企業(yè)主動構建內部信息安全管理體系，提高數(shù)據安全和隱私保護能力

隨著移動互聯(lián)網的發(fā)展與技術的革新，個人信息數(shù)據也呈現(xiàn)海量增長，隨之而來的數(shù)據安全和隱私保護問題也越發(fā)凸顯。

InfoWatch發(fā)布的2019年數(shù)據泄露報告稱，與去年同期相比，全球企業(yè)機密數(shù)據泄露量增加了近28%，僅在2019年第二季度，就有2.16億用戶數(shù)據被泄露。同時，諸如Facebook、Google等大型互聯(lián)網公司在過去幾年內也因數(shù)據隱私問題頻繁遭到各國政府的調查或起訴?？梢姡瑪?shù)據泄露和隱私保護問題已成為全球最常見的網絡安全事件之一，并給企業(yè)帶來嚴重的輿論和信任危機。

而市場規(guī)模龐大的移動廣告行業(yè)與數(shù)據有著千絲萬縷的關系，海量的用戶數(shù)據對于移動廣告平臺實現(xiàn)精準個性化營銷具有重要價值。然而作為連接著眾多廣告主與流量主的中間站，由于處在蜘蛛網的核心，移動廣告平臺的數(shù)據安全和用戶隱私保護問題就顯得非常敏感，往往會牽一發(fā)而動全身。因為移動廣告平臺的數(shù)據不單單屬于自己，還關乎與之相關的各大互聯(lián)網公司及其數(shù)量龐大的移動用戶。因此，保證數(shù)據的絕對安全成為了移動廣告平臺的重中之重和立身之本。

那么在這種情況下，移動廣告平臺以及行業(yè)內的相關企業(yè)應該怎樣做，才能提前化、量化解決自己已經遇到的或者將要遇到的數(shù)據安全和用戶隱私保護問題？基于這樣的疑問采訪了匯量科技Mobvista的首席財務官宋笑飛先生，了解Mobvista對數(shù)據安全和用戶隱私保護的戰(zhàn)略布局，同時展望移動廣告行業(yè)的數(shù)據安全與合規(guī)的發(fā)展方向。

前瞻行業(yè)，緊跟新規(guī)

宋笑飛在采訪中表示，長期以來，Mobvista對行業(yè)內數(shù)據安全已經存在的問題以及從業(yè)者未來可能對數(shù)據安全提出的要求進行了不間斷的了解和意見收集，同時對于海外不斷更新的與數(shù)據安全相關的法律法規(guī)進行跟進。

早在2017年前后，他們就觀察到在移動互聯(lián)網行業(yè)中，大家對于數(shù)據安全和隱私保護的關注度已經處于不斷的提升中。例如，F(xiàn)acebook頻繁性地被國會問詢有關侵犯用戶隱私的問題，谷歌的安卓系統(tǒng)也在被很多人質疑它的數(shù)據安全性，包括很多非常著名的公司以及很多做得很成功的公司，常會被立法機構、公眾媒體詢問是否獲取了用戶的隱私。

這讓Mobvista很快就意識到，數(shù)據安全和用戶隱私保護對于一個互聯(lián)網公司的長遠發(fā)展的重要性。并且，他們開始關注和跟進國外的數(shù)據安全法規(guī)、聘請律師進行風險評估，以及與大公司交流做法。

宋笑飛表示：“早前我們對美國的GDPR《通用數(shù)據保護條例》、CCPA《加州消費者隱私法案》以及COPPA《兒童在線隱私保護法案》都有關注。并且，我們常年有在歐美國家聘用相關的律師，向他們了解最新有關數(shù)據安全的立法，并讓他們幫助評估公司在合同簽訂、日常工作、以及數(shù)據處理中存在的數(shù)據安全風險?！?/p>

另外值得一提的是，Mobvista在國內也一直進行著一些行業(yè)性的嘗試。今年5月14日Mobvista針對移動廣告作弊問題，發(fā)布了《移動廣告反作弊白皮書2.0》，詳細闡述了當前移動廣告作弊情況、作弊方式及反作弊策略，目的是為了增強移動廣告行業(yè)的透明度并推動行業(yè)的規(guī)范化發(fā)展。

利用第三方審計，提高可信任度

在足夠了解行業(yè)需要怎樣的數(shù)據安全和隱私保護之后，Mobvista開始了更為主動和實際的行動——利用第三方獨立機構的審計與監(jiān)督，保證平臺內部各個環(huán)節(jié)的數(shù)據合規(guī)性與安全性，來進一步提高Mobvista在行業(yè)內的可信任度。

今年8月26日，Mobvista委托國際四大會計師事務所之一對其進行SOC2審計，并獲得SOC2 Type1的鑒證報告。

SOC是由美國注冊會計師協(xié)會（AICPA）制定的一個服務性組織控制框架，包含SOC1、 SOC2 、SOC3三種形式。其中SOC2是專門針對數(shù)據安全和隱私保護的鑒證標準，根據審計產品周期的長短可分為Type1和Type2。據悉，這是全球目前公認權威性、專業(yè)性都較高的數(shù)據安全審計報告，能相對客觀的反映被審計企業(yè)的數(shù)據安全情況。

據宋笑飛介紹，此次SOC2審計針對Mobvista頭部媒體投放解決方案、程序化廣告解決方案、全網流量聚合營銷方案、SpotMax中臺體系和移動分析解決方案等服務的安全性、可用性、過程完整性、保密性和隱私性相關控制的設計適當性和執(zhí)行有效性進行了評估。

另外，在SOC2鑒證過程中，Mobvista同時根據第三方審計機構的要求和意見，對內部進行了全面的改善和提升。例如，規(guī)范制度以進一步明確職能邊界和權責的分工，通過組織培訓優(yōu)化內控并建立留痕過程，加強權限管理，以及著手建立健全的信息安全管理體系，來實現(xiàn)對數(shù)據的規(guī)范化管理。

宋笑飛在采訪中分享到：“國際四大會計師事務所之前做的SOC鑒證服務主要面向大型的企業(yè)、跨國公司，比如說銀行、保險公司、大型互聯(lián)網公司、服務器供應商等，少有廣告行業(yè)公司的相關經驗。所以，對于Mobvista的評估，他們反而花了很長的時間。對于公司來講，我們肯定是沒經驗的，但同樣對于鑒證人員來講，他們之前也沒有做過類似企業(yè)的審計，對我們公司的內控不是很了解，所以這個過程花費了比較多的精力?！?/p>

另外宋笑飛還透露，其實早在去年10月份的時候，他就與審計師、潛在的合作伙伴談了關于SOC2簽訂的有關事宜，但直到今年4月才簽訂了業(yè)務預定書。歷經4個月，Mobvista直到今年的8月26日才拿到SOC2的鑒證報告，其過程可謂漫長而艱辛。

既然SOC2鑒證需要耗費如此之大的精力，需要各方配合才能完成，而且移動廣告行業(yè)內還鮮有企業(yè)去做這件事，Mobvista為什么會有這個想法并且愿意花費大成本去做SOC2鑒證？

宋笑飛透露：“我們是在與大型金融公司的交流中了解到SOC2的，雖然現(xiàn)在行業(yè)確實沒有要求我們這樣的企業(yè)去做這個報告，但隨著數(shù)據安全和隱私保護受到越來越多的關注，投入精力和資源來提升公司的內控是非常有必要的。雖然這不是一個短期內可以馬上見效的事情，但從長遠的角度來看，作為一個全球化的公司，不僅要在業(yè)務規(guī)模上領先，對全球公認的標準的遵守、并以更嚴格的標準來要求自己做到在數(shù)據合規(guī)上的領先也非常重要。同時，我們希望通過做這件事情來慢慢影響行業(yè)內的參與者，起到一個引領的作用，推動整個行業(yè)生態(tài)的發(fā)展?！?/p>

綜合來看，Mobvista通過第三方機構的審計與監(jiān)督，優(yōu)化組織內控結構，從而加強公司數(shù)據的安全性，以達到確保合作商的數(shù)據安全以及保障用戶個人的隱私安全的最終目的。值得注意的是，Mobvista是行業(yè)內第一個獲得該鑒證的移動廣告公司。另外，宋笑飛還表示，由于SOC2 Type1報告具有一定的時效性，Mobvista已經將SOC2 Type2列入工作計劃，未來也將會每年進行一次鑒證，持續(xù)地按照SOC2的要求進行內控的提升，以保證公司一直處于數(shù)據安全狀態(tài)。

主動構建內部信息安全管理體系

長期以來對數(shù)據安全的關注和重視，了解相關的法規(guī)政策，過程中委托第三方機構進行審計和監(jiān)督，從而進行企業(yè)內部優(yōu)化，但這對于完整的數(shù)據信息安全部署還不夠。要想真正實現(xiàn)數(shù)據安全保障，還需要移動廣告平臺從內部構建自己的信息安全管理體系。

信息安全管理體系是由英文Information Security Management System而來，是指規(guī)范企業(yè)的信息安全管理，通過安全體系構建提升組織內部安全意識，加強對信息資產的保護，避免信息安全帶來的法律合規(guī)風險，支持企業(yè)的安全發(fā)展。ISMS是1998年前后從英國發(fā)展起來的一個信息安全領域的新概念，是管理體系的思想和方法，應用于信息安全領域。

為了從內部加強數(shù)據安全保障，Mobvista進行了信息安全管理體系建設（ISMS），目前該體系建設已經完成了內部的審查，準備進入審核階段。在公司最終符合審查構建標準，滿足條件之后將會獲得ISO認證，該認證將會為企業(yè)提供誠信資本，同時這也是對企業(yè)業(yè)務運營方式和具備持續(xù)改進能力的有力證明。

該體系的核心建設還是在企業(yè)的安全管理領域，從宏觀組織架構的搭建、規(guī)則的的生成，再落實到各個業(yè)務層面的實施中，緊接著是人員架構的不間斷評審和規(guī)范，最后則是系統(tǒng)運行過后的調優(yōu)和改進。

未來在行業(yè)內將會有越來越多的互聯(lián)網企業(yè)進行信息安全體系建設。因為互聯(lián)網信息安全面臨著來自多方面的威脅，企業(yè)信息泄漏問責成為一種常態(tài)?；诖?，信息安全管理體系建設一方面可以切實提高公司的安全屬性，組織核心業(yè)務所賴以持續(xù)的各項信息資產都得到了妥善保護，并且建立有效業(yè)務的持續(xù)性計劃性的框架。另一方面也可以避免一些網絡全責的糾紛如隱私糾紛、作弊嫌疑、信息泄露等等。

從Mobvista一路的數(shù)據信息安全布局中，我們可以發(fā)現(xiàn)移動廣告平臺企業(yè)可以通過三個層面進行適用于互聯(lián)網企業(yè)自身的數(shù)據信息安全部署。

具體來講，第一步應盡早地關注到全球互聯(lián)網行業(yè)的數(shù)據安全發(fā)展態(tài)勢，了解相關法律法規(guī)，初步形成保護數(shù)據安全的意識，尋找合適的方法來進行數(shù)據安全和隱私保護規(guī)范；第二步主動委托第三方獨立機構進行審計與監(jiān)督，根據即時變化的法規(guī)要求，不斷調整和優(yōu)化公司的內控結構，來保障公司內部的數(shù)據安全；第三步則需要搭建一套企業(yè)內部的信息安全管理體系，從信息安全方針、政策的制定，到信息安全工作的落實執(zhí)行，使全公司至上而下建立起良好的信息安全意識。

尤其是在互聯(lián)網信息安全面臨著多方面的威脅、全球越來越多數(shù)據隱私保護法規(guī)的實施背景下，企業(yè)要提早做好信息安全部署、主動提升內控，打造真正的數(shù)據安全“護城河”，才能不斷提升企業(yè)在行業(yè)中的可信任度，以獲得長期良好的發(fā)展。

責任編輯：gt