2020年网络数据安全合规性评估入选优秀案例系列展示之二——滴滴出行数据安全评估优秀案例

　　滴滴出行高度重视数据安全和个人信息保护工作，秉承“安全第一”的理念服务广大用户，建立数据安全管理、技术和评估体系,强化用户个人信息保护,并获得ISO27001、ISO20000和ISO22301三项国际安全体系认证证书。

　　滴滴出行数据安全管理组织为金字塔结构，公司信息安全委员会统一协调管理数据安全和个人信息保护工作，信息安全委员会下设数据安全管理小组和个人信息保护小组来推动执行各项数据安全和个人信息保护活动，各业务线安全团队负责数据安全规范和个人信息安全规范在日常工作中落实执行。

　　数据安全管理组织架构

　　在数据安全评估流程方面，为了全面提升滴滴出行重要信息系统的数据安全水位，降低信息安全事件发生和提高溯源能力，启动数据安全评估工作，将数据安全技术要求前置，同时通过建设数据安全平台 ，对重要信息系统实施在线化、自动化的数据安全风险评估和治理。

　　数据安全评估是滴滴出行重要信息系统的数据安全防护标准，各系统负责人在需求分析和开发设计阶段将相关防护措施集成到系统中 ，以提升系统的安全性，减少数据泄露的可能性，数据安全团队对已上线和即将上线的系统进行全面的数据安全评估。

　　数据安全评估流程图

　　在数据安全评估内容方面，数据安全评估围绕数据生命周期开展，并对网约车场景中的行程轨迹等敏感个人信息开展独立权限点、客服进线控制、接口强管控、隐私数据脱敏和安全警示等方面的重点评估。

　　数据安全评估内容示意图

　　在数据安全评估融合分类分级和数据地图方面，滴滴出行将数据安全评估各项数据与自动化分类分级、数据安全地图融合同步，为敏感数据全链路可感知提供技术支撑，进而定量定性的分析敏感数据暴露风险、流动风险、落盘风险等，开展更宏观全面的数据安全工作。

　　数据自动化分类分级是通过多维度数据特征来实现对数据自动化识别的技术，目前已实现滴滴公司离线、在线全量库表的实时识别，并在此基础上建立数据分级审批模型、基于列的权限管理、数据使用审计等。

　　基于敏感数据识别技术，识别数据全生命周期中各环节的数据，并通过可视化实时展示敏感数据的流动，展示敏感数据从线上业务传输、到大数据留存、大数据平台下载、终端落盘、终端外发等环节的敏感数据量，以及使用敏感数据的员工信息。

　　数据分类分级系统架构图

　　在安全合规评估系统方面，滴滴出行通过开发部署数据安全和个人信息保护合规评估系统，建立了业务线数据安全自评估、安全部门复核的工作机制，通过评估系统与漏洞管理系统的联动机制将评估中发现的问题自动下发到责任人，整改完成并核验后关闭漏洞工单，实现数据安全漏洞处置闭环管理。

　　滴滴出行通过数据安全评估，将数据安全分级管理贯穿于数据生命周期的各环节，在各业务场景落地数据自动化分类分级、数据安全地图追踪溯源等技术措施，实现从自评估、安全评估、整改、验收以及日常监控的PDCA风险治理闭环，更全面了解企业数据安全安全防护基本情况和薄弱环节，通过内部优化有效防范了数据安全风险，提升各业务线的数据安全水位，这些技术措施显著提高了数据安全管理能力，能够有效保护企业数据安全和用户个人信息。