《数据安全风险评估白皮书》
400-100-9516
news
全知动态

站内搜索

案例警示!企业如何切实履行“数据安全保护义务”?
2022-08-08 3095 全知动态

首图-GIF4.gif

近日,广州警方公布了广东省公安机关首例适用《中华人民共和国数据安全法》的案件:广州一公司未履行数据安全保护义务被警方处罚5万元。

广州警方检查发现,该公司开发的“驾培平台”存储了驾校培训学员的姓名、身份证号、手机号、个人照片等信息1070万余条,但没有建立数据安全管理制度和操作规程,对于日常经营活动采集到的驾校学员个人信息未采取去标识化和加密措施,系统存在未授权访问漏洞等严重数据安全隐患

undefined

此举不仅是对“数据安全保护”作出了积极的探索和实践,也给各大企业组织起了一个警示作用。根据《数安法》的明确要求:履行数据安全保护义务,保护数据安全是每个企业应尽的责任。

《数安法》第二十七条:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。

数据安全保护义务不仅是监管层的合规要求,也是企业向好发展的必要举措。结合《数安法》的相关要求和规定,全知科技总结了以下几点供企业进行自查自纠,希望帮助企业更好的落实数据安全保护责任。

01 管理制度

在网络安全等级保护制度的基础上,企业应当建立健全全流程的数据安全管理制度,组织开展教育培训;重要数据的处理者应当明确数据安全负责人和管理机构,进一步落实数据安全保护责任主体。

02 风险监测

开展数据处理活动要加强风险监测,对出现数据安全缺陷、漏洞等风险,要及时釆取补救措施;一旦发生数据安全事件,企业应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。

03 风险评估

企业需要定期开展风险评估并上报风险评估报告。风险评估报告应当包括:处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。

04 出境报批

非经国家主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

05 证明数据来源

数据服务商或交易机构,要提供并说明数据来源证据, 要审核相关人员身份并留存记录。

06 经营备案

数据服务经营者应当取得行政许可的,服务提供者应当依法取得许可。

07 配合调查

公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。

本次案例绝非偶发个例,在数字化转型的大背景下,数据暴露面不断扩大,数据泄漏风险日趋严峻,数字暴露面风险评估监测已然成为企业关注的焦点。基于此,全知科技推出“数据流动风险评估服务”,帮助企业发现业务和自身数据安全问题,明确数据安全治理需求。

  • API风险监测:通过解析API流量,自动持续发现所有内部、外部和第三方API,提供实现API数据暴露面的治理和对数据攻击行为的发现能力,检测企业组织API的数据暴露面以及被攻击情况,提供风险态势感知大屏和多维度运营报告。
  • 应用数据风险监测:帮助用户全面盘点线上业务系统接口,及时发现大规模数据流动风险,快速对数据泄露事件进行溯源分析,宏观掌控业务系统数据流动态势,为用户制定完善的数据安全措施和应对方案提供科学有效的依据。


    数据安全事关国家安全。企业作为数据处理者,需要在平衡业务发展的前提下,有效评估监测当前存在和面临的数据安全风险,从而有目标地快速实现数据安 防护能力的提升。

    微信图片_20220507174555.gif

在线客服