健全信息保护合规制度体系360数科发布数据安全管理制度
为推动《数据安全法》在互联网平台落地,建立健全企业主体内部全流程数据安全管理体系,近日,360事业部效率与安全部信息安全组发布《360数科数据安全管理制度》(以下简称ldquo系统rdquo),系统旨在加强和规范平台的数据安全管理,引导全体员工增强数据安全意识,根据系统快速判断数据等级,明确数据生命周期内的安全管理要求。
信息安全组负责人表示,伴随着《个人信息保护法》的表决和《数据安全法》的实施,企业端的数据处理行为和用户信息的保护将受到法律法规的管辖。作为企业的主体,贯彻法律法规,完善制度,加强内部数据安全管理,是践行企业自律和主体责任的必要举措。我们将按照监管部门的指导和要求,与行业组织和科研机构共同管理数据安全。
据介绍,《制度》对公司及平台的数据生成、存储、应用、传输、销毁、收集等全生命周期的安全管理做出了详细规定,如数据存储规定,确保服务器、数据库及存储数据的相关IT基础设施的安全配置满足公司安全配置的基线要求,并根据安全风险评估结果加强安全配置;数据使用规定,当机密数据用于开发和测试时,应首先进行脱敏;对于数据传输,应划分网络安全区域,在安全域边界部署防火墙等网络安全设备,明确定义跨安全域的数据访问和数据传输控制策略,隔离存储和处理敏感数据的服务器。
在103010中,对外合作涉及的合作伙伴的安全评估、接口安全要求、第三方系统访问、第三方人员安全要求也纳入数据安全体系闭环管理,将基于安全管理体系和技术保护手段进行综合评估,确保业务合作的数据安全合规。
作为《制度》的重要章节之一,ldquo数据的分类和分级管理;已发布的《制度》条再次加强,规定公司应建立数据分类分级管理策略,确保公司敏感数据、关键数据和受法律保护的数据得到相应级别的保护,降低数据泄露或其他类型网络攻击的可能性,提高数据使用合规性,推动数据安全相关法律法规的实施。
最小授权原则也是贯穿《360数科数据分类分级管理规定》的一个主要原则。《制度》规定,在数据运营管理方面,数据权限按照ldquo进行分配;最低授权原则。在数据全生命周期安全管理方面,数据采集应遵循最小采集原则,即只采集业务所需的最小数据;在收集数据之前,应与数据收集者明确双方的安全责任和义务,并按约定收集、使用和管理数据。的数据存储和使用确保用户获得的权限是其工作和工作职责所需的最低权限。
据信息安全组负责人介绍,与《制定》配合使用的相关数据安全管理文件包括此前发布的《360数科数据安全管理制度》、《360数科数据分类分级管理制度》,未来管理体系将持续发布更新,从平台侧建立健全数据安全和个人信息保护合规体系。
郑重声明:此文内容为本网站转载企业宣传资讯,目的在于传播更多信息,与本站立场无关。仅供读者参考,并请自行核实相关内容。