為推動(dòng)《數(shù)據(jù)安全法》在互聯(lián)網(wǎng)平臺(tái)的落地����,建立健全企業(yè)主體內(nèi)部全流程數(shù)據(jù)安全管理制度����,近日����,360數(shù)科效率安全部信息安全組向全員發(fā)布《360數(shù)科數(shù)據(jù)安全管理制度》(以下簡(jiǎn)稱“制度”)�,該制度旨在加強(qiáng)和規(guī)范平臺(tái)數(shù)據(jù)安全管理工作,指導(dǎo)全員提升數(shù)據(jù)安全意識(shí)�,并依照制度快速對(duì)數(shù)據(jù)級(jí)別進(jìn)行判定,明確數(shù)據(jù)生命周期內(nèi)的安全管理要求�����。通過該項(xiàng)制度及相關(guān)數(shù)據(jù)保護(hù)制度的組合落實(shí)�����,在公司內(nèi)部不斷建立健全個(gè)人信息保護(hù)和數(shù)據(jù)安全合規(guī)制度體系�,協(xié)同數(shù)據(jù)安全風(fēng)險(xiǎn)專項(xiàng)工作小組共同治理內(nèi)部數(shù)據(jù)安全�����,加強(qiáng)內(nèi)部合規(guī)管理���,持續(xù)化提升數(shù)據(jù)安全技術(shù)能力�����。
該制度作為企業(yè)數(shù)據(jù)安全管理的內(nèi)部規(guī)范���,包括數(shù)據(jù)分類分級(jí)管理����、數(shù)據(jù)安全運(yùn)營管理�、數(shù)據(jù)全生命周期安全管理和合作方等全鏈路管理,將公司內(nèi)數(shù)據(jù)產(chǎn)生���、存儲(chǔ)����、使用�����、傳輸���、銷毀���、歸集等全生命周期過程全部納入有效制度管理。信息安全組負(fù)責(zé)人表示:伴隨著《個(gè)人信息保護(hù)法》的表決通過和《數(shù)據(jù)安全法》的施行,企業(yè)側(cè)的數(shù)據(jù)處理行為和對(duì)用戶信息的保護(hù)都將有法可依����、有章可循,作為企業(yè)主體�����,落實(shí)法規(guī)�����,健全制度體系�����,加強(qiáng)內(nèi)部數(shù)據(jù)安全管理�����,是踐行企業(yè)自律和主體責(zé)任的必要舉措���,我們將按照監(jiān)管部門指引和要求,與行業(yè)組織���、科研機(jī)構(gòu)等多元共治數(shù)據(jù)安全治理���,為數(shù)字化經(jīng)濟(jì)的安全健康發(fā)展提供有力支撐�。
數(shù)據(jù)全生命周期安全管理 提升內(nèi)部安全能力
《個(gè)人信息保護(hù)法》規(guī)定了用戶在信息收集�����、存儲(chǔ)���、使用����、加工�����、傳輸�、提供、公開�、刪除等全生命周期過程所享有的知情權(quán)和決定權(quán)等權(quán)利。而《數(shù)據(jù)安全法》也明確規(guī)定數(shù)據(jù)處理包括數(shù)據(jù)的收集���、存儲(chǔ)����、使用、加工����、傳輸、提供����、公開等,也包含了數(shù)據(jù)全生命周期的處理活動(dòng)�。信息安全組負(fù)責(zé)人介紹:數(shù)據(jù)安全是個(gè)人信息保護(hù)的基礎(chǔ),在制定企業(yè)內(nèi)部的數(shù)據(jù)安全管理制度時(shí)�,我們也對(duì)照《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》的法規(guī)要求,將企業(yè)內(nèi)部的數(shù)據(jù)全生命周期安全納入了制度管理���,以保證用戶側(cè)的個(gè)人信息得到堅(jiān)實(shí)可靠的保護(hù)�。
《制度》對(duì)公司及平臺(tái)數(shù)據(jù)的產(chǎn)生����,存儲(chǔ)、適用�、傳輸、銷毀����、歸集全生命周期安全管理均做了詳細(xì)的規(guī)定,如對(duì)數(shù)據(jù)存儲(chǔ)規(guī)定����,確保存儲(chǔ)數(shù)據(jù)的服務(wù)器、數(shù)據(jù)庫�、相關(guān)IT基礎(chǔ)設(shè)施自身的安全配置符合公司安全配置基線要求,并基于安全風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行安全配置加固�;對(duì)數(shù)據(jù)使用規(guī)定涉密數(shù)據(jù)用于開發(fā)測(cè)試時(shí)應(yīng)先進(jìn)行脫敏處理;對(duì)數(shù)據(jù)傳輸規(guī)定應(yīng)劃分網(wǎng)絡(luò)安全區(qū)域�����,在安全域邊界部署防火墻等網(wǎng)絡(luò)安全設(shè)備�����,明確定義跨安全域之間的數(shù)據(jù)訪問和數(shù)據(jù)傳輸控制策略���,隔離存儲(chǔ)和處理敏感數(shù)據(jù)的服務(wù)器�。
此外����,《制度》將涉及外部合作的合作方安全評(píng)估���、接口安全要求、第三方系統(tǒng)接入���、第三方人員安全要求也納入數(shù)據(jù)安全制度的閉環(huán)管理�����,將基于安全管理制度體系和技術(shù)防護(hù)手段進(jìn)行綜合評(píng)估�����,以確保業(yè)務(wù)合作的數(shù)據(jù)安全和合規(guī)����。
數(shù)據(jù)分類分級(jí)管理 遵守最小授權(quán)原則
參照《個(gè)人信息保護(hù)法》與《數(shù)據(jù)安全法》的相關(guān)條款和原則�����,《360數(shù)科數(shù)據(jù)安全管理制度》也將數(shù)據(jù)分類分級(jí)管理和最小授權(quán)原則貫穿落實(shí)到了整個(gè)制度的設(shè)計(jì)當(dāng)中�����。
作為《制度》的重要板塊之一�,“數(shù)據(jù)分類分級(jí)管理”條款將已發(fā)布的《360 數(shù)科數(shù)據(jù)分類分級(jí)管理規(guī)定》進(jìn)行了再次強(qiáng)化���,規(guī)定公司內(nèi)部建立數(shù)據(jù)分類分級(jí)管理策略,確保公司敏感數(shù)據(jù)���、關(guān)鍵數(shù)據(jù)和受到法律保護(hù)的數(shù)據(jù)得到相應(yīng)級(jí)別的保護(hù),降低發(fā)生數(shù)據(jù)泄露或其他類型網(wǎng)絡(luò)攻擊的可能性�����,提高數(shù)據(jù)使用合規(guī)性�,推動(dòng)數(shù)據(jù)安全相關(guān)法律法規(guī)落地。對(duì)數(shù)據(jù)的分類分級(jí)全覆蓋管理也是將數(shù)據(jù)管理去除盲點(diǎn)�,例如,在數(shù)據(jù)使用方面規(guī)定�,除已明確公開的數(shù)據(jù),未定安全級(jí)別的數(shù)據(jù)使用前須與信息安全組和相關(guān)業(yè)務(wù)部門確定安全級(jí)別�,否則需默認(rèn)按照最高安全等級(jí)數(shù)據(jù)保護(hù)。信息安全組根據(jù)數(shù)據(jù)分類分級(jí)結(jié)果實(shí)施適當(dāng)?shù)暮弦?guī)管理與技術(shù)管控�,提供與數(shù)據(jù)安全級(jí)別相匹配的安全保障。
最小授權(quán)原則也是貫穿《制度》的一條主線原則����,《制定》規(guī)定在數(shù)據(jù)運(yùn)營管理方面,數(shù)據(jù)權(quán)限分配應(yīng)按照“最小授權(quán)原則”�;在數(shù)據(jù)全生命周期安全管理方面����,收集數(shù)據(jù)應(yīng)遵循最小化收集原則���,即僅收集業(yè)務(wù)必須的最少數(shù)據(jù)�����;收集數(shù)據(jù)前應(yīng)與數(shù)據(jù)被收集方明確雙方的安全責(zé)任和義務(wù)�����,并按約定收集�����、使用和管理數(shù)據(jù)���。數(shù)據(jù)的存儲(chǔ)和使用均確保用戶獲得的權(quán)限為其工作和崗位職責(zé)所需的最小權(quán)限。
健全合規(guī)制度體系 推動(dòng)數(shù)據(jù)安全法落地
信息安全組負(fù)責(zé)人介紹�����,與《360數(shù)科數(shù)據(jù)安全管理制度》配套使用的相關(guān)數(shù)據(jù)安全管理文件還有之前發(fā)布的《360數(shù)科 數(shù)據(jù)分類分級(jí)管理制度》和《360數(shù)科第三方系統(tǒng)接入管理規(guī)定》�,未來還將不斷發(fā)布和更新管理制度����,從平臺(tái)側(cè)建立健全數(shù)據(jù)安全和個(gè)人信息保護(hù)合規(guī)制度體系����。
當(dāng)數(shù)據(jù)成為數(shù)字經(jīng)濟(jì)的基礎(chǔ)能源,當(dāng)信息與每一個(gè)人息息相關(guān)�,《數(shù)據(jù)安全法》一方面構(gòu)建起政府、行業(yè)組織����、科研機(jī)構(gòu)�����、企業(yè)�����、個(gè)人多元共治的數(shù)據(jù)安全治理體系����。另一方面,也倡導(dǎo)行業(yè)自律�,推動(dòng)行業(yè)組織�、科研機(jī)構(gòu)�����、企業(yè)�、個(gè)人等共同參與數(shù)據(jù)安全保護(hù)工作。
360數(shù)科信息安全組與合規(guī)部�����、公共事務(wù)部����、公關(guān)部、各業(yè)務(wù)線安全負(fù)責(zé)人成立內(nèi)部數(shù)據(jù)安全風(fēng)險(xiǎn)專項(xiàng)小組���,推動(dòng)內(nèi)部數(shù)據(jù)安全建設(shè)����,推動(dòng)數(shù)據(jù)安全法落地工作���;為保障數(shù)據(jù)全生命周期安全管理�,信息安全組將協(xié)同數(shù)據(jù)安全風(fēng)險(xiǎn)專項(xiàng)工作小組共同治理內(nèi)部數(shù)據(jù)安全,通過數(shù)據(jù)分類分級(jí)落實(shí)�、賬號(hào)權(quán)限治理、數(shù)據(jù)安全技術(shù)建設(shè)���、日志審計(jì)分析能力提升���、數(shù)據(jù)防泄漏能力提升等舉措,持續(xù)化提升公司數(shù)據(jù)安全技術(shù)能力���。
轉(zhuǎn)自:財(cái)經(jīng)網(wǎng)
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品���,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力���。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊,僅代表作者個(gè)人觀點(diǎn)�����,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)�。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056���。
延伸閱讀
