官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
总体思考
目标:降低公司被监管通报、处罚的风险,协助提升公司品牌形象,增强用户安全感。
方针:突破安全红线的原则性问题绝不支持,落实监管工作的过程中优先考虑实质性合规,实质性合规难以满足的情况下优先满足形式化合规。
策略:资源优先满足监管要求,积极获取权威认证助力业务发展。
职责:安全合规主要做好两件事,一件是揭示风险,另一件是针对揭示的风险提供方向性的风险处置方案。打个比方:业务方是开车的司机,安全在旁边说酒驾很危险,这样做既增加出车祸的风险,也可能被交警处罚,因此建议开车前不要喝酒(开车的主动权在司机,处罚的主动权在交警,安全的角色是善意提醒人)。
安全认证
ISO 27001
1、简介
ISO/IEC27001 信息安全管理体系(ISMS——information security management system)是信息安全管理的国际标准。ISO27001认证可以说是目前业内认可度最高的国际认证。
2、价值
企业增信:如果你们公司有APP,那么可以直接把通过ISO27001认证写入隐私协议,你们的PR或品牌团队可以写宣传稿进行宣传,这些都是可以提升公司声誉的。
机构合作:如果你们公司需要和其他机构合作,按照个保法要求对合作机构进行安全尽调,根据笔者的经验,大多合作方都会问有没有等保三级和ISO27001。
工作基石:做完ISO27001后,遇到去做别的认证或者给监管部门上报材料等场景将会变得容易很多,可以把相关制度文档及证据材料拿来用。
个人绩效:如果是第一次拿证,对个人当年的绩效打分会有很大的帮助。
3、点评
做认证一定要找专业的咨询机构,他们不仅可以帮忙写文档,还可以一步步带着你往前,让你少踩很多坑。ISO的认证比较偏体系管理,就是说你声称什么就要做到什么,因此不要给自己写太高的要求,制度写好后最好和运维之类的部门确认一下,看他们是否能够做到。在外审开始前要特别叮嘱相关部门通过邮件等方式留存证据。
等保
1、简介
等保,即网络安全等级保护标准。2007年等级保护制度正式实施,等保是监管部门合规执法检查的依据。
2、价值
监管合规:等保属于强制性要求,只要企业有系统理论上就要依法做等级保护
机构合作:如果你们公司需要和其他机构合作,按照个保法要求对合作机构进行安全尽调,根据笔者的经验,大多合作方都会问有没有等保三级和ISO27001。
个人绩效:如果是第一次拿证,对个人当年的绩效打分会有很大的帮助。
3、点评
等保相对比较偏技术检查,自从上海某等保测评机构被处罚关停后,现在做等保严格了许多,测评师还要在公司合影打卡,混日子不太好混了,还是要认真整改,没有高危风险达到70分以上即可。
ISO 27701
1、简介
ISO27701是在ISO27001信息安全管理体系的基础上,针对隐私信息管理的要求进行了拓展。ISO27701标准包含了隐私信息保护、隐私信息风险评估、隐私信息安全控制、隐私信息保护措施等方面的要求。
2、点评
ISO27701建议和ISO27001一起做,这样可以节省很多资源和时间。两者所选的目标系统和涉及的公司部门也要保持一致,这样最为简单。
通信网络安全防护定级备案
1、简介
根据《工业和信息化部办公厅关于开展2018年电信和互联网行业网络安全检查工作的通知》要求,各网络运行单位要按照《通信网络安全防护管理办法》的规定,在工业和信息化部“通信网络安全防护管理系统”(https://www.mii-aqfh.cn)对本单位所有正式上线运行的网络和系统进行定期备案或变更备案。
2、点评
根据工信部的要求,所有持有增值电信许可证的企业都应该进行定级备案。目前各地方通信管理局在推广这项要求方面的力度有所不同,但在一些合作机构的安全尽调表中,可以看到工信条线安全认证的相关条目。因此,这个证书除了满足监管要求外,也具备一定的实用价值。
内部自治
APP隐私合规
自从2021年开始,由于大量的APP因为违规收集用户信息、获取权限等问题而被官方通报或下架,APP的隐私合规风险变得非常严峻。随之而来,为APP进行隐私合规检测的厂商也如雨后春笋般涌现。在这种严格监管的环境下,大家都变得特别紧张,产品同学也逐渐认识到改善隐私协议中的细节是一项非常重要的工作,甚至可以接受下掉一些重要权限。如果有条件的话,建议寻找一家专业的APP隐私合规检测厂商,在每次APP发版之前进行检测。
体系制度建设
一般来说,企业都会做等保。虽然等保更加偏重于技术方面,但对于安全管理也有一定的要求。初期可以以满足等保要求为目标,制定相应的制度文档。如果企业有条件的话,建议做ISO27001认证,一旦完成认证,体系制度这一方面基本上就没有太大的问题了。
安全培训与考试
对于安全合规工作而言,培训是其中重要的一环。每年进行四次培训是必要的,不仅可以作为KPI的一部分,还可以应对各种认证和检查,如ISO27001和等保等认证机构都会关注安全培训的情况。在认证工作中,培训的签到记录和现场照片是重要的证据材料,要妥善保留。
安排安全考试并不是一项容易的任务,尤其是对于规模较大的公司,让几千人参与考试对出题水平有较高的要求。建议将考试分为两部分,一部分是必答题,题目非常简单,这样可以提高参与率和及格率。另一部分是冲刺拿奖的题目,难度逐渐增加,这样可以更好地拉开分数差距。此外,还建议设置一些主观题,以缓解作弊的问题,避免大家都得高分,但无法确定发奖的尴尬情况。
安全咨询与方案评估
自个保法出台以来,大家对于个人信息的保护意识显著提高。经常有人咨询关于向合作机构发送手机号码的数量限制、需要经过哪些审批程序以及需要注意哪些事项。通常,对于这类咨询,都会建议他们先咨询法务部门,等待各项法律协议签署完毕后再走相应的流程以便留档备查。由于监管部门的严格监管,各大应用商店对APP的隐私合规检测也日益严格。现在的产品同学在设计业务时更加谨慎,不再盲目追求权限收集,而是更加克制,只收集必要的用户个人信息。
总结
安全合规工作要取得好的成绩,最有效的方式是通过拿证。拿证是以结果为导向的,而且成果可以很好地衡量。尽管内部治理也很重要,但其成果很难准确衡量。因此,我们应该把工作的重心和倾斜度放在拿证上。