英国信息委员会办公室(以下简称'ICO') 于 2022 年 10 月 24 日发布了罚款通知，其中对 建筑公司Interserve Group Limited 处以 440 万英镑的罚款，理由是其违反了一般数据保护条例（以下简称“GDPR”）第 5(1)(f) 条和第 32 条。在 ICO 收到Interserve 的个人数据泄露通知后，及时进行了调查。

值得注意的是，ICO 发现 Interserve 的以下行为违反了 GDPR 第 5(1)(f) 条：

• 在不受支持的操作系统上处理个人数据，这些操作系统不再是修复已知漏洞的安全更新的主题；

• 未能实施适当的端点保护；

• 未能对员工进行适当和有效的信息培训；

• 未能更新协议；

• 未能对最初攻击的原因进行有效和及时的调查；

• 未能有效管理特权帐户访问。

此外，鉴于上述 Interserve 数据安全措施的缺陷，ICO 还发现 Interserve 未能实施适当的技术和组织措施来确保其处理系统和服务的持续机密性、完整性、可用性、访问和弹性违反 GDPR 第 32(1)(b) 和 (c) 条。此外，ICO 表示，Interserve 未能定期测试、评估和评估技术和组织措施的有效性，以确保违反 GDPR 第 32(1)(d) 条的处理安全。

【来源：企业数据合规官】