在IBM提出的ESF（v5.0）“企业信息安全框架”中，安全治理、风险管理和合规是其中一个层次，且处于最顶层，是业务驱动安全的出发点。主要包括企业战略和治理框架、全面风险管理框架、合规管理策略等。通过对企业业务目标和运营风险的评估，确定战略和治理框架，建设全面风险管理框架，定义合规管理和遵从策略，并最终确立信息安全管理及内控体系。因此，合规管理是企业信息安全整体建设的一部分。

在企业信息安全整体架构设计中，信息安全战略定义时，合规管理在其底层往往不可或缺，无规矩不成方圆，合规对企业安全建设是红线也是底线。但，在公司实现其业务目标过程中，面对业务系统运行带来的不确定性（即风险），做好合规并不能高枕无忧，甚至无法避免合规风险，但却能让企业在诉讼或行政抗辩中，避免出现高额处罚、声誉受损或重大影响。

本记录不以合规管理框架讲述，仅挑选涉及等级保护或数据安全的某些部分，单聊合规的务实操作，管中窥豹，时见一斑。

信息安全合规风险

在企业全面风险治理中，合规风险与信息科技风险往往是互相缠绕的，在企业安全的建设过程中，如果有重技术轻法规的认知，对未来业务的发展，将埋下诸多隐患。企业信息安全风险属于信息科技风险的一部分，在满足合规方面，从风险来源维度举例，则可以分为外部合规和内部合规。

外部合规主要包括以下部分：

- 国家法律义务（网络安全法、数据安全法、个人信息保护法、密码法等）

- 监管及部门规章制度（网络安全审查办法、关键信息基础设施保护条例、等级保护管理办法、APP违法违规认定办法、征信业管理条例、数据安全管理办法及其他监管要求）

- 行业或团体基本要求（ICP备案、等级保护、密码管理、数据分类分级、风险评估等）

内部合规的责任主要来自以公司法和企业内控规范下，企业风险治理战略中实施的全面风险管理策略，其中与信息安全风险治理有关的比如法律合规风险管理、信息科技风险管理、外包风险管理、供应商风险等，常见于以满足内控为主的各种管理制度和基本规范。（浅见合规，不单独赘述风险管理）

合规管理的指导来源，应是从建立安全合规要求及建设标准清单开始，整理详细的法律法规条款，梳理合规风险来源。

安全合规体系

合规管理体系的意义

现阶段市场上普遍意义的信息安全建设，常常因为市场化商业产品方案眼花缭乱，或者“从0到1”的实践经验有限，而难以统一进行体系化。合规自查不失为促进信息安全体系化建设的有效参考和促进措施。因为，信息安全合规是无数行业专业人士和前辈，根据各自在领域内的大量实践经验，综合制定的完善的、标准化的体系。

等级保护标准吸取了BS7799和ISO27001信息安全管理体系的内容，同时针对我国信息化发展情况进行了改进，在新的网络安全等级保护标准中，更是确定了以“一个中心、多重防御”为原则的管理策略，已经是一个完善的体系化的标准。

满足等级保护合规要求，也就意味着要引入其背后的信息安全管理标准，但引入新的视角的管理体系标准，必将与现阶段的企业信息安全框架（或已经约定俗成的管理流程）有所冲突，但并不代表要打破现有管理体系，而是可以相互借鉴融合。

利用合规要求的管理体系思想，对现有管理和技术措施，进行修正、补充，进而调整整合，融入现有体系之中，取精华去糟粕，发挥合规管理体系对原有企业安全框架的有效促进。

合规所传递的态度

- 能力的体现：充分体现企业信息安全保障的能力，或者在某一方面的治理能力，比如数据安全保护方面

- 值得信赖：以满足合规要求来展现企业在信息安全方面，为客户提供值得信赖的解决方案

- 信息安全透明度：通过公开白皮书、监管报告及信息安全合规管理的透明，取得客户组织的信任

安全合规发力点

说服老板合规的三个理由

• 法律风险

• 违规成本

国内在监管合规要求方面的处罚力度在加大，不超过年营业额10%的罚款、业务下架、通告及限期整改、现场训诫。在浙江省行政处罚结果信息公开中，搜索“网络安全”相关不履行网络安全保护义务、违反网络安全保护管理条例的处罚结果，2021年就有1200多条。

• 给公司带来盈利和业务运行的保障

一份透明且全面的合规实施计划、一个合规能力证明的认证证书，不仅能够在监管合规要求下避免出现应用下架、限期整改的风险，保障业务运行。同时让信息安全成为产品或解决方案本身的属性之一，赢得客户信息，促进公司的业务运营。

• 针对合规需求的实施方案及成本

对开展合规工作的完善的实施方案，和最优的成本控制，能让老板更好的支持你的合规管理计划（这一条是送的）。

不成熟的小建议

1.安全合规左移

充分理解合规设计和基本要求，进行需求分析，建立合规需求清单，翻译法律法规或合规标准，整理成技术人员便于理解的技术建设措施或整改措施。将合规整改加入到架构评审工作、列入到业务系统需求分析和研发过程，有效依托利用产品经理加入安全需求，给研发人员提供解决方案，完美嵌入到业务流程中。

2.理解合规意识

充分利用一切宣传和普及合规风险的机会，公司内部的合规培训、架构及需求评审会议、全面风险管理策略。借用公司战略解读合规需求，同风险合规部门一起，将信息安全的合规要求变成全面风险管理的一部分。

将合规的安全需求变成专项工作组的需求，利用产品部门、风险合规部门的有效作用，避免信息安全同研发部门的直面冲突，更好的推动合规管理。

3.合规成熟度自评能力

基于合规管理经验，整理对应的详细合规自查清单进行自评估，既能够发现差距，也能有效识别现阶段突出的风险问题，充实合规管理计划。

4.第三方背书

具有权威性的合规认证证书，相对于其他技术与管理措施，比较容易落地，更清晰且更有可能有用。

5.信息安全透明

信息安全合规的透明度，是显示合规遵从和安全能力的有效证明。认证证书、合规管理计划书、隐私条款、数据保护协议、数据透明度报告、风险评估报告等。

合规管理挑战

对等保合规的普遍认知偏差

1.企业安全建设最重要的原则是系统与安全“同步规划、同步建设”，但目前大多数企业，在IT架构设计或企业信息安全框架设计阶段，并没有将法律合规作为同等重要的需求。在法律合规管理和技术实践方面具有经验的专业技术人员，在大多数企业中仍然缺乏。合规管理方面，常常由法务、内审管理或安全运维等单一方面经验的人员负责实施，甚至出现例如ISO27001认证过程无安全管理人员参与的情况，人员本身综合安全合规管理经验的缺乏，因而未能将合规管理的体系融入到企业安全管理建设中。由此导致，企业合规管理建设水平较低，常常有“花钱买认证”的理念。

2.例如在等级保护合规市场，不排除部分测评认证机构，以等级保护认证机构推荐资质自居，或市场蛋糕较大，其本身项目排期较紧张，未能在测评项目中全流程开展等级保护测评工作。对企业等保工作的宣传和培训几近于无，项目实施仓促，往往仅三四天驻场测评，仓促开始了了结束，模式化流水化加重，无法对企业网络及业务架构理解。现场测评人员技术水平和测评质量都较低，按照评估指导手册生搬硬套，对条款与具体网络业务环境的适用性无法评估，评判过于僵化，对现有措施的风险缓解和风险评价不准确。

3.管理制度全靠编

4.整改建议对企业参考价值较低，技术措施或管理流程上，对现状整改难度大，企业安全管理意识和合规意识不足，加上检测方与被检测方心理上天然的对抗，导致整改加固建议形同虚设。

5.企业对等保合规的认知仅限于“花钱买证”“买设备”。

只言片语，总结演绎，认知受限，不可尽信。后续继续思考如何实施有效的合规自评估。