源海拾贝 | 陌陌合规审计平台开源2.0

 

随着数据安全法、个人信息保护法的出台,企业的安全合规日趋重要。而合规工作的落地,存在大量检查、审计类重复活动,伴随着企业人员和适用政策的叠加,人工成本也会逐渐上升。为解决此类问题,我们设计并实施了安全合规审计系统,将控制落实、合规检查及监管跟踪等合规审计类流程固化到线上系统,实际使用中起到良好效果。

平台覆盖范围包括应用系统、操作系统及数据库三个横向维度,以及员工权限角色、操作日志及工单部署三个纵向维度。从不同的角度切入,对风险行为进行检测,识别风险项。

 

一、功能概述

平台整体功能总分为七个主目录,主要包括审计和隐私两部分。

审计主要涉及:

资产清单:资产作为整个审计流程中最不可缺少的部分,分别包含应用系统的运营后台、数据库的实例和操作系统对应的主机等资产。为整个合规审查的基石, 数据采集的来源。

策略配置:此部分包含五个子目录,可以根据需要为不同的审阅任务配置差异化的监控策略。

任务:根据策略配置功能中的预设规则,生成任务中的审阅报告。

隐私主要涉及:

知识库:知识库是合规工作开展的基石,通过企业合规所依据的法律法规沉淀、监管动态解读、政策差距分析,解析管理要求、控制点、内部制度、检查标准等,让合规工作做到有据可依。

APP隐私合规&工作台:为合规人员记录当前的工作事项及待办事项记录提醒,对相关文档、评估情况进行梳理存档,为应用上架提供支持。

 

二、实施介绍

审计部分通过推拉两种方式全面自动化采集审阅范围的数据,根据权限不相容矩阵、写操作正则匹配等预设规则,对生成的审阅报告中合规性关键控制点风险进行高亮标识,有利于审阅人快速发现潜在风险。

隐私部分通过实时跟进监管政策,围绕监管要求输出差距分析,在严格遵循法律法规评估要求的前提下,定期对内部产品进行安全自评估,并对相关文档及评估情况积累存档,为隐私合规工作提供支持。

国家监管要求不断完善,各个行业内控要求不断深化,合规审计工作也会向多方面不断推进,欢迎大家一起讨论交流~

陌陌合规审计平台开源2.0地址:https://github.com/momosecurity/bombus

欢迎大家多多star,如有任何问题欢迎提交issue~

(完)