首先，我们如何理解信息安全合规治理？

合规是指企业的网络与信息系统建设、运营及管理必须遵守及履行法律法规，监管政策，行业准则和标准，及公司内部准则中所规定的义务和要求。安全合规治理本质上是企业实现信息安全管理目标和成效的过程，在这个过程中，企业应建立信息安全相关的组织与机构，以及政策与流程，并通过实施各种技术措施来落实它们，从而为企业的业务良好运作提供保障。

我们认为，安全合规治理应考虑三个方面的因素：合规符合性、合规有效性、基于业务风险管控原则的安全运营。

合规符合性：基于法律法规、安全标准、企业内部管理制度要求，在进行充分的差距分析基础上，评价企业的信息安全管理组织、技术体系与管理体系是否满足要求，不满足的，参考那些合规要求的内容进行优化、改造和加固。符合性建设是安全合规治理的“基础工程”。

合规有效性：应该设计一系列监督、考核方法及指标，可以用来评价和测量管理制度执行效果、安全防护策略是否真的有效，安全管理组织以及组织里的人们是否按照管理要求履行责任。

基于业务风险管控原则的安全运营：此处所说的风险，指的是一个安全管理组织，基于一定的技术体系架构，依据管理规范、操作流程执行的监控、事件响应与处理等各项活动。信息安全合规治理，应该在风险管控的基础上进行，尤其应从业务的角度出发考虑安全风险，治理的目标就是，通过安全运营的过程，及时发现安全风险，并采取措施降低风险。

接下来，企业需要考虑的是如何利用技术工具，建立数字化、自动化程度尽可能高的管理系统，为各相关组织和人员提供协同工作的平台，并能够让合规管理的各种制度和规范条文形成可执行的落地操作，并且能够评价管理和执行人员的工作绩效，形成一个安全合规治理体系。

正如前文所谈到的，安全合规治理是一个很大的话题，它包含了人员组织、管理与技术，这样的安全合规管理工具平台，应该关注是否具备以下三个关键能力要素：感知与解读能力、评估能力、响应与处理能力。弘积科技自主研发的数字化安全合规治理平台，是在充分解读法律法规、标准要求的基础之上，梳理相关工作指引，提供合规知识库、合规审计及合规运营的数字化管理，具有数字化、智能化、系统化和自动化特点的的一款服务平台，通过平台建设和运营服务，帮助企业实现安全合规治理的可见、可查、可控。

一个完整的安全合规治理平台架构，应该能够让安全合规管理和具体落地执行工作的各级组织和责任部门参与使用，他们可以通过技术平台执行安全合规任务管理、内外部评审，并采集相关结果信息，评估安全合规程度，最终形成安全合规符合性管理、有效性检测、合规风险治理绩效的可视化。

接下来，我们从五个方面阐述数字化安全合规治理平台应能实现的管理功能：

安全合规风险可视化展示：从业务安全合规风险、监管核查和处罚风险，以及特定主题的，如数据泄露和隐私保护违规风险等多个方面，综合分析企业当前在安全合规方面的风险，并且，风险的状态信息是动态的。

-安全合规指标监测。综合分析一个或多个组织的安全合规的符合性和有效性指标，并基于多种维度进行可视化展示。

-符合性指标评估：根据安全合规要求进行的自查审计、评估等工作产生的结果，与安全合规要求做比较，自动分析符合性差距。

-有效性指标监测：是个相对动态的安全合规状态监控，通过与其它安全管理平台，如资产安全管理、态势感知、情报、SIEM/SOC、事件处理工单/TICKET系统等的联动，实时获取信息资产的安全风险状态，网络攻击事件，事件处置状态和结果等数据信息，与合规相关技术要求进行自动匹配，实时监控安全合规的有效性状态。

安全合规管理工作数字化：包含了两个层面的含义：知识库数字化、合规管理工作流程数字化。

-合规知识库的数字化。针对国家法律、法规政策、国家和国际标准、行业标准、监管单位或行业协会等单位发布的各类文件、企业内部合规管理文件等，通过工具化方式进行数字化管理，统一维护和存储，可在线查看预览，可基于多种维度的检索，可根据权限提供下载与信息共享。

-合规管理工作流程数字化。采用工作流引擎技术，设置合规工作流程步骤，输入解析与安全合规管理相关的自查，内/外部审计，内外部安全专项检查等的要求，通过自动或半自动执行流程的方式，完成安全合规管理的具体工作，记录各项指标状态，并采集信息，形成数字化记录，可统计分析合规管理绩效。

符合安全合规要求的自动安全运维：基于不同的安全合规要求，解构安全运维工作任务，部署到技术平台，指派任务执行责任人，利用工作流引擎技术，编排安全运维任务的自动执行，自动化、系统化方式满足安全合规要求。

流程化闭环管理：通过工作流引擎技术，从基于合规要求建设的工作过程流程建立、合规要求指标解析，到合规管理各项工作及流程执行结果的状态跟踪，实现对安全合规管理的闭环管理。

合规状态监管上报与整改：在多级组织架构的企业客户中，实现下级单位向上级单位上报安全合规相关的信息，如资产风险、安全事件等。上级单位可通过平台对上报来的信息进行综合分析，并分配整改任务，下发给指定的下级单位，并进一步由下级单位通过平台反馈整改结果。所有的上报信息，整改跟踪情况，都可通过平台采集状态数据，进行统计分析和图形化展示。

数字化安全合规治理平台的建设和运营模式主要有两种形态：一是SaaS模式标准服务，其建立基于数据中心或云端的安全运营中心，提供数据接入协助以及相关咨询服务，支持企业用户端自助式登录。可提供告警服务、自动定期或按需报表服务等。二是“管家式”运营服务。提供咨询及技术实施服务，在企业内部建设平台，并为企业用户提供5*8或7*24技术自持服务，定期执行运维服务，可按需定制。

规划和建立这样一个完整的安全合规治理体系，需要技术和运营服务支撑。弘积科技提供这类创新性的技术平台和服务，为企业打造一个多级组织、多部门协同的数字化、智能分析与协同工作平台，给企业安全合规管理工作的技术创新方向、未来建设规划提供分析数据支撑，为安全合规管理、基础架构运维、信息安全管理等相关部门赋能，协助其增强信息安全合规管理能力，降低企业合规风险管控成本，形成紧跟国家政策要求，具有持续改进能力，可自我优化的安全合规治理体系。