事件回顧 近日,上海市網信辦接到線索,反映屬地某醫療科技公司所屬系統存在網絡安全漏洞,致使系統大量個人信息數據發生泄漏被境外IP訪問竊取。經過調查核實,上海市網信辦依據《數據安全法》第四十五條規定對該醫療科技公司給予警告,并處以罰款的行政處罰。
通過調查核實,涉事醫療科技公司為民營醫療機構,主要從事醫療領域教育培訓的技術開發服務,涉事系統為該企業內部生產測試系統,部署于云服務平臺,系統數據庫內存儲大量個人信息數據,包含姓名、單位名稱、所屬省市、所在鄉鎮/街道、手機號等。 該系統未采取有效網絡安全防護措施,存在未授權訪問漏洞,網絡和數據安全管理制度不完善,網絡日志留存不足6個月,造成數據泄漏被竊取,違反了《數據安全法》第二十七條規定。針對以上違法情況,上海市網信辦依據《數據安全法》第四十五條規定對該醫療科技公司給予警告,并處以罰款的行政處罰。 數據安全關乎人民群眾切身利益,企業在開展數據處理活動中應當采取必要的保護措施,保障數據安全。醫療行業機構及相關企業因業務需求,需要收集存儲大量醫療人員及患者相關個人信息等敏感數據,一旦泄露或被非法利用,容易導致人員的人格尊嚴受到侵害甚至會危害到人身、財產安全,因此,醫療行業企業更應該通過專業有效的技術手段,制度合法合規的管理制度,切實履行好數據安全保護義務。 Part.1 數據安全技術防范 >> 客戶信息脫敏、加密存儲:對顧客姓名、手機號碼、身份證號碼等敏感數據采用脫敏手段,例如數據在系統中以“王xx,158712xxxxx”的形式存儲,可以有效防止敏感數據在不可靠的環境下直接曝光,增強了客戶個人信息的隱蔽性。同時,通過數據主動、強制加密技術,保證所有包含敏感數據的電子文檔始終處于加密狀態,防止因人為操作被有意或無意地泄露,這也符合數據安全法規的相關要求。 >> 系統落地加密、管控員工權限:通過加密軟件與內部系統的集成,使得相關人員從內部系統下載數據時電子文檔自動加密,并在后續操作中始終保持加密狀態。這樣可以防止有內部系統訪問權限的人員進行違規操作,也保障系統敏感數據不被人為外泄。 >> 強化電腦終端水印應用:可以通過在門店的電腦終端上加上數字水印,內容可以包括“員工姓名、ID、時間、門店信息”等,一來可以對員工截圖、拍照等數據竊取行為造成心理震懾,二來可以通過外泄圖片的水印內容準確定位泄密源頭,為企業及時阻斷數據擴散和后續維權等行為提供依據。 Part.2 數據安全制度建設 >> 遵循數據處理的基本原則:根據《網絡安全法》、《數據安全法》、《個人信息保護法》等相關規定,對數據進行分類分級,梳理數據資產,按照“最小必要”原則收集客戶個人信息,遵循合法、正當、必要原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍。 >> 建立健全內部數據安全管理制度:在數據采集、存儲、使用、處理、傳輸、提供等一系列環節,企業應針對每個環節制定有針對性的管理規范,加強數據處理各個環節的合規性,建立健全數據存儲機制,在數據存儲時就采用加密等安全措施,確保重要數據備份和恢復能力。 >> 強化內部數據安全意識:建立數據安全事件應急處理機制,并定期進行事故處置演練。開展員工數據安全意識培訓,了解最新的數據安全國家政策和行業規范,強化員工數據安全意識,了解數據泄密后企業和個人將會承擔的法律后果。 對企業經營者來說,對數據的保護,不僅是對用戶負責,也是商業持續發展的基礎和前提。敏捷科技的數據防泄漏產品及方案也將繼續為企業的數據安全合規建設和公民個人信息安全保駕護航!
18120179909
關注敏捷小助手,了解更多