超级会员免费看
信息安全评估中的法律责任与应对策略
1. 信息安全现状与法律责任风险
近年来,尽管有众多文章从技术角度探讨如何保护网络安全,但仍有不少公司因安全措施不足而丢失关键信息。像ChoicePoint、DSW Shoes、一些大学、金融机构(如美国银行和瓦乔维亚银行)、万事达卡等信用提供商,甚至联邦调查局,都在新闻报道中被提及信息丢失事件。例如,ChoicePoint在2005年面临多起诉讼,指控其未能保护消费者委托的个人、财务等信息的安全和机密性,未能采取足够措施防止私人信用和财务信息泄露给未经授权的第三方,并且“故意、鲁莽或有意识地忽视”客户的隐私权。
信息安全领域的主要参与者迟早可能会面临诉讼,无论诉讼是否合理,这已成为商业现实。许多公司认为其内部信息技术和安全团队已尽力维护和保障网络安全,甚至定期进行渗透测试,但仅靠这些可能不足以证明其在信息安全方面达到了合理的注意标准。以ChoicePoint为例,渗透测试可能无法解决其面临的问题,该公司似乎是被冒充商人的人骗取了原本安全的信息。
公司的法律责任可能源于以下几个方面:
- 联邦、州或地方政府规定的标准和处罚。
- 违反合同协议。
- 其他非合同性的民事侵权行为,如欺诈、侵犯隐私、侵占、欺骗性商业行为和疏忽等。避免刑事不当行为的责任还需要了解适用于业务的法规并遵守这些要求,联邦和州法规可能会施加刑事处罚,同时也可能成为私人诉讼的依据。
2. 疏忽与“注意标准”
当信息安全遭到破坏时,可能引发民事索赔的事实和事件组合众多,难以详细讨论。理解责任的基础并以避免责任的方式开展业务是最佳防御措施。在许多情况下,责任索赔基于公司及其高管和董事“疏忽”的指控。在法律上,“疏忽”发生在一方对另一方负有法律义务,该义务被违反,且违反行为给受害方造成损害时。一般来说,在特定情况下“合理”行事可以防止信息安全顾问或其客户被认定为“疏忽”。然而,“合理”的定义既取决于个别情况的具体情形,也会随着新法律法规的颁布以及新漏洞、攻击途径和可用对策的出现而不断演变。
当公司维护个人或机密客户信息,或同意对其他企业的商业秘密信息保密时,其最低义务是合理谨慎地保护计算机系统,以避免委托给它的信息被盗或意外泄露。合理谨慎的标准可能从公司被寄予高度信任来保护敏感信息时的极高标准,到与行业内其他公司普遍采用的标准相当。
法律定义的合理“注意标准”是公司为避免被认定为疏忽(或换句话说,为合理行事)必须采取的最低努力。避免大多数民事索赔责任的坚实基础始于公司按照已知的注意标准开展业务,以避免疏忽责任。
特定行业和情况下的适当、合理注意标准可能来自多个来源,包括法规、规章、普通法义务、组织政策和合同义务。法院会考虑特定类型损害的可预见性,以帮助确定行业注意标准。随着信息安全漏洞造成的新类型损害不断公开披露,通过未经授权的访问丢失关键信息变得越来越“可预见”,保护这些信息的政策和做法将在任何疏忽诉讼中成为核心。
3. 应对措施
3.1 了解法律环境
减轻法律责任始于了解适用于公司业务的法律。忽视法律不是借口,未能跟上法规要求是责任的首要来源。与专业人士(无论是公司内部还是外部的)合作,跟踪立法变化并调整信息安全政策是第一道防线。严格遵守法律不仅有助于降低刑事或行政罚款的可能性,还能证明一种注意标准,可能减轻民事责任。
3.2 全面和持续的安全评估、评价与实施
公司应与合格且经验丰富的法律顾问和技术顾问合作,确定并优先考虑其控制的可能需要保护的信息,并列出适用于此类信息和公司业务类型的具体法律要求。接下来,制定政策以确保信息得到妥善维护和管理,公司员工按照这些政策行事。政策评估应包括适用的法律要求,以及测试和维护信息系统安全的合理程序。
至关重要的是,使用外部、中立的第三方进行评估/评价、实施和改进,然后再进行进一步评估的循环必须持续进行。一份静止不动的评估/评价报告比没有报告更糟糕。同样糟糕的是,虽然实施了评估/评价的结果,但从不重新评估或修改这些结果,或者对员工的培训不足,或者不评估员工对这些结果的理解和实施情况。
3.3 使用合同定义权利和保护信息
大多数企业了解签订合同并遵守合同条款以避免违约索赔的过程。但不太容易确定的是,合同义务如何影响基于特定业务中信息的安全和管理方式而产生的民事责任可能性。公司业务的许多领域需要制定和定制合同,以避免责任并维护业务的完整性。
例如,几乎所有州都采用的《统一商业秘密法》(UTSA)旨在保护对公司业务有价值的机密信息。根据UTSA,机密信息可能包括公式、模式、汇编、程序、设备、方法、技术或流程,这些信息因不被公众普遍知晓而具有独立的经济价值,并且公司已采取合理措施保持其机密性。几乎每家公司都有商业秘密,从客户名单到业务方法都能提供竞争优势。如果公司未能采取合理措施保持信息机密,这些有价值资产的保护将丧失。
至少,应制定合同,要求员工不披露公司的商业秘密或任何法律规定必须保护的信息(如个人医疗或财务信息)。这些协议在员工入职时签订通常最为有效,因为大多数合同需要有价值的对价才能具有可执行性,而且延迟要求签订保密协议可能会导致敏感信息在合同签订前被披露。
就业政策应强化员工维护机密性的义务。这些政策还应明确指导员工使用和维护密码的程序,以及负责任地使用网络上安全存储的信息。应定期进行面谈和员工培训,以强化这些要求是强制性的,并且管理层对此非常重视。供应商和服务提供商若需要查看机密信息,应仅在限制该信息使用并同意保持其机密性的协议下获得访问权限。如果在没有适当保密协议的情况下聘请顾问进行网络安全评估,可能会被认定为公司未能采取合理措施保持信息机密,从而导致该信息不再是受保护的商业秘密。
3.4 使用合格的第三方专业人员
与合格的信息安全专业人员合作实施适当的硬件和软件解决方案以减少安全漏洞至关重要,但这还不够。这些功能需要与整合了法律考虑因素的评估测试和重新测试系统相结合,并在合格且经验丰富的法律顾问的监督和指导下进行。
与合格且经验丰富的外部法律顾问合作,可以在提出疏忽索赔时显著提高胜诉的可能性。使用经过培训能够进行全面和持续系统评估与评价的律师和技术专业人员,是为防止损失所做努力合理性的证据。公司内部员工可能同样有能力制定和实施信息安全策略,但监管机构、法院和陪审团会关注公司在问题出现之前是否聘请了合格且经验丰富的外部法律顾问和技术顾问。与这些专家合作增加了遵循最佳实践的可能性,独立审查是减轻敏感信息可预见损失的最佳方式。
聘请外部专业人员并建立律师 - 客户特权关系,可能在民事、监管甚至刑事诉讼中保护在信息安全评估和评价过程中发现的系统漏洞不被披露。然而,这种特权并非绝对,在民事和刑事背景下,特别是当客户选择提出“律师建议”辩护时,可能有不同的实际应用。
信息安全注意标准的一个关键要求是获得合格、中立的第三方的外部审查。这一要求基于这样一个合理的理论:无论一个实体的信息技术和信息安全团队多么合格、专业和有良好意图,他们都不可能真正做到客观。此外,存在“监守自盗”的问题,这让高级管理层怀疑负责创建和维护信息安全的人员能否公正、客观地评估这种安全措施的有效性。最后,合格且经验丰富的外部法律顾问和技术顾问能够带来内部员工通常无法以经济有效的方式提供的视角、丰富经验以及对最新技术和法律发展的了解。
3.5 确保注意标准评估跟上法律的演变
法律对“合理”注意标准的定义不断演变。政策制定者高度重视网络攻击带来的威胁和巨大经济损失,不断颁布新法律来惩罚攻击者,并将责任转移到未能采取合理信息安全措施的公司身上。如今,新客户通过访问网站并使用服务,可能会立即自动形成合同义务,这种情况在全球互联网范围内都可能发生。随着新漏洞、攻击和对策的公开,新的义务也会出现。简而言之,上个月“合理”的做法,这个月可能就不再合理。
信息安全评估和评价是评估和提高遵守保护关键信息最佳实践的工具,但如果不将其作为定期、持续的活动,它们充其量只是快照。最佳实践始于理解和遵守适用法律,但只有通过跟踪和实施不断演变的法规要求才能得以维持。与合格且经验丰富的顾问合作,关注这一快速发展领域的新法律动态,并就立法要求的正确解释和实施提供建议,对于应对这一不断变化的局面至关重要。
3.6 做好最坏情况的准备
尽管尽了最大努力,没有任何公司可以完全免除责任。在信息丢失或泄露的情况下,未能制定危机管理和沟通策略可能会引发诉讼并产生责任,即使公司在保护信息方面已经采取了合理的注意标准。避免责任需要为可能出现的问题做好规划。
例如,针对ChoicePoint的一起集体诉讼指控,该公司在数月内未披露安全漏洞的存在以及信息泄露的真实程度,误导了股东。如果公司有相关政策为高管与客户和潜在股东沟通提供指导,可能会避免这些指控。加利福尼亚州在2002年颁布了《安全漏洞通知法》,截至2005年5月,阿肯色州、佐治亚州、印第安纳州、蒙大拿州、北达科他州和华盛顿州也纷纷效仿,颁布了某种形式的要求披露安全漏洞的立法,至少有34个其他州也提出了相关法案。截至2005年年中,虽然没有类似的联邦法规,但国会已经提出了几项披露法案。
应对危机管理的战略政策必须考虑公司运营所在的所有州的披露法律。在危机发生前,必须提前规划如何进行符合多项法律要求的披露,并尽量减少信息安全漏洞及其披露带来的负面影响。这是一个不断变化的领域,这些政策需要定期审查和更新。至关重要的是,这些政策和计划应在合格且经验丰富的顾问的协助下制定和实施。
3.7 保险
随着更多信息安全漏洞的发生和披露,企业和个人的成本将继续上升。2002年,联邦贸易委员会(FTC)估计有1000万人成为身份盗窃的受害者。根据高德纳公司(Gartner, Inc.)的数据,2003年4月至2004年4月期间,美国有940万在线用户受到影响,损失达117亿美元。未来几年,企业因这些损失承担的成本可能会大幅增加,一些更精明的保险公司已经开始关注这一趋势,并开发产品为信息安全漏洞造成的损失提供保险。公司应联系其保险公司并自行进行独立研究,以确定有哪些保险覆盖范围可供选择。
信息安全顾问的客户在确定如何最好地减轻法律风险时,应在合格且经验丰富的顾问的建议下,考虑上述所有问题。减轻风险的一个关键因素是与信息安全顾问(包括合格且经验丰富的顾问和技术精湛、受人尊敬的技术顾问)建立的关系,这些关系当然必须通过书面合同来建立和规范。
3. 安全评估合同的内容
3.1 合同的重要性
合同是定义和规范信息安全顾问与客户之间法律关系的最重要工具。它可以保护双方免受误解,并应明确分配在不可预见或意外后果(如系统崩溃、访问受保护的专有或其他敏感信息、网络或网络上的信息受损)情况下的责任。合同还为双方在安全评估周期中提供了路线图。授权书(LOA)的用途与合同不同,它通常会补充合同涵盖的主题,或处理与原始服务合同无关的第三方关系。在大多数评估中,两者都是必需的。
合同应详细说明客户希望提供商执行的每一项行动。信息安全顾问应拥有一套服务的标准合同,但也应具有灵活性,以便根据客户的具体需求进行协商。合同中应涵盖哪些内容以及条款应如何措辞,双方必须在熟悉该领域的合格且经验丰富的顾问的建议下做出决定。与任何其他法律协议一样,双方签署人应完全理解合同中的所有条款,对于含糊、模糊或过于专业的语言,应要求澄清或重新起草。合同纠纷往往源于双方对同一合同条款有不同的理解,因此在签署合同前要清楚自己的权利和义务。
3.2 合同应涵盖的方面
合同应涵盖以下几个方面的内容,以确保双方对服务的范围、责任、时间、地点、方式和费用等有清晰的理解:
|方面|具体内容|
| ---- | ---- |
|什么(What)|包括安全评估和业务模式的描述、合同中使用术语的定义、项目的描述、假设、陈述和保证、评估的边界和限制以及可交付成果的识别等。|
|谁(Who)|明确合同双方的身份、签署人的权限、双方的角色和责任、保密和保密协议、评估人员的要求、危机管理和公共沟通的责任、赔偿和辩护义务、信息的所有权和控制权、知识产权问题以及软件许可证的验证等。|
|何时(When)|制定评估的时间表,包括完成可交付成果的草稿和最终格式的时间、预计的高管简报日期、任何预期的后续工作的时间线,并考虑可能影响时间表的行动或事件以及相应的应急计划。|
|何地(Where)|定义评估的地理位置和逻辑位置,包括具体的设施、物理地址和/或逻辑位置(如IP地址范围),并注意评估跨越互联网或涉及海外系统时的额外风险和法律责任,必要时寻求法律顾问的建议。|
|如何(How)|规划完成评估的方法,包括识别和描述评估的每个阶段、整体测试周期、评估团队将使用的标准以及避免使用技术俚语,可提供单独的背景文件说明评估和测试方法。|
|多少(How Much)|明确评估的费用和相关支付条款,包括费用结构、计费方法、付款期望和时间表、收款的权利和程序以及评估期间潜在损害的保险责任等。|
3.3 合同的其他条款
除了上述主要方面,合同还应包含以下标准条款,以应对可能出现的冲突或合同修改情况:
-
适用法律
:双方应就适用于合同的州法律以及可以提起诉讼的法院管辖权达成一致,在纠纷发生前确定管辖地可以降低法律成本。
-
不可抗力和不可预见事件
:考虑到自然灾害、系统故障、恐怖袭击等不可预见事件可能对项目产生的影响,双方应提前决定在这些情况下的适当行动方案。
-
合同违约和补救措施
:当一方未能履行合同条款或认为另一方未履行其合同义务时,可能会声称合同违约并要求对方提供补救措施。双方应在签订合同前与法律顾问讨论仲裁或调解是否合适,以及在诉讼中关于律师费的承担问题。
-
预定损害赔偿
:预定损害赔偿是指在合同违约或提前终止的情况下,一方同意向另一方支付的约定金额。为了具有法律可执行性,预定损害赔偿条款必须合理估计双方在违约或提前终止合同情况下可能遭受的损害。
-
责任限制
:应考虑在评估服务合同中纳入责任限制条款,例如将责任限制在客户根据合同支付的总金额内,或要求客户放弃间接或后果性损害赔偿。然而,责任限制的能力可能受到法规和法院判决的限制,因此需要与合格的法律顾问合作,确定在每个具体交易中可执行的限制措施。
-
义务的存续
:明确合同到期后特定合同义务(如保密义务和支付欠款的义务)的处理方式。
-
弃权和可分割性
:描述如果一方希望放弃合同的一部分条款时的处理方式,并确保合同的每个部分在法院判定某一条款或部分不可执行时可以与合同整体分离。
-
合同修正案
:对于持续时间较长的合同,可能需要进行修改。为避免纠纷,原始合同应规定任何修正案的格式,修正案应以书面形式并由双方授权代表签署。双方还应讨论合同变更的财务安排,提出的修正案必须得到接收方的接受。
3.4 授权书(LOA)的作用
授权书(LOA)用于记录双方对特定活动的同意,并保护双方免受不同类型的不利责任。例如,当客户的网络使用第三方网络服务时,客户应向信息安全顾问提供LOA,同意特定的网络流量,同时将LOA副本提供给第三方服务提供商,以通知其活动并记录客户的同意。在某些情况下,第三方服务提供商可能也需要提供LOA,以允许信息安全顾问的活动不会影响其网络基础设施或违反带宽服务协议。
由于客户通常不是第三方网络系统的唯一用户,网络中可能存储着其他企业和个人的机密信息,未经适当授权访问这些信息可能会导致刑事和民事处罚。此外,客户与网络主机之间的协议可能会禁止此类访问。因此,与法律顾问一起审查这些关系,遵守合同限制并获得适当的授权至关重要。
在许多情况下,LOA可能是签署的最重要文件之一。除了在可能超出授权访问期间对客户或第三方系统造成损害的潜在民事责任外,未能获得足够的授权可能会导致犯罪行为。联邦《计算机欺诈和滥用法》对未经授权访问计算机系统以及超出授权范围访问某些计算机施加刑事处罚,每个州也都通过了某种形式的法律,禁止未经适当授权访问计算机系统。因此,与合格且经验丰富的法律顾问合作,确保工作避免违反法律和潜在的刑事责任至关重要。
LOA的另一个常见用途是在评估过程中扩展评估范围或解决不可预见的技术挑战。例如,客户在安全评估开始后收购了新的设施,希望将其纳入评估范围,此时可以通过双方接受的LOA来扩展安全评估的范围。是否允许通过LOA对现有合同进行修改,应在原始合同中明确规定。
LOA应包含一份全面详细的声明,说明客户未授权的内容(如某些系统或数据库禁止访问、特定时间禁止测试、信息安全顾问将使用和不使用的工具、客户不允许顾问采取的安全措施等),这对客户和信息安全顾问都同样重要。LOA应由双方具有足够权限的官员签署,并且应明确客户无权授权访问的任何类型的信息或特定系统。虽然LOA条款可以作为基本合同的一部分,但与保密协议一样,将LOA作为单独的独立协议通常更为可取,这样在需要公开诉讼时,可以尽量减少公开披露的合同细节。
3.5 超越客户关系的考虑
仅仅获得客户同意访问其计算机系统是必要的,但并不总是足够的。客户对其客户、许可方和其他第三方负有义务,尊重这些承诺可以避免你和客户产生潜在责任。
软件许可协议
客户使用的软件通常受许可协议的约束,该协议规定了客户与软件提供商之间的关系。软件许可协议通常禁止对软件代码进行反编译、反汇编或逆向工程,并限制对软件的访问。使用工具渗透计算机系统可能构成以违反许可协议的方式使用、访问和运行可执行软件。为避免民事责任,顾问应让合格且经验丰富的法律顾问审查适用的许可协议,并在适当情况下,在对客户系统进行测试之前获得许可方的授权。
客户的客户
为避免给客户带来责任,你需要了解客户的客户及其期望。客户应能够识别其客户的机密信息和任何特定的合同要求。了解第三方信息的来源(如何存储以及在适当或必要的情况下存储位置),并获得访问这些信息的同意至关重要。为了保持工作的完整性,你必须尊重客户和第三方信息的机密性,即使没有正式要求或书面协议。你将被视为客户的代理人,专业精神要求你谨慎行事并维护隐私。同样,你需要承认并尊重客户及其客户的知识产权。一般来说,为了保护客户,你还必须以保护客户信息隐私和安全的高标准来保护其客户的信息。
综上所述,信息安全评估涉及多个方面的法律责任和风险,通过采取一系列措施(如了解法律环境、进行全面安全评估、使用合同和授权书、考虑最坏情况等),并与合格的专业人员合作,可以有效减轻这些风险,确保信息安全评估工作的顺利进行。
graph LR
classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
A(了解法律环境):::process --> B(全面和持续的安全评估):::process
B --> C(使用合同定义权利):::process
C --> D(使用合格第三方专业人员):::process
D --> E(确保注意标准跟上法律演变):::process
E --> F(做好最坏情况的准备):::process
F --> G(考虑保险):::process
G --> H(签订安全评估合同):::process
H --> I(考虑授权书):::process
I --> J(超越客户关系考虑):::process
4. 安全评估合同各方面详细解读
4.1 “什么(What)”方面详细内容
安全评估和业务模式描述
在合同开头,信息安全顾问要详细说明提供的服务内容,以及自身业务的开展方式。这能让双方清楚合同的类型,比如是单纯的服务合同,还是服务之后还涉及购买和安装软件以修复发现的漏洞。同时,要明确客户的身份,描述其业务模式,例如客户是金融机构、医疗保健组织,还是有多个地理位置需要评估的组织,是否受特定法律要求和/或行业规定的约束。
合同术语定义
合同中使用的技术术语,像“漏洞”“渗透”等,都要详细解释,确保双方理解一致。因为合同签署可能涉及公司高管,而他们可能并非技术专家,所以清晰的术语定义很关键,同时律师也需要准确理解合同含义,才能为高管提供专业建议。
项目描述
要对项目范围有一个总体说明。如果是长期项目或双方有持续合作关系,还需描述项目各部分或各阶段的进展方式,以及每个阶段或部分会涉及哪些额外文件。这部分要明确信息安全顾问在评估过程中会做什么、不会做什么。客户也要清晰定义希望顾问达成的目标,比如是否涵盖所有网络、需要进行哪些类型的测试。此外,还应说明基于测试类型、测试的网络以及整体评估范围,顾问不太可能发现的漏洞类型。
假设、陈述和保证
评估中双方会有一些基本信息的假设,这些假设要在合同中明确。例如,合同中的时间表可能基于评估团队成员每周工作五天,每天从上午8:30到下午5:30的假设。对于网络假设,客户要提供网络拓扑的基本信息,评估团队据此假设可能存在的漏洞类型和合适的测试方法。合同语言还要说明假设不成立时的应对措施,比如在什么情况下合同无效、价格如何调整、评估中出现意外安全或完整性问题时测试何时停止、由谁决定、何时通知客户管理层以及通知到什么级别。
客户还需在合同中做出“陈述和保证”,明确一些关键信息的真实性,比如客户的业务运营情况、系统内持有的信息、与第三方供应商的协议、评估和测试可能影响的外部信息系统以及客户为消除影响所采取的措施,还有客户对要评估和测试的信息及系统的所有权和控制权情况,或者是否已获得相关方的书面授权。
边界和限制
除了说明评估涵盖的内容,还要明确评估不涉及的时间、地点、数据等变量。评估的总体目标是为客户的网络提供安全保障,但网络中有些区域更为敏感。不同客户对评估方法和人员的信任程度也不同,并非所有评估和测试方法都适用于网络的各个区域。
客户要谨慎考虑测试的时间、内容和方式,以及在数据污染或泄露时评估人员应采取的措施。例如,如果客户在特定日期需要运行特定报告以满足 payroll、会计、监管等义务,那么这个日期就不适合进行网络测试,因为即使测试方法合理、人员尽责,网络出现任何小故障都可能被归咎于测试团队。敏感数据需要更高的审查标准,任何可能损害、泄露数据或导致数据在一段时间内无法使用的行为,都可能导致行政或监管处罚以及昂贵的补救措施。
数据隐私标准因行业、州、国家和信息类别而异。一个网络基础设施可能包含多种类型的数据,如人事记录、内部审计或调查、专有或商业秘密信息、财务信息以及个人和企业信息记录和数据库,还可能存储受律师 - 客户或其他法律特权保护的数据。客户还应考虑员工存储数据的位置,负责协商项目范围的客户代表是否清楚企业内所有敏感数据的存储位置,以及客户是否有应对数据污染或未经授权访问的应急计划。在合同这部分,客户要指定网络中评估人员在特定时间段或特定阶段不得进行评估的区域。
需要注意的是,客户可能并不拥有和控制网络的所有区域,只能同意对其拥有和控制的部分进行测试。如果评估涉及更大的企业网络的其他部分或通过互联网进行,需要获得合同关系之外第三方的额外授权,并且必须在合格且经验丰富的顾问协商和审查的明确协议下进行。在某些情况下,评估可以通过这些更大的网络继续进行,但可能需要额外的文件,如授权书(LOA)。
可交付成果识别
评估和测试网络如果不能以可用的格式向客户提供反馈,就是资源的浪费。合同应明确规定客户要求的可交付成果以及适用的受众级别。例如,一份300页的技术报告对于董事会可能用处不大,而一份针对客户公司高管的十页幻灯片演示文稿,重点突出漏洞的风险级别,可能更有价值。相反,给网络工程团队看同样的十页幻灯片可能也没有帮助。所以合同这部分的关键是管理客户不同层级审查的期望。
4.2 “谁(Who)”方面详细内容
合同双方身份及沟通联系人
合同要明确双方的名称、地点和后续沟通的主要联系人。通常,记录的签字官员可能不是负责管理合同或与评估人员进行日常联络的人员。此外,还应说明变更各类联系人的程序。
合同签署人权限
理想情况下,合同签署人的级别应相当,并且签字官员必须有足够的权力将双方实体绑定到合同关系产生的所有义务上。对于客户签署人来说,最好是有权根据评估建议进行变更的人员。
双方角色和责任
明确双方在人员配置水平、资源位置、谁提供资源以及其他后勤、人员和财务义务方面的具体责任至关重要。这能让双方在评估过程中专注于目标,避免每天为意外的行政问题进行协商。常见的责任划分包括:
- 谁提供设施和行政支持。
- 谁负责在评估开始前备份关键数据。
- 谁负责发起项目状态报告的沟通,是客户要求更新,还是评估团队定期报告,状态报告是书面形式还是口头形式并仅记录在信息安全顾问的记录中。
- 谁负责批准偏离合同或评估计划的情况,以及如何记录这些决策。
- 谁将执行评估各阶段的每个方面(客户是否会提供技术人员)。
- 谁负责在评估开始前绘制网络地图(这些地图是否会提供给评估团队,还是留作评估结束后比较之用)。
- 谁负责向客户组织的高级官员进行简报。
- 谁负责向评估负责人和高管报告与商定项目计划的差异。
- 谁负责报告评估过程中发现的政策、法规或法律违规行为。
- 谁有权在网络出现异常时终止评估。
- 谁承担评估期间不可预见后果或情况的风险。
非披露和保密协议
许多与信息安全评估相关的文件和信息包含关键信息,如果不当披露可能会损害一方或双方的利益。双方都有责任保护工具、技术、漏洞和信息不超出书面协议规定的范围披露。保密协议应严格界定以保护敏感信息,同时允许双方有效运作。需要考虑包含的具体领域包括:评估报告和结果的所有权和使用、在客户文件中使用测试方法、法律要求的披露以及披露限制的时间期限。通常,将保密/保密协议作为单独的独立文件更为可取,这样在后续可能的公开诉讼中,可以尽量减少公开披露的合同细节。
评估人员要求
安全评估团队由各种专业人员组成,无论是来自客户组织还是由承包商提供。合同应明确完成评估各阶段所需的人员要求,双方要清楚每个团队成员的技能和背景。在可能的情况下,合同应包含进行评估的人员信息。双方还应考虑由谁出资以及由谁对分配到评估敏感网络的人员进行背景调查。
危机管理和公共沟通
网络安全评估可能会出现混乱情况,没有网络是100%安全的,评估团队必然会发现漏洞,也可能会遇到意外危险或采取导致意外结果的行动,影响网络或网络上的数据。在合同阶段制定通知程序,通常可以在出现问题时维护评估的完整性。双方应明确在向客户的员工、客户、股东等提供信息时,谁起主导作用,确定信息提供的时间、内容和方式。这部分还应说明客户希望评估团队或负责人在公关工作中扮演什么角色。制定危机管理程序也是明智之举,并且必须有合格且经验丰富的法律顾问参与这些过程。
赔偿、免责和辩护义务
与许多其他服务合同相比,安全评估合同更应包含详细条款,明确保护信息安全顾问免受各种合同纠纷索赔。除了标准合同语言外,这些条款应具体说明客户和信息安全顾问在防御外部系统或信息损坏索赔、知识产权或软件许可侵权索赔(如果信息安全顾问为评估目的开发了软件)方面的责任(及其限制)。
信息的所有权和控制权
最终报告和高管简报中的信息可能非常敏感,双方必须明确谁拥有和控制这些信息的披露和传播,以及双方在审查过程后可以如何使用这些信息。任何专有信息或流程,包括商业秘密,都应在合同中单独标记并涵盖。关键主题包括:在双方的营销或销售手册中使用评估结果、向管理层或监管机构发布结果、在行业调查中披露统计数据等。客户应在这部分说明对信息的内部公司控制措施。如果客户要求对评估数据进行加密,应明确规定这些要求以及由谁负责创建或提供密钥。
信息安全评估合同中必须特别涵盖的一个重要所有权领域是如何处理评估产生的报告和其他文件。信息安全顾问是否可以在评估结束后的合理时间内保留文件副本(例如,以防客户对顾问采取法律行动),谁负责销毁多余的文件副本,信息安全顾问是否可以使用经过适当清理的报告版本作为工作成果示例。
知识产权问题
知识产权的所有权和使用是一个复杂的法律领域。然而,前面对评估信息所有权和使用的明确指导将有助于双方避免知识产权纠纷。双方建立顺利法律关系的关键是明确期望。
软件许可证
评估团队必须确保在评估中使用的每一款软件都有有效的许可证,客户也应核实许可证的有效性。
4.3 “何时(When)”方面详细内容
合同要制定评估的时间表,涵盖所有阶段,并包含应对时间表变更的应急条款。至少应规定总体评估和每个阶段的时间线,包括:
- 完成可交付成果草稿和最终格式的时间线。
- 如果有要求,估计的高管简报日期。
- 任何预期后续工作的时间线。
不可避免地,会有一些因素影响时间表,如人员变动、网络拓扑变化等。虽然合同团队无法控制这些因素,但可以在合同中起草相关条款,根据不同情况快速调整时间表。评估中的短暂中断如果发生在敏感阶段,可能会产生长期影响。在合同签订阶段,双方应与公司内的其他部门协商,确定哪些事件可能影响时间表。如果没有充分规划以应对日程冲突或中断,可能会导致一方违约。双方应就评估必须提前终止的情况下的应急计划达成一致,应急计划可以包括稍后恢复评估或根据完成的阶段调整合同总费用。
4.4 “何地(Where)”方面详细内容
合同要明确评估的地理位置和逻辑位置,具体说明测试的地点。为评估设定边界,避免对评估范围产生重大误解,应列出每个设施的物理地址和/或逻辑位置,包括IP地址范围。要确保该IP空间内连接的每台机器都在客户的法律和物理控制之下。如果评估涉及美国境外的地点,应立即寻求法律顾问的建议。虽然本部分无法涵盖海外法律的快速发展,但要知道许多国家正在实施计算机犯罪法律,并建立民事和刑事响应机制来打击计算机犯罪。网络安全评估的某些方面可能被视为未经授权访问受保护的计算机,评估提供商和客户在考虑对部分位于国外的系统进行评估时,需要采取额外的预防措施并实施更严格的通知程序。
此外,合同还应说明评估团队的运营基地位置。如果两个位置在地理上分开,双方必须解决评估所需的电子访问问题。如果评估要通过互联网进行,需要格外谨慎,因为使用互联网进行评估会带来额外的风险和法律责任,因为双方都不拥有或控制所有中间网络结构。在没有合格且经验丰富的顾问建议的情况下,不要进行需要通过互联网进行的评估和测试。
4.5 “如何(How)”方面详细内容
合同应规划完成评估的方法,识别和描述评估的每个阶段以及整体测试周期(如果合同涵盖多个评估的业务关系)。关键是避免双方出现意外情况,将复杂的评估和/或评价分解为合同中的各个阶段,让审查官员清楚他们支付的费用以及何时可以期待结果。要用精确的语言说明评估人员在每个阶段将做什么、每个阶段的目标和目的、评估团队在该阶段将完成的每项活动以及预期的可交付成果。不要使用技术俚语,提供一份关于评估和测试方法的单独背景文件(如NSA/IAM、IEM、ISO 17799等)通常比在合同中堆砌不必要的技术细节更有用。
这部分还应说明评估团队用于衡量评估结果的标准,测试结果应在一个允许随时间和不同地点进行比较的测量尺度上体现。
4.6 “多少(How Much)”方面详细内容
费用和成本
双方应讨论并商定满足双方需求的费用结构,大多数情况下需要根据阶段完成情况进行多次付款。可以用建造房屋来类比,房主在哪些阶段向总承包商付款,如挖掘和清理场地、完成基础、框架搭建、墙壁和固定装置安装或最终验收。同时,要考虑需要客户管理层批准阶段完成和付款的级别。在大多数情况下,合同的最终付款将与最终报告的交付相关。双方还应仔细讨论客户负责的费用,如果评估团队需要前往客户所在地,谁支付人员的差旅费、餐饮费、住宿费和其他非工资费用,以及处理付款需要何种级别的文件。费用是否包括机票、住宿费、里程、生活费(餐饮和杂费)等其他费用,客户是否要求费用“合理”或是否需要客户代表提前授权费用。为避免因费用问题分散团队对评估的注意力,应在合同中明确双方的期望。双方还应涵盖谁支付意外的额外费用,如设备故障费用。在某些情况下,处理真正意外费用的最佳方法是在合同中明确双方将在费用发生时协商解决。
计费方法
为了让客户的会计机制能够为合同义务做好准备,应明确计费或开票要求。如果客户要求发票上显示特定信息,应书面提供给承包商,最好在合同中明确。还应讨论发票上会出现的费用类型,客户应提供所需细节的级别指导,承包商应解释其计费能力的性质。
付款期望和时间表
合同应明确双方对及时付款的期望。承包商是在每个阶段开具发票还是按月开具发票,发票是收到即付还是在每月特定日期付款,承包商将发票发送到哪里以及发送给客户内部的谁,承包商是否要求电子支付发票,如果是,支付到哪个账户,承包商对逾期付款或退票将收取什么罚款。关键还是要解决双方的期望,避免意外情况。
收款的权利和程序
在合同关系出现问题或管理层变更影响合同的情况下,双方应明确自己的权利。与其他商业合同一样,明确权利和补救措施对于减少或避免纠纷费用至关重要。
评估期间潜在损害的保险责任
要确定哪一方(如果有的话)将为客户系统和信息以及第三方系统和信息的损害购买保险。
5. 总结与建议
信息安全评估是一个复杂且涉及多方面法律责任和风险的过程。从理解法律环境、进行全面安全评估,到使用合同和授权书明确各方权利义务,再到考虑最坏情况和保险等,每一个环节都至关重要。为了有效减轻风险,以下是一些总结性的建议:
- 持续关注法律动态,与专业法律顾问保持密切合作,确保信息安全策略符合最新法规要求。
- 建立全面、持续的安全评估体系,定期进行评估和改进,不断优化信息安全措施。
- 精心制定合同和授权书,明确各方责任和义务,保护敏感信息和商业秘密。
- 与合格的第三方专业人员合作,借助他们的专业知识和经验,提高信息安全水平。
- 制定完善的危机管理和沟通策略,在出现问题时能够及时、有效地应对,减少损失和影响。
- 考虑购买适当的保险,为可能的信息安全漏洞损失提供保障。
通过遵循这些建议,并在整个信息安全评估过程中保持谨慎和专业,企业可以更好地保护自身和客户的信息安全,降低法律风险,确保业务的稳定和可持续发展。
graph LR
classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
A(项目启动):::process --> B(确定评估范围):::process
B --> C(制定评估计划):::process
C --> D(执行评估):::process
D --> E(发现漏洞和问题):::process
E --> F(报告评估结果):::process
F --> G(制定改进措施):::process
G --> H(实施改进):::process
H --> I(重新评估):::process
I --> J(评估结束):::process
扫一扫
1516
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
