5.3 个人隐私保护

数据参考：CISP官方 

目录

• 一、数据泄露与隐私保护问题
• 二、信息的泄露途径
• 三、个人隐私信息保护
• 四、组织机构敏感信息保护 

一、数据泄露与隐私保护问题

 

1、数据泄露事件

• 数据的价值已经得到高度的认可
• 不可避免的面临安全威胁
• 2018年华住集团数据泄露事件
• 中国电信超2亿条用户信息被卖

 

数据泄露事件数量整体呈现出递增趋势数据安全问题刻不容缓

2、隐私数据

个人隐私和组织机构隐私

2017年5月9日颁布的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》指出，刑法第253条之一规定的 “公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

2020-2021年规划的立法《中华人民共和国个人信息保护法》

二、信息的泄露途径

1、公开收集

公开的信息经过搜集汇总分析后,其中会暴露组织机构、个人的内部、敏感信息,也会导致一定程度的信息泄露

如：直接在百度搜索一些公司的网络布局

2、非法窃取

非法窃取是目前信息泄露的主要途径

• 22%的泄露事件涉及云资产，而本地资产占报告事件的71%
• 45%的泄露行为是黑客攻击，22%涉及社会工程攻击，22%的涉及恶意软件；
• 55%的违规事件和有组织犯罪相关，外部攻击者占70%，30%的为企业内部攻击者；
• 81%的泄露是在几天或更短的时间内发现的；
• 72%的事件涉及大型企业；
• 58%的事件涉及个人数据泄露；
• 43%的泄露涉及Web应用程序。

3、合法收集

• 数据采集收集合法
• 采集组织本身管理因素
• 数据被非法利用导致泄露

4、无意泄漏

• 组织机构或个人没有意识到数据的重要性
• 没有了解攻击者数据收集的实现方式
• 在数据发布上缺乏足够的安全防护及安全意识
• 个人的无意泄露

三、个人隐私信息保护

1、个人隐私信息受到法律保护

《宪法》

在宪法第40条中明确规定：“中华人民共和国公民的通信自由和通信秘密受法律的保护，除因国家安全或者迫究刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。”

《网络安全法》

《个人信息保护法》即将出台

2、如何保护我们的个人隐私

• 尽量不要注册不知名的网站，不要下载不知名的APP，这些网站和APP应用对用户信息保护能力不足，容易导致信息泄露，如果的确需要注册，应使用与常用网站不同的用户名、口令，例如不用主要手机号进行注册验证；
• 在论坛、微博等开放的平台尽量不要发布照片、行程、生日、纪念日等信息；
• 在非自己可控的计算机上避免输入账户信息，更不要使用“记住账号密码”的功能；
• 包含个人信息的资料不要随意丢弃，进行敏感信息销毁后再处置；
• 不随意使用公共场所中的Wifi，特别未经加密的wifi
• 无法确认安全的二维码，不要随意扫码
• 废旧电子设备不要随意丢弃或卖给二手设备回收商，应进行数据粉碎再处置 

四、组织机构敏感信息保护 

1、组织敏感信息保护技术措施

• 数据加密：对敏感信息进行加密，确保数据在传输和存储过程中的安全。使用强大的加密算法来防止未经授权的访问。

• 信息拦截：使用防火墙、入侵检测系统（IDS）和入侵防御系统（IPS）等技术，监测和拦截潜在的网络攻击和恶意行为。及时发现并应对任何威胁。

• 访问控制：实施严格的访问控制机制，确保只有经过授权的人员可以访问敏感信息。使用强密码策略，限制用户权限，并进行定期的访问权限审查。

• 安全审计和监控：建立安全审计和监控系统，记录和监测对敏感信息的访问和操作。及时发现异常行为或安全事件，并采取相应的措施。

• 强化网络安全：采用安全性高的网络架构和设备，配置网络段隔离、虚拟专网（VPN）、入侵检测和防护系统（IDPS）等技术，增强网络的安全性。

• 员工培训和意识提升：向员工提供安全意识培训，教育他们有关信息安全的最佳实践和安全威胁的认知。强调他们在处理敏感信息时的责任和义务。

• 定期漏洞扫描和安全评估：进行定期的漏洞扫描，并进行安全评估，发现潜在的风险和漏洞，并及时修复和改进。

2、组织敏感信息保护管理措施

• 技术与管理并重
• 在风险评估的基础上，形成数据泄露防护的安全需求
• 制定相应的管理制度，对数据泄露的风险进行控制