随着互联网、人工智能、大数据快速发展，各种新技术、新业务层出不穷。当下网络安全形势十分严峻，新技术和新业务的出现势必会给企业带来新的安全威胁，因此，进行新技术、新业务的安全评估是十分有必要的，能够切实提升行业新技术新业务安全风险防范和应急处置能力。

安全评估是深入贯彻落实《网络安全法》的重要举措。网络安全法第五条、第三十八条、第五十三条、第五十五条等条文皆有涉及企业安全评估，包括建立网络安全风险评估和应急工作机制，对发生的网络安全事件进行调查、评估等。当前网络安全环境变化迅速，如何进行新技术新业务信息安全评估直接关系着企业信息安全体系的建设。

同时，为了进一步促进诸子云内部之间的学习、交流，分享最新的网络安全技术、理念，6月2日，安在新媒体举办了的“诸子云——走进甜橙金融”沙龙活动。

本次活动，安在有幸邀请到诸子云内部甲方安全专家、企业安全部门负责人、安全部门技术骨干等二十多人到场，彼此交流各自的观点，以及对企业网络安全体系建设的思考。

安在张威进行简单的开场白，随后将话筒交给甜橙金融翼支付IT风险管理经理何卓，并由何卓担任本次活动主持人。

何卓首先对诸子云各位甲方安全专家的到来表示欢迎，对诸子云甲方社群表示感谢，让不同行业的甲方安全专家能够有一个互相交流的平台，最后对甜橙金融翼支付进行简要介绍。

本次活动的第一个环节是“诸子云专家证书颁发仪式”，每一位新加入的甲方安全专家，诸子云都会颁发相应的证书。同时，上台领取证书的专家也会简要介绍自己，以便诸位能够相互认识，相互交流。

随后，天翼电子商务有限公司许琛超，安在张威分别以“互联网新技术新业务信息安全评估实践”和“诸子云——甲方专属的深度交流平台”为主题进行分享。

议题分享

天翼电子商务 许琛超

互联网新技术新业务信息安全评估实践

新技术新业务是指公司具有新功能、新使用价值的技术业务，包括准备上线的新技术新业务以及已有技术业务的新增功能。每一个新技术和新业务上线之前，企业必须进行信息安全评估。

安全评估工作涵盖纳入公司产品目录统一管理的产品，包括：自营产品/业务、合作产品/业务，是产品上线、业务开展等必要条件之一，未通过评估的新技术新业务不得上线运行。评估工作应当遵循及时、真实、有效的原则。

主要的评估方式为以合规为主导，以访谈评估为主基调，以技术测试为辅助手段，并且形成PDCA闭环。

基本步骤为：

1、明确全量业务清单

2、前期调研、收集材料

3、风险研判（访谈）、技术测试（扫描、基线、渗透）

4、风险评估、产出报告

5、整改排期，跟踪整改

6、定期核查、动态核验

活动中，许琛超进一步分享了互联网新技术、新业务信息安全评估实践经验。

其中，安全评估测评方式主要分为内部测评和外部测评。

内部测评主要包括由内部测评单位负责开展自评估工作，出具自评估报告；主体为评估保障单位应在评估管理单位指导下，组织和建立的互联网新技术新业务信息安全评估审查专家小组；主要由信息技术部、市场合作部、运营核算部、风险管理部、O2O 事业群、财富管理事业群等部门相关人员组成（以开发、安全、主机、数据库、网络、中间件等专业为主）。

外部测评单位由公司委托开展第三方测评工作，对纳入公司上线流程中的产品/业务进行上线前信息安全评估，对各部门、事业群、子公司报备的产品/业务进行抽查。

评估流程为评估准备（成立评估组、获取业务文档、制定评估规范&计划），组织实施（依据规范开展评估、现场评估），评估总结（召开总结会议、确认评估结果、形成评估报告），整改复合（实施风险整改、形成整改报告、提交评估组复核），结果报备。

当满足启动条件时，应及时组织成立评估组，启动安全评估。一般来说，评估组由信息安全、业务运营、支撑维护、客户服务等方面专家组成；业务运营团队应向评估组提供开展评估需要的文档、资料和信息。

安在 张威

诸子云——甲方专属的深度交流平台

大的时代背景让网络安全行业迎来“利好”，但就现状来看，却有诸多发展之痛。总体上，封闭性、狭义性、唯技术论、攻强守弱、被动防御、意识不足、合规驱动且刚需不足等问题，都严重阻碍了行业发展。事实上，作为一项“环保”事业，网络安全不应该只局限在小圈子窄领域，不应该只是技术，更关乎人的意识和行为习惯，理应站在时代的高度去看待。

2018年4月，企业网络安全专家联盟(诸子云)成立。截止2019年5月，全国认证成员529人，皆来自甲方企业，希望在数年内构筑一个网络安全领域的“正和岛”

同时，在安在新媒体运营支持下，诸子云讲述了数十位甲方大咖和一线从业者的故事，打破了过去甲方安全人无处发声的桎梏，让社会见证了安全从业者的付出和价值。

2019年，诸子云还将继续努力，作为让甲方发声和交流互助的平台，将安全行业不同的思考和声音进行吸收、转化，并分享给更多的用户单位的厂商，为这个行业的发展，补给更多养分。

诸子云秉承着价值创造、强信任、深度协作等理念，为个人、行业、社会带来价值，营造真实、可信、可靠的环境，推动行业、全国协作。

目前，诸子云已和监管机构、投资机构、主流媒体、核心期刊、出版社等单位达成合作，并将为诸子云的发展提供强有力的支撑。

活动中，张威着重介绍了诸子项目。

诸子项目是以适合社群特点的各类项目作为会员间持续互动、互助、共享的工作主线（线上项目策划及实施、媒体宣传推广、线下活动、成果转化等），并借资金对接广揽外部资源，未来可做创新孵化。

项目负责人可以发起项目申请，并依据以下格式，向秘书处邮箱ddsmr119@126.com提交项目申请卡片。

诸子项目一经启动便受到社群成员一致欢迎，群内成员纷纷踊跃报名，成立项目组，主要为：

负责人：赵锐

内容：通过研究和讨论形成CSO的知识体系框架和技能树

交付形式：CBK思维导图、Excel表框架、配图及相关说明

负责人：马一烈

内容：组织人员翻译手册

交付方式：中文文档

负责人：陈勤伟

内容：研究云计算与大数据趋势下的网络安全控制框架的最佳实践

交付方式：文字报告及PPT

负责人：沈青

内容：针对日益泛滥的社会工程攻击进行研究和探讨  

交付方式：文字报告及PPT

负责人：孙权

内容：TISAX标准为GDPR在汽车行业的落地标准，具有广泛的应用前景

交付方式：文字报告及PPT

随着嘉宾们分享的结束，本次“诸子云——走进甜橙金融”活动圆满结束。会后，嘉宾们就活动分享内容进行激烈的碰撞，同时积极讨论创立新的诸子项目。

活动花絮