在違法違規的處罰力度上,不僅對公司進(jìn)行處罰還對直接負責人的主管人員和其他直接負責人進(jìn)行處罰,情節嚴重的,沒(méi)收違法所得,并處五千萬(wàn)元以下或者上一年度營(yíng)業(yè)額百分之五以下罰款,并可責令停業(yè)整頓、吊銷(xiāo)業(yè)務(wù)許可證或營(yíng)業(yè)執照,相關(guān)責任人則處十萬(wàn)元以上一百萬(wàn)元以下罰款,并禁止擔任相關(guān)企業(yè)高級職稱(chēng)或負責人。可以看出,這樣的處罰力度可謂空前嚴厲,數字經(jīng)濟發(fā)展到今日,數據已成為推動(dòng)未來(lái)數字經(jīng)濟高質(zhì)量發(fā)展的重要生產(chǎn)要素,國家必定對社會(huì )中疑存的信息安全問(wèn)題采取行動(dòng)。
當然,《個(gè)保法》的出現并不是個(gè)例,隨之還有《國家安全法》、《網(wǎng)絡(luò )安全法》、《數據安全法》、《網(wǎng)絡(luò )安全審查辦法》等信息安全、數據安全領(lǐng)域法律法規的相繼出臺,這些針對數據處理規則與數據規范的法律正在構筑成一幅宏大而完整的版圖,在前是國家對根除信息安全、數據安全問(wèn)題的決心,在后企業(yè)也需要關(guān)注另一個(gè)數據問(wèn)題:數據泄露。
在過(guò)去的2020年,國內外數據泄露事件層出不窮,嚴重影響社會(huì )秩序和經(jīng)濟正常發(fā)展。對個(gè)人而言隱私被曝光,招致騷擾和詐騙;對于企業(yè)而言,商業(yè)機密被勒索、竊取,造成重大經(jīng)濟和名譽(yù)損失:
- 2020年1月底,某化妝品巨頭將一個(gè)缺乏保護措施的數據庫暴露在互聯(lián)網(wǎng)上,其中存儲了4.4億條記錄,其中包含大量的審計日志和電子郵件地址;
- 2020年2月,以色列總理領(lǐng)導的某集團開(kāi)發(fā)的選舉應用程序因泄露配置數據,可能潛在地暴露并損害了近640萬(wàn)以色列公民的個(gè)人資料;
- 2020年4月,浙江岱山某銀行違規泄露用戶(hù)信息,被罰款30萬(wàn)元,對泄露用戶(hù)信息負有主要責任的該銀行員工被禁業(yè)3年;
- 2020年5月,江蘇淮安警方破獲一起販賣(mài)公民個(gè)人信息案,某銀行員工以每條80-100元的價(jià)格將客戶(hù)信息售賣(mài),涉及個(gè)人信息50000多條。
在眾多的數據泄露事件之中,這些僅是冰山一角,持續不斷的數據泄露事件也勢必會(huì )引起國家的注意,并通過(guò)完善法律法規加強管控,而早在2019年12月1日,網(wǎng)絡(luò )安全等級保護制度(等保2.0)便已實(shí)施,過(guò)等保不僅是企業(yè)“安全預防做得是否到位”的內在要求和衡量指標,還成為了企業(yè)在法律層面上的外部要求,是眾多企業(yè)信息安全管理的“必過(guò)標桿”。
為什么這么說(shuō)呢?通過(guò)研究大量的數據泄露事件,不難看出其誘因大多是由內部濫用或惡意泄密造成,現階段內部泄密逐漸超過(guò)黑客攻擊、撞庫等外部進(jìn)攻手段成為數據泄露的主要途徑,這反映出企業(yè)長(cháng)期忽略了對于內部數據管控和權限追蹤的工作。
來(lái)自另一統計機構的數據,70%的數據泄露導致的信息安全事故又是由企業(yè)內部運維管理不善導致,做好企業(yè)的數據安全防護工作,不僅要杜絕外部非法入侵,更要防微杜漸,重視日常運維管控工作,從企業(yè)管理的角度出發(fā),在技術(shù)層面上加強運維設備防護、強化運維人員監管才是防范企業(yè)信息泄露事件發(fā)生的根本舉措。
在產(chǎn)品選擇上,作為服務(wù)器看門(mén)人的角色,堡壘機可為企業(yè)提供 “事前授權、事中監管、事后審計”的運維安全合規審計能力,有效解決IT運維過(guò)程中安全、可控與合規的問(wèn)題,內控運維操作不當,有效規避數據泄露事件的發(fā)生。其中,堡壘機也是國家《信息安全等級保護測評2.0》法規中所要求的一部分,也還是企業(yè)通過(guò)等保測評的重要組成部分。
作為業(yè)界領(lǐng)先的多云管理平臺,行云管家云管平臺內置了云堡壘機功能模塊,支持多云、混合云的IT異構網(wǎng)絡(luò )環(huán)境,以SaaS形態(tài)為客戶(hù)提供服務(wù),一鍵安裝,免硬件投入,并符合政府相關(guān)部門(mén)制定的等保法規中對于安全運維產(chǎn)品的相關(guān)資質(zhì)要求,全面滿(mǎn)足等保2.0評測合規性要求,還通過(guò)公安部嚴格測試獲《計算機信息系統安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證》,為用戶(hù)提供合規賬號管理體系、身份認證機制、資源授權模型、安全運維審計等功能。
行云管家現已成功服務(wù)包括政府、金融、證券、電信、教育、醫療、交通、制造業(yè)、互聯(lián)網(wǎng)等行業(yè)在內的10萬(wàn)家企業(yè)級用戶(hù)。
隨著(zhù)個(gè)人信息保護法的生效,國家在數據安全監管方面的決心日益凸顯,企業(yè)數據安全合規工作的開(kāi)展正當時(shí),對于相關(guān)工作的開(kāi)展《信息安全等級保護測評2.0》中便給出了指示:企業(yè)需要按照定級備案、加固整改、等級保護測評的流程來(lái)落實(shí)等保工作,從管理方面和技術(shù)方面落實(shí)企業(yè)內部信息系統安全建設,如管理上落實(shí)安全崗位和人員、確定安全管理策略和制度,技術(shù)上進(jìn)行信息系統加固、網(wǎng)絡(luò )架構升級、部署堡壘機等安全產(chǎn)品等。
因此,在全民強調數據安全的時(shí)代,企業(yè)過(guò)等保是提升自身信息安全系統安全等級的必然選項,過(guò)等保選對堡壘機則是關(guān)鍵,行云管家云堡壘機值得實(shí)踐。
