監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購買價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

確保數(shù)據(jù)安全 企業(yè)應(yīng)該承擔(dān)的兩項(xiàng)義務(wù)

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

來源:泛普軟件

履行安全保護(hù)義務(wù)

對(duì)于大多數(shù)IT組織來說,確保企業(yè)數(shù)據(jù)安全是最首要任務(wù)。因此,企業(yè)需要提防最新的安全風(fēng)險(xiǎn),在安全防范方面投入不少IT運(yùn)營(yíng)成本,從而讓企業(yè)置于良好的發(fā)展環(huán)境中。

關(guān)于IT安全方面的態(tài)度,我們也需要轉(zhuǎn)變。以前如果有人搶劫銀行,我們會(huì)痛恨那些作惡多端的不法之徒;現(xiàn)在,如果有人成功侵入公司的電腦系統(tǒng),我們應(yīng)該質(zhì)疑系統(tǒng)的安全性,是公司未能提供足夠的安全保障。

實(shí)現(xiàn)這一轉(zhuǎn)變的是一系列相關(guān)法律法規(guī)的出臺(tái)。據(jù)悉,這些法律旨在保護(hù)個(gè)人數(shù)據(jù)的機(jī)密性和完整性,以免被人盜取受到侵害。如果有人違反這些法律規(guī)定,將可能面臨嚴(yán)厲的法律制裁。

本文,將向你簡(jiǎn)要介紹這些相關(guān)法律內(nèi)容,并指出作為公司組織應(yīng)該承擔(dān)的兩項(xiàng)義務(wù):落實(shí)增強(qiáng)數(shù)據(jù)安全保護(hù)措施的義務(wù);告知安全漏洞的義務(wù)。

履行安全保護(hù)義務(wù)

擬定公司的所有信息安全義務(wù),不可能依靠某個(gè)單一的法律法規(guī)來實(shí)現(xiàn)。相反,只有不斷完善的的法律法規(guī),才能滿足不斷變化的數(shù)據(jù)安全保護(hù)需要。

相關(guān)的法律法規(guī)也比較多:隱私權(quán)保護(hù)法要求公司保障私人的數(shù)據(jù)安全;電子交易法要求電子記錄具有完整性和可利用性;公司法則要求采取適當(dāng)?shù)拇胧?,保障公眾和股東、投資者、商業(yè)伙伴的利益;反不正當(dāng)競(jìng)爭(zhēng)法則解釋了包括缺乏安全可靠性的不公正商業(yè)準(zhǔn)則。

近期的一些訴訟也表明,企業(yè)未能對(duì)其數(shù)據(jù)安全提供足夠的保護(hù)。例如,MBNA的美國銀行因一個(gè)客戶的身份資料遭到盜用而被起訴,就是一個(gè)未能提供足夠安全的良好例子。

除了法律章程和法院裁決需要履行的義務(wù)外,公司還需要根據(jù)自身所簽訂的合同承擔(dān)額外的安全義務(wù)。舉例來說,任何涉及到商業(yè)機(jī)密信息的外包或者類似協(xié)議,都需要根據(jù)合同內(nèi)容履行相應(yīng)的數(shù)據(jù)保護(hù)安全義務(wù)。同樣,企業(yè)只有做出一些安全承諾,才能參加某些商業(yè)組織活動(dòng)。比如,商家要接受信用卡,必須事先同意并遵守PCI(Payment Card Industry,支付卡行業(yè))數(shù)據(jù)安全標(biāo)準(zhǔn)。

全身心投入以確保信息安全,是一個(gè)組織應(yīng)該履行的責(zé)任和義務(wù)。通過在隱私政策、公司網(wǎng)站或者廣告資料里面事先申明,可以根據(jù)收集到的信息對(duì)應(yīng)不同的安全級(jí)別,制定不同的索賠標(biāo)準(zhǔn)。這樣,將有助于加強(qiáng)公眾對(duì)企業(yè)義務(wù)執(zhí)行的監(jiān)督。

遵守法律標(biāo)準(zhǔn)

法律法規(guī)或者合同等其他章程要求履行的安全義務(wù),一般都是最基本、最合理、最恰當(dāng)?shù)陌踩螅鼈冡槍?duì)安全提供的一些保障措施卻遠(yuǎn)遠(yuǎn)不夠。另外,法律上所講的“合理”、“恰當(dāng)”到底是怎么樣一個(gè)概念?

然而,如果你留心觀察近期的規(guī)章條例、判例法和政府的一些政策措施,就會(huì)發(fā)現(xiàn)這類“法律”標(biāo)準(zhǔn)都出奇地一致——該標(biāo)準(zhǔn)側(cè)重于行為過程,而不是具體的安全防范措施。

法律并沒有什么情況下采取什么樣的措施才能實(shí)現(xiàn)合理安全的標(biāo)準(zhǔn),相反,它只要求公司根據(jù)風(fēng)險(xiǎn)情況,采取合理的防范措施,以達(dá)到預(yù)期的安全標(biāo)準(zhǔn)。這也就意味著,公司必須根據(jù)他們所面臨的情況進(jìn)行風(fēng)險(xiǎn)評(píng)估,然后采取相應(yīng)的安全防范措施,并確保這些措施得到具體落實(shí)。同時(shí),還要根據(jù)變化的情況對(duì)措施進(jìn)行適時(shí)調(diào)整。

因此,根據(jù)實(shí)際情況采取的必要安全措施,也會(huì)受到公司安全策略的影響。比如,法院駁回了就筆記本電腦上的私人加密資料的措施請(qǐng)求,而建議根據(jù)風(fēng)險(xiǎn)等級(jí)采取更加合理的安全防范措施。也就是說,問題的首要因素在于風(fēng)險(xiǎn)評(píng)估,然后才是根據(jù)公司面臨的風(fēng)險(xiǎn)狀況采取的安全措施。

比如,在小區(qū)周圍布滿武警人員,并且在入口處安裝智能卡門禁系統(tǒng),這樣可能會(huì)擁有比較高的安全等級(jí)。但是,如果小區(qū)面臨的威脅是來自互聯(lián)網(wǎng)上的黑客攻擊,那么,可以說這種人身安全措施起不到任何幫助。類似地,防火墻或者檢測(cè)軟件只能對(duì)付黑客或者保護(hù)敏感數(shù)據(jù)庫,如果公司內(nèi)部有員工故意(或者不小心)泄露了機(jī)密資料,那么即使有再先進(jìn)的安全技術(shù)措施,也不能阻止事情的發(fā)生。

根據(jù)風(fēng)險(xiǎn)評(píng)估采取相應(yīng)的安全措施,在劃分安全事故責(zé)任方面起著極為重要的作用。例如,在對(duì)數(shù)據(jù)信息的可預(yù)見風(fēng)險(xiǎn)下,采取了相應(yīng)的安全防范措施,即使結(jié)果還是遭受了損失,行為主體也可以免責(zé)。

法律還會(huì)對(duì)安全防范措施進(jìn)行審查,以明確是否適當(dāng)是否有效。因?yàn)槿绻麛?shù)據(jù)僅僅是被加密了,也并不意味著安全措施做到位。為了確保安全措施得到落實(shí)并且持續(xù)有效,需要不斷地對(duì)其進(jìn)行監(jiān)測(cè)、測(cè)試和評(píng)估。

為應(yīng)對(duì)企業(yè)所面臨風(fēng)險(xiǎn),當(dāng)你制定自己的安全策略時(shí),請(qǐng)不要忽略第三方。外包本身并不會(huì)免除你保護(hù)外包數(shù)據(jù)安全的義務(wù)和責(zé)任??紤]到后果,你必須慎重對(duì)待與外包供應(yīng)商簽訂的合同,并認(rèn)真考慮與之相關(guān)的安全保護(hù)措施。

發(fā)布:2007-04-24 10:11    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:
深圳OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢

泛普深圳OA快博其他應(yīng)用

深圳OA軟件 深圳OA新聞動(dòng)態(tài) 深圳OA信息化 深圳OA快博 深圳OA行業(yè)資訊 深圳軟件開發(fā)公司 深圳門禁系統(tǒng) 深圳物業(yè)管理軟件 深圳倉庫管理軟件 深圳餐飲管理軟件 深圳網(wǎng)站建設(shè)公司