网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者的2000人超级QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


解决方案—网络运营者的“福音”,敏感信息风险评估的“利器”

2018-04-28 09:35 推荐: 浏览: 53 views 字号:

摘要: (本文原创,源自微信公众号:世平信息,转载请注明来源“杭州世平信息科技有限公司”) 今天,我要站在一名网络运营者的角度来写这篇文章,对,从此刻起,我是一名拥有上亿用户的企业运营者。   我的现状 《网络安全法》已...

(本文原创,源自微信公众号:世平信息,转载请注明来源“杭州世平信息科技有限公司”)

今天,我要站在一名网络运营者的角度来写这篇文章,对,从此刻起,我是一名拥有上亿用户的企业运营者。

 

我的现状

《网络安全法》已经运行快一年了,《个人信息安全规范》即将实施,近年来网络安全事件频发,特别在个人信息泄露方面更是以78%的比例遥遥领先,作为一家拥有上亿用户的企业,收集、保存了海量的用户个人信息。这个时候我必须采取一系列措施,保证我所拥有的用户个人信息安全,因为“谁运营谁负责”,所以保护“他们”是我的责任。

话说“工欲善其事必先利其器”,首先,我需要明确我的义务,梳理清楚肩上担负的责任,如此才能更加顺畅的采取措施来实现目的。通过梳理,作为网络运营者的我应该担负的义务有:

  • 建立信息安全管理制度的义务,严格落实执行;
  • 明确业务需要收集的个人信息范围的义务,将风险最小化;
  • 保障个人信息安全的义务;
  • 配合监督检查的义务;
  • 日志信息记录义务;
  • 主动报告的义务,实时掌握网络中个人信息使用情况。
 

我的工作难点

通过一番细致梳理,明确了我的义务与责任,然而诸多细节问题也是我必须要面对和解决的,制度上的问题好处理,但是面对这些海量的数据,我该怎么办?先梳理一下我急需解决的问题:

  • 用户个人信息收集后存储相对分散,平时业务使用中管理不够规范,可能导致个人信息被违规存储,我该如何找到他们?
  • 随着业务发展,公司各种系统越来越多,用户个人信息在各个系统间相互调用,存储,这些存储是否合规,谁能帮我做出相应的评估以及给我一些改进意见?
  • 公司规模大,员工数量增加,信息安全意识参差不齐,是否存在违规使用、下载用户个人信息的行为出现。该如何在海量合法行为中找到少数的违法、违规行为?
  • 每天的业务调用中产生了大量的日志,存储这些日志将会投入大量的人力、物力、财力,如果我保存的日志就是违规或疑似违规行为的日志,将大大减少相关投入,在后期追溯时也能快速定位,然而理想很丰满,现实很骨感啊,谁能帮我实现?
  • 违规、违法行为出现时我需要及时上报,我需要通过技术手段来及时发现违规行为并通知我,哪种技术可以解决,帮我的人在哪?
 

“法”盾护法之《网络安全法》

  • 第9条总括性地规定了网络运营者的网络安全义务,即:网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任;
  • 第21条规定,网络运营者应当制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
  • 第21条规定,网络运营者应当留存网络日志不少于6个月;
  • 第38条规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门;
  • 第41条规定,网络运营者收集、使用个人信息,应当公开收集、使用规则,明示收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;
  • 第42条规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施。
  • 第47条规定,网络运营者发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告;
  • 第49条规定,网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。
 

 “法”盾护法之《个人信息安全规范》

第10节2条规定,建立个人信息安全影响评估制度,定期(至少每年一次)开展个人信息安全影响评估;

第10节3条规定,个人信息控制者应根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失;

第10节5条规定,个人信息控制者应对隐私政策和相关规程,以及安全措施的有效性进行审计;应建立自动化审计系统,监测记录个人信息处理活动;

 

世平“利器”传“福音”

世平信息敏感信息风险评估解决方案紧密围绕《网络安全法》、《等级保护》等相关政策与法规来设计,针对云端存储、本地静态存储、动态传输以及多种不同形式的个人信息及重要数据的全生命周期的安全进行评估与检查。多种形态互补配合,形成个人信息安全防护系统,核心技术无缝对接。

  • 世平敏感信息风险评估系统 V1.5(云端版 )

    SIMP-PAS-CLOUD

  • 世平敏感信息风险评估系统 V1.5(临检版)

    SIMP-PAS

  • 世平敏感信息风险评估系统 V1.5 (网络版)

    SIMP-PAS

PAS优势:

  • 平台无缝对接,实现与第三方安全监管平台系统的无缝对接,相互之间的数据可以通过内置的接口实现交互,为现有执法装备提供数据安全的评估能力;
  • 高效的系统可用性对接平衡;
  • 合规条件下的标准化评估;
  • 风险隐患一目了然,为用户定制安全规划方案提供重要依据;
  • 丰富的、可读性强的检测结果报告;
  • 产品自身高等级安全性。

产品价值:

  • 产品紧密围绕《中华人民共和国网络安全法》、《网络安全等级保护测评扩展要求2.0》要求设计与研发,参照等级保护测评规范,报告真实可信,有据可依;
  • 可实现数据库层面的重要数据及个人信息的风险评估;
  • 风险控制,降低网络运营单位信息泄漏概率,提升全网安全指数;
  • 风险自评,及时消除安全隐患、规避合规风险;
  • 合规合法,响应国家号召。
 

杭州世平信息科技有限公司

世平信息专注于智能化数据管理,基于内容的识别、检查和审计,从针对数据本身的防护需求角度出发,为各行业用户提供业务数据的梳理、分析、价值分享和安全管理方案。凭借近年来在数据库保密检查、数据泄漏防护、敏感信息风险评估和数据脱敏领域的创新与突破,世平信息获得了来自各个行业领域和机构的认可。

 

往期精彩新闻回顾

责任是一种约束,更是一种力量

Facebook泄漏5000万用户信息,大数据真是让人又爱又恨

我们对隐私到底敏不敏感?今天我们看图说话

Gartner最新数据安全行业报告了解一下

五标合一,等级保护迈入“新篇章”

联系站长租广告位!

中国首席信息安全官


关闭


关闭