亞馬遜當(dāng)?shù)貢r(shí)間本周一向404Media,、CRN等外媒發(fā)布聲明,，確認(rèn)出現(xiàn)了一起第三方供應(yīng)商導(dǎo)致的亞馬遜員工數(shù)據(jù)泄露事件,。這次網(wǎng)絡(luò)安全事件據(jù)信由文件傳輸軟件MOVEit在2023年爆出的CVE-2023–34362零日漏洞導(dǎo)致,。61,、B2B數(shù)據(jù)聚合公司DemandScience泄露超1億人數(shù)據(jù)一個(gè)名為“KryptonZambie”的***者在BreachForums論壇上出售,，目前已證實(shí),，這些數(shù)據(jù)來(lái)自一家聚合數(shù)據(jù)的B2B需求生成公司DemandScience,。62,、諾基亞被***攻擊,，泄露大量?jī)?nèi)部敏感數(shù)據(jù)據(jù)BleepingComputer消息，跨國(guó)電信巨頭諾基亞正在調(diào)查一起數(shù)據(jù)泄露事件,，有***聲稱獲得了該公司及某第三方承包商公司的內(nèi)部敏感數(shù)據(jù),。、02數(shù)據(jù)丟失1,、南昌某集團(tuán)公司大量數(shù)據(jù)疑遭境外竊取,，被罰10萬(wàn)元接上級(jí)網(wǎng)信部門通報(bào)，南昌某集團(tuán)有限公司所屬IP疑似被***遠(yuǎn)程控制,，頻繁與境外通聯(lián),，向境外傳輸大量數(shù)據(jù)。經(jīng)調(diào)查,，南昌市網(wǎng)信辦依據(jù)數(shù)據(jù)安全法對(duì)南昌某集團(tuán)有限公司處以警告,、罰款10萬(wàn)元,，對(duì)直接負(fù)責(zé)的主管人員處以罰款2萬(wàn)元的行政處罰。2,、LockBit宣稱成功入侵美聯(lián)儲(chǔ),，竊取了33TB數(shù)據(jù)據(jù)該**的受害者信息，他們從美聯(lián)儲(chǔ)竊取了多達(dá)33TB的銀行內(nèi)部數(shù)據(jù),，其中包括眾多機(jī)密細(xì)節(jié),，如果得到證實(shí)，這將是歷史上**嚴(yán)重的金融數(shù)據(jù)泄露事件之一,。 針對(duì)業(yè)務(wù)人員開展數(shù)據(jù)分類分級(jí)實(shí)操培訓(xùn),，講解新型攻擊防御策略，模擬釣魚攻擊測(cè)試員工應(yīng)急反應(yīng),。杭州個(gè)人信息安全解決方案

    55,、思科泄漏上千家企業(yè)數(shù)據(jù)一位***的數(shù)據(jù)販賣者表示，他從Cisc（思科）竊取了大量數(shù)據(jù),，包括該公司的業(yè)務(wù)**,。據(jù)稱，包括亞馬遜,、三星,、迪士尼、蘋果,、IBM和美國(guó)軍方在內(nèi)的數(shù)百個(gè)**都受到了影響,。56、互聯(lián)網(wǎng)檔案館遭遇***攻擊,，3100萬(wàn)用戶數(shù)據(jù)被泄露科技媒體arstechnica（10月10日）發(fā)文,，報(bào)道稱互聯(lián)網(wǎng)檔案館網(wǎng)站***攻擊，導(dǎo)致大約3100萬(wàn)用戶數(shù)據(jù)被泄露,。57,、美國(guó)驚曝超大規(guī)模信息泄露事件！超1億人受到影響近日,，安全研究人員發(fā)現(xiàn)了一起大規(guī)模數(shù)據(jù)泄露事件,，超1億美國(guó)公民的個(gè)人信息遭到泄露。Cybernews發(fā)現(xiàn)了這一漏洞,，并稱泄露事件的起因源于背景調(diào)查公司MC2Data的一個(gè)配置錯(cuò)誤的數(shù)據(jù)庫(kù),，據(jù)稱該數(shù)據(jù)庫(kù)中有。58,、美國(guó)**律所奧睿因泄露用戶個(gè)人信息賠償超5700萬(wàn)元因泄露用戶個(gè)人信息,，美國(guó)**律所奧睿賠償超5700萬(wàn)元，其中人均**高賠償現(xiàn)金，該律所還承諾部署持續(xù)漏洞掃描,、EDR,、MDR等數(shù)據(jù)安全整改措施。59,、美國(guó)零售商泄露5700萬(wàn)用戶數(shù)據(jù)據(jù)BleepingComputer消息,，美國(guó)數(shù)據(jù)泄露查詢網(wǎng)站HaveIBeenPwned（HIBP）通告了一起涉及5700萬(wàn)HotTopic用戶的數(shù)據(jù)泄露事件。60,、亞馬遜確認(rèn)員工數(shù)據(jù)因第三方供應(yīng)商網(wǎng)絡(luò)安全**泄露11月12日消息,。 江蘇企業(yè)信息安全分析國(guó)家金融監(jiān)督管理總局于2024年12月發(fā)布的《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法》（以下簡(jiǎn)稱《辦法》）。

對(duì)GB/T35273中的示例進(jìn)行了細(xì)化,、調(diào)整和修改,。比如，將GB/T35273列為“其他信息”的宗教信仰,、行蹤軌跡分別單列,，將“個(gè)人身份信息”調(diào)整為“特定身份信息”，對(duì)醫(yī)療**信息,、金融賬戶信息的示例進(jìn)一步細(xì)化,。例如，單獨(dú)的身份證號(hào)碼可能不被直接視為敏感個(gè)人信息,，但結(jié)合其他個(gè)人信息（如姓名、地址等）后,，其整體屬性可能轉(zhuǎn)變?yōu)槊舾袀€(gè)人信息,。此外，指南還列舉了生物識(shí)別信息,、宗教信仰信息,、特定身份信息、醫(yī)療**信息,、金融賬戶信息,、行蹤軌跡信息等八類常見敏感個(gè)人信息，并對(duì)每一類信息進(jìn)行了詳細(xì)的解釋和示例說明,，如通過調(diào)用個(gè)人手機(jī)精細(xì)位置權(quán)限采集的位置信息即為精細(xì)定位信息,，而通過IP地址等測(cè)算的粗略位置信息則不屬于此類。03ISO27701PIMS體系建設(shè)的**視野ISO27701PIMS體系概述ISO27701作為ISO27001的擴(kuò)展標(biāo)準(zhǔn),，專注于個(gè)人信息處理活動(dòng)的隱私保護(hù),。它不僅繼承了ISO27001在信息安全管理體系方面的成熟經(jīng)驗(yàn)，還針對(duì)個(gè)人信息處理活動(dòng)提出了更為嚴(yán)格的隱私保護(hù)要求,。ISO27701要求**在建立信息安全管理體系的基礎(chǔ)上,，進(jìn)一步識(shí)別、評(píng)估、控制和管理與個(gè)人信息處理相關(guān)的隱私風(fēng)險(xiǎn),，確保個(gè)人信息處理的合法,、正當(dāng)和透明。PIMS體系建設(shè)的**要素在ISO27701PIMS體系建設(shè)中,。

基于成本效益分析的評(píng)估：計(jì)算風(fēng)險(xiǎn)處置成本：在評(píng)估風(fēng)險(xiǎn)等級(jí)時(shí),，還需要考慮降低風(fēng)險(xiǎn)所需的成本。例如,，為了防止數(shù)據(jù)泄露,，企業(yè)可能需要購(gòu)買數(shù)據(jù)加密軟件、加強(qiáng)訪問控制措施等,，這些成本都需要計(jì)算在內(nèi),。比較風(fēng)險(xiǎn)損失和處置成本：如果風(fēng)險(xiǎn)處置成本低于風(fēng)險(xiǎn)可能造成的損失，那么這個(gè)風(fēng)險(xiǎn)可能被視為較高等級(jí)的風(fēng)險(xiǎn),，需要優(yōu)先處理,。反之，如果處置成本過高,，超過了企業(yè)能夠承受的范圍或者遠(yuǎn)高于風(fēng)險(xiǎn)可能造成的損失,，企業(yè)可能會(huì)選擇接受風(fēng)險(xiǎn)或者采取其他替代措施。這種方法能夠從經(jīng)濟(jì)角度更科學(xué)地評(píng)估風(fēng)險(xiǎn)等級(jí),，但需要準(zhǔn)確的成本數(shù)據(jù)和對(duì)風(fēng)險(xiǎn)損失的合理估算,。企業(yè)可以定期組織安全演練和宣傳活動(dòng)，模擬真實(shí)的安全事件場(chǎng)景,，讓員工在實(shí)際操作中掌握應(yīng)對(duì)方法,。

確保處理的合法性和透明度。完善隱私管理體系的持續(xù)改進(jìn)機(jī)制《識(shí)別指南》于ISO27701PIMS體系建設(shè)還有助于完善隱私管理體系的持續(xù)改進(jìn)機(jī)制,。通過將《識(shí)別指南》中的識(shí)別規(guī)則和常見敏感個(gè)人信息類別納入PIMS體系的監(jiān)控和評(píng)審范圍,，企業(yè)可以及時(shí)發(fā)現(xiàn)隱私保護(hù)工作中存在的問題和不足，并采取相應(yīng)的改進(jìn)措施加以完善,。同時(shí),，這種持續(xù)改進(jìn)機(jī)制也有助于企業(yè)不斷適應(yīng)新的法律法規(guī)要求和技術(shù)發(fā)展趨勢(shì)，確保個(gè)人信息處理活動(dòng)的長(zhǎng)期合規(guī)性和安全性,。05我司在ISO27701PIMS體系建設(shè)咨詢服務(wù)及數(shù)據(jù)安全咨詢服務(wù)方面的實(shí)踐作為一家專注于標(biāo)準(zhǔn)體系咨詢的老牌顧問公司,，我司在ISO27000系列體系建設(shè)咨詢服務(wù)及數(shù)據(jù)安全咨詢服務(wù)方面積累了豐富的經(jīng)驗(yàn)。在具體實(shí)踐中,，我們會(huì)結(jié)合客戶的實(shí)際需求和業(yè)務(wù)特點(diǎn),，制定個(gè)性化的咨詢服務(wù)方案。通過深入分析客戶的個(gè)人信息處理流程和場(chǎng)景,，我們幫助客戶識(shí)別出潛在的敏感個(gè)人信息風(fēng)險(xiǎn)點(diǎn),，并制定相應(yīng)的隱私保護(hù)措施和控制措施。同時(shí)，我們還為客戶提供***的隱私管理體系建設(shè)培訓(xùn)和指導(dǎo)服務(wù),，幫助客戶建立符合ISO27701要求的隱私管理體系,，并持續(xù)監(jiān)控和優(yōu)化其運(yùn)行效果。 在安全投入縮減的情況下,，企業(yè)可以積極利用開源和不收費(fèi)的安全工具和資源來(lái)降低成本,。深圳信息安全落地

《辦法》將數(shù)據(jù)安全納入全面風(fēng)險(xiǎn)管理體系，建立事件分級(jí)（特別重大,、重大,、較大、一般）和快速響應(yīng)機(jī)制,。杭州個(gè)人信息安全解決方案

用于指導(dǎo)如何收集,、處理、存儲(chǔ),、傳輸和刪除個(gè)人信息,。這與《應(yīng)急預(yù)案》中強(qiáng)調(diào)的數(shù)據(jù)安全事件應(yīng)急**體系和工作機(jī)制相輔相成，共同構(gòu)建了一個(gè)從日常隱私管理到應(yīng)急響應(yīng)的***數(shù)據(jù)安全保護(hù)體系,。雖然ISO27701主要關(guān)注日常隱私管理,，但其提供的框架和原則也可以為企業(yè)在數(shù)據(jù)安全事件應(yīng)急響應(yīng)方面提供指導(dǎo)。例如,，ISO27701強(qiáng)調(diào)的隱私保護(hù)原則,、責(zé)任明確、持續(xù)改進(jìn)等理念,，都有助于企業(yè)在《應(yīng)急預(yù)案》的指導(dǎo)下,，更加**地應(yīng)對(duì)數(shù)據(jù)安全事件。此外,，ISO27701的實(shí)施還可以幫助企業(yè)建立更加完善的應(yīng)急響應(yīng)機(jī)制，包括事件的監(jiān)測(cè),、預(yù)警,、報(bào)告、處置等流程,，確保在數(shù)據(jù)安全事件發(fā)生時(shí)能夠迅速響應(yīng)并減輕損失,。而**主要的，ISO27701認(rèn)證是對(duì)企業(yè)隱私保護(hù)能力的**認(rèn)可,，有助于企業(yè)在全球化市場(chǎng)中贏得客戶信任,、合作伙伴青睞以及合規(guī)經(jīng)營(yíng)的關(guān)鍵。通過獲得ISO27701認(rèn)證,，企業(yè)能夠系統(tǒng)地識(shí)別,、評(píng)估并管理其處理個(gè)人信息過程中的風(fēng)險(xiǎn)，確保個(gè)人數(shù)據(jù)得到合法、公正且透明的處理,。這不僅符合《應(yīng)急預(yù)案》等法律法規(guī)和政策制度的要求,，還能夠減少因數(shù)據(jù)泄露或?yàn)E用而導(dǎo)致的法律訴訟和經(jīng)濟(jì)損失，同時(shí)***提升企業(yè)的品牌形象和社會(huì)責(zé)任感,。 杭州個(gè)人信息安全解決方案