数据安全每周观察 | 《关于加强第三方合作中网络和数据安全管理的通知》
政策趋势
01
金融监管总局发布加强第三方合作中
网络和数据安全管理的通知
国家金融监督管理总局于近日发布《关于加强第三方合作中网络和数据安全管理的通知》。《通知》提到,部分银行保险机构的外包服务商近期发生多起安全风险事件,暴露出银行保险机构在外包服务管理上存在突出风险问题。《通知》要求各银行保险机构对照通报问题,深入排查供应链风险隐患,切实加强整改。各级派出机构要督促辖内银行保险机构严格落实《通知》要求,严肃处置因管理不当引发的重大风险事件。
针对银行保险机构在供应链安全管理上履职不到位、银行保险机构对外包服务的应急管理机制不健全、外包服务商的安全管理和技术防护能力严重不足等问题,国家金融监督管理总局提出了三方面的监管要求:
”
一是切实履行网络和数据安全保护义务。银行保险机构应加强⻛险评估和尽职调查,加大监控力度和违规问责,加强对外包服务商的监督管理和实地检查,合作结束后必须下线相关系统并删除数据;强化合同的网络和数据安全要求条款,验收时严格执行安全⻛险检查,对发生安全生产事件的要按合同约定进行处罚。
二是采取针对性安全保护措施。银行保险机构对外提供数据应按“业务必需、最小权限”原则进行,系统和数据应优先在银行保险机构本地化部署。加强边界防护和传输保护,建立与外包服务商的隔离防火墙,不通过即时通讯、网盘、互联网邮箱等不安全渠道传输数据。梳理外包服务商获取、留存的银行保险机构数据,排查个人信息和程序源代码、系统文档等内部技术资料,排查缺省账户密码、弱口令、未定期更新口令、明文存储口令等问题,排查系统和外部产品的漏洞,整改问题隐患。
三是建立健全应急处置机制。银行保险机构应将外包合作场景的事件应急处置纳入应急预案管理,将涉及外包服务商的投诉纳入投诉管理办法,要求外包服务商第一时间报告自身的安全生产事件和投诉举报,报告其产品或服务发现的安全缺陷和漏洞,银行保险机构应将相关风险事件及时报告监管部门,并及时调查处置相关问题。
02
人社部印发数字人社建设行动方案
要求强化安全保障
6月19日,人力资源社会保障部发布《关于数字人社建设行动实施方案的通知》,为推进人力资源社会保障领域治理体系和治理能力现代化提供有力支撑。方案要求全面落实网络和数据安全责任,建立三位一体的安全保障体系,健全多项安全机制。同时,要求从网安教育、供应链安全、关基设施安全等多方面出发,强化安全保障。数字人社建设行动按照“1532”的整体框架进行布局。
”
支撑科学化决策,开拓数字化监测分析新途径
(十九)加强统计分析决策。推动实现从业务系统直接提取统计数据,加快构建统计现代化采集体系,严防统计造假。推进人社大数据在经济运行研判和社会治理等领域的深层次应用。
(二十)强化动态监测指挥。重点建设就业形势、社保基金运行、人才流动、劳动用工、农民工权益和流动、舆情热点等动态监测预警,完善人力资源市场供求信息监测,形成即时感知、主动应对的治理模式。
(二十一)加强政策成效评估。基于大数据和模型,对高质量充分就业、社会保障等重大改革和关系群众切身利益的重要政策实施效果开展分析评估,构建“决策-执行-评估-改进”的量化闭环,推动实现精准施策。
03
《工业互联网专项工作组2023年工作计划》发布
强化安全保障
近日,工业互联网专项工作组办公室发布《工业互联网专项工作组2023年工作计划》。计划显示,工信部需要完成安全保障强化行动,持续深入实施工业互联网企业网络安全分类分级管理工作,提升重点企业网络安全防护水平,优化完善工业互联网安全技术检测服务体系以及加强重要数据保护。
监管动态
1► 公安破获一起跨省侵犯公民个人信息案信息超10万条
近日,湖北省宜昌市公安局破获一起跨省侵犯公民个人信息案,打掉犯罪窝点3处,抓获犯罪嫌疑人4名,查获涉案手机150多部、电脑4台,涉案金额超200万元,涉及公民个人信息超10万条。据悉,犯罪嫌疑人先是添加受害人微信,再将其拉入微信群,最后将微信群卖给境外诈骗团伙实施诈骗,从中获取非法利益。
2► 数据保护不力造成医院数据泄露网信办开出6.2万元罚单
近日,衡南县网信办在省、市网信办的指导下,对违反《数据安全法》的相关单位及责任人作出行政处罚。经查,衡南县某医院未履行数据安全保护义务,造成部分数据泄露,衡南县网信办依据《中华人民共和国数据安全法》第四十五条规定,对该医院作出责令整改,给予警告,并处罚款5万元的行政处罚。同时,对第三方技术公司及相关责任人处以1.2万元罚款。
3► 电子签名头部机构因违规收集个人信息被通报
近日,浙江省通信管理局发布《关于侵害用户权益行为18款App的通报(2023年第4批)》,有18款App未按要求完成整改,其中包括杭州天谷信息科技有限公司旗下的e签宝。其所涉问题为:违规收集个人信息;超范围收集个人信息;App强制、频繁、过度索取权限。据IDC于2022年发布的报告显示,以总体市场份额来看,e签宝以26.7%的市占率位居中国电子签名软件市场厂商份额第一。
业界之声
1
北京市通过首家企业个人信息出境标准合同备案
近日,北京德亿信数据有限公司与香港诺华诚信有限公司签订的个人信息出境标准合同已通过市网信办组织的备案审核,成为首家通过订立标准合同实现个人信息合规出境的企业,标志着个人信息出境标准合同备案制度在北京率先落地。同时,该项目首次实现了北京市与香港特别行政区间征信数据的合规出境,为京港两地个人信用风险管理及评价机制的一体化进程提供了有力支撑,也为香港特别行政区持牌金融机构增添了全新的跨境服务创新驱动力。
2
支付宝“跨境小程序”通过数据出境安全评估
近日,支付宝(杭州)信息技术有限公司的“跨境小程序”业务相关数据项通过国家网信办数据出境安全评估,这是浙江省第三个数据合规出境案例,为促进浙江省互联网科技企业开展数据跨境活动提供了实践指引,对浙江省进一步指导支持更多企事业单位解决数据合规出境需求积累了经验、打通了路径,具有重要意义。
3
中国高校信息化发展报告发布 推进教育数字化转型
28日消息,教育部高等学校科学研究发展中心与中国高等教育学会教育信息化分会发布了《中国高校信息化发展报告(2021)》。《报告》从体制机制、基础设施、信息系统与数据治理、信息化支撑教学、信息化支撑科研、网络安全保障、新技术应用等7个方面进行了全方面分析,引导高校进一步落实国家教育信息化发展战略要求,实现数字化转型时代高校办学理念更新、教学模式变革、治理体系重构,最终完成教育现代化发展战略目标。
评论