前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全服務(wù)主題范文,僅供參考,歡迎閱讀并收藏。
研究院的安全服務(wù)主要包含四大獨(dú)立服務(wù):安全服務(wù)、監(jiān)測服務(wù)、睿眼通和信息安全應(yīng)急響應(yīng)指揮平臺(tái)。服務(wù)內(nèi)容主要包括以下幾個(gè)方面:
首先是安全咨詢。以“業(yè)務(wù)需求管理”為核心出發(fā)點(diǎn),依托ISO27001、ISO17799等國際信息安全標(biāo)準(zhǔn)和法規(guī)及行業(yè)規(guī)范,融合自上而下的指導(dǎo)方針、管理策略、業(yè)務(wù)流程運(yùn)行規(guī)則、系統(tǒng)操作指南,建立信息安全管理體系。
其次是安全培訓(xùn)。安全培訓(xùn)旨在提高客戶的信息安全意識(shí)和技能,為最大程度上提高客戶的整體安全防衛(wèi)意識(shí)和安全防衛(wèi)技能,真正把信息安全管理體系落到實(shí)處,提供強(qiáng)力有效的技術(shù)支撐保障。
再次是安全評估。對信息資產(chǎn)所面臨的威脅、存在的弱點(diǎn)、造成的影響,以及三者綜合作用所帶來風(fēng)險(xiǎn)的可能性評估,為客戶信息安全管理體系策劃提供基礎(chǔ)。
最后是安全加固。結(jié)合等級保護(hù)國家政策及行業(yè)規(guī)范,通過現(xiàn)場調(diào)研,合理使用安全加固工具等為客戶提供安全加固服務(wù),主要提供主機(jī)加固、系統(tǒng)加固、數(shù)據(jù)庫加固、應(yīng)用服務(wù)器加固、應(yīng)用加固等服務(wù),安全補(bǔ)丁、安全策略調(diào)優(yōu)、配置優(yōu)化等服務(wù)。
七大監(jiān)測服務(wù)主要包括下幾個(gè)方面:
第一,“睿眼”外網(wǎng)安全監(jiān)測預(yù)警服務(wù)平臺(tái)是一套軟硬件一體化監(jiān)測平臺(tái),以大數(shù)據(jù)技術(shù)為依托,集成了Web漏洞掃描檢測技術(shù)、采用遠(yuǎn)程監(jiān)測對外網(wǎng)網(wǎng)站提供7×24小時(shí)實(shí)時(shí)安全監(jiān)測服務(wù)。通過對網(wǎng)站的不間斷監(jiān)測服務(wù)及時(shí)發(fā)現(xiàn)威脅,從而提升網(wǎng)站的安全防護(hù)能力和網(wǎng)站服務(wù)質(zhì)量,并通過安全監(jiān)測平臺(tái)的事件跟蹤功能建立起一種長效的安全保障機(jī)制。
第二,“睿眼”移動(dòng)安全監(jiān)測預(yù)警服務(wù)平臺(tái),為政府和企事業(yè)單位搭建一個(gè)應(yīng)用App統(tǒng)一存放、統(tǒng)一管理、統(tǒng)一安全監(jiān)測的AppStroe平臺(tái),通過此平臺(tái)進(jìn)一步提升用戶辦事體驗(yàn),同時(shí)方便國家、省部級對下級單位進(jìn)行移動(dòng)App管理和統(tǒng)計(jì)。
第三,“睿眼”內(nèi)網(wǎng)安全監(jiān)測預(yù)警服務(wù)平臺(tái),基于對內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行的考慮,平臺(tái)提供對內(nèi)網(wǎng)的實(shí)時(shí)安全監(jiān)測、分析和預(yù)警功能。
睿眼通
睿眼通是七大監(jiān)測預(yù)警服務(wù)平臺(tái)提供給客戶的一款智能移動(dòng)終端,基于客戶對信息安全情況的即時(shí)需求,以七大監(jiān)測預(yù)警服務(wù)平臺(tái)監(jiān)測結(jié)果為主線,可以成為客戶處理信息安全問題、了解安全狀態(tài)趨勢、掌握最新安全資訊的貼心助手,隨時(shí)隨地了解網(wǎng)站及信息系統(tǒng)等的整體運(yùn)行情況。
信息安全應(yīng)急響應(yīng)指揮平臺(tái)
應(yīng)急響應(yīng)指揮平臺(tái)通過各大監(jiān)測預(yù)警服務(wù)平臺(tái)實(shí)時(shí)監(jiān)測結(jié)果,對告警的安全故障或安全威脅,以最短的時(shí)間進(jìn)行故障排查定位和應(yīng)急處理。
安全產(chǎn)品
公司安全產(chǎn)品包括堡壘主機(jī)系統(tǒng)、系統(tǒng)安全加固、審計(jì)系統(tǒng)和信息共享管理系統(tǒng)。
(1)堡壘主機(jī)系統(tǒng)。堡壘主機(jī)是一種被加固的可以防御進(jìn)攻的計(jì)算機(jī),具備堅(jiān)強(qiáng)的安全防護(hù)能力。堡壘主機(jī)系統(tǒng)軟件扮演著看門者的職責(zé),所有對網(wǎng)絡(luò)設(shè)備和服務(wù)器的請求都要從這扇大門經(jīng)過。
(2)系統(tǒng)安全加固。系統(tǒng)安全加固V1.0產(chǎn)品是軟硬件相結(jié)合的產(chǎn)品,通過硬件USB-KEY,提高了服務(wù)器系統(tǒng)的安全性,克服單純使用軟件防護(hù)的局限性;軟件部分包括服務(wù)器操作系統(tǒng)安全增強(qiáng)軟件、服務(wù)器安全,以及統(tǒng)一安全管理平臺(tái)軟件。
(3)審計(jì)系統(tǒng)
①日志審計(jì)系統(tǒng)。日志審計(jì)系統(tǒng)一方面可以集中收集、長時(shí)間存放所有的記錄日志,避免日志遭到惡意篡改或刪除而在安全事件發(fā)生時(shí)無據(jù)可查的狀況發(fā)生,另一方面日志審計(jì)系統(tǒng)強(qiáng)大的日志審計(jì)功能可以為組織審計(jì)人員提供日志實(shí)時(shí)監(jiān)控、高效檢索、審計(jì)報(bào)表等日志審計(jì)手段,從而使原本不可能完成的海量日志審計(jì)工作可以在短時(shí)間內(nèi)輕松完成,大大減少信息部門的工作量。
②網(wǎng)絡(luò)安全審計(jì)系統(tǒng)。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)主要通過旁路監(jiān)視并記錄對數(shù)據(jù)庫服務(wù)器的各類操作行為,通過對各類網(wǎng)絡(luò)行為的分析,實(shí)時(shí)地、智能地監(jiān)控審計(jì),并將審計(jì)數(shù)據(jù)存儲(chǔ),以便日后進(jìn)行查詢、分析,實(shí)現(xiàn)對整個(gè)網(wǎng)絡(luò)環(huán)境內(nèi)的操作訪問行為的監(jiān)控和審計(jì)。
以一種域名系統(tǒng)命名的DNS服務(wù)器系統(tǒng)以及在瀏覽器中輸入域名調(diào)出,通過瀏覽器進(jìn)行遠(yuǎn)程II管理的WWW服務(wù)器配置,可以在任何服務(wù)器或者工作站打開瀏覽器,和FTP服務(wù)器配置作為計(jì)算機(jī)網(wǎng)絡(luò)的服務(wù)器配置的一般分類,從信息安全技術(shù)角度來看,以信息安全病毒或者黑客入侵技術(shù)等特點(diǎn)作為分析對象,建立服務(wù)器安全配置預(yù)防機(jī)制,首先對服務(wù)器自身的安全性進(jìn)行自主強(qiáng)化。首先加強(qiáng)改版操作系統(tǒng)安全管理軟件,做到可以應(yīng)用服務(wù)包來預(yù)先防范已知的網(wǎng)絡(luò)安全漏洞,修復(fù)安全補(bǔ)丁。逐步完善計(jì)算機(jī)操作系統(tǒng)的服務(wù)功能,保護(hù)登入帳號(hào)的安全,刪除不經(jīng)常使用的軟件,保證服務(wù)器內(nèi)置的潔凈。并且在服務(wù)器安全設(shè)置能夠高效運(yùn)行的前提下,尋求最高的計(jì)算機(jī)安全級別,用以強(qiáng)化服務(wù)器操作系統(tǒng)。
二、FTP服務(wù)器的安全配置
本地用戶和組是以管理本地智能網(wǎng)絡(luò)模塊的一項(xiàng)管理工具,存在和運(yùn)行于Windows的計(jì)算機(jī)當(dāng)中,因此在Windows的安全策略中占據(jù)重要地位。通過服務(wù)器可以控制單獨(dú)使用的FTP站點(diǎn),可以確認(rèn)用戶賬號(hào)安全,控制網(wǎng)絡(luò)中有不安全性的匿名訪問以及IP地址限制。在密碼設(shè)置時(shí)要確認(rèn)第二到第六個(gè)為止中一個(gè)或一個(gè)以上的符合或字符,并且保證至少七位字符的長度,用以加強(qiáng)密碼的安全設(shè)置。在主目錄的界面上,可以設(shè)置出有關(guān)于FTP站點(diǎn)的主目錄和權(quán)限,再通過目錄安全性的選項(xiàng)中,如果IP地址方式出現(xiàn)限制用戶訪問的情況,應(yīng)該默認(rèn)FTP服務(wù)器中全部IP地址的訪問權(quán)限。
三、制度Window服務(wù)器安全策略
首先需要將遠(yuǎn)程桌面窗口的默認(rèn)端口修改,對系統(tǒng)管理員的默認(rèn)賬戶進(jìn)行重命名,同時(shí)取消正在網(wǎng)絡(luò)連接中的文件和頁面,停用打印共享,關(guān)閉guest用戶使用權(quán)限。如果出現(xiàn)防護(hù)墻高級設(shè)置窗口,應(yīng)該勾選出W服務(wù)和安全Web服務(wù)。并且還要注意開放短信的發(fā)送平臺(tái)端口,設(shè)置開啟Windows的防護(hù)墻。其次,禁止Printspooler打印服務(wù)、Wirelessconfiguration無線服務(wù)以及在局域網(wǎng)和廣域網(wǎng)環(huán)境中為各個(gè)企業(yè)提供路由器服務(wù)的RoutingandRemoteAcces以及遠(yuǎn)程注冊表等無關(guān)服務(wù)。并且在打開注冊表時(shí),禁止IPC空連接,刪除默認(rèn)共享,新建AutoShareServer把值修改為0。在用戶權(quán)利分配下,通過網(wǎng)絡(luò)訪問計(jì)算機(jī)時(shí)刪除權(quán)限,啟用不可啟動(dòng)的匿名訪問賬號(hào)和共享。點(diǎn)擊“開始菜單”在“管理工具”選項(xiàng)中選擇本地安全策略,如果在設(shè)置審核登陸過程中,在事件查看器里的安全日志記錄登陸失敗的信息。在服務(wù)管理器的管理界面中,從“站點(diǎn)名稱”中點(diǎn)擊“屬性”項(xiàng)目,需要對計(jì)算機(jī)日志的高級屬性進(jìn)行設(shè)置,擴(kuò)充記錄屬性界面,保存日志地址。通過“目錄安全性”選項(xiàng),可記錄FTP行為日志,以便驚醒計(jì)算機(jī)系統(tǒng)的分析和管理。以此同時(shí),記錄每一個(gè)用戶的FTP行為日志,在各個(gè)FTP站點(diǎn)啟用日志訪問選項(xiàng)。通過以上的對計(jì)算機(jī)信息化安全技術(shù)的分析和操作,我們確定從傳統(tǒng)的計(jì)算機(jī)安全理念發(fā)展到具備可信化為重心的計(jì)算機(jī)安全,在硬件平臺(tái)上引入安全芯片。例如TCP的訪問控制、TCP安全操作系統(tǒng)的安全應(yīng)用。
四、結(jié)語
關(guān)鍵詞:信息資產(chǎn) 識(shí)別 評價(jià)方法
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1003-9082(2014)04-0007-02
信息資產(chǎn)是指組織的信息系統(tǒng)、其提供的服務(wù)以及處理的數(shù)據(jù)。
一、信息資產(chǎn)分類
網(wǎng)絡(luò)設(shè)備:
一臺(tái)或一組互備的網(wǎng)絡(luò)設(shè)備,包括網(wǎng)絡(luò)設(shè)備中的硬件,IOS,配置文件數(shù)據(jù)及其提供的網(wǎng)絡(luò)服務(wù)。包括路由器、交換機(jī)、RAS等,防火墻、IDS等安全設(shè)備除外。
服務(wù)器:一臺(tái)或一組服務(wù)器,包括服務(wù)器硬件、運(yùn)行于其上的OS、通用應(yīng)用、服務(wù),數(shù)據(jù)庫、磁盤陣列等。
工作站:客戶端用機(jī)、個(gè)人用機(jī)等。
安全設(shè)備:作為安全用途的硬件和軟件,如:防火墻、IDS、AV等。
存儲(chǔ)設(shè)備:提供存儲(chǔ)用途的硬件和軟件,如:磁盤陣列等。
業(yè)務(wù)系統(tǒng):指組織為其應(yīng)用而開發(fā)或購買的各類應(yīng)用軟件及其提供的業(yè)務(wù)服務(wù)。
二、資產(chǎn)識(shí)別過程
1.繪制拓?fù)鋱D
資產(chǎn)識(shí)別的首要步驟是繪制拓?fù)鋱D。在拓?fù)鋱D中盡可能真實(shí)地描繪拓?fù)鋱D。一般來說,拓?fù)鋱D越詳細(xì),資產(chǎn)識(shí)別的精度也就越高。如果系統(tǒng)非常復(fù)雜,一張拓?fù)鋱D很難描述清楚,則應(yīng)采用多張拓?fù)鋱D。
2.確定業(yè)務(wù)系統(tǒng)
繪制拓?fù)鋱D以后,通過訪談等方式,確定業(yè)務(wù)系統(tǒng),且識(shí)別業(yè)務(wù)系統(tǒng)的功能類型。
3.確定第一層保護(hù)對象框架
3.1根據(jù)業(yè)務(wù)的類型:比如是生產(chǎn)業(yè)務(wù),管理支撐業(yè)務(wù),還是辦公業(yè)務(wù)等。
3.2根據(jù)業(yè)務(wù)的重要性:比如核心區(qū)域,非核心區(qū)域等。
4.確定第二層保護(hù)對象框架
三、信息資產(chǎn)估價(jià)
1.資產(chǎn)賦值概述
信息資產(chǎn)識(shí)別完成后,形成了一個(gè)信息資產(chǎn)的清單,但對于大型組織來說,信息資產(chǎn)數(shù)目十分龐大,所以需要確認(rèn)資產(chǎn)的價(jià)值和重要性,重點(diǎn)保護(hù)關(guān)鍵的、重要的資產(chǎn),并便于進(jìn)一步考察資產(chǎn)相關(guān)的弱點(diǎn)、威脅和風(fēng)險(xiǎn)屬性,并進(jìn)行量化,因此需要對資產(chǎn)進(jìn)行估價(jià)。
2.信息資產(chǎn)估價(jià)方法
信息資產(chǎn)分別具有不同的安全屬性,機(jī)密性、完整性和可用性分別反映了資產(chǎn)在三個(gè)不同方面的特性。在信息資產(chǎn)估價(jià)時(shí),主要對資產(chǎn)的這三個(gè)安全屬性分別賦予價(jià)值,以此反映出信息資產(chǎn)的價(jià)值。
機(jī)密性、完整性和可用性的定義如下:
保密性:確保只有經(jīng)過授權(quán)的人才能訪問信息;
完整性:保護(hù)信息和信息的處理方法準(zhǔn)確而完整;
可用性:確保經(jīng)過授權(quán)的用戶在需要時(shí)可以訪問信息并使用相關(guān)信息資產(chǎn)。
3.半定量化的資產(chǎn)賦值
所有資產(chǎn)的機(jī)密性、完整性和可用性價(jià)值,均劃分為5級。其中5代表資產(chǎn)安全性價(jià)值最高,1代表資產(chǎn)性價(jià)值最低。
4.資產(chǎn)賦值方法
采用5級標(biāo)準(zhǔn),較好地反映了資產(chǎn)價(jià)值的差異,本文中提出了一套方法,通過將機(jī)密性、完整性和可用性的每個(gè)值分解為兩個(gè)相乘的指標(biāo),而每個(gè)指標(biāo)均分為三級。從而得出五級安全價(jià)值。
Xc(資產(chǎn)被暴露時(shí)與造成后果之間的關(guān)系)可分為下述三級:
直接產(chǎn)生后果:即當(dāng)資產(chǎn)被暴露時(shí),后果既已發(fā)生。例如,組織的商業(yè)秘密,要求密級的信息,這些信息一旦被暴露,后果隨之發(fā)生,無法挽回。
容易產(chǎn)生后果:當(dāng)資產(chǎn)被暴露時(shí),后果非常容易發(fā)生。例如當(dāng)操作系統(tǒng)的超級用戶口令失密時(shí),如果獲知者無惡意,后果可能不會(huì)發(fā)生,但是如果獲知者具有惡意,那么后果非常容易發(fā)生。
可能產(chǎn)生后果:當(dāng)資產(chǎn)被暴露時(shí),后果有可能會(huì)發(fā)生,但離后果發(fā)生仍存在一定距離。例如某客戶端軟件被盜用,在沒有得到服務(wù)器驗(yàn)證口令之前,后果仍未造成。
Yc(后果對組織的損害程度)包括下述三種情況:嚴(yán)重?fù)p害,中等損害,輕度損害.
4.2完整性賦值
整體不可用:當(dāng)資產(chǎn)不可用時(shí),業(yè)務(wù)系統(tǒng)即不可用。例如,服務(wù)器當(dāng)機(jī),主干網(wǎng)絡(luò)癱瘓等。
局部不可用:當(dāng)資產(chǎn)不可用時(shí),業(yè)務(wù)系統(tǒng)局部不可用。例如局部網(wǎng)絡(luò)癱瘓,網(wǎng)絡(luò)阻塞等。
個(gè)體不可用:當(dāng)資產(chǎn)不可用時(shí),業(yè)務(wù)系統(tǒng)的某個(gè)或某幾個(gè)客戶不可用,例如終端故障,客戶機(jī)當(dāng)機(jī)等。
Ya(該業(yè)務(wù)系統(tǒng)的關(guān)鍵性程度)包括下述三種情況:
核心業(yè)務(wù)系統(tǒng);關(guān)鍵業(yè)務(wù)系統(tǒng);一般業(yè)務(wù)系統(tǒng)。
5.賦值工作操作方法指南
5.1首先對各資產(chǎn)賦值
通過對各資產(chǎn)賦值,我們可以獲得在同一個(gè)區(qū)域內(nèi)核心資產(chǎn)。
5.2對保護(hù)對象框架賦值
摘要:
隨著云計(jì)算蓬勃發(fā)展,云安全問題日益突出,云平臺(tái)安全服務(wù)產(chǎn)品應(yīng)運(yùn)而生。文章對業(yè)界領(lǐng)先云服務(wù)提供商的云安全產(chǎn)品體系和發(fā)展策略進(jìn)行了研究,并結(jié)合電信運(yùn)營商特點(diǎn),提出了電信運(yùn)營商發(fā)展云平臺(tái)安全服務(wù)產(chǎn)品的思路與建議。
關(guān)鍵詞:
運(yùn)營商;云平臺(tái);安全產(chǎn)品
1引言
近年來,隨著云計(jì)算技術(shù)和應(yīng)用的高速發(fā)展,國內(nèi)外互聯(lián)網(wǎng)巨頭和電信運(yùn)營商紛紛發(fā)力,投資建設(shè)高標(biāo)準(zhǔn)、大規(guī)模的云計(jì)算數(shù)據(jù)中心,作為承載自身業(yè)務(wù)和系統(tǒng)的重要IT基礎(chǔ)設(shè)施,并基于多種服務(wù)模式,為客戶提供可靈活定制、彈性擴(kuò)容的云計(jì)算整體解決方案。根據(jù)SynergyResearchGroup年初的數(shù)據(jù)顯示,全球云服務(wù)市場年均增長率達(dá)到28%[1]。然而在云計(jì)算蓬勃發(fā)展的背后,云服務(wù)宕機(jī)、云平臺(tái)自身安全漏洞頻現(xiàn)、針對云服務(wù)的網(wǎng)絡(luò)攻擊愈發(fā)增多等云安全問題日益突出。當(dāng)前,用戶對于云安全的需求主要集中在云應(yīng)用安全、虛擬機(jī)保護(hù)、DDoS攻擊防護(hù)等方面,需要云服務(wù)提供商制定集中化、顯性化和標(biāo)準(zhǔn)化的安全策略,并通過針對性的安全服務(wù)或產(chǎn)品,構(gòu)建多維度、多層次的云平臺(tái)安全防御體系,切實(shí)保障客戶云端業(yè)務(wù)的安全順暢運(yùn)行。
2業(yè)界領(lǐng)先云平臺(tái)安全產(chǎn)品提供商對標(biāo)研究
AWS(AmazonWebServices)云安全,將云服務(wù)與云安全高度結(jié)合,通過多種途徑持續(xù)提升和整合安全能力,使AWS云安全產(chǎn)品成為AWS云服務(wù)的重要組成模塊。AWS從應(yīng)用安全、網(wǎng)絡(luò)安全防護(hù)和事件管理等維度為用戶提供Web應(yīng)用防火墻、應(yīng)用程序自動(dòng)化安全評估、云監(jiān)控、配置托管、云追蹤等安全服務(wù),并通過在全球合作伙伴計(jì)劃中加強(qiáng)與安全解決方案提供商的合作,構(gòu)建安全的云平臺(tái)。Amazon還采用產(chǎn)品融合、共享客戶資源形式吸納合作方,同時(shí)引入數(shù)據(jù)庫、網(wǎng)絡(luò)、應(yīng)用層面的安全廠商,形成對云安全功能的全面覆蓋。在產(chǎn)品發(fā)展策略上,AWS保持云服務(wù)領(lǐng)域價(jià)格優(yōu)勢的同時(shí)加大安全管理投入,建立安全與服務(wù)的良性循環(huán),持續(xù)整合產(chǎn)業(yè)鏈各環(huán)節(jié)的資源和能力,不斷壯大云安全生態(tài)圈,完善云安全產(chǎn)品體系。阿里云安全,經(jīng)歷了云服務(wù)安全、云安全產(chǎn)品、云安全解決方案三個(gè)發(fā)展階段,憑借強(qiáng)大的研發(fā)優(yōu)勢自主開發(fā)云盾系列安全產(chǎn)品,為客戶提供層次化的立體安全服務(wù)。阿里云安全產(chǎn)品體系包括服務(wù)器安全、Web應(yīng)用防火墻、DDoS高防IP、移動(dòng)安全、數(shù)據(jù)風(fēng)控、阿里綠網(wǎng)、加密服務(wù)、安全管家等產(chǎn)品,涵蓋主機(jī)和網(wǎng)絡(luò)安全、移動(dòng)安全、數(shù)據(jù)安全、業(yè)務(wù)安全、內(nèi)容安全以及安全技術(shù)和咨詢服務(wù)等多個(gè)領(lǐng)域。阿里云基于大數(shù)據(jù)安全分析技術(shù)推出的態(tài)勢感知產(chǎn)品,具備安全監(jiān)控、入侵檢測、弱點(diǎn)分析、威脅分析等功能,能夠輔助客戶建設(shè)自己的安全監(jiān)控和防御體系。阿里云在推動(dòng)自身產(chǎn)品創(chuàng)新和發(fā)展的同時(shí),還廣泛與國內(nèi)外專業(yè)安全廠商合作,開放資源,共建云安全生態(tài)。作為北美電信巨頭,Verizon較早將戰(zhàn)略聚焦在云安全能力提升上,通過一系列收購、合作形成云安全產(chǎn)品的全球服務(wù)能力。Verizon企業(yè)級安全產(chǎn)品品類豐富,包括DDoS攻擊防護(hù)、網(wǎng)絡(luò)威脅監(jiān)測/網(wǎng)絡(luò)威脅高級分析、可管理安全服務(wù)(MSS)、統(tǒng)一安全服務(wù)、威脅與漏洞管理等,能夠?yàn)槠髽I(yè)用戶提供綜合的網(wǎng)絡(luò)和信息安全服務(wù)。Verizon認(rèn)為安全的云平臺(tái)具備三個(gè)特征:強(qiáng)大的邏輯和物理安全控制手段,穩(wěn)健的治理、風(fēng)險(xiǎn)和合規(guī)性策略以及豐富的增值安全服務(wù)。Verizon的可管理安全服務(wù)能夠主動(dòng)識(shí)別漏洞并優(yōu)先處理云端威脅,改善IT安全策略和流程進(jìn)而提升云計(jì)算安全,實(shí)現(xiàn)風(fēng)險(xiǎn)管理。在Gartner的2015年全球MSS市場魔力象限分析報(bào)告中,Verizon再次評選列入領(lǐng)導(dǎo)者象限。IBM云安全,通過其設(shè)計(jì)靈活的DynamicCloudSecurity產(chǎn)品組合為用戶云計(jì)算中的工作負(fù)載提供分層防護(hù)[2]。IBM從訪問管理、數(shù)據(jù)保護(hù)、可視化和優(yōu)化安全運(yùn)營等維度為用戶提供云身份管理、云訪問權(quán)限管理、云應(yīng)用安全、云網(wǎng)絡(luò)安全、終端管理、云安全情報(bào)、云安全管理服務(wù)等云安全產(chǎn)品。IBM具備的專業(yè)服務(wù)與整合能力以及可擴(kuò)展的開發(fā)者關(guān)系優(yōu)勢,在混合云模型中尤為突顯,在產(chǎn)品發(fā)展策略上,IBM充分利用其混合云優(yōu)勢,同時(shí)整合其他云平臺(tái)推出關(guān)鍵,逐步形成自身完善的云安全產(chǎn)品體系。綜上所述,國內(nèi)外領(lǐng)先云服務(wù)提供商紛紛推出云平臺(tái)安全產(chǎn)品以強(qiáng)化自身在云計(jì)算市場上的競爭優(yōu)勢。他們或采用合作共贏的策略建設(shè)云安全生態(tài)圈;或整合多層級的云平臺(tái)安全防護(hù)產(chǎn)品,形成一體化的安全服務(wù)體系,其發(fā)展思路和產(chǎn)品策略可以為電信運(yùn)營商所借鑒。
3電信運(yùn)營商發(fā)展云平臺(tái)安全產(chǎn)品的思路和策略
經(jīng)過近年來的技術(shù)積累和大規(guī)模投資建設(shè),電信運(yùn)營商不同服務(wù)類型的云平臺(tái)在規(guī)模商用階段取得長足發(fā)展,并進(jìn)一步憑借資源優(yōu)勢、網(wǎng)絡(luò)優(yōu)勢、云網(wǎng)協(xié)同解決方案等持續(xù)拓展云計(jì)算市場。另一方面,電信運(yùn)營商在網(wǎng)絡(luò)和信息安全防護(hù)方面有著豐富的經(jīng)驗(yàn),面向企業(yè)和公眾客戶逐步推出涵蓋應(yīng)用、網(wǎng)絡(luò)、終端等領(lǐng)域的云安全產(chǎn)品和服務(wù),如云Web應(yīng)用防護(hù)、DDoS攻擊防護(hù)、移動(dòng)終端防護(hù)、安全專家服務(wù)等。不過當(dāng)前電信運(yùn)營商的云平臺(tái)安全產(chǎn)品體系普遍存在產(chǎn)品品類不足,核心功能有待完善,尚未實(shí)現(xiàn)內(nèi)外部資源整合,難以滿足廣大云平臺(tái)用戶對安全服務(wù)的迫切需求等問題,同時(shí)欠缺整體的云安全產(chǎn)品規(guī)劃和研發(fā)過程管控,互聯(lián)網(wǎng)化運(yùn)營資源和經(jīng)驗(yàn)不足,客戶需求響應(yīng)速度有待提升。在上述背景下,電信運(yùn)營商若要在激烈的市場競爭中占據(jù)主動(dòng)地位,需要依托自身強(qiáng)大的網(wǎng)絡(luò)資源、運(yùn)營經(jīng)驗(yàn)和渠道優(yōu)勢,聯(lián)合業(yè)界領(lǐng)先的安全產(chǎn)品和服務(wù)提供商,深入挖掘云平臺(tái)客戶痛點(diǎn),分步驟有序地發(fā)展重點(diǎn)產(chǎn)品,逐步構(gòu)建并完善云安全產(chǎn)品體系,對外提供多維度、層次化的云安全服務(wù)能力,以持續(xù)性創(chuàng)新應(yīng)用滿足多樣化的市場需求。云平臺(tái)安全產(chǎn)品的目標(biāo)體系可分層搭建,其中電信營商一體化的業(yè)務(wù)支撐體系、基于客戶的云安全產(chǎn)品商業(yè)模式和云平臺(tái)基礎(chǔ)設(shè)施資源構(gòu)成了整個(gè)目標(biāo)產(chǎn)品體系的基石,也是對內(nèi)部資源和商務(wù)體系中所有參與者整合所建立起的價(jià)值活動(dòng)平臺(tái),將電信運(yùn)營商與客戶和產(chǎn)業(yè)鏈其他角色連接起來,實(shí)現(xiàn)高效的價(jià)值創(chuàng)造、交換和分配。目標(biāo)體系的底層由可快速部署、靈活易用的安全服務(wù)單產(chǎn)品組成,此類產(chǎn)品技術(shù)成熟度較高,具備功能單一、可單獨(dú)計(jì)費(fèi)銷售的特點(diǎn)。綜合考慮目前產(chǎn)品成熟度和市場規(guī)模,結(jié)合業(yè)界標(biāo)桿企業(yè)對比分析,以及客戶的接受程度、業(yè)務(wù)吸引力等,在現(xiàn)有的云WAF、DDoS攻擊防護(hù)等基礎(chǔ)產(chǎn)品上,積極引入具備高級威脅防御、威脅預(yù)警能力的云安全Web網(wǎng)關(guān),以及Hypervisor安全保護(hù)、vFW、云IDS/IPS等虛擬化級云安全產(chǎn)品,主要客戶包括Web服務(wù)的受眾、云托管網(wǎng)站、各類企業(yè)用戶等。目標(biāo)體系的中間層以安全信息和事件管理(SIEM)為核心,運(yùn)營商可以采取與業(yè)界領(lǐng)先的服務(wù)提供商合作,構(gòu)建面向云服務(wù)的SIEM平臺(tái),提供云中監(jiān)測、云中審計(jì)、違規(guī)分析等功能,并為客戶提供靈活多樣的報(bào)表服務(wù),進(jìn)一步可根據(jù)不同應(yīng)用場景及客戶需求,與其他基礎(chǔ)安全產(chǎn)品整合或根據(jù)行業(yè)特殊性形成安全服務(wù)包,面向具有較高信息安全要求的行業(yè)客戶如金融、政府機(jī)構(gòu)等。目標(biāo)體系的頂層主要提供高端增值業(yè)務(wù),如滲透測試、風(fēng)險(xiǎn)評估、安全調(diào)度以及完整、系統(tǒng)的客戶解決方案。電信運(yùn)營商可以采取自研自建與外購安全產(chǎn)品結(jié)合的方式完善云平臺(tái)安全產(chǎn)品體系。基于運(yùn)營商大網(wǎng)能力自行開發(fā)與云服務(wù)深度融合的核心安全產(chǎn)品,同時(shí)通過采購專業(yè)安全企業(yè)的成熟產(chǎn)品來擴(kuò)展云安全產(chǎn)品業(yè)務(wù)線,增強(qiáng)相關(guān)競爭實(shí)力,建立并依賴合作伙伴生態(tài)圈,整合多樣化的合作供應(yīng)商和安全產(chǎn)品供用戶選擇,滿足客戶端到端的云平臺(tái)安全需求。
4結(jié)語
[關(guān)鍵詞]檔案信息服務(wù) 保護(hù) 網(wǎng)絡(luò)化 隱私權(quán) 建議
中圖分類號(hào):G270.7 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-914X(2014)01-0283-02
引言:檔案信息作為一種原始信息,是記錄隱私的重要載體,因此,檔案管理工作和隱私權(quán)保護(hù)有著必然的聯(lián)系。當(dāng)今社會(huì)信息技術(shù)迅速發(fā)展,促使了知識(shí)經(jīng)濟(jì)環(huán)境的產(chǎn)生和信息網(wǎng)絡(luò)環(huán)境的形成?,F(xiàn)在檔案信息的網(wǎng)絡(luò)化應(yīng)用已遍及人們工作和生活的各個(gè)角落,且繼續(xù)快速發(fā)展。網(wǎng)絡(luò)環(huán)境在改變檔案信息收集、整理、貯存、傳遞、利用的傳統(tǒng)模式的同時(shí),使隱私權(quán)保護(hù)也呈現(xiàn)出新的特點(diǎn)。
一、檔案信息網(wǎng)絡(luò)隱私權(quán)概述
網(wǎng)絡(luò)環(huán)境下的檔案也即檔案信息的網(wǎng)絡(luò)化。這是一個(gè)信息網(wǎng)絡(luò)化的時(shí)代,無處不在的互聯(lián)網(wǎng)絡(luò)將各種各樣的計(jì)算機(jī)、多媒體掌上終端、智能手機(jī)、數(shù)據(jù)庫系統(tǒng)聯(lián)接到一起,將信息空間、生活空間融合為一體,深刻的影響了人們的工作和生活方式。在這個(gè)奇特的空間中,人們可以隨時(shí)隨地通過網(wǎng)絡(luò)來獲得多種多樣的數(shù)字化信息服務(wù),而檔案信息的網(wǎng)絡(luò)化是實(shí)現(xiàn)這些服務(wù)的關(guān)鍵。當(dāng)然,如同西方的一句諺語一樣――每一枚硬幣都有兩面組成,檔案信息的網(wǎng)絡(luò)化如同一把雙刃劍,在給人們的生活帶來無限方便的同時(shí)也給檔案管理服務(wù)工作帶來了新的壓力與挑戰(zhàn),其中最突出的就是隱私權(quán)的保護(hù)問題。
隱私權(quán)是自然人享有的對其個(gè)人的與公共利益無關(guān)的個(gè)人信息、私人活動(dòng)和私有領(lǐng)域進(jìn)行支配的一種人格權(quán) 。具體而言可分為四種類型,即:資料隱私權(quán)、通訊隱私權(quán)、身體隱私權(quán)和領(lǐng)域隱私權(quán)。身體隱私與領(lǐng)域隱私權(quán)屬于有形隱私權(quán),本人易于控制且法律對于其保護(hù)也比較全面,不易受損,即或受損也有法可依可得到有效的法律救助。資料隱私權(quán)和通訊隱私權(quán)屬于無形隱私權(quán),個(gè)人不易控制且相關(guān)的立法也不全面,因此易受損害而且往往無法受到及時(shí)有效的法律保護(hù)。在網(wǎng)絡(luò)環(huán)境里無形隱私權(quán)的保護(hù)問題面對著更加嚴(yán)峻的挑戰(zhàn),被人們稱為“網(wǎng)絡(luò)隱私權(quán)”或“個(gè)人數(shù)據(jù)隱私權(quán)”的保護(hù)問題。
基于網(wǎng)絡(luò)技術(shù),個(gè)人資料可以被無限復(fù)制轉(zhuǎn)載,弄得面目全非,更甚者則被心懷叵測者獲取,利用這些隱私已達(dá)其造謠、誣蔑、誹謗、詆毀當(dāng)事人名譽(yù)的目的。侵犯隱私權(quán)活動(dòng)日益嚴(yán)重,用戶對網(wǎng)絡(luò)不由產(chǎn)生不安全感和不信任感,這在一定程度上阻礙了網(wǎng)絡(luò)服務(wù)業(yè)的發(fā)展。
通過對各種法律規(guī)定的歸納,能動(dòng)的隱私權(quán)包括控制權(quán)、獲取權(quán)、知悉權(quán)、修改權(quán)、抗辯權(quán)、安全權(quán)和利用限制權(quán)。很多國際組織與國家政府都在對傳統(tǒng)的隱私權(quán)保護(hù)政策和法律進(jìn)行調(diào)整,以提高對網(wǎng)絡(luò)隱私權(quán)的保護(hù)力度。1998年歐盟《個(gè)人數(shù)據(jù)處理和自由流動(dòng)中個(gè)體權(quán)利保護(hù)指令》正式實(shí)施,規(guī)定了當(dāng)事人享有接觸個(gè)人資料的權(quán)利、更正、刪除或封存?zhèn)€人資料的權(quán)利和拒絕利用個(gè)人資料的權(quán)利這三項(xiàng)權(quán)利,這大大有利于保護(hù)網(wǎng)絡(luò)隱私權(quán)。
二、檔案信息網(wǎng)絡(luò)化服務(wù)中產(chǎn)生隱私權(quán)問題的原因分析
1、收集過程
檔案中往往包括公民的重要個(gè)人信息,具有保密性。雖然檔案法對保密檔案的管理利用和解密等作出了嚴(yán)格的規(guī)定,但其對個(gè)人重要檔案信息并沒有給予明確的說明。事實(shí)上,在檔案館自行收集公民的檔案過程中和檔案所有人向檔案館移交、捐贈(zèng)、寄存的過程中,最易發(fā)生隱私權(quán)問題。尤其在網(wǎng)絡(luò)化的今天,通過網(wǎng)絡(luò)收集個(gè)人資料已成為收集檔案信息最主要的方式之一,且具有快捷化、自動(dòng)化、詳細(xì)化等特點(diǎn),隱私權(quán)問題也就日益突出。
如今檔案網(wǎng)站在接受訪問時(shí)往往要求用戶提供若干個(gè)人資料,檔案網(wǎng)站利用追蹤軟件可以持續(xù)掌握用戶的網(wǎng)上行為,判斷他們的檔案信息消費(fèi)特點(diǎn)。當(dāng)然,采用先進(jìn)技術(shù)收集公民個(gè)人資料并非出于惡意,但是,有些檔案網(wǎng)站在用戶毫不知情或是無可奈何的情況下收集個(gè)人資料,這實(shí)際上在某種程度上就侵犯了公民的隱私權(quán)。
無論對當(dāng)事人會(huì)否產(chǎn)生傷害,也無論是否經(jīng)過當(dāng)事人的同意,利用網(wǎng)絡(luò)這種先進(jìn)技術(shù)收集公民個(gè)人資料必須嚴(yán)格限于法定的職權(quán)范圍。其次,歐盟《指令》第10條規(guī)定,收集個(gè)人資料應(yīng)事先征得當(dāng)事人的同意。檔案網(wǎng)站收集個(gè)人資料必須遵循“告知原則”,這是檔案網(wǎng)站應(yīng)盡的義務(wù)。
2、傳輸和貯存過程
網(wǎng)絡(luò)本身就是虛擬的,其安全性存在很大風(fēng)險(xiǎn),并不十分可靠,這是檔案信息網(wǎng)絡(luò)化服務(wù)中可能產(chǎn)生隱私權(quán)問題的另一個(gè)原因。在網(wǎng)絡(luò)與應(yīng)用技術(shù)的發(fā)展迅速的同時(shí),與安全技術(shù)對抗的技術(shù)也層出不窮,而不斷出現(xiàn)的應(yīng)用安全問題在一定程度上也成為促進(jìn)安全技術(shù)發(fā)展的動(dòng)力。從這個(gè)意義上看,安全技術(shù)總是滯后于其對抗技術(shù)的發(fā)展的。
由于對抗技術(shù)的存在,在網(wǎng)絡(luò)傳送個(gè)人資料、共享個(gè)人資料的某個(gè)環(huán)節(jié)或者在貯存?zhèn)€人資料的過程中,第三方(如電腦“黑客”)就可能利用其掌握的技術(shù)對公民的隱私權(quán)造成侵害,使之泄露。如果第三方出于惡意直接侵入檔案網(wǎng)站的用戶數(shù)據(jù)庫,觀看、篡改、傳播網(wǎng)站上的個(gè)人資料,那么這種行為必將對當(dāng)事人的隱私權(quán)造成侵犯,甚至?xí)Ξ?dāng)事人造成無法挽回的傷害,包括財(cái)產(chǎn)方面,更包括精神方面。因而為個(gè)人資料的安全提供必要的技術(shù)與非技術(shù)支持是十分必要的。各國也先后對此作出明確規(guī)定,如澳大利亞有如下法律規(guī)定:除非能提供相應(yīng)的保護(hù)措施,禁止計(jì)算機(jī)互聯(lián)、特別是通過鏈接、合并或下載包含有個(gè)人數(shù)據(jù)的文檔;禁止從第三方可查詢的文件中建立新的文檔;禁止第三方掌握的文檔資料或個(gè)人數(shù)據(jù)與包括檔案館在內(nèi)的公共機(jī)構(gòu)掌握的一個(gè)或多個(gè)文檔資料進(jìn)行對比或互聯(lián)。
3、利用過程
檔案信息服務(wù)中可能產(chǎn)生隱私權(quán)問題的第三個(gè)原因是不恰當(dāng)?shù)乩脗€(gè)人資料。由于檔案是一種原始信息,包含公民若干個(gè)人資料,具有不可告知性,那么檔案利用就極有可能涉及到公民的隱私權(quán)保護(hù)問題。如果涉及隱私的資料被惡意自由利用,就會(huì)使社會(huì)公民產(chǎn)生生活危機(jī)感,造成一定的混亂,影響社會(huì)安定。這往往與檔案館對個(gè)人資料的常規(guī)使用和檔案館的管理職能相關(guān),因而控制和防止此種侵權(quán)的難度較大。比如,當(dāng)事人為某一特定目的提供個(gè)人資料,而檔案館卻出于業(yè)務(wù)需要未經(jīng)當(dāng)事人同意而用于另一目的,這在無意中也可能會(huì)給當(dāng)事人帶來隱私權(quán)問題的干擾。
4、管理的滯后性
第一,人文管理滯后?,F(xiàn)在的網(wǎng)站大部分存在嚴(yán)重的漏洞,檔案信息網(wǎng)絡(luò)安全人才十分匱乏。由于多數(shù)單位對此并不重視,其網(wǎng)絡(luò)管理人員沒有受過正規(guī)的安全培訓(xùn),甚至很多站點(diǎn)的管理員都是新手,在操作中漏洞百出,很多服務(wù)器至少有3 種以上的漏洞可以使入侵者獲取系統(tǒng)的最高控制權(quán) 。第二、組織管理滯后。現(xiàn)代信息環(huán)境是動(dòng)態(tài)發(fā)展變化的,安全與效率在本質(zhì)上是一對不可避免的矛盾,在追求安全與效率兼得的過程中管理就顯得特別重要。今天的信息操作環(huán)境高度分散、高度復(fù)雜,傳統(tǒng)的組織管理已變得力不從心。所以,構(gòu)建一種制度法規(guī)管理和技術(shù)管理相結(jié)合的新的管理模式已迫在眉睫。
三、檔案信息網(wǎng)絡(luò)化服務(wù)中保護(hù)隱私權(quán)的建議
依法治檔是使公民隱私權(quán)在檔案信息網(wǎng)絡(luò)化服務(wù)過程中得到保護(hù)的必由之路,在檔案信息服務(wù)中為有效保護(hù)公民的隱私權(quán),筆者有如下建議:
1、健全檔案管理制度
網(wǎng)絡(luò)環(huán)境下,建立安全的檔案制度屏障,事關(guān)重大
首先,要制定一定的規(guī)范,來限制個(gè)人資料的收集。必須通過合法的途徑收集當(dāng)事人個(gè)人資料且需在與當(dāng)事人達(dá)成合意的目的范圍內(nèi)對所收集的資料進(jìn)行使用和披露;其次,資料收集和使用機(jī)構(gòu)務(wù)必采取一切可能的措施,來保障所收集的個(gè)人資料的安全性,包括資料在傳輸過程中和存儲(chǔ)過程中的安全性;再次,
對檔案借閱、保密、鑒定、銷毀等各種制度和要求要作出明確和詳細(xì)的規(guī)定;第四,對檔案工作人員必須進(jìn)行相關(guān)培訓(xùn),且需細(xì)化檔案人員的工作職責(zé),使得從事檔案信息服務(wù)的工作人員成為專、精、強(qiáng)的專業(yè)高素質(zhì)人才;最后,設(shè)立專門機(jī)構(gòu)對檔案中個(gè)人資料進(jìn)行保護(hù),由相關(guān)專業(yè)人士組成該機(jī)構(gòu)對有關(guān)檔案信息網(wǎng)絡(luò)化服務(wù)中個(gè)人資料的隱私權(quán)事務(wù)進(jìn)行管理,這將有利于維護(hù)公民生活穩(wěn)定,有利于維護(hù)整個(gè)社會(huì)的大安定。
2、為網(wǎng)絡(luò)環(huán)境下檔案安全提供技術(shù)屏障
安全技術(shù)作為對公民檔案信息中個(gè)人資料有效保護(hù)主要措施,其主要包括兩個(gè)方面:通信安全技術(shù)和計(jì)算機(jī)安全技術(shù)。 1.通信安全技術(shù)。在保證通信安全方面。通??梢圆扇∫韵录夹g(shù):一是,檔案信息加密技術(shù)。它是保障檔案信息安全的最核心的技術(shù)措施。檔案信息加密過程是由形形的加密算法來具體實(shí)施的,它以較小的代價(jià)獲得較大的安全保護(hù)。 2.檔案信息確認(rèn)技術(shù)。它通過手段,以檔案業(yè)務(wù)管理系統(tǒng)為依托,向檔案電子化管理發(fā)展,促使檔案信息長期保存已是必然趨勢。確保檔案信息長期存取的關(guān)鍵是建立一種結(jié)構(gòu)方法來描述和記錄用于管理信息資源的長期保存的信息,這就是常稱的保存元數(shù)據(jù)。
3、依法治檔
國家應(yīng)制定相應(yīng)的法律法規(guī),使公民在權(quán)利遭受侵害時(shí)可依法得到保護(hù)。我們可以借鑒別國做法,明確規(guī)定權(quán)利人被侵權(quán)的救濟(jì)方式,規(guī)定其可向侵權(quán)人請求損害賠償,包括物質(zhì)方面也包括精神損害賠償。其中,對于物質(zhì)賠償?shù)膿p害賠償范圍既可是法定數(shù)額,也可是實(shí)際損害賠償數(shù)額,依權(quán)利人選擇。
4、加強(qiáng)行業(yè)自律
外因通過內(nèi)因起作用,內(nèi)因才是事物生存及發(fā)展的根本,因此在網(wǎng)絡(luò)環(huán)境下建立我國檔案信息服務(wù)行業(yè)的行業(yè)自律體系頗為重要。應(yīng)當(dāng)充分發(fā)揮檔案服務(wù)機(jī)構(gòu)的自我管理的作用,在業(yè)內(nèi)規(guī)范工作人員的工作態(tài)度和行為準(zhǔn)則,規(guī)定對公民“檔案信息網(wǎng)絡(luò)服務(wù)中隱私權(quán)”的保護(hù)政策,將此政策作為最低標(biāo)準(zhǔn)以期達(dá)到行業(yè)自律,有效地保護(hù)檔案中公民的隱私權(quán)。
結(jié)語:信息時(shí)代的到來帶給人類的是知識(shí)和信息量的大爆炸,而檔案信息是眾多信息中最基礎(chǔ)的一類,因此在檔案信息服務(wù)中保護(hù)隱私權(quán)的重要性不言而喻。這不僅有利于維護(hù)當(dāng)事人的合法權(quán)益,而且有利于檔案事業(yè)的發(fā)展。這就需要社會(huì)各個(gè)階層、各類部門、特別是檔案信息服務(wù)部門在工作和生活中時(shí)時(shí)留心,處處自律,以保證在網(wǎng)絡(luò)環(huán)境下檔案部門能夠更加健康、安全地服務(wù)于社會(huì)。
參考文獻(xiàn)
[1] 王利明.《人格權(quán)法新論》[M].
關(guān)鍵詞: 檔案信息服務(wù) 隱私權(quán) 網(wǎng)絡(luò)化
檔案信息是一種重要的原始信息,也是記錄隱私的重要載體,同時(shí),作為歷史的記錄,檔案中的許多內(nèi)容涉及個(gè)人隱私,因此,檔案工作和隱私權(quán)保護(hù)有著必然的聯(lián)系。蓬勃發(fā)展起來的網(wǎng)絡(luò)環(huán)境在改變檔案信息收集、整理、貯存、傳遞、利用的傳統(tǒng)模式的同時(shí),也使隱私權(quán)保護(hù)呈現(xiàn)出新的特點(diǎn)。網(wǎng)絡(luò)本身的安全性并不十分可靠,這是檔案信息網(wǎng)絡(luò)化服務(wù)進(jìn)程中一個(gè)極為重要的問題,由于技術(shù)的不完善,第三方(如“黑客”等)對當(dāng)事人隱私權(quán)的侵犯既可以發(fā)生在檔案館與用戶通過網(wǎng)絡(luò)傳送個(gè)人資料或不同的檔案網(wǎng)站之間共享個(gè)人資料的某個(gè)環(huán)節(jié),又可以發(fā)生在檔案網(wǎng)站貯存?zhèn)€人資料的過程中。這就從客觀上推動(dòng)了我們對檔案信息(網(wǎng)絡(luò)化)服務(wù)中的隱私權(quán)保護(hù)問題的探討。
一、檔案信息服務(wù)中涉及的隱私權(quán)問題分析
在檔案信息服務(wù)中保護(hù)隱私權(quán)的意義不僅在于維護(hù)當(dāng)事人的合法權(quán)益,而且在于為檔案事業(yè)的發(fā)展?fàn)I造良好的社會(huì)氛圍,推動(dòng)檔案信息化進(jìn)程,促進(jìn)檔案社會(huì)價(jià)值的實(shí)現(xiàn)。
(一)個(gè)人資料收集中的隱私權(quán)問題
檔案是一種重要的原始信息,具有保密性,包括公民的一些重要的個(gè)人信息,大多數(shù)鮮為人知。雖然檔案法對保密檔案的管理和利用、密級的變更和解密都做了嚴(yán)格的規(guī)定,同時(shí)制定了檔案的開放期限,但其法律相對方主要是機(jī)關(guān)、團(tuán)體、企事業(yè)單位,對于個(gè)人重要檔案信息沒有給予明確的說明。事實(shí)上,在檔案所有人向檔案館移交、捐贈(zèng)、寄存或檔案館自行收集關(guān)于公民的檔案之初,就應(yīng)妥善處理好隱私權(quán)問題。
隱私權(quán)保護(hù)問題在傳統(tǒng)的個(gè)人資料收集過程中并不太引人注目,但在網(wǎng)絡(luò)化的今天,檔案館通過網(wǎng)絡(luò)收集個(gè)人資料變得快捷化、自動(dòng)化、詳細(xì)化,隱私權(quán)問題相對更加突出。比如,檔案網(wǎng)站在接受訪問時(shí)往往要求用戶提供若干個(gè)人資料,包括年齡、性別、身份證號(hào)、職業(yè)、收入、工作單位、研究方向、聯(lián)系電話、傳真、電子信箱等;檔案網(wǎng)站可以利用一些追蹤軟件來持續(xù)掌握用戶的網(wǎng)上行為,判斷他們的檔案信息消費(fèi)特點(diǎn)。
檔案網(wǎng)站采用先進(jìn)的技術(shù)手段收集個(gè)人資料并非出于惡意,目的是通過對個(gè)人資料的分析與挖掘,找出可能連用戶自己都沒有意識(shí)到的檔案信息消費(fèi)習(xí)慣或消費(fèi)需求,改進(jìn)服務(wù)工作,這是網(wǎng)絡(luò)環(huán)境中檔案信息服務(wù)和信息產(chǎn)品開發(fā)“量身定制”的個(gè)性化、多樣化的要求。但是,檔案網(wǎng)站在用戶毫不知情或無可奈何的情況下(例如有的網(wǎng)站拒絕為不提供個(gè)人資料的用戶服務(wù))收集個(gè)人資料,就是侵犯用戶對其個(gè)人資料的占有權(quán)和支配權(quán)。
(二)個(gè)人資料傳輸和貯存中的隱私權(quán)問題
檔案信息傳輸和貯存過程中所涉及的隱私權(quán)問題,主要出現(xiàn)在檔案信息網(wǎng)絡(luò)化過程中。
網(wǎng)絡(luò)本身的安全性并不十分可靠,這是檔案信息網(wǎng)絡(luò)化服務(wù)中可能產(chǎn)生隱私權(quán)問題的又一個(gè)原因。由于技術(shù)的不完善,第三方(如“黑客”等)對當(dāng)事人隱私權(quán)的侵犯既可以發(fā)生在檔案館與用戶通過網(wǎng)絡(luò)傳送個(gè)人資料或不同的檔案網(wǎng)站之間共享個(gè)人資料的某個(gè)環(huán)節(jié),又可以發(fā)生在檔案網(wǎng)站貯存?zhèn)€人資料的過程中。比如,第三方可以直接侵入檔案網(wǎng)站的用戶數(shù)據(jù)庫,觀看、篡改、傳播個(gè)人資料,如果這種行為是出于惡意,那么當(dāng)事人的隱私權(quán)無疑將受到極大的威脅。
(三)個(gè)人資料利用中的隱私權(quán)問題
不恰當(dāng)?shù)乩脗€(gè)人資料是檔案信息服務(wù)中可能產(chǎn)生隱私權(quán)問題的第三個(gè)原因。
檔案利用與隱私權(quán)保護(hù)之間存在著矛盾,檔案利用必然涉及公民的隱私權(quán)保護(hù)問題。如果涉及隱私的檔案被自由利用,就可能導(dǎo)致政治與經(jīng)濟(jì)活動(dòng)的混亂,使社會(huì)公民產(chǎn)生生活危機(jī)感,給社會(huì)的安寧團(tuán)結(jié)帶來不利因素。因此,如何認(rèn)識(shí)和正確處理好檔案利用與保護(hù)公民隱私權(quán)問題,是檔案利用工作在改革開放過程中的一個(gè)重要課題。因?yàn)檫@種侵權(quán)涉及檔案館的管理職能及檔案館對個(gè)人資料的常規(guī)使用,所以控制和防止此種侵權(quán)的困難較大。比如,檔案館將用戶為了特定的目的提供的個(gè)人資料出于業(yè)務(wù)需要用于未經(jīng)授權(quán)的另一目的上,包括但不限于向別的檔案館提供該資料,且未限制該檔案館對個(gè)人資料的合理使用——雖然這種利用個(gè)人資料的方法對用戶的合法權(quán)益并無損害。
由于各種原因,目前在檔案開放利用工作中公民的隱私權(quán)得不到應(yīng)得的保護(hù)甚至被人們所忽視,這無疑給檔案信息服務(wù)工作帶來了一定隱患。在目前我國隱私權(quán)的觀念尚未深入人心,人們在普遍缺乏隱私權(quán)保護(hù)意識(shí)的情況下,檔案部門在開放利用中忽視隱私權(quán)保護(hù)的行為還能被社會(huì)所容忍,但伴隨著我國法制化建設(shè)的進(jìn)程,公民隱私權(quán)意識(shí)的增強(qiáng),檔案部門在實(shí)際工作中如不能很好地貫徹法律的規(guī)定,忽視對公民隱私權(quán)的保護(hù),就會(huì)在很大程度上影響檔案信息服務(wù)工作的開展。
二、檔案信息服務(wù)中保護(hù)隱私權(quán)的對策
要使得公民的隱私權(quán)在檔案信息服務(wù)過程中得到保護(hù),就必須走依法治檔的道路,進(jìn)行相關(guān)方面的檔案法律建設(shè)。目前我國《檔案法》中沒有明確規(guī)定檔案信息所涉及的隱私權(quán)問題,僅在部分條款中有類似說明。
在檔案信息服務(wù)過程中,檔案利用是涉及隱私權(quán)的一個(gè)關(guān)鍵環(huán)節(jié),在利用時(shí)應(yīng)區(qū)別對待,通過控制使用這些涉及私益的檔案,限制其利用范圍,使隱私權(quán)受到必要的保護(hù),做到合法利用。
做好檔案信息服務(wù)中的隱私權(quán)保護(hù),檔案界和檔案館還應(yīng)采取以下對策。
(一)制定檔案行業(yè)的隱私權(quán)保護(hù)政策
1997年9月27日,國家檔案局、國家保密局聯(lián)合頒發(fā)了《各級國家檔案館館藏檔案解密和劃分控制使用范圍的暫行規(guī)定》,該文件對于有效預(yù)防在檔案開放利用工作中發(fā)生對個(gè)人隱私的侵權(quán)有非常重要的作用。各級各類檔案部門以此項(xiàng)規(guī)定作為政策指導(dǎo)和保障,結(jié)合各自的實(shí)際館藏狀況,制定了相關(guān)的規(guī)章制度,教學(xué)效果顯著。不僅如此,檔案學(xué)會(huì)和檔案館還應(yīng)制定本行業(yè)的網(wǎng)絡(luò)隱私權(quán)保護(hù)政策,并在網(wǎng)站主頁的顯眼位置予以明示,內(nèi)容包括:告知網(wǎng)站收集個(gè)人資料的目的、方式、范圍;對個(gè)人資料提供保密和安全措施的承諾;告知用戶的請求閱覽權(quán)、補(bǔ)充修正權(quán)、刪除權(quán)、訴訟權(quán)等相關(guān)免責(zé)條款。
檔案法律在以后的完善健全過程中,要著重注意解決一個(gè)問題,即檔案信息開放服務(wù)過程中公民隱私權(quán)與知情權(quán)的關(guān)系問題。在檔案利用實(shí)踐中,我們有時(shí)不得不在保護(hù)公民隱私權(quán)和維護(hù)公民知情權(quán)之間做出選擇。檔案部門所作出的選擇要符合法律利益最大化原則。如當(dāng)檔案中的隱私涉及共同利益、公共需求、政治利益時(shí),檔案部門就要偏向于后者,因?yàn)樗洗蠖鄶?shù)人的需要,從長遠(yuǎn)來看,根本上也符合隱私權(quán)主體的利益。
(二)加強(qiáng)對個(gè)人檔案隱私權(quán)的管理與技術(shù)保護(hù)
1.在檔案管理中采取措施
這是合法利用檔案信息的前提條件,要求對涉及公民隱私權(quán)的檔案進(jìn)行鑒定與區(qū)分,使之與一般檔案區(qū)別對待,分開保管,實(shí)現(xiàn)有關(guān)檔案的完整、安全和保密。目前,檔案法規(guī)對涉及公民隱私權(quán)檔案的劃分并不十分明確,在實(shí)際工作中不易操作,這種狀況亟待改善。
利用者在利用涉及隱私的檔案時(shí),只限于達(dá)到既定目的,當(dāng)按規(guī)定獲得對檔案的利用權(quán)后,可對這些檔案進(jìn)行閱覽、復(fù)制和摘錄,但不得將其以現(xiàn)行檔案法規(guī)中明令禁止的形式對外公布,不得擅自傳閱、散布、發(fā)表這些涉及他人隱私的檔案內(nèi)容。檔案工作者有必要在提供檔案信息服務(wù)過程中向利用者說明有關(guān)注意事項(xiàng)。
2.網(wǎng)絡(luò)化過程中的保護(hù)手段
相對于傳統(tǒng)的紙質(zhì)檔案而言,在檔案信息網(wǎng)絡(luò)化過程中,可以采取的技術(shù)保護(hù)手段可謂多種多樣?,F(xiàn)在已經(jīng)有了Cookies軟件管理工具、個(gè)人隱私偏好平臺(tái)(P3P)、加密軟件、自動(dòng)刪除個(gè)人資料軟件等由用戶自己保護(hù)個(gè)人資料的技術(shù)。檔案網(wǎng)站保護(hù)個(gè)人資料的技術(shù)也有很多種,比如:檔案館為了禁止未獲授權(quán)的人截取或查閱個(gè)人資料,可以通過設(shè)置本網(wǎng)站運(yùn)行的服務(wù)器,自動(dòng)使電子郵件傳輸?shù)揭粋€(gè)預(yù)先指定的服務(wù)器目錄機(jī)密郵箱,只供獲得授權(quán)的人查閱。
(三)提高檔案館保護(hù)隱私權(quán)的自律性
“自律”是檔案館保護(hù)隱私權(quán)的一條重要原則,即通過檔案館采取自律措施來規(guī)范在個(gè)人資料收集、存貯、傳輸利用中的行為,達(dá)到保護(hù)隱私權(quán)的目的。
1.檔案館應(yīng)開展檔案開放利用的鑒定工作
組織鑒定小組及時(shí)鑒定需要開放利用的檔案,著重分析檔案涉及隱私的內(nèi)容和本館檔案的類型,從而確定哪些檔案涉及個(gè)人隱私,屬于控制范圍。對個(gè)人資料的重要程度劃分等級,以決定采取不同的保護(hù)措施。檔案館還要建立一些規(guī)章制度,避免所有的檔案館人員都能接觸到敏感的個(gè)人資料(如出身、種族、政治傾向、、犯罪記錄等),確保只有經(jīng)過批準(zhǔn)的檔案館人員才能收集、查閱、傳播這些個(gè)人資料。對于已到開放期的檔案,要嚴(yán)格按照《各級國家檔案館開放檔案辦法》、《各級國家檔案館館藏檔案解密和劃分控制使用范圍的暫行規(guī)定》中的相關(guān)規(guī)定,對擬開放檔案組織認(rèn)真鑒定,以決定包含個(gè)人資料的檔案的開放時(shí)間、開放方式和范圍。
2.檔案工作者要注意保護(hù)他人隱私
我國食品安全監(jiān)管的形勢
食品安全問題作為世界范圍的問題,逐漸受到全世界政府的廣泛關(guān)注。世界衛(wèi)生組織曾就食品安全問題展開過專門的討論,各國也在為改善人們的生活,對本國的食品安全問題進(jìn)行相關(guān)方面的安全檢測。為適應(yīng)新時(shí)代的發(fā)展潮流,我國在不斷完善食品安全的監(jiān)管工作過程中,建立了專門的食品安全檢測制度和管理機(jī)制,明確了各部門之間的分工與合作。同時(shí),通過采用科學(xué)化的監(jiān)管手段,對監(jiān)管措施進(jìn)行不斷的細(xì)化、對監(jiān)管機(jī)制進(jìn)行適當(dāng)?shù)耐晟坪蛣?chuàng)新以及不斷加強(qiáng)對監(jiān)管基礎(chǔ)設(shè)施的建設(shè),為提升科學(xué)監(jiān)管的能力和水平以及不斷提高我國的食品質(zhì)量安全具有重要意義。
從一定程度上講,對食品安全的監(jiān)管應(yīng)該從源頭抓起,逐步實(shí)現(xiàn)從農(nóng)田到餐桌的監(jiān)管,并不斷擴(kuò)大監(jiān)管的范圍。到目前為止,我國的大多數(shù)省份已經(jīng)實(shí)現(xiàn)了對食品安全的監(jiān)管管理。此外,對于食品安全監(jiān)管的管理不應(yīng)該僅僅局限于調(diào)查和評價(jià),對高風(fēng)險(xiǎn)的環(huán)節(jié)應(yīng)該進(jìn)行重點(diǎn)監(jiān)管,保證在以后的食品安全的發(fā)展道路上,科學(xué)的制定與食品安全有關(guān)的規(guī)章制度,不斷提高我國餐飲服務(wù)業(yè)食品安全的監(jiān)管水平,使其可以邁向更高的臺(tái)階。
但是,目前我國的食品安全問題依然比較突出,食品問題正處于食品安全風(fēng)險(xiǎn)的發(fā)展期和高發(fā)期,影響食品安全問題的矛盾依然存在,總體來說,食品安全的形勢還是相當(dāng)嚴(yán)峻。同時(shí),餐飲食品安全的監(jiān)管作為我國藥品監(jiān)督系統(tǒng)進(jìn)行調(diào)整后新增的職責(zé),面對復(fù)雜的餐飲消費(fèi)環(huán)節(jié),相關(guān)的食品安全檢驗(yàn)和監(jiān)督隊(duì)伍不健全、最基礎(chǔ)的設(shè)施條件比較差以及相關(guān)的技術(shù)能力薄弱,因此難以滿足和適應(yīng)當(dāng)前我國食品安全的監(jiān)管需要。
餐飲服務(wù)食品安全監(jiān)測檢驗(yàn)的必要性
近年來食品安全事件不斷發(fā)生,比如:蘇丹紅、毒豬油、瘦肉精事件,對廣大民眾的生活造成一定程度的不良影響,除造成民眾的恐慌外,食品安全問題也開始逐漸受到廣大社會(huì)的極力關(guān)注。據(jù)不完全統(tǒng)計(jì),近年來每年因食品安全造成的中毒人口和死亡人口正在呈很明顯的直線上升,尤其是近期發(fā)生的地溝油和麥樂雞事件,這再度引起全社會(huì)對食品安全問題的高度重視,和人們對食品安全問題的恐慌。
餐飲消費(fèi)環(huán)節(jié)是食品在進(jìn)行生產(chǎn)、加工和消費(fèi)過程中諸多問題暴露和許多不安全因素積累的關(guān)鍵環(huán)節(jié),加強(qiáng)對食品安全的監(jiān)管已經(jīng)幾度成為兩會(huì)的熱門話題和兩會(huì)代表們的共識(shí)。因此,要把對餐飲服務(wù)食品的監(jiān)測和檢驗(yàn)工作當(dāng)作是監(jiān)管工作中一項(xiàng)最重要的基礎(chǔ)性工作,科學(xué)的進(jìn)行食品安全的監(jiān)管,根據(jù)相關(guān)的基礎(chǔ)數(shù)據(jù)對各地區(qū)的食品安全狀況做出科學(xué)化的評價(jià)。
基于我國目前餐飲服務(wù)業(yè)比較發(fā)達(dá),各部門種類繁多,管理起來相對比較復(fù)雜,因此餐飲服務(wù)的食品安全監(jiān)測工作仍然處于起步發(fā)展階段,還未能在全國范圍內(nèi)進(jìn)行廣泛的推廣。這樣就從某程度上對食品安全的監(jiān)管效能造成一定的限制,但是,加強(qiáng)食品安全的監(jiān)測檢驗(yàn)勢在必行。
加強(qiáng)食品安全監(jiān)管體系的有效策略
加強(qiáng)風(fēng)險(xiǎn)評估體系的建立。對潛伏在食品安全中的各種風(fēng)險(xiǎn),通過采用科學(xué)化的手段進(jìn)行有效地分析,對有害物質(zhì)進(jìn)行一定的識(shí)別,分析危害物本身的嚴(yán)重性、不確定性以及可能性,可以通過專門的監(jiān)測技術(shù)對危害食品安全的因素進(jìn)行檢驗(yàn)。為此,國家應(yīng)該建立和健全符合我國國情的餐飲服務(wù)食品安全監(jiān)測和監(jiān)督體系,確保我國的食品安全,從而全面提升餐飲服務(wù)業(yè)食品安全的水平。
建立和健全食品藥品的檢驗(yàn)系統(tǒng)。為確保食品的安全,應(yīng)該逐漸建立各級的食品藥品監(jiān)督體系,為適用餐飲服務(wù)的發(fā)展需要,食品藥品的檢驗(yàn)體系應(yīng)該不斷的調(diào)整規(guī)劃的建設(shè)發(fā)展方向和具體的工作思路。其次完善相關(guān)的基礎(chǔ)設(shè)施的建設(shè),積極的開展食品藥品安全方面的培訓(xùn),不斷提升食品藥品的檢驗(yàn)水平。這對提高餐飲服務(wù)的食品安全監(jiān)測水平具有積極的作用。
歸納危害食品安全的源頭。影響我國食品安全的源頭主要有生物性、物理性和化學(xué)性有害物質(zhì)。首先正確認(rèn)識(shí)和區(qū)分這三類有害物質(zhì),便可以在餐飲服務(wù)的過程中有效的避免這三類有害物質(zhì)對食品安全和人們造成的傷害。其次,我國的餐飲文化在地域上有著明顯的差異,因此要針對不同地方的不同餐飲食品確定其危害的源頭,并對其進(jìn)行歸納,有的放矢。
瑞得公司的一職工于1998年12月偶然發(fā)現(xiàn),一注明“版權(quán)所有:東方信息公司”的網(wǎng)站首頁在整體版式、色彩、圖案、欄目設(shè)置、欄目標(biāo)題、文案、下拉菜單的運(yùn)用等方面幾乎完全照搬瑞得在線首頁,有10個(gè)圖案、14個(gè)欄目標(biāo)題及9處文案系原封不動(dòng)的取自瑞得在線首頁。1999年1月5日,瑞得公司請北京市公證處對雙方網(wǎng)站的頁面做了證據(jù)保全公證,緊接著便以“絕不私了”的態(tài)度一紙?jiān)V狀將東方公司告上法庭。
原告訴稱:
原告瑞得公司訴稱:我公司所設(shè)立的“瑞得在線”是經(jīng)國家信息產(chǎn)業(yè)部批準(zhǔn)的專門從事計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)業(yè)務(wù)的因特網(wǎng)站。1998年12月上旬,我公司經(jīng)調(diào)查后發(fā)現(xiàn)被告的主頁在整體版式、色彩、圖案、欄目設(shè)置、欄目標(biāo)題、方案、下拉菜單的運(yùn)用等方面都幾乎是照搬原告的主頁,很容易誤導(dǎo)客戶;而其欄目設(shè)置、欄目標(biāo)題的實(shí)際鏈接指向又與原告的相去甚遠(yuǎn),這些都嚴(yán)重的影響了原告的聲譽(yù)和防問率,導(dǎo)致原告客戶流失,給原告造成了損失,被告的行為侵犯了原告的著作權(quán)和商業(yè)信譽(yù),故訴至法院,請求判令被告:1、立即停止侵權(quán)活動(dòng),并在國內(nèi)外信息網(wǎng)絡(luò)和國內(nèi)有關(guān)新聞媒介上公開向原告賠禮道歉;2、賠償原告經(jīng)濟(jì)損失199900元(著作權(quán)侵權(quán)80000元,商業(yè)信譽(yù)侵權(quán)119900元);3、負(fù)擔(dān)本案訴訟費(fèi)。
被告提出管轄異議:
被告首先就程序問題提出了自己的意見:被告的住所地是在北京千里之外的宜賓市, 被告在答辯期內(nèi)提出了管轄異議,認(rèn)為其住所地在四川省宜賓市商業(yè)街,同時(shí)互聯(lián)網(wǎng)不同于傳統(tǒng)的傳播媒體,具有自身的特點(diǎn),目前尚無明確的關(guān)于此類案件侵權(quán)行為地的規(guī)定,故海淀法院對此案無管轄權(quán),此案應(yīng)由被告住所地法院四川省宜賓市中級法院審理。
一審法院裁定:
經(jīng)審查,海淀法院認(rèn)為,被告東方公司所持異議不能成立,基于三點(diǎn)理由:第一、瑞得(集團(tuán))公司的主頁在制作完成后,是儲(chǔ)存在其特定的硬盤上并通過自有的WWW服務(wù)器向外界的,瑞得(集團(tuán))公司以主頁著作權(quán)侵權(quán)為由提起訴訟,是基于其主頁被復(fù)制侵權(quán)這一理由,因此本區(qū)應(yīng)視為侵權(quán)行為實(shí)施地。第二、瑞得(集團(tuán))公司不但訴稱東方公司復(fù)制其主頁這一特定的行為,而且還訴稱該行為的直接后果是東方公司的主頁為訪問者所接觸。鑒于我國目前的聯(lián)網(wǎng)主機(jī)和用戶集中分布于本區(qū)等一些特定的地區(qū),因此,本區(qū)亦應(yīng)視為侵權(quán)結(jié)果發(fā)生地。第三、東方公司在提出管轄異議的同時(shí),并未舉證證明瑞得(集團(tuán))公司的主頁內(nèi)容是瞬間存在的或處于不穩(wěn)定狀態(tài)。因此,依據(jù)《中華人民共和國民事訴訟法》第三十八條之規(guī)定,海淀法院裁定駁回了被告宜賓市翠屏區(qū)東方信息服務(wù)有限公司對本案管轄權(quán)提出的異議。
二審訴辯觀點(diǎn):
宜賓市翠屏區(qū)東方信息服務(wù)有限公司(以下簡稱東方公司)不服提出上訴。其上訴理由為:1、任何因特網(wǎng)用戶〔包括上訴人在內(nèi)〕在訪問或“接觸”被上訴人的主頁時(shí),沒有且不可能在存儲(chǔ)有該主頁的服務(wù)器上進(jìn)行任何復(fù)制行為,故北京市海淀區(qū)不是且不能視為被上訴人訴稱的侵權(quán)行為實(shí)施地。計(jì)算機(jī)的隨機(jī)存儲(chǔ)器(ROM)對作品的復(fù)制,是作品在用戶計(jì)算機(jī)顯示器上的再現(xiàn)。包括上訴人在內(nèi)的因特網(wǎng)用戶訪問被上訴人的主頁時(shí),并未在被上訴人存儲(chǔ)其主頁的服務(wù)器上進(jìn)行任何復(fù)制行為,訪問并不構(gòu)成侵權(quán),臨時(shí)復(fù)制屬于合理使用。因此,原審法院認(rèn)定北京市海淀區(qū)為侵權(quán)行為實(shí)施地缺乏事實(shí)和法律依據(jù)。2、原審法院認(rèn)定北京市海淀區(qū)為侵權(quán)結(jié)果發(fā)生地證據(jù)不足。被上訴人未能證明何人、何地、通過何種方式在該區(qū)訪問了上訴人的主頁。綜上,請求二審法院撤銷原審裁定,并裁定本案由四川省宜賓市中級人民法院審理。被上訴人瑞德(集團(tuán))公司服從原審裁定。
二審法院判決:
法院經(jīng)審查認(rèn)為在因特網(wǎng)上進(jìn)行訪問或復(fù)制必須同時(shí)具備兩個(gè)條件:一、使用終端計(jì)算機(jī);二、通過因特網(wǎng)進(jìn)入存有相關(guān)內(nèi)容的服務(wù)器。因此,服務(wù)器所在地及終端計(jì)算機(jī)所在地均可視為復(fù)制行為的行為地。根據(jù)《中華人民共和國民事訴訟法》第二十九條規(guī)定,因侵權(quán)行為提起的訴訟,當(dāng)事人有權(quán)選擇由侵權(quán)行為地或被告住所地人民法院管轄。如果侵權(quán)行為地有多個(gè)時(shí),當(dāng)事人仍有選擇管轄法院的權(quán)利。就本案而言,瑞得(集團(tuán))公司選有一服務(wù)器所在地的北京市海淀區(qū)人民法院起訴東方公司侵犯著作權(quán)并無不當(dāng),北京市海淀區(qū)作為侵權(quán)行為地之一,北京市海淀區(qū)人民法院有管轄權(quán)。東方公司所提其它上訴理由,并不影響本案管轄權(quán)的確定。綜上,東方公司的上訴理由不能成立,其上訴請求本院不予支持。北京市海淀區(qū)人民法院(1999)海知初字第21號(hào)民事裁定應(yīng)予維持,依照《中華人民共和國民事訴訟法》第一百五十四條之規(guī)定,裁定如下:駁回上訴,維持原裁定,本裁定為終審裁定。
被告辯稱:
被告東方公司同時(shí)辯稱:原告所訴與事實(shí)不符。原告不能充分證明“東方信息公司”的主頁系由我公司制作和,不能認(rèn)定“四川東方信息公司”或“東方信息公司”即為本案被告,從而也就不能證明被告的侵權(quán)事實(shí)。原告主頁所采用的設(shè)計(jì)版式并非原告所獨(dú)創(chuàng),該主頁的“色彩、欄目設(shè)置、欄目標(biāo)題、下拉菜單”等均屬公有領(lǐng)域的“思想表達(dá)形式”,在原告設(shè)計(jì)制作其主頁前已被人們廣泛采用,不具備著作權(quán)法保護(hù)作品所應(yīng)具有的獨(dú)創(chuàng)性,原告對此無專有使用權(quán),無權(quán)禁止他人使用與其同樣的表達(dá)方式,故請求法院駁回原告的訴訟請求。
一審案件事實(shí)及證據(jù):
經(jīng)審理查明:原告全稱為瑞得(集團(tuán))公司,被告全稱為宜賓市翠屏區(qū)東方信息服務(wù)有限公司, “瑞得在線”為原告在國際互聯(lián)網(wǎng)上所設(shè)主頁的名稱,網(wǎng)址為:“readchina.com”(國際域名)、“rol.cn.com”(電報(bào)局提供)、“rol.com.cn”(互聯(lián)網(wǎng)信息中心提供)。
1998年12月底,原告發(fā)現(xiàn)在國際互聯(lián)網(wǎng)上有一“東方信息公司”網(wǎng)站主頁的內(nèi)容與“瑞得在線”主頁部分內(nèi)容相近似,“東方信息公司”網(wǎng)站主頁所在的網(wǎng)址為:“person.zj.cninfo.com/~bmss/index.htm”。
1999年1月4日,原告向北京市公證處申請對上述兩個(gè)主頁進(jìn)行了公證,并于同年1月5日使用聯(lián)網(wǎng)的計(jì)算機(jī)將兩個(gè)主頁下載到軟盤上并打印在紙張上列為公證書的原本內(nèi)容,其中“瑞得在線”主頁的打印件上的網(wǎng)址為:“rol.cn.com”。
對此兩個(gè)主頁,所用顏色、文字及部分圖標(biāo)并不完全相同,但在“最新推出”、“看中國搜索引擎”等處,所用圖標(biāo)相同。在該公證書送達(dá)原告后,因首頁中“東方信息公司”的名稱及“瑞得在線”網(wǎng)址問題,根據(jù)原告的申請,公證處將原件收回后對相關(guān)內(nèi)容進(jìn)行了更正。在庭審過程中被告并未舉證證明該公證行為的違法性。
另查在“東方信息公司”的主頁(現(xiàn)已停止使用)上,注明有“江蘇林肯制作”、“copyright1998版權(quán)所有東方信息公司”等內(nèi)容,其中電話、傳真、地址與本案被告的電話、傳真、原地址等事項(xiàng)相同。
再查,《中國青年報(bào)》、《北京青年報(bào)》、《互聯(lián)網(wǎng)周刊》等媒體曾就此案進(jìn)行過專門報(bào)道,在相關(guān)報(bào)道中被告法定代表人任建軍曾承認(rèn)侵權(quán)或承認(rèn)“東方信息公司”的主頁歸其所有。在庭審過程中,被告并未舉證否定該報(bào)道的真實(shí)性,亦未舉證證明一個(gè)與其電話、傳真、地址等事項(xiàng)完全相同的單位的合法存在。
上述事實(shí),有雙方當(dāng)事人提交的公證書、網(wǎng)絡(luò)經(jīng)營許可證、備案表、營業(yè)執(zhí)照、報(bào)紙及本院的勘驗(yàn)筆錄、調(diào)查筆錄、詢問筆錄、開庭筆錄等在案佐證。
一審法院判決:
法院認(rèn)為,被告侵權(quán)成立,理由如下:
第一、作品作為文學(xué)、藝術(shù)和科學(xué)領(lǐng)域內(nèi)的智力創(chuàng)造成果應(yīng)具備獨(dú)創(chuàng)性、可復(fù)制性和可傳播性。原告的主頁應(yīng)是一種獨(dú)特構(gòu)思的體現(xiàn),具備獨(dú)創(chuàng)性;這一主頁既可儲(chǔ)存在WWW服務(wù)器的硬盤上,又可被打印在紙張上,說明該主頁是可復(fù)制的;該主頁能夠被人通過WWW服務(wù)器上載到國際互聯(lián)網(wǎng)上并保持穩(wěn)定狀態(tài),可以被社會(huì)公眾借助聯(lián)網(wǎng)的計(jì)算機(jī)所接觸,說明該主頁具有可傳播性,故該主頁應(yīng)視為受著作權(quán)法保護(hù)的作品,在沒有相反證據(jù)的情況下,該作品的著作權(quán)應(yīng)歸其作者即本案原告所有。該主頁首次上載到“瑞得在線”網(wǎng)站上的時(shí)間應(yīng)確定為發(fā)表時(shí)間。
第二、著作權(quán)法允許不同的作者創(chuàng)作出相同或?qū)嵸|(zhì)上相似的作品,享有各自的著作權(quán),向公眾進(jìn)行傳播展示;但前提是這種相同或?qū)嵸|(zhì)上的相似應(yīng)是基于獨(dú)立創(chuàng)作思想和創(chuàng)作活動(dòng)的存在。被告辯稱否認(rèn)“東方信息公司”的主頁歸其所有,但未舉證證明一個(gè)與其電話號(hào)碼、傳真號(hào)碼、法定代表人姓名、住所地等事項(xiàng)完全一致的單位的合法存在,故該辯稱本院不予采信。本案被告的主頁雖然在內(nèi)容上與原告的主頁并不完全一致,但在部分圖標(biāo)、文字、顏色的組合搭配上,如“最新推出”、“看中國搜索引擎”,已構(gòu)成實(shí)質(zhì)上的相同。在庭審過程中被告并未舉證證明這部分內(nèi)容由其獨(dú)立創(chuàng)作完成或已處于公有領(lǐng)域,故應(yīng)視為取自原告的主頁。
第三、著作權(quán)是法律賦予作者對其創(chuàng)作的作品所享有的專有權(quán)利,被告對使用原告主頁上的部分內(nèi)容設(shè)計(jì)出的新主頁享有著作權(quán)并將該主頁上載到國際互聯(lián)網(wǎng),在這個(gè)過程中被告并未取得原告的許可或向其付酬,而且出于商業(yè)目的,如設(shè)立了“征集廣告”等欄目,故被告在該主頁的過程中侵犯了原告的保護(hù)作品完整權(quán)、作品使用權(quán)和獲得報(bào)酬權(quán),據(jù)此被告應(yīng)依法承擔(dān)侵權(quán)責(zé)任,在相應(yīng)的范圍內(nèi)向原告賠禮道歉并賠償由此給原告造成的合理的經(jīng)濟(jì)損失。
被告辯稱否認(rèn)侵權(quán),無事實(shí)與法律依據(jù),本院不予采信。
原告要求被告賠償由此造成的經(jīng)濟(jì)損失80000元,證據(jù)不足,對此本院將根據(jù)被告侵權(quán)程度的情況確定賠償數(shù)額,對原告的該項(xiàng)請求本院不予全額支持。
第四、在國際互聯(lián)網(wǎng)上,網(wǎng)頁之間的鏈接是信息、提供服務(wù)的一種重要方式,而用于鏈接的獨(dú)特的知名圖標(biāo),體現(xiàn)了其權(quán)利人的商業(yè)信譽(yù),依法應(yīng)予以保護(hù),但在追究他人侵權(quán)責(zé)任的過程中,權(quán)利人必須證明這種圖標(biāo)的知名度的真實(shí)存在和這種知名度被他人所假冒。
在本案中原告雖提供了有關(guān)主頁內(nèi)容的新聞報(bào)道用以證明其所提供服務(wù)的知名性,但其并未舉證證明被告使用相關(guān)欄目的圖標(biāo)進(jìn)行了鏈接及鏈接網(wǎng)頁的內(nèi)容,故原告以被告侵犯其商業(yè)信譽(yù)為由要求被告賠償119900元之請求,于事實(shí)無據(jù),本院不予支持。
據(jù)此,依照《中華人民共和國著作權(quán)法》第四十五條第四項(xiàng)、第八項(xiàng)之規(guī)定,判決如下:
一、自本判決生效之日起十五日內(nèi),被告宜賓市翠屏區(qū)東方信息服務(wù)有限公司在《計(jì)算機(jī)世界日報(bào)》(網(wǎng)址computerworld.com.cn)的主頁上刊登聲明,向原告瑞得(集團(tuán))公司公開致歉,致歉內(nèi)容須經(jīng)本合議庭審核,如被告拒絕履行該項(xiàng)義務(wù),本院將根據(jù)判決內(nèi)容自行擬定一份公告刊登在該網(wǎng)址上,有關(guān)費(fèi)用由被告負(fù)擔(dān);
二、自本判決生效之日起十日內(nèi),被告宜賓市翠屏區(qū)東方信息服務(wù)有限公司賠償原告瑞得(集團(tuán))公司經(jīng)濟(jì)損失2000元;
三、駁回原告瑞得(集團(tuán))公司的其他訴訟請求。
案件受理費(fèi)5508元(原告預(yù)交),由原告瑞得(集團(tuán))公司負(fù)擔(dān)5400元(已交納),由被告宜賓市翠屏區(qū)東方信息服務(wù)有限公司負(fù)擔(dān)108元(于本判決生效之日起七日內(nèi)交納)。
如不服本判決,可于判決書送達(dá)之日起十五日內(nèi),向本院遞交上訴狀,并按對方當(dāng)事人的人數(shù)提交副本,上訴于北京市第一中級人民法院。
宣判后, 原、被告均服從法院判決,未提起上訴。
本案焦點(diǎn):
? 管轄是一個(gè)法律概念,在國內(nèi)法中指法院審理提交給它的事項(xiàng)以及對這些事項(xiàng)作出裁決的權(quán)力和權(quán)限。?? 作品的原創(chuàng)性就是指作品創(chuàng)作的獨(dú)立性。一部作品若是作者獨(dú)立的創(chuàng)作,而非抄襲他人的,該作品便具有原創(chuàng)性。?
適用法律《中華人民共和國民事訴訟法》第二十九條規(guī)定:
因侵權(quán)行為提起的訴訟,由侵權(quán)行為地或者被告住所地人民法院管轄。
最高人民法院印發(fā)《關(guān)于適用〈中華人民共和國民事訴訟法〉若干問題的意見》的通知第二十八條規(guī)定:
民事訴訟法第二十九條規(guī)定的侵權(quán)行為地,包括侵權(quán)行為實(shí)施地、侵權(quán)結(jié)果發(fā)生地。
《著作權(quán)法實(shí)施條例》第二條規(guī)定:
著作權(quán)法所稱作品,指文學(xué)、藝術(shù)和科學(xué)領(lǐng)域內(nèi),具有獨(dú)創(chuàng)性并能以某種有形形式復(fù)制的智力創(chuàng)作成果。
最高人民法院《關(guān)于審理涉及計(jì)算機(jī)網(wǎng)絡(luò)著作權(quán)糾紛案件適用法律若干問題的解釋》第二條規(guī)定:
受著作權(quán)法保護(hù)的作品,包括著作權(quán)法第三條規(guī)定的各類作品的數(shù)字化形式。在網(wǎng)絡(luò)環(huán)境下無法歸于著作權(quán)法第三條列舉的作品范圍,但在文學(xué)、藝術(shù)和科學(xué)領(lǐng)域內(nèi)具有獨(dú)創(chuàng)性并能以某種有形形式復(fù)制的其他智力創(chuàng)作成果,人民法院應(yīng)當(dāng)予以保護(hù)。
《中華人民共和國著作權(quán)法》第四十五條規(guī)定:
第四十五條 有下列侵權(quán)行為的,應(yīng)當(dāng)根據(jù)情況,承擔(dān)停止侵害、消除影響、公開賠禮道歉、賠償損失等民事責(zé)任:
(一)未經(jīng)著作權(quán)人許可,發(fā)表其作品的;
(二)未經(jīng)合作作者許可,將與他人合作創(chuàng)作的作品當(dāng)作自己單獨(dú)創(chuàng)作的作品發(fā)表的;
(三)沒有參加創(chuàng)作,為謀取個(gè)人名利,在他人作品上署名的;
(四)歪曲、篡改他人作品的;
(五)未經(jīng)著作權(quán)人許可,以表演、播放、展覽、發(fā)行、攝制電影、電視、錄像或者改編、翻譯、注釋、
編輯等方式使用作品的,本法另有規(guī)定的除外;
(六)使用他人作品,未按照規(guī)定支付報(bào)酬的;
(七)未經(jīng)表演者許可,從現(xiàn)場直播其表演的;
(八)其他侵犯著作權(quán)以及與著作權(quán)有關(guān)的權(quán)益的行為。
學(xué)理分析
第一,關(guān)于管轄問題。
管轄是一個(gè)法律概念,在國內(nèi)法中指法院審理提交給它的事項(xiàng)以及對這些事項(xiàng)作出裁決的權(quán)力和權(quán)限。我國的法律規(guī)定“因侵權(quán)行為提起的訴訟,由侵權(quán)行為地或者被告住所地人民法院管轄”(民訴法第二十九條),“侵權(quán)行為地包括侵權(quán)行為實(shí)施地、侵權(quán)結(jié)果發(fā)生地”(最高法院關(guān)于民訴法若干意見第二十八條)。
著作權(quán)侵權(quán)案件中,很少涉及管轄問題。因?yàn)橹鳈?quán)法從本質(zhì)上講是一種控制技術(shù)的手段,為了平衡著作權(quán)所有人和技術(shù)持有人之間的利益沖突,它要限制以營利為目的的復(fù)制使用行為, 因此, 它必須對作品的復(fù)制使用加以固定的集中化的管理。 這一中心化的管理模式,為案件的管轄的確定提供了依據(jù), 雖然有時(shí)侯因侵權(quán)作品出版發(fā)行的地域廣泛性(比如一本書在全國范圍銷售)造成確定管轄法院的困難,但由于作品的載體是有形的、固定的,其流通的范圍并沒有超越國家的界限,而且印書的印刷廠也是特定的,管轄問題還是可以確定的,比如,印刷廠所在地就是侵權(quán)行為地。
問題是當(dāng)這種中心消失后,應(yīng)如何解決管轄爭議,特別是在網(wǎng)絡(luò)環(huán)境下。網(wǎng)絡(luò)具有充分開放的特點(diǎn),網(wǎng)絡(luò)虛擬世界中并無國界,其覆蓋的面非常之廣,如有侵權(quán)行為,人們幾乎在全球任何一個(gè)地方都可以瀏覽到侵權(quán)品。但是被告實(shí)施侵權(quán)行為的計(jì)算機(jī)終端、服務(wù)器等設(shè)備相對固定,因而結(jié)合網(wǎng)絡(luò)的特點(diǎn),實(shí)施被訴侵權(quán)行為的網(wǎng)絡(luò)服務(wù)器等設(shè)備所在地可以認(rèn)定為侵權(quán)行為地。為了防止不當(dāng)擴(kuò)大原告住所地管轄范圍,對網(wǎng)絡(luò)著作權(quán)侵權(quán)結(jié)果地范圍,應(yīng)當(dāng)予以一定的限制,即受害人與被訴侵權(quán)行為有交互式關(guān)聯(lián)的服務(wù)器等設(shè)備所在地可以作為侵權(quán)結(jié)果地,即確定侵權(quán)行為結(jié)果地為管轄標(biāo)準(zhǔn)時(shí),受害者(原告)不僅在某地瀏覽到侵權(quán)品,其還應(yīng)該與該站點(diǎn)有一定的“交互”聯(lián)系,該地才能構(gòu)成結(jié)果地。所謂交互式聯(lián)系,是指原告通過計(jì)算機(jī)終端設(shè)備在被告的網(wǎng)站上進(jìn)行了訂立合同、傳遞檔案或下定單等互動(dòng)行為。
本案中,原告的主頁在制作完成后是儲(chǔ)存在其特定的硬盤上并通過自有的服務(wù)器向外界的,任何人在任何時(shí)間、任何地點(diǎn)通過主機(jī)接觸(包括瀏覽或復(fù)制主頁內(nèi)容),必須經(jīng)過設(shè)置在原告公司的服務(wù)器?,F(xiàn)原告是以被告侵犯著作權(quán)為由提起訴訟,是基于其主頁被復(fù)制侵權(quán)這一理由, 原告的服務(wù)器均設(shè)在原告公司內(nèi),而原告住所地又在海淀區(qū),故海淀區(qū)應(yīng)視為侵權(quán)行為實(shí)施地。
二、關(guān)于主頁的獨(dú)創(chuàng)性
從傳統(tǒng)角度看,要取得著作權(quán)法的保護(hù),作品必須滿足原創(chuàng)性的要求。然而對作品的原創(chuàng)性這一概念的理解,在版權(quán)界、司法界卻存在著幾種不同的觀點(diǎn)。一種觀點(diǎn)認(rèn)為作品的原創(chuàng)性是與該作品的創(chuàng)造性緊密相聯(lián)的,一部作品只有與以往的作品截然不同才具有原創(chuàng)性。第二種觀點(diǎn)認(rèn)為,作品的原創(chuàng)性就是指作品創(chuàng)作的獨(dú)立性。一部作品若是作者獨(dú)立的創(chuàng)作,而非抄襲他人的,該作品便具有原創(chuàng)性。世界知識(shí)產(chǎn)權(quán)組織曾對這一概念作過如下解釋:作品的原創(chuàng)性是指“作品是作者自己的創(chuàng)作,完全不是或基本不是從另一作品抄襲來的?!钡谌N觀點(diǎn)認(rèn)為,作品的原創(chuàng)性是指獨(dú)立的創(chuàng)作而不是抄襲,再加上稍許的創(chuàng)造性。如美國版權(quán)法即是這種觀點(diǎn)。在這三種觀點(diǎn)中,筆者贊同第二種觀點(diǎn)。從版權(quán)法形成發(fā)展的歷史來看,版權(quán)概念的形成及版權(quán)保護(hù)制度的出現(xiàn),其初衷均為護(hù)出版商的利益。不過隨著文化、科學(xué)技術(shù)的發(fā)展、演變,版權(quán)已從出版權(quán)中分離出來,形成現(xiàn)代意義的版權(quán)?,F(xiàn)代的版權(quán)法是以保護(hù)精神作品的創(chuàng)作者的復(fù)制權(quán)的基點(diǎn)的法律,其所保護(hù)的主要是著作者的權(quán)利。故,所謂“原創(chuàng)”僅是指作品是由其作者獨(dú)立創(chuàng)作完成而不是復(fù)制于他人的作品,而且具備一定的獨(dú)特的構(gòu)思或創(chuàng)意。因此,即使某一作品與他人的作品構(gòu)成相同或?qū)嵸|(zhì)上相似,如果該作品的作者能夠證明其獨(dú)立創(chuàng)作行為的真實(shí)存在,這一作品還應(yīng)認(rèn)定為存在原創(chuàng)性的。原創(chuàng)性的確定有時(shí)候很容易,比如海明威的小說《永別了,武器》,完全是作者思想的真實(shí)表達(dá),而不是取自公有領(lǐng)域的信息。 但有時(shí)候,一個(gè)作品可能是由公有領(lǐng)域信息所組成的“特殊果實(shí)”,原創(chuàng)性的確定將存在很大的難度,比如一個(gè)主頁的原創(chuàng)性問題。
在本案中, 顯而易見, 原告的主頁雖然所用顏色、文字及部分圖標(biāo)(比如圖標(biāo)“new”, 在圖庫中可以找到)等已處于公有領(lǐng)域,但將該主頁上的顏色、文字、圖標(biāo)以數(shù)字化的方式加以特定的組合,給人以美感,而不是依照客觀規(guī)律對客觀事實(shí)的簡單排列,應(yīng)是一種獨(dú)特構(gòu)思的體現(xiàn),這種構(gòu)思正是原創(chuàng)性的核心內(nèi)容。
專家點(diǎn)評
論文關(guān)鍵詞:信息安全外包風(fēng)險(xiǎn)管理
論文摘要:文章首先分析了信息安全外包存在的風(fēng)險(xiǎn),根據(jù)風(fēng)險(xiǎn)提出信息安全外包的管理框架,并以此框架為基礎(chǔ)詳細(xì)探討了信息安全外包風(fēng)險(xiǎn)與管理的具體實(shí)施。文章以期時(shí)信息安全外包的風(fēng)險(xiǎn)進(jìn)行控制,并獲得與外包商合作的最大收益。
1信息安全外包的風(fēng)險(xiǎn)
1.1信任風(fēng)險(xiǎn)
企業(yè)是否能與信息安全服務(wù)的外包商建立良好的工作和信任關(guān)系,仍是決定時(shí)候?qū)踩?wù)外包的一個(gè)重要因素。因?yàn)樾畔踩耐獍炭梢栽L問到企業(yè)的敏感信息,并全面了解其企業(yè)和系統(tǒng)的安全狀況,而這些重要的信息如果被有意或無意地對公眾散播出去,則會(huì)對企業(yè)造成巨大的損害。并且,如若企業(yè)無法信任外包商,不對外包商提供一些關(guān)鍵信息的話,則會(huì)造成外包商在運(yùn)作過程中的信息不完全,從而導(dǎo)致某些環(huán)節(jié)的失效,這也會(huì)對服務(wù)質(zhì)量造成影響。因此,信任是雙方合作的基礎(chǔ),也是很大程度上風(fēng)險(xiǎn)規(guī)避的重點(diǎn)內(nèi)容。
1.2依賴風(fēng)險(xiǎn)
企業(yè)很容易對某個(gè)信息安全服務(wù)的外包商產(chǎn)生依賴性,并受其商業(yè)變化、商業(yè)伙伴和其他企業(yè)的影響,恰當(dāng)?shù)娘L(fēng)險(xiǎn)緩釋方法是將安全服務(wù)外包給多個(gè)服務(wù)外包商,但相應(yīng)地會(huì)加大支出并造成管理上的困難,企業(yè)將失去三種靈活性:第一種是短期靈活性,即企業(yè)重組資源的能力以及在經(jīng)營環(huán)境發(fā)生變化時(shí)的應(yīng)變能力;第二種是適應(yīng)能力,即在短期到中期的事件范圍內(nèi)所需的靈活性,這是一種以新的方式處理變革而再造業(yè)務(wù)流程和戰(zhàn)略的能力,再造能力即包括了信息技術(shù);第三種靈活性就是進(jìn)化性,其本質(zhì)是中期到長期的靈活性,它產(chǎn)生于企業(yè)改造技術(shù)基本設(shè)施以利用新技術(shù)的時(shí)期。進(jìn)化性的獲得需要對技術(shù)趨勢、商業(yè)趨勢的準(zhǔn)確預(yù)測和確保雙方建立最佳聯(lián)盟的能力。
1.3所有權(quán)風(fēng)險(xiǎn)
不管外包商提供服務(wù)的范圍如何,企業(yè)都對基礎(chǔ)設(shè)施的安全操作和關(guān)鍵資產(chǎn)的保護(hù)持有所有權(quán)和責(zé)任。企業(yè)必須確定服務(wù)外包商有足夠的能力承擔(dān)職責(zé),并且其服務(wù)級別協(xié)議條款支持這一職責(zé)的履行。正確的風(fēng)險(xiǎn)緩釋方法是讓包括員工和管理的各個(gè)級別的相關(guān)人員意識(shí)到,應(yīng)該將信息安全作為其首要責(zé)任,并進(jìn)行安全培訓(xùn)課程,增強(qiáng)常規(guī)企業(yè)的安全意識(shí)。
1.4共享環(huán)境風(fēng)臉
信息安全服務(wù)的外包商使用的向多個(gè)企業(yè)提供服務(wù)的操作環(huán)境要比單獨(dú)的機(jī)構(gòu)內(nèi)部環(huán)境將包含更多的風(fēng)險(xiǎn),因?yàn)楣蚕淼牟僮鳝h(huán)境將支持在多企業(yè)之間共享數(shù)據(jù)傳輸(如公共網(wǎng)絡(luò))或處理(如通用服務(wù)器),這將會(huì)增加一個(gè)企業(yè)訪問另一企業(yè)敏感信息的可能性。這對企業(yè)而言也是一種風(fēng)險(xiǎn)。
1.5實(shí)施過程風(fēng)險(xiǎn)
啟動(dòng)一個(gè)可管理的安全服務(wù)關(guān)系可能引起企業(yè)到服務(wù)外包商,或者一個(gè)服務(wù)外包商到另一個(gè)外包商之間的人員、過程、硬件、軟件或其他資產(chǎn)的復(fù)雜過渡,這一切都可能引起新的風(fēng)險(xiǎn)。企業(yè)應(yīng)該要求外包商說明其高級實(shí)施計(jì)劃,并注明完成日期和所用時(shí)間。這樣在某種程度上就對實(shí)施過程中風(fēng)險(xiǎn)的時(shí)間期限做出了限制。
1.6合作關(guān)系失敗將導(dǎo)致的風(fēng)險(xiǎn)
如果企業(yè)和服務(wù)商的合作關(guān)系失敗,企業(yè)將面臨極大的風(fēng)險(xiǎn)。合作關(guān)系失敗帶來的經(jīng)濟(jì)損失、時(shí)間損失都是不言而喻的,而這種合作關(guān)系的失敗歸根究底來自于企業(yè)和服務(wù)外包商之間的服務(wù)計(jì)劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關(guān)系在任何階段都有可能失敗,如同其他商業(yè)關(guān)系一樣,它需要給予足夠的重視、關(guān)注,同時(shí)還需要合作關(guān)系雙方進(jìn)行頻繁的溝通。
2信息安全外包的管理框架
要進(jìn)行成功的信息安全外包活動(dòng),就要建立起一個(gè)完善的管理框架,這對于企業(yè)實(shí)施和管理外包活動(dòng),協(xié)調(diào)與外包商的關(guān)系,最大可能降低外包風(fēng)險(xiǎn),從而達(dá)到外包的目的是十分重要的。信息安全外包的管理框架的內(nèi)容分為幾個(gè)主體部分,分別包括企業(yè)協(xié)同信息安全的外包商確定企業(yè)的信息安全的方針以及信息安全外包的安全標(biāo)準(zhǔn),然后是對企業(yè)遭受的風(fēng)險(xiǎn)進(jìn)行系統(tǒng)的評估.并根據(jù)方針和風(fēng)險(xiǎn)程度.決定風(fēng)險(xiǎn)管理的內(nèi)容并確定信息安全外包的流程。之后,雙方共同制定適合企業(yè)的信息安全外包的控制方法,協(xié)調(diào)優(yōu)化企業(yè)的信息安全相關(guān)部門的企業(yè)結(jié)構(gòu),同時(shí)加強(qiáng)管理與外包商的關(guān)系。
3信息安全外包風(fēng)險(xiǎn)管理的實(shí)施
3.1制定信息安全方針
信息安全方針在很多時(shí)候又稱為信息安全策略,信息安全方針指的是在一個(gè)企業(yè)內(nèi),指導(dǎo)如何對資產(chǎn),包括敏感性信息進(jìn)行管理、保護(hù)和分配的指導(dǎo)或者指示。信息安全的方針定義應(yīng)該包括:(1)信息安全的定義,定義的內(nèi)容包括信息安全的總體目標(biāo)、信息安全具體包括的范圍以及信息安全對信息共享的重要性;(2)管理層的目的的相關(guān)闡述;(3)信息安全的原則和標(biāo)準(zhǔn)的簡要說明,以及遵守這些原則和標(biāo)準(zhǔn)對企業(yè)的重要性;(4)信息安全管理的總體性責(zé)任的定義。在信息安全方針的部分只需要對企業(yè)的各個(gè)部門的安全職能給出概括性的定義,而具體的信息安全保護(hù)的責(zé)任細(xì)節(jié)將留至服務(wù)標(biāo)準(zhǔn)的部分來闡明。
3.2選擇信息安全管理的標(biāo)準(zhǔn)
信息安全管理體系標(biāo)準(zhǔn)BS7799與信息安全管理標(biāo)準(zhǔn)IS013335是目前通用的信息安全管理的標(biāo)準(zhǔn):
(1)BS7799:BS7799標(biāo)準(zhǔn)是由英國標(biāo)準(zhǔn)協(xié)會(huì)指定的信息安全管理標(biāo)準(zhǔn),是國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn),標(biāo)準(zhǔn)包括如下兩部分:BS7799-1;1999《信息安全管理實(shí)施細(xì)則》;BS7799-2:1999((信息安全管理體系規(guī)范》。
(2)IS013335:IS013335《IT安全管理方針》主要是給出如何有效地實(shí)施IT安全管理的建議和指南。該標(biāo)準(zhǔn)目前分為5個(gè)部分,分別是信息技術(shù)安全的概念和模型部分;信息技術(shù)安全的管理和計(jì)劃部分;信息技術(shù)安全的技術(shù)管理部分;防護(hù)和選擇部分以及外部連接的防護(hù)部分。
3.3確定信息安全外包的流程
企業(yè)要根據(jù)企業(yè)的商業(yè)特性、地理位置、資產(chǎn)和技術(shù)來對信息安全外包的范圍進(jìn)行界定。界定的時(shí)候需要考慮如下兩個(gè)方面:(1)需要保護(hù)的信息系統(tǒng)、資產(chǎn)、技術(shù);(2)實(shí)物場所(地理位置、部門等)。信息安全的外包商應(yīng)該根據(jù)企業(yè)的信息安全方針和所要求的安全程度,識(shí)別所有需要管理和控制的風(fēng)險(xiǎn)的內(nèi)容。企業(yè)需要協(xié)同信息安全的外包商選擇一個(gè)適合其安全要求的風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)管理方案,然后進(jìn)行合乎規(guī)范的評估,識(shí)別目前面臨的風(fēng)險(xiǎn)。企業(yè)可以定期的選擇對服務(wù)外包商的站點(diǎn)和服務(wù)進(jìn)行獨(dú)立評估,或者在年度檢查中進(jìn)行評估。選擇和使用的獨(dú)立評估的方案要雙方都要能夠接受。在達(dá)成書面一致后,外包商授予企業(yè)獨(dú)立評估方評估權(quán)限,并具體指出評估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關(guān)于檢查范圍的進(jìn)一步消息和細(xì)節(jié),以減少任何對可用性,服務(wù)程度,客戶滿意度等的影響。在評估執(zhí)行后的一段特殊時(shí)間內(nèi),與外包商共享結(jié)果二互相討論并決定是否需要解決方案和/或開發(fā)計(jì)劃程序以應(yīng)對由評估顯示的任何變化。評估所需要的相關(guān)材料和文檔在控制過程中都應(yīng)該予以建立和保存,企業(yè)將這些文檔作為評估的重要工具,對外包商的服務(wù)績效進(jìn)行考核。評估結(jié)束后,對事件解決方案和優(yōu)先級的檢查都將記錄在相應(yīng)的文件中,以便今后雙方在服務(wù)和信息安全管理上進(jìn)行改進(jìn)。
3.4制定信息安全外包服務(wù)的控制規(guī)則
依照信息安全外包服務(wù)的控制規(guī)則,主要分為三部分內(nèi)容:第一部分定義了服務(wù)規(guī)則的框架,主要闡明信息安全服務(wù)要如何執(zhí)行,執(zhí)行的通用標(biāo)準(zhǔn)和量度,服務(wù)外包商以及各方的任務(wù)和職責(zé);第二部分是信息安全服務(wù)的相關(guān)要求,這個(gè)部分具體分為高層服務(wù)需求;服務(wù)可用性;服務(wù)體系結(jié)構(gòu);服務(wù)硬件和服務(wù)軟件;服務(wù)度量;服務(wù)級別;報(bào)告要求,服務(wù)范圍等方面的內(nèi)容;第三部分是安全要求,包括安全策略、程序和規(guī)章制度;連續(xù)計(jì)劃;可操作性和災(zāi)難恢復(fù);物理安全;數(shù)據(jù)控制;鑒定和認(rèn)證;訪問控制;軟件完整性;安全資產(chǎn)配置;備份;監(jiān)控和審計(jì);事故管理等內(nèi)容。
3.5信息安全外包的企業(yè)結(jié)構(gòu)管理具體的優(yōu)化方案如下:
(1)首席安全官:CSO是公司的高層安全執(zhí)行者,他需要直接向高層執(zhí)行者進(jìn)行工作匯報(bào),主要包括:首席執(zhí)行官、首席運(yùn)營官、首席財(cái)務(wù)官、主要管理部門的領(lǐng)導(dǎo)、首席法律顧問。CSO需要監(jiān)督和協(xié)調(diào)各項(xiàng)安全措施在公司的執(zhí)行情況,并確定安全工作的標(biāo)準(zhǔn)和主動(dòng)性,包括信息技術(shù)、人力資源、通信、法律、設(shè)備管理等部門。
(2)安全小組:安全小組的人員組成包括信息安全外包商的專業(yè)人員以及客戶企業(yè)的內(nèi)部IT人員和信息安全專員。這個(gè)小組的任務(wù)主要是依照信息安全服務(wù)的外包商與企業(yè)簽訂的服務(wù)控制規(guī)則來進(jìn)行信息安全的技術(shù)。
(3)管理委員會(huì):這是信息安全服務(wù)外包商和客戶雙方高層解決問題的機(jī)構(gòu)。組成人員包括雙方的首席執(zhí)行官,客戶企業(yè)的CIO和CSO,外包商的項(xiàng)目經(jīng)理等相關(guān)的高層決策人員。這個(gè)委員會(huì)每年召開一次會(huì)議,負(fù)責(zé)審核年度的服務(wù)水平、企業(yè)的適應(yīng)性、評估結(jié)果、關(guān)系變化等內(nèi)容。
(4)咨詢委員會(huì):咨詢委員會(huì)的會(huì)議主要解決計(jì)劃性問題。如服務(wù)水平的變更,新的技術(shù)手段的應(yīng)用,服務(wù)優(yōu)先等級的更換以及服務(wù)的財(cái)政問題等,咨詢委員會(huì)的成員包括企業(yè)內(nèi)部的TI’人員和安全專員,還有財(cái)務(wù)部門、人力資源部門、業(yè)務(wù)部門的相關(guān)人員,以及外包商的具體項(xiàng)目的負(fù)責(zé)人。
(6)安全工作組:安全工作組的人員主要負(fù)責(zé)解決信息安全中某些特定的問題,工作組的人員組成也是來自服務(wù)外包商和企業(yè)雙方。工作組與服務(wù)交換中心密切聯(lián)系,將突出的問題組建成項(xiàng)目進(jìn)行解決,并將無法解決的問題提交給咨詢委員會(huì)。
(7)服務(wù)交換中心:服務(wù)交換中心由雙方人員組成,其中主要人員是企業(yè)內(nèi)部的各個(gè)業(yè)務(wù)部門中與信息安全相關(guān)的人員。他們負(fù)責(zé)聯(lián)絡(luò)各個(gè)業(yè)務(wù)部門,發(fā)掘出企業(yè)中潛在的信息安全的問題和漏洞,并將這些問題報(bào)告給安全工作組。
(8)指令問題管理小組:這個(gè)小組的人員組成全部為企業(yè)內(nèi)部人員,包括信息安全專員以及各個(gè)業(yè)務(wù)部門的負(fù)責(zé)人。在安全小組的技術(shù)人員解決了企業(yè)中的安全性技術(shù)問題之后,或者,是當(dāng)CSO了關(guān)于信息安全的企業(yè)改進(jìn)方案之后,這些解決方案都將傳送給指令問題管理小組,這個(gè)小組的人員經(jīng)過學(xué)習(xí)討論后,繼而將其到各個(gè)業(yè)務(wù)部門。
(9)監(jiān)督委員會(huì):這個(gè)委員會(huì)全部由企業(yè)內(nèi)部人員組成。負(fù)責(zé)對外包商的服務(wù)過程的監(jiān)督。