9月28日消息,為推動《數據安全法》在互聯網平臺的落地,建立健全企業主體內部全流程數據安全管理制度,近日,360數科效率安全部信息安全組向全員發布《360數科數據安全管理制度》(以下簡稱“制度”),該制度旨在加強和規范平臺數據安全管理工作,指導全員提升數據安全意識,并依照制度快速對數據級別進行判定,明確數據生命周期內的安全管理要求。
信息安全組負責人表示:伴隨著《個人信息保護法》的表決通過和《數據安全法》的施行,企業側的數據處理行為和對用戶信息的保護都將有法可依、有章可循,作為企業主體,落實法規,健全制度體系,加強內部數據安全管理,是踐行企業自律和主體責任的必要舉措,我們將按照監管部門指引和要求,與行業組織、科研機構等多元共治數據安全治理,為數字化經濟的安全健康發展提供有力支撐。
據介紹,《制度》對公司及平臺數據的產生,存儲、適用、傳輸、銷毀、歸集全生命周期安全管理均做了詳細的規定,如對數據存儲規定,確保存儲數據的服務器、數據庫、相關IT基礎設施自身的安全配置符合公司安全配置基線要求,并基于安全風險評估結果進行安全配置加固;對數據使用規定涉密數據用于開發測試時應先進行脫敏處理;對數據傳輸規定應劃分網絡安全區域,在安全域邊界部署防火墻等網絡安全設備,明確定義跨安全域之間的數據訪問和數據傳輸控制策略,隔離存儲和處理敏感數據的服務器。
《制度》將涉及外部合作的合作方安全評估、接口安全要求、第三方系統接入、第三方人員安全要求也納入數據安全制度的閉環管理,將基于安全管理制度體系和技術防護手段進行綜合評估,以確保業務合作的數據安全和合規。
作為《制度》的重要板塊之一,“數據分類分級管理”條款將已發布的《360數科數據分類分級管理規定》進行了再次強化,規定公司內部建立數據分類分級管理策略,確保公司敏感數據、關鍵數據和受到法律保護的數據得到相應級別的保護,降低發生數據泄露或其他類型網絡攻擊的可能性,提高數據使用合規性,推動數據安全相關法律法規落地。
最小授權原則也是貫穿《制度》的一條主線原則,《制定》規定在數據運營管理方面,數據權限分配應按照“最小授權原則”;在數據全生命周期安全管理方面,收集數據應遵循最小化收集原則,即僅收集業務必須的最少數據;收集數據前應與數據被收集方明確雙方的安全責任和義務,并按約定收集、使用和管理數據。數據的存儲和使用均確保用戶獲得的權限為其工作和崗位職責所需的最小權限。
信息安全組負責人介紹,與《360數科數據安全管理制度》配套使用的相關數據安全管理文件還有之前發布的《360數科數據分類分級管理制度》和《360數科第三方系統接入管理規定》,未來還將不斷發布和更新管理制度,從平臺側建立健全數據安全和個人信息保護合規制度體系。
責任編輯:Rex_07
