建立安全事故披露和案例分析制度
安全事故的代價有以下幾項:應急響應和公共關係費用,律師費,IT系統體檢、取證調查費用,來自司法機構和主管行業/協會等的罰款和問責,各種使用者通知更新費用,另外,還有其它多種非直接的費用,例如IT系統清理、資料丟失帶來的智慧財產權和商譽的損失等。
“不披露”的責任取決於各國的立法。美國和日本等已開發國家在安全事故披露方面透過立法建立了較為完善的制度,故意隱匿安全事故會給相關方帶來嚴重的刑事、民事處罰。
安全事故發生並披露後的代價、和“不披露”的責任放在一起,較低的那個,我們可以稱之為“有效代價”,其高低是企業和組織評估安全投入是否合理合算的重要依據。
簡而言之,如果某類安全事故發生後的“有效代價”很低, 對於一個理性決策者來說,就沒有必要和理由投入過高的資源去預防或阻止它。相反的,如果某類安全事件發生後的“有效代價”極其高昂,理性的決策者一定會投入相對應的安全資源而將其降低到可以接受的水平。
另外,網路安全具有外在性(externality)。換句話說,個體在網路安全上的成效和意義超出該個體自身的利益,對個體之外群體的利益產生影響。與此類似的有傳染病、消防、吸菸等。對於具有此類特性的社會事務,通常透過立法來進行約束,取消個體的一些自主權,而進行強制要求。
舉例來說,當某電商網站被“拖庫”時,不僅該電商的業務受到影響,使用者資訊被洩露,可能被用以“撞庫”,而導致受影響使用者的其它資訊和業務受到損失。當沒有法律強行要求時,受損電商的理性選擇通常是將資料洩漏事件隱匿,或大事化小,從而降低自身的“代價”。但“捂蓋子”的做法卻增加了社會整體的潛在風險。相反地,如果有相關法律強制要求圍繞安全事件的一系列責任,透過大幅增加“隱匿”安全事故的成本,將其理性選擇轉向客觀透明地披露報告安全事故、通知受影響使用者、主動或協助第三方進行事故“根源分析”… 這樣長期實踐的綜合效果帶來的是社會整體風險的降低,以及有資料支撐的、更為科學的公眾安全實踐。
網路安全“事故”是客觀存在的,只不過有檢測到的和沒檢測到的、披露的和沒披露的、有根源分析的和不明所以的之分。
北京華清泰和科技有限公司:www .huaqingth.com
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/29621644/viewspace-1371754/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 各國網路安全審查制度及案例分析
- 九星創客系統制度開發技術分析(案例)
- 建立和完善國家科研專案監理制度(轉)
- MetaX星球系統制度開發(技術分析)
- 案例分析
- 通過Go來分析和建立XMLGoXML
- nginx建立和監聽套接字分析Nginx
- materialized view的fast和日誌分析和一則案例ZedViewAST
- 通過Go來分析和建立JSONGoJSON
- Activity啟動分析(二)--建立Window和ViewView
- jemeter分析(二) — jmeter案例分析JMeter
- 蘭切斯特方程的分析和案例解釋
- Goroutine 和 Channel 的的使用和一些坑以及案例分析Go
- 超市管理案例分析
- 死鎖案例分析
- SystemState分析案例(三)
- SystemState分析案例(一)
- 瓦解勒索病毒突襲,三大真實案例披露美創“諾亞”防毒之路防毒
- 故障分析 | MySQL死鎖案例分析MySql
- EOS原始碼分析(3)案例分析原始碼
- 基於資料二十條至少應建立8類資料基礎制度
- oracle_datapump建立外部表案例Oracle
- MySQL Binlog 技術原理和業務應用案例分析MySql
- enq: TX – row lock contention的測試和案例分析ENQ
- Mysql之案例分析(一)MySql
- 層次分析小案例
- MySQL經典案例分析MySql
- oracle SPA 效能分析案例Oracle
- zt_systemstate案例分析
- 《畫家鄉》案例分析
- UI設計案例分析UI
- 案例分析習題2
- GreatSQL 死鎖案例分析SQL
- FineBI入門案例分析
- INDEX REBUILD和INDEX REORGANIZE和UPDATE STATISTICS是否涉及Sch-M的案例分析IndexRebuild
- Twitter 資料分析師獨家披露他們的工作內容(上)
- 重慶:房屋市政工程專案資料升級,建立責任追溯制度
- 說說IT公司那些制度