信息安全事故中企業常犯的錯誤

古語云：“亡羊補牢，猶未為晚”。隨著信息化的飛速發展，企業的信息安全正受到日益嚴峻的挑戰，近年來，很多大企業都遭受到了***而泄露數據的事故，更何況一些中小企業或個人。最近的iCloud信息泄露事件，不僅“坑到”了眾多好萊塢女星，也再一次在信息安全領域拉響了數據危機警報。

企業在受到***數據泄露后，尤其是對外部，如果不能正確處理，將導致事態惡化，并對企業品牌、業績造成二次打擊，更有甚者會帶來進法律風險。如何有效的處理，這其實是《信息安全管理實施指南》即ISO/IEC17799:2005的最后三個部分的內容：信息安全事故管理、業務連續性管理和符合性。

   一、沒有外部安全管理團隊協助

這是很多企業常犯的錯誤，對信息安全沒有引起足夠的重視。有時候數據泄露的嚴重程度超過了企業自身的處理能力，這時候企業最好能有外部安全服務團隊的協助。尤其是對于一些中小企業，在自身技術和實力不夠的情況下，猶為重要。

這不僅僅是在事故發生后，需要外部安全管理團隊的支持，在日常的信息安全管理過程中，也需要外部安全管理團隊提供信息安全方面的建議和信息安全審計。這類服務應當在制定業務連續性/事件響應計劃中就予以考慮。

二、沒有信息安全的唯一領導

數據泄露往往涉及公司多個部門，而各個部門都有自己的頭，一旦發生數據泄露等重大影響的信息安全事故，各部門各自為陣，效率低下。

企業應該成立信息安全委員會，必須有一個首席信息安全官的職位，能夠在信息安全事件響應計劃中起到總指揮的作用，策劃和協調整個災難恢復過程，確保從公司高層到普通團隊成員都隨時了解最新進展。

三、缺乏溝通計劃

溝通是兩方面的，一方面是企業內部的溝通，業務連續性計劃團隊內部的溝通。另一方面是企業外部的溝通，對消費者、用戶或公眾的溝通，尤其是媒體的溝通，這可能是對于公眾服務的企業適用。

缺乏透明的溝通機制會導致麻煩，而錯誤的溝通信息將導致錯誤的行動，這將延誤整個事件的處理速度并制造新的混亂。事件響應團隊成立后，每個人的職責都需要明確定義，并向外部顧問提供一個完整的聯系列表，這在業務連續性計劃中定義。

企業應當為數據泄露事件準備一個資料詳實，切實可行的媒體溝通計劃。快速有效的媒體溝通能避免以訛傳訛式的報道。

四、謀定而后動

數據泄露事件往往需要在信息并不完整或者信息快速變化的情況下做出快速反應。企業在數據泄露事件發生的同時就應當啟動應急處理流程，等待全面掌握信息再采取行動的做法可能會錯過最佳時機。

五、不向消費者提供補救措施

消費者應當永遠是信息安全事故的核心，這意味著在發生信息安全事故時，如數據泄露后企業應當盡可能通過各種渠道通知用戶采取正確措施保護個人隱私數據，以避免更大的損失。

六、有計劃但卻無法執行

業務連續性計劃一旦建立后，應初期測試并更新，以確保BCP的更新和有效。同時也需確保團隊中的所有成員能夠知道這個計劃，能夠明確他們在業務連續性和信息安全中的責任，知道計劃啟動后他們的角色。這樣才能在信息安全事故發生時做到”養兵千日，用兵一時。”

七、沒有外部法律顧問

在發生嚴重的數據泄露事故時，有可能會接收到來自用戶或消費者的起訴。除非你的內部法務部門對所有數據隱私相關法律了如指掌，委托一位公司外部的，有數據泄露相關經驗的律師幾乎是必須的。

八、缺乏事故后的善后計劃

很多企業經常”好了傷疤忘了疼“，信息安全事故處理完畢后，應當制定一個善后計劃，一方面與顧客和利益相關者保持良好溝通，另一方面，尋找系統脆弱點并積極修復，避免類此事件再次發生。

與客戶和投資者分享你在信息安全技術和服務上的投入和改進，這將有助于重建品牌和信任。

有興趣的朋友也可參考《信息安全管理實施指南》，進一步發現自己企業中在這方面的漏洞，謝謝！