中国版GDPR《个人信息安全规范》解读:国内企业如何保障信息安全?

大数据时代带来了无法量化的变革,但与此同时,也带来了数据和信息安全的隐患。此前,小安曾解读过GDPR,今天,小安再次带领各位小伙伴,探究中国版的“GDPR”——《个人信息安全规范》。

中国版的 GDPR——《个人信息安全规范》

《信息安全技术个人信息安全规范》(GB/T 35273—2017)(以下简称“《个人信息安全规范》”或“《规范》”),是我国国家质量监督检验检疫总局和国家标准化管理委员会在2017年12月29日发布、2018年5月1日正式实施的一部关于我国公民个人隐私安全保护重磅技术标准。

该标准的编制有以下四个特点

特点1:充分考虑标准在多方诉求方面的平衡性

特点2:立足国内现有的法律、法规、规章、标准

特点3:参考对标国际最先进的规则和立法

特点4:不是自成一体而是与国际接轨

安恒信息AiLPHA大数据实验室亮剑

“工欲善其事,必先利其器”,这个利器就是“明御数据库审计与风险控制系统”。且看我们是如何化险为夷的!

数据资产发现与分类

本规范要求企业建立与保留详细的个人数据库清单,然后按风险预测与优先性分类数据。为满足这一要求,首先需要了解数据库的位置,以及其内存储的数据类型。我们的产品可自动扫描企业网络找到已知与未知的数据库,帮助企业轻松创建定制自己的数据发现策略,并应用于企业网络任意部分的扫描。为确保数据发现的持续性,并将新数据纳入安全与防护范围,还支持自动定时扫描。拥有自动与定时扫描功能可便于企业随时获取自己的网络内的最新的全部数据清单

数据库漏洞评估

本规范要求企业对数据采取连续保护,并定期测试与验证所采用的技术保护措施有效性,确保数据处理的安全性。同时还需连续进行数据库漏洞评估,识别出个人数据风险。我们的产品可识别出数据库的安全漏洞,并可对数据库服务器及操作系统平台进行1000种以上预设漏洞与不当配置(如:未安装补丁包、默认密码或权限配置不当)的测试与扫描。同时还可生成评估报告,并针对识别出的漏洞提供具体的建议方案,增强被扫描数据库服务器的安全性能。

监控数据访问活动

数据活动监控是规范中最重要的内容之一,要求企业为数据处理提供安全环境。为满足规定,企业需回答下列问题:数据访问者是谁?数据用途是什么?应对这一合规要求,我们的产品利用其对所有数据库活动的持续监控与分析功能,帮助用户实现对数据活动的实时完全可见,包括本地特权用户访问与服务帐号。数据库活动的监控与审计功能可确保个人数据的适当使用,以及授权用户对个人数据的访问。此外,数据监控功能还可防止外部攻击盗窃数据,如SQL注入,并防止内部威胁,如:恶意、疏忽、或受到侵犯的用户。随时警惕数据安全,才能使企业在发生数据违规前识别与阻止可疑或非法数据访问。

违规检查与事件响应

一旦发生个人数据违规,本规范要求数据控制方必需“不得无故拖延,如可能,应在获取该消息后72小时内上报给监管机关”。如未能在72小时内发出通知,则数据控制方必需为其延迟提交合理说明。

目前面临的最大挑战是,由于安全团队要处理大量的事件预警情报,导致真实报警事件容易被忽略。针对这种情况,我们的产品利用其先进的机器学习与行为模型分析,优先处理数据访问事件,无需对数据环境进行深入了解就能使安全团队及时发现预警。

更多安全场景

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2018-07-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏黑白安全

T-Mobile网站的又曝漏洞:任何人只需一个电话号码就可以访问客户信息

T-Mobile客户:您的数据又一次遭到了威胁。这一次的罪魁祸首似乎是一个名为“copypasta”的bug,一位安全研究人员最近在T-Mobile的网站上公开...

1012
来自专栏黑白安全

与朝鲜有关的黑客使用谷歌Play商店中的恶意软件追踪脱北者

据外媒Techspot报道, 谷歌Play商店此前曾出现一些看似合法却包含恶意软件的的应用程序并不陌生,但McAfee的研究人员发现了一些与以前不同的内容:针对...

912
来自专栏金融科技

为什么软件测试很重要?

  作为人类,我们很可能在任何过程中犯错误。虽然有些错误对我们的生活影响不大,但其他错误严重到足以破坏整个系统或软件。在这些严峻的情况下,拥有一个能够提前发现错...

1112
来自专栏腾讯云数据库(TencentDB)

TDSQL架构及运营介绍

作者介绍:李瑞,高级DBA,拥有丰富的数据库运维运营经验,现负责腾讯云分布式数据库运营相关工作,对数据库的高一致性、高可靠、分布式架构等有深入理解,擅长MySQ...

74310
来自专栏云计算D1net

混合云环境中的数据保护

1635
来自专栏FreeBuf

75%安卓设备受威胁,都是高通API代码惹的祸 ?

近日,美国网络安全公司FireEye披露了一个严重的信息泄露漏洞,该漏洞是由移动芯片巨头高通公司引入到 Android系统中的。 ? 关于高通 高通 (Qual...

2257
来自专栏智能计算时代

工业控制系统概述:SCADA,DCS和PLC的概述

工业控制系统(ICS)是一个通用术语,涵盖多种类型的控制系统,包括监控和数据采集(SCADA)系统,分布式控制系统(DCS),和其他较小的控制系统配置,如经常在...

5206
来自专栏FreeBuf

这可能是史上最大规模Google Play恶意程序活动

近期,Check Point的安全研究专家在Google自家的官方App商城Google Play中发现了一种大规模恶意软件活动。这款恶意软件名叫“Judy”,...

3506
来自专栏FreeBuf

NSA泄露文件深度分析(二):运营商

? * 本文原创作者:tom_vodu,本文属FreeBuf原创奖励计划,未经许可禁止转载 说在前面 只是简单看了工具包中的EXP,并在网上关注了一下国外对...

29910
来自专栏FreeBuf

插入U盘自动攻击:BadUSB原理与实现(含视频)

漏洞背景 “BadUSB”是今年计算机安全领域的热门话题之一,该漏洞由Karsten Nohl和Jakob Lell共同发现,并在今年的BlackHat安全大会...

3388

扫码关注云+社区

领取腾讯云代金券