2022年國家網(wǎng)絡(luò)安全宣傳周|游族網(wǎng)絡(luò):信息安全保護方案實踐研究
2022年09月08日 10:48
9月5日至11日是“2022年國家網(wǎng)絡(luò)安全宣傳周”。中國互聯(lián)網(wǎng)協(xié)會圍繞“網(wǎng)絡(luò)安全為人民,網(wǎng)絡(luò)安全靠人民”的主題,開展“互聯(lián)中國夢——共筑網(wǎng)絡(luò)安全防線”活動。互聯(lián)網(wǎng)企業(yè)積極響應(yīng),結(jié)合工作實踐,以問題為導(dǎo)向,從保護個人隱私、防范電信網(wǎng)絡(luò)詐騙、保障數(shù)據(jù)安全等方面,多角度、多層面、多形式地分享網(wǎng)絡(luò)安全成果與良好經(jīng)驗,共同探索網(wǎng)絡(luò)安全問題的解決途徑,為我國網(wǎng)絡(luò)安全領(lǐng)域建設(shè)提供新思路、新方法,形成多方協(xié)作共同維護網(wǎng)絡(luò)安全的強大合力。
游族網(wǎng)絡(luò)
信息安全保護方案實踐研究
信息安全保護方案實踐研究
游族網(wǎng)絡(luò)根據(jù)公司信息科技戰(zhàn)略和業(yè)務(wù)戰(zhàn)略,建立完善的信息安全管理體系,確保管理要求被有效地實施和執(zhí)行;定期開展信息安全風險評估,進行信息安全風險的識別、分析、評價、處置、持續(xù)監(jiān)控;不斷提升公司的信息安全技術(shù)能力、管理能力及人員安全意識和能力,從而實現(xiàn)對公司核心信息資產(chǎn)的有效保護;充分識別國家信息安全相關(guān)法律法規(guī)以及行業(yè)主管部門或行業(yè)協(xié)會的監(jiān)管要求、指引和建議,定期進行管理要求適用性評價,并通過管理制度要求的更新,落實到日常工作。
公司成立了建立跨部門、跨業(yè)務(wù)、跨系統(tǒng)的數(shù)據(jù)隱私保護團隊,橫跨合規(guī)管理、產(chǎn)品評審、安全保障、內(nèi)部審計等多部門。具體分工情況如下:
管理層級 | 數(shù)據(jù)安全保護職責 | 隱私保護職責 |
首席科技官 | 統(tǒng)籌和負責數(shù)據(jù)安全與隱私保護工作 | |
數(shù)據(jù)安全管理團隊(職能平臺-信息化中心-信息安全部) | 負責制定和維護數(shù)據(jù)的分級定義,對機密、絕密數(shù)據(jù)的申請?zhí)崛∵M行數(shù)據(jù)安全風險評估,并提出數(shù)據(jù)安全措施建議 | 負責進行個人數(shù)據(jù)處理進行個人信息安全影響評估并提出措施建議;對個人數(shù)據(jù)的處理制定訪問控制策略措施;對個人數(shù)處理各環(huán)節(jié)人員用戶個人信息保護相關(guān)知識、技能和安全責任培訓(xùn);每年至少一次檢查和監(jiān)督整改 |
數(shù)據(jù)所有部門 | 部門負責人對跨部門、外部機構(gòu)的數(shù)據(jù)提取需求審批;部門人員根據(jù)《數(shù)據(jù)安全管理規(guī)程》對各自數(shù)據(jù)執(zhí)行安全管控 | |
數(shù)據(jù)管理部門 | 數(shù)據(jù)中心負責系統(tǒng)中的數(shù)據(jù)安全管控,包括訪問控制、權(quán)限管理;運維中心負責數(shù)據(jù)備份及恢復(fù)測試 | 負責系統(tǒng)中的數(shù)據(jù)安全管控,包括訪問控制、權(quán)限管理;根據(jù)內(nèi)部或外部機構(gòu)等的數(shù)據(jù)提取需要,執(zhí)行取數(shù)操作和向外部傳輸數(shù)據(jù)的操作等;負責個人敏感信息數(shù)據(jù)的去標識化處理 |
同時,公司致力于信息安全技術(shù)的自主研發(fā),打造各項安全能力,積極建立從數(shù)據(jù)收集、存儲、訪問、處理、共享到刪除的數(shù)據(jù)管理制度。
隱私信息保護方案實踐研究
為不斷提升游族網(wǎng)絡(luò)整體數(shù)據(jù)安全與隱私保護水平,公司成立了跨部門、跨業(yè)務(wù)、跨系統(tǒng)的數(shù)據(jù)隱私保護團隊,在前端產(chǎn)品研發(fā)、后臺數(shù)據(jù)管理等各環(huán)節(jié)將隱私保護作為重要的衡量指標,建立從數(shù)據(jù)收集、存儲、訪問、處理、共享到刪除的數(shù)據(jù)管理制度,隱私保護機制具體包括合規(guī)管理、產(chǎn)品評審、安全保障、內(nèi)部審計等內(nèi)容。
制定并公開《用戶隱私條款》(以下簡稱“條款”),條款堅持以下原則:權(quán)責一致原則;目的明確原則;選擇同意原則;最少夠用原則;確保安全原則;主體參與原則;公開透明原則。針對海外用戶個人隱私信息保護,公司制定并落實GDPR、CCPA、COPPA用戶個人信息隱私的全流程保護,在海外服務(wù)的過程中確保海外用戶的個人隱私安全。
公司盡可能減少個人信息的收集,確保不收集無關(guān)的個人信息。公司只會在達成《用戶隱私條款》所述目的的最短期限內(nèi)存儲用戶的個人信息,除非需要延長保留期或受到法律的允許。除《用戶隱私條款》當中列明的特殊情況之外,公司不會與游族網(wǎng)絡(luò)以外的任何公司、組織和個人分享用戶的個人信息。用戶有權(quán)訪問、修改和更正個人信息(除法律法規(guī)規(guī)定的例行情況除外),并可提出刪除個人信息的請求,公司在相應(yīng)刪除請求后將不再保留相關(guān)信息。
2021年11月中旬,公司引入App隱私合規(guī)平臺,QA部門人員對每一款上線的App進行合規(guī)性測試,確保公司App不存在任何對用戶隱私違規(guī)采集以及其他違反工信部合規(guī)的問題,確保每一款游戲APP符合合規(guī)標準。
推進SDK隱私合規(guī)專項
2021年2月至6月,針對監(jiān)管部門與公司網(wǎng)絡(luò)安全部門提出的隱私合規(guī)要求,結(jié)合第三方檢測機構(gòu)與游戲線上反饋結(jié)果進行更新,包括針對SuperSDK內(nèi)核、統(tǒng)計模塊、功能模塊、渠道模塊與廣告模塊等功能進行更新,包括漏洞專項修復(fù)、測試流程自動化、隱私合規(guī)功能優(yōu)化等內(nèi)容。
App隱私功能調(diào)整專項
2021年11月至12月,根據(jù)11月1日正式生效的《個人信息保護法》相關(guān)要求,公司推進App隱私功能調(diào)整專項,包括整改未成年人的隱私條款獨立成文;雙清單整理嵌入(收集個人信息清單、與第三方共享個人信息清單);隱私協(xié)議歷史版本+簽署留痕;撤回權(quán)限功能;投訴舉報功能。
