数据存储安全管理体系认证证书对企业比较有公信力
近年来,国内外大规模数据泄漏事件频发。根据安全情报提供商基于风险的安全(RBS)的一份报告,2018年公开披露的6500多起数据泄漏事件中,三分之二来自商业部门,12起数据泄漏事件涉及1亿多人。与此同时,5000多个数据泄漏的根本原因来自内部安全漏洞。这些数据远远超过黑客攻击,已成为数据泄露的主要原因。这一趋势必须引起相关企业和员工的警惕。在实现数据采集合规后,要切实履行数据管理员的职责,按照法律要求建立完善的数据存储和管理合规体系,全面降低数据泄露事件发生的概率,实现商业利益、用户权利和法律责任的有机统一。
数据存储安全管理体系认证证书的有效周期
数据存储:国内存储+低期限
《中国网络安全法》第37条规定,中华人民共和国运营中关键信息基础设施运营商收集和生成的个人信息和重要数据,应当存放在中国。因业务需要确实需要提供境外服务的,按照国家网络信息部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,以该规定为准。虽然本条例的约束对象于关键信息基础设施的运营商,同时结合《确定关键信息基础设施准则》(供试实施)、关键信息基础设施安全保护条例(征求意见稿)、准则信息安全技术数据(征求意见稿)、电信网络、广播电视网络、因特网和其他信息网络的出口安全评估,重点信息基础设施的保护范围包括提供大数据等大型公共信息网络服务的云计算单元。可以看出,互联网轨道上的玩家可以被视为关键的信息基础设施运营商,需要满足我国数据存储的要求。在存储期方面,《信息安全技术个人信息安全规范》(GB/T35273-2017)提出了“时间小化”的要求,即信息的存储时间应与使用目的相一致,并应满足一定的必要性。超过存储期限后,应删除或匿名。该规定将从两个方面对企业产生影响:一方面要求企业定期检查数据资产,删除或匿名过期数据;另一方面,如果数据存储期超过业务需要,企业可能承担额外的管理义务和法律风险。
虽然数据与数据的值有明显的差异。刑法中,侵犯公民个人信息罪的立案标准对不同类型数据分别设置了50、500、5000三个层次,其中轨道信息、通信内容、信用信息、财产信息是非常重要的个人信息;住宿信息,公民的通讯记录、健康生理信息、交易信息等可能影响人身财产安全的个人信息是重要信息,其他公民的个人信息统一归类为一般信息。从降低法律风险的角度出发,企业应尽可能采取高水平的技术保护措施,并尽可能严格地制定数据管理系统。但是,为了保证企业的可持续性,企业应综合考虑自身的经营模式、数据的重要性和社会影响,根据国家法律、层次保护制度和业务发展需要,建立一套数据分层管理和保护体系,并选择相应的管理措施和安全技术。
数据存储安全管理体系认证证书辐射全国的认证咨询专家
网络安全分级防护体系实质上是国家有关部门根据不同业务领域和不同主体的数据重要性对相关主体进行分类,并进行分级管理的体系。根据分级保护的相关规定,网络运营商应按照国家法律法规的规定和网络安全分级保护制度的要求,建立并实施重要数据和个人信息的安全保护制度;采取保护措施,确保数据在收集、存储、传输、使用、提供和销毁过程中的安全;采取技术措施确保重要数据的完整性、保密性和可用性。