還能再漲23%!AI寵兒NVIDIA成大摩明年首選AMD FSR 4.0將與RX 9070 XT顯卡同步登場羅永浩細(xì)紅線最新進(jìn)展,暫別AR,迎來AI Jarvis構(gòu)建堅實數(shù)據(jù)地基,南京打造可信數(shù)據(jù)空間引領(lǐng)數(shù)字城市建設(shè)下單前先比價不花冤枉錢 同款圖書京東價低于抖音6折日媒感慨中國電動汽車/智駕遙遙領(lǐng)先:本田、日產(chǎn)、三菱合并也沒戲消委會吹風(fēng)機品質(zhì)檢測結(jié)果揭曉 徠芬獨占鰲頭 共話新質(zhì)營銷力,2024梅花數(shù)據(jù)峰會圓滿落幕索尼影像專業(yè)服務(wù) PRO Support 升級,成為會員至少需注冊 2 臺 α 全畫幅相機、3 支 G 大師鏡頭消息稱vivo加碼電池軍備競賽:6500mAh 旗艦機+7500mAh中端機寶馬M8雙門轎跑車明年年初將停產(chǎn),后續(xù)無2026款車型比亞迪:2025 款漢家族車型城市領(lǐng)航智駕功能開啟內(nèi)測雷神預(yù)告2025年首次出席CES 將發(fā)布三款不同技術(shù)原理智能眼鏡realme真我全球首發(fā)聯(lián)發(fā)科天璣 8400 耐玩戰(zhàn)神共創(chuàng)計劃iQOO Z9 Turbo長續(xù)航版手機被曝電池加大到6400mAh,搭驍龍 8s Gen 3處理器普及放緩 銷量大跌:曝保時捷將重新評估電動汽車計劃來京東參與榮耀Magic7 RSR 保時捷設(shè)計預(yù)售 享365天只換不修國補期間電視迎來換機潮,最暢銷MiniLED品牌花落誰家?美團旗下微信社群團購業(yè)務(wù)“團買買”宣布年底停運消息稱微軟正與第三方廠商洽談,試圖合作推出Xbox游戲掌機設(shè)備
  • 首頁 > 網(wǎng)絡(luò)安全頻道 > 云安全

    騰訊安全舉辦CSO俱樂部沙龍,探討個人隱私數(shù)據(jù)安全防護(hù)升級之道

    2020年12月19日 16:17:24   來源:中文科技資訊

      進(jìn)入2020年,涉及個人隱私數(shù)據(jù)保護(hù)的各方面工作齊頭并進(jìn),各項法律法規(guī)及地方規(guī)范性文件密集出臺。監(jiān)管趨嚴(yán)的態(tài)勢下,企業(yè)如何適應(yīng)新的環(huán)境?

      近日,由騰訊安全主辦的CSO俱樂部沙龍在上海舉行了個人隱私數(shù)據(jù)安全防護(hù)專場,匯聚了來自金融、物流、汽車、通信、能源、航空等行業(yè)的安全代表,圍繞“個人隱私數(shù)據(jù)安全防護(hù)”話題展開討論。本次沙龍設(shè)有主題分享和分組研討環(huán)節(jié),形成了集政策解讀、需求配對、實踐分享、成果沉淀等于一體的沙龍模式,為各行各業(yè)加強個人隱私數(shù)據(jù)安全防護(hù)能力及合規(guī)性提供了理論指導(dǎo)和實踐參考。

      主題分享

      何延哲 | 個人信息保護(hù)和數(shù)據(jù)安全合規(guī)政策解讀

      全球每天產(chǎn)生大約2EB的數(shù)據(jù),人類最近兩年產(chǎn)生的數(shù)據(jù)總量已經(jīng)超過了此前所有數(shù)據(jù)的總和。數(shù)據(jù)創(chuàng)造的價值持續(xù)被挖掘,數(shù)據(jù)正在成為這個時代最寶貴的資源。

      由于數(shù)據(jù)本身的經(jīng)濟價值、數(shù)據(jù)安全涉及個人隱私保護(hù)等,數(shù)據(jù)安全備受社會關(guān)注。今年5月全國人大表決通過的《民法典》中明確了個人信息受法律保護(hù),市場期待已久的《中華人民共和國數(shù)據(jù)安全法(草案)》、《個人信息保護(hù)法(草案)》也先后于7月、10月進(jìn)入征求意見階段。

      根據(jù)受影響的主體,監(jiān)管層面將數(shù)據(jù)分成了幾個大類:

      一是企業(yè)自有的數(shù)據(jù),主要關(guān)乎知識產(chǎn)權(quán)保護(hù),目前這一塊需要做的工作相對較少。

      二是個人信息。個人信息的范圍非常廣,只要和個人身份綁定,會對其產(chǎn)生影響的數(shù)據(jù),都屬于個人信息。企業(yè)除了保障個人信息的保密性、完整性、可用性外,還要確保用戶的選擇權(quán)、知情權(quán)以及注銷和刪除的權(quán)利。個人信息是當(dāng)前信息安全防護(hù)的重點。

      三是對國家安全和公共利益有影響的數(shù)據(jù),這類數(shù)據(jù)被稱為重要數(shù)據(jù)。關(guān)于重要數(shù)據(jù)的安全防護(hù),目前行業(yè)仍處在摸索階段。

      蔣瓊 | 后疫情時代的券商數(shù)據(jù)安全體系實踐

      #FormatImgID_1#

      和銀行相比,券商自研能力偏弱,需要引入外包人員幫助開發(fā)。如何管控外包人員,保證數(shù)據(jù)資產(chǎn)不被泄露,成了券商企業(yè)面臨的一大挑戰(zhàn)。而零信任安全架構(gòu)很好地幫助券商解決了這一難題。

      零信任安全架構(gòu)作為一個能落地的安全信任治理方案,提供了一套對安全信任進(jìn)行全生命周期治理的思路。

      基于零信任“永不信任、持續(xù)驗證”的理念,企業(yè)可以接入統(tǒng)一身份認(rèn)證系統(tǒng)(IAM),以身份為核心,對默認(rèn)不可信的訪問請求進(jìn)行多因素認(rèn)證加密,再結(jié)合動態(tài)訪問控制和持續(xù)信任評估等核心能力,低成本實現(xiàn)安全訪問控制能力的統(tǒng)一建設(shè)。此外,這也避免了員工越權(quán)操作等權(quán)限使用不當(dāng)帶來的安全隱患,以及權(quán)限分散、跨站點/業(yè)務(wù)的資源訪問難等問題。

      劉海洋 | 大數(shù)據(jù)時代隱私數(shù)據(jù)安全防護(hù)實踐

      #FormatImgID_2#

      個人隱私數(shù)據(jù)安全防護(hù)已經(jīng)從合規(guī)和安全事件驅(qū)動的1.0時代邁進(jìn)了數(shù)據(jù)價值驅(qū)動的2.0時代。

      2.0時代,數(shù)據(jù)安全防護(hù)將朝著整體防護(hù)、動態(tài)風(fēng)控、協(xié)同參與三大方向發(fā)展,而資產(chǎn)管理智能化、安全能力組件化和安全分析中心化是達(dá)成三大方向的重要途徑。

      目前,企業(yè)實際業(yè)務(wù)中遇到的個人隱私數(shù)據(jù)安全問題主要出現(xiàn)在數(shù)據(jù)提取、大數(shù)據(jù)平臺、APP數(shù)據(jù)流轉(zhuǎn)等場景,風(fēng)險內(nèi)容包括數(shù)據(jù)暴露面大、缺少稽核手段、缺少數(shù)據(jù)行為識別能力和資產(chǎn)狀況不清等。

      針對以上現(xiàn)狀,騰訊安全提出了“六步走”的個人隱私數(shù)據(jù)安全防護(hù)實踐策略:

      一、明確職責(zé)。確定個人隱私數(shù)據(jù)安全防護(hù)究竟該由數(shù)據(jù)部門、應(yīng)用部門還是安全部門來牽頭。

      二、從資產(chǎn)、訪問、風(fēng)險、權(quán)限四個維度對數(shù)據(jù)資產(chǎn)進(jìn)行盤點。資產(chǎn)不清,安全管控就無法到位。

      三、梳理數(shù)據(jù)活動。數(shù)據(jù)活動的梳理可以幫助企業(yè)掌握業(yè)務(wù)數(shù)據(jù)的狀態(tài),了解可能存在的風(fēng)險以及需要重點關(guān)注的安全能力。

      四、確定防護(hù)體系技術(shù)路線,目前主要有五種做法:標(biāo)準(zhǔn)單品建設(shè)、體系化建設(shè)、場景化建設(shè)、平臺級建設(shè)和按數(shù)據(jù)生命周期建設(shè)。

      五、編寫具體制度。制度是否切合實際,能否全面執(zhí)行,是企業(yè)需要重點思考的問題。

      六、通過審計與稽核驗證安全防護(hù)措施的執(zhí)行情況。

      分組圓桌研討

      主題分享結(jié)束后,沙龍活動進(jìn)入圓桌討論環(huán)節(jié)。圓桌采用分組討論形式,由與會嘉賓組成A、B、C、D四個小組,圍繞個人數(shù)據(jù)保護(hù)治理層和運營層的諸多熱點議題展開思維碰撞,并推選出小組代表輸出討論結(jié)果,由集體投票評選出優(yōu)勝方。

      以下是四個小組圍繞熱點議題輸出的精彩觀點:

      1.如何解決個人數(shù)據(jù)保護(hù)職責(zé)不清、角色不清、權(quán)利不夠的問題?

      A組代表:首先要讓管理層形成統(tǒng)一認(rèn)識,認(rèn)識到個人信息保護(hù)的重要性。這個目的可以通過兩種途徑來實現(xiàn):一是事件觸發(fā),利用安全事件作為數(shù)據(jù)安全保護(hù)的重大推手;二是監(jiān)管發(fā)力,針對最新的監(jiān)管政策向管理層做理念灌輸。

      其次要專人專崗,成立專門的數(shù)據(jù)安全團隊來做這件事情。

      B組代表:職責(zé)不清導(dǎo)致隱私保護(hù)工作難以開展的情況,各行各行都存在。解決這個問題首先要獲得大老板支持,沒有這個前提,工作肯定開展不下去。

      另外,保護(hù)個人信息需要業(yè)務(wù)部門、安全部門、法務(wù)部門等多方參與,只要缺少其中一個角色,工作便推進(jìn)不下去。

      C組代表:個人數(shù)據(jù)保護(hù)要有自上而下的頂層設(shè)計,明確主責(zé)部門,賦予它最大的權(quán)利來牽頭協(xié)調(diào)安全管理工作。

      D組代表:制造類、通信類企業(yè)跟金融、證券企業(yè)面臨的情況有很大差異。金融、證券企業(yè)的個人信息保護(hù)可以靠政策和文件直接驅(qū)動,而在制造類、通信類企業(yè)卻很難。領(lǐng)導(dǎo)雖然很重視,但沒錢、沒資源,工作很多時候執(zhí)行不下去。

      2.PIA流程技術(shù)團隊是否參與?傾向技術(shù)控制為主還是管理控制為主?

      A組代表:PIA流程評估,銀行的做法是從業(yè)務(wù)和技術(shù)兩條線分別排查。技術(shù)團隊和業(yè)務(wù)團隊有不同的關(guān)注點,技術(shù)團隊可能更關(guān)注加密、傳輸相關(guān)的內(nèi)容,業(yè)務(wù)看到的更多是處理流程上的風(fēng)險點。所以這樣一個雙線排查的機制非常重要。技術(shù)團隊在評估自己技術(shù)的同時,也要參與到業(yè)務(wù)評估當(dāng)中。

      B組代表:技術(shù)團隊必須參與,而且要以技術(shù)控制為主。以前總說“三分技術(shù),七分管理”,但在今天的形勢下,沒有技術(shù)控制,管理很難產(chǎn)生好的效果。

      C組代表:PIA流程需要技術(shù)團隊參與,但還是要以管理為主。管理層提的要求,技術(shù)團隊無條件去執(zhí)行,所以技術(shù)是配合管理來實施的。

      D組代表:技術(shù)控制優(yōu)先,管理上肯定有要求,但還是需要技術(shù)落地。

      3.個人隱私數(shù)據(jù)更新處理的目的?怎么確保及時更新、告知和獲取用戶同意?

      A組代表:一是通過“大家來找茬”的方式,建立專門的團隊,通過獎勵措施激勵大家群策群力,以確保合規(guī)性。二是邀請第三方或者組織內(nèi)部測評方,開展定期評估。同時,新產(chǎn)品和新業(yè)務(wù)上線時,要有第三方安全部門或數(shù)據(jù)管控部門進(jìn)行評估,把相關(guān)標(biāo)準(zhǔn)納入到安全開發(fā)周期(CSDN)。

      B組代表:從實際情況來看,很多單位在發(fā)布APP時,因為內(nèi)部流程不暢,導(dǎo)致內(nèi)部功能發(fā)生了變化,但外部沒有更新,結(jié)果被客戶投訴。理想化的狀態(tài)是,公司內(nèi)部建立一套成熟完善的發(fā)布流程,囊括業(yè)務(wù)立項到最后發(fā)布之間的所有審批環(huán)節(jié)。但實際情況下,這種理想化狀態(tài)很難實現(xiàn)。

      C組代表:可以通過APP、短信、電話和客服中心對用戶或合作單位進(jìn)行及時告知。

      D組代表:個人隱私數(shù)據(jù)更新和登錄告知,都是按照法務(wù)的要求來執(zhí)行的。

      4.衍生數(shù)據(jù)應(yīng)該如何管控?

      A組代表:衍生數(shù)據(jù)是一個比較新的概念,指的是客戶畫像等數(shù)據(jù)經(jīng)過大數(shù)據(jù)分析后產(chǎn)生的結(jié)果。

      首先企業(yè)要確定自己有哪些衍生數(shù)據(jù),這些數(shù)據(jù)重要性如何,泄露后會產(chǎn)生哪些風(fēng)險;然后針對管控現(xiàn)狀中的薄弱點進(jìn)行整改;整套流程有點類似PDCA。

      B組代表:首先判斷是不是敏感數(shù)據(jù),如果是則納入敏感數(shù)據(jù)管控體系,如果不是則不納入,F(xiàn)在也有一些灰色地帶,是不是敏感數(shù)據(jù),大家沒有定論。按照對現(xiàn)行法律的理解,如果無法確定,則默認(rèn)為不是。

      C組代表:一是去標(biāo)識化,二是確保衍生數(shù)據(jù)無法溯源到原始數(shù)據(jù)。首先要保證衍生數(shù)據(jù)不會導(dǎo)致原始數(shù)據(jù)泄密,其次要根據(jù)法律法規(guī)明確衍生數(shù)據(jù)是否屬于敏感數(shù)據(jù)。

      D組代表:衍生數(shù)據(jù)的管控問題可能在互聯(lián)網(wǎng)企業(yè)會比較明顯。衍生數(shù)據(jù)管控最大的問題是沒有數(shù)據(jù)owner。在傳統(tǒng)行業(yè),財務(wù)的數(shù)據(jù)歸財務(wù),開發(fā)產(chǎn)品的數(shù)據(jù)歸研發(fā),職責(zé)很清晰。而衍生數(shù)據(jù)一方面沒有owner,另一方面使用方又非常多。

      5.個人有被遺忘、可刪除隱私數(shù)據(jù)的權(quán)利,這方面是如何實現(xiàn)的?如何實現(xiàn)自我證明?

      A組代表:大數(shù)據(jù)要流動起來才有價值。銀行業(yè)有非常多的系統(tǒng),數(shù)據(jù)一旦采集進(jìn)來,經(jīng)過匯聚融合和流轉(zhuǎn),會在各個系統(tǒng)中留存,要一下子完全清除,是非常困難的。這種情況下,比較容易落地的做法是:先對內(nèi)部系統(tǒng)進(jìn)行梳理,分析有多少系統(tǒng)是客戶有感的,先把這些系統(tǒng)中的數(shù)據(jù)刪除。

      B組代表:建議開發(fā)一套系統(tǒng),系統(tǒng)上可以刪除用戶,以及看到哪些用戶被刪除了。這只能起到簡單自我證明的作用,沒辦法做到很深入。其次,在數(shù)據(jù)庫的設(shè)計層面,把個人隱私和個人行為數(shù)據(jù)進(jìn)行關(guān)聯(lián),便于用戶自我刪除和自我遺忘時的前臺操作和后臺實現(xiàn)。如果數(shù)據(jù)散落在多個系統(tǒng)當(dāng)中,是無法做到一鍵清除的。

      C組代表:建議通過第三方認(rèn)證和內(nèi)部文檔留存來審核數(shù)據(jù)訪問的自我證實。很多時候自己證明自己并不很明確,因此建議采用三方合作的方式。

      D組代表:假如我有一筆貸款記錄,我能銷戶,能被遺忘嗎?答案是不能。雖然我可以銷戶,但貸款記錄還在。

      6.個人隱私數(shù)據(jù)向第三方批量發(fā)送,對第三方除了合同還有哪些有效的監(jiān)管手段保障安全?

      A組代表:除了簽訂數(shù)據(jù)合作協(xié)議和數(shù)據(jù)包協(xié)議外,銀行還會從兩個方面進(jìn)行外包管控:一是甲乙方控制,二是年度檢查。

      所謂甲乙方控制,首先要明確甲方作為外包的管理部門或者業(yè)務(wù)的實施部門,針對這項業(yè)務(wù)應(yīng)該承擔(dān)什么樣的責(zé)任,然后順著這個思路延展,知曉管理層和內(nèi)部相關(guān)部門應(yīng)該遵守哪些規(guī)定,執(zhí)行到什么程度。其次,從機房、應(yīng)用、數(shù)據(jù)、人員、業(yè)務(wù)連續(xù)性等多個維度給乙方制定安全準(zhǔn)則,在準(zhǔn)入的時候通過現(xiàn)場調(diào)研或遠(yuǎn)程調(diào)取資料進(jìn)行安全印象評估。

      B組代表:除了合同還有隱私保密條款、NDA等。此外,還可以對第三方做安全評估,在數(shù)據(jù)發(fā)送時,審查哪些數(shù)據(jù)是會脫敏的,當(dāng)中可能會涉及多方計算、匿名沙盒等相關(guān)技術(shù)。另外,還可以要求第三方支付一筆押金,在出現(xiàn)安全問題時,對其進(jìn)行罰款。

      C組代表:首先要告知用戶,在獲得用戶同意和符合法律法規(guī)的前提下,進(jìn)行第三方披露。

      D組代表:作為企業(yè)的安全人員,首先要考慮為什么會出現(xiàn)個人隱私數(shù)據(jù)向第三方批量發(fā)送的情況。業(yè)務(wù)方出于自己的目的,不太會考慮這些問題,但安全人員一定要經(jīng)常踩剎車。首先要評估業(yè)務(wù)場景的真實性,評估其是否必要、對公司是否有價值;然后再去考慮場景當(dāng)中可能的風(fēng)險,以及該采取怎樣的控制手段。

      隨著《民法典》、《數(shù)據(jù)安全法(草案)》、《個人信息保護(hù)法(草案)》等法律陸續(xù)出臺,個人隱私數(shù)據(jù)安全合規(guī)管理將成為企業(yè)的必備能力,促進(jìn)企業(yè)從產(chǎn)品形態(tài)、數(shù)據(jù)應(yīng)用機制、技術(shù)安全措施等多維度落實法律法規(guī)要求。

      騰訊安全將持續(xù)提升隱私數(shù)據(jù)安全防護(hù)方面的技術(shù)積累和科研能力,發(fā)揮騰訊云數(shù)據(jù)安全中臺端到端的云數(shù)據(jù)全生命周期安全體系的優(yōu)勢,幫助企業(yè)加強數(shù)據(jù)安全防護(hù)水平及合規(guī)性。

      文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請謹(jǐn)慎對待。投資者據(jù)此操作,風(fēng)險自擔(dān)。

    [No. X048]
    分享到微信

    即時

    新聞

    明火炊具市場:三季度健康屬性貫穿全類目

    奧維云網(wǎng)(AVC)推總數(shù)據(jù)顯示,2024年1-9月明火炊具線上零售額94.2億元,同比增加3.1%,其中抖音渠道表現(xiàn)優(yōu)異,同比有14%的漲幅,傳統(tǒng)電商略有下滑,同比降低2.3%。

    企業(yè)IT

    重慶創(chuàng)新公積金應(yīng)用,“區(qū)塊鏈+政務(wù)服務(wù)”顯成效

    “以前都要去窗口辦,一套流程下來都要半個月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進(jìn)了21600元。

    3C消費

    華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,高能實力,創(chuàng)

    華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,憑借其優(yōu)秀的性能配置和精準(zhǔn)的色彩呈現(xiàn)能力,為您的創(chuàng)作工作帶來實質(zhì)性的幫助,雙十一期間低至2799元,性價比很高,簡直是創(chuàng)作者們的首選。

    研究

    中國信通院羅松:深度解讀《工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系

    9月14日,2024全球工業(yè)互聯(lián)網(wǎng)大會——工業(yè)互聯(lián)網(wǎng)標(biāo)識解析專題論壇在沈陽成功舉辦。