陶丽雯 谢宗晓

（中国金融认证中心）

1 引言

目前，在互联网应用中，个人的信息频繁被秘密收集、处理和使用，如果缺乏对数据控制机构的监管，数据质量上的保障，直至缺乏申诉和救济渠道等，个人信息使用带来的负面影响可想而知。

国际上，个人信息保护领域已有ISO/IEC 2nd CD 29134、ISO/IEC 2nd CD 29151等标准，而美国的NIST SP 800-122、NIST SP 800-53附录J等对原NIST SP 800-53进行了补充；欧盟议会于2016年4月通过了General Data Protection Regulation（以下简称：GDPR），更新了欧盟成员国以及任何与欧盟各国进行交易或持有公民数据的公司必须存储安全和管理个人数据的方式。在国内，GB/T 35273—2017《信息安全技术 个人信息安全规范》正式实施，是一项推荐性的国家标准，虽不具有强制力，但也及时地填补了现今国内个人信息保护中诸多技术细节与实操领域的规范空白。

对于任何组织来说，投资管理层需要衡量企业的成本效益，证明财务的预算使用是合理的，并为下一个预算执行提供支持性依据。近年来，许多金融管理层、金融科技部门和信息安全部门也在尝试和使用投资回报率（Return On Investment，ROI）来帮助管理层决策。本文是基于对部分企业、银行的调研，建立经济模型的方式来分析个人信息安全的投资回报率。

2 ROSI模型

ROI 通常是通过式（1）[1]来计算的。

举例，某银行投资20000元，带来了45000元的收益，那企业的投资回报率就是（45000-20000）/20000×100%=125% 。

传统的投资回报率计算方式也适合信息安全投资，ROI的计算对于信息安全方面的投资来说却是一件很艰难的事，因为安全投资对大多数企业来说，并不能带来非常直接的收益和利润。因此，计算信息安全投资回报率应该计算通过安全投资避免了多少损失，也被称之为“ROSI”（Return of Security Investment）。

丘东等[2]提出应考虑所有关联的风险预期损失和安全控制支出，信息安全的投资收益回报率的预期收益应该表现为风险预期损失与信息安全风险降低预期比率的乘积，信息安全投资收益回报率可以表述为式（2）。

3 个人信息安全风险预期损失的量化

企业的财务支出基本上是依据投入产出比来考虑企业的投资，从信息安全领域来讲，European Network and Information Security Agency（ENISA）提出在信息安全投资领域，ROSI 能给决策者提供以下定量的指标，例如：组织是否对信息安全投资过度？信息安全缺少是否会对企业收益造成影响？什么时候安全投资就足够了？安全产品或者方案是否对企业有益？

选取2016年08月～2018年05月本院收治的后循环缺血患者92例作为研究对象，将其随机分为对照组与研究组，各46例。入选对象均知情同意，本研究经医学伦理委员会审核批准。其中，研究组男24例、女22例，年龄43～62岁，平均（53.69±2.78）岁，病程5 h～2 w，平均（1.21±0.04）w；对照组男26例、女20例，年龄42～63岁，平均（53.49±2.90）岁，病程4 h～2 w，平均（1.17±0.06）w。两组患者一般资料比较，差异无统计学意义（P＞0.05）。

定量风险评估是通过确定风险的几个组成部分来实现的，对于个人信息安全风险预期的量化也同样适用。

3.1 量化年度的预期损失

第一种， ENISA提出ALE（Annual Loss Expectancy）是指对特定资产的特定风险可能造成的年度货币损失。计算方法见式（3）[1]。

式中，SLE是指单一风险发生时预期损失，具体威胁SLE的计算将包括哪些内容，将取决于银行的商业目标、价值观和现有的安全措施；ARO是对一年发生风险的概率的度量。例如，银行开展金融业务需要考虑个人信息数据全生命周期，包含采集、保存、使用、共享、委托、转让、销毁等阶段，对易出现的高风险的安全事件发生的原因进行分析。如采集阶段是否超业务范围过度采集数据，传输阶段是否有加密措施进行数据的保护等。

还可以通过缓解率来计算，缓解率就是实施某个安全措施后减少攻击的比例，ROSI 公式可以表示为式（4）[1]。

第二种，文献[3] 考虑了资产价值、破坏程度、年度发生率等因素提出了公认的风险预期损失模型，见式（5）。

式中，n为单次风险所影响的资产数量；ARO为年度发生率。资产价值、破坏程度、年度发生率等数据的获得方法参考文献[4] 。

式（3）、式（5）都在一定程度上解释了量化年度预期损失的计算方法，对于商业银行来说，不同类型的个人信息泄露造成的威胁和脆弱性需要具体分析风险评估策略。

3.2 其他重要评估的参数确认

（1）个人信息安全影响评估参数分析

2018年6月，全国信息安全标准化技术委员会发布了《个人信息安全影响评估指南》（征求意见稿），规定了针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。提出个人信息安全影响评估的基本概念、框架、方法和流程，个人信息安全影响评估的基本原理见图1，主要为：

a）数据映射分析阶段需结合个人信息处理的具体场景，初步判定所处理的个人信息哪些属于个人敏感信息。

b）个人权益影响分析指分析不同的个人信息处理活动是否存在对个人信息主体权益产生影响。个人权益影响可概括为“影响个人自主决定权”“引发差别性待遇”“个人名誉受损或遭受精神压力”“个人财产受损”四个维度。

c）决定个人信息安全事件发生的要素很多，需考虑“网络环境和技术措施”“处理流程规范性”“参与人员与第三方”“安全态势及处理规模”四方面对导致安全事件发生的可能性进行综合评价，得到安全事件发生的可能性。

d）综合分析个人权益影响程度和安全事件可能性两个要素，得出风险等级，并给出相应的改进建议，最终形成评估报告。风险等级可分为：严重、高、中、低四个等级。

图1 个人信息安全影响评估的基本原理

（2）其他可能关注的因素

立足于银行的业务架构和个人信息的生命周期的流向，我们还需关注以下几项造成损失的因素。如数据库及其他敏感信息失窃及泄露的成本、网站在电子取证及恢复时产生的成本、第三方机构进行调查并实施补救带来的成本、法律与合规罚款造成的成本、来自移动端的信息泄露的补救成本等。

（3）确认风险处置

通常根据风险评估的结果实施有效的风险处置，通常严重风险应立即处置，高风险应限期内处置，中风险应在权衡影响和成本后处置，低风险可选择接受。

对于银行业机构高层来说，如何依据信息安全投资回报率实现安全投资的目标，简单来说分为两点：一是如何证明我们确实需要投资的资金数值，二是使用这些资金是如何预防可能出现的超支造成的直接经济损失。

GDPR的正式实施，企业合规要求提高，需要大多数企业投入大量的人力、财力才能得以实现。每一单GDPR违规行为最高将受到高达2000万欧元的严重处罚，或者上一年全球年营业额的4%，以较高者为准。

举例，某商业银行考虑对存有客户信息的数据库进行加密升级改造方案而增加预算。每年该银行因客户信息泄露导致的安全事件有12起（ARO=12），该银行预计，每一单GDPR违规行为将受到高达2000万欧元的严重处罚，或上一年全球年营业额的4%，造成的经济损失2000万欧元（SLE = 2000万欧元），实施客户数据库加密升级改造方案预计减少客户信息的威胁攻击90%（缓解率= 90%），实施成本为100万欧元。该数据库加密升级改造方案的安全投资回报率，按公式（2）计算如下：

ROSI=[（12×2000）×0.9-100]/100 ×100%=215%

结果显示，这个客户数据库加密升级改造方案是一个投资收益较好的解决方案。需要注意的是缓解率，这个跟所选择安全建设方案的安全配置的质量、性价比、个人权益影响分析都是有一定关系的，如同样是加密升级改造方案，缓解率有的可能会达到90%，而有的可能只能达到70%，而当实施成本为200万欧元时，该数据库加密升级改造方案的安全投资回报率，按公式（2）计算如下：

通过计算ROSI，对前后两个方案进行比较，前者优势明显，这将为管理实践带来很好的参考价值。个人信息控制者还应持续跟踪风险处置的落实情况，评估剩余风险，将风险控制在可接受的范围内。此外，应将评估结果用于下一次个人信息安全影响评估工作。

4 小结

对于企业而言，在个人信息安全领域的投资是否可以防御个人信息泄露，防范个人信息被恶意窃取等威胁，不仅仅是法律法规合规的需要，更是企业高层对其投入大量资源以保证自身的商业信誉免于损失的需要。