個人信息保護法生效，企業(yè)數(shù)據(jù)安全合規(guī)正當時

2021年11月1日，《個人信息保護法》(簡稱“個保法”)正式施行。這是首部專門針對個人信息保護的綜合性法律，它全面規(guī)定了個人信息的保護范圍，是現(xiàn)行數(shù)據(jù)保護框架下更具系統(tǒng)性、針對性、可行性與體系化的個人信息保護法，對個人權(quán)益以及企業(yè)行為規(guī)范都將產(chǎn)生重大影響。

在違法違規(guī)的處罰力度上，不僅對公司進行處罰還對直接負責人的主管人員和其他直接負責人進行處罰，情節(jié)嚴重的，沒收違法所得，并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款，并可責令停業(yè)整頓、吊銷業(yè)務(wù)許可證或營業(yè)執(zhí)照，相關(guān)責任人則處十萬元以上一百萬元以下罰款，并禁止擔任相關(guān)企業(yè)高級職稱或負責人。可以看出，這樣的處罰力度可謂空前嚴厲，數(shù)字經(jīng)濟發(fā)展到今日，數(shù)據(jù)已成為推動未來數(shù)字經(jīng)濟高質(zhì)量發(fā)展的重要生產(chǎn)要素，國家必定對社會中疑存的信息安全問題采取行動。

當然，《個保法》的出現(xiàn)并不是個例，隨之還有《國家安全法》、《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《網(wǎng)絡(luò)安全審查辦法》等信息安全、數(shù)據(jù)安全領(lǐng)域法律法規(guī)的相繼出臺，這些針對數(shù)據(jù)處理規(guī)則與數(shù)據(jù)規(guī)范的法律正在構(gòu)筑成一幅宏大而完整的版圖，在前是國家對根除信息安全、數(shù)據(jù)安全問題的決心，在后企業(yè)也需要關(guān)注另一個數(shù)據(jù)問題：數(shù)據(jù)泄露。

在過去的2020年，國內(nèi)外數(shù)據(jù)泄露事件層出不窮，嚴重影響社會秩序和經(jīng)濟正常發(fā)展。對個人而言隱私被曝光，招致騷擾和詐騙;對于企業(yè)而言，商業(yè)機密被勒索、竊取，造成重大經(jīng)濟和名譽損失：

2020年1月底，某化妝品巨頭將一個缺乏保護措施的數(shù)據(jù)庫暴露在互聯(lián)網(wǎng)上，其中存儲了4.4億條記錄，其中包含大量的審計日志和電子郵件地址;

2020年2月，以色列總理領(lǐng)導的某集團開發(fā)的選舉應用程序因泄露配置數(shù)據(jù)，可能潛在地暴露并損害了近640萬以色列公民的個人資料;

2020年4月，浙江岱山某銀行違規(guī)泄露用戶信息，被罰款30萬元，對泄露用戶信息負有主要責任的該銀行員工被禁業(yè)3年;

2020年5月，江蘇淮安警方破獲一起販賣公民個人信息案，某銀行員工以每條80-100元的價格將客戶信息售賣，涉及個人信息50000多條。

在眾多的數(shù)據(jù)泄露事件之中，這些僅是冰山一角，持續(xù)不斷的數(shù)據(jù)泄露事件也勢必會引起國家的注意，并通過完善法律法規(guī)加強管控，而早在2019年12月1日，網(wǎng)絡(luò)安全等級保護制度(等保2.0)便已實施，過等保不僅是企業(yè)“安全預防做得是否到位”的內(nèi)在要求和衡量指標，還成為了企業(yè)在法律層面上的外部要求，是眾多企業(yè)信息安全管理的“必過標桿”。

為什么這么說呢?通過研究大量的數(shù)據(jù)泄露事件，不難看出其誘因大多是由內(nèi)部濫用或惡意泄密造成，現(xiàn)階段內(nèi)部泄密逐漸超過黑客攻擊、撞庫等外部進攻手段成為數(shù)據(jù)泄露的主要途徑，這反映出企業(yè)長期忽略了對于內(nèi)部數(shù)據(jù)管控和權(quán)限追蹤的工作。

來自另一統(tǒng)計機構(gòu)的數(shù)據(jù)，70%的數(shù)據(jù)泄露導致的信息安全事故又是由企業(yè)內(nèi)部運維管理不善導致，做好企業(yè)的數(shù)據(jù)安全防護工作，不僅要杜絕外部非法入侵，更要防微杜漸，重視日常運維管控工作，從企業(yè)管理的角度出發(fā)，在技術(shù)層面上加強運維設(shè)備防護、強化運維人員監(jiān)管才是防范企業(yè)信息泄露事件發(fā)生的根本舉措。

在產(chǎn)品選擇上，作為服務(wù)器看門人的角色，堡壘機可為企業(yè)提供 “事前授權(quán)、事中監(jiān)管、事后審計”的運維安全合規(guī)審計能力，有效解決IT運維過程中安全、可控與合規(guī)的問題，內(nèi)控運維操作不當，有效規(guī)避數(shù)據(jù)泄露事件的發(fā)生。其中，堡壘機也是國家《信息安全等級保護測評2.0》法規(guī)中所要求的一部分，也還是企業(yè)通過等保測評的重要組成部分。

作為業(yè)界領(lǐng)先的多云管理平臺，行云管家云管平臺內(nèi)置了云堡壘機功能模塊，支持多云、混合云的IT異構(gòu)網(wǎng)絡(luò)環(huán)境，以SaaS形態(tài)為客戶提供服務(wù)，一鍵安裝，免硬件投入，并符合政府相關(guān)部門制定的等保法規(guī)中對于安全運維產(chǎn)品的相關(guān)資質(zhì)要求，全面滿足等保2.0評測合規(guī)性要求，還通過公安部嚴格測試獲《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》，為用戶提供合規(guī)賬號管理體系、身份認證機制、資源授權(quán)模型、安全運維審計等功能。

行云管家現(xiàn)已成功服務(wù)包括政府、金融、證券、電信、教育、醫(yī)療、交通、制造業(yè)、互聯(lián)網(wǎng)等行業(yè)在內(nèi)的10萬家企業(yè)級用戶。

隨著個人信息保護法的生效，國家在數(shù)據(jù)安全監(jiān)管方面的決心日益凸顯，企業(yè)數(shù)據(jù)安全合規(guī)工作的開展正當時，對于相關(guān)工作的開展《信息安全等級保護測評2.0》中便給出了指示：企業(yè)需要按照定級備案、加固整改、等級保護測評的流程來落實等保工作，從管理方面和技術(shù)方面落實企業(yè)內(nèi)部信息系統(tǒng)安全建設(shè)，如管理上落實安全崗位和人員、確定安全管理策略和制度，技術(shù)上進行信息系統(tǒng)加固、網(wǎng)絡(luò)架構(gòu)升級、部署堡壘機等安全產(chǎn)品等。

因此，在全民強調(diào)數(shù)據(jù)安全的時代，企業(yè)過等保是提升自身信息安全系統(tǒng)安全等級的必然選項，過等保選對堡壘機則是關(guān)鍵，行云管家云堡壘機值得實踐。

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）