李杨-安全合规的现在与未来（21页）.pdf

1、李扬，现任信也科技安全经理。从业以来，先后承担过安全运维，合规，研发角色。牵头多次顺利通过非银行支付机构支付业务设施技术，等级保护，PCI-DSS，ISO-27001认证。设计并落地移动条码支付系统，实时风控系统，4A系统。选择安全，从业安全，坚持安全，是金融安全行业的一线老兵。个人背景 李扬，现任信也科技安全经理。从业以来，先后承担过多项安全角色，如安全运维，安全合规，安全研发等。多次牵头顺利通过非银行支付机构支付业务设施技术，等级保护三级，PCI-DSS，ISO-27001认证。设计并落地移动条码支付系统，移动安全实时风控系统，移动环境检测系统等。选择安全，从业安全，坚持安全，是金融安全行

2、业的一线老兵。声明：本次分享仅代表作者个人观点，与所就职的信也科技无关。目录4.总结3.安全合规的未来2.安全合规的现在1.安全合规的定位1.1.安全合规的定位核心驱动力监管增信自治需求1.2.安全合规的定位回顾起源无明显标志性事件雏形监管2008年信息安全等级保护三级专职安全管理员增信信息安全管理体系认证ISO27001等爆发2017年网络安全法2019年App个人信息保护治理1.3.安全合规的定位工作界面安全合规政府关系风控内控安全技术合规产品2.1.安全合规的现在监管条线行业 一行两会 人民银行 银行保险监督管理委员会 证券业监督委员会 卫生健康委员会 通用 4部委 12部委行业自治 支

3、付清算协会 互联网金融协会 互联网协会 广告协会 国外监管 SOX HFCA-外国公司问责法2.2.安全合规的现在监管态势2.3.安全合规的现在合规要点不出事出小事少出事2.4.安全合规的现在权力来源从属安全合规法务信息技术研发运维汇报线CTOCSOCIOCCO总监经理2.5.安全合规的现在招聘发展空间岗位需求2.6.安全合规的现在复杂的合规链应用三方SDK组件容器/虚拟机中间件主机网络供应链2.7.安全合规的现在工作现状摸底基本靠聊，寻人基本靠吼，统计基本靠表，通知老是延迟，差距基本靠猜，整改基本靠关。可这样能够应对当前甚至未来的数字化挑战么？2.8.安全合规的现在虚拟组织架构顶层决策常规决

4、策依据执行信息安全领导小组信息安全执行委员会信息安全(专任)安全合规工作组安全合规员(兼任)3.1.安全合规的未来分分合合内部治理外部监管工信网安网信从属关系权责对等风险管理业务发展3.2.安全合规的未来安全VS合规安全合规技术法律3.3.安全合规的未来岗位价值均值回归红利期回归期*证券监督委员会，证券公司和证券投资基金管理公司合规管理办法*麦可思，2020年中国大学生就业报告3.4.安全合规的未来战略思考政府关系技术问题，技术解决技术解决管理问题3.5.安全合规的未来战术思考 标准化 设计安全-SecurityByDesign 安全合规评审 默认安全-SecurityByDefault CIS,安全组件库等 安全即服务-SecurityAsAService KMS,MFA,CAS等 云 自动化 安全合规度量 合规是安全方面最易量化的切入点On PremiseIaaSCaaSPaaSFaaSSaaS甲方合规整改难度甲方合规风险暴露面4.总结没有网络安全就没有国家安全。安全合规工作是国家意志输入企业自治。监管需求是安全合规工作第一推动力。正确的做事，走得快。做正确的事，走得远。