全国人大常委会正式通过《数据安全法》,三七互娱积极响应严守数据安全义务
2021-06-11 来源:三七互娱
6月10日,第十三届全国人大常委会第二十九次会议正式通过《中华人民共和国数据安全法》(以下简称《数据安全法》),将于2021年9月1日起施行。
6月10日,第十三届全国人大常委会第二十九次会议正式通过《中华人民共和国数据安全法》(以下简称《数据安全法》),将于2021年9月1日起施行。《数据安全法》旨在切实加强数据安全保护,提升国家数据安全保障能力,维护公民、组织的合法权益。
其中,《数据安全法》专门对数据处理者的义务作出了详细规定,包括设立数据安全负责人和管理机构、建立健全全流程数据安全管理制度、组织开展数据安全教育培训、采取相应技术措施和必要措施保护重要数据安全、开展风险评估、采取合法、正当的方式收集重要数据等。
三七互娱作为互联网游戏企业,高度重视数据安全,全力保障网络安全与用户隐私安全,持续加强数据安全治理能力,通过建立符合国际标准的信息安全管理体系,积极响应《数据安全法》对数据处理主体的若干要求。
董事会高度负责数据安全治理
公司董事会对数据安全高度负责,董事会战略委员会负责制定目标,评估信息安全风险与应对策略,批准和监督公司以用户隐私信息保护为核心目标的数据安全管理工作。
公司数据安全管理由技术中心为主办部门,国内运营与海外运营部门、人力资源行政中心为主责部门,具体执行数据安全与用户隐私保护工作,向董事会战略委员会汇报。
建立以用户隐私保护为核心的信息安全管理体系
在国际权威第三方检测与认证机构SGS支持下,三七互娱2020年正式开展全业务范围的ISO/IEC 27001信息安全管理体系搭建与认证工作。
ISO/IEC 27001信息安全管理体系,旨在识别核心业务的风险,采取适当措施管理风险,使利益相关方确信他们的信息得到充分保护。
公司建立以用户隐私信息保护为核心目标、覆盖全业务范围的信息安全管理体系(Information Security Management System, ISMS),共识别出14种类型的信息安全风险、28个重要风险项,建立260条风险处置措施。
信息安全保护嵌入产品服务
ISMS以用户隐私保护为核心目标,基于对全业务逻辑进行分析,结合业务产品与服务需求,识别并评估产品服务的信息安全风险,为各子业务模块建立信息安全风险处置措施,完善制度文件和管理流程保障信息安全,形成信息安全策略。
业务部门定期整合用户信息安全需求,按照统一标准分类标识交予主办部门执行。主办部门按需求分级各自执行,在执行过程注重监视、评估,确保落实用户信息安全需求。
公司对敏感办公场所采取严格管理,对机房、仓库等核心设施设置进行物理隔离,通过指纹验证等方式授权后方可进入,确保支撑业务正常运作和相关信息资产安全所需的硬件设施良好运转。
ISMS采取访问控制策略、安全登录规程、口令管理等制度措施,防止人员对未授权信息的非法访问;对信息资产加密、匿名化保护,防止非法破解;及时备份信息资产,保证损坏后可及时恢复;防范恶意软件,对日志信息进行监测和保护等。
信息安全预防与应对
ISMS持续对网络和主机活动进行安全监控,审计系统漏洞,评估敏感系统和数据的安全性,识别违反安全规程的行为,对异常行为进行统计、跟踪和报警,并形成日志以安全审计。
ISMS对信息安全事件进行界定和分级,针对不同等级的安全事件制定了不同的发现、响应和处理计划。发生安全事故时,依照完备的信息安全事件管理程序,确保风险可控。
发生信息安全事件时,运维部门、安全部门收到报警邮件,成立事件响应小组,收集证据,完成排查评估;启动响应机制,恢复受损业务至正常安全水平,并检查封堵漏洞,改进监测信息安全事态的扫描软件,处理信息安全弱点;完成处理后,记录并上报事件,并组织相关部门从事件中学习总结、研讨分析,及时优化预防措施和响应机制。
人员管理与培训
对从事与信息安全相关的工作人员,公司在任用前开展信息安全背景调查,任用中进行信息安全意识教育培训、任用终止或变更时明晰岗位信息安全责任与职责。公司还通过员工培训、线上企业大学等多种渠道,面向全体员工开展信息安全普及培训,提升全员信息保护意识。
信息安全评审和第三方审计
公司信息安全委员会每半年组织一次技术评审与管理者评审,适时进行相应信息安全管理制度的调整。2021年邀请第三方机构SGS开展信息安全管理审核认证,预计2021年完成首次第三方审计,并在未来两年每年开展一次外部审计。
通过建立强大且持续优化完善的信息安全管理体系,三七互娱为保障数据安全、捍卫用户隐私构筑了牢固的防御屏障,展现了负责任上市企业的责任担当。