安全从业者 角色谱（一）企业合规视角下的3种角色

前言：

“6月29日，中国网络空间安全协会发布了《2020年中国网络安全产业统计报告》（以下简称为《报告》）。

《报告》指出，2019年国内网络安全技术、产品与服务总收入约为523.09亿元，同比增长25.37%，网络安全企业从业人员约为10万人。到2023年底，中国网络安全市场规模将突破千亿元。”

在误打误撞成为一名网络安全从业者后，常会感慨网络安全是一个庞大的命题，个人力量极其渺小。

那么，安全行业到底都有哪些角色，分别从事什么工作内容，起着什么作用呢？ 本文试从有限的个人视角进行总结归纳。

（一） 企业合规视角下的从业角色

一、角色分布 

1、规则制定方。可能包含监管机构，或标准机构，协会等。

• 各类国家或政体均可制订相关法律法规、管理条例，我国的各级政府机构也有权制订地区性质的管理条例；
• 一些国际标准化机构，如BSI英国标准协会，主要制订和发布ISO系列标准；各行业联盟商会，如我国银监会等，亦可根据行业特性制订相应管理要求。

个人从业角色：行业专家

2、第三方测评机构

• 规则制定方机构指定的合作测评机构。如我国等保测评制订的，在各省市均有特定授权的合作测评机构。
• 上市公司财报审计相关的SOC鉴证审计，常由四大会计师事务所的IT审计团队进行。

个人从业角色：审计师/测评师.

3、被监管方

受法律/法规、标准/指南等约束的各类主体，本文特指企业或机构组织。 

个人从业角色：合规专员/合规经理/内部审计师

二、运行机制

安全合规 可以理解为，企业为了证明自身符合特定的法律法规，或特定行业监管要求，而进行的评估认证。

评估方式：可以进行自评或请外部第三方机构进行评估。

对于企业来说，合规的主要作用是：

1. 通过合规指引，提升自身安全能力水平。
2. 符合监管要求，规避可能带来的罚款,客户或声誉损失。
3. 通过较高水平的标准认证，获取行业准入或客户认可，间接促进业务营收。

岗位设置：

安全合规是在规模以上企业才会出现的岗位。在业务还在萌芽期，或发展期时，业务体量小，盈利水平低，企业将主要精力放在业务发展上，同时往往不会被纳入重点监管视线。

当企业组织规模增长，已经上市，或即将准备IPO时，内部合规建设会成为内部建设的必要环节。 

组织架构：

安全类合规岗位，因需一定的安全专业知识背景，往往隶属于安全管理部门。

视各企业不同的架构设定，可能向首席信息官CIO或首席技术官CTO汇报。

三、角色说明

接下来，按照从企业到监管的顺序，逐项进行角色说明。

1、合规专员：

能顺畅沟通外部机构，帮助企业获取特定资质。

对标准学习能力、沟通等软素质有一定要求，需要安全相关专业知识，理解业务现状，能够有效推动内部进行现状与预期之间差距的改善。

此时，企业往往处于初步符合监管要求阶段，以应对监管和特定客户需求为主。

2、合规经理：

当企业内部包含多个业务，或面向较多行业，需要统筹规划资质认证时，会成立2-3人的小团队，由合规经理带队管理。

主要目标是帮助企业的不同业务产品，分别制订合规&认证规划；通过专业知识的整合，以尽可能少的精力投入，获得更多资质认证。

此时企业组织往往已经有了合规基础，并努力通过合规认证，帮助业务产品获取更多市场竞争机会。

3、IS信息系统审计师（内部）：

一般有较高安全合规要求的特定组织会设定此类岗位。如银行、跨国集团、集团公司、或较高安全意识的上市公司等。

IS审计师的主要工作是结合外部监管要求和内部组织规程，对子公司或内部业务的展开安全审计。 

内部IS审计师，需要对内部组织管理情况、业务情况具备相当的了解。同时也需要对外部规范/标准保持学习，有资格签发部分自评估报告。

常见的审计师资格认证有：CISA 国际信息系统审计师（ISACA颁发）、CIA 国际注册内部审计师（IIA颁布）、以及特定认证的认证的ISO27001内审员、ISO27001LA主任审核员等。

4、外部审计师/测评师：

在第三机构帮助企业展开安全评估或资质认证时，企业最常接触到以下几类角色：

• 进行等保测评时，合作测评机构的等保测评师。
• 上市公司或IPO前，进行定期SOC鉴证审计的外部审计师，通常来自四大会计师事务所的IA。
• 申请ISO系列认证时，有机会接触到DNV、BSI等标准机构的测评老师。
• 其他特定行业资质认证，比如银行卡支付标准认证PCI-DSS，国内唯一授权机构atsec。

5、行业专家

企业在做合规，第三方机构在做评估和审计，那么评估和审计的标尺，从何而来呢？ 

答案是由专业水平较高、且经验丰富的一群行业专家设定。 这里的水平太高，暂不展开来讲了。

以上， 是企业合规视角中的角色图谱。

下一期，尝试讲述《企业攻防视角下的角色图谱》。