严筑数据安全藩篱,AdMaster的2019半年回顾(一)

2019-08-06



大数据是基础性战略能源,保护数据安全和用户隐私,是赢得客户信赖的根本,也是AdMaster始终坚守的头部战略。


随着5G技术实现场景化落地,万物智能、万物互联的时代即将到来,从移动互联到万物互联,数据量也将迎来大爆发。安全是发展的前提,发展是安全的保障,数据安全也成为维系国家、社会及商业稳定,必须先行布局及落实的重大战略。


作为人工智能驱动的社交和洞察解决方案提供商,AdMaster旨在基于实时、准确、全量的社交等多维数据,为企业客户提供更加智能、系统的社交和洞察分析(SIA,Social and Insight Analytics)服务。数据是AdMaster的核心资源,数据安全则是AdMaster的头部战略。


为此,AdMaster在严格遵守《中华人民共和国网络安全法》等相关法律、法规的同时,变被动的安全防御为积极主动的数据安全治理,构筑了从上到下、从内到外,严密的数据安全藩篱,不仅完成ISAE3402国际信息安全审计认证,获得ISO27001信息管理体系认证,还于2019年4月通过了国家信息系统安全等级保护三级测评



高分通过信息系统安全等级保护三级测评,


数据安全获国家肯定



国家信息安全等级保护测评,是工业和信息化部软件与集成电路促进中心根据《中华人民共和国网络安全法》等相关法律法规,为响应国家网络与信息安全相关法规政策要求,协助政府及重点行业主管部门实施安全自查,对相关数据服务主体的安全威胁和安全风险进行评估,以提出防范对策和改进措施,切实保障网络与信息安全,维护国家安全和公共利益的高级别国家级信息系统测评。


根据《信息系统安全等级保护基本要求》,取得三级等保的具体程序包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查共五个阶段。其测评内容涵盖等级保护安全技术要求的5个层面(物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复)和安全管理要求的5个层面(安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理),主要包含信息保护、安全审计、通信保密等在内的近300项要求,共涉及测评分类73类,要求十分严格。

 

此次高分通过国家信息系统安全等级保护三级测评,既是对AdMaster在数据安全方面所做努力的权威认定,也意味着AdMaster技术、系统管理、应急保障等方面都达到了国家标准,信息安全已经达到非银行机构中的最高级别。究其背后的原因,是因为AdMaster拥有严密的数据安全及网络安全保护体系。


五位一体,

扎紧数据安全藩篱


从上到下、从内到外,2019年以来,AdMaster继续构筑数据安全藩篱,严格把控数据从收集、传输、存储到使用、管理的各个环节,构建了涵盖物理和环境安全,网络和通信安全,设备和计算机安全,应用和数据安全管理安全的五位一体数据安全解决方案。

目前,AdMaster拥有一套完整、可持续的数据安全监测机制,能够时刻识别敏感信息,通过对数据做分层处理,尤其是对个人数据做加密处理,多点协同、统一治理,严格把控数据产生、存储、加工、传输、使用等各个环节。

同时,AdMaster还拥有完整的安全管理制度、应急响应预案、开发技术规范、安全巡检制度办公安全等制度,成立了内部数据安全委员会,并通过了多项安全资质认证,从流程、制度、技术、管理等多方面保障企业数据安全。

具体而言,基于《中华人民共和国网络安全法》的要求,AdMaster的五位一体数据安全解决方案主要从以下几个层面展开:


  • 物理和环境安全:包括机房环境、办公室环境,服务器、办公软件等各种安全防控工具和安全记录;

  • 网络和通信安全:涵盖系统拓扑设计、访问控制设计、入侵防范设计及结构安全设计;

  • 设备和计算机安全:主要是操作系统、数据库及数据处理中间件的安全保护;

  • 应用和数据安全:设计统一认证的登陆系统,做好身份鉴别、访问控制、自身安全、通信完整性及通信保密性防护,AdMaster有专门的团队做漏洞防护设计,并且严格管控涉及个人信息数据的保密性、完整性、可用性及可恢复性;

  • 管理安全:主要与制度、人员等相关,具体包括完整的管理制度、应急响应、办公安全、人员管理及安全审计。




成立数据安全委员会,

为制度落实提供强有力保障



为了从组织层面保障数据安全从上到下有序推进并落实,AdMaster成立了最高管理级别的数据安全委员会。委员会由CEO牵头组建,成员包括综合管理部、法务部、流程与IT部负责人,以及商务和产品、技术负责人代表等。2019年以来,委员会定期针对公司各产品线遇到的数据安全问题,进行集中讨论表决和处理,以确保公司的各项业务均在遵守数据安全相关法律法规的前提下开展。


数据安全委员会的具体职责包括但不限于以下几个方面:数据安全政策、制度和体系建设规划;部署并协调数据安全相关制度和细则的落地落实;协调公司层面数据安全制度和具体问题的处理;定期组织公司层面的内审、外审,完成安全评估和相关资质获取。


数据安全委员会之外,AdMaster还设立了专业的数据安全部门,基于法律法规要求和业务部门产品需求,在数据安全委员会授权下,落实数据安全相关工作。


在内部建立高级别的完善数据安全组织架构的同时,2019年第二季度,AdMaster还跟国内顶级安全团队合作,建立数据安全应急响应中心,主动积极应对安全问题。



严守个人信息保护红线,

推进上下游数据河道安全



根据《个人信息安全规范》第5.4条中的定义,企业所收集的数据是个人信息主体自行向社会公众公开的,以及从合法公开披露的信息中收集的,企业收集、使用前述数据无需征得个人信息主体的授权同意。根据此规定推定,个人在社交媒体上主动公开展示的信息可以收集用于分析。但对于包括个人基因、身份证、电话号码等在内的个人敏感信息,因其泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇,所以是不能被收集和使用的。


对于数据的输出,AdMaster在2019年第一季度更新了相关数据管理及执行条例,明确规定了不可输出的字段,严格保证个人信息安全。


对于在境内收集,不涉及国家秘密但出境后会威胁国家安全、经济发展以及公共利益密切相的重要数据,AdMaster也有严密的规定,以保证数据主权安全


作为数据产业上下游中的一环,守护数据安全,需要产业链多方配合,保证上下游河道安全至关重要。为此,AdMaster构建了完整的上下游数据安全规范,以把控数据输入和输出的各个端口。


对于上游的客户,AdMaster建立了专门的数据输出规范,并优先向通过国家信息安全等级保护测评的公司输出数据。输出的数据需要是经AdMaster技术处理的数据,而非原始数据。


对于下游的数据合作伙伴,会审查数据提供方是否按照国家法律的强制性要求通过国家网络安全等级保护测评,数据采购时会剥离公司业务不必需且敏感度高的个人信息。对于合作的样本数据合作伙伴,需要其在获取及使用样本数据前,获取填写者的授权同意。


数据安全是项必须长期坚持的公司战略,AdMaster在构建数据安全解决方案时,始终以最高的要求制定相关制度并予以执行,我们强调企业的数据治理思想,必须从被动防御升级为主动治理,并将数据安全作为一个系统工程加以持续精进,它包括了企业的人、技术、组织架构、规则制度等方方面面,为此,AdMaster不仅搭建五位一体的数据安全解决方案,还从组织架构上对其进行保障,我们坚信,只有落地的数据安全才是真正对客户乃至国家有用的数据安全,AdMaster也才能基于社交等多维数据,为客户提供安全、可靠的社交和洞察分析服务。