序言
数据的激增与对技术的日益依赖,虽为创新与效率创造了前所未有的机遇,却也催生了重大安全隐患,其中最突出的便是数据泄露风险的持续攀升。如今,各行业组织都肩负着海量敏感信息的保管责任,涵盖个人数据与商业机密。随着网络犯罪手段日益复杂,未经授权的访问或窃取行为已呈爆发式增长。
数据泄露的后果可能极其严重,不仅会影响组织的财务状况,更会损害其声誉及利益相关方的信任。此外,监管机构正对数据保护不力实施更严格的要求和更严厉的处罚。
鉴于此,新加坡网络安全局(“CSA”)发布了保护个人和组织免受数据泄露的建议,就数据泄露的常见原因、预防措施以及应对方案提供了指导。其中《保护组织免受数据泄露》咨询(“组织咨询”)重点阐述了机构应采取的网络安全措施以保障基础设施与系统安全,并就制定数据泄露应对计划提供了具体指南。
数据泄露管理既涉及技术层面,亦关乎法律问题,需同时理解两者及其相互作用。凭借融合法治与科技的独特专长,立杰律师事务所提供全方位风险管理解决方案,涵盖数据泄露预防咨询及应对计划制定服务。有意强化数据安全框架的机构欢迎随时联系本团队。
本法律动态重点梳理了CSA《组织咨询》中的关键措施。
《组织咨询》– 关键措施
网络安全措施
《组织咨询》列出了建议组织采取的网络安全措施,以保护其基础设施和系统的安全,包括:
- 定期更新系统、软件和应用程序,修复已知漏洞。
- 定期执行防病毒扫描,并保持防病毒软件更新。
- 定期审查用户账户,注销不再需要的账户。
- 为网络基础设施设备、终端设备及其他远程访问系统安装并使用虚拟专用网络(VPN)。
- 对重要或敏感数据进行加密。
- 限制授权人员的特权访问,尤其是敏感系统的访问权限。
- 通过黑名单或白名单等方式限制互联网访问权限。
- 审查并仅启用必需的网络端口与服务。
- 考虑建立监控系统或流程,追踪:(i) 远程服务和可疑帐户行为的身份验证日志;(ii) 数据库中的异常活动;(iii) 涉及未授权通信或数据传输的出站网络流量。
- 保持所有重要数据的最新备份,以便在遭遇勒索软件攻击或数据泄露导致数据丢失时进行恢复。
- 对员工开展安全意识培训。
组织还应制定符合公司实际情况的数据安全计划,明确敏感公司数据的使用规范以及不再需要的数据销毁流程。
针对拥有在线业务的组织,《组织咨询》提出以下额外建议措施:
- 尽可能避免收集和存储个人身份信息(“PII”)。如确有必要,应在将数据保存至数据库前对PII进行加密处理。
- 使用安全支付网关避免在网站存储信用卡信息。必要时,组织应遵循PCI数据安全标准等规范。
- 强制要求客户为在线账户设置强密码,并在登录流程中实施多因素身份认证。
- 在Web服务器安装传输层安全(TLS)证书,确保浏览器与服务器间传输数据的安全防护。
- 部署Web应用防火墙及安全插件,拦截未经授权的流量和恶意请求访问网络或系统。
- 在部署Web服务器之前和之后定期开展代码审查与漏洞评估。
数据泄露应对计划
组织应制定数据泄露应急应对计划,涵盖发现数据泄露时需采取的行政措施及遏制/恢复措施。《组织咨询》就此类数据泄露应对计划的架构提供了以下建议:
- 行政措施
- 如果怀疑存在犯罪活动,应向警方报案。
- 如果认为个人身份信息(PII)遭泄露,须向个人数据保护委员会报告此事件。
- 联系受影响客户并采取措施保障其账户安全。
- 制定危机沟通计划,说明公司如何处理数据泄露事件。
- 遏制/恢复措施
- 开展内部调查,确定数据泄露原因。
- 通过断开所有受影响系统连接,将泄露系统与互联网或网络隔离。
- 阻止系统遭受进一步未经授权的访问。禁用或重置遭泄露的用户账户密码,并隔离系统内数据泄露的根源。
- 执行病毒扫描以检测并清除恶意软件,同时为所有系统和软件安装补丁。
- 持续监控数据库及系统,防范任何可疑活动。
结语
无论是组织还是个人,确保所持有的数据安全都至关重要。这不仅是为了防范数据被盗和滥用,对于组织而言,更是为了确保符合数据保护法规的要求。
寻求数据泄露处理咨询的组织可联系我们的团队。该团队由新加坡立杰律师事务所与立杰网络安全的多学科专家组成,可为贵组织提供全面的数据泄露风险评估及应对建议。企业还可就数据泄露应急应对计划的制定与实施向我们咨询,——此类应对计划不仅是咨询中强烈建议的措施,更是新加坡数据保护义务的重要组成部分。
更多详情,请参阅以下链接:
Disclaimer
Rajah & Tann Asia is a network of member firms with local legal practices in Cambodia, Indonesia, Lao PDR, Malaysia, Myanmar, the Philippines, Singapore, Thailand and Vietnam. Our Asian network also includes our regional office in China as well as regional desks focused on Brunei, Japan and South Asia. Member firms are independently constituted and regulated in accordance with relevant local requirements.
The contents of this publication are owned by Rajah & Tann Asia together with each of its member firms and are subject to all relevant protection (including but not limited to copyright protection) under the laws of each of the countries where the member firm operates and, through international treaties, other countries. No part of this publication may be reproduced, licensed, sold, published, transmitted, modified, adapted, publicly displayed, broadcast (including storage in any medium by electronic means whether or not transiently for any purpose save as permitted herein) without the prior written permission of Rajah & Tann Asia or its respective member firms.
Please note also that whilst the information in this publication is correct to the best of our knowledge and belief at the time of writing, it is only intended to provide a general guide to the subject matter and should not be treated as legal advice or a substitute for specific professional advice for any particular course of action as such information may not suit your specific business and operational requirements. You should seek legal advice for your specific situation. In addition, the information in this publication does not create any relationship, whether legally binding or otherwise. Rajah & Tann Asia and its member firms do not accept, and fully disclaim, responsibility for any loss or damage which may result from accessing or relying on the information in this publication.
