AI時代，企業如何確保信息安全和數據合規？

后人口紅利時代，人工智能（AI）有望成為十年以上的高景氣賽道。2021年起，AI進入產業化大周期，各類新技術的廣泛運用為人工智能的發展注入了全新的動能，而與之相對，其所面對的數據安全挑戰既有傳統數據安全問題的普遍性，更具有人工智能時代的獨特烙印。

對于人工智能可能帶來的信息安全與隱私風險，目前已經引起了社會各界的廣泛關注和擔憂，《網絡安全法》《數據安全法》以及《個人信息保護法》的頒布實施，更是讓信息安全及數據合規提升到了新的高度，掌握大量用戶數據的企業正在成為重點監管的對象。

圍繞AI時代如何搭建有效的信息安全管理體系來滿足監管的要求，本刊專訪了SGS通標中北區信息安全產品經理閆強和獵豹移動公司信息安全總監林鵬。目前AI產業企業主要存在哪些信息安全風險？在AI賽道持續深耕的獵豹移動近幾年在信息安全管理中遇到哪些挑戰，有何解決思路？信息安全管理領域的國際標準最新趨勢是什么？兩位給出了各自精辟的見解。

01信息安全如一棵大樹

閆強形容信息安全如同一顆大樹，主干是信息安全管理體系ISO/IEC27001標準,分支則包括針對云服務的ISO/IEC27017標準、針對隱私信息保護的ISO/IEC27701標準、針對能源的ISO/IEC27019標準、針對電信組織的ISO/IEC27011標準以及針對健康的 ISO/IEC27799標準等。隨著汽車步入“四化”時代，汽車行業也有針對智能網聯架構下保護整車廠供應鏈信息安全的TISAX（信息安全的評估和交換機制）, 針對網絡安全的ISO/SAE21434標準，以及針對功能安全的ISO/SAE26262標準等。

閆強強調，隱私信息管理體系ISO/IEC27701對于AI企業是極為重要的標準之一。無論是在當下的互聯網大數據環境下，還是在新冠肺炎疫情下，公民的個人信息通過各種各樣的渠道被采集后存儲在B端或C端，如何有效控制和處理這些個人信息，AI企業面臨巨大挑戰。2021年國家相繼頒布了《個人信息保護法》《數據安全法》《網絡安全審查辦法》等諸多法規，矛頭直指個人信息保護和數據安全管理。隱私信息管理體系的標準遵循GDPR《通用數據保護條例》原則，其對個人數據處理強調六大原則、八大權利。六大原則中，最主要的原則叫“合法公正透明”，即企業在對個人數據的處理過程中必須是合法地，以善意和對數據主體合理的?式進行。比如，用攝像頭做人臉信息采集，如果沒有提前告知用戶，其行為就構成違法。八大權利是數據主體被采集信息時最主要的八大方面的權利，其中第一條叫“知情權”，即在采集信息時應告知用戶，最后一條叫“不受制于自動化決策（含畫像）”。針對自動化決策，用戶可以拒絕，應用軟件的隱私政策里包含有取消自動化決策的窗口，但并不是所有應用軟件都有這樣的窗口，因此應用軟件在隱私方面的管理任重道遠。

隨著汽車逐漸變成智能終端，演變為一個物聯網產品，汽車行業也牽涉到很多信息安全、網絡安全和隱私保護的要求。閆強介紹，TISAX值得信賴的信息安全評估交換（Trusted Information Security Assessment Exchange）是由德國汽車工業聯合會制定的重要標準，以幫助在智能網聯架構下保護整車廠供應鏈的信息安全。在國際認證上，TISAX的評估有3個評估級別，AL1到AL3，數字越大，等級越高；8個評估對象，如客戶通常選擇的評估對象、保護需求極高的信息、原型零件保護、數據保護等。

02“大樹主干”將有所變化

2022年2月，信息安全管理體系中的“大樹主干”發生了變化，ISO國際標準化組織更新發布了ISO/IEC27002:2022信息安全、網絡安全和隱私保護—信息安全控制，以作為組織根據信息安全管理體系認證標準定制和實施信息安全控制措施的指南。

閆強指出，新版標準在舊版標準基礎上進行了一系列的完善和補充，標準的更新對企業的安全技術及安全控制提出了更高的要求。

閆強解讀，新版標準對信息安全管理體系中的控制項數量進行了一系列調整，由以前的114個控制措施更新為93個控制措施，但這并不意味著控制措施有所減少，只是將一些控制措施進行重新命名和合并，同時還增加了11個新的控制措施。新版標準還將13個控制域變更為4個控制域，即從組織控制、人員控制、物理控制、技術控制4個維度對信息安全的控制方法進行闡釋。

新版本在組織控制維度上增加了威脅情報控制措施。威脅情報的主要目的和目標是讓安全團隊更了解組織機構的安全風險，了解整體的安全威脅態勢，更早地了解具體的安全威脅，并使企業能夠從被動防御轉變為主動防御。企業需要關注外部環境的一些漏洞給企業軟件帶來的風險和影響，從漏洞生命周期的角度管理，在漏洞發現后評估風險，制定解決方案，進而做補丁升級、測試和發布。

新版本增加了“網絡安全、隱私保護”的相關條款，更好地契合組織對信息安全管理的新需求。以前信息安全更注重承載信息的媒介，如圖紙、代碼或數據，新版標準里增加了隱私保護要求，對個人信息如何安全存儲、處理、轉移、轉讓都有了新的要求。

03AI企業挑戰升級，應對升級

獵豹移動正在從移動互聯網向以AI驅動的產業互聯網進行戰略升級，在持續深耕AI賽道過程中對信息安全管理有更深的體會。林鵬表示，從行業洞察來看，互聯網企業的信息安全風險來自兩個方面的挑戰——合規性和技術。

從合規性來說，數據是互聯網公司的“硬通貨”，隨著近幾年國家相繼出臺信息安全方面的法規，互聯網企業面臨合規風險。如某些互聯網企業開發的應用軟件一旦出現過度收集數據、不合規存儲和使用數據等行為，輕則通報，重則下架，這樣無論從經營層面還是從信譽層面都會給企業造成一定的損失。長期以來，在數據安全等問題上，以AI企業為代表的互聯網公司一直在“摸著石頭過河”，甚至是“半黑不白”，在數據方面還希冀探索一些商業路徑。比如，一些企業在商場里通過人臉識別進行統計和做一些差異化分析。自從國家對數據處理者在收集人臉識別信息上的約束從嚴從緊，這條路商業之路基本上已經走不通了。

從技術上來說，傳統互聯網企業對外需要抵御黑客入侵，對內需要防止內部信息被員工泄露。當前黑客的挑戰主要表現為二，一是把互聯網企業內部信息偷出來，放到網絡進行公開售賣，獲得價格不菲的回報；一是隨著各種加密貨幣的產生使用新型勒索手段。如若互聯網企業沒有做好充分的信息安全部署，因端口開放或弱口令等一些問題中了勒索病毒，基本上很難解鎖，也很難查到真正的主使人是誰。

林鵬稱，2018年5月GDPR落地之際，獵豹移動以此為契機，進行了一系列信息安全的合規性檢查和自查，并請外部檢查機構培訓和梳理流程制度。獵豹移動還專門成立了安全與隱私委員會，相當于一個專項組，由最高領導親自掛帥，全公司員工配合，為這項法律的落地做好準備與應對。

“從近年的重大安全事件、實戰攻防演練中我們可以看出，軟件供應鏈攻擊已成為突破業務防線的新路徑之一。”林鵬說：“軟件供應鏈安全問題已經成為一種流行的攻擊趨勢。軟件供應鏈安全管理的背后是資產管理的問題，誰在資產運營方面做得更細致，誰就可能在突發的供應鏈漏洞爆發時處于一個比較優勢的地位。”

林鵬坦言，作為一家企業，雖然在信息安全方面想要做到面面俱到，但是真正要從宏觀上解決問題，還需站在一個更高的緯度，這也是獵豹移動與SGS合作的宗旨。獵豹移動一方面獲得了SGS的一些專業指導，另一方面也借此了解了其他公司的最佳實踐，并結合自身特定的業務場景，最終實現了解決方案的落地。更重要的是，獵豹移動通過第三方機構向業內和用戶證明了自己在信息安全方面的用心和投入。

“跨過生死存亡的考驗后，AI企業亟須把信息安全納入管理體系之列。”林鵬說。對于未來，林鵬表示，獵豹移動將從三個方面織網布局：一是繼續加強信息安全建設，跟進信息安全管理體系最新版本，引導業務合規；二是加大安全建設投入，把信息安全防御等級提高到新的門檻，增加攻擊者的攻擊成本；三是查漏補缺，學習新技術，比如AI對抗技術、云相關技術，因為合規是一個動態變化過程，安全技術也在不斷變化，信息安全從業者要通過知識迭代，帶領企業朝著更合規、更安全的方向一路暢行，不斷地為客戶的安全保駕護航。

04搭建有效的信息安全管理

“在信息安全管理服務上，作為全球知名的第三方機構，SGS投入大量人力物力開發產品，培養核心競爭力。在服務企業的過程中，SGS不僅僅告訴企業什么是合規的，更要告訴企業怎樣做到合規。”閆強說。

對于企業如何搭建有效的信心安全管理體系，閆強給出了3個方面的專業建議。

第一，發揮領導力的作用。一個企業對信息安全的重視程度取決于最高管理層對信息安全的認知程度。閆強指出，過去信息安全是七分技術、三分管理，現在是五分技術、五分管理。在審核過上千家企業后，閆強對領導力的作用感觸頗深。領導力不但為策劃提供支持，也為執行、監事、持續改進提供了強有力的支撐。沒有領導參與的管理體系不過是一紙空談。

第二，系統的方法。分析工具的使用對企業科學化、精準化、精細化管理十分重要。比如，威脅分析和風險評估（TARA）、失效模式與影響分析（FMEA）、業務影響分析(BIA) 等。行業最佳實踐也是方法之一。除了管理，IT行業還需實施一些外部檢測和自動化工具，比如定期做滲透測試、漏掃、等保測評、數據防丟失（DLP）保護、加密系統、運維監控系統、單點登錄（SSO）、身份認證系統等，以幫助企業推進自動化管理，減少因人為原因造成的一些疏忽或者疏漏，及時發現和解決問題。

第三，加強培訓。不管線上培訓還是線下培訓，最好全員參與。培訓可以明晰一個企業合規的邊界在哪里，高壓紅線在哪里。另外，為了加強員工信息安全教育，一些宣傳標語、宣傳頁也很重要。

注：本文來源于《進出口經理人》微信公眾號。