員工個(gè)人信息的采集和使用

近期公布的《網(wǎng)安法》和《民法總則》并沒(méi)有直接針對(duì)員工個(gè)人信息的相關(guān)立法，貴司的問(wèn)題也沒(méi)有直接法條體現(xiàn)。但是，從實(shí)踐角度出發(fā)，用人單位最好還是遵守政府現(xiàn)行立法中就個(gè)人信息的收集和保存所制定的一般性規(guī)則，即便目前這些規(guī)則更多還是針對(duì)用戶的個(gè)人信息。用人單位應(yīng)采取一些關(guān)鍵性措施，以確保其收集和處理員工個(gè)人信息的行為符合相關(guān)法律法規(guī)中所規(guī)定的信息保護(hù)要求。

一、個(gè)人信息的定義

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第76條，“個(gè)人信息”指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。

《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》第1條：刑法第二百五十三條之一規(guī)定的“公民個(gè)人信息”,是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包括姓名、身份證件號(hào)碼、通信通訊聯(lián)系方式、住址、賬號(hào)密碼、財(cái)產(chǎn)狀況、行蹤軌跡等。

二、個(gè)人信息保護(hù)的一般條款

網(wǎng)安法項(xiàng)下的個(gè)人信息收集和保存規(guī)則適用于“網(wǎng)絡(luò)運(yùn)營(yíng)者”，尤其是“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”，即網(wǎng)安法中的個(gè)人信息保護(hù)主要是指對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者日常經(jīng)營(yíng)活動(dòng)中取得的用戶個(gè)人信息的保護(hù)。

《網(wǎng)安法》第44條：任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息，不得非法出售或者非法向他人提供個(gè)人信息。

《民法總則》第111條：自然人的個(gè)人信息受法律保護(hù)。任何組織和個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息,不得非法買(mǎi)賣(mài)、提供或者公開(kāi)他人個(gè)人信息。

用人單位在涉及處理其員工的個(gè)人信息時(shí)，同樣應(yīng)受到這些一般性條款的約束。

三、企業(yè)個(gè)人信息收集的建議

1) 招聘和錄用

許多企業(yè)曾在招聘員工過(guò)程中，對(duì)一些員工尤其高管進(jìn)行背景調(diào)查。考慮到背景調(diào)查所需的專(zhuān)業(yè)性，用人單位往往會(huì)委托第三方服務(wù)商進(jìn)行背景調(diào)查。此類(lèi)委托將可能被認(rèn)定為非法收集、傳輸、買(mǎi)賣(mài)、提供或公開(kāi)他人信息的違法行為，會(huì)被追究民事責(zé)任甚至刑事責(zé)任。所以，用人單位在進(jìn)行相關(guān)員工的背景調(diào)查時(shí)，要格外注意須事先以書(shū)面形式獲得待查員工的授權(quán)（如在offer、勞動(dòng)合同里約定明確授權(quán)并由員工簽字認(rèn)可或讓員工簽寫(xiě)《員工個(gè)人信息許可書(shū)》），從而使用人單位有權(quán)收集及調(diào)查該員工個(gè)人信息。

其次，用人單位須謹(jǐn)慎使用第三方背景調(diào)查服務(wù)商進(jìn)行調(diào)查，避免構(gòu)成非法買(mǎi)賣(mài)個(gè)人信息。如必須使用，應(yīng)在與第三方服務(wù)商的服務(wù)協(xié)議中約定免責(zé)條款，要求第三方服務(wù)商在進(jìn)行背景調(diào)查時(shí)必須依法進(jìn)行，不得有任何違法違規(guī)行為。

此外，在錄用員工時(shí)，用人單位往往要求員工填寫(xiě)《個(gè)人信息登記表》，要求員工書(shū)面披露其大量個(gè)人信息。這既是判斷勞動(dòng)者是否符合用工需求的需要，也是內(nèi)部管理需要，勞動(dòng)者正常情況下都會(huì)配合。但對(duì)于此類(lèi)個(gè)人信息搜集，應(yīng)局限于《勞動(dòng)合同法》第八條法定授權(quán)的范圍，即：用人單位有權(quán)了解勞動(dòng)者與勞動(dòng)合同直接相關(guān)的基本情況，勞動(dòng)者應(yīng)當(dāng)如實(shí)說(shuō)明。

2）員工個(gè)人信息使用與披露

《就業(yè)服務(wù)與就業(yè)管理規(guī)定》，“用人單位應(yīng)當(dāng)對(duì)勞動(dòng)者的個(gè)人資料予以保密。公開(kāi)勞動(dòng)者的個(gè)人資料信息和使用勞動(dòng)者的技術(shù)、智力成果，須經(jīng)勞動(dòng)者本人書(shū)面同意。”因此，可以通過(guò)規(guī)章制度或相關(guān)文件提前獲得特定情形下披露員工個(gè)人信息的授權(quán)。

3）員工個(gè)人信息的存儲(chǔ)與跨境轉(zhuǎn)移

實(shí)踐中，企業(yè)可能需要將在中國(guó)境內(nèi)收集的個(gè)人信息轉(zhuǎn)移至境外，例如，企業(yè)需要將國(guó)內(nèi)收集的個(gè)人信息傳輸給境外的服務(wù)商進(jìn)行數(shù)據(jù)處理，或者跨國(guó)公司需要將中國(guó)員工個(gè)人信息轉(zhuǎn)至總部以統(tǒng)一處理人事問(wèn)題。

《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》，強(qiáng)調(diào)了個(gè)人信息跨境轉(zhuǎn)移除了要依規(guī)定進(jìn)行安全評(píng)估外，更重要的一定要獲得本人同意：“個(gè)人信息出境，應(yīng)向個(gè)人信息主體說(shuō)明數(shù)據(jù)出境的目的、范圍、內(nèi)容、接收方及接收方所在的國(guó)家或地區(qū)，并經(jīng)其同意。未成年人個(gè)人信息出境須經(jīng)其監(jiān)護(hù)人同意。”

美監(jiān)察部門(mén)：CISA提高共享網(wǎng)絡(luò)威脅數(shù)據(jù)質(zhì)量的4項(xiàng)建議

“

天極按

近日，國(guó)土安全部監(jiān)察長(zhǎng)辦公室（DHS OIG）發(fā)布報(bào)告，指出了AIS參與者共享的數(shù)據(jù)質(zhì)量存在缺陷并提出了4項(xiàng)建議以幫助 CISA提高共享網(wǎng)絡(luò)威脅數(shù)據(jù)的質(zhì)量。

2015年網(wǎng)絡(luò)安全法案建立了公共和私營(yíng)部門(mén)實(shí)體之間共享網(wǎng)絡(luò)威脅信息的自愿流程。該法案要求國(guó)家情報(bào)局局長(zhǎng)、國(guó)土安全和國(guó)防部長(zhǎng)以及司法部長(zhǎng)與其他聯(lián)邦實(shí)體一起制定旨在促進(jìn)共享網(wǎng)絡(luò)威脅指標(biāo)的程序。根據(jù)該法案，網(wǎng)絡(luò)威脅指標(biāo)被定義為描述或識(shí)別網(wǎng)絡(luò)安全威脅或安全漏洞的各個(gè)方面的信息，

CISA 于2016 年創(chuàng)建了自動(dòng)指標(biāo)共享(AIS) 功能，以便與AIS 社區(qū)的參與者實(shí)時(shí)交換未分類(lèi)的網(wǎng)絡(luò)威脅信息和防御措施。CISA向參與者免費(fèi)提供 AIS服務(wù)，這是 CISA與公共和私營(yíng)部門(mén)合作伙伴合作以通過(guò)以下方式識(shí)別和減輕網(wǎng)絡(luò)威脅的使命的一部分信息共享。AIS 能力的基本概念是促進(jìn)參與者之間的交互。

要通過(guò)AIS 能力接收未分類(lèi)的網(wǎng)絡(luò)安全威脅信息，參與實(shí)體必須首先簽署信息共享協(xié)議。CISA 向 AIS參與者提供三個(gè)獨(dú)立的信息共享類(lèi)別或數(shù)據(jù)饋送：FedGov、AIS和網(wǎng)絡(luò)信息和共享協(xié)作計(jì)劃(CISCP)。

為了促進(jìn)在信息共享過(guò)程中保護(hù)個(gè)人身份信息(PII)，自動(dòng)隱私審查會(huì)在提交的網(wǎng)絡(luò)威脅指標(biāo)和需要額外人工審查的防御措施中標(biāo)記潛在的PII。如果與網(wǎng)絡(luò)安全威脅沒(méi)有直接關(guān)系，CISA網(wǎng)絡(luò)分析師則使用非機(jī)密任務(wù)操作環(huán)境中的應(yīng)用程序，從提交的網(wǎng)絡(luò)威脅指標(biāo)和防御措施中審查和編輯PII。

作為此過(guò)程的一部分，CISA編譯來(lái)自機(jī)密來(lái)源的信息，然后在傳播之前刪除敏感或私人信息。分析師將解密的網(wǎng)絡(luò)威脅指標(biāo)輸入任務(wù)操作環(huán)境工作站。盡管如此，支持現(xiàn)在未分類(lèi)的網(wǎng)絡(luò)威脅指標(biāo)的背景信息可能仍然是機(jī)密的。圖 1 說(shuō)明了這個(gè)過(guò)程。

圖1. AIS信息共享流程

資料來(lái)源：國(guó)土安全部監(jiān)察長(zhǎng)辦公室根據(jù)從CISA 收到的信息生成

網(wǎng)絡(luò)安全法報(bào)告要求

該法案第107 節(jié)要求參與的OIG 提交兩年期聯(lián)合報(bào)告，包括對(duì)以下內(nèi)容的總體評(píng)估：

根據(jù)國(guó)土安全部監(jiān)察長(zhǎng)辦公室(IC IG) 的報(bào)告指示，選定機(jī)構(gòu)的每個(gè)監(jiān)察長(zhǎng)辦公室都必須就該機(jī)構(gòu)已采取的行動(dòng)提交30 個(gè)問(wèn)題的答復(fù)執(zhí)行該法案。根據(jù)這一要求，之前評(píng)估了國(guó)土安全部在2017 年和 2018年實(shí)施網(wǎng)絡(luò)安全信息共享要求的進(jìn)展情況。在2020年報(bào)告，國(guó)土安全部已經(jīng)解決了該法案的基本信息共享要求。確定 CISA 在此期間增加了AIS 參與者的數(shù)量和共享的網(wǎng)絡(luò)威脅指標(biāo)，但得出的結(jié)論是共享的信息質(zhì)量在減少網(wǎng)絡(luò)威脅和防御攻擊方面無(wú)效。建議CISA 通過(guò)增加參與者的網(wǎng)絡(luò)信息共享、完成系統(tǒng)升級(jí)以及雇用所需的人員來(lái)加強(qiáng)項(xiàng)目培訓(xùn)和外展來(lái)提高信息質(zhì)量。

審查結(jié)果

、

CISA 已經(jīng)解決了2015 年網(wǎng)絡(luò)安全法案的基本信息共享要求，但在提高威脅信息的整體質(zhì)量方面進(jìn)展有限。在 2019 年和2020 年，CISA繼續(xù)利用其 AIS能力在聯(lián)邦政府和私營(yíng)部門(mén)之間共享網(wǎng)絡(luò)威脅信息。據(jù)報(bào)道，在此期間，CISA 將聯(lián)邦參與者的數(shù)量增加了15% 以上，并將非聯(lián)邦參與者的數(shù)量增加了13%。CISA聲稱它共享和接收的網(wǎng)絡(luò)威脅指標(biāo)的總數(shù)增加了162% 以上，但它無(wú)法驗(yàn)證這個(gè)數(shù)字。

與AIS 參與者共享的信息質(zhì)量并不總是足以識(shí)別和減輕網(wǎng)絡(luò)威脅。根據(jù)聯(lián)邦和私營(yíng)部門(mén)實(shí)體的說(shuō)法，大多數(shù)網(wǎng)絡(luò)威脅指標(biāo)都沒(méi)有包含足夠的信息來(lái)幫助決策者采取行動(dòng)。因此歸因于 AIS 功能有限、人員配備不足和外部因素。AIS 參與者之間共享的威脅信息質(zhì)量不足可能會(huì)阻礙聯(lián)邦政府識(shí)別和緩解潛在網(wǎng)絡(luò)漏洞和威脅的能力。

DHS 解決了關(guān)鍵的網(wǎng)絡(luò)安全法案要求，據(jù)報(bào)道增加了共享的威脅信息量

DHS 已經(jīng)解決了《網(wǎng)絡(luò)安全法》第I4 篇的關(guān)鍵要求，以促進(jìn)聯(lián)邦和私人實(shí)體之間的信息共享，包括通過(guò)AIS 功能。具體而言，該法案要求 CISA：

(1)制定和更新與聯(lián)邦和私人實(shí)體共享網(wǎng)絡(luò)威脅指標(biāo)和防御措施所需的政策和程序；

(2)對(duì)網(wǎng)絡(luò)威脅指標(biāo)和防御措施進(jìn)行分類(lèi)；

(3) 考慮安全授權(quán)接收此信息的私營(yíng)部門(mén)用戶的許可。

CISA 已采取以下步驟來(lái)滿足這些要求：

信息共享政策和指南

CISA 根據(jù)該法案酌情更新了指南。例如，在 2020 年10 月，CISA和司法部更新了根據(jù)2015年《網(wǎng)絡(luò)安全信息共享法》協(xié)助非聯(lián)邦實(shí)體與聯(lián)邦實(shí)體共享網(wǎng)絡(luò)威脅指標(biāo)和防御措施的指南。該指南幫助非聯(lián)邦實(shí)體與聯(lián)邦實(shí)體共享網(wǎng)絡(luò)威脅指標(biāo)和防御措施。

CISA 和司法部還于2021 年 1月更新了《隱私和公民自由最終指南：2015年網(wǎng)絡(luò)安全信息共享法》。該文件建立了隱私和公民自由指南，用于管理網(wǎng)絡(luò)威脅指標(biāo)和防御性的接收、保留、使用和傳播。聯(lián)邦實(shí)體的措施。但是，由于法案要求在 2019年和 2020年期間完成更新，因此此更新比要求的時(shí)間晚了1 個(gè)月。

網(wǎng)絡(luò)威脅指標(biāo)和防御措施的分類(lèi)

CISA根據(jù)法案的要求對(duì)網(wǎng)絡(luò)威脅指標(biāo)和防御措施進(jìn)行了適當(dāng)?shù)姆诸?lèi)。具體來(lái)說(shuō)，網(wǎng)絡(luò)分析師將衍生分類(lèi)用于網(wǎng)絡(luò)威脅指標(biāo)和防御措施。在審查了判斷性選擇的2019 年和 2020年的 30 個(gè)未分類(lèi)和30 個(gè)分類(lèi)指標(biāo)后，根據(jù)確定抽樣的指標(biāo)分類(lèi)正確。CISA 根據(jù)原始分類(lèi)權(quán)限對(duì)大多數(shù)網(wǎng)絡(luò)威脅指標(biāo)進(jìn)行分類(lèi)。例如，CISA共享了 1,347個(gè)分類(lèi)網(wǎng)絡(luò)威脅指標(biāo)。2019年與非聯(lián)邦實(shí)體合作，2020年為 13,163個(gè)。這是通過(guò)其增強(qiáng)的網(wǎng)絡(luò)安全服務(wù)計(jì)劃完成的，與AIS 能力不同，該計(jì)劃可以共享敏感和機(jī)密的網(wǎng)絡(luò)威脅信息，以檢測(cè)和阻止惡意網(wǎng)絡(luò)活動(dòng)。

私營(yíng)部門(mén)接收機(jī)密信息的安全許可

CISA準(zhǔn)確計(jì)算了授權(quán)接收機(jī)密信息的私營(yíng)部門(mén)個(gè)人的安全許可。根據(jù)各種信息共享計(jì)劃，該部門(mén)在 2019 年和2020 年向私營(yíng)部門(mén)合作伙伴授予了200 多項(xiàng)安全許可。CISA在 2019 年和2020 年總共保持了1,845 份有效安全許可和1,906 份。但是，CISA不跟蹤根據(jù)該法案授予的許可，因?yàn)锳IS 功能僅處理非機(jī)密信息。

CISA 增加了AIS 參與者以及共享和接收的信息數(shù)量

CISA 自2016 年能力啟動(dòng)以來(lái)，一直在增加AIS 參與者的數(shù)量和共享的網(wǎng)絡(luò)威脅指標(biāo)的數(shù)量。具體而言，CISA將聯(lián)邦參與者的數(shù)量增加了15% 以上，并將非聯(lián)邦參與者的數(shù)量增加了13%，如圖 2所示。

圖2. 2019 年和2020 年的聯(lián)邦和非聯(lián)邦A(yù)IS 參與者

在本次審查時(shí)，國(guó)土安全部直接與300 多個(gè) AIS合作伙伴共享網(wǎng)絡(luò)威脅信息。其中，52 個(gè)是直接連接到AIS 以接收網(wǎng)絡(luò)威脅和防御措施信息的聯(lián)邦部門(mén)和機(jī)構(gòu)。此外，國(guó)土安全部與聯(lián)邦間接共享機(jī)構(gòu)和非聯(lián)邦機(jī)構(gòu)通過(guò)提供共享服務(wù)連接的第三方聚合器。據(jù)報(bào)道，在同一時(shí)期，CISA增加了與 AIS參與者共享和接收的網(wǎng)絡(luò)威脅指標(biāo)的年度數(shù)量。官員們表示，CISA將其共享和接收的網(wǎng)絡(luò)威脅指標(biāo)的總數(shù)增加了162% 以上，如圖3 所示。

圖3. 2019 年和2020 年共享和接收的網(wǎng)絡(luò)威脅指標(biāo)

CISA將網(wǎng)絡(luò)威脅指標(biāo)的增加歸因于其質(zhì)量服務(wù)管理辦公室開(kāi)展的外展工作。據(jù)官員稱，此次外展使 CISA能夠與其他機(jī)構(gòu)在網(wǎng)絡(luò)威脅信息共享目標(biāo)、目標(biāo)和標(biāo)準(zhǔn)方面進(jìn)行合作，并減少信息共享的挑戰(zhàn)和障礙。此外，CISA成立了網(wǎng)絡(luò)威脅信息共享工作組關(guān)鍵基礎(chǔ)設(shè)施伙伴關(guān)系咨詢委員會(huì)，幫助促進(jìn)和參與與私營(yíng)部門(mén)、州和地方利益相關(guān)者的類(lèi)似網(wǎng)絡(luò)威脅討論。

盡管官員表示CISA 已將共享和接收的AIS 威脅指標(biāo)的年度數(shù)量增加了162% 以上，但無(wú)法驗(yàn)證這個(gè)數(shù)字的準(zhǔn)確性。當(dāng)被要求確認(rèn)網(wǎng)絡(luò)威脅指標(biāo)的數(shù)量時(shí)，CISA面臨兩個(gè)關(guān)鍵挑戰(zhàn)：

(1)CISA 工作人員無(wú)法直接訪問(wèn)指標(biāo)數(shù)據(jù)庫(kù)。CISA之前使用儀表板機(jī)制來(lái)提取此類(lèi)報(bào)告，但由于AIS 項(xiàng)目管理辦公室人員短缺，該機(jī)制于2018 年終止。在本次審查時(shí)，CISA只能通過(guò)請(qǐng)求合同支持來(lái)查詢系統(tǒng)來(lái)生成網(wǎng)絡(luò)威脅指標(biāo)的總數(shù)。試圖重新創(chuàng)建數(shù)據(jù)流以驗(yàn)證報(bào)告的2019 年或 2020年共享的網(wǎng)絡(luò)威脅指標(biāo)的數(shù)量。但是，無(wú)法將報(bào)告的數(shù)字追溯到源文檔或各種數(shù)據(jù)庫(kù)的報(bào)告功能，因?yàn)槭盏降奈臋n相互矛盾且不完整。

(2)官員表示，AIS能力沒(méi)有確認(rèn)共享威脅指標(biāo)的不同數(shù)量的功能。在最初的技術(shù)演示中，CISA工作人員展示了兩個(gè)系統(tǒng)圖，每個(gè)系統(tǒng)圖都顯示了其檔案AIS 數(shù)據(jù)庫(kù)的不同數(shù)據(jù)流。一張圖顯示了流入和流出其檔案AIS 數(shù)據(jù)庫(kù)的數(shù)據(jù)，而另一張圖顯示了僅進(jìn)入其檔案AIS 數(shù)據(jù)庫(kù)的數(shù)據(jù)。

網(wǎng)絡(luò)威脅指標(biāo)不足以識(shí)別和緩解威脅

盡管CISA 普遍增加了AIS參與者的數(shù)量以及共享和接收的網(wǎng)絡(luò)威脅指標(biāo)的數(shù)量，但網(wǎng)絡(luò)威脅指標(biāo)的質(zhì)量不足以讓參與者采取必要的行動(dòng)。AIS功能有限、人員配備不足和外部因素影響了信息質(zhì)量。

信息并非始終可操作

該法案的核心目的是在公共和私營(yíng)部門(mén)實(shí)體之間共享網(wǎng)絡(luò)威脅信息以減輕威脅。網(wǎng)絡(luò)威脅信息必須包含足夠的上下文信息，以幫助決策者采取必要和適當(dāng)?shù)男袆?dòng)。上下文信息的示例可以包括互聯(lián)網(wǎng)協(xié)議地址、域名、散列文件、統(tǒng)一資源定位器或網(wǎng)絡(luò)流量中的異常。實(shí)時(shí)訪問(wèn)正確的信息對(duì)于降低風(fēng)險(xiǎn)至關(guān)重要。例如，最近共享的與 2021 Orion供應(yīng)鏈?zhǔn)軗p相關(guān)的網(wǎng)絡(luò)威脅指標(biāo)導(dǎo)致CISA和國(guó)防部網(wǎng)絡(luò)國(guó)家任務(wù)部隊(duì)分析這些惡意軟件變體并追蹤其來(lái)源，以防止未來(lái)發(fā)生網(wǎng)絡(luò)事件。

利益相關(guān)者還表示，網(wǎng)絡(luò)威脅指標(biāo)包含誤報(bào)，這可能會(huì)誤導(dǎo)實(shí)體認(rèn)為威脅是惡意的，從而導(dǎo)致不必要的升級(jí)或安全協(xié)議。聯(lián)邦機(jī)構(gòu)官員還指出，一些參與者分享了未經(jīng)證實(shí)的惡意軟件網(wǎng)絡(luò)威脅指標(biāo)信息或低置信度威脅信息，導(dǎo)致安全工具內(nèi)出現(xiàn)誤報(bào)警報(bào)。此外，私營(yíng)部門(mén)的反饋指出了 AIS 客戶對(duì)AIS 公共信息源誤報(bào)的擔(dān)憂，這些誤報(bào)后來(lái)被確定為已知的良好指標(biāo)。CISA通過(guò)改進(jìn)AIS“允許列表”來(lái)應(yīng)對(duì)這一問(wèn)題，以確保這些類(lèi)型的已知良好指標(biāo)不會(huì)通過(guò)AIS 分發(fā)給利益相關(guān)者。聯(lián)邦利益相關(guān)者可以過(guò)濾掉其中一些較低的信心指標(biāo)，而其他利益相關(guān)者可能沒(méi)有專(zhuān)業(yè)知識(shí)或中間工具來(lái)進(jìn)一步完善相關(guān)的網(wǎng)絡(luò)威脅指標(biāo)和防御措施。

同樣，ICIG 報(bào)告了AIS的質(zhì)量問(wèn)題，因?yàn)樗峁┝宋唇?jīng)審查的原始信息。具體來(lái)說(shuō)，通過(guò) AIS收到的大部分網(wǎng)絡(luò)威脅信息都沒(méi)有包含任何關(guān)于該指標(biāo)為何不好或是否仍然相關(guān)的上下文。因此，大多數(shù)網(wǎng)絡(luò)威脅指標(biāo)和防御措施都需要更詳細(xì)的信息才能使用。

多重因素影響CISA共享信息質(zhì)量

將CISA 在提高AIS 能力下共享的信息質(zhì)量方面缺乏進(jìn)展歸因于多種因素AIS功能有限、人員配備不足和其他外部因素。總的來(lái)說(shuō)，這些缺點(diǎn)阻礙了CISA 提高網(wǎng)絡(luò)威脅指標(biāo)質(zhì)量的能力，并阻礙了增加AIS 能力的參與和有用性的努力。

(1) 有限的AIS 功能 AIS包含有限數(shù)量的字段和屬性，可供共享網(wǎng)絡(luò)威脅信息的參與者使用。

盡管 AIS包含其他字段，但在本次審計(jì)時(shí)，一些可為每個(gè)網(wǎng)絡(luò)威脅指標(biāo)提供更多上下文信息的字段受到限制或不需要。CISA計(jì)劃通過(guò)將 AIS升級(jí)到 2.0版來(lái)解決這些限制。

據(jù)CISA 官員稱，AIS2.0 引入了對(duì)最新網(wǎng)絡(luò)威脅指標(biāo)和防御措施共享標(biāo)準(zhǔn)的支持，從而增加了與更多安全工具的互操作性，實(shí)現(xiàn)自動(dòng)化網(wǎng)絡(luò)防御。此次升級(jí)將提供新的上下文字段、改進(jìn)的置信度評(píng)分屬性，以及讓實(shí)體可以選擇說(shuō)明指標(biāo)是否可能是惡意的。

(2) 人員配備不足

DHS領(lǐng)導(dǎo)層沒(méi)有為這項(xiàng)工作提供資金或投入足夠數(shù)量的全職員工。例如，國(guó)土安全部沒(méi)有保留或雇用執(zhí)行減輕網(wǎng)絡(luò)安全風(fēng)險(xiǎn)所需的戰(zhàn)略規(guī)劃、協(xié)調(diào)、分析和績(jī)效衡量所需的行政和運(yùn)營(yíng)人員。相反，國(guó)土安全部減少了支持 AIS的工作人員數(shù)量，因?yàn)閮蓚€(gè)承包商職位因資金損失而于2021 年 8月終止。我們?cè)?2019年進(jìn)行的上一次審查中指出，人員配備不足也阻礙了CISA 當(dāng)時(shí)對(duì)AIS 的支持工作。

（3）外部因素影響信息質(zhì)量和共享

CISA依靠利益相關(guān)者的參與，共享網(wǎng)絡(luò)威脅指標(biāo)和防御措施，從而提高網(wǎng)絡(luò)威脅信息的價(jià)值。然而，一些聯(lián)邦實(shí)體沒(méi)有堅(jiān)持使用訪問(wèn)控制規(guī)范標(biāo)記來(lái)識(shí)別共享的網(wǎng)絡(luò)威脅指標(biāo)。CISA 提供與聯(lián)邦和非聯(lián)邦實(shí)體共享網(wǎng)絡(luò)威脅指標(biāo)和防御措施的指南。這些標(biāo)記在 MISA 中記錄的網(wǎng)絡(luò)信息共享的機(jī)構(gòu)間政策建議中達(dá)成一致。

結(jié)論

如果沒(méi)有質(zhì)量控制來(lái)解決數(shù)據(jù)可靠性和報(bào)告問(wèn)題，通過(guò)AIS 提交的數(shù)據(jù)可能會(huì)導(dǎo)致CISA報(bào)告不準(zhǔn)確的 AIS網(wǎng)絡(luò)威脅指標(biāo)和防御措施。更重要的是，AIS參與者之間的信息共享不足阻礙了國(guó)防部保護(hù)國(guó)家網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施免受潛在漏洞和威脅的能力。

建議

建議1：建議 CISA主任制定并實(shí)施正式流程，以驗(yàn)證網(wǎng)絡(luò)威脅指標(biāo)的數(shù)量和通過(guò)CISA 的自動(dòng)指標(biāo)共享功能共享防御措施，以實(shí)現(xiàn)準(zhǔn)確的報(bào)告和監(jiān)督。

建議2：建議 CISA主任制定并實(shí)施一種方法，以鼓勵(lì)聯(lián)邦機(jī)構(gòu)和私營(yíng)部門(mén)遵守信息共享協(xié)議和要求，并報(bào)告根據(jù)信息共享協(xié)議和自動(dòng)指標(biāo)共享要求采取的行動(dòng)。

建議3：建議 CISA主任完成自動(dòng)指標(biāo)共享2.0 升級(jí)。

建議4：建議 CISA主任優(yōu)先聘用行政和運(yùn)營(yíng)人員，以進(jìn)行減輕網(wǎng)絡(luò)安全風(fēng)險(xiǎn)所需的戰(zhàn)略規(guī)劃、協(xié)調(diào)、分析和績(jī)效衡量。