网络安全 频道

确保数据安全 IT企业应受法律制约

  遵守法律标准

  法律法规或者合同等其他章程要求履行的安全义务,一般都是最基本、最合理、最恰当的安全要求,而它们针对安全提供的一些保障措施却远远不够。另外,法律上所讲的“合理”、“恰当”到底是怎么样一个概念?

  然而,如果你留心观察近期的规章条例、判例法和政府的一些政策措施,就会发现这类“法律”标准都出奇地一致——该标准侧重于行为过程,而不是具体的安全防范措施。

  法律并没有什么情况下采取什么样的措施才能实现合理安全的标准,相反,它只要求公司根据风险情况,采取合理的防范措施,以达到预期的安全标准。这也就意味着,公司必须根据他们所面临的情况进行风险评估,然后采取相应的安全防范措施,并确保这些措施得到具体落实。同时,还要根据变化的情况对措施进行适时调整。

  因此,根据实际情况采取的必要安全措施,也会受到公司安全策略的影响。比如,法院驳回了就笔记本电脑上的私人加密资料的措施请求,而建议根据风险等级采取更加合理的安全防范措施。也就是说,问题的首要因素在于风险评估,然后才是根据公司面临的风险状况采取的安全措施。

  比如,在小区周围布满武警人员,并且在入口处安装智能卡门禁系统,这样可能会拥有比较高的安全等级。但是,如果小区面临的威胁是来自互联网上的黑客攻击,那么,可以说这种人身安全措施起不到任何帮助。类似地,防火墙或者检测软件只能对付黑客或者保护敏感数据库,如果公司内部有员工故意(或者不小心)泄露了机密资料,那么即使有再先进的安全技术措施,也不能阻止事情的发生。

  根据风险评估采取相应的安全措施,在划分安全事故责任方面起着极为重要的作用。例如,在对数据信息的可预见风险下,采取了相应的安全防范措施,即使结果还是遭受了损失,行为主体也可以免责。

  法律还会对安全防范措施进行审查,以明确是否适当是否有效。因为如果数据仅仅是被加密了,也并不意味着安全措施做到位。为了确保安全措施得到落实并且持续有效,需要不断地对其进行监测、测试和评估。

  为应对企业所面临风险,当你制定自己的安全策略时,请不要忽略第三方。外包本身并不会免除你保护外包数据安全的义务和责任。考虑到后果,你必须慎重对待与外包供应商签订的合同,并认真考虑与之相关的安全保护措施。

 

0
相关文章