freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

FreeBuf甲方群讨论 | 在如今的政策背景下,聊聊企业安全合规
  • 关注
    FreeBuf甲方群讨论 | 在如今的政策背景下,聊聊企业安全合规
    2021-12-09 14:34:53
    所属地 上海

    近日滴滴在美退市的消息引发了行业内外的热议,企业安全合规的话题又一次摆到了我们面前。事实上,随着各项法律法规的正式出台,中国营商环境对于企业安全合规的重视程度也达到了空前的水平,随着相关法规越来越细化,企业在安全合规方面的工作也愈发需要具体。

    本期甲方群话题讨论就围绕企业安全合规展开讨论。

    1. 从滴滴退市来看,安全合规无疑关乎企业发展根本,那么各位来看,在如今的政策背景下,企业安全合规运营有哪些新的动向?
    2. 人员配置是企业安全合规运营的重要组成,如今企业安全合规岗位的定位如何?和纯技术岗位相比,这一类岗位未来职业的发展前景各位是否看好呢?

    (本文所有ID已做匿名处理)

    1. 从滴滴退市来看,安全合规无疑关乎企业发展根本,那么各位来看,在如今的政策背景下,企业安全合规运营有哪些新的动向?

    @东城周润发:

    我认为,企业大到一定地步就不单单要考虑经济效益,还要考虑政治效益,涉及到安全运营得动向。

    @无名路人:

    合规不难,难的是落地。

    @终结者:

    先解决增量问题,然后解决存量问题。即指在现有基础不要再增加更多问题,然后再去解决以前留存的问题。

    @鲲鹏欲展天地间:

    确实,增量不解决 ,之后又变成存量了。

    @西城刘德华:

    以前法律制度不完善,只有个别部门规章制度,惩处多以行政处罚,随着相关法律出台,明确了企业合规的责任和义务,经过违反合规诉讼案件的教育,企业会越来越重视合规,毕竟法律是社会的底线。

    法律法规参考标准必然需要融入到企业管理和产品研发之中,对合规的基因必然会渗透到企业各项事务处理中。

    以数据合规为例,传统合规多是由法务统筹兼管,偏离技术原点,导致合规落地难,与企业管理和产品研发形同陌路,新型合规人才,必然是兼具法条理解和技术经验的专家,与之前单独来自法务部门不同,可能更多来自技术部门,使合规更容易落地,此类岗位职业前景较好,技术产生盈利,规避法律风险避免罚款,既懂技术又懂法律,必是企业的核心大拿。

    我们公司的合规,联合法务制订了合规清单,摘法条和标准,由技术解读落地措施,将安全需求纳入到需求评审当中,融入到产品血液,即避免了检查时的返工,又能增加工作业绩。不过对合规以及监管只提要求不推荐做法的检查方式,由企业自己去摸索,还是落地是大难,建议更多人参与到标准实践解读之中。

    @西城刘德华:

    目前多数合规还是IT集成或者管理内控的思路,对信息安全管控经验不多。

    比如乙方安全服务,合规只说签保密协议,具体怎么做他也说不清,跟企业签保密协议、现场实施人员保密协议,保密范围如何定,风险规避措施,是否涉及知识产权...

    @鲲鹏欲展天地间:

    一到了实际场景,不是遇到这样的问题 , 就是遇到那样的问题。

    @西城刘德华:

    更别说类似数据安全专项的审计或者合规,方案写好给他们,检查表给他弄好,配合检查,整改建议给他写好,一问到法律知识,他们就要问问律师...

    @无名路人:

    而企业部门,先不说落地执行的事情,就是把流程搞通畅、制度列清楚、协议写明白、范围定准确。都已经不是一两个部门或者普通人员能搞定的了。

    @西城刘德华:

    我们这种公司现象更明显,就是新公司员工全部是外面外过来的具有工作经验的人,项目开展和上手确实比较快,但是大家都是按照各自以前的经验在做事,制度流程的落实比较难,相当于要改变他们的行为习惯。

    @半岛铁盒:

    我认为新的动向就是遵循个保法,加强风险控制。

    @奔跑者:

    我个人认为以后更多的方向重心是放在数据合规,日志就不多说了也是一项参照网安法,主要说今年发布的许多规范,从关基设施、APP个人信息保护、个人信息范围规定、数据安全、安全审查(重心还是放在数据)、个人信息保护、汽车数据、数据出境(征求意见稿)、网络数据安全管理条例(征求意见稿),从国家发布这么多规范都能看到数据信息是重点,尤其是政府单位、国有企业、与国外有数据交互、或者国外上市的企业来说这就是一个必做工作,也就是说数据分类分级,脱敏、传输、存储、到销毁也会越来越规范,监管越来越严格,我个人认为合规重心很有可能是数据合规,不单单像是以往做完等保就可以万事大吉。

    2. 人员配置是企业安全合规运营的重要组成,如今企业安全合规岗位的定位如何?和纯技术岗位相比,这一类岗位未来职业的发展前景各位是否看好呢?

    @东城周润发:

    和纯技术岗位相比,这个岗位可有可无的,目前基本就是可以被其他岗位兼职打杂的。

    @半岛铁盒:

    全球范围看好,国内不看好, 增加额外的运营成本,还要限制业务正常运营,一些业务部门大佬肯定反对,加上一些问题本来还可以当作不知道的,结果按照27001来检查,都是问题,能不出问题吗。

    @奔跑者:

    合规岗位我认为有点像法务,都是帮企业找出风险、处理/规避风险,同时帮助企业建设自有并适应企业环境的制度来进行规范管理;我肯定看好这类工作发展前景,因为我就是偏向这一块岗位有参杂一定个人感情,因为合规岗位更多是偏向统筹规划,不单单是纯技术,还需要考虑企业建设的种种问题,纯技术来说,只需要完成安排好的工作即可,说的不对,请指正。

    本期精彩观点到此结束啦~此外,FreeBuf会定期开展不同的精彩话题讨论,想了解更多话题和观点,快来扫码申请加入FreeBuf甲方群,小助手周周送福利,获取最新行业秘籍,还不赶快行动?

    如有疑问,也可扫码添加小助手微信哦!

    # events
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者
    文章目录
    1. 从滴滴退市来看,安全合规无疑关乎企业发展根本,那么各位来看,在如今的政策背景下,企业安全合规运营有哪些新的动向?
      2. 人员配置是企业安全合规运营的重要组成,如今企业安全合规岗位的定位如何?和纯技术岗位相比,这一类岗位未来职业的发展前景各位是否看好呢?