政府安全资讯精选 2017年第八期 等保检查工作、网络安全威胁监测与处置办法细化,监管有据可依

 

【国内政策分析】

《公安等保检查工作规范》9月13日发布 等保检查将有据可依 点击查看全文


概要:《规范》明确等保负责单位为市(地)级以上公安机关,“谁受理备案,谁负责检查”。等保三级每年检查一次,等保四级半年一次。检查内容包括定级备案、整改情况、管理制度、产品使用、测评进展和自查情况。

点评:检查标准的细化是监管加强的重要信号,等保检查工作的推动将有据可依,且责任落实到市级公安机关。《网安法》框架下等保的核心要求包括,一、内部安全管理制度和操作规程,确定网络安全负责人;二、防病毒和网络攻击;三、保留网络日志不少于六个月;四、数据分类、重要数据备份和加密等。如违反,将责令改正,给予警告,拒不改正将罚款一万至十万元,直接负责主管罚款五千至五万元。目前汕头、四川、山西等地已有等保违规案例发生,并收到不同等级的惩罚。

《网络安全威胁监测与处置办法》发布 提高企业对安全威胁监测处置能力要求 点击查看全文

 

概要:该项办法定义了网络安全威胁的监测和处置机制。工信部将建立网络安全威胁信息共享平台,统一收集、分析、发布威胁信息。委托CNCERT和信息通信研究院等机构认定网络安全威胁,提出处置建议并对企业的相关处置情况进行验证。该办法2018年1月1日起生效。

点评:《办法》将对基础电信企业、互联网企业、域名注册管理和服务机构等企业产生影响,提高了此类企业对网络安全威胁监测与处置的责任,包括应当为电信主管部门依法查询IP地址归属、域名注册等提供技术支持,按主管部门的要求和时限采取处置措施,反馈处置结果并接受检验。

【国际监管动态】


美国政府提议卫生保健机构建立“自然灾害数据备份计划” 灾难期也要保障数据安全 点击查看全文

 

概要:受飓风影响,美国卫生及公共服务部的民权事务部门(OCR)正在通过应急数据备份计划HealthITSecurity报告。根据发布,卫生保健机构需要依据《健康保险便利和责任法案》(HIPAA)安全规则进行数据备份,灾难恢复和应急模式运行计划,在国家灾难期间也不会例外。

 

看法:这项报告在去年的新指引上又增加了灾害备份的要求。在HIPPAA已有安全要求的基础之上作出进一步要求,即使在自然灾害等紧急情况下也必须保证电子受保护健康信息(PHI)的机密性,完整性和可用性。这是对卫生保健机构数据安全和隐私更进一步的考验,天灾人祸作为数据泄漏的借口将不再成立。


Facebook被西班牙隐私监管罚款120万欧元 点击查看全文

 

概要:西班牙数据保护机构(AEPD)表示,Facebook违反多项隐私规则,包括(1)未明确征集用户同意即通过第三者收集信息;(2)通过Cookies收集未注册Facebook帐号的人的信息,包括宗教信仰、意识形态等敏感信息
(3)未获取用户同意,进行数据分析 (4)在用户删除账号17个月后,仍然保存并使用用户数据。

 

点评:这是互联网企业在海外被重罚的案例之一,体现了在整个数据生命周期中对客户保持透明性的重要性——任何的数据收集、处理和分析都必须清晰地告知用户。国内正在试点进行的“个人信息保护提升行动”是数据隐私保护的第一步,后续范围会逐渐扩大。



期待听到您的反馈

阿里云安全微信和微博,每周与您见面。

如果您是阿里云用户,

也欢迎通过邮件、钉钉公众号查看本周行业资讯。

扫码参与全球安全资讯精选

读者调研反馈

我们会认真讨论您的每一条建议

并邀请精彩回答者加入VIP读者群


时间: 2024-11-30 02:44:16

政府安全资讯精选 2017年第八期 等保检查工作、网络安全威胁监测与处置办法细化,监管有据可依的相关文章

金融安全资讯精选 2017年第八期:Equifax数据泄露事件本周五个进展,企业用户如何使用SOC 2 报告来评估CSP安全性,Alert Logic发布云安全报告:云上发生安全事件数更少

   [金融安全动态] Equifax数据泄露事件本周五个进展.点击查看原文 点评:上周我们提到,Equifax泄露的信息包括用户社会安全码.驾照信息.生日信息.信用卡数据等.据SEC(U.S. Securities and Exchange Commission)的文件,三位Euifax董事已经售出了"一小部分"所持股票.和Equifax可能受到的处罚(链接).   从上周三到今天,Equifax事件有5个新披露的进展.   首先,CIO辞职.Equifax首席安全官员Susan M

游戏安全资讯精选 2017年 第八期:从“马甲”到“刷金”,盘点网络游戏的攻击和欺诈,微软“9月周二补丁日”发布81个漏洞补丁,系统优化工具CCleaner被植入后门

  [每周游戏行业DDoS态势]     [游戏安全动态] 从"马甲"到"刷金",盘点网络游戏的攻击和欺诈.点击查看原文     概要:对网络游戏的攻击有两大目的,除了暴利之外,黑客的曝光和名声也是驱动因素.对网络游戏攻击的常见方式有:虚假注册(Phantom Registrations)."马甲攻击"(Sock Puppet):论坛或社区用户通过"马甲"假装成另外一个人参与有关自己及自己作品的讨论或者评论:大规模钓鱼攻击:木

政府安全资讯精选 2017年第七期 美国权威征信公司发生严重数据泄漏 数据安全重要性再突显

[安全事件]   美国信用评级公司Equifax泄漏 1.43 亿用户数据  点击查看原文   概要:美国三大权威征信公司之一Equifax 被攻击,泄漏 1.43 亿用户数据.泄露信息包括用户社会安全码(SSN).驾照.生日.信用卡数据等.事件曝光之前,CFO等三位高管抛售了近180万美元的股票.作为应对,Equifax开通了一个网站帮助消费者确定个人信息是否遭到损害,并提供免费的信贷档案监控和识别盗窃保护.从规模之大和被泄漏信息的隐私程度看,这可能是近年来最严重的数据泄露事故之一.   点评

政府安全资讯精选 2017年第五期 各国加强隐私和个人信息保护

[全球政策趋势] 印度最高法院裁定宪法保障公民隐私权  点击查看原文 概要:日前,印度最高法院作出历史性的判定,宣布宪法将保障印度公民的隐私权.该项决定可能会限制政府推广生物识别ID数据库Aadhaar计划.批评者称Aadhaar可能侵犯公民隐私权.并且,由于印度没有综合隐私保护法,公民在遇到数据泄漏情况时很难依法维权. 点评:印度最高法院的决定后,企业需要更加重视数据安全和用户隐私,尤其是与Aadhaar系统关联的产品和服务.例如,WhatsApp目前在印度用户量高达1.6亿,WhatsApp

政府安全资讯精选 2017年第十期 广州加强对商家Wifi实名制监管 各级人大常委在全国范围推进“一法一决定”执法检查

  [国内政策分析] 广州加强对商家Wifi监管 必需留存日志并实名登记 点击查看原文  概要:广州警方近日表示,将对商家提供的公共Wifi加强监管,要求商家留存日志.用户实名联网.广州市公安局网监分局近期对600多个单位进行了网络安全检查,其中有259家存在安全漏洞,35家有黑客入侵.木马等安全问题.   点评:广州警方响应<网络安全法>关于网络日志存储6个月.实名登记才能提供服务的要求,将安全责任进一步扩大到提供Wifi的广大商家.全国各地执法部门未来可能有类似动作,餐饮.酒店等服务行业的

政府安全资讯精选 2017年第六期 车联网和移动安全可能成为未来监管重点

[全球政策趋势]   车辆数据隐私受美国监管重视 点击查看原文 概要:美国政府问责办公室(GAO)做了一项关于车辆数据隐私的调查,包括汽车制造商如何收集.使用和共享定位.轮胎压力等车辆数据.被研究调查的16家制造商中,有13家都表示有限制数据收集和使用的隐私条款,但没有给消费者明确易懂的文字通知.国家交通安全管理局(NHTSA)在隐私保护中提到关键作用,但其目前责任仍然不明确. 点评:日前,Uber追踪客户地理位置引起争议,车辆数据隐私和车联网安全的讨论热度增加.汽车制造商和网约车公司收集用户的

政府安全资讯精选 2017年第四期:聚焦美国网络安全新动态

[安全事件] Uber被指控侵犯用户数据 美政府要求接受20年隐私系统审核  点击查看全文 概要:美国联邦贸易委员会(下称FTC)经调查称,Uber失实报告了对雇员提取乘客和司机个人信息的监测程度,且未采取适当措施保护用户数据.FTC称,Uber甚至未采取低成本的防止入侵措施,例如要求工程师使用区分的密钥,或要求多重因素认证.此外,Uber还把地理位置等敏感用户信息,在数据库存为普通可读文本.Uber和FTC达成协议,将在在180天内取得独立第三方的隐私审核,今后每两年进行一次审核,持续20年.

游戏安全资讯精选 2017年 第四期:游戏行业上周最大DDoS流量超770G, 魔兽世界遭遇DDoS攻击,开源CMS Drupal 8发布更新修复多处高危漏洞补丁

  [每周行业DDoS攻击态势]     [游戏安全动态]  魔兽世界遭遇DDoS攻击.点击查看原文   概要:此次 DDoS 攻击实际是从周日的早上开始发生,暴雪发现问题后第一时间在 Twitter 上发出通知,"我们正在对于身份验证服务缓慢的原因进行调查."目前还没有个人或组织对此次 DDoS 事件负责,暴雪目前也还未公开更多攻击细节.(引用自Freebuf) 点评:阿里云安全团队也跟踪发现,暴雪被DDoS的时长近三小时.攻击最开始,登录服出现问题,接着是支付出现问题,并在1小时后

金融安全资讯精选 2017年第七期:Equifax 泄漏 1.43 亿用户数据,Struts2 REST插件远程执行命令漏洞全面分析,阿里云护航金砖五国大会

   [金融安全动态] 美国信用评分公司Equifax 被攻击,泄漏 1.43 亿用户数据.点击查看原文   概要:泄露的信息包括用户社会安全码.驾照信息.生日信息.信用卡数据等.据SEC(U.S. Securities and Exchange Commission)的文件,三位Euifax董事已经售出了"一小部分"所持股票.Equifax 称黑客利用了 Web 应用的漏洞访问了某些文件,Apache Struts 受到的怀疑最多.Apache Struts 项目今年爆出了两个漏洞,