前途汽车邢红波:信息安全问题,归根结底是人的问题
发布时间:2019-06-04 18 来源: 互联网 浏览量:30

点击上方“蓝色字体”,选择 “设为星标

关键讯息,D1时间送达!



在整个信息化安全建设过程中,很多企业都会碰到两点困惑:,信息安全建设是碎片化、不成体系的,大多数情况下头痛医头,脚痛医脚,碰到什么问题买什么产品;第二,做信息安全投入预算难,经常被管理层、决策层诟病,后续解释起来也相对困难。”前途汽车CIO邢红波在由企业网D1Net和信众智联合主办的2019 CIOC全国CIO大会上如此总结。


【前途汽车CIO邢红波】


隐患丛生,企业信息安全须警钟长鸣

大数据时代,信息安全问题被屡屡提及,在商业机遇和风险不断演变的背景之下,企业信息安全该如何保障。“不同的行业在企业信息化安全建设里面有很多共性的东西在。”邢红波指出,当下企业之所以要做信息安全规划,很大程度源于以下四个层面的思考:

1. 数字化转型企业需要对数字资产进行合理、有效的保护;

随着企业数字化转型的深入,线上线下一体化“数字化是双胞胎”的运营逐步实现,信息资产已经成为企业最有价值、最具竞争力的核心资产,如何以更合理、更高效的方式实现信息(数字)资产的保护,对信息安全建设提出了更高要求。

2. 工业互联网建设需要企业有与之匹配的安全管控能力;

工业互联网时代IT、OT、CT快速融合,IoT模糊了传统安全边界,数据安全是工业互联网面临的最大壁垒之一,开展针对性的信息安全建设是构架坚固的网络安全系统、管理脆弱环节、保护敏感信息与知识产权的有效途径。

3. 利益驱动下的信息安全事件频发给企业造成巨额经济损失;

信息即财富的趋势下,越来越多的黑客组织投身于信息资产的窃取,攻击手段变幻莫测,攻击渠道多种多样,IoT设备、工业网已经成为不法黑客的攻击重点,为整个网络空间的安全环境带来全新挑战。

4. 数字化转型需要相应的信息安全管理体系及技术手段为企业合规运营保驾护航;

国外GDPR、联邦数据法、国内安全法、工业控制系统安全指南、信息安全等级保护法以及企业还需通过ISO27001认证,建立相应的安全规划方案为后续体系建设指明方向,确保企业合规运营。

此外,相较于其他行业,汽车行业电动化、网联化、共享化趋势,使得新兴技术的发展应用在提高工作效率,满足客户体验的同时,特别是政策性影响,也给安全技术带来了新的风险、挑战和要求。“汽车行业的企业安全需求重点在于全球合规的遵从、业务和产品安全、数据资产保护、防黑客攻击、系统可用性保障者五个层面。“邢红波直言,其实大多数企业安全并没有想象中的复杂,只要仔细梳理,思路就会很清晰。从管理角度而言,目前企业的信息安全现状主要表现在信息安全管理、信息安全技术、人员安全意识和安全事件四个维度上。

“人防”+“技防”双轮驱动企业信息安全建设

凡事预则立,不立则废。从企业战略和IT战略出发,设计出企业信息安全建设的整体规划,逐步推演,才能制定出信息安全的原则策略。邢红波透露,前途汽车的安全规划战略只有四点要求,即和公司战略保持一致、满足企业业务需求、体现信息部门价值、符合相应的法律法规。

“越安全就越不易用,越易用就越不安全,这是一个始终无法解决的矛盾。”邢红波认为,在做信息安全的过程中,必须在信息安全投入和使用中做好平衡,更关注安全,还是更关注业务,信息安全原则的选择需要做好充分考量。

“在保障企业正常运营效率的同时,采取一切必要的管理和技术手段,保护企业的核心数据资产和IT系统的机密性、完整性和可用性;确保企业信息安全运营符合相应法律法规的要求,这就是我们整个企业信息安全规划的整体策略。”邢红波表示,在完备的规划策略之下,前途汽车希望通过“人防”+“技防”,实现“事前防御、事中控制、事后追溯”的管理目标,全面降低企业信息安全风险,实现合规合赢,做到涉密信息拿不走、黑客进不来、安全不违规、特权不滥用。

信息安全建设规划方面,前途汽车借用了信息安全成熟度滑动标尺模型为工具进行行业对标,确定信息安全建设中期目标,包括联合安全厂商,与成熟企业进行行业对标参考。“我们始终认为制度和人是关键,是核心,技术仅仅只是手段。”在前途汽车的“P.P.T”(Process、Personal、Technology)信息安全建设指导理念中指出,信息安全工作,管理是核心,技术是手段,不是紧靠技术系统上线就可完成,而是融合管理和技术两方面的投入,进而改变员工的思想、行为和企业安全文化的一个持续过程。

信息安全建设不是一蹴而就的,要有一个渐进的过程

“信息安全建设有很多内容,企业不能一次性的将它实施完成,因此需要有自己的实施线路图优先级考虑。”在前途汽车的信息安全建设过程中,邢红波要求从严重性、风险、收益、易实施性、最佳实践五个维度衡量并进行轻重缓急分配,确定事件优先级。

在实际运作中,邢红波坦言,目前前途汽车做了3年的安全规划投入,预算控制在1000万以内,每年200-300万,最终达到3.0阶段。步建体系、搭围墙,做基础保障安全;第二步梳理数据资产,建保险柜,实现纵深防御;第三部运维保障,主动防御,完成整个企业的安全运营。为此,邢红波告诫在场观众,“信息安全组织的建立一定是自主建立的,一个企业没有信息安全组织就没有组织保障,事情就没法做好。安全制度和流程的建立,建议各位请成熟的咨询公司先搭建体系,后续逐步细化落实。”

演讲末尾,邢红波再次强调,信息安全问题归根结底是人的问题,信息安全管理是核心,技术是手段。然而,道高一尺,魔高一丈,信息安全建设只有起点,没有终点,企业信息安全永远在路上。

(来源:企业网D1net)

如果您在企业IT、网络、通信行业的某一领域工作,并希望分享观点,欢迎给企业网D1Net投稿

 投稿邮箱:editor@d1net.com

点击蓝色字体

关注

您还可以搜索公众号“D1net”选择关注D1net旗下的各领域(云计算,数据中心,大数据,CIO, 企业通信 ,企业应用软件,网络数通,信息安全,服务器,存储,AI人工智能,物联网智慧城市等)的子公众号。

企业网D1net已推出企业应用商店(www.enappstore.com),面向企业级软件,SaaS等提供商,提供陈列,点评功能,不参与交易和交付。现可免费入驻,入驻后,可获得在企业网D1net 相应公众号的机会。欢迎入驻。扫描下方“二维”即可注册,注册后读者可以点评,厂商可免费入

全国统一服务热线:400-028-1738 公司传真:028-8613872 公司邮箱:274446879446@qq.com

网站版权:永利国际管理有限公司 CopyRight @ 2012-2019 All Rights Reserved 京icp备09073941号-1