安永：互聯網公司應對合作第三方定期調查，避免數據被濫用

安永近日發布的一份報告披露，來自全球17%的受訪企業表示，即使出現了影響到客戶信息的漏洞，他們也不會通知所有客戶。10%的企業表示，他們甚至不會通知受到影響的客戶。

3月27日，《安永第20屆全球信息安全調查報告GISS：重鑄網路安全，直面網路攻擊》（下稱《報告》）在上海正式發布。該報告就網路安全管理工作最迫切的關注點，對近1200名全球企業高管進行了調研訪談。

安永多位信息安全諮詢服務高管在與媒體交流時表示，互聯網公司與傳統企業相比，收集了更多的個人信息，這樣的公司需要特別關注企業內部對信息的管控，防止信息泄露到企業之外。對會使用這些信息的第三方，企業需要定期做一些盡職調查，保證第三方的信息管控和企業內部相同標準。此外根據調查，大部分的企業對需要承擔的法律責任依舊模糊不清，沒有考慮過第三方執法因素。

防止用戶信息泄露，互聯網企業應定期對第三方進行盡職調查

針對網路平台近來高發的用戶數據泄露問題，安永風險諮詢服務合伙人胡立基表示，越是用戶個人數據多的公司，越要特別去關注企業內部是否有足夠的管控，防範企業內部的信息泄露到企業之外。一旦泄露事件發生，企業有沒有相應計劃能把對公司和個人的影響降到最低，從而進行整改。

胡立基還提到，互聯網企業經常與第三方外包商合作，將大量用戶個人數據發給外包商處理。但後來安永發現，如果企業把數據發給外包商，外包商則應該對這些數據擁有和企業一樣的管控程度。因此企業需要對第三方進行管理，包括定期對第三方做一些盡職調查等，保證項目在外包商那裡是可行的。

普通用戶應該了解自己的個人隱私權利有哪些，閱讀網路平台隱私條款

關於當下很多電子商務和社交平台網站過多獲取了用戶的個人隱私信息，安永信息安全高管認為，安全和隱私是相輔相成的。一方面網路平台作為用戶個人信息的託管者，泄露了用戶信息需要依法受到懲處，另一方面個人也應該了解隱私權作為我們個人的權利具體都是什麼，這也可以反過來推動平台改善企業在用戶隱私方面的做法。

1月24日，《信息安全技術個人信息安全規範》全文在國家標準全文公開系統上線，即將於5月1日正式實施。該規範屬於推薦性國家標準，對個人信息的收集、保存、使用、轉讓等環節進行了規定。

針對互聯網公司通過大數據和演算法，向用戶精準推送合適的內容，安永大中華區信息安全諮詢服務合伙人阮祺康表示：安全跟隱私是相輔相成的。普通用戶應該知道自己個人隱私權利是什麼。他專門提到《信息安全技術個人信息安全規範》中對此都有詳細的標準。

阮祺康具體解釋道：用戶個人隱私權，包括用戶的數據必須要經過同意才能給企業；企業拿這些數據用於什麼目的，也需要告訴用戶。如果用戶不想讓企業分析自己的數據，也有權利讓企業刪掉。因此，用戶在用網路平台的時候，必須要讀清楚隱私條款，並且可以不同意。比如同意隱私條款之後，平台可能會向用戶推送一些廣告，那麼這些廣告要用戶同意才可以定向推廣，如果用戶不同意就不能推廣。

大多數企業沒有考慮過第三方執法因素

2017年6月《中華人民共和國網路安全法》生效，對企業的網路安全管理做出了要求；《信息安全技術個人信息安全規範》也將於5月1日正式實施。此外，《歐盟通用數據保護條例》（GDPR）將於5月25日正式生效。企業需要在這些信息安全相關法律的指導下，確保自己的商業行為合規合法。

但根據《報告》調查統計的結果，雖然總體來說，全球有69%的企業都具備某種形式的安全事件響應能力，但很多企業對其需要承擔的法律責任依舊模糊不清。

17%的受訪企業表示，即使出現了影響到客戶信息的漏洞，他們也不會通知所有客戶。10%的企業表示，他們甚至不會通知受到影響的客戶。

只有8%的企業在信息安全事件應對計劃中，充分考慮過第三方執法的因素。56%的企業表示，對於導致數據外泄的安全事件，他們會在1個月內通過媒體發表公開聲明。安永認為這個反應時間依舊偏長。

此外，17%的受訪企業表示，即使出現了影響到客戶信息的漏洞，他們也不會通知所有客戶。10%的企業表示，他們甚至不會通知受到影響的客戶。

企業防禦遭到攻破只是時間問題

阮祺康表示，現在的企業對信息安全的投入是普遍增加的，其中有很多國外企業，為此投入了大量的預算。「相對來說，在中國我看到還可以再投入多一點。」

《報告》認為，企業的防禦網路遭到攻破只是時間問題，因此對企業來說響應機制十分重要。能夠認清這一點並在此基礎上運營的企業是明智的。如果企業具備一套能夠在發現漏洞時自動啟動的網路漏洞響應計劃（CBRP），特別是如果能在早期發現入侵事件，就能最大程度減輕網路安全事件的影響。

CBRP必須覆蓋整個企業，不僅限於傳統的技術部門，而涵蓋運營、技術、媒體、等多個部門，貫穿於企業經營流程始終，而且要有具有相關經驗和知識的人來管理企業在運營和戰略層面的響應。因此對相關人才，以及對員工的培訓要求提出了新的挑戰。

阮祺康解釋稱，傳統的企業做法是將信息安全保護作為IT部門的一個分支，因此與IT的投入相比，信息安全在以前投入不高，但現在信息安全已經成為法律和風險管理的議題。公司除了技術，在管理方面也加大了投入。他還提到，如果員工有安全意識，比如收到比較敏感的郵件、文件，不會亂髮出去，又或者網上銀行賬號設置比較複雜的密碼等，其他的工作相對就會事半功倍。我們認為信息安全其實到最後人才是最重要的環節。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！