澳大利亚着手出台《数据泄露通报制度》敦促安全建设

澳大利亚的2017年隐私权修正(数据泄露通报)法案标志着信息安全立法的一大里程碑。整个技术行业又一次对有无必要进行法律干预开展争论!RSA的彼得·特兰立足于全球视角对澳大利亚新出台的强制性数据泄露通知方案作出评论。

截至目前,包括澳大利亚在内的全球约90个国家出已台了信息安全相关法律法规,而其严格程度、执行方式以及处罚力度亦各不相同。目前美国约47个州拥有自己的安全违规通报法,尽管尚未在国家层面引入统一的法律要求。但大多数数据泄露事件仍然未被及时发现与报告。

信息安全相关法律关注的重点不再应该是其普及广度、深度的问题,而真正应该落实在如何保护数字隐私与落实违反安全法律的具体措施上。衡量安全违规措施及数据隐私法律有效性的惟一方法,在于相关立法举措能否起到防止安全违规事件的发生的作用。但这种衡量方式属于一种“模糊科学”。

美国国家标准与技术研究所(简称NIST)发布的网络安全框架虽然只是一份针对当下的指导性最佳实践框架,但其却与政策、合规性与安全运营实现了紧密对接。英国国家网络安全中心(简称NCSC)与其类似,NIST框架同样由政府机构同私营部门间协同构建,允许各类组织机构基于自身业务需求及具备成本效益的方式解决并管理网络安全风险,而无需进行额外的监管性约束。这种作法被称为“业务驱动型安全保障”。NIST框架能够衡量安全违规在商业环境中带来的实际影响以评估其执行有效性,而这也正是“纸上谈兵”与以实践为导向举措间的最大区别所在。

立法是管理手段而非技术措施

业务准则与法律之间存在着微妙的平衡。立法行为只是为敦促组织机构积极提升自身的监控与检测能力,尽可能避免重大安全违规及数据失窃、操纵及/或销毁事故,或者在遭遇这些事故之后能够有能力迅速应对。立法行为不应该被理解成防止安全违规或者改进早期检测与响应能力的有效措施。

一部分企业可能认为报告安全事件会被政府惩罚,因此质疑就数据泄露通报程序进行立法的必要性。然而政府的真正意图在于鼓励企业更为积极地利用主动识别机制处理网络攻击风险与安全漏洞来降低自身面临的风险,虽然这一动机看似不太明显。可以肯定的是针对企业数据泄露事故报告立法已经发出了一项清晰而迅速的全球性指示信息————澳大利亚企业已经开始落实对公共及私有关键性基础设施进行保护的具体措施。

就安全违规事件报告程序的立法要求能够带来一项核心收益,即推动企业以更为紧迫的态度在违规事故发生期间及之后报告关键性数据。这些数据将可用于实施主动网络防御技术、战术。

在这方面,美国国防部对国内诸如银行及医疗卫生等部门实施的举措就非常值得借鉴。其对私营行业及其承包与采购商发布了一系列与安全违规通报相关的规则与条例,同时建立起合作与志愿项目,包括:国防工业基础网络安全计划(简称DIB-CS);银行FS-ISAC以及医疗卫生NH-ISAC等————旨在实现公共与私营部门各参与者间的合作伙伴关系。

这些网络安全合作伙伴将为保密及非保密网络威胁信息的共享提供一个协作环境,同时允许分析师与分析人员间针对缓解及补救策略进行无障碍交流。这不仅能够为企业带来分析支持与取证分析协助,同时亦极大促进政府与行业对网络威胁事务的了解和掌握。凭借着紧密的联系、立法与协作,该志愿项目带来了显著成效。这亦证明如果缺少这种对接能力,网络安全体系将很可能全面破裂。

在已颁布或者计划发布类似立法条款的90个国家当中,大部分尚未意识到网络安全与违规事故响应并不遵循与法律规定内相同的法律假设。事实上,遭受损失的机构往往需要很长一段时间才会察觉到这些互联网安全问题。也就是说哪怕是私营及公共部门已具备成熟能力尚不能够有效监控并检测攻击活动。

在具体落实数据泄露报告制度前的12个月过渡期内,CISO们必须充分掌握自身网络安全状态、及判断现有监控与检测能力差距,确定机构的数据资产分类与业务风险注册信息已更新。如果尚未建立这一业务风险注册表,则其应在接下来的12个月内将此作为优先事务处理。这样,CISO便能够立足合规性角度确定企业自身的短期、中期与长期准备情况,评估其安全规划的可恢复性,最终拟定能够在遭遇重大安全违规事故时遵循法律要求中指定的必要与禁止性行为。

企业着手投资前瞻性信息安全实践

应提倡自主保护体系建设,对于那些始终不愿投资建立信息安全方案建设的企业来说,或许正在坐等立法通过,对组织机构及利益相关者进行保护工作仅仅是被立法推着走,而没有着手投资前瞻性信息安全实践,这无论对于哪种机构其风险性都无异于玩火自焚。

随着这一轮即将实施的立法性要求,澳大利亚将在法律、运营最佳实践与指导性思想之间建立新的协作桥梁,并着力让数字化安全成为企业DNA中的固有组成部分。企业应该趁此机会积极准备,为网络破坏事件、应急响应建立弹性设计方案。

本文转自d1net(转载)

时间: 2024-09-13 01:42:37

澳大利亚着手出台《数据泄露通报制度》敦促安全建设的相关文章

团800联合创始人胡琛:尽快出台行业规范制度

TechWeb编辑推荐:团购行业作为新兴的消费领域,仅凭业界自律以及部分有责任感团购企业的一己之力是远远不够的,中国的电子商务及团购行业的健康发展离不开政府的监管和支持.我们呼吁对不良网站进行监管,希望政府相关监管部门能尽快出台针对团购行业体系的规范制度,并采取有效监督与控制,以此确保行业的健康发展以及消费者的利益.原文链接:<胡琛:尽快出台团购业规范制度>

日本拟出台电子产品回收制度注重提取贵金属

新浪科技讯 北京时间8月22日消息,日本环境省22日向中央环境审议会的小委员会提交了一份方案:建议出台回收旧手机.数码相机等电子产品,从中提取贵金属及稀有金属的新制度.该方案主要内容包括不向消费者收取回收费用等,还列举了金属含量较高且回收划算的45个品种的名称. 电子产品中的贵金属等作为可再生资源拥有较高的价值,且其回收与再利用有利于环境保护.小委员会将继续讨论回收方法.对象品种等具体内容.环境省计划在明年的例行国会上提交出台新制度的法案. 方案中列举了汽车导航装置.台式游戏机等较为划算的回收品

南安出台行动方案推进智慧城市建设

昨日,记者从南安市经信局获悉,<南安市推进智慧城市建设三年行动方案(2016-2018年)>(以下简称<方案>)于近日出台,提出把南安打造成"宜居宜商智慧城".南安将如何打造新型智慧城?记者采访了相关负责人,对<方案>进行解读. 什么是智慧城市? "智慧城市,就是在一个城市中将政府职能.城市管理.民生服务.企业经营等,通过应用智慧的工具,打造一个智慧城市的信息化大平台."南安市经信局相关负责人告记者,简而言之,智慧城市建设将覆盖方

浙江湖州出台光伏补贴新政 5年建设10万户家庭屋顶光伏

为更好地优化能源结构,推动全市生态文明先行示范区建设,使光伏发电融入百姓生活,提高生活质量,树立全民绿色能源生活的理念,加快推动家庭屋顶光伏工程建设,湖州市日前出台<关于推进湖州市家庭屋顶光伏工程建设的实施意见>. <意见>指出,计划到"十三五"期末,全市家庭屋顶光伏建设10万户,总装机规模30万千瓦左右. 五年建设十万户家庭光伏 <意见>指出,我市将深入实施"生态立市"战略,坚定不移地践行"绿水青山就是金山银山&quo

濮阳市出台意见加快推进智慧城市建设

7月18日上午,自濮阳市政府第31次常务会议获悉,濮阳市出台有关意见进一步加快推进智慧城市建设. 按照规划发展目标,到2020年,濮阳市信息网络基础设施进一步完善,互联网城域出口宽带达到1000G,社区和商务楼宇宽带接入能力达到1000M.在全省率先实现4G网络城乡全覆盖,热点地区实现无线网络全覆盖.有线电视双向数字化整体转换率达到100%.电信.互联网和广播电视网全面融合.基于云计算的数据中心.资源中心普遍建成,云服务得到广泛应用.智慧城市信息资源开发利用取得重大进展,扩展建设全市统一的地理空

制度利好国内软硬件厂商

摘要: 最近,一则关于信息安全的消息再次引起了大家的关注. 22日,国家互联网信息办公室发布消息称,为维护国家网络安全.保障中国用户合法利益,我国将推出网络安全审查制度.据了 最近,一则关于信息安全的消息再次引起了大家的关注. 22日,国家互联网信息办公室发布消息称,为维护国家网络安全.保障中国用户合法利益,我国将推出网络安全审查制度.据了解,网络审查制度将主要审查关系国家安全和公共利益的系统使用的重要信息技术产品和服务.产品的安全性和可控性将成为审查重点,以防止产品提供者利用提供产品的方便,非

银监会官员力挺电子金融:政策制度按需调整

中介交易 SEO诊断 淘宝客 云主机 技术大厅 2012年互联网金融的开速发展不但引起了业界学者.银行业内人士的强烈关注,还吸引了银监会的关注,2012年8月,银监会设立信息科技监管部,负责制定银行业信息科技监管政策,指导银行业信息科技发展规划等. 2013年伊始,银监会再次释放信号,支持互联网金融发展.1月11日,中国银行业监督管理委员会业务创新监管协作部副主任尹龙在北京表示,银监会对银行方面的政策.制度可随电子金融发展而调整. "所有与电子商务有关的,需要和银行协同做电子商务的,坚决支持.鼓

韩正:公务车要带头文明行车交通违规将通报

交警每月统计后告知相关单位 特种车只有在执行任务时才能优先通行 "大城市的交通畅通问题,是城市管理中永恒的主题,也是永恒的难题."上海市委副书记.市长韩正昨日在"上海市加强交通秩序管理确保交通畅通电视电话会议"上强调说,公务车.特种车以及公交车.出租车必须要带头文明出行,公务车要率先垂范,遵守交通法规. 公务车要带头文明行车 韩正说,公务车要率先垂范,遵守交通法规,今后,交警部门每个月都要对公务车的交通违规进行一次数据统计,先实行告知制度,即将公务车交通违规行为告知

人人贷CEO:P2P应建立公共监管机制 建设信息透明制度

"2013年是互联网金融发展至关重要的一年,它所带来的社会价值正在逐渐被大众所接受及认可.随着大数据时代的到来,金融与互联网相结合在可预见的未来已是大势所趋." 这一段话是人人贷公司发布2013年上半年业绩报告的首卷语.当互联网与金融的结合来势汹汹,作为被认为是互联网金融一部分的P2P服务机构,人人贷致力于跟随互联网金融创新步伐,同时也推进行业的阳光化与规范化. 根据人人贷发布的业绩数据,2013年上半年,该http://www.aliyun.com/zixun/aggregation