其他
安全合规是Global SaaS的“生命线” | Linkloud沙龙第五期实录精选
洪小军:安全与合规是贯穿公司发展的生命线
Ken:云厂商助力企业完成从0到1的安全建设
曾垚:多重视角下的企业安全与合规
在MVP阶段将安全功能(如安全密钥、审计日记等)纳入产品设计,并建立漏洞处置响应流程,提高产品的安全等级。 保障基础设施安全并搭建数据安全体系,包括数据备份、数据加密、数据访问控制等。 引入安全服务供应商和工具,持续对基础架构的网络、访问控制、基础云服务等安全问题进行监测和扫描。
完善公司内部安全管理制度文档,如漏洞管理制度、软件开发安全管理办法、安全培训等;必要时可以引入外部咨询机构和律所,制定安全管理制度及文档。 根据业务发展需求提前规划安全合规工作,通过权威认证向客户证明产品和业务的安全性。如国际通用安全标准(ISO-27001、NIST)、行业标准(PCI-DSS、HIPAA)、国家地区标准(CPAA、GDPR)。 引入安全合规自动化工具,加速合规审计流程。
满足更高级的安全标准,如SOC 2、CSA STAR,以保障业务安全合规的领先性 建立安全与业务的自动化响应流程,引入工具进行集成,将安全能力融合至业务 培养全员安全意识,并通过培训等方法规范员工行为,以保障公司机密数据的安全性 把安全合规建设落到实处,建立完善的安全管理制度及流程,组建全职的内部安全团队,必要时可以引入外部工具和机构进行评估
赵海旭:三步走做好企业安全合规
Zachman框架:该框架提出what、how、where、who、when、why六个问题,从不同层次对企业架构进行描述,旨在讲复杂的问题和企业架构进行拆解,为企业提供一种可以理解的信息表述,让每个相关人员都能清晰理解信息。此外,该框架把业务需求映射到技术实践之上,每个技术实现都可回溯至上层的业务需求,使技术和业务人员可以高效沟通、避免内耗。该最容易落地,但尚缺乏成熟度的评价标准,并不是一个特别稳定的架构。 TOGAF架构:该架构是一个开放组织架构框架,从业务、数据、应用、技术四个层面描述企业整体架构,这四个层面可以随业务不断发展变化而动态更新。福布斯全球top50%的公司中有超过80%都使用该架构。它的优点在于可操作性强,得益于标准的知识库,落地也很容易。虽然在落地能力上稍劣于Zachman框架,但TOGAF在稳定性上更胜一筹。 ITIL:ITIL(IT基础架构库)定义了四个维度,组织人员、信息和技术、合作伙伴和供应商、价值流和流程。这些维度既可以反应IT的能力成熟度也可以用于企业架构的建设。该架构的优势在于能够加强公司IT服务能力的建设、提升员工的IT能力,同时可以让客户了解公司的IT能力,拉近业务与开发的距离。 CMM:CMM是企业的能力成熟度模型,强调提升公司的业务执行能力,分为1-5级,企业的成熟度逐级递升。该架构相对全面,但并不适合初创公司或是业务刚起步的公司应用。
NIST框架:分为分类系统-选择控制-实施控制-评估控制-授权系统-监控控制六个步骤,组成了一个循环体系,在实践过程中可以不断自我优化。与此同时,该框架提供了解决资产评估的最简单方法。 ISO27005:提供了四种清晰的风险处置方法:缓解、接受、转移、规避。该框架的核心是沟通,要求企业拥有一个完整的安全赋能体系。ISO27005风险框架搭配ISO27001管理框架往往是最行之有效的方案。
一 END 一
无论您对企业服务、SaaS还是出海感兴趣,无论在全世界任何地区与时区,欢迎添加我的微信号(galenleo,添加时备注姓名+公司)云上探讨。
点个在看 一键上云