9月28日,360数科对外发布《360数科数据安全管理制度》,协同数据安全风险专项工作小组共同治理内部数据安全,提升数据安全技术能力。360数科信息安全组负责人表示,加强内部数据安全管理,是践行企业自律和主体责任的必要举措,公司将按照监管部门指引和要求,与行业组织、科研机构等多元共治数据安全治理,为数字化经济的安全健康发展提供有力支撑。
“数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等,也包含了数据全生命周期的处理活动。数据安全是个人信息保护的基础,将企业内部的数据全生命周期安全纳入了制度管理,以保证用户侧的个人信息得到坚实可靠的保护。”上述负责人指出。
360数科指出,上述制度对公司及平台数据的产生,存储、适用、传输、销毁、归集全生命周期安全管理均做了详细的规定,明确数据存储规定,确保存储数据的服务器、数据库、相关IT基础设施自身的安全配置符合公司安全配置基线要求,并基于安全风险评估结果进行安全配置加固。同时,对数据使用规定涉密数据用于开发测试时应先进行脱敏处理,对数据传输规定应划分网络安全区域,在安全域边界部署防火墙等网络安全设备,隔离存储和处理敏感数据的服务器。通过数据分类分级落实、账号权限治理、数据安全技术建设、日志审计分析能力提升、数据防泄漏能力提升等举措,持续化提升公司数据安全技术能力。
举例来看,在数据全生命周期安全管理方面,360数科指出,收集数据应遵循最小化收集原则,即仅收集业务必须的最少数据;收集数据前应与数据被收集方明确双方的安全责任和义务,并按约定收集、使用和管理数据。数据的存储和使用均确保用户获得的权限为其工作和岗位职责所需的最小权限。
(文章来源:中证网)
文章来源:中证网