信息实名制行业:应大力加强行业自律、提高行业整体人员职业操守。同时,制定、创新符合本行业特性、切实可行的技术控制手段,防范内部作案风险,如互联网新浪微博、淘宝等;
各行业监管部门:应落实合规制度要求,加强对行业内外风险监控、特别对内部作案事件严查死守,严厉打击,将行业内部合规检查精细化、标准化、常规化;
国家司法机关:进一步完善国家法律法规,将个人信息买卖等违法行为相关条例细化,出台针对性强、可操作性强的相关条例、司法解释及说明,推动我国个人隐私、信息保护方面的法制化进程。
从信息系统管理的角度,我们建议应当尽快建立各相关企业,特别是银行、保险、电信行业的个人信息防护安全体系。根据当前安全行业在个人信息保护方面的最佳实践相关企业可以依照以下的路线图展开个人信息的安全保护:
识别开:相关企业应首先识别自己业务系统中全部的敏感的个人信息,并分类定级,以便于针对性地采取保护措施;
管理全:尽快出台管理措施,加强对企业内部人员的管理与控制,提升个人信息保护的防范意识,只有管理到位才能收到实效;
防护住:通过加密、认证、访问控制、截断威胁路径等技术手段防止个人信息的泄露;
监测出:能够通过监控手段,发现异常的信息传播,以便及时采取控制措施防止进一步影响和损失的扩大;
追踪到:通过安全审计措施,使得一旦出现个人信息从本企业泄露的事件,可以通过追查日志记录能够发现泄密者,追踪非法行为以便进行严厉的惩办。
综合评估,技术和管理加强审计
遵照以业务为核心、以技术为支撑、以管理为保障、以急用先上为原则的方案架构,在对某金融行业的客户进行个人信息保护的建设项目中,绿盟科技个人信息保护安全建设咨询服务,分别从五个方面进行客户信息风险评估,并对评估后的状态,给出具体和可执行的防护措施:
第一、个人信息保护专项整治
专门采取应对当前时期的专项应急措施,其中包括:系统中添加客户警示语、采用下一代令牌、监控钓鱼网站、对用户登录的IP进行地域的限制以及专项黑名单机制的实现。
第二、安全技术防护方面
针对个人信息保护的问题,加强物理层、网络层、系统层、应用层的安全防护,依据分区域、按等级、多层次的防护思想进行了安全规划、安全评估、安全加固与安全维护,贯彻预警、防御、监测、恢复的多重安全保护的技术策略,沿着威胁攻击的路径部署了安全措施。
