<blockquote id="wwqia"><table id="wwqia"></table></blockquote>
  • <xmp id="wwqia"><optgroup id="wwqia"></optgroup>
  • <menu id="wwqia"><xmp id="wwqia">
  • <menu id="wwqia"><menu id="wwqia"></menu></menu>
  • 你好,歡迎訪(fǎng)問(wèn)新世紀檢驗認證官網(wǎng)!因為專(zhuān)業(yè),所以信賴(lài)!
    English 400-016-9000

    從賬戶(hù)被泄事件,看ISO27701隱私信息體系建立的必要性

    發(fā)布時(shí)間:2020-05-29| 作者:信息體系| 文章來(lái)源:認證家園

    導讀

    從池子銀行賬戶(hù)被泄事件看個(gè)人信息保護。

    池子,原名王越池,因參加《吐槽大會(huì )》而成名。在今年5月初,池子稱(chēng)其與上海笑果文化傳媒有限公司產(chǎn)生合約糾紛,雙方均提出了仲裁,在笑果文化寄給王越池的案件材料里面,竟然發(fā)現了他在銀行的個(gè)人賬戶(hù)交易明細。

    1、銀行面臨高額懲罰

    此次事件,銀行已經(jīng)致歉并將該支行行長(cháng)撤職,并稱(chēng)是“個(gè)別員工未嚴格按照制度操作”,與此同時(shí)銀保監會(huì )已經(jīng)提出立案調查。但是,業(yè)內人士表示,銀行將面臨頂格處罰,并且公司高管及相關(guān)責任人將面臨法律風(fēng)險。

    但是我想這并不是銀行高層想要看到的。

    2、很難說(shuō)是“個(gè)別員工”造就的意外

    客戶(hù)不分大小,隱私權都是絕對平等的。

    《商業(yè)銀行法》第29條就明確規定,“對個(gè)人儲蓄存款,商業(yè)銀行有權拒絕任何單位或者個(gè)人查詢(xún)、凍結、扣劃”。

    除了公安機關(guān)、法院等經(jīng)過(guò)法定程序的調取外,銀行沒(méi)有任何權利將交易記錄泄露給第三方。而且值得一提的是,這并不是銀行第一次陷入隱私泄露風(fēng)波。

    前幾年,因下屬分行工作人員涉嫌泄露倒賣(mài)個(gè)人征信信息,銀行就曾被央行點(diǎn)名通報。

    根據公開(kāi)數據,央行2017年到2019年間針對征信違規的193期處罰里關(guān)于內部人員越權查詢(xún)個(gè)人或企業(yè)征信的處罰就有88起。

    因此,這次風(fēng)波很難說(shuō)是“個(gè)別員工”造就的意外。

    3、銀行個(gè)人信息管理中到底有哪些問(wèn)題

    首先,我們從各路媒體的公開(kāi)報道中可以知道,銀行支行員工是在支行行長(cháng)的授權下將池子的銀行流水打印出來(lái)提交給的。在這段信息里,我們可以提煉下有用的信息:池子的個(gè)人信息不屬于高級別權限,誰(shuí)都能看。換言之,這個(gè)行長(cháng)是有授權權限的。

    眾所周知,銀行也是要賺錢(qián)的,各大支行的業(yè)績(jì)壓力那是一點(diǎn)都不小,那么不可避免的,一家支行會(huì )對一家公司客戶(hù)存在多少依賴(lài),那么與分支業(yè)績(jì)相關(guān)的行長(cháng)很難不受到大客戶(hù)裹挾。這里隱藏的信息是:與第三方利益相關(guān)的人在參與授權,這其實(shí)是制度缺陷。

    另外,不論是該支行具體操作員工還是支行行長(cháng)對個(gè)人信息安全保護的意識顯然是不足的。

    這暴露出,銀行雖然有制度,但是依然存在很大的執行缺陷和管理漏洞。針對此點(diǎn),國際上有個(gè)標準(ISO/IEC 27701:2019隱私信息管理體系)就能夠有效進(jìn)行規避。該標準對 PII (個(gè)人可識別身份信息)提出專(zhuān)門(mén)的要求(例如:要求組織需要根據自身角色配置響應的PII管理專(zhuān)職人員;分別對PII控制者和處理者的評估增加了額外指導,包括收集和處理PII的條件等控制域)。

    4、如何通過(guò)標準化管理避免個(gè)人隱私管理違規

    去年以來(lái),監管部門(mén)密集出臺關(guān)于數據安全管理辦法、APP 違規收集使用個(gè)人信息行為認定方法等多項征求意見(jiàn)稿及草案??梢钥吹?,國家層面對個(gè)人信息數據管理的系統性整治規范是大勢所趨。眼下該股份行事件暴露出的流程漏洞,勢必將加速監管方面對金融機構個(gè)人信息安全的排查監管。各家銀行如何有效將鍋補上,規避未來(lái)發(fā)生此類(lèi)事件的風(fēng)險將成為今年銀行工作的重中之重。之前我們提到的ISO/IEC 27701隱私信息管理體系或許能夠給各方一點(diǎn)啟發(fā)。

    首先,我們都知道銀行由于其特殊性在信息安全方面的技術(shù)手段應該是最嚴、最高精尖的。這也是公眾對此次個(gè)人信息泄露表露強烈不滿(mǎn)的關(guān)鍵所在,強烈的反差反而突顯了個(gè)人信息安全保護漏洞的嚴重性。信息安全保護的技術(shù)性手段主要應用場(chǎng)景還是在外部攻擊,反而在內部管理上顯示出了脆弱性,因此,強大的內部管理機制才是解決這也是隱私泄露問(wèn)題頻發(fā)的關(guān)鍵所在。信息安全管理體系是國際通用的信息安全管理手段,管理體系持續改進(jìn)的管理方法能夠在問(wèn)題發(fā)生的初次就進(jìn)行有效的系統性修復,對制度本身進(jìn)行升級和優(yōu)化,有效規避風(fēng)險的再次發(fā)生。

    其次,統一的信息安全認識實(shí)現信息安全管理的全覆蓋。我們可以看到,無(wú)論什么樣的管理措施,關(guān)鍵的落腳點(diǎn)還是在人。針對不同層次、不同信息安全要求,銀行需積極開(kāi)展信息安全培訓教育,提升全行信息安全意識及專(zhuān)業(yè)技能,達到針對信息安全工作認識與分工的高度統一。
    如:針對管理層,重點(diǎn)加強信息安全理念、形勢、共識方面的教育培訓,確保領(lǐng)導層面對信息安全的持續重視與關(guān)注;針對所有的開(kāi)發(fā)人員和應用運維人員,開(kāi)展應用系統滲透測試,發(fā)現問(wèn)題并組織專(zhuān)題培訓,以提高開(kāi)發(fā)人員安全意識和安全技能;針對網(wǎng)點(diǎn)客服人員,開(kāi)展信息安全敏感性及制度落實(shí)培訓。

    結語(yǔ)

    銀行最核心的資產(chǎn)不是金融資本,而是金融消費者對于金融機構的信賴(lài)和信任。在當前的市場(chǎng)應用中,個(gè)人信息塑造了個(gè)人的虛擬形象,更有著(zhù)顯著(zhù)的財產(chǎn)和資源屬性,在個(gè)人隱私、財產(chǎn)利益、信息安全、經(jīng)濟發(fā)展等方面都產(chǎn)生了深刻影響,信息化發(fā)展越嚴重,對隱私安全的保護要求就會(huì )越高。大數據、云計算、人工智能等新技術(shù)不斷涌現的時(shí)代,充分利用新技術(shù),提高銀行業(yè)生產(chǎn)效率,既關(guān)系到客戶(hù)的切身利益和安全,也關(guān)系到銀行業(yè)的未來(lái)發(fā)展,而個(gè)人信息的有效保護和管理是所有前提。

     

    ISO/IEC 27701隱私信息管理體系

    ISO/IEC 27701最初開(kāi)發(fā)為ISO/IEC 27552,它為建立,實(shí)施,維護和持續改進(jìn)隱私信息安全管理體系(PIMS)提供了特定要求和指導,作為對ISO/IEC 27001中定義的靈活信息安全管理體系(ISMS)的擴展。除了信息安全之外,還應考慮到處理PII所需的隱私保護。像ISO/IEC 27001認證標準一樣,ISO/IEC 27701認證并不希望組織在所有情況下都采用每種控件。相反,它要求組織了解處理PII的特定上下文,并以適合其處理活動(dòng)的方式調整特定的控件集以及這些控件的相關(guān)實(shí)現。

    簡(jiǎn)而言之,ISO/IEC 27701認證是ISO/IEC 27001認證的增強擴展。該標準可以提供通用數據保護法規(GDPR)要求的數據隱私和信息安全標準。為了有效地管理隱私,它包含用于個(gè)人身份信息(PII)處理器和控制器的結構。實(shí)施ISO/IEC 27701將創(chuàng )建一個(gè)隱私信息安全管理體系,簡(jiǎn)稱(chēng)PIMS。

    ISO/IEC 27701 隱私信息管理體系的作用:

    盡管符合ISO27701/IEC 的PIMS對于具有數據保護義務(wù)的任何組織都可能是有價(jià)值的,但對于在國際上運營(yíng),與其他司法管轄區的客戶(hù)合作或在國際供應鏈中運營(yíng)的組織而言,它可能特別有意義。這些組織通常需要遵守各種隱私法規和法律,而ISO/IEC 27701的方法可以使這一挑戰更容易解決。

    該框架可以幫助組織適當地解決其信息安全和隱私風(fēng)險,并可以減少花在客戶(hù)要求的和合同要求的審核上的時(shí)間。

    用ISO/IEC 27701擴展符合ISO/IEC 27001的ISMS可以提供證據,表明該組織已采取措施實(shí)施“適當的技術(shù)和組織措施”,以降低風(fēng)險并保護個(gè)人數據,這是全球范圍內越來(lái)越多的隱私法所要求的。

    通過(guò)將PIMS實(shí)施為現有的符合ISO/IEC 27001的ISMS的擴展,組織可以系統地收集和處理數據(包括個(gè)人數據),管理與信息的機密性,完整性和可用性有關(guān)的風(fēng)險,并應對不斷發(fā)展的變化對該數據及其隱私的威脅和風(fēng)險。

    隱私信息管理系統還允許組織通過(guò)不斷適應環(huán)境和組織內部的變化來(lái)降低與隱私和信息安全相關(guān)的成本,從而顯著(zhù)提高其抵御網(wǎng)絡(luò )攻擊的能力。

    新世紀檢驗認證有限責任公司
    電話(huà):400-016-9000
    郵箱:post@bcc.com.cn

    聯(lián)系地址:北京市東城區廣渠門(mén)內大街45號D座5層

    聯(lián)系我們

    想咨詢(xún)更多認證服務(wù),請您填寫(xiě)下面表格,我們將在工作時(shí)間內回電!
    填寫(xiě)并發(fā)送此表單即表示您已閱讀我們的免責聲明,Cookie政策和隱私聲明。
    免费网站色 , 国产成人一区免费观看 , 香蕉视频黄在线观看 , 在线观看一区二区精品视频
    <blockquote id="wwqia"><table id="wwqia"></table></blockquote>
  • <xmp id="wwqia"><optgroup id="wwqia"></optgroup>
  • <menu id="wwqia"><xmp id="wwqia">
  • <menu id="wwqia"><menu id="wwqia"></menu></menu>