4、信息安全中的道德标准与计算机犯罪法律

信息安全中的道德标准与计算机犯罪法律

1. 渗透测试行业现状与道德标准

在网络安全领域，渗透测试是评估网络风险的重要手段。然而，当前行业中存在一些问题。有些所谓的“专业人员”进行渗透测试时，技能水平低下，仅仅提供Nessus扫描结果，却让公司误以为网络安全无虞，而实际上存在许多明显的安全漏洞，这些漏洞可能连经验不足的渗透测试人员都难以发现。

为了改善这种状况，信息安全甚至黑客领域出现了众多不同的认证。行业希望公司能将道德行为与持有相关认证的专业渗透测试人员联系起来，特别是那些有道德政策要求，且必须遵守才能维持认证的证书。不过，目前还不确定行业是否会一直保持这种状态，也不确定未来是否会要求人们获得许可证并通过考试才能自称专业渗透测试人员，而且这是否能真正解决问题也尚不清楚。

目前，专业渗透测试人员所遵循的道德标准主要是他们自行采用的。以下是一些相关主体对道德标准的要求：

1.1 雇主方面

几乎每家公司都有道德标准政策，虽然可能并非直接针对信息安全，但通常涵盖了商业活动中的所有行为。公司在雇佣承包商时，往往会要求其遵守公司的道德政策。由于承包商本身没有强制行为规范，尽管一些认证和组织隶属关系规定了道德标准，但缺乏法律强制力。因此，雇主在与承包商签订合同时，应包含一项条款，明确要求承包商阅读并遵守公司的信息安全政策和道德标准。若承包商违反规定，雇主可采取法律行动。

需要注意的是，许多安全政策虽然制定得很严格，但如果管理层在有人违反政策时不采取行动，这些政策就会变得无效。任何政策要想有效，都需要高层的支持，若无法执行，就不应制定。同时，政策和标准应明确界定不当行为，必要时可咨询律师，不要认为从互联网下载的内容就一定具有可执行