2025年,上海市网信办在总结2023、2024年度“亮剑浦江”专项行动有关经验的基础上,联合上海市市场监督管理局及相关行业主管部门继续开展“亮剑浦江·2025”个人信息权益保护专项执法行动。
近期,上海市网信办在专项执法行动中发现,一批医疗服务类互联网企业(主要从事医疗软件开发与维护、医疗服务培训、数字健康服务等)未依法履行网络安全、数据安全保护义务,所属系统存在网络安全漏洞,被境外IP访问并窃取,发生个人信息泄露情况,反映出部分医疗服务类互联网企业存在个人信息制度不规范不健全、安全防护不严密、存储不合规等问题,上海市网信办根据相关法律法规对一批医疗服务类互联网企业予以行政处罚。现将部分典型问题通报如下。
管理制度方面。部分医疗服务类互联网企业未按照《个人信息保护法》等相关法律法规要求,建立健全个人信息保护内部管理制度。检查中发现,这批被处罚的企业普遍未制定网络数据安全管理制度和操作规程,未明确安全负责人或管理机构,未制定数据分类分级管理、数据访问权限管理、应急预案等制度,网络日志留存不足6个月等问题。
安全防护方面。部分医疗服务类互联网企业信息系统存在安全漏洞风险,未采取切实有效技术措施和其他必要措施,保障网络安全稳定运行,有效应对网络安全事件,切实维护网络数据的完整性、保密性和可用性。经技术检测发现,这批被处罚企业的网络信息系统普遍存在未按规定开展网络安全等级保护测评,未做访问限制,将数据访问端口开放至互联网,存在未授权访问漏洞。如某企业的网络安全高危漏洞达到3个,相关服务器存在多条境外可疑IP访问记录,导致数据被窃取。
存储环节方面。部分医疗服务类互联网企业信息系统中,大量患者个人信息未加密处于“裸奔”状态,存在数据泄露风险隐患。如某企业存储包括姓名、身份证号码、病情、开药信息在内的650余万条患者个人信息,未按规定采取加密、去标识化等安全技术措施。
|
安全审计与合规验证:快速审计现有制度漏洞,输出差距分析报告 安全评估与咨询:渗透测试+漏洞扫描,模拟境外APT攻击,重点检测开放端口、未授权访问漏洞 安全防护与加固:部署零信任访问控制, 高危漏洞紧急修复 如需进一步定制化方案,欢迎联系江苏国骏技术团队,联系电话:400-6776-989/13338963885 |
原文始发于微信公众号(信息安全大事件):多家互联网企业因三大漏洞遭处罚,650万条患者信息裸奔
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论