2019国家网络安全宣传周期间,惠普打印机回传用户数据和湖北省设立安全总监制度这两件事刷了安全圈的屏。
惠普打印机回传用户数据事件
近日,打印机行业霸主惠普被发现,其打印机和扫描仪产品,会将用户数据回传给惠普,而且隐藏非常深。
据了解,惠普设备在安装过程中,有一项隐藏很深的“数据搜集通知与设置”选项,其中声明会通过搜集用户打印情况,来改善广告和用户体验。
这一选项是默认开启的,如果不懂技术、不够细心的话很难发现。这种偷偷搜集数据的行为,让企业和用户打印行为毫无隐私可言,令人不寒而栗。
当然,惠普公司澄清说:他们不会查看文档内容。这样的说法,就类似于,您在家里发现了小偷,小偷澄清说,他只是来看看,您会信吗?!
湖北安全总监制度
湖北省下发的《关于在重点行业领域生产经营单位建立安全总监制度的通知》,要求在相关生产经营单位设立“首席安全官”。安全总监制度关注的是整个安全生产问题,而我在这里讨论的网络安全管理只是其一部分职能,但这也算是一个不小的进步。以往,只有阿里巴巴、华为这样大企业的高级管理层,才会设立首席安全官。而该文件则是首次官方要求必须设立“首席安全官”,意味着无论从官方还是地方角度,安全生产(包括网络安全工作)已经成为行业发展的核心竞争力,设立专门的首席安全官能够为可持续发展提供有力的保障。
事实上,指定专人履行网络安全相关行政责任,落实网络安全管理相关制度,提升网络安全防护能力,在很多企业和部门早已落实。尽管如此,网络安全管理工作却始终得不到重视,其问题主要在于,一是很多部门网络安全管理职责划分始终不清,所有人都在管也就意味着都没人在管;二是管理人员有管理职责却没有工作权限,遇到问题层层汇总请示,工作效率差,往往导致往往虎头蛇尾。
就拿这次惠普相关设备回传数据事件来说,某单位网络安全管理人员发现这一严重情况后,分别向上级、上上级、上上上级进行汇报,10天下来,流程才走了一半。接下来,还要编撰整改方案,交由管理小组、安全中心和相关专家进行讨论,什么时候才能开始着手整改根本说不准。
而如果有成熟的首席安全官制度,那么,发现高危风险事件的管理人员就可直接向首席安全官汇报工作,首席安全官要求下级单位立即解决,既及时又有效。
基于PDCA模型完善首席安全制度
要做出正确的网络安全管理决策,只靠零散的网络安全管理人员或某个首席安全官并不可靠。相关企业或部门应该收回所有网络安全管理职能、任务,交由专门成立网络安全管理中心负责,该中心必须由首席安全官直接领导,减少层级管理,组织化、体系化、强制性的负责网络安全管理工作。
为了更好的履行相关职能,笔者建议最好根据PDCA模型(模型简介见文尾注释)在网络安全管理中心成立四个工作组,主要完成安全策略制定、日常事务处理、潜在风险评估等具体任务。一是计划组,统筹结合相关政策和上级要求,以及本单位实际情况,制定安全政策、安全标准、指导方针和执行程序,确保受保护目标和保护制度与单位业务发展战略规划的一致性。二是执行组,负责做好沟通协调工作,确保各项安全管理制度顺利有效执行。三是监管组,负责全面监控网络安全事件,及时制定风险处理、灾难恢复、业务响应策略,与其他各组保持沟通,在必要时根据风险和威胁的程度及时调整各项安全管理规章制度。四是改善组,负责评估政策法规的成效,结合执行小组的记录文件,提出改进意见,进一步提升相关政策法规的实用性和可行性。
注释:PPDCA模型的意义就是将事件管理分为四个阶段,即计划(Plan)、执行(Do)、检查(Check)、处理(Act)。在管理活动中,要求把各项工作按照作出计划、计划实施、检查实施效果,然后将成功的纳入标准,不成功的留待下一循环去解决。这一工作方法是在信息化和网络安全标准中频繁应用,也是管理各项工作的一般规律。
网友评论