随着一系列经济社会活动的数字化转型,发生数字安全风险的数量以及相关安全事件的复杂度都在不断增加。在这些活动中,有些活动至关重要,因为活动的中断可能会对公民的健康与安全、对重要的经济社会服务的有效运作、甚至是更广泛的经济和社会繁荣造成重大影响。在此背景下,各国政府纷纷加速出台加强重要活动数字安全的政策。但是,为了避免对重要行业数字化转型的收益产生不必要的影响,经济合作与发展组织(OECD)认为相关政策的出台不应采取抑制创新或限制使用、更新、开放数字技术等措施。为此,OECD于2019年12月通过了《关于重要活动数字安全的建议》,并指示数字经济政策委员会监督本建议书的执行情况,在通过后五年内向理事会报告,此后至少每十年报告一次。
总体政策框架
(一)制定国家数字安全战略。一是确保国家数字安全战略与国家风险评估以及具体行业部门的战略保持一致。二是建立并公开发布内部治理机制,明确专门的负责机构,以便其能够与各利益相关方一起制定和实施政策。此外,治理机制还应当考虑国家安全部门和国防部门可以在哪些方面发挥作用。三是确保国内政府部门间的协调统一,包括:促进数字安全专家与行业部门专家之间进行充分对话;确保各部门采取措施的一致性,尽可能解决政策之间相互矛盾的问题;在相关政府部门中进行有效的资源分配等。
(二)增强数字安全风险管理和重要活动突发情况的还原应急能力。一是开发新的方案或加强现有的事件响应能力,例如通过一个或多个计算机紧急事件响应小组(CERT)、计算机安全事件响应小组(CSIRT)、安全运营中心(SOC)等,负责监测、预警并执行恢复措施,以及建立沟通机制以促进突发事件响应人员之间更紧密的开展合作。二是促进CERT、CSIRT、SOC和运营商之间进行有效的业务合作,包括事件报告和分析。三是推广国际数字安全标准、方法、最佳做法和工具等。四是向运营商提供必要的支持,包括:共享有关风险、漏洞和管理实践的信息、支持运营商评估风险并采取适当的风险处置措施、在发生安全事件时提供帮助或指导等。五是促进各种可信任的安全服务和产品在全球市场的发展,包括管理服务、审计和响应服务。六是加大能够对跨部门或特定部门的数字安全风险进行熟练管理的人才培养。七是通过并鼓励采用协调一致的漏洞披露和管理流程。
(三)建立基于证据的监督机制。一方面可以评估运营商对政策要求的执行情况;另一方面能够持续改进政策、法律框架和自我监管计划,以达到预期的保护水平。
(四)将数字安全风险整合到国家风险管理中。一方面国家风险评估可以识别重要活动及其运营商,同时考虑整体的价值链条;另一方面也可以督促运营商进行周期性的企业风险评估,以确保重要活动所需的核心功能能够正常运转。
运营商的举措
数字安全风险是由有意或无意的潜在威胁造成的,这些威胁会利用漏洞而引发安全事件,从而会对重要活动正常进行所需的硬件、软件、网络以及数据的可用性、完整性和机密性等造成影响。因此,该建议鼓励或要求运营商采取治理、保护、监测和响应以及提升应急还原能力等措施,将数字安全风险降低至社会可接受的、且与国家风险评估相一致的水平。
(一)治理——建立进行周期性数字安全风险评估和处置的组织框架。包括:将数字安全风险管理责任分配给领导层;将数字安全风险管理和数字安全治理整合到整体周期性风险管理框架中;制定内部数字安全风险管理政策,明确有关数字安全风险评估、处置的责任和方式,以及对涉及数字安全风险相关决策进行审查的流程;绘制数字生态系统架构图,包括内部和外部依存关系,以明确对于其核心功能至关重要的部分,并对核心功能进行周期性的数字安全风险评估,在评估的基础上,确定要减少、转移、避免和接受的数字安全风险等级;加大数字安全培训和技能开发方面的投入等。
(二)保护——采取适当的安全措施以减少核心功能的数字安全风险。包括:确定与其数字架构、系统管理、人员培训、数字安全维护以及物理安全有关的安全措施;维持适当的身份管理、认证和访问控制的措施;确定与数据安全有关的措施,保护本地和传输中的数据;与政府和领域内专家共享有关事件产生的经济和社会影响方面的信息。
(三)监测和响应——制定预防和响应安全风险事件的流程和措施。包括:进行安全信息和事件管理、监测,并进行适当的分析;明确安全事件管理流程和措施,加强事件响应能力;向相关政府机构或其他相关部门报告事件(包括未发生的、有重大潜在危害的事件),并尽快与公众进行沟通。
(四)提升应急还原能力——采取适当的准备和恢复措施,确保核心功能的连续性。由业务决策者牵头负责,明确业务连续性、危机管理以及灾难恢复的战略目标和计划,并通过内部或跨部门的演练进行定期测试和改善。
基于信任的伙伴关系
不同部门和国家的不同运营商开展的重要活动依赖于相同的数字技术,因此利用常见漏洞的威胁可能同时破坏这些活动。数字安全事件可以在运营商、部门和各国之间迅速传播,从而可能影响地区和国际稳定。重要活动的跨部门、跨边界,以及整个数字化价值链条的多样性和复杂性造成了共同的数字安全风险,没有任何一个参与者可以完全降低这一风险,每个参与者都必须依靠其他的参与者并同时对它们负责,各个部门内部以及各部门之间的伙伴关系对于以连贯、整体的方式应对数字安全风险至关重要。为此,该建议书提出促进和建立可持续信任的伙伴关系。
(一)建立伙伴关系。一是运营商与相关政府机构之间在国家层面进行公开对话,以确定和实施应采取的措施,在这个过程中应考虑每个部门的特殊性以及运营商的业务、资源、监管和市场限制等方面的因素。二是支持运营商之间以及与其他相关参与者(例如供应商)之间的合作和对话,以促进数字安全专业知识、安全威胁和风险管理等方面进行信息共享和交流。三是开展双边和多边合作,与运营商分享有关国内政策、做法和协调模式的知识和经验。
(二)加强业务合作。一是为跨边界的相关运营商开展数字安全演习创造条件,以加强数字安全风险防范、测试,改善战略决策与协调机制。二是鼓励运营商在国际或区域范围进行监测、预警和事件响应,以在业务层面实现信息共享,并在发生跨境安全事件时更好地处理应对危机。三是支持重要活动数字安全相关研究、开发的跨界合作和信息共享,包括数字安全事件影响评估的方法。
(三)加强信任。一是在合作伙伴间共享目标和价值观,明确各方都可接受的规则以及各方的责任。二是确保合作伙伴可以在合作关系中互惠互利,包括为运营商创造条件与政府共享信息并从政府接收信息。三是规范运营商和政府之间的信息共享,包括遵守信息共享协议;根据与隐私和个人数据保护法规以及其他保护信息机密性(例如商业机密)相关规定的要求,规范信息的收集、存储、使用和分发等活动;确保运营商与政府共享的风险以及与风险管理相关的信息得到机密性保护,以免因不必要的暴露导致运营商的声誉和商业利益受损。
国际合作
加强重要活动的数字安全是国家政策的优先事项,但是各国政策的差异增加了管理相互依存的重要活动数字安全的复杂性,因此国际合作对于减少这种差异并使国内政策的全球效力最大化具有重要的作用。该建议书指出各国可通过以下方式积极合作,包括:提高跨境合作的及时性,公开相关政府机构中负责重要活动数字安全风险管理的部门及其职责;制定和执行良好的政策,并尽可能减少各国之间的差异;汇总安全事件报告中的统计数据,并共同努力确保此类统计数据的国际可比性;支持相关国家在应对数据安全风险方面的能力建设,协助制定和实施其国内重要活动数字安全政策等。
作者简介:贾宝国,中国信息通信研究院互联网法律研究中心研究员
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。