据新京报贝壳财经消息,近期发现不法分子与某快递公司多位“内鬼”勾结,通过有偿租用该快递公司员工系统账号盗取公民个人信息。此次事件中超过40万条客户敏感信息被泄露,给快递公司造成巨大的名誉损失。
1、部分企业员工缺乏专业知识,误操作导致系统内部信息暴露。
2、企业内部各系统间频繁交互,为恶意篡改、数据泄露、删除数据等行为提供条件。
3、部分企业内部管理和制度不健全,使内部员工泄密成为可能。
为及时发现并有效规避内部信息泄漏等安全风险,企业应积极开展安全审计工作,建立健全内部控制机制,并设立完善的监督检查机制。首先,企业需建立一套功能完备的信息安全审计体系,通过收集和分析内部系统的操作记录判定现有情况与既定标准的符合程度,从而发现潜在安全风险和威胁。其次,针对审计结果采取有效的管控措施,通过弥补内部控制制度不足,进一步完善企业的安全管理体系,从源头上最大限度的降低和规避风险。天融信安全审计服务,以网络安全等级保护2.0、《ISO/IEC 27001信息安全管理体系要求》等国内相关安全评估及安全技术标准为基础,以《中华人民共和国网络安全法》及各行业法律法规为指导,在充分调研客户业务现状的前提下,制定适合客户实际情况的审计方案。天融信专业的安全审计服务人员将在服务过程中不断优化审计点,最终为客户制定出一套符合客户业务特点的企业审计管理体系。
天融信安全审计服务主要包括审计体系建设、审计制度提升优化、审计工作开展、安全意识全面提升四个方面。服务前期,审计人员初步确定威胁场景和分析方向,对客户关键信息系统进行识别并合理分类。审计人员根据威胁场景创建审计模型,使用标准化的数据验证,不断细化审计策略,避免风险产生盲点,最终形成可落地的审计场景。审计工作开展时,审计人员通过对标规范挖掘存在的问题和潜在风险,输出审计报告和整改建议。同时,审计人员协助客户修订相关的管理制度,建立标准化工作流程,有效帮助客户建立用户行为基线。
天融信将不断完善安全审计服务体系,优化审计模型和场景,多角度、多方面、多层次地为客户做好信息安全审计工作。成立25年来,天融信已拥有完备的安全服务体系和全面的安全服务资质,超千人的专业安全服务团队覆盖了全国60多个省市分支机构。基于天融信多年来在技术、管理、行业等各方面的积累,推出以业务安全为核心,覆盖信息系统全生命周期的安全服务,服务内容涵盖了基础安全服务、SM集成服务、行业化安全服务、新型安全服务,为企业的安全保驾护航。