安全+合规：新时代的职场需求

探寻合规之道，共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。

点击  "合规社"  > 点击右上角“···” > 设为星标⭐

■作者：Smart

■编辑：王贤智

IT领域从业近20年，经历着信息系统的变迁，最近3-4年变化尤为明显。一是数字化转型的出现，大量信息系统进行整合、业务流程再改造，通过数据更好的服务企业业务和管理；二是数据要素的提出，数据要素X和数据入表等事项成为热点，很多企业都在盘点数据资源，挖掘数据的价值，数据即业务的信息系统增加明显。三是近些年国内外对数据安全和个人信息的监管加码，从欧洲GDPR的长臂管辖、全球营业额的巨额罚款，到我们国家三部上位法《网络安全法》、《数据安全法》、《个人信息保护法》的颁布和实施，对数据监管上升到新的高度，监管的颗粒度变细，因数据安全造成小额罚单越来越多，形成较大社会影响力，作为承载数据的系统、APP、小程序等成为监管重点。

最近两年开始接触“数据加工处理、数据服务类”项目，从传统以“业务为功能”的信息系统逐步过度到以“数据即业务”的新型信息系统，察觉到安全合规岗位变得重要起来，对这个岗位有一些新理解，供参考。

在2008年建设机房时提供物理场地空间，网络出口机房统一建设，除此之外各个业务系统的服务商配套提供各自机柜、网络设备（防火墙、负载均衡）、服务器和应用软件等内容，导致早期机房内，服务器机柜都是各式各样、网络走线也不规范，作为IT服务商从头到尾承接的内容较多，需要整合各方资源。

记得在2013年开始提出IT基础设施集约化建设思路，建设一些数据中心和云基础设施。开始推动系统上云，办公支撑类系统作为小白鼠优先上云，再逐步考虑业务系统上云。

机房的建设思路开始集中化和规范化，由IDC提供统一机柜、统一网络走线，统一PC服务器。IT服务商不再需要建设基础设施，通过云IAAS申请虚拟服务器、网络、存储，关注重心在应用部署、业务联调测试和应用安全。

• （1）一个业务需求一个信息系统

关于信息系统的痛点有两个核心词汇必须提及：“烟囱式、数据孤岛”。系统之间缺少交互，数据各自留存，缺少数据打通和数据的关联分析。

早期阶段一个业务需求就配套建设一个信息系统，比如企业门户、办公OA、HR、邮箱、CRM等都是一个个单独的系统。系统的建设需求落到具体的业务部门，每个信息系统的建设配套硬件、软件及安全措施等，应用开发商、硬件设备商和安全厂商等因为大大小小系统非常多，每个IT服务商多少都能分一杯羹。

记得2019年某运营商统计全网信息系统数量时，全集团系统超过10000个，那时网络安全的重心就是保护网络和信息系统。如何管理好这1万个系统的安全，有哪些安全工作和合规工作需要开展？实际工作中通过“专项活动”推进，分批覆盖管理系统，难度极大，后来提出“大量缩减系统”，清除三无七边系统，缩小互联网暴露面，减少被攻击的风险。

图1:”三无七边“系统范畴

• （2）数字化改造与业务整合

数字转化型中提出“以数据为核心”，数据流转到哪里，配套的系统支撑到哪里。

以前运营商通过“三无七边”清理无效系统，但数字化转型情形下，原来企业各个部门、各个中心建设的老旧系统下线停用，即使正在使用的系统也需要内部整合，企业强调业务流程再改造，通过建设大数据平台、数据中台方式，将企业所有数据汇聚起来，统一提供数据服务，集中新建设超级大平台。

数字化转型已经成为一个不可逆转的趋势，它关乎企业的未来竞争力和生存能力。虽然转型本身不容易，成功也并非必然，但停滞不前、拒绝变革则无异于自我放弃，不进行数字化转型，就可能面临被淘汰的风险。

很多企业开始建设自有机房环境或外部租用IDC机房，搭建企业的私有云，形成企业内部IT基础实施（或数据中心）。在搭建基础设施时，涉及的网络安全、数据安全相关的安全能力进行统一建设，而且大部分都在项目第一期内就统筹建设完毕，如像网络流量分析、态势感知、DDOS、日志分析、漏洞扫描等能力，这类安全能力作为基础能力，适合企业集约化建设，提供所有系统共同使用。

上述趋势导致企业的信息系统数量锐减，很多数字化方式就是在一个超级大平台上装载很多业务子系统，因此出现了信息系统的综合集成商，他们的话语权在增强。

以前的对接路径是各类IT服务商直接对接各部门进行项目建设。现在对接路径是各类服务商对接项目总集成商，总集成商对接甲方企业，出现问题时，甲方企业只对接总集成商，形式上更加精简，职责界限更加清晰，总集成商再统筹调动各服务商解决问题。

IT基础环境的集约化建设，让业务系统和IT环境的分工界面逐渐清晰，其中网络安全通用能力和业务系统的业务安全、应用安全也逐步分离。

基础安全能力（防护和检测）由企业基础设施部门（或IT部门）统一提供，业务系统的安全人员负责相关漏洞整改，重点关心数据安全。

实际商安全工作不能做到真正的切割，只是安全岗位工作分工更加清晰，相反数据安全是整体性的安全，底层是网络安全解决边界的安全，做好从内到外的防护;外围是数字身份安全，解决人或应用访问数据的身份识别和访问授权；应用内部是业务逻辑安全和应用安全。

此外，我们在探讨数据安全需要结合实际场景开展，像办公场景安全、研发场景、远程运维场景等也可能直接影响业务系统的数据安全，任何一个环境的疏漏都可能造成数据泄漏和数据滥用问题。

信息系统的集约化建设，IT基础设施和通用安全完全符合“云计算”最早提出的理念，像公共设施的“水和电”一样，随用随结算，按量计费，用多少算多少。涉及上云系统的通用安全能力，只需要通过“勾选”方式购买，像安全扫描、安全防护能力变得简便，涉及网络安全岗位、网络管理相关岗位需求量下降明显。

与此相反，随着数据要素价值的显现和安全监管加码，关于数据合规、安全合规方面的工作开始增多，他们典型的一些工作事项：

（1）配合外部监管的各类安全检查；

（2）企业内部开展各类安全合规、评估和审计等；

（3）企业内部各类合规事项的应对（等保测评、密码测评、安全测评等）；

（4）企业内部各类安全资质的认证与审核等。

这类工作不需要技术能力很强，核心能力是对安全合规要求的理解，熟悉各类检查、评估等安全工作的流程和落地实施步骤，有点像之前信息安全岗位的工作内容，但内容又更加丰富和重要。

此外，安全合规工作需要接触业务、了解系统，对接监管单位、接触企业内部的法务、数据合规、数据开发等多岗位角色，是一个综合性很强的岗位。

企业侧对“安全合规+数据合规”类的工作岗位需求将明显增多，对于企业的价值逐渐增加，它偏向安全管理类的岗位，需要整体把企业安全合规重要事项梳理清楚、组织实施，涉及技术部分可以调用企业专业人员实现，也可引入外部安全服务。

面对数字化转型、数据要素、人工智能等新兴趋势，我们应保持一定敏锐的洞察力，主动感受这些细腻的变化。个人层面上，主动接触一些相对较新的业务领域，进行转型和储备，有助于我们拓宽视野，也为我们的职业发展提供了新的可能性。

然而，对于大多数普通人来说，我们也不应过于激进，盲目追求那些热门但尚未成熟的技术概念，如区块链、量子计算等。这些新兴领域虽然充满潜力，但也需要时间来验证和成熟。

合理分配时间和精力，一方面要扎实做好基础工作，积累通用知识，另一方面也要适度探索新型业务形态，保持好奇心，多尝试那些能够带来新经验的工作，这将有助于我们在不断变化中保持核心竞争力。

上述仅代表个人观点，供参考！

No.016

「 数据合规知识星球 」是一个专注于数据安全和个人信息保护的资源和知识集散地。星球提供图解PPT、行业解决方案、数据安全合规管理制度模板、评估工具及评估报告模板、监管政策及标准汇编整理等，帮助组织或个人理解并遵守数据安全合规的法律法规，促进操作和业务流程的安全合规。

550+次内容更新

1100份+干货文件不限下载

310+律师、法务合规、数据保护、安全人员共同选择

⬇️⬇️⬇️