《网络安全法》对企业提高了准入门槛和运行安全能力要求。网安法在第21条、第31条明确规定了网络运营者和关键信息基础设施运营者都应该按等级保护要求对系统进行安全保护,以法律的形式确定等级保护工作为国家网络安全的基本国策,并在法律层面确立了其在网络安全领域的基础、核心地位。因此,企业/网络运营者应该采取合适的厂商提供全方面的安全服务,确保信息安全和网络安全。可以看看锐捷的案例
❷ 网络安全法所指所指的学生在校信息可以开放吗
不可以的
网络安全法规定:
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息,并规定了相应法律责任。
影响:斩断利益链,师生个人信息受保护
中国传媒大学网络法与知识产权研究中心主任王四新表示,网络安全法作为网络领域的基础性法律聚焦个人信息泄露,不仅明确了网络产品服务提供者、运营者的责任,而且严厉打击出售贩卖个人信息的行为,对于保护公众个人信息安全,将起到积极作用。
相信,随着网络安全法的正式生效,这种贩卖出售个人信息,非法牟利的行为会得到有效遏制,从而在源头斩断这一黑色产业链。
保护单纯的孩子免遭精准诈骗
关键点二:严厉打击网络诈骗行为
痛点:依据个人信息实施精准诈骗防不胜防
去年,山东家境贫寒的准大学生徐玉玉因接到骗子的诈骗电话,被骗走9900元学费,在当天傍晚与父亲报警返回时突然昏厥,抢救两天多无效,因呼吸心脏骤停离世。
无独有偶,同月,临沭县大学生宋振宁接到一个来自济南的陌生电话,对方在电话里称自己是公安局的,并对宋振宁说他的银行卡号被人购买珠宝透支了六万多元,结果被电信诈骗1996元,8月23日,天还没亮,等宋振宁家人看到他睡在沙发上一动不动,走近看却发现宋振宁已经停止了呼吸……
个人信息的泄露是网络诈骗泛滥的重要原因。诈骗分子通过非法手段获取个人信息,包括姓名、电话、家庭住址等详细信息后,再实施精准诈骗,令人防不胜防。去年备受关注的山东两名大学生遭电信诈骗死亡案、清华大学教授遭电信诈骗案,都是因为信息泄露之后的精准诈骗造成。
网络安全法规定:
任何个人和组织不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布与实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。
影响:针对学生群体的精准诈骗或减少
中国政法大学传播法研究中心副主任朱巍表示,无论网络诈骗花样如何翻新,都是通过即时聊天工具、搜索平台、网络发布平台、电子邮件等渠道实施和传播的。这些规定,不仅对诈骗个人和组织起到震慑作用,更明确了互联网企业不可推卸的责任。
《网络安全法》一出,相信针对学生群体的精准诈骗会随之减少,避免更多徐玉玉这样的悲剧上演。
学生既不该成为网络暴力的受害者,也不该成为实施者
关键点三:以法律形式明确“网络实名制”
痛点:“一言不合就开骂”,网络暴力和谣言需警惕
2015年7月,一山东青年侯某因为在网上发表一些爱国言论而引来了意见不合者的群殴。而在这之前,这名爱国青年也多次受到了他人的言论挑衅。而这些挑衅者的身份也仅仅体现为网络上的虚拟身份。这些人通过候某的QQ空间等信息人肉搜索得知了他所在学校,具体家庭住址和电话等信息,并在校门外滋事,对他进行殴打。就这样,一起网络暴力最终演变成现实暴力的事故。
“垃圾评论”充斥论坛,“一言不合”就恶意辱骂,更有甚者“唯恐天下不乱”传播制造谣言……一段时间以来,这些乱象充斥着虚拟的网络空间。随着网络实名制概念的提出,不少人拍手称快。
网络安全法规定:
网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
影响:保护孩子远离网络暴力和谣言
王四新表示,网络是虚拟的,但使用网络的人是真实的。事实上,现在很多网络平台都开始实行“前台自愿、后台实名”的原则,让每个人使用互联网时,既有隐私,也增强责任意识和自我约束。这一规定能否落到实处的关键在于,网络服务提供商要落实主体责任,加强审核把关。
2017年1月,中国互联网络信息中心(CNNIC)发布的第39次《中国互联网络发展状况统计报告》显示,截至2016年12月,我国19岁以下青少年网民约占全体网民的23.4%,达1.7亿,网络空间已成为未成年人保护的新领域。
未成年人社会阅历少,是非观尚不成熟,既有可能成为网络暴力的受害者,也有可能成为网络暴力实施者。《网络安全法》让孩子远离网络暴力等有害信息,既可以保护未成年人,又可以督促他们在网络上进行自我约束,提高孩子们的网络素养。
给孩子们清洁的互联网环境
关键点四:加大力度净化网络环境,剔除不良网络资源
痛点:色情、暴力等网络资源侵害青少年
刘女士是一位小学数学老师,女儿在上初中,面对女儿在网上与成年人聊天,她不知道该怎么办才好。“就发现有一些是20几岁的跟她聊天,聊的都是些成年人的内容,然后她也是模仿成年人的口气跟他聊天。我们也不知道该怎么办,刚开始的时候是冷处理,刚开始把她的手机这些全部没收,过了两三天,就问她:你反思了没有?。看反思的情况怎么样,再进行疏导。”
CNNIC的调查显示,未成年人主要访问的大型商业综合性网站,访问权限、浏览内容与成年人毫无差别。几乎所有人都接触过网络暴力信息、不雅图片、广告等不良信息的骚扰。55%的人在遇到这些信息时会选择退出网页、不告诉任何人,初中和小学学生会向父母求助。96%的未成年人认同对网络暴力等不良信息采取预防措施。
网络安全法规定:
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
影响:不良网络资源将减少,网络环境进一步净化
其实,上面案例中,刘女士发现的现象对很多家长老师而言都是困扰。
在中国青少年心理成长基地接受治疗的12岁女孩小吴,最初只是想了解婴儿是怎么出生的,却在网上查阅时看到了不少色情信息,后来又通过微信聊天与网友进行“裸聊”,同时在学校出现明显的暴力倾向。“为了纠正她的不良行为,我陪她旅行、带她进行心理治疗,但都没办法阻止她偷偷和网友联系。为什么这么小的孩子心中会种下魔鬼的种子?”小吴的妈妈无奈地问。
学校有围墙,可以为学生抵挡来自校外的伤害;家长可以在上下学途中亲力亲为接送孩子,保护他们不受意外伤害;但是网络是一个开放的大广场,想要减少不良信息和网络资源对未成年人的伤害,就必须在《网络安全法》的规定下,为未成年人撑起一片纯净的网络空间。
健康的产品多起来,“扬清”是最好的“击浊”
关键点五:支持开发未成年人专用网络产品
痛点:网络产品良莠不齐,家长老师分辨难
北京军区总医院成瘾医学中心主任陶然从2003年开始收治网络成瘾青少年,多年来已经治疗了7000多个网瘾青少年。陶主任说,这些孩子几乎全都有暴力冲动,其中58%都有过对父母扇耳光、将父母按在地下踹打的严重暴力行为。“因为妈妈阻止其上网,一个来自安徽的男孩挥刀砍掉了妈妈的耳朵。而这些孩子的暴力倾向大都源于网络游戏之中。”
暴力、色情、迷信、低俗等不良信息、网络游戏,被称为“网络雾霾”,如无及时有效的引导,就可能对未成年人的人身、财产、身心健康方面产生危害。有些网络产品,比如某款网络游戏,可能包含大量色情、暴力的情节画面,对内容不熟悉的家长老师难以及时辨别。
网络安全法规定:
国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。
影响:适合未成年人使用的健康安全网络产品将增多
有这么件叫人哭笑不得事儿:云南的小高几乎每天吃住在网吧里,因为没有钱买游戏装备,竟然偷走了网吧里的两台电脑主机,当警察在另一个网吧找到他的时候,他的反应让民警哭笑不得,民警出示警官证时,小高正在打网络游戏,头都没回,还说不能坑队友。
就拿这些青少年普遍感兴趣的网络游戏来说,中国传媒大学新媒体学院副院长曹三省认为:“扬清是击浊最有效的手段,当前亟待扶持一批具有强大影响力、吸引力的绿色游戏。”
按照《网络安全法》的规定,国家未来就要加大力度支持优秀网络产品的研发了。针对未成年人的身心特点和兴趣爱好,生产更多优质、科学、趣味的网络文化产品,鼓励支持以未成年人为主要用户群体的网站、应用软件的发展,为未成年人提供适龄的网络空间环境,可以对不适宜未成年人接触的信息形成“挤出效应”。
咱们都知道“劳逸结合”的道理,孩子平时学业负担中,压力大,适当地上上网,玩玩游戏减减压,家长老师们都能理解,难就难在,网络文化产品良莠不齐,家长老师不可能时时监督孩子的网上行为。不过,随着网络安全法的生效,相信在不久的将来,适合未成年人使用的安全网络产品会数量越来越多,质量越来越好。
网络安全人才可能成为“香饽饽”
关键点六:培养更多网络安全人才
痛点:“白帽子”没有“黑客”多,懂网络安全的专业人才供不应求
在本月下旬的首届广东省“红帽杯”网络安全攻防大赛决赛上,数据显示,不久前勒索病毒感染了广东省近2000台计算机。随着互联网的快速发展,网络安全人才供不应求,据估计,全国网络安全人才缺口约在100万人左右。
网络安全法规定:
国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。
影响:网络安全方面的专业可能大火,有关网络安全的教育和培训机会增多
“网络安全的竞争,实际上就是人才竞争。”近日,浙师大网络安全学院院长范渊在中国网络安全创新分享大会这样说。
这预示着什么?预示着在将来,网络安全方面的专业可能大火,而相关教师和人才可能成为“香饽饽”啊!
目前国内网络信息安全行业的人才缺口,是非常大的。到底有多缺人?范渊还公布了一组数据:目前国内270万台在公网暴露的安防和摄像头设备,仅有弱口令的就占了73万台。相当于,每三台安防和摄像头设备里面,就有一台是可以随时被黑客控制的。
可见,培养更多的网络安全人才成为维护我们网络安全的重要一环, 有了国家的支持,想必今后在高等学校、职业学校等单位,老师和学生们都会获得更多的相关教育、培训机会。
❸ 网络安全法对等保的要求是什么样的
办理网络安全等级保护备案的条件:
❹ 哪种数据安全应用案例比较好
腾讯云数据安全中台不错,应用广。广交会、长沙超脑等政务平台以及山西、河南、上海等多个省级大数据平台,对其赞不绝口。
❺ 网络安全等级保护与信息安全等级保护有什么区别
等级保护是我们国家的基本网络安全制度、基本国策,也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求,也是国家关键信息基础措施保护的基本要求。
企业办理网络安全等级保护备案的原因:
1.建立有效的网络安全防御体系(让客户的系统真正具有安全防御的能力)
2. 完成信息系统等级保护公安备案(取得备案证明) ,顺利通过网络安全等级保护测评(取得测评报告)
3 满足相关部门的合规性要求(包括国家的政策,法律法规的要求,还有上级部门的要求,还有甲方客户的要求等)
4. 系统过了等保,一定程度上可以提高企业投标锁标的能力,为投标加分
网络安全等级保护分五个级别:
❻ 95243154是什么电话
骚扰电话。
据中国之声报道:“骚扰电话”无处不在,一些骚扰电话标记软件也应运而生。 但如今这个为用户拒绝骚扰电话提供便利的服务却有“变味”之嫌,一些正常使用的电话也可能被恶意标记。
最近,浙江尹先生就发现自己的电话被标记为“教育科研机构”,“看到来电显示后,没一个朋友愿意接我电话了”。而在相关平台查询要被收取查询费,取消也要另外缴费。
正常使用的电话,却被莫名标记为“骚扰”,或者与个人信息相捆绑,由此带来的权利伤害以及信息紊乱后果,不可低估。2017年媒体就报道了一类典型案例:广西、河南省公安厅都出现了办公电话被手机软件标记为“钓鱼”、“骚扰”的现象。更早的报道显示,还有记者、医生的电话号码被标注职业信息。
这次尹先生的遭遇,撕开了手机标记行业的另一个暗角:借恶意标记,打造一条“标记——查询——取消”的黑色产业链。
《网络安全法》明确规定,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意。很显然,一些正常的电话也被打上标签,首先是违背了用户的知情权。而利用这种标签“倒逼”用户花钱查询、取消,更是错上加错。
❼ 关于网络安全的故事或事例
1、聊天陷阱
2006年2月24日晚上,上海“网虫”钱某终于见到了网上聊天认识的女网友“仇某”。然而,两人散步至一处花店附近时,突然冒出4名手持剪刀的青年男子。毫无准备的钱某不仅遭到一阵殴打,身上仅有的1部手机和300元人民币也被抢走。
3天以后,案情大白,犯罪嫌疑人裘某正是那位自称“仇某”的女网友。原来,两人在网上搭识以后,钱某经常出言不逊,裘某萌发报复念头,找到以前的男友抢劫钱某财物。
2、低价陷阱
2018年1月,徐某无意中进入一个买卖二手车的网址,发现其中一辆本田CRV车只要13000元。徐某心动不已,随即联系网站客服,按照对方要求填写信息并通过网银转账500元订金。2天后,对方告知押车员已将车子运送至天台县,要求徐某支付余款12500元。
徐某打款后兴冲冲等着去提车,结果对方又找各种理由要求他再付16870元,徐某这才恍然大悟自己是被骗了。
3、“支付宝”发邮件称需升级
小美在淘宝开了一家汽车用品店。一个“买家”来店里拍了一套汽车坐垫后发了一张截图,显示“本次支付失败”,并提示“由于卖家账号异常,已发邮件给卖家”。小美打开邮箱,果然有一封主题为“来自支付宝的安全提醒”的未读邮件。
小美没有多想就点击邮件里的链接,按提示一步步进行了“升级”,期间几次输入支付宝账号和密码。隔天,小美发现账户里的8000多元余额被人以支付红包的形式盗空。
4、代“刷信誉”先交“服务费”
阿珍在淘宝网上开了一家卖袜子的小店。去年5月,她在网上看到可以帮忙“刷信誉”的广告,便心动了。加QQ后,对方要求先付钱才能帮其代刷,阿珍就向对方账户汇了1500元“服务费”。没过多久对方又称,需要阿珍再付3000元“保证金”。
这下阿珍起了疑心,要求对方先刷一部分信誉再谈,对方却坚持要阿珍再汇款。阿珍越想越觉得可疑,要求对方退回1500元,对方却怎么都不理她了。阿珍这才明白,自己是被骗了。
5、“大客户”下单后要“回扣”
去年7月,小罗的汽车用品淘宝店来了一个“大客户”。这买家自称是公司的采购,想要长期合作,但希望小罗给“回扣”。一番沟通后,买家很快用另一个旺旺号拍下1万多元的宝贝并付款,随后要求小罗将说好的近2000元“回扣”转给他。
小罗转了回扣后,对方却申请了退款,因为“回扣”是通过支付宝直接转账的,无法申请退款,小罗因此损失近2000元。
❽ 数据安全有哪些案例
“大数据时代,在充分挖掘和发挥大数据价值同时,解决好数据安全与个人信息保护等问题刻不容缓。”中国互联网协会副秘书长石现升在贵阳参会时指出。
员工监守自盗数亿条用户信息
今年初,公安部破获了一起特大窃取贩卖公民个人信息案。
被窃取的用户信息主要涉及交通、物流、医疗、社交和银行等领域数亿条,随后这些用户个人信息被通过各种方式在网络黑市进行贩卖。警方发现,幕后主要犯罪嫌疑人是发生信息泄漏的这家公司员工。
业内数据安全专家评价称,这起案件泄露数亿条公民个人信息,其中主要问题,就在于内部数据安全管理缺陷。
国外情况也不容乐观。2016年9月22日,全球互联网巨头雅虎证实,在2014年至少有5亿用户的账户信息被人窃取。窃取的内容涉及用户姓名、电子邮箱、电话号码、出生日期和部分登陆密码。
企业数据信息泄露后,很容易被不法分子用于网络黑灰产运作牟利,内中危害轻则窃财重则取命,去年8月,山东高考生徐玉玉被电信诈骗9900元学费致死案等数据安全事件,就可见一斑。
去年7月,微软Window10也因未遵守欧盟“安全港”法规,过度搜集用户数据而遭到法国数据保护监管机构CNIL的发函警告。
上海社会科学院互联网研究中心发布的《报告》指出,随着数据资源商业价值凸显,针对数据的攻击、窃取、滥用和劫持等活动持续泛滥,并呈现出产业化、高科技化和跨国化等特性,对国家和数据生态治理水平,以及组织的数据安全能力都提出了全新挑战。
当前,重要商业网站海量用户数据是企业核心资产,也是民间黑客甚至国家级攻击的重要对象,重点企业数据安全管理更是面临严峻压力。
企业、组织机构等如何提升自身数据安全能力?
企业机构亟待提升数据安全管理能力
“大数据安全威胁渗透在数据生产、流通和消费等大数据产业的各个环节,包括数据源、大数据加工平台和大数据分析服务等环节的各类主体都是威胁源。”上海社科院信息所主任惠志斌向记者分析称,大数据安全事件风险成因复杂交织,既有外部攻击,也有内部泄密,既有技术漏洞,也有管理缺陷,既有新技术新模式触发的新风险,也有传统安全问题的持续触发。
5月27日,中国互联网协会副秘书长石现升称,互联网日益成为经济社会运行基础,网络数据安全意识、能力和保护手段正面临新挑战。
今年6月1日即将施行的《网络安全法》针对企业机构泄露数据的相关问题,重点做了强调。法案要求各类组织应切实承担保障数据安全的责任,即保密性、完整性和可用性。另外需保障个人对其个人信息的安全可控。
石现升介绍,实际早在2015年国务院就发布过《促进大数据发展行动纲要》,就明确要“健全大数据安全保障体系”、“强化安全支撑,提升基础设施关键设备安全可靠水平”。
“目前,很多企业和机构还并不知道该如何提升自己的数据安全管理能力,也不知道依据什么标准作为衡量。”一位业内人士分析称,问题的症结在于国内数据安全管理尚处起步阶段,很多企业机构都没有设立数据安全评估体系,或者没有完整的评估参考标准。
“大数据安全能力成熟度模型”已提国标申请
数博会期间,记者从“大数据安全产业实践高峰论坛”上了解到,为解决此问题,全国信息安全标准化技术委员会等职能部门与数据安全领域的标准化专家学者和产业代表企业协同,着手制定一套用于组织机构数据安全能力的评估标准——《大数据安全能力成熟度模型》,该标准是基于阿里巴巴提出的数据安全成熟度模型(Data Security Maturity Model, DSMM)进行制订。
阿里巴巴集团安全部总监郑斌介绍DSMM。
作为此标准项目的牵头起草方,阿里巴巴集团安全部总监郑斌介绍说,该标准是阿里巴巴基于自身数据安全管理实践经验成果DSMM拟定初稿,旨在与同行业分享阿里经验,提升行业整体安全能力。
“互联网用户的信息安全从来都不是某一家公司企业的事。”郑斌称,《大数据安全能力成熟度模型》的制订还由中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心、公安三所、清华大学和阿里云计算有限公司等业内权威数据安全机构、学术单位企业等共同合作提出意见。
❾ 2021年宪法热点事件有哪些
2021年宪法热点事件:
1、2021年度平台经济反垄断处罚金额累计突破200亿元
2021年2月7日,国务院反垄断委员会发布《关于平台经济领域的反垄断指南》。截至2021年12月,市场监管总局共发布反垄断处罚案例120余起,其中90余起与平台企业相关,罚款金额累计超过200亿元。2021年4月10日,国家市场监管总局依法对阿里巴巴集团控股有限公司在中国境内网络零售平台服务市场实施“二选一”垄断行为作出182.28亿元罚款。
10月8日,国家市场监管总局依法对美团实施“二选一”垄断行为作出行政处罚,罚款34.42亿元。11月20日,国家市场监管总局对43起未依法申报违法实施经营者集中案件立案调查,涉及阿里巴巴、腾讯、京东、网络、滴滴、美团等公司,对涉案企业分别处以50万元的顶格处罚。
2、义务教育阶段“双减政策”落地
2021年7月24日,中共中央办公厅、国务院办公厅印发《关于进一步减轻义务教育阶段学生作业负担和校外培训负担的意见》。《意见》要求坚持从严治理,全面规范校外培训行为。各地不再审批新的面向义务教育阶段学生的学科类校外培训机构,现有学科类培训机构统一登记为非营利性机构。对原备案的线上学科类培训机构,改为审批制。严禁超标超前培训,严禁非学科类培训机构从事学科类培训。
3、《海南自由贸易港法》授权海南省人大及其常委会制定海南自由贸易港法规
2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议审议通过了《海南自由贸易港法》,其中第10条授权海南省人大及其常委会针对贸易、投资及相关管理活动涉及法律保留事项和应当由国务院制定行政法规的事项,制定海南自由贸易港法规的权限。
会议还审议通过了《关于授权上海市人民代表大会及其常务委员会制定浦东新区法规的决定》,授权上海市人民代表大会及其常务委员会根据浦东改革创新实践需要,遵循宪法规定以及法律和行政法规基本原则,制定浦东新区法规。
4、百余款APP因违规收集个人信息被下架
2021年12月9日,工信部微信公众号“工信微报”发布《关于下架侵害用户权益APP名单的通报》称,今年以来,工信部持续推进APP侵害用户权益专项整治行动,加大常态化检查力度,先后三次组织对用户反映强烈的重点问题开展“回头看”。
依据《个人信息保护法》《网络安全法》等相关法律要求,工信部组织对共计106款未按要求完成整改APP进行下架,相关应用商店应在本通报发布后,立即组织对名单中应用软件进行下架处理。针对部分违规情节严重、拒不整改的APP,属地通信管理局应对APP运营主体依法予以行政处罚。
❿ 数据安全的哪些案例,可以看
大数据安全威胁渗透在数据生产、流通和消费等大数据产业的各个环节,包括数据源、大数据加工平台和大数据分析服务等环节的各类主体都是威胁源。”上海社科院信息所主任惠志斌向记者分析称,大数据安全事件风险成因复杂交织,既有外部攻击,也有内部泄密,既有技术漏洞,也有管理缺陷,既有新技术新模式触发的新风险,也有传统安全问题的持续触发。
5月27日,中国互联网协会副秘书长石现升称,互联网日益成为经济社会运行基础,网络数据安全意识、能力和保护手段正面临新挑战。
今年6月1日即将施行的《网络安全法》针对企业机构泄露数据的相关问题,重点做了强调。法案要求各类组织应切实承担保障数据安全的责任,即保密性、完整性和可用性。另外需保障个人对其个人信息的安全可控。
石现升介绍,实际早在2015年国务院就发布过《促进大数据发展行动纲要》,就明确要“健全大数据安全保障体系”、“强化安全支撑,提升基础设施关键设备安全可靠水平”。
“目前,很多企业和机构还并不知道该如何提升自己的数据安全管理能力,也不知道依据什么标准作为衡量。”一位业内人士分析称,问题的症结在于国内数据安全管理尚处起步阶段,很多企业机构都没有设立数据安全评估体系,或者没有完整的评估参考标准。
“大数据安全能力成熟度模型”已提国标申请
数博会期间,记者从“大数据安全产业实践高峰论坛”上了解到,为解决此问题,全国信息安全标准化技术委员会等职能部门与数据安全领域的标准化专家学者和产业代表企业协同,着手制定一套用于组织机构数据安全能力的评估标准——《大数据安全能力成熟度模型》,该标准是基于阿里巴巴提出的数据安全成熟度模型(Data Security Maturity Model, DSMM)进行制订。
图说:阿里巴巴集团安全部总监郑斌介绍DSMM。
作为此标准项目的牵头起草方,阿里巴巴集团安全部总监郑斌介绍说,该标准是阿里巴巴基于自身数据安全管理实践经验成果DSMM拟定初稿,旨在与同行业分享阿里经验,提升行业整体安全能力。
“互联网用户的信息安全从来都不是某一家公司企业的事。”郑斌称,《大数据安全能力成熟度模型》的制订还由中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心、公安三所、清华大学和阿里云计算有限公司等业内权威数据安全机构、学术单位企业等共同合作提出意见。
一位数据安全研究人员分析,企业要提升数据安全管理能力,首先就得认清自身数据保护能力水平,再对症下药弥补缺失和短板,而该标准正是针对大多数企业普遍存在的,不了解或不清楚自身数据安全管理能力的问题。
从标准架构来看,会从组织机构数据采集、存储、传输、处理、交换和销毁六个数据生命周期,就企业组织建设、制度流程、技术工具和人员能力四个关键能力维度,至少30多个安全域进行全方位考核评估,最终将组织机构的数据安全能力划分非正式执行、计划跟踪、充分定义、量化控制和持续优化,1级至5级的能力成熟等级,等级越高意味数据安全能力越强。