AI时代，企业如何确保信息安全和数据合规？

对于人工智能可能带来的信息安全与隐私风险，目前已经引起了社会各界的广泛关注和担忧，《网络安全法》《数据安全法》以及《个人信息保护法》的颁布实施，更是让信息安全及数据合规提升到了新的高度，掌握大量用户数据的企业正在成为重点监管的对象。

围绕AI时代如何搭建有效的信息安全管理体系来满足监管的要求，本刊专访了SGS通标中北区信息安全产品经理闫强和猎豹移动公司信息安全总监林鹏。目前AI产业企业主要存在哪些信息安全风险？在AI赛道持续深耕的猎豹移动近几年在信息安全管理中遇到哪些挑战，有何解决思路？信息安全管理领域的国际标准最新趋势是什么？两位给出了各自精辟的见解。

01信息安全如一棵大树

闫强形容信息安全如同一颗大树，主干是信息安全管理体系ISO/IEC27001标准,分支则包括针对云服务的ISO/IEC27017标准、针对隐私信息保护的ISO/IEC27701标准、针对能源的ISO/IEC27019标准、针对电信组织的ISO/IEC27011标准以及针对健康的 ISO/IEC27799标准等。随着汽车步入“四化”时代，汽车行业也有针对智能网联架构下保护整车厂供应链信息安全的TISAX（信息安全的评估和交换机制）, 针对网络安全的ISO/SAE21434标准，以及针对功能安全的ISO/SAE26262标准等。

闫强强调，隐私信息管理体系ISO/IEC27701对于AI企业是极为重要的标准之一。无论是在当下的互联网大数据环境下，还是在新冠肺炎疫情下，公民的个人信息通过各种各样的渠道被采集后存储在B端或C端，如何有效控制和处理这些个人信息，AI企业面临巨大挑战。2021年国家相继颁布了《个人信息保护法》《数据安全法》《网络安全审查办法》等诸多法规，矛头直指个人信息保护和数据安全管理。隐私信息管理体系的标准遵循GDPR《通用数据保护条例》原则，其对个人数据处理强调六大原则、八大权利。六大原则中，最主要的原则叫“合法公正透明”，即企业在对个人数据的处理过程中必须是合法地，以善意和对数据主体合理的⽅式进行。比如，用摄像头做人脸信息采集，如果没有提前告知用户，其行为就构成违法。八大权利是数据主体被采集信息时最主要的八大方面的权利，其中第一条叫“知情权”，即在采集信息时应告知用户，最后一条叫“不受制于自动化决策（含画像）”。针对自动化决策，用户可以拒绝，应用软件的隐私政策里包含有取消自动化决策的窗口，但并不是所有应用软件都有这样的窗口，因此应用软件在隐私方面的管理任重道远。

随着汽车逐渐变成智能终端，演变为一个物联网产品，汽车行业也牵涉到很多信息安全、网络安全和隐私保护的要求。闫强介绍，TISAX值得信赖的信息安全评估交换（Trusted Information Security Assessment Exchange）是由德国汽车工业联合会制定的重要标准，以帮助在智能网联架构下保护整车厂供应链的信息安全。在国际认证上，TISAX的评估有3个评估级别，AL1到AL3，数字越大，等级越高；8个评估对象，如客户通常选择的评估对象、保护需求极高的信息、原型零件保护、数据保护等。

02“大树主干”将有所变化

2022年2月，信息安全管理体系中的“大树主干”发生了变化，ISO国际标准化组织更新发布了ISO/IEC27002:2022信息安全、网络安全和隐私保护—信息安全控制，以作为组织根据信息安全管理体系认证标准定制和实施信息安全控制措施的指南。

闫强指出，新版标准在旧版标准基础上进行了一系列的完善和补充，标准的更新对企业的安全技术及安全控制提出了更高的要求。

闫强解读，新版标准对信息安全管理体系中的控制项数量进行了一系列调整，由以前的114个控制措施更新为93个控制措施，但这并不意味着控制措施有所减少，只是将一些控制措施进行重新命名和合并，同时还增加了11个新的控制措施。新版标准还将13个控制域变更为4个控制域，即从组织控制、人员控制、物理控制、技术控制4个维度对信息安全的控制方法进行阐释。

新版本在组织控制维度上增加了威胁情报控制措施。威胁情报的主要目的和目标是让安全团队更了解组织机构的安全风险，了解整体的安全威胁态势，更早地了解具体的安全威胁，并使企业能够从被动防御转变为主动防御。企业需要关注外部环境的一些漏洞给企业软件带来的风险和影响，从漏洞生命周期的角度管理，在漏洞发现后评估风险，制定解决方案，进而做补丁升级、测试和发布。

新版本增加了“网络安全、隐私保护”的相关条款，更好地契合组织对信息安全管理的新需求。以前信息安全更注重承载信息的媒介，如图纸、代码或数据，新版标准里增加了隐私保护要求，对个人信息如何安全存储、处理、转移、转让都有了新的要求。

03AI企业挑战升级，应对升级

猎豹移动正在从移动互联网向以AI驱动的产业互联网进行战略升级，在持续深耕AI赛道过程中对信息安全管理有更深的体会。林鹏表示，从行业洞察来看，互联网企业的信息安全风险来自两个方面的挑战——合规性和技术。

从合规性来说，数据是互联网公司的“硬通货”，随着近几年国家相继出台信息安全方面的法规，互联网企业面临合规风险。如某些互联网企业开发的应用软件一旦出现过度收集数据、不合规存储和使用数据等行为，轻则通报，重则下架，这样无论从经营层面还是从信誉层面都会给企业造成一定的损失。长期以来，在数据安全等问题上，以AI企业为代表的互联网公司一直在“摸着石头过河”，甚至是“半黑不白”，在数据方面还希冀探索一些商业路径。比如，一些企业在商场里通过人脸识别进行统计和做一些差异化分析。自从国家对数据处理者在收集人脸识别信息上的约束从严从紧，这条路商业之路基本上已经走不通了。

从技术上来说，传统互联网企业对外需要抵御黑客入侵，对内需要防止内部信息被员工泄露。当前黑客的挑战主要表现为二，一是把互联网企业内部信息偷出来，放到网络进行公开售卖，获得价格不菲的回报；一是随着各种加密货币的产生使用新型勒索手段。如若互联网企业没有做好充分的信息安全部署，因端口开放或弱口令等一些问题中了勒索病毒，基本上很难解锁，也很难查到真正的主使人是谁。

林鹏称，2018年5月GDPR落地之际，猎豹移动以此为契机，进行了一系列信息安全的合规性检查和自查，并请外部检查机构培训和梳理流程制度。猎豹移动还专门成立了安全与隐私委员会，相当于一个专项组，由最高领导亲自挂帅，全公司员工配合，为这项法律的落地做好准备与应对。

“从近年的重大安全事件、实战攻防演练中我们可以看出，软件供应链攻击已成为突破业务防线的新路径之一。”林鹏说：“软件供应链安全问题已经成为一种流行的攻击趋势。软件供应链安全管理的背后是资产管理的问题，谁在资产运营方面做得更细致，谁就可能在突发的供应链漏洞爆发时处于一个比较优势的地位。”

林鹏坦言，作为一家企业，虽然在信息安全方面想要做到面面俱到，但是真正要从宏观上解决问题，还需站在一个更高的纬度，这也是猎豹移动与SGS合作的宗旨。猎豹移动一方面获得了SGS的一些专业指导，另一方面也借此了解了其他公司的最佳实践，并结合自身特定的业务场景，最终实现了解决方案的落地。更重要的是，猎豹移动通过第三方机构向业内和用户证明了自己在信息安全方面的用心和投入。

“跨过生死存亡的考验后，AI企业亟须把信息安全纳入管理体系之列。”林鹏说。对于未来，林鹏表示，猎豹移动将从三个方面织网布局：一是继续加强信息安全建设，跟进信息安全管理体系最新版本，引导业务合规；二是加大安全建设投入，把信息安全防御等级提高到新的门槛，增加攻击者的攻击成本；三是查漏补缺，学习新技术，比如AI对抗技术、云相关技术，因为合规是一个动态变化过程，安全技术也在不断变化，信息安全从业者要通过知识迭代，带领企业朝着更合规、更安全的方向一路畅行，不断地为客户的安全保驾护航。

04搭建有效的信息安全管理

“在信息安全管理服务上，作为全球知名的第三方机构，SGS投入大量人力物力开发产品，培养核心竞争力。在服务企业的过程中，SGS不仅仅告诉企业什么是合规的，更要告诉企业怎样做到合规。”闫强说。

对于企业如何搭建有效的信心安全管理体系，闫强给出了3个方面的专业建议。

第一，发挥领导力的作用。一个企业对信息安全的重视程度取决于最高管理层对信息安全的认知程度。闫强指出，过去信息安全是七分技术、三分管理，现在是五分技术、五分管理。在审核过上千家企业后，闫强对领导力的作用感触颇深。领导力不但为策划提供支持，也为执行、监事、持续改进提供了强有力的支撑。没有领导参与的管理体系不过是一纸空谈。

第二，系统的方法。分析工具的使用对企业科学化、精准化、精细化管理十分重要。比如，威胁分析和风险评估（TARA）、失效模式与影响分析（FMEA）、业务影响分析(BIA) 等。行业最佳实践也是方法之一。除了管理，IT行业还需实施一些外部检测和自动化工具，比如定期做渗透测试、漏扫、等保测评、数据防丢失（DLP）保护、加密系统、运维监控系统、单点登录（SSO）、身份认证系统等，以帮助企业推进自动化管理，减少因人为原因造成的一些疏忽或者疏漏，及时发现和解决问题。

第三，加强培训。不管线上培训还是线下培训，最好全员参与。培训可以明晰一个企业合规的边界在哪里，高压红线在哪里。另外，为了加强员工信息安全教育，一些宣传标语、宣传页也很重要。

注：本文来源于《进出口经理人》微信公众号。