上海CIO联盟召开企业级信息安全第二次研讨会

2015年9月25日星期五下午，上海CIO联盟邀请了公安三所、公安一所、交大信息安全工程学院、国家信息安全工程技术中心和同济大学CIMS开云全站官方下载 的多位专家，再加上几位铁杆的热心CIO，齐聚中航商用发动机。把前两次的研讨会的结果和总结，再进一步深化和修订。

会议一开始，由CIO联盟交流活动部部长陈森，代表之前参与讨论的专家和CIO们，介绍了之前会议总结的几点意见，包括7个决策维度和代表CIO利益的负责任的思路(信息安全无小事，出了事故就要追责);还有根据ISO27001整理的“企业级信息安全实用指南”。这次的专家明显都是“泰斗级”，分别提出了非常重要的建议。

1.公安三所的陆主任。

1)他认为国家标准、国际标准都不是最高要求，甚至是最低要求，国家也在鼓励联盟退出标准;因此，实用指南的目的定位：

a)对标，ISO27001;

b)实用落地;

c)经验分享;

2)实用指南推进的注意事项。

a)还需要再融合更多的一些标准;

b)针对各种适用性，进一步细化;

c)实施过程也要细化;

3)“白帽子”的身份认证和“白帽子“测试的安全通道建立。针对互联网金融和移动互联网公司，他们的手机APP、网上交易程序，都是关系到用户切身利益的大事。陆主任和陈部长都主张建立可信任的“白帽子”资源池。

2.电信一所的彭主任。

1)信息安全工作的目标

a)通过认证就安全吗?

b)应该总结一些方法论;

c)除了标准，还要有实操手册，包括策略等级、借用等保的分级思路和相关领域的工作方法论;

d)标准的建立，针对不同企业，力度不一样;具体实施要参照项目管理的思路;

e)成立专委会，集合专家的智慧来为CIO们服务。

3.交大的刘老师。

1)信息安全意识，应该对公司或单位的一把手和高层管理做知识和案例的培训(扫盲)。

4.同济大学CIMS开云全站官方下载 的王老师。

1)要素安全，当然不仅限于信息安全，要围绕企业的运营要素来做安全工作;

2)安全预警指数，应该根据企业实际情况建立;

3)

从整体利益考虑，先评估和培训

在这些专家都发表意见的时候，CIO们也没有闲着，陆续提出了CIO们的思路。

1.卡斯柯的孙总。

a)信息安全的范围不要太广，要专注;

b)很多年前就做过ISO27001的认证，很多细节都有软件在实现和操作。

2.华谊集团的倪总、上海仪电的魏主任等

a)CIO们在信息安全领域的知识不够专业，希望这个指南足够落地，能够看懂;

b)对企业的生产安全比较重视;

c)企业内网、外网的安全应该区分对待;

d)每个企业的经营状况不一样，高大上的方案是必要的，但也需要平易近人、实际可靠的方案。

大家都对信息安全实用指南的方向性给予肯定，而真正的辩论，是集中在我们联盟制定信息安全指南的必要性和权威性。陈森部长从CIO的切身利益出发总结如下：

首要的，就是CIO们的责任。不管ISO27001或者等保我们过还是不过，一旦发生信息安全事故，承担责任的一定是企业的CIO。所以，一方面我们也要不断完善自己;另一方面，要找可靠的合作伙伴(专业机构或厂商)。我们完善自己的时候，去建立制度、建立企业级的安全意识;在找合作伙伴的时候，一定要找有足够资质的，而更重要的是找有担当精神的伙伴。

其次，这个指南的方向性特点就是落地，就是实用。但这需要一定的时间的积累，也需要大家把自己的企业最佳实践贡献在这个实用指南中。这样这个指南才能干不断充实和完善。

第三，这个也是避不开的，就是大家讨论的这个权威性。这会让人联想到厨师和食客，大多数情况下，厨师的厨艺一定比食客高出很多，但食客们还是在左右餐厅的兴衰。权威源于信任;一种源自责任感的信任，才能在信息安全的领域建立权威。

最后，我们的确需要邀请更多的专家参与这个指南的制定，光靠CIO们的最佳实践，还不足以令整体结构清晰。这也是我们之前工作忽略的一点，在今后会大力弥补!