《网络安全标准实践指南—敏感个人信息识别指南》公开征求意见

　　1、《网络安全标准实践指南—敏感个人信息识别指南（征求意见稿）》发布并公开征求意见

　　为指导个人信息处理者识别敏感个人信息，规范敏感个人信息处理、出境和保护活动，近日，全国网络安全标准化技术委员会秘书处组织编制并印发了《网络安全标准实践指南——敏感个人信息识别指南（征求意见稿）》。现面向社会公开征求意见。

　　《指南》依据《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规，参照正在制定的敏感个人信息处理安全要求国家标准制定。提出了敏感个人信息识别方法，给出了常见敏感个人信息类别和示例，可用于指导各组织识别敏感个人信息范围，也可为敏感个人信息处理、出境和保护工作提供参考。

　　2、全国网络安全标准化技术委员会2024年第一次“标准周”全体会议在南昌召开

　　近日，全国网络安全标准化技术委员会（以下简称“网安标委”）2024年第一次“标准周”全体会议在江西南昌顺利召开。

　　会议强调，为贯彻落实中央网络安全和信息化工作会议关于构建大网络安全工作格局的要求，在全国信息安全标准化技术委员会基础上组建网安标委，完善委员会组织架构，优化工作组设置。新形势下网络安全标准化工作一是要构建适应大网络安全工作格局的工作机制，加强标准与政策法规的配套支撑，统筹做好相关行业、团体标准与国家标准的协调和衔接。二是为构建国家网络安全防御体系提供标准支撑，持续推进关键信息基础设施安全、网络安全产品互联互通等重点主题标准研制和标准体系建设。三是通过标准规范引导人工智能等新技术新应用，推动中国标准实践转化为国际标准，加强区块链、量子通信技术创新融合应用和标准前瞻研究，提升利用新技术保障网络安全的能力。

　　“标准周”期间，7个工作组讨论了46项新立项标准项目、推进50余项在研网络安全国家标准制修订项目、研讨完善各工作组技术领域标准体系等；同期，组织召开关键信息基础设施安全、人工智能安全、数据安全、网络安全人才、智能终端设备安全共5场技术主题研讨会，以及国家标准基础知识培训会和国际标准化规则培训会。

　　近日，全国网络安全标准化技术委员会数据安全标准工作组正式发布《消费类可穿戴智能设备数据安全标准化白皮书》。

　　白皮书核心观点：聚焦于消费类可穿戴智能设备带来的数据安全与隐私保护挑战。由于设备与人体紧密接触，所收集的生理、行为数据极度敏感且直接关联个人身份，一旦数据处理活动中出现泄露或滥用，将严重威胁用户隐私和企业信誉，阻碍整个行业的健康发展。因此，白皮书系统分析了该领域的发展现状、安全风险和挑战，以及标准化工作的现状，并提出相应的标准化工作建议，旨在为消费类可穿戴智能设备数据安全提供指导框架，促进产业的规范化和可持续发展。

　　白皮书第 3 章分析了消费类可穿戴智能设备数据安全对个人、产业和社会的重要意义，梳理了数据安全的责任主体，从数据处理活动出发总结了数据安全风险，分析了目前数据安全面临的挑战，从数据安全管理、数据处理安全两个维度构建了安全框架。

　　第 4章梳理了国内外与消费类可穿戴智能设备数据安全相关的法规政策和标准化现状分析了标准适用情况，并简要介绍了监管情况。

　　白皮书附录，补充了消费类可穿戴智能设备基本架构、数据安全实践案例、典型数据安全标准化需求。

　　消费类可穿戴智能设备数据安全关乎个人隐私、财产安全、商业秘密乃至国家安全，其重要性不言而喻。从个体层面到社会层面，从应用层面到战略层面，数据安全都发挥着不可替代的基础性作用。本白皮书致力于为消费类可穿戴智能设备产业的健康发展提供参考，为用户的数据安全和隐私保护提供指引，推动消费类可穿戴智能设备在各领域的创新应用。

　　为充分发挥数据资产价值作用，推动北京数据要素市场高质量发展，近日，北京市财政局转发了《财政部关于印发〈关于加强数据资产管理的指导意见〉的通知》和《财政部关于加强行政事业单位数据资产管理的通知》。同时还提出了提高政治站位，充分认识加强数据资产管理的重要意义。夯实各方责任，确保数据资产管理全过程的安全合规。坚持稳妥有序，积极探索数据资产化管理的有效路径。鼓励先行先试，稳步推动数据资产的开发利用等要求。

　　麻将胡了最新官方版下载

　　《通知》致力于贯彻落实《中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》,加强行政事业单位数据资产管理，充分发挥数据资产价值作用，保障数据资产安全，更好地服务与保障单位履职和事业发展。

　　《通知》强调，要严格防控风险，确保数据安全。各部门及其所属单位要认真贯彻总体国家安全观，严格遵守《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律制度规定，落实网络安全等级保护制度，建立数据资产安全管理制度和监测预警、应急处置机制，推进数据资产分类分级管理，把安全贯穿数据资产全生命周期管理，有效防范和化解各类数据资产安全风险，切实筑牢数据资产安全保障防线、江西省工业领域数据安全能力提升实施方案（2024-2026年）印发

　　为贯彻落实工业和信息化部《工业领域数据安全能力提升实施方案(2024-2026)》，提升省工业领域数据安全防护能力，筑牢制造业重点产业链现代化建设“1269”行动计划安全屏障。近日，江西省工业和信息化厅制定并印发了《江西省工业领域数据安全能力提升实施方案(2024-2026年)》。

　　《方案》致力于全面提升工业领域数据安全保障水平，筑牢安全屏障，为深入实施江西省制造业重点产业链现代化建设“1269”行动计划提供坚实支撑。到2026年，全省工业领域数据安全保障体系基本建立。工业企业数据安全保护意识和防护能力明显提升。全省工业领域数据安全管理工作机制、监管队伍和监测技术手段更加健全，数据安全技术、产品、服务和人才等产业支撑能力稳步提升。全省制造业重点产业链规上企业数据安全政策宣贯实现全覆盖，完成数据安全培训超1000人次。接入省工业数据安全监测平台的重点企业数量大幅增长，开展数据安全分类分级防护的工业企业超1000家，重点行业年营收在排名前10%的规上工业企业均完成。遴选一批工业领域数据安全示范企业、优秀产品和典型解决方案。

　　《方案》要求：加强数据安全政策宣贯。开展数据安全业务培训，强化数据分类分级管理，强化重点企业数据安全管理，强化“以技管数”能力，强化风险监测与信息报送，强化风险防控与应急处置，强化数据安全监督执法和一系列保障措施。同时，加强统筹协调。在省数据安全工作协调机制的统一领导下，加强与有关部门的工作协同。构建省、市、县三级各负其责、紧密配合、运转高效的工业领域数据安全联防联控管理机制，加强统筹协调，强化省市联动、政企协同，形成工作合力。鼓励将工业领域数据安全工作纳入地方工业领域数字化转型发展相关规划，在支持数字化、网络化、智能化等项目时，同步明确数据安全要求。鼓励重点行业企业加大数据安全投入，推动数据安全技术、产品和服务部署应用。

　　安徽一单位遭入侵3.54亿条个人信息被盗“我单位已对外网服务器相关网络安全软硬件全部进行了更新，并对管理维护人员进行了培训，网络安全漏洞全部消除。”近日，安徽省某单位就落实合肥市庐阳区检察院制发的检察建议情况向该院作出回复。这份检察建议，源于该院在办理一起侵犯公民个人信息案中延伸出来的“后半篇文章”。

　　2023年6月29日，安徽省某单位信息中心向公安机关报案，称单位的一台服务器被攻击了。公安机关于当日立案，经多方侦查，成功将实施网络攻击的源头锁定。同年7月27日，公安机关在陕西省宝鸡市将犯罪嫌疑人丘某抓获归案。丘某到案后如实供述犯罪事实。

　　该案被移送庐阳区检察院审查起诉后，承办检察官经审查发现，丘某的作案手段非常隐蔽，其以自己的电脑为网络攻击发起点，利用黑客工具在互联网上全网扫描存在漏洞的服务器，而后利用被控制的服务器搭建了5层“跳板”。经过一段时间的“潜伏”后，他对目标服务器实施攻击，窃取数据库内的公民个人信息，并导出数据文件保存在其个人的计算机上。经查，丘某非法获取包含姓名、身份证号、联系电话、不动产信息等内容的公民个人信息3.54亿余条。值得庆幸的是，丘某还没来得及出售这些个人信息，就被抓获归案了。

　　审查起诉期间，丘某自愿认罪认罚，并在值班律师的见证下签署了认罪认罚具结书。经庐阳区检察院提起公诉，日前，法院以侵犯公民个人信息罪判处被告人丘某有期徒刑四年六个月，并处罚金2万元。

　　办案过程中，承办检察官发现，有将近20台服务器曾被丘某利用黑客技术入侵，但及时发现并报案的仅有一家单位。经进一步分析，检察官了解到被入侵的服务器存在防火墙过期、采用弱口令、未定期修改登录密码、疏于对外包服务单位管理等情况，给不法分子实施网络攻击留下了可乘之机。

　　对此，庐阳区检察院一方面联合公安机关向被入侵的服务器所属单位通报情况、督促整改；另一方面依法向辖区被攻击单位制发检察建议，从强化网络安全意识、加强人员培训、及时更新网络安全软硬件等多个方面提出整改建议。目前，相关单位的整改工作正在稳步推进中。

　　云存储巨头Snowflake被黑，165家知名企业遭殃近日，云存储巨头Snowflake的大量客户实例遭黑客攻击，导致全球超过165家知名企业发生大规模数据泄露，甚至包括Cylance这样的网络安全巨头也不能幸免。

　　据调查，一名名为“whitewarlock”的用户在一个俄语网络犯罪论坛上发布了据称是来自桑坦德集团的3000万客户数据。Mandiant报告称，5月14日，“某些涉及智利、西班牙和乌拉圭桑坦德客户的信息，以及该集团所有在职和离职员工的信息被访问。”票务巨头Ticketmaster的母公司Live NationEntertainment在向美国证券交易委员会（SEC）提交的文件中表示，5月20日，注意到第三方云数据库环境中的“未经授权的活动”。与此同时，数据泄露论坛（BreachForums）出现大量Snowflake客户的泄露数据销售帖子，包括Ticketmaster的5.6亿用户数据（于6月9日下线，原因尚不清楚。）甚至网络安全公司Cylance也称了Snowflake攻击的受害者，一个名为Sp1d3r的黑客正以75万美元的价格出售这些Cylance的被盗数据，据称包括3400万封客户和员工电子邮件以及Cylance客户、合作伙伴和员工的个人身份信息。

　　过去两年中，数据泄露论坛BreachForums曾两次被FBI和其他国际执法机构突击查封（最近一次是5月15日），但每次被查封后仅数日，该论坛便由高级职员或其他核心用户重新恢复上线。

　　调查报告指出，信息窃取恶意软件的威胁正日益严峻，这种恶意软件能够从浏览器或受感染的网站收集凭据和其他数据。

　　信息窃取软件如今已经在互联网上泛滥，主要变种包括VIDAR、RISEPRO、REDLINE、RACOONSTEALER、LUMMA和METASTEALER等，导致数以千万计的用户账户信息泄露。信息窃取恶意软件会收集大量账户凭据后将其打包成“日志”出售，广泛用于各种网络犯罪活动。信息窃取恶意软件有时会藏身在企业或个人设备上的木马化软件中。在几起与Snowflake相关的调查中，Mandiant观察到，信息窃取恶意软件的初始感染发生在也用于个人活动（包括游戏和下载盗版软件）的承包商系统上。

　　更糟糕的是，信息窃取恶意软件窃取的历史凭证仍然有效，在某些情况下，被盗多年后仍有效，并且没有被轮换或更新。发动Snowflake攻击的黑客早在2020年就利用信息窃取恶意软件感染中窃取的客户凭证访问过Snowflake客户帐户。

　　海口等全国7个城市承担数据标注基地建设任务近日，国家数据局发布了承担数据标注基地建设任务的城市名单，四川成都、辽宁沈阳、安徽合肥、湖南长沙、海南海口、河北保定、山西大同等7个城市承接了数据标注基地建设任务书。

　　数据标注在推动数据资源汇聚、提升数据质量、盘活数据要素价值中发挥着重要作用。为加强数据标注基地的统筹规划，促进全国范围数据标注基地合理布局、有序发展，国家数据局从产业基础、人力资源优势、数字经济发展潜力、区域协调发展等方面认真研究布局，确定了承担数据标注基地建设任务的省份，并由这些省份推荐，明确了所在省份承担数据标注基地建设任务的城市。

　　据介绍，下一步，国家数据局将从技术创新、行业赋能、生态培育、标准应用、人才就业、数据安全等六个方面推进数据标注基地建设，为全国数据产业发展创造经验，推动高质量发展。

　　北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

　　数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。