第四，數(shù)字化轉(zhuǎn)型需要相應(yīng)的信息安全管理體系及技術(shù)手段為企業(yè)合規(guī)運(yùn)營(yíng)保駕護(hù)航。這個(gè)月國(guó)家正式發(fā)布了等保2．0的國(guó)標(biāo)，其實(shí)對(duì)很多企業(yè)來(lái)講國(guó)家的戰(zhàn)略“一帶一路”，我們已經(jīng)和整個(gè)世界連接起來(lái)了，我們很多中國(guó)的企業(yè)做生意也做到海外了。比如說(shuō)像歐洲的GDPR，這個(gè)就很麻煩，不知道大家有沒(méi)有研究過(guò)這個(gè)東西。他要求你在歐洲有生意，你達(dá)不到他的要求就一定處罰得很?chē)?yán)格，而且這個(gè)要求很難做到，包括歐洲內(nèi)部現(xiàn)在有很多人對(duì)這個(gè)東西也有很大的爭(zhēng)議，但是它已經(jīng)實(shí)施了，沒(méi)有辦法，只能遵守。國(guó)家也在制定控制指南，等保也已經(jīng)通過(guò)了。比如說(shuō)我們是一家做電動(dòng)汽車(chē)的公司，我們現(xiàn)在也有計(jì)劃到美國(guó)去開(kāi)工廠，特斯拉進(jìn)中國(guó)了，我們希望把我們的電動(dòng)車(chē)賣(mài)到美國(guó)去，我們就要符合美國(guó)法律的要求，這是企業(yè)層面的要求。

這是信息安全建設(shè)面臨的風(fēng)險(xiǎn)和挑戰(zhàn)，這個(gè)模版給大家展示的是根據(jù)我們自己企業(yè)的情況做的分析，每個(gè)企業(yè)的情況不一樣，大家可以做一個(gè)參考。隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入，傳統(tǒng)意義上固定的安全邊界已經(jīng)消失了，工業(yè)互聯(lián)網(wǎng)、移動(dòng)辦公、云計(jì)算、IOT等使信息跨越了辦公邊界而自由流動(dòng)。尤其是汽車(chē)的電動(dòng)化、網(wǎng)聯(lián)化、共享化趨勢(shì)，使得新興技術(shù)的發(fā)展應(yīng)用在提高工作效率，滿(mǎn)足客戶(hù)體驗(yàn)同時(shí)，特別是政策性影響，也給安全技術(shù)帶來(lái)了新的風(fēng)險(xiǎn)、挑戰(zhàn)和要求。我們從數(shù)據(jù)保護(hù)、移動(dòng)辦公、云計(jì)算、安全運(yùn)營(yíng)中心在具體的業(yè)務(wù)層面，我們從它的特點(diǎn)入手，做了這樣的一個(gè)分析。

比如汽車(chē)在法規(guī)上面的風(fēng)險(xiǎn)，可能同行會(huì)了解，你買(mǎi)了電動(dòng)汽車(chē)，從你出廠的那一天開(kāi)始，24小時(shí)的數(shù)據(jù)都要掌握，國(guó)家國(guó)標(biāo)要求是必須24小時(shí)監(jiān)控。從理論上來(lái)講，各位買(mǎi)了電動(dòng)汽車(chē)走到哪兒去我都能看到，你整個(gè)車(chē)輛的狀態(tài)我也能看到，這是法律要求的。而且國(guó)家要求企業(yè)能夠隨時(shí)上傳這些信息，之前做這個(gè)事是為了騙補(bǔ)，但是現(xiàn)在為什么繼續(xù)做這件事呢？我個(gè)人揣度可能是安全方面的原因�，F(xiàn)在不僅是特斯拉，還有其他國(guó)內(nèi)的廠商放在車(chē)庫(kù)里面就著了，這是非常危險(xiǎn)的一件事情，廠商有義務(wù)做這件事，這是法規(guī)層面上的。

這是基于信息安全建設(shè)的必要性和迫切性，我們進(jìn)行了分析。當(dāng)然由于行業(yè)的不同、企業(yè)性質(zhì)的不同，各位可以參考一下。我們企業(yè)安全的要求是從全球合規(guī)的遵從、業(yè)務(wù)和產(chǎn)品安全、數(shù)據(jù)資產(chǎn)保護(hù)、防黑客攻擊、系統(tǒng)可用性保障，其實(shí)大多數(shù)企業(yè)安全這件事也沒(méi)有我們想象的那么復(fù)雜，大家老覺(jué)得做安全千頭萬(wàn)緒，不知道從哪里入手，只能被動(dòng)的應(yīng)對(duì)和防御。其實(shí)你仔細(xì)的去梳理一下，你會(huì)發(fā)現(xiàn)沒(méi)有這么多的內(nèi)容，你的思路就很清晰了。右側(cè)是我們企業(yè)現(xiàn)在信息安全的現(xiàn)狀，大家參考一下就好了。我們的信息安全從管理的角度來(lái)說(shuō)，第一是安全組織不完善，安全管理制度和流程不完善，以前是解決有沒(méi)有的問(wèn)題，等工廠建立起來(lái)就要解決好不好的問(wèn)題了。第二是信息安全技術(shù)，這個(gè)不給大家再讀了。第三是人員安全意識(shí)，第四是安全事件。這個(gè)還是那句話(huà)，每個(gè)企業(yè)的情況不一樣，大家可以參考，用這樣的思路和方法去開(kāi)展這項(xiàng)工作。

我們的企業(yè)信息安全工作怎么做，這張表我給大家展示一下，主要是給大家開(kāi)拓一下思路，我們的整個(gè)工作思路是沿著什么方法去走的。大家注意一下，這里我們把我們的風(fēng)險(xiǎn)分成了兩類(lèi)，一個(gè)是管理的風(fēng)險(xiǎn)、一個(gè)是技術(shù)的風(fēng)險(xiǎn)。為什么把這張片子給大家，后面我可能還要重點(diǎn)闡述一下。比如說(shuō)我們特別關(guān)注的信息安全組織缺失、信息安全管理制度缺失、員工安全意識(shí)不足，我們列到了前面，在技術(shù)層面我們可能會(huì)把這些問(wèn)題往后放。

前面是關(guān)于我們面臨的風(fēng)險(xiǎn)和挑戰(zhàn)，第二部分我想分享的是安全規(guī)劃的策略和目標(biāo)。這張圖是我正式分享之前給大家做一個(gè)小調(diào)查的原因，其實(shí)信息安全總的來(lái)源是哪里呢？從企業(yè)的戰(zhàn)略規(guī)劃到IT規(guī)劃，這個(gè)時(shí)候才有了信息安全的規(guī)劃。然后逐步的往后推演，我們才能制定出信息安全的原則選擇，最后制定出我們信息安全的策略。這是我們企業(yè)的一個(gè)情況，我們從企業(yè)戰(zhàn)略規(guī)劃到信息化規(guī)劃一路下來(lái)，我們的安全規(guī)劃戰(zhàn)略要求只有4點(diǎn)，和公司的戰(zhàn)略保持一致，滿(mǎn)足企業(yè)業(yè)務(wù)需求，體現(xiàn)信息部門(mén)的價(jià)值，符合相應(yīng)的法律法規(guī)。我們就梳理了這4點(diǎn)，也是非常宏觀的。

其實(shí)中間這張圖很有意思，中間這張圖體現(xiàn)了我們?cè)谧鲂畔�安全過(guò)程中所有CIO的痛點(diǎn)，越安全就越不易用，越易用就越不安全，這是一個(gè)始終無(wú)法解決的矛盾。我們是根據(jù)整個(gè)公司的企業(yè)文化、管理現(xiàn)狀、安全現(xiàn)狀分了左右兩列，信息安全投入和使用是要做一個(gè)平衡的，大家看下面是一個(gè)蹺蹺板，大家要做好平衡。你是更關(guān)注安全，還是更關(guān)注業(yè)務(wù)。因?yàn)槲覀兗业哪腹�司是一家設(shè)計(jì)公司，大多數(shù)搞設(shè)計(jì)的人都比較自由，不喜歡受束縛。所以你看我們會(huì)有合規(guī)文化和企業(yè)文化的對(duì)比分析，大家看這張圖要做的工作非常多，今天沒(méi)有時(shí)間給大家展開(kāi)分享，如果感興趣的我們可以在會(huì)后再展開(kāi)講。

但是這件事非常重要，這件事是整個(gè)信息安全尺度平衡的把握，包括對(duì)你后面的投資都很重要。你做好了這項(xiàng)工作，就可以把整個(gè)策略制定出來(lái)了。我們的信息安全策略是保障企業(yè)正常運(yùn)營(yíng)和效率的同時(shí)，采用一切必要的管理和技術(shù)手段，我們把管理放在前面了，沒(méi)有把技術(shù)放在前面。為什么呢，后續(xù)給大家分享的時(shí)候我還會(huì)闡述這個(gè)觀點(diǎn)。確保企業(yè)信息安全運(yùn)營(yíng)符合相應(yīng)法律法規(guī)的要求，這就是我們整個(gè)企業(yè)信息安全規(guī)劃的整體策略。

這是我們的目標(biāo)，這個(gè)圖大家看到了，我們的整個(gè)信息安全建設(shè)的目標(biāo)就是通過(guò)“人防”＋“技防”，實(shí)現(xiàn)“事前防范、事中控制、事后追溯”的管理目標(biāo)，全面降低企業(yè)信息安全風(fēng)險(xiǎn)，實(shí)現(xiàn)合規(guī)運(yùn)營(yíng)。主要是4點(diǎn)：涉密信息拿不走，黑客進(jìn)不來(lái)，安全不違規(guī)，特權(quán)不濫用，其實(shí)信息安全不復(fù)雜，就這么4件事。

涉密信息拿不走，主要是防范員工無(wú)意泄密，防范員工故意泄密，防范外來(lái)人員泄密。我們自己統(tǒng)計(jì)過(guò)，我們自己企業(yè)發(fā)生的所有泄密信息60％左右是由于員工的無(wú)意識(shí)造成的，真正有意識(shí)的非常少，不到10％，大概5％到7％。故意泄密這個(gè)東西就要不怕賊偷，就怕賊惦記你，我個(gè)人認(rèn)為是無(wú)法防范的。黑客進(jìn)不來(lái)是外部攻擊要防范，防范外部攻擊導(dǎo)致系統(tǒng)癱瘓和數(shù)據(jù)泄露或破壞。安全不違規(guī)是遵從國(guó)內(nèi)外法律法規(guī)的要求，特權(quán)不濫用是做整個(gè)信息規(guī)劃的時(shí)候重點(diǎn)研究的，因?yàn)楹芏嗥髽I(yè)燈下黑，我這個(gè)地方寫(xiě)的是防止IT人員利用運(yùn)維權(quán)限竊取或破壞，防止IT人員誤操作操作系統(tǒng)故障，實(shí)際上里面還有一個(gè)問(wèn)題，就是說(shuō)我們整個(gè)這一塊還有高管層的權(quán)限，因?yàn)闄?quán)限比較高，怎么去防范。

我們沒(méi)有找到一個(gè)很好的工具，我們希望找到一個(gè)很好的工具做這件事，我們借用了信息安全成熟度滑動(dòng)標(biāo)尺作為工具進(jìn)行行業(yè)對(duì)標(biāo)，確定了信息安全建設(shè)中期目標(biāo)。這是我們做安全規(guī)劃之前做的企業(yè)行業(yè)對(duì)標(biāo)，這個(gè)是我們和一個(gè)安全廠商做的，我們當(dāng)年規(guī)劃的時(shí)候是在1．0的水平，威馬未來(lái)大概能做到3．0，上汽大概能在3．5左右，國(guó)外是蘋(píng)果，國(guó)內(nèi)是耳熟能詳?shù)娜A為。這是我們的指導(dǎo)理念，就是“P．P．T”。在企業(yè)是規(guī)章制度，再次是人，再次是技術(shù)。我們始終認(rèn)為，制度和人是關(guān)鍵、是核心，技術(shù)是我們的手段。