政府安全资讯精选 2017年第八期 等保检查工作、网络安全威胁监测与处置办法细化,监管有据可依
2017-09-20 14:00
861 查看
摘要: 《公安等保检查工作规范》发布,等保检查将有据可依;《网络安全威胁监测与处置办法》发布;美国政府提议卫生保健机构建立“自然灾害数据备份计划”;Facebook被西班牙隐私监管罚款120万欧元
【国内政策分析】
《公安等保检查工作规范》9月13日发布 等保检查将有据可依 点击查看全文
概要:《规范》明确等保负责单位为市(地)级以上公安机关,“谁受理备案,谁负责检查”。等保三级每年检查一次,等保四级半年一次。检查内容包括定级备案、整改情况、管理制度、产品使用、测评进展和自查情况。
点评:检查标准的细化是监管加强的重要信号,等保检查工作的推动将有据可依,且责任落实到市级公安机关。《网安法》框架下等保的核心要求包括,一、内部安全管理制度和操作规程,确定网络安全负责人;二、防病毒和网络攻击;三、保留网络日志不少于六个月;四、数据分类、重要数据备份和加密等。如违反,将责令改正,给予警告,拒不改正将罚款一万至十万元,直接负责主管罚款五千至五万元。目前汕头、四川、山西等地已有等保违规案例发生,并收到不同等级的惩罚。
《网络安全威胁监测与处置办法》发布 提高企业对安全威胁监测处置能力要求 点击查看全文
概要:该项办法定义了网络安全威胁的监测和处置机制。工信部将建立网络安全威胁信息共享平台,统一收集、分析、发布威胁信息。委托CNCERT和信息通信研究院等机构认定网络安全威胁,提出处置建议并对企业的相关处置情况进行验证。该办法2018年1月1日起生效。
点评:《办法》将对基础电信企业、互联网企业、域名注册管理和服务机构等企业产生影响,提高了此类企业对网络安全威胁监测与处置的责任,包括应当为电信主管部门依法查询IP地址归属、域名注册等提供技术支持,按主管部门的要求和时限采取处置措施,反馈处置结果并接受检验。
【国际监管动态】
美国政府提议卫生保健机构建立“自然灾害数据备份计划” 灾难期也要保障数据安全 点击查看全文
概要:受飓风影响,美国卫生及公共服务部的民权事务部门(OCR)正在通过应急数据备份计划HealthITSecurity报告。根据发布,卫生保健机构需要依据《健康保险便利和责任法案》(HIPAA)安全规则进行数据备份,灾难恢复和应急模式运行计划,在国家灾难期间也不会例外。
看法:这项报告在去年的新指引上又增加了灾害备份的要求。在HIPPAA已有安全要求的基础之上作出进一步要求,即使在自然灾害等紧急情况下也必须保证电子受保护健康信息(PHI)的机密性,完整性和可用性。这是对卫生保健机构数据安全和隐私更进一步的考验,天灾人祸作为数据泄漏的借口将不再成立。
Facebook被西班牙隐私监管罚款120万欧元 点击查看全文
概要:西班牙数据保护机构(AEPD)表示,Facebook违反多项隐私规则,包括(1)未明确征集用户同意即通过第三者收集信息;(2)通过Cookies收集未注册Facebook帐号的人的信息,包括宗教信仰、意识形态等敏感信息 (3)未获取用户同意,进行数据分析
(4)在用户删除账号17个月后,仍然保存并使用用户数据。
点评:这是互联网企业在海外被重罚的案例之一,体现了在整个数据生命周期中对客户保持透明性的重要性——任何的数据收集、处理和分析都必须清晰地告知用户。国内正在试点进行的“个人信息保护提升行动”是数据隐私保护的第一步,后续范围会逐渐扩大。
原文链接
【国内政策分析】
《公安等保检查工作规范》9月13日发布 等保检查将有据可依 点击查看全文
概要:《规范》明确等保负责单位为市(地)级以上公安机关,“谁受理备案,谁负责检查”。等保三级每年检查一次,等保四级半年一次。检查内容包括定级备案、整改情况、管理制度、产品使用、测评进展和自查情况。
点评:检查标准的细化是监管加强的重要信号,等保检查工作的推动将有据可依,且责任落实到市级公安机关。《网安法》框架下等保的核心要求包括,一、内部安全管理制度和操作规程,确定网络安全负责人;二、防病毒和网络攻击;三、保留网络日志不少于六个月;四、数据分类、重要数据备份和加密等。如违反,将责令改正,给予警告,拒不改正将罚款一万至十万元,直接负责主管罚款五千至五万元。目前汕头、四川、山西等地已有等保违规案例发生,并收到不同等级的惩罚。
《网络安全威胁监测与处置办法》发布 提高企业对安全威胁监测处置能力要求 点击查看全文
概要:该项办法定义了网络安全威胁的监测和处置机制。工信部将建立网络安全威胁信息共享平台,统一收集、分析、发布威胁信息。委托CNCERT和信息通信研究院等机构认定网络安全威胁,提出处置建议并对企业的相关处置情况进行验证。该办法2018年1月1日起生效。
点评:《办法》将对基础电信企业、互联网企业、域名注册管理和服务机构等企业产生影响,提高了此类企业对网络安全威胁监测与处置的责任,包括应当为电信主管部门依法查询IP地址归属、域名注册等提供技术支持,按主管部门的要求和时限采取处置措施,反馈处置结果并接受检验。
【国际监管动态】
美国政府提议卫生保健机构建立“自然灾害数据备份计划” 灾难期也要保障数据安全 点击查看全文
概要:受飓风影响,美国卫生及公共服务部的民权事务部门(OCR)正在通过应急数据备份计划HealthITSecurity报告。根据发布,卫生保健机构需要依据《健康保险便利和责任法案》(HIPAA)安全规则进行数据备份,灾难恢复和应急模式运行计划,在国家灾难期间也不会例外。
看法:这项报告在去年的新指引上又增加了灾害备份的要求。在HIPPAA已有安全要求的基础之上作出进一步要求,即使在自然灾害等紧急情况下也必须保证电子受保护健康信息(PHI)的机密性,完整性和可用性。这是对卫生保健机构数据安全和隐私更进一步的考验,天灾人祸作为数据泄漏的借口将不再成立。
Facebook被西班牙隐私监管罚款120万欧元 点击查看全文
概要:西班牙数据保护机构(AEPD)表示,Facebook违反多项隐私规则,包括(1)未明确征集用户同意即通过第三者收集信息;(2)通过Cookies收集未注册Facebook帐号的人的信息,包括宗教信仰、意识形态等敏感信息 (3)未获取用户同意,进行数据分析
(4)在用户删除账号17个月后,仍然保存并使用用户数据。
点评:这是互联网企业在海外被重罚的案例之一,体现了在整个数据生命周期中对客户保持透明性的重要性——任何的数据收集、处理和分析都必须清晰地告知用户。国内正在试点进行的“个人信息保护提升行动”是数据隐私保护的第一步,后续范围会逐渐扩大。
原文链接
相关文章推荐
- 政府安全资讯精选 2017年第十一期 英国未来可能向社交媒体网站征收网络安全税;“一法一决定”网络安全执法检查深入深圳、重庆、黑龙江等地
- 政府安全资讯精选 2017年第二十期 工信部发布《工业控制系统信息安全行动计划》;平昌冬奥会或成为黑客攻击目标 部分组织已遭钓鱼;多部门联合开展公共信息资源开放试点工作
- 政府安全资讯精选 2017年第十七期 全国各地开展打击整治网络侵犯公民个人信息犯罪专项行动;中共中央办公厅、国务院办公厅印发计划 IPv6规模部署提上日程
- 政府安全资讯精选 2017年第十七期 全国各地开展打击整治网络侵犯公民个人信息犯罪专项行动;中共中央办公厅、国务院办公厅印发计划 IPv6规模部署提上日程
- 政府安全资讯精选 2017年第四期:聚焦美国网络安全新动态
- 政府安全资讯精选 2017年第五期 各国加强隐私和个人信息保护
- 金融安全资讯精选 2017年第八期:Equifax数据泄露事件本周五个进展,企业用户如何使用SOC 2 报告来评估CSP安全性,Alert Logic发布云安全报告:云上发生安全事件数更少
- 政府安全资讯精选 2018年第二期 工信部发布《工业控制系统信息安全行动计划》;平昌冬奥会或成为黑客攻击目标 部分组织已遭钓鱼;多部门联合开展公共信息资源开放试点工作
- 游戏安全资讯精选 2017年第十七期:2017年最值得关注的出海游戏公司,微软十二月“周二补丁日”一览,中小企业公有云网络安全保障体系和混合云搭建实践
- 游戏安全资讯精选 2018年第一期:融资与乱象,2017的游戏之年;中宣部等8部委联合印发意见,要求严格规范网络游戏市场管理,阿里云安全2017年盘点
- 金融安全资讯精选 2017年第十八期:4个月内P2P网贷企业信息安全未合规将被取缔,全球100起重大投融资看未来网络安全发展热点,Gartner2017年安全投入以及人员投入占比相关数据
- 金融安全资讯精选 2017年第五期:2017年金融安全威胁演进趋势,纽约发布金融安全新政策,金融企业如何选择安全的云
- 政府安全资讯精选 2017年第五期 各国加强隐私和个人信息保护
- 游戏安全资讯精选2017年第五期:国际网络犯罪基础设施被曝光
- 金融安全资讯精选 2017年第五期:WireX 僵尸网络袭击全球,金融企业如何选择安全的云
- 政府安全资讯精选 2017年第二期:英美重视IoT安全_漏洞披露和安全人才培养
- 政府安全资讯精选 2017年第九期 全球互联网企业内容安全责任加重,首批互联网产品隐私条款评审“成绩单”公布
- 资讯精选 | 各国加强网络安全法规建设和隐私保护
- 金融安全资讯精选 2017年第六期:阿里云等3家单位具备CNVD技术组成员单位资格