共计 5286 个字符,预计需要花费 14 分钟才能阅读完成。
数据安全迫不及待,国产智能化厂商首获 SOC 2 鉴证报告有何意义?
理解 SOC 2 与 ISO 27001 的区别,你就晓得 SOC 2 对智能自动化厂商的意义了
文 / 王吉伟
要问以后组织对于数字化转型的最大顾虑是什么,答案无疑是数据安全。
所谓数据安全,是指通过采取必要措施,确保数据处于无效爱护和非法利用的状态,以及具备保障继续平安状态的能力。
要实现数据安全,就要保障数据处理全过程的平安。而数字化转型最终目标是要实现组织全副业务数字化,数据上云不可避免,数据安全也就成了重中之重。
进行数字化转型的宽广组织,不论抉择哪家技术供应商,抉择什么服务,抉择什么施行规范,首先思考的必是数据安全计划。
对于技术供应商而言,数据安全永远是横在中标与交付前的一道门槛。
尤其在以后简单的外部环境背后,数据安全已是影响组织施行数字化的首要因素。而组织外部 IT 零碎长期累积的零碎异构、数据多元、孤岛林立、架构简单等因素,也为供应商的平安计划与施行交付提出了更高要求。
为了适配更高级别的平安需要,RPA 厂商也做出了很多致力。包含打造平安产品与服务零碎、适配信创体系以及获取各项认证等等。每家厂商,都在踊跃通过各种伎俩晋升本身以及对外服务的安全级别,以可能适应更宽泛与多元化的市场需求。
在各种认证中,SOC 2 是最受欢迎的可能全面体现供应商平安能力的认证体系。作为一种审计程序,它基于安全性、可用性、解决完整性、机密性和隐衷性的五项“信赖服务准则”,定义了治理客户数据的规范。可确保服务商可能平安地治理您的数据,以爱护组织的利益和客户的隐衷。
对于 RPA 行业而言,显然哪家厂商可能先一步拿到 SOC 2,在数据安全大于所有的大环境下,就能进一步失去大型组织的认可而获取更多的市场份额。
最近来也科技通过了 SOC 认证,成为首个正式取得 SOC 2 证书的国产智能自动化厂商。借此事件,王吉伟频道也跟大家聊聊数据安全对 RPA 行业的影响、SOC 2 与其余体系的区别以及 SOC 2 认证对智能自动化厂商的意义。
数据安全迫不及待
2020 年 10 月,某通信营运公司的几名外部员工,开始以“客服人员”的身份打着“手机积分优惠换购”的幌子,进行公民个人信息非法收集。至 2021 年 2 月案发时,该团伙通过窃取公民信息,偷开、倒卖微信号 250 万个,涉案 972 宗,非法获利 8700 万元。该团伙的下场,天然是锒铛入狱。
往年 3 月 1 日,日本汽车制作巨头丰田公司忽然发表暂停汽车生产业务。造成此次停产的起因,是其零部件供应商小岛工业 (Kojima Industries) 蒙受网络攻击,呈现了重大系统故障。丰田公司被迫发表暂停日本 14 家工厂内 28 条生产线,导致公司月增产约 13000 辆汽车。
ITRC(非营利组织身份偷盗资源核心)在 2021 年 2 月公布的《2021 Data Breach Report》显示,2021 年寰球产生了 1862 起数据泄露事件。其中,因网络攻击造成的数据泄露事件为 1613 起,内部人员歹意透露、越权拜访等人为因素造成的数据泄露为 249 起。
从数量来看,2020 年数据泄露事件为 1108 起,2021 年的数据泄露数量减少了 68%。近几年数据泄露事件继续出现高速回升趋势,预计 2022 年的数据泄露事件会更多。
数字经济时代,组织的业务流程都要基于各种 IT 零碎、网络与云,使得数据泄露造成的数据安全危害愈发重大。一方面,数据泄露可能会危及企业零碎和要害数据安全,造成不可估量的损失。另一方面,企业对数据泄露的补救老本也在减少。
IBM 公布的年度《数据泄露老本报告》显示,以后均匀数据泄露老本为 386 万美元。其中一些 ” 超大型”数据泄露事件的补救老本,高达 3.92 亿美元。
重要的是,数据泄露事件一旦产生,组织不仅须要承当昂扬的经济损失,还可能承当重大的法律结果。《数据安全法》《个人信息保护法》和《网络安全法》等相干法律法规均从不同视角登程为企业规定了不同的合规任务,以预防数据泄露和升高数据泄露的影响。
2020 年,某银行支行因侵害消费者个人信息依法失去爱护的权力和违反反洗钱治理规定,泄露客户信息,受到正告及 1223 万元的高额罚款处罚,其行长和营业室员工也因而别离被处 1.75 万和 3 万元罚款。
为保障数据安全,宽广组织该当增强数据安全工作,尽量采取更无效的形式保障并增强企业经营中数据生产、传输与利用全流程的平安爱护。
在数据安全问题的解决上,除了组织外部执行严格的平安与监管流程,同时也要对业务数字化转型中抉择的技术供应商进行严格要求。
RPA 面临的平安危险与挑战
RPA 正在成为组织数字化策略的要害组成部分,被用于越来越多的畛域。RPA 我的项目既要通过爱护机器人平台来防备网络危险,也须要利用 RPA 技术来执行更无效和高效的网络运行操作,因而 RPA 的平安不容忽视。
在平安畛域,RPA 在电子身份和拜访治理、平安操作、数据分类和爱护、响应、软件和产品安全、管控等业务场景中扮演着最重要的角色。
因为 RPA 与传统 IT 的差别,机器人和机器人平台可能会引发新型攻打,其危险包含泄露、窃取、销毁或批改敏感数据,拜访未经受权的应用程序和零碎,甚至利用这些破绽进一步拜访企业的平安零碎。
其中,可能波及的最常见危险包含滥用特权、数据泄露、安全漏洞和流程中断。
要解决这些潜在的平安问题,须要厂商打造更平安、令用户更释怀的产品与服务体系。在平安方面,RPA 厂商个别会通过多样部署、多元容灾、简单加密、超自动化、全生命周期等伎俩,晋升其在平安治理、管制等方面的平安能力。
当然,行业认证和证实也是厂商展现平安能力的有效途径,各种证书可能为厂商的产品与服务平安体系进行很好的背书。
比方寰球三大之一的 UiPath,其行业认证和证实就有 SOC 2、ISO/IEC 27001、ISO 9001、Veracode Verified、HIPAA、Cyber Essentials Plus 等。
一般而言,RPA 厂商作为数字技术供应商,为了可能拿下更多的 500 强企业,在平安方面都会进行 SOC 2、ISO 27001、ISO 9001、ISO 22301 等的认证。在这其中,无疑 SOC 2 是最具备影响力与说服力的证书,不然也不会有那么多大型企业将其放到平安证实页面的首位。
SOC 2 的审核十分严格,只有具备绝对残缺平安技术与服务零碎的供应商才有可能通过审核。因而 SOC 2 虽已推出多年,但目前寰球范畴内通过 SOC 2 认证的企业并不多。
在国内,如果你在百度搜寻一下,就会发现打上 SOC 认证印记的不是华为就是百度,要么是阿里巴巴或者字节跳动,当然也有一些技术畛域的行业翘楚。
在 RPA 畛域,目前国产 RPA 厂商只有来也科技于近日拿到了 SOC 2 认证,其余厂商的平安背书仍旧还是 ISO 体系认证。
从相干材料来看,来也科技的 SOC2 认证十分全面,涵盖了 RPA、IDP、对话式 AI 等全智能自动化平台产品及服务,国产首位的同时,也是目前寰球业内最为全面残缺的 SOC 2 认证笼罩厂商之一。
SOC 2 为何更受器重?
SOC(System and Organization Controls)规范是美国注册会计师协会(AICPA)制订的行业服务规范,蕴含 SOC 1、SOC 2、SOC 3 三种模式。
其中 SOC 2 是一项专门针对数据安全和隐衷爱护服务的高安全性、高保密性、高可用性鉴证规范,是寰球公认的、高度权威的、业余的安全性审计报告,能正确、全面且深刻地反映被审计企业全域平安的治理状况。
SOC 2 的权威性与专业性,使得其可能无效证实被审计企业的产品技术实现平安、服务平安、数据安全以及信息安全状况,因而成为国内外企业在抉择第三方服务提供商时评估其相干资质与服务质量提供重要参考,更可能为用户提供重要的产品安全保障和产品选型参考。
凡是提及 SOC 2,就会有人提到 ISO 27001,其实两者是有肯定区别的。
ISO 27001 是治理规范,而不是平安规范。它为组织内的平安治理提供了一个框架,但它没有像 SOC 2 一样提供平安的“黄金规范”以确保组织的安全性。
ISO 27001 采纳基于危险评估的办法。信息安全危险评估用于辨认组织的平安要求,而后辨认将危险管制在组织可承受的安全控制程度。
其中的关键在于,组织决定了它须要什么级别的安全性,危险评估只用于辨认组织所需的管制,由组织依据危险评估和组织可承受的危险程度 (危险偏好) 来抉择所需的安全控制。
也就是说,ISO 27001 的合规性或内部认证并不代表组织就是平安的,组织只是在依照本人认为的安全级别进行治理施行。如果组织的危险评估有缺点,不足足够的平安和危险评估专业知识,没有施行平安的治理和组织承诺,便意味着即使其施行了 ISO 27001 也依然会存在平安危险。
这就是为什么很多施行了 ISO 27001 的组织,依然会有信息安全破绽的起因。
现实的平安状态是 SOC 2 和 ISO 27001 并用,通过 SOC 2 定义安全级别,而后以 ISO 27001 来打造更高标准的平安管理体系。而同时领有 SOC 2 和 ISO 27001 认证的技术供应商,就可能为宽广组织提供更欠缺与平安的产品与服务。
对于长期与数据打交道的数字化技术供应商而言,在以后数据安全大于所有的大环境中,为更好地服务客户以扩充市场规模,通过 SOC 2 认证来证实平安实力,也是十分紧要和必要的。
所以,更多的云计算、AI、智能自动化等为宽广企业提供数字化转型解决方案的厂商,都在紧锣密鼓地进行 SOC 2 认证。而已通过 SOC 2 认证的服务商,也就成了宽广组织施行业务流程优化的首选。
哪家厂商可能抢先一步拿下更具权威性的 SOC 2,在数据安全方面其产品与服务也就更有说服力。可能拿下更多政企畛域的大客户,也就能实现市场规模的疾速扩张与业务营收的高速增长。毕竟对于进入 C 轮、D 轮融资的厂商,更大的市场规模与更好的营收数据还是十分重要的。
国产智能自动化厂商首获 SOC 2 认证
5 月 31 日,来也科技正式取得安永华明会计师事务所签发的 SOC 2 Type1 鉴证报告。通过安永华明会计师事务全方位、细粒度审计与评估,来也科技的智能自动化服务体系具备安全性、可用性及保密性相干、多维度的综合服务能力。
由此,来也科技成为国产智能自动化厂商中,首家获得 SOC 2 认证的平安践行者。
这项认证的通过,表明来也科技智能自动化服务在平安、可用及窃密方面已通过业界最严格审核、对标国内当先规范,具备业内当先的多维度综合服务能力。
来也科技可能通过 SOC 认证,并不意外。这家智能自动化厂商始终以来都本着“客户胜利”的准则,不仅为用户提供平安产品,更以助力客户平安高质量倒退为己任,在数据安全意识晋升、业务数据安全爱护、数据全环节治理落地反对等方面为客户提供平安服务。
也正是因而,来也科技能力成为当下“最平安”的智能自动化供应商、智能自动化平安畛域的先锋。
来也科技关注用户数据安全,通过多渠道向用户明确并传播数据保护政策与保护措施。
将平安作为要害因素融入企业经营全流程,向客户输入服务平安能力,对服务的施行与交付、故障问题解决、服务发展外部撑持治理落地等全业务场景进行梳理与排查,明确相干治理要求,保障控制措施常态化落实。
此外,还在“合作伙伴与开发者”生态构建中,重点落实生态搭档信息爱护,
在国产平安方面,来也科技是国内智能自动化厂商中最早进行国产自主信创平台适配的厂商之一,已适配飞腾 + 河汉麒麟、统信 + 海光、统信 + 兆芯等多个国产软硬件平台;反对华为鲲鹏 CPU 加 Linux 操作系统的组合,并取得华为技术认证证书。
其实在 SOC 报告之前,来也科技已取得 ISO/IEC27001 信息安全管理体系认证证书、ISO9001 品质管理体系认证证书、ISO/IEC20000 信息技术服务管理体系认证证书、Veracode Verified™认证、公安部网络安全等级爱护三级测评、信息系统安全等级爱护第三级、CMMI 软件工程评估办法认证第三级等多项平安认证。
SOC 2 认证在美国特地受欢迎,随着更多欧洲公司在美国开展业务,它也越发受到欧洲公司的欢送。无疑,这对于来也科技的海内市场拓展,有着重要的意义。
后记:SOC 2 放慢厂商国际化步调
事实上,来也科技早已具备对于产品安全、服务平安、数据安全、信息安全等的全方位多维度保障能力,SOC 认证的通过相当于给它发了一张毕业证。有了这张毕业证,就可能失去更多用户的信赖,对其将来的多元化倒退天然也是大有裨益。
从对信创体系的国产化反对,到 ISO/CMMI 等体系的认证,再到 SOC 认证的通过,能够看到国产智能化厂商在平安体系的建设上在获得丰硕成果的同时,也进一步贴近宽广组织对于高等级平安的需要。
同时,这些平安体系的认证与证书的获取,也从侧面见证了国产智能自动化厂商从立足国内客户到满足海内市场需求的成长之路。
在王吉伟频道看来,素来也科技首先取得 SOC 认证的那一刻开始,就意味着国产智能自动化厂商的平安管理体系曾经降级到寰球大型技术供应商个别的高度,RPA 行业也由此进入了平安体系新时代。
置信在这些平安体系认证的助力之下,进入平安体系新时代的国产智能化厂商,必将放慢国际化步调,在寰球市场闯出更多声名。
【王吉伟频道,关注 TMT 与 IoT,专一数字化转型、业务流程自动化与 RPA。】
