360數科發布數據安全管理制度 構建全生命周期數據安全能力

　　為推動《數據安全法》在互聯網平臺的落地，建立健全企業主體內部全流程數據安全管理制度，近日，360數科效率安全部信息安全組向全員發布《360數科數據安全管理制度》（以下簡稱“制度”），該制度旨在加強和規范平臺數據安全管理工作，指導全員提升數據安全意識，并依照制度快速對數據級別進行判定，明確數據生命周期內的安全管理要求。通過該項制度及相關數據保護制度的組合落實，在公司內部不斷建立健全個人信息保護和數據安全合規制度體系，協同數據安全風險專項工作小組共同治理內部數據安全，加強內部合規管理，持續化提升數據安全技術能力。

　　該制度作為企業數據安全管理的內部規范，包括數據分類分級管理、數據安全運營管理、數據全生命周期安全管理和合作方等全鏈路管理，將公司內數據產生、存儲、使用、傳輸、銷毀、歸集等全生命周期過程全部納入有效制度管理。信息安全組負責人表示：伴隨著《個人信息保護法》的表決通過和《數據安全法》的施行，企業側的數據處理行為和對用戶信息的保護都將有法可依、有章可循，作為企業主體，落實法規，健全制度體系，加強內部數據安全管理，是踐行企業自律和主體責任的必要舉措，我們將按照監管部門指引和要求，與行業組織、科研機構等多元共治數據安全治理，為數字化經濟的安全健康發展提供有力支撐。

　　數據全生命周期安全管理 提升內部安全能力

　　《個人信息保護法》規定了用戶在信息收集、存儲、使用、加工、傳輸、提供、公開、刪除等全生命周期過程所享有的知情權和決定權等權利。而《數據安全法》也明確規定數據處理包括數據的收集、存儲、使用、加工、傳輸、提供、公開等，也包含了數據全生命周期的處理活動。信息安全組負責人介紹：數據安全是個人信息保護的基礎，在制定企業內部的數據安全管理制度時，我們也對照《數據安全法》和《個人信息保護法》的法規要求，將企業內部的數據全生命周期安全納入了制度管理，以保證用戶側的個人信息得到堅實可靠的保護。

　　《制度》對公司及平臺數據的產生，存儲、適用、傳輸、銷毀、歸集全生命周期安全管理均做了詳細的規定，如對數據存儲規定，確保存儲數據的服務器、數據庫、相關IT基礎設施自身的安全配置符合公司安全配置基線要求，并基于安全風險評估結果進行安全配置加固；對數據使用規定涉密數據用于開發測試時應先進行脫敏處理；對數據傳輸規定應劃分網絡安全區域，在安全域邊界部署防火墻等網絡安全設備，明確定義跨安全域之間的數據訪問和數據傳輸控制策略，隔離存儲和處理敏感數據的服務器。

　　此外，《制度》將涉及外部合作的合作方安全評估、接口安全要求、第三方系統接入、第三方人員安全要求也納入數據安全制度的閉環管理，將基于安全管理制度體系和技術防護手段進行綜合評估，以確保業務合作的數據安全和合規。

　　數據分類分級管理 遵守最小授權原則

　　參照《個人信息保護法》與《數據安全法》的相關條款和原則，《360數科數據安全管理制度》也將數據分類分級管理和最小授權原則貫穿落實到了整個制度的設計當中。

　　作為《制度》的重要板塊之一，“數據分類分級管理”條款將已發布的《360 數科數據分類分級管理規定》進行了再次強化，規定公司內部建立數據分類分級管理策略，確保公司敏感數據、關鍵數據和受到法律保護的數據得到相應級別的保護，降低發生數據泄露或其他類型網絡攻擊的可能性，提高數據使用合規性，推動數據安全相關法律法規落地。對數據的分類分級全覆蓋管理也是將數據管理去除盲點，例如，在數據使用方面規定，除已明確公開的數據，未定安全級別的數據使用前須與信息安全組和相關業務部門確定安全級別，否則需默認按照最高安全等級數據保護。信息安全組根據數據分類分級結果實施適當的合規管理與技術管控，提供與數據安全級別相匹配的安全保障。

　　最小授權原則也是貫穿《制度》的一條主線原則，《制定》規定在數據運營管理方面，數據權限分配應按照“最小授權原則”；在數據全生命周期安全管理方面，收集數據應遵循最小化收集原則，即僅收集業務必須的最少數據；收集數據前應與數據被收集方明確雙方的安全責任和義務，并按約定收集、使用和管理數據。數據的存儲和使用均確保用戶獲得的權限為其工作和崗位職責所需的最小權限。

　　健全合規制度體系 推動數據安全法落地

　　信息安全組負責人介紹，與《360數科數據安全管理制度》配套使用的相關數據安全管理文件還有之前發布的《360數科 數據分類分級管理制度》和《360數科第三方系統接入管理規定》，未來還將不斷發布和更新管理制度，從平臺側建立健全數據安全和個人信息保護合規制度體系。

　　當數據成為數字經濟的基礎能源，當信息與每一個人息息相關，《數據安全法》一方面構建起政府、行業組織、科研機構、企業、個人多元共治的數據安全治理體系。另一方面，也倡導行業自律，推動行業組織、科研機構、企業、個人等共同參與數據安全保護工作。

　　360數科信息安全組與合規部、公共事務部、公關部、各業務線安全負責人成立內部數據安全風險專項小組，推動內部數據安全建設，推動數據安全法落地工作；為保障數據全生命周期安全管理，信息安全組將協同數據安全風險專項工作小組共同治理內部數據安全，通過數據分類分級落實、賬號權限治理、數據安全技術建設、日志審計分析能力提升、數據防泄漏能力提升等舉措，持續化提升公司數據安全技術能力。

　　轉自：財經網

　　【版權及免責聲明】凡本網所屬版權作品，轉載時須獲得授權并注明來源“中國產業經濟信息網”，違者本網將保留追究其相關法律責任的權力。凡轉載文章及企業宣傳資訊，僅代表作者個人觀點，不代表本網觀點和立場。版權事宜請聯系：010-65363056。

延伸閱讀