算法安全监测制度-3

算法安全监测制度第一章总则第一条为保障公司算法的安全性，防范信息安全、数据安全、用户个人信息泄露等问题，确保公司在人工智能技术应用中的安全和合规，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《互联网信息服务管理办法》、《互联网信息服务算法推荐管理规定》等有关规定，结合公司实际情况，制定本制度第二条本制度适用于公司内部所有涉及算法的研发、部署、使用、维护的相关部门和人员，涵盖信息安全监测、数据安全监测、用户个人信息安全监测、算法安全监测、网络安全监测的相关机制和技术措施，用以规范算法研究和工作流程管理，防止造成影响算法安全的事件发生第三条公司所有人员应遵循“早发现、早报告、早处置”的原则，及时防范和应对潜在的安全威胁，确保算法及相关系统的安全性、稳定性与合规性第二章信息安全监测第四条监测机制

（一）公司信息安全监测工作由人工智能研究院算法安全部负责，采用全天候监控机制，监测内容主要包含通信线路状态、网络设备运行状况、网络流量、网络基础服务和服务器及应用系统的运行状态等，发现异常情况，及时处理

（二）人工智能研究院算法安全部通过安全设备负责对公司信息系统和网站进行安全监测及防护，监测内容主要包含恶意IP地址、恶意电子邮件、恶意程序、应用服务器高危漏洞和弱密码等各类网络安全隐患对监测中发现的安全问题及时通报并进行相关处置

（三）安全管理人员负责对信息系统及网站开展日常跟踪监测，监测方式包括但不限于以下六种

1.定期检查信息系统和网站有无异常情况；

2.加强账号、密码管理，严格杜绝弱密码，重要业务系统要定期更换管理账号的密码；

3.定期对服务器重要数据进行备份；

4.网站及信息系统发生变更时及时报送人工智能研究院算法安全部备案管理，对新变更的系统部分及时跟踪；

5.确保信息先审后发；

6.定期对服务器操作系统、杀毒软件进行升级

（四）安全管理人员应根据网络安全等级保护要求，定期评估公司网络的安全状态，编制监测报告第五条技术保障机制

（一）公司通过安全监控平台部署网络流量分析系统、防火墙、入侵检测与防御系统（IDS/IPS）等技术手段，确保网络流量与应用系统的安全

（二）实时监测服务器和终端设备，自动发现并拦截恶意流量和攻击行为，确保数据传输和系统运行安全

（三）定期进行信息系统安全审计，并通过渗透测试评估系统漏洞，及时修复发现的安全隐患第三章数据安全监测第六条监测机制

（一）数据安全监测工作由人工智能研究院算法安全部负责,主要监测公司在算法开发、训练、部署过程中涉及的所有数据的存储、传输和使用安全

（二）制定严格的数据安全管理制度，确保敏感数据、个人信息等关键数据在存储和传输过程中受到加密保护

（三）安全管理人员应定期对数据管理系统进行风险评估，确保数据泄露、篡改等风险得到有效控制第七条技术保障机制

（一）使用数据加密技术（如SSL、AES等）保护数据传输安全,确保数据在传输过程中免受截获和篡改

（二）部署数据防泄露系统（DLP）,实时监测敏感数据的流动情况，并对异常数据访问或传输行为进行警报

（三）对存储敏感信息的数据库进行加密，并通过权限管理系统严格限制数据访问权限第四章用户个人信息安全监测第八条监测机制

（一）用户个人信息安全监测由用户人工智能研究院算法安全部负责，遵循《个人信息保护法》的相关要求，确保用户个人信息在收集、处理、存储和销毁全过程中的安全

（二）建立用户个人信息保护的监测机制，监控所有涉及个人信息处理的算法操作，确保个人信息的合法合规使用

（三）设立用户个人信息安全责任人，定期审核用户数据处理的合规性，并向主管部门报告监测结果第九条技术保障机制

（一）采用数据匿名化、去标识化技术处理用户数据，确保用户个人信息无法通过算法直接识别

（二）建立强制访问控制（MAC）机制，对用户个人信息访问设置严格的权限管理，防止未经授权的访问和滥用

（三）通过日志管理系统记录和监控用户数据的访问行为，发现异常行为时及时进行溯源和处理第五章算法安全监测第十条监测机制

（一）算法安全监测工作由人工智能研究院算法安全部负责，主要监测公司所开发和应用的算法在运行中的安全性和可靠性，避免出现算法漏洞或恶意篡改情况

（二）定期对算法模型的安全性进行评估，确保算法在面对攻击（如对抗性攻击）时的鲁棒性和抗攻击能力

（三）建立算法审计和版本管理制度，对算法的更新、升级进行跟踪监控，确保算法变更过程中的安全性第十一条技术保障机制

（一）部署算法监控系统，实时检测算法模型的运行状态，包括性能、结果输出和异常情况等，及时发现潜在安全隐患

（二）采用对抗性测试技术评估算法模型的抗攻击能力，确保算法不会被外部恶意输入所攻击或操控

（三）通过机器学习模型的可解释性工具，监控模型决策过程，发现和纠正潜在的算法偏见或安全风险第六章信息通报与责任追究第十四条各部门应指定信息通报联络员，负责信息的上传和下达第十五条信息通报实行24小时联络机制各部门信息通报联络员应保持通讯畅通，人工智能研究院算法安全部在发现算法安全、信息系统及网站存在安全隐患或发生安全事件后，负责通知并协助事发部门确定事件规模和影响范围，确保在发现安全事件后能够及时通报与处置第十五条各部门发生信息安全、数据安全或算法安全事件，应立即按照《算法安全突发事件应急预案》进行处置第十六条对瞒报、缓报或未按要求处理安全事件的部门或个人,公司将根据情节严重程度，予以通报批评，或追究相关责任人的法律和行政责任第七章附则第十七条本办法自发布之日起实施。