小贝案语滴滴等企业受到网络安全审查后,业界普遍感觉事发突然。目前,一种焦虑甚至恐慌开始在互联网企业中蔓延。这种恐慌来自于企业对国家政策“不确定性”、“不可预见性”的担忧。国家突然出手、手段接踵而至,而原因至今扑朔迷离,这是外界的普遍感受。但这真的是黑天鹅事件吗?今天,小贝说安全将回顾一份发布于2010年的政策文件。大风起于青萍之末,正是这份文件,使我们得以一窥滴滴被审查的端倪。

作者:左晓栋

滴滴受网络安全审查事件产生了很多意想不到的“传闻”。“某头部互联网企业年薪一千万招数据保护官”,数据合规从业者们利好中……。“准备赴美IPO的企业都停下了,有的明显不属于互联网行业,也不涉及重要数据和个人信息处理,但投资方严令企业不可轻举妄动”,拟上市企业观望中……。“高科技企业被吓得无所适从,现在如履薄冰,生产积极性受到影响,营商环境开始出现不利因素”,地方政府官员担忧中……。

更多的是来自两个方面的疑问和不解。

一是国家为何行雷霆手段,使整个行业猝不及防?为何不设缓冲期,就不能对平台经济多点菩萨心肠?

二是假如真如业界所传,滴滴等赴美IPO企业受审查,是因为美国监管部门要看企业的审计底稿,由此可能导致数据泄露,那这是不是危言耸听?让人看一眼审计底稿,难道是多么大不了的事?

祸患常生于忽微。我们不能把善良和善意作为标杆,去衡量道高一尺、魔高一丈的网络安全对抗。

让我们看看下面这份文件。

这份文件是什么背景呢?2009年9月27日,国家认监委印发第47号公告《关于正式开展ISO27001信息安全管理体系认证工作的公告》。这个认证是对企业的信息安全管理体系实施的一种能力认证,类似于ISO9000质量管理体系认证、ISO14000环境管理体系认证。这种认证是一种商业活动,故不限制合法注册的外资认证机构在我国境内开展业务。

于是问题来了。认证机构在现场审核中,必然会接触被审核机构的大量信息,这称之为现场审核证据。基于现场获得的证据,认证机构才能做出是否发证的决定。如果是外资认证机构,这些审核证据一般需要传输到其位于境外的总部,总部确认后才能做出发证决定。

这其中隐藏着巨大的信息安全风险(彼时,中央网络安全和信息化领导小组尚未成立,业内仍称“信息安全”)。于是,当时作为信息安全统筹协调机构的工业和信息化部于2010年印发了前述的394号文件。核心要求是三点:

一是,政府机构不得申请任何ISO27001认证(无论由内资还是外资认证机构发证)。道理很简单,认证是由第三方机构做出的一种背书。而政府本来就是有权威性的,这种权威性不需要由社会上的认证机构去证明。此外,涉密系统更不得申请ISO27001认证。

二是,如果某机构为政府部门提供外包服务,那么该机构拟申请ISO27001认证前,应当经过工业和信息化主管部门审批。

三是,如果基础信息网络和重要信息系统(也就是今天所称的“关键信息基础设施”)运营单位拟申请ISO27001认证,应当经过主管部门审批。

为什么会提出这样的要求呢?基础信息网络和重要信息系统如果接受外资认证,其数据可能因此泄漏到境外。那么,为什么对外包服务机构申请ISO27001认证也要限制?因为当某机构为政府部门提供外包服务时,完全有机会获得政府用户的数据(云服务就是典型一例),那么这类机构再去向外资认证机构申请认证时,可能也会导致其含有的政府数据被泄露。

请注意,394号文防范的只是信息安全管理体系认证的安全风险,还不涉及审计。对于上市审计而言,其审核过程要比认证过程严苛十倍不止,被审计单位岂止是“裸奔”状态,相当于每一个毛孔都被拿放大镜去看。

于是我们看到,今天对滴滴等企业的网络安全审查,恰恰与十一年前394号文的理念如出一辙。固然,上市审计和信息安全管理体系认证不是一回事,互联网企业需要遵循的法律要求也不一样。但两者涉及到的数据安全风险有着共同性,日常业务中处理重要数据和批量个人信息的国内大型互联网公司,应当有这样的意识和自觉性,这既是社会责任的体现,也是企业长青的关键。

还能说,政府是突然出手吗?还能说,政府是小题大做吗?

小贝结语网事纷至,缘起滴滴。最近发生的一系列互联网领域大事件,促进了数据安全合规业务的快速增长。相应的,对政策法规的解读在各类机构中一时风靡,各类平台企业、律师事务所面对新政策新法规的热情也空前高涨。但是,人们是否读懂了那些印在文件上的白纸黑字?滴滴又是否能够真正理解考题?后续观察、经典分析,请继续关注小贝说安全。

声明:本文来自小贝说安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。