0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

企业主动构建内部信息安全管理体系,提高数据安全和隐私保护能力

牵手一起梦 来源:DoNews 作者:刘文轩 2020-09-18 16:15 次阅读

随着移动互联网的发展与技术的革新,个人信息数据也呈现海量增长,随之而来的数据安全和隐私保护问题也越发凸显。

InfoWatch发布的2019年数据泄露报告称,与去年同期相比,全球企业机密数据泄露量增加了近28%,仅在2019年第二季度,就有2.16亿用户数据被泄露。同时,诸如Facebook、Google等大型互联网公司在过去几年内也因数据隐私问题频繁遭到各国政府的调查或起诉。可见,数据泄露和隐私保护问题已成为全球最常见的网络安全事件之一,并给企业带来严重的舆论和信任危机。

而市场规模庞大的移动广告行业与数据有着千丝万缕的关系,海量的用户数据对于移动广告平台实现精准个性化营销具有重要价值。然而作为连接着众多广告主与流量主的中间站,由于处在蜘蛛网的核心,移动广告平台的数据安全和用户隐私保护问题就显得非常敏感,往往会牵一发而动全身。因为移动广告平台的数据不单单属于自己,还关乎与之相关的各大互联网公司及其数量庞大的移动用户。因此,保证数据的绝对安全成为了移动广告平台的重中之重和立身之本。

那么在这种情况下,移动广告平台以及行业内的相关企业应该怎样做,才能提前化、量化解决自己已经遇到的或者将要遇到的数据安全和用户隐私保护问题?基于这样的疑问采访了汇量科技Mobvista的首席财务官宋笑飞先生,了解Mobvista对数据安全和用户隐私保护的战略布局,同时展望移动广告行业的数据安全与合规的发展方向。

前瞻行业,紧跟新规

宋笑飞在采访中表示,长期以来,Mobvista对行业内数据安全已经存在的问题以及从业者未来可能对数据安全提出的要求进行了不间断的了解和意见收集,同时对于海外不断更新的与数据安全相关的法律法规进行跟进。

早在2017年前后,他们就观察到在移动互联网行业中,大家对于数据安全和隐私保护的关注度已经处于不断的提升中。例如,Facebook频繁性地被国会问询有关侵犯用户隐私的问题,谷歌的安卓系统也在被很多人质疑它的数据安全性,包括很多非常著名的公司以及很多做得很成功的公司,常会被立法机构、公众媒体询问是否获取了用户的隐私。

这让Mobvista很快就意识到,数据安全和用户隐私保护对于一个互联网公司的长远发展的重要性。并且,他们开始关注和跟进国外的数据安全法规、聘请律师进行风险评估,以及与大公司交流做法。

宋笑飞表示:“早前我们对美国的GDPR《通用数据保护条例》、CCPA《加州消费者隐私法案》以及COPPA《儿童在线隐私保护法案》都有关注。并且,我们常年有在欧美国家聘用相关的律师,向他们了解最新有关数据安全的立法,并让他们帮助评估公司在合同签订、日常工作、以及数据处理中存在的数据安全风险。”

另外值得一提的是,Mobvista在国内也一直进行着一些行业性的尝试。今年5月14日Mobvista针对移动广告作弊问题,发布了《移动广告反作弊白皮书2.0》,详细阐述了当前移动广告作弊情况、作弊方式及反作弊策略,目的是为了增强移动广告行业的透明度并推动行业的规范化发展。

利用第三方审计,提高可信任度

在足够了解行业需要怎样的数据安全和隐私保护之后,Mobvista开始了更为主动和实际的行动——利用第三方独立机构的审计与监督,保证平台内部各个环节的数据合规性与安全性,来进一步提高Mobvista在行业内的可信任度。

今年8月26日,Mobvista委托国际四大会计师事务所之一对其进行SOC2审计,并获得SOC2 Type1的鉴证报告。

SOC是由美国注册会计师协会(AICPA)制定的一个服务性组织控制框架,包含SOC1、 SOC2 、SOC3三种形式。其中SOC2是专门针对数据安全和隐私保护的鉴证标准,根据审计产品周期的长短可分为Type1和Type2。据悉,这是全球目前公认权威性、专业性都较高的数据安全审计报告,能相对客观的反映被审计企业的数据安全情况。

据宋笑飞介绍,此次SOC2审计针对Mobvista头部媒体投放解决方案、程序化广告解决方案、全网流量聚合营销方案、SpotMax中台体系和移动分析解决方案等服务的安全性、可用性、过程完整性、保密性和隐私性相关控制的设计适当性和执行有效性进行了评估。

另外,在SOC2鉴证过程中,Mobvista同时根据第三方审计机构的要求和意见,对内部进行了全面的改善和提升。例如,规范制度以进一步明确职能边界和权责的分工,通过组织培训优化内控并建立留痕过程,加强权限管理,以及着手建立健全的信息安全管理体系,来实现对数据的规范化管理。

宋笑飞在采访中分享到:“国际四大会计师事务所之前做的SOC鉴证服务主要面向大型的企业、跨国公司,比如说银行、保险公司、大型互联网公司、服务器供应商等,少有广告行业公司的相关经验。所以,对于Mobvista的评估,他们反而花了很长的时间。对于公司来讲,我们肯定是没经验的,但同样对于鉴证人员来讲,他们之前也没有做过类似企业的审计,对我们公司的内控不是很了解,所以这个过程花费了比较多的精力。”

另外宋笑飞还透露,其实早在去年10月份的时候,他就与审计师、潜在的合作伙伴谈了关于SOC2签订的有关事宜,但直到今年4月才签订了业务预定书。历经4个月,Mobvista直到今年的8月26日才拿到SOC2的鉴证报告,其过程可谓漫长而艰辛。

既然SOC2鉴证需要耗费如此之大的精力,需要各方配合才能完成,而且移动广告行业内还鲜有企业去做这件事,Mobvista为什么会有这个想法并且愿意花费大成本去做SOC2鉴证?

宋笑飞透露:“我们是在与大型金融公司的交流中了解到SOC2的,虽然现在行业确实没有要求我们这样的企业去做这个报告,但随着数据安全和隐私保护受到越来越多的关注,投入精力和资源来提升公司的内控是非常有必要的。虽然这不是一个短期内可以马上见效的事情,但从长远的角度来看,作为一个全球化的公司,不仅要在业务规模上领先,对全球公认的标准的遵守、并以更严格的标准来要求自己做到在数据合规上的领先也非常重要。同时,我们希望通过做这件事情来慢慢影响行业内的参与者,起到一个引领的作用,推动整个行业生态的发展。”

综合来看,Mobvista通过第三方机构的审计与监督,优化组织内控结构,从而加强公司数据的安全性,以达到确保合作商的数据安全以及保障用户个人的隐私安全的最终目的。值得注意的是,Mobvista是行业内第一个获得该鉴证的移动广告公司。另外,宋笑飞还表示,由于SOC2 Type1报告具有一定的时效性,Mobvista已经将SOC2 Type2列入工作计划,未来也将会每年进行一次鉴证,持续地按照SOC2的要求进行内控的提升,以保证公司一直处于数据安全状态。

主动构建内部信息安全管理体系

长期以来对数据安全的关注和重视,了解相关的法规政策,过程中委托第三方机构进行审计和监督,从而进行企业内部优化,但这对于完整的数据信息安全部署还不够。要想真正实现数据安全保障,还需要移动广告平台从内部构建自己的信息安全管理体系。

信息安全管理体系是由英文Information Security Management System而来,是指规范企业的信息安全管理,通过安全体系构建提升组织内部安全意识,加强对信息资产的保护,避免信息安全带来的法律合规风险,支持企业的安全发展。ISMS是1998年前后从英国发展起来的一个信息安全领域的新概念,是管理体系的思想和方法,应用于信息安全领域。

为了从内部加强数据安全保障,Mobvista进行了信息安全管理体系建设(ISMS),目前该体系建设已经完成了内部的审查,准备进入审核阶段。在公司最终符合审查构建标准,满足条件之后将会获得ISO认证,该认证将会为企业提供诚信资本,同时这也是对企业业务运营方式和具备持续改进能力的有力证明。

该体系的核心建设还是在企业的安全管理领域,从宏观组织架构的搭建、规则的的生成,再落实到各个业务层面的实施中,紧接着是人员架构的不间断评审和规范,最后则是系统运行过后的调优和改进。

企业主动构建内部信息安全管理体系,提高数据安全和隐私保护能力

未来在行业内将会有越来越多的互联网企业进行信息安全体系建设。因为互联网信息安全面临着来自多方面的威胁,企业信息泄漏问责成为一种常态。基于此,信息安全管理体系建设一方面可以切实提高公司的安全属性,组织核心业务所赖以持续的各项信息资产都得到了妥善保护,并且建立有效业务的持续性计划性的框架。另一方面也可以避免一些网络全责的纠纷如隐私纠纷、作弊嫌疑、信息泄露等等。

从Mobvista一路的数据信息安全布局中,我们可以发现移动广告平台企业可以通过三个层面进行适用于互联网企业自身的数据信息安全部署。

具体来讲,第一步应尽早地关注到全球互联网行业的数据安全发展态势,了解相关法律法规,初步形成保护数据安全的意识,寻找合适的方法来进行数据安全和隐私保护规范;第二步主动委托第三方独立机构进行审计与监督,根据即时变化的法规要求,不断调整和优化公司的内控结构,来保障公司内部的数据安全;第三步则需要搭建一套企业内部的信息安全管理体系,从信息安全方针、政策的制定,到信息安全工作的落实执行,使全公司至上而下建立起良好的信息安全意识。

尤其是在互联网信息安全面临着多方面的威胁、全球越来越多数据隐私保护法规的实施背景下,企业要提早做好信息安全部署、主动提升内控,打造真正的数据安全“护城河”,才能不断提升企业在行业中的可信任度,以获得长期良好的发展。

责任编辑:gt

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 数据
    +关注

    关注

    8

    文章

    7035

    浏览量

    89045
  • 互联网
    +关注

    关注

    54

    文章

    11156

    浏览量

    103323
收藏 人收藏

    评论

    相关推荐

    思看科技获ISO/IEC 27001信息安全和ISO/IEC 27701隐私信息管理体系标准认证

    近期,思看科技获得方圆标志认证集团(CQM)颁发的信息安全管理体系标准ISO/IEC 27001和隐私信息管理体系标准ISO/IEC 27701双认证,此殊荣标志着思看科技在
    的头像 发表于 11-28 17:17 137次阅读
    思看科技获ISO/IEC 27001<b class='flag-5'>信息</b><b class='flag-5'>安全</b>和ISO/IEC 27701<b class='flag-5'>隐私信息管理体系</b>标准认证

    北京奔驰荣获ISO/IEC 27001信息安全管理体系认证证书

    近日,国际公认的测试、检验和认证机构SGS为北京奔驰汽车有限公司(以下简称:北京奔驰)颁发ISO/IEC 27001:2022信息安全管理体系认证证书。
    的头像 发表于 09-07 09:05 888次阅读
    北京奔驰荣获ISO/IEC 27001<b class='flag-5'>信息</b><b class='flag-5'>安全</b><b class='flag-5'>管理体系</b>认证证书

    虹软科技获ISO/SAE 21434 网络安全管理体系认证

    表明虹软具备了提供符合网络安全要求车载产品的能力及车辆网络安全领域的管理能力,能够在全球市场环境下赋能车企智能驾驶量产项目安全、合规落地。
    的头像 发表于 08-23 18:33 1163次阅读

    蓝牙模块的安全性与隐私保护

    传输过程中的安全性问题,分析隐私保护方面的挑战和解决方案,并介绍一些提高蓝牙模块安全性和隐私
    的头像 发表于 06-14 16:06 547次阅读

    企业如何保护数据安全:部署数据防泄密系统

    随着互联网技术的发展,现在所有的企业都要全面应用互联网,从而更快地实现信息的共享和传输。信息在传输的过程中极易造成泄密事件, 因此,保护数据
    的头像 发表于 05-28 09:47 330次阅读

    芯海科技荣获ISO/IEC 27001信息安全管理体系认证

    近日,芯海科技成功获得国际知名认证机构德国莱茵TÜV集团颁发的ISO/IEC 27001信息安全管理体系认证。这一认证不仅标志着芯海科技在信息安全
    的头像 发表于 05-23 11:41 675次阅读

    企业使用内网安全管理软件的好处

    随着信息化时代的到来,企业数据安全问题也开始受到重视。其中,防止数据泄露一直是企业
    的头像 发表于 05-22 13:27 334次阅读

    芯海科技荣获ISO/IEC 27001信息安全管理体系认证

    在有效保护客户和合作伙伴信息资产方面安全可靠。 ISO/IEC 27001是什么? ISO/IEC 27001由国际标准化组织制定,作为全球公认的信息
    发表于 05-22 11:13 225次阅读
    芯海科技荣获ISO/IEC 27001<b class='flag-5'>信息</b><b class='flag-5'>安全</b><b class='flag-5'>管理体系</b>认证

    芯海科技荣获ISO/IEC 27001信息安全管理体系认证

    近日,芯海科技(股票代码:688595)荣获国际知名认证机构德国莱茵TÜV集团颁授的ISO/IEC27001信息安全管理体系认证。这一认证标志着芯海科技在信息
    的头像 发表于 05-22 08:16 325次阅读
    芯海科技荣获ISO/IEC 27001<b class='flag-5'>信息</b><b class='flag-5'>安全</b><b class='flag-5'>管理体系</b>认证

    季丰电子成功通过ISO/IEC 27001信息安全管理体系认证!

    上海季丰电子股份有限公司成功通过莱茵认证机构ISO/IEC 27001信息安全管理体系认证!
    的头像 发表于 05-17 10:16 371次阅读
    季丰电子成功通过ISO/IEC 27001<b class='flag-5'>信息</b><b class='flag-5'>安全</b><b class='flag-5'>管理体系</b>认证!

    昂宝电子获得ISO 26262功能安全管理体系ASIL D认证证书

    全球知名的国际认证机构德国莱茵TÜV集团(以下简称“TÜV莱茵”)正式向昂宝电子(上海)有限公司(以下简称“昂宝电子”)颁发ISO 26262 功能安全管理体系ASIL D认证证书,标志着昂宝电子已成功建立车规产品完整的开发流程和管理体
    的头像 发表于 05-14 14:02 561次阅读
    昂宝电子获得ISO 26262功能<b class='flag-5'>安全</b><b class='flag-5'>管理体系</b>ASIL D认证证书

    超星未来通过ISO 26262功能安全管理体系ASIL D认证

    近日,独立第三方检测、检验和认证机构德国莱茵TÜV集团(以下简称“TÜV莱茵”)正式向超星未来颁发 ISO 26262 功能安全管理体系 ASIL D 认证证书。
    的头像 发表于 04-18 10:30 385次阅读
    超星未来通过ISO 26262功能<b class='flag-5'>安全</b><b class='flag-5'>管理体系</b>ASIL D认证

    和芯星通获ISO14001环境管理和ISO45001职业健康安全管理体系认证

    近日,和芯星通正式通过ISO14001环境管理体系认证和ISO45001职业健康安全管理体系认证,标志着公司管理体系在制度化、规范化、精细化方面迈上新台阶,综合
    的头像 发表于 04-09 18:25 753次阅读
    和芯星通获ISO14001环境<b class='flag-5'>管理</b>和ISO45001职业健康<b class='flag-5'>安全</b><b class='flag-5'>管理体系</b>认证

    博泰车联网获得德国莱茵TÜV网络安全管理体系认证

    近日,博泰公司隆重举行了获得德国莱茵TÜV ISO/SAE 21434网络安全管理体系认证证书的颁证仪式。作为一家拥有十五年历史的国内汽车零部件供应商,博泰在发展过程中始终致力于追求卓越的质量与管理体系认证。
    的头像 发表于 03-29 09:19 573次阅读

    知语云全景监测技术:现代安全防护的全面解决方案

    大型企业、政府机构还是个人用户,都可以通过该技术有效提升安全防护能力。例如,在企业内部网络中部署知语云全景监测技术,可以实时监测员工行为、网络攻击等情况,有效防止
    发表于 02-23 16:40