企業(yè)個(gè)人信息安全的投資回報(bào)率淺析

陶麗雯 謝宗曉

（中國金融認(rèn)證中心）

1 引言

目前，在互聯(lián)網(wǎng)應(yīng)用中，個(gè)人的信息頻繁被秘密收集、處理和使用，如果缺乏對數(shù)據(jù)控制機(jī)構(gòu)的監(jiān)管，數(shù)據(jù)質(zhì)量上的保障，直至缺乏申訴和救濟(jì)渠道等，個(gè)人信息使用帶來的負(fù)面影響可想而知。

國際上，個(gè)人信息保護(hù)領(lǐng)域已有ISO/IEC 2nd CD 29134、ISO/IEC 2nd CD 29151等標(biāo)準(zhǔn)，而美國的NIST SP 800-122、NIST SP 800-53附錄J等對原NIST SP 800-53進(jìn)行了補(bǔ)充；歐盟議會(huì)于2016年4月通過了General Data Protection Regulation（以下簡稱：GDPR），更新了歐盟成員國以及任何與歐盟各國進(jìn)行交易或持有公民數(shù)據(jù)的公司必須存儲(chǔ)安全和管理個(gè)人數(shù)據(jù)的方式。在國內(nèi)，GB/T 35273—2017《信息安全技術(shù) 個(gè)人信息安全規(guī)范》正式實(shí)施，是一項(xiàng)推薦性的國家標(biāo)準(zhǔn)，雖不具有強(qiáng)制力，但也及時(shí)地填補(bǔ)了現(xiàn)今國內(nèi)個(gè)人信息保護(hù)中諸多技術(shù)細(xì)節(jié)與實(shí)操領(lǐng)域的規(guī)范空白。

對于任何組織來說，投資管理層需要衡量企業(yè)的成本效益，證明財(cái)務(wù)的預(yù)算使用是合理的，并為下一個(gè)預(yù)算執(zhí)行提供支持性依據(jù)。近年來，許多金融管理層、金融科技部門和信息安全部門也在嘗試和使用投資回報(bào)率（Return On Investment，ROI）來幫助管理層決策。本文是基于對部分企業(yè)、銀行的調(diào)研，建立經(jīng)濟(jì)模型的方式來分析個(gè)人信息安全的投資回報(bào)率。

2 ROSI模型

ROI 通常是通過式（1）[1]來計(jì)算的。

舉例，某銀行投資20000元，帶來了45000元的收益，那企業(yè)的投資回報(bào)率就是（45000-20000）/20000×100%=125% 。

傳統(tǒng)的投資回報(bào)率計(jì)算方式也適合信息安全投資，ROI的計(jì)算對于信息安全方面的投資來說卻是一件很艱難的事，因?yàn)榘踩顿Y對大多數(shù)企業(yè)來說，并不能帶來非常直接的收益和利潤。因此，計(jì)算信息安全投資回報(bào)率應(yīng)該計(jì)算通過安全投資避免了多少損失，也被稱之為“ROSI”（Return of Security Investment）。

丘東等[2]提出應(yīng)考慮所有關(guān)聯(lián)的風(fēng)險(xiǎn)預(yù)期損失和安全控制支出，信息安全的投資收益回報(bào)率的預(yù)期收益應(yīng)該表現(xiàn)為風(fēng)險(xiǎn)預(yù)期損失與信息安全風(fēng)險(xiǎn)降低預(yù)期比率的乘積，信息安全投資收益回報(bào)率可以表述為式（2）。

3 個(gè)人信息安全風(fēng)險(xiǎn)預(yù)期損失的量化

企業(yè)的財(cái)務(wù)支出基本上是依據(jù)投入產(chǎn)出比來考慮企業(yè)的投資，從信息安全領(lǐng)域來講，European Network and Information Security Agency（ENISA）提出在信息安全投資領(lǐng)域，ROSI 能給決策者提供以下定量的指標(biāo)，例如：組織是否對信息安全投資過度？信息安全缺少是否會(huì)對企業(yè)收益造成影響？什么時(shí)候安全投資就足夠了？安全產(chǎn)品或者方案是否對企業(yè)有益？

選取2016年08月～2018年05月本院收治的后循環(huán)缺血患者92例作為研究對象，將其隨機(jī)分為對照組與研究組，各46例。入選對象均知情同意，本研究經(jīng)醫(yī)學(xué)倫理委員會(huì)審核批準(zhǔn)。其中，研究組男24例、女22例，年齡43～62歲，平均（53.69±2.78）歲，病程5 h～2 w，平均（1.21±0.04）w；對照組男26例、女20例，年齡42～63歲，平均（53.49±2.90）歲，病程4 h～2 w，平均（1.17±0.06）w。兩組患者一般資料比較，差異無統(tǒng)計(jì)學(xué)意義（P＞0.05）。

定量風(fēng)險(xiǎn)評估是通過確定風(fēng)險(xiǎn)的幾個(gè)組成部分來實(shí)現(xiàn)的，對于個(gè)人信息安全風(fēng)險(xiǎn)預(yù)期的量化也同樣適用。

3.1 量化年度的預(yù)期損失

第一種， ENISA提出ALE（Annual Loss Expectancy）是指對特定資產(chǎn)的特定風(fēng)險(xiǎn)可能造成的年度貨幣損失。計(jì)算方法見式（3）[1]。

式中，SLE是指單一風(fēng)險(xiǎn)發(fā)生時(shí)預(yù)期損失，具體威脅SLE的計(jì)算將包括哪些內(nèi)容，將取決于銀行的商業(yè)目標(biāo)、價(jià)值觀和現(xiàn)有的安全措施；ARO是對一年發(fā)生風(fēng)險(xiǎn)的概率的度量。例如，銀行開展金融業(yè)務(wù)需要考慮個(gè)人信息數(shù)據(jù)全生命周期，包含采集、保存、使用、共享、委托、轉(zhuǎn)讓、銷毀等階段，對易出現(xiàn)的高風(fēng)險(xiǎn)的安全事件發(fā)生的原因進(jìn)行分析。如采集階段是否超業(yè)務(wù)范圍過度采集數(shù)據(jù)，傳輸階段是否有加密措施進(jìn)行數(shù)據(jù)的保護(hù)等。

還可以通過緩解率來計(jì)算，緩解率就是實(shí)施某個(gè)安全措施后減少攻擊的比例，ROSI 公式可以表示為式（4）[1]。

第二種，文獻(xiàn)[3] 考慮了資產(chǎn)價(jià)值、破壞程度、年度發(fā)生率等因素提出了公認(rèn)的風(fēng)險(xiǎn)預(yù)期損失模型，見式（5）。

式中，n為單次風(fēng)險(xiǎn)所影響的資產(chǎn)數(shù)量；ARO為年度發(fā)生率。資產(chǎn)價(jià)值、破壞程度、年度發(fā)生率等數(shù)據(jù)的獲得方法參考文獻(xiàn)[4] 。

式（3）、式（5）都在一定程度上解釋了量化年度預(yù)期損失的計(jì)算方法，對于商業(yè)銀行來說，不同類型的個(gè)人信息泄露造成的威脅和脆弱性需要具體分析風(fēng)險(xiǎn)評估策略。

3.2 其他重要評估的參數(shù)確認(rèn)

（1）個(gè)人信息安全影響評估參數(shù)分析

2018年6月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布了《個(gè)人信息安全影響評估指南》（征求意見稿），規(guī)定了針對個(gè)人信息處理活動(dòng)，檢驗(yàn)其合法合規(guī)程度，判斷其對個(gè)人信息主體合法權(quán)益造成損害的各種風(fēng)險(xiǎn)，以及評估用于保護(hù)個(gè)人信息主體的各項(xiàng)措施有效性的過程。提出個(gè)人信息安全影響評估的基本概念、框架、方法和流程，個(gè)人信息安全影響評估的基本原理見圖1，主要為：

a）數(shù)據(jù)映射分析階段需結(jié)合個(gè)人信息處理的具體場景，初步判定所處理的個(gè)人信息哪些屬于個(gè)人敏感信息。

b）個(gè)人權(quán)益影響分析指分析不同的個(gè)人信息處理活動(dòng)是否存在對個(gè)人信息主體權(quán)益產(chǎn)生影響。個(gè)人權(quán)益影響可概括為“影響個(gè)人自主決定權(quán)”“引發(fā)差別性待遇”“個(gè)人名譽(yù)受損或遭受精神壓力”“個(gè)人財(cái)產(chǎn)受損”四個(gè)維度。

c）決定個(gè)人信息安全事件發(fā)生的要素很多，需考慮“網(wǎng)絡(luò)環(huán)境和技術(shù)措施”“處理流程規(guī)范性”“參與人員與第三方”“安全態(tài)勢及處理規(guī)?！彼姆矫鎸?dǎo)致安全事件發(fā)生的可能性進(jìn)行綜合評價(jià)，得到安全事件發(fā)生的可能性。

d）綜合分析個(gè)人權(quán)益影響程度和安全事件可能性兩個(gè)要素，得出風(fēng)險(xiǎn)等級，并給出相應(yīng)的改進(jìn)建議，最終形成評估報(bào)告。風(fēng)險(xiǎn)等級可分為：嚴(yán)重、高、中、低四個(gè)等級。

圖1 個(gè)人信息安全影響評估的基本原理

（2）其他可能關(guān)注的因素

立足于銀行的業(yè)務(wù)架構(gòu)和個(gè)人信息的生命周期的流向，我們還需關(guān)注以下幾項(xiàng)造成損失的因素。如數(shù)據(jù)庫及其他敏感信息失竊及泄露的成本、網(wǎng)站在電子取證及恢復(fù)時(shí)產(chǎn)生的成本、第三方機(jī)構(gòu)進(jìn)行調(diào)查并實(shí)施補(bǔ)救帶來的成本、法律與合規(guī)罰款造成的成本、來自移動(dòng)端的信息泄露的補(bǔ)救成本等。

（3）確認(rèn)風(fēng)險(xiǎn)處置

通常根據(jù)風(fēng)險(xiǎn)評估的結(jié)果實(shí)施有效的風(fēng)險(xiǎn)處置，通常嚴(yán)重風(fēng)險(xiǎn)應(yīng)立即處置，高風(fēng)險(xiǎn)應(yīng)限期內(nèi)處置，中風(fēng)險(xiǎn)應(yīng)在權(quán)衡影響和成本后處置，低風(fēng)險(xiǎn)可選擇接受。

對于銀行業(yè)機(jī)構(gòu)高層來說，如何依據(jù)信息安全投資回報(bào)率實(shí)現(xiàn)安全投資的目標(biāo)，簡單來說分為兩點(diǎn)：一是如何證明我們確實(shí)需要投資的資金數(shù)值，二是使用這些資金是如何預(yù)防可能出現(xiàn)的超支造成的直接經(jīng)濟(jì)損失。

GDPR的正式實(shí)施，企業(yè)合規(guī)要求提高，需要大多數(shù)企業(yè)投入大量的人力、財(cái)力才能得以實(shí)現(xiàn)。每一單GDPR違規(guī)行為最高將受到高達(dá)2000萬歐元的嚴(yán)重處罰，或者上一年全球年?duì)I業(yè)額的4%，以較高者為準(zhǔn)。

舉例，某商業(yè)銀行考慮對存有客戶信息的數(shù)據(jù)庫進(jìn)行加密升級改造方案而增加預(yù)算。每年該銀行因客戶信息泄露導(dǎo)致的安全事件有12起（ARO=12），該銀行預(yù)計(jì)，每一單GDPR違規(guī)行為將受到高達(dá)2000萬歐元的嚴(yán)重處罰，或上一年全球年?duì)I業(yè)額的4%，造成的經(jīng)濟(jì)損失2000萬歐元（SLE = 2000萬歐元），實(shí)施客戶數(shù)據(jù)庫加密升級改造方案預(yù)計(jì)減少客戶信息的威脅攻擊90%（緩解率= 90%），實(shí)施成本為100萬歐元。該數(shù)據(jù)庫加密升級改造方案的安全投資回報(bào)率，按公式（2）計(jì)算如下：

ROSI=[（12×2000）×0.9-100]/100 ×100%=215%

結(jié)果顯示，這個(gè)客戶數(shù)據(jù)庫加密升級改造方案是一個(gè)投資收益較好的解決方案。需要注意的是緩解率，這個(gè)跟所選擇安全建設(shè)方案的安全配置的質(zhì)量、性價(jià)比、個(gè)人權(quán)益影響分析都是有一定關(guān)系的，如同樣是加密升級改造方案，緩解率有的可能會(huì)達(dá)到90%，而有的可能只能達(dá)到70%，而當(dāng)實(shí)施成本為200萬歐元時(shí)，該數(shù)據(jù)庫加密升級改造方案的安全投資回報(bào)率，按公式（2）計(jì)算如下：

通過計(jì)算ROSI，對前后兩個(gè)方案進(jìn)行比較，前者優(yōu)勢明顯，這將為管理實(shí)踐帶來很好的參考價(jià)值。個(gè)人信息控制者還應(yīng)持續(xù)跟蹤風(fēng)險(xiǎn)處置的落實(shí)情況，評估剩余風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)。此外，應(yīng)將評估結(jié)果用于下一次個(gè)人信息安全影響評估工作。

4 小結(jié)

對于企業(yè)而言，在個(gè)人信息安全領(lǐng)域的投資是否可以防御個(gè)人信息泄露，防范個(gè)人信息被惡意竊取等威脅，不僅僅是法律法規(guī)合規(guī)的需要，更是企業(yè)高層對其投入大量資源以保證自身的商業(yè)信譽(yù)免于損失的需要。