企业如何开展网络与数据安全事件应急演练?
The following article is from 威科先行法律信息库 Author 袁立志 冯坚坚
数据隐私和网络安全
专栏
作者:冯坚坚 袁立志
本文首发于《威科先行法律信息库》
谈到应急演练,大多数互联网企业都不会感到陌生,因为或多或少参与过消防演习、防空演习。面对当前网络与数据安全事件频发的形势,网络与数据安全事件应急演练正在成为企业的“必修课”。本文结合我们协助企业组织网络与数据安全事件应急演练(以下简称“应急演练”)的经验,介绍企业如何组织实施应急演练。
应急演练的目的
应急演练的目的有三项:测试应急机制、检验应急流程、培养应急队伍。不过,目前大多数企业从未开展过应急演练,应急机制、流程、队伍基本还处于空白。所以,对大多数企业而言,组织首次应急演练的意义,主要在于引起企业领导重视,建立工作机制,培养安全意识,为后续的应急工作奠定基础。
应急演练的必要性
组织应急演练,首先是法规明确规定的义务。
《网络安全法》第34条规定:“关键信息基础设施的运营者还应当履行下列安全保护义务:……(四)制定网络安全事件应急预案,并定期进行演练。”《网络安全等级保护条例(征求意见稿)》第32条规定:“第三级以上网络的运营者应当按照国家有关规定,制定网络安全应急预案,定期开展网络安全应急演练。”
由此可见,对于关键信息基础设施和三级以上网络的运营者而言,开展应急演练是法定义务,必须定期开展。目前法规还没有明确演练频率,结合相关规定看,可能至少每年需要组织一次,等级更高的网络可能需要半年组织一次。
上述范围以外的企业,虽然应急演练不是法定义务,但也存在现实的需求。当前网络与数据安全形势严峻,一旦发生安全事件,周详的应急预案和丰富的演练经验能够帮助企业妥善应对,防止出现严重后果。
而且,在事后追究企业和有关人员的责任时,应急预案和演练记录可以证明企业的合规意愿和行动,减轻或避免企业和相关个人的法律责任。在企业融资过程中,投资机构出于对标的企业运营风险的担忧,也可能将应急预案和演练作为投资的条件之一。
我们认为,金融机构、互联网企业和从事数据业务的企业属于风险高发企业,无论是否属于法定范围,都应当制定应急预案,组织应急演练。据我们所知,许多大型企业已将应急演练纳入常规工作,如华汇人寿在年5月份开展了2018年度网络安全应急切换演练。我们近期也协助多个知名互联网企业和数据企业开展应急演练工作,说明越来越多的企业意识到了这项工作的重要性。
应急演练的准备
应急预案是应急演练的基础,先有预案,再有演练。不过,对于从未开展过应急工作的企业而言,可以先开展首次演练,再在总结演练经验的基础上形成应急预案;以后以预案为基础开展定期演练,修订完善预案。
在开展首次演练前,企业需要做以下准备工作。如果企业缺乏相关经验,可以聘请外部律师来开展准备工作。
1. 人员组织准备
应急演练的指挥机构为应急演练指挥小组,指挥小组负责演练的策划、保障、实施和评估。指挥小组的负责人为总指挥。网络安全法要求企业任命网络安全负责人,欧盟的GDPR要求企业任命数据保护官(DPO)。如果企业已经任命网安负责人或DPO,则他们就是首选的应急演练总指挥。如果企业还没有任命网安负责人或DPO,则应当指定临时总指挥,可以由相关的副总裁担任,或者由技术总监、法务总监等担任。网络与数据安全事件应对是一项综合性工作,并非单纯的技术或法律工作,因此总指挥的人选应当具有综合统筹和现场指挥能力。
除了总指挥,应急演练指挥小组还包括各相关部门总监,通常包括技术总监、法务总监、PR总监、GR总监、人事总监、客服总监等。为了适应应急要求,指挥小组的总指挥及各成员均应确定1-2名备位人选;紧急情况下,原定人选不能就位的,由备位人选递补就位。
在指挥小组之下,各部门确定各自的参演人员范围。
需要注意的是,平时应急演练的主要目的就是为发生安全事件时的应急处理做准备,所以应当确保应急演练与应急处置的指挥机构、参与人员的一致性。如果平时与“战时”脱节,演练就只能起到宣传的作用。
2. 设计场景、制定方案
演练方案的制定是演练活动开展的重要准备工作,演练方案的好坏也是演练活动评估的重要指标。演练方案中最重要的是演练形式的确定以及演练场景的设计。
关于演练形式,实战演练的效果肯定会比桌面演练明显,但实战演练需要较为高昂的成本,或需要调动主管部门或其他企业的资源等,也需要有一定的恢复能力,因此难度较大。缺乏演练经验的企业宜以桌面演练为主,但是客服部门实战演练难度不大,可以单独安排实战演练,即在不事先通知的情况下,模拟用户通过电话和邮件等向客户不满投诉。
关于演练场景的设计,应尽量贴合企业实际情况。比如,对于直接面向C端用户的互联网企业,发生用户数据泄露的风险很大,可模拟大规模数据泄露事件进行演练。《网络安全事件应急演练指南(试行)》提供了场景库,对各类安全事件进行了初步说明,但不够具体,不能直接作为演练剧本使用。我们以已经发生的真实案例为基础来编写演练剧本,使用效果很好。
应急演练流程
按照事先制定的剧本,总指挥宣布演练开始。演练程序一般按事件进展依次进行,企业可制作进度表,将演练过程分成三到四个阶段,每个阶段预设时间限制,要求各部门及时完成规定动作。
1. 技术部门
技术部门首先应核查事件发生的真实性以及与企业的相关性。如果确定事件真实存在,此时技术部门要进行事件原因的排查,比如发生数据泄露事件,技术部门在先期处置后,应排查数据泄露的源头、途径,排查数据系统是否存在问题、账号密码是否已被击破,是内部程序员的疏忽导致还是外部黑客的恶意攻击等,对整个数据破坏路径进行复盘和还原,并形成报告。
2. PR部门
PR部门作为企业与公众对话的窗口,应在黄金时间代表企业向公众发表声明,黄金时间一般为事件发生后的24小时内,情况简单的可适当提前。PR部门应跟进技术部门的调查情况,及时获取最新的进度和消息。
在声明发表前后,PR部门还应负责舆情监控,记录舆情变化,预测舆情走势。除了官方窗口外,还应尝试通过第三方渠道发表声音。同时也需要注意避免二次舆情以及竞品攻击等情形。
3. GR部门
GR部门在事件初步调查结果出来后,应首先通过口头的方式向主管部门报告,体现企业在应对网络安全事件时积极处理的态度,一定程度上可减轻监管压力。与网络安全相关的主管部门一般有:网信部门、公安部门、工信部门、市场监督管理部门等,如果涉及其他主管部门,如食品安全等,还应视情况向其他主管部门汇报,另外,消协也是需要关注的汇报对象,特别是直接面对大量消费者的企业。
除了主动报告外,GR部门还需要负责应对主管部门约谈。作为一种新型的行政监管方式,约谈在近年来的多起网络安全事件中被监管部门所运用。我们将有专文来谈如何应对约谈。
4. 法务部门
事件初步调查完成后,法务部门首先对安全事件进行法律评估,应全面覆盖民事责任、行政责任以及刑事责任等。
民事责任方面,可能会面临用户提起的违约或侵权诉讼,也有可能被合作伙伴或投资方起诉。行政责任主要是主管部门进行的行政处罚,包括罚款、停业等。刑事责任下相关责任人或企业有可能会构成非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪、拒不履行信息网络安全管理义务罪、侵犯公民个人信息罪等。如果判断可能构成治安或刑事案件,法务部门应立即向公安机关报案并持续跟进。
除上述工作外,法务部门还需要对其他部门的应对措施进行法律审核,如PR部门、GR部门的对外声明或报告均应在正式发布前提交法务部门把关。
5. 人事部门(部分适用)
如果应急演练设置的场景中网络安全事件涉及员工责任的,人事部门需参与演练,主要负责的程序包括员工调查、员工处置等。
6. 客服部门(部分适用)
对于网络用户较多且设有客服联系渠道的企业,还应将对客服应急能力的考验列入演练内容。
应急演练的总结评估
企业在开展演练活动时,应做好演练记录工作,包括文字记录和录音录像。演练记录既可用于日后进行总结和评估,也是企业开展合规工作的证明。
演练结束且各部门完成相应的总结报告后,指挥小组应收集、整理演练的记录及各项书面成果,提交给评估小组进行评估。为确保评估结果的公平、公正、准确,企业可邀请外部律师、行业专家等作为评估小组成员。
评估小组通过对演练记录及其他相关资料的分析、总结,评估演练的效果与目标要求是否吻合,并对演练活动以及各个执行人员的表现进行客观的评价。
陆
应急演练的常见问题
通过对一些企业的应急演练指导,我们发现企业在组织演练时存在一些通病。
1. 对应急演练的重要性认识不足
不少企业对网络与数据安全事件的敏感程度及可能带来的危害认识不够,一是认为企业发生该等事件的概率较小,二是认为即便发生安全事件,对公司的业务影响也不大。意识上的不重视反映在演练过程中就是参演人员的缺席、就位不及时、态度散漫等,这会削弱演练效果。
2. 部门之间缺乏有效的联动机制
企业间比较突出的一个问题是各部门对技术问题缺乏基本的了解,习惯性地把技术部门的工作视为一个黑箱,导致与技术部门的衔接不够紧密。如PR部门、GR部门,该等部门在对外发布声明或报告时均需要与技术部门保持密切联系,才能较为准确的对事件进行说明,如果不及时跟进技术部门的调查或排查工作,一是信息得不到更新,二是声明或报告会与事实存在出入。
3. 缺乏与主管部门的日常沟通机制
在演练中,当需要向监管部门汇报时,企业对涉及哪些部门、各自职责分工如何、应向哪一层级哪个具体部门报告、负责人是谁等问题都没有经验。这说明企业平时忽视了与各监管部门的沟通。一旦发生安全事件,企业不能及时向监管部门报告,争取监管部门的支持和指导,可能会错过问题的最佳解决时机。
本专栏往期文章
1. 《网络安全法》的出台改变了什么?——条文解析企业的网络安全义务和法律合规新需求
5. GDPR之“用户数据可携权”评析(一)——认识“用户数据可携权”
6. GDPR之“用户数据可携权”评析(二)——“用户数据可携权”实务运用的若干问题
7. GDPR之“用户数据可携权”评析(三)——“数据可携权”视角下的数据之争
8. 网安法第37条背景下的境外证据开示与数据出境问题
9. 对“数据共享合法化”的分析与思考系列之一:以《关于欧洲企业间数据共享的研究》为起点
10. 对“数据共享合法化”的分析与思考系列之二——欧盟B2B数据共享的案例研究
11. GDPR在看着你吗——GDPR第2条和第3条(适用范围)详解
13. 中国企业的GDPR合规挑战
14. 对“数据共享合法化”的分析与思考系列之三——欧盟B2B数据共享的案例研究
16. 从《网络安全等级保护条例(征求意见稿)》看等保1.0到等保2.0的重要变化
17. 《网络安全等级保护条例(征求意见稿)》与《信息安全等级保护管理办法》的条款比对
20. 欧盟《隐私与电子通信条例》(e-Privacy Regulation)草案介绍
21. 当资本运作遇到网络安全:尽调该怎么做?
22. 电信和互联网行业网络安全大检查来临,你准备好了吗?
合伙人
021-2613 6221
feng.jianjian@jingtian.com
竞天公诚律师事务所合伙人,竞天公诚网络安全与数据隐私团队负责人。
隐私权专家国际协会(International Association of Privacy Professionals)会员,上海市律师协会互联网业务研究委员会委员,长期专注于网络安全、数据合规及个人信息保护领域。
合伙人
021-2613 6222
yuan.lizhi@jingtian.com
袁立志律师长期专注于企业融资并购、网络安全与数据合规等法律服务,拥有超过十年的法律服务经验。
袁律师服务过的客户包括多家日资五百强企业、大型国有汽车制造集团、大型金融控股集团、医疗机构以及头部TMT企业。
袁律师是上海律协并购重组委员会委员、中证中小投资者服务中心调解员、IAPP会员。
声明 DISCLAIMER
本文观点仅供参考,不可视为竞天公诚律师事务所及其律师对有关问题出具的正式法律意见。如您有任何法律问题或需要法律意见,请与本所联系。
This article is for your reference only and not to be deemed as formal legal advice given by Jingtian & Gongcheng or its lawyers. Please contact us directly for formal legal advice or further discussion about the relevant issues.