数据安全刻不容缓，国产智能化厂商首获SOC 2鉴证报告有何意义?

了解SOC 2与ISO 27001的区别，你就知道SOC 2对智能自动化厂商的意义了

文/王吉伟

 

要问当前组织对于数字化转型的最大顾虑是什么，答案无疑是数据安全。

所谓数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

要实现数据安全，就要保证数据处理全过程的安全。而数字化转型最终目标是要实现组织全部业务数字化，数据上云不可避免，数据安全也就成了重中之重。

进行数字化转型的广大组织，不管选择哪家技术供应商，选择什么服务，选择什么实施标准，首先考虑的必是数据安全方案。

对于技术供应商而言，数据安全永远是横在中标与交付前的一道门槛。

尤其在当前复杂的外部环境面前，数据安全已是影响组织实施数字化的首要因素。而组织内部IT系统长期累积的系统异构、数据多元、孤岛林立、架构复杂等因素，也为供应商的安全方案与实施交付提出了更高要求。

为了适配更高级别的安全需求，RPA厂商也做出了很多努力。包括打造安全产品与服务系统、适配信创体系以及获取各项认证等等。每家厂商，都在积极通过各种手段提升自身以及对外服务的安全级别，以能够适应更广泛与多元化的市场需求。

在各种认证中，SOC 2是最受欢迎的能够全面体现供应商安全能力的认证体系。作为一种审计程序，它基于安全性、可用性、处理完整性、机密性和隐私性的五项“信任服务原则”，定义了管理客户数据的标准。可确保服务商能够安全地管理您的数据，以保护组织的利益和客户的隐私。

对于RPA行业而言，显然哪家厂商能够先一步拿到SOC 2，在数据安全大于一切的大环境下，就能进一步得到大型组织的认可而获取更多的市场份额。

最近来也科技通过了SOC认证，成为首个正式获得SOC 2证书的国产智能自动化厂商。借此事件，王吉伟频道也跟大家聊聊数据安全对RPA行业的影响、SOC 2与其他体系的区别以及SOC 2认证对智能自动化厂商的意义。

数据安全刻不容缓

2020年10月，某通讯营运公司的几名内部员工，开始以“客服人员”的身份打着“手机积分优惠换购”的幌子，进行公民个人信息非法收集。至2021年2月案发时，该团伙通过窃取公民信息，偷开、倒卖微信号250万个，涉案972宗，非法获利8700万元。该团伙的下场，自然是锒铛入狱。

今年3月1日，日本汽车制造巨头丰田公司突然宣布暂停汽车生产业务。造成此次停产的原因，是其零部件供应商小岛工业(Kojima Industries)遭受网络攻击，出现了严重系统故障。丰田公司被迫宣布暂停日本14家工厂内28条生产线，导致公司月减产约13000辆汽车。

ITRC(非营利组织身份盗窃资源中心)在2021年2月发布的《2021 Data Breach Report》显示，2021年全球发生了1862起数据泄露事件。其中，因网络攻击造成的数据泄露事件为1613 起，内部人员恶意泄漏、越权访问等人为因素造成的数据泄露为249起。

从数量来看，2020年数据泄露事件为1108起，2021年的数据泄露数量增加了 68%。近几年数据泄露事件持续呈现高速上升趋势，预计2022年的数据泄露事件会更多。

数字经济时代，组织的业务流程都要基于各种IT系统、网络与云，使得数据泄露造成的数据安全危害愈发严重。一方面，数据泄露可能会危及企业系统和关键数据安全，造成不可估量的损失。另一方面，企业对数据泄露的补救成本也在增加。

IBM发布的年度《数据泄露成本报告》显示，当前平均数据泄露成本为386万美元。其中一些"超大型”数据泄露事件的补救成本，高达3.92亿美元。

重要的是，数据泄露事件一旦发生，组织不仅需要承担高昂的经济损失，还可能承担严重的法律后果。《数据安全法》《个人信息保护法》和《网络安全法》等相关法律法规均从不同视角出发为企业规定了不同的合规义务，以预防数据泄露和降低数据泄露的影响。

2020年，某银行支行因侵害消费者个人信息依法得到保护的权利和违反反洗钱管理规定，泄露客户信息，受到警告及1223万元的高额罚款处罚，其行长和营业室员工也因此分别被处1.75万和3万元罚款。

为保障数据安全，广大组织应当加强数据安全工作，尽量采取更有效的方式保障并加强企业经营中数据生产、传输与应用全流程的安全保护。

在数据安全问题的解决上，除了组织内部执行严格的安全与监管流程，同时也要对业务数字化转型中选择的技术供应商进行严格要求。

‍RPA面临的安全风险与挑战

RPA正在成为组织数字化战略的关键组成部分，被用于越来越多的领域。RPA项目既要通过保护机器人平台来防范网络风险，也需要利用RPA技术来执行更有效和高效的网络运行操作，因此RPA的安全不容忽视。

在安全领域，RPA在电子身份和访问管理、安全操作、数据分类和保护、响应、软件和产品安全、管控等业务场景中扮演着最重要的角色。

由于RPA与传统IT的差异，机器人和机器人平台可能会引发新型攻击，其风险包括泄露、窃取、销毁或修改敏感数据，访问未经授权的应用程序和系统，甚至利用这些漏洞进一步访问企业的安全系统。

其中，可能涉及的最常见风险包括滥用特权、数据泄露、安全漏洞和流程中断。

要解决这些潜在的安全问题，需要厂商打造更安全、令用户更放心的产品与服务体系。在安全方面，RPA厂商一般会通过多样部署、多元容灾、复杂加密、超自动化、全生命周期等手段，提升其在安全治理、控制等方面的安全能力。

当然，行业认证和证明也是厂商展示安全能力的有效途径，各种证书能够为厂商的产品与服务安全体系进行很好的背书。

比如全球三大之一的UiPath，其行业认证和证明就有SOC 2、ISO/IEC 27001、ISO 9001、Veracode Verified、HIPAA、Cyber Essentials Plus等。

一般而言，RPA厂商作为数字技术供应商，为了能够拿下更多的500强企业，在安全方面都会进行SOC 2、ISO 27001、ISO 9001、ISO 22301等的认证。在这其中，无疑SOC 2是最具备影响力与说服力的证书，不然也不会有那么多大型企业将其放到安全证明页面的首位。

SOC 2的审核非常严格，只有具备相对完整安全技术与服务系统的供应商才有可能通过审核。因此SOC 2虽已推出多年，但目前全球范围内通过SOC 2认证的企业并不多。

在国内，如果你在百度搜索一下，就会发现打上SOC认证印记的不是华为就是百度，要么是阿里巴巴或者字节跳动，当然也有一些技术领域的行业翘楚。

在RPA领域，目前国产RPA厂商只有来也科技于近日拿到了SOC 2认证，其他厂商的安全背书仍旧还是ISO体系认证。

从相关资料来看，来也科技的SOC2认证非常全面，涵盖了RPA、IDP、对话式 AI等全智能自动化平台产品及服务，国产首位的同时，也是目前全球业内最为全面完整的SOC 2认证覆盖厂商之一。

SOC 2为何更受重视?

SOC（System and Organization Controls）标准是美国注册会计师协会（AICPA）制定的行业服务标准，包含 SOC 1、SOC 2、SOC 3 三种形式。

其中 SOC 2 是一项专门针对数据安全和隐私保护服务的高安全性、高保密性、高可用性鉴证标准，是全球公认的、高度权威的、专业的安全性审计报告，能正确、全面且深入地反映被审计企业全域安全的管理情况。

SOC 2的权威性与专业性，使得其能够有效证明被审计企业的产品技术实现安全、服务安全、数据安全以及信息安全情况，因此成为国内外企业在选择第三方服务提供商时评估其相关资质与服务质量提供重要参考，更能够为用户提供重要的产品安全保证和产品选型参考。

但凡提及SOC 2，就会有人提到ISO 27001，其实两者是有一定区别的。

ISO 27001是管理标准，而不是安全标准。它为组织内的安全管理提供了一个框架，但它没有像SOC 2一样提供安全的“黄金标准”以确保组织的安全性。

ISO 27001采用基于风险评估的方法。信息安全风险评估用于识别组织的安全要求，然后识别将风险控制在组织可接受的安全控制水平。

其中的关键在于，组织决定了它需要什么级别的安全性，风险评估只用于识别组织所需的控制，由组织根据风险评估和组织可接受的风险水平(风险偏好)来选择所需的安全控制。

也就是说，ISO 27001的合规性或外部认证并不代表组织就是安全的，组织只是在按照自己认为的安全级别进行管理实施。如果组织的风险评估有缺陷，缺乏足够的安全和风险评估专业知识，没有实施安全的管理和组织承诺，便意味着即便其实施了ISO 27001也仍然会存在安全风险。

这就是为什么很多实施了ISO 27001的组织，仍然会有信息安全漏洞的原因。

理想的安全状态是SOC 2和ISO 27001并用，通过SOC 2定义安全级别，然后以ISO 27001来打造更高标准的安全管理体系。而同时拥有SOC 2和ISO 27001认证的技术供应商，就能够为广大组织提供更完善与安全的产品与服务。

对于长期与数据打交道的数字化技术供应商而言，在当前数据安全大于一切的大环境中，为更好地服务客户以扩大市场规模，通过SOC 2认证来证明安全实力，也是非常紧要和必要的。

所以，更多的云计算、AI、智能自动化等为广大企业提供数字化转型解决方案的厂商，都在紧锣密鼓地进行SOC 2认证。而已通过SOC 2认证的服务商，也就成了广大组织实施业务流程优化的首选。

哪家厂商能够抢先一步拿下更具权威性的SOC 2，在数据安全方面其产品与服务也就更有说服力。能够拿下更多政企领域的大客户，也就能实现市场规模的快速扩张与业务营收的高速增长。毕竟对于进入C轮、D轮融资的厂商，更大的市场规模与更好的营收数据还是非常重要的。

国产智能自动化厂商首获SOC 2认证

5月31 日，来也科技正式获得安永华明会计师事务所签发的SOC 2 Type1鉴证报告。经过安永华明会计师事务全方位、细粒度审计与评估，来也科技的智能自动化服务体系具备安全性、可用性及保密性相关、多维度的综合服务能力。

由此，来也科技成为国产智能自动化厂商中，首家取得 SOC 2 认证的安全践行者。

这项认证的通过，表明来也科技智能自动化服务在安全、可用及保密方面已通过业界最严格审核、对标国际领先标准，具备业内领先的多维度综合服务能力。

来也科技能够通过SOC认证，并不意外。这家智能自动化厂商一直以来都本着“客户成功”的原则，不仅为用户提供安全产品，更以助力客户安全高质量发展为己任，在数据安全意识提升、业务数据安全保护、数据全环节管理落地支持等方面为客户提供安全服务。

也正是因此，来也科技才能成为当下“最安全”的智能自动化供应商、智能自动化安全领域的先锋。

来也科技关注用户数据安全，通过多渠道向用户明确并传达数据保护政策与保护措施。

将安全作为关键要素融入企业经营全流程，向客户输出服务安全能力，对服务的实施与交付、故障问题处理、服务开展内部支撑管理落地等全业务场景进行梳理与排查，明确相关管理要求，保证控制措施常态化落实。

此外，还在“合作伙伴与开发者”生态构建中，重点落实生态伙伴信息保护，

在国产安全方面，来也科技是国内智能自动化厂商中最早进行国产自主信创平台适配的厂商之一，已适配飞腾+银河麒麟、统信+海光、统信+兆芯等多个国产软硬件平台；支持华为鲲鹏CPU加Linux操作系统的组合，并获得华为技术认证证书。

其实在SOC报告之前，来也科技已获得 ISO/IEC27001 信息安全管理体系认证证书、ISO9001 质量管理体系认证证书、ISO/IEC20000 信息技术服务管理体系认证证书、Veracode Verified™认证、公安部网络安全等级保护三级测评、信息系统安全等级保护第三级、CMMI软件工程评估方法认证第三级等多项安全认证。

SOC 2认证在美国特别受欢迎，随着更多欧洲公司在美国开展业务，它也越发受到欧洲公司的欢迎。无疑，这对于来也科技的海外市场拓展，有着重要的意义。

后记：SOC 2加快厂商国际化步伐

事实上，来也科技早已具备对于产品安全、服务安全、数据安全、信息安全等的全方位多维度保障能力，SOC认证的通过相当于给它发了一张毕业证。有了这张毕业证，就能够得到更多用户的信赖，对其未来的多元化发展自然也是大有裨益。

从对信创体系的国产化支持，到ISO/CMMI等体系的认证，再到SOC认证的通过，可以看到国产智能化厂商在安全体系的建设上在取得丰硕成果的同时，也进一步贴近广大组织对于高等级安全的需求。

同时，这些安全体系的认证与证书的获取，也从侧面见证了国产智能自动化厂商从立足国内客户到满足海外市场需求的成长之路。

在王吉伟频道看来，从来也科技首先获得SOC认证的那一刻开始，就意味着国产智能自动化厂商的安全管理体系已经升级到全球大型技术供应商一般的高度，RPA行业也由此进入了安全体系新时代。

相信在这些安全体系认证的助力之下，进入安全体系新时代的国产智能化厂商，必将加快国际化步伐，在全球市场闯出更多声名。

 

【王吉伟频道，关注TMT与IoT，专注数字化转型、业务流程自动化与RPA。】