越來越多的網(wǎng)絡(luò)安全事件對企業(yè)造成了嚴(yán)重的負(fù)面影響，促使各國立法者探索新的政策法規(guī)。當(dāng)然，GDPR是去年最受歡迎的話題之一(歐盟委員會(huì)的報(bào)告顯示，2018年5月谷歌對GDPR的調(diào)查比碧昂斯(Beyonce)和金·卡戴珊(Kim Kardashian)的調(diào)查更受歡迎)。在完成了最初的GDPR實(shí)施階段后，公司開始著手處理與新要求相關(guān)的實(shí)際挑戰(zhàn)。其中一項(xiàng)措施是向監(jiān)管當(dāng)局舉報(bào)個(gè)人資料被侵犯，并通知資料當(dāng)事人。

然而，《國內(nèi)生產(chǎn)總值規(guī)例》并不是唯一訂明有義務(wù)通知某些人士有關(guān)違規(guī)及事件的約束性法例。一些國家效仿隱私保護(hù)“浪潮”，推出了自己的數(shù)據(jù)保護(hù)法案，要求類似的違約通知。此外，亦有其他法例，不只是針對個(gè)人資料的事宜，亦涵蓋有關(guān)違反及事件的通知程序(例如，NIS指令、PSD 2及保密指令，以及執(zhí)行該等指令的國家層面的法例及指引)。廣泛適用的規(guī)則(這對國際企業(yè)尤其重要)可能會(huì)導(dǎo)致組織問題和對可能發(fā)生的事件應(yīng)采取的行動(dòng)的誤解。此外，不同情況下使用的術(shù)語也不同。有些行為是指違反行為，有些是指事件，在每一特定情況下，應(yīng)在相應(yīng)行為的范圍內(nèi)評估所用術(shù)語的含義。

為了解在歐盟應(yīng)采取哪些步驟，以確保適當(dāng)?shù)氖录蜻`反事件報(bào)告，建議考慮以下各方面，并加以總結(jié)，以供日后使用

1. 適用于本公司的要求。根據(jù)不同的因素，公司可能要承擔(dān)一定的法律義務(wù)。例如，當(dāng)考慮到公司成立或開展業(yè)務(wù)活動(dòng)的地區(qū)、提供的服務(wù)或生產(chǎn)的產(chǎn)品的性質(zhì)以及受公司影響的客戶或合作伙伴時(shí)，適用性可能會(huì)有所不同。例如，GDPR也適用于為位于歐盟的數(shù)據(jù)主體提供商品或服務(wù)的非歐盟公司，而NIS指令適用于歐盟內(nèi)部的網(wǎng)絡(luò)和信息系統(tǒng)。由于歐盟的指令通常是在一個(gè)國家層面上執(zhí)行的，企業(yè)應(yīng)根據(jù)本國的法律檢查自己的義務(wù)。此外，建議不要忘記刑事或行政法律等行為。在一些國家，這類文件還包括某些類型的事件，這些事件可能要求報(bào)告義務(wù)。

2. 事件的分類。當(dāng)它是明確的行為對公司具有約束力,需要了解哪些情況下“觸發(fā)”義務(wù)報(bào)告事件——即信息的類型,系統(tǒng),影響人,和規(guī)模的事件屬于的風(fēng)險(xiǎn)程度,這是否需要披露。例如，數(shù)字服務(wù)提供商或關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營的個(gè)人數(shù)據(jù)和金融信息系統(tǒng)可能會(huì)受到影響，但不一定在所有情況下都需要報(bào)告。

3.反應(yīng)時(shí)間。下一步是在截止日期前報(bào)告不同類型的違規(guī)或事件。最后期限的法定要求可能從幾個(gè)小時(shí)到幾天或幾個(gè)月不等，這取決于事件的類型。

4. 報(bào)告。通知義務(wù)的范圍也可能不同。有些法案要求向當(dāng)局報(bào)告，如個(gè)人資料保護(hù)監(jiān)督當(dāng)局、類似CERT(計(jì)算機(jī)緊急應(yīng)變小組)的當(dāng)局、金融和電信監(jiān)管機(jī)構(gòu)或警方。此外，公司可能有義務(wù)通知其他受影響方(客戶、員工、合作伙伴)。

5. 內(nèi)容。最后一步是根據(jù)適用的需求確定將要報(bào)告的信息。還可以使用特殊的報(bào)表或官方模板(如果有的話)。然而，這并不意味著公司不能收集任何額外的信息用于內(nèi)部事件響應(yīng)目的。

上述信息的匯總應(yīng)以公司事故報(bào)告負(fù)責(zé)人能夠理解的方式傳達(dá)。然而，上述活動(dòng)僅僅是開始，下一個(gè)任務(wù)是確保報(bào)告過程得到正確組織，并以適當(dāng)?shù)姆绞竭M(jìn)行。

注：來源于ISACA  作者：Anna Vladimirova-Kryukova