亞馬遜當?shù)貢r間本周一向404Media、CRN等外媒發(fā)布聲明,確認出現(xiàn)了一起第三方供應商導致的亞馬遜員工數(shù)據(jù)泄露事件。這次網(wǎng)絡安全事件據(jù)信由文件傳輸軟件MOVEit在2023年爆出的CVE-2023–34362零日漏洞導致。61、B2B數(shù)據(jù)聚合公司DemandScience泄露超1億人數(shù)據(jù)一個名為“KryptonZambie”的***者在BreachForums論壇上出售,目前已證實,這些數(shù)據(jù)來自一家聚合數(shù)據(jù)的B2B需求生成公司DemandScience。62、諾基亞被***攻擊,泄露大量內(nèi)部敏感數(shù)據(jù)據(jù)BleepingComputer消息,跨國電信巨頭諾基亞正在調查一起數(shù)據(jù)泄露事件,有***聲稱獲得了該公司及某第三方承包商公司的內(nèi)部敏感數(shù)據(jù)。、02數(shù)據(jù)丟失1、南昌某集團公司大量數(shù)據(jù)疑遭境外竊取,被罰10萬元接上級網(wǎng)信部門通報,南昌某集團有限公司所屬IP疑似被***遠程控制,頻繁與境外通聯(lián),向境外傳輸大量數(shù)據(jù)。經(jīng)調查,南昌市網(wǎng)信辦依據(jù)數(shù)據(jù)安全法對南昌某集團有限公司處以警告、罰款10萬元,對直接負責的主管人員處以罰款2萬元的行政處罰。2、LockBit宣稱成功入侵美聯(lián)儲,竊取了33TB數(shù)據(jù)據(jù)該**的受害者信息,他們從美聯(lián)儲竊取了多達33TB的銀行內(nèi)部數(shù)據(jù),其中包括眾多機密細節(jié),如果得到證實,這將是歷史上**嚴重的金融數(shù)據(jù)泄露事件之一。 構建適配的技術防護體系。針對金融機構的IT環(huán)境特點,推薦部署數(shù)據(jù)加密、水印等技術工具。天津信息安全介紹
風險評估是信息安全服務的基礎環(huán)節(jié)。它通過對組織的信息系統(tǒng)、業(yè)務流程、數(shù)據(jù)資產(chǎn)等進行多方面的分析,識別潛在的安全威脅、脆弱性以及這些因素可能導致的安全風險。例如,評估一個電商企業(yè)的信息系統(tǒng)時,會考慮到網(wǎng)站可能遭受的攻擊、數(shù)據(jù)庫存儲的用戶信息泄露風險等。操作方式:通常采用定性和定量相結合的方法。定性評估是根據(jù)經(jīng)驗和專業(yè)知識判斷風險的嚴重程度,如將風險劃分為高、中、低等級;定量評估則通過數(shù)學模型和統(tǒng)計數(shù)據(jù)來衡量風險,比如計算潛在損失的貨幣價值。評估過程包括資產(chǎn)識別(確定要保護的信息資產(chǎn),如服務器等)、威脅識別(如網(wǎng)絡攻擊、自然災害等)和脆弱性評估(如軟件漏洞、配置錯誤等)。廣州銀行信息安全管理體系根據(jù)關鍵數(shù)據(jù)資產(chǎn)和業(yè)務風險的分析結果,企業(yè)可以制定針對性的風險評估計劃。
調整風險等級的依據(jù)和方法:依據(jù)評估結果調整:根據(jù)重新評估后的可能性和影響程度確定風險等級。如果可能性和 / 或影響程度明顯增加,如風險發(fā)生的概率從低變?yōu)橹谢蚋?,或者風險造成的損失從輕微變?yōu)閲乐兀敲聪鄳貙L險等級上調。反之,如果通過安全措施的加強,風險的可能性和影響程度降低,如通過加密技術和訪問控制使得數(shù)據(jù)泄露的可能性從高變?yōu)橹?,那么風險等級可以下調??紤]風險處置措施的有效性:評估已實施的風險處置措施(如安全技術應用、安全策略執(zhí)行、人員培訓等)對風險等級的影響。如果風險處置措施有效降低了風險,那么可以相應地調整風險等級。例如,企業(yè)對員工進行了信息安全培訓,員工的安全意識和操作規(guī)范性得到提高,因員工失誤導致的信息安全風險降低,風險等級可以適當下調。參考行業(yè)標準和最佳實踐:參考同行業(yè)其他企業(yè)的風險等級劃分標準和應對措施。行業(yè)協(xié)會、監(jiān)管機構等發(fā)布的信息安全指南和標準也可以作為調整風險等級的參考。例如,金融行業(yè)對于客戶資金數(shù)據(jù)的風險等級劃分通常有嚴格的標準,如果企業(yè)處于金融行業(yè),需要根據(jù)這些行業(yè)標準來調整自己的風險等級,以確保符合監(jiān)管要求并保持行業(yè)內(nèi)的安全水平相當。
在數(shù)據(jù)泄露事件中,有近三分之一的事件源于數(shù)據(jù)機密性受到損害,而個人信息是泄露**為嚴重的種類;此外,報告注意到,無加密勒索攻擊在持續(xù)增長。至于目標大多聚焦在哪些行業(yè)?據(jù)報告顯示,醫(yī)療**行業(yè)(1220起)仍在眾多行業(yè)數(shù)據(jù)泄露事件統(tǒng)計排名中**,教育(1537起)、科學技術服務業(yè)(1314起)因高價值數(shù)據(jù)以及相對滯后的安全保護措施,異軍突起,躍升為數(shù)據(jù)泄露**嚴重的行業(yè),金融保險業(yè)(1115起)、公共管理(1085起)則緊隨其后。數(shù)據(jù)安全事件盤點(不完全統(tǒng)計)安言按照數(shù)據(jù)安全法給出的事件類型,盤點了2024年國內(nèi)外數(shù)據(jù)安全事件,以下是具體內(nèi)容。01數(shù)據(jù)泄露1、****企業(yè)薩博公司內(nèi)部數(shù)據(jù)遭泄露據(jù)知道創(chuàng)宇暗網(wǎng)雷達監(jiān)測,薩博SAAB公司內(nèi)部數(shù)據(jù)在***泄露,初步判定數(shù)據(jù)為2022-2023時間段,數(shù)據(jù)大小GB,售價1500$。2、泰國5500萬公民*苗信息疑遭泄漏泰國網(wǎng)站*苗登記記錄中獲得的5500萬泰國公民個人信息。泰國刑事法院緊急發(fā)布命令***了該網(wǎng)站。3、“數(shù)據(jù)泄露之母”:12TB;260億條泄露數(shù)據(jù)記錄網(wǎng)絡安全研究人員發(fā)現(xiàn)了一個巨型數(shù)據(jù)庫,其中包含了至少260億條泄露的數(shù)據(jù)記錄,被視為迄今為止**大的泄露數(shù)據(jù)庫,堪稱“數(shù)據(jù)泄露之母”。4、美國某金融公司遭遇網(wǎng)絡攻擊。 員工是企業(yè)數(shù)據(jù)安全的首要防線。
為建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系提出了模型,其中詳細說明了建立、實施和維護信息安全管理系統(tǒng)的要求,指出實施機構應該遵循的風險評估標準。作為一套管理標準,ISO/IEC27001指導相關人員怎樣去應用ISO/IEC27001,其目的,還在于建立適合企業(yè)需要的信息安全管理系統(tǒng)。ISO/IEC27001標準,定義了14個安全域和114個安全控制措施項。如下:ISO/IEC27001標準要求的建立ISO/IEC27001框架的過程:制定信息安全策略,確定體系范圍,明確管理職責,通過風險評估確定控制目標和控制方式。體系一旦建立,組織應該實施、維護和持續(xù)改進ISO/IEC27001,保持體系的有效性。如何實施基于ISO27001標準的信息服務管理體系ISO27001管理體系咨詢方法論——分析階段通過前期的項目準備,使企業(yè)領導能充分的支持與授權相應人員進行信息安全的建設,并且通過安全意識的培訓,使企業(yè)項目人員逐步了解信息安全管理相關的知識并樹立信息安全管理的理念安言咨詢將于企業(yè)主要人員一起,對企業(yè)業(yè)務目標進行分析。同時客觀準確地評估信息安全管理現(xiàn)狀、進行差距分析、評價安全管理成熟度,為后續(xù)風險評估和建立管理體系打下基礎。風險評估工作是風險管理的基礎。
數(shù)據(jù)安全風險評估需要跨部門協(xié)作與信息共享。企業(yè)應建立跨部門的安全團隊或工作組,共同推進評估工作開展。南京企業(yè)信息安全產(chǎn)品介紹
安言咨詢在數(shù)據(jù)安全咨詢服務方面積累了豐富的經(jīng)驗。天津信息安全介紹
對GB/T35273中的示例進行了細化、調整和修改。比如,將GB/T35273列為“其他信息”的宗教信仰、行蹤軌跡分別單列,將“個人身份信息”調整為“特定身份信息”,對醫(yī)療**信息、金融賬戶信息的示例進一步細化。例如,單獨的身份證號碼可能不被直接視為敏感個人信息,但結合其他個人信息(如姓名、地址等)后,其整體屬性可能轉變?yōu)槊舾袀€人信息。此外,指南還列舉了生物識別信息、宗教信仰信息、特定身份信息、醫(yī)療**信息、金融賬戶信息、行蹤軌跡信息等八類常見敏感個人信息,并對每一類信息進行了詳細的解釋和示例說明,如通過調用個人手機精細位置權限采集的位置信息即為精細定位信息,而通過IP地址等測算的粗略位置信息則不屬于此類。03ISO27701PIMS體系建設的**視野ISO27701PIMS體系概述ISO27701作為ISO27001的擴展標準,專注于個人信息處理活動的隱私保護。它不僅繼承了ISO27001在信息安全管理體系方面的成熟經(jīng)驗,還針對個人信息處理活動提出了更為嚴格的隱私保護要求。ISO27701要求**在建立信息安全管理體系的基礎上,進一步識別、評估、控制和管理與個人信息處理相關的隱私風險,確保個人信息處理的合法、正當和透明。PIMS體系建設的**要素在ISO27701PIMS體系建設中。 天津信息安全介紹