【国内政策分析】
《公安等保检查工作规范》9月13日发布 等保检查将有据可依 点击查看全文
概要:《规范》明确等保负责单位为市(地)级以上公安机关,“谁受理备案,谁负责检查”。等保三级每年检查一次,等保四级半年一次。检查内容包括定级备案、整改情况、管理制度、产品使用、测评进展和自查情况。
点评:检查标准的细化是监管加强的重要信号,等保检查工作的推动将有据可依,且责任落实到市级公安机关。《网安法》框架下等保的核心要求包括,一、内部安全管理制度和操作规程,确定网络安全负责人;二、防病毒和网络攻击;三、保留网络日志不少于六个月;四、数据分类、重要数据备份和加密等。如违反,将责令改正,给予警告,拒不改正将罚款一万至十万元,直接负责主管罚款五千至五万元。目前汕头、四川、山西等地已有等保违规案例发生,并收到不同等级的惩罚。
《网络安全威胁监测与处置办法》发布 提高企业对安全威胁监测处置能力要求 点击查看全文
概要:该项办法定义了网络安全威胁的监测和处置机制。工信部将建立网络安全威胁信息共享平台,统一收集、分析、发布威胁信息。委托CNCERT和信息通信研究院等机构认定网络安全威胁,提出处置建议并对企业的相关处置情况进行验证。该办法2018年1月1日起生效。
点评:《办法》将对基础电信企业、互联网企业、域名注册管理和服务机构等企业产生影响,提高了此类企业对网络安全威胁监测与处置的责任,包括应当为电信主管部门依法查询IP地址归属、域名注册等提供技术支持,按主管部门的要求和时限采取处置措施,反馈处置结果并接受检验。
【国际监管动态】
美国政府提议卫生保健机构建立“自然灾害数据备份计划” 灾难期也要保障数据安全 点击查看全文
概要:受飓风影响,美国卫生及公共服务部的民权事务部门(OCR)正在通过应急数据备份计划HealthITSecurity报告。根据发布,卫生保健机构需要依据《健康保险便利和责任法案》(HIPAA)安全规则进行数据备份,灾难恢复和应急模式运行计划,在国家灾难期间也不会例外。
看法:这项报告在去年的新指引上又增加了灾害备份的要求。在HIPPAA已有安全要求的基础之上作出进一步要求,即使在自然灾害等紧急情况下也必须保证电子受保护健康信息(PHI)的机密性,完整性和可用性。这是对卫生保健机构数据安全和隐私更进一步的考验,天灾人祸作为数据泄漏的借口将不再成立。
Facebook被西班牙隐私监管罚款120万欧元 点击查看全文
概要:西班牙数据保护机构(AEPD)表示,Facebook违反多项隐私规则,包括(1)未明确征集用户同意即通过第三者收集信息;(2)通过Cookies收集未注册Facebook帐号的人的信息,包括宗教信仰、意识形态等敏感信息
(3)未获取用户同意,进行数据分析 (4)在用户删除账号17个月后,仍然保存并使用用户数据。
点评:这是互联网企业在海外被重罚的案例之一,体现了在整个数据生命周期中对客户保持透明性的重要性——任何的数据收集、处理和分析都必须清晰地告知用户。国内正在试点进行的“个人信息保护提升行动”是数据隐私保护的第一步,后续范围会逐渐扩大。
期待听到您的反馈
阿里云安全微信和微博,每周与您见面。
如果您是阿里云用户,
也欢迎通过邮件、钉钉公众号查看本周行业资讯。
扫码参与全球安全资讯精选
读者调研反馈
我们会认真讨论您的每一条建议
并邀请精彩回答者加入VIP读者群