2021年11月1日,《个人信息保护法》(简称《个人信息保护法》)正式实施。作为国内首部个人信息保护方面的专门法律,与《网络安全法》、《数据安全法》共同建立起数字化时代互联网安全的“安全屏障”。《个人信息保护法》的实施意味着公民个人信息安全受法律保障,那么从企业角度,又有哪些需要注意的呢?
在大数据时代,信息泄露事件时有发生,我们经常接到各种各样的推销电话和诈骗电话,每一次网上信息填写都有可能被泄露。从企业角度,信息泄露主要分为两种情况:一种是员工个人、组织贩卖个人信息或利用个人信息数据进产生其他行为;另一种是企业遭受网络攻击导致信息泄露。
主动泄露个人信息属于违法行为,今天,我们主要讨论的是第二种情况,企业遭受网络攻击或勒索,导致客户个人信息泄露。贩卖个人信息的黑产从业者会利用技术攻击、钓鱼攻击、撞库及撞库攻击等非法手段获取到企业的个人信息数据。一般情况下,企业遭受到的攻击被窃取了个人信息数据,企业是“受害者”,但往往企业会被责令整改,严重的还会被罚款。
为什么企业遭受网络攻击作为“受害者”还要被处罚?因为企业作为个人信息处理者,在《个人信息保护法》中有义务采取措施防止个人信息泄露。
《个人信息保护法》在加强公民个利的同时,对企业进行个人信息处理也有了更高标准的要求,主动泄露个人信息的企业或组织可以依法处罚,而遭受攻击被动泄露个人信息的企业也有义务采取措施保护个人信息安全,企业需要采取的措施包含:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
《数据安全法》中的数据指任何以电子或者其他方式对信息的记录,个人信息属于数据安全之中,《个人信息保护法》是针对个人信息数据安全要求的升级。作为企业,在网络安全方面需要满足《网络安全法》、《数据安全法》和《个人信息保护法》。
落实等级保护工作
企业落实等级保护工作是《网络安全法》和《数据安全法》的基本要求,也是企业做好网络安全工作的基础。企业完成等级保护对个人信息保护同样具有重大意义,企业安全合规不给攻击者可乘之机。
网络安全防御体系建设
大多数企业已经具备了一定的安全意识,在网络安全建设上,还行加强数据备份、安全审计和信息保密等方面,建立成熟的网络安全防御体系,做好紧急预案,可以有效应对突发情况。
提升人员安全意识,进行安全培训
企业做好网络安全做好外部攻击防范,同样需要加强内部管理,通过定期组织人员培训、科普安全常识和安全相关法律法规、严格管理操作权限等措施,提升企业内部人员安全意识。
中联信科作为新一代智能安全运营的,可以为企业提供的等级保护咨询服务和智能安全运营解决方案,助力企业建设智能安全运营体系,满足安全合规要求。
等级保护咨询服务
● 全流程服务。为企业提供一站式等级保护咨询服务,包含定级-备案-整改-测评-检查,全流程服务助力企业100%顺利通过等保。
● 丰富的项目经验。超过2000的项目经验,可以帮助企业快速梳理系统情况,进行定级。
● 的资质与能力。拥有DJJS能力认证、等保测评师证书、CISP证书、CISAW安全保障证书,的项目团队保障合规建设中系统的数据安全。
● 的售后服务。提供持续跟踪1年的售后运行保障,在此期间协助企业顺利通过年度安全检查,并提供定期的漏扫/渗透测试服务、安全加固服务、应急响应服务、安全培训服务。
TDR智能安全运营服务
● 建立智能安全运营体系。TDR其体系设计理念完全契合等级保护和IATF的纵深防御思想,可以为企业搭建一套检测-防护-监测-响应-管理的安全体系。
● 安全合规满足等保要求。TDR服务包含持续更新的NGFW、IPS、DDoS、WAF安全防护能力和安全报表,支持集中安全审计和管控及全局安全态势感知,覆盖到等级保护三级大部分的技术要求和安全建设与运维管理要求。
● 安全专家响应服务。TDR提供7x24安全专家应急响应服务,依靠全局态势感知,实时发现的蛛丝马迹,中联信科SRC的安全响应团队及时响应处置,化解危机。
《网络安全法》、《数据安全法》和《个人信息保护法》预示着数据合规时代的来临,通过明确责任人,确定惩罚制度,要求企业需要依法加强网络安全建设。数字化时代,共同建立核心网络安全环境迫在眉睫,中联信科作为xi新一代智能安全运营的,坚持创新发展,以切实解决企业网络安全问题为目标,为企业稳健发展保驾护航!
咨询热线
010-85377344
135-21581588
微信客服
QQ客服
3026106565 点击咨询