FreeBuf甲方群话题讨论 | 聊聊企业安全运营中的个人数据隐私

各位FreeBufer新年快乐!节后首期话题讨论来啦~这一期话题和大家在工作中的个人数据隐私相关。如果从个人角度出发,个人数据属于个人隐私的一环,大到个人简历数据,人脸、指纹等生物信息,小到网页浏览记录以及聊天记录,它们都属于个人资产,应该予以加密保护。然而在实际的工作场景,这些数据的价值却变得微妙起来,一个看似简单的网页浏览甚至牵扯到了企业的安全运营管理,企业的安全部门有义务也有责任对其进行监管。围绕[企业安全运营中的个人数据隐私]为话题展开讨论,作为企业的安全部门,确保企业安全稳定运作的同时,如何保护平台数据时代下每个[透明人]的隐私数据安全,相信大家都会有不同的思考。1.过度收集企业员工的数据会损害员工且有触犯法律的风险,安全部门应该如何划定其中的界限呢?2.拆分工作和生活场景数据是目前大企业的普遍做法,那么在实际落地时,企业安全人员有哪些值得参考的做法?3.企业的数据脱敏、匿名、加密的做法之外,还有没有更好的办法来保证个人数据安全?△ 本文所有ID已做匿名处理@春风安全没有决策权,需要判定是否合规及如何平衡满足合规与企业的需要。@可可西里企业在收集、使用、加工、传输员工个人数据的过程中,安全部门应当通过制度、技术等手段,微商发布平台依法、妥善保管,确保信息安全。@北极之光安全部门应该只针对必须使用的数据进行收集,收集的数据在网络传输中应该加密,在数据分析时应该脱敏,在数据存储时尽量不要使用明文。@寒冰从公司管理上来说,安全部门可以联合法务、合规首先要做到风险提示,并只收集合法范围内的数据,并在员工手册、保密协议、安全培训中纳入这些内容,并用日常安全宣传进行提醒。@帝企鹅我们不止单位过度收集我们的个人信息,还要求我们把档案放单位,还把我们的信息提供给第三方,比如携程,我觉得这违法。但是没用。@繁星参照个保法说明,员工有权行使自己的知情权。企业想监控信息泄露没问题,想监控更多也没问题;企业有义务和责任履行自己的告知权。新员工入职、在职员工根据政策也要定期更新、外籍员工也要注意。注:两台电脑只是一种避免信息过度收集的手段,但无法避免工作和个人不交叉;这个和使用公司访客WiFi基本是一个道理,无法保证企业本不想收集却实际在收集个人信息,法律不会管你企业真实的想法,只关注你做了什么。@星星之火目前一个现状是在企业内部个人信息保护的意识不是很强烈,平时也不会有人注意到这些,因为大家可能比较信任办公环境网络,其实我们经常要填报资料传来传去,也有姓名、身份证、手机号之类的信息,大家这块觉得还没啥问题,可能是在单位内部吧,就不大注意,不止是员工,包括管理者都没有这方面较强的意识。这只是就我们公司感觉而言。另外,多数情况下企业不会主动过度收集个人隐私数据,除非是发生不安全甚至是违法犯罪事件需要排查,这种时候那就没有隐私而言了。个人数据的传输,安全部门只能给建议,比如文档加密发送、安全设计上匿名处理敏感数据等等,另外就是安全意识培训宣贯,让大家自己要注意,自身的隐私数据再不注意别指望公司能帮你保护多少。@寒冰如果使用单一设备,工作和生活很难区分,往往还会造成一系列后果,最近朋友圈、公众号上都有推送,大家也看到了。所以可以从设备上进行区分,比如:我就用两台电脑。公司电脑只用于办公,注意前面的限定词[只用于],不在办公电脑中处理任何个人事务,不安装任何个人相关应用。个人电脑用于处理个人事务,不处理任何办公事务。像微信QQ聊天、外出演讲写材料、写书、写自己的程序等都只用个人电脑处理。另外,别省流量钱,个人电脑使用自己的热点或买张5G流量卡上网。不然分析流量还是能分析出很多内容的,安全人肯定都懂。@可可西里严格上来讲,需要给员工配备工作专属,工作设备上需要做好权限设置。@夏至我之前的公司内外网隔离就没这些烦事了,网管将这些招聘网站屏蔽好了。@繁星部分参考问题1的回复,可以从入职、在职、离职三个阶段着手。个人总结可以做的安全工作如下:入职:获得员工授权,在合同中。可联合法务、合规、HR,补充,但是也需要说明补充个人信息收集的用途和范围在职:安全意识培训和定期根据政策要求,让员工时刻知道公司即时收集,也完全是合情合法和放心的离职:上述授权也基本说明,企业会保证员工个人信息相关部分会得到删除之类。简言之,员工个人信息保护是[弱化版的]个人信息保护。@星星之火我们工作配发的计算机上只允许处理工作事宜,管理上有要求,但是执行起来还是困难,谁的微信QQ不处理些个人事务,谁的办公电脑上没有个人文件呢?要彻底解决,最好就是隔离开,比如有钱的单位就两个电脑,或者上虚拟桌面之类的。但是最终人不可控,还是要分管理吧。@春风劳动合同加入个人信息保护承诺,必须获取个人信息的,应由安全部门保存提供给其他部门使用,而不是由非专业的行政部门管理。@可可西里企业可以通过加固数据安全软硬件、建立完善的安全制度并严格执行、举办各种活动提高安全意识等方法。@寒冰分清使用个人数据的业务场景,员工、客户、第三方,按不同的业务流、数据流结合数据生命周期进行保护。这个内容就大了。大家企业里除了客户的隐私协议,有员工的隐私协议么?>里有要求哦。@明月一些企业可以把敏感信息做成二维码,内部开发一个扫二维码APP,这个难度不高,周期很短。@繁星可以从数据的几个阶段来阐述,如采集、存储、传输、使用、共享、销毁。也可以从防护对象来阐述,比如黑客、员工(业务人员)、运维、开发测试、供应商等。数据脱敏、匿名、加密、鉴权等只是手段方法,最终还是保证数据的机密性、完整性和有效性。@星星之火这些做法都挺好,工作过程中使用到的个人数据也可以用这些方法保护,成熟稳定,不过我们企业还没有做类似的,就是上了套DLP监测,阻断还没敢开,默认的个人身份证、银行卡号之类的敏感信息策略都有。本期精彩观点到此结束啦~此外,FreeBuf会定期开展不同的精彩话题讨论,想了解更多话题和观点,快来扫码申请加入FreeBuf甲方群,小助手周周送福利,获取最新行业秘籍,还不赶快行动?审核流程扫码申请-后台审核(2-5个工作日)-邮件通知-加入会员俱乐部如有疑问,也可扫码添加小助手微信哦!精彩推荐

百度未收录

未经允许不得转载:蔚蓝网_微商货源 » FreeBuf甲方群话题讨论 | 聊聊企业安全运营中的个人数据隐私

赞 (0) 打赏