“情話多說一點 想我就多看一眼 表現(xiàn)多一點點 讓我能真的看見......”小李的手機鈴聲突然響起，原來小李也是心凌男孩。

　　“喂，您好，有什么事？”小李接起電話說道，對面卻毫無聲音，只聽見嗡嗡作響。小李掛斷后，看了下來電顯示，心里不禁疑惑，這泰國打來的，誰呀這是，我又沒出過境，怎么最近這么多的境外電話，難不成我信息被泄露了，可又是怎么泄露的......

　　7月26日，廣州市公安局通報廣州一家技術公司在開發(fā)一款App系統(tǒng)后，因未履行數(shù)據(jù)安全保護義務，導致該系統(tǒng)安全漏洞被不法分子利用，1000余萬條公民個人信息面臨泄露風險，被警方行政立案，罰款5萬元。看著上面的通報，不禁陷入沉思——對于“注冊賬號-同意隱私”，不過是早已習以為常的事情，而今卻要承擔信息泄露的風險。

　　然而除了我們日常生活在使用的APP外，更應注意到，我們作為“打工人”，還身處于另一“籠”中——用人單位，這也是大家常常忽略的信息場景。用人單位作為密集收集、使用、處理個人信息的主體，日常的人力資源管理工作流程就涵蓋了個人信息的整個生命周期。從入職簽合同到考勤發(fā)工資等階段，在人力系統(tǒng)或APP上都需要收集大量個人信息，各環(huán)節(jié)也會不斷產(chǎn)生個人隱私數(shù)據(jù)，數(shù)據(jù)傳輸、數(shù)據(jù)緩存、日志打印、結果存儲等都存在泄露風險。

　　因此不論是在生活還是工作的場景之下，守護個人數(shù)據(jù)與信息安全，企業(yè)都應首當其沖。

　　合法合規(guī) 盡應盡之義務

　　當前，以數(shù)字經(jīng)濟為代表的新經(jīng)濟成為經(jīng)濟增長新引擎，數(shù)據(jù)作為核心生產(chǎn)要素成為了基礎戰(zhàn)略資源，數(shù)據(jù)安全的基礎保障作用也日益凸顯。伴隨而來的數(shù)據(jù)安全風險與日俱增，數(shù)據(jù)泄露、數(shù)據(jù)濫用等安全事件頻發(fā)，為個人隱私、企業(yè)商業(yè)秘密、甚至是國家重要數(shù)據(jù)等帶來了嚴重的安全隱患。

　　國家因此對數(shù)據(jù)安全與個人信息保護進行了前瞻性戰(zhàn)略部署，開展了系統(tǒng)性的頂層設計，不斷加強對網(wǎng)絡安全、數(shù)據(jù)安全、個人信息的保護力度。近年來，先后頒布了《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》、《關鍵信息基礎設施安全保護條例》、《網(wǎng)絡安全審查辦法》、《數(shù)據(jù)出境安全評估辦法》等法律法規(guī)，進一步提高并細化了對于個人信息收集和使用的合規(guī)要求，意味著我國個人信息處理正式進入“有法可依、違規(guī)必查”的新時代。

　　而關于“數(shù)據(jù)”和“信息”之間關系的理解，一般認為“信息”是屬于“數(shù)據(jù)”的子概念，“信息”是從采集的“數(shù)據(jù)”中提取的有用內容。因此《數(shù)據(jù)安全法》中的數(shù)據(jù)處理者在處理個人信息時，也是《個人信息保護法》中的個人信息處理者。所以不管是面向大眾的APP研發(fā)還是公司內部的HR系統(tǒng)，相關企業(yè)除需遵守《數(shù)據(jù)安全法》，還必須遵守《個人信息保護法》，盡應盡之義務，切實保護個人數(shù)據(jù)與信息安全。

　　技術提升 數(shù)據(jù)安全新框架

　　守護個人數(shù)據(jù)與信息安全，最關鍵的還是需要技術不斷提升。從技術層面看，個人信息往往以結構化數(shù)據(jù)或非結構化數(shù)據(jù)形式存在，保護個人信息和保護數(shù)據(jù)的防護手段，二者是高度通用的，經(jīng)典的網(wǎng)絡安全框架 ATT&CK便是防護的核心技術。該框架模型根據(jù)實際觀測數(shù)據(jù)對對抗行為進行描述和分類，將已知的攻擊行為轉化為結構化列表，并將這些已知行為歸納為戰(zhàn)術和技術，并通過若干矩陣和結構化威脅信息表達(STIX)、指標信息的可信自動化交換（TAXII）來表述。

　　近年來，隨著網(wǎng)絡安全的重要地位逐漸顯現(xiàn)，ATT&CK框架在安全行業(yè)中也廣為人知。簡而言之，ATT&CK提供的是“對抗戰(zhàn)術、技術和常識”框架，它就像一個攻擊者在攻擊企業(yè)時使用過的網(wǎng)絡攻擊兵器譜，總計包含12種戰(zhàn)術和244種企業(yè)技術，覆蓋了絕大多數(shù)網(wǎng)絡攻擊手段，使安全運營不僅知己而且知彼。但另一方面，ATT&CK建立的是一份用于網(wǎng)絡攻擊的對抗策略和技術的詳盡清單，那對于未知行為能否有效未雨綢繆，提前布防呢？

（圖片來源：ATT&CK官網(wǎng)-12項戰(zhàn)術與案例）

　　進入數(shù)據(jù)時代，側重攻防對抗的 ATT&CK 框架，難以覆蓋“主動式保護數(shù)據(jù)” 的各種技術手段。在《2021 數(shù)據(jù)安全與個人信息保護技術白皮書》中，其提出了新的數(shù)據(jù)安全技術框架 DTTACK（Data-centric Tactics, Techniques And Common Knowledge，以數(shù)據(jù)為中心的戰(zhàn)術、技術和通用知識），覆蓋數(shù)據(jù)全生命周期（收集、 存儲、使用、加工、傳輸、提供、公開等）的安全防護，以期結合兩大框架實現(xiàn)“攻防兼?zhèn)�、網(wǎng)數(shù)一體”。

　　如果說ATT&CK的出現(xiàn)，是讓攻擊手法擁有通用語言，那么DTTACK的誕生便是對數(shù)據(jù)本身進行主動式防護，為防護模式打造了通用技術庫，實現(xiàn)網(wǎng)絡安全“事前、事中、事后”的全過程覆蓋，可以主動識別、預防、發(fā)現(xiàn)、響應安全風險。

　　在技術的不斷提升并付諸實踐下，企業(yè)便更能切實守護個人數(shù)據(jù)與信息安全。

　　安全賦能 金蝶云·星瀚人力云一馬當先

　　作為我們大眾經(jīng)常忽略或接觸不到的人力系統(tǒng)，各家企業(yè)卻不得不引起重視。此外，隨著企業(yè)出海全球用工，如何不觸碰各國標準不一的隱私保護法律紅線，已成為企業(yè)管理者們重要且棘手的問題。美國更是針對個人隱私泄露涉事企業(yè)直接開出50億美金的天價罰單，創(chuàng)下美國聯(lián)邦貿(mào)易委員會（FTC）的罰款紀錄！在全球化時代，企業(yè)HR系統(tǒng)面臨著“內憂外患”的局面，稍有不慎，便是罰單，那應當如何破局，切實守護個人數(shù)據(jù)與信息安全？

　　就像某超大型全球化企業(yè)，業(yè)務遍及全球180+個國家，用有數(shù)十萬員工。近年來因為內外部戰(zhàn)略環(huán)境發(fā)生重大變化，未來業(yè)務的不確定性增加，公司面臨轉型壓力。為了應對挑戰(zhàn)，當前的人力資源管理體系亟需變革。金蝶云·星瀚人力云便結合該集團業(yè)務現(xiàn)狀及戰(zhàn)略方向，面向不同用戶提供差異化價值服務、從內部管控到場景化服務、統(tǒng)一人力資源數(shù)字化運營平臺，重塑人力資源管理，助力其全方位數(shù)字化轉型。

　　而在各國不同個人隱私保護法律法規(guī)框架下，不同人群的數(shù)據(jù)留存期存在差異。留存期限到期后，需對個人數(shù)據(jù)做匿名化處理，以滿足數(shù)據(jù)主體權力訴求。金蝶云·星瀚人力云可按字段自定義設置匿名化規(guī)則、對數(shù)據(jù)主體角色基于不同隱私法域進行分類、以及按法域要求配置數(shù)據(jù)留存期，并按期進行匿名化、假名化處理，為該企業(yè)在全球化旅途上切實守護全球員工的數(shù)據(jù)與信息安全。

　　在數(shù)據(jù)顯示和存儲方面，針對他人偷窺、泄露隱私的風險，以及個別運維和開發(fā)人員違規(guī)導出個人數(shù)據(jù)的風險，金蝶云·星瀚人力云提供個人信息數(shù)據(jù)庫加密的功能并進行頁面級個人信息脫敏，嚴格控制敏感信息訪問權限；同時在用戶自助服務端，進行個人信息脫敏防偷窺，多措并舉，全方位進行個人數(shù)據(jù)與信息保護。

　　除此之外，金蝶還吸收了與上述超大型全球化企業(yè)合作項目中的豐富場景與領先實踐，創(chuàng)新各項安全技術，并結合其二十多年的HR數(shù)字化產(chǎn)品經(jīng)驗，在隱私聲明簽署、個人敏感信息脫敏顯示、數(shù)據(jù)存儲加解密、以及數(shù)據(jù)使用安全管控等各環(huán)節(jié)，為個人數(shù)據(jù)與信息安全保駕護航，充分解決企業(yè)HR系統(tǒng)安全方面的后顧之憂，助力開啟HR管理新世界！

   【免責聲明】本文僅代表第三方觀點，不代表和訊網(wǎng)立場。投資者據(jù)此操作，風險請自擔。