確保數據安全 企業(yè)應該承擔的兩項義務

申請免費試用、咨詢電話：400-8352-114

履行安全保護義務

對于大多數IT組織來說，確保企業(yè)數據安全是最首要任務。因此，企業(yè)需要提防最新的安全風險，在安全防范方面投入不少IT運營成本，從而讓企業(yè)置于良好的發(fā)展環(huán)境中。

關于IT安全方面的態(tài)度，我們也需要轉變。以前如果有人搶劫銀行，我們會痛恨那些作惡多端的不法之徒;現在，如果有人成功侵入公司的電腦系統(tǒng)，我們應該質疑系統(tǒng)的安全性，是公司未能提供足夠的安全保障。

實現這一轉變的是一系列相關法律法規(guī)的出臺。據悉，這些法律旨在保護個人數據的機密性和完整性，以免被人盜取受到侵害。如果有人違反這些法律規(guī)定，將可能面臨嚴厲的法律制裁。

本文，將向你簡要介紹這些相關法律內容，并指出作為公司組織應該承擔的兩項義務：落實增強數據安全保護措施的義務;告知安全漏洞的義務。

履行安全保護義務

擬定公司的所有信息安全義務，不可能依靠某個單一的法律法規(guī)來實現。相反，只有不斷完善的的法律法規(guī)，才能滿足不斷變化的數據安全保護需要。

相關的法律法規(guī)也比較多：隱私權保護法要求公司保障私人的數據安全;電子交易法要求電子記錄具有完整性和可利用性;公司法則要求采取適當的措施，保障公眾和股東、投資者、商業(yè)伙伴的利益;反不正當競爭法則解釋了包括缺乏安全可靠性的不公正商業(yè)準則。

近期的一些訴訟也表明，企業(yè)未能對其數據安全提供足夠的保護。例如，MBNA的美國銀行因一個客戶的身份資料遭到盜用而被起訴，就是一個未能提供足夠安全的良好例子。

除了法律章程和法院裁決需要履行的義務外，公司還需要根據自身所簽訂的合同承擔額外的安全義務。舉例來說，任何涉及到商業(yè)機密信息的外包或者類似協(xié)議，都需要根據合同內容履行相應的數據保護安全義務。同樣，企業(yè)只有做出一些安全承諾，才能參加某些商業(yè)組織活動。比如，商家要接受信用卡，必須事先同意并遵守PCI(Payment Card Industry，支付卡行業(yè))數據安全標準。

全身心投入以確保信息安全，是一個組織應該履行的責任和義務。通過在隱私政策、公司網站或者廣告資料里面事先申明，可以根據收集到的信息對應不同的安全級別，制定不同的索賠標準。這樣，將有助于加強公眾對企業(yè)義務執(zhí)行的監(jiān)督。

遵守法律標準

法律法規(guī)或者合同等其他章程要求履行的安全義務，一般都是最基本、最合理、最恰當的安全要求，而它們針對安全提供的一些保障措施卻遠遠不夠。另外，法律上所講的“合理”、“恰當”到底是怎么樣一個概念?

然而，如果你留心觀察近期的規(guī)章條例、判例法和政府的一些政策措施，就會發(fā)現這類“法律”標準都出奇地一致——該標準側重于行為過程，而不是具體的安全防范措施。

法律并沒有什么情況下采取什么樣的措施才能實現合理安全的標準，相反，它只要求公司根據風險情況，采取合理的防范措施，以達到預期的安全標準。這也就意味著，公司必須根據他們所面臨的情況進行風險評估，然后采取相應的安全防范措施，并確保這些措施得到具體落實。同時，還要根據變化的情況對措施進行適時調整。

因此，根據實際情況采取的必要安全措施，也會受到公司安全策略的影響。比如，法院駁回了就筆記本電腦上的私人加密資料的措施請求，而建議根據風險等級采取更加合理的安全防范措施。也就是說，問題的首要因素在于風險評估，然后才是根據公司面臨的風險狀況采取的安全措施。

比如，在小區(qū)周圍布滿武警人員，并且在入口處安裝智能卡門禁系統(tǒng)，這樣可能會擁有比較高的安全等級。但是，如果小區(qū)面臨的威脅是來自互聯網上的黑客攻擊，那么，可以說這種人身安全措施起不到任何幫助。類似地，防火墻或者檢測軟件只能對付黑客或者保護敏感數據庫，如果公司內部有員工故意(或者不小心)泄露了機密資料，那么即使有再先進的安全技術措施，也不能阻止事情的發(fā)生。

根據風險評估采取相應的安全措施，在劃分安全事故責任方面起著極為重要的作用。例如，在對數據信息的可預見風險下，采取了相應的安全防范措施，即使結果還是遭受了損失，行為主體也可以免責。

法律還會對安全防范措施進行審查，以明確是否適當是否有效。因為如果數據僅僅是被加密了，也并不意味著安全措施做到位。為了確保安全措施得到落實并且持續(xù)有效，需要不斷地對其進行監(jiān)測、測試和評估。

為應對企業(yè)所面臨風險，當你制定自己的安全策略時，請不要忽略第三方。外包本身并不會免除你保護外包數據安全的義務和責任?？紤]到后果，你必須慎重對待與外包供應商簽訂的合同，并認真考慮與之相關的安全保護措施。