【壹周快报】15部门发布《关于促进中小企业提升合规意识加强合规管理的指导意见》；因存储桶配置错误，8.6万医护人员信息泄露

锐成信息壹周快报，汇总了本周的热点资讯、安全事件，保证大家不错过本周的每一个重点!本周重点关注：15部门发布《关于促进中小企业提升合规意识加强合规管理的指导意见》；因存储桶配置错误，8.6万医护人员信息泄露。

【热点资讯】

1、工信部等15部门发布《关于促进中小企业提升合规意识加强合规管理的指导意见》

3月13日，工业和信息化部等15部门办公厅（秘书局、办公室、综合司）联合发布《关于促进中小企业提升合规意识加强合规管理的指导意见》，引导中小企业增强合规意识、加强合规建设、提升合规管理水平，防范生产经营风险。

指导意见提出网络和数据安全合规。引导中小企业遵守网络安全、数据安全等方面法律法规，加强信息系统、网络、数据的安全防护和安全意识教育；制定实施数据安全合规管理制度，加强对数据的分类分级和权限管理，加强人员管理和技术控制，履行重要数据识别备案、分级防护、风险评估等责任义务，防范并及时应对和处理数据泄露、篡改、丢失事件；重点梳理向第三方输出、共享、委托、提供数据，从第三方接受数据，处理个人信息及跨境传输数据等活动中的合规要求和风险，落实特定类型信息收集与使用合规义务，保护企业数据及个人信息安全。

• 资料来源：工业和信息化部
• 资料链接：https://wap.miit.gov.cn/zwgk/zcwj/wjfb/yj/art/2025/art_ab58112ddea44edeb2f45dd2afb7e583.html

2、NCSC：关键基础设施遭受网络攻击后24小时内报告

近日，瑞士已批准《网络安全条例》，自2025年4月1日起生效。该法令规定了关键基础设施遭受网络攻击时的报告义务，并设定了例外情况和程序，要求如能源和饮用水供应商、运输公司以及州和市镇行政部门等关键基础设施组织必须在发现网络攻击后24小时内向国家网络安全中心报告。据悉，这项与安全漏洞通报相关的新政策是为应对日益增多的网络事件而推出的。

3、西班牙批准人工智能治理法案

2025年3月11 日，西班牙部长会议根据第50/1997号法律第26.4条的规定，批准了《人工智能（AI）合理使用和管理法草案初稿》，使西班牙立法与欧洲人工智能法规保持一致，以确保人工智能的使用符合道德、具有包容性且有益。此举旨在规范AI技术的健康发展，遏制潜在不良行为，并对关键行业内的高风险人工智能系统施加严格的监管措施，确保公民权益和社会安全得到有效保护。

【安全事件】

1、因AWS S3存储桶配置错误，8.6万医护人员信息泄露

据cybersecuritynews消息，美国新泽西州一家健康科技公司ESHYFT发现了一起涉及敏感医护人员信息的重大数据泄露事件，超过86,000条记录被泄露。据悉，研究人员Jeremiah Fowler发现这个未受保护的AWS S3存储桶，其中包含约108.8 GB的数据，包括高度敏感的个人身份信息 (PII)，包括个人资料图像、工作时间表、专业证书和可能受 HIPAA 法规保护的医疗文件，这些数据缺乏密码保护或加密，导致医护人员的私人信息可被公开访问，给他们带来巨大风险。

2、僵尸网络Ballista利用TP-Link漏洞，感染超6000台设备

据thehackernews消息，Cato CTRL团队发现，未打补丁的TP-Link Archer路由器已成为被称为Ballista的新僵尸网络活动的目标。Ballista利用TP-Link Archer路由器中的远程代码执行 (RCE) 漏洞（CVE-2023-1389）注入命令，执行远程代码，安装恶意软件，会在82端口上建立加密的命令与控制 (C2) 通道，以控制设备。

3、X平台遭网络攻击，致其全球范围内多次宕机

据相关报道，近日，X平台遭遇了大规模的网络攻击，导致该平台全球范围内多次宕机，许多用户无法正常使用。据奇安信Xlab实验室分析，此次攻击和春节期间攻击DeepSeek的为同一主力僵尸网络，为Mirai变种僵尸网络RapperBot。

4、电信巨头NTT遭网络攻击，约2万家企业客户数据泄露

据securityaffairs消息，近日，日本电信巨头NTT发布公告，称其遭到网络攻击，内部设施遭到未经授权的访问，确认部分信息可能已被外泄。据悉，攻击者入侵了该公司的“订单信息分发系统”，系统中存储了17891家企业客户（公司）的详细信息，疑似包含客户名称、电话号码以及合同编号等企业客户数据泄露。

5、捷豹路虎疑似遭数据泄露，泄露约700份内部文件

据cybersecuritynews消息，据报道，一个化名为Rey的威胁行为者入侵了英国最著名的汽车制造商之一捷豹路虎（JLR）的内部系统，并泄露了约700份包含敏感技术和运营数据的内部文件。目前，捷豹路虎公司尚未就此次泄露事件发表官方声明，但监控暗网活动的网络安全公司已开始验证泄露数据的真实性。如果此次事件被证实，该事件可能是豪华汽车制造商面临的最重大的网络安全威胁之一。

部分图文内容来源网络，仅供传播交流