互联网时代,数据是一把达摩克利斯之剑,既能带来创新与变革的力量,也让科技与商业伦理边界与定义不断变化。要驾驭大数据创新之力必须回归责任初心。
作为全球TOP20、中国第三的上市游戏企业,三七互娱有着基数庞大的用户群体以及海量数据。为此,三七互娱始终把以个人可识别信息为核心的数据保护视为信息安全管理的重中之重,并以严谨的管理制度与流程体系为基础,采用行业领先技术对标国际标准,严控信息安全风险,确保数据安全。
采用行业领先技术 建立信息安全保护体系
对于三七互娱来说,信息安全一直是企业战略性核心议题。为了更有效地做好相关管理工作,三七互娱在采集与管理用户隐私信息方面制定了包括合法性、权责一致、最少够用、个人同意、用户参与、确保安全在内的6项原则。
同时,三七互娱还依据《ISO 27001:2013信息安全管理体系》《GB/T 35273信息安全技术 个人信息安全规范(2017)》标准的要求,建立、实施、运行、监视、评审、保持和改进信息安全管理体系,以实现信息的机密性、完整性、可用性、真实性和有效性,最终保障以用户隐私为核心的数据安全。
据了解,当前三七互娱的信息安全管理体系覆盖集团旗下包括37网游、37手游、37GAMES三大游戏平台,并将平台所有的服务供应商也纳入整个体系之中进行管理,确保了体系的完整性,降低了体系之外的潜在风险。
在具体数据安全执行工作方面,三七互娱也采取了系统、严密的操作。以数据资产保护为例,三七互娱对数据资产的存储与传输全程加密。密钥加密采用具有抗强碰撞能力的SHA256/AES加密算法,能抵御生日攻击、彩虹表攻击、差分攻击等常见的Hash函数攻击,并此基础进行加严处理,以增加额外的安全性。同时,三七互娱还采用了隐私增强技术管理用户隐私数据,包括对用户个人信息进行去标识化和匿名化处理,将可用于恢复识别个人的信息与去标识化后的信息分开存储,并加强访问和使用权限的管理。
去年,三七互娱完成了互联网大数据安全测评,并与网安部门制定联动机制,在配合网安部门政企工作基础上,特别设立了企业警务工作室,确保有足够的力量应对网络安全突发事件,进一步加强企业网络安全管理综合治理能力。
做前瞻性安全预防 迄今未有数据泄露事故
信息安全体系是保障公司信息系统有序建设并安全投产运行的基础。为了做好防御工作,三七互娱采取了前瞻性信息安全事件预防措施,包括制定《信息安全事件管理规范》《预防措施控制程序》《事故事件薄弱点与故障管理程序》《信息安全奖惩管理程序》等程序,对信息安全事故进行系统管理,明确目的、职责、责任主体、事件界定、报告渠道和处理方式,并编制有完整、具体的灾难恢复计划,以备意外事件发生后恢复系统之需。
此外,为有效和及时应对信息安全事件,三七互娱还建立了24小时值班制度。当信息安全事件发生时,集团的技术中心会立即启动应急预案或采取有效措施,在事发或接到事发报告1小时内到达事发现场,全力而有序地组织抢救抢修,防止事件扩大,消除各种危险,尽快恢复系统,将各种损失减到最低程度。
在员工安全意识培养方面,三七互娱会对所有在岗人员进行系统培训,建立信息安全意识和氛围、进一步提升在岗人员专业素养。去年,三七互娱就组织开展安全法律法规及信息安全管理培训10次,技术中心更是全员参与。迄今,三七互娱未发生一起数据泄露或威胁数据安全和用户隐私信息的事件。
作为国内知名互联网企业,三七互娱高度重视互联网产品的内容导向,积极响应国家各类网络信息安全政策部署,确保积极健康的网络文化产品面向大众,以期为营造晴朗的网络空间贡献一份力量。