首页。 / 资源 / 新闻及趋势 / ISACA Now博客 / 2021 / 仲裁中的网络安全

仲裁中的网络安全

K-Harisaiprasad
作者: K. Harisaiprasad CISA, APP,副顾问,印度Mahindra SSG
发表日期: 2021年12月29日

仲裁是通过一名或多名仲裁员解决双方或多方之间的争议,以在法院外获得具有法律约束力的裁决的过程. 诉讼程序和奖项仍然保密. 

在2019冠状病毒病大流行期间,远程开展业务已成为常态. 由于网络卫生实践不足,信息经常受到网络攻击的损害. 应采取保安措施,防止资料透过网页外泄, 个人设备, 存储, 等. 数据可能包括敏感的个人信息,如医疗信息, 与工作相关的邮件, 合同, 政府签发的个人识别号码, 银行资料, 等., 根据不同国家的数据保护条例,这些信息需要额外的保护. 方, 仲裁员和管理机构必须确保客户信息的保密性.

大多数律师事务所和法律从业人员都实施了网络安全政策,以减少网络攻击的机会. 的 最近报道的网络攻击 Mossack Fonseca, Cravath Swaine等律师事务所 & Moore和Weil Gotshal & 管理人员把律师事务所的网络安全问题放在了聚光灯下. 2019年,国际商事仲裁理事会(ICCA) 纽约市律师协会(NYC Bar) 国际冲突预防和解决研究所(CPR)发布了《澳门赌场官方软件》, 简称“2020年议定书”.本文不仅讨论了网络安全措施,而且意在提高国内和国际仲裁中的网络安全意识.

2020年议定书分为14项原则、评注和时间表. 每项原则都有高级别指导,并附有解释性评论. 原则1-4规定了协议的范围和适用性, 原则5规定了合理性的标准, 原则6-8建立合理的安全措施, 原则9-13规定了在仲裁中处理信息安全问题的程序步骤, 原则14明确了议定书的责任标准. 附表中给出了基于这些原则的详细指导. 本协议中的附表是基线安全措施(附表A), 仲裁信息安全风险因素(附表B), 仲裁信息安全措施样本(附表C), 及样本语文(附表D), 标准与资源(附表E)及术语表(附表F).

适用范围及适用性
范围包括因保密性(未经授权的访问)而造成的预防损失, 完整性(未经授权的更改)和可用性(使信息在需要时可用). 该范围适用于与仲裁程序有关的任何信息. 基线保安措施须按附表A的规定实施.

仲裁员在分享仲裁相关信息前, 各方或管理机构需要确保按照适用的法律实施信息安全措施, 合同, 规管及相关规定. 所有辅助人员, 包括员工, 律师, 法律助理, 法律助理, 学员, 行政或其他支持人员, 个案管理人员, 法庭秘书, 等., 包括第三方, 是否会接受信息安全意识培训,使他们在处理仲裁信息时采取信息安全措施. 如果法律法规与信息安全措施之间存在冲突, 前者占上风.

应用标准
标准建议进行风险分析,以确定仲裁的风险概况. 风险分析包括通过发现后果来确定风险等级, 脆弱性, 威胁和威胁发生的概率. 通过这个, 通过计算可接受的风险水平来确定高风险水平和低风险水平. 在高风险级别的情况下实施控制措施,以避免违反信息安全. 基准证券措施列于附表A. 附表中列出了八个类别,并在仲裁程序的背景下解释如下:

  1. 知识和教育: 通过订阅电子邮件提醒或时事通讯并进行意识培训,随时了解安全威胁和解决方案. 应考虑标准和政府法规,可参考附表E.
  2. 资产管理: 这包括识别、分类和控制适合仲裁的资产.
  3. 访问控制: 访问仲裁信息,包括系统, 设备, 应用程序, 或者服务应该在需要知道的基础上仅限于授权用户. 应该为用户提供具有多因素身份验证的唯一用户ID和密码.
  4. 加密: 加密用于保护机密性, 仲裁信息的完整性和可用性. 有各种类型的加密机制,如AES, DES, RSA等.
  5. 通信安全: 当仲裁信息通过电子邮件、网络、存储卡等传输时.,在通信安全中保证了信息的安全. 使用安全的共享服务, 安全的网络, 加密的通道, 提供密码访问视频会议, 等.,这里有一些例子.
  6. 物理和环境安全:控制对仲裁信息的物理访问,防止未经授权的访问.
  7. 操作安全: 通过操作安全防止仲裁信息的信息处理设施中出现的完整性(未经授权的更改)问题. 例如漏洞监控、系统审计、例行备份等.
  8. 资讯保安事故管理: 信息安全漏洞被称为事件. 对事件作出反应并向有关当局提供违规通知是事件管理的一部分.

要考虑的安全措施类型可能因各方而异, 涉及的法庭和机构.

建立合理安全措施的指引
附录B提供了关于如何建立合理安全措施的三步指导. 第一步涵盖与资讯保安措施是否合理有关的风险因素,特别是仲裁事宜. 第二步确定在每个问题中应该考虑的信息安全措施的类别, 最后一步强调了仲裁过程中可能应用信息安全措施的各个方面. 合理性提供了适应技术和最佳实践变化的灵活性. 仲裁员, 缔约方和机构应在初始程序性会议期间商定合理的安全措施. 程序语言示例见附录D, 哪些可用于提出供程序会议审议的信息安全问题,以及仲裁法庭可在程序命令中使用的示例语言. 仲裁法庭及, 如果有必要的话, 当双方有争议时,可谘询管理机构,以订立最终的资讯保安协议. 当事人可以选举具有信息安全问题知识的仲裁员.

在仲裁过程中,信息安全协议可以根据具体情况进行修改. 这种修改应与各方和管理机构协商. 在违反信息安全的情况下, 仲裁庭有权指示当事人支付费用或下令制裁, 根据适用法律.

责任标准
2020年议定书旨在提供一个框架,以确保可以覆盖的仲裁信息,以遵守法律义务. 本协议不构成任何法律责任.

ISACA年度报告

2023
复选标记

2022
复选标记

2021
复选标记

2020
复选标记

2019
复选标记