对个人用户而言，除非成为黑客坚定的目标，那样简单无法逃脱。

多数人们并不会获得如此殊荣，也不会受到黑客特别的钟情，所以面临的也只是常见的安全威胁，拜蓬勃的信息技术产业和政策对信息安全的支持，应对这引起威胁，有大量成熟的、创新的解决方案。

然而，如果人们没能了解基础的安全防范知识，强大的技术解决方案显然不够完美，而总显得滞后。下面几招则是由昆明亭长朗然科技有限公司的计算机安全专员Bob Xue向您分享的信息安全普世真理，相信大多数资深用户都已经再熟悉不过，新人可能还有些陌生，不管怎样，熟悉一下总没错！

– 安装杀毒软件。杀毒软件可将已知恶意程序拒之门外，也可防范黑客窃取个人信息。网络罪犯每天发布数千个新程序，平均每秒都有多个新的安全威胁出现，因此及时更新杀毒软件十分重要，定期进行检查并确认杀毒软件正常启用也是很有必要的。

– 安装软件补丁。多数的安全攻击在技术上利用了软件的漏洞，而微软、谷歌、苹果和奥多比等公司均不断发布小的的更新程序以修补Windows操作系统、应用软件如：浏览器和Flash程序中新发现的安全漏洞，用户应当及时安装这些补丁，让新的安全威胁无法利用这些弱点。

– 保持戒心。除非确保安全无毒，否则一律将电子邮件附件、社交网站链接和网站上的可下载文件视同病毒处理。这些是罪犯将恶意软件传送到受害者计算机的最常用伎俩。

– 使用安全密码。使用包含数字、字母和符号的混合密码；不要以常用单词或个人信息作为密码；不要在多个站点使用同一密码；手机也要设置密码。

– 在公共场合保持警惕。用公共计算机登录Gmail、腾讯(Tencent)QQ或Hotmail邮箱后应登出，清空浏览器缓存、cookie和历史，然后关闭浏览器，尽量不要在公共场合使用线上交易。

– 接触敏感信息的人士需特别小心。他们很可能成为黑客的攻击目标。攻击手段包括伪装成受害者认识的人，通过电子邮件向其发送恶意软件。重要文件加密是有效的保护措施之一。公司用户还应当配备能够跟踪敏感信息发送路径的系统。

或许您觉得这些已经是些“小儿科”，您可能想成为一名共和国的虚拟信息安全战士，那就先参加一下我们的信息安全意识挑战赛吧！挑战成功者可以优先入伍哦！请联系我们进行在线体验及洽谈合作。

电话：0871-67122372

手机：18206751343

微信：18206751343

邮箱：info@securemymind.com

QQ：1767022898

不管什么行业以及规模如何，各类型的组织机构都面临一大批和信息安全以及隐私保护相关的法规遵循的挑战。自2013年9月1日起施行的“电信和互联网用户个人信息保护规定”便是一个典型的例子。具有里程碑意义的《中国人民共和国网络安全法》于2017年6月1日正式生效，作为国内第一部系统性提出网络空间治理的法律法规，特别加强和明确了个人信息保护方面的要求。

实际上，和综合全面的ISO/IEC 27001 & 27002相比，多数行业的信息安全及隐私保护合规要求从内容数量上看要少得多，所以实施起来也相对比较简单，只是要整理这些必要的东西出来任务还是相当繁琐，特别是针对最终用户的合规安全意识教育方面。

我们先简要看一下《网络安全法》中关于个人信息保护的主要条款：

第四十条 网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。
第四十一条 网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。
第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。
第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。
第四十五条 依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。

还有一个会让不少心怀不轨之人颤抖的“贩卖50条公民个人信息可入罪”，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明确对于行踪轨迹信息、通信内容、征信信息、财产信息，非法获取、出售或者提供50条以上即算“情节严重”，构成犯罪。

回到“电信和互联网用户个人信息保护规定”这个例子中，近些年，电信运营商中的少数工作人员非法获取和出售客户信息的案例被一再曝光，而数量众多的网站用户数据库被“脱裤”更是让互联网信息服务提供者面临重重压力。

尽管个人信息保护相关的法规对经营者违反规定的惩罚力度不过区区三万块，但相关工作人员可能被行政处理甚至起诉，抛开大型的管理制度相对完善的电信运营商不谈，众多要求用户登记注册的网站不得不注意了。

规定定义了“个人信息”，这让人想起PII，Personal Identity Information，包括用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等，当然，如果不收集这些信息，则肯定可以“逍遥法外”。不过，运营商需要用户实名，多数大中型互联网服务商也需要这些“个人信息”来进行用户行为的数据分析和深度挖掘，以便提供更有针对性和个性化的服务。

总体上讲，服务商收集和使用用户个人信息应当遵守“合法、正当、必要的原则”，并且为用户个人信息的安全负责。

而详细的信息收集和使用规范以及安全保障措施则要求服务商做更多的行动，要确认或补救的一些动作包括：

1.公布个人信息收集和使用的规则，让用户知晓，并且在用户同意的情况下收集；
2.提供注销号码或者账号的服务，而且在用户终止使用服务后，停止个人信息的收集和使用；
3.特别强调了信息的保密，不得人为泄露、篡改或者毁损，也不得出售或者非法向他人提供；
4.对第三方代理人收集和使用个人信息保护工作进行安全保密相关知识的培训、监督和管理；
5.建立一个用户投诉沟通渠道、公布联系方式和处理机制，要有人员在特定时间内答复投诉人；
6.创建和更新“用户个人信息安全保护工作流程和管理制度”并进行必要的沟通培训；
7.记录对用户个人信息进行操作的人员、时间、地点、事项等信息；
8.建立个人信息保护相关的安全事故报告流程和处理机制；
9.向工作人员提供相关知识、技能和安全责任的培训；
10.建立自查流程，并记录下每年自查和整改的情况；

实际上，我们简单看一看，除了依据法规来完善和细化流程文档和记录文件之外，主要在沟通，与用户的沟通，与员工的沟通，与第三方代理人的沟通，以及与监管机关——电信管理机构的沟通。

记录文件和与用户的大量沟通可以通过在线的系统比如网站页面、注册和帮助网页等地方强调，其它的沟通比如向工作人员宣传相关职责、知识和技能则需要通过培训方式来进行。

昆明亭长朗然科技有限公司开发制作了简单实用的在线个人信息安全保护培训课程，可以帮助各电信运营商以及互联网服务提供商快速而有效地实施个人信息安全保护合规培训，以帮助达到合规运营的目标。

位于春城的昆明亭长朗然科技有限公司专注于安全、合规与保密意识的培训资源设计开发和服务交付，我们有大量的动画视频和课件模块以供选择及组合使用。欢迎联系我们索取资源清单，和洽谈采购。

电话：0871-67122372

微信：18206751343

邮件：info＠securemymind.com

QQ: 1767022898