2月23日,某盟研發中心的核心員工因自身精神及生活原因,通過個人VPN登錄到公司內網,將公司大量核心數據刪除,致使與某盟合作的300萬商戶數據丟失。截止目前,仍有一些客戶資料在緊急恢復之中。“刪庫”行為給平臺以及平臺用戶造成鉅額經濟損失的同時,更帶來心理恐慌。涉數據企業該如何防止“被刪庫”?企業保障數據存儲安全的注意義務有哪些?
因各企業“庫內”數據類型多樣。不同的數據內容也決定了企業安保義務有所不同。本文謹以涉個人信息的數據企業的安保措施予以分析,其他數據企業則可參照實施。
內 容 提 要
一、先行:安全保障制度與操作規程
二、硬核:網絡安全技術等級測評
三、雙贏:審慎委託第三方存儲
四、Plan B: 安全事件的緊急處理
一、先行:安全保障制度與操作規程
我們在數據合規系列文章中提到,目前我國的數據立法不甚完善,各類數據企業在實操過程中,也有一些迷茫。可以上現實,並不代表著目前數據安全保障就無法可依,無據可循。結合我國現有的關於個人信息保護的各類規範及各項國家標準,我們將企業保障數據安全的制度與基本操作規程進行總結。
1.日常操作中的權限管理
(1)最小權限:
A.對被授權訪問企業數據的人員,建立最小授權的訪問控制策略,使其只能訪問職責所需的最小必要信息,且僅具備完成職責所需的最少數據操作權限;
B.對企業數據的重要操作設置內部審批流程,如批量修改、拷貝、下載等操作;
C.對安全管理人員、數據操作人員、審計人員的角色分離設置;
D.確因工作需要,需授權特定人員超權限處理個人信息的,應經數據安全責任人或個人信息保護工作機構進行審批,並記錄在冊。
(2)及時刪除信息
A.數據保存期限為實現授權使用目的所必需的最短時間。超出上述信息保存期限後,應刪除數據或對數據進行匿名化處理;
B.當涉數據企業停止運營其產品或服務時,應及時停止繼續收集個人信息;將停止運營的通知以逐一送達或公告的形式通知個人信息主體;並對其所持有的個人信息進行刪除或匿名化處理。
(3)去標識化
收集個人信息後,企業應立即進行去標識化處理,並採取技術和管理措施,將可用於恢復識別個人的信息與去標識化後的信息分開存儲並加強訪問和使用權限管理。
(4)敏感信息存儲
A.存儲個人敏感信息時,採用加密措施;
B.存儲個人生物識別信息時,採用技術措施,確保信息安全後再進行存儲。
2.內部職能部門部署
(1)法定代表人或主要負責人對個人信息安全負全面領導責任,包括為數據安全工作提供人力、財力、物力保障;
(2)任命數據保護負責人和數據保護工作機構,數據保護負責人由具有相關管理工作經歷和數據保護專業知識的人員擔任,參與有關數據處理活動的重要決策;
(3)數據保護負責人和數據保護工作機構的職責應包括但不限於:
A.全面統籌實施組織內部的數據安全工作,對數據安全負直接責任;
B.組織制定數據保護工作計劃並督促落實;
C.制定、簽發、實施、定期更新相關規程;
D.建立、維護和更新企業所持有的數據和授權訪問策略;
E.開展個人信息安全影響評估,提出數據保護的對策建議,督促整改安全隱患;
F.組織開展信息安全培訓;
G.進行安全審計;
H.與監督、管理部門保持溝通,通報或報告數據安全及突發事件處置等內容。
3.內部風險評估(審計)
內部審計可以對安全事件的處置、應急響應和事後調查等提供有力支撐,對此,企業應:
(1)對相關規程和安全措施的有效性進行審計;
(2)建立自動化審計系統,監測記錄數據處理活動;
(3)防止非授權訪問、篡改或刪除審計記錄;
(4)及時處理審計過程中發現的數據違規使用、濫用等情況;
(5)妥當保存審計記錄。
二、硬核:網絡安全技術等級測評
我們在前期數據合規系列文章中,曾提到網絡安全技術等級測評的五級標準。
《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)指出,“等級保護對象是指網絡安全等級保護工作中的對象,通常是指計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統,主要包括基礎信息網絡,雲計算平臺/系統、大數據應用/平臺/資源、物聯網、工業控制系統和採用移動互聯技術的系統等”。可以看到,市場中,大多數涉數據企業都涵蓋在以上範圍之內。
但目前,我國尚沒有專門的法律規範明確各類涉數據企業應達到的網絡安全保護等級。各行業可參照的具體文件包括《信息安全技術 網絡安全等級保護定級指南》(GB/T 22240)、《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)、《信息安全技術 網絡安全等級保護測評過程指南》(GB/T 28449-2018)等。
將以上規範內容概而言之,即,信息系統的安全保護等級主要由兩個要素決定:
A.等級保護對象受到破壞時所侵害的客體;
B.對客體造成侵害的程度。
目前,我們瞭解到,銀行的多數系統採用的是等保三級,而其他各類涉數據企業,還請自查。
三、雙贏:審慎委託第三方存儲
在某盟的“刪庫”案件中,一度某主流雲存儲服務提供商也被推上風口浪尖。雲空間已成為企業數據存儲的重要方式。
根據《信息安全技術 個人信息安全規範》、《信息安全技術 網絡安全等級保護基本要求》,數據企業需選擇安全合規的合作服務商,履行系列注意義務,並通過協議約束雙方的數據安全責任,具體而言:
(1)選擇安全合規的雲服務商,且服務商提供的雲計算平臺應為其所承載的業務應用系統提供相應等級的安全保護能力;
(2)建立雲服務商產品或服務接入管理機制和工作流程,必要時,應建立安全評估機制,設置接入條件;
(3)督促雲服務商加強個人信息安全管理,發現第三方產品或服務沒有落實安全管理要求和責任的,應及時督促整改,必要時停止接入;
(4)涉及第三方嵌入或接入的自動化工具(如代碼、腳本、接口、算法模型、軟件開發工具包、小程序等)的,應對第三方嵌入或接入的自動化工具收集數據行為進行審計,發現超出約定的行為,及時切斷接入;
(5)與雲服務商通過合同等形式明確雙方的安全責任及應實施的數據安全措施;合同中應具備的特殊條款有:
A.雲服務商的各項服務內容和具體技術指標;
B.雲服務商的權限與責任,包括管理範圍、職責劃分、訪問授權、隱私保護、行為準則、違約責任等;
C.在服務水平協議中規定服務合約到期時,完整提供雲服務客戶數據,並承諾相關數據在雲計算平臺上的清除;
D.設置保密條款,要求其不得洩露雲服務客戶數據。
(6)妥善留存雲服務接入有關合同和管理記錄等。
溫馨提示:根據《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)第8.2.4.6條,即使採用雲服務存儲數據,雲服務客戶,也即數據企業仍應在本地保存其業務數據的備份。對此,還請提請各位讀者注意。
四、Plan B: 安全事件的緊急處理
為應對突發的數據安全事件,數據企業還需做好B計劃,突發安全事故發生後,及時啟動急預案或備份系統,對此,數據企業需:
(1)制定個人信息安全事件應急預案;
(2)定期(至少每年一次)組織內部相關人員進行應急響應培訓和應急演練,使其掌握崗位職責和應急處置策略和規程;
(3)發生數據安全事件後,根據應急響應預案進行以下處置:
A.記錄事件內容,包括但不限於:發現事件的人員、時間、地點,涉及的信息數量及人數,發生事件的系統名稱,對其他互聯繫統的影響,是否已聯繫執法機關或有關部門;
B.評估事件可能造成的影響,並採取必要措施控制事態,消除隱患;
C.按照《國家網絡安全事件應急預案》等有關規定及時上報;
D.根據相關法律法規變化情況,以及事件處置情況,及時更新應急預案;
E.涉及可能會給他人合法權益帶來嚴重危害的,及時告知信息主體。應告知內容應包括但不限於:
a) 安全事件的內容和影響;
b) 已採取或將要採取的處置措施;
c) 個人信息主體自主防範和降低風險的建議;
d) 針對個人信息主體提供的補救措施;
e) 個人信息保護負責人和個人信息保護工作機構的聯繫方式。
(4)啟用備份系統,減少故障損害。
硬核指南,請查收!
閱讀更多 律政仙蹤 的文章
