數(shù)據安全刻不容緩，國產智能化廠商首獲SOC 2鑒證報告有何意義?

了解SOC 2與ISO 27001的區(qū)別，你就知道SOC 2對智能自動化廠商的意義了

文/王吉偉

要問當前組織對于數(shù)字化轉型的最大顧慮是什么，答案無疑是數(shù)據安全。

所謂數(shù)據安全，是指通過采取必要措施，確保數(shù)據處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

要實現(xiàn)數(shù)據安全，就要保證數(shù)據處理全過程的安全。而數(shù)字化轉型最終目標是要實現(xiàn)組織全部業(yè)務數(shù)字化，數(shù)據上云不可避免，數(shù)據安全也就成了重中之重。

進行數(shù)字化轉型的廣大組織，不管選擇哪家技術供應商，選擇什么服務，選擇什么實施標準，首先考慮的必是數(shù)據安全方案。

對于技術供應商而言，數(shù)據安全永遠是橫在中標與交付前的一道門檻。

尤其在當前復雜的外部環(huán)境面前，數(shù)據安全已是影響組織實施數(shù)字化的首要因素。而組織內部IT系統(tǒng)長期累積的系統(tǒng)異構、數(shù)據多元、孤島林立、架構復雜等因素，也為供應商的安全方案與實施交付提出了更高要求。

為了適配更高級別的安全需求，RPA廠商也做出了很多努力。包括打造安全產品與服務系統(tǒng)、適配信創(chuàng)體系以及獲取各項認證等等。每家廠商，都在積極通過各種手段提升自身以及對外服務的安全級別，以能夠適應更廣泛與多元化的市場需求。

在各種認證中，SOC 2是最受歡迎的能夠全面體現(xiàn)供應商安全能力的認證體系。作為一種審計程序，它基于安全性、可用性、處理完整性、機密性和隱私性的五項“信任服務原則”，定義了管理客戶數(shù)據的標準?？纱_保服務商能夠安全地管理您的數(shù)據，以保護組織的利益和客戶的隱私。

對于RPA行業(yè)而言，顯然哪家廠商能夠先一步拿到SOC 2，在數(shù)據安全大于一切的大環(huán)境下，就能進一步得到大型組織的認可而獲取更多的市場份額。

最近來也科技通過了SOC認證，成為首個正式獲得SOC 2證書的國產智能自動化廠商。借此事件，王吉偉頻道也跟大家聊聊數(shù)據安全對RPA行業(yè)的影響、SOC 2與其他體系的區(qū)別以及SOC 2認證對智能自動化廠商的意義。

數(shù)據安全刻不容緩

2020年10月，某通訊營運公司的幾名內部員工，開始以“客服人員”的身份打著“手機積分優(yōu)惠換購”的幌子，進行公民個人信息非法收集。至2021年2月案發(fā)時，該團伙通過竊取公民信息，偷開、倒賣微信號250萬個，涉案972宗，非法獲利8700萬元。該團伙的下場，自然是鋃鐺入獄。

今年3月1日，日本汽車制造巨頭豐田公司突然宣布暫停汽車生產業(yè)務。造成此次停產的原因，是其零部件供應商小島工業(yè)(Kojima Industries)遭受網絡攻擊，出現(xiàn)了嚴重系統(tǒng)故障。豐田公司被迫宣布暫停日本14家工廠內28條生產線，導致公司月減產約13000輛汽車。

ITRC(非營利組織身份盜竊資源中心)在2021年2月發(fā)布的《2021 Data Breach Report》顯示，2021年全球發(fā)生了1862起數(shù)據泄露事件。其中，因網絡攻擊造成的數(shù)據泄露事件為1613 起，內部人員惡意泄漏、越權訪問等人為因素造成的數(shù)據泄露為249起。

從數(shù)量來看，2020年數(shù)據泄露事件為1108起，2021年的數(shù)據泄露數(shù)量增加了 68%。近幾年數(shù)據泄露事件持續(xù)呈現(xiàn)高速上升趨勢，預計2022年的數(shù)據泄露事件會更多。

數(shù)字經濟時代，組織的業(yè)務流程都要基于各種IT系統(tǒng)、網絡與云，使得數(shù)據泄露造成的數(shù)據安全危害愈發(fā)嚴重。一方面，數(shù)據泄露可能會危及企業(yè)系統(tǒng)和關鍵數(shù)據安全，造成不可估量的損失。另一方面，企業(yè)對數(shù)據泄露的補救成本也在增加。

IBM發(fā)布的年度《數(shù)據泄露成本報告》顯示，當前平均數(shù)據泄露成本為386萬美元。其中一些"超大型”數(shù)據泄露事件的補救成本，高達3.92億美元。

重要的是，數(shù)據泄露事件一旦發(fā)生，組織不僅需要承擔高昂的經濟損失，還可能承擔嚴重的法律后果?！稊?shù)據安全法》《個人信息保護法》和《網絡安全法》等相關法律法規(guī)均從不同視角出發(fā)為企業(yè)規(guī)定了不同的合規(guī)義務，以預防數(shù)據泄露和降低數(shù)據泄露的影響。

2020年，某銀行支行因侵害消費者個人信息依法得到保護的權利和違反反洗錢管理規(guī)定，泄露客戶信息，受到警告及1223萬元的高額罰款處罰，其行長和營業(yè)室員工也因此分別被處1.75萬和3萬元罰款。

為保障數(shù)據安全，廣大組織應當加強數(shù)據安全工作，盡量采取更有效的方式保障并加強企業(yè)經營中數(shù)據生產、傳輸與應用全流程的安全保護。

在數(shù)據安全問題的解決上，除了組織內部執(zhí)行嚴格的安全與監(jiān)管流程，同時也要對業(yè)務數(shù)字化轉型中選擇的技術供應商進行嚴格要求。

?RPA面臨的安全風險與挑戰(zhàn)

RPA正在成為組織數(shù)字化戰(zhàn)略的關鍵組成部分，被用于越來越多的領域。RPA項目既要通過保護機器人平臺來防范網絡風險，也需要利用RPA技術來執(zhí)行更有效和高效的網絡運行操作，因此RPA的安全不容忽視。

在安全領域，RPA在電子身份和訪問管理、安全操作、數(shù)據分類和保護、響應、軟件和產品安全、管控等業(yè)務場景中扮演著最重要的角色。

由于RPA與傳統(tǒng)IT的差異，機器人和機器人平臺可能會引發(fā)新型攻擊，其風險包括泄露、竊取、銷毀或修改敏感數(shù)據，訪問未經授權的應用程序和系統(tǒng)，甚至利用這些漏洞進一步訪問企業(yè)的安全系統(tǒng)。

其中，可能涉及的最常見風險包括濫用特權、數(shù)據泄露、安全漏洞和流程中斷。

要解決這些潛在的安全問題，需要廠商打造更安全、令用戶更放心的產品與服務體系。在安全方面，RPA廠商一般會通過多樣部署、多元容災、復雜加密、超自動化、全生命周期等手段，提升其在安全治理、控制等方面的安全能力。

當然，行業(yè)認證和證明也是廠商展示安全能力的有效途徑，各種證書能夠為廠商的產品與服務安全體系進行很好的背書。

比如全球三大之一的UiPath，其行業(yè)認證和證明就有SOC 2、ISO/IEC 27001、ISO 9001、Veracode Verified、HIPAA、Cyber Essentials Plus等。

一般而言，RPA廠商作為數(shù)字技術供應商，為了能夠拿下更多的500強企業(yè)，在安全方面都會進行SOC 2、ISO 27001、ISO 9001、ISO 22301等的認證。在這其中，無疑SOC 2是最具備影響力與說服力的證書，不然也不會有那么多大型企業(yè)將其放到安全證明頁面的首位。

SOC 2的審核非常嚴格，只有具備相對完整安全技術與服務系統(tǒng)的供應商才有可能通過審核。因此SOC 2雖已推出多年，但目前全球范圍內通過SOC 2認證的企業(yè)并不多。

在國內，如果你在百度搜索一下，就會發(fā)現(xiàn)打上SOC認證印記的不是華為就是百度，要么是阿里巴巴或者字節(jié)跳動，當然也有一些技術領域的行業(yè)翹楚。

在RPA領域，目前國產RPA廠商只有來也科技于近日拿到了SOC 2認證，其他廠商的安全背書仍舊還是ISO體系認證。

從相關資料來看，來也科技的SOC2認證非常全面，涵蓋了RPA、IDP、對話式 AI等全智能自動化平臺產品及服務，國產首位的同時，也是目前全球業(yè)內最為全面完整的SOC 2認證覆蓋廠商之一。

SOC 2為何更受重視?

SOC（System and Organization Controls）標準是美國注冊會計師協(xié)會（AICPA）制定的行業(yè)服務標準，包含 SOC 1、SOC 2、SOC 3 三種形式。

其中 SOC 2 是一項專門針對數(shù)據安全和隱私保護服務的高安全性、高保密性、高可用性鑒證標準，是全球公認的、高度權威的、專業(yè)的安全性審計報告，能正確、全面且深入地反映被審計企業(yè)全域安全的管理情況。

SOC 2的權威性與專業(yè)性，使得其能夠有效證明被審計企業(yè)的產品技術實現(xiàn)安全、服務安全、數(shù)據安全以及信息安全情況，因此成為國內外企業(yè)在選擇第三方服務提供商時評估其相關資質與服務質量提供重要參考，更能夠為用戶提供重要的產品安全保證和產品選型參考。

但凡提及SOC 2，就會有人提到ISO 27001，其實兩者是有一定區(qū)別的。

ISO 27001是管理標準，而不是安全標準。它為組織內的安全管理提供了一個框架，但它沒有像SOC 2一樣提供安全的“黃金標準”以確保組織的安全性。

ISO 27001采用基于風險評估的方法。信息安全風險評估用于識別組織的安全要求，然后識別將風險控制在組織可接受的安全控制水平。

其中的關鍵在于，組織決定了它需要什么級別的安全性，風險評估只用于識別組織所需的控制，由組織根據風險評估和組織可接受的風險水平(風險偏好)來選擇所需的安全控制。

也就是說，ISO 27001的合規(guī)性或外部認證并不代表組織就是安全的，組織只是在按照自己認為的安全級別進行管理實施。如果組織的風險評估有缺陷，缺乏足夠的安全和風險評估專業(yè)知識，沒有實施安全的管理和組織承諾，便意味著即便其實施了ISO 27001也仍然會存在安全風險。

這就是為什么很多實施了ISO 27001的組織，仍然會有信息安全漏洞的原因。

理想的安全狀態(tài)是SOC 2和ISO 27001并用，通過SOC 2定義安全級別，然后以ISO 27001來打造更高標準的安全管理體系。而同時擁有SOC 2和ISO 27001認證的技術供應商，就能夠為廣大組織提供更完善與安全的產品與服務。

對于長期與數(shù)據打交道的數(shù)字化技術供應商而言，在當前數(shù)據安全大于一切的大環(huán)境中，為更好地服務客戶以擴大市場規(guī)模，通過SOC 2認證來證明安全實力，也是非常緊要和必要的。

所以，更多的云計算、AI、智能自動化等為廣大企業(yè)提供數(shù)字化轉型解決方案的廠商，都在緊鑼密鼓地進行SOC 2認證。而已通過SOC 2認證的服務商，也就成了廣大組織實施業(yè)務流程優(yōu)化的首選。

哪家廠商能夠搶先一步拿下更具權威性的SOC 2，在數(shù)據安全方面其產品與服務也就更有說服力。能夠拿下更多政企領域的大客戶，也就能實現(xiàn)市場規(guī)模的快速擴張與業(yè)務營收的高速增長。畢竟對于進入C輪、D輪融資的廠商，更大的市場規(guī)模與更好的營收數(shù)據還是非常重要的。

國產智能自動化廠商首獲SOC 2認證

5月31 日，來也科技正式獲得安永華明會計師事務所簽發(fā)的SOC 2 Type1鑒證報告。經過安永華明會計師事務全方位、細粒度審計與評估，來也科技的智能自動化服務體系具備安全性、可用性及保密性相關、多維度的綜合服務能力。

由此，來也科技成為國產智能自動化廠商中，首家取得 SOC 2 認證的安全踐行者。

這項認證的通過，表明來也科技智能自動化服務在安全、可用及保密方面已通過業(yè)界最嚴格審核、對標國際領先標準，具備業(yè)內領先的多維度綜合服務能力。

來也科技能夠通過SOC認證，并不意外。這家智能自動化廠商一直以來都本著“客戶成功”的原則，不僅為用戶提供安全產品，更以助力客戶安全高質量發(fā)展為己任，在數(shù)據安全意識提升、業(yè)務數(shù)據安全保護、數(shù)據全環(huán)節(jié)管理落地支持等方面為客戶提供安全服務。

也正是因此，來也科技才能成為當下“最安全”的智能自動化供應商、智能自動化安全領域的先鋒。

來也科技關注用戶數(shù)據安全，通過多渠道向用戶明確并傳達數(shù)據保護政策與保護措施。

將安全作為關鍵要素融入企業(yè)經營全流程，向客戶輸出服務安全能力，對服務的實施與交付、故障問題處理、服務開展內部支撐管理落地等全業(yè)務場景進行梳理與排查，明確相關管理要求，保證控制措施常態(tài)化落實。

此外，還在“合作伙伴與開發(fā)者”生態(tài)構建中，重點落實生態(tài)伙伴信息保護，

在國產安全方面，來也科技是國內智能自動化廠商中最早進行國產自主信創(chuàng)平臺適配的廠商之一，已適配飛騰+銀河麒麟、統(tǒng)信+海光、統(tǒng)信+兆芯等多個國產軟硬件平臺；支持華為鯤鵬CPU加Linux操作系統(tǒng)的組合，并獲得華為技術認證證書。

其實在SOC報告之前，來也科技已獲得 ISO/IEC27001 信息安全管理體系認證證書、ISO9001 質量管理體系認證證書、ISO/IEC20000 信息技術服務管理體系認證證書、Veracode Verified?認證、公安部網絡安全等級保護三級測評、信息系統(tǒng)安全等級保護第三級、CMMI軟件工程評估方法認證第三級等多項安全認證。

SOC 2認證在美國特別受歡迎，隨著更多歐洲公司在美國開展業(yè)務，它也越發(fā)受到歐洲公司的歡迎。無疑，這對于來也科技的海外市場拓展，有著重要的意義。

后記：SOC 2加快廠商國際化步伐

事實上，來也科技早已具備對于產品安全、服務安全、數(shù)據安全、信息安全等的全方位多維度保障能力，SOC認證的通過相當于給它發(fā)了一張畢業(yè)證。有了這張畢業(yè)證，就能夠得到更多用戶的信賴，對其未來的多元化發(fā)展自然也是大有裨益。

從對信創(chuàng)體系的國產化支持，到ISO/CMMI等體系的認證，再到SOC認證的通過，可以看到國產智能化廠商在安全體系的建設上在取得豐碩成果的同時，也進一步貼近廣大組織對于高等級安全的需求。

同時，這些安全體系的認證與證書的獲取，也從側面見證了國產智能自動化廠商從立足國內客戶到滿足海外市場需求的成長之路。

在王吉偉頻道看來，從來也科技首先獲得SOC認證的那一刻開始，就意味著國產智能自動化廠商的安全管理體系已經升級到全球大型技術供應商一般的高度，RPA行業(yè)也由此進入了安全體系新時代。

相信在這些安全體系認證的助力之下，進入安全體系新時代的國產智能化廠商，必將加快國際化步伐，在全球市場闖出更多聲名。

【王吉偉頻道，關注TMT與IoT，專注數(shù)字化轉型、業(yè)務流程自動化與RPA?！?/p>