防治并举,数据安全和隐私保护是秒针系统的最高纲领
数据安全和隐私保护是秒针系统长期坚守的最高纲领和公司战略,公司在构建数据安全解决方案时,始终以最高的要求制定相关制度并予以执行。我们强调企业的数据治理思想,必须从被动防御升级为主动治理,并将数据安全作为一个系统工程持续精进,它包括了企业的人、技术、组织架构、规则、制度等方方面面。
万物互联的数字化时代,大数据、云计算、人工智能等技术广泛应用于经济、社会各个领域,数据成为基础性战略资源,“捍卫数据主权”“保护数据安全”也上升为国家和企业的头部战略。
作为领先的全域测量及商业智能与分析解决方案提供商,数据是秒针系统的核心资源,数据安全和隐私保护是秒针系统的最高纲领。公司严格遵守各种法律法规和相关要求,坚决维护客户数据安全和用户隐私数据安全,坚决抵制数据滥用和各种非法操作数据的行为,坚守数据安全底线。
秒针系统坚持“从传统的安全防御到积极的主动治理”的数据安全指导思想,将传统安全技术和数据安全治理相结合,自上而下、由里到外,从技术、制度及管理等多个层面构建了严密的数据安全篱笆,严格把控数据从收集、传输、存储到使用、管理的各个环节。
目前,秒针系统拥有全面、完备的数据安全防护和审计管理机制,通过了国家信息安全等级保护三级测评、国际标准ISAE3402信息安全审计、ISO/IEC27001信息安全管理体系认证等,在数据安全技术、系统管理、积极保障等方面达到国家标准,信息安全达到非银行机构中的最高级别。
壹
从安全防护到数据治理,
秒针系统的“五位一体”数据安全技术解决方案
数据安全的本质在于防护和对抗。维护数据安全,首先需要感知数据安全态势,加强数据安全监测,认清风险,找出漏洞,查漏补缺;其次需要对抗数据安全威胁,增强数据安全防御能力,保护数据不被滥用和非法侵害。
为了提升数据安全管理效率,秒针系统构建了一套完整、可持续的数据安全监测机制,能够时刻识别敏感信息,通过对数据做分层处理,尤其是对个人数据做加密处理,多点协同、统一治理,严格把控数据产生、存储、加工、传输、使用等各个环节。
具体而言,基于《中华人民共和国网络安全法》的要求,秒针系统的“五位一体”数据安全技术解决方案主要从以下几个层面展开:
秒针系统“五位一体”
数据安全技术解决方案
物理和环境安全:包括机房环境、办公室环境,服务器、办公软件等各种安全防控工具和安全记录;
网络和通信安全:涵盖系统拓扑设计、访问控制设计、入侵防范设计及结构安全设计;
设备和计算机安全:主要是操作系统、数据库及数据处理中间件的安全保护;
应用和数据安全:设计统一认证的登陆系统,做好身份鉴别、访问控制、自身安全、通信完整性及通信保密性防护,秒针系统有专门的团队做漏洞防护设计,并且严格管控涉及个人信息数据的保密性、完整性、可用性及可恢复性;
管理安全:主要与制度、人员等相关,具体包括完整的管理制度、应急响应、办公安全、人员管理及安全审计。
贰
成立数据安全委员会,
为制度落实提供强有力组织保障
为了从组织层面保障数据安全从上到下有序推进并落实,秒针系统成立了最高管理级别的数据安全委员会。委员会由CEO牵头组建,成员包括综合管理部、法务部、流程与IT部负责人,以及商务和产品、技术负责人代表等。成立以来,委员会定期针对公司各产品线遇到的数据安全问题,进行集中讨论表决和处理,以确保公司的各项业务均在遵守数据安全相关法律法规的前提下开展。
数据安全委员会的具体职责包括但不限于以下几个方面:数据安全政策、制度和体系建设规划;部署并协调数据安全相关制度和细则的落地落实;协调公司层面数据安全制度和具体问题的处理;定期组织公司层面的内审、外审,完成安全评估和相关资质获取。
数据安全委员会之外,秒针系统还设立了专业的数据安全部门,基于法律法规要求和业务部门产品需求,在数据安全委员会授权下,落实数据安全相关工作。 委员会会组织专人依据数据安全部门编制的数据安全检查要求定期开展安全检查工作,确保产品中涉及到的数据收集、存储、使用、处理等功能,符合《网络安全法》、《信息安全技术 个人信息安全规范》等法律法规的要求。
在内部建立高级别的完善数据安全组织架构的同时,秒针系统还跟国内顶级安全团队合作,建立数据安全应急响应中心,主动积极应对安全问题,为客户提供顶级的安全保障服务应急响应中心的工作内容主要包括:安全专家渗透测试、建立安全漏洞众测平台、建立信息安全应急方案、定期组织安全专家培训。
叁
严守个人信息保护红线,
推进上下游数据河道安全
根据《个人信息安全规范》第5.4条中的定义,企业所收集的数据是个人信息主体自行向社会公众公开的,以及从合法公开披露的信息中收集的,企业收集、使用前述数据无需征得个人信息主体的授权同意。根据此规定推定,个人在社交媒体上主动公开展示的信息可以收集用于分析。但对于包括个人基因、身份证、电话号码等在内的个人敏感信息,因其泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇,所以是不能被收集和使用的。
对于数据的输出,秒针系统根据相关数据管理及执行条例,明确规定了不可输出的字段,严格保证个人信息安全。
对于在境内收集,不涉及国家秘密但出境后会威胁国家安全、经济发展以及公共利益密切相的重要数据,秒针系统也有严密的规定,以保证数据主权安全。
作为数据产业上下游中的一环,守护数据安全,需要产业链多方配合,保证上下游河道安全至关重要。为此,秒针系统构建了完整的上下游数据安全规范,以把控数据输入和输出的各个端口。
► 对于上游的客户,秒针系统建立了专门的数据输出规范,并优先向通过国家信息安全等级保护测评的公司输出数据。输出的数据需要是经秒针系统技术处理的数据,而非原始数据。
► 对于下游的数据合作伙伴,会审查数据提供方是否按照国家法律的强制性要求通过国家网络安全等级保护测评,数据采购时会剥离公司业务不必需且敏感度高的个人信息。对于合作的样本数据合作伙伴,需要其在获取及使用样本数据前,获取填写者的授权同意。
数据安全和隐私保护是秒针系统长期坚守的最高纲领和公司战略,公司在构建数据安全解决方案时,始终以最高的要求制定相关制度并予以执行,我们强调企业的数据治理思想,必须从被动防御升级为主动治理,并将数据安全作为一个系统工程持续精进,它包括了企业的人、技术、组织架构、规则、制度等方方面面。我们坚信,只有落地的数据安全,才是真正对客户、用户以及国家有益的数据安全。
作为独立第三方,在保障自身数据安全、信息安全合规的同时,秒针系统也将积极承担社会责任,持续输出数据安全经验和解决方案,配合中国广告协会、MMA中国等行业协会组织,健全互联网广告个人信息保护和数据安全相关标准,推动互联网生态健康可持续发展。
相关阅读
坚守第三方立场,
秒针系统持续保障数据真实,
推进营销透明化
MRC、CMAC关于秒针系统认证审计工作通报:秒针系统认证审计工作取得进展