镣铐之舞：美团点评安全工程师Black Hat USA纵论安全内控体系建设实践

2018年8月9日，全球顶级安全会议——Black Hat USA在美国拉斯维加斯的曼德勒海湾会议中心落下帷幕，这场盛会在全球黑客心中几乎等同于“世界杯”和“奥斯卡”一样的存在。这场一年一度的盛会已经有着21年的悠久历史，也被公认为世界信息安全行业的最高盛会之一。

作为国内互联网头部企业，美团点评受邀参与本届Black Hat USA，并派出安全工程师带来精彩演讲，分享美团点评在安全内控体系建设方面的实践经验。在题为《镣铐之舞：美团点评安全内控体系建设实践》的演讲中，美团点评安全工程师从理念、思路和方法三个方面，全面剖析了美团点评的安全内控体系建设实践，引起了现场观众的广泛共鸣和热烈反响。

理念先行，安全内控体系建设的基石

安全内控体系建设是一项复杂且艰巨的任务，如果没有明确的理念作为指导，很容易陷入迷茫和混乱。美团点评的安全内控体系建设实践，始终坚持以下三个理念：

1. 安全是业务的基石，安全内控体系建设必须服务于业务发展。 只有将安全内控体系建设与业务发展紧密结合，才能确保安全内控体系建设的有效性和实用性。
2. 安全内控体系建设是一项持续的过程，需要不断完善和优化。 随着业务发展和安全威胁的不断变化，安全内控体系建设也需要不断调整和完善，以确保其适应性和有效性。
3. 安全内控体系建设需要全员参与，共同营造良好的安全文化。 安全内控体系建设不是安全部门的独角戏，需要全员参与，共同营造良好的安全文化，才能确保安全内控体系建设的落地和执行。

思路清晰，安全内控体系建设的路径

基于上述理念，美团点评的安全内控体系建设实践，主要遵循以下思路：

1. 明确安全内控目标，制定清晰的目标体系。 明确安全内控的目标，是安全内控体系建设的基础和前提。美团点评的安全内控目标，是构建一个完善、有效、可持续的安全内控体系，保障业务安全、合规和稳定运行。
2. 建立健全安全内控制度体系，形成制度保障。 安全内控制度体系是安全内控体系建设的核心，是安全内控工作的纲领和依据。美团点评建立了覆盖安全管理、风险管理、合规管理、信息安全管理等方面的安全内控制度体系，为安全内控体系建设提供了制度保障。
3. 构建安全内控组织架构，明确职责分工。 安全内控组织架构是安全内控体系建设的组织基础，明确职责分工是安全内控体系建设的关键。美团点评建立了完善的安全内控组织架构，明确了各部门、各岗位的安全内控职责，为安全内控体系建设提供了组织保障。
4. 实施安全内控措施，保障体系落地。 安全内控措施是安全内控体系建设的具体体现，是保障体系落地执行的关键。美团点评实施了一系列安全内控措施，包括安全风险评估、安全合规检查、安全事件处置、安全培训和教育等，为安全内控体系建设提供了措施保障。
5. 建立安全内控监控体系，确保体系有效性。 安全内控监控体系是安全内控体系建设的监督和检查机制，是确保体系有效性的关键。美团点评建立了完善的安全内控监控体系，对安全内控体系的运行情况进行监督和检查，确保安全内控体系的有效性。

方法得当，安全内控体系建设的实践

在具体实践中，美团点评的安全内控体系建设主要采用了以下方法：

1. 风险导向，以风险管理为基础。 风险管理是安全内控体系建设的基础，通过风险评估和风险管理，可以有效识别和管控安全风险，为安全内控体系建设提供决策依据。
2. 合规驱动，确保合规性。 合规性是安全内控体系建设的重要目标，通过合规检查和合规认证，可以有效确保安全内控体系建设符合相关法律法规和行业标准的要求。
3. 技术赋能，提升效率和效能。 技术是安全内控体系建设的重要手段，通过安全技术和信息技术的应用，可以有效提升安全内控体系建设的效率和效能。
4. 文化熏陶，营造良好安全文化。 安全文化是安全内控体系建设的软实力，通过安全培训和教育、安全文化建设等手段，可以有效营造良好的安全文化，为安全内控体系建设提供文化支撑。

美团点评的安全内控体系建设实践，始终坚持理念先行、思路清晰、方法得当，通过风险导向、合规驱动、技术赋能、文化熏陶等方法，构建了一套完善、有效、可持续的安全内控体系，保障了业务安全、合规和稳定运行，为美团点评的高速发展提供了坚实