亚洲欧美日一线高本道_在线播放中文字幕无码免费_国产精品色午夜小视频_国产成人MV在线观看


管理培訓(xùn)搜索
18318889481 13681114876

合規(guī)
| 5.38億用戶數(shù)據(jù)遭泄露?企業(yè)數(shù)據(jù)安全不容小覷當(dāng)前您所在的位置:首頁 > 合規(guī) > 反洗錢中心 > 舞弊新聞

默認(rèn)標(biāo)題_公眾號封面首圖_2020-04-24-0.png


image.png

很多人的手機(jī)號碼泄露了,根據(jù)微博賬號就能查到手機(jī)號……,3月19日,默安科技創(chuàng)始人兼CTO、微博名為“@安全_云舒”的用戶發(fā)博表示(相關(guān)微博已刪除)。



一石激起千層浪,輿論迅速發(fā)酵。隨后,有媒體爆出,3月5日,國內(nèi)的一些安全公司通過監(jiān)控,發(fā)現(xiàn)暗網(wǎng)[1]上有人發(fā)布了一則名為“5.38億微博用戶綁定手機(jī)號數(shù)據(jù),其中1.72億有賬號基本信息”的交易信息,售價1,388美元。該賣家稱,這些信息“均為2019年年中左右抓取”,并給出了400條綁定手機(jī)號以及1500條賬號基本信息的測試數(shù)據(jù)。經(jīng)安全專業(yè)人士驗(yàn)證,部分測試數(shù)據(jù)屬實(shí)。


對于此次“微博數(shù)據(jù)泄露”事件,微博CEO王高飛稱是“2014年以前網(wǎng)易那次撞庫[2] 的


而微博安全總監(jiān)羅詩堯則解釋稱,此次泄露的手機(jī)號是“2019年通過通訊錄上傳接口被暴力匹配的,其余公開信息都是網(wǎng)上抓來的”(相關(guān)微博已刪除)。


隨后,微博進(jìn)一步表示,此次數(shù)據(jù)泄露應(yīng)追溯至2018年底。當(dāng)時,有用戶通過微博相關(guān)接口通過批量手機(jī)批量上傳通訊錄,匹配出幾百萬個賬號昵稱,再加上通過其他渠道獲取的信息一起對外出售。


微博還強(qiáng)調(diào),微博一直有提供根據(jù)通訊錄手機(jī)號查詢微博好友昵稱的服務(wù),但不提供用戶性別和身份證號等信息,也沒有“根據(jù)用戶昵稱查手機(jī)號”的服務(wù)。因此這起數(shù)據(jù)泄露不涉及身份證、密碼,對微博服務(wù)沒有影響。


微博做出多番回應(yīng)后,最終被工信部約談。3月21日,“針對媒體報道的新浪微博因用戶查詢接口被惡意調(diào)用導(dǎo)致App數(shù)據(jù)泄露問題”,工信部網(wǎng)絡(luò)安全管理局對微博相關(guān)負(fù)責(zé)人進(jìn)行了問詢約談,要求其進(jìn)一步采取有效措施,消除數(shù)據(jù)安全隱患:


  • 盡快完善隱私政策,規(guī)范用戶個人信息收集使用行為;

  • 加強(qiáng)用戶信息分類分級保護(hù),強(qiáng)化用戶查詢接口風(fēng)險控制等安全保護(hù)策略;

  • 加強(qiáng)企業(yè)內(nèi)部數(shù)據(jù)安全管理,定期及新業(yè)務(wù)上線前要開展數(shù)據(jù)安全合規(guī)性自評估,及時防范數(shù)據(jù)安全風(fēng)險;

  • 在發(fā)生重大數(shù)據(jù)安全事件時,及時告知用戶并向主管部門報告。


image.png

[1]暗網(wǎng):互聯(lián)網(wǎng)是一個多層結(jié)構(gòu),“表層網(wǎng)”處于互聯(lián)網(wǎng)的表層,能夠通過標(biāo)準(zhǔn)搜索引擎進(jìn)行訪問瀏覽。藏在“表層網(wǎng)”之下的被稱為“深網(wǎng)”,而“暗網(wǎng)”通常被認(rèn)為是“深網(wǎng)”的一個子集,普通用戶無法通過常規(guī)互聯(lián)網(wǎng)手段搜索和訪問。



[2]撞庫:黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息,生成對應(yīng)的字典表,嘗試批量登陸其他網(wǎng)站后,得到一系列可以登錄的用戶。很多用戶在不同網(wǎng)站使用的是相同的賬號密碼,因此黑客可以通過獲取用戶在A網(wǎng)站的賬戶從而嘗試登錄B網(wǎng)址,這就可以理解為撞庫攻擊。


image.png

按照微博方面的說法,這次數(shù)據(jù)泄露事件是有人順著非法竊取的用戶手機(jī)號調(diào)用了微博數(shù)據(jù),其自身也是受害者。但對于用戶來說,沿著手機(jī)號就可以調(diào)用微博數(shù)據(jù),作為微博平臺,顯然也難辭其咎。尤其是在如今平臺經(jīng)濟(jì)發(fā)展如火如荼的情況下,對于海量的用戶數(shù)據(jù),任何一點(diǎn)安全問題,都可能造成不可估量的損失。



下面,筆者就工信部對微博提出的四點(diǎn)要求,結(jié)合《中華人民共和國網(wǎng)絡(luò)安全法》、《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》、《信息安全技術(shù)個人信息安全規(guī)范》等法規(guī)文件,分享企業(yè)如何加強(qiáng)數(shù)據(jù)安全管理,謹(jǐn)守合規(guī)底線,為用戶個人信息上好“安全鎖”。


image.png

“用戶個人信息”一般指能夠單獨(dú)或者與其他信息結(jié)合識別用戶身份、反映用戶活動情況或涉及用戶個人隱私的信息。企業(yè)收集用戶個人信息,應(yīng)遵循合法、正當(dāng)、必要的原則。



一方面,企業(yè)應(yīng)按照“最小必要”的要求,僅收集與實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)的信息。如果涉及自動采集或間接獲取用戶個人信息,要注意以實(shí)現(xiàn)業(yè)務(wù)功能所必需的最低頻率和最少數(shù)量進(jìn)行。


另一方面,企業(yè)應(yīng)以通俗易懂、簡單明了的方式向用戶展示個人信息收集使用規(guī)則,通過“彈窗”提示用戶閱讀隱私政策等明顯方式,明示收集使用個人信息的目的、方式和范圍等,并經(jīng)用戶同意。在提供多項(xiàng)需收集個人信息的業(yè)務(wù)功能時,要讓用戶分別自主選擇。默認(rèn)勾選同意隱私政策,在用戶明確表示不同意后頻繁征求同意、干擾正常使用,或捆綁多項(xiàng)業(yè)務(wù)功能、強(qiáng)迫用戶一次性授權(quán)等,都會被視為違法違規(guī)。


此外,企業(yè)還應(yīng)向用戶提供撤回收集、使用個人信息授權(quán)同意的方法,充分保障用戶的知情權(quán)和選擇權(quán)。



image.png

企業(yè)可以根據(jù)業(yè)務(wù)收集用戶個人信息的屬性和類型特征,結(jié)合相關(guān)法律法規(guī)、行業(yè)標(biāo)準(zhǔn)等,對收集到的信息進(jìn)行分類,如分為以下3類:



  • 用戶身份和鑒權(quán)信息:能夠單獨(dú)或與其他信息結(jié)合,對用戶身份進(jìn)行識別,或代替用戶身份屬性使用的虛擬身份信息,也包括用于驗(yàn)證身份的鑒權(quán)相關(guān)信息。

  • 用戶數(shù)據(jù)和服務(wù)內(nèi)容信息:企業(yè)提供服務(wù)過程中收集的具有用戶隱私屬性的數(shù)據(jù)和內(nèi)容信息。

  • 用戶服務(wù)相關(guān)信息:企業(yè)提供服務(wù)過程中收集的服務(wù)使用情況及服務(wù)相關(guān)輔助類信息。


對于不同類別的信息,企業(yè)可根據(jù)用戶個人信息的敏感性,實(shí)施分級管理,按照相應(yīng)的級別對用戶個人信息的收集、使用提供不同的保護(hù)機(jī)制。如將用戶個人信息保護(hù)級別由低到高劃分為以下1-5級:


表:用戶個人信息分類及對應(yīng)保護(hù)級別示例

640.webp (2).jpg

其中,對于第5級的用戶個人信息,企業(yè)應(yīng)實(shí)施嚴(yán)格的技術(shù)和管理措施,建立嚴(yán)格的信息安全管理規(guī)范以及實(shí)時監(jiān)控預(yù)警機(jī)制,保證信息的機(jī)密、完整、安全,如:制定信息收集、生成、存儲、使用、傳輸和銷毀等全生命周期的安全管理規(guī)范,以及內(nèi)部數(shù)據(jù)審批流程及制度等。而對于第1級的用戶個人信息,企業(yè)需要實(shí)施基本的技術(shù)和管理措施,確保信息訪問控制安全,如:采取必要的訪問控制措施等。


image.png


企業(yè)可以從組織建設(shè)、制度流程等方面入手,加強(qiáng)數(shù)據(jù)安全管理,提升企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險防范能力。



在組織建設(shè)方面,企業(yè)應(yīng)加強(qiáng)內(nèi)部的數(shù)據(jù)安全組織保障,明確“一把手”對數(shù)據(jù)安全的全面領(lǐng)導(dǎo)責(zé)任,為相關(guān)工作提供人力、財力、物力保障;同時,明確數(shù)據(jù)安全管理相關(guān)部門和責(zé)任人,督促協(xié)調(diào)企業(yè)內(nèi)部各相關(guān)主體和環(huán)節(jié)嚴(yán)格落實(shí)各項(xiàng)數(shù)據(jù)安全保護(hù)措施。此外,企業(yè)還要定期或當(dāng)發(fā)生重大變化時,組織開展法律法規(guī)、知識技能等培訓(xùn)與考核,確保數(shù)據(jù)安全相關(guān)崗位人員熟練掌握數(shù)據(jù)安全保護(hù)政策和相關(guān)規(guī)程。


在制度流程方面,企業(yè)應(yīng)及時跟進(jìn)外部監(jiān)管要求,制定、完善相關(guān)數(shù)據(jù)安全管理制度,建立重要數(shù)據(jù)全生命周期的保護(hù)制度、數(shù)據(jù)跨境傳輸安全制度、組織發(fā)生變更時的數(shù)據(jù)管控制度、第三方產(chǎn)品或服務(wù)的接入管理制度、安全風(fēng)險評估管理制度等。在鞏固深化已上線業(yè)務(wù)定期核查機(jī)制的基礎(chǔ)上,著重建立完善新技術(shù)、新業(yè)務(wù)上線前的評估機(jī)制,從用戶個人信息保護(hù)、網(wǎng)絡(luò)安全防護(hù)、網(wǎng)絡(luò)信息安全、建立健全相關(guān)管理制度等方面開展安全評估,并形成書面報告。


image.png


企業(yè)應(yīng)當(dāng)建立針對數(shù)據(jù)的安全事件響應(yīng)體系,完善各類安全事件的響應(yīng)和處置管理。



首先,企業(yè)需要在明確數(shù)據(jù)安全管理相關(guān)部門的基礎(chǔ)上,進(jìn)一步設(shè)立專職崗位負(fù)責(zé)數(shù)據(jù)安全事件管理和應(yīng)急響應(yīng)。如果無法設(shè)立專職崗位,應(yīng)事先明確數(shù)據(jù)安全事件相關(guān)責(zé)任人。同時,企業(yè)應(yīng)根據(jù)監(jiān)管要求和業(yè)務(wù)需要,清晰定義數(shù)據(jù)安全事件類型,明確不同類型事件的處置流程和方法,制定數(shù)據(jù)安全應(yīng)急預(yù)案,并定期組織應(yīng)急演練。


在數(shù)據(jù)安全事件發(fā)生后,企業(yè)應(yīng)立即啟動應(yīng)急預(yù)案,及時記錄事件內(nèi)容,包括發(fā)現(xiàn)事件的人員、時間、地點(diǎn),涉及的數(shù)據(jù)類型及數(shù)量,可能產(chǎn)生問題的系統(tǒng)名稱,以及對其他相關(guān)系統(tǒng)的影響等。在充分評估安全事件可能造成的影響后,企業(yè)應(yīng)采取必要措施控制事態(tài),消除隱患,并注意保存證據(jù),根據(jù)規(guī)定及時將事件內(nèi)容、可能影響、已采取或?qū)⒁扇〉奶幹么胧?、企業(yè)相關(guān)人員聯(lián)系方式等上報有關(guān)主管部門。


如果數(shù)據(jù)安全事件可能嚴(yán)重?fù)p害用戶合法權(quán)益,如發(fā)生個人敏感信息泄露等,企業(yè)還應(yīng)及時將事件相關(guān)情況通過短信、郵件、電話、推送通知等方式告知用戶,難以逐一告知時,要采取合理、有效的方式發(fā)布與公眾有關(guān)的警示信息,向用戶提供補(bǔ)救措施以及自主降低風(fēng)險的建議。


image.png

隨著越來越多的企業(yè)上線上云,包含用戶個人信息在內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)安全問題已不容小覷,一旦發(fā)生安全事件,不僅會為企業(yè)造成經(jīng)濟(jì)、聲譽(yù)損失,還有可能會使企業(yè)受到監(jiān)管處罰。因此,企業(yè)應(yīng)在業(yè)務(wù)“跑起來”之前,就樹立起安全思維,明確數(shù)據(jù)安全相關(guān)組織體系,制定、完善相關(guān)管理制度和應(yīng)急預(yù)案,規(guī)范收集、使用、存儲、銷毀數(shù)據(jù),從而使企業(yè)贏得用戶信賴,健康、長遠(yuǎn)發(fā)展。


(源:銳思商學(xué)院;素材源:南方都市報、澎湃新聞


TESG
企業(yè)概況
聯(lián)系我們
專家顧問
企業(yè)文化
黨風(fēng)建設(shè)
核心團(tuán)隊(duì)
資質(zhì)榮譽(yù)
合規(guī)監(jiān)管
部門職責(zé)
轉(zhuǎn)創(chuàng)中國
加入轉(zhuǎn)創(chuàng)
經(jīng)濟(jì)合作
智庫專家
質(zhì)量保證
咨詢流程
聯(lián)系我們
咨詢
IPO咨詢
投融資咨詢
會計服務(wù)
績效管理
審計和風(fēng)險控制
競爭戰(zhàn)略
審計與鑒證、估價
企業(yè)管理咨詢
人力資源戰(zhàn)略與規(guī)劃
融資與并購財務(wù)顧問服務(wù)
投資銀行
企業(yè)文化建設(shè)
財務(wù)交易咨詢
資本市場及會計咨詢服務(wù)
創(chuàng)業(yè)與私營企業(yè)服務(wù)
公司治理、合規(guī)與反舞弊
國企改革
價值辦公室
集團(tuán)管控
家族企業(yè)管理
服務(wù)
數(shù)據(jù)分析
資信評估
投資咨詢
風(fēng)險及控制服務(wù)
管理咨詢
轉(zhuǎn)型升級服務(wù)
可行性研究咨詢服務(wù)
民企與私人客戶服務(wù)
解決方案
內(nèi)控
稅收內(nèi)部控制
稅收風(fēng)險管理
內(nèi)控管理師
內(nèi)部控制咨詢
信用研究
信用法制中心
風(fēng)險與內(nèi)控咨詢
無形資產(chǎn)內(nèi)控
企業(yè)內(nèi)控審計
內(nèi)部控制服務(wù)
內(nèi)部控制評價
內(nèi)部控制體系建設(shè)
內(nèi)部控制智庫
上市公司內(nèi)控
上市公司獨(dú)立董事
投行
M&A
資本市場
SPAC
科創(chuàng)板
金融信息庫
IPO咨詢
北交所
ASX
SGX
HKEX
金融服務(wù)咨詢
信用評級
上海證券交易所
NYSE
深圳證券交易所
審計
審計資料下載
法證會計
審計事務(wù)
審計及鑒證服務(wù)
審計咨詢
反舞弊中心
內(nèi)部控制審計
內(nèi)部審計咨詢
國際審計
合規(guī)
銀行合規(guī)專題
合規(guī)管理建設(shè)年
海關(guān)與全球貿(mào)易合規(guī)
數(shù)據(jù)合規(guī)專題
反腐敗中心
反壟斷合規(guī)
反舞弊中心
國際制裁
企業(yè)合規(guī)中心
信用合規(guī)專題
證券合規(guī)專題
合規(guī)中心
金融合規(guī)服務(wù)
反洗錢中心
全球金融犯罪評論
行業(yè)
新基建
文化、體育和娛樂業(yè)
電信、媒體和技術(shù)(TMT)
投城交通事業(yè)部
房地產(chǎn)建筑工程
醫(yī)療衛(wèi)生和社會服務(wù)
可持續(xù)發(fā)展與環(huán)保
全球基礎(chǔ)材料
大消費(fèi)事業(yè)部
金融服務(wù)業(yè)
化學(xué)工程與工業(yè)
一帶一路
智慧生活與消費(fèi)物聯(lián)
數(shù)字經(jīng)濟(jì)發(fā)展與檢測
食品開發(fā)與營養(yǎng)
先進(jìn)制造事業(yè)部
能源資源與電力
消費(fèi)與工業(yè)產(chǎn)品
運(yùn)輸與物流
酒店旅游餐飲
科學(xué)研究與技術(shù)服務(wù)
政府及公共事務(wù)
化妝品與個人護(hù)理
一二三產(chǎn)融合
生物醫(yī)藥與大健康
新能源汽車與安全產(chǎn)業(yè)
法律
法律信息庫
稅法與涉稅服務(wù)
數(shù)字法治與網(wǎng)絡(luò)安全
勞動與人力資源法律
金融與資本市場法律
司法研究所
公司法專題
私募股權(quán)與投資基金
債務(wù)重組與清算/破產(chǎn)
轉(zhuǎn)創(chuàng)國際法律事務(wù)所
轉(zhuǎn)創(chuàng)法信事務(wù)所
財稅
法務(wù)會計
管理會計案例
決策的財務(wù)支持
家族資產(chǎn)和財富傳承
財稅法案例庫
資產(chǎn)評估
財稅信息庫
會計準(zhǔn)則
財務(wù)研究所
財政稅收
會計研究所
財稅實(shí)務(wù)
投資咨詢
財務(wù)管理咨詢
審計事務(wù)
管理
轉(zhuǎn)創(chuàng)智庫
金融研究所
企業(yè)管理研究所
中國企業(yè)國際化發(fā)展
經(jīng)濟(jì)與產(chǎn)業(yè)研究
公司治理
氣候變化與可持續(xù)
ESG中心
管理咨詢
轉(zhuǎn)創(chuàng)
咨詢業(yè)數(shù)據(jù)庫
轉(zhuǎn)創(chuàng)網(wǎng)校
生物醫(yī)藥信息庫
建筑工程庫
轉(zhuǎn)創(chuàng)首都
轉(zhuǎn)創(chuàng)教育
轉(zhuǎn)創(chuàng)國際廣東 官網(wǎng)
科研創(chuàng)服
中國轉(zhuǎn)創(chuàng)雜志社
創(chuàng)新創(chuàng)業(yè)
轉(zhuǎn)型升級
技術(shù)轉(zhuǎn)移中心
轉(zhuǎn)創(chuàng)中國
中外
粵港澳大灣區(qū)
中國-東盟
一帶一路
澳大利亞
俄羅斯
新加坡
英國
加拿大
新西蘭
香港
美國
中非平臺
開曼群島
法國
歐洲聯(lián)盟
印度
北美洲
18318889481 13681114876
在線QQ
在線留言
返回首頁
返回頂部
留言板
發(fā)送