专栏名称: 数安行
数安行,专注数据运营安全,让数据安全地创造价值!
目录
相关文章推荐
北京本地宝  ·  北京灵活就业社保缴多少? ·  昨天  
最爱大北京  ·  11点前,别点外卖?315暗访记者爆料>> ·  昨天  
九章算法  ·  开课了!零基础8周拿ds/da ... ·  3 天前  
51好读  ›  专栏  ›  数安行

数据安全每周观察|《信息化标准建设行动计划(2024—2027年)》正式发布

数安行  · 公众号  ·  · 2024-05-31 18:00

正文

政策趋势

01

中央网信办等三部门印发《信息化标准建设行动计划(2024—2027年)》

为深入落实《“十四五”国家信息化规划》《国家标准化发展纲要》任务部署,近日,中央网信办、市场监管总局、工业和信息化部联合印发《信息化标准建设行动计划(2024—2027年)》(以下简称《行动计划》),要求加强统筹协调和系统推进,健全国家信息化标准体系,提升信息化发展综合能力,有力推动网络强国建设。


《行动计划》围绕4个方面部署了主要任务。一是创新信息化标准工作机制,包括完善国家信息化标准体系、优化信息化标准管理制度、强化信息化标准实施应用。二是推进重点领域标准研制,在关键信息技术、数字基础设施、数据资源、产业数字化、电子政务、信息惠民、数字文化、数字化绿色化协同发展等8个重点领域推进信息化标准研制工作。三是推进信息化标准国际化,包括深化国际标准化交流合作、积极参加国际标准组织工作、推动国际国内标准协同发展。四是提升信息化标准基础能力,包括优化标准供给结构、加强标准化人才培养、推动标准数字化发展。


《行动计划》强调,要强化数据资源基础标准建设。 完善数据采集、存储、访问、使用、销毁等数据技术标准。 加快制定元数据、主数据、数据质量等数据治理标准,推进重点领域高质量数据集建设。 推进数据密码保护、数据分类分级、数据脱敏脱密、数据跨境传输等数据安全相关标准研制。 推动数据要素流通标准研制。


02

全国数据标准化技术委员会正式批复筹建,国家数据局负责筹建和业务指导

近日,第七届数字中国建设峰会主论坛在福州召开。会议公布了“关于筹建全国数据标准化技术委员会的通知”。


全国数据标准化技术委员会将负责数据资源、数据技术、数据流通、智慧城市、数字化转型等基础通用标准,以及支撑数据流通利用的数据基础设施标准和保障数据流通利用的安全标准制修订工作。筹建单位和业务指导单位为国家数据局,秘书处承担单位为中国电子技术标准化研究院。全国数据标准化技术委员会将在国家数据局指导下,按照《全国专业标准化技术委员会管理办法》,做好筹建工作。全国数据标准化技术委员会欢迎数据领域企事业单位、研究机构、各级数据主管部门及广大专家学者积极参与,共同推动数据领域标准化工作,为数字中国建设贡献标准化力量。


监管动态

01

警惕!服务外包的失泄密大坑

服务外包,即机关单位把部分后勤服务、技术服务及公共服务,比如餐饮、保洁、信息化运维等,承包给有关市场主体、社会组织承担或者协助开展,随着经济社会的发展,服务外包在机关单位日常运转中发挥的作用越来越重要。然而,由于服务外包的“整体打包”特点,发包方往往疏于对承包方的保密监管,由此引发的 失泄密案件 屡见不鲜。

案例1:服务人员成“盲区”,不察不周酿大案


2016年8月,某涉密单位发生重大失泄密案件。经查,该单位长期将办公大楼物业管理外包给某物业服务公司运营,该公司保洁人员段某 主动联系境外情报机构,利用工作之便盗印、偷拍文件资料,先后为境外提供1项机密级、2项秘密级国家秘密及其它6项情报。 案件发生后,段某被依法追究刑事责任,所在物业服务公司承包合同被终止,该单位有关领导责任人员、监管责任人员被依纪依法给予党纪政务处分。

案例2:保密审查不严格,泄密风险别小觑


2018年6月,有关部门在工作中发现,有人往文库类网站出售涉密文件。经查,这些文件均出自某公司,该公司虽不具备有关资质,但通过骗取信任的方式,承包了某区多家机关单位档案资料数字化业务。在此期间,公司员工蒋某 利用工作便利,窃取、复制39份涉密文件,将其中5份放在互联网上出售。 案件发生后,蒋某及其所在公司实际控制人方某被依法追究刑事责任,涉案机关单位相关责任人员均被依纪依法给予党纪政务处分。

案例3:日常监管不到位,隐患长留生事端


2019年3月,某资质企业向公安机关报案,称员工孙某丢失1台涉密笔记本电脑。经查,该企业承包某省多家单位的涉密信息系统运维服务,其中孙某长期在某机关驻场服务,并被确定为涉密人员。然而据其同事介绍, 孙某经常将机关配发的涉密设备带回家中。 事发当日,孙某携带涉密笔记本电脑在某餐厅用餐,中途外出接打电话,遗留在座位上装有涉密笔记本电脑的背包被社会人员金某盗走。事后,金某被迅速抓捕归案,孙某被其所在单位辞退。

案例4:涉密文件也“打包”,舍本逐末酿祸端


2020年11日 有关部门在工作中发现,有人 在微信群中传播涉密文件。 原来,系某区属单位负责人蒋某,为总结工作成果,将2份秘密级文件违规复印后,交给相关服务外包的某社会组织负责人谢某参考,谢某又将文件转交工作人员程某,程某为收集情况,用手机对2份文件拍照并发送至微信群中后被群成员转发至其他3个群,造成泄密。案件发生后,蒋某受到党纪政务处分,该社会组织有关合作协议被终止。

从以上4起案例不难看出,无论是涉密工作还是非涉密工作“外包”,也无论哪类服务的“外包”,都存在一定的失泄密风险。因此,机关单位必须采取更有力措施,有针对性地强化服务外包中的保密管理,尤其须加强三个方面工作:一是提高认识,高度重视。二是明确义务,夯实责任。三是加强教育,普及“两识”。


02

大量印度军警人员生物特征数据在公网暴露后遭贩卖

近日,有消息称,在印度全国大选期间,发生了一起大规模的数据泄露事件, 数百万人的生物特征信息遭到暴露。


被泄露数据属于一个未经保护的数据库,其中含有警察、军人和平民的指纹和面部扫描图像,或可被用于身份盗窃和选举攻击。


经网络安全研究人员查证,这是一个未正确配置密码保护的数据库,其中包括超过160万份文件。总计166159份(496.4 GB)文件遭暴露,内含警察、军人、教师甚至铁路工人的面部扫描图像、指纹、签名和识别标记等敏感生物特征信息。 除生物识别数据外,出生证明、照片、电子邮件地址、就业申请、毕业证书、资格证书和其他教育相关文件等重要个人信息也在泄露之列。 该数据库涵盖2021年至2024年期间的数据记录。其中约有284535份文件记录了警察和执法人员的体能测试(PET)信息,包括签名图像、PDF文件、移动应用程序和安装数据,部分以压缩包zip格式存储。其中一个名为“面部软件安装”的文件夹包含了通过该应用程序捕获和传输的图像和文件。内部数据库名称、登录信息和密码信息均以明文形式储存。


泄露数据属于ThoughtGreen Technologies和Timing Technologies两家印度科技公司。两家公司均提供应用开发、射频识别(RFID)和生物特征验证服务。但是,目前尚不清楚这两家公司中哪一家拥有该数据库的托管服务器。在数据泄露当天,公众被限制访问该数据库。然而,数据库暴露的具体时长、生物特征记录是否遭到未经授权访问仍然未知。公司需进行内部法务审计,以确定是否发生任何可疑活动,以及这些记录是否曾被他人访问。


5月23日,Fowler与外媒Hackread分享了即将发表的研究报告。报告指出,这些数据可能已经在一个Telegram群组中公开出售,或给数百万人带来各种威胁。指纹等生物特征数据是与个人身份相关联的唯一标识符,几乎不可能更改。这些数据可能被用于很多恶意目的,比如冒充和身份盗窃。这一数据泄露事件凸显了生物特征数据收集、使用和存储面临的道德和监管挑战。2022年,印度通过法律,扩大了警方从罪犯、嫌疑人和被拘留者那里收集生物识别数据的权力。此次事件为政府和私营企业敲响了警钟,强调加强数据安全实践,并通过立法保护公民隐私和安全的必要性。


03

北京市通信管理局关于问题APP的通报

近期,北京市通信管理局按照工业和信息化部工作部署要求, 依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络产品安全漏洞管理规定》等 法律法规,持续开展APP隐私合规和网络数据安全专项整治。


通过抽测发现本市以下APP存在“违反必要原则收集个人信息”“未明示收集使用个人信息的目的、方式和范围”等侵害用户权益和安全隐患类问题,予以公开通报:


前期通报的本市存在侵害用户权益行为并要求整改的APP,截至目前,仍有以下5款未整改或整改不到位,予以全网下架处置:







请到「今天看啥」查看全文