FreeBuf|信息合规成长路径思考
前言
鉴于全球各国都把隐私保护提上了日程 , 拉高了Level , 企业对于这一块的工作也越来越重视了 。
基于工地之前没有专职人员负责隐私保护工作内容 , 而我恰好对其中内容有些许认知与理解 , 种种原因 , 前段时间在工地ReOrg之后 , 我也从一名信息安全工程师转换了Title成为了一名信息合规下的合规管理打工仔 。
至少有一周真是两眼一抹黑 , 得益于之前的工作经验 , 我知道隐私保护是什么、知道安全合规是什么 , 但是对于信息合规这一个概念其实是比较模糊的 , 到底什么是信息合规 , 它所包含的工作和信息安全似乎又切不开的关系、和法务也有千丝万缕的牵扯、似乎又和风控沾了一Neinei边 。 那么它和前述内容的关系是什么?
答案是:不清楚 , 没有非常明确的定义 。 它似乎包罗万象 , 又似乎啥都没有 。
最近一直在思考信息合规应该是一个什么样的成长路径 , 我应该做什么、能做什么、怎么去衡量我做到了什么程度?
有了以下的思考 。
扔在前面可供Argue的点很多人认为合规人员是不需要具备技术能力和技术背景的 , 其实不然 。 在互联网行业中 , 斯认为合规人员需要比法务同学懂技术、比技术同学懂业务 。 这样才能产出能够实际落地而非浮于纸面的解决方案 , 让业务方真正觉得合规确实是有帮助的 , 而不是业务发展上的拦路虎 。 不然合规的路子只会越来越难 。
很多信息安全人员认为合规就是定期将标准对齐一下 , 次年用前一年的材料应对一下检查 。 周而复始 , 没有什么价值 。
这也许与个人做事风格甚至是企业风格相关 , 不作任何评价 。 毫无疑问 , 但是带来的止步不前也是显而易见 , 甚至说某些工作一说 , 大家都一副了然于胸的感觉 。
关键点取决于是否想成就个人 , 毕竟公司给你发薪水你必须要成就公司 。
信息合规定义首先 , 明确什么是合规 , 合规包含的内容很多:对外需要强制符合法律法规、国际标准和行业规定等;对内需要符合公司规章规范、行为准则等 。
其次 , 明确什么是信息 , 个人信息、商业信息、公司信息、交易信息、服务信息以及其他一系列引申出来的内容 , 均可以称为信息 。 信息覆盖面非常广 , 载体承载的信息(如 , 营业数据)以及非载体承载的(如 , 公司声誉) 。
最后 , 信息合规是在开展一系列技术或管理手段的基础上 , 为业务在符合内外部环境监管要求下保驾护航 。
「Anyway , 可能目前经验比较浅薄 , 认知不够 , 如果有不同的看法也欢迎提出来」
信息合规范围界定1、业务范围
1)内部合作方
A.产品研发:融入SDL、PbD、合规需求开发等
隐私保护中非常强调PrivacybyDesign及PrivacybyDefault , 在产品研发初期就将隐私或者说信息保护纳入评估范围内 , 从源头即开始 , 同时伴随整个周期 。
提前约定需要在业务开展过程中 , 需要involveCompliance的场景 , 如:某一类型法律发布、某一类型事件发生、某些涉及个人信息处理的Feature开发 。
B.信息安全及IT运维小伙伴:合规要求的部分技术落地等
主要关于数据采集、存储、传输、处理、销毁过程中的安全技术手段保底 。
C.法务:法律法规要求、合规性探讨、隐私政策等
这一部分就不用多说了 , 专业的人做专业的事情 , 要充分的相信法务小伙伴的专业性 。 及时和小伙伴沟通并更新隐私政策和合规类内容 。
D.客服:服务过程中的顾客信息保护、信息传递等
顾客就是上帝 。 客服过程中经常会涉及一些关于用户的个人信息及帐号、各类记录「如:消费记录、浏览记录等」 。 需要谨慎对待 , 大部分为加强系统权限管理结合安全意识培训进行提升 。
E.风控:风控策略合规优化、信息埋点
风控分为业务风控和金融风控「或者其他内容 , 我目前没有接触的内容 , 勿喷」 , 合规侧需要符合的内容很多埋点都可以辛苦风控的小伙伴添加规则进行拦截 。 合规风控是一家!
推荐阅读
- 全国党媒信息公共平台三大优势,让企业享受更优质的多云服务
- 大数据&云计算长飞公司亮相2020中国国际信息通信展览会
- 瞭望东南|两位重要客人抵达中国边境!王毅亲自赴约,信息量巨大,特殊时刻
- 第一财经|中国信登:信托行业标准化监管数据信息完成首次全量采集
- 中新经纬|赠自建房、阳光房?25家中介机构违规发布房源信息被查
- 姐弟|新通联实控人姐弟疑因重组彻底闹翻还隐瞒一致行动早已解除的信息
- 全量|中国信登:信托行业标准化监管数据信息完成首次全量采集
- 收盘价|*ST同洲:近3个交易日上涨15.89%,无未披露的重大信息
- 广州日报综合都市现场、新闻坊、新闻透视、信息时报|惊了!老伯去世数月后,被拍到过马路闯红灯?!
- 通信信息报|这会导致传统APP被淘汰吗?,“5G消息”即将问世