⚠ 严重免责声明
这篇是地图,不是指南。
合规涉及法律、行业、地区——同一个框架在不同公司、不同业务、不同司法管辖下的具体要求可能差异很大。任何一条具体要求都该咨询:
- 公司法务
- 专业审计师(注册会计师 / 信息安全审计师)
- 框架的官方文档
本文不解读任何条款,不给"做这些就合规"的承诺。
为什么需要合规框架
外部需求:
- SaaS 卖给企业客户:他们要求你过 SOC 2 / ISO 27001
- 业务在欧盟:触及 GDPR
- 业务在中国大陆:触及 等保 + 个保法 + 网络安全法
- 金融 / 医疗 / 政府:行业专项(PCI DSS / HIPAA / 国密)
内部好处:
- 把"安全是个口号"变成"有清单可对"
- 团队规范化的强制驱动力
几个常被提到的框架
SOC 2(美国 AICPA)
- 全称:Service Organization Control 2
- 由 AICPA(美国注册会计师协会)制定,针对服务型组织
- 五个 Trust Service Criteria:Security / Availability / Processing Integrity / Confidentiality / Privacy
- Type I(某时点的设计)vs Type II(一段时间内的执行)
- B2B SaaS 卖给海外客户几乎必须
- 周期:每年审一次
- 官方:AICPA Trust Services Criteria
ISO/IEC 27001
- 国际标准,信息安全管理体系(ISMS)
- 国际通用,跨行业跨地区接受度都广
- 与 SOC 2 重叠很多——同时做的成本不是叠加而是协同
- 官方:ISO 27001
等级保护 2.0(中国大陆)
- 网络安全法的具体落地,经营性业务在境内通常涉及
- 一到五级:业务敏感度越高级别越高
- 二级 / 三级是大多数互联网业务的常见档位
- 涉及网络架构、密码、审计、应急响应等多个维度
- 官方:公安部网络安全保卫局 / 全国信息安全标准化技术委员会(信安标委)发布的 GB/T 22239 系列
个人信息保护法(个保法 / PIPL)
- 中国大陆 2021 年 11 月 1 日施行
- 处理境内自然人个人信息几乎都涉及
- 数据主体权利、跨境传输、合法基础等
- 官方:全国人大法律数据库 搜"个人信息保护法"
GDPR(欧盟)
- General Data Protection Regulation,2018 年 5 月生效
- 处理欧盟居民数据就触发——不取决于公司在哪
- 数据主体权利、合法基础、数据保护官(DPO)、跨境传输等
- 官方:GDPR.eu 官方文本 / 欧盟委员会页面
行业专项(仅列存在)
| 框架 | 行业 |
|---|---|
| PCI DSS | 处理信用卡数据 |
| HIPAA | 美国医疗信息 |
| 国密合规 | 中国大陆涉密 / 关键信息基础设施 |
| CCPA / CPRA | 美国加州隐私 |
| FedRAMP | 美国联邦政府云 |
工程团队真正能做的事
合规70% 是流程 + 文档,30% 是技术控制。工程负责后者:
通用基础(所有框架都吃这些)
- 审计日志全开(云审计 / 应用日志)
- 数据加密(at-rest + in-transit)
- 访问控制 + 最小权限(见上一篇 IAM)
- 变更审计(git PR review + 部署日志)
- 备份 + 恢复演练
- 事故响应流程 + Runbook
- 依赖 / 镜像安全扫描
- SSO + MFA
把上面这些做好,过任何主流框架都不会被卡在技术层。
针对个保法 / GDPR 的额外动作
- 数据流图(哪些数据 → 哪里 → 留多久)
- 数据主体权利支持(删除 / 导出 / 改)
- 跨境数据流标识
- 第三方处理者协议
针对等保的额外动作
- 网络拓扑图 + 安全设备部署
- 测评机构现场测评(不是自己做完事)
合规自动化工具
近几年的工具帮你把"持续合规"代替"年度突击":
- Drata / Vanta / Secureframe:SOC 2 / ISO 27001 自动化(连云、连 GitHub、自动收集证据)
- AWS Config / GCP Security Command Center / 阿里云态势感知 / 腾讯云防火墙:检测云资源是否符合基线
自动化不能取代审计师 / 法务——是减少他们的工作量。
几条工程层面的"千万别"
- 千万别自己解读法规条款决定方案——找法务
- 千万别为了"过审"伪造证据——审计员发现 → 失败 + 信誉损失
- 千万别把合规当一次性项目——是持续运营
- 千万别所有工程师都不知道有哪些合规要求——至少 SRE / 平台团队要熟
推荐阅读(一律官方)
- AICPA SOC — SOC 2 官方
- ISO 27001 — 国际标准官方
- 全国信息安全标准化技术委员会 — 等保等国标官方发布
- GDPR 官方文本(EUR-Lex) — 欧盟法律全文
- 中国人大网 — 个保法 / 网络安全法等中国法律全文
- CIS Benchmarks — 各系统的安全基线,多个框架引用
- NIST Cybersecurity Framework — 美国国家标准与技术研究院的框架(多个合规框架引用)
下一批进入最后一组——高可用与规模化:多区灾备、数据库 HA、消息队列、容量规划。