伴隨著《360數科數據安全管理制度》、《360數科數據分類分級管理制度》一系列數據安全管理制度在公司內密集發布，近日，360數科信息安全組面向全員積極開展“三訓一報”數據安全行動，包括915攻防演練實戰培訓、網絡安全主題直播培訓、辦公場景數據安全漫畫手冊培訓，并同步向網信監管部門做工作匯報，將《數據安全法》從制度到意識在內部落實到職能部門和崗位個人，全方位扎牢數據安全防控網，同時與監管部門建立定期暢通的匯報機制，強化數據安全治理的扎實落地和透明度監督。

360數科信息安全組負責人介紹：《數據安全法》的施行到企業內部的落地，需要企業結合平臺業務特點和內部架構做進一步的具體制度制定，不斷完善、建立健全企業主體內部全流程數據安全合規體系，而在企業內部，制度從發布到落地也是需要豐富多樣的行動舉措推進，做到知行合一，例如，9月15日啟動了全公司第一次數據安全攻防演練，就是要讓每一位員工在真實工作場景、有參與感的加入到數據安全的保障行動中來。

500)this.width=500\" align=\"center\" hspace=10 vspace=10 alt=\"360數科開展“三訓一報”行動 強化數據安全治理落地 \">


辦公桌上的3項實戰訓練 扎牢數據安全防控網

為了提升公司整體安全系數，應對不斷演進的攻擊手段，驗證內部數據安全保護策略，9月15日，信息安全組在全公司首次啟動攻防演練實戰，全員參與，以戰代“訓”，以實戰的方式，發現公司的安全問題，以攻測防，以攻促防，提高內部整體安全防御能力。在完全真實的辦公場景、工作環境中檢驗員工的數據安全保護意識，對數據安全制度和意識落地情況做一次大考驗。

此次數據安全攻防演練結合實際辦公場景和常見網絡安全隱患，主要從釣魚郵件、無線wifi安全和辦公電腦的物理安全3方面展開，在演練啟動前兩天提前向全員郵件進行了通知預告和內網防御注意事項講解培訓。其中，針對近年來針對企業網絡的高發攻擊手段——釣魚郵件，給出了4項“警惕”小貼士，包括：警惕拼寫奇怪的發件人地址，注意區分黑客團伙模仿企業名稱所使用的相似字符，例如，區分數字0和字母o，區分數字1、小寫字母i和大寫字母I；警惕郵件中一切需要賬號密碼登陸的網址鏈接；警惕不要隨便打開不明郵件的可疑附件，不要隨意點擊鏈接；警惕郵件標題、正文中帶有“緊急”“務必今日完成”等逼迫性詞語。

在無線wifi連接安全方面，此次攻防演練重點檢驗了公司內部“四不”的落實情況，包括：不連接辦公場所未知wifi；不使用無密碼的公開網絡；連接無線網絡時認準wifi名稱，不連接山寨釣魚wifi；不在辦公場所私搭wifi熱點，防止被黑客惡意利用。

在辦公電腦物理安全方面，重點檢查員工使用辦公電腦的行為是否遵守安全規范，包括安裝殺毒軟件，杜絕弱口令，避免密碼共用或共享密碼，離開工位要鎖屏，不隨意撿取并使用不明U盤。

防范木馬，密碼安全，社會工程學，辦公安全、數據安全制度等網絡安全知識培訓，并通過網絡安全主題直播培訓員、妙趣生動的漫畫手冊、信息安全答題等多樣化舉措進行全覆蓋的強化落實，確保員工對網絡安全和數據安全做到“知行合一”。

今年以來，信息安全組在全公司每季度舉辦 1~2 場以數據安全為主題的線上線下培訓，培訓內容包括但不限于數據安全法律法規解讀、政策標準、應急響應、數據安全意識、技術能力建設等，整體提升了全員數據安全意識。 

500)this.width=500\" align=\"center\" hspace=10 vspace=10 alt=\"360數科開展“三訓一報”行動 強化數據安全治理落地 \">


定期向監管匯報工作 強化數據安全治理透明度監督

據360數科信息安全組負責人介紹，該團隊定期擬定公司數安全技術能力提升規劃，結合各條業務線全面排查并梳理風險隱患、持續化提升公司數據安全技術能力。根據《數據安全法》要求，重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。今年，信息安全組與合規部、公共事務部、公關部、各業務線安全負責人成立了數據安全風險專項小組，推動內部數據安全建設，推動《數據安全法》落地，并與網信辦、工信部等在內的數據安全工作監管建立了溝通匯報機制，讓數據安全治理在平臺內部落實更有力，內外部監督更透明。

在最近的數據安全治理報告中，數據安全風險專項小組向監管部門匯報了在完善公司制度和新規學習方面所作的工作。其中，在完善公司制度方面，公司健全完善了個人信息保護及消費者權益方面相關系列制度，包括《數據安全管理制度》、《數據分類分級管理制度》、《第三方系統接入管理規定》、《信息安全員工管理手冊》、《業務系統使用管理規定》、《客戶信息安全管理手冊》、《計算機設備安全管理規定》等。在新規學習方面，自8月份以來，公司組織研究學習了《個人信息保護法》和《關于進一步壓實網站平臺信息內容管理主體責任的意見》。公司法律合規部第一時間出具解讀意見及操作指南，并以面向業務部門定向培訓的方式，進行新規宣傳和指導。

《數據安全法》于今年9月1日起施行，構建起了政府、行業組織、科研機構、企業、個人多元共治的數據安全治理體系，并推動行業組織、科研機構、企業、個人等共同參與數據安全保護工作，在強化行業自律方面，360數科在建立健全合規體系、開展落地舉措、定期匯報等方面積極、長效落實企業主體責任。