澳大利亞的2017年隱私權修正（數據泄露通報）法案標志著信息安全立法的一大里程碑。整個技術行業又一次對有無必要進行法律干預開展爭論！RSA的彼得·特蘭立足于全球視角對澳大利亞新出臺的強制性數據泄露通知方案作出評論。

　　截至目前，包括澳大利亞在內的全球約90個國家出已臺了信息安全相關法律法規，而其嚴格程度、執行方式以及處罰力度亦各不相同。目前美國約47個州擁有自己的安全違規通報法，盡管尚未在國家層面引入統一的法律要求。但大多數數據泄露事件仍然未被及時發現與報告。

　　信息安全相關法律關注的重點不再應該是其普及廣度、深度的問題，而真正應該落實在如何保護數字隱私與落實違反安全法律的具體措施上。衡量安全違規措施及數據隱私法律有效性的惟一方法，在于相關立法舉措能否起到防止安全違規事件的發生的作用。但這種衡量方式屬于一種“模糊科學”。

　　美國國家標準與技術研究所（簡稱NIST）發布的網絡安全框架雖然只是一份針對當下的指導性最佳實踐框架，但其卻與政策、合規性與安全運營實現了緊密對接。英國國家網絡安全中心（簡稱NCSC）與其類似，NIST框架同樣由政府機構同私營部門間協同構建，允許各類組織機構基于自身業務需求及具備成本效益的方式解決并管理網絡安全風險，而無需進行額外的監管性約束。這種作法被稱為“業務驅動型安全保障”。NIST框架能夠衡量安全違規在商業環境中帶來的實際影響以評估其執行有效性，而這也正是“紙上談兵”與以實踐為導向舉措間的最大區別所在。

　　立法是管理手段而非技術措施

　　業務準則與法律之間存在著微妙的平衡。立法行為只是為敦促組織機構積極提升自身的監控與檢測能力，盡可能避免重大安全違規及數據失竊、操縱及/或銷毀事故，或者在遭遇這些事故之后能夠有能力迅速應對。立法行為不應該被理解成防止安全違規或者改進早期檢測與響應能力的有效措施。

　　一部分企業可能認為報告安全事件會被政府懲罰，因此質疑就數據泄露通報程序進行立法的必要性。然而政府的真正意圖在于鼓勵企業更為積極地利用主動識別機制處理網絡攻擊風險與安全漏洞來降低自身面臨的風險，雖然這一動機看似不太明顯?？梢钥隙ǖ氖轻槍ζ髽I數據泄露事故報告立法已經發出了一項清晰而迅速的全球性指示信息————澳大利亞企業已經開始落實對公共及私有關鍵性基礎設施進行保護的具體措施。

　　就安全違規事件報告程序的立法要求能夠帶來一項核心收益，即推動企業以更為緊迫的態度在違規事故發生期間及之后報告關鍵性數據。這些數據將可用于實施主動網絡防御技術、戰術。

　　在這方面，美國國防部對國內諸如銀行及醫療衛生等部門實施的舉措就非常值得借鑒。其對私營行業及其承包與采購商發布了一系列與安全違規通報相關的規則與條例，同時建立起合作與志愿項目，包括：國防工業基礎網絡安全計劃（簡稱DIB-CS）；銀行FS-ISAC以及醫療衛生NH-ISAC等————旨在實現公共與私營部門各參與者間的合作伙伴關系。

　　這些網絡安全合作伙伴將為保密及非保密網絡威脅信息的共享提供一個協作環境，同時允許分析師與分析人員間針對緩解及補救策略進行無障礙交流。這不僅能夠為企業帶來分析支持與取證分析協助，同時亦極大促進政府與行業對網絡威脅事務的了解和掌握。憑借著緊密的聯系、立法與協作，該志愿項目帶來了顯著成效。這亦證明如果缺少這種對接能力，網絡安全體系將很可能全面破裂。

　　在已頒布或者計劃發布類似立法條款的90個國家當中，大部分尚未意識到網絡安全與違規事故響應并不遵循與法律規定內相同的法律假設。事實上，遭受損失的機構往往需要很長一段時間才會察覺到這些互聯網安全問題。也就是說哪怕是私營及公共部門已具備成熟能力尚不能夠有效監控并檢測攻擊活動。

　　在具體落實數據泄露報告制度前的12個月過渡期內，CISO們必須充分掌握自身網絡安全狀態、及判斷現有監控與檢測能力差距，確定機構的數據資產分類與業務風險注冊信息已更新。如果尚未建立這一業務風險注冊表，則其應在接下來的12個月內將此作為優先事務處理。這樣，CISO便能夠立足合規性角度確定企業自身的短期、中期與長期準備情況，評估其安全規劃的可恢復性，最終擬定能夠在遭遇重大安全違規事故時遵循法律要求中指定的必要與禁止性行為。

　　企業著手投資前瞻性信息安全實踐

　　應提倡自主保護體系建設，對于那些始終不愿投資建立信息安全方案建設的企業來說，或許正在坐等立法通過，對組織機構及利益相關者進行保護工作僅僅是被立法推著走，而沒有著手投資前瞻性信息安全實踐，這無論對于哪種機構其風險性都無異于玩火自焚。

　　隨著這一輪即將實施的立法性要求，澳大利亞將在法律、運營最佳實踐與指導性思想之間建立新的協作橋梁，并著力讓數字化安全成為企業DNA中的固有組成部分。企業應該趁此機會積極準備，為網絡破壞事件、應急響應建立彈性設計方案。

責任編輯：韓希宇