本文共 2416 字,大约阅读时间需要 8 分钟。
本篇介绍:数据安全事件预案及应对
本篇为第9篇/共9篇 上一篇:在离开前公司之后(2020.06),我来到新的公司担任安全部负责人,负责新公司的安全架构设计与安全体系建设,由于新公司的业务都是面向国内的,因此在建设隐私合规体系时,参照的都是国内的法律法规标准。本系列即以国内法律法规为基准,抛砖引玉,来探讨纯国内业务企业的隐私合规体系建设。
《网络安全法》第21条规定,网络运营者应履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月; (四)采取数据分类、重要数据备份和加密等措施; (五)法律、行政法规规定的其他义务。在实践中,企业可以按如下方式来施行:
1、确定网络安全负责人
企业需要设置专门的安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行背景调查。
2、建立健全内部控制制度
企业应当对易发生个人信息泄露的环节进行充分排查,明确规定各部门、岗位和人员的管理责任,加强个人信息管理的权限设置,形成相互监督、相互制约的管理机制,切实有效的防止信息泄露或滥用事件的发生。并加强对从业人员的培训,强化从业人员的信息安全意识,防止从业人员非法使用、泄露、出售个人信息。
3、完善日常操作规程
企业应当完善日常操作规程,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。
4、指定并定期完善应急预案
企业应建立数据应急预案,应急预案应包括应急处理流程、事件上报流程等内容。根据业务影响分析,至少每年一次组织开展应急演练,完善处置流程,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险,保证在系统服务异常以及危机等情境下数据的完整、准确和连续。
此外,应留存应急培训和应急演练记录,作为潜在的应对监管核查的证明材料。最后,应急预案并非一劳永逸,而是应该定期对原有的应急预案进行重新评估,根据网络安全最新的动态和应急演练发现的问题,修订完善应急预案。
5、建立有效的数据治理结构
企业应当通过完善相关内控制度,强化各部门、岗位和人员在用户信息保护方面的责任,以此完善内部监督和责任追究机制。
1、关注网络安全最新动态
企业应保持关注,并通过了解最新执法检查动向和网络安全事件,及时掌握可能出现的数据危机。通过对各项法律法规的及时了解和充分合规,降低因违法违规被处罚的风险;通过对网路环境的日常评估和针对性检测,降低出现数据泄露、被盗等网络安全事件的可能性。
2、准确判断事件性质
准确判断是及时响应的前提,尤其是对于网络病毒、黑客攻击等网络安全事件而言。一旦网络安全事件爆发,企业需要迅速并准确的判断事件性质,以避免因粗心大意或盲目自信导致对真实事态的误判。在判断事件性质后,应当确定事件领导小组,评估可能造成的损失和优先保护的部分,迅速对应事先指定的应急预案,确定内部分工和具体操作流程。
3、及时响应采取处置措施
确定执行方案和人员以后,企业应当对安全事件迅速做出响应,及时执行应急预案,采取补救措施,防止事态进一步扩大。
4、准确记录事件内容
应记录的事件内容包括:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门等。
准确记录事件内容,是按规定上报和后续准确复盘的基础,有利于监管部门快速了解事件的详细情况,也有助于后续经验教训总结的顺利开展。
5、及时上报主管部门
企业若上报主管部门,上报内容应包括:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式。
至于上报的主管部门,一般是上报给省级网信部门。
6、安全事件告知
对于需要告知的情形。如果出现网络安全事件,造成个人信息泄露,包括个人敏感信息或其他对个人信息主体产生重大影响的信息。如果个人信息主体自主采取相应措施能够有效防止潜在损失的发生或防止损失的进一步扩大,则建议及时进行安全事件告知。
对于告知方式。能够逐一送达受影响的个人信息主体更好,个人信息主体众多或逐一送达可能时间较长或存在其他影响因素,可以通过发布网站公告等方式送达。
对于告知内容。应当包括如:1、安全事件的内容和影响;2、已采取或将要采取的处置措施;3、个人信息主体自主防范和降低风险的建议;4、针对个人信息主体提供的补救措施;5、个人信息保护负责人和个人信息保护工作机构的联系方式。
在数据安全事件结束之后,企业应当尽快进入经验教训总结阶段,理清事件始末,并对相关负责人进行处理问责。整个过程一般包含以下四个方面:
1、发生原因
企业应当查找事件发生源头、确定事件产生原因,从而发现自身管理和安全措施的薄弱环节,进而在以后加以改进升级,避免事件再次发生。
2、进展过程
根据对于事件进展过程的记录,复盘事件始末,理清其中的关键环节和重要时间节点,以便加深网络运营者相关人员对于安全事件的理解和体会。
3、解决措施
对自身所采取的应对措施,应当重新审视,评估其中作用最大、最小的环节,总结预案在执行过程中存在的障碍,从而学习如何更好的解决问题,并按照总结结果及时更新升级应急预案。
4、总结过程
最后,对于经验总结过程本身,企业也应当再次审视,发现经验总结过程中的疏漏与不足,以利于下一次事件发生时更加高效准确的对事件始末进行记录和总结。
本篇介绍:数据安全事件预案及应对
本篇为第9篇/共9篇 上一篇:转载地址:http://bgeaf.baihongyu.com/