个人信息保护法生效,企业数据安全合规正当时
2021 年 11 月 1 日,《个人信息保护法》(简称“个保法”)正式施行。这是首部专门针对个人信息保护的综合性法律,它全面规定了个人信息的保护范围,是现行数据保护框架下更具系统性、针对性、可行性与体系化的个人信息保护法,对个人权益以及企业行为规范都将产生重大影响。
在违法违规的处罚力度上,不仅对公司进行处罚还对直接负责人的主管人员和其他直接负责人进行处罚,情节严重的,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可责令停业整顿、吊销业务许可证或营业执照,相关责任人则处十万元以上一百万元以下罚款,并禁止担任相关企业高级职称或负责人。可以看出,这样的处罚力度可谓空前严厉,数字经济发展到今日,数据已成为推动未来数字经济高质量发展的重要生产要素,国家必定对社会中疑存的信息安全问题采取行动。
当然,《个保法》的出现并不是个例,随之还有《国家安全法》、《网络安全法》、《数据安全法》、《网络安全审查办法》等信息安全、数据安全领域法律法规的相继出台,这些针对数据处理规则与数据规范的法律正在构筑成一幅宏大而完整的版图,在前是国家对根除信息安全、数据安全问题的决心,在后企业也需要关注另一个数据问题:数据泄露。
在过去的 2020 年,国内外数据泄露事件层出不穷,严重影响社会秩序和经济正常发展。对个人而言隐私被曝光,招致骚扰和诈骗;对于企业而言,商业机密被勒索、窃取,造成重大经济和名誉损失:
2020 年 1 月底,某化妆品巨头将一个缺乏保护措施的数据库暴露在互联网上,其中存储了 4.4 亿条记录,其中包含大量的审计日志和电子邮件地址;
2020 年 2 月,以色列总理领导的某集团开发的选举应用程序因泄露配置数据,可能潜在地暴露并损害了近 640 万以色列公民的个人资料;
2020 年 4 月,浙江岱山某银行违规泄露用户信息,被罚款 30 万元,对泄露用户信息负有主要责任的该银行员工被禁业 3 年;
2020 年 5 月,江苏淮安警方破获一起贩卖公民个人信息案,某银行员工以每条 80-100 元的价格将客户信息售卖,涉及个人信息 50000 多条。
在众多的数据泄露事件之中,这些仅是冰山一角,持续不断的数据泄露事件也势必会引起国家的注意,并通过完善法律法规加强管控,而早在 2019 年 12 月 1 日,网络安全等级保护制度(等保2.0)便已实施,过等保不仅是企业“安全预防做得是否到位”的内在要求和衡量指标,还成为了企业在法律层面上的外部要求,是众多企业信息安全管理的“必过标杆”。
为什么这么说呢?通过研究大量的数据泄露事件,不难看出其诱因大多是由内部滥用或恶意泄密造成,现阶段内部泄密逐渐超过黑客攻击、撞库等外部进攻手段成为数据泄露的主要途径,这反映出企业长期忽略了对于内部数据管控和权限追踪的工作。
来自另一统计机构的数据,70%的数据泄露导致的信息安全事故又是由企业内部运维管理不善导致,做好企业的数据安全防护工作,不仅要杜绝外部非法入侵,更要防微杜渐,重视日常运维管控工作,从企业管理的角度出发,在技术层面上加强运维设备防护、强化运维人员监管才是防范企业信息泄露事件发生的根本举措。
在产品选择上,作为服务器看门人的角色,堡垒机可为企业提供 “事前授权、事中监管、事后审计”的运维安全合规审计能力,有效解决 IT 运维过程中安全、可控与合规的问题,内控运维操作不当,有效规避数据泄露事件的发生。其中,堡垒机也是国家《信息安全等级保护测评 2.0》法规中所要求的一部分,也还是企业通过等保测评的重要组成部分。
作为业界领先的多云管理平台,行云管家云管平台内置了云堡垒机功能模块,支持多云、混合云的 IT 异构网络环境,以 SaaS 形态为客户提供服务,一键安装,免硬件投入,并符合政府相关部门制定的等保法规中对于安全运维产品的相关资质要求,全面满足等保 2.0 评测合规性要求,还通过公安部严格测试获《计算机信息系统安全专用产品销售许可证》,为用户提供合规账号管理体系、身份认证机制、资源授权模型、安全运维审计等功能。
行云管家现已成功服务包括政府、金融、证券、电信、教育、医疗、交通、制造业、互联网等行业在内的 10 万家企业级用户。
随着个人信息保护法的生效,国家在数据安全监管方面的决心日益凸显,企业数据安全合规工作的开展正当时,对于相关工作的开展《信息安全等级保护测评 2.0》中便给出了指示:企业需要按照定级备案、加固整改、等级保护测评的流程来落实等保工作,从管理方面和技术方面落实企业内部信息系统安全建设,如管理上落实安全岗位和人员、确定安全管理策略和制度,技术上进行信息系统加固、网络架构升级、部署堡垒机等安全产品等。
因此,在全民强调数据安全的时代,企业过等保是提升自身信息安全系统安全等级的必然选项,过等保选对堡垒机则是关键,行云管家云堡垒机值得实践。
评论