Mobvista宋笑飛:將有越來越多互聯網企業進行信息安全體系建設

DoNews 9月18日消息(記者 劉文軒)隨着移動互聯網的發展與技術的革新,個人信息數據也呈現海量增長,隨之而來的數據安全和隱私保護問題也越發凸顯。
InfoWatch發佈的2019年數據泄露報告稱,與去年同期相比,全球企業機密數據泄露量增加了近28%,僅在2019年第二季度,就有2.16億用戶數據被泄露。同時,諸如Facebook、Google等大型互聯網公司在過去幾年內也因數據隱私問題頻繁遭到各國政府的調查或起訴。可見,數據泄露和隱私保護問題已成爲全球最常見的網絡安全事件之一,並給企業帶來嚴重的輿論和信任危機。
而市場規模龐大的移動廣告行業與數據有着千絲萬縷的關係,海量的用戶數據對於移動廣告平臺實現精準個性化營銷具有重要價值。然而作爲連接着衆多廣告主與流量主的中間站,由於處在蜘蛛網的核心,移動廣告平臺的數據安全和用戶隱私保護問題就顯得非常敏感,往往會牽一髮而動全身。因爲移動廣告平臺的數據不單單屬於自己,還關乎與之相關的各大互聯網公司及其數量龐大的移動用戶。因此,保證數據的絕對安全成爲了移動廣告平臺的重中之重和立身之本。

CleanShot 2020-09-18 at 11.40.10@2x.jpg

那麼在這種情況下,移動廣告平臺以及行業內的相關企業應該怎樣做,才能提前化、量化解決自己已經遇到的或者將要遇到的數據安全和用戶隱私保護問題?基於這樣的疑問記者採訪了匯量科技Mobvista的首席財務官宋笑飛先生,瞭解Mobvista對數據安全和用戶隱私保護的戰略佈局,同時展望移動廣告行業的數據安全與合規的發展方向。
前瞻行業,緊跟新規
宋笑飛在採訪中表示,長期以來,Mobvista對行業內數據安全已經存在的問題以及從業者未來可能對數據安全提出的要求進行了不間斷的瞭解和意見收集,同時對於海外不斷更新的與數據安全相關的法律法規進行跟進。
早在2017年前後,他們就觀察到在移動互聯網行業中,大家對於數據安全和隱私保護的關注度已經處於不斷的提升中。例如,Facebook頻繁性地被國會問詢有關侵犯用戶隱私的問題,谷歌的安卓系統也在被很多人質疑它的數據安全性,包括很多非常著名的公司以及很多做得很成功的公司,常會被立法機構、公衆媒體詢問是否獲取了用戶的隱私。
這讓Mobvista很快就意識到,數據安全和用戶隱私保護對於一個互聯網公司的長遠發展的重要性。並且,他們開始關注和跟進國外的數據安全法規、聘請律師進行風險評估,以及與大公司交流做法。
宋笑飛表示:“早前我們對美國的GDPR《通用數據保護條例》、CCPA《加州消費者隱私法案》以及COPPA《兒童在線隱私保護法案》都有關注。並且,我們常年有在歐美國家聘用相關的律師,向他們瞭解最新有關數據安全的立法,並讓他們幫助評估公司在合同簽訂、日常工作、以及數據處理中存在的數據安全風險。”
另外值得一提的是,Mobvista在國內也一直進行着一些行業性的嘗試。今年5月14日Mobvista針對移動廣告作弊問題,發佈了《移動廣告反作弊白皮書2.0》,詳細闡述了當前移動廣告作弊情況、作弊方式及反作弊策略,目的是爲了增強移動廣告行業的透明度並推動行業的規範化發展。
利用第三方審計,提高可信任度
在足夠了解行業需要怎樣的數據安全和隱私保護之後,Mobvista開始了更爲主動和實際的行動——利用第三方獨立機構的審計與監督,保證平臺內部各個環節的數據合規性與安全性,來進一步提高Mobvista在行業內的可信任度。
今年8月26日,Mobvista委託國際四大會計師事務所之一對其進行SOC2審計,並獲得SOC2 Type1的鑑證報告。
SOC是由美國註冊會計師協會(AICPA)制定的一個服務性組織控制框架,包含SOC1、 SOC2 、SOC3三種形式。其中SOC2是專門針對數據安全和隱私保護的鑑證標準,根據審計產品週期的長短可分爲Type1和Type2。據悉,這是全球目前公認權威性、專業性都較高的數據安全審計報告,能相對客觀的反映被審計企業的數據安全情況。

 

CleanShot 2020-09-18 at 11.41.11@2x.jpg

據宋笑飛介紹,此次SOC2審計針對Mobvista頭部媒體投放解決方案、程序化廣告解決方案、全網流量聚合營銷方案、SpotMax中臺體系和移動分析解決方案等服務的安全性、可用性、過程完整性、保密性和隱私性相關控制的設計適當性和執行有效性進行了評估。
另外,在SOC2鑑證過程中,Mobvista同時根據第三方審計機構的要求和意見,對內部進行了全面的改善和提升。例如,規範制度以進一步明確職能邊界和權責的分工,通過組織培訓優化內控並建立留痕過程,加強權限管理,以及着手建立健全的信息安全管理體系,來實現對數據的規範化管理。
宋笑飛在採訪中分享到:“國際四大會計師事務所之前做的SOC鑑證服務主要面向大型的企業、跨國公司,比如說銀行、保險公司、大型互聯網公司、服務器供應商等,少有廣告行業公司的相關經驗。所以,對於Mobvista的評估,他們反而花了很長的時間。對於公司來講,我們肯定是沒經驗的,但同樣對於鑑證人員來講,他們之前也沒有做過類似企業的審計,對我們公司的內控不是很瞭解,所以這個過程花費了比較多的精力。”
另外宋笑飛還透露,其實早在去年10月份的時候,他就與審計師、潛在的合作伙伴談了關於SOC2簽訂的有關事宜,但直到今年4月才簽訂了業務預定書。歷經4個月,Mobvista直到今年的8月26日纔拿到SOC2的鑑證報告,其過程可謂漫長而艱辛。
既然SOC2鑑證需要耗費如此之大的精力,需要各方配合才能完成,而且移動廣告行業內還鮮有企業去做這件事,Mobvista爲什麼會有這個想法並且願意花費大成本去做SOC2鑑證?
宋笑飛透露:“我們是在與大型金融公司的交流中瞭解到SOC2的,雖然現在行業確實沒有要求我們這樣的企業去做這個報告,但隨着數據安全和隱私保護受到越來越多的關注,投入精力和資源來提升公司的內控是非常有必要的。雖然這不是一個短期內可以馬上見效的事情,但從長遠的角度來看,作爲一個全球化的公司,不僅要在業務規模上領先,對全球公認的標準的遵守、並以更嚴格的標準來要求自己做到在數據合規上的領先也非常重要。同時,我們希望通過做這件事情來慢慢影響行業內的參與者,起到一個引領的作用,推動整個行業生態的發展。”
綜合來看,Mobvista通過第三方機構的審計與監督,優化組織內控結構,從而加強公司數據的安全性,以達到確保合作商的數據安全以及保障用戶個人的隱私安全的最終目的。值得注意的是,Mobvista是行業內第一個獲得該鑑證的移動廣告公司。另外,宋笑飛還表示,由於SOC2 Type1報告具有一定的時效性,Mobvista已經將SOC2 Type2列入工作計劃,未來也將會每年進行一次鑑證,持續地按照SOC2的要求進行內控的提升,以保證公司一直處於數據安全狀態。
主動構建內部信息安全管理體系
長期以來對數據安全的關注和重視,瞭解相關的法規政策,過程中委託第三方機構進行審計和監督,從而進行企業內部優化,但這對於完整的數據信息安全部署還不夠。要想真正實現數據安全保障,還需要移動廣告平臺從內部構建自己的信息安全管理體系。
信息安全管理體系是由英文Information Security Management System而來,是指規範企業的信息安全管理,通過安全體系構建提升組織內部安全意識,加強對信息資產的保護,避免信息安全帶來的法律合規風險,支持企業的安全發展。ISMS是1998年前後從英國發展起來的一個信息安全領域的新概念,是管理體系的思想和方法,應用於信息安全領域。
爲了從內部加強數據安全保障,Mobvista進行了信息安全管理體系建設(ISMS),目前該體系建設已經完成了內部的審查,準備進入審覈階段。在公司最終符合審查構建標準,滿足條件之後將會獲得ISO認證,該認證將會爲企業提供誠信資本,同時這也是對企業業務運營方式和具備持續改進能力的有力證明。
該體系的核心建設還是在企業的安全管理領域,從宏觀組織架構的搭建、規則的的生成,再落實到各個業務層面的實施中,緊接着是人員架構的不間斷評審和規範,最後則是系統運行過後的調優和改進。

CleanShot 2020-09-18 at 11.41.51@2x.jpg

未來在行業內將會有越來越多的互聯網企業進行信息安全體系建設。因爲互聯網信息安全面臨着來自多方面的威脅,企業信息泄漏問責成爲一種常態。基於此,信息安全管理體系建設一方面可以切實提高公司的安全屬性,組織核心業務所賴以持續的各項信息資產都得到了妥善保護,並且建立有效業務的持續性計劃性的框架。另一方面也可以避免一些網絡全責的糾紛如隱私糾紛、作弊嫌疑、信息泄露等等。
從Mobvista一路的數據信息安全佈局中,我們可以發現移動廣告平臺企業可以通過三個層面進行適用於互聯網企業自身的數據信息安全部署。
具體來講,第一步應儘早地關注到全球互聯網行業的數據安全發展態勢,瞭解相關法律法規,初步形成保護數據安全的意識,尋找合適的方法來進行數據安全和隱私保護規範;第二步主動委託第三方獨立機構進行審計與監督,根據即時變化的法規要求,不斷調整和優化公司的內控結構,來保障公司內部的數據安全;第三步則需要搭建一套企業內部的信息安全管理體系,從信息安全方針、政策的制定,到信息安全工作的落實執行,使全公司至上而下建立起良好的信息安全意識。
尤其是在互聯網信息安全面臨着多方面的威脅、全球越來越多數據隱私保護法規的實施背景下,企業要提早做好信息安全部署、主動提升內控,打造真正的數據安全“護城河”,才能不斷提升企業在行業中的可信任度,以獲得長期良好的發展。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章