1. 我国的信息安全现状

近些年来，隐私泄露事件频发，导致当事人发生严重的恶性后果，个人隐私的保护被不知不觉中提高到前所未有的高度，当在科技高速进步的今天，人们在日常生活和工作中都无法摆脱个人信息数据被采集和传播的情况。但是网络攻击还是大范围的存在。中国互联网信息中心在《2013年中国网民信息安全状况研究报告》中指出，“整体上，我国信息安全环境不容乐观，有74.1%的网民在过去半年内遇到过信息安全问题，总人数达4.38亿”，“信息安全事件对人们的影响较大。遭受安全事件的人群中，50.4%的人认为‘花费时间和精力’，有28.2%的人学习或工作受到了影响，13.1%的人重要资料或联系人信息丢失，还有8.8%的人经济受到损失”，在2015年4月发布的《2014年我国互联网网络安全态势报告》中指出，“网站数据和个人信息泄露仍呈高发态势”，“移动应用程序成为数据泄露的新主体”，“具有短信拦截功能的移动恶意程序大量爆发”，“智能终端将成为新的攻击入口，物联网面临安全挑战”。国家互联网应急中心2016年4月发布的《2015年我国互联网网络安全态势综述》显示，2015年互联网应急中心获得移动互联网恶意程序数量近148万个，较2014年增长55.3%，恶意程序数量连续三年大幅增长。报告显示，近年来移动互联网恶意程序呈现爆发增长趋势，主要针对安卓平台。中国互联网信息中心在2017年1月发布的《中国互联网络发展状况统计报告》中指出，“截至2016年12月，我国网民规模达7.31亿”，“手机网民规模达6.95亿”，“11月7日，十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法》”，“12月27日，国家互联网信息办公室发布《国家网络空间安全战略》”，“数据显示，2016年遭遇过网络安全事件的用户占比达到整体网民的70.5%”，其中网络诈骗和个人信息泄露占比分别是39.1%和32.9%。

我们可以看到信息安全已经引起高度重视，信息系统将变得更加安全，特别是企业用户的信息安全系统表现较好，但是针对个人信息安全的攻击事件在逐年变多情况严重，且非常接近大众的日常生活，情况较为严重，这样导致的结果是个人隐私很容易被泄露。

2. 网络信息安全面临的问题和挑战

网络安全威胁的现状及主要因由：

1. 主要涉及以下几个方面法律法规和管理不完善，制定不及时

随着信息技术快速发展和广泛应用，国内相关法律法规和管理政策等在解决信息资源保密性、完整性、可用性、可控性、可审查性等方面应用中出现的一些问题，显得相对滞后且不够健全与完善。出现了一些企事业机构或个人用户法制观念淡薄，对网络风险和隐患不甚了解，网络安全意识不强、自身管理措施和方法不完善等问题，甚至出现内部监守自盗案件。重技术、轻管理和网络安全知识不够普及成为一个重要问题。

2. 企业和政府的侧重点不一致

政府注重信息及网络安全的可管性和可控性，企业则注重其可用性、效益和可靠性。

3. 网络安全技术和手段滞后

计算机技术不断发展，伴随的各种网络安全问题层出不穷，网络攻击及计算机病毒变化多端，相应的网络安全技术和手段相对滞后，更新不及时、不完善。

4. 网络安全风险和隐患增强

在现代信息化社会，电子商务、网络银行、电子政务、办公自动化和其他各种业务的应用对计算机网络的依赖程度越来越高，计算机网络的开放性、共享性、交互性和分散性等特点，以及网络系统及协议等从设计到实现自身存在的安全漏洞、缺陷和隐患，致使网络存在着巨大的风险和威胁。个人敏感信息窃取盗卖、恶意攻击、病毒、垃圾邮件严重威胁到了国家网络安全。

3. 标准对保护个人信息的作用

个人信息安全保护规范是针对个人信息面临的安全问题，规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为，旨在遏制个人信息非法收集、滥用、泄漏等乱象，最大程度地保障个人的合法权益和社会公共利益。

1、 为法律法规的实践提供了具体指导

2017年6月《网络安全法》正式生效，其中在第四章对网络信息安全作出了要求，法律只能在行为上的进行约束，无法给出具体的操作实践，而个人信息安全规范标准整好弥补了这个空缺，对企业的软件产品的具体行为给出了做什么、如何做的建议。

2、 为相关测试标准提供了基础标准

软件产品的面市要经过安全可控的测试环节才可以，目前的相关测试只是从功能和性能上进行了检测评估，而没有从个人信息安全的角度进行评估，个人信息安全规范标准给出了软件的具体行为操作纲要，对于制定测试标准的工作者来说，按照这套标准再进行测评标准的制定，就可以有效评估一个软件是否能够保护个人的信息安全，同时也能让相关企业了解如何做才能更好保护个人资产。

3、 为企业开发新产品提供了参考

原来企业在开发新产品的时候，要满足功能和性能上的要求，就可以面向市场进行应用和推广。当积累大量的用户的时候，该公司和软件的行为就会产生的社会效应。在今天不断爆发的个人信息泄漏事件就是由于企业没有重视对个人信息的保护。发布了个人信息安全规范后，企业开发软件就有了一个参考标准：哪些属于个人敏感信息，这些敏感信息如何处理，涉及到敏感信息的软件在运营中如何管理等等。产品的开发新产品保护个人信息安全具有很大的指导意义。

4、 为企业风险管理提供了参考

一个企业在进行信息化建设的时候，风险管理团队需要对建设的信息化系统进行全面的评估，无论是ISO270001还是等级保护标准都是从管理流程和软件系统安全的角度进行评估，无法做到针对个人信息安全的细的粒度的检查和评估，现在有了个人信息安全规范，在做安全评估的时候，就更加有针对性。

5、 有利于加强企业和个人信息安全意识的培养

目前虽然安全事件频发，其中占比最大的是个人信息泄露，说明企业包括相关的软件研发人员对这部分的安全重视程度不够，通过本标准的颁布和宣传，就可以引起企业和研发人员的重视，从而采取行动对这一块薄弱环节进行补强。

4. 企业该如何落实个人信息安全规范

1. 组织相关部门参加培训学习

达到思想上的高度统一才能将个人信息安全保护落到实处，组织产品开发以及运营团队学习该规范，让相关责任人知道哪些能做哪些不能做，让架构师在设计研发方案的时候提前规划保护方案，不要等产品做出来再进行补充完善，最后就可能无法做到。同时还要组织风控团队认真学习，从而能够正确修改流程落实到对应的管理流程中。

2. 在新产品设计和产品研发中遵照标准要求设计流程和数据使用方式

个人信息安全规范清晰的定义了个人信息以及对个人敏感信息给出了示例和判定，同时给出了个人信息的增删改查的最佳实践要求，对于产品研发团队来说，在产品需求阶段就应该对这一部分提出完整的约束性定义，这样在产品研发设计阶段就可以全盘考虑这一部分，在测试阶段测试也会将其编入测试用例，作为重点测试评估点。

3. 对原有产品的改造

由于很多产品已经上线使用，出问题的就在这些软件产品中，而这些产品的改造也是最迫切的，之前企业已经建立相应的安全基线，但还是应该从根本上进行安全防护处理，这样防止一旦最后的防线被破坏，恶意攻击者也无法拿到有效的数据。考虑到线上系统进行更新升级的困难较大，建议进行分阶段分批次进行更新优化。比如先考虑已保存数据的去标识化处理和保存时间的最小化处理这样让用户无感知，由于修改个人信息收集和使用涉及到与使用者的交互，所以逐渐添加流程引导用户进行确认，这一步可以教育用户进行使用，同时也是培养全社会个人信息安全保护意识的过程。

4. 安全制度的修订和实施

为了保证产品上线以及产品运维阶段都已经满足个人信息安全规范的各个要求，需要从流程上规范在各个检查点进行检查，安全管理制度上进行修订是必不可少的。在个人信息安全规范中也提到了对组织的管理要求：要明确责任的部门和人员、开展个人信息安全影响的评估、数据的安全能力、人员的管理与培训以及安全审计。企业修订安全制度后一定要按照修订后的流程进行监督执行，这样才能把对个人信息安全的保护落到实处。

5. 未来展望

个人信息安全保护标准的颁布是网络安全法的有效补充，对目前社会上不断出现窃取个人信息进行倒卖的黑色、灰色产业链的有效打击，也是企业行为自律的有效手段，相信在信息安全技术个人信息安全规范标准颁布实施以后，将会制定出越来越多的相关系列标准、检测标准来指导企业行为。未来会有效降低信息泄露事件，给国家人民资产得到有效保障，是我国积极实施网络空间安全战略重要步骤。