那对安全从业人员来说，随着全球范围内大量合规政策、法律法规的激增，在信息安全上应更专注于降低风险还是专注于满足监管下达的要求呢？即该如何把握此二者之间的尺度呢？有国外专家表示，答案取决于安全负责人和监管人员的合作效率，以及安全人员和董事会的交谈效率。对此专家提出了几点建议。

众所周知，合规是为了保护受监管的数据，而网络安全则专注于将黑客攻击拒之门外。从数据保护的角度来看，数据安全的主要任务是避免处理或存储受监管数据，比如个人敏感信息等。Intelisys 的网络安全专家James Morrison认为，如果这受监管的数据是必须得存储受的，那企业得确保所使用的加密强度高于任何监管的要求。

“在我的职业生涯中，我见过小型医疗保健公司会以明文形式发送患者数据，这是非常不注重数据隐私的行为，因此要制定合规政策，从出生婴儿到寿终正寝之人的各种数据，都得严格符合监管的要求。同时企业还应该注意数据的空间位置、存储位置、存储方式以及存储时间，这是适用于合规性和安全性的正确手段。”

另一方面，数据其本身也能为安全增添助力，比如利用大数据分析技术，从海量安全数据中识别出事件，这样就能升级系统快速处理事件的能力，同时也降低了对业务的影响。所以保护好数据就等同于保护好了安全工具和安全目标。

明确审计人员的要求非常重要，但同样重要的是，安全从业人员也可以帮助他们了解网络安全的基础知识。作为前一家公司的CISO，Morrison每周都会与其企业的审计人员举行会议，会议内容往往会同时包括合规性和安全性。

在公司进行ISO 27001信息安全管理更新时，审计团队能够清楚地阐明他们需要安全团队提供什么，而Morrison在收集了审计人员所要求的信息后可以及时作出正确的回应。他说：“企业需要采用这样的方法，审计人员轻松，公司也轻松，彼此都会感激对方。CEO和董事会就是想要这样的效果。”

然而，美国东海岸的CISO Ian Poynter 补充道：“向审计人员教授网络安全基础知识其实很困难，特别是那些来自大型咨询公司的审计师，他们只是背出了公司发给他们的清单或者规章制度，要求他们在审计得提出相关的问题，但完全不了解安全和风险背景。Poynter 介绍了部分经历，在这些事例中，他的客户只通过他们的“规章制度”在审核，但从根本上没有安全性。

比如，曾经有个审计员询问过公司是否拥有防火墙，IT 经理回答是，然后审计员就过了，而事实是，企业虽然有防火墙，但它仍在包装中且尚未安装。“这审计人员其实一点都不懂，防火墙根本没做任何事，它甚至都未被安装。因此，审计人员需要进行正确的审核，他们需要了解安全的背景、技术的背景，包括该学会如何提出问题。”

作为小型公司的顾问，Poynter 表示，与同时了解安全性和合规性的审计人员合作是非常重要的。他说，曾有一家公司准备花费 300 万美元购买 SOC 2 ，而在与供应商一起进行SOC 2 审计时，Poynter 向双方提供了与审计要求相关的安全和漏洞报告，这极大地缩小了审计团队的审计范围，并因此大幅度的减少了合作成本。Poynter说，这是一次合规性和安全性的完美结合，不但提高了IT领导者的业务技能，同时还改善了安全状况。

在国内，安全审计员的角色似乎还并未普及，但与此相仿的有我们的监管人员，因此同样可以对标。安全从业人员在为企业管理风险时，一样可以和相关的监管人员多沟通，一方面是为了更好的满足合规要求，另一方面也可以交流相关的行业经验，因为二者所处的角度不同，所以必然会有对信息安全相辅相成的交集存在。

Poynter 说，审计清单是会过时的，因此仅仅通过审计并不能保护好IT资产。以 NIST 过去要求企业每 90 天更改一次密码为例，其导致的结果是企业难以记住他们的密码，因此NIST取消了这一措施，而是建议企业使用带有数字和符号的密码短语。

安全控制验证公司 SafeBreach 的 CISO Avishai Avivi 同意 Poynter 的观点。Avivi 认为，合规要求为安全建设提供了基础，但合规要求不是天衣无缝的，它并不能评估实际控制情况的有效性。“比如要求企业设置防火墙，合规政策并不会告诉企业到底哪种类型的防火墙适合他们的场景，或者具体得实施哪些防火墙流程，这需要企业在合规的基础上得有自己的建设和认知。” 

Avivi还指出了年度渗透测试的情况，企业若只满足合规要求，就一定会忽略关键的漏洞，因为威胁的发展速度一定比测试要求要频繁得多，而这种差距会使“只追求合规”的公司面临着他们所不知道的漏洞风险。他补充道，如何进行渗透测试以及该针对哪些资源进行测试一样需要企业有自己的方案，而不能只看监管要求。

“我们有一个客户只测试其企业在外部网络的攻击面，因此我们对他公司的内部网络进行了模拟攻击，结果发现，他们只要有一个终端受到攻击，就可以访问他们公司内部所有开发和生产的网络。事实显明，即使他们在‘将开发与生产网络分开方面’遵循了合规性原则，但他们没有相应的防火墙来隔断这些环境，因此他人可以随意进入。”

Dragos 网络风险主管 Jason D. Christopher 表示，在工业控制系统 (ICS) 中，NERC CIP 和其他标准的要求尤其简单。“由于工业网络中缺乏针对于 OT 的检测，因此更难以解释合规性原则，这导致了许多合规性方面的上报要困难得多，因为在车间很难区分是否发生了需要报告的安全事件或维护事件。”

Christopher 补充道，能源和电力公司等ICS系统已经落后，因为它们的安全控制也处于成熟曲线的低端。然后，他分三个阶段描述了合规成熟度曲线，第一个阶段称为爬行，意味着企业所做的一切安全措施只为满足监管要求。第二个阶段称为步行，说明企业围绕审计结果、交叉检查结果和补偿控制已建立起了相应的程序。最后称为运行阶段，即企业已经通过适当的工作流程和指挥链做出了超出合规要求的工作成果。Christopher 强调，合规和安全建设越成熟，审计师、CISO和董事会之间的协作、沟通就会越好。

在Christopher提到的步行阶段，大多数企业于此止步不前。国外专家表示，有许多企业未能根据审计结果进行基本的修复。“我们有一家公司按照合规要求进行了渗透测试。然而一年后，新的渗透测试报告了完全相同的漏洞内容，这是因为客户没有解决前一年渗透测试所发现的漏洞，最终他们遭受了同一漏洞的二次破坏，还被监管机构处罚了。”

Morrison也举例了一著名的案件，此案件目前正在美国旧金山地方法院审理。案件表明，优步的CISO乔·沙利文（Joe Sullivan）在联邦指控下将面临监禁，因为他没有报告第二次勒索软件漏洞，该漏洞利用了 FTC 之前的漏洞，虽然Joe Sullivan曾多次掩饰，但还是被揭开了真相。

合规不仅是要求或驱动，合规同样可用来改进安全性和风险状况。Morrison 建议使用合规成熟度模型来衡量企业的风险评分，并使用这些模型策略来捕捉不断变化的风险。合规成熟度模型还可用来帮助 IT 经理以他们所能理解的风险和业务语言向高层管理人员报告。

正如 SafeBreach 的 Avivi 所解释的那样：“如果你做好了安全，你可能就合规了。但如果你只关心合规，那你可能不会安全。”

而在当下的网络环境里可以看到，无处不在的数据收集、更为普遍的网络访问和不受限制的共享，使得企业大多难以保护其敏感数据免受意外泄漏或者被有针对性的破坏。更重要的是，快速发展的隐私监管环境催生了大量的手动流程，这些流程在解决相关监管和风险方面效率低下，但又不能跃过，因为都是合规要求，所以安全供应商可致力于发展“隐私数据自动管理平台”。

此平台可将数据收集、数据编目、访问控制、数据丢失防范、个人身份信息检测 (PII) 、受保护的健康信息 (PHI) 和处理数据的能力结合在一起，以帮助安全团队自动化管理所有敏感数据的安全性。

作为安全人员到底该如何看到安全和合规，同时又该如何将安全和合规协同起来？国内安全专家如此建议。

某零售品牌安全负责人马一烈认为，安全和合规是相辅相成的，合规是安全中一项重要的内容，由此二者之间的关系得知，安全从业人员在实施任何决策前都需要有一个合规的框架，然后才能做好安全。可以说，合规是基础，是核心，合规必定是安全的主线，安全也必定是基于合规的安全。

其次，马一烈强调，合规和安全不仅仅是相辅相成，同时它们也是彼此演绎、相互进化的。安全和合规是彼此成就的一个过程，它们之间需要不断助力，而更重要的是，安全从业人员一定要在新的生产环境下、新的时代背景下，考虑该怎么在安全和合规方面做一些创新内容。

至于该怎么去成就彼此，马一烈解释道：“无论是从security by design还是audit的角度来说，去看整个发展的过程，一个是开始，一个是结尾，从某种意义上看，合规是贯穿始终的框架和主线，因此，我们需要在这个基础和框架里去保证安全的正确实施，同时合规还具有调整和矫正的作用。所以，每一个安全的domain和安全的lifecycle的过程，都是相辅相成、相互依靠的。随着合规不断地演绎和引进，安全便是在此过程中会发生不断地迭代，并磨合出最佳实践，这是它们之间主要的关联。”

另一方面，九方云安全负责人刘欣表示，在国内网络安全初始，安全与合规看起来是两条平行线，没有交叉。在网络安全趋于成熟的今天，安全与合规高度交叉与融合，这与国际网络空间安全战略以及国家网络安全法律频繁出台密切相关。

企业在做安全规划时，其中一个重要的驱动是安全合规驱动，是否符合网络安全法？是否符合数据安全法？是否符合个人信息保护法等，如不满足安全监管要求，业务就无法放心大胆开展，“滴滴事件”就是典型案例。

刘欣指出，大多数企业设立安全部门或安全岗位起初是因为合规要求，但随着网络安全攻击带来的损失越来越大，企业也开始真正重视安全，所以最初的安全人员是由合规人员转岗过来的，甚至很多安全负责人都是合规背景。

从组织架构上看，不同的企业发展阶段，对安全部门的规划是不同的，有的是信息安全部、合规部各自独立，有的是信息安全部包含合规职能，也有的是融合成安全合规部或安全合规中心等。

从工作内容上看，当安全部门尚未成立时，合规人员职责包含安全职责，如信息泄露审计、定期安全意识培训等，当安全部门设立后，合规与安全开始走向分工，合规偏向外部监管与内部人员违规，具有违规处置权，安全通过技术手段进行配合合规进行溯源、审计，但不具备处置员工职能。在更多的时候，安全和合规一起进行协同，如风险评估、安全流程审批、信息泄露事件的分工调查等。安全与合规协同好的话，会有1+1>2的效果，如果协同不好，往往出现踢皮球、项目推进难的问题，陷入内卷。

最后在协同方面，刘欣建议把安全与合规的KPI进行绑定，明确协同机制和职责分工，同时他认为合规负责人和安全负责人在认知上需要一致，企业需要定期举行月度沟通会等。

极氪安全合规负责人蒋璐明同样认为安全该与合规相辅相成，协同发展。“从我们的角度来看，一个企业安全与合规有一个共同的使命，就是让企业基业长青，安全稳定的往前发展。另一方面，虽然安全与合规目标相同，但二者各有侧重，具体而言，安全侧重技术落地，合规侧重管理制度指导。”

为保证安全与合规协同发展，蒋璐明指出，需要抓住几个核心时刻：

1.重点项目的核心时刻，例如，我们在网络安全审查和数据治理项目紧密配合，安全对数据分类分级工具和数据鉴权及数据入湖方面提出技术落地建议，合规从集团体系出发，制定分类分级的制度，共同推进网安审查落地。

2.共同应对监管核查，近两年车联网监管愈发严格。从APP安全、隐私保护到汽车采集数据年报，两个部门都是共同配合完成监管任务，合规部门主要从法规的层面与监管沟通，安全负责技术整改落地。

而比特大陆CISO张鲁认为，安全跟合规是security和safety的关系。安全重于技术层面的攻防对抗，合规是从管理的维度控制风险。安全技术是不断在发展变化的，有诸多不可预见性，所以需要通过一套合规的标准、机制、流程来保障其是高效、可靠、可持续的。

因此，就建设工作而言，张鲁提出安全具有一定专业性，在企业内部尤其是老板那容易被看成是个黑盒子。而合规可以是开展工作的抓手，无论是内部合规还是面向监管的合规，对于不同企业、不同环境下在安全建设的不同阶段上都有其发展的必要性。以从业者的背景来看，安全圈和合规圈基本也是不同的两类人群。

推荐阅读

网络错误、设备配置错误竟可让企业损失年收入的9%