隨著各行業(yè)的數(shù)字化轉(zhuǎn)型持續(xù)深入,數(shù)據(jù)安全逐步進入法制化的強監(jiān)管時代。但是因人為攻擊、技術(shù)漏洞、監(jiān)管缺位等造成的各類數(shù)據(jù)泄露事件頻發(fā),企業(yè)數(shù)據(jù)安全威脅日益嚴峻。
針對當下的數(shù)據(jù)安全大趨勢,小編總結(jié)了2023年三季度有關國家政策、行業(yè)規(guī)范、國家標準和安全事件與大家分享。希望借此為正在數(shù)字化轉(zhuǎn)型中的企業(yè)敲響警鐘,積極推進數(shù)據(jù)安全合規(guī)建設。
國家政策
Part.1
《關于促進網(wǎng)絡安全保險規(guī)范健康發(fā)展的意見》
發(fā)布單位:工業(yè)和信息化部、國家金融監(jiān)督管理
要求:《辦法》旨在加快推動網(wǎng)絡安全產(chǎn)業(yè)和金融服務融合創(chuàng)新,引導網(wǎng)絡安全保險健康有序發(fā)展,培育網(wǎng)絡安全保險新業(yè)態(tài),促進企業(yè)加強網(wǎng)絡安全風險管理,推動網(wǎng)絡安全產(chǎn)業(yè)高質(zhì)量發(fā)展。
Part.2
《政務服務電子文件歸檔和電子檔案管理辦法》
發(fā)布單位:國務院辦公廳
要求:本辦法適用于政務服務機構(gòu)開展的政務服務電子文件歸檔和電子檔案管理工作。行政處罰、行政檢查等電子文件歸檔和電子檔案管理工作可參照執(zhí)行。
Part.3
《個人信息保護合規(guī)審計管理辦法》
發(fā)布單位:國家互聯(lián)網(wǎng)信息辦公室
要求:《辦法》旨在指導、規(guī)范個人信息保護合規(guī)審計活動,提高個人信息處理活動合規(guī)水平,保護個人信息權(quán)益。
Part.4
《企業(yè)數(shù)據(jù)資源相關會計處理暫行規(guī)定》
發(fā)布單位:財政部
要求:本規(guī)定適用于企業(yè)按照企業(yè)會計準則相關規(guī)定確認為無形資產(chǎn)或存貨等資產(chǎn)類別的數(shù)據(jù)資源,以及企業(yè)合法擁有或控制的、預期會給企業(yè)帶來經(jīng)濟利益的、但由于不滿足企業(yè)會計準則相關資產(chǎn)確認條件而未確認為資產(chǎn)的數(shù)據(jù)資源的相關會計處理。
Part.5
《關于規(guī)范貨幣經(jīng)紀公司數(shù)據(jù)服務
有關事項的通知》
發(fā)布單位:國家金融監(jiān)管總局等五部門
要求:本通知旨在規(guī)范貨幣經(jīng)紀公司提供數(shù)據(jù)服務,鼓勵數(shù)據(jù)依法合理利用,確保數(shù)據(jù)安全,提升市場信息透明度,促進市場公平競爭,推動行業(yè)高質(zhì)量發(fā)展。
行業(yè)規(guī)范
Part.1
《中國人民銀行業(yè)務領域數(shù)據(jù)安全管理辦法
(征求意見稿)》
發(fā)布單位:中國人民銀行
要求:數(shù)據(jù)處理者在中華人民共和國境內(nèi)開展的中國人民銀行業(yè)務領域數(shù)據(jù)相關的處理活動,適用本辦法。法律、行政法規(guī)或者中國人民銀行另有規(guī)定。
Part.2
《關于印發(fā)落實數(shù)字中國建設總體部署加快推動
智慧民航建設發(fā)展的指導意見》
發(fā)布單位:中國民用航空局
要求:《指導意見》旨在貫徹落實 《數(shù)字中國建設整體布局規(guī)劃》和 《關于構(gòu)建數(shù)據(jù)基礎制度更好發(fā)揮數(shù)據(jù)要素作用的意見》,更好統(tǒng)籌新型基礎設施建設,激活數(shù)據(jù)要素潛能,充分發(fā)揮智慧民航建設在推進民航高質(zhì)量發(fā)展中的創(chuàng)新引擎作用。
Part.3
《鐵路關鍵信息基礎設施安全保護管理辦法
(征求意見稿)》
發(fā)布單位:國家鐵路局
要求:鐵路關鍵信息基礎設施的安全保護和監(jiān)督管理工作, 適用本辦法。
國家標準
Part.1
《信息安全技術(shù) 安全運維系統(tǒng)技術(shù)規(guī)范》
發(fā)布單位:國家市場監(jiān)督管理總局、國家標準化理委員會
要求:本文件規(guī)定了網(wǎng)絡運維訪問控制、運維審計、安全管理等安全運維系統(tǒng)安全功能要求、自身安全要求、安全保障要求及測試評價方法。本文件適用于安全運維系統(tǒng)的設計、開發(fā)、測試與評價。
Part.2
《信息安全技術(shù) 大數(shù)據(jù)服務安全能力要求》
發(fā)布單位:國家市場監(jiān)督管理總局、國家標準化理委員會
要求:本標準適用于為政府部門和社會公眾提供大數(shù)據(jù)服務的相關方,包括數(shù)據(jù)提供者、大數(shù)據(jù)應用提供者、大數(shù)據(jù)平臺提供者、大數(shù)據(jù)服務協(xié)調(diào)者等,也可為第三方對大數(shù)據(jù)服務安全能力的評估提供參考。
Part.3
《證券期貨業(yè)數(shù)據(jù)安全風險防控
數(shù)據(jù)分類分級指引》
發(fā)布單位:國家市場監(jiān)督管理總局、國家標準化理委員會
要求:本文件提供了證券期貨業(yè)數(shù)據(jù)分類分級的適用數(shù)據(jù)范圍、保障措施、數(shù)據(jù)分類分級的原則和方法、數(shù)據(jù)分類分級中的關鍵問題處理的建議。本文件適用于證券期貨業(yè)各類機構(gòu)在防控數(shù)據(jù)安全風險時,開展數(shù)據(jù)分類分級使用。其他相關機構(gòu)可作為參考。
Part.4
《金融信息系統(tǒng)網(wǎng)絡安全風險評估規(guī)范》
發(fā)布單位:國家市場監(jiān)督管理總局、國家標準化管理委員會
要求:本文件確立了風險評估工作的要點、原則、要素和原理,規(guī)定了風險評估準備階段、識別階段、風險計算及處理階段工作的要求。本文件適用于金融管理部門、金融業(yè)機構(gòu)和網(wǎng)絡安全風險評估服務機構(gòu)開展金融信息系統(tǒng)網(wǎng)絡安全風險評估工作。
Part.5
《信息安全技術(shù) 數(shù)據(jù)安全風險評估方法》
發(fā)布單位:國家市場監(jiān)督管理總局、國家標準化理委員會
要求:本文件給出了數(shù)據(jù)安全風險評估的基本概念、要素關系、分析原理、實施流程、評估內(nèi)容、分析與評價方法等,明確了數(shù)據(jù)安全風險評估各階段的實施要點和工作方法。本文件適用于指導數(shù)據(jù)處理者、第三方評估機構(gòu)開展數(shù)據(jù)安全風險評估,也可供有關主管監(jiān)管部門實施數(shù)據(jù)安全檢查評估時參考。
Part.6
《信息安全技術(shù) 大型互聯(lián)網(wǎng)企業(yè)內(nèi)
設個人信息保護監(jiān)督機構(gòu)要求》
發(fā)布單位:國家市場監(jiān)督管理總局、國家標準化理委員會
要求:本文件規(guī)定了大型互聯(lián)網(wǎng)企業(yè)建立和運行個人信息保護監(jiān)督機構(gòu)的要求,包括個人信息保護監(jiān)督機構(gòu)的設置、職責、工作規(guī)則,以及個人信息保護監(jiān)督機構(gòu)的成員等要求。本文件適用于大型互聯(lián)網(wǎng)企業(yè)建立和運行個人信息保護監(jiān)督機構(gòu),也可為監(jiān)管、檢查、評估等活動提供參考。
Part.7
《信息安全技術(shù) 數(shù)據(jù)交易服務安全要求》
發(fā)布單位:國家市場監(jiān)督管理總局、國家標準化理委員會
要求:本文件規(guī)定了數(shù)據(jù)交易服務安全要求,包括數(shù)據(jù)交易參與方、交易對象、交易平臺及交易過程的安全要求。本文件適用于數(shù)據(jù)供方、數(shù)據(jù)需方、數(shù)據(jù)交易場所、數(shù)據(jù)商、第三方專業(yè)服務機構(gòu)規(guī)范其數(shù)據(jù)交易活動,也適用于監(jiān)管部門、評估機構(gòu)對數(shù)據(jù)交易服務安全進行監(jiān)督、管理、評估。
安全事件
Part.1
浦發(fā)銀行鄭州分行存在5項違法行為被罰90.8萬
人民銀行河南省分行發(fā)布的行政處罰信息顯示,浦發(fā)銀行鄭州分行存在5項違法行為,包括:未按規(guī)定履行客戶身份識別義務;與身份不明的客戶進行交易;違反人民幣流通管理規(guī)定;違反征信安全管理規(guī)定;違反金融產(chǎn)品和服務信息披露管理規(guī)定。網(wǎng)安部門根據(jù)《中華人民共和國數(shù)據(jù)安全法》作出人民幣90.8萬元罰款的處罰。
Part.2
南昌某高校3萬余條師生個人信息被罰80萬
南昌某高校3萬余條師生個人信息數(shù)據(jù)在境外互聯(lián)網(wǎng)上被公開售賣,包括教職工信息、學生信息、繳費信息等。南昌公安網(wǎng)安部門根據(jù)《中華人民共和國數(shù)據(jù)安全法》第四十五條的規(guī)定,對該學校作出責令改正、警告并處80萬元人民幣罰款的處罰,對主要責任人作出人民幣5萬元罰款的處罰。
Part.3
廣西公安對違法單位罰款20萬元
廣西北海公安發(fā)現(xiàn)北海某網(wǎng)站存在數(shù)據(jù)泄露問題,網(wǎng)站約22萬個人信息數(shù)據(jù)被掛在境外論壇售賣。涉案公司網(wǎng)站在日常工作中收集了個人和企業(yè)等大量公民信息,服務器安全防護措施不足,僅能對SQL注入、XSS、WebShell等簡單攻擊手段進行防御,網(wǎng)站存在被多個境外IP攻擊入侵的情況,未采取數(shù)據(jù)加密等有效的技術(shù)保護措施,且在發(fā)現(xiàn)公司發(fā)生個人信息泄露的情況下,未及時告知用戶和主動向公安機關報告。根據(jù)《網(wǎng)絡安全法》第四十二條的規(guī)定,對公司及直接負責人員分別作出罰款20萬元、3萬元的行政處罰。
Part.4
重慶市網(wǎng)信辦查處違反《數(shù)據(jù)安全法》案件
重慶市網(wǎng)信辦依據(jù)《數(shù)據(jù)安全法》對屬地一科技公司作出責令限期改正,給予行政警告,并處10萬元罰款的行政處罰。經(jīng)查該公司因業(yè)務開展,收集、存儲、處理的網(wǎng)絡數(shù)據(jù)量較大,但未建立健全全流程網(wǎng)絡數(shù)據(jù)安全管理制度,未組織開展網(wǎng)絡數(shù)據(jù)安全教育培訓,未采取相應的技術(shù)措施,保障網(wǎng)絡數(shù)據(jù)安全等數(shù)據(jù)安全保護義務,且存在數(shù)據(jù)庫數(shù)據(jù)泄露的情形。
Part.5
上海一政務信息系統(tǒng)技術(shù)服務公司
因泄露公民個人信息被行政處罰
上海市互聯(lián)網(wǎng)信息辦公室公布一起行政處罰案件。上海市某政府信息系統(tǒng)技術(shù)承包商違規(guī)將政務數(shù)據(jù)置于互聯(lián)網(wǎng)進行測試期間,相關存儲端存在高危漏洞,導致大量公民數(shù)據(jù)泄露,以致成為境外不法分子竊取政務數(shù)據(jù)的“供應鏈”入口,相關公民個人信息在境外黑客論壇被披露兜售。上海市網(wǎng)信辦協(xié)調(diào)有關部門已要求該公司立即下線政府網(wǎng)站頁面、關閉相關云服務端口、配合開展網(wǎng)絡資產(chǎn)清查,并對該公司作出行政處罰。
Part.6
國家網(wǎng)信辦對中國知網(wǎng)依法作出
網(wǎng)絡安全審查相關行政處罰
9月1日,國家網(wǎng)信辦對中國知網(wǎng)依法作出網(wǎng)絡安全審查相關行政處罰,經(jīng)查,知網(wǎng)(CNKI)主要三家運營主體運營的手機知網(wǎng)、知網(wǎng)閱讀等14款App存在違反必要原則收集個人信息、未經(jīng)同意收集個人信息、未公開或未明示收集使用規(guī)則、未提供賬號注銷功能、在用戶注銷賬號后未及時刪除用戶個人信息等違法行為。依據(jù)《網(wǎng)絡安全法》《個人信息保護法》《行政處罰法》等法律法規(guī),對知網(wǎng)(CNKI)依法作出責令停止違法處理個人信息行為,并處人民幣5000萬元罰款的行政處罰。
截止2023年三季度,僅江蘇公安已累計依據(jù)《數(shù)據(jù)安全法》辦理行政案件336起。由此可見,數(shù)據(jù)安全合規(guī)建設對企業(yè)而言仍然是需要盡快解決的難題,數(shù)據(jù)處理者應當加強數(shù)據(jù)安全保護力度,落實國家總體安全觀,切實履行數(shù)據(jù)安全保護義務,構(gòu)建數(shù)據(jù)安全管理制度,維護國家安全和社會穩(wěn)定。
★ 為助力更多企業(yè)建設合法合規(guī)、統(tǒng)一高效的數(shù)據(jù)安全防護體系,敏捷科技現(xiàn)開展數(shù)據(jù)安全與數(shù)據(jù)管理系列“公益培訓”,請有意向的相關單位及企業(yè)掃描下方敏捷小助手二維碼與我們聯(lián)系獲取更多活動細節(jié)~