엔터프라이즈 원격근무 네트워크의 보안 문제를 어떻게 해결합니까?

기업 원격근무 네트워크 보안의 일반적인 문제점 및 제안

출시일: 2020 년 3 월 6 일 1 1: 46: 28.

작가: 닝, 오한 등

출처: 왕 목재 연구소

공유 대상: 위챗 Sina Weibo QQ 공간

현재 신종 코로나 바이러스 예방의 관건인 시기이며, 전국이 연합하여 전염병에 맞서 싸우고 있다. 예방 및 통제를 강화하기 위해 베이징, 상하이, 광저우, 항주 및 기타 주요 도시 정부는 2 월 초부터 정보 수단을 통해 원격 협업 및 홈 오피스 [1] 를 수행 할 것을 공개적으로 표명하거나 통보했습니다. 2009 년 2 월 19 일 공신부는' 차세대 정보기술 지원 전염병 예방·통제 및 재생산 업무에 관한 통지' 를 발표했다. 전염병이 중소기업 복공 생산에 미치는 심각한 영향에 직면하여 클라우드 컴퓨팅을 활용하여 원격근무, 홈오피스, 화상 회의, 온라인 교육, 공동 연구 개발, 전자 상거래 등 온라인 작업 방식을 지원하는 기업 클라우드를 적극 추진할 수 있도록 지원합니다 [2].

국가와 지방정부의 호소에 직면하여 전국 각지의 기업들이 적극적으로 호소에 응했다. 남방도시보' 가 2 월 중순에 발족한 인터넷 조사에 따르면 응답자의 47.55% 가 재택근무나 인터넷 수업 [3] 을 하는 것으로 나타났다. 특수 시기의 원격근무 수요에 직면하여, 원격 협력 플랫폼도 적극적으로 사회적 책임을 지고 있다. 일찌감치 1 연말부터 17 기업의 2 1 제품은 원격 쓰기 플랫폼 소프트웨어가 전 사회 사용자 또는 특정 기관에 무료로 개방될 것이라고 발표했습니다 [4].

정보 기술 네트워크를 통해 원격근무 계층, 시스템 계층, 비즈니스 데이터 등 더욱 복잡한 네트워크 보안 환경에 직면하게 됩니다. 안전하고 효과적인 복공을 실현하고 전염병이 기업 경영 발전에 미치는 영향을 줄이려면 기업은 실제 상황과 연계하여 해당 네트워크 및 정보 보안 전략을 수립하거나 적절히 조정해야 합니다.

I. 전자 통근 시스템의 유형

인터넷, 클라우드 컴퓨팅, 사물인터넷 등의 기술이 발달하면서 각종 기업, 특히 인터넷 회사, 로펌 등 전문 서비스 회사들이 기업 내 원격 공동 업무 실현, 특히 전화 회의, 문서 관리 등의 기본 기능을 추진하고 있다. 기능 유형 관점에서 원격근무 시스템은 [5] 범주로 나눌 수 있습니다

포괄적인 공동 작업 도구는 인스턴트 메시징 및 다방면 커뮤니케이션 회의, 문서 공동 작업, 작업 관리, 설계 관리 등을 포함한 종합적인 사무용 솔루션을 제공합니다. , 소프트웨어 회사를 대표하여 기업 위챗, 못, Flybook 등을 포함한다.

인스턴트 메시징 (예: Instant Messaging 또는 IM) 및 다방면 통신 회의는 두 명 이상의 사람들이 인터넷을 통해 텍스트와 파일을 실시간으로 전송하고 음성 및 비디오 통신을 할 수 있도록 하는 도구입니다. 대표 소프트웨어에는 Webex, Zoom, Slack, Skype 등이 있습니다.

문서 협업은 많은 사람들에게 클라우드 스토리지와 온라인 * * * * * 을 제공하여 문서를 감상, 수정 또는 검토할 수 있도록 합니다. 대표 소프트웨어에는 텐센트 문서, 금산 문서, 에버노트 등이 있습니다.

작업 관리는 작업 흐름, 출석 관리, 인사 관리, 프로젝트 관리, 계약 관리 등의 기업 사무 자동화 (즉, 사무 자동화 또는 OA) 기능을 구현할 수 있으며, 대표 소프트웨어는 Trello, Tower, 광범위한 마이크로입니다.

설계 관리는 사용자의 요구 사항에 따라 재질, 도구 및 컨텐츠 라이브러리 관리와 같은 설계 개발 관리 활동을 체계적으로 수행할 수 있습니다. 대표 소프트웨어에는 창작자 스티커, 캔버스 등이 있다.

둘째, 다른 원격근무 모드에서 네트워크 보안의 책임 주체

네트워크 보안법 ("네트워크 보안법") 은 주로 네트워크 운영자, 즉 네트워크 소유자, 관리자 및 네트워크 서비스 공급자를 규제합니다. 네트워크 운영자는 네트워크 보안법 및 관련 규정에 명시된 네트워크 운영 보안 및 네트워크 정보 보안 책임을 져야 합니다.

원격근무 시스템의 경우, 네트워크 보안을 담당하는 주체 (즉, 네트워크 운영자) 는 시스템 운영 모드에 따라 크게 다릅니다. 원격근무 시스템의 운영 모드에 따라 엔터프라이즈 원격근무 시스템은 크게 자체 시스템, 클라우드 오피스 시스템 및 통합 시스템의 세 가지 범주로 나눌 수 있습니다. 기업은 자신이 취해야 할 네트워크 보안 조치를 명확하게 판단하기 위해 플랫폼 운영자의 책임 경계를 명확하게 구분해야 합니다.

(1) 자신의 시스템

이 모델에서 기업의 원격근무 시스템은 자체 서버에 구축되며, 시스템은 기업에서 자체 개발, 아웃소싱 또는 타사 엔터프라이즈 소프트웨어 아키텍처를 사용합니다. 이러한 시스템 개발 비용은 비교적 높지만 타사 서버로 데이터가 전달되지 않아 보안 위험이 낮습니다. 흔히 볼 수 있는 기업 유형으로는 공기업, 은행 등 중요한 업종의 기업사업 단위, 경제력이 강하고 보안과 프라이버시에 대한 요구가 높은 대기업 등이 있다.

기업 자체 연구 시스템이든 아니든, 시스템 아키텍처는 기업 소유, 자체 관리, 기업이 관련 사무용 시스템을 구성하는 네트워크 운영자가 해당 네트워크 보안 책임을 지고 있습니다.

(2) 클라우드 오피스 시스템

이 사무실 시스템은 일반적으로 SaaS 시스템 또는 APP 로, 플랫폼 운영자가 제어하는 서버에서 등록된 시스템 원격 협업 소프트웨어 플랫폼 또는 APP 서비스를 기업에 직접 제공하여 기업 사용자 및 개인 (직원) 사용자가 사용할 수 있도록 합니다. 이런 시스템의 건설 비용은 상대적으로 경제적이지만 기업의 특정 요구만 충족시킬 수 있다. 기업은 일반적으로 시스템을 개발하거나 수정할 권한이 없으며 엔터프라이즈 데이터는 타사 서버에 저장됩니다. 이런 모델이 흔히 볼 수 있는 기업 유형은 상대적으로 유연한 중소기업이다.

클라우드 오피스 시스템 (SaaS 또는 APP) 의 네트워크, 데이터베이스 및 애플리케이션 서버는 플랫폼 사업자 운영으로 관리되므로 클라우드 오피스 시스템 운영자는 네트워크 운영자를 구성하며 일반적으로 SaaS 및 APP 의 네트워크 운영 보안 및 정보 보안을 담당합니다.

실제로 플랫폼 운영자는 사용자 계약과 같은 법률 텍스트를 통해 네트워크 보안 감독 의무의 일부를 기업 사용자에게 계약으로 이전합니다. 예를 들어, 기업 사용자에게 계정 사용 규칙을 엄격히 준수하도록 요구하고, 기업 사용자에게 자신과 직원이 플랫폼에 업로드하는 정보에 대한 책임을 져야 합니다.

(3) 통합 시스템

이 시스템은 엔터프라이즈 소유 서버 및 타사 서버에 구축되어 엔터프라이즈 소유 시스템과 클라우드 오피스를 통합합니다. 시스템 운영은 전적으로 기업에 의해 통제되지 않으며, 많은 로컬 서버 요구 사항이 있는 다국적 기업에 많이 사용됩니다.

클라우드 오피스 시스템 공급업체와 기업 자체가 네트워크 운영자를 구성할 수 있으므로 운영 관리 네트워크 시스템을 경계로 각 네트워크에 대한 적절한 네트워크 보안 책임을 져야 합니다.

기업의 경우 플랫폼 운영자와의 책임 경계를 명확히 하기 위해 기업은 먼저 기업이 단독으로 소유하거나 관리하는' 네트워크' 를 확인해야 한다. 원격근무 시나리오에서 기업은 다음을 포함하되 이에 국한되지 않는 다양한 요소를 종합적으로 식별하는 것을 고려해야 합니다.

사무실 시스템의 서버, 터미널 및 네트워크 장비가 모두 기업 및 해당 직원이 소유하거나 관리하는지 여부

기업에서 사용하는 사무실 시스템에 최고 관리자 권한이 있는지 여부

사무실 시스템 운영 중 생성된 데이터가 기업 소유 또는 관리 서버에 저장되어 있는지 여부

기업과 플랫폼 운영자는 사무실 시스템 또는 관련 데이터의 권한 및 관리에 대해 명확한 합의를 하고 있습니다.

물론, 시스템 구축의 복잡성과 다양성을 감안할 때 플랫폼 운영자와 기업은 원격 협업 사무실의 통합 시스템에서 동일한 네트워크 시스템을 관리해야 할 수 있으며, 양측은 네트워크 운영자로서 이 네트워크에 대한 보안 책임을 지고 있습니다. 그러나 기업은 계약을 통해 네트워크 시스템에서 쌍방의 관리 책임과 네트워크 시스템의 소유권을 가능한 한 많이 고정해야 합니다. 따라서 * * * 운영 원격 협업 오피스 서비스 플랫폼을 관리하는 경우 기업과 플랫폼 운영자는 사용자 계약에서 두 당사자가 운영을 관리하는 시스템 모듈, 관리하는 시스템 모듈에 대한 네트워크 보안 책임 및 플랫폼 소유권을 명확히 해야 합니다.

셋째, 원격근무 관련 네트워크 보안 문제 및 대책

이제 최근 원격근무 관련 네트워크 보안 핫스팟 사건을 살펴보고 관련 네트워크 보안 문제에 대한 간단한 위험 평가를 실시하며 기업에 대한 예비 권장 사항을 제시합니다.

1. 사용자 트래픽의 급증으로 원격근무 플랫폼의' 단기 붕괴' 가 발생했습니다. 플랫폼 운영자가 네트워크 운영 보안에 대한 책임을 져야 합니까?

이벤트 검토:

2020 년 2 월 3 일 설 연휴 이후 첫 근무일로 대부분의 기업들은 직원들에게 재택근무를 요구했다. 원격근무 시스템의 플랫폼 운영자들은 미리 대응 방안을 마련했지만, 동시대응에 대한 엄청난 수요는 플랫폼 운영자의 기대를 뛰어넘는다. 각종 온라인 사무용 소프트웨어에' 정보 전송 지연',' 동영상 차단',' 시스템 충돌' 등 단기적인 장애 [6] 가 발생했다. 고장 발생 후 플랫폼 운영자는 신속하게 네트워크 제한, 서버 확장 등의 조치를 취하여 플랫폼의 운반 지원 능력과 안정성을 높였으며, 동시에 고장도 어느 정도 전환을 일으켰다. 결국, 모든 원격근무 플랫폼이 짧은 시간 내에 플랫폼의 정상 작동을 재개했지만, 많은 사용자들의 토로를 받았다.

위험 평가:

네트워크 보안법 ("네트워크 보안법") 제 22 조에 따르면 네트워크 제품 및 서비스는 해당 국가 표준의 필수 요구 사항을 충족해야 합니다. 네트워크 제품 및 서비스 공급자는 악성 프로그램을 설정해서는 안됩니다. 네트워크 제품 및 서비스에 보안 결함, 취약점 등의 위험이 있음을 발견하면 즉시 시정 조치를 취하고 규정에 따라 사용자에게 적시에 알리고 관련 주관 부서에 보고해야 합니다. 네트워크 제품 및 서비스 공급업체는 제품 및 서비스에 대한 지속적인 보안 유지 관리를 제공해야 합니다. 쌍방이 규정하거나 약속한 기한 내에 안전유지보수의 제공은 종결할 수 없다.

원격근무 플랫폼의 운영자는 플랫폼 및 관련 네트워크의 운영자로서 네트워크의 운영 보안에 대한 책임을 져야 합니다. 단기적인 시스템 고장의 경우 플랫폼 운영자는 해당 법적 책임 또는 위약 책임을 져야 하며, 장애 원인, 고장의 위험 결과, 사용자 계약의 책임 약속 등을 결합해야 합니다.

이러한 이벤트의 경우, 공개 채널에서 배운 정보를 바탕으로 여러 클라우드 오피스 플랫폼이 응답하지 못하고 사용자 네트워크에 불편을 끼치지만 플랫폼 자체는 명백한 보안 결함 및 취약점 등의 위험을 드러내지 않으며 원격근무 데이터 유출 등 실질적인 위험 결과도 나타나지 않습니다. 따라서 모든 플랫폼이 사이버 보안에 대한 법적 책임을 지지 않을 가능성이 높다.

권장 사항에 응답:

전염병의 특수한 시기에 주류 원격근무 플랫폼 제품은 모두 무료로 개방되어 있기 때문에 각 플랫폼마다 많은 신규 고객이 있습니다. 플랫폼 운영자에게 좋은 비상 계획, 더 나은 사용자 경험은 전염병 발생 후 플랫폼이 이러한 새로운 사용자 집단을 유지하는 데 도움이 될 것입니다.

플랫폼 운영자의 위험을 더욱 줄이고 사용자 경험을 향상시키기 위해 플랫폼 운영자는 다음을 수행할 것을 권장합니다.

사용자 트래픽 급증을 플랫폼의 긴급 사건으로 간주하고, 비상 계획에서 트래픽 급증의 트리거 조건, 서버 확장 조건, 임시 대기 서버 배치 등과 같은 적절한 비상 계획을 수립합니다.

사용자 트래픽을 실시간으로 모니터링하고 플랫폼 리소스를 적시에 프로비저닝합니다.

사용자 알림 메커니즘 및 음성 템플릿을 설정하여 사용자에게 시스템 응답 지연의 원인과 예상 복구 시간을 적시에 알립니다.

고객과 체결한 사용자 계약 또는 기타 법률 텍스트에서 이러한 시스템의 지연 또는 충돌에 대한 책임 배치를 가능한 한 명확하게 합니다.

2. 원격근무 환경에서 전염병을 주제로 한 낚시 공격이 빈번하다. 기업은 어떻게 외부 사이버 공격의 위험을 줄일 수 있습니까?

이벤트 검토:

전염병 기간 동안 한 사이버 보안 회사는 일부 해외 해커들이 코로나 바이러스를 주제로 한 메일을 이용해 맬웨어, 낚시, 사기를 보내는 것으로 밝혀졌다. 예를 들어 해커 조직 위장 신분 (예: 국가위계위),' 전염병 예방·통제' 관련 정보를 미끼로 낚시 공격을 개시한다. 이러한 낚시 메일 공격은 믿을 수 있는 원천으로 위장되어 있으며, 메일 내용은 많은 사람들이 주목하는 핫스팟 사건과 밀접한 관련이 있어 매우 기만적이다. 사용자가 클릭하면 호스트가 제어되고 중요한 정보와 시스템이 도난 당하고 손상될 수 있습니다 [7].

위험 평가:

네트워크 보안법 제 2 1 조 및 제 25 조에 따르면 네트워크 운영자는 네트워크 보안 수준 보호 시스템의 요구 사항에 따라 다음과 같은 보안 의무를 이행하여 간섭, 파괴 또는 무단 액세스로부터 네트워크를 보호하고 네트워크 데이터 유출 또는 도난, 변조를 방지해야 합니다. (/KLOC- (b) 컴퓨터 바이러스, 사이버 공격, 네트워크 침입 및 기타 네트워크 보안을 위태롭게하는 행위를 방지하기위한 기술적 조치를 취하십시오. (3) 네트워크 운영 상태 및 네트워크 보안 이벤트를 모니터링 및 문서화하고 관련 네트워크 로그를 6 개월 이상 보존하기 위한 기술적 조치를 취합니다. (4) 데이터 분류, 중요 데이터 백업 및 암호화 등의 조치를 취한다. (5) 법률 및 행정 법규에 규정된 기타 의무. 동시에, 네트워크 운영자는 시스템 취약성, 컴퓨터 바이러스, 사이버 공격, 사이버 침입 등 보안 위험을 적시에 처리하기 위한 네트워크 보안 사고 비상 계획을 세워야 합니다. 사이버 안전을 위협하는 사건이 발생하면 즉시 응급계획을 시작하고 적절한 구제책을 취하고 규정에 따라 관련 주관부에 보고한다.

원격근무 구현은 인트라넷이 직원 모바일 터미널의 엑스트라넷 액세스 요청에 응답해야 함을 의미합니다. 직원들은 서로 다른 네트워크 보안 환경에 살고 있으며 네트워크에 액세스하든 모바일 단말기 자체에 액세스하든 네트워크 공격의 표적이 될 가능성이 더 큽니다. 한편 공용 WiFi, 네트워크 핫스팟 등 신뢰할 수 없는 네트워크는 직원의 네트워크 액세스 포인트로 사용될 수 있습니다. 이러한 네트워크에는 보안 보호가 없을 수 있으며, 사이버 범죄 조직이 기업 인트라넷을 침범하는 중계소가 되기 쉬운 많은 일반적인 네트워크 취약점이 있을 수 있습니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 안전명언) 한편, 일부 직원의 모바일 단말기 장치에는 악성 프로그램이 있는 app 또는 네트워크 플러그인이 설치되어 있을 수 있으며, 직원들은 부주의하게 위장 낚시 공격이나 협박 메일을 클릭해 기업 인트라넷의 보안을 심각하게 위협할 수도 있습니다.

컴퓨터 바이러스나 외부 사이버 공격 등 사이버 보안 사건에서 공격당한 기업도 피해자지만 기업이' 사이버 보안법' 및 관련 법률의 요구에 따라 필요한 기술예방조치와 응급계획을 미리 취하지 않으면 인터넷 데이터 유출 또는 도난, 변조, 기업 사용자에게 피해를 입히는 등 법적 책임을 져야 할 가능성이 높다.

권장 사항에 응답:

기업의 경우 네트워크 보안법 및 관련 법률에 규정된 네트워크 보안 의무를 준수하기 위해 기업은 네트워크 보안 이벤트 관리 메커니즘, 모바일 터미널 장치 보안, 데이터 전송 보안 등의 측면에서 사무실 네트워크의 보안을 검토하고 개선할 것을 권장합니다.

(1) 기업은 운영 네트워크 또는 플랫폼의 실제 상황과 직원의 전반적인 네트워크 보안 인식에 따라 다음을 포함한 적절한 네트워크 보안 이벤트 관리 메커니즘을 개발해야 합니다.

데이터 유출을 포함한 네트워크 보안 사고 비상 계획 수립

네트워크 보안 이벤트에 대응하기 위한 조직 구조 및 기술적 조치를 설정합니다.

최신 낚시 사이트 및 이메일 협박 사건을 실시간으로 모니터링합니다.

이메일, 기업 위챗 등 모든 직원과 효과적인 통지 메커니즘을 설정합니다.

직원에게 적합한 정보 보안 교육 프로그램 개발

적절한 상벌 조치를 설정하여 직원들이 회사의 정보 보안 정책을 엄격히 준수할 것을 요구하다.

(2) 기업은 기존 정보 자산에 따라 다음과 같은 조치를 취하여 모바일 단말기 장비의 보안을 더욱 보장해야 합니다.

직원의 권한 수준에 따라 모바일 터미널 장치에 대한 다양한 보안 관리 체계를 개발합니다. 예를 들어, 고위 경영진 또는 데이터베이스 권한이 높은 사람은 회사에서 구성한 사무실 전용 모바일 터미널 장치만 사용할 수 있습니다.

모바일 터미널 장비 사무 관리 제도를 개발하여 직원들이 자체 장비 사무실을 사용하는 데 대한 명확한 관리 요구 사항을 제시합니다.

사무실 전용 모바일 단말기 장비의 시스템을 정기적으로 업데이트하고 스캔합니다.

터미널 장치에서 터미널에 대한 ID 액세스 인증 및 보안

원격 액세스 포털을 중점적으로 모니터링하고, 보다 적극적인 보안 분석 전략을 취하고, 사이버 보안 공격이나 바이러스가 의심될 경우 즉시 예방 조치를 취하고, 기업의 정보 보안 팀에 적시에 연락합니다.

직원들에게 모바일 사무실 정보 보안 위험에 대한 특별 교육을 실시합니다.

(3) 데이터 전송의 보안을 보장하기 위해 기업이 취할 수 있는 보안 조치는 다음과 같습니다.

HTTPS 와 같은 암호화 전송 방식을 사용하여 데이터 전송의 보안을 보장합니다. 모바일 터미널과 인트라넷 간의 데이터 상호 작용 또는 모바일 터미널 간의 데이터 상호 작용은 데이터 통신 링크에 HTTPS 와 같은 암호화를 사용하여 전송 중 데이터 유출을 방지하는 것이 좋습니다.

직원들이 인트라넷에 연결할 수 있는 VPN (가상 사설망) 을 배포합니다. 흥미롭게도 중국에서는 VPN 서비스 (특히 국경 간 VPN) 가 통신으로 규제되며 VPN 서비스 자격을 갖춘 기업만 VPN 서비스를 제공할 수 있습니다. 대외무역기업, 다국적 기업은 사무실 등의 이유로 전용선을 통해 국경을 넘나드는 네트워크가 필요한 경우 해당 통신업무경영허가증을 가진 기초사업자를 임대해야 한다.

3. 내부 직원이 VPN 을 통해 회사 인트라넷에 들어가 데이터베이스를 파괴합니다. 기업은 어떻게' 내귀' 를 방지하고 데이터 보안을 보장해야 합니까?

이벤트 검토:

2 월 23 일 밤, 위챗 헤드 서비스 업체인 위몽그룹의 SaaS 비즈니스 서비스가 갑자기 마비되어 시스템이 붕괴되고 생산 환경과 데이터가 심각하게 손상되어 수백만 업체의 업무가 순조롭게 진행되지 않아 막대한 손실을 입었다. 위몽이 25 일 정오에 발표한 성명에 따르면 사고는 인위적인 요인으로 인한 것이다. 위몽R&D 센터 운영부 핵심 운영비원 호모씨는 지난 2 월 23 일 밤 18: 56 회사 인트라넷 발판에 접속해 개인정신, 생활 등으로 위몽온라인 생산환경을 악의적으로 파괴했다. 현재 상해시 보산구 공안분국에 형사구금되어 범죄 사실을 인정했다 [8]. 데이터베이스 손상이 심하여 위몽은 오랫동안 협력업체에 전자상거래 지원 서비스를 제공할 수 없었고, 여기서 사고가 발생하면 협력업체에 직접적인 경제적 손실을 초래할 수밖에 없었다. 홍콩 상장 회사로서 위몽의 주가도 사고 이후 크게 하락했다.

위몽의 공고에서 볼 수 있듯이 위몽 직원의 라이브러리 삭제 사건의 성사 조건 중 하나는' 이 직원은 운비 부서의 핵심 운영원으로 개인 VPN 을 통해 회사 인트라넷의 발판에 접속해 라이브러리를 삭제할 권리가 있다' 는 것이다. 이 사건은 SaaS 서비스 업체와 일반 기업 사용자 모두에게 반성하고 반성할 가치가 있다.

위험 평가:

내부 직원의 정보 유출은 기업 데이터 유출 사고의 주요 원인 중 하나이며, 전형적인' 시민 개인 정보 침해 범죄' 행위 모델이기도 하다. 원격근무 환경에서 기업은 대부분의 직원에게 인트라넷 및 관련 데이터베이스에 대한 액세스를 제공해야 하며, 이로 인해 데이터 유출 또는 손상의 위험이 더욱 높아집니다.

사용자 트래픽의 급증으로 인해 시스템이' 단기 붕괴' 되는 것과는 달리' 마이크로연합 삭제 라이브러리' 사건의 발생은 기업 내 정보 보안 관리와 직접적인 관련이 있을 수 있습니다. 플랫폼 내의 협력업체가 직접적인 경제적 손실을 가지고 있다면 플랫폼 경영자를 배제하지 않으면 사이버 보안과 관련된 법적 책임을 져야 할 수도 있다.

권장 사항에 응답:

직원들이 회사 데이터를 악의적으로 훼손하고 유출하는 것을 효과적으로 방지하고 기업의 데이터 보안을 보장하기 위해 기업은 다음과 같은 예방 조치를 취할 것을 권장합니다.

사무실 전용 모바일 장치와 직원 소유 모바일 장치를 구분하고, 사무실 전용 모바일 장치에 대한 읽기 및 쓰기 권한을 엄격하게 관리하거나, 직원 소유 모바일 장치에 대한 시스템 권한, 특히 엔터프라이즈 데이터베이스에 대한 관리 권한을 포함하되 이에 국한되지 않는 분류 관리를 위한 원격근무 또는 모바일 사무실 관리 제도를 개발합니다.

데이터 분류 관리 시스템 구축 (예: 데이터의 민감도에 따라 적절한 액세스 및 재작성 권한 개발, 직원들이 원격 로그인을 통해 핵심 데이터베이스의 데이터를 조작하거나 처리하지 못하도록 방지)

업무 필요와 필요성 원칙에 따라 직원의 데이터 액세스 및 처리 권한을 평가, 검토 및 제한합니다 (예: 직원이 모든 사용자 소유의 모바일 터미널 장치로 데이터를 다운로드하지 못하도록 금지).

보안 이벤트 모니터링 및 보고 메커니즘, 보안 이벤트에 대한 대응 방안 등 데이터 유출을 위한 비상 관리 방안을 수립합니다.

원격근무 운영 사양, 문서 자료를 사용하는 관리 사양, 애플리케이션 소프트웨어 설치를 위한 승인 프로세스를 개발합니다.

핵심 데이터베이스 또는 중요 데이터에 대한 직원의 운영 행동 및 데이터베이스 보안을 실시간으로 모니터링하는 원격 보안 서비스 기능을 갖춘 팀을 구성합니다.

직원 원격근무 안전 의식 교육을 강화하다.

4. 전염병 기간 동안 기업이 공익을 위해 시스템을 통해 전염병 관련 정보를 온라인으로 수집하는 데 직원 승인이 필요합니까? 전염병이 끝난 후 수집한 직원 건강 정보는 어떻게 처리해야 합니까?

장면 예:

원격근무 기간 동안 고용관리를 강화하고, 기업 작업장의 위생안전을 보장하고, 관련 전염병 예방·통제 조치를 마련하기 위해 기업은 개인 및 가족 구성원의 건강 상태, 최근 위치, 현주소, 항공편, 기차 편수 등 각종 전염병 관련 정보를 직원으로부터 지속적으로 수집할 것이다. 수집 방법에는 메일, OA 시스템 에스컬레이션, 설문 조사 등이 포함됩니다. 기업은 수집된 정보를 통계 및 모니터링하고 필요한 경우 직원의 전반적인 상황을 감독 부서에 보고합니다. 의사환자 발견 시, 기업들도 관련 질병 예방통제 기구 또는 의료기관에 제때 보고할 예정이다.

위험 평가:

2020 년 6 월 20 일 65438 신종 코로나 바이러스' 중화인민공화국 전염병 예방법' 에서 국가보건위 () 에 의해 을류 전염병 () 로 등재돼 갑류 전염병을 예방하기 위한 조치를 취했다. 중화인민공화국 전염병 예방법 제 31 조는 어떤 기관이나 개인이 전염병 환자나 의심되는 전염병 환자를 발견할 경우 인근 질병 예방통제 기구 또는 의료기관에 제때 보고해야 한다고 규정하고 있다.

2 월 9 일 중앙인터넷신청은' 개인 정보 보호 및 대데이터 지원 연합통제 작업에 관한 통지' (이하' 통지') 를 발표했다. 각 부처는 국무원 보건부서가 중화인민공화국 인터넷안전법, 중화인민공화국 전염병 예방법, 돌발 공중위생사건 응급조례를 제외하고는 개인 정보 보호 업무를 매우 중시해야 한다. 법률, 행정 법규는 별도로 규정되어 있으며, 그 규정에서 나온다.

각지에서 방역 방면의 규범성 문건이 속속 내놓고 있다. 베이징시를 예로 들자면,' 베이징시 인민대표대회 상임위원회는 법에 따라 신종 코로나 바이러스 폐렴을 예방하고 전염병 예방·통제 공방전을 단호히 이기기로 한 결정' 에 따라 본 시 행정구역 내의 기관, 기업, 사업 단위, 사회단체 및 기타 조직은 법에 따라 본 단위의 전염병 예방·통제 업무를 잘 해야 하며, 건전한 예방책임제와 관리제도를 세워야 한다. 필요한 방호용품과 시설을 갖추어 본 부서의 인원에 대한 건강 모니터링을 강화하고, 전염병이 심한 지역에서 귀경하는 사람들이 정부의 관련 규정에 따라 의학관찰이나 가정관찰을 하도록 독촉하고, 이상 상황을 적시에 보고하고 적절한 예방 조치를 취할 것을 촉구하였다. 현지 인민정부의 요구에 따라 인원을 적극적으로 조직하여 전염병 예방·통제 업무에 참여하다.

"통지" 와 상술한 법규 및 규범성 문서의 규정에 따르면, 우리는 전염병 기간 동안 기업이' 중화인민공화국 전염병 예방법' 과' 돌발 공중위생 사건 응급조례' 의 규정에 따라 국무원 보건 부서의 허가를 받아 본 기업 직원의 전염병 관련 건강 정보를 수권 범위 내에서 수집할 수 있어야 한다는 것을 이해합니다. 직원의 허가 동의를 받을 필요가 없습니다. 이러한 예외를 충족하지 못할 경우 기업은 여전히' 네트워크 보안법' 규정에 따라 수집 전에 사용자의 승인과 동의를 받아야 합니다.

통지는 전염병 예방·통제 및 질병 예방을 위해 수집한 개인 정보를 다른 용도로 옮겨서는 안 된다고 명확하게 규정하고 있다. 어떤 기관이나 개인도 이름, 나이, 주민등록번호, 전화번호, 집 주소 등 개인 정보를 누설해서는 안 된다. 채집인의 동의를 받지 않았지만, 연합방지와 탈민에 필요한 것은 예외이다. 개인 정보를 수집하거나 마스터하는 기관은 개인 정보의 보안에 대한 책임을 져야 하며 도난 또는 유출을 방지하기 위해 엄격한 관리 및 기술 보호 조치를 취해야 합니다. 자세한 내용은 최근 우리의 문장' 개인 정보 보호 업무 수행, 대데이터 지원 전염병연합통제에 대한 통지 해석' 을 참조하십시오.

권장 사항에 응답:

원격 기간 동안 기업이 원격근무 시스템을 통해 직원 전염병과 관련된 개인 정보를 수집하고자 하는 경우 기업을 추천합니다.

개인 정보 보호 정책 또는 사용자 승인 통지 텍스트를 작성하고 직원이 관련 정보를 처음 제출하기 전에 직원의 승인 동의를 얻습니다.

최소 필요성 원칙에 따라 정보 수집의 유형, 빈도 및 세분성을 포함한 정보 수집 전략을 개발합니다.

목적 제한 원칙에 따라 전염병 예방·통제 관련 개인 정보를 별도로 관리하여 기업이 이전에 수집한 직원 정보와의 통합을 방지합니다.

기업의 전반적인 건강 상태를 보여주거나 의사환자 공개를 할 때 직원 관련 정보를 탈감합니다.

정보 삭제 관리 메커니즘을 구축하여 예방 및 통제 목표를 달성한 후 관련 직원 정보를 적시에 삭제합니다.

직원 전염병과 관련된 수집된 개인 정보를 개인의 민감한 정보로 보호하고 직원의 액세스를 엄격하게 통제하며 데이터 유출을 방지하는 맞춤형 정보 관리 및 보호 메커니즘을 개발합니다.

5. 원격근무 기간 동안 기업은 직원을 효과적으로 감독하고 관리하기 위해 직원을 적절히 모니터링하고자 합니다. 그들은 어떻게 합법적으로 규정을 준수할 수 있습니까?

장면 예:

원격근무 과정에서 관리 직원을 효과적으로 감독하기 위해 기업들은 자신의 상황에 따라 정기적인 보고, 카드 기록, 비디오 감시 등의 조치를 취해 직원들이 원격근무 모니터링 목적을 달성하기 위해 적극적으로 협조할 것을 요구하고 있다. 직원이 보고서를 완성하고 시스템을 통해 카드를 찍을 때 자신의 이름, 전화, 사서함, 도시 등의 개인 기본 정보를 반복적으로 제출하여 직원의 신분을 확인할 수 있습니다.

또한 원격 OA 시스템이나 App 를 사용할 경우 사무실 시스템은 IP 주소, 로그인 지역, 사용자 기본 정보, 일일 통신 정보 등의 직원 로그인 로그를 자동으로 기록합니다. 또한 직원이 기업에서 배포한 사무용 터미널 장치 또는 원격 터미널 가상 시스템 소프트웨어를 사용하여 작업을 수행하는 경우 모니터링 플러그인 또는 소프트웨어가 터미널 장치 및 가상 시스템 소프트웨어에 미리 설치되어 있을 수 있으며, 특정 조건 하에서 터미널 장치에 대한 직원의 작동 동작 기록 및 인터넷 기록을 기록할 수 있습니다.

위험 평가:

위의 시나리오 예에서 기업은 1) 직원의 자발적 제공, 2) 사무용 소프트웨어 자동 또는 트리거 수집 등을 통해 직원의 개인 정보를 수집하여 네트워크 보안법에 따른 개인 정보 수집 동작을 구성합니다. 기업은' 네트워크 보안법' 및 관련 법규의 요구 사항에 따라 합법적이고 공정하며 필요한 원칙을 따르고, 공개적으로 규칙을 수집하고 사용하며, 정보 수집 및 사용의 목적, 방법 및 범위를 명확하게 설명하고, 직원들의 동의를 얻어야 합니다.

비디오 감시 및 시스템 모니터링 소프트웨어 또는 플러그인 사용의 경우, 부적절한 운영, 직원의 사전 허가 없이 직원의 프라이버시를 침해할 수 있으므로 기업은 각별히 주의해야 합니다.

권장 사항에 응답:

원격근무 기간 동안, 특히 직원들이 여전히 이러한 업무 패턴에 적응하고 있을 때 기업이 자신의 상황에 따라 적절한 감독 관리 조치를 취하는 것은 정당하다. Dell 은 기업이 관리 및 모니터링 행동의 법적 규정 준수를 보장하기 위해 다음과 같은 조치를 취할 것을 권장합니다.

회사의 최초 사원 계약 또는 사원 개인 정보 수집 승인이 원격근무 모니터링 요구사항을 충족하는지 평가합니다. 승인에 결함이 있을 경우 승인 통지 텍스트의 탄창, 메일 통지 등을 포함하여 기업의 실제 상황에 따라 추가 승인을 받는 방법을 설계해야 합니다.

수집 시나리오에 따라 직원 개인 정보 수집의 필요성을 항목별로 평가합니다. 예를 들어, 중복 정보 수집이 있는지 여부, 비디오 감시를 통해 작업 상태를 모니터링해야 하는지 여부, 모니터링 빈도가 적절한지 여부 등이 있습니다.

시스템 모니터링 소프트웨어 및 플러그인의 경우 직원 개인 정보 보호 및 회사 데이터 보안의 균형을 맞추기 위한 별도의 정보 수집 정책을 설계합니다.

목적 제한 원칙을 준수하며, 직원의 승인 없이 수집된 직원 데이터는 작업 모니터링 이외의 목적으로 사용할 수 없습니다.

넷째, 요약

이번 전염병에서는 빅데이터, 인공지능, 클라우드 컴퓨팅, 모바일 인터넷을 대표하는 디지털 기술이 전염병 예방·통제 내에서 중요한 역할을 했으며 원격근무, 온라인 운영 등 비즈니스 모델의 발전을 더욱 추진했습니다. 이는 전염병으로 인해 디지털화와 지능화를 가속화해야 하는 결과일 뿐만 아니라 미래의 새로운 생산성과 새로운 발전 방향 [9] 을 나타냅니다. 갑작스러운 국민 원격근무 열풍' 이후 원격근무 및 온라인 운영이 보편화되고, 오프라인 사무실과 온라인 사무도 더 나은 통일을 이루며 생산성 향상을 위한 목적을 달성할 수 있을 것으로 보인다. (윌리엄 셰익스피어, 윈스턴, 일렉트릭, 일렉트릭, 일렉트릭, 일렉트릭, 일렉트릭, 일렉트릭)

디지털화, 지능화 업그레이드를 가속화하는 것도 국가지배체계와 통치능력의 현대화를 추진하는 절박한 필요성이다. 당의 19 회 4 중 전회는 국가지배체계와 통치력 현대화를 추진하는 데 중대한 배치를 하고, 디지털 정부 건설을 추진하고, 데이터 향유를 강화하고, 인터넷, 대데이터, 인공지능 등의 기술적 수단을 이용하여 건전한 행정관리 제도와 규칙을 수립해야 한다는 점을 강조했다. [10]

디지털 지능의 발전을 꾸준히 가속화하고 현대 정부 거버넌스의 이념에 순응하기 위해서는 기업이 기존 네트워크 보안 및 데이터 규정 준수 전략을 종합적으로 정리하고 보완하여 지능형 관리의 새로운 시대를 준비해야 합니다.