上海CIO联盟“企业级信息安全”会员第一次研讨会召开

连续两天的上海首席信息官联盟的“企业级信息安全研讨会”圆满结束。路有点远，雨也很大，主题也是非常严肃的，这些都没有挡住大家的热情!在持续几个小时的深入探讨中，每个人都分享了自己的宝贵经验，也把遇到的问题拿出来让大家一起研究。

整个会议分五部分：

一、 信息安全专家串讲

二、 学习多位信息安全专家提出的信息安全8大理念

三、CIO们分享案例和问题研讨

四、 深入探讨影响信息安全的七大决策因素

五、 论“禅和信息安全”

以下就是具体情况：

一、 信息安全专家串讲

1. Dell的专家从他企业的角度和外企的角度出发，阐述了数据备份的重要性和对人的信任。

1) 他认为没有数据和数据备份，也就谈不上任何的信息安全，所以数据备份和对灾难的应急方案，应该是不论企业规模大小，都必须去做的最基础的工作。

2) 像Dell这样的外企普遍有种理念就是关于怎样去信任一个人，一个人犯错是善意的还是恶意的。公司外部人员、外包人员，从信息安全的角度看，都是不被信任的;但公司内部员工，其实也是这样，不管是善意的犯错还是恶意制造麻烦。所以才有针对不同的岗位、不同的职责，划分详细的权限，制定严格的审批流程。他还说像前阵子曝出信息安全事件的某在线票务服务公司，明显是没有从管理上很好地防范员工的恶意行为。

2. 纽盾科技的专家重点阐述了网络安全的现状和通过管理去解决信息安全隐患。

1) 目前的安全事故。单纯依靠网络安全技术的革新，不可能完全解决网络安全的隐患，那么网络安全到底存在哪些问题呢?

2) “三分技术，七分管理”，安全管理是保证网络安全的基础，安全技术是配合安全管理的辅助措施。

3) 上医治未病!善于治疗没有发病但已经身患疾病的人为水平高的医生，信息安全应变被动防御为主动防控。

4) 从客户的角度出发。给出遵循ISO27000体系的专业安全报表，一方面满足IT运维的异常监控，整合各个不同安全厂商产品的日志和预警，还可以满足审计的要求。

二、 学习多位信息安全专家提出的信息安全8大理念

1. 没有绝对意义上的“信息安全”，没有人可以说自己是绝对的安全;我们所追求的信息安全，是相对的，是根据行业状况、企业实力、信息化建设程度、外部威胁等因素，在一定时期内可以采取的经济、有效、合规的安全措施。

2. 信息安全是七分管理三分技术。

3. 企业级的信息安全需要分等级，并不是要把所有的信息操作全部进行最严格的安全审查。比如研发部门的安全措施要强一些，而销售和市场的安全等级可以适当调低。目前看来，国企、金融和电商，是对信息安全最敏感的企业类别。

4. 企业信息安全是一个团队的工作。

5.云安全。

1) 私有云和虚拟化基本上是难以分开的。针对经过虚拟化的私有云的安全措施，还是有别于传统的几台独立功能的服务器的相关措施。

2) 公有云可以在一定范围里面让企业规避信息安全的风险和责任，但是现有的职员怎么安排?但如果把这些信息系统放到云上以后，甲方CIO及其团队是否还有存在的价值?

6. 信息安全的评估服务。一是按照体系来评估，比如ISO27000、等级保护;二是根据上述体系和一些案例经验，由第三方给出测评报告、星级评估;三是由一些信息安全厂商给出检测报告或者咨询服务。甲方会员愿意接受哪一种?

7. 信息安全产品和服务也要有统一的标准。

8. 企业终端数量达到一定规模的，需要把信息安全列为重点工作。

三、 CIO们分享案例和问题研讨，由于发言人数很多，这里只摘录其中一部分。

1. 智富集团的张建利总经理：

1) 信息安全的工作，在没有出问题之前一般员工和老板都看不到，一旦出问题却是责任重大。

2) 企业在不断发展中，对曾经上过的信息化项目，到底是重上一套还是不停滴打补丁?从信息安全的角度应该怎样去选择?

3) 成本、工作效率，都和安全工作时相矛盾的。

4) 要明确存在的风险。

2. 中国金融信息中心钱强总监：

1) 前阵子参加了一个安全培训，被告知，中国的有名的高校、大国企的网络都被黑了。

2) 成本和安全性要做平衡，这里有个度，要好好把握。

3) 建议参照等级保护的体系，从介绍安全事故开始，在政府层面、主管部门、金融监管等领域积极探索。

3. 上海大众信息安全负责人：

1)汽车行业采取的是迭代开发的策略，不管是信息安全还是车子的安全，都是重点考虑的。虽然钱不是太大的问题，但是业务推进的效率和安全是非常矛盾的，信息安全几乎就是业务的绊脚石。

4. 中航商用发动机信息安全负责人：

1) 中航商发研究过很多标准，但还是希望能进一步量化信息安全的工作。

5. 苏尼时装IT总监吴龙

1) 工作效率和信息安全的结合点。每年应付IT审计就要一个月的时间，希望信息安全的产品可以提供丰富的报表，满足审计要求，节省IT部门的工作量。

2) 要对员工进行道德素质教育，从人的因素上减少信息安全方面的风险。

6. 上海锦江国际HRG商务旅行有限公司的IT负责人金勇杰：

1) 美国企业有很完善的标准，可以按照标准炒掉总经理，但国企很难做到。

2) 还是针对某在线票务公司的信息安全事件，如果内部管理流程到位，至少要有4个恶意员工的串通才能达到他们现在的事故级别。

3) 没有IT是包打天下的，猫要站在那里，不一定捉老鼠，但是可以吓走老鼠。

7. 点融网的信息安全负责人陈平：

1) 公司拥有一支专业的信息安全团队8-10人。建议其他公司如果有重要的软件产品，则必须进行代码审计。

2) 一般公司的私有云、虚拟化和移动端的信息安全防护，目前都还相对薄弱，需要进一步加强。

8. 上海软件测评中心：

1) 以前测评软件重视功能，现在重视安全。

四、 深入探讨影响信息安全的七大决策因素。为了让广大会员都能得益，并且进一步深入我们的工作，我们对七大关键因素做了评估，并采用了基于AHP模型的理性思维验证，最终得出了不同行业的决策框架(各个因素的权重以及相互关系)。

1. 成本：实施信息安全项目、工具所要花费的金钱和投入的精力。

2. 效率：安全一定是消耗了部分原有系统的资源，新的安全措施执行后，必定会降低原先的工作效率。

3. 团队：不管是新上项目，还是运维现有的安全系统，都是一个团队的工作，无论是外包还是内部员工。

4. 管理：提升信息安全等级，就是在提升管理水平;而管理水平的提升，不是单纯靠某个工具的能够实现的，信息安全带来的必定是一整套新的管理流程和管理方法。

5. 技术：信息安全离不开攻防双方的最新技术，是持续更新的。

6. 收益：通过安全措施，大家能够收获什么，安全保障、绩效奖金、更大的权限和更多的抱怨。

7. 时效：信息安全措施、工具所带来的安全保障的时效性。

五、 论“禅和信息安全”

杨总教大家在禅堂打坐，让大家把信息安全的理念和人身体的一些状况结合起来。打坐之后，还做了几套活动肩颈的动作，感觉身体舒服多了。我们现在很多人的肩颈，由于长时间做在电脑前，血脉在个别部位不通畅，时间长了就会出问题——安全事故的发生，很多时候也是类似的，从不注意的一些习惯，到小毛病，再到大的问题和事故。非常不错的体验。

综上，我们一起研究得出了关于企业级信息安全的决策框架(七大关键因素)。有了这个决策框架，CIO们在做信息安全相关工作时，就会有据可循——不管是做信息安全评估、内部安全流程制定、信息安全项目实施、信息安全工具采购，CIO们可以跳出混沌的现实问题，根据各自的情况，在最短的时间做出最好的决策。大家从实际工作中总结出的这个决策结构是非常宝贵的，我们将会结合第二次的会员研讨会和一次调查问卷的结果，整理出最终框架交付到CIO们手中，以便信息安全工作能更好的开展。