随着近来国家对网络安全的重视，网络安全行业得到快速发展，企业安全建设变得越发重要，但随着相关法规的不断增多，对企业安全运营提出了更加规范化的要求，企业安全合规已成为安全建设中绕不开的话题。

2022年3月10日上午，由网络安全门户FreeBuf主办的CIS 2021网络安全创新大会 Spring·春日版安全合规专场在CIS官网进行了全程直播，陌陌安全合规经理纪帅、斗象科技企业安全产品总监景生光、中通快递安全合规负责人王俊豪、货拉拉高级信息安全工程师乔智明、Funplus趣加游戏安全架构师汤青松就相关议题进行了演讲。

数据安全合规探索与实践——尊重安全与隐私

陌陌安全合规经理纪帅

没有数据安全，隐私就得不到有效保护，在议题开篇，纪帅简要梳理了近5年来数据安全相关政策法规的发展，尤其是近两年，国家对于APP违规搜集搜集个人信息、侵犯用户权益的行为越发重视，进行了多项整治工作。纪帅总结了过去一年的主要监管动态，随着以《数据安全法》《个人信息保护法》等为代表的法律法规、《常见类型移动互联网应用程序必要个人信息范围规定》《互联网信息服务算法推荐管理规定》等为代表的标准规范，以及工信部、各市开展的专项整治行动，三管齐下，国家对侵犯个人信息安全隐私下了重拳。

陌陌安全合规经理纪帅

纪帅认为，安全隐私保护需要从制度保障、组织保障、技术保障三方面进行建设。对于数据安全制度建设，纪帅提出了安全管理制度、分级分类原则、提取流程等共15个方面。在实践环节，纪帅强调，APP在采集数据时，除了要以明显的方式提示用户阅读《隐私政策》，还要避免使用“好的”“我知道了”“我已阅读”“立即使用”“下一步”等无法清晰表达用户同意的词语。

此外，纪帅还从数据安全访问、导出、审计、销毁等方面进行了梳理与实践，构建了全方位的数据安全实施框架，相信在政策的有效指导、科学的治理框架、完善且细化的技术实施条件下，隐私相关的数据安全能够得到有效的落实与发展。

数据合规之API安全

斗象科技企业安全产品总监景生光

数据安全一直是行业热点，景生光从去年6月发布的《数据安全法》入手，结合对近两年突出的数据安全事件回顾，强调API是企业数据安全管理的痛点，如API资产摸底不清，无法对其进行有效管理；无法了解随对API发生的黑客攻击、漏洞利用、出网访问等安全风险；无法及时了解老旧、低活跃API，无法识别API访问来源是否合规；不能掌握API全局访问规律，出现安全事件后无法进行溯源。

在提出的API解决方案架构图中，景生光从API资产管理、API风险分析、敏感数据分析、API态势分析4个核心功能进行解构，进而提炼出API安全管理的价值：符合合规要求，满足《数据安全法》、《个人信息安全保护法》对履行数据安全保护义务，也能一步到位管理API资产风险，解决从API资产发现、风险识别、合规性分析、事件研判、溯源取证整个环节管理中的问题。

斗象科技企业安全产品总监景生光讲解API解决方案架构图

最后，景生光对API安全提出了两点寄语：

1.在互联网的世界里，“安全”和“开放”是一个永恒的话题，但“开放创新”的前提必然是“安全可控”，也就是说没有安全的API，创新是不可能的。

2.数据安全不仅仅为了合规，更重要的是隐私保护，是对人性自由和尊严的尊重。

信息安全管理体系建设实践

中通快递安全合规负责人王俊豪

作为一家以快递业为主，融合了国际、快运、云仓、商业、商业、冷链等为辅的综合物流服务品牌，庞大的体量给企业安全建设带来挑战。王俊豪对此提出了4大安全挑战：业务变更频繁、组织分布广泛、敏感数据量大、安全意识薄弱。基于此，中通从“一法三标”，即以《网络安全法》《GB/T 22239-2019》《GB/T 22080:2016》《ISO/IEC 27701:2019》为依据开展网络安全建设。王俊豪认为，“一法”是指导思想，“三标”为建设指南，彼此配合能为企业安全建设打下良好基础。

中通快递安全合规负责人王俊豪向大家展示“一法三标”建设依据

由于“一法三标”要求不尽相同，王俊豪将网络安全建设一体化实施分为两个阶段。第一个阶段为标准融合，即ISO27001系列标准与等保标准的融合。在标准融合内容方面，王俊豪提出了组织职能融合、建设过程融合、人员培训融合、标准内容融合、文件编写融合、检查整改融合6方面内容，并在此基础上进行隐私扩展，实现ISO27701: 2019标准中的隐私信息管理要求。

为了形成完整的信息安全兼隐私管理体系，中通新增并修订了15份制度文件、1份公司隐私政策，这些均是在ISO27001体系上进行优化和新增。同时完成文件评审，职责明确，使制度要求能够落地执行。此外，王俊豪介绍了中通完善的安全培训体系框架，针对不同的对象制定不同的培训内容，包括安全意识、安全开发、安全理念培训，并以线上+线下的形式，尽可能多地触及培训对象，多角度渲染安全意识氛围，持续提升人员的安全认知。

最后，王俊豪通过介绍中通的管理体系架构，以组织结构、体系文件、持续改进的流程、技术保障4方面，系统全面地讲解了公司信息安全及隐私保护所实施的策略及流程。

建设个人信息保护合规体系，保障企业业务稳定健康发展

货拉拉高级信息安全工程师乔智明

互联网的发展，在日渐丰富人们日常生活的同时，也让个人信息的泄露变得越发普遍。但人们对个人信息的日渐重视是时代所趋，法律也在近两年积极响应。在议题开篇，乔智明罗列了从2019年至2021年相关部门为保护个人信息所采取的监管行动，凸显了相关企业对个人信息保护合规实施的必要性。

乔智明提出了企业面临的个人信息保护合规的4“高”挑战：监管重视度高、专业复杂度高、社会关注度高、业务关联度高，但也认为，在个人信息保护方面，现阶段我国关于个人信息保护方面的立法和框架已经基本形成，既包括起到统领作用的较高位阶的法律，也包括相当一部分非常具体的配套法规、规章和标准。

货拉拉高级信息安全工程师乔智明

由此，乔智明提出，个人信息保护体系需要解决的问题主要有两方面，一是解决个人信息保护涉及多部门背景下，单位内部工作职责界线分工和协作的问题；二是解决从法条规定的文字到技术落地实践的问题。即：横向-机制；纵向-落地。

在人信息保护合规体系建设实践方面，乔智明带来了如下提议：

1.关于合规体制和职责，需梳理出涉及个人信息处理的各个部门和业务流程，并确各部门的工作边界与协调机制流程；

2.相当一部分组织已建立信息安全管理体系，应当考虑融合现有安全管理体系，构建统一评估和考核评价指标；

3.构建合规知识库，积累监管要求和组织最佳实践；

4.闭环风险评估管理流程，提升自动化和决策支持水平；

5.以合规保障业务，以合规促进业务。

代码安全体系建设实践

Funplus趣加游戏安全架构师汤青松

“信息安全的防御遵从木桶原理，在业界受到一致认可，保障整个应用的安全，不由某一维度是否做的足够好来衡量。” 汤青松以这句话揭开了该议题的序幕，并认为，安全质量不在于开发人员的编码能力高低，也不在于安全人员单独的技术能力，而在于整个体系的意识、技术、监督、学习等多维度。

Funplus趣加游戏安全架构师汤青松

通过一张框架图，这种“整体思想”涵盖了4个方面，即安全培训、风险提醒、代码审计和安全测试。在安全培训方面，分为首次安全培训、小组培训及案例就地取材，后者以分享尽可能贴近所在团队的漏洞案例来实现。风险实时提醒则包括风险提醒作用、风险函数提醒、信息泄露提醒及git钩子使用，汤青松还展示了一段git钩子代码进行说明。代码审计则包括代码审计方向、通用编码审计、工具选型和批量代码审计实现，汤青松简要介绍了由本人开发的一套批量代码审计工具，支持按照漏洞筛选。安全测试则包括Web站点测试、API接口测试、私有协议测试和案例输出。

此次安全合规专场共吸引了超10万人次用户观看，得益于线上直播良好的运营机制，观众在不时通过弹幕积极响应议题内容的同时，也通过参加活动得来的麦穗值为心仪的演讲嘉宾打榜，整场直播活动气氛热烈。

安全合规建设任重而道远，不同的企业面对着各不相同的困难和挑战，但梅花香自苦寒来，随着政策的逐步完善，以及广大网安人在具体合规体系建设上的不断实践、创新，安全合规建设将不再是企业发展的痛点或拦路虎，而是成为企业健康、快速发展的必由之路。