信息安全合规部门职能分析 – 作者:xinaogroup

信息安全合规管理是企业信息安全总体保障框架的重要组成部分之一，其核心职能是进行信息安全合规风险管理，避免安全合规风险给企业带来的损失与危害。信息安全合规风险是指企业因没有遵循信息安全方面的法律、规则和准则而可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。

信息安全合规管理部门是企业内部设立的专门负责安全合规管理职能的部门、团队或岗位，其担当的职能是公司信息安全部门总体职能的重要组成部分，其绩效水平也是公司整体信息安全保障水平指标的一部分。

一、合规风险管理

信息安全合规风险如同财务风险、市场风险、运营风险等，是企业运营和发展过程中面临的诸多风险之一，属于信息技术风险中的安全管理风险范围。而随着国家和行业信息安全监管的日趋严厉，安全合规风险成为企业关键风险之一，其危害包括约谈整改、高额罚款、业务暂停、甚至退出市场等。

信息安全合规部门的核心职能之一即安全合规风险的管理。安全合规风险管理的目标是通过建立健全合规风险管理框架，实现对安全合规风险的有效识别和管理，促进全面风险管理体系建设，确保企业依法合规经营。

安全合规风险管理包括合规风险评估与合规风险处置两个部分。合规风险评估要求安全合规部门必须时刻关注国家及各监管机构在信息安全法律法规、监管要求及战略规划方面的发展与变化，以解读、分析其对公司业务、市场、运营和管理等各方面可能产生的影响，评估影响性质（有益或是危害）及程度，并及时给管理层提供相应合规风险控制建议和方案。如果风险控制建议和方案得到批准，即进行合规风险处置，以计划或项目的方式推动合规风险处置工作的进行。

同时，安全合规部门还要持续为公司业务和管理部门提供合规建设与风险控制咨询、合规风险的响应支持，积极通知业务单位安全合规相关法律法规和公司策略政策的变化，以白皮书、制度规范等形式阐述公司安全合规方面的框架、规划与发展战略，为公司管理层提供相关参考。

输出项：安全合规方面的（政策法规动向）分析与解读、风险风险控制建议和方案、安全合规建设规划、安全合规白皮书等。

二、合规认证认可

企业为规避安全合规风险，向监管方、客户、合作伙伴展示信息安全管理水平，需要获得一些合规认证认可，如等级保护、ISO27001等，以证明公司相关安全管理方面的有效性与可靠性，同时也是公司业务拓展时的有效加分项。获得这些合规认证认可，并进行持续的维持是安全合规部门的主要、对口的职能。

输出项：等级保护备案测评证书、ISO认证证书、PCI DSS认证证书、CSA认证证书等。

三、外部监管合规检查

信息安全合规部门作为公司与信息安全监管部门联系的对口枢纽，需要经常处理和回应国家网络安全监管部门质询和检查，如“电信和互联网行业网络安全检查、App违法违规收集使用个人信息专项治理”等，检查对象包括应用程序APP、数据安全、个人信息保护等，方式有现场或远程的技术检查、与公司员工的会谈、提交专项汇报材料等，需要安全合规部门及时应对检查，协调各相关部门与人员参与分析、核查、整改与汇报，并确保检查及整改结果通过相关监管部门的复核，避免公司被通告、约谈、产品下架处罚等风险。

输出项：XXXXXX安全检查报告、XXXXXX安全检查整改报告等。

四、信息安全制度制定发布

企业信息安全方面的管理制度的制定发布也是安全合规部门的主要职能之一。信息安全制度是公司进行信息安全管理的理论依据，安全合规部门需要根据公司业务特征、战略规划及国内外监管要求等因素，编制相应的制度规范，同时还要按照制度体系的要求定期进行制度的修订与发布，以保持安全管理制度持续的贴合公司经营发展与安全管理要求。

输出项：经评审发布的安全合规相关制度。

五、内部合规检查审计

按照等级保护、ISO安全管理体系等合规认证认可要求，公司必须定期对相关认证认可贯彻实施情况进行内部检查审计，安全合规部门应根据等级保护政策、ISO管理体系的要求，决定内部检查审计范围和频率，对其适当性和有效性进行审计和评价，向公司管理层及监管机构提供独立的检查审计报告，评价和改进信息安全等级保护、ISO安全管理体系的管理、控制和治理的效果。

输出项：（等级保护、ISO安全管理体系）内部审核报告。

六、安全合规教育和培训

员工是企业信息安全的第一道防线，为员工提供安全政策制度、安全意识、安全管理体系方面的教育和培训是安全合规部门的专业职责之一。合规部门需要经常进行教育和培训，使业务人员和其他员工知晓公司安全政策、程序和最新合规监管动向等事项，提高员工合规安全意识与技能，避免不合规的员工行为给企业带来的损害。

输出项：安全合规教育课件、宣传稿件等。

七、合规生态文化建设

面对我国网络安全产业创新能力、国际竞争力还存在不足的情况，国家支持政府、企业、社会组织都发挥相关作用，构建良好的网络安全生态，引导重要行业及重要领域加大网络安全投入，充分调动各大互联网企业、网络安全企业、网络运营商、高校、科研机构以及全社会的积极性，共同打造政企协同联动，产、学、研、用于一体的网络安全产业生态。安全合规部门应积极参与到相关工作中，比如政策法规研讨、标准制度制定、安全论坛会议举办、与监管机构合作安全检查等，以自身行业优势和丰富经验引领本行业方面的网络安全生态建设，体现企业的社会贡献和对用户的安全的责任感。

同时，安全合规部门还应负责企业的合规文化建设，并将合规文化建设融入企业文化建设全过程。

输出项：国家行业安全标准制定、安全论坛、专题讨论会等。

来源：freebuf.com 2021-03-02 11:29:12 by: xinaogroup