企業(yè)個人信息安全的投資回報率淺析

陶麗雯 謝宗曉

（中國金融認證中心）

1 引言

目前，在互聯(lián)網應用中，個人的信息頻繁被秘密收集、處理和使用，如果缺乏對數據控制機構的監(jiān)管，數據質量上的保障，直至缺乏申訴和救濟渠道等，個人信息使用帶來的負面影響可想而知。

國際上，個人信息保護領域已有ISO/IEC 2nd CD 29134、ISO/IEC 2nd CD 29151等標準，而美國的NIST SP 800-122、NIST SP 800-53附錄J等對原NIST SP 800-53進行了補充；歐盟議會于2016年4月通過了General Data Protection Regulation（以下簡稱：GDPR），更新了歐盟成員國以及任何與歐盟各國進行交易或持有公民數據的公司必須存儲安全和管理個人數據的方式。在國內，GB/T 35273—2017《信息安全技術 個人信息安全規(guī)范》正式實施，是一項推薦性的國家標準，雖不具有強制力，但也及時地填補了現(xiàn)今國內個人信息保護中諸多技術細節(jié)與實操領域的規(guī)范空白。

對于任何組織來說，投資管理層需要衡量企業(yè)的成本效益，證明財務的預算使用是合理的，并為下一個預算執(zhí)行提供支持性依據。近年來，許多金融管理層、金融科技部門和信息安全部門也在嘗試和使用投資回報率（Return On Investment，ROI）來幫助管理層決策。本文是基于對部分企業(yè)、銀行的調研，建立經濟模型的方式來分析個人信息安全的投資回報率。

2 ROSI模型

ROI 通常是通過式（1）[1]來計算的。

舉例，某銀行投資20000元，帶來了45000元的收益，那企業(yè)的投資回報率就是（45000-20000）/20000×100%=125% 。

傳統(tǒng)的投資回報率計算方式也適合信息安全投資，ROI的計算對于信息安全方面的投資來說卻是一件很艱難的事，因為安全投資對大多數企業(yè)來說，并不能帶來非常直接的收益和利潤。因此，計算信息安全投資回報率應該計算通過安全投資避免了多少損失，也被稱之為“ROSI”（Return of Security Investment）。

丘東等[2]提出應考慮所有關聯(lián)的風險預期損失和安全控制支出，信息安全的投資收益回報率的預期收益應該表現(xiàn)為風險預期損失與信息安全風險降低預期比率的乘積，信息安全投資收益回報率可以表述為式（2）。

3 個人信息安全風險預期損失的量化

企業(yè)的財務支出基本上是依據投入產出比來考慮企業(yè)的投資，從信息安全領域來講，European Network and Information Security Agency（ENISA）提出在信息安全投資領域，ROSI 能給決策者提供以下定量的指標，例如：組織是否對信息安全投資過度？信息安全缺少是否會對企業(yè)收益造成影響？什么時候安全投資就足夠了？安全產品或者方案是否對企業(yè)有益？

選取2016年08月～2018年05月本院收治的后循環(huán)缺血患者92例作為研究對象，將其隨機分為對照組與研究組，各46例。入選對象均知情同意，本研究經醫(yī)學倫理委員會審核批準。其中，研究組男24例、女22例，年齡43～62歲，平均（53.69±2.78）歲，病程5 h～2 w，平均（1.21±0.04）w；對照組男26例、女20例，年齡42～63歲，平均（53.49±2.90）歲，病程4 h～2 w，平均（1.17±0.06）w。兩組患者一般資料比較，差異無統(tǒng)計學意義（P＞0.05）。

定量風險評估是通過確定風險的幾個組成部分來實現(xiàn)的，對于個人信息安全風險預期的量化也同樣適用。

3.1 量化年度的預期損失

第一種， ENISA提出ALE（Annual Loss Expectancy）是指對特定資產的特定風險可能造成的年度貨幣損失。計算方法見式（3）[1]。

式中，SLE是指單一風險發(fā)生時預期損失，具體威脅SLE的計算將包括哪些內容，將取決于銀行的商業(yè)目標、價值觀和現(xiàn)有的安全措施；ARO是對一年發(fā)生風險的概率的度量。例如，銀行開展金融業(yè)務需要考慮個人信息數據全生命周期，包含采集、保存、使用、共享、委托、轉讓、銷毀等階段，對易出現(xiàn)的高風險的安全事件發(fā)生的原因進行分析。如采集階段是否超業(yè)務范圍過度采集數據，傳輸階段是否有加密措施進行數據的保護等。

還可以通過緩解率來計算，緩解率就是實施某個安全措施后減少攻擊的比例，ROSI 公式可以表示為式（4）[1]。

第二種，文獻[3] 考慮了資產價值、破壞程度、年度發(fā)生率等因素提出了公認的風險預期損失模型，見式（5）。

式中，n為單次風險所影響的資產數量；ARO為年度發(fā)生率。資產價值、破壞程度、年度發(fā)生率等數據的獲得方法參考文獻[4] 。

式（3）、式（5）都在一定程度上解釋了量化年度預期損失的計算方法，對于商業(yè)銀行來說，不同類型的個人信息泄露造成的威脅和脆弱性需要具體分析風險評估策略。

3.2 其他重要評估的參數確認

（1）個人信息安全影響評估參數分析

2018年6月，全國信息安全標準化技術委員會發(fā)布了《個人信息安全影響評估指南》（征求意見稿），規(guī)定了針對個人信息處理活動，檢驗其合法合規(guī)程度，判斷其對個人信息主體合法權益造成損害的各種風險，以及評估用于保護個人信息主體的各項措施有效性的過程。提出個人信息安全影響評估的基本概念、框架、方法和流程，個人信息安全影響評估的基本原理見圖1，主要為：

a）數據映射分析階段需結合個人信息處理的具體場景，初步判定所處理的個人信息哪些屬于個人敏感信息。

b）個人權益影響分析指分析不同的個人信息處理活動是否存在對個人信息主體權益產生影響。個人權益影響可概括為“影響個人自主決定權”“引發(fā)差別性待遇”“個人名譽受損或遭受精神壓力”“個人財產受損”四個維度。

c）決定個人信息安全事件發(fā)生的要素很多，需考慮“網絡環(huán)境和技術措施”“處理流程規(guī)范性”“參與人員與第三方”“安全態(tài)勢及處理規(guī)模”四方面對導致安全事件發(fā)生的可能性進行綜合評價，得到安全事件發(fā)生的可能性。

d）綜合分析個人權益影響程度和安全事件可能性兩個要素，得出風險等級，并給出相應的改進建議，最終形成評估報告。風險等級可分為：嚴重、高、中、低四個等級。

圖1 個人信息安全影響評估的基本原理

（2）其他可能關注的因素

立足于銀行的業(yè)務架構和個人信息的生命周期的流向，我們還需關注以下幾項造成損失的因素。如數據庫及其他敏感信息失竊及泄露的成本、網站在電子取證及恢復時產生的成本、第三方機構進行調查并實施補救帶來的成本、法律與合規(guī)罰款造成的成本、來自移動端的信息泄露的補救成本等。

（3）確認風險處置

通常根據風險評估的結果實施有效的風險處置，通常嚴重風險應立即處置，高風險應限期內處置，中風險應在權衡影響和成本后處置，低風險可選擇接受。

對于銀行業(yè)機構高層來說，如何依據信息安全投資回報率實現(xiàn)安全投資的目標，簡單來說分為兩點：一是如何證明我們確實需要投資的資金數值，二是使用這些資金是如何預防可能出現(xiàn)的超支造成的直接經濟損失。

GDPR的正式實施，企業(yè)合規(guī)要求提高，需要大多數企業(yè)投入大量的人力、財力才能得以實現(xiàn)。每一單GDPR違規(guī)行為最高將受到高達2000萬歐元的嚴重處罰，或者上一年全球年營業(yè)額的4%，以較高者為準。

舉例，某商業(yè)銀行考慮對存有客戶信息的數據庫進行加密升級改造方案而增加預算。每年該銀行因客戶信息泄露導致的安全事件有12起（ARO=12），該銀行預計，每一單GDPR違規(guī)行為將受到高達2000萬歐元的嚴重處罰，或上一年全球年營業(yè)額的4%，造成的經濟損失2000萬歐元（SLE = 2000萬歐元），實施客戶數據庫加密升級改造方案預計減少客戶信息的威脅攻擊90%（緩解率= 90%），實施成本為100萬歐元。該數據庫加密升級改造方案的安全投資回報率，按公式（2）計算如下：

ROSI=[（12×2000）×0.9-100]/100 ×100%=215%

結果顯示，這個客戶數據庫加密升級改造方案是一個投資收益較好的解決方案。需要注意的是緩解率，這個跟所選擇安全建設方案的安全配置的質量、性價比、個人權益影響分析都是有一定關系的，如同樣是加密升級改造方案，緩解率有的可能會達到90%，而有的可能只能達到70%，而當實施成本為200萬歐元時，該數據庫加密升級改造方案的安全投資回報率，按公式（2）計算如下：

通過計算ROSI，對前后兩個方案進行比較，前者優(yōu)勢明顯，這將為管理實踐帶來很好的參考價值。個人信息控制者還應持續(xù)跟蹤風險處置的落實情況，評估剩余風險，將風險控制在可接受的范圍內。此外，應將評估結果用于下一次個人信息安全影響評估工作。

4 小結

對于企業(yè)而言，在個人信息安全領域的投資是否可以防御個人信息泄露，防范個人信息被惡意竊取等威脅，不僅僅是法律法規(guī)合規(guī)的需要，更是企業(yè)高層對其投入大量資源以保證自身的商業(yè)信譽免于損失的需要。