中国版GDPR《个人信息安全规范》解读:国内企业如何保障信息安全?

简介: 大数据时代带来了无法量化的变革,但与此同时,也带来了数据和信息安全的隐患。此前,小安曾解读过GDPR,今天,小安再次带领各位小伙伴,探究中国版的“GDPR”——《个人信息安全规范》。

中国版的 GDPR——《个人信息安全规范》

image

《信息安全技术个人信息安全规范》(GB/T 35273—2017)(以下简称“《个人信息安全规范》”或“《规范》”),是我国国家质量监督检验检疫总局和国家标准化管理委员会在2017年12月29日发布、2018年5月1日正式实施的一部关于我国公民个人隐私安全保护重磅技术标准。

该标准的编制有以下四个特点

特点1:充分考虑标准在多方诉求方面的平衡性
特点2:立足国内现有的法律、法规、规章、标准
特点3:参考对标国际最先进的规则和立法
特点4:不是自成一体而是与国际接轨

安恒信息AiLPHA大数据实验室亮剑

“工欲善其事,必先利其器”,这个利器就是“明御数据库审计与风险控制系统”。且看我们是如何化险为夷的!

image

数据资产发现与分类

本规范要求企业建立与保留详细的个人数据库清单,然后按风险预测与优先性分类数据。为满足这一要求,首先需要了解数据库的位置,以及其内存储的数据类型。我们的产品可自动扫描企业网络找到已知与未知的数据库,帮助企业轻松创建定制自己的数据发现策略,并应用于企业网络任意部分的扫描。为确保数据发现的持续性,并将新数据纳入安全与防护范围,还支持自动定时扫描。拥有自动与定时扫描功能可便于企业随时获取自己的网络内的最新的全部数据清单。

数据库漏洞评估

本规范要求企业对数据采取连续保护,并定期测试与验证所采用的技术保护措施有效性,确保数据处理的安全性。同时还需连续进行数据库漏洞评估,识别出个人数据风险。我们的产品可识别出数据库的安全漏洞,并可对数据库服务器及操作系统平台进行1000种以上预设漏洞与不当配置(如:未安装补丁包、默认密码或权限配置不当)的测试与扫描。同时还可生成评估报告,并针对识别出的漏洞提供具体的建议方案,增强被扫描数据库服务器的安全性能。

监控数据访问活动

数据活动监控是规范中最重要的内容之一,要求企业为数据处理提供安全环境。为满足规定,企业需回答下列问题:数据访问者是谁?数据用途是什么?应对这一合规要求,我们的产品利用其对所有数据库活动的持续监控与分析功能,帮助用户实现对数据活动的实时完全可见,包括本地特权用户访问与服务帐号。数据库活动的监控与审计功能可确保个人数据的适当使用,以及授权用户对个人数据的访问。此外,数据监控功能还可防止外部攻击盗窃数据,如SQL注入,并防止内部威胁,如:恶意、疏忽、或受到侵犯的用户。随时警惕数据安全,才能使企业在发生数据违规前识别与阻止可疑或非法数据访问。

违规检查与事件响应

一旦发生个人数据违规,本规范要求数据控制方必需“不得无故拖延,如可能,应在获取该消息后72小时内上报给监管机关”。如未能在72小时内发出通知,则数据控制方必需为其延迟提交合理说明。

目前面临的最大挑战是,由于安全团队要处理大量的事件预警情报,导致真实报警事件容易被忽略。针对这种情况,我们的产品利用其先进的机器学习与行为模型分析,优先处理数据访问事件,无需对数据环境进行深入了解就能使安全团队及时发现预警。

更多安全场景

image

原文发布时间为:2018-07-04
本文作者:AiLPHA大数据
本文来自云栖社区合作伙伴“安恒信息”,了解相关信息可以关注“安恒信息

相关文章
|
6月前
|
传感器 机器学习/深度学习 监控
网络安全产品之认识防毒墙
在互联网发展的初期,网络结构相对简单,病毒通常利用操作系统和软件程序的漏洞发起攻击,厂商们针对这些漏洞发布补丁程序。然而,并不是所有终端都能及时更新这些补丁,随着网络安全威胁的不断升级和互联网的普及,病毒往往能够轻易地感染大量计算机。在这样的背景下,防毒墙应运而生。 接下来让我们认识一下防毒墙。
174 0
|
安全 网络安全
从颁布到落地,《网络安全法》一周年回顾
2018年6月1日,《中华人民共和国网络安全法》(以下简称《网络安全法》)正式实施一周年。作为我国第一部有关网络安全的基础性、‘大纲性’的法律,这一年间,其相关配套法律法规和规范性文件不断完善,各地监管机构执法行为走向常态。
3925 0