维护、运营,保安队伍的管理。

7、保护员工个人信息:公司员工的个人信息在企业内外部流转时所要遵循的保护要求。

8、应对灰色业务的需求

(1)比如想给客户一点感谢费(说难听点就是行贿了),但是资金得从公司出、出去之前要领导审批,怎么保证财务对账记录完整、资金安全到达但是又不落下把柄和证据?

(2)比如企业在市场竞争中总要搜集竞争对手的情报吧?虽说80%的情报来源于公开信息,但总有20%的情报来源于非公开信息(比如翻竞争对手的垃圾箱),怎么做既能获得情报、在企业内部合理流转共享,又不留下非法搜集情报的把柄,甚至于不泄漏情报的源头?

还记得我们在前面篇章中提出的“业务安全”的概念吗?“业务安全就是让业务平平安安地赚钱”,这两个似乎也可以列入“业务安全”范畴啊!怎么办?

9、产品安全:使得公司对客户、合作伙伴提供的产品、服务满足机密性、完整性、可用性、可追溯性、合规性的要求。

10、对于公司员工个人情况的调查。比如调查员工。

三、如何应对这些“大安全”的诉求?

看到这些问题,真的很头疼。一方面是我们的专业诉求、职业操守,一方面是老板要求、企业经营中的现实需求,怎么办?给点我的建议,不一定恰当,大家共同探讨。

1.基本态度

对安全团队价值直接影响的范畴,义不容辞;与安全团队价值相关的范畴,合作共赢;灰色地带,有限介入;完全无关的,尽量拒绝。具体怎么做?

2.义不容辞的领域

在“如何设计一个企业的信息安全目标和路线图”篇章中,已经提到了如下的信息安全合规要求,我认为属于义不容辞的领域。再重申如下:包括(1)国家或地区颁布的强制性法律法规(如中国政府颁布的《网络安全法》);(2)行业规范或标准(如工信部颁布的对电信运营商、互联网服务提供商的《电信和互联网用户个人信息保护规定》;(3)与企业客户、供应商签署的商业合同中的信息安全条款;(4)各种ISO管理标准、体系中附带的信息安全要求;(5)如果是上市公司,还要遵循上市监管要求当中所包含的信息安全要求;

3.合作共赢的领域

这些领域“做得好会产生正面影响、做的不好会有严重负面影响,而且需要持续投入”,建议明确责任部门,支持、配合他们保障企业不出事。

(1)对于企业物理安全的管理,一般不建议抓在CSO手中,因为繁杂事务太多,一旦你牵扯进去,估计就没有精力管好信息安全事务了。建议交给行政、总务部门,与他们建立良好的合作关系,可以共同制订标准、共同检查,在一些重大项目中参与评审。

(2)遵守开源协议的要求:一般建议把这个决策和管理职责交给业务部门、法务部门或合规部门。安全部门可以帮助他们寻找、部署、运维工具,甚至一起优化工具的使用。

(3)遵守软件正版化要求:一般建议把这个决策和管理职责交给业务部门、法务部门或合规部门。安全部门、IT部门使用的桌面管理工具一般都会有这个管理功能,将之提供给给负责部门,提供好工具、数据上的支撑。

(4)产品安全:这个尺度好难把握。产品安全团队的人员技能和信息安全团队的人员技能估计有至少90%是重合的,所以能力强的CSO你就收了吧,如果不想干的话、提供技能支持、知识交流、供应商资源的支持还是必要的,毕竟是公司整体受益嘛。

4.有限介入的领域

这些基本都是在合规方面存在争议的领域。国内这些年在这些领域已经取得了长足的进步,至少在认知上已经从“不知道”到了“知道、比较重视”的地步。但在科技研发型企业看来,合规治理说到底就是拼资源、拼投入,但合规的投入真的太大、而且看不到直接成效,所以现实世界中不可避免地存在灰色地带。那么CSO遇到这种情况怎么办?

(1)对于遵守开源协议方面可能产生的灰色要求,建议由法务部门、合规部门和老板一起做出决策。这个过程中,安全部门可以参与制订尽可能合规的技术方案,但不负主要责任。

(2)对于企业内部“软件正版化”可能产生的灰色要求,建议由法务部门、合规部门和老板一起做出决策。这个过程中,安全部门可以提供工具、提供数据,但不负主要责任、也不要提供决策建议。软件正版化在国内还有很长的路要走,尤其对于中小企业来说,我个人认为可以允许一定的灰度存在。

(3)对于竞争情报获取、加工、分享链条中的安全保密需求。建议安全部门仅参与加工、分享环节的风险防范措施,可以给予技术指导、参与制订合规方案,仅此有限介入就可以了。千万不要参与获取环节的违规操作(比如直接去扒竞争对手的垃圾箱),我觉得这是底线,一定要记住“要想人不知、除非己莫为”。当然,获取环节的合规操作(比如通过互联网公开信息渠道获得竞争对手信息)是没有问题的。

(4)企业内部管理时,多少都掌握了一些员工个人信息,尤其是HR,安全部门应督促HR尽可能用IT系统保管、流转员工个人信息、并将系统纳入保护范围;同时CSO在内部提升员工意识的时候,也可以多多引用保护个人信息的案例和方法,两者有较多相同性。

5.尽量拒绝的领域

(1)对于公司员工个人情况的调查。如我上面举出的例子。直接拒绝就可以了,任何可能违法的操作都不要介入,这是底线。同时,公司里面这些事情有时候会有办公室政治的嫌疑,与其被人当枪使,还不如干干净净、不偏不倚做个专业人。

(2)对于企业内部可能存在的其他违规操作(比如可能违反规定将零部件、技术提供给非授权客户使用,又不想被发现;比如要给客户送感谢费,又不想留下证据),很多人都美其名曰“灰色操作”,其实就是没有被发现的违规操作。如果老板希望安全部门参与此事,一定要严词拒绝,因为首先这是负民事或刑事责任的违法行为,其次一定要记住“要想人不知、除非己莫为”,这年头根本没有不透风的墙!这根本不是灰色操作,这是赤裸裸的黑色操作。万一将来出事了、让安全背锅怎么办?CSO背不起这个锅啊!

四、信息安全与合规团队的关系

从上面的描述来看,CSO面临“大安全”的诉求时,有好几类领域应该寻求合规团队的支持(如果没有合规团队,找法务团队就可以了),或者这么说:这类业务都应该由合规团队牵头负责制订业务规则,而安全部门可以提供必要的技术支持。因此,安全部门和合规团队的密切合作是不可缺少的,这样既帮助公司控制了违规风险,也帮助自己减少了不必要的工作量,这种运作方式是我认为比较恰当的。

1人评论了“CSO怎么做(7)信息安全、大安全与合规”

  1. 发现自己遗漏了几点,补充一下。
    1、对于在研发过程中使用开源软件模块,必须遵守的GPL、BSD、LGPL等开源软件协议:这个业务我认为和信息安全没啥关系,心大的CSO可以有限介入(比如在评估选型工具的时候,协助业务部门开展测试),没精力的直接拒绝好了。这是一个专业的活儿,市面上的商业化工具都是几十万人民币,没必要跟人家抢活。
    2、对于在研发过程中使用开源软件模块,可能没有很好地遵守GPL、BSD、LGPL等开源软件协议、但又不想被发现的需求,明确地告诉他,不要去违反开源社区的规则,一定会被发现、不要存侥幸心理。一方面会把公司玩坏,一方面还会把中国人的名声玩坏了,切记切记。
    3、对于业务部门提出因为做了一些违规操作,希望修改系统、邮件、电脑数据甚至销毁证据的一些做法。CSO和安全团队千万不要参与,直接Say No就可以了,无数的事实证明了一点“要想人不知、除非己莫为”,你要真干了,一定是有办法抓到你的,何苦呢。还不如规规矩矩做生意,老老实实做好产品和服务。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

Time limit exceeded. Please complete the captcha once again.

广告赞助