隨著各行業的數字化轉型持續深入,數據安全逐步進入法制化的強監管時代。但是因人為攻擊、技術漏洞、監管缺位等造成的各類數據泄露事件頻發,企業數據安全威脅日益嚴峻。
針對當下的數據安全大趨勢,小編總結了2023年三季度有關國家政策、行業規范、國家標準和安全事件與大家分享。希望借此為正在數字化轉型中的企業敲響警鐘,積極推進數據安全合規建設。
國家政策
Part.1
《關于促進網絡安全保險規范健康發展的意見》
發布單位:工業和信息化部、國家金融監督管理
要求:《辦法》旨在加快推動網絡安全產業和金融服務融合創新,引導網絡安全保險健康有序發展,培育網絡安全保險新業態,促進企業加強網絡安全風險管理,推動網絡安全產業高質量發展。
Part.2
《政務服務電子文件歸檔和電子檔案管理辦法》
發布單位:國務院辦公廳
要求:本辦法適用于政務服務機構開展的政務服務電子文件歸檔和電子檔案管理工作。行政處罰、行政檢查等電子文件歸檔和電子檔案管理工作可參照執行。
Part.3
《個人信息保護合規審計管理辦法》
發布單位:國家互聯網信息辦公室
要求:《辦法》旨在指導、規范個人信息保護合規審計活動,提高個人信息處理活動合規水平,保護個人信息權益。
Part.4
《企業數據資源相關會計處理暫行規定》
發布單位:財政部
要求:本規定適用于企業按照企業會計準則相關規定確認為無形資產或存貨等資產類別的數據資源,以及企業合法擁有或控制的、預期會給企業帶來經濟利益的、但由于不滿足企業會計準則相關資產確認條件而未確認為資產的數據資源的相關會計處理。
Part.5
《關于規范貨幣經紀公司數據服務
有關事項的通知》
發布單位:國家金融監管總局等五部門
要求:本通知旨在規范貨幣經紀公司提供數據服務,鼓勵數據依法合理利用,確保數據安全,提升市場信息透明度,促進市場公平競爭,推動行業高質量發展。
行業規范
Part.1
《中國人民銀行業務領域數據安全管理辦法
(征求意見稿)》
發布單位:中國人民銀行
要求:數據處理者在中華人民共和國境內開展的中國人民銀行業務領域數據相關的處理活動,適用本辦法。法律、行政法規或者中國人民銀行另有規定。
Part.2
《關于印發落實數字中國建設總體部署加快推動
智慧民航建設發展的指導意見》
發布單位:中國民用航空局
要求:《指導意見》旨在貫徹落實 《數字中國建設整體布局規劃》和 《關于構建數據基礎制度更好發揮數據要素作用的意見》,更好統籌新型基礎設施建設,激活數據要素潛能,充分發揮智慧民航建設在推進民航高質量發展中的創新引擎作用。
Part.3
《鐵路關鍵信息基礎設施安全保護管理辦法
(征求意見稿)》
發布單位:國家鐵路局
要求:鐵路關鍵信息基礎設施的安全保護和監督管理工作, 適用本辦法。
國家標準
Part.1
《信息安全技術 安全運維系統技術規范》
發布單位:國家市場監督管理總局、國家標準化理委員會
要求:本文件規定了網絡運維訪問控制、運維審計、安全管理等安全運維系統安全功能要求、自身安全要求、安全保障要求及測試評價方法。本文件適用于安全運維系統的設計、開發、測試與評價。
Part.2
《信息安全技術 大數據服務安全能力要求》
發布單位:國家市場監督管理總局、國家標準化理委員會
要求:本標準適用于為政府部門和社會公眾提供大數據服務的相關方,包括數據提供者、大數據應用提供者、大數據平臺提供者、大數據服務協調者等,也可為第三方對大數據服務安全能力的評估提供參考。
Part.3
《證券期貨業數據安全風險防控
數據分類分級指引》
發布單位:國家市場監督管理總局、國家標準化理委員會
要求:本文件提供了證券期貨業數據分類分級的適用數據范圍、保障措施、數據分類分級的原則和方法、數據分類分級中的關鍵問題處理的建議。本文件適用于證券期貨業各類機構在防控數據安全風險時,開展數據分類分級使用。其他相關機構可作為參考。
Part.4
《金融信息系統網絡安全風險評估規范》
發布單位:國家市場監督管理總局、國家標準化管理委員會
要求:本文件確立了風險評估工作的要點、原則、要素和原理,規定了風險評估準備階段、識別階段、風險計算及處理階段工作的要求。本文件適用于金融管理部門、金融業機構和網絡安全風險評估服務機構開展金融信息系統網絡安全風險評估工作。
Part.5
《信息安全技術 數據安全風險評估方法》
發布單位:國家市場監督管理總局、國家標準化理委員會
要求:本文件給出了數據安全風險評估的基本概念、要素關系、分析原理、實施流程、評估內容、分析與評價方法等,明確了數據安全風險評估各階段的實施要點和工作方法。本文件適用于指導數據處理者、第三方評估機構開展數據安全風險評估,也可供有關主管監管部門實施數據安全檢查評估時參考。
Part.6
《信息安全技術 大型互聯網企業內
設個人信息保護監督機構要求》
發布單位:國家市場監督管理總局、國家標準化理委員會
要求:本文件規定了大型互聯網企業建立和運行個人信息保護監督機構的要求,包括個人信息保護監督機構的設置、職責、工作規則,以及個人信息保護監督機構的成員等要求。本文件適用于大型互聯網企業建立和運行個人信息保護監督機構,也可為監管、檢查、評估等活動提供參考。
Part.7
《信息安全技術 數據交易服務安全要求》
發布單位:國家市場監督管理總局、國家標準化理委員會
要求:本文件規定了數據交易服務安全要求,包括數據交易參與方、交易對象、交易平臺及交易過程的安全要求。本文件適用于數據供方、數據需方、數據交易場所、數據商、第三方專業服務機構規范其數據交易活動,也適用于監管部門、評估機構對數據交易服務安全進行監督、管理、評估。
安全事件
Part.1
浦發銀行鄭州分行存在5項違法行為被罰90.8萬
人民銀行河南省分行發布的行政處罰信息顯示,浦發銀行鄭州分行存在5項違法行為,包括:未按規定履行客戶身份識別義務;與身份不明的客戶進行交易;違反人民幣流通管理規定;違反征信安全管理規定;違反金融產品和服務信息披露管理規定。網安部門根據《中華人民共和國數據安全法》作出人民幣90.8萬元罰款的處罰。
Part.2
南昌某高校3萬余條師生個人信息被罰80萬
南昌某高校3萬余條師生個人信息數據在境外互聯網上被公開售賣,包括教職工信息、學生信息、繳費信息等。南昌公安網安部門根據《中華人民共和國數據安全法》第四十五條的規定,對該學校作出責令改正、警告并處80萬元人民幣罰款的處罰,對主要責任人作出人民幣5萬元罰款的處罰。
Part.3
廣西公安對違法單位罰款20萬元
廣西北海公安發現北海某網站存在數據泄露問題,網站約22萬個人信息數據被掛在境外論壇售賣。涉案公司網站在日常工作中收集了個人和企業等大量公民信息,服務器安全防護措施不足,僅能對SQL注入、XSS、WebShell等簡單攻擊手段進行防御,網站存在被多個境外IP攻擊入侵的情況,未采取數據加密等有效的技術保護措施,且在發現公司發生個人信息泄露的情況下,未及時告知用戶和主動向公安機關報告。根據《網絡安全法》第四十二條的規定,對公司及直接負責人員分別作出罰款20萬元、3萬元的行政處罰。
Part.4
重慶市網信辦查處違反《數據安全法》案件
重慶市網信辦依據《數據安全法》對屬地一科技公司作出責令限期改正,給予行政警告,并處10萬元罰款的行政處罰。經查該公司因業務開展,收集、存儲、處理的網絡數據量較大,但未建立健全全流程網絡數據安全管理制度,未組織開展網絡數據安全教育培訓,未采取相應的技術措施,保障網絡數據安全等數據安全保護義務,且存在數據庫數據泄露的情形。
Part.5
上海一政務信息系統技術服務公司
因泄露公民個人信息被行政處罰
上海市互聯網信息辦公室公布一起行政處罰案件。上海市某政府信息系統技術承包商違規將政務數據置于互聯網進行測試期間,相關存儲端存在高危漏洞,導致大量公民數據泄露,以致成為境外不法分子竊取政務數據的“供應鏈”入口,相關公民個人信息在境外黑客論壇被披露兜售。上海市網信辦協調有關部門已要求該公司立即下線政府網站頁面、關閉相關云服務端口、配合開展網絡資產清查,并對該公司作出行政處罰。
Part.6
國家網信辦對中國知網依法作出
網絡安全審查相關行政處罰
9月1日,國家網信辦對中國知網依法作出網絡安全審查相關行政處罰,經查,知網(CNKI)主要三家運營主體運營的手機知網、知網閱讀等14款App存在違反必要原則收集個人信息、未經同意收集個人信息、未公開或未明示收集使用規則、未提供賬號注銷功能、在用戶注銷賬號后未及時刪除用戶個人信息等違法行為。依據《網絡安全法》《個人信息保護法》《行政處罰法》等法律法規,對知網(CNKI)依法作出責令停止違法處理個人信息行為,并處人民幣5000萬元罰款的行政處罰。
截止2023年三季度,僅江蘇公安已累計依據《數據安全法》辦理行政案件336起。由此可見,數據安全合規建設對企業而言仍然是需要盡快解決的難題,數據處理者應當加強數據安全保護力度,落實國家總體安全觀,切實履行數據安全保護義務,構建數據安全管理制度,維護國家安全和社會穩定。
★ 為助力更多企業建設合法合規、統一高效的數據安全防護體系,敏捷科技現開展數據安全與數據管理系列“公益培訓”,請有意向的相關單位及企業掃描下方敏捷小助手二維碼與我們聯系獲取更多活動細節~
18120179909
關注敏捷小助手,了解更多