为保国家网络信息安全“叛徒”“国妖”请勿杀之

近年来反腐声调极高,官媒《人民日报》、《解放军报》等定性大贪为“叛徒”、“国妖”等。这些用词之强烈,在近年落马高官中前所未有的。在人们对这些前“党政军”领导人进行痛批欲杀之而后快的时候,有没有想过这些政治罪名是不是太过了?有没有想过是谁造就了他们这种“大起大落”式的职业生涯呢?

在中央公布的高官违法乱纪行为中,“严重违反党的政治纪律、组织纪律、保密纪律”、“泄露党和国家机密”引人注目。昆明亭长朗然科技有限公司国家网络安全观察员董志军说:作为曾经的常委,正国级领导干部,掌管全面“国家安全”的大人物们难道不知道保密纪律和信息安全的精要吗?答案是显而易见的——明知故犯。

让我们想一想,中央政治局党委、全国安全总管一把手都能这样忽视信息保密常识,“严重违反党的政治纪律、组织纪律、保密纪律”、“泄露党和国家机密”,让保密口和网络信息安全领域里的专家学者们和混饭吃的从业人员们该怎么对待工作啊?

不排除官媒想借此机会强化全党及全国人民的政治纪律教育的可能性,但是我们应该多思考一下为什么会产生“叛徒”和“国妖”。完全是他们的错吗?显然不是,他们可都是被绝大多数代表们选举出来的、被通过正式的任命啊!

也不能说问题出在党和人民的代表们都瞎了眼,选他们上台的时候,谁能预测未来,知晓他们日后会干出那些个伤风败俗危害国家的事情!那问题的根源究竟在哪里呢?

党、国家、军队的法律法规不少,在网络信息安全领域亦是如此,尽管还不是很完善。但是显然,这些大员们都是知法犯法的,问题的根源不在法律法规的缺失。对比到一家企业来讲,有的缺乏网络信息安全的规章,有的并不缺乏但是却没能深入人心。昆明亭长朗然董志军说:在一个长久以来的人治为主的社会系统中,网络信息安全规章在很多时候只是被拿来当作管治的工具。一旦公司的管理层和员工们这样看待网络信息安全规章制度,那它们便无法被人们从内心深处主动接受。

大到国家法律也是如此,数千年来,人们的骨子里都认为法律是被统治阶层制定来规范被统治者的工具,在这种思维下,谁会真心尊重法律呢?跃升到统治阶层有足够多资源的人们玩弄法律,被统治阶层躲避甚至刻意忽视法律,中间层则向权贵输出利益,以期打法律的擦边球。这才是问题的根源!

所以,在这个大的政治文化环境下,并不是贪腐官员们个人所要面对的问题,也不仅是这些个职位都要面对的问题,而是全党全军全国都要深思的。昆明亭长朗然董志军说:我们可以不谈治国的理念,不谈政治,但是对于一个企业来讲,有什么突破的办法么?很多公司,特别是中资公司都是社会的一部分,同样也缺乏网络信息安全合规遵循方面的企业文化,而更进一步讲,是我们缺少了对“法的精神”的认识。

人类的文明已经进化到今天,我们当然不用再重复走一篇古希腊古罗马的法制精神和理念的孕育及萌生之路。我们可以怎么办呢?昆明亭长朗然董志军说:发动类似普法教育的网络信息安全意识启蒙教育活动是很必要的。要让管理层和普通员工们遵守规章,首先得让人们真正理解它们的精神要义,而不仅仅是条款的内容。当人们理解了规章制度的背后原因,甚至不需要繁琐的内容,人们便会积极主动地实施正确的信息安全实践。

如同互联网一样,网络信息安全的管理治理方法也来自西方强国,但是到了国内,很多信息安全管理方面的方针政策、标准规范和作业指导的要义都不被人们所理解,更不能说从心底就认同了,所以执行起来的结果是可想而知的了。昆明亭长朗然科技有限公司董志军说:近期,小米的国际化道路遇阻,并非中国人不如日本人韩国人勤奋和聪明,而是不了解在国外法制市场的玩儿法。而在信息安全领域,我们多年的信息安全管理体系工作积累,可以帮助各类型的客户真正落实网络信息安全标准和流程方面的工作。我们的方法是将这些规章制度和标准流程背后的精神理念展示出来,通过有趣的启发人们思考的动画短片展示出来。只有这样,包括高管在内的全体员工,以及利益相关方才会真正重视信息安全工作,才会遵守公司的规章制度,“主动泄密”、“知法犯法”等问题才会得以有效避免。

为保国家网络信息安全,“叛徒”、“国妖”请勿杀之,留下来,让中华民族世代记住这个耻辱吧!国家安全、信息保密及网络安全负责人员及从业人员,请让我们深思这些个反面典型的形成环境和条件,在我们能够掌握或进行影响的范围内,发起有益于部门、有益于组织、有益于社区、有益于社会的信息安全意识启蒙教育计划吧!

欢迎对这个话题,或对我们的产品和服务有兴趣的朋友联系我们!

国内医疗卫生行业信息化应该避免数据泄露

医疗资源的分配不均衡使很多病人无法享受到正规大型医疗机构的专业服务,这和我国人口基数大,区域发展不平衡密切相关,相信要解决这些问题,不能通过简单发布一些政策进行医疗制度改革就可以获得立竿见影的效果。

医疗资源的分配不均必将衍生出黑市对病患医疗信息数据的旺盛需求,客观上讲,因为病患的医疗数据在医疗保健产业链中有着重要的商业价值,所以难以避免的,病患医疗数据安全事故仍将持续较长一段时间,并且可能会严重到影响患者对医疗机构保障病患信息安全的信心,进一步影响到我国医疗保健事业的长远进步和科学发展。

早在2000年之前,美国已经颁布了旨在保障病患信息安全的健康保险法案Health Insurance Portability and Accountability Act (HIPAA),在崇尚个性、注重私人隐私保护的国家,病患的隐私数据保护更是信息安全工作的重点,当然立法和行政监管机关不能无所作为,医疗保健相关产业必须在病患数据的保护上进行必要的投入和实施足够的安全控管措施,以证明其对法案的遵循。

尽管我国的隐私保护文化背景以及医疗保健制度同美国有较大的差异,但不可否认的是医疗信息化大趋势让患者不得不担心个人的病患信息,孕妇在医院检查之后立即收到各类妇婴产品推销联系电话的事件已经让社会大众开始逐渐苏醒和觉悟,等级保护等法规和医疗信息安全保障的相关规范也越来越多开始落地,医疗机构的信息科技总监、经理和主管们现在不得不开始关注患者数据保护问题。

好在有发达国家的经验和国内卫生保健监管机关颁发的信息安全工作指南可以学习和参考,所以总监经理们的工作似乎并不太难,可问题在于不能只靠总监经理们来保障信息安全,反而落实这些患者数据安全保护法规政策和规范的具体工作多由一线员工和相关服务商来完成。

现代医疗行业专注于核心的竞争力,将部分非核心专业流程进行外包早不是什么新闻;信息系统的设计、开发、实施和维护往往更是交由专业的IT系统集成商;协同合作使医疗机构之间的医疗数据交换、分享和传输的机会也越来越多,我们将这些医疗系统相关的供应商或合作商统称为第三方。部分第三方组织也同样需要遵守医疗信息安全相关政策和法规,但是并非全部,这就需要医疗组织加强对第三方安全资质进行鉴别和筛选,但是这些表面工作只能起到表面效果,而真正需要强化的安全控管核心是加强对第三方组织保护数据安全实践的审核及监控。

昆明亭长朗然科技有限公司的安全分析师James Dong说:“无疑,在合约层面要求第三方依照法规要求对病患数据进行适当的安全保护、对第三方人员进行数据安全保护的意识培训和工作监督,审核第三方对病患数据的安全使用和保护情况等等是对第三方进行安全管理工作的重点。”

而在病患数据泄露防范方面,来自医疗机构内部的安全威胁要远大于外部,多数内部威胁并非医疗从业人员即内部员工的主观过错,但是仍然是人为错误。实际上,最近的一份病患数据安全分析报告表明:医疗保健行业面临的最大数据安全威胁是人为错误,无可争议,解决之道是实施各类安全控管措施来防范人为错误。

我们通常知道的防范人为错误的方法包括在技术层面设置防呆防失误控制,在医疗数据安全的保障方面的实例便是设定医疗信息系统用户超时无活动自动退出登录,开启电脑终端屏幕自动锁定等等,以防止员工在短暂离开座位前忘记锁屏而给他人窃取病患资料的机会。

在流程管理方面,大中型医疗机构往往都有相对健全的作业流程,问题是这些流程需得以生效,必须得到流程的用户即医务工作者以及患者的了解和认可,这一点,只能通过有效的数据安全保护培训来实现。

通常人们赞同对医务工作者进行必要的患者医疗数据安全保护相关的培训,但是认为对患者即客户,似乎没有必要。这是一个认识误区,简单问一问,如果患者不经意自爆病患信息或恶意泄露其他病患的数据,造成不良后果,医疗机构能摆脱干系么?当然不能!除此之外,对患者进行数据安全意识培训还有一个好处是加强了医患之间的沟通和互动,让患者了解到医疗机构重视他们的隐私保护,进而增加患者对医疗机构的信任。

“政策法规的制定和颁发往往要落后于科技创新的发展速度,如果安全工作流程的核心精神和思想理念得不到有效的沟通,那么数据安全保障的效果会大打折扣。”亭长朗然公司的James说:“医疗保健行业也面临移动化的趋势,智能移动终端设备上的病患敏感信息也成为新的安全关注焦点。”的确,云计算和移动网络应用日益普及,优势尽显,医疗保健行业要紧跟时代变迁进行医疗服务的信息化创新,同时更要敢于突破和超载基本的法规要求,建立和不断完美保障病患数据安全的最佳操作实践。

医疗保健机构必须加强同第三方、内部医疗工作者和患者的数据安全意识教育培训,方可有效防范病患的隐私数据泄露。