來也科技成為國内首個獲得SOC 2報告的智能自動化廠商,SOC 2與ISO 27001有什麼差別?對RPA行業有什麼啟示?
資料安全刻不容緩,國産智能化廠商首獲SOC 2鑒證報告有何意義?
了解SOC 2與ISO 27001的差別,你就知道SOC 2對智能自動化廠商的意義了
文/王吉偉
要問目前組織對于數字化轉型的最大顧慮是什麼,答案無疑是資料安全。
所謂資料安全,是指通過采取必要措施,確定資料處于有效保護和合法利用的狀态,以及具備保障持續安全狀态的能力。
要實作資料安全,就要保證資料處理全過程的安全。而數字化轉型最終目标是要實作組織全部業務數字化,資料上雲不可避免,資料安全也就成了重中之重。
進行數字化轉型的廣大組織,不管選擇哪家技術供應商,選擇什麼服務,選擇什麼實施标準,首先考慮的必是資料安全方案。
對于技術供應商而言,資料安全永遠是橫在中标與傳遞前的一道門檻。
尤其在目前複雜的外部環境面前,資料安全已是影響組織實施數字化的首要因素。而組織内部IT系統長期累積的系統異構、資料多元、孤島林立、架構複雜等因素,也為供應商的安全方案與實施傳遞提出了更高要求。
為了适配更進階别的安全需求,RPA廠商也做出了很多努力。包括打造安全産品與服務系統、适配信創體系以及擷取各項認證等等。每家廠商,都在積極通過各種手段提升自身以及對外服務的安全級别,以能夠适應更廣泛與多元化的市場需求。
在各種認證中,SOC 2是最受歡迎的能夠全面展現供應商安全能力的認證體系。作為一種審計程式,它基于安全性、可用性、處理完整性、機密性和隐私性的五項“信任服務原則”,定義了管理客戶資料的标準。可確定服務商能夠安全地管理您的資料,以保護組織的利益和客戶的隐私。
對于RPA行業而言,顯然哪家廠商能夠先一步拿到SOC 2,在資料安全大于一切的大環境下,就能進一步得到大型組織的認可而擷取更多的市場佔有率。
最近來也科技通過了SOC認證,成為首個正式獲得SOC 2證書的國産智能自動化廠商。借此事件,王吉偉頻道也跟大家聊聊資料安全對RPA行業的影響、SOC 2與其他體系的差別以及SOC 2認證對智能自動化廠商的意義。
資料安全刻不容緩
2020年10月,某通訊營運公司的幾名内部員工,開始以“客服人員”的身份打着“手機積分優惠換購”的幌子,進行公民個人資訊非法收集。至2021年2月案發時,該團夥通過竊取公民資訊,偷開、倒賣微信号250萬個,涉案972宗,非法獲利8700萬元。該團夥的下場,自然是锒铛入獄。
今年3月1日,日本汽車制造巨頭豐田公司突然宣布暫停汽車生産業務。造成此次停産的原因,是其零部件供應商小島工業(Kojima Industries)遭受網絡攻擊,出現了嚴重系統故障。豐田公司被迫宣布暫停日本14家工廠内28條生産線,導緻公司月減産約13000輛汽車。
ITRC(非營利組織身份盜竊資源中心)在2021年2月釋出的《2021 Data Breach Report》顯示,2021年全球發生了1862起資料洩露事件。其中,因網絡攻擊造成的資料洩露事件為1613 起,内部人員惡意洩漏、越權通路等人為因素造成的資料洩露為249起。
從數量來看,2020年資料洩露事件為1108起,2021年的資料洩露數量增加了 68%。近幾年資料洩露事件持續呈現高速上升趨勢,預計2022年的資料洩露事件會更多。
數字經濟時代,組織的業務流程都要基于各種IT系統、網絡與雲,使得資料洩露造成的資料安全危害愈發嚴重。一方面,資料洩露可能會危及企業系統和關鍵資料安全,造成不可估量的損失。另一方面,企業對資料洩露的補救成本也在增加。
IBM釋出的年度《資料洩露成本報告》顯示,目前平均資料洩露成本為386萬美元。其中一些"超大型”資料洩露事件的補救成本,高達3.92億美元。
重要的是,資料洩露事件一旦發生,組織不僅需要承擔高昂的經濟損失,還可能承擔嚴重的法律後果。《資料安全法》《個人資訊保護法》和《網絡安全法》等相關法律法規均從不同視角出發為企業規定了不同的合規義務,以預防資料洩露和降低資料洩露的影響。
2020年,某銀行支行因侵害消費者個人資訊依法得到保護的權利和違反反洗錢管理規定,洩露客戶資訊,受到警告及1223萬元的高額罰款處罰,其行長和營業室員工也是以分别被處1.75萬和3萬元罰款。
為保障資料安全,廣大組織應當加強資料安全工作,盡量采取更有效的方式保障并加強企業經營中資料生産、傳輸與應用全流程的安全保護。
在資料安全問題的解決上,除了組織内部執行嚴格的安全與監管流程,同時也要對業務數字化轉型中選擇的技術供應商進行嚴格要求。
RPA面臨的安全風險與挑戰
RPA正在成為組織數字化戰略的關鍵組成部分,被用于越來越多的領域。RPA項目既要通過保護機器人平台來防範網絡風險,也需要利用RPA技術來執行更有效和高效的網絡運作操作,是以RPA的安全不容忽視。
在安全領域,RPA在電子身份和通路管理、安全操作、資料分類和保護、響應、軟體和産品安全、管控等業務場景中扮演着最重要的角色。
由于RPA與傳統IT的差異,機器人和機器人平台可能會引發新型攻擊,其風險包括洩露、竊取、銷毀或修改敏感資料,通路未經授權的應用程式和系統,甚至利用這些漏洞進一步通路企業的安全系統。
其中,可能涉及的最常見風險包括濫用特權、資料洩露、安全漏洞和流程中斷。
要解決這些潛在的安全問題,需要廠商打造更安全、令使用者更放心的産品與服務體系。在安全方面,RPA廠商一般會通過多樣部署、多元容災、複雜加密、超自動化、全生命周期等手段,提升其在安全治理、控制等方面的安全能力。
當然,行業認證和證明也是廠商展示安全能力的有效途徑,各種證書能夠為廠商的産品與服務安全體系進行很好的背書。
比如全球三大之一的UiPath,其行業認證和證明就有SOC 2、ISO/IEC 27001、ISO 9001、Veracode Verified、HIPAA、Cyber Essentials Plus等。
一般而言,RPA廠商作為數字技術供應商,為了能夠拿下更多的500強企業,在安全方面都會進行SOC 2、ISO 27001、ISO 9001、ISO 22301等的認證。在這其中,無疑SOC 2是最具備影響力與說服力的證書,不然也不會有那麼多大型企業将其放到安全證明頁面的首位。
SOC 2的稽核非常嚴格,隻有具備相對完整安全技術與服務系統的供應商才有可能通過稽核。是以SOC 2雖已推出多年,但目前全球範圍内通過SOC 2認證的企業并不多。
在國内,如果你在百度搜尋一下,就會發現打上SOC認證印記的不是華為就是百度,要麼是阿裡巴巴或者位元組跳動,當然也有一些技術領域的行業翹楚。
在RPA領域,目前國産RPA廠商隻有來也科技于近日拿到了SOC 2認證,其他廠商的安全背書仍舊還是ISO體系認證。
從相關資料來看,來也科技的SOC2認證非常全面,涵蓋了RPA、IDP、對話式 AI等全智能自動化平台産品及服務,國産首位的同時,也是目前全球業内最為全面完整的SOC 2認證覆寫廠商之一。
SOC 2為何更受重視?
SOC(System and Organization Controls)标準是美國注冊會計師協會(AICPA)制定的行業服務标準,包含 SOC 1、SOC 2、SOC 3 三種形式。
其中 SOC 2 是一項專門針對資料安全和隐私保護服務的高安全性、高保密性、高可用性鑒證标準,是全球公認的、高度權威的、專業的安全性審計報告,能正确、全面且深入地反映被審計企業全域安全的管理情況。
SOC 2的權威性與專業性,使得其能夠有效證明被審計企業的産品技術實作安全、服務安全、資料安全以及資訊安全情況,是以成為國内外企業在選擇第三方服務提供商時評估其相關資質與服務品質提供重要參考,更能夠為使用者提供重要的産品安全保證和産品選型參考。
但凡提及SOC 2,就會有人提到ISO 27001,其實兩者是有一定差別的。
ISO 27001是管理标準,而不是安全标準。它為組織内的安全管理提供了一個架構,但它沒有像SOC 2一樣提供安全的“黃金标準”以確定組織的安全性。
ISO 27001采用基于風險評估的方法。資訊安全風險評估用于識别組織的安全要求,然後識别将風險控制在組織可接受的安全控制水準。
其中的關鍵在于,組織決定了它需要什麼級别的安全性,風險評估隻用于識别組織所需的控制,由組織根據風險評估群組織可接受的風險水準(風險偏好)來選擇所需的安全控制。
也就是說,ISO 27001的合規性或外部認證并不代表組織就是安全的,組織隻是在按照自己認為的安全級别進行管理實施。如果組織的風險評估有缺陷,缺乏足夠的安全和風險評估專業知識,沒有實施安全的管理群組織承諾,便意味着即便其實施了ISO 27001也仍然會存在安全風險。
這就是為什麼很多實施了ISO 27001的組織,仍然會有資訊安全漏洞的原因。
理想的安全狀态是SOC 2和ISO 27001并用,通過SOC 2定義安全級别,然後以ISO 27001來打造更高标準的安全管理體系。而同時擁有SOC 2和ISO 27001認證的技術供應商,就能夠為廣大組織提供更完善與安全的産品與服務。
對于長期與資料打交道的數字化技術供應商而言,在目前資料安全大于一切的大環境中,為更好地服務客戶以擴大市場規模,通過SOC 2認證來證明安全實力,也是非常緊要和必要的。
是以,更多的雲計算、AI、智能自動化等為廣大企業提供數字化轉型解決方案的廠商,都在緊鑼密鼓地進行SOC 2認證。而已認證SOC 2認證的服務商,也就成了廣大組織實施業務流程優化的首選。
哪家廠商能夠搶先一步拿下更具權威性的SOC 2,在資料安全方面其産品與服務也就更有說服力。能夠拿下更多政企領域的大客戶,也就能實作市場規模的快速擴張與業務營收的高速增長。畢竟對于進入C輪、D輪融資的廠商,更大的市場規模與更好的營收資料還是非常重要的。
國産智能自動化廠商首獲SOC 2認證
5月31 日,來也科技正式獲得安永華明會計師事務所簽發的SOC 2 Type1鑒證報告。經過安永華明會計師事務全方位、細粒度審計與評估,來也科技的智能自動化服務體系具備安全性、可用性及保密性相關、多元度的綜合服務能力。
由此,來也科技成為國産智能自動化廠商中,首家取得 SOC 2 認證的安全踐行者。
這項認證的通過,表明來也科技智能自動化服務在安全、可用及保密方面已認證業界最嚴格稽核、對标國際領先标準,具備業内領先的多元度綜合服務能力。
來也科技能夠通過SOC認證,并不意外。這家智能自動化廠商一直以來都本着“客戶成功”的原則,不僅為使用者提供安全産品,更以助力客戶安全高品質發展為己任,在資料安全意識提升、業務資料安全保護、資料全環節管理落地支援等方面為客戶提供安全服務。
也正是是以,來也科技才能成為當下“最安全”的智能自動化供應商、智能自動化安全領域的先鋒。
來也科技關注使用者資料安全,通過多管道向使用者明确并傳達資料保護政策與保護措施。
将安全作為關鍵要素融入企業經營全流程,向客戶輸出服務安全能力,對服務的實施與傳遞、故障問題處理、服務開展内部支撐管理落地等全業務場景進行梳理與排查,明确相關管理要求,保證控制措施常态化落實。
此外,還在“合作夥伴與開發者”生态建構中,重點落實生态夥伴資訊保護,
在國産安全方面,來也科技是國内智能自動化廠商中最早進行國産自主信創平台适配的廠商之一,已适配飛騰+銀河麒麟、統信+海光、統信+兆芯等多個國産軟硬體平台;支援華為鲲鵬CPU加Linux作業系統的組合,并獲得華為技術認證證書。
其實在SOC報告之前,來也科技已獲得 ISO/IEC27001 資訊安全管理體系認證證書、ISO9001 品質管理體系認證證書、ISO/IEC20000 資訊技術服務管理體系認證證書、Veracode Verified™認證、公安部網絡安全等級保護三級測評、資訊系統安全等級保護第三級、CMMI軟體工程評估方法認證第三級等多項安全認證。
SOC 2認證在美國特别受歡迎,随着更多歐洲公司在美國開展業務,它也越發受到歐洲公司的歡迎。無疑,這對于來也科技的海外市場拓展,有着重要的意義。
後記:SOC 2加快廠商國際化步伐
事實上,來也科技早已具備對于産品安全、服務安全、資料安全、資訊安全等的全方位多元度保障能力,SOC認證的通過相當于給它發了一張畢業證。有了這張畢業證,就能夠得到更多使用者的信賴,對其未來的多元化發展自然也是大有裨益。
從對信創體系的國産化支援,到ISO/CMMI等體系的認證,再到SOC認證的通過,可以看到國産智能化廠商在安全體系的建設上在取得豐碩成果的同時,也進一步貼近廣大組織對于高等級安全的需求。
同時,這些安全體系的認證與證書的擷取,也從側面見證了國産智能自動化廠商從立足國内客戶到滿足海外市場需求的成長之路。
在王吉偉頻道看來,從來也科技首先獲得SOC認證的那一刻開始,就意味着國産智能自動化廠商的安全管理體系已經更新到全球大型技術供應商一般的高度,RPA行業也由此進入了安全體系新時代。
相信在這些安全體系認證的助力之下,進入安全體系新時代的國産智能化廠商,必将加快國際化步伐,在全球市場闖出更多聲名。
【王吉偉頻道,關注TMT與IoT,專注數字化轉型、業務流程自動化與RPA。】