2019年国家相关部门提出了一系列App收集个人信息相关监管要求:
ID 名称 时间 发文部门1 关于开展App违法违规收集使用个人信息专项治理的公告 2019/1/25 中央网信办、工业和信息化部、公安部、市场监管总局
2 移动互联网应用基本业务功能必要信息规范 2019/6/1 全国信息安全标准化技术委员会
3 App违法违规收集使用个人信息自评估指南 2019/3/1 APP专项治理工作组
4 App违法违规收集使用个人信息行为认定方法(征求意见稿) 2019/5/5 APP专项治理工作组
5 信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(草案) 2019/10/25 全国信息安全标准化技术委员会
6 关于开展APP侵害用户权益专项整治工作的通知 2019/11/6 工业和信息化部
在产品经理罗列出合规要求、安全部得到相关部门的权威解释后,与产品线沟通建议各种安全措施设计,将会在很大程度上满足IT安全合规要求。等级保护相关要求为所有系统需要面对的共通要求,无需产品经理罗列,安全部可以直接解释。
关于具体安全需求的定义与维护方法,笔者将通过其他文章进行说明。
七、产品经理安全能力分析与建设分析产品经理的安全工作内容,最主要的考验来自于明确业务安全需求的四个清单。相关安全能力分析如下表:
ID 产品经理安全需求工作内容 能力分析1 明确合法用户清单 无需额外能力,需要描述模板支持
2 明确敏感数据清单 需要理解安全基础概念,在指定敏感数据安全等级时,需要敏感数据分类分级标准支持,需要模板支持
3 明确业务访问行为清单 无需额外能力,需要描述模板支持
4 明确敏感行为清单 无需额外能力,需要描述模板支持
产品经理其他安全开发工作所需能力分析如下:
ID 工作内容 能力分析1 保障安全研发资源 在产品迭代研发计划中增加安全相关活动与环节,并指定责任人。计划制订本身无需额外能力,但在安排相关安全活动时,为保持开发的敏捷性和现有的项目管理机制不变形,需要安全、质量管理和项目管理等部门提供方法论支持。需要产品经理有一定的安全意识。
2 推动研发团队安全能力建设 为了保证迭代研发计划中的活动执行成功,研发团队(设计、开发和测试)需要较高的安全意识和一些基础的安全能力,如安全设计、安全编码和安全测试。安全部应统筹各团队的安全能力建设需求,提供相关安全能力建设支持。需要产品经理有一定的安全意识。
3 整合周边安全资源 为了保证迭代研发计划中的活动执行成功,需要整合周边部门的专业性安全服务,比如安全部的各类安全评审服务、威胁建模、代码审计、渗透测试、流量实时监控等服务,基础研发部的SSO平台,运维的统一身份管理服务等等。甚至需要法务与合规等部门的安全支持。安全部门有责任提供和维护一份持续可用的安全服务清单,让产品经理和研发团队知晓服务清单,并知晓何处获取相关安全服务。需要产品经理有一定的安全意识。