2016年6月24-25日，由51CTO.com主辦的【WOT2016企業安全技術峰會】在北京珠三角JW萬豪酒店召開。自2012年以來，WOT品牌大會秉承專注技術、服務技術人員的理念已經成功舉辦九屆，不僅積累了大量的專家資源，更獲得了廣大IT從業者和技術愛好者的認可和好評，并成為業界重要的技術分享及人脈拓展平臺。

本次【WOT企業安全技術峰會】分為11大技術主題，分別是企業安全管理與運維、工控安全與物聯網安全、大數據安全、移動Web與安全、云安全、CISSP開放創新論壇、金融與電子商務安全、威脅情報與攻擊防護、漏洞挖掘與分析、安全測試與應急處理、技術管理專場。51CTO.com作為本次大會的主辦方，將通過快速報道、現場專訪與后期視頻等多種形式,向廣大用戶全方位展示這場盛宴。

下面是大會主會場上來自普華永道風險及控制服務的合伙人冼嘉樂先生帶來的主題為新形勢下企業安全管理面臨的挑戰與應對的現場演講實錄。

[[167795]]

普華永道風險及控制服務合伙人 冼嘉樂

(演講實錄)

大家好，我是冼嘉樂。我來自中國香港，聽我普通話可以聽到，我在北京待了10多年，我普通話還是不地道。

關于普華永道全球安全調查，今天跟大家分享比較重要的一些信息。我們這一次調查是跟很多的企業合作，大部分都是在大企業。全世界來講，北美大概是37%，歐洲是30%。在中國香港本土我們有超過330%的受訪者，全世界一共有1萬個。

關于網絡安全的事件，網絡安全事件是不斷地發生，差不多每天都是有新的新聞。在過去12年，通過調查發現，全世界的網絡事件增長率38%，中國本土其實增長率是非常的高，增長了4倍，大概是417，過去12個月我相信，大家在本土還有中國香港都是聽到不同的安全事件，有一些安全事件也是非常的多。

關于每一個安全案件帶來的財務損失，也是不斷地攀升。中國大陸和中國香港本土，每一個安全事件的平均財務損失現在是260萬美金，去年是240萬美金，比去年增長了10%。但是，如果我們在跟前年來看，前年那個數據平均180萬美金，同前年跟近年來比，已經超過40%，這個金額非常大。這是一個平均數目，去年有一個很大的本地安全事件，其實它的損失的金額超過了很大很大了。那么，另外，企業來講，有什么樣子數據是黑客，還有很多人獲取的目標。一直以來客戶數據都是受到關注，根據我們的調查結果，很多受訪者都覺得客戶的數據比較的重要。重要性比去年來講也是上升了64%。除了客戶的數據以外，其他的數據都備受關注。除了客戶數據，除了有關材料的數據，現在還有什么數據備受關注呢?就是我們的知識產權。比如說，我們的生產汽車的那個設計圖，還有知識產權都是黑客要獲取的目標。從我們普華永道來講，我們以前一直做的安全有關的項目，大部分都是在金融行業。過去兩年客戶的需求，從一般的金融行業，銀行有監管的要求，現在很多其他的行業。比如說汽車行業，互聯網，都有安全的需求。現在各行各業都在關注網絡安全，現在不僅有金融行業了。

然后，關于在網絡安全的預算，通過我們的調查發現，那個是比去年增長了10%，在中國地區平均來講800萬美金。那么，很多人都有一個問題，我應該花多少錢在網絡安全方面呢?根據我們的調查的結果發現，一般的公司的網絡安全的預算是整個IT預算的19%，那個數據是很好一個參考數字，我們有每一個行業的數字。大概是18%到20%。所以，如果有網絡安全預算，那個預算是整個IT預算的19%到20%左右。

剛剛很快地跟大家講了一下普華永道全球安全調查的結果，我們有很多更加詳細的結果，大家有興趣可以到我們網站上面下載整體的報告。

以下跟大家分享一下關于信息安全的管理的一些新的挑戰。

在安全圈有一個很有名一句話，安全是相對的，不完全是絕對的，永恒不變的是變化。之前都是講到了現在科技的發展，云計算，大數據，人工智能，移動網絡等等。在科技發展當中我們有不同的應用，比如說移動的APP，智能的硬件，私有云，公有云等等，這些都我們的民生，為我們生活帶來很多的益處。但是，同時也是帶來很多的網絡安全的風險，我們在網絡安全時間有攻防林種。也是有APP，黑客群體來攻擊企業的網絡。還有也用0 day方法入侵企業。很多也是用機器感知，加強那個防御。那么，他們最終為了保護什么?就是為了保護企業里面商業的數據。在企業商業的數據里面有一個什么數據是非常重要的呢?就是用戶個人信息，現在用戶個人信息我們也是看到了，現在科技發展也是發展到那個智能的設備。現在智能設備也是獲取個人信息，如果那些信息泄露出去可能會對個人得身體健康，對于我們的生命會受到很大的威脅，今天我務要是跟大家分享一下，現在法律法規的最新的那個發展，對于保護我們的個人隱私有什么需求，

我們現在的生活都圍繞在網上，有互聯網，移動互聯網，有智能的設備。很多這些不同渠道都是獲取個人信息，現在很多國家都是非常的關注去保護個人的隱私。很多現在都是有個人隱私法。尤其是歐盟，歐盟其實在95年有一個個人隱私保護法律。在去年2015年12月出了一個最新的一般個人數據保護條例，里面的要求是非常非常的嚴厲，一會兒跟大家慢慢分享一下里面重要的要求。

在美國，其實美國是第一個國家最早有個人隱私法的，當時個人隱私法是在1974年已經開始有了，1974年很久以前了，我當年是剛剛上小學一年級的時候，1974年，2012年奧巴馬政府也是推消費者個人信息保護條例，現在也是有一個非常嚴謹的一個個人隱私保護。在中國我們暫時還沒有一個個人隱私法，但是，草案是有的。去年我國的網絡安全法的草案也是出來了。我們也是相信，這個法案也會很快地出臺，但是對于用戶個人信息的保護也是有一定的要求。

關于GDPR，是管轄的領域，其實不僅僅是在歐盟國家，其實全世界都是在管。為什么呢?如果你是一個階級，你沒有在歐盟國家注冊。但是，如果你的業務，你賣的商品，你提供服務，你的用戶，你的客戶，里面有公民的話，你需要滿足GDPR的要求。本土的企業如果你的客戶有歐盟的共鳴，你需要滿足GDPR要求，你在海外也是需要滿足這個GDPR的要求。所以，這個GDPR那個法律是對全世界所有國家都是有很大的影響。還有歐盟之間他們也是有一些協議，其實在過去的15年，歐盟歐美兩個地區是有一個安全崗的協議。15年以前，歐盟雙方的商業數據可以自由地往來，就是兩個地區。但是，后來這個安全搞這個協議。但是知道為什么嗎?突然過了15年以后，在去年給歐盟暫停了。大家知道什么事情嗎?2013年發生了什么事情?有一個大哥叫斯摩登，出來曝料，歐盟也是非常的憤怒，把安全崗協議砍掉。美國跟歐盟再去協調，最后有一個另外一個協議，歐盟隱私盾牌，里面什么要求?如果歐盟的公民數據傳達到美國，雖然在美國，但是還是享受在歐盟GDPR法律的管轄的領域，還有美國也承諾，不會建設歐盟公民的個人數據。這個就是歐盟隱私盾牌。

大數據時代，很多我們個人信息，不同的信息都是不同的渠道給手機，然后再加工，然后進行大數據的分析。那么，在GDP里面，你要手機用戶的信息，一定不可以默認，一定不可以等用戶默認，一定要明確，得到用戶的名稱的同意，才可以知道個人數據。還有，對于未成年人的數據也是有一定的要求，在GDP里面說了，如果你手機的數據，那個個人的年齡是低與16歲，一定要父母和監護人同意才可以。有一些國家年齡段要求不一樣，但是，最低不少于13歲。他們的數據一定會得到監護人的同意。所以，進行一些業務，涉及到兒童的時候我們也是需要關注的。

那么，關于數據個人隱私保護的管理。我們有幾個領域，關于數據手機使用，還有刪除。在數據手機的時候，剛剛我也是說了，一定要得到用戶的明確的同意才用手機。還有，在國外的網站，比如說一些大的網站，你點擊進去，他們有一個個人隱私聲明，拿你數據是用來干什么的，怎么處理你的數據。這些都是有很細的一個描述。在我們本土的網站，雖然有一些網站也是有個人隱私的聲明，但是沒有這些網站的內容那么豐富。所以，這個也是我們需要完善的一個地方。

另外，關于這個數據的備份，如果談到國家網絡安全草案，里面也是說了，在本土的數據是不可以存在國外的，這個是一個明確的要求。如果你的數據需要放到海外的話，你需要跟網信辦，還有國務院有關的部門申請，進行一個安全回顧。通過以后才可以把這個數據放在海外。那么，還有就是GDP，另外有一個要求，就是企業要委托一個人員，叫做EPO，叫做數據隱私關，代表公司處理個人隱私的工作。制訂一個制度，還有建設個人隱私的操作。

數據刪除領域，在GDPR有一個地方是非常重要的。數據被遺忘權，這個要求是非常非常的大，你要忘記用戶，不是那么的簡單，很痛苦。好像男朋友有一天突然跟你說，分手了，突然很難接受，很難把它忘記。對于企業來講，首先有一些用戶信息，可能企業很多不同的合作方，有很多的外包商，你要把那個用戶的信息刪掉，不僅僅是你自己在你范圍內刪掉數據。合作方，外包商也是需要同時刪數據。通過大數據的加工以后的信息也要把它刪掉。那么，也是可以想象一下，如果刪掉一個用戶，我有這樣一個架構，要刪除一個用戶信息是多么的復雜。但是，現在這個歐盟法律刪除用戶信息的程度到了多少?現在是沒有一個明確的說法，所以，這個問題還是需要我們去研究的。然后，關于GDPR法律的罰款也是非常的重要，大家也是需要關注。也是根據違法一個程度來定那個罰款是多少。那個法律里面說了，如果是一般的行為的違法，那個罰款的上限是1千萬歐元或者是企業全球營業額的2%，看哪一個數最大。如果企業去年全球的營業額100個億人民幣，罰款的上限是到2個億的人民幣，這個是非常非常的龐大。如果是嚴重的違法，罰款上線是2千萬歐元，或者全球營業額4%，非常非常的高。這個罰款可以導致一個小企業的倒閉。另外，如果違法了，如果對歐盟法律違法了，對于公司聲譽有影響，除了罰款，還有其他的法律訴訟。所以，對于企業來講也是很大的一個挑戰。

下面給大家幾個問題，可以回去思考一下，我們應該對于哪些個人隱私數據于是保護?我們對于企業個人的數據風險狀況有可能的威脅，有沒有一個完全的了解?我們有沒有測試我們企業最終的安全框架，有沒有有效?如果我們的數據給黑客獲取，我們有沒有一個機制恢復我們的操作?專門對媒體交代我們的一個事件，這些都是我們需要去思考的幾個問題。

最后跟大家講一下有什么應對方案。在我們的安全管理體系方面，我們有一些標準。講到個人隱私保護，大家也是可以去看一下GDPR，也可以看到美國有一個GAPP，一般接收個人隱私原則，這個GAPP，里面寫的非常的好，都是一些基本的，關于個人隱私保護的內控的要求。那么，在每一個通知點也會提供一個例子，怎么做好那個流程控制?你需要什么控制點?他會很細地、一個點一個點地告訴你的。那個GAPP那個文檔是免費的，可以上網去百度搜索一下。獲取到GAPP，可以打開后下載一份文檔，這個文檔是非常的好，大家可以用來做一個參考。

關于我們企業在IT部門里面，我們的安全的組織架構，這個我提供的一個比較標準的一個結構，給大家參考，里面除了我們的CIO，還有CISO，里面有安全的分析員、信息安全的管理員，審計員等等等等。現在除了這些崗位以外，我們也需要考慮增加數據保護專員，這個是GDP要求的一個崗位，如果你覺得你企業會涉及到歐盟公民，是需要完成個人信息保護的管理。還要做數據保護專員，這個專員，如果你的企業是在歐洲的國家，是有分支機構，你可以委任當地同事做那個。如果企業在歐盟沒有分支機構，但是你還需要有個DPO，你怎么找DPO，你的DPO一定要在歐洲找，就需要找第三方，找一個中介。在歐洲有一些中介是可以幫你裝DPO。建設個人保護隱私操作，如果有什么問題發生，他是聯系人，需要跟相關的監管機構去匯報。

現在的企業所做的業務都可能跟其他的國家有關系，尤其我們做電商，不僅僅是做本土，我們也是做跨國傳輸我們的數據，通過業務操作。所以，我們除了要了解本土的要求，我們也是需要了解國外的個人隱私保護的要求。剛剛我講的是GDPR，除了美國之外，還有其他國家也是需要了解他們有關的個人隱私的保護的要求，因為每一個國家都有他不同的要求。有一個共同的地方，我們一定要跟我們的數據做一個分級，做一個風險評估。然后，我們也是需要根據他的那個分級，然后，再設定一定的安全的管控來保護那些數據。

比如說，在俄羅所他們個人隱私法也跟我國網絡安全草案一樣的，國民數據不可能傳到國外，澳大利亞那邊的數據可以傳到國外，但是一定要做好數據分級，風險評估，做那個評估。就是保護那個數據，才可以把這個數據傳到國外。

有一些國家和地區，如果關于電信行業的數據，是不允許把一些數據傳到國外。但是，有一些國家他說，我的數據雖然放在國外。但是，我們本土的也是需要留一個備份，比如說馬來西亞，放在國外沒有問題，但是需要有一個備份放在馬來西亞。對于其他國家以外，我們需要了解其他國家對于個人隱私法的要求。我們的業務是涉及到不同的國家。

我提上5個點完善我們數據保護工作。首先，剛剛說了，了解不同國家的要求，我們確保我們是監管的。我們要識別我們的核心數據，進行分析，進行分級，然后，再做風險的評級。那就把高風險數據來做好安全的保護。然后，如果我們的數據發生泄露，我們一定有一個響應機制，怎么去處理那個事件?怎么和媒體報道?怎么恢復我們那個問題?另外，剛剛說了，如果有一個用戶需要你刪除它的數據，可能你有很多不同的合作方。那么，你一定要有一個機制。最終數據跟其他的合作方立馬把那個數據刪掉。所以，我們要不停跟第三方和外包商多溝通。最后，定期去做網絡安全的評估，如果發生了什么問題，我們馬上整改。

最后，想跟大家說的，是GDPR，這個是去年12月份立法，但是，現在一直到18年是一個過度期，是18年全面落實。如果大家覺得你的企業是需要滿足歐盟的GDPR，其實我們現在要做好準備，因為18年，一年半以后，這個法律會全面落實。還有剛剛提到，我國網絡安全反草案還沒有出臺，但是應該很快。里面涉及到關于用戶信息的保護。但是，那個要求是什么?是比較的宏觀，暫時沒有很詳細的一個落實的一個方法給大家參考。我國有可能會參考歐盟那個GDPR，有可能做一些東西把它本地化。建議大家關注歐盟GDPR，看看詳細要求。現在是時候去準備了。

我今天跟大家分享的到此為止。謝謝大家。

以上是51CTO.com記者從【WOT企業安全技術峰會】一線為您帶來的精彩報道。一大波精彩內容報道正在襲來，敬請持續關注!