|
|
|
|
|
|
来源: 发布日期:2020.07.25 点击量:
网络危险日益严峻,企业对数据安全的责任已不仅是用户的口诛笔伐,一场严重的数据泄密事故,可能会严重影响企业的业务开展,还可能面临高额处罚。
如今,数据安全风险直接关乎企业业务风险。可以说,一旦企业遭受数据泄密,其整体业务势必遭受影响,包括业务开展、经济损失(包括罚款、事件响应及修复成本、业务中断损失、客户补偿等)和企业名誉损失等。
1. 企业数据安全的普遍问题
图1.企业数据安全普遍问题
2. 企业数据安全工作依据
需要符合的法律法规:
• 网络安全法;
• 网络安全等级保护基本要求;
• App违法违规收集使用个人信息行为认定方法;
可参照的国家标准:
• GB/T 35273-2020 个人信息安全规范;
《规范》规定了开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动应遵循的原则和安全要求;《规范》对组织收集、保存、使用个人信息的方法以及个人访问、更正、删除自身个人信息的方法做出了规定。
• GB/Z 28828-2012 信息安全技术公共及商用服务信息系统个人信息保护指南;
标准明确要求,处理个人信息应有特定、明确和合理的目的,并在个人信息主体知情的情况下获得个人信息主体的同意,在达成个人信息使用目的之后删除个人信息。标准还提出了处理个人信息时应当遵循的八项基本原则,即目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确。
可参照的国际标准:
• ISO/IEC 27701:2019 隐私信息管理体系;
该标准旨在帮助组织机构保护和控制所处理的个人信息;该标准可能成为组织机构保护个人可识别信息(PII)的实施标准,且可能用于证明包括《通用数据保护条例》在内的全球隐私合规。
• ISO/IEC 29151:2017 个人身份信息保护实践指南;
该标准是通用的个人隐私保护标准,基于ISO/IEC 27002的各个域中加入了PII的实施指南,同时引入了ISO/IEC 29100十一大隐私保护原则。标准涵盖26个控制域,181条控制措施,充分控制个人身份信息(PII)相关的风险和满足影响评估所确定的要求。
• ISO/IEC 29134:2017 隐私影响评估准则。
隐私影响评估(PIA)是一种评估流程,是评估信息系统,程序,软件模块,设备或其他处理个人身份信息(PII)的活动对隐私的潜在影响的工具,并与利益相关方协商,为治理隐私风险采取必要的行动。最终产生的PIA报告可能涵盖涉及风险治理措施的标准文件内容,包括因使用ISO/IEC 27001标准中而产生的措施。ISO/IEC 29134第六章列出了隐私影响评估的主要步骤,给出了是否需要做PIA(阈值分析)的六种情境,最后在标准的附录中列举了常规的隐私风险库。
安言咨询数据安全治理服务能够为客户实现数据安全合规、数据安全治理、数据安全管理及技术控制措施,提高客户的数据安全能力及行业公信力。
更多相关业务内容,请持续关注安言咨询微信公众号。
电话 :021-62101209
邮箱:mkt@aryasec.com
相关新闻:
