信息安全｜關(guān)注安言在這個(gè)數(shù)字化時(shí)代，數(shù)據(jù)已成為企業(yè)**寶貴的資產(chǎn)之一,。然而,，隨著數(shù)據(jù)量的激增，數(shù)據(jù)安全風(fēng)險(xiǎn)也隨之加大,。當(dāng)下,，越來越多的企業(yè)和**尋求應(yīng)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)的解決之策，各大廠商也紛紛推出各具特色的數(shù)據(jù)安全產(chǎn)品,。從相關(guān)報(bào)告中可以看到,，數(shù)據(jù)安全品類的安全產(chǎn)品已然成為近兩年增長(zhǎng)速度**快，應(yīng)用范圍**廣的品類之一,。為了加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全管理,，保護(hù)個(gè)人、**及**的合法權(quán)益,，***常務(wù)會(huì)議近日審議通過了《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（草案）》（以下簡(jiǎn)稱《條例》）,。那么，作為企業(yè)**的數(shù)據(jù)安全第一責(zé)任人,，我們應(yīng)如何理解這一條例，并在即將到來的新一年中做好重點(diǎn)規(guī)劃措施呢,？一,、《條例》的**內(nèi)容解讀《條例》從數(shù)據(jù)分類分級(jí)保護(hù)、數(shù)據(jù)處理者責(zé)任,、重要數(shù)據(jù)保護(hù),、跨境數(shù)據(jù)流動(dòng)管理以及互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者義務(wù)等多個(gè)方面，對(duì)企業(yè)**的數(shù)據(jù)安全管理提出了明確要求,。其中,，數(shù)據(jù)分類分級(jí)保護(hù)是**，要求企業(yè)根據(jù)數(shù)據(jù)的敏感性,、重要性等因素,，采取不同級(jí)別的保護(hù)措施,。同時(shí)，《條例》還強(qiáng)調(diào)了數(shù)據(jù)處理者的責(zé)任,，要求企業(yè)建立完善的數(shù)據(jù)安全管理制度和技術(shù)保護(hù)機(jī)制,，確保數(shù)據(jù)安全可控。二,、《條例》的適用場(chǎng)景《條例》適用于所有涉及網(wǎng)絡(luò)數(shù)據(jù)處理的企業(yè)**,。 作為企業(yè)安全管理責(zé)任人，我們應(yīng)深刻認(rèn)識(shí)到數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估對(duì)企業(yè)價(jià)值提升的重要性,。江蘇金融信息安全供應(yīng)商

文檔大小為270GB,。33、阿里全球速賣通因泄露韓國(guó)用戶信息被罰款近韓國(guó)個(gè)人信息監(jiān)管機(jī)構(gòu)周四對(duì)阿里巴巴旗下電商平臺(tái)全球速賣通（AliExpress）處以近,，原因是該平臺(tái)在未通知韓國(guó)用戶的情況下向約18萬海外賣家泄露了他們的個(gè)人信息,。34、迪士尼遭***入侵超1TB資料外泄*****NullBulge宣布入侵了迪士尼的內(nèi)部Slack基礎(chǔ)設(shè)施,，泄露了（）的敏感數(shù)據(jù),，包括近1萬個(gè)頻道的內(nèi)部消息與文檔信息。35,、**ERP軟件大廠云泄露超7億條記錄,，內(nèi)含密鑰等敏感信息ClickBalance一個(gè)云數(shù)據(jù)庫(kù)暴露在公網(wǎng)，導(dǎo)致,，其中包括API密鑰和電子郵件地址等信息,。36、**工具Trello被***攻擊,，泄露1500萬用戶數(shù)據(jù)有***發(fā)布了與Trello賬戶相關(guān)的1500萬個(gè)電子郵件地址,。當(dāng)時(shí)有一個(gè)名為“emo”的威脅行為者在一個(gè)流行的***論壇上出售15萬個(gè)Trello會(huì)員的資料。37,、菲律賓**醫(yī)保系統(tǒng)泄露超4200萬用戶數(shù)據(jù)菲律賓**醫(yī)保系統(tǒng)遭遇勒索軟件攻擊,，導(dǎo)致系統(tǒng)中斷數(shù)周，且超4200萬用戶數(shù)據(jù)泄露,。38,、國(guó)內(nèi)某上市公司疑遭勒索攻擊泄漏據(jù)FalconFeeds、Ransomlook等多家威脅情報(bào)平臺(tái)報(bào)道,，某A股上市建筑公司某集團(tuán)疑似發(fā)生大規(guī)模數(shù)據(jù)泄漏,，勒索軟件**TheRansomHouseGroup在數(shù)據(jù)泄漏論壇發(fā)帖稱竊取了該公司。 天津企業(yè)信息安全解決方案企業(yè)往往會(huì)選擇通過“砍人砍錢”的無奈之舉來應(yīng)對(duì)壓力,，但這給原本就復(fù)雜的數(shù)據(jù)安全管理工作帶來更大挑戰(zhàn),。

評(píng)估信息安全的有效性是一個(gè)復(fù)雜而多維的過程，涉及多個(gè)方面和步驟,。以下是一些關(guān)鍵步驟和考慮因素：一,、制定評(píng)估標(biāo)準(zhǔn)：選擇國(guó)際標(biāo)準(zhǔn)：可以選擇如ISO 27001等國(guó)際標(biāo)準(zhǔn)作為評(píng)估的基準(zhǔn),，這些標(biāo)準(zhǔn)提供了信息安全管理體系的框架和要求。定制評(píng)估標(biāo)準(zhǔn)：根據(jù)組織的特定需求,、業(yè)務(wù)環(huán)境和風(fēng)險(xiǎn)偏好,，定制適合自身的信息安全評(píng)估標(biāo)準(zhǔn)。二,、收集相關(guān)數(shù)據(jù)：文件與記錄：收集與信息安全相關(guān)的文件,、記錄、政策和流程,，如安全政策,、風(fēng)險(xiǎn)評(píng)估報(bào)告、安全培訓(xùn)記錄等,。系統(tǒng)日志與報(bào)告：利用安全系統(tǒng)日志,、安全事件報(bào)告和安全審計(jì)報(bào)告來收集關(guān)于信息安全事件、漏洞和威脅的數(shù)據(jù),。

這導(dǎo)致企業(yè)在應(yīng)急資源投入,、人員培訓(xùn)等方面存在不足，影響了企業(yè)的應(yīng)急響應(yīng)能力,?！稇?yīng)急預(yù)案》的定位和主要內(nèi)容《應(yīng)急預(yù)案》為應(yīng)對(duì)上述挑戰(zhàn)提供了明確的指導(dǎo)，其**內(nèi)容包括：1,、明確了《應(yīng)急預(yù)案》的適用范圍,，并界定了數(shù)據(jù)安全事件及其分級(jí)標(biāo)準(zhǔn)；2,、規(guī)定了工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全應(yīng)急處置工作的**架構(gòu),，包括領(lǐng)導(dǎo)機(jī)構(gòu)、執(zhí)行機(jī)構(gòu),、地方行業(yè)監(jiān)管部門,、數(shù)據(jù)處理者及應(yīng)急支持機(jī)構(gòu)等，并明確了各方的職責(zé),；3,、指出了開展數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警的具體流程和標(biāo)準(zhǔn)；4,、闡述了不同級(jí)別數(shù)據(jù)安全事件應(yīng)急處置的具體流程和標(biāo)準(zhǔn)；5,、規(guī)定了重大及以上數(shù)據(jù)安全事件應(yīng)急工作結(jié)束后,，地方行業(yè)監(jiān)管部門和數(shù)據(jù)處理者的具體工作要求；6,、提出了包括預(yù)防保護(hù),、應(yīng)急演練,、宣傳培訓(xùn)、設(shè)施建設(shè),、重大活動(dòng)期間保障在內(nèi)的五項(xiàng)預(yù)防措施,；7、提出了包括責(zé)任落實(shí),、獎(jiǎng)懲問責(zé),、經(jīng)費(fèi)保障、工作協(xié)同,、物資保障,、**合作、保密管理在內(nèi)的七項(xiàng)保障措施,；8,、規(guī)定了應(yīng)急預(yù)案的修訂原則和排除條款等要求。此外,，《應(yīng)急預(yù)案》在附件中詳細(xì)規(guī)定了數(shù)據(jù)安全事件的分級(jí)方法,、事件上報(bào)模板、事件總結(jié)報(bào)告模板,、應(yīng)急處置流程圖等,，為各方提供了具體的操作指導(dǎo)。在職責(zé)分工方面,。 員工是企業(yè)數(shù)據(jù)安全的首要防線,。

    并處**幣5萬元罰款的行政處罰。50,、上海某醫(yī)療科技企業(yè)因數(shù)據(jù)泄漏被行政處罰近日,，上海市網(wǎng)信辦接到線索，反映屬地某醫(yī)療科技公司所屬系統(tǒng)存在網(wǎng)絡(luò)安全漏洞,，致使系統(tǒng)大量個(gè)人信息數(shù)據(jù)發(fā)生泄漏被境外IP訪問竊取,。51、法國(guó)第二大互聯(lián)網(wǎng)服務(wù)商遭遇數(shù)據(jù)泄露,，波及1900萬用戶據(jù)BleepingComputer消息,，法國(guó)主要互聯(lián)網(wǎng)服務(wù)提供商（ISP）Free在上***證實(shí)，稍早前有***入侵了其系統(tǒng)并竊取了用戶的個(gè)人信息,。被稱為“drussellx”的***聲稱,，該泄露影響了1920萬用戶（約占法國(guó)近三分之一的人口），包含超過511萬個(gè)IBAN（**銀行賬戶）號(hào)碼,。52,、2024零售行業(yè)**大泄露事件，以色列網(wǎng)絡(luò)安全公司HudsonRock發(fā)現(xiàn)，一個(gè)據(jù)稱包含Topic顧客個(gè)人和支付數(shù)據(jù)的龐大數(shù)據(jù)庫(kù),，在暗網(wǎng)上被公開出售,。53、美國(guó)超大型數(shù)據(jù)泄露事件曝光：超1億人數(shù)據(jù)被盜聯(lián)合**（UnitedHealth）***證實(shí),，在ChangeHealthcare勒索軟件攻擊中,，有超過1億人的個(gè)人信息和醫(yī)療保養(yǎng)數(shù)據(jù)被盜，這是近年來**大的醫(yī)療保養(yǎng)數(shù)據(jù)泄露事件,。54,、**再次發(fā)生重大數(shù)據(jù)泄漏事件，“全球**”曝光安全研究員JeremiahFowler發(fā)現(xiàn),，**終止**侵害婦女信托基金的數(shù)據(jù)庫(kù)在互聯(lián)網(wǎng)上公開暴露,，未設(shè)密碼保護(hù)或訪問控制，其中包含超過,。 《辦法》將數(shù)據(jù)安全納入全面風(fēng)險(xiǎn)管理體系,，建立事件分級(jí)（特別重大、重大,、較大,、一般）和快速響應(yīng)機(jī)制。天津銀行信息安全體系認(rèn)證

更緊密回應(yīng)了金融行業(yè)在數(shù)據(jù)共享,、跨境傳輸,、第三方合作等復(fù)雜場(chǎng)景下的安全挑戰(zhàn)。江蘇金融信息安全供應(yīng)商

如何評(píng)估信息資產(chǎn)的風(fēng)險(xiǎn)等級(jí),？構(gòu)建風(fēng)險(xiǎn)矩陣：首先,，建立一個(gè)二維矩陣，其中一個(gè)維度表示風(fēng)險(xiǎn)發(fā)生的可能性,，另一個(gè)維度表示風(fēng)險(xiǎn)發(fā)生后的影響程度,。可能性通?？梢詣澐譃楦?、中、低三個(gè)等級(jí),，影響程度也同樣分為高,、中、低三個(gè)等級(jí),。例如,，高可能性可能意味著在一定時(shí)間內(nèi)（如一年內(nèi)），風(fēng)險(xiǎn)發(fā)生的概率超過 70%,；中等可能性為 30% - 70%,；低可能性則低于 30%。高影響程度可能表示會(huì)導(dǎo)致業(yè)務(wù)癱瘓,、重大經(jīng)濟(jì)損失或嚴(yán)重聲譽(yù)損害等后果,；中等影響程度可能造成部分業(yè)務(wù)中斷、一定經(jīng)濟(jì)損失或一定程度的聲譽(yù)受損,；低影響程度可能只是造成輕微的不便或少量的經(jīng)濟(jì)損失,。確定風(fēng)險(xiǎn)等級(jí)：將識(shí)別出的每個(gè)風(fēng)險(xiǎn)根據(jù)其可能性和影響程度在矩陣中定位，從而確定風(fēng)險(xiǎn)等級(jí),。例如,，如果一個(gè)風(fēng)險(xiǎn)發(fā)生的可能性為高，發(fā)生后的影響程度也為高,，那么這個(gè)風(fēng)險(xiǎn)就處于高風(fēng)險(xiǎn)等級(jí),；如果可能性為低，影響程度也為低,，那么就是低風(fēng)險(xiǎn)等級(jí),。這種方法簡(jiǎn)單直觀，便于理解和操作,，適用于初步的風(fēng)險(xiǎn)評(píng)估和對(duì)風(fēng)險(xiǎn)的快速分類,。江蘇金融信息安全供應(yīng)商