CSO怎么做（7）信息安全、大安全与合规

本来这一篇的标题是“如何满足信息安全合规要求”，但是2018年发生的一些事情让我重新审视这个话题，并且根据与一些同行的交流发现，很多中小企业主其实对于信息安全应该干什么、不干什么其实并不清晰，因此我修改了本篇的话题内容，并提前来聊聊这个内容。

一、“大安全”的由来

很幸运的是，我在前后几家公司里面负责信息安全工作的时候，所在部门都是与IT分开的，向不同的领导汇报。这种局面让自己很早就摆脱了“安全=IT”的印象，但反而陷入了另一个误区，“信息安全部”=“安全部”。于是很多主管、员工甚至CXO就有这样的诉求：

• 公司的保安你们管不管啊？要是有外人出入不受管控，安全上很容易出事啊！
• 安全部门你们要管管盗版软件哪，软件还得用，但是不能太过分，会被人找麻烦的。
• 现在外面各种个人信息满天飞，员工的个人信息、个人数据你们要看好啊，不然被骗、被骚扰是很麻烦的事情。
• 你们认识不认识黑客？我有个QQ号被盗了，能不能帮我找回来？
• 我们有个主管涉嫌搞小三，他岗位比较敏感、不能出事，但没有证据、我们又不好直接找他谈话，你们能不能黑进他手机，帮公司查一下？
• 公司有笔业务做成了，销售给客户送了点钱表示感谢。但是送钱这事儿不能落下把柄，你去查查有没有落下什么证据，如果有赶紧去删除了。

以上是我和其他一些安全从业人员身上真实发生过的事情，刚开始的时候真的是哭笑不得。慢慢的我就开始思考为什么会这样？2018年中兴被美国公司制裁，圈内就有争论，说中兴的安全团队是不是要为这些事情负责？也引发了我的思考。我觉得大体有如下几个原因吧：

• 信息安全的英文是Information Security，而同样中文名、但内涵完全不一样的一个单词叫“Safety”，确实容易给人造成混淆。你还真不能指望每个老板都懂这些差异。
• 老板是需要有人看家护院的，所以必然有“大安全”的诉求，说到底就是“不出大事、出事打的赢”。公司有事儿，得有人管哪，“安全部”不管、谁管？
• 国内有些事务，现在意识、法规和执行都还不完善，确实有一些灰色地带。再加上信息安全有时确实会有一些强力的管控和审计工具，而且既懂攻、也懂防，让人觉得神秘又专业，不找你找谁？

所以呐，读者在回顾“我眼中的信息安全意识教育体系”时候，一定要记得：对老板的教育是持之以恒的的工作，不可松懈。

二、CSO可能面临哪些“大安全”的诉求？

基于过往的经验和认知，总结了一下。不一定完整和恰当，还欢迎各位读者指正、补充。

1、遵守国家或地区颁布的强制性法律法规。如中国政府颁布的《网络安全法》，公安部颁布的重要、基础行业必须要遵守的《等保》。

2、遵守行业规范或标准，如

（1）工信部颁布的对电信运营商、互联网服务提供商的《电信和互联网用户个人信息保护规定》。这几年由于监管检查到位，基本没有灰色地带。

（2）银监会证监会颁布的各类行业信息安全规范，属于强制性要求。由于监管检查到位，基本没有灰色地带。

（3）在研发过程中使用开源软件模块，所必须遵守的GPL、BSD、LGPL等开源软件协议；以及可能附带的灰色要求，比如某些情况下不遵守开源协议要求、又不想被发现。

3、遵守与合作伙伴、供应商签署的商业合同中的条款，如；

（1）购买或使用商业软件、授权软件时，所必须遵守的软件协议要求，俗称“软件正版化”；以及可能附带的灰色要求，比如实在无力购买、导致某些软件的使用数量远远大于授权数量，又不想被发现。

（2）使用供应商、合作伙伴提供的零部件、技术时，必须采取措施保护他们的知识产权、商业秘密；以及可能附带的灰色要求，比如可能违反规定将零部件、技术提供给非授权客户使用，又不想被发现。

4、各种ISO管理标准、体系中附带的信息安全要求。标准太多，我也不全知道，就不献丑了。

5、如果是上市公司，还要遵循上市监管要求当中所包含的信息安全要求。比如著名的SOX法案，比如中国证监会对于上市公司要求的信息披露要求、内控要求。

6、管理企业的物理安全，包括人员、物品出入管控，物理区域隔离、监控与巡查，物理安全设备系统的维护、运营，保安队伍的管理。

7、保护员工个人信息：公司员工的个人信息在企业内外部流转时所要遵循的保护要求。

8、应对灰色业务的需求

（1）比如想给客户一点感谢费（说难听点就是行贿了），但是资金得从公司出、出去之前要领导审批，怎么保证财务对账记录完整、资金安全到达但是又不落下把柄和证据？

（2）比如企业在市场竞争中总要搜集竞争对手的情报吧？虽说80%的情报来源于公开信息，但总有20%的情报来源于非公开信息（比如翻竞争对手的垃圾箱），怎么做既能获得情报、在企业内部合理流转共享，又不留下非法搜集情报的把柄，甚至于不泄漏情报的源头？

还记得我们在前面篇章中提出的“业务安全”的概念吗？“业务安全就是让业务平平安安地赚钱”，这两个似乎也可以列入“业务安全”范畴啊！怎么办？

9、产品安全：使得公司对客户、合作伙伴提供的产品、服务满足机密性、完整性、可用性、可追溯性、合规性的要求。

10、对于公司员工个人情况的调查。比如调查员工。

三、如何应对这些“大安全”的诉求？

看到这些问题，真的很头疼。一方面是我们的专业诉求、职业操守，一方面是老板要求、企业经营中的现实需求，怎么办？给点我的建议，不一定恰当，大家共同探讨。

1.基本态度

对安全团队价值直接影响的范畴，义不容辞；与安全团队价值相关的范畴，合作共赢；灰色地带，有限介入；完全无关的，尽量拒绝。具体怎么做？

2.义不容辞的领域

在“如何设计一个企业的信息安全目标和路线图”篇章中，已经提到了如下的信息安全合规要求，我认为属于义不容辞的领域。再重申如下：包括（1）国家或地区颁布的强制性法律法规（如中国政府颁布的《网络安全法》）；（2）行业规范或标准（如工信部颁布的对电信运营商、互联网服务提供商的《电信和互联网用户个人信息保护规定》；（3）与企业客户、供应商签署的商业合同中的信息安全条款；（4）各种ISO管理标准、体系中附带的信息安全要求；（5）如果是上市公司，还要遵循上市监管要求当中所包含的信息安全要求；

3.合作共赢的领域

这些领域“做得好会产生正面影响、做的不好会有严重负面影响，而且需要持续投入”，建议明确责任部门，支持、配合他们保障企业不出事。

（1）对于企业物理安全的管理，一般不建议抓在CSO手中，因为繁杂事务太多，一旦你牵扯进去，估计就没有精力管好信息安全事务了。建议交给行政、总务部门，与他们建立良好的合作关系，可以共同制订标准、共同检查，在一些重大项目中参与评审。

（2）遵守开源协议的要求：一般建议把这个决策和管理职责交给业务部门、法务部门或合规部门。安全部门可以帮助他们寻找、部署、运维工具，甚至一起优化工具的使用。

（3）遵守软件正版化要求：一般建议把这个决策和管理职责交给业务部门、法务部门或合规部门。安全部门、IT部门使用的桌面管理工具一般都会有这个管理功能，将之提供给给负责部门，提供好工具、数据上的支撑。

（4）产品安全：这个尺度好难把握。产品安全团队的人员技能和信息安全团队的人员技能估计有至少90%是重合的，所以能力强的CSO你就收了吧，如果不想干的话、提供技能支持、知识交流、供应商资源的支持还是必要的，毕竟是公司整体受益嘛。

4.有限介入的领域

这些基本都是在合规方面存在争议的领域。国内这些年在这些领域已经取得了长足的进步，至少在认知上已经从“不知道”到了“知道、比较重视”的地步。但在科技研发型企业看来，合规治理说到底就是拼资源、拼投入，但合规的投入真的太大、而且看不到直接成效，所以现实世界中不可避免地存在灰色地带。那么CSO遇到这种情况怎么办？

（1）对于遵守开源协议方面可能产生的灰色要求，建议由法务部门、合规部门和老板一起做出决策。这个过程中，安全部门可以参与制订尽可能合规的技术方案，但不负主要责任。

（2）对于企业内部“软件正版化”可能产生的灰色要求，建议由法务部门、合规部门和老板一起做出决策。这个过程中，安全部门可以提供工具、提供数据，但不负主要责任、也不要提供决策建议。软件正版化在国内还有很长的路要走，尤其对于中小企业来说，我个人认为可以允许一定的灰度存在。

（3）对于竞争情报获取、加工、分享链条中的安全保密需求。建议安全部门仅参与加工、分享环节的风险防范措施，可以给予技术指导、参与制订合规方案，仅此有限介入就可以了。千万不要参与获取环节的违规操作（比如直接去扒竞争对手的垃圾箱），我觉得这是底线，一定要记住“要想人不知、除非己莫为”。当然，获取环节的合规操作（比如通过互联网公开信息渠道获得竞争对手信息）是没有问题的。

（4）企业内部管理时，多少都掌握了一些员工个人信息，尤其是HR，安全部门应督促HR尽可能用IT系统保管、流转员工个人信息、并将系统纳入保护范围；同时CSO在内部提升员工意识的时候，也可以多多引用保护个人信息的案例和方法，两者有较多相同性。

5.尽量拒绝的领域

（1）对于公司员工个人情况的调查。如我上面举出的例子。直接拒绝就可以了，任何可能违法的操作都不要介入，这是底线。同时，公司里面这些事情有时候会有办公室政治的嫌疑，与其被人当枪使，还不如干干净净、不偏不倚做个专业人。

（2）对于企业内部可能存在的其他违规操作（比如可能违反规定将零部件、技术提供给非授权客户使用，又不想被发现；比如要给客户送感谢费，又不想留下证据），很多人都美其名曰“灰色操作”，其实就是没有被发现的违规操作。如果老板希望安全部门参与此事，一定要严词拒绝，因为首先这是负民事或刑事责任的违法行为，其次一定要记住“要想人不知、除非己莫为”，这年头根本没有不透风的墙！这根本不是灰色操作，这是赤裸裸的黑色操作。万一将来出事了、让安全背锅怎么办？CSO背不起这个锅啊！

四、信息安全与合规团队的关系

从上面的描述来看，CSO面临“大安全”的诉求时，有好几类领域应该寻求合规团队的支持（如果没有合规团队，找法务团队就可以了），或者这么说：这类业务都应该由合规团队牵头负责制订业务规则，而安全部门可以提供必要的技术支持。因此，安全部门和合规团队的密切合作是不可缺少的，这样既帮助公司控制了违规风险，也帮助自己减少了不必要的工作量，这种运作方式是我认为比较恰当的。