個人資訊保護法生效，企業資料安全合規正當時

2021年11月1日，《個人資訊保護法》（簡稱“個保法”）正式施行。這是首部專門針對個人資訊保護的綜合性法律，它全面規定了個人資訊的保護範圍，是現行資料保護框架下更具系統性、針對性、可行性與體系化的個人資訊保護法，對個人權益以及企業行為規範都將產生重大影響。

在違法違規的處罰力度上，不僅對公司進行處罰還對直接負責人的主管人員和其他直接負責人進行處罰，情節嚴重的，沒收違法所得，並處五千萬元以下或者上一年度營業額百分之五以下罰款，並可責令停業整頓、吊銷業務許可證或營業執照，相關責任人則處十萬元以上一百萬元以下罰款，並禁止擔任相關企業高階職稱或負責人。可以看出，這樣的處罰力度可謂空前嚴厲，數字經濟發展到今日，資料已成為推動未來數字經濟高質量發展的重要生產要素，國家必定對社會中疑存的資訊保安問題採取行動。

當然，《個保法》的出現並不是個例，隨之還有《國家安全法》、《網路安全法》、《資料安全法》、《網路安全審查辦法》等資訊保安、資料安全領域法律法規等等，這些針對資料處理規則與資料規範的法律正在構築成一幅宏大而完整的版圖，在前是國家對根除資訊保安、資料安全問題的決心，在後企業也需要關注另一個資料問題：資料洩露。

在過去的2020年，國內外資料洩露事件層出不窮，嚴重影響社會秩序和經濟正常發展。對個人而言隱私被曝光，招致騷擾和詐騙；對於企業而言，商業機密被勒索、竊取，造成重大經濟和名譽損失：

2020年1月底，某化妝品巨頭將一個缺乏保護措施的資料庫暴露在網際網路上，其中儲存了4.4億條記錄，其中包含大量的審計日誌和電子郵件地址；

2020年2月，以色列總理領導的某集團開發的選舉應用程式因洩露配置資料，可能潛在地暴露並損害了近640萬以色列公民的個人資料；

2020年4月，浙江岱山某銀行違規洩露使用者資訊，被罰款30萬元，對洩露使用者資訊負有主要責任的該銀行員工被禁業3年；

2020年5月，江蘇淮安警方破獲一起販賣公民個人資訊案，某銀行員工以每條80-100元的價格將客戶資訊售賣，涉及個人資訊50000多條。

在眾多的資料洩露事件之中，這些僅是冰山一角，持續不斷的資料洩露事件也勢必會引起國家的注意，並透過完善法律法規加強管控，而早在2019年12月1日，網路安全等級保護制度（等保2.0）便已實施，過等保不僅是企業“安全預防做得是否到位”的內在要求和衡量指標，還成為了企業在法律層面上的外部要求，是眾多企業資訊保安管理的“必過標杆”。

為什麼這麼說呢？透過研究大量的資料洩露事件，不難看出其誘因大多是由內部濫用或惡意洩密造成，現階段內部洩密逐漸超過駭客攻擊、撞庫等外部進攻手段成為資料洩露的主要途徑，這反映出企業長期忽略了對於內部資料管控和許可權追蹤的工作。

來自另一統計機構的資料，70%的資料洩露導致的資訊保安事故又是由企業內部運維管理不善導致，做好企業的資料安全防護工作，不僅要杜絕外部非法入侵，更要防微杜漸，重視日常運維管控工作，從企業管理的角度出發，在技術層面上加強運維裝置防護、強化運維人員監管才是防範企業資訊洩露事件發生的根本舉措。

在產品選擇上，作為伺服器看門人的角色，堡壘機可為企業提供 “事前授權、事中監管、事後審計”的運維安全合規審計能力，有效解決IT運維過程中安全、可控與合規的問題，內控運維操作不當，有效規避資料洩露事件的發生。其中，堡壘機也是國家《資訊保安等級保護測評2.0》法規中所要求的一部分，也還是企業透過等保測評的重要組成部分。

作為業界領先的多雲管理平臺，行雲管家雲管平臺內建了雲堡壘機功能模組，支援多雲、混合雲的IT異構網路環境，以SaaS形態為客戶提供服務，一鍵安裝，免硬體投入，並符合政府相關部門制定的等保法規中對於安全運維產品的相關資質要求，全面滿足等保2.0評測合規性要求，還透過公安部嚴格測試獲《計算機資訊系統安全專用產品銷售許可證》，為使用者提供合規賬號管理體系、身份認證機制、資源授權模型、安全運維審計等功能。

行雲管家現已成功服務包括政府、金融、證券、電信、教育、醫療、交通、製造業、網際網路等行業在內的10萬家企業級使用者。

隨著個人資訊保護法的生效，國家在資料安全監管方面的決心日益凸顯，企業資料安全合規工作的開展正當時，對於相關工作的開展《資訊保安等級保護測評2.0》中便給出了指示：企業需要按照定級備案、加固整改、等級保護測評的流程來落實等保工作，從管理方面和技術方面落實企業內部資訊系統安全建設，如管理上落實安全崗位和人員、確定安全管理策略和制度，技術上進行資訊系統加固、網路架構升級、部署堡壘機等安全產品等。

因此，在全民強調資料安全的時代，企業過等保是提升自身資訊保安系統安全等級的必然選項，過等保選對堡壘機則是關鍵，行雲管家雲堡壘機值得實踐。