AI時(shí)代，企業(yè)如何確保信息安全和數(shù)據(jù)合規(guī)？

后人口紅利時(shí)代，人工智能（AI）有望成為十年以上的高景氣賽道。2021年起，AI進(jìn)入產(chǎn)業(yè)化大周期，各類新技術(shù)的廣泛運(yùn)用為人工智能的發(fā)展注入了全新的動(dòng)能，而與之相對(duì)，其所面對(duì)的數(shù)據(jù)安全挑戰(zhàn)既有傳統(tǒng)數(shù)據(jù)安全問題的普遍性，更具有人工智能時(shí)代的獨(dú)特烙印。

對(duì)于人工智能可能帶來的信息安全與隱私風(fēng)險(xiǎn)，目前已經(jīng)引起了社會(huì)各界的廣泛關(guān)注和擔(dān)憂，《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》以及《個(gè)人信息保護(hù)法》的頒布實(shí)施，更是讓信息安全及數(shù)據(jù)合規(guī)提升到了新的高度，掌握大量用戶數(shù)據(jù)的企業(yè)正在成為重點(diǎn)監(jiān)管的對(duì)象。

圍繞AI時(shí)代如何搭建有效的信息安全管理體系來滿足監(jiān)管的要求，本刊專訪了SGS通標(biāo)中北區(qū)信息安全產(chǎn)品經(jīng)理閆強(qiáng)和獵豹移動(dòng)公司信息安全總監(jiān)林鵬。目前AI產(chǎn)業(yè)企業(yè)主要存在哪些信息安全風(fēng)險(xiǎn)？在AI賽道持續(xù)深耕的獵豹移動(dòng)近幾年在信息安全管理中遇到哪些挑戰(zhàn)，有何解決思路？信息安全管理領(lǐng)域的國(guó)際標(biāo)準(zhǔn)最新趨勢(shì)是什么？?jī)晌唤o出了各自精辟的見解。

01信息安全如一棵大樹

閆強(qiáng)形容信息安全如同一顆大樹，主干是信息安全管理體系ISO/IEC27001標(biāo)準(zhǔn),分支則包括針對(duì)云服務(wù)的ISO/IEC27017標(biāo)準(zhǔn)、針對(duì)隱私信息保護(hù)的ISO/IEC27701標(biāo)準(zhǔn)、針對(duì)能源的ISO/IEC27019標(biāo)準(zhǔn)、針對(duì)電信組織的ISO/IEC27011標(biāo)準(zhǔn)以及針對(duì)健康的 ISO/IEC27799標(biāo)準(zhǔn)等。隨著汽車步入“四化”時(shí)代，汽車行業(yè)也有針對(duì)智能網(wǎng)聯(lián)架構(gòu)下保護(hù)整車廠供應(yīng)鏈信息安全的TISAX（信息安全的評(píng)估和交換機(jī)制）, 針對(duì)網(wǎng)絡(luò)安全的ISO/SAE21434標(biāo)準(zhǔn)，以及針對(duì)功能安全的ISO/SAE26262標(biāo)準(zhǔn)等。

閆強(qiáng)強(qiáng)調(diào)，隱私信息管理體系ISO/IEC27701對(duì)于AI企業(yè)是極為重要的標(biāo)準(zhǔn)之一。無論是在當(dāng)下的互聯(lián)網(wǎng)大數(shù)據(jù)環(huán)境下，還是在新冠肺炎疫情下，公民的個(gè)人信息通過各種各樣的渠道被采集后存儲(chǔ)在B端或C端，如何有效控制和處理這些個(gè)人信息，AI企業(yè)面臨巨大挑戰(zhàn)。2021年國(guó)家相繼頒布了《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全審查辦法》等諸多法規(guī)，矛頭直指?jìng)€(gè)人信息保護(hù)和數(shù)據(jù)安全管理。隱私信息管理體系的標(biāo)準(zhǔn)遵循GDPR《通用數(shù)據(jù)保護(hù)條例》原則，其對(duì)個(gè)人數(shù)據(jù)處理強(qiáng)調(diào)六大原則、八大權(quán)利。六大原則中，最主要的原則叫“合法公正透明”，即企業(yè)在對(duì)個(gè)人數(shù)據(jù)的處理過程中必須是合法地，以善意和對(duì)數(shù)據(jù)主體合理的?式進(jìn)行。比如，用攝像頭做人臉信息采集，如果沒有提前告知用戶，其行為就構(gòu)成違法。八大權(quán)利是數(shù)據(jù)主體被采集信息時(shí)最主要的八大方面的權(quán)利，其中第一條叫“知情權(quán)”，即在采集信息時(shí)應(yīng)告知用戶，最后一條叫“不受制于自動(dòng)化決策（含畫像）”。針對(duì)自動(dòng)化決策，用戶可以拒絕，應(yīng)用軟件的隱私政策里包含有取消自動(dòng)化決策的窗口，但并不是所有應(yīng)用軟件都有這樣的窗口，因此應(yīng)用軟件在隱私方面的管理任重道遠(yuǎn)。

隨著汽車逐漸變成智能終端，演變?yōu)橐粋€(gè)物聯(lián)網(wǎng)產(chǎn)品，汽車行業(yè)也牽涉到很多信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)的要求。閆強(qiáng)介紹，TISAX值得信賴的信息安全評(píng)估交換（Trusted Information Security Assessment Exchange）是由德國(guó)汽車工業(yè)聯(lián)合會(huì)制定的重要標(biāo)準(zhǔn)，以幫助在智能網(wǎng)聯(lián)架構(gòu)下保護(hù)整車廠供應(yīng)鏈的信息安全。在國(guó)際認(rèn)證上，TISAX的評(píng)估有3個(gè)評(píng)估級(jí)別，AL1到AL3，數(shù)字越大，等級(jí)越高；8個(gè)評(píng)估對(duì)象，如客戶通常選擇的評(píng)估對(duì)象、保護(hù)需求極高的信息、原型零件保護(hù)、數(shù)據(jù)保護(hù)等。

02“大樹主干”將有所變化

2022年2月，信息安全管理體系中的“大樹主干”發(fā)生了變化，ISO國(guó)際標(biāo)準(zhǔn)化組織更新發(fā)布了ISO/IEC27002:2022信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)—信息安全控制，以作為組織根據(jù)信息安全管理體系認(rèn)證標(biāo)準(zhǔn)定制和實(shí)施信息安全控制措施的指南。

閆強(qiáng)指出，新版標(biāo)準(zhǔn)在舊版標(biāo)準(zhǔn)基礎(chǔ)上進(jìn)行了一系列的完善和補(bǔ)充，標(biāo)準(zhǔn)的更新對(duì)企業(yè)的安全技術(shù)及安全控制提出了更高的要求。

閆強(qiáng)解讀，新版標(biāo)準(zhǔn)對(duì)信息安全管理體系中的控制項(xiàng)數(shù)量進(jìn)行了一系列調(diào)整，由以前的114個(gè)控制措施更新為93個(gè)控制措施，但這并不意味著控制措施有所減少，只是將一些控制措施進(jìn)行重新命名和合并，同時(shí)還增加了11個(gè)新的控制措施。新版標(biāo)準(zhǔn)還將13個(gè)控制域變更為4個(gè)控制域，即從組織控制、人員控制、物理控制、技術(shù)控制4個(gè)維度對(duì)信息安全的控制方法進(jìn)行闡釋。

新版本在組織控制維度上增加了威脅情報(bào)控制措施。威脅情報(bào)的主要目的和目標(biāo)是讓安全團(tuán)隊(duì)更了解組織機(jī)構(gòu)的安全風(fēng)險(xiǎn)，了解整體的安全威脅態(tài)勢(shì)，更早地了解具體的安全威脅，并使企業(yè)能夠從被動(dòng)防御轉(zhuǎn)變?yōu)橹鲃?dòng)防御。企業(yè)需要關(guān)注外部環(huán)境的一些漏洞給企業(yè)軟件帶來的風(fēng)險(xiǎn)和影響，從漏洞生命周期的角度管理，在漏洞發(fā)現(xiàn)后評(píng)估風(fēng)險(xiǎn)，制定解決方案，進(jìn)而做補(bǔ)丁升級(jí)、測(cè)試和發(fā)布。

新版本增加了“網(wǎng)絡(luò)安全、隱私保護(hù)”的相關(guān)條款，更好地契合組織對(duì)信息安全管理的新需求。以前信息安全更注重承載信息的媒介，如圖紙、代碼或數(shù)據(jù)，新版標(biāo)準(zhǔn)里增加了隱私保護(hù)要求，對(duì)個(gè)人信息如何安全存儲(chǔ)、處理、轉(zhuǎn)移、轉(zhuǎn)讓都有了新的要求。

03AI企業(yè)挑戰(zhàn)升級(jí)，應(yīng)對(duì)升級(jí)

獵豹移動(dòng)正在從移動(dòng)互聯(lián)網(wǎng)向以AI驅(qū)動(dòng)的產(chǎn)業(yè)互聯(lián)網(wǎng)進(jìn)行戰(zhàn)略升級(jí)，在持續(xù)深耕AI賽道過程中對(duì)信息安全管理有更深的體會(huì)。林鵬表示，從行業(yè)洞察來看，互聯(lián)網(wǎng)企業(yè)的信息安全風(fēng)險(xiǎn)來自兩個(gè)方面的挑戰(zhàn)——合規(guī)性和技術(shù)。

從合規(guī)性來說，數(shù)據(jù)是互聯(lián)網(wǎng)公司的“硬通貨”，隨著近幾年國(guó)家相繼出臺(tái)信息安全方面的法規(guī)，互聯(lián)網(wǎng)企業(yè)面臨合規(guī)風(fēng)險(xiǎn)。如某些互聯(lián)網(wǎng)企業(yè)開發(fā)的應(yīng)用軟件一旦出現(xiàn)過度收集數(shù)據(jù)、不合規(guī)存儲(chǔ)和使用數(shù)據(jù)等行為，輕則通報(bào)，重則下架，這樣無論從經(jīng)營(yíng)層面還是從信譽(yù)層面都會(huì)給企業(yè)造成一定的損失。長(zhǎng)期以來，在數(shù)據(jù)安全等問題上，以AI企業(yè)為代表的互聯(lián)網(wǎng)公司一直在“摸著石頭過河”，甚至是“半黑不白”，在數(shù)據(jù)方面還希冀探索一些商業(yè)路徑。比如，一些企業(yè)在商場(chǎng)里通過人臉識(shí)別進(jìn)行統(tǒng)計(jì)和做一些差異化分析。自從國(guó)家對(duì)數(shù)據(jù)處理者在收集人臉識(shí)別信息上的約束從嚴(yán)從緊，這條路商業(yè)之路基本上已經(jīng)走不通了。

從技術(shù)上來說，傳統(tǒng)互聯(lián)網(wǎng)企業(yè)對(duì)外需要抵御黑客入侵，對(duì)內(nèi)需要防止內(nèi)部信息被員工泄露。當(dāng)前黑客的挑戰(zhàn)主要表現(xiàn)為二，一是把互聯(lián)網(wǎng)企業(yè)內(nèi)部信息偷出來，放到網(wǎng)絡(luò)進(jìn)行公開售賣，獲得價(jià)格不菲的回報(bào)；一是隨著各種加密貨幣的產(chǎn)生使用新型勒索手段。如若互聯(lián)網(wǎng)企業(yè)沒有做好充分的信息安全部署，因端口開放或弱口令等一些問題中了勒索病毒，基本上很難解鎖，也很難查到真正的主使人是誰(shuí)。

林鵬稱，2018年5月GDPR落地之際，獵豹移動(dòng)以此為契機(jī)，進(jìn)行了一系列信息安全的合規(guī)性檢查和自查，并請(qǐng)外部檢查機(jī)構(gòu)培訓(xùn)和梳理流程制度。獵豹移動(dòng)還專門成立了安全與隱私委員會(huì)，相當(dāng)于一個(gè)專項(xiàng)組，由最高領(lǐng)導(dǎo)親自掛帥，全公司員工配合，為這項(xiàng)法律的落地做好準(zhǔn)備與應(yīng)對(duì)。

“從近年的重大安全事件、實(shí)戰(zhàn)攻防演練中我們可以看出，軟件供應(yīng)鏈攻擊已成為突破業(yè)務(wù)防線的新路徑之一。”林鵬說：“軟件供應(yīng)鏈安全問題已經(jīng)成為一種流行的攻擊趨勢(shì)。軟件供應(yīng)鏈安全管理的背后是資產(chǎn)管理的問題，誰(shuí)在資產(chǎn)運(yùn)營(yíng)方面做得更細(xì)致，誰(shuí)就可能在突發(fā)的供應(yīng)鏈漏洞爆發(fā)時(shí)處于一個(gè)比較優(yōu)勢(shì)的地位。”

林鵬坦言，作為一家企業(yè)，雖然在信息安全方面想要做到面面俱到，但是真正要從宏觀上解決問題，還需站在一個(gè)更高的緯度，這也是獵豹移動(dòng)與SGS合作的宗旨。獵豹移動(dòng)一方面獲得了SGS的一些專業(yè)指導(dǎo)，另一方面也借此了解了其他公司的最佳實(shí)踐，并結(jié)合自身特定的業(yè)務(wù)場(chǎng)景，最終實(shí)現(xiàn)了解決方案的落地。更重要的是，獵豹移動(dòng)通過第三方機(jī)構(gòu)向業(yè)內(nèi)和用戶證明了自己在信息安全方面的用心和投入。

“跨過生死存亡的考驗(yàn)后，AI企業(yè)亟須把信息安全納入管理體系之列。”林鵬說。對(duì)于未來，林鵬表示，獵豹移動(dòng)將從三個(gè)方面織網(wǎng)布局：一是繼續(xù)加強(qiáng)信息安全建設(shè)，跟進(jìn)信息安全管理體系最新版本，引導(dǎo)業(yè)務(wù)合規(guī)；二是加大安全建設(shè)投入，把信息安全防御等級(jí)提高到新的門檻，增加攻擊者的攻擊成本；三是查漏補(bǔ)缺，學(xué)習(xí)新技術(shù)，比如AI對(duì)抗技術(shù)、云相關(guān)技術(shù)，因?yàn)楹弦?guī)是一個(gè)動(dòng)態(tài)變化過程，安全技術(shù)也在不斷變化，信息安全從業(yè)者要通過知識(shí)迭代，帶領(lǐng)企業(yè)朝著更合規(guī)、更安全的方向一路暢行，不斷地為客戶的安全保駕護(hù)航。

04搭建有效的信息安全管理

“在信息安全管理服務(wù)上，作為全球知名的第三方機(jī)構(gòu)，SGS投入大量人力物力開發(fā)產(chǎn)品，培養(yǎng)核心競(jìng)爭(zhēng)力。在服務(wù)企業(yè)的過程中，SGS不僅僅告訴企業(yè)什么是合規(guī)的，更要告訴企業(yè)怎樣做到合規(guī)。”閆強(qiáng)說。

對(duì)于企業(yè)如何搭建有效的信心安全管理體系，閆強(qiáng)給出了3個(gè)方面的專業(yè)建議。

第一，發(fā)揮領(lǐng)導(dǎo)力的作用。一個(gè)企業(yè)對(duì)信息安全的重視程度取決于最高管理層對(duì)信息安全的認(rèn)知程度。閆強(qiáng)指出，過去信息安全是七分技術(shù)、三分管理，現(xiàn)在是五分技術(shù)、五分管理。在審核過上千家企業(yè)后，閆強(qiáng)對(duì)領(lǐng)導(dǎo)力的作用感觸頗深。領(lǐng)導(dǎo)力不但為策劃提供支持，也為執(zhí)行、監(jiān)事、持續(xù)改進(jìn)提供了強(qiáng)有力的支撐。沒有領(lǐng)導(dǎo)參與的管理體系不過是一紙空談。

第二，系統(tǒng)的方法。分析工具的使用對(duì)企業(yè)科學(xué)化、精準(zhǔn)化、精細(xì)化管理十分重要。比如，威脅分析和風(fēng)險(xiǎn)評(píng)估（TARA）、失效模式與影響分析（FMEA）、業(yè)務(wù)影響分析(BIA) 等。行業(yè)最佳實(shí)踐也是方法之一。除了管理，IT行業(yè)還需實(shí)施一些外部檢測(cè)和自動(dòng)化工具，比如定期做滲透測(cè)試、漏掃、等保測(cè)評(píng)、數(shù)據(jù)防丟失（DLP）保護(hù)、加密系統(tǒng)、運(yùn)維監(jiān)控系統(tǒng)、單點(diǎn)登錄（SSO）、身份認(rèn)證系統(tǒng)等，以幫助企業(yè)推進(jìn)自動(dòng)化管理，減少因人為原因造成的一些疏忽或者疏漏，及時(shí)發(fā)現(xiàn)和解決問題。

第三，加強(qiáng)培訓(xùn)。不管線上培訓(xùn)還是線下培訓(xùn)，最好全員參與。培訓(xùn)可以明晰一個(gè)企業(yè)合規(guī)的邊界在哪里，高壓紅線在哪里。另外，為了加強(qiáng)員工信息安全教育，一些宣傳標(biāo)語(yǔ)、宣傳頁(yè)也很重要。

注：本文來源于《進(jìn)出口經(jīng)理人》微信公眾號(hào)。