GDPR

通用数据保护条例和信息安全 – 提高信息安全的7种方法

通用数据保护条例(GDPR)被广泛认为是世界上最严格的数据保护法令。该法律用于处理欧盟居民个人数据的公司。由于全球性云端平台如电子商务,社交媒体和App等等的应用,所以不管公司所在的地域,GDPR都可以影响任何公司。作为欧盟或欧盟以外的数据处理公司或实体,只要是提供商品/服务(付费或免费)或监督欧盟的个人,此法律也对它们产生影响。根据法律规定,公司可以被罚款高达两千万欧元,或公司全球年度收入的百分之四的营业额,以较高者为准。 GDPR于2018年5月25日生效,自此以后,根据爱尔兰时报的报告,数据保护委员会自2017年起开始报告数据违规数据超过1100起,而2017年之前的平均每月平均数为230。最新的数据泄露案例于2018年9月7日报道,英国航空公司380,000名客户的信用卡详细信息在其网站和移动应用程序中被“恶意“的造成数据外泄。被盗取的关键信息包括客户姓名,电子邮件地址,信用卡详细信息,如卡号,有效期和三位数的CVV代码被黑客窃取。根据“卫报”的报道,这些被盗数据的黑市售价可能高达2150万英镑。 在处理数据泄露时,虽然公司可以投入大量的科技技术来确保它们可以安全地抵御网络攻击或黑客入侵,但黑客通常只需要在整个系统中使用一个小的漏洞来入侵和利用。除了科技技术帮助之外,公司应该如何采用全面的框架来确保它们能够抵御攻击,如果数据外泄发生了应该做的事情。我们列出了公司可以通过以下7种方式来保护其公司信息资产: 1.确保在组织中建立信息安全责任 在公司和项目中建立负责处理组织信息安全风险管理的人员和团队。 2. 组织内部的信息安全意识 确保您的员工和承包商在加入时了解您所在国家/地区的信息安全政策和监管要求,并定期向他们提供这种信息安全意识的培训。 3.建立信息资产管理流程 在这种情况下,资产不仅意味着硬件,而是应该识别信息管理资产中的软件,如个人数据,信用卡详细信息,供应商合同等等,并为所识别的每个资产辨认一个主管人。 4.采用风险管理方法来保障信息安全 使用风险管理方法评估组织活动和信息资产的各个方面的信息安全风险,并与相关信息的使用进行定期审查 5.系统获取,开发和维护的安全性 确保信息安全管理是整个信息系统生命周期中不可或缺的一部分,从新系统的需求分析或优化到放在公共网络上的保护系统或服务。这些包括代码审查,应用程序安全测试以及监督和监控外包系统开发。 6.管理供应商 确保您的信息安全要求得到供应商的同意并记录在案。您与供应商的协议应在信息和通信技术服务(包括产品供应链)解决信息安全相关的风险。 7.信息安全事件管理 GDPR要求在信息外泄后72小时内通知,在新加坡,个人数据保护委员会(PDPC)的定义是“尽快,不迟于72小时”。建立正式的事件管理程序可确保有效和一致的过程来来沟通和处理数据外泄事件的报告和调查工作。 菩提数码提供服务帮助公司使用我们的综合评估框架评估当前的信息安全风险,并提供咨询和实施以帮助公司建立一个防范性的信息安全保护框架,请联系我们以了解更多信息。

应用iso27001信息安全管理防止信息外泄

新加坡刚刚发生了最严重的资料盗窃问题。有150万个非医疗个人资料被盗窃了,其中包括了我国总理的个人资料。作为一个智慧城市和数码转变的先驱国家,人们大概会认为拥有人工智能,机器学习等等的探查工具以 帮助祯查到网络活动的异常。可是公司组织将如何预防此类的资料盗窃呢?这在信息安全方面其实有两个阵营的说法,一个是相信流程与人为中心的阵营,另一个是相信科技能解决问题的阵营。虽然这两个阵营的看法并没有对与错。我们认为一个平衡的方案就是结合了人,流程,科技和风险管理的态度来看待公司信息安全。因此我们建议用ISO27001信息安全管理制度来评估一家公司的信息保全措施。ISO27001信息安全管理提供了一个全方位的机制帮助公司,建立一个预防性的信息安全措施。因此我们建议一下八大步骤帮助公司思量如何,预防资料盗窃: 1. 辨认公司的信息和资讯资产以及它的商业价值。 2. 以可用性,保密性,完整性,来酌量信息与资讯资产可靠性和授权人的权限。 3. 辨认所有会造成信息和资讯资产被盗窃的风险。 4. 采取缓和措施管制第三步骤所辨认出来的风险,并用成本效益和风险管理的角度来衡量这些缓和措施的可行 性。 5. 实施所有的政策,措施,以及系统来支持这些管制。 6. 进行定期的审查,测试和监控以确保这些管制有效。 7. 通过培训加强员工们对于信息安全意识。 8. 复审,报告,并更新这些计划。