网络安全|数据安全僵局:数据泄露了?我不知道啊!( 三 )


如安恒信息 , 其提倡以咨询规划创建框架 , 制定战略目标 , 设计对应的组织架构和权责 , 并填补制度体系的空白 。 落地阶段 , 以“CAPE数据安全能力框架”构建风险核查(Check)、数据梳理(Assort)、数据保护(Protect)以及数据威胁监控预警(Examine)四位一体的数据安全技术体系 , 实现对数据采集、传输、存储、处理、交换、销毁全生命周期的安全管理和防护 。 后期 , 以“运营服务”实现稳定运行和持续改进 , 提升项目建设的价值 。
昂楷科技 , 打破“以外防为主建立防护边界系统”的老思路 , 提出建立终端、外防、内审内控的三级联动联防主动积极防御体系 。 将安全元数据应用于数据安全治理中 , 通过安全控制数据与生产数据的分离 , 保障数据安全的同时 , 实现安全策略的一致性 。 方案涵盖资产梳理、风险评估、主动防御、监控审计、态势感知、数据溯源、数据处理等能力 , 这些数据安全能力单元搭配SOC平台、应用安全、终端安全、网络安全等其他安全能力单元 , 集中到拥有自学习能力的数据安全综合治理平台上 , 实现对复杂威胁的联动联防 , 可以覆盖数据从采集到销毁的全部流转周期 。
新兴技术打破网络安全边界 , 让传统的基于内外网的安全策略失效 , 这已经成为安全建设工作中最重要的一个变化和趋势 , 数据安全也深受影响 , 安全419报道《数据安全市场黄金年代开启?三年内该领域诞生多家初创公司》关注到一批新生代的数据安全厂商 , 通过前沿理念和技术创新为数据安全建设提供了新的思路 。
如数安行 , 与国内首先提出了DataSecOps理念 , 建立以AI驱动的零信任数据运营安全平台 , 对业务及网络无改造映射数据运营全流程 , 为企业提供自动化的数据价值发现及数据安全服务 , 实现隐私数据保护、商业秘密保护和数据运营的有效平衡 。 平台帮助用户管理跟踪各种类型、各种来源的个人隐私数据及商业数据 , 促进数据的快速流动及安全协作共享 , 满足数据使用的法律合规要求 , 防范内部数据滥用风险 , 打造以数据运营为核心的多数据平台、跨业务流程的数据安全生态体系 。
安全建设体系之外 , 从法律合规角度 , 企业应该聚焦以下几点:
正确理解监管思维 。 自净网2018专项行动以来 , 公安机关已全面实行一案双查制度 , 指在对网络违法犯罪案件开展侦查时 , 同步启动对涉案网络服务提供者法定网络安全义务履行情况的监督检查 。 对拒不履行法定网络安全义务、为网络违法犯罪活动提供帮助的网络服务提供者 , 将依法对其进行严厉查处 , 努力从源头遏制网络违法犯罪案件发生 。
也就是说 , 如果企业没有履行网络安全和数据安全义务 , 作为受害者的企业 , 不仅自身将承担各项损失 , 同时将遭受监管部门的处罚 。 值得注意的是 , 《网络安全法》《数据安全法》所有罚则均为“双罚制” , 企业及直接责任人都将遭受处罚 。
及时履行报告义务 。 数据泄露属于网络安全事件 , 上述法律对于此类事件均规定了企业应依法向监管部门报告的法定义务 。 如果发生重大的数据泄露事件 , 企业又没有及时履行报告义务 , 大概率将遭到监管部门的处罚 。 需要注意的是 , 数安法相关罚则较为严厉 , 并且新法施行后各地“首案”陆续出现 , 给企业带来永远抹不去的负面影响 , 执法力度表明了国家监管的决心 。
重视客户数据泄露 。 许多企业在发生数据泄露之初 , 并没有意识到一些潜在的重大风险 。 比如说网络系统内存储的客户数据 , 包括商务合同、财务资料、知识产权数据等可能包含重要商业秘密的内容 。 此外 , 如果相关客户是上市企业 , 数据泄露很可能涉及信息披露的问题 。