企业信息安全落地实践指南手册

admin 2024年5月15日00:03:08评论3 views字数 2024阅读6分44秒阅读模式

博文菌今天看到一则新闻说:Malwarebytes 的报告显示,全球勒索软件攻击呈现上升趋势。该研究显示,从 2022 年 7 月到 2023 年 6 月,攻击数量大幅增加,其中美国首当其冲。该组织指出,在收集的 1900 起勒索软件攻击事件中,超过 43% 发生在美国,比去年增加了 75%。

近期热映的电影《孤注一掷》取材自上万起真实诈骗案例,揭开了境外网络诈骗全产业链骇人内幕!

勒索软件供给上升+网络诈骗频发,真是让博文菌想想都觉得可怕!

企业信息安全落地实践指南手册

在这个被网络包围的世界里,如果一家企业对用户数据做好充足的安全保障,不用担心因数据泄漏等问题引发的诈骗勒索等问题,那真是太让人安心了!

随着《网络安全法》《数据安全法》《个人信息保护法》的陆续颁布和正式施行,监管部门不断加大监督执法力度,过往平台大数据“杀熟”、公民个人隐私被过度搜集等行业乱象受到了一定的整治和约束。

同时,相关法律法规的出台,对互联网企业在数据安全和隐私保护方面提出了更高的要求和新的挑战。

企业在开展流量获客拉新、促活、留存和转化等提高用户增长和扩大GMV成交量的同时,需要充分考虑用户授权,保护用户的个人隐私信息,妥善处理数据跨境的风险。

合理合规地使用数据能帮助互联网企业快速成长,但如果发生大规模隐私数据泄露,新形势下的互联网企业就可能面临品牌口碑受损、经济收益急剧下滑,甚至法律监管、严厉处罚等多重风险。

点击下方连接即可购买

01

法规条例监管要求

全球主要国家和地区陆续出台了自己的数据安全和隐私类法律法规,强化了企业在数据与隐私安全保护方面需要履行的法律责任与义务,保护了公民对其个人信息处理所享有的知情权、决定权,使公民有权限制或者拒绝他人对其个人信息进行处理。

我国涉及数据安全和隐私的法律法规主要有:

  • 《网络安全法》,2017年6月1日起施行。

  • 《数据安全法》,2021年9月1日起施行。

  • 个人信息保护法》,2021年11月1日起施行。

根据《数据安全法》要求,在中国境内开展数据活动的组织和个人,需要采取必要安全措施,对数据进行有效保护和合法利用,并持续保持其安全能力。要建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,收集数据必须釆取合法、正当的方式,不得窃取或者以其他非法方式获取数据。对于不履行规定保护义务的:责令改正和警告,给予单位5万至50万元罚款,给予负责人1万至10万元罚款;拒不改正或造成大量数据泄露等严重后果的,给予单位50万至200万元罚款,最高可责令吊销相关业务许可证或者吊销营业执照,给予负责人5万至20万元罚款。

根据《个人信息保护法》的要求,个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:

  • 制定内部管理制度和操作规程;

  • 对个人信息实行分类管理;

  • 采取相应的加密、去标识化等安全技术措施;

  • 合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;

  • 制定并组织实施个人信息安全事件应急预案;

  • 法律、行政法规规定的其他措施。

02

数据丢失泄露风险

数据是互联网企业的高价值信息,随着其经济价值的提升,不仅外部竞争对手高度关注,黑客也时刻尝试入侵承载数据的系统,相关系统面临内外部的严重威胁。

1.外部黑客攻击破坏

大数据、互联网、5G的迅速发展,在为人类带来充分便利和广阔发展机遇的同时,也不时引发令人震惊的大规模数据泄露事件。

  • 2020年1月,美国某软件科技公司表示其用于存储客户支持分析结果的服务器发生数据泄露。该事件发生在2019年12月,共涉及约2.5亿条记录(包括电子邮件地址、IP地址、客户支持案例的详细描述),所有数据在未经密码保护的情况下被意外公开。

  • 2020年1月,美国某化妆品巨头公司的一个未受保护的数据库意外暴露在互联网上,包含约4.4亿条内部记录。发现这个未加密数据库的安全研究员表示,暴露的信息包括电子邮件地址、内部文档、IP地址及该公司内部教育平台的相关信息。

  • 美国某征信巨头公司的南非分公司遭巴西黑客团伙袭击,约5400万条消费者征信数据遭泄露(绝大多数为南非公民的数据,南非总人口约6000万人)。

2.内部窃取

有媒体报道,某快递公司疑似有加盟网点个别员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致信息外泄,经公安机关审理发现,犯罪嫌疑人累计泄露的信息超40万条。

想要真正保护用户隐私,必须进一步完善企业内部监管机制。正如相关报道所言:真正想获取个人信息的人,不需要去看一张张快递单,更多的还是快递公司“内鬼”故意贩卖用户信息。如果企业不防“内鬼”,就无法彻底杜绝消费者隐私泄露问题。

以上部分节选自《企业信息安全落地实践指南》一书,如果想要进一步了解如何应对企业数据安全建设的挑战,欢迎阅读本书~~

企业信息安全落地实践指南手册

原文始发于微信公众号(Sec盾):企业信息安全落地实践指南手册

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月15日00:03:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   企业信息安全落地实践指南手册https://cn-sec.com/archives/2057520.html

发表评论

匿名网友 填写信息