技术人员对数据库进行重大操作(如服务器登陆、访问提取敏感数据、删改数据库等),须经公司核心管理团队审批(身份认证/授权与访问控制),初级的安全保护措施可以是一次一密认证、多重签名、动态口令(如手机验证码)等。
1、一些互联网公司的创始人属于业务出身,不懂技术,对数据安全缺乏保护意识。在日常业务运作过程中,往往使用非实名账号、通用口令和弱口令等。
2、公司创业前期的所有软硬件都是由技术合伙人/技术主管负责搭建,代码都是他们一行行敲出来的,创始人对系统缺乏掌控与维护能力。
3、公司网络业务跑起来了,创始人想对技术合伙人/技术主管收回相关账户权限时,往往抹不开面子,怕影响合伙人情绪与团结。
无论是《网络安全法》,还是《刑法》里的“拒不履行信息网络安全管理义务罪”、“侵犯公民个人信息罪”等,直接负责的主管人员和其他直接责任人员,都将承担相应的法律责任( 说白话,就是创始人和技术主管,一个都跑不了 )。
事后追究技术的刑事责任或民事赔偿责任,都远不能弥补公司因服务器被关闭、数据被删库、账号泄漏等所产生的业务停摆、数据泄露、商誉损失等重大恶劣影响。
没 有 绝对的 数据合规 , 我们只能基于不同的 业务场景 , 在商业利益与合规成本间寻求 相对优解 , 并对可预期的法律风险进行 动态 控制与防范。
在数据安 全管理上,主要分为“定政策”、 “设组织”、“融 流程”以及“降风险”。
-定政策:在数据安全相关的法律法律、政策文件、行业标准等的基础上,制定内部管理规定、设计管理流程、规范技术标准、起草技术指引,形成全套的文件体系。
-设组织:调动多部门协作,落实安全项目管理、安全运营管理、合规与风险管理的相关负责人以及内部决策机制,明确相关负责人的职责。
-融流程:将数据安全管理融入具体可执行的管理流程里,将风险控制、合规控制以及绩效控制相结合,注重事前合规与事中合规,对可预期的风险进行动态控制与 防范。
-降风险:设置相应风险等级预警机制,定期进行风险评估并内部优化,提升员工的风险意识教育以及外部风险承受能力。
但其实即使你看得懂里面的每一个字、理解每一句话,真正的执行却很难有效落实。定政策、设组织、降风险,都相对标准化,而”融流程“则是最考验公司内部的管理能力。因为每一家互联网公司,都有个性迥异的创始人和不同利益的诉求,都有人性的博弈与平衡。
1、鼓动技术人员与公司合资成立一家新的业务公司,由技术人员担任法定代表人、董事长以及技术主管,将公司有风险的业务和技术操作都剥离到这家新的业务公司。
2、怂恿技术人员出去创业,创始人将公司有风险的业务和技术操作都外包给技术人员刚创业成立的新公司。
3、建立严密的内部规章制度,细化设置每一项数据审批权限及数据安全管理职责,把各种好名头“首席技术主管”、“数据合规官”、“技术安全委员会主席”等往技术身上扣,明确落实直接责任人与业务条线的责任人。
历经残酷的 2019年,程序猿们更要好好保护自己
本文由:小9直播体育免费直播提供