员工数据外泄管控建设指南.docxVIP

TOC \o 1-2 \h \z \u 5.2、方案特性与优势 19 6、员工数据防泄漏治理案例 21 6.1、某全球领先的科技公司 21 1、员工数据外泄事件数量和损失持续走高 、数据泄露损失和影响波及各个行业 随着大数据时代的到来，数据的重要性日渐得到重视，2020 年发布的《关于构建更加完善的要素市场化配置体制机制的意见》，更是将数据正式纳入生产要素范围。数据作为数字经济时代下的基础性资源和战略性资源，是决定国家经济发展水平和竞争力的核心驱动力。 数据价值的发挥和利用以数据安全为基础。当数据创造价值的同时，也面临着被窃取泄露、滥用、非法利用的风险，进而对个人、组织甚至整个社会、国家的利益产生严重威胁和损害。近年来，数据泄露问题呈现越来越高发的趋势，在全球范围内，数据泄露造成的损失也在逐年增加。 根据 IBM 发布的《2022 年数据泄露成本报告》，2022 年，数据泄露的平均成本达 435 万美元， 创历史新高。这一数据相比去年增加了 2.6%，去年的数据泄露平均成本是 424 万美元。相比2020 年所报告的 386 万美元攀升了 12.7%。 以行业为维度来看，数据泄露已发生在并影响了各个行业，全球范围内，各行业发生数据泄露的数量和损失都在增加。其中，医疗保健行业成为数据泄露平均成本最高的行业，在 2022 年 达到 1010 万美元；按数据泄露成本排列的前五个行业的排名与 2021 年报告中的排名顺序相同。紧随医疗保健行业之后的是金融、制药、技术和能源行业。 、员工数据外泄成为数据泄露的主要原因之一 数据泄露可能发生在数据生命周期的各个环节：数据采集、数据传输、数据存储、数据使用、数据交换和数据销毁等。数据泄露发生的因素与环境、技术、人员都密切相关。根据 IBM 发布的《2022 年数据泄露成本报告》，数据泄露被划分为 10 个初始攻击媒介，其中包括意外数据丢失、云配置错误、网络钓鱼、内部威胁以及被盗或被破解凭证等。 商业电子邮件泄露成为排名第二的数据泄露平均成本初始攻击媒介，恶意内部人员也成为数据泄露的主要初始攻击媒介，平均泄露成本达到 418 万美元。 根据美国威瑞森通信公司（Verizon）的数据泄露调研报告《2023 Data Breach Investigations Report》显示，55%的数据泄露事件涉及有组织犯罪，30%的数据安全事件源 自企业内部。在数据泄露的众多因素中，83%的数据泄露是来自外部攻击。而 74%的数据泄露 都涉及人为因素，人们通过错误、滥用特权、使用被盗凭证等方式窃取和外泄数据。 闪捷发布的《2021 年度数据泄漏态势分析报告》中显示，在数据泄露的主体中，内部人员导致的数据泄漏事件占比接近 60%。包括主动的泄密和由于失误造成的泄密。在主动的泄密类 型中内部人员受利益驱动泄漏数据，或者被外部人员欺骗泄漏，或者对企业有不满情绪而泄漏。 失误造成的泄密类型中，由于安全意识或者流程的问题，造成安全策略配置错误，例如访问权限控制缺失、安全管控粒度粗放、账号凭据丢失等。 企业和单位面对复杂的网络环境和潜伏的网络攻击威胁，数据的攻击、窃取、泄露事件频繁发生，但近年来，企业内部人员外泄也成为了数据泄露的主要诱因。企业和单位不仅面对来自外部的数据安全隐患，也急需解决内部的数据安全管理危机。 、员工数据外泄造成损失和负面影响在持续扩大 根据美国威瑞森通信公司（Verizon）《2023 Data Breach Investigations Report》，由外部攻击导致的数据泄露事件中，95%的外部攻击是以金钱利益为驱使的。同样，闪捷发布的 《2021 年度数据泄漏态势分析报告》中也显示，近 80%的数据泄露事件动机是为了获取利益。 对于数据窃取方而言，窃取数据的主要目的是以数据获利，但对于数据泄露的当事方而言，数据泄露带来的损失却远不止经济损失。 随着社会层面对数据安全性、个人隐私、数据规范的重视程度提升，数据安全管理不仅保障的是经济利益，也与企业和单位的社会声誉、名誉息息相关。数据泄露事件的发生，不仅给企 业带去可估计的巨额经济损失，还会造成难以衡量的名誉和社会形象损害。进而对企业的核心竞争力和发展优势造成打击，形成更长远而严重的影响。 金融行业 01 湛江银保监分局于 2021 年 1 月对建设银行湛江市分行开出罚单，涉事人王某在 2017 年至 2018 年 期间，将共计 31465 条客户信息外泄出售至贷款公司，获利 3.6 万；上述信息则被相关贷款公司用于拨打电话并推销贷款业务信息，从事不正当竞争。最终，王某被法院判处有期徒刑八个月。而王某所在的建行湛江分行也因信息安全管理不到位被罚 20 万。 02 1 月 29 日，银保监会开出 2021 年第一张罚