来到公司之后，才发现移动应用安全是个大坑，不仅有几个被通报待处理的问题App，还没有相关的安全体系，只能从0开始建设相关的安全体系，还要时不时应对被抽检出来的合规问题，及时整改。

这里的移动应用安全指的是：App（IOS、Android）、小程序

构建移动应用安全体系主要从下面的几个步骤开始：

背景调研

背景调研方面主要是从公司环境下部门情况、公司已有App及合规情况、当前已有的体系等方便摸清摸透。

了解到安全部门是刚建立不久，且挂靠在某个技术部门分支之下的，安全部门地位微乎其微，所以在推动体系落实方面难度相对较大，可能得借由领导层面的支持才能推动。因此剖析当前合规风险是第一步。

自2017年网安法上台以来，国家也陆续推出了许多法律法规标准支撑移动应用安全，工信部自2019年也开始陆续通报违规App。主要涉及的法规标准包括但不限于以下：

除此之外，还有将近50+的行业标准及相关通知出台，截至目前仍旧还在不断推出新的细则以及要求。

而公司层面的移动应用安全则是个空壳子，需要从0建设，除了购买第三方安全评估服务外便没了。其实市面上大部分的甲方公司（除了大型企业外）安全目前都还是不太受重视，推动起来被掣肘，很难大展身手。所以编制推动相关的安全制度是当务之急。

制度编制

在开始编制制度之前，分了几步来进行。

一、涉及部门及职责

移动应用安全除了安全部门外，还需要跟开发部门、产品部门、测试部门沟通协调，甚至有时还需要跟法务部门沟通，因此在梳理内部移动应用安全体系流程时，我优先将涉及到的部门及他们在可能出现的环节中的职责标记清楚。

在甲方流程体系制定中，明确部门职责是最关键的一步，这对于后期推动或者是寻求领导帮助都是必不可少的，明确到每个环节由谁来负责，谁来兜底？哪个环节出了问题是谁的问题？

而且推动过程中，只有写明具体的职责，才能够规避后面很多的事情，比如这块内容不归产品管，这块部门不归开发负责等之类。在推动过程中就能很明显的感知到，当制度落地后，部门的职责清晰，整个体系就跑起来很快速明了。

二、移动应用安全范围

与其他相关部门明确各自的范围后，我将具体负责的移动应用安全范围也制成清单。清单模板如下：

明确移动应用安全范围后，我开始着手根据公司的情况制定流程，当然这块可能还需要分为很多细项，包括上线下架、隐私政策调整、新增功能等，这些得根据实际情况进行确认。

三、流程制定

在流程制定环节，结合细项去进行划分，切记一定要关注部门、环节，让每个环节都是闭环状态。

就目前而言，对企业来讲更多需要的是一个短期安全框架去推动安全体系，因此在制定流程这方面，我考虑的是怎么走通这条路，以及后续怎么维护。

四、制度编制

画好流程图后便根据流程制定好制度文件，拉上相关的部门一起开会讨论，修改定稿后推动领导把这个文件落实出去，并明确告知后续这样做的后果。

体系落地

最难的点就是在体系落地了。什么都做好了，但是到了真正落地运行起来还是很多bug的，比如上线的时候直接上线，不过安全体系了，然后就被查出合规问题，应用市场直接下架。这些还好说，至少体现了安全部门的重要性。

可能有些隐私政策审核了，但更新不全面，更新到线上只更新1个链接之类的，所以对于这些来说的话，隐藏的风险就特别高了。一定要抓好细节，然后利用外部的风险优势树立安全的权威性以及重要性。

长期推动及优化

长期推动就发现很多问题要处理的，首先安全的地位得先提高，一个人的安全部门真的太难了，希望能继续学习成长。