企業(yè)主動構(gòu)建內(nèi)部信息安全管理體系，提高數(shù)據(jù)安全和隱私保護(hù)能力

隨著移動互聯(lián)網(wǎng)的發(fā)展與技術(shù)的革新，個人信息數(shù)據(jù)也呈現(xiàn)海量增長，隨之而來的數(shù)據(jù)安全和隱私保護(hù)問題也越發(fā)凸顯。

InfoWatch發(fā)布的2019年數(shù)據(jù)泄露報告稱，與去年同期相比，全球企業(yè)機(jī)密數(shù)據(jù)泄露量增加了近28%，僅在2019年第二季度，就有2.16億用戶數(shù)據(jù)被泄露。同時，諸如Facebook、Google等大型互聯(lián)網(wǎng)公司在過去幾年內(nèi)也因數(shù)據(jù)隱私問題頻繁遭到各國政府的調(diào)查或起訴?？梢姡瑪?shù)據(jù)泄露和隱私保護(hù)問題已成為全球最常見的網(wǎng)絡(luò)安全事件之一，并給企業(yè)帶來嚴(yán)重的輿論和信任危機(jī)。

而市場規(guī)模龐大的移動廣告行業(yè)與數(shù)據(jù)有著千絲萬縷的關(guān)系，海量的用戶數(shù)據(jù)對于移動廣告平臺實現(xiàn)精準(zhǔn)個性化營銷具有重要價值。然而作為連接著眾多廣告主與流量主的中間站，由于處在蜘蛛網(wǎng)的核心，移動廣告平臺的數(shù)據(jù)安全和用戶隱私保護(hù)問題就顯得非常敏感，往往會牽一發(fā)而動全身。因為移動廣告平臺的數(shù)據(jù)不單單屬于自己，還關(guān)乎與之相關(guān)的各大互聯(lián)網(wǎng)公司及其數(shù)量龐大的移動用戶。因此，保證數(shù)據(jù)的絕對安全成為了移動廣告平臺的重中之重和立身之本。

那么在這種情況下，移動廣告平臺以及行業(yè)內(nèi)的相關(guān)企業(yè)應(yīng)該怎樣做，才能提前化、量化解決自己已經(jīng)遇到的或者將要遇到的數(shù)據(jù)安全和用戶隱私保護(hù)問題？基于這樣的疑問采訪了匯量科技Mobvista的首席財務(wù)官宋笑飛先生，了解Mobvista對數(shù)據(jù)安全和用戶隱私保護(hù)的戰(zhàn)略布局，同時展望移動廣告行業(yè)的數(shù)據(jù)安全與合規(guī)的發(fā)展方向。

前瞻行業(yè)，緊跟新規(guī)

宋笑飛在采訪中表示，長期以來，Mobvista對行業(yè)內(nèi)數(shù)據(jù)安全已經(jīng)存在的問題以及從業(yè)者未來可能對數(shù)據(jù)安全提出的要求進(jìn)行了不間斷的了解和意見收集，同時對于海外不斷更新的與數(shù)據(jù)安全相關(guān)的法律法規(guī)進(jìn)行跟進(jìn)。

早在2017年前后，他們就觀察到在移動互聯(lián)網(wǎng)行業(yè)中，大家對于數(shù)據(jù)安全和隱私保護(hù)的關(guān)注度已經(jīng)處于不斷的提升中。例如，F(xiàn)acebook頻繁性地被國會問詢有關(guān)侵犯用戶隱私的問題，谷歌的安卓系統(tǒng)也在被很多人質(zhì)疑它的數(shù)據(jù)安全性，包括很多非常著名的公司以及很多做得很成功的公司，常會被立法機(jī)構(gòu)、公眾媒體詢問是否獲取了用戶的隱私。

這讓Mobvista很快就意識到，數(shù)據(jù)安全和用戶隱私保護(hù)對于一個互聯(lián)網(wǎng)公司的長遠(yuǎn)發(fā)展的重要性。并且，他們開始關(guān)注和跟進(jìn)國外的數(shù)據(jù)安全法規(guī)、聘請律師進(jìn)行風(fēng)險評估，以及與大公司交流做法。

宋笑飛表示：“早前我們對美國的GDPR《通用數(shù)據(jù)保護(hù)條例》、CCPA《加州消費者隱私法案》以及COPPA《兒童在線隱私保護(hù)法案》都有關(guān)注。并且，我們常年有在歐美國家聘用相關(guān)的律師，向他們了解最新有關(guān)數(shù)據(jù)安全的立法，并讓他們幫助評估公司在合同簽訂、日常工作、以及數(shù)據(jù)處理中存在的數(shù)據(jù)安全風(fēng)險?！?/p>

另外值得一提的是，Mobvista在國內(nèi)也一直進(jìn)行著一些行業(yè)性的嘗試。今年5月14日Mobvista針對移動廣告作弊問題，發(fā)布了《移動廣告反作弊白皮書2.0》，詳細(xì)闡述了當(dāng)前移動廣告作弊情況、作弊方式及反作弊策略，目的是為了增強(qiáng)移動廣告行業(yè)的透明度并推動行業(yè)的規(guī)范化發(fā)展。

利用第三方審計，提高可信任度

在足夠了解行業(yè)需要怎樣的數(shù)據(jù)安全和隱私保護(hù)之后，Mobvista開始了更為主動和實際的行動——利用第三方獨立機(jī)構(gòu)的審計與監(jiān)督，保證平臺內(nèi)部各個環(huán)節(jié)的數(shù)據(jù)合規(guī)性與安全性，來進(jìn)一步提高M(jìn)obvista在行業(yè)內(nèi)的可信任度。

今年8月26日，Mobvista委托國際四大會計師事務(wù)所之一對其進(jìn)行SOC2審計，并獲得SOC2 Type1的鑒證報告。

SOC是由美國注冊會計師協(xié)會（AICPA）制定的一個服務(wù)性組織控制框架，包含SOC1、 SOC2 、SOC3三種形式。其中SOC2是專門針對數(shù)據(jù)安全和隱私保護(hù)的鑒證標(biāo)準(zhǔn)，根據(jù)審計產(chǎn)品周期的長短可分為Type1和Type2。據(jù)悉，這是全球目前公認(rèn)權(quán)威性、專業(yè)性都較高的數(shù)據(jù)安全審計報告，能相對客觀的反映被審計企業(yè)的數(shù)據(jù)安全情況。

據(jù)宋笑飛介紹，此次SOC2審計針對Mobvista頭部媒體投放解決方案、程序化廣告解決方案、全網(wǎng)流量聚合營銷方案、SpotMax中臺體系和移動分析解決方案等服務(wù)的安全性、可用性、過程完整性、保密性和隱私性相關(guān)控制的設(shè)計適當(dāng)性和執(zhí)行有效性進(jìn)行了評估。

另外，在SOC2鑒證過程中，Mobvista同時根據(jù)第三方審計機(jī)構(gòu)的要求和意見，對內(nèi)部進(jìn)行了全面的改善和提升。例如，規(guī)范制度以進(jìn)一步明確職能邊界和權(quán)責(zé)的分工，通過組織培訓(xùn)優(yōu)化內(nèi)控并建立留痕過程，加強(qiáng)權(quán)限管理，以及著手建立健全的信息安全管理體系，來實現(xiàn)對數(shù)據(jù)的規(guī)范化管理。

宋笑飛在采訪中分享到：“國際四大會計師事務(wù)所之前做的SOC鑒證服務(wù)主要面向大型的企業(yè)、跨國公司，比如說銀行、保險公司、大型互聯(lián)網(wǎng)公司、服務(wù)器供應(yīng)商等，少有廣告行業(yè)公司的相關(guān)經(jīng)驗。所以，對于Mobvista的評估，他們反而花了很長的時間。對于公司來講，我們肯定是沒經(jīng)驗的，但同樣對于鑒證人員來講，他們之前也沒有做過類似企業(yè)的審計，對我們公司的內(nèi)控不是很了解，所以這個過程花費了比較多的精力。”

另外宋笑飛還透露，其實早在去年10月份的時候，他就與審計師、潛在的合作伙伴談了關(guān)于SOC2簽訂的有關(guān)事宜，但直到今年4月才簽訂了業(yè)務(wù)預(yù)定書。歷經(jīng)4個月，Mobvista直到今年的8月26日才拿到SOC2的鑒證報告，其過程可謂漫長而艱辛。

既然SOC2鑒證需要耗費如此之大的精力，需要各方配合才能完成，而且移動廣告行業(yè)內(nèi)還鮮有企業(yè)去做這件事，Mobvista為什么會有這個想法并且愿意花費大成本去做SOC2鑒證？

宋笑飛透露：“我們是在與大型金融公司的交流中了解到SOC2的，雖然現(xiàn)在行業(yè)確實沒有要求我們這樣的企業(yè)去做這個報告，但隨著數(shù)據(jù)安全和隱私保護(hù)受到越來越多的關(guān)注，投入精力和資源來提升公司的內(nèi)控是非常有必要的。雖然這不是一個短期內(nèi)可以馬上見效的事情，但從長遠(yuǎn)的角度來看，作為一個全球化的公司，不僅要在業(yè)務(wù)規(guī)模上領(lǐng)先，對全球公認(rèn)的標(biāo)準(zhǔn)的遵守、并以更嚴(yán)格的標(biāo)準(zhǔn)來要求自己做到在數(shù)據(jù)合規(guī)上的領(lǐng)先也非常重要。同時，我們希望通過做這件事情來慢慢影響行業(yè)內(nèi)的參與者，起到一個引領(lǐng)的作用，推動整個行業(yè)生態(tài)的發(fā)展?！?/p>

綜合來看，Mobvista通過第三方機(jī)構(gòu)的審計與監(jiān)督，優(yōu)化組織內(nèi)控結(jié)構(gòu)，從而加強(qiáng)公司數(shù)據(jù)的安全性，以達(dá)到確保合作商的數(shù)據(jù)安全以及保障用戶個人的隱私安全的最終目的。值得注意的是，Mobvista是行業(yè)內(nèi)第一個獲得該鑒證的移動廣告公司。另外，宋笑飛還表示，由于SOC2 Type1報告具有一定的時效性，Mobvista已經(jīng)將SOC2 Type2列入工作計劃，未來也將會每年進(jìn)行一次鑒證，持續(xù)地按照SOC2的要求進(jìn)行內(nèi)控的提升，以保證公司一直處于數(shù)據(jù)安全狀態(tài)。

主動構(gòu)建內(nèi)部信息安全管理體系

長期以來對數(shù)據(jù)安全的關(guān)注和重視，了解相關(guān)的法規(guī)政策，過程中委托第三方機(jī)構(gòu)進(jìn)行審計和監(jiān)督，從而進(jìn)行企業(yè)內(nèi)部優(yōu)化，但這對于完整的數(shù)據(jù)信息安全部署還不夠。要想真正實現(xiàn)數(shù)據(jù)安全保障，還需要移動廣告平臺從內(nèi)部構(gòu)建自己的信息安全管理體系。

信息安全管理體系是由英文Information Security Management System而來，是指規(guī)范企業(yè)的信息安全管理，通過安全體系構(gòu)建提升組織內(nèi)部安全意識，加強(qiáng)對信息資產(chǎn)的保護(hù)，避免信息安全帶來的法律合規(guī)風(fēng)險，支持企業(yè)的安全發(fā)展。ISMS是1998年前后從英國發(fā)展起來的一個信息安全領(lǐng)域的新概念，是管理體系的思想和方法，應(yīng)用于信息安全領(lǐng)域。

為了從內(nèi)部加強(qiáng)數(shù)據(jù)安全保障，Mobvista進(jìn)行了信息安全管理體系建設(shè)（ISMS），目前該體系建設(shè)已經(jīng)完成了內(nèi)部的審查，準(zhǔn)備進(jìn)入審核階段。在公司最終符合審查構(gòu)建標(biāo)準(zhǔn)，滿足條件之后將會獲得ISO認(rèn)證，該認(rèn)證將會為企業(yè)提供誠信資本，同時這也是對企業(yè)業(yè)務(wù)運營方式和具備持續(xù)改進(jìn)能力的有力證明。

該體系的核心建設(shè)還是在企業(yè)的安全管理領(lǐng)域，從宏觀組織架構(gòu)的搭建、規(guī)則的的生成，再落實到各個業(yè)務(wù)層面的實施中，緊接著是人員架構(gòu)的不間斷評審和規(guī)范，最后則是系統(tǒng)運行過后的調(diào)優(yōu)和改進(jìn)。

未來在行業(yè)內(nèi)將會有越來越多的互聯(lián)網(wǎng)企業(yè)進(jìn)行信息安全體系建設(shè)。因為互聯(lián)網(wǎng)信息安全面臨著來自多方面的威脅，企業(yè)信息泄漏問責(zé)成為一種常態(tài)?；诖?，信息安全管理體系建設(shè)一方面可以切實提高公司的安全屬性，組織核心業(yè)務(wù)所賴以持續(xù)的各項信息資產(chǎn)都得到了妥善保護(hù)，并且建立有效業(yè)務(wù)的持續(xù)性計劃性的框架。另一方面也可以避免一些網(wǎng)絡(luò)全責(zé)的糾紛如隱私糾紛、作弊嫌疑、信息泄露等等。

從Mobvista一路的數(shù)據(jù)信息安全布局中，我們可以發(fā)現(xiàn)移動廣告平臺企業(yè)可以通過三個層面進(jìn)行適用于互聯(lián)網(wǎng)企業(yè)自身的數(shù)據(jù)信息安全部署。

具體來講，第一步應(yīng)盡早地關(guān)注到全球互聯(lián)網(wǎng)行業(yè)的數(shù)據(jù)安全發(fā)展態(tài)勢，了解相關(guān)法律法規(guī)，初步形成保護(hù)數(shù)據(jù)安全的意識，尋找合適的方法來進(jìn)行數(shù)據(jù)安全和隱私保護(hù)規(guī)范；第二步主動委托第三方獨立機(jī)構(gòu)進(jìn)行審計與監(jiān)督，根據(jù)即時變化的法規(guī)要求，不斷調(diào)整和優(yōu)化公司的內(nèi)控結(jié)構(gòu)，來保障公司內(nèi)部的數(shù)據(jù)安全；第三步則需要搭建一套企業(yè)內(nèi)部的信息安全管理體系，從信息安全方針、政策的制定，到信息安全工作的落實執(zhí)行，使全公司至上而下建立起良好的信息安全意識。

尤其是在互聯(lián)網(wǎng)信息安全面臨著多方面的威脅、全球越來越多數(shù)據(jù)隱私保護(hù)法規(guī)的實施背景下，企業(yè)要提早做好信息安全部署、主動提升內(nèi)控，打造真正的數(shù)據(jù)安全“護(hù)城河”，才能不斷提升企業(yè)在行業(yè)中的可信任度，以獲得長期良好的發(fā)展。

責(zé)任編輯：gt