政府安全资讯精选 2017 年第一期:各国加强网络安全法规建设和隐私保护-阿里云开发者社区

开发者社区> 觉宇> 正文

政府安全资讯精选 2017 年第一期:各国加强网络安全法规建设和隐私保护

简介: 新加坡发布《网络安全法案》(草稿),加强关键信息基础设施监管,英国监管加强对隐私违规活动的处罚,为GDPR做准备,瑞典政府泄露数百万公民敏感信息,阿里云和TrustArc建立合作关系
+关注继续查看


d67f9d5f41f1d8068d9a791a9cc3f5fe6e4d228c


首期寄语


在网络安全成为热点的今天,各种论坛已经使我们淹没在了资讯的海洋;网络安全资讯的泛滥,并没有提高我们认识网络安全客观世界的水平,反而降低了接收有用知识的效率 — 专业、专注、客观的网络安全资讯,仍为少数。



“政府安全资讯”,是从信息的海洋中挑选珍珠。阅读高相关性、高专业度的资讯,我们能“知彼知己、百战不殆”,也能“取他山之石以攻玉”,但更能“指点江山、激扬文字”。如此,则善莫大焉。

 

      中国信息安全研究院副院长 左晓栋

 

 


【全球政策趋势】



新加坡发布《网络安全法案》(草稿),加强关键信息基础设施监管。点击查看原文


概要:新加坡七月中旬发布了《网络安全法案》草稿征求公共意见。法案要求设立专门的网络安全官员,并授予管理和应对网络安全威胁的权利;明确了关键信息基础设施(CII)的概念及认定程序,建立了监管框架,明确了关键系信息网络安全风险评估义务、审查义务、网络安全事件报告义务、重大事项变更告等义务。

 

点评:对比新加坡《网安法》(草稿)和网信办日前发布的《关键信息基础设施安全保护条例(征求意见稿)》,不难看到关键信息基础设施(后面简称CII)是各国网络安全保障的重中之重。关于CII认定,新加坡规定由网络安全委员(Commissioner of Cybersecurity)负责。被认定为CII的主体有权在收到书面通知后14日内通过相关渠道和程序进行申诉;关于CII的认定有效期,定为5年,在有效期间,只要网络安全委员认为不再符合认定标准可随时撤销认定;在国内,目前CII认定、有效期及取消资格流程与标准尚未确定。

 

英国监管加强对隐私违规活动的处罚,为GDPR做准备。点击查看原文



概要: 英国隐私监管部门Information Commissioner’s Office今年大幅度提高了数据安全与隐私违规的处罚力度。上半年的处罚总金额达到了259万英镑,已经是去年全年的60%。同时,处罚的频率也在提高,重点执法对象包括直销和数据泄漏两个方面。许多行业专家认为,英国监管提高处罚力度是为了提高英国企业对明年即将生效的GDPR的重视。

 

点评: 欧盟GDPR的适用原则是“属人原则”。只要是涉及到欧盟成员国公民个人信息的公司,都必须遵守;所有与欧盟有业务往来的中国企业,均将面临GDPR合规挑战,即使欧盟人员在华寻求服务,其隐私也受到GDPR保护,并可以向欧盟寻求法律保障,相比之下,我国的《网络安全法》是“属地原则”:只要在中国境内则必须合规,一旦国人出国,则其隐私保护将依据其寻求服务所在地法律法规原则。

 


【相关安全事件】



瑞典政府泄露数百万公民敏感信息。点击查看原文


概要:瑞典史上最严重的数据泄漏事件被披露。事件起因是瑞典交通局(Swedish Transport Agency,STA)将数据库和其它IT服务的管理外包给捷克的IBM和塞尔维亚的NCR两家外国企业。STA不仅将整个数据库上传到外包商服务器,授予访问该数据库的所有权限,而且未设置专业IT技术人员进行监督管理。经调查发现,多名未经安全审核的外国技术人员都可以获取该数据库保密信息。被泄漏数据包括瑞典所有驾驶执照、精英军事单位和战机飞行员的个人资料、政府和军用车辆的详细信息以及其他重要交通数据。

 

评论:瑞典此次的大规模数据泄漏严重影响了政府公信力。前任交通部长已被辞退,并仅受到了约合人民币5.75万元的罚款。随着各国不断加强对网络安全管理,政府机构建议加强人力和资金投入,建立有效的问责与处罚机制,以免重大事件发生后才亡羊补牢。

 

从近期国内的安全事件头条可以看出,人为因素导致的数据泄漏事件增加趋势明显。2017最新数据显示,全球25%的数据泄露是由内部员工或外包商疏忽造成,且该比例逐年上升。许多企业甚至政府机构引入外包商进行开发、测试、分析或代理运维,授予外部人员访问、管理数据库的高权限。这种做法节约了人力成本投入,但增加了因人为误操作、高危操作导致数据泄漏的可能性。收集数据的公司和机构,即数据控制者,应当更加重视对内部人员和外包商的监督,从技术、管控、法律责任划分等多个层面降低数据泄漏的风险。

 


【云上视角】



阿里云和TrustArc建立合作关系。点击查看原文



概要:在新加坡的IAPP亚洲隐私权论坛上,阿里云宣布和TrustArc建立合作关系。TrustArc将通过阿里云的新加坡云基础架构提供基于云的隐私管理平台,向云客户提供解决方案,尤其是中小型企业。阿里云也将使用这个平台作为其全球合规结构的一部分,用于其自己的合规性认证服务。

 

点评:TrustArc在合规和风险管理有丰富的经验,获得苹果、IBM、HP、Cisco等全球知名企业的青睐。通过阿里云新加坡提供的基于云的隐私管理平台,可以为亚太地区的中小型企业提供一站式服务,减轻这类企业的合规负担。为了帮助中国企业走出国门,达到海外隐私保护合规要求。 阿里云国际与各个国家的标准机构、监管机构、专业机构等有长期的沟通与交流机制,如EUC的SCOPE, TrustArc,NISC等,也希望在国内建立类似的机制,并同时为非官方的海内外交流创造良好的机制与平台。




期待听到您的反馈


 金融、政府、游戏安全资讯精选会通过云栖社区专栏,

阿里云安全微信和微博,每周与您见面。

如果您是阿里云用户,

也欢迎通过邮件、钉钉公众号查看本周行业资讯。




029307c2bf99a126e3c7d4b050286cfed9f71a06


扫码参与全球安全资讯精选

读者调研反馈


我们会认真讨论您的每一条建议

并邀请精彩回答者加入VIP读者群

 

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
游戏安全资讯精选 2018年第十期:游戏安全年度报告重磅发布,北京检方依法批捕比特币被盗案犯罪嫌疑人,攻击某企业网站,1.1亿元备付金被盗
游戏安全年度报告重磅发布,北京检方依法批捕比特币被盗案犯罪嫌疑人,攻击某企业网站,1.1亿元备付金被盗
1889 0
《Linux防火墙(第4版)》——2.6 私有网络服务VS公有网络服务
最简单的保护您自己的方式就是不提供服务。但如果您需要这些本地服务中的一个呢?并不是所有的服务都能够在数据包过滤层被充分地保护。文件共享软件、即时通讯服务和基于UDP的RPC服务都是众所周知难以在数据包过滤层保障安全的。
1587 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
3980 0
Unix高级安全设置第三部分-LINUX系列(2)
http://net.zdnet.com.cn/network_security_zone/2008/0108/702079.
455 0
+关注
98
文章
10
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载