第四,数字化转型需要相应的信息安全管理体系及技术手段为企业合规运营保驾护航。这个月国家正式发布了等保2.0的国标,其实对很多企业来讲国家的战略“一带一路”,我们已经和整个世界连接起来了,我们很多中国的企业做生意也做到海外了。比如说像欧洲的GDPR,这个就很麻烦,不知道大家有没有研究过这个东西。他要求你在欧洲有生意,你达不到他的要求就一定处罚得很严格,而且这个要求很难做到,包括欧洲内部现在有很多人对这个东西也有很大的争议,但是它已经实施了,没有办法,只能遵守。国家也在制定控制指南,等保也已经通过了。比如说我们是一家做电动汽车的公司,我们现在也有计划到美国去开工厂,特斯拉进中国了,我们希望把我们的电动车卖到美国去,我们就要符合美国法律的要求,这是企业层面的要求。
这是信息安全建设面临的风险和挑战,这个模版给大家展示的是根据我们自己企业的情况做的分析,每个企业的情况不一样,大家可以做一个参考。随着企业数字化转型的深入,传统意义上固定的安全边界已经消失了,工业互联网、移动办公、云计算、IOT等使信息跨越了办公边界而自由流动。尤其是汽车的电动化、网联化、共享化趋势,使得新兴技术的发展应用在提高工作效率,满足客户体验同时,特别是政策性影响,也给安全技术带来了新的风险、挑战和要求。我们从数据保护、移动办公、云计算、安全运营中心在具体的业务层面,我们从它的特点入手,做了这样的一个分析。
比如汽车在法规上面的风险,可能同行会了解,你买了电动汽车,从你出厂的那一天开始,24小时的数据都要掌握,国家国标要求是必须24小时监控。从理论上来讲,各位买了电动汽车走到哪儿去我都能看到,你整个车辆的状态我也能看到,这是法律要求的。而且国家要求企业能够随时上传这些信息,之前做这个事是为了骗补,但是现在为什么继续做这件事呢?我个人揣度可能是安全方面的原因。现在不仅是特斯拉,还有其他国内的厂商放在车库里面就着了,这是非常危险的一件事情,厂商有义务做这件事,这是法规层面上的。
这是基于信息安全建设的必要性和迫切性,我们进行了分析。当然由于行业的不同、企业性质的不同,各位可以参考一下。我们企业安全的要求是从全球合规的遵从、业务和产品安全、数据资产保护、防黑客攻击、系统可用性保障,其实大多数企业安全这件事也没有我们想象的那么复杂,大家老觉得做安全千头万绪,不知道从哪里入手,只能被动的应对和防御。其实你仔细的去梳理一下,你会发现没有这么多的内容,你的思路就很清晰了。右侧是我们企业现在信息安全的现状,大家参考一下就好了。我们的信息安全从管理的角度来说,第一是安全组织不完善,安全管理制度和流程不完善,以前是解决有没有的问题,等工厂建立起来就要解决好不好的问题了。第二是信息安全技术,这个不给大家再读了。第三是人员安全意识,第四是安全事件。这个还是那句话,每个企业的情况不一样,大家可以参考,用这样的思路和方法去开展这项工作。
我们的企业信息安全工作怎么做,这张表我给大家展示一下,主要是给大家开拓一下思路,我们的整个工作思路是沿着什么方法去走的。大家注意一下,这里我们把我们的风险分成了两类,一个是管理的风险、一个是技术的风险。为什么把这张片子给大家,后面我可能还要重点阐述一下。比如说我们特别关注的信息安全组织缺失、信息安全管理制度缺失、员工安全意识不足,我们列到了前面,在技术层面我们可能会把这些问题往后放。
前面是关于我们面临的风险和挑战,第二部分我想分享的是安全规划的策略和目标。这张图是我正式分享之前给大家做一个小调查的原因,其实信息安全总的来源是哪里呢?从企业的战略规划到IT规划,这个时候才有了信息安全的规划。然后逐步的往后推演,我们才能制定出信息安全的原则选择,最后制定出我们信息安全的策略。这是我们企业的一个情况,我们从企业战略规划到信息化规划一路下来,我们的安全规划战略要求只有4点,和公司的战略保持一致,满足企业业务需求,体现信息部门的价值,符合相应的法律法规。我们就梳理了这4点,也是非常宏观的。
其实中间这张图很有意思,中间这张图体现了我们在做信息安全过程中所有CIO的痛点,越安全就越不易用,越易用就越不安全,这是一个始终无法解决的矛盾。我们是根据整个公司的企业文化、管理现状、安全现状分了左右两列,信息安全投入和使用是要做一个平衡的,大家看下面是一个跷跷板,大家要做好平衡。你是更关注安全,还是更关注业务。因为我们家的母公司是一家设计公司,大多数搞设计的人都比较自由,不喜欢受束缚。所以你看我们会有合规文化和企业文化的对比分析,大家看这张图要做的工作非常多,今天没有时间给大家展开分享,如果感兴趣的我们可以在会后再展开讲。
但是这件事非常重要,这件事是整个信息安全尺度平衡的把握,包括对你后面的投资都很重要。你做好了这项工作,就可以把整个策略制定出来了。我们的信息安全策略是保障企业正常运营和效率的同时,采用一切必要的管理和技术手段,我们把管理放在前面了,没有把技术放在前面。为什么呢,后续给大家分享的时候我还会阐述这个观点。确保企业信息安全运营符合相应法律法规的要求,这就是我们整个企业信息安全规划的整体策略。
这是我们的目标,这个图大家看到了,我们的整个信息安全建设的目标就是通过“人防”+“技防”,实现“事前防范、事中控制、事后追溯”的管理目标,全面降低企业信息安全风险,实现合规运营。主要是4点:涉密信息拿不走,黑客进不来,安全不违规,特权不滥用,其实信息安全不复杂,就这么4件事。
涉密信息拿不走,主要是防范员工无意泄密,防范员工故意泄密,防范外来人员泄密。我们自己统计过,我们自己企业发生的所有泄密信息60%左右是由于员工的无意识造成的,真正有意识的非常少,不到10%,大概5%到7%。故意泄密这个东西就要不怕贼偷,就怕贼惦记你,我个人认为是无法防范的。黑客进不来是外部攻击要防范,防范外部攻击导致系统瘫痪和数据泄露或破坏。安全不违规是遵从国内外法律法规的要求,特权不滥用是做整个信息规划的时候重点研究的,因为很多企业灯下黑,我这个地方写的是防止IT人员利用运维权限窃取或破坏,防止IT人员误操作操作系统故障,实际上里面还有一个问题,就是说我们整个这一块还有高管层的权限,因为权限比较高,怎么去防范。
我们没有找到一个很好的工具,我们希望找到一个很好的工具做这件事,我们借用了信息安全成熟度滑动标尺作为工具进行行业对标,确定了信息安全建设中期目标。这是我们做安全规划之前做的企业行业对标,这个是我们和一个安全厂商做的,我们当年规划的时候是在1.0的水平,威马未来大概能做到3.0,上汽大概能在3.5左右,国外是苹果,国内是耳熟能详的华为。这是我们的指导理念,就是“P.P.T”。在企业是规章制度,再次是人,再次是技术。我们始终认为,制度和人是关键、是核心,技术是我们的手段。