531      阿裏雲  技術社區[雲棲]

政府安全資訊精選 2017年第八期 等保檢查工作、網絡安全威脅監測與處置辦法細化，監管有據可依

【國內政策分析】

《公安等保檢查工作規範》9月13日發布 等保檢查將有據可依 點擊查看全文

概要：《規範》明確等保負責單位為市（地）級以上公安機關，“誰受理備案，誰負責檢查”。等保三級每年檢查一次，等保四級半年一次。檢查內容包括定級備案、整改情況、管理製度、產品使用、測評進展和自查情況。

點評：檢查標準的細化是監管加強的重要信號，等保檢查工作的推動將有據可依，且責任落實到市級公安機關。《網安法》框架下等保的核心要求包括，一、內部安全管理製度和操作規程，確定網絡安全負責人；二、防病毒和網絡攻擊；三、保留網絡日誌不少於六個月；四、數據分類、重要數據備份和加密等。如違反，將責令改正，給予警告，拒不改正將罰款一萬至十萬元，直接負責主管罰款五千至五萬元。目前汕頭、四川、山西等地已有等保違規案例發生，並收到不同等級的懲罰。

《網絡安全威脅監測與處置辦法》發布 提高企業對安全威脅監測處置能力要求 點擊查看全文

概要：該項辦法定義了網絡安全威脅的監測和處置機製。工信部將建立網絡安全威脅信息共享平台，統一收集、分析、發布威脅信息。委托CNCERT和信息通信研究院等機構認定網絡安全威脅，提出處置建議並對企業的相關處置情況進行驗證。該辦法2018年1月1日起生效。

點評：《辦法》將對基礎電信企業、互聯網企業、域名注冊管理和服務機構等企業產生影響，提高了此類企業對網絡安全威脅監測與處置的責任，包括應當為電信主管部門依法查詢IP地址歸屬、域名注冊等提供技術支持，按主管部門的要求和時限采取處置措施，反饋處置結果並接受檢驗。

【國際監管動態】

美國政府提議衛生保健機構建立“自然災害數據備份計劃” 災難期也要保障數據安全 點擊查看全文

概要：受颶風影響，美國衛生及公共服務部的民權事務部門（OCR）正在通過應急數據備份計劃HealthITSecurity報告。根據發布，衛生保健機構需要依據《健康保險便利和責任法案》（HIPAA）安全規則進行數據備份，災難恢複和應急模式運行計劃，在國家災難期間也不會例外。

看法：這項報告在去年的新指引上又增加了災害備份的要求。在HIPPAA已有安全要求的基礎之上作出進一步要求，即使在自然災害等緊急情況下也必須保證電子受保護健康信息（PHI）的機密性，完整性和可用性。這是對衛生保健機構數據安全和隱私更進一步的考驗，天災人禍作為數據泄漏的借口將不再成立。

Facebook被西班牙隱私監管罰款120萬歐元 點擊查看全文

概要：西班牙數據保護機構（AEPD）表示，Facebook違反多項隱私規則，包括（1）未明確征集用戶同意即通過第三者收集信息；（2）通過Cookies收集未注冊Facebook帳號的人的信息，包括宗教信仰、意識形態等敏感信息 （3）未獲取用戶同意，進行數據分析 （4）在用戶刪除賬號17個月後，仍然保存並使用用戶數據。

點評：這是互聯網企業在海外被重罰的案例之一，體現了在整個數據生命周期中對客戶保持透明性的重要性——任何的數據收集、處理和分析都必須清晰地告知用戶。國內正在試點進行的“個人信息保護提升行動”是數據隱私保護的第一步，後續範圍會逐漸擴大。

本文為雲棲社區原創內容，未經允許不得轉載，如需轉載請發送郵件至yqeditor@list.alibaba-inc.com；如果您發現本社區中有涉嫌抄襲的內容，歡迎發送郵件至：yqgroup@service.aliyun.com 進行舉報，並提供相關證據，一經查實，本社區將立刻刪除涉嫌侵權內容。 

最後更新：2017-09-19 13:02:35

  上一篇：  機器學習中Bagging和Boosting的區別

  下一篇：  MQC功能測試大揭秘（4）- MQC 功能測試 DEMO