1、网络安全架构设计过程中如何处理数据安全与用户隐私保护之间的关系360集团隐私审核总监目录一、挑战二、有效的组织架构三、安全架构设计四、仍待解决的问题一、挑 战一、挑战智能家居车联网智能电网智慧城市万物互联联网的可穿戴设备智能工厂&制造一、挑战一、挑战一、挑战用户个人信息关乎:人身安全社会安全国家安全一、挑战大数据与隐私保护之间的平衡:数据滥用数据泄露二、有效的组织架构二、有效的组织架构企业发展:追求利润,重视大数据开发利用惩罚力度轻,轻视个人信��息保护推动个人信息保护,保证大数据产业的健康发展,保证个人信息安全:改变现有组织架构,建立自上而下管理机制二、有效的组织架构首席隐私官?数据保护官(DP
2、O)?数据安全官?直属于公司CEO管理,拥有用户数据最高决策权和监督权有很强的执行力和推动力将个人信息保护纳入信息安全管理范畴决策个人数据在企业内外的流动,并监管了解国内外法律法规、推������动各个业务、各部门个人信息体系保护建设制定适合企业发展的流程、制度了解企业所有业务,从产品设计初期介入,可以对业务say no了解网络安全了解互联网技术实现 二、有效的组织架构�������一个CPO+一个隐私部门+:1.法务+2.信息安全部+3.大数据中心+4.OPS+5.业务部门职责:1.研究相关法律法规2.制定内部相关流程3.加强信息安全技术手段4.对业务功能进行决策5.隐私政策6.一切与个人信息保护相关的事宜三、安全架
3、构����设计三、安全架构设计Before CollectingCollectingAfter Collecting产品”Privacy By Design”最小够用公开透明选择同意用户参与隐私政策安全传输:去标识化加密算法https.数据分级分类管理安全访问控制数据共享数据再开发利用数据本地化数据可移植性数据销毁紧急预案处理机制90%个人数据生命周期三、安全架构设计收集前:(1)隐私政策(2)Privacy By Design不该看的不看不该传的不传不该存的不存不该用的不用一切行为必须明示、尊重用户的知情权和选择权必须经过用户许可(3)软件的安全防护防篡改,防逆向,防窃取,加固三、安全架构设计收集中
4、:保证传输过程的安全加密算法https去标���识化,匿名化password非明文存储Android Webview SSL 自签名安全校验,避免浏览器所保存的密码、Cookie、收藏夹以及历史记录等敏感信息被恶意盗用,从而造成个人信息被泄露。三、安全架构设计收集后收集内容与约定的一致,或自查自身业务收集的用户个人信息抓包旁路监听:20w通信模型、发现100多个异常通信模型日志分析访问控制监控系统管理员、信息安全管理员、隐私审核人员三权分立、互相监督、互相监管。异常访问检测服务器加固服务器漏洞检测与补丁开源系统漏洞检测与补丁定制化开发APT攻击检测 三、安全架构设计收集后防批量访问、导出客服系统、不
5、显示号码、通过平台一个一个操作堡垒机分级分类管理建立公司级的数据血缘关系管理,目录级别-内容级别统一对外合作接口监控管理删除与销毁数据共享内部共享:原始数据不共享,清晰业务模式,模型�����后脱敏数据外部合作:原始数据不共享,清晰合作目的,合同约束,接口提供,接口访问异常检测三、安全架构设计紧急预案处理“防不住”已成共识自动化是王道应急响应即服务四、仍待解决的问题四、仍待解决的问题跨境问题很多国家立法限制个人数据跨境转移本地化vs全球化,例如:社交数据、电商网络安全标准没有统一的安全标准鉴定机构,时效性不同国家的法律冲突企业在不同的国家有不同的数据管理标准?数据真正的融合企业外数据流动、真的能融合吗?四、仍待解决的问题个人信������息的使用和流动,一定会促进大数据产业的发展,一定会促进科技的进步,社会的发展。同时,作为个人信息使用者不能忽视对个人信息的保护。当个人信息保护与数据使用者利益发生冲突时,必须保证个人信息的安全优先。谢 谢!
sgpjbg002
工作日 8:30 - 17:30
报告分类
