<span id="vcpnr"><output id="vcpnr"></output></span>

    <track id="vcpnr"><em id="vcpnr"></em></track>
  • 資訊中心
    新基建企業面臨的風險與挑戰:信息安全與隱私保護
    新基建企業面臨的風險與挑戰:信息安全與隱私保護
    2020-07-10
    技術文章
    作者: SGS認證及企業優化
    訪問次數: 903

    作為新基建系列活動之一,2020年7月8日,SGS攜手中關村融創企業開放創新促進會成功舉辦融|大咖分享會新基建系列第四期——新基建企業面臨的風險與挑戰:信息安全與隱私保護講座。促進會特別邀請了SGS認證及企業優化部新產品和服務開發副總監游天鴻先生,聚焦企業信息安全與隱私保護兩個方面,重點講解了國內和國際隱私保護法規的原則和要求,點明了國內企業隱私保護的痛點,提出了企業隱私管理規范化、系統化的主要途徑,為組織信息安全和隱私安全保障提供了解決思路。

    一、內容提要

    1. 歐盟《通用數據保護條例》(GDPR)、中國GB/T 35273-2020個人信息安全規范對信息保護的要求。
    2. 企業目前在隱私保護上的管理痛點和誤區。
    3. ISO/IEC 27001:2013與ISO/IEC 27701:2019的標準和使用。
    4. 企業隱私管理體系的規范和構建。
    5. 新基建領域的隱私保護規范。

    二、活動效果

    新基建系列活動在疫情期間通過線上直播的方式,吸引了新基金創新企業及關注信息安全及隱私保護方面的人員報名參與。
    本次游老師的分享不僅讓大家了解到國際、國內隱私保護的相關重要法規標準,還使參與活動的人員意識到了學習隱私法規和構建企業隱私管理體系的重要性。

    三、企業面臨的5大痛點分析

    1. 在歐盟《通用數據保護條例》(GDPR)對信息保護的要求中,強調了六大原則和八大數據主體權利,而這些原則和權利在中國GB/T 35273-2020個人信息安全規范中都有涉及,說明各國專家在隱私保護方面的著眼點是一致的。處置過程的安全性是國內多數企業對隱私保護唯一關注的領域,意味著多數企業只注重到六大原則中的安全性,而其他原則、權利卻少有顧及。


    2. 企業目前在隱私管理方面的痛點有:
    ①隱私管理很大程度僅僅只是與機密性有關而已,多數企業只關注數據的加密方式、包括存儲位置、誰有權限訪問數據等。
    ②其它隱私要求比如數據最小化、存儲保留最短化等做得不到位,甚至沒有關注到。
    ③企業的角色也沒有明確定義,數據處理者和數據控制者的責任有差別。
    ④不清楚是否有第三方(外部公司或自己的子公司/集團公司)的數據處理未識別。

    這些痛點反映在企業內部管理表現為:
    ①隱私要求/法規的培訓不足。
    ②培訓材料側重于保密性。
    ③無系統化的數據流分析。
    ④許多策略和文檔都是根據個別隱私法規要求而創建的,很多時候這些文檔規定的要求沒有責任人,組織也沒有系統化去管理這些文檔。
    ⑤數據泄露不被視為安全事件,對數據泄露沒有結構化的事件處理程序。

    3. ISO/IEC 27001:2013作為信息安全管理體系的國際標準,在隱私保護方面要求略顯不足。在ISO/IEC 27001:2013的基礎上,ISO/IEC 27701:2019建立了一個隱私管理架構,增加了相應的隱私控制點,確保隱私原則和數據主體的權力得到保障。其標準包含附加的管理要素,補充了31項 ISO/IEC 27002的控制要求、用于信息控制者的31個附加控制要求和用于信息處理者的18個附加控制要求,是一個可認證標準。

    4. 隱私管理與人事管理、質量管理、環境管理等,都應該是組織整體管理的一個有機組成部分。作為管理流程的一部分,組織在設計流程和服務交付時,就應該考慮隱私的相關要求,而不是在交付后進行篩查。

    5. 隱私信息管理體系通過如下三個途徑確保組織以系統化的方式管理數據隱私問題。
    第一、技術控制要求,確保不僅是數據安全,數據主體權利和數據處理原則也都要控制。
    第二、管理架構,如高層參與、公司政策、KPI、企業架構、培訓和意識、文檔控制等。
    第三、監視和改進,如內部評審、管理評審等。

    四、Q&A精選干貨
    1. Q:
    前幾日杭州舉辦了隱私計算論壇,其中提到將區塊鏈與隱私計算技術結合起來,將企業數據通過區塊鏈技術與眾多企業互聯互通,實現數據的“可用不可見”,您覺得這種方法是否與國際標準的相關要求沖突呢?

    答:沒有沖突。區塊鏈是一個安全技術,它能做到共享數據的同時加密數據且使之不可見,在數據保護方面是一個很好的手段。但目前一些區塊鏈組織在數據治理方面僅關注到了數據的保密性、完整性、可用性,這是我們通常說的信息安全。而對于數據的隱私安全要求,諸如我們前文提到的歐盟GDPR的數據處理六大原則及數據主體的八大權利以及國內GB/T35273-2020個人信息安全規范,大部分組織在合規性上還有很大的差距。所以不能僅靠區塊鏈技術來做好數據的隱私管理。

    2. Q:
    在大數據時代,企業特別是中小型企業應該如何做好隱私保護工作?

    答:舉個例子:企業作為數據收集方,從管理和合規性而言都需要要取得數據主體的同意,數據主體要求刪除時就必須刪除,跟數據大小沒有關系,處理的原則還是一樣,這個是法規的一部分。另外一方面,數據龐大可能會影響處理隱私數據的有效性和速度,但不應該因為數據龐大的問題而增加或減少隱私保護方面的份量。

    3. Q:
    在中國本土企業走向海外的過程中,有哪些隱私安全方面的事宜是需要和國際接軌的?

    答:第一,中國的隱私法雖然沒公布,但現有的國標其實是寫得不錯,所以并不意味著國外的隱私法規寫得更好,我們一定要向國外學習。
    第二,國內企業要和國際接軌,從技術角度來看國內的企業肯定能做到。然而國內隱私管理現有的問題在于,大部分企業對隱私法規不了解,通常局限在信息安全里面,前文提及的那些原則、權利,很多企業都很陌生,企業在走向海外的同時,應充分識別適用的隱私法規,運用國際標準來規避組織可能面臨的隱私安全風險。

    4. Q:
    可以預見數據將成為新基建所有經濟部門提高生產效率的新動能,然而大力保護隱私與向客戶提供精準個性化服務常常沖突,怎么化解這個矛盾呢?隱私保護的邊界在哪里?

    答:個性化服務跟隱私保護沒有沖突,客戶不知情的信息搜集、買賣數據、超范圍的信息搜集等才是與隱私保護相沖突的地方。法規沒說大數據分析和個性化服務有錯,它們強調的是要在客戶知情且充分授權的情況下才能做,但現在很多APP都沒做到這一點。

    5. Q:
    企業將數據保存在第三方云服務商上,合規是由自己承擔還是第三方云服務商承擔?

    答:企業作為數據的收集方是數據控制者,云服務提供商作為供應商替企業處理數據,是數據處理者,如果違規,兩個都要承擔責任,根據過往的案例企業面臨的處罰會更重一些。

    五、免費回放入口
    如您錯過直播回放,可以掃描下方二維碼進入回看。
    限時免費回看倒計時還有不到2天,7月11日恢復原價69.9,趕快來學習吧。


    直播回復鏈接 http://www.jawlani.com/service/certification/case/detail-389.html

    六、作為國際公認的檢驗、鑒定、測試和認證機構,SGS致力于為各行各業提供企業優化服務,在信息安全和個人信息及隱私管理服務范圍內,包括
    ISO/IEC 27001 信息安全管理體系
    ISO/IEC 27701隱私信息管理體系
    ISO/IEC 20000 IT服務管理體系
    ISO/IEC 27017 云服務信息安全規范
    ISO/IEC 27018 公共云個人信息( PII)處理者的信息安全控制規范
    ISO 22301 業務連續性管理體系
    CSA STAR 云安全聯盟云安全評估認證
    GDPR相關的培訓和認證服務。

     

    (本文著作權歸SGS所有,商業轉載請聯系獲得正式授權,非商業轉載請注明出處)

    相關內容:
    SGS與南京理工大學共建軌道交通資產運維研究中心
    2019年是中國地鐵運營50周年,中共中央、國務院印發《交通強國建設綱要》,推動交通發...
    1月8日 | 英國正式脫歐,醫療器械企業如何應對UKCA?
    2021年1月1日,英國正式脫歐。醫療器械進入英國及英國以外的歐盟市場,對部分制造商...
    商品售后服務認證,促進組織營收績效持續提升
    SGS商品售后服務認證,已在中國國家認證認可監督管理委員會(CNCA)備案。作為商品經營...
    五星認證!漯河醫專二附院高分通過SGS卓越現場管理體系評審
    SGS 6S五星國際評審"經過審核組嚴格審核,一致評定,漯河醫學高等??茖W校第二附屬醫院...
    SGS攜手深圳市醫院管理者協會成功舉辦現代醫院Qualicert培訓
    12月14-15日,SGS攜手深圳市醫院管理者協會于協會學術嘉年華期間在中山大學附屬第八醫...
    企業如何在碳中和下主動轉型
    12月12日,中國國家主席習近平在聯合國氣候雄心峰會上發表《繼往開來,開啟全球應對氣...
    回放丨VDA如何高效幫助企業提高供應鏈管理能力?
    VDA這個質量工具是什么?你以為它只適用汽車行業?那么,你將錯過一個超實用的質量管理...
    回放丨如何以標準化鑄就企業生存韌性?
    后疫情時期,全球經濟急劇動蕩,中國企業也面臨巨大考驗。您的企業是否開始反思如何借...
    多家媒體聯動報道!SGS汽車質量管理體系講座為何如此吸睛?
    近日,作為廈門火炬創新券服務機構,SGS受邀在火炬高新區第二屆科技服務周期間舉辦了題...
    英國脫歐在即,速查醫療器械準入新規,看看如何申請UKCA
    英國已于2020年1月正式脫歐,且過渡期將于今年年底(2020年12月31日)結束。自2021年1...

    SGS是一家專業的第三方認證機構,擁有國際專家團隊為您提供專業的業務解決方案,歡迎來電咨詢。

    日本特黄特黄刺激大片,国产欧美亚洲综合第一页,亚洲国产欧美日本视频,欧美日本一频道一区二区三区不卡,国产一级黄色片