爱奇艺合规及数据安全治理实践

致力于数据资产智能分类分级管理和数据安全合规检测技术创新的杭州世平信息科技有限公司(简称“世平信息”),顺利完成5000万元B轮融资。

作者:爱奇艺信息安全总监王超

在信息安全体系建设中,数据安全上承合规监管、隐私保护,下接网络安全、攻防对抗,发挥承上启下的重要作用。面对数据安全治理这一关键环节,爱奇艺在合规及数据安全治理实践中取得了六大重要进展:

一、网络安全
网络安全是数据安全的基础。爱奇艺的业务线有几十个不同类别,所有这些App服务和应用系统都部署在混合云上,最终服务上亿爱奇艺会员。利用云态势安全中心,DDoS检测清洗,黑白盒扫描集群,主机检测,蜜网,情报,混合云策略管理中心等多种自研系统及平台,实现立体多维安全防护。

爱奇艺合规及数据安全治理实践

二、监管合规
作为一家企业,必须监管合规才能正常开展业务。爱奇艺一方面积极配合监管,另一方面也深度贴合国家监管及专项的要求。2020年,爱奇艺安全和法务团队针对专项要求的六大违规方面做了全面解读,并映射成“APP隐私红线基线”,通过GRC平台分发给App业务负责人及接口人,以统一的标准进行评估,快速识别聚合主要风险,跟进响应相关工作,并针对红线基线生成跨业务线横向比较评分表,在不同业务之间展开横向评比。
另外,检测工作除了流程还需结合技术平台的精准检测,爱奇艺为内部的移动安全平台MSEC升级了静态及动态检测点。特别是把确认隐私政策前是否收集个人及设备信息,是否超频次收集信息等问题,都加入到自动化检测逻辑中,极大提高业务整改复核的效率和质量。

爱奇艺合规及数据安全治理实践

三、个人信息安全
数据安全中最核心的是个人信息安全。爱奇艺在人员、制度、流程、平台等多个方面有保障机制。从组织架构角度,隐私及信息安全管理工作组,对上向隐私及信息安全委员会汇报工作,向下通过“隐私红线”对接各业务线,各业务只需要关心隐私红线基线检查是否符合达标。如不符合“隐私红线”,APP发布上线都会受到限制,安全有权一票否决。

爱奇艺合规及数据安全治理实践

四、数据生命周期管理
数据安全离不开整个数据生命周期管理,爱奇艺依照标准的数据安全成熟度模型进行管理。例如敏感信息的收集环节,通过不断迭代的规则和算法对数据库和大数据,进行分级分类及数据资产的定位。爱奇艺对媒资相关系统进行定级评估和全链路收敛,包括媒资文件定级,分级分类,流转监控,平台管控,日志审计等,保证了关键数据不泄漏。

爱奇艺合规及数据安全治理实践

五、安全意识培训和应急演练
安全包括保密性,完整性和可用性。可用性涉及到灾备及安全应急演练,爱奇艺在几十个APP和业务系统中,挑选出最核心的业务,随机将一些服务器关闭宕机,检测是否有可用性故障。此外,还有和安全相关的红蓝演练,DDoS攻防,主机攻防等。数据安全也引入了红蓝对抗思路,对当前策略泄露与否的判定、对可能存在的泄露渠道进行预防等问题,在红蓝对抗或应急演练里不断去积累、验证、发现弱点,再不断提升。

数据安全和人员的安全意识息息相关。任何一个员工包括实习生刚入职必须经过隐私和安全培训,保证整体的安全意识考试全部达标。

爱奇艺合规及数据安全治理实践

六、安全框架
数据安全实践离不开安全框架的支撑,依据法律法规,爱奇艺积极落实公安部、工信部的定级备案,等保测评,同时获得国际权威体系认证。2019年通过了ISO/IEC 27001和29151认证,2020年底通过ISO/IEC 27701认证,不断建设信息安全体系及个人隐私信息管理体系。2020年金融支付业务也获得了支付行业国际标准PCI DSS的认证。通过国际权威认证规范安全合规体系,保障用户支付与信息安全,是爱奇艺保障用户权益,持续赋能业务的重要手段。
数据安全治理是一个需要多维度、多领域共同打造的生态环境。爱奇艺将紧跟国家和行业要求,与全行业共同探索数据安全治理发展。

关于作者
爱奇艺信息安全总监王超

Jietu20210219-134733

声明:本文来自大数据技术标准推进委员会,版权归作者所有。

版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/112.html

发表评论

登录后才能评论
跳至工具栏