企业为什么要做合规？真的只是应付监管吗

不排除有很多企业是为了应对监管或者为了投标资质做安全合规，但本文主要是想讲一讲做合规对于企业从零开始做安全基建的指导意义（虽然我个人觉得即使做好合规最多算是安全的及格线咯）。
想象一下这个场景：
初创企业中，大家都在集中精力解决业务，让业务快速成长，即使你们的 CTO 很重视业务与数据的安全性，这些安全问题也一定是被置于次要位置，为业务让路；在这类小企业或者初创企业中，通常做法是研发负责人带领一部分运维和研发关注一下编码规范、Pipeline、容器、网段划分和防火墙等基础安全措施，"尽力"保证一下基础的代码安全不出问题，进阶的安全漏洞或脆弱性很难有人牵头来负责推进。
而在这种情况下，合规性要求可以起到一个大框架的作用，帮助企业建立起最基础的安全措施。对于很多企业来说，合规不仅是应对外部监管的必需，也是一种能促使内部审视和强化安全实践的机会。
一般来讲，初创 or 小型企业可以以合规性框架（GDPR CCPA 等保 SOC2 iso27000系列等）为模板逐步建设安全基础，这些合规要求往往涵盖了数据保护、网络安全和信息安全管理等多个方面。
以我比较熟的 SOC2 合规性为例，大体流程是这样的：

1. 明确自身需要遵循的哪些法律法规或者安全标准；
2. 风险评估，通过评估面临的主要风险，识别出需要优先处理的关键领域；
3. 制定安全政策和程序：基于合规要求和风险评估的结果，企业需要制定一套清晰的安全政策和实施程序。这些政策和程序不仅应对内部员工明确规定如何处理敏感数据，还应包括应对安全事件的响应机制，例如基础的应急响应政策、变更管理政策和业务连续性政策等；
4. 实施安全措施：随着政策和程序的确立，企业需要开始实施具体的安全措施，如加密技术、访问控制、数据备份等，这也是检验政策有效性的关键步骤；
5. 持续监控和改进：安全是一个持续的过程，企业需要不断监控安全措施的执行情况，并根据外部环境的变化和内部监控的反馈进行调整和改进；
6. 教育和培训：加强员工的安全意识是非常关键的一环。定期的安全培训和教育可以帮助员工了解最新的安全威胁和如何预防，从而在日常工作中能够更好地实践安全措施；

具体的实践还是以我比较熟悉的 SOC2 Type II 合规性为例，它关注以下五个（部分重叠）类别中的控制措施：

1. 安全性：信息和系统受到保护，防止未授权的访问和泄露，以及可能危害系统的可用性、保密性、完整性和隐私的系统损害。例如：你的系统有没有防火墙？有没有入侵检测系统？有没有做 MFA？这些都和 CIA 三元组相关；
2. 可用性 ：这部分会和第一点有些重叠，SOC2 要求对系统做性能监控、灾难恢复和应急响应等等，例如很多通过 SOC2 Type II 审计的公司都会有 Status Page 来显示 API 是否可用、服务是否可用等，典型的就是 OpenApi 和 Github等：

https://www.githubstatus.com/https://status.openai.com/

像上面的 OpenApi 用的就是 atlassian 提供的模板服务，很多公司都用他家的服务（包括我前一家公司），主要原因就是便宜 + 好用；

3. 机密性（保密性）：信息受到保护，并且只在合法需要了解的基础上可用，这一点也和上面有重叠，机密性主要适用于各种类型的敏感信息。落实到实际的做法就是，你的云服务器磁盘有没有加密？关系型数据库有没用做库加密？有没有列加密？等等；
4. 处理完整性：系统处理是完整的、有效的、准确的、及时的和经授权的。这个说通俗点就是，你的系统需要确保数据在整个生命周期内的正确性、安全性，防止数据在处理过程中被误用或错误处理，具体需要做的事例如有数据输入验证、完整性校验、定期质量审查和内部审查、流程清晰并实时记录在案、不能允许一个人随便去生产数据库增删改查等等；
5. 隐私：个人信息的收集、使用、保留、披露和处置都按照政策进行。实际需要做的事儿就是权限管理啊、访问控制啊、隐私政策和加密等；

通过以上流程，企业能够逐步搭建起一个结构化的安全体系。从基础的安全策略实施到进阶的安全控制，每一个环节都紧密结合企业的实际运营需求与外部合规要求。此外，这一过程也帮助企业逐步培养出一种安全文化，安全意识将逐渐渗透到员工的日常工作中，从而大大降低潜在的安全风险。
当然，系统性的安全建设并不是一蹴而就，它还是需要企业持续的投入和努力。安全漏洞的发现和修补、系统的升级和维护、员工安全培训的持续进行等，都是保障企业长期安全运行不可或缺的部分。
此外，随着业务的发展和技术的进步，合规标准本身也可能发生变化，企业需要保持灵活性和适应性，随时准备调整自己的安全策略和措施。
在这个过程中，企业可能会遇到如资源分配不足、专业技能缺乏等挑战，这时候就可以按照需求专门找一个懂安全的负责人来寻求帮助，通过这样的模式，不仅可以获得更专业的安全服务，还能有效缩短安全建设的时间，提高整体的安全水平。
综上所述，虽然合规性实施可能被视为基础安全的最低标准，但对于小型企业来说，这是建立和维护安全基础的有效起点。通过遵循合规要求，企业不仅能满足外部监管的需要，更重要的是能够内部构建一种持续的安全保障机制，为业务的持续健康发展提供保障。

原文始发于微信公众号（imBobby的自留地）：企业为什么要做合规？真的只是应付监管吗