前言:
“6月29日,中国网络空间安全协会发布了《2020年中国网络安全产业统计报告》(以下简称为《报告》)。
《报告》指出,2019年国内网络安全技术、产品与服务总收入约为523.09亿元,同比增长25.37%,网络安全企业从业人员约为10万人。到2023年底,中国网络安全市场规模将突破千亿元。”
在误打误撞成为一名网络安全从业者后,常会感慨网络安全是一个庞大的命题,个人力量极其渺小。
那么,安全行业到底都有哪些角色,分别从事什么工作内容,起着什么作用呢? 本文试从有限的个人视角进行总结归纳。
(一) 企业合规视角下的从业角色
一、角色分布
1、规则制定方。可能包含监管机构,或标准机构,协会等。
- 各类国家或政体均可制订相关法律法规、管理条例,我国的各级政府机构也有权制订地区性质的管理条例;
- 一些国际标准化机构,如BSI英国标准协会,主要制订和发布ISO系列标准;各行业联盟商会,如我国银监会等,亦可根据行业特性制订相应管理要求。
个人从业角色:行业专家
2、第三方测评机构
- 规则制定方机构指定的合作测评机构。如我国等保测评制订的,在各省市均有特定授权的合作测评机构。
- 上市公司财报审计相关的SOC鉴证审计,常由四大会计师事务所的IT审计团队进行。
个人从业角色:审计师/测评师.
3、被监管方
受法律/法规、标准/指南等约束的各类主体,本文特指企业或机构组织。
个人从业角色:合规专员/合规经理/内部审计师
二、运行机制
安全合规 可以理解为,企业为了证明自身符合特定的法律法规,或特定行业监管要求,而进行的评估认证。
评估方式:可以进行自评或请外部第三方机构进行评估。
对于企业来说,合规的主要作用是:
- 通过合规指引,提升自身安全能力水平。
- 符合监管要求,规避可能带来的罚款,客户或声誉损失。
- 通过较高水平的标准认证,获取行业准入或客户认可,间接促进业务营收。
岗位设置:
安全合规是在规模以上企业才会出现的岗位。在业务还在萌芽期,或发展期时,业务体量小,盈利水平低,企业将主要精力放在业务发展上,同时往往不会被纳入重点监管视线。
当企业组织规模增长,已经上市,或即将准备IPO时,内部合规建设会成为内部建设的必要环节。
组织架构:
安全类合规岗位,因需一定的安全专业知识背景,往往隶属于安全管理部门。
视各企业不同的架构设定,可能向首席信息官CIO或首席技术官CTO汇报。
三、角色说明
接下来,按照从企业到监管的顺序,逐项进行角色说明。
1、合规专员:
能顺畅沟通外部机构,帮助企业获取特定资质。
对标准学习能力、沟通等软素质有一定要求,需要安全相关专业知识,理解业务现状,能够有效推动内部进行现状与预期之间差距的改善。
此时,企业往往处于初步符合监管要求阶段,以应对监管和特定客户需求为主。
2、合规经理:
当企业内部包含多个业务,或面向较多行业,需要统筹规划资质认证时,会成立2-3人的小团队,由合规经理带队管理。
主要目标是帮助企业的不同业务产品,分别制订合规&认证规划;通过专业知识的整合,以尽可能少的精力投入,获得更多资质认证。
此时企业组织往往已经有了合规基础,并努力通过合规认证,帮助业务产品获取更多市场竞争机会。
3、IS信息系统审计师(内部):
一般有较高安全合规要求的特定组织会设定此类岗位。如银行、跨国集团、集团公司、或较高安全意识的上市公司等。
IS审计师的主要工作是结合外部监管要求和内部组织规程,对子公司或内部业务的展开安全审计。
内部IS审计师,需要对内部组织管理情况、业务情况具备相当的了解。同时也需要对外部规范/标准保持学习,有资格签发部分自评估报告。
常见的审计师资格认证有:CISA 国际信息系统审计师(ISACA颁发)、CIA 国际注册内部审计师(IIA颁布)、以及特定认证的认证的ISO27001内审员、ISO27001LA主任审核员等。
4、外部审计师/测评师:
在第三机构帮助企业展开安全评估或资质认证时,企业最常接触到以下几类角色:
- 进行等保测评时,合作测评机构的等保测评师。
- 上市公司或IPO前,进行定期SOC鉴证审计的外部审计师,通常来自四大会计师事务所的IA。
- 申请ISO系列认证时,有机会接触到DNV、BSI等标准机构的测评老师。
- 其他特定行业资质认证,比如银行卡支付标准认证PCI-DSS,国内唯一授权机构atsec。
5、行业专家
企业在做合规,第三方机构在做评估和审计,那么评估和审计的标尺,从何而来呢?
答案是由专业水平较高、且经验丰富的一群行业专家设定。 这里的水平太高,暂不展开来讲了。
以上, 是企业合规视角中的角色图谱。
下一期,尝试讲述《企业攻防视角下的角色图谱》。