陌陌合规审计平台开源2.0

随着数据安全法、个人信息保护法的出台，企业的安全合规日趋重要。而合规工作的落地，存在大量检查、审计类重复活动，伴随着企业人员和适用政策的叠加，人工成本也会逐渐上升。为解决此类问题，我们设计并实施了安全合规审计系统，将控制落实、合规检查及监管跟踪等合规审计类流程固化到线上系统，实际使用中起到良好效果。

平台覆盖范围包括应用系统、操作系统及数据库三个横向维度，以及员工权限角色、操作日志及工单部署三个纵向维度。从不同的角度切入，对风险行为进行检测，识别风险项。

一、功能概述

平台整体功能总分为七个主目录，主要包括审计和隐私两部分。

审计主要涉及：

• 资产清单：资产作为整个审计流程中最不可缺少的部分，分别包含应用系统的运营后台、数据库的实例和操作系统对应的主机等资产。为整个合规审查的基石, 数据采集的来源。

• 策略配置：此部分包含五个子目录，可以根据需要为不同的审阅任务配置差异化的监控策略。

• 任务：根据策略配置功能中的预设规则，生成任务中的审阅报告。

隐私主要涉及：

• 知识库：知识库是合规工作开展的基石，通过企业合规所依据的法律法规沉淀、监管动态解读、政策差距分析，解析管理要求、控制点、内部制度、检查标准等，让合规工作做到有据可依。

• APP隐私合规&工作台：为合规人员记录当前的工作事项及待办事项记录提醒，对相关文档、评估情况进行梳理存档，为应用上架提供支持。

二、实施介绍

审计部分通过推拉两种方式全面自动化采集审阅范围的数据，根据权限不相容矩阵、写操作正则匹配等预设规则，对生成的审阅报告中合规性关键控制点风险进行高亮标识，有利于审阅人快速发现潜在风险。

隐私部分通过实时跟进监管政策，围绕监管要求输出差距分析，在严格遵循法律法规评估要求的前提下，定期对内部产品进行安全自评估，并对相关文档及评估情况积累存档，为隐私合规工作提供支持。

国家监管要求不断完善，各个行业内控要求不断深化，合规审计工作也会向多方面不断推进，欢迎大家一起讨论交流~

点击左下角“原文链接”跳转可查看开源项目，或复制以下地址进行查看

https://github.com/momosecurity/bombus

欢迎大家多多star，如有任何问题欢迎提交issue~

---

About us

陌陌安全

致力于以务实的工作保障陌陌旗下所有产品及亿万用户的信息安全

以开放的心态拥抱信息安全机构、团队与个人之间的共赢协作

以自由的氛围和丰富的资源支撑优秀同学的个人发展与职业成长

原文始发于微信公众号（安世加）：陌陌合规审计平台开源2.0