360数科开展“三训一报”行动 强化数据安全治理落地
伴随着《360数科数据安全管理制度》、《360数科数据分类分级管理制度》一系列数据安全管理制度在公司内密集发布,近日,360数科信息安全组面向全员积极开展“三训一报”数据安全行动,包括915攻防演练实战培训、网络安全主题直播培训、办公场景数据安全漫画手册培训,并同步向网信监管部门做工作汇报,将《数据安全法》从制度到意识在内部落实到职能部门和岗位个人,全方位扎牢数据安全防控网,同时与监管部门建立定期畅通的汇报机制,强化数据安全治理的扎实落地和透明度监督。
360数科信息安全组负责人介绍:《数据安全法》的施行到企业内部的落地,需要企业结合平台业务特点和内部架构做进一步的具体制度制定,不断完善、建立健全企业主体内部全流程数据安全合规体系,而在企业内部,制度从发布到落地也是需要丰富多样的行动举措推进,做到知行合一,例如,9月15日启动了全公司第一次数据安全攻防演练,就是要让每一位员工在真实工作场景、有参与感的加入到数据安全的保障行动中来。
办公桌上的3项实战训练 扎牢数据安全防控网
为了提升公司整体安全系数,应对不断演进的攻击手段,验证内部数据安全保护策略,9月15日,信息安全组在全公司首次启动攻防演练实战,全员参与,以战代“训”,以实战的方式,发现公司的安全问题,以攻测防,以攻促防,提高内部整体安全防御能力。在完全真实的办公场景、工作环境中检验员工的数据安全保护意识,对数据安全制度和意识落地情况做一次大考验。
此次数据安全攻防演练结合实际办公场景和常见网络安全隐患,主要从钓鱼邮件、无线wifi安全和办公电脑的物理安全3方面展开,在演练启动前两天提前向全员邮件进行了通知预告和内网防御注意事项讲解培训。其中,针对近年来针对企业网络的高发攻击手段——钓鱼邮件,给出了4项“警惕”小贴士,包括:警惕拼写奇怪的发件人地址,注意区分黑客团伙模仿企业名称所使用的相似字符,例如,区分数字0和字母o,区分数字1、小写字母i和大写字母I;警惕邮件中一切需要账号密码登陆的网址链接;警惕不要随便打开不明邮件的可疑附件,不要随意点击链接;警惕邮件标题、正文中带有“紧急”“务必今日完成”等逼迫性词语。
在无线wifi连接安全方面,此次攻防演练重点检验了公司内部“四不”的落实情况,包括:不连接办公场所未知wifi;不使用无密码的公开网络;连接无线网络时认准wifi名称,不连接山寨钓鱼wifi;不在办公场所私搭wifi热点,防止被黑客恶意利用。
在办公电脑物理安全方面,重点检查员工使用办公电脑的行为是否遵守安全规范,包括安装杀毒软件,杜绝弱口令,避免密码共用或共享密码,离开工位要锁屏,不随意捡取并使用不明U盘。
防范木马,密码安全,社会工程学,办公安全、数据安全制度等网络安全知识培训,并通过网络安全主题直播培训员、妙趣生动的漫画手册、信息安全答题等多样化举措进行全覆盖的强化落实,确保员工对网络安全和数据安全做到“知行合一”。
今年以来,信息安全组在全公司每季度举办 1~2 场以数据安全为主题的线上线下培训,培训内容包括但不限于数据安全法律法规解读、政策标准、应急响应、数据安全意识、技术能力建设等,整体提升了全员数据安全意识。
定期向监管汇报工作 强化数据安全治理透明度监督
据360数科信息安全组负责人介绍,该团队定期拟定公司数安全技术能力提升规划,结合各条业务线全面排查并梳理风险隐患、持续化提升公司数据安全技术能力。根据《数据安全法》要求,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。今年,信息安全组与合规部、公共事务部、公关部、各业务线安全负责人成立了数据安全风险专项小组,推动内部数据安全建设,推动《数据安全法》落地,并与网信办、工信部等在内的数据安全工作监管建立了沟通汇报机制,让数据安全治理在平台内部落实更有力,内外部监督更透明。
在最近的数据安全治理报告中,数据安全风险专项小组向监管部门汇报了在完善公司制度和新规学习方面所作的工作。其中,在完善公司制度方面,公司健全完善了个人信息保护及消费者权益方面相关系列制度,包括《数据安全管理制度》、《数据分类分级管理制度》、《第三方系统接入管理规定》、《信息安全员工管理手册》、《业务系统使用管理规定》、《客户信息安全管理手册》、《计算机设备安全管理规定》等。在新规学习方面,自8月份以来,公司组织研究学习了《个人信息保护法》和《关于进一步压实网站平台信息内容管理主体责任的意见》。公司法律合规部第一时间出具解读意见及操作指南,并以面向业务部门定向培训的方式,进行新规宣传和指导。
《数据安全法》于今年9月1日起施行,构建起了政府、行业组织、科研机构、企业、个人多元共治的数据安全治理体系,并推动行业组织、科研机构、企业、个人等共同参与数据安全保护工作,在强化行业自律方面,360数科在建立健全合规体系、开展落地举措、定期汇报等方面积极、长效落实企业主体责任。
(图为360数科授权中国网财经使用)