為推動《數(shù)據(jù)安全法》在互聯(lián)網平臺的落地,建立健全企業(yè)主體內部全流程數(shù)據(jù)安全管理制度���,近日�����,360數(shù)科效率安全部信息安全組向全員發(fā)布《360數(shù)科數(shù)據(jù)安全管理制度》(以下簡稱“制度”)���,該制度旨在加強和規(guī)范平臺數(shù)據(jù)安全管理工作����,指導全員提升數(shù)據(jù)安全意識���,并依照制度快速對數(shù)據(jù)級別進行判定����,明確數(shù)據(jù)生命周期內的安全管理要求���。通過該項制度及相關數(shù)據(jù)保護制度的組合落實,在公司內部不斷建立健全個人信息保護和數(shù)據(jù)安全合規(guī)制度體系�,協(xié)同數(shù)據(jù)安全風險專項工作小組共同治理內部數(shù)據(jù)安全,加強內部合規(guī)管理����,持續(xù)化提升數(shù)據(jù)安全技術能力。
該制度作為企業(yè)數(shù)據(jù)安全管理的內部規(guī)范��,包括數(shù)據(jù)分類分級管理�、數(shù)據(jù)安全運營管理、數(shù)據(jù)全生命周期安全管理和合作方等全鏈路管理���,將公司內數(shù)據(jù)產生����、存儲、使用�����、傳輸���、銷毀�����、歸集等全生命周期過程全部納入有效制度管理����。信息安全組負責人表示:伴隨著《個人信息保護法》的表決通過和《數(shù)據(jù)安全法》的施行���,企業(yè)側的數(shù)據(jù)處理行為和對用戶信息的保護都將有法可依����、有章可循�,作為企業(yè)主體����,落實法規(guī)��,健全制度體系�����,加強內部數(shù)據(jù)安全管理�����,是踐行企業(yè)自律和主體責任的必要舉措�,我們將按照監(jiān)管部門指引和要求,與行業(yè)組織��、科研機構等多元共治數(shù)據(jù)安全治理���,為數(shù)字化經濟的安全健康發(fā)展提供有力支撐。
數(shù)據(jù)全生命周期安全管理 提升內部安全能力
《個人信息保護法》規(guī)定了用戶在信息收集��、存儲���、使用�、加工、傳輸��、提供�、公開、刪除等全生命周期過程所享有的知情權和決定權等權利��。而《數(shù)據(jù)安全法》也明確規(guī)定數(shù)據(jù)處理包括數(shù)據(jù)的收集���、存儲��、使用��、加工�����、傳輸�����、提供�����、公開等���,也包含了數(shù)據(jù)全生命周期的處理活動���。信息安全組負責人介紹:數(shù)據(jù)安全是個人信息保護的基礎,在制定企業(yè)內部的數(shù)據(jù)安全管理制度時����,我們也對照《數(shù)據(jù)安全法》和《個人信息保護法》的法規(guī)要求,將企業(yè)內部的數(shù)據(jù)全生命周期安全納入了制度管理���,以保證用戶側的個人信息得到堅實可靠的保護�����。
《制度》對公司及平臺數(shù)據(jù)的產生��,存儲���、適用��、傳輸�、銷毀、歸集全生命周期安全管理均做了詳細的規(guī)定����,如對數(shù)據(jù)存儲規(guī)定���,確保存儲數(shù)據(jù)的服務器、數(shù)據(jù)庫����、相關IT基礎設施自身的安全配置符合公司安全配置基線要求,并基于安全風險評估結果進行安全配置加固�;對數(shù)據(jù)使用規(guī)定涉密數(shù)據(jù)用于開發(fā)測試時應先進行脫敏處理;對數(shù)據(jù)傳輸規(guī)定應劃分網絡安全區(qū)域�,在安全域邊界部署防火墻等網絡安全設備,明確定義跨安全域之間的數(shù)據(jù)訪問和數(shù)據(jù)傳輸控制策略��,隔離存儲和處理敏感數(shù)據(jù)的服務器�。
此外,《制度》將涉及外部合作的合作方安全評估����、接口安全要求、第三方系統(tǒng)接入��、第三方人員安全要求也納入數(shù)據(jù)安全制度的閉環(huán)管理��,將基于安全管理制度體系和技術防護手段進行綜合評估,以確保業(yè)務合作的數(shù)據(jù)安全和合規(guī)�。
數(shù)據(jù)分類分級管理 遵守最小授權原則
參照《個人信息保護法》與《數(shù)據(jù)安全法》的相關條款和原則,《360數(shù)科數(shù)據(jù)安全管理制度》也將數(shù)據(jù)分類分級管理和最小授權原則貫穿落實到了整個制度的設計當中�。
作為《制度》的重要板塊之一,“數(shù)據(jù)分類分級管理”條款將已發(fā)布的《360 數(shù)科數(shù)據(jù)分類分級管理規(guī)定》進行了再次強化���,規(guī)定公司內部建立數(shù)據(jù)分類分級管理策略���,確保公司敏感數(shù)據(jù)、關鍵數(shù)據(jù)和受到法律保護的數(shù)據(jù)得到相應級別的保護���,降低發(fā)生數(shù)據(jù)泄露或其他類型網絡攻擊的可能性�����,提高數(shù)據(jù)使用合規(guī)性���,推動數(shù)據(jù)安全相關法律法規(guī)落地。對數(shù)據(jù)的分類分級全覆蓋管理也是將數(shù)據(jù)管理去除盲點��,例如�,在數(shù)據(jù)使用方面規(guī)定,除已明確公開的數(shù)據(jù)�����,未定安全級別的數(shù)據(jù)使用前須與信息安全組和相關業(yè)務部門確定安全級別���,否則需默認按照最高安全等級數(shù)據(jù)保護�。信息安全組根據(jù)數(shù)據(jù)分類分級結果實施適當?shù)暮弦?guī)管理與技術管控��,提供與數(shù)據(jù)安全級別相匹配的安全保障��。
最小授權原則也是貫穿《制度》的一條主線原則���,《制定》規(guī)定在數(shù)據(jù)運營管理方面�,數(shù)據(jù)權限分配應按照“最小授權原則”��;在數(shù)據(jù)全生命周期安全管理方面����,收集數(shù)據(jù)應遵循最小化收集原則,即僅收集業(yè)務必須的最少數(shù)據(jù)�����;收集數(shù)據(jù)前應與數(shù)據(jù)被收集方明確雙方的安全責任和義務�,并按約定收集、使用和管理數(shù)據(jù)。數(shù)據(jù)的存儲和使用均確保用戶獲得的權限為其工作和崗位職責所需的最小權限�����。
健全合規(guī)制度體系 推動數(shù)據(jù)安全法落地
信息安全組負責人介紹�,與《360數(shù)科數(shù)據(jù)安全管理制度》配套使用的相關數(shù)據(jù)安全管理文件還有之前發(fā)布的《360數(shù)科 數(shù)據(jù)分類分級管理制度》和《360數(shù)科第三方系統(tǒng)接入管理規(guī)定》,未來還將不斷發(fā)布和更新管理制度��,從平臺側建立健全數(shù)據(jù)安全和個人信息保護合規(guī)制度體系��。
當數(shù)據(jù)成為數(shù)字經濟的基礎能源���,當信息與每一個人息息相關��,《數(shù)據(jù)安全法》一方面構建起政府��、行業(yè)組織�、科研機構�����、企業(yè)���、個人多元共治的數(shù)據(jù)安全治理體系��。另一方面��,也倡導行業(yè)自律�,推動行業(yè)組織�、科研機構、企業(yè)��、個人等共同參與數(shù)據(jù)安全保護工作���。
360數(shù)科信息安全組與合規(guī)部����、公共事務部��、公關部����、各業(yè)務線安全負責人成立內部數(shù)據(jù)安全風險專項小組,推動內部數(shù)據(jù)安全建設����,推動數(shù)據(jù)安全法落地工作;為保障數(shù)據(jù)全生命周期安全管理����,信息安全組將協(xié)同數(shù)據(jù)安全風險專項工作小組共同治理內部數(shù)據(jù)安全��,通過數(shù)據(jù)分類分級落實��、賬號權限治理����、數(shù)據(jù)安全技術建設���、日志審計分析能力提升����、數(shù)據(jù)防泄漏能力提升等舉措�,持續(xù)化提升公司數(shù)據(jù)安全技術能力。
轉自:財經網
【版權及免責聲明】凡本網所屬版權作品���,轉載時須獲得授權并注明來源“中國產業(yè)經濟信息網”����,違者本網將保留追究其相關法律責任的權力����。凡轉載文章及企業(yè)宣傳資訊�����,僅代表作者個人觀點�,不代表本網觀點和立場��。版權事宜請聯(lián)系:010-65363056�����。
延伸閱讀
