制定制度构建长效机制
负责数据安全相关工作的温暖和何鹏介绍,中国移动根据《民法典》《网络安全法》等法律法规,对标工信部、公安部、网信办等发布的国家标准,编制了企业内部的数据安全管理办法,围绕数据收集、传输、存储、使用、共享和销毁六个关键环节,针对性地提出安全要求,深入数据管理各个场景,推动安全管理常态化、日常化。
防护技术覆盖全生命周期
负责网络安全系统维护的吴骥向记者介绍,中国移动对涉及存储、处理个人敏感信息和重要数据的平台系统都配备了数据防泄露能力,及时对异常数据操作行为进行自动化预警拦截。此外,利用模糊化手段对实体营业厅、10086、自助终端等各类客服系统界面进行全面改造,将客户敏感信息进行模糊化处理,同时借鉴银行业“金库”管理中“多人操作”和“授权操作”的思想,规定所有涉及客户信息的系统内容查询操作,必须由两名以上的员工共同完成,降低违规风险。
评估检查惩治违规行为
针对全集团各各单位开展数据安全评估,定期对各单位开展数据安全管理的机构人员、技术保障、合作管理等方面情况进行评估检查。孟迪在开展监督工作时深有体会:“数据安全无小事,我们严格开展问题清查和责任追究,倒逼工作人员提高数据保护意识,及时发现整改问题”。风控工作人员傅丽补充道,数据安全也是开展内部控制检查和审计工作的重点。
推广标准共享实践经验
近年来,中国移动积极总结数据安全和个人信息保护工作实践经验,沉淀优秀工作机制和技术手段,制定标准规范,积极推广共享。“金库模式”技术成果等数据安全管理相关的十余项成果已在ISO、ITU-T、TC260、CCSA等国内外重要标准组织立项或发布。长期从事数据安全标准研究的江为强博士介绍:“疫情期间我们总结了数据安全保护指引,对全集团开展大数据服务起到了较好的规范作用。”
