第四，數(shù)字化轉(zhuǎn)型需要相應(yīng)的信息安全管理體系及技術(shù)手段為企業(yè)合規(guī)運(yùn)營保駕護(hù)航。這個月國家正式發(fā)布了等保2．0的國標(biāo)，其實對很多企業(yè)來講國家的戰(zhàn)略“一帶一路”，我們已經(jīng)和整個世界連接起來了，我們很多中國的企業(yè)做生意也做到海外了。比如說像歐洲的GDPR，這個就很麻煩，不知道大家有沒有研究過這個東西。他要求你在歐洲有生意，你達(dá)不到他的要求就一定處罰得很嚴(yán)格，而且這個要求很難做到，包括歐洲內(nèi)部現(xiàn)在有很多人對這個東西也有很大的爭議，但是它已經(jīng)實施了，沒有辦法，只能遵守。國家也在制定控制指南，等保也已經(jīng)通過了。比如說我們是一家做電動汽車的公司，我們現(xiàn)在也有計劃到美國去開工廠，特斯拉進(jìn)中國了，我們希望把我們的電動車賣到美國去，我們就要符合美國法律的要求，這是企業(yè)層面的要求。

這是信息安全建設(shè)面臨的風(fēng)險和挑戰(zhàn)，這個模版給大家展示的是根據(jù)我們自己企業(yè)的情況做的分析，每個企業(yè)的情況不一樣，大家可以做一個參考。隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入，傳統(tǒng)意義上固定的安全邊界已經(jīng)消失了，工業(yè)互聯(lián)網(wǎng)、移動辦公、云計算、IOT等使信息跨越了辦公邊界而自由流動。尤其是汽車的電動化、網(wǎng)聯(lián)化、共享化趨勢，使得新興技術(shù)的發(fā)展應(yīng)用在提高工作效率，滿足客戶體驗同時，特別是政策性影響，也給安全技術(shù)帶來了新的風(fēng)險、挑戰(zhàn)和要求。我們從數(shù)據(jù)保護(hù)、移動辦公、云計算、安全運(yùn)營中心在具體的業(yè)務(wù)層面，我們從它的特點入手，做了這樣的一個分析。

比如汽車在法規(guī)上面的風(fēng)險，可能同行會了解，你買了電動汽車，從你出廠的那一天開始，24小時的數(shù)據(jù)都要掌握，國家國標(biāo)要求是必須24小時監(jiān)控。從理論上來講，各位買了電動汽車走到哪兒去我都能看到，你整個車輛的狀態(tài)我也能看到，這是法律要求的。而且國家要求企業(yè)能夠隨時上傳這些信息，之前做這個事是為了騙補(bǔ)，但是現(xiàn)在為什么繼續(xù)做這件事呢？我個人揣度可能是安全方面的原因。現(xiàn)在不僅是特斯拉，還有其他國內(nèi)的廠商放在車庫里面就著了，這是非常危險的一件事情，廠商有義務(wù)做這件事，這是法規(guī)層面上的。

這是基于信息安全建設(shè)的必要性和迫切性，我們進(jìn)行了分析。當(dāng)然由于行業(yè)的不同、企業(yè)性質(zhì)的不同，各位可以參考一下。我們企業(yè)安全的要求是從全球合規(guī)的遵從、業(yè)務(wù)和產(chǎn)品安全、數(shù)據(jù)資產(chǎn)保護(hù)、防黑客攻擊、系統(tǒng)可用性保障，其實大多數(shù)企業(yè)安全這件事也沒有我們想象的那么復(fù)雜，大家老覺得做安全千頭萬緒，不知道從哪里入手，只能被動的應(yīng)對和防御。其實你仔細(xì)的去梳理一下，你會發(fā)現(xiàn)沒有這么多的內(nèi)容，你的思路就很清晰了。右側(cè)是我們企業(yè)現(xiàn)在信息安全的現(xiàn)狀，大家參考一下就好了。我們的信息安全從管理的角度來說，第一是安全組織不完善，安全管理制度和流程不完善，以前是解決有沒有的問題，等工廠建立起來就要解決好不好的問題了。第二是信息安全技術(shù)，這個不給大家再讀了。第三是人員安全意識，第四是安全事件。這個還是那句話，每個企業(yè)的情況不一樣，大家可以參考，用這樣的思路和方法去開展這項工作。

我們的企業(yè)信息安全工作怎么做，這張表我給大家展示一下，主要是給大家開拓一下思路，我們的整個工作思路是沿著什么方法去走的。大家注意一下，這里我們把我們的風(fēng)險分成了兩類，一個是管理的風(fēng)險、一個是技術(shù)的風(fēng)險。為什么把這張片子給大家，后面我可能還要重點闡述一下。比如說我們特別關(guān)注的信息安全組織缺失、信息安全管理制度缺失、員工安全意識不足，我們列到了前面，在技術(shù)層面我們可能會把這些問題往后放。

前面是關(guān)于我們面臨的風(fēng)險和挑戰(zhàn)，第二部分我想分享的是安全規(guī)劃的策略和目標(biāo)。這張圖是我正式分享之前給大家做一個小調(diào)查的原因，其實信息安全總的來源是哪里呢？從企業(yè)的戰(zhàn)略規(guī)劃到IT規(guī)劃，這個時候才有了信息安全的規(guī)劃。然后逐步的往后推演，我們才能制定出信息安全的原則選擇，最后制定出我們信息安全的策略。這是我們企業(yè)的一個情況，我們從企業(yè)戰(zhàn)略規(guī)劃到信息化規(guī)劃一路下來，我們的安全規(guī)劃戰(zhàn)略要求只有4點，和公司的戰(zhàn)略保持一致，滿足企業(yè)業(yè)務(wù)需求，體現(xiàn)信息部門的價值，符合相應(yīng)的法律法規(guī)。我們就梳理了這4點，也是非常宏觀的。

其實中間這張圖很有意思，中間這張圖體現(xiàn)了我們在做信息安全過程中所有CIO的痛點，越安全就越不易用，越易用就越不安全，這是一個始終無法解決的矛盾。我們是根據(jù)整個公司的企業(yè)文化、管理現(xiàn)狀、安全現(xiàn)狀分了左右兩列，信息安全投入和使用是要做一個平衡的，大家看下面是一個蹺蹺板，大家要做好平衡。你是更關(guān)注安全，還是更關(guān)注業(yè)務(wù)。因為我們家的母公司是一家設(shè)計公司，大多數(shù)搞設(shè)計的人都比較自由，不喜歡受束縛。所以你看我們會有合規(guī)文化和企業(yè)文化的對比分析，大家看這張圖要做的工作非常多，今天沒有時間給大家展開分享，如果感興趣的我們可以在會后再展開講。

但是這件事非常重要，這件事是整個信息安全尺度平衡的把握，包括對你后面的投資都很重要。你做好了這項工作，就可以把整個策略制定出來了。我們的信息安全策略是保障企業(yè)正常運(yùn)營和效率的同時，采用一切必要的管理和技術(shù)手段，我們把管理放在前面了，沒有把技術(shù)放在前面。為什么呢，后續(xù)給大家分享的時候我還會闡述這個觀點。確保企業(yè)信息安全運(yùn)營符合相應(yīng)法律法規(guī)的要求，這就是我們整個企業(yè)信息安全規(guī)劃的整體策略。

這是我們的目標(biāo)，這個圖大家看到了，我們的整個信息安全建設(shè)的目標(biāo)就是通過“人防”＋“技防”，實現(xiàn)“事前防范、事中控制、事后追溯”的管理目標(biāo)，全面降低企業(yè)信息安全風(fēng)險，實現(xiàn)合規(guī)運(yùn)營。主要是4點：涉密信息拿不走，黑客進(jìn)不來，安全不違規(guī)，特權(quán)不濫用，其實信息安全不復(fù)雜，就這么4件事。

涉密信息拿不走，主要是防范員工無意泄密，防范員工故意泄密，防范外來人員泄密。我們自己統(tǒng)計過，我們自己企業(yè)發(fā)生的所有泄密信息60％左右是由于員工的無意識造成的，真正有意識的非常少，不到10％，大概5％到7％。故意泄密這個東西就要不怕賊偷，就怕賊惦記你，我個人認(rèn)為是無法防范的。黑客進(jìn)不來是外部攻擊要防范，防范外部攻擊導(dǎo)致系統(tǒng)癱瘓和數(shù)據(jù)泄露或破壞。安全不違規(guī)是遵從國內(nèi)外法律法規(guī)的要求，特權(quán)不濫用是做整個信息規(guī)劃的時候重點研究的，因為很多企業(yè)燈下黑，我這個地方寫的是防止IT人員利用運(yùn)維權(quán)限竊取或破壞，防止IT人員誤操作操作系統(tǒng)故障，實際上里面還有一個問題，就是說我們整個這一塊還有高管層的權(quán)限，因為權(quán)限比較高，怎么去防范。

我們沒有找到一個很好的工具，我們希望找到一個很好的工具做這件事，我們借用了信息安全成熟度滑動標(biāo)尺作為工具進(jìn)行行業(yè)對標(biāo)，確定了信息安全建設(shè)中期目標(biāo)。這是我們做安全規(guī)劃之前做的企業(yè)行業(yè)對標(biāo)，這個是我們和一個安全廠商做的，我們當(dāng)年規(guī)劃的時候是在1．0的水平，威馬未來大概能做到3．0，上汽大概能在3．5左右，國外是蘋果，國內(nèi)是耳熟能詳?shù)娜A為。這是我們的指導(dǎo)理念，就是“P．P．T”。在企業(yè)是規(guī)章制度，再次是人，再次是技術(shù)。我們始終認(rèn)為，制度和人是關(guān)鍵、是核心，技術(shù)是我們的手段。