《个人信息安全规范》出台,企业面临更严监管!

作者: TEC 分类: 安全前沿 发布时间: 2018-05-11 15:21 ė 6没有评论

自《网络安全法》正式实施以来,在全国各地掀起了一系列个人信息专项检查、处罚违法违规行为的行动,也加强了社会公众对个人信息保护的重视程度。然而之前的法规并没有太多落地细则,这次5月1日正式实施的《信息安全技术 个人信息安全规范》,就开始对网络运营者个人信息合规工作作出了更详细的规定。

《个人信息安全规范》出台,企业又面临哪些监管?

作为《网络安全法》的延续和细化,《 个人信息安全规范》不仅明确了相关行业个人信息的收集、保存、使用、共享的合规要求,同时也为网络运营者制定隐私政策及完善信息保护管控提供了指引,对企业内部安全管理制度和操作规程提出的要求也更多,主要包括三个方面:

第一,明确责任部门与人员

根据《个人信息安全规范》,在业务、人员规模、个人信息处理量等方面满足特定条件的个人信息控制者,例如主要业务涉及个人信息处理,且从业人员规模大于200人;或处理超过50万人的个人信息,或在12个月内预计处理超过50万人的个人信息,应设立专职的个人信息保护负责人和工作机构以便个人信息安全工作的具体实施,防止个人信息的泄露、损毁、丢失。

第二,构建人员管理与培训制度

根据《个人信息安全规范》,个人信息控制者应当与从事个人信息处理岗位的员工签署保密协议并进行背景审查,明确相关岗位的安全职责和发生安全事件后的处罚机制,同时定期开展专业化培训和考核,确保相关员工掌握隐私政策和规章流程。

第三,开展个人信息安全影响评估与审计制度

评估个人信息处理过程中可能产生的风险与不利影响,形成评估报告以供相关方查阅,同时建立自动化审计系统,监测记录个人信息处理活动,及时处理审计过程中个人信息违规使用、滥用等情况。

虽然《个人信息安全规范》1月才公布,5月1日正式实施,但在实践中,去年网信办、工信部、公安部等四部门开展的隐私政策评审工作主要以《个人信息安全规范》征求意见稿为依据,今年年初网信办就年度账单事件约谈支付宝时,也再次强调了《个人信息安全规范》的准据效力,上述事件均从侧面反映了《个人信息安全规范》对于完善个人信息保护制度的重要性。网络运营者不仅要发力个人信息的收集、保存、使用、分享等多个方面,还需要完善内部管理与隐私政策制定,以应对趋于严格的监管形势。

企业该如何完善信息保护措施?

纵观《个人信息安全规范》,不仅提出要有专人专职保护数据安全,对数据的保存、使用以及完整性也作出了要求,同时企业还要完善风险预警和审计机制,及时掌握信息风险问题并制定信息安全应急预案等,网络运营者需要部署更多管控措施才能达到规定的管理效果。

然而,很多企业的安全管理人才仍紧缺,信息管控措施还不够完善,想要达到相关部门的监管要求,就需要一套自动化、管控更全面的管控工具对信息数据保存、使用以及审计等进行完善,用最少的人力和资源实现最高效的信息保护。在这方面IP-guard一体化终端安全管理系统就可以帮助企业用更便捷的方式对数据进行最好的保护。IP-guard仅通过“一个客户端,统一控制台”,就可以为用户提供防泄露管控、终端行为管理、审计、数据备份、资产运维管理等,管控效率大大提高,各类信息安全风险也可以及时应对。

1、保护信息数据安全

安全管理人员可以通过IP-guard对信息数据进行加密保护,即使被外泄也无法打开使用;还可以对加密文档的使用权限时行规范,防止无关人员访问、篡改;对于未经授权的外发也能及时管控,员工出差或者进行移动办公也有完善的管理措施保护数据文档安全。

2、智能保护重要数据

通过IP-guard的敏感内容识别技术,安全管理人员可以忽略不重要的数据,只对敏感重要数据实行针对性管理,例如对涉及敏感内容的文档外传行为进行记录和备份,完整跟踪重要文件的流通情况,最程度削减数据管理的成本。

3、规范终端操作行为

通过IP-guard管理系统,安全管理人员可以对文档、设备、邮件、应用程序、打印、即使通讯、网页浏览等数十种操作进行有效管控,帮助企业规范终端操作行为的同时,也可以统一对终端风险行为进行管控,消除信息泄露风险。

4、审计信息数据动态

IP-guard可以帮助企业对信息数据使用行为进行全面记录和审计,企业可以对日记记录进行统计分析,了解更多应用趋势,还可以对部分敏感操作设置警报机制,及时发生可疑泄密行为。对于终端其他各类操作,如移动设备接入使用、打印、网页浏览、应用程序使用、邮件收发、即时通讯聊天等,也可以进行记录和审计,帮助企业及时发现风险以及对泄密行为进行有效追溯。

5、备份重要数据文档

IP-guard终端备份管理方案可以对数据进行自动监控,一旦检测到终端数据有变化,便会实时、准确地备份到文档服务器中,如果终端数据出现损坏(硬盘损坏、电脑丢失、恶意删除、病毒破坏、不小心格式化等),可从文档备份服务器恢复,找回误删或者损坏前的数据。

6、管控终端准入

对终端计算机接入企业网络或者服务器实行严格身份验证,防止非授权计算机对指定网络进行非法访问窃取重要数据,也可以避免计算机脱离IP-guard管控。

7、统一运维资产设备

在控制台即可统一对企业内所有计算机进行管理和维护,监测软硬盘变动,统一分发管理软件应用,远程解决网络系统故障,还可以自动检测终端计算机漏洞补丁安全状况,及时修补系统漏洞,减少系统安全风险。

新规的出台督促企业完善数据保护机制,对于企业来说这并不是负担,反而是让企业可以更好地保护用户数据、研发数据以及其他业务数据安全,让企业可以在前行的路上少了更多烦恼,也会得到更多用户的信赖。





Related posts:

本文出自 信息防泄露大讲堂,转载时请注明出处及相应链接。

本文永久链接: http://www.ip-guard.net/blog/?p=1957

发表评论

电子邮件地址不会被公开。 必填项已用 * 标注

您可以使用这些 HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Ɣ回顶部