企业数据安全威胁有哪些？合规标准介绍

1.企业数据的定义

企业数据是指企业在信息化过程中形成的数据类型，这些数据管理归口不一，各个数据单位互不统属，并通过企业保密管理制度限制了数据的应用，形成了各种各样的“数据池塘”;即企业数据既包括财务数据、运营数据等商业数据,也包括企业合法收集、利用的用户数据。

2.企业数据安全的威胁

(1)数据泄露意外

人们通常把数据泄露与黑客攻击联系起来，但其实两者之间没有必然联系。很多数据泄露事件源于疏忽等导致的意外事件。Shred-it的一项研究发现，40%的高级管理人员和小企业主表示，疏忽和意外损失是他们最近一次安全事件的根本原因。比如员工不小心将内部文件发送给公众等。

(2)员工故意泄露

员工泄露数据有两种可能，一是企业内部员工携带重要文件跳槽，据有关资料显示，我国商业秘密刑事案件中，60%与人员跳槽有关，而在商业秘密侵权的民事案件中，90%与人员流动有关。二是商业间谍，蛰伏在企业很长一段时间利用自身权限获取公司数据机密。

(3)黑客针对攻击

黑客往往会对有价值的对象发起攻击。FIN7和Carbanak/CobaltGoblin网络犯罪集团，专门攻击各种公司获取金融数据或其PoS基础设施，或针对金融机构其访问权限进行攻击。黑客组织利用出售数据或勒索受害方支付赎金的方式肆意敛财。

(4)数字通信环境

数字通信无处不在，其风险漏洞也无处不在。大量员工使用个人账户传送敏感信息。众所周知，电子邮件占据着企业通信的最高地位，也是企业对外官方形象的唯一通道，邮件通信安全对于一个企业来说则至关重要。

(5)数据安全意识

新闻报道上看到的往往都是大公司的数据泄漏事故，但事实是中小型企业最容易受到网络攻击，而不幸的是，中小企业高管往往最不可能优先考虑网络安全计划。Keep Security进行的一项研究发现，有66%的中小型企业不相信会造成数据泄露，这与Ponemon Institute的证据相反，后者发现67%的中小型企业在去年遭受了严重攻击。

(6)密码过分简单

谷歌的一项研究发现，互联网上使用的所有登录凭证中有1.5%容易受到凭证填充攻击的攻击，这些攻击会遍历以前被盗的账户信息，从而进一步损害公司的IT基础架构。有趣的是，员工在得知信息泄露风险后依然不愿更改或改进这些密码。不能贯彻实施最佳密码管理实践，会使企业在现在和未来一年面临巨大风险。

3.企业数据合规标准

(1)企业开展数据处理活动，应合法合规并遵循公共道德和诚信信用原则

根据《数据安全法》第八条，开展数据处理活动，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、公共利益，不得损害个人、组织的合法权益。

此条规定了数据处理活动的基本原则，除遵守法律法规之外，还需要遵守社会公德和伦理，商业道德和职业道德，诚实信用原则，不得损害其他任何第三方的合法权益。同时还规定了数据收集和交易的具体要求。

(2)企业需参与数据安全保护工作，共同维护数据

目前《数据安全法》主要规定了国家来统筹数据发展和安全，但是企业需要在国家数据安全方面积极参与，并履行数据安全保障义务。

(3)企业重要数据出境应当履行行政前置手续

根据第三十一条，企业在数据处理过程中，如涉及到关键信息或重要数据需要出境的，为确保数据的安全，应当根据《中华人民共和国网络安全法》或我国网信部门等国家机构制定的法律法规依法履行行政前置手续，例如开展数据安全评估工作以获得批准同意等;另外，根据第三十六条，非经我国主管机关批准，任何境内的企业和个人均不得向外国司法或者执法机构提供存储于我国境内的数据。

以上就是有关于企业数据的定义、威胁及合规标准的全部介绍，如果还想了解更多大数据的相关内容，敬请关注三个皮匠报告网站。

推荐阅读

什么是关系型数据库?设计原则是什么?特点分析

什么是元数据管理?方式有哪些?

《IBM：从数据科学到数据外交(25页).pdf》

《数据堂：大数据产业调研及分析报告(145页).pdf》