安全合规--51--基于国内法律法规的企业数据合规体系建设经验总结(九)

已于 2023-06-15 22:51:09 修改
阅读量1.5k 收藏 7
点赞数 4
分类专栏: 隐私合规 文章标签: 隐私合规
于 2021-03-16 22:31:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wutianxu123/article/details/114855983
版权

本博客地址:https://security.blog.csdn.net/article/details/114855983
本篇介绍:数据安全事件预案及应对
本篇为第9篇/共9篇
上一篇:基于国内法律法规的企业数据合规体系建设经验总结(八)

一、建立健全内部安全管理制度

《网络安全法》第21条规定,网络运营者应履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

(一)制定内部安全管理制度和操作规程,确定网络安全负人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。

在实践中,企业可以按如下方式来施行:

1、确定网络安全负责人

企业需要设置专门的安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行背景调查。

2、建立健全内部控制制度

企业应当对易发生个人信息泄露的环节进行充分排查,明确规定各部门、岗位和人员的管理责任,加强个人信息管理的权限设置,形成相互监督、相互制约的管理机制,切实有效的防止信息泄露或滥用事件的发生。并加强对从业人员的培训,强化从业人员的信息安全意识,防止从业人员非法使用、泄露、出售个人信息。

3、完善日常操作规程

企业应当完善日常操作规程,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。

4、指定并定期完善应急预案

企业应建立数据应急预案,应急预案应包括应急处理流程、事件上报流程等内容。根据业务影响分析,至少每年一次组织开展应急演练,完善处置流程,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险,保证在系统服务异常以及危机等情境下数据的完整、准确和连续。

此外,应留存应急培训和应急演练记录,作为潜在的应对监管核查的证明材料。最后,应急预案并非一劳永逸,而是应该定期对原有的应急预案进行重新评估,根据网络安全最新的动态和应急演练发现的问题,修订完善应急预案。

5、建立有效的数据治理结构

企业应当通过完善相关内控制度,强化各部门、岗位和人员在用户信息保护方面的责任,以此完善内部监督和责任追究机制。

二、完善应急处置

1、关注网络安全最新动态

企业应保持关注,并通过了解最新执法检查动向和网络安全事件,及时掌握可能出现的数据危机。通过对各项法律法规的及时了解和充分合规,降低因违法违规被处罚的风险;通过对网路环境的日常评估和针对性检测,降低出现数据泄露、被盗等网络安全事件的可能性。

2、准确判断事件性质

准确判断是及时响应的前提,尤其是对于网络病毒、黑客攻击等网络安全事件而言。一旦网络安全事件爆发,企业需要迅速并准确的判断事件性质,以避免因粗心大意或盲目自信导致对真实事态的误判。在判断事件性质后,应当确定事件领导小组,评估可能造成的损失和优先保护的部分,迅速对应事先指定的应急预案,确定内部分工和具体操作流程。

3、及时响应采取处置措施

确定执行方案和人员以后,企业应当对安全事件迅速做出响应,及时执行应急预案,采取补救措施,防止事态进一步扩大。

4、准确记录事件内容

应记录的事件内容包括:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门等。

准确记录事件内容,是按规定上报和后续准确复盘的基础,有利于监管部门快速了解事件的详细情况,也有助于后续经验教训总结的顺利开展。

5、及时上报主管部门

企业若上报主管部门,上报内容应包括:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式。

至于上报的主管部门,一般是上报给省级网信部门。

6、安全事件告知

对于需要告知的情形。如果出现网络安全事件,造成个人信息泄露,包括个人敏感信息或其他对个人信息主体产生重大影响的信息。如果个人信息主体自主采取相应措施能够有效防止潜在损失的发生或防止损失的进一步扩大,则建议及时进行安全事件告知。

对于告知方式。能够逐一送达受影响的个人信息主体更好,个人信息主体众多或逐一送达可能时间较长或存在其他影响因素,可以通过发布网站公告等方式送达。

对于告知内容。应当包括如:1、安全事件的内容和影响;2、已采取或将要采取的处置措施;3、个人信息主体自主防范和降低风险的建议;4、针对个人信息主体提供的补救措施;5、个人信息保护负责人和个人信息保护工作机构的联系方式。

三、经验教训总结

在数据安全事件结束之后,企业应当尽快进入经验教训总结阶段,理清事件始末,并对相关负责人进行处理问责。整个过程一般包含以下四个方面:

1、发生原因

企业应当查找事件发生源头、确定事件产生原因,从而发现自身管理和安全措施的薄弱环节,进而在以后加以改进升级,避免事件再次发生。

2、进展过程

根据对于事件进展过程的记录,复盘事件始末,理清其中的关键环节和重要时间节点,以便加深网络运营者相关人员对于安全事件的理解和体会。

3、解决措施

对自身所采取的应对措施,应当重新审视,评估其中作用最大、最小的环节,总结预案在执行过程中存在的障碍,从而学习如何更好的解决问题,并按照总结结果及时更新升级应急预案。

4、总结过程

最后,对于经验总结过程本身,企业也应当再次审视,发现经验总结过程中的疏漏与不足,以利于下一次事件发生时更加高效准确的对事件始末进行记录和总结。

本篇介绍:数据安全事件预案及应对
本篇为第9篇/共9篇
上一篇:基于国内法律法规的企业数据合规体系建设经验总结(八)

【愚公系列】《AIGC辅助软件开发》011-AI辅助编写技术文档:技术文档
时光隧道
07-24 5万+
在当今快速发展的技术环境中,技术文档的编写变得愈加重要。无论是软件开发、产品设计,还是系统架构,清晰、准确的技术文档不仅能帮助团队成员快速理解项目,还能为用户提供必要的使用指导。然而,编写高质量的技术文档常常是一项繁琐且耗时的任务。随着人工智能技术的不断进步,AI工具的辅助作用逐渐显现,特别是在技术文档的编写过程中。借助AI,开发者技术作家可以更高效地生成、编辑维护文档,从而专注于更高层次的创作思考。
安全合规--48--基于国内法律法规企业数据合规体系建设经验总结(六)
武天旭的博客
03-12 892
儿童是国家发展的未来希望,其认知能力、危险识别能力自我保护能力都相对薄弱,因此,为了加强对儿童个人信息安全的保护,国家互联网信息办公室颁布了《儿童个人信息网络保护规定》,其系统的规定了应设置儿童专门用户协议、指定专人负责、征得儿童监护人同意等儿童个人信息保护要求。接下来,我将从儿童认定的标准专门文本与专人负责监护人同意委托处理儿童个人信息的安全评估要求向第三方转移儿童个人信息的安全评估要求儿童个人信息保护的除外情形等六方面来探讨对儿童个人信息保护的合规化。
安全合规--45--基于国内法律法规企业数据合规体系建设经验总结(三)
武天旭的博客
03-01 2940
收集个人信息的目的在于使用,同时通过使用来实现收集个人信息的目的。而要使用个人信息,访问个人信息必不可少,通过访问个人信息,方能实现对个人信息进行相关使用。《网络安全法》第41对个人信息使用进行了原则性规定,读者可以自行查阅相关条文了解。对于在个人信息出境的场景,个人信息出境后的后续处理活动可能无法得到有效控制,导致国家安全、社会公共利益个人信息主体合法权益遭受威胁的可能性相对较高,因此需要对个人信息跨境传输行为进行额外的规制要求。接下来,我将从个人信息访的问控制个人信息的使用规范。
安全合规--49--基于国内法律法规企业数据合规体系建设经验总结(七)
武天旭的博客
03-14 1140
如果数据合规具体到个人信息保护,要想有序开展个人信息保护工作,对个人信息保护的组织管理就必不可少。接下来,我将从个人信息保护责任部门与人员个人信息保护处理活动记录员工个人信息保护管理与培训个人信息安全影响评估个人信息安全审计等五方面来探讨个人信息保护组织的管理要求。
安全合规--43--基于国内法律法规企业数据合规体系建设经验总结(一)
武天旭的博客
02-21 9430
覆盖数据的全生命周期;覆盖业务经营、风险管理内部控制流程中的全部数据;覆盖内部数据外部数据;覆盖所有分支机构附属机构。具体来说,为确保数据相关运作合法合规企业应将数据保护体系贯彻数据的全生命周期,配合建立网络安全相关法律法规要求的各项制度,符合法律法规对于个人信息保护的各项规定要求。参照相关国家标准的细化要求,进行个人信息全生命周期的合规安排。回到本篇主题,那何为个人信息收集?
安全合规--44--基于国内法律法规企业数据合规体系建设经验总结(二)
武天旭的博客
02-24 2913
第42条对个人信息存储提出了原则性要求,同时第64条明确了违反个人信息存储要求的责任后果,包括责令改正、警告、没收违法所得、处违法所得一倍以上十倍以下罚款,情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。那么接下来,我将从个人信息分类分级存储期限最小化存储方式安全数据去标识化处理等四方面来探讨个人信息存储的合规化。
SCL-90量表的云服务解决方案:确保数据安全合规的7大策略
[SCL-90量表的云服务解决方案:确保数据安全合规的7大策略](https://habrastorage.org/webt/52/of/zi/52ofzi3gr5yqupl4yrb-ugewqya.jpeg) 参考资源链接:[scl-90量表及评分方法]...
专题资料(2021-2022年)51第三方物流企业组织结构设计.doc
10-07
7. **法律与合规部门**:确保企业的所有操作符合法律法规要求,处理合同管理、风险管理等问题。 在教学过程中,教师可能会采用案例分析、小组讨论等方式,让学生理解掌握不同类型的第三方物流企业运作模式,如: ...
【SAP-ML物料分类账数据安全加固】:掌握这7种配置与管理方法,确保数据安全无忧
![【SAP-ML物料分类账数据安全加固】:掌握这7种配置与管理方法,确保数据安全无忧]...在当今数字化时代,企业数据的保护变
DS600-G20安全宝典:数据守护神的实战策略
随着信息技术的快速发展,数据安全成为企业组织的首要关注点之一。本文首先阐述了数据安全的必要性及其面临的挑战,并详细介绍了DS600-G20安全宝典的理论基础,包括数据三大安全原则及威胁分析、数据保护技术,...
安全合规--46--基于国内法律法规企业数据合规体系建设经验总结(四)
武天旭的博客
03-10 1269
个人信息委托处理、共享、转让公开披露,均属于个人信息的对外提供,为了满足合作业务开展的需求,个人信息的对外提供时常会发生。与此同时,提供到外部的个人信息我们对其掌控力会明显减弱,这也导致了在对外提供环节,个人信息泄露、个人信息违规使用等事件爆发率较高。因此,需要对个人信息对外提供环节加以规范,尽可能的降低个人信息安全事件发生的风险。接下来,我将从个人信息主体同意及例外情形数据接收方的尽调约束对外提供的安全措施对外提供的记录数据接收方的持续监督第三方接入管理公开披露个人信息的特殊要求。
安全合规--37--基于欧美法律法规企业隐私合规体系建设经验总结(一)
武天旭的博客
02-04 7427
本篇介绍:一些关键概念 本篇为第1篇/共5篇 下一篇:基于欧美法律法规企业隐私合规体系建设经验总结(二) 引子 在2019年,我有幸主导了公司的隐私合规体系建设。几乎是从零开始,完成了ISO 27001、ISO 27017、ISO 27018、GDPR、等级保护三级、CCPA等安全隐私合规认证,积攒了较为丰富的隐私合规建设经验,由于公司业务主要是面向欧美市场,因此隐私合规体系也更注重适配欧美法律法规,本系列即以欧美法律法规为基准,来探讨我是如何搭建起公司隐私合规体系的。
安全合规--50--基于国内法律法规企业数据合规体系建设经验总结(八)
武天旭的博客
03-15 1152
爬虫本质上是一套实现高效率下载的程序,可以通过遍历网络内容,按照指定规则提取所需的网页数据,并下载到本地形成互联网网页镜像备份。 在互联网时代,网络爬虫最大的意义在于高效的获取数据,完善的爬虫技术能够实现自动化的抓取网页数据,并进行网页数据的解析、存储等操作。基于此特性,爬虫最常见的应用场景为搜索引擎,如百度、谷歌等。
数据安全数据合规体系建设规划方案
最新发布
weixin_44094929的博客
05-01 1180
首先,从组织范围来看,这个项目将覆盖到咱们企业内所有与数据处理相关的部门人员,无论是IT部门、业务部门,还是法务部门等,都将纳入其中,确保每个与数据打交道的人员都严格遵守数据安全合规的要求。首先,我们必须制定一个全面而完善的应急响应计划,这包括明确的应急组织、详尽的应急流程以及充足的应急资源,这样,在面临数据安全事件时,我们才能迅速而有效地作出响应处理。在得到评估结果后,我们要对发现的问题建议进行及时的反馈处理,确保我们的数据安全管理合规工作能够持续改进,为我们的企业社会创造更大的价值。
安全合规/法案--28--数据保护相关法律法规汇总与介绍
武天旭的博客
02-03 6653
一、数据保护相关的重要法律、法规、规章及规范性文件 序号 文件名称 发布机构 生效时间 1 《消费者权益保护法》第14条、第29条、第50条、第56条 全国人大常委会 2014年3月15日 2 《刑法修正案(七)》 全国人大常委 2009年2月28日 3 《刑法修正案()》第17条、第28条 全国人大常委会 2015年11月1日 4 《网络安全法》 全国人大常委会 2017年6月1日 5 《民法典》第111条、第1032-1039条 全国人大 2021年1月1日 5 《
干货 :数据跨境传输合规体系的构建思路
数据分析
01-09 3599
以下内容整理自清华大学《数智安全与标准化》课程大作业期末报告同学的汇报内容。第一部分:研究背景随着经济活动数字化转型加快,“数据”对生产、流通、分配消费活动产生重要影响,成为新的生产要素。地区之间数据流通愈发频繁,数据传输的规模频率不断扩张,人民也能愈发感受到数字经济发展带来的红利。另外一方面,数据本身存在非常多的利益,如数据中版权信息涉及到公司组织利益,地图数据中包含了国家利益。因此,我们发...
数据安全建设合规管理措施
m0_73803866的博客
10-01 1850
参考案例 :某行业 案例 1: 规章文档平台 在办公系统中,建立了规章文档平台,供员工查询学习。
安全合规--40--基于欧美法律法规企业隐私合规体系建设经验总结(四)
武天旭的博客
02-04 6568
本篇介绍:撰写数据隐私合规文件 本篇为第4篇/共5篇 上一篇:基于欧美法律法规企业隐私合规体系建设经验总结(三) 下一篇:基于欧美法律法规企业隐私合规体系建设经验总结(五) 引子 在2019年,我有幸主导了公司的隐私合规体系建设。几乎是从零开始,完成了ISO 27001、ISO 27017、ISO 27018、GDPR、等级保护三级、CCPA等安全隐私合规认证,积攒了较为丰富的隐私合规建设经验
企业数据合规,从数据源开始
weixin_53957778的博客
07-30 701
企业数据合规,从数据源开始
51cto2016上半年系统集成项目管理工程师试题解析
07-01
### 回答1: 51CTO是一家专注于IT技术领域的在线教育平台,在2016上半年的系统集成项目管理工程师考试中,出了一道题目。下面是这道题目的解析。 这道题目要求考生运用系统集成项目管理的知识进行解析。首先,我们需要明确系统集成项目管理的定义目标。系统集成项目管理是指通过整合多个系统、子系统组件,以满足用户需求并实现预期目标的过程。其目标是确保项目的顺利进行,包括项目进度、成本质量的控制。 接下来,我们需要分析题目的要求。题目给出了一个案例,描述了一个参与系统集成项目的企业关键人员。然后,题目要求考生回答三个问题:项目发起人应该具备哪些特点能力?项目经理的核心职责是什么?在系统集成项目生命周期的不同阶段,项目经理应该做些什么? 对于第一个问题,项目发起人应该具备一定的专业知识经验,能够准确把握用户需求,能够为项目提供必要的资源支持,同时具备良好的沟通能力领导能力,能够协调各方面的利益关系。 对于第二个问题,项目经理的核心职责是组织管理整个项目团队,确保项目按照既定的计划目标进行。项目经理应该制定项目的计划目标,制定项目的时间表里程碑,协调各个部门之间的合作,解决项目中出现的问题风险。 对于第三个问题,项目经理在系统集成项目的生命周期的不同阶段应该做些什么呢?在项目启动阶段,项目经理应该制定项目的计划目标,明确项目的范围可行性。在项目执行阶段,项目经理应该组织管理项目团队,监督项目的执行进度质量。在项目收尾阶段,项目经理应该对项目进行总结评估,确保项目的交付验收。 综上所述,本题通过描述案例提问的方式考察了考生对系统集成项目管理的理解应用能力。考生需要结合系统集成项目管理的知识方法进行分析解答,并且举出合理的例子加以说明,以展现自己的理解能力。 ### 回答2: 51CTO在2016年上半年的系统集成项目管理工程师试题解析可以从以下几个方面进行回答。 首先,该试题主要包含了系统集成项目管理的基本概念方法论。通过这些试题,考生可以了解到系统集成项目管理的核心概念,如需求管理、进度管理、资源管理、风险管理等等,以及相应的管理方法工具。 其次,该试题还涉及到了一些实际案例的分析解决。这些案例可能是真实的项目问题,或者是模拟的项目场景,通过分析这些案例,考生可以锻炼自己的问题解决能力决策能力,了解到项目管理实践中的挑战解决方法。 此外,该试题还会考察考生对于相关法律法规的了解程度。系统集成项目管理不仅仅是技术方法的应用,还需要考虑到法律法规合规风险管理。因此,这些试题会考核考生对相关法律法规的了解程度,如信息安全管理、知识产权保护等。 最后,通过对该试题的解析,考生可以对自己的学习进度能力进行评估,了解自己在系统集成项目管理领域的不足之处,进而针对性地进行学习提升。同时,对于从事系统集成项目管理工作的人员来说,该试题解析也是一个很好的复习巩固知识的机会。 总而言之,51CTO2016上半年的系统集成项目管理工程师试题解析不仅对于考生来说是一个检验自己学习成果的机会,也是一个提升自己技能的重要途径。通过分析解答这些试题,考生可以提高自己的问题解决能力、决策能力对项目管理的理解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

武天旭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值