【一周安全資訊1104】證監(jiān)會(huì)發(fā)布《上市公司公告電子化規(guī)范》等9項(xiàng)金融行業(yè)標(biāo)準(zhǔn);北京網(wǎng)信辦對(duì)三家違反數(shù)據(jù)安全法規(guī)企業(yè)作出行政處罰 |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2023-11-04 瀏覽次數(shù): |
要聞速覽1、證監(jiān)會(huì)發(fā)布《上市公司公告電子化規(guī)范》等9項(xiàng)金融行業(yè)標(biāo)準(zhǔn) 2、《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—粵港澳大灣區(qū)跨境個(gè)人信息保護(hù)要求》公開征求意見 3、北京市網(wǎng)信辦對(duì)三家企業(yè)未履行數(shù)據(jù)安全保護(hù)義務(wù)作出行政處罰 4、加拿大禁止政府雇員使用微信和卡巴斯基 5、次覆蓋“人的因素”,MITRE ATT&CK v14發(fā)布 6、波音公司疑遭Lockbit勒索軟件攻擊 一周政策要聞證監(jiān)會(huì)發(fā)布《上市公司公告電子化規(guī)范》等9項(xiàng)金融行業(yè)標(biāo)準(zhǔn) 近日,證監(jiān)會(huì)發(fā)布《上市公司公告電子化規(guī)范 第1部分:公告分類》《上市公司公告電子化規(guī)范 第2部分:首次披露》《上市公司公告電子化規(guī)范 第3部分:交易類臨時(shí)公告》《上市公司公告電子化規(guī)范 第4部分:公司治理類臨時(shí)公告》《上市公司公告電子化規(guī)范 第5部分:權(quán)益變動(dòng)類臨時(shí)公告》《上市公司公告電子化規(guī)范 第6部分:融資類臨時(shí)公告》《上市公司公告電子化規(guī)范 第7部分:其他臨時(shí)公告》《上市公司公告電子化規(guī)范 第8部分:定期報(bào)告》《證券期貨業(yè)信息安全運(yùn)營(yíng)管理指南》9項(xiàng)金融行業(yè)標(biāo)準(zhǔn),自公布之日起施行。 《上市公司公告電子化規(guī)范》金融行業(yè)系列標(biāo)準(zhǔn)是對(duì)《上市公司信息披露電子化規(guī)范》金融行業(yè)標(biāo)準(zhǔn)的修訂?!渡鲜泄拘畔⑴峨娮踊?guī)范》自發(fā)布以來,對(duì)于規(guī)范上市公司信息披露電子文檔發(fā)揮了重要作用。近年來,隨著資本市場(chǎng)的改革發(fā)展與可擴(kuò)展商業(yè)報(bào)告語言(XBRL)技術(shù)的發(fā)展,上市公司信息披露面臨新情況、新要求。修訂后的系列標(biāo)準(zhǔn),由8個(gè)部分構(gòu)成,將上市公司公開披露公告根據(jù)業(yè)務(wù)現(xiàn)狀進(jìn)行了分類,從多個(gè)角度規(guī)范上市公司信息披露業(yè)務(wù)范圍和技術(shù)要求,標(biāo)準(zhǔn)的實(shí)施有利于進(jìn)一步提升上市公司信息披露的標(biāo)準(zhǔn)化程度,提高相關(guān)文件披露內(nèi)容的規(guī)范性、準(zhǔn)確性、統(tǒng)一性與及時(shí)性,有助于實(shí)現(xiàn)行業(yè)內(nèi)及與其他行業(yè)間的信息共享。 《證券期貨業(yè)信息安全運(yùn)營(yíng)管理指南》金融行業(yè)標(biāo)準(zhǔn)給出了信息安全運(yùn)營(yíng)管理過程中基礎(chǔ)安全、信息資產(chǎn)、漏洞、開發(fā)安全、數(shù)據(jù)安全等方面的管理思路和方法,并給出了各管理域的度量指標(biāo)以及行業(yè)最佳實(shí)踐。標(biāo)準(zhǔn)的制定實(shí)施可有效指導(dǎo)行業(yè)機(jī)構(gòu)建立完善的安全運(yùn)營(yíng)體系和流程,規(guī)范信息安全運(yùn)營(yíng)管理過程,推動(dòng)相關(guān)安全措施的有效實(shí)施和持續(xù)改進(jìn)。 需要獲取行業(yè)標(biāo)準(zhǔn)詳情請(qǐng)?jiān)谠u(píng)論區(qū)留言“行業(yè)標(biāo)準(zhǔn)” ,小銘哥會(huì)第一時(shí)間為您提供相關(guān)資料。 信息來源: 證監(jiān)會(huì)發(fā)布 https://mp.weixin.qq.com/s/yt0P4nxUh2v0iD3n316rhQ
《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—粵港澳大灣區(qū)跨境個(gè)人信息保護(hù)要求》公開征求意見 2023年11月1日,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處發(fā)布通知,秘書處組織編制了《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—粵港澳大灣區(qū)跨境個(gè)人信息保護(hù)要求(征求意見稿)》。根據(jù)《全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)<網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南>管理辦法(暫行)》要求,秘書處現(xiàn)組織對(duì)《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—粵港澳大灣區(qū)跨境個(gè)人信息保護(hù)要求(征求意見稿)》面向社會(huì)公開征求意見。
需要獲取文件詳情請(qǐng)?jiān)谠u(píng)論區(qū)留言“獲取” ,小銘哥會(huì)第一時(shí)間為您提供相關(guān)資料。 信息來源:全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì) https://www.tc260.org.cn/front/postDetail.html?id=20231101123231 業(yè)內(nèi)新聞速覽北京市網(wǎng)信辦對(duì)三家企業(yè)未履行數(shù)據(jù)安全保護(hù)義務(wù)作出行政處罰 近日,根據(jù)國(guó)家網(wǎng)信辦移交的問題線索,北京市網(wǎng)信辦依據(jù)《中華人民共和國(guó)數(shù)據(jù)安全法》對(duì)屬地三家企業(yè)涉嫌存在網(wǎng)絡(luò)數(shù)據(jù)安全違法行為進(jìn)行立案調(diào)查并作出行政處罰。 經(jīng)查實(shí),三家企業(yè)違反《中華人民共和國(guó)數(shù)據(jù)安全法》第二十七條規(guī)定,未履行數(shù)據(jù)安全保護(hù)義務(wù),部署的ElasticSearch數(shù)據(jù)庫存在未授權(quán)訪問漏洞,造成部分?jǐn)?shù)據(jù)泄露。北京市網(wǎng)信辦依據(jù)《中華人民共和國(guó)數(shù)據(jù)安全法》第四十五條第一款規(guī)定,對(duì)三家企業(yè)分別作出責(zé)令改正,給予警告,并處5萬元罰款的行政處罰,對(duì)直接主管人員和其他責(zé)任人員處以1萬元罰款處罰。 依據(jù)相關(guān)法律法規(guī),企業(yè)應(yīng)牢固樹立合規(guī)意識(shí),規(guī)范數(shù)據(jù)處理行為,完善數(shù)據(jù)安全防護(hù)技術(shù)措施,嚴(yán)格履行主體責(zé)任,切實(shí)維護(hù)網(wǎng)絡(luò)安全和數(shù)據(jù)安全。下一步,北京市網(wǎng)信辦將持續(xù)強(qiáng)化相關(guān)領(lǐng)域執(zhí)法,堅(jiān)決筑牢網(wǎng)絡(luò)安全、數(shù)據(jù)安全保護(hù)屏障。 消息來源:網(wǎng)信北京 https://mp.weixin.qq.com/s/SVmFqC40Z-8vzPfj6xPl6A 加拿大禁止政府雇員使用微信和卡巴斯基 近日,加拿大政府發(fā)布公告,禁止政府員工在移動(dòng)設(shè)備上使用卡巴斯基安全產(chǎn)品和騰訊的微信(Wechat)應(yīng)用,原因是對(duì)網(wǎng)絡(luò)安全和國(guó)家安全的擔(dān)憂。 該禁令的出臺(tái)是因?yàn)榧幽么髶?dān)心這兩家公司秘密地將敏感信息傳輸給俄羅斯和中國(guó)的情報(bào)機(jī)構(gòu)。移動(dòng)設(shè)備,如智能手機(jī)和平板電腦,經(jīng)常被帶入和帶出工作場(chǎng)所,這使得難以監(jiān)控秘密的數(shù)據(jù)竊取行為(這些指控都沒有證據(jù))。 公告指出: “今天,財(cái)政部長(zhǎng)Anita Anand宣布禁止在政府發(fā)放的移動(dòng)設(shè)備上使用微信和卡巴斯基的一系列應(yīng)用。加拿大首席信息官認(rèn)定,微信和卡巴斯基的一系列應(yīng)用對(duì)隱私和安全構(gòu)成了不可接受的風(fēng)險(xiǎn)?!? “在移動(dòng)設(shè)備上,微信和卡巴斯基應(yīng)用的數(shù)據(jù)收集方式可以大量訪問設(shè)備的內(nèi)容。” “雖然使用這些應(yīng)用的風(fēng)險(xiǎn)是明確的,但我們沒有證據(jù)表明政府信息已經(jīng)被泄露?!? 禁令將于2023年10月30日生效,屆時(shí)所有的微信和卡巴斯基軟件必須從加拿大政府發(fā)放的移動(dòng)設(shè)備中移除。 之后,政府將實(shí)施阻止下載這些應(yīng)用的措施,確保這些軟件不會(huì)再次出現(xiàn)在這些設(shè)備上。 對(duì)于公眾能否使用上述軟件,公告強(qiáng)調(diào)人們有選擇應(yīng)用的自由,但建議參考加拿大網(wǎng)絡(luò)安全中心的相關(guān)指南。 消息來源: GoUpSec https://mp.weixin.qq.com/s/qc4-49sIhPLuaMDGHF8j0A
首次覆蓋“人的因素”,MITRE ATT&CK v14發(fā)布 MITRE在萬圣節(jié)期間發(fā)布了MITRE ATT&CK v14,這是流行的ATT&CK框架的一次重大版本更新,范圍首次擴(kuò)大到針對(duì)“人類漏洞”的非技術(shù)攻擊。 ATT&CK是流行的事件調(diào)查框架和對(duì)手TTPs知識(shí)庫,每六個(gè)月發(fā)布一個(gè)新版本。其目標(biāo)是對(duì)現(xiàn)實(shí)世界網(wǎng)絡(luò)攻擊中對(duì)手的行為進(jìn)行編目和分類。該框架不斷進(jìn)行調(diào)整,以包含攻擊者與設(shè)備、系統(tǒng)和網(wǎng)絡(luò)交互的最新技術(shù)、方法和流程。 MITRE ATT&CK包括以下三大矩陣:
首次覆蓋針對(duì)人員的非技術(shù)攻擊 MITRE高級(jí)網(wǎng)絡(luò)安全工程師AmyL.Robertson表示:“隨著攻擊者不斷發(fā)展對(duì)人類漏洞的利用,ATT&CK在此版本中擴(kuò)大了其范圍,涵蓋了更多鄰近但會(huì)導(dǎo)致直接網(wǎng)絡(luò)交互或影響的活動(dòng)?!? “新增的范圍覆蓋了可能沒有直接技術(shù)成分的欺騙行為和社會(huì)工程技術(shù),包括金融盜竊、冒充和魚叉式網(wǎng)絡(luò)釣魚?!? MITRE ATT&CK v14的其他重大更新:
實(shí)施 MITRE ATT&CK需要循序漸進(jìn) MITRE ATT&CK項(xiàng)目負(fù)責(zé)人Adam Pennington指出:“ATT&CK最初是一個(gè)識(shí)別對(duì)手及其策略的Excel電子表格,現(xiàn)在已經(jīng)轉(zhuǎn)變?yōu)橐粋€(gè)被世界各地用戶引用和貢獻(xiàn)的框架?!? 企業(yè)可以使用ATT&CK框架打磨其威脅模型、評(píng)估供應(yīng)商能力、映射檢測(cè)以簡(jiǎn)化分析師的工作、進(jìn)行員工培訓(xùn)等。 企業(yè)應(yīng)該從小范圍小規(guī)模開始,循序漸進(jìn)地實(shí)施ATT&CK框架。 “該框架分為多種技術(shù),因此組織可以從與其系統(tǒng)相關(guān)的單個(gè)策略開始。例如,如果您關(guān)心身份管理,可以深入研究對(duì)手如何竊取密碼并識(shí)別他們行為之間的重疊。一旦達(dá)到這些優(yōu)先級(jí)點(diǎn),就可部署針對(duì)性的保護(hù)措施?!盤ennington建議道。 MITRE還致力于開發(fā)D3FEND框架,一個(gè)針對(duì)常見進(jìn)攻技術(shù)的防御技術(shù)知識(shí)庫,也是一個(gè)供網(wǎng)絡(luò)安全專業(yè)人員針對(duì)特定網(wǎng)絡(luò)威脅定制防御的框架,D3FEND與側(cè)重對(duì)手知識(shí)庫的ATT&CK框架形成互補(bǔ)。 消息來源: GoUpSec https://mp.weixin.qq.com/s/38fS-QB1cHYTRQ9yu3Dlxw
波音公司疑遭Lockbit勒索軟件攻擊 上周日,Lockbit勒索軟件組織將波音公司列入其受害者名單。據(jù)Foxbusiness和Register等媒體報(bào)道,Lockbit宣稱從波音公司竊取了大量“敏感數(shù)據(jù)”,而波音公司則表示正在核實(shí)Lockbit的說法。 Lockbit于10月27日在泄露網(wǎng)站上發(fā)布帖子(下圖),威脅稱如果波音公司不與其聯(lián)系談判,將在UTC時(shí)間11月2日13:25:39截止日期之前發(fā)布數(shù)據(jù)。
Lockbit表示,其勒索軟件附屬團(tuán)伙利用零日漏洞獲得了波音公司系統(tǒng)的訪問權(quán)限。然而,Lockbit并未詳細(xì)說明此漏洞,因此安全研究人員無法驗(yàn)證這些聲明是否真實(shí)。 Lockbit沒有透露據(jù)稱從波音公司竊取了多少數(shù)據(jù),也沒有透露所要求的贖金金額。波音公司沒有進(jìn)一步置評(píng)。 截至本文發(fā)稿,波音公司已經(jīng)被Lockbit從泄露名單中移除,這可能意味著波音公司已經(jīng)與該勒索組織展開談判或者支付贖金。 消息來源:GoUpSec https://mp.weixin.qq.com/s/2ormJCk0ohfmv5UW_D2DgQ
來源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來,僅用于分享,并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性,部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系,若涉及版權(quán)問題,煩請(qǐng)?jiān)髡呗?lián)系我們,我們會(huì)盡快刪除處理,謝謝! |
下一篇:《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—粵港澳大灣區(qū)跨境個(gè)人信息保護(hù)要求》公開征求意見 |