《数据安全法》施行近两年来,江苏公安机关网安部门聚焦信息数据泄露、滥用、篡改等行业领域问题乱象,加大监督检查、通报预警和行政执法力度。
主要风险汇总:
1、未履行网络安全等级保护制度要求进行信息系统备案和测评
2、未履行数据安全义务,建立基本数据安全能力,例如加密、脱敏、访问控制、定期风险评估等
3、未建立相关组织架构,无专人负责。
4、未在企业内建立相关管理制度
5、为对企业内部进行定期专项培训教育
6、对数据泄露事件未进行有效管控,实现应急响应措施。
医学医药案例:
不履行数据安全保护义务案
1、某医学检验机构
风险:
存在SQL注入漏洞
弱口令等网络安全隐患
且未建立数据安全管理制度
未组织数据安全教育培训
未采取相应技术措施保障数据安全
未对其数据处理活动开展风险监测和定期风险评估
可致敏感业务数据泄露,涉嫌未履行数据安全保护义务。
处罚依据:《数据安全法》第45条规定
处罚:行政警告+罚款10万元。
2、某医药公司
风险:
管理系统存有大量公民个人信息
存在网络安全漏洞
且该公司未建立数据安全管理制度
未组织开展数据安全教育培训
未采取相应技术措施保障数据安全
涉嫌未履行数据安全保护义务。
处罚依据:《数据安全法》第45条规定
处罚:行政警告+限期改正。
科技企业案例
不履行数据安全保护义务案
1、成都某科技有限公司
风险:
未建立健全全流程数据安全管理制度
私自将该公司30余万条运营数据上传至互联网
且未落实任何技术防护措施保障数据安全
未对其数据处理活动开展风险监测
可致该批数据泄露,涉嫌未履行数据安全保护义务。
处罚依据:《数据安全法》第45条规定
处罚:行政警告+罚款5万元。
2、北京某科技发展企业(运维主体)+某不动产登记中心的(业务主体)
风险:
存在Elasticsearch未授权访问安全漏洞
且未建立健全全流程数据安全管理制度
未落实有效的数据安全防护措施
可致该系统中存储的24万余条业务数据泄露
涉嫌未履行数据安全保护义务。
处罚依据:《数据安全法》第45条规定
处罚:
不动产登记中心予以行政警告并责令改正
建设运维单位北京某科技发展研究中心予以行政警告并处罚款5万元。
3、某科技有限公司
风险:未建立数据安全管理制度
也未采取相应技术措施保障数据安全
存在使用“弱口令”即可登录平台、访问数据的情况
涉嫌未履行数据安全保护义务。
处罚依据:《数据安全法》第45条规定
处罚:行政警告+限期整改
附录:
第四十五条 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...