4.1　背景及定义

4.1.1　定义

简单地说，合规管理就是在一个相对明确的法规、制度和要求下，为达到标准而进行的一系列活动的集合。根据行业地位和企业性质，在国家相关法律法规的指导下，建立自身的合规机制，熟悉安全标准和等级保护2.0标准，协助企业规范化工作，配合公安部、工业和信息化部、互联网信息部等国家机关和其他国家单位的检查。在网络安全合规项目实施和检查的过程中，在项目范围、时间、成本“三重约束”下，在满足网络安全合规要求的同时综合权衡多个决策目标，制定最理想的安全方案，实施安全工程是实施此类项目管理所追求的目标。

4.1.2　现状和挑战

长期以来，各行各业都强调规范化管理，使公司自身的发展能够适应时代的需要，从而提高公司抵御风险的能力。近年来，信息产业发展迅速，各企业也更加重视信息化建设，使企业能够利用信息和网络技术提高公司的生产和管理能力。但与此同时，网络黑客和信息泄露也威胁着企业和企业的核心利益。考虑到当今不断变化的威胁环境，公司希望采取积极主动的方法来应对威胁，创建一个持续兼容的环境，并拥有一个快速响应的IT运营流程。对此，建设安全合规的管理已成为当务之急。

网络犯罪在频率、影响和复杂性上不断升级，公司（无论大小）和所属行业都受到威胁。数据泄露或网络入侵事件可能会导致公司失去客户、利润和声誉，对运营造成持续损害，并威胁数据完整性。对一些公司来说，这些损失可能是痛苦的，甚至是无法挽回的，所以，企业必须建立以应对当今复杂的威胁形势的安全合规的管理体系。去年和前一年的解决方案需要根据当前的价值主张进行重新评估，而随着价值主张的改进，其中一些技术和供应商的合作关系将继续向前推进。为了生存和提供价值，企业需要做出巨大的变化和适应。