健全信息保护合规制度体系 360数科发布数据安全管理制度

　　9月28日消息，为推动《数据安全法》在互联网平台的落地，建立健全企业主体内部全流程数据安全管理制度，近日，360数科效率安全部信息安全组向全员发布《360数科数据安全管理制度》（以下简称“制度”），该制度旨在加强和规范平台数据安全管理工作，指导全员提升数据安全意识，并依照制度快速对数据级别进行判定，明确数据生命周期内的安全管理要求。

　　信息安全组负责人表示：伴随着《个人信息保护法》的表决通过和《数据安全法》的施行，企业侧的数据处理行为和对用户信息的保护都将有法可依、有章可循，作为企业主体，落实法规，健全制度体系，加强内部数据安全管理，是践行企业自律和主体责任的必要举措，我们将按照监管部门指引和要求，与行业组织、科研机构等多元共治数据安全治理，为数字化经济的安全健康发展提供有力支撑。

　　据介绍，《制度》对公司及平台数据的产生，存储、适用、传输、销毁、归集全生命周期安全管理均做了详细的规定，如对数据存储规定，确保存储数据的服务器、数据库、相关IT基础设施自身的安全配置符合公司安全配置基线要求，并基于安全风险评估结果进行安全配置加固；对数据使用规定涉密数据用于开发测试时应先进行脱敏处理；对数据传输规定应划分网络安全区域，在安全域边界部署防火墙等网络安全设备，明确定义跨安全域之间的数据访问和数据传输控制策略，隔离存储和处理敏感数据的服务器。

　　《制度》将涉及外部合作的合作方安全评估、接口安全要求、第三方系统接入、第三方人员安全要求也纳入数据安全制度的闭环管理，将基于安全管理制度体系和技术防护手段进行综合评估，以确保业务合作的数据安全和合规。

　　作为《制度》的重要板块之一，“数据分类分级管理”条款将已发布的《360数科数据分类分级管理规定》进行了再次强化，规定公司内部建立数据分类分级管理策略，确保公司敏感数据、关键数据和受到法律保护的数据得到相应级别的保护，降低发生数据泄露或其他类型网络攻击的可能性，提高数据使用合规性，推动数据安全相关法律法规落地。

　　最小授权原则也是贯穿《制度》的一条主线原则，《制定》规定在数据运营管理方面，数据权限分配应按照“最小授权原则”；在数据全生命周期安全管理方面，收集数据应遵循最小化收集原则，即仅收集业务必须的最少数据；收集数据前应与数据被收集方明确双方的安全责任和义务，并按约定收集、使用和管理数据。数据的存储和使用均确保用户获得的权限为其工作和岗位职责所需的最小权限。

　　信息安全组负责人介绍，与《360数科数据安全管理制度》配套使用的相关数据安全管理文件还有之前发布的《360数科数据分类分级管理制度》和《360数科第三方系统接入管理规定》，未来还将不断发布和更新管理制度，从平台侧建立健全数据安全和个人信息保护合规制度体系。