企業數據安全威脅有哪些？合規標準介紹

1.企業數據的定義

企業數據是指企業在信息化過程中形成的數據類型，這些數據管理歸口不一，各個數據單位互不統屬，并通過企業保密管理制度限制了數據的應用，形成了各種各樣的“數據池塘”;即企業數據既包括財務數據、運營數據等商業數據,也包括企業合法收集、利用的用戶數據。

2.企業數據安全的威脅

(1)數據泄露意外

人們通常把數據泄露與黑客攻擊聯系起來，但其實兩者之間沒有必然聯系。很多數據泄露事件源于疏忽等導致的意外事件。Shred-it的一項研究發現，40%的高級管理人員和小企業主表示，疏忽和意外損失是他們最近一次安全事件的根本原因。比如員工不小心將內部文件發送給公眾等。

(2)員工故意泄露

員工泄露數據有兩種可能，一是企業內部員工攜帶重要文件跳槽，據有關資料顯示，我國商業秘密刑事案件中，60%與人員跳槽有關，而在商業秘密侵權的民事案件中，90%與人員流動有關。二是商業間諜，蟄伏在企業很長一段時間利用自身權限獲取公司數據機密。

(3)黑客針對攻擊

黑客往往會對有價值的對象發起攻擊。FIN7和Carbanak/CobaltGoblin網絡犯罪集團，專門攻擊各種公司獲取金融數據或其PoS基礎設施，或針對金融機構其訪問權限進行攻擊。黑客組織利用出售數據或勒索受害方支付贖金的方式肆意斂財。

(4)數字通信環境

數字通信無處不在，其風險漏洞也無處不在。大量員工使用個人賬戶傳送敏感信息。眾所周知，電子郵件占據著企業通信的最高地位，也是企業對外官方形象的唯一通道，郵件通信安全對于一個企業來說則至關重要。

(5)數據安全意識

新聞報道上看到的往往都是大公司的數據泄漏事故，但事實是中小型企業最容易受到網絡攻擊，而不幸的是，中小企業高管往往最不可能優先考慮網絡安全計劃。Keep Security進行的一項研究發現，有66%的中小型企業不相信會造成數據泄露，這與Ponemon Institute的證據相反，后者發現67%的中小型企業在去年遭受了嚴重攻擊。

(6)密碼過分簡單

谷歌的一項研究發現，互聯網上使用的所有登錄憑證中有1.5%容易受到憑證填充攻擊的攻擊，這些攻擊會遍歷以前被盜的賬戶信息，從而進一步損害公司的IT基礎架構。有趣的是，員工在得知信息泄露風險后依然不愿更改或改進這些密碼。不能貫徹實施最佳密碼管理實踐，會使企業在現在和未來一年面臨巨大風險。

3.企業數據合規標準

(1)企業開展數據處理活動，應合法合規并遵循公共道德和誠信信用原則

根據《數據安全法》第八條，開展數據處理活動，應當遵守法律、法規，尊重社會公德和倫理，遵守商業道德和職業道德，誠實守信，履行數據安全保護義務，承擔社會責任，不得危害國家安全、公共利益，不得損害個人、組織的合法權益。

此條規定了數據處理活動的基本原則，除遵守法律法規之外，還需要遵守社會公德和倫理，商業道德和職業道德，誠實信用原則，不得損害其他任何第三方的合法權益。同時還規定了數據收集和交易的具體要求。

(2)企業需參與數據安全保護工作，共同維護數據

目前《數據安全法》主要規定了國家來統籌數據發展和安全，但是企業需要在國家數據安全方面積極參與，并履行數據安全保障義務。

(3)企業重要數據出境應當履行行政前置手續

根據第三十一條，企業在數據處理過程中，如涉及到關鍵信息或重要數據需要出境的，為確保數據的安全，應當根據《中華人民共和國網絡安全法》或我國網信部門等國家機構制定的法律法規依法履行行政前置手續，例如開展數據安全評估工作以獲得批準同意等;另外，根據第三十六條，非經我國主管機關批準，任何境內的企業和個人均不得向外國司法或者執法機構提供存儲于我國境內的數據。

以上就是有關于企業數據的定義、威脅及合規標準的全部介紹，如果還想了解更多大數據的相關內容，敬請關注三個皮匠報告網站。

推薦閱讀

什么是關系型數據庫?設計原則是什么?特點分析

什么是元數據管理?方式有哪些?

《IBM：從數據科學到數據外交(25頁).pdf》

《數據堂：大數據產業調研及分析報告(145頁).pdf》