360数科发布数据安全管理制度,健全信息保护合规制度体系
发布时间:2021-10-11 | 发布者: 东东工作室 | 浏览次数: 次9月28日消息,近日,360数科效率安全部信息安全组向全员发布《360数科数据安全管理制度》(以下简称“制度”),该制度旨在加强和规范平台数据安全管理工作,指导全员提升数据安全意识,并依照制度快速对数据级别进行判定,明确数据生命周期内的安全管理要求。通过该项制度及相关数据保护制度的组合落实,在公司内部不断建立健全个人信息保护和数据安全合规制度体系,协同数据安全风险专项工作小组共同治理内部数据安全,加强内部合规管理,持续化提升数据安全技术能力。
该制度作为企业数据安全管理的内部规范,包括数据分类分级管理、数据安全运营管理、数据全生命周期安全管理和合作方等全链路管理,将公司内数据产生、存储、使用、传输、销毁、归集等全生命周期过程全部纳入有效制度管理。信息安全组负责人表示:伴随着《个人信息保护法》的表决通过和《数据安全法》的施行,企业侧的数据处理行为和对用户信息的保护都将有法可依、有章可循,作为企业主体,落实法规,健全制度体系,加强内部数据安全管理,是践行企业自律和主体责任的必要举措,我们将按照监管部门指引和要求,与行业组织、科研机构等多元共治数据安全治理,为数字化经济的安全健康发展提供有力支撑。
信息安全组负责人介绍:数据安全是个人信息保护的基础,在制定企业内部的数据安全管理制度时,我们也对照《数据安全法》和《个人信息保护法》的法规要求,将企业内部的数据全生命周期安全纳入了制度管理,以保证用户侧的个人信息得到坚实可靠的保护。
《制度》对公司及平台数据的产生,存储、适用、传输、销毁、归集全生命周期安全管理均做了详细的规定,如对数据存储规定,确保存储数据的服务器、数据库、相关IT基础设施自身的安全配置符合公司安全配置基线要求,并基于安全风险评估结果进行安全配置加固;对数据使用规定涉密数据用于开发测试时应先进行脱敏处理;对数据传输规定应划分网络安全区域,在安全域边界部署防火墙等网络安全设备,明确定义跨安全域之间的数据访问和数据传输控制策略,隔离存储和处理敏感数据的服务器。
此外,《制度》将涉及外部合作的合作方安全评估、接口安全要求、第三方系统接入、第三方人员安全要求也纳入数据安全制度的闭环管理,将基于安全管理制度体系和技术防护手段进行综合评估,以确保业务合作的数据安全和合规。
数据分类分级管理 遵守最小授权原则
参照《个人信息保护法》与《数据安全法》的相关条款和原则,《360数科数据安全管理制度》也将数据分类分级管理和最小授权原则贯穿落实到了整个制度的设计当中。
作为《制度》的重要板块之一,“数据分类分级管理”条款将已发布的《360数科数据分类分级管理规定》进行了再次强化,规定公司内部建立数据分类分级管理策略,确保公司敏感数据、关键数据和受到法律保护的数据得到相应级别的保护,降低发生数据泄露或其他类型网络攻击的可能性,提高数据使用合规性,推动数据安全相关法律法规落地。对数据的分类分级全覆盖管理也是将数据管理去除盲点,例如,在数据使用方面规定,除已明确公开的数据,未定安全级别的数据使用前须与信息安全组和相关业务部门确定安全级别,否则需默认按照最高安全等级数据保护。信息安全组根据数据分类分级结果实施适当的合规管理与技术管控,提供与数据安全级别相匹配的安全保障。
最小授权原则也是贯穿《制度》的一条主线原则,《制定》规定在数据运营管理方面,数据权限分配应按照“最小授权原则”;在数据全生命周期安全管理方面,收集数据应遵循最小化收集原则,即仅收集业务必须的最少数据;收集数据前应与数据被收集方明确双方的安全责任和义务,并按约定收集、使用和管理数据。数据的存储和使用均确保用户获得的权限为其工作和岗位职责所需的最小权限。
信息安全组负责人介绍,与《360数科数据安全管理制度》配套使用的相关数据安全管理文件还有之前发布的《360数科 数据分类分级管理制度》和《360数科第三方系统接入管理规定》,未来还将不断发布和更新管理制度,从平台侧建立健全数据安全和个人信息保护合规制度体系。
当数据成为数字经济的基础能源,当信息与每一个人息息相关,《数据安全法》一方面构建起政府、行业组织、科研机构、企业、个人多元共治的数据安全治理体系。另一方面,也倡导行业自律,推动行业组织、科研机构、企业、个人等共同参与数据安全保护工作。
360数科信息安全组与合规部、公共事务部、公关部、各业务线安全负责人成立内部数据安全风险专项小组,推动内部数据安全建设,推动数据安全法落地工作;为保障数据全生命周期安全管理,信息安全组将协同数据安全风险专项工作小组共同治理内部数据安全,通过数据分类分级落实、账号权限治理、数据安全技术建设、日志审计分析能力提升、数据防泄漏能力提升等举措,持续化提升公司数据安全技术能力。