各位 Buffer 晚上好，FreeBuf 甲方群话题讨论第262期来了！FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，Kiki 群助手每周整理精华、干货讨论内容，为您提供一手价值信息。

话题抢先看

1、近期，“企业300块钱就能完全监控员工”事件备受社会关注。信息安全的“边界”在企业内似乎有些模糊，各位大佬怎么看待该事件？

2、对于内部应用众多的企业而言，如何着手开展数据保护（DPO）工作？关键核心又是什么？

3、已通过软考中级网络安全工程师认证的安全从业者，未来有哪些职业进阶路径？

Q：近期，“企业300块钱就能完全监控员工”事件备受社会关注。信息安全的“边界”在企业内似乎有些模糊，各位大佬怎么看待该事件？

A1：

对于终端安全防护软件，我们这边是需要强制登录，登录的时候会有隐私协议进行说明（先关条款请法务审议）。同时明确和管理层说明，我们只能审计数据外发行为，无法监测员工隐私信息。

A2：

首先第一条要明确，你在公司使用的电脑和网络，都是公司提供给你仅限于办公使用的，不是给你家长里短办私事吹嘘口嗨的，你在使用工作设备就 应该仅限工作内容，搞其他的已经违背了工作纪律了，只是公司没有那么多的人力去追究而已。

欧美监控软件很多，他们要保护他们的技术专利和独有技术，这方面法律诉讼的情况比我们的大，但是流传开来的为什么很少，就是因为公司尽了告知义务，大家都清楚。

re：那公司得提供全套设备了，不单单是基础设施了，专设专用。微信号也得使用公司注册的电话卡注册，不能使用个人账号。所有的软件硬件都得是公司配发才有资格监视自己资产的使用。

A3：

纯粹做信息收集监控的话，功能简单些，肯定不如完整的企业终端管控软件的，还得有管控，杀毒等功能。

其实企业给提供办公电脑，或者企业支付办公电脑采购费用，这就算企业资产，只要提前跟员工说明企业资产会监控使用情况，包括浏览器/聊天记录等等，并不算侵犯个人隐私吧。

而在员工不知情的情况下，收集员工的聊天数据/浏览器数据，即使是企业的资产，也是不对的。

A4：

我们现在就是用企微，飞书，不建议微信交流工作。

A5：

就看谁的法务知识丰富。公司的设备，我有权进行监控。为什么你的个人信息会在我的资产上面运行？

A6：

可以理解，但是我的疑问是，这个覆盖范围能否是包含管理层的全员？如果是含管理层的全员，那可以理解。其实员工在安全方面的泄露造成的危害，远不如管理层。如果最好，连董事会也监控了。

A7：

我觉得算吧，入职培训中讲明，还有员工手册说明，自己签字了，后面说自己没看也没用呀。前提就是工作设备是公司资产，这个合情合理。就怕有的老板，不给办公设备，还要监控员工。

这东西挺简单的，员工不知道，就算侵权。员工个人设备，就算侵权。 合法合规就一条路，公司提供办公设备，包括对外通讯工具等，全部是公司资产，并且提前告知员工监控事情。

A8：

可以投诉老板使用木马控制员工电脑。

A9：

这种事情一般只有银行券商那些隔离的内部交易网络的终端会安装，不过这种电脑无法上网，属于专用电脑。只要涉及到个人隐私的，比如私人文件，微信，qq等，这样干就属于违法。

A10：

普通公司能做到真合规监控的少，有人较真一告一个准。

A11：

从员工安全意识角度看，在公司用公司电脑、网络 就不要用个人的东西。公司和私人生活建立边界。

A12：

说明这家公司基本上没有员工个人信息保护相关的制度规范。

A13：

这种事，大概率发生在小公司，老板都对员工不重视，没有隐私或者权益这一说，更别提别的了。

A14：

其实用不了300块钱的，他们好像买贵了。主要还是看是公司的资产还是个人的电脑，如果个人电脑，这样做其实是有法律风险的。

A15：

向日葵能远程你电脑，DLP能检测到你所有的浏览和发言记录，你说这些到底是安全功能还是木马呢，只不过主要是监测而非常规理解的还有破坏。

re：DLP也只敢配置公司定义的核心数据/文件吧，要是记录全部的浏览和发言记录，这个日志量太大了。

re：管理边界问题吧，这就是安全软件和木马软件的区别。

A16：

我们刚刚全员签署了个人信息隐私政策告知书，每个人都签。

A17：

设立安全运营中心，实时监控和掌握安全边界的安全状况；

制定明确的信息收集规范、实施严格的ACL安全措施；

强化员工信息安全意识和行为、建立合规监督处理机制。

A18：

个人微信都不敢监视了，都是企微跟钉钉这种能监控到。

re：IPguard都说要停止了，因为腾讯会真的起诉他们。

re：我记得国内有一些上网行为管理设备也能通过流量层面捕获你微信的沟通记录。

A19：

案例参考如下图：

A20：

正规的DLP应该不会解析IM聊天内容展示的功能，有也不会直接告知吧，不过企业监视IM类聊天软件，有些直接就录屏了。

A21：

企业微信最好，离职了也能交接。公司用个人微信真是不怕员工离职把客户也带走。

A22：

既然有企业IM和邮箱，那么所有的都用IM和邮箱对接。之前我就被审计总监告诉我，被在后面说领导坏处，他有权限能看。

re：有的IM自带关键字监控的，都不需要DLP这种高级货，之前都配置过，完全就是领导兴趣爱好。

A23：

某某服之前也能通过某个平台监测员工聊天内容，后来被发律师函就没了。

A24：

如果是公司给你配的电脑，并且合同写明只用于办公没问题的吧？

A25：

有什么事和我的个保法和PII定级说去吧！

re：个保法看损失的。看看聊天记录如果没啥损失，都懒得管。

A26：

不慎收集到的个人信息需要使用安全的方法保存避免扩散给未授权群体，如果你们公司收集了员工个人信息然后没有保存好被各种原因扩散了，这个属于管理人员没有达到尽职尽责，要求赔偿损失是可以协商的，但是也只是协商了，除非你不想干了。有本事去和南*必胜客及龙*无敌手来一场协商。

A27：

公司给员工配置办公电脑，在办公电脑上所做的事情，公司有权进行监控。现在不好区分的是手机和手机号，既要生活，又和工作强相关。

A28：

我以前培训了三年的一线工程师，AC设备其实比这个做的很全面，不是一样正常使用。并且不只是聊天记录，加密的邮件全部能看。隐私是个人不想被打扰的权利，工作上哪能不被打扰，否则安全怎么管。

A29：

办公电脑上本就不应该处理非工作的事物，个人隐私在正常情况下也不会出现在办公电脑上吧。

A30：

微信还好吧，一般公司里面都有自己的沟通工具，企业微信、钉钉那些，也不允许个人微信加用户好友。主要还是手机号和手机没法区分开工作和生活。

A31：

分级管控咯，销售的终端可以特殊策略，只要不连内网或者只能访问特定内容就没问题。

A32：

主要的问题不是技术问题，而是法律问题。办公电脑不应该处理个人工作，那你加我微信，半夜给我派活，我微信参与处理工作了，要不要偶尔在公司电脑登录？

Q：对于内部应用众多的企业而言，如何着手开展数据保护（DPO）工作？关键核心又是什么？

A33：

核心就是梳理清楚有啥数据。连自己要保护什么数据都整不明白，开展什么保护工作？

A34：

针对应用进行分类分级，根据业务流程与涉及的数据类型进行优先级和重要性的标记，然后依次落地各项防护技术手段(可能涉及业务流程改造，敏感数据改造)。

核心1、一个是识别并标记资产；

核心2、是统一的身份权限管理；

核心3、是应对存量以及新增应用过程中数据安全风险的闭环管理(监控，审计，优化)。

A35：

数据分类分级我觉得银保监有个标准里写的挺好，分四类：客户数据，企业经营数据，业务数据和系统运行和安全管理数据。

做好数据分类分级，剩下的你就去和各个业务部门去battle这个数据到底谁管。一般按照人行新出的标准：“谁管业务，谁管业务数据，谁管数据安全”的原则往下派发，之后你在拉着各个部门去确认安全需求什么的。

再之后按照采集，存储、传输、使用、分享这几个过程，每个部门要干什么去推，这个找个牵头部门就可以，法务，信息技术、审计部都可以牵头，感觉没有必要重新组建个部门吧。

A36：

有没有请哪家机构去评估成熟度？看样子都是互联网跟金融单位，有热情搞。如果能独立出部门，基本是有诉求的人牵头拉部门。莫名组织架构成立一个独立部门的话，短时间内很难有作用。

A37：

我们总部就是新增了一个信息数据中心，专门搞数据这一块。感觉根本就推不动，各自的数据都拿的死死的，内部都很难流转起来，跟内部不同的业务部门对接数据都不行。跟安全沾点边都得由政策和事件驱动。

A38：

关键核心一是领导层支持，二是资产梳理吧。

A39：

数据在业务部门手里，不怎么配合你制定的安全策略的话会推不动。需要先拿下业务部门的老大。如果只考虑执行，那就下分类分级，定责任人，定期开会拉起进度。

A40：

把涉及到个人数据业务系统负责人全部拉群，拉老板进群，每天上下班抄送两个邮件给老板高管，同步进度，不听话的直接群里@老板。

A41：

目前我这边做下来，还在第二步介于第三步，分类分级以及数据流梳理上，感觉单应用的分类分级和权限整起来很快，但是数据流这个东西还不清楚怎么弄。

A42：

关键核心只能是数据生命周期管控，其他的从管理制度到控制执行和数据横向流转监测吧，最重要的数据资产由内部各部门自己评估交由专业人员审核确定。

这个很明显，数据安全和管理肯定不能是单一的安全部门主导，还有业务部门本身业务的评价也是很重要的。

A43：

企业内部应用数据保护工作落地步骤：

1. 数据资产摸底。梳理所有内部应用的数据类型、数据流转链路及数据分级分类，明确各应用的数据责任主体。

2. 合规与风险评估。对照《个人信息保护法》《数据安全法》等法规要求，结合企业业务场景，识别内部应用在数据处理环节的合规缺口与安全风险。

3. 制度与流程搭建。制定覆盖数据全生命周期的管理制度，明确跨部门协同机制。

4. 技术措施落地。针对不同分级数据部署技术防护手段：敏感数据脱敏/加密、访问权限最小化管控、数据操作审计日志、异常行为监测告警；同时对内部应用进行安全加固。

5. 人员与运营保障。开展全员数据安全培训，明确数据保护岗位职责。

A44：

数据保护（DPO）工作的核心是实现数据“可控、可管、可追溯”，本质围绕数据分级分类与全生命周期管控两大关键点。

数据分级分类是前提，决定了防护措施的优先级与投入力度，避免“一刀切”式防护；

全生命周期管控是核心手段，确保数据从产生到销毁的每一个环节都有明确的规则、技术防护和责任主体，同时满足合规审计与风险应对需求。

A45：

资产摸底就是各业务部门自己梳理现有的信息资产，自行评定等级密级和需要做到什么样的保护，这个搞来搞去就是ISO27000那一套了。

A46：

我们前段时间刚落地过一轮，在没有额外经费的前提下第一步不是上工具，而是明确数据责任。先从业务视角区分数据价值，至少区分：商业敏感数据、个人信息 / 敏感信息。

第二、做分类分级，结合系统维度梳理：哪些系统存了哪些类型的数据，谁是数据责任人，而不是只看系统重要性。

第三、从源头管控，有 DC / 大数据平台，优先在数据汇聚和加工阶段完成数据打标，把分类分级前移到数据源头。

关键核心在于：让数据在整个流转过程中“带标签流动”，后续无论是权限、脱敏、导出还是跨系统使用，都可以基于规则进行控制，而不是事后靠人工兜底。

数据安全是帮助大家管理数据，目的是降低数据泄露的风险。朝着这个去干就对了。

Q：已通过软考中级网络安全工程师认证的安全从业者，未来有哪些职业进阶路径？

A47：

线上或线下搞个有收入的副业，有追求梦想和防止意外事件的能力。

A48：

高项、网规、系规、高架、系分一个个学呗。

A49：

软考只有搞职称有几点用，所以还是进事业单位国企那些更好。

A50：

职称的话主要看你的单位性质，甲方的话就是晋升用。例如晋升的话需要什么什么职称，涨工资的话需要什么职称。如果没有这些要求的话，那么考职称的意义就是将来当个评标专家，挣点外快。

乙方的话，你考职称或者证书就是为了帮公司控标，而且考的职称和证书要非常高或者非常冷门，这样才管用。其他情况下考出来就考出来仅此而已。

未来职业规划要看你自己，看你想走什么路线，不过对于你选择的任何路线来说，你考出的证书只有锦上添花的作用。

A51：

这软考认证，估计还没有CISP好使。

A52：

还是考学历吧。至少得有个本科学历，否则后面很多证还不让考。

A53：

软考高级过了有些省份就可以给E类人才，然后花钱整点成果，不复杂。

A54：

建议考过了的就不要嘚瑟了。

A55：

软考对求职没啥帮助，还不如cisp这种人手一张上岗证，软考里对求职有帮助的可能就是项目管理了，至少能竞标。当然到一定级别进专家库是有用的。

A56：

个人建议啊, 不要迷茫, 自己想干啥就干啥, 所谓的职业规划有个锤子用, 都是领导们PUA的产物。

单纯从技术角度说的话: 去看看 boss 直聘, 关注下相关行业的技术要求, 想自己研究点什么就自己研究什么。

从公司角度说的话: 你想在公司干一辈子, 公司能让你干一辈子吗？

A57：

对国外来说，CISSP是行业向上发展的刚需。但对国内来说，不管CISP、CISSP，不如985的学位证有用。现在学历卷的厉害，证书根本不看的。

A58：

就个人经历而言，几乎都没啥用，如果非要想考来系统化理解，去看些国际认证。

A59：

这个证书没啥直接用，在国央企事业单位稍好。

未来职业路径看个人的追求和性格，以及人生对于你的意义是什么，工作会是实现人生意义的重要途径或手段。安全，糊口可以，发财不能。

后续的话，General有技术路径和技术转管理，小概率尽头是大平台的CISO，大概率是安全某个领域的负责人，或失业转运维。

高级证书的话，可考虑CISSP、OSCP。

A60：

现在招聘信息上要的是全能型，既要会安全运维还有会安全渗透，桌面运维服务器运维也要会，上能搓代码，下能接网线，证书感觉没啥用。

re：平均10个安全岗位, 其中3个要求你懂网络, 3个要求你懂运维应急k8s, 还有3个要求你懂开发。

本周话题总结

本期话题围绕企业监控员工事件、企业数据保护（DPO）工作的开展路径、软考中级认证后的职业进阶路径进行分享。

对于企业监控员工事件，广大甲方认为：

• 企业监控员工行为的合法性边界在于资产归属与知情同意。当企业提供的办公设备（如电脑、网络）仅用于工作目的时，企业有权在提前明确告知（如入职协议、隐私政策）的前提下，监控工作相关数据（如外发行为、业务聊天记录），但不得侵犯私人隐私（如个人微信、非工作文件）；反之，若使用员工个人设备或未充分告知，则构成违法。

• 企业应与员工签署书面协议，并避免监控管理层以外的群体以体现公平；员工也需自觉区分公私边界，不在办公设备处理私事。本质是平衡企业资产保护与个人隐私权，核心在于“透明化”与“合规化”，而非技术成本高低。

数据保护（DPO）工作可以从以下方面展开：

• 首要步骤是全面梳理数据资产，对内部应用进行分类分级（如客户数据、业务数据），并明确责任主体（遵循“谁管业务，谁管数据安全”原则）。

• 关键核心在于实现数据全生命周期的“可控、可管、可追溯”，即通过制度（如合规审计机制）、技术（如敏感数据脱敏、权限最小化）和人员协作（跨部门联动、领导层支持），确保数据在采集、存储、流转等各环节“带标签流动”，避免“一刀切”防护。

• 成功落地依赖业务部门深度参与——优先在数据源头（如大数据平台）打标分类，并辅以持续培训与闭环优化，而非单纯依赖工具投入，最终目标是将数据安全融入业务流程，降低泄露风险。

软考中级认证后的职业进阶路径有如下方向：

• 通过软考中级认证的安全从业者，职业进阶需超越证书本身，聚焦能力多元化与市场需求。

• 短期可深化垂直领域技能（如渗透测试、运维应急、云安全），考取国际认证（如CISSP、OSCP）或学历提升（本科为门槛）。

• 中长期路径分技术与管理双轨——技术路线成为细分领域专家（如数据安全架构师），管理路线向CISO发展，但均需积累跨职能经验（如懂开发、网络、合规）。

• 目前，国内就业更看重实际能力（如K8s运维、代码能力）与学历背景，软考证书仅在国企晋升或评标时具辅助价值；而个人成功关键在于动态适应岗位需求（如全能型人才），避免过度依赖证书，同时可探索副业或细分赛道（如隐私合规）以拓宽发展空间。

近期群内答疑解惑

Q：请教大家一个问题，根据个保法规定， 比如A是一个服务网站， B是客户，注册了，A网站的隐私协议说 主体有权要求删除个人信息，但B打电话给A要求删除个人信息， A是否有权利要求B提供身份证号 人脸头像等信息去核实？如果是，那么A又侵犯了个保法权益，如果否，那么A无法验证B是否本人还是被盗号了

A1：

自行注销账号不就可以了，为什么要把销户推给服务商？

A2：

自行注销也是需要验证身份信息才会通过的。一般是账号注销时会再单独制定个协议，说明清楚注销的时候收集的个人信息如何保护就行了。

这个就是模糊地带了。之前梳理的要求只有“在受理用户请求前，应设置身份验证机制（如手机短信验证、回答先前设置的安全问题），不应设置不合理的身份验证条件，提供身份验证信息不应多于注册、使用等服务环节收集的个人信息类型”。

“对于注销账户，需收集敏感个人信息核验身份时，应明确对收集敏感个人信息后的处理措施，如达成目的后立即删除或匿名化处理等；当个人信息主体选择注销账户以后，业务部门应当将其个人信息匿名化处理，如有必要直接删除所有相关数据。”

A3：

简单，去找第三方接口来验证。政府、运营商等都有这种。

A4：

收集什么，提供什么核对，核对也符合隐私协议和使用范围，参照三大运营商。

A5：

看地区，如果是国外，不太会支持手机，一般可能就是邮箱验证码验证之类的。国内大部分都是通过身份证和手机短信进行确认身份信息。隐私协议中也都会说明，需要进行认证确认，不可能你一提就给你注销，没有任何确认身份方式。

Q：大佬们，个人信息要求明确存储期限，这个有啥判定参考依据吗？或者说这个期限一定是具体的值吗？

A1：

个保法写的啊，满足XXX最小要求就行。没法明确到具体。

A2：

数据安全法、网络安全法里找个最低要求嘛。

A3：

保存期限：我们只会在达成本政策所述目的所需的期限内保留您的个人信息，除非法律法规有强制的留存要求，例如《中华人民共和国电子商务法》要求商品和服务信息、交易信息保存时间自交易完成之日起不少于三年。我们判断个人信息的存储期限主要参考以下标准并以其中较长者为准：完成与您相关的交易目的、维护相应交易及业务记录，以应对您可能的查询或投诉；保证我们为您提供服务的安全和质量；您是否同意更长的留存期间；是否存在关于保留期限的其他特别约定或法律法规规定。

在超出保留期间后，我们会根据适用法律的要求删除您的个人信息，或使其匿名化处理。在您主动注销账号时，我们将根据法律法规的要求进行数据处理。

A4：

写细点不会错。前提是你们能明确。

re：还是尽量模糊吧，万一哪一项没做到，审计来了，还得解释和修正。

Q：各位师傅，安全厂商到咱们公司，给咱们核心设备做渗透测试需要全程录屏吗？

A1：

需要有授权，授权说明允许的范围，超出范围了并且造成业务中断，告他们。

A2：

保密协议是基础，一定要签，这个也不会有啥成本和对方不情愿的情况，在这个上面，有些单位会要求用他们的电脑来做测试。

A3：

之前遇到的是给厂商时间，让他们自己来装软件，录屏也是装在测试电脑上。不然在厂商的电脑上装录屏，人家不乐意。那会是和攻防演练平台一起的配套工具。

送你一本网安人的小绿书

光看不过瘾？想要加入话题深入交流？

那就来FreeBuf知识大陆电台小程序

网安人的“小绿书”

找报告、搜文档行业新闻 、经验分享、职场八卦、同行互动

AI变声和匿名功能

专为社恐人士打造

让大家以更轻松的姿态

随时随地，想聊就聊

我们已经邀请数位网安行业大牛开设电台房间

等你来「撩」

甲方群最新动态

往期话题回顾：

低成本数据保护及访问控制落地方法；假期安全值守技巧分享

公共组件的安全管理经验分享；网络安全法等法规的合规落地探讨

桌面应用程序漏洞应急响应流程建立；软件静默升级的安全与合规风险探讨丨FB甲方群话题讨论

银狐病毒的扩散防控；如何建立高效闭环的漏洞运营体系 | FB甲方群话题讨论

溯源反制弥补丢失分数的方法；高频告警响应处理流程探讨 | FB甲方群话题讨论

FreeBuf甲方社群每周开展不同的话题讨论，快来扫码加入我们吧！

【申请流程：扫码申请-后台审核（2-5个工作日）-邮件通知-加入社群】

注：目前1群、2群、3群已满，如有疑问，也可添加Kiki群助手微信：freebuf1024，备注：甲方会员

“FreeBuf甲方群”帮会已建立，该帮会以三大甲方社群为基础，连接1300+甲方，持续不断输出、汇总各行业知识干货，打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口，让我们一同加入，共同建设帮会内容体系，丰富学习交流地。

FreeBuf甲方群成员（因篇幅限制仅展现部分行业成员）：