企业信息安全合规与审计指南（标准版）

企业信息安全合规与审计指南（标准版）第1章信息安全合规概述1.1信息安全合规的基本概念信息安全合规是指企业或组织在信息处理、存储、传输等过程中，遵循国家法律法规、行业标准及内部管理制度，确保信息安全目标的实现。这一概念源于信息安全管理框架（ISO/IEC27001）和数据安全法（如《个人信息保护法》《网络安全法》）的规范要求。信息安全合规的核心在于风险管理和责任划分，强调对信息资产的保护，防止数据泄露、篡改、丢失等风险。根据《信息安全技术个人信息安全规范》（GB/T35273-2020），合规性是信息安全管理的基础。信息安全合规不仅涉及技术措施，还包括组织结构、流程制度、人员培训等多维度的管理要求。该概念在《信息安全技术信息安全风险管理体系》（GB/T20984-2007）中被明确界定为组织信息安全工作的核心内容。信息安全合规的实施通常涉及风险评估、安全策略制定、审计监督等环节，确保组织在信息生命周期内持续满足相关法规要求。信息安全合规是现代企业数字化转型的重要保障，有助于提升企业信誉、降低法律风险，并符合国际标准如ISO27001、GDPR等的强制性要求。1.2信息安全合规的重要性信息安全合规是企业应对数据泄露、隐私侵权等风险的重要防线，能够有效降低因违规操作导致的经济损失和声誉损害。根据《2023年中国网络安全行业研究报告》，约60%的企业因信息安全问题被监管部门处罚或面临法律诉讼。信息安全合规有助于构建企业内部的信任体系，提升客户和合作伙伴对企业的信任度。例如，欧盟《通用数据保护条例》（GDPR）要求企业必须具备合规能力，否则将面临高额罚款。信息安全合规是企业可持续发展的必要条件，特别是在数字化转型过程中，数据成为核心资产，合规管理是保障数据价值的重要手段。信息安全合规能够提升企业整体运营效率，通过优化信息流程和减少违规事件，降低运营成本和管理风险。信息安全合规是国际竞争的重要壁垒，许多跨国企业通过合规管理获得国际市场的准入资格，如美国《联邦信息保护和隐私法》（FIPPA）对跨国企业的数据管理提出严格要求。1.3信息安全合规的法律法规中国现行的法律法规体系包括《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等，这些法律为信息安全合规提供了明确的法律依据。《网络安全法》规定了网络运营者应履行的信息安全义务，如保障网络免受攻击、防止数据泄露等，是企业信息安全合规的法律基础。《数据安全法》明确了数据处理者的责任，要求企业对数据的收集、存储、使用等环节进行合规管理，确保数据安全。《个人信息保护法》对个人信息的处理提出了严格要求，企业必须建立个人信息保护机制，确保个人信息的合法、正当、必要使用。《关键信息基础设施安全保护条例》对涉及国家安全、重要民生的基础设施企业提出了更高的合规要求，确保其信息系统的安全与稳定。1.4信息安全合规的组织架构信息安全合规通常由企业内部的合规部门或信息安全部门负责，该部门需与法务、审计、技术等职能部门协同工作，形成完整的合规管理体系。企业应建立信息安全合规的组织架构，包括信息安全政策制定、风险评估、合规审计、培训教育等环节，确保合规工作贯穿于整个信息生命周期。信息安全合规的组织架构应具备独立性，避免因部门利益冲突导致合规执行不到位。根据《信息安全技术信息安全风险管理指南》（GB/T20984-2007），合规管理应由独立的第三方机构进行监督。企业应设立信息安全合规委员会，由高层管理者领导，负责制定合规战略、监督合规执行情况，并定期进行合规审计。信息安全合规的组织架构应与企业的业务发展同步，随着业务扩展，合规体系也应相应调整，确保企业持续符合法律法规要求。第2章信息安全风险管理2.1信息安全风险的识别与评估信息安全风险的识别是信息安全管理体系（ISMS）的基础，通常通过风险评估模型如NIST的风险评估框架（NISTIRF）进行。该模型强调识别潜在威胁、脆弱性及影响，确保风险识别的全面性。风险识别需结合企业业务流程、技术架构及外部环境，例如通过访谈、问卷调查、系统扫描等方式获取信息。根据ISO/IEC27005标准，风险识别应覆盖内部和外部威胁，包括人为、技术、物理及法律因素。识别后的风险需进行初步评估，常用方法包括定量与定性分析。定量分析可采用风险矩阵，结合发生概率与影响程度进行分级；定性分析则通过风险等级划分，如高、中、低，以确定优先级。企业应建立风险登记册，记录所有识别出的风险，并定期更新。根据ISO27001标准，风险登记册需包含风险描述、发生概率、影响程度及应对措施等内容。风险评估需结合业务连续性管理（BCM）和信息安全事件管理（IEM）的实践，确保风险评估结果可用于制定策略和资源分配。2.2信息安全风险的量化与分析信息安全风险的量化通常采用概率-影响模型，如风险矩阵或风险评分法。根据NIST的指导原则，量化应基于历史数据、行业标准及风险评估模型，如定量风险分析（QRA）中的蒙特卡洛模拟。量化过程中需明确风险事件的可能性（如发生概率）和影响（如损失金额或业务中断），并计算风险值。例如，某企业因数据泄露导致的损失可能通过财务损失、声誉损害及合规罚款进行量化。量化结果可用于制定风险优先级，如使用风险评分矩阵（RiskScoreMatrix）对风险进行排序，优先处理高风险项。根据ISO27002标准，风险评分应结合定量与定性分析，确保全面性。企业应定期进行风险再评估，特别是在业务环境、技术架构或法规变化后。根据ISO31000标准，风险评估应纳入持续改进循环，确保风险管理体系的动态适应性。量化分析还需结合风险转移策略，如保险、外包或技术防护，以降低风险影响。根据IEEE1682标准，风险转移应与风险应对策略相结合，确保风险控制的有效性。2.3信息安全风险的应对策略信息安全风险的应对策略包括风险规避、风险降低、风险转移和风险接受。根据ISO27001标准，企业应根据风险的严重性选择合适的策略。例如，高风险事件可采用风险规避，而低风险事件则可采用风险接受。风险降低策略包括技术措施（如加密、访问控制）、流程优化（如权限管理）及培训教育。根据NIST的指南，技术措施可降低风险发生的可能性，而流程优化可减少风险影响。风险转移策略可通过保险、外包或合同条款实现，如将数据泄露责任转移给第三方服务提供商。根据ISO31000标准，风险转移需确保责任明确，避免法律和财务风险。风险接受策略适用于低概率、低影响的风险，如日常操作中的轻微安全漏洞。企业需在风险评估基础上，制定相应的控制措施，确保风险在可接受范围内。风险应对策略需与业务目标一致，例如在数字化转型过程中，企业需平衡创新与安全，确保风险控制不影响业务发展。根据IEEE1682标准，风险应对应贯穿于整个信息安全生命周期。2.4信息安全风险的持续监控与改进信息安全风险的持续监控需建立风险监测机制，如定期审计、日志分析及威胁情报收集。根据ISO27001标准，风险监测应包括风险识别、评估、应对及监控的全过程。企业应使用风险监控工具，如SIEM系统（安全信息与事件管理）或风险评分系统，实时跟踪风险变化。根据NIST的建议，风险监控应结合定量与定性指标，确保信息的及时性和准确性。风险监控结果需反馈至风险管理流程，用于调整风险策略。根据ISO31000标准，风险监控应形成闭环管理，确保风险管理体系的持续优化。企业应定期进行风险回顾与复盘，分析风险应对效果，并根据新出现的威胁或变化调整策略。根据IEEE1682标准，风险回顾应结合历史数据与当前状况，确保策略的有效性。风险改进应纳入信息安全管理体系的持续改进框架，如PDCA循环（计划-执行-检查-处理），确保风险管理体系不断进化，适应新的安全挑战。第3章信息安全政策与制度建设3.1信息安全政策的制定与发布信息安全政策应依据国家法律法规及行业标准制定，如《信息安全技术信息安全风险评估规范》（GB/T22239-2019）中提到的“风险评估”原则，确保政策覆盖信息资产、数据处理、访问控制等关键领域。政策应由高层领导主导制定，确保其具有可操作性和执行力，如《ISO27001信息安全管理体系标准》要求组织建立信息安全政策并确保其在组织内得到一致执行。政策需定期评审与更新，以适应技术发展和外部环境变化，如《信息安全技术信息安全事件管理指南》（GB/Z20986-2019）强调政策应结合实际运行情况动态调整。政策应明确责任划分，如《信息安全技术信息安全保障体系框架》（GB/T20984-2016）指出，信息安全责任应落实到各个层级和岗位，确保责任到人。政策需通过正式渠道发布，并通过培训、宣导等方式确保全员知晓与执行，如《信息安全技术信息安全培训规范》（GB/T22239-2019）建议通过内部培训提升员工信息安全意识。3.2信息安全管理制度的建立信息安全管理制度应涵盖信息分类、访问控制、数据加密、审计追踪等核心内容，如《信息安全技术信息安全管理制度规范》（GB/T22239-2019）要求制度应覆盖信息生命周期全阶段。制度应结合组织业务特点制定，如某大型金融机构在制定制度时参考了《ISO27001信息安全管理体系标准》，确保制度与业务流程高度契合。制度需明确各岗位职责，如《信息安全技术信息安全风险管理指南》（GB/T22239-2019）强调制度应明确信息处理人员的权限与义务。制度应与组织的其他管理体系（如IT治理、合规管理）协同，形成闭环管理，如《信息安全技术信息安全管理体系认证指南》（GB/T22239-2019）指出制度需与组织的其他管理要求相衔接。制度应通过文档化方式记录，并定期进行内部审核，如《信息安全技术信息安全审计指南》（GB/T22239-2019）建议制度文档应包含制定依据、执行流程、责任分工等内容。3.3信息安全流程的规范与执行信息安全流程应遵循“事前预防、事中控制、事后应对”的原则，如《信息安全技术信息安全事件管理指南》（GB/Z20986-2019）强调流程应包含事件识别、分析、响应和恢复等环节。流程应明确操作步骤和责任人，如《信息安全技术信息安全事件管理指南》（GB/Z20986-2019）建议流程中应包含数据备份、权限变更等关键操作的审批流程。流程应通过标准化工具或模板实现，如《信息安全技术信息安全管理体系标准》（ISO27001）要求流程应具备可追溯性与可操作性。流程执行需监控与反馈，如《信息安全技术信息安全审计指南》（GB/T22239-2019）建议通过日志记录、操作审计等方式实现流程执行的可追溯性。流程应定期进行测试与优化，如某企业通过模拟攻击测试其信息安全流程，发现并改进了漏洞，提升了整体防护能力。3.4信息安全制度的监督与评估制度的监督应包括内部审计、第三方评估及外部合规检查，如《信息安全技术信息安全管理体系认证指南》（GB/T22239-2019）要求制度应接受第三方审计以确保其有效性。监督应结合定量与定性手段，如《信息安全技术信息安全事件管理指南》（GB/Z20986-2019）建议通过事件发生率、响应时间等指标评估制度执行效果。评估应形成报告并提出改进建议，如《信息安全技术信息安全风险管理指南》（GB/T22239-2019）指出评估结果应为制度优化提供依据。评估结果应反馈至制度制定者，如《信息安全技术信息安全管理体系标准》（ISO27001）要求评估结果应用于制度的持续改进。评估应纳入组织的绩效考核体系，如《信息安全技术信息安全绩效评估指南》（GB/T22239-2019）建议将信息安全绩效纳入员工考核指标。第4章信息资产管理和分类4.1信息资产的识别与分类信息资产的识别是信息安全管理体系的基础，通常包括硬件、软件、数据、人员、流程等要素。根据ISO/IEC27001标准，信息资产应按照其重要性、价值及潜在风险进行分类，以确定其保护级别和管理策略。信息资产的分类需遵循统一的标准，如NIST（美国国家标准与技术研究院）提出的“信息分类分级”框架，将信息分为秘密、机密、内部、公开等级别，确保不同级别的信息采取不同的保护措施。企业应通过资产清单、风险评估和业务影响分析等方法，识别关键信息资产，例如核心数据库、客户数据、财务系统等，并建立动态更新机制，以应对业务变化和外部威胁。信息资产的分类应结合组织的业务流程和安全需求，例如在金融行业，客户身份信息（PII）属于高敏感信息，需采用更强的加密和访问控制措施，而内部文档则可采用较低的保护级别。信息资产分类应纳入组织的合规管理体系，如GDPR（《通用数据保护条例》）要求企业对个人数据进行分类管理，确保数据处理符合法律要求。4.2信息资产的保护与管理信息资产的保护需采用多层次防护措施，包括物理安全、网络防护、数据加密、访问控制等。根据ISO27005标准，信息资产应按照其敏感性等级进行防护，如高敏感信息需采用多因素认证和加密传输。企业应建立信息资产保护策略，明确不同级别的信息资产应采取的保护措施，例如敏感数据需定期备份、审计和监控，非敏感数据则可采用简单的访问控制手段。信息资产的管理应包括数据存储、传输、处理和销毁等全生命周期管理，确保其在不同阶段的安全性。例如，数据销毁需符合国家信息安全标准，防止数据泄露或滥用。信息资产的管理应结合组织的IT架构和业务流程，例如在云计算环境中，信息资产的管理需考虑虚拟化、容器化等技术对数据安全的影响。信息资产的保护应纳入组织的持续监控和应急响应机制，如定期进行安全审计、漏洞扫描和事件响应演练，以应对潜在的安全威胁。4.3信息资产的生命周期管理信息资产的生命周期管理涵盖其从识别、分类、保护、使用到销毁的全过程。根据ISO27001标准，信息资产的生命周期管理应贯穿于整个组织的运营中，确保其安全性和合规性。信息资产的生命周期管理需考虑其价值和风险，例如高价值信息资产应采取更严格的安全措施，而低价值信息资产可采用更宽松的管理策略。这一过程需结合业务需求和技术能力进行动态调整。信息资产的生命周期管理应包括资产的获取、配置、使用、维护、退役等阶段，例如在信息系统的生命周期中，需定期进行安全评估和更新，确保其符合最新的安全标准。信息资产的生命周期管理应与组织的IT治理和合规要求相一致，例如在数据治理中，需明确信息资产的生命周期管理流程，确保数据从创建到销毁的每个环节都符合安全要求。信息资产的生命周期管理应通过信息化手段实现，如使用资产管理软件、安全配置工具和自动化监控系统，以提高管理效率和安全性。4.4信息资产的访问控制与权限管理信息资产的访问控制是保障信息安全的重要手段，通常采用基于角色的访问控制（RBAC）和基于属性的访问控制（ABAC）等模型。根据NISTSP800-53标准，访问控制应根据用户身份、角色、权限等要素进行动态管理。企业应建立严格的权限管理体系，确保用户只能访问其工作所需的信息资产，防止越权访问和数据泄露。例如，财务部门的员工应仅能访问财务系统中的特定模块，而非财务部门的员工则不能访问。信息资产的访问控制应结合最小权限原则，即用户应仅拥有完成其工作所需的最小权限，避免因权限过高导致的安全风险。这一原则在ISO27001中被明确列为关键控制措施。企业应定期进行权限审计，检查用户权限是否合理，是否存在越权访问或权限滥用的情况。例如，通过使用权限管理工具，可以自动检测并报告异常权限变化。信息资产的访问控制应与身份认证和加密技术相结合，例如采用多因素认证（MFA）和数据加密技术，确保即使权限被滥用，信息仍无法被非法获取。第5章信息安全管理技术措施5.1安全技术措施的实施与配置安全技术措施的实施需遵循“最小权限原则”和“纵深防御”理念，确保系统具备合理的访问控制、加密传输和数据隔离能力。根据ISO/IEC27001标准，企业应通过角色权限分配、多因素认证（MFA）和访问控制列表（ACL）等手段，实现对敏感信息的精准管理。在实施过程中，需结合企业业务场景进行定制化配置，例如采用零信任架构（ZeroTrustArchitecture,ZTA）实现对用户和设备的持续验证，确保只有授权主体才能访问关键资源。安全技术措施的配置应通过风险评估和合规性检查，确保其符合国家信息安全标准（如GB/T22239-2019）和行业规范，避免因配置不当导致安全漏洞。企业应建立技术配置文档，记录各系统、网络和设备的安全策略、权限设置及更新日志，便于后续审计与追溯。安全技术措施的实施需结合IT治理框架（如CISO角色和ITIL），确保技术措施与业务流程、组织架构相匹配，提升整体安全效能。5.2安全技术措施的持续更新与维护安全技术措施需定期更新，以应对新型威胁和漏洞，例如通过持续的漏洞扫描（VulnerabilityScanning）和渗透测试（PenetrationTesting）发现并修复潜在风险。持续维护应包括软件补丁管理、安全策略更新以及设备固件升级，确保系统始终处于安全状态。根据NISTSP800-208标准，企业应建立安全更新管理流程，确保补丁及时生效。安全技术措施的维护需与业务发展同步，例如在云计算环境中，需定期评估云服务商的安全策略，并进行合规性检查，确保数据传输和存储符合安全要求。企业应建立技术维护台账，记录每次更新的版本号、实施时间、责任人及效果评估，确保可追溯性和可验证性。安全技术措施的维护应纳入IT运维管理体系，结合自动化工具（如SIEM、EDR）实现高效监控与响应，提升安全事件处理效率。5.3安全技术措施的测试与验证安全技术措施需通过形式化测试和模拟攻击测试（如红蓝对抗）验证其有效性，确保在实际环境中能够抵御常见攻击手段。测试应覆盖系统边界、数据传输、访问控制、日志审计等多个维度，依据ISO/IEC27001和NISTSP800-53标准进行分类评估。企业应建立测试报告与验证结果，包括测试覆盖率、漏洞修复率、安全事件发生率等关键指标，确保技术措施符合安全要求。安全技术措施的测试需与业务测试同步进行，例如在上线前进行压力测试（LoadTesting）和兼容性测试，确保技术措施不影响业务运行。测试结果应作为安全审计的重要依据，结合风险评估报告，形成持续改进的闭环管理机制。5.4安全技术措施的审计与评估安全技术措施的审计需涵盖技术配置、实施效果、更新维护及测试验证等多个方面，依据ISO27001和GB/T22239标准进行定期评估。审计应通过技术日志分析、安全事件记录和第三方审计报告等方式，识别技术措施的薄弱环节，例如未及时更新的补丁或配置错误的权限。审计结果需形成报告并反馈至管理层，推动技术措施的优化与改进，确保其持续符合安全合规要求。安全技术措施的评估应结合定量与定性分析，例如通过安全事件发生率、漏洞修复率、用户行为分析等指标，评估技术措施的实际效果。审计与评估结果应纳入企业安全绩效管理体系，作为安全合规考核的重要依据，促进技术措施的长期有效运行。第6章信息安全事件管理与响应6.1信息安全事件的识别与报告信息安全事件的识别应基于风险评估结果和监控机制，依据ISO/IEC27001标准，结合威胁情报和日志分析，及时发现潜在风险。事件识别需遵循“早发现、早报告”的原则，根据《信息安全事件分级指南》（GB/Z20986-2018），将事件分为多个级别，确保响应层级匹配。企业应建立事件报告流程，明确报告人、报告内容及上报时限，确保信息传递的及时性和准确性，避免漏报或误报。事件报告应包含时间、类型、影响范围、涉及系统及责任人等关键信息，符合《信息安全事件应急响应指南》（GB/Z20984-2018）的要求。事件报告后，应由信息安全管理部门进行初步评估，判断是否触发应急响应机制，确保事件处理的科学性和有效性。6.2信息安全事件的响应与处理信息安全事件响应应遵循“先处理、后调查”的原则，依据《信息安全事件分级响应指南》（GB/Z20985-2018），制定分级响应预案，确保不同级别事件的处理措施差异化。响应团队需在事件发生后24小时内启动响应，按照《信息安全事件应急响应流程》（GB/Z20986-2018）执行，确保事件快速控制与隔离。响应过程中应采取技术手段进行隔离，如断开网络连接、关闭服务、数据加密等，防止事件扩大化，同时保障业务连续性。响应完成后，应进行事件影响评估，依据《信息安全事件影响评估指南》（GB/Z20987-2018），分析事件原因及影响范围，为后续改进提供依据。响应结束后，应形成事件报告并提交给管理层，确保决策依据充分，同时为后续事件管理提供经验教训。6.3信息安全事件的调查与分析事件调查应由独立的调查小组进行，依据《信息安全事件调查规范》（GB/Z20988-2018），确保调查过程的客观性和公正性。调查内容应包括事件发生的时间、地点、涉及系统、攻击手段、攻击者身份及影响范围等，采用定性与定量相结合的方法进行分析。调查过程中应使用工具如SIEM（安全信息与事件管理）系统，结合日志分析、流量监控等技术手段，提升调查效率。调查结果需形成报告，依据《信息安全事件分析与报告指南》（GB/Z20989-2018），为事件归类、责任认定及改进措施提供依据。调查完成后，应进行事件归类，根据《信息安全事件分类标准》（GB/Z20990-2018）进行分类，确保事件管理的系统性和规范性。6.4信息安全事件的复盘与改进事件复盘应结合《信息安全事件复盘与改进指南》（GB/Z20991-2018），对事件原因、处理过程及影响进行全面回顾，识别管理、技术、流程等方面的不足。复盘过程中应使用PDCA（计划-执行-检查-处理）循环方法，确保改进措施落地并持续优化。改进措施应包括制度完善、技术加固、人员培训、流程优化等，依据《信息安全管理体系（ISMS）实施指南》（GB/T22239-2019）制定改进计划。改进措施需在事件后30日内完成，并形成改进报告，确保改进效果可量化、可验证。改进措施应纳入信息安全管理体系（ISMS）中，形成闭环管理，持续提升组织的信息安全防护能力。第7章信息安全审计与合规检查7.1信息安全审计的定义与目的信息安全审计是指对组织的信息安全管理体系（ISMS）进行系统性评估，以验证其是否符合相关标准和法规要求的过程。根据ISO/IEC27001标准，审计旨在识别风险、评估控制措施的有效性，并确保信息安全策略的落实。审计结果可为组织提供改进信息安全水平的依据，帮助识别潜在漏洞并制定针对性的整改措施。信息安全审计不仅关注技术层面，还包括管理层面的合规性，如数据分类、访问控制及责任划分。通过审计，组织能够增强信息系统的安全性和业务连续性，降低数据泄露和系统攻击的风险。7.2信息安全审计的实施与流程审计通常由内部或外部审计团队执行，需遵循标准化的审计流程，如准备阶段、实施阶段和报告阶段。审计前需明确审计目标、范围和标准，例如依据《信息安全技术信息安全事件分类分级指南》（GB/T20984-2021）制定审计计划。审计过程中，审计人员需对系统日志、访问记录、网络流量及安全设备日志进行检查，确保覆盖所有关键环节。审计结果需形成书面报告，内容包括发现的问题、风险等级、改进建议及后续跟踪措施。审计结果应反馈给相关责任人，并作为信息安全管理体系持续改进的重要依据。7.3信息安全审计的报告与反馈审计报告应包括审计发现、风险评估、合规性结论及改进建议，确保信息清晰、结构化。根据《信息安全审计指南》（GB/T35273-2020），报告需遵循“问题-原因-措施-验证”四步法，确保可追溯性。审计反馈应通过会议、邮件或信息系统平台进行，确保相关人员及时了解审计结果并采取行动。审计反馈需结合组织的实际情况，避免过于笼统，应具体指出问题所在及改进方向。审计结果应纳入组织的年度信息安全评估中，作为绩效考核和合规性审核的重要参考。7.4信息安全审计的持续改进机制审计应形成闭环管理，即发现问题→制定整改措施→验证整改效果→持续跟踪，确保问题不反复出现。根据ISO/IEC27001标准，组织需建立审计整改跟踪机制，定期复查整改措施的落实情况。审计结果应作为信息安全管理体系审核和认证的依据，推动组织持续提升信息安全能力。审计应与信息安全事件响应机制相结合，及时发现并处理潜在风险。组织应建立审计反馈机制，将审计结果转化为制度性措施，形成常态化的信息安全治理能力。第8章信息安全合规的持续改进与优化8.1信息安全合规的持续改进机制信息安全合规的持续改进机制应建立在风险评估与审计反馈的基础上，通过定期的内部审计和第三方评估，识别潜在风险并进行动态调整。根据ISO/IEC27001标准，组织应制定持续改进的流程，确保信息安全管理体系（ISMS）符合最新的法规要求。机制应包含持续监测、定期审查和整改跟踪，确保信息安全措施能够应对不断变化的威胁环境。例如，某大型金融企业通过建立信息安全事件响应机制，实现了从事件发生到恢复的全流程闭环管理，提升了整体合规能力。企业应设立专门的合规改进小组，由信息安