360数科数据安全治理实践

数据作为新型生产要素，已成为国家重要资产和我国数字经济发展的基础战略资源。2021年以来，国家、行业、地方相继颁布了大量数据安全政策文件。作为数字经济健康发展的重要基石，数据安全的重要性愈发突出，数据安全治理需求愈加明显。

建设思路

360数科结合数据安全治理能力DSG的总体框架要求，制定数据安全总体战略规划，巩固安全保障。并围绕数据全生命周期，从数据分类分级、数据合规管理、监控审计、风险分析、安全事件应急等多维度进行全面建设，将“事前防护，事中检测，事后审计”的核心原则贯穿数据安全治理全过程，形成如图1所示的数据安全治理模型。

图1 360数科数据安全治理模型

治理实践

在数据安全组织架构建设方面，360数科建立了数据安全管理机构，主要由管理层、执行层、相关责任部门组成。同时，内部也配有监督部门，主要风险中心、内审部门负责。

图2 360数科数据安全治理组织架构

在制度流程建设方面，360数科建立了数据安全、信息安全、个人信息安全制度30余份，全面覆盖数据安全治理体系内容。主要包括《数据分类分级管理制度》、《360数科个人信息保护与数据治理基本政策》、《360数科信息安全员工管理手册》等等。

图3 360数科数据安全治理制度体系

在人员能力建设方面，360数科全方位培养内部数据安全人员能力，各方向均设有专职安全人员管理，组织相关安全人员通过线上线下相结合的形式，参加信通院等权威机构开展的安全讲座、沙龙、会议等多种安全活动，提升安全人员专业水准。

在技术防护体系建设方面，360数科结合自身业务模式，在确保数据安全合规落地的前提下，以“事前防护、事中监测、事后审计”为核心原则，全面开展数据安全技术体系建设，并建成数据安全一体化防护解决方案。结合风险隐患排查、专项审计、安全评审等多种机制，持续优化完善数据安全技术手段，确保公司内部自动化决策、外部业务合作等一系列数据处理活动的合规落地有效性。

图4 360数科数据安全治理技术体系

通过建设数据资产地图，梳理内部数据资产，严格把控数据权限，上线数据加密脱敏公用安全组件，构建统一的数据安全开发环境，落实数据安全管理要求，防范风险的发生；通过建设安全共享平台、合规自查平台、安全答题系统，提升全员数据安全意识的同时，实时感知潜在的安全合规风险，并借助数据防泄漏平台实时阻断违规数据流转；通过建设安全运营中心，借助监测预警、应急响应、用户行为审计、数据操作审计等手段及时捕获已发生的风险并跟进处置。最终，形成了独有的数据安全一体化防护解决方案。

图5 360数科数据安全一体化防护解决方案

360数科基于互联网信贷业务，依据现状调研、数据梳理、风险评估、体系设计、技术工具建设、试点验证、持续优化改进的实践思路，将一整套数据安全治理方案，包含制度管理要求、安全技术手段、监督审计机制等运用至实际业务中，最大化解决公司、行业内相关数据安全问题。

实践亮点

亮点一：落地内部治理体系，设立数安风险专项小组。为全面搭建内部数据安全治理体系，360数科内部专门成立了“数据安全风险专项工作小组”，更好地落实公司个人信息保护与数据安全治理体系建设，实现对个人信息及数据的全流程、全生命周期的保护。

亮点二：紧随新法新规，推出全覆盖式安全制度体系。公司内部对数据安全相关新法出台开展同步解读，并落实执行，编制内部相关制度文件，例如《360数科数据安全管理制度》、《360数科分类分级管理制度》、《360数科个人信息保护与数据治理基本政策》、《360数科用户个人信息权利响应规范》、《360数科数据安全影响评估规范》等。通过全员宣贯讲解，提高全员数据安全意识，搭建全套数据安全制度体系。

亮点三：建设全面技术体系，强化业务安全保障。公司除了落实了以上体系化的建设外，还结合自身金融业务特点，在数据委托处理、数据共享的业务场景下，创新性的实现了安全共享平台，在业务数据脱离公司内部一系列安全防护前，为用户隐私数据再增一层防护屏障该系统在安全技术上，可为业务系统再增一层防护屏障，用户数据在企业的平台，已经具备了基本的数据安全防护能力，如若需要进行下载或导出，均须经过该安全下载系统的全方面监测，含数字水印、隐私数据识别、动态脱敏、分级审核等多种安全策略，实现了用户信息的多重防护，为用户数据保驾护航！

以上内容节选自《数据安全治理实践指南（2.0）》，汇编下载及解读请点击

DSG系列评估持续征集参评企业，欢迎广大企业垂询合作！

联系人：李天阳

电话：18511978595(微信同号)

往期推荐

首批|数据分类分级工具性能、解决方案评测启动

数据泄露问题频发，企业数据安全风险评估与治理刻不容缓