亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

企業(yè)信息安全建設(shè)經(jīng)驗

很榮幸能夠接到組委會的邀請來參加中國網(wǎng)絡(luò)安全大會。我也很高興能夠有這個機會跟大家一起就企業(yè)的信息安全建設(shè)方面的問題來一起探討。

下面我先做一個自我介紹。我是來自中國衛(wèi)星通信集團公司，是公司信息中心主任，負責(zé)整個公司的信息化建設(shè)，我的職責(zé)包括整個集團公司的信息化規(guī)劃，也包括信息應(yīng)用系統(tǒng)的統(tǒng)籌建設(shè)和運維管理，當(dāng)然也包括我們的信息安全方面的事項。

我也是北京大學(xué)CIO班同學(xué)會會長，在2012年的時候出于對自身在信息化各方面能力提升的考慮，我參加了北京大學(xué)CIO班的培訓(xùn)，北大的CIO班是我們業(yè)內(nèi)比較有影響力的一個信息總監(jiān)的培訓(xùn)基地，是參照MBA的培訓(xùn)方式，在四個方面提升我們信息主管的能力：一是IT戰(zhàn)略和管理；二是業(yè)務(wù)和流程；三是IT的技術(shù)和架構(gòu)；四是績效和評價。當(dāng)時2012年我是這個CIO班14班的班長，在結(jié)業(yè)之后，又很榮幸的被選為同學(xué)會的會長。北大CIO班同學(xué)會現(xiàn)在也是比較活躍的，今年我們也組織了很多有意義、有價值的一些交流活動。比如我們曾經(jīng)走進過南方航空，了解到南航的移動信息化建設(shè)、統(tǒng)一移動平臺建設(shè)方面的事項，也了解了它的開源技術(shù)方面的應(yīng)用，我們也曾經(jīng)到過阿里巴巴和淘寶網(wǎng)，了解了大數(shù)據(jù)在淘寶網(wǎng)的一些應(yīng)用。最近期的一次活動是在深圳，也就是上周末，同學(xué)會組織去了深圳，跟騰訊的微信小組做了一些交流，北大CIO同學(xué)會目前還是非常活躍。

另外我也是CIO自媒體聯(lián)盟的秘書長，這兩年各種聯(lián)盟如雨后春筍般的在成立，大到國家兩化融合推進聯(lián)盟，小到我們這個CIO自媒體聯(lián)盟。不管這個聯(lián)盟是大是小，我覺得都是在給信息化建設(shè)盡一份力，做一些這方面推進的事情。今年我們是由一群企業(yè)信息化負責(zé)人，還有出身CIO的創(chuàng)業(yè)人員，我們共同在今年3月份發(fā)起成立了CIO自媒體聯(lián)盟，我們也是委托微信的公眾帳號，通過微信的平臺來分享和發(fā)布一些我們這個群體的人關(guān)心的一些技術(shù)、管理、職業(yè)能力各方面的事項。

今年特別有意義的一個事情，就是由CIO自媒體聯(lián)盟發(fā)起，有20多位各地的信息化負責(zé)人參與我們共同寫了一本書，叫做《CIO新思維》，這本書即將在11月份由電子工業(yè)出版社正式出版發(fā)行，希望大家能夠關(guān)注一下。這本書聚焦在作為一個中高級管理人員的信息主管他應(yīng)該具備的一些綜合能力上，也都是我們這些信息化負責(zé)人把自己多年的建設(shè)經(jīng)驗和一些典型的案例和自己切身的體會融合在這些文章之中，非常有意義。

我也是CIO老友會發(fā)起人之一，也是中關(guān)村大數(shù)據(jù)產(chǎn)業(yè)聯(lián)盟的副秘書長，我們的《CIO新思維》這本書也是我們大數(shù)據(jù)聯(lián)盟的系列圖書之一。今天我們探討的主題是信息主管如何推動企業(yè)的信息安全建設(shè)。這個主題我們也在考慮納入到《CIO新思維》的一版，作為后續(xù)的編寫計劃，正在啟動，歡迎大家持續(xù)關(guān)注。

下來言歸正傳，我今天主要分享的內(nèi)容包括這么幾個方面，首先我們探討一下中國企業(yè)信息化建設(shè)現(xiàn)狀和中國企業(yè)信息安全現(xiàn)狀，然后從中可能會發(fā)現(xiàn)一些挑戰(zhàn)和機遇，然后討論一下信息安全對企業(yè)的價值分析。接著就是從企業(yè)文化的視角談一談如何推動企業(yè)信息安全建設(shè)，最后再給出一個很簡潔的信息安全建設(shè)的原則。

在座的有很多企業(yè)信息化負責(zé)人，我們是不是都有同感？一個企業(yè)的信息化推進不是很容易的事情，更何況是其中一個分支的信息安全事項。前兩年有一個分析報告，大概是在2009年，當(dāng)時指出有這么兩點，中國企業(yè)的信息化綜合指數(shù)不高，再就是中國企業(yè)整體信息化成熟度處于中等偏下的狀態(tài)，它是一個統(tǒng)計分析的結(jié)果，指的是一個平均水平，是相對發(fā)達國家。可能也有中國某些企業(yè)他們的信息化水平還是相對來說比較高的，但是這里指的是一個平均的水平。

具體表現(xiàn)在什么方面呢？首先是中國企業(yè)信息化建設(shè)和應(yīng)用缺乏前瞻性，信息技術(shù)與實際業(yè)務(wù)發(fā)展的需求匹配度比較低。在信息化應(yīng)用范圍的廣度和深度上遠遠不夠，大多數(shù)的信息化應(yīng)用集中在部分業(yè)務(wù)上，體現(xiàn)不出整體信息化的效益。也就是說，IT的技術(shù)和企業(yè)的業(yè)務(wù)在全面融合方面還有不足。中國企業(yè)普遍不重視IT治理，IT的制度不夠完善，IT的績效考核體系也不夠完善，IT的部門設(shè)置存在不完善的現(xiàn)象。而且IT部門往往是比較邊緣化，在公司里面相對其他部門來講是處于弱勢地位，話語權(quán)還不夠。雖然IT部門承擔(dān)了企業(yè)信息化建設(shè)和應(yīng)用的職能，但是推動力度欠佳。中國企業(yè)的中高層管理人員參與信息化的程度比較低，就是說非IT的那些管理人員較少的參加了信息化的工作，雖然我們平常建設(shè)的可能是一個客戶關(guān)系管理系統(tǒng)，或者一個其他的財務(wù)管理系統(tǒng)或者是合同管理系統(tǒng)等等，但是負責(zé)這個業(yè)務(wù)的中高層管理人員，他參與這個項目的程度還不算太高。整體中國企業(yè)的信息化領(lǐng)導(dǎo)力比較弱，當(dāng)然這是一個相對的比較。

總體來說，跟發(fā)達國家相比，中國企業(yè)的信息化應(yīng)用表現(xiàn)，就是信息技術(shù)還沒有能夠充分發(fā)揮它在中國企業(yè)中的應(yīng)有價值，對企業(yè)發(fā)展的總體貢獻不足，表現(xiàn)在對企業(yè)提高核心競爭力，提升內(nèi)外部管理能力，落實創(chuàng)新、助力業(yè)務(wù)發(fā)展、提升市場反應(yīng)能力和決策支持等方面的貢獻仍顯微薄，貢獻明顯低于預(yù)期。這是2009年的一個分析報告，據(jù)我了解，5年以后，到2014年，中國企業(yè)的IT總體水平狀況也沒有特別明顯的改善。以上提到的幾個方面的問題可能仍然存在。

信息安全在中國企業(yè)中是一個什么樣的情況？2013年有一份報告，是中國信息安全測評中心發(fā)布的，關(guān)于國家信息安全態(tài)勢評估，提到了中國企業(yè)信息安全的一些描述，主要是有這么幾點：”隨著行業(yè)新技術(shù)新應(yīng)用的引入、業(yè)務(wù)多元化的實現(xiàn)以及信息化、工業(yè)化的不斷融合，重要行業(yè)和企業(yè)的信息安全建設(shè)明顯滯后于信息化的發(fā)展，基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)的脆弱性依然突出，信息安全風(fēng)險已升至行業(yè)風(fēng)險的高位，關(guān)鍵數(shù)據(jù)的安全和業(yè)務(wù)的連續(xù)性面臨極大的挑戰(zhàn)”。也就是說，中國企業(yè)的信息安全存在薄弱環(huán)節(jié)，還不是說特別理想。

行業(yè)新技術(shù)、新應(yīng)用指的是云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)這些新技術(shù)的普及。信息化和工業(yè)化的融合，指的就是工信部一直在推的工業(yè)化帶動信息化，信息化促進工業(yè)化，走新型工業(yè)化道路。重要行業(yè)和企業(yè)應(yīng)該是指的一些大型的行業(yè)和央企，因為我們國家很多很重要的基礎(chǔ)信息網(wǎng)絡(luò)和信息系統(tǒng)都是分布在這些大型的企業(yè)和央企中，所以這個報告也應(yīng)該是根據(jù)大型企業(yè)的特點來進行統(tǒng)計分析出來的。但是我覺得大企業(yè)都這樣了，小的企業(yè)可能更不會比他強多少。這種情況主要表現(xiàn)在以下幾點：

第一是行業(yè)企業(yè)和內(nèi)部的信息安全發(fā)展極不平衡，存在安全短板。從兩個層面來講：

一是行業(yè)間是有先有后的，有的行業(yè)在信息化建設(shè)、信息安全方面走得比較早，比如金融、電力這些行業(yè)，他的信息化實力稍微強一點，信息化水平稍微高一點，安全的防護水平也是相對高一些，但是還有部分的行業(yè)和企業(yè)的信息安全滯后程度相當(dāng)嚴重。

二是企業(yè)內(nèi)部層面，我們也知道，大型企業(yè)有這樣的特點，就是它的規(guī)模一般來說都比較龐大，機構(gòu)也很眾多，業(yè)務(wù)比較復(fù)雜，往往它的業(yè)務(wù)和網(wǎng)絡(luò)都是覆蓋到全國范圍之內(nèi)的，甚至是延伸到海外。它的下屬的分支機構(gòu)對信息安全的重視程度不一樣，在信息安全方面投入也是不一樣的。雖然建設(shè)的時候可能做了統(tǒng)一的規(guī)劃或者是統(tǒng)一的一些要求，但是建設(shè)和防護水平是參差不齊的。這樣就造成這個企業(yè)整體上系統(tǒng)的整體防御和縱深防御體系比較薄弱，出現(xiàn)了短板的現(xiàn)象，特別容易引發(fā)全局性的安全問題。這是中國企業(yè)的信息安全現(xiàn)狀的一個表現(xiàn)，就是行業(yè)和企業(yè)內(nèi)部發(fā)展不平衡，存在短板。

第二是數(shù)據(jù)安全沒有得到足夠的重視，敏感數(shù)據(jù)存在泄漏隱患。

這里的敏感數(shù)據(jù)指的是重要的信息系統(tǒng)和基礎(chǔ)的信息網(wǎng)絡(luò)上面存儲覆蓋的數(shù)據(jù)。這些企業(yè)可能還沒有采取切實有效的數(shù)據(jù)防外泄的措施，數(shù)據(jù)沒有根據(jù)重要程度分類分級進行保護，大量敏感數(shù)據(jù)采用明文傳輸和存儲，存在泄漏隱患，很多中小企業(yè)也存在這種情況。外部邊界，特別是互聯(lián)網(wǎng)出口防護不善，網(wǎng)絡(luò)隔離不利，應(yīng)用層安全漏洞大量存在，導(dǎo)致大量敏感數(shù)據(jù)面臨失竊風(fēng)險。

第三安全檢測和感知能力不足，無法及時發(fā)現(xiàn)和處置攻擊等異常行為。

雖然有很多企業(yè)已經(jīng)部署了入侵檢測的設(shè)備，但是存在部署位置不當(dāng)、規(guī)則庫老舊，沒有及時進行更新，報經(jīng)日志無人查看，這樣的現(xiàn)象比較多，所以它的入侵檢測的設(shè)備形同虛設(shè)。也有部分企業(yè)沒有建立健全應(yīng)急響應(yīng)體系和機制，也缺少一些遇到安全事件的實際演練。同時信息化人力資源和技術(shù)能力不足，無法發(fā)揮出作用來。實際上這兩個問題我覺得主要還是人力資源的問題。前面我也提到了，中國企業(yè)信息化的現(xiàn)狀是什么樣子，比如IT的部門不是特別完善，IT的人才可能也沒有那么富余，另外IT人員的水平和培訓(xùn)不到位，可能就會造成以上這種情況。尤其是對于一些很高級別的攻擊和威脅，可能根本就無法應(yīng)對，只不過這些威脅現(xiàn)在可能沒有表現(xiàn)出來，但是一旦表現(xiàn)出來，就沒有辦法應(yīng)對了，所以說企業(yè)的信息安全長期處于被動狀態(tài)。

第四是關(guān)鍵技術(shù)受制于人，安全隱患與日俱增。

這個大家都比較好理解了，我們現(xiàn)在絕大多數(shù)的企業(yè)中，基本上所有的企業(yè)廣泛應(yīng)用的一些核心的信息技術(shù)產(chǎn)品，比如從網(wǎng)絡(luò)核心設(shè)備到大型的主流軟件、核心應(yīng)用系統(tǒng)到新技術(shù)產(chǎn)品依然是國外的產(chǎn)品，對存在的漏洞和后門無法及時的知曉。我們用的CPU、硬盤，包括操作系統(tǒng)、數(shù)據(jù)庫都是國外的，現(xiàn)在也無可替代，一時還是沒有辦法的事情。部分企業(yè)在產(chǎn)品選型中，對信息安全的考量不足，對產(chǎn)品的安全評估、系統(tǒng)上線前的安全測試不夠重視，帶來比較大的安全風(fēng)險和隱患。我覺得這個現(xiàn)象不是部分企業(yè)，可能大部分企業(yè)都存在這樣的情況。因為現(xiàn)在我覺得最重要的一點就是我們還沒有安全方面的意識，也沒有幾家企業(yè)養(yǎng)成這樣的習(xí)慣，我們在上線一個系統(tǒng)的時候，或者在建設(shè)一個系統(tǒng)的時候先考慮它對信息安全的要求，或者先做一個等保定級，是幾級的，之后再同步的把安全防護的措施做上來，幾乎還沒有企業(yè)養(yǎng)成這樣的一個習(xí)慣，都是先上了系統(tǒng)，應(yīng)用先上來，先滿足業(yè)務(wù)再說，所以會出現(xiàn)這樣的情況。

第五是安全規(guī)劃和建和沒有能夠同步，新技術(shù)的風(fēng)險在不斷引入。

隨著云計算、大數(shù)據(jù)、移動應(yīng)用的普及，不少企業(yè)在積極跟進新技術(shù)的步伐。我覺得這也是因為現(xiàn)在都是互聯(lián)網(wǎng)環(huán)境，客戶在驅(qū)動企業(yè)的一些業(yè)務(wù)，競爭對手可能應(yīng)用了一些先進的技術(shù)，在目前的環(huán)境下，其他的企業(yè)不得已，必須要跟上。但是在應(yīng)用這些技術(shù)的同時，部分企業(yè)沒有充分考量安全的問題，對安全規(guī)劃和建設(shè)沒有同步實施進行，也沒有進行安全風(fēng)險評估，沒有落實安全保障措施的情況下，他就強行上線了比如說云平臺、移動辦公系統(tǒng)這些新技術(shù)的一些應(yīng)用，導(dǎo)致會帶來新的安全風(fēng)險和隱患。

根據(jù)報道，有一家大型央企的二級企業(yè)，它就是部署了云的平臺，它把所有的應(yīng)用全部遷移到這個云平臺之上，實現(xiàn)了業(yè)務(wù)的集中，對業(yè)務(wù)看來是一個好的事情，但是確實是沒有對這個云的平臺做深入的了解，尤其在安全方面。后來發(fā)現(xiàn)，在云平臺上有一個非常嚴重的漏洞，能夠通過外部來對云平臺進行干涉和操控。這樣的話，實際上是給業(yè)務(wù)帶來非常大的風(fēng)險。

從上面的表現(xiàn)我們可以看到，實際上中國企業(yè)的信息安全形勢是不容樂觀的，信息安全的保障能力目前還無法滿足企業(yè)信息化發(fā)展的需求。前面我談到了中國企業(yè)信息化的現(xiàn)狀，剛才又分析了中國企業(yè)信息安全的形勢。總體感覺，我們還是相比發(fā)達國家在這方面有很大的差距的，也有很大的不足。但是我覺得，有差距說明我們已經(jīng)有了目標和方向了，能夠跟別人去比了，有不足，實際上就說明我們還有更大的發(fā)展空間。所以我覺得，對于我們信息化負責(zé)人來說，實際上現(xiàn)在可能還是一個機遇，有挑戰(zhàn)，有機遇，機遇和挑戰(zhàn)并存。

今年我覺得對我們是有一個契機，能夠推動信息化和信息安全建設(shè)出現(xiàn)的一個契機，有兩點因素：一是國家對信息安全的重視前所未有，出現(xiàn)了一個歷史性的機遇；二是企業(yè)在現(xiàn)在的環(huán)境下越來越認識到信息安全是企業(yè)可持續(xù)發(fā)展的基本要求。

這個機遇實際上大家都明白，今年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組宣告成立，它成立的意義在什么地方？就表明了國家在保障網(wǎng)絡(luò)安全、維護國家利益、推動信息化發(fā)展方面的決心。從這個機構(gòu)的職責(zé)中我們也能看到，對于信息化負責(zé)人和企業(yè)IT部門來講有一些興奮點。

下面我談一談在信息化環(huán)境下，對于企業(yè)的信息安全有哪些價值。現(xiàn)在是全球信息化的環(huán)境，企業(yè)的信息資產(chǎn)特別寶貴，保護好信息資產(chǎn)往往是這些企業(yè)能夠持續(xù)發(fā)展一個最根本的要素。信息安全的價值體現(xiàn)在幾個方面：

第一是保護企業(yè)客戶信息和內(nèi)部組織信息。

企業(yè)的客戶信息或者商務(wù)伙伴的資料和數(shù)據(jù)，以及企業(yè)內(nèi)部的這些組織的信息、員工的信息都是企業(yè)賴以生存的基礎(chǔ)，是需要保護的一個主要資產(chǎn)。

第二體現(xiàn)在我們基于互聯(lián)網(wǎng)的商務(wù)活動過程和數(shù)據(jù)需要保護。

現(xiàn)在電子商務(wù)已經(jīng)是一個商務(wù)的主流方向，相比10年前我們很多的業(yè)務(wù)，很多的事務(wù)，都是通過電子商務(wù)來進行處理和完成的，大家也都逐漸的習(xí)慣把線下的商務(wù)活動放在了線上。越來越多的企業(yè)已經(jīng)在利用大量的電子商務(wù)替代了傳統(tǒng)的商務(wù)活動，在網(wǎng)絡(luò)上我們都知道有很多的風(fēng)險，為了規(guī)避信息泄漏、信息篡改、身份欺詐這些行為給企業(yè)造成的一些糾紛和困擾，信息安全保護就顯得特別重要。

第三體現(xiàn)在企業(yè)的商業(yè)秘密方面。

現(xiàn)在企業(yè)的正常運作離不開信息資源的支持，商業(yè)秘密的泄漏會使企業(yè)喪失一些競爭的優(yōu)勢，失去市場。所以企業(yè)要保持可持續(xù)發(fā)展，必須做好信息安全方面的工作。

第四是保障業(yè)務(wù)持續(xù)運轉(zhuǎn)的需要。

我們都知道，像9·11這樣的恐怖事件，可能造成了企業(yè)從此就消失了，因為它所有的信息資產(chǎn)都存在一個地方，沒有辦法恢復(fù)和還原。所以為了防止在企業(yè)的經(jīng)營活動中發(fā)生中斷的情況，保護它關(guān)鍵的信息資產(chǎn)免受重大的故障和災(zāi)難的影響，建設(shè)安全的信息系統(tǒng)是必不可少的。

從信息主管的角度，我們怎么樣能夠更加有力的推動企業(yè)信息安全建設(shè)？前面我提到了信息化，整個中國企業(yè)信息化的態(tài)勢和信息安全的態(tài)勢。我覺得造成這種困擾一個很關(guān)鍵的原因主要是人的意識問題，不是一個技術(shù)方面的問題，可能是一個管理或者意識方面的問題。信息化工作是我們老生常談的，信息化是三分技術(shù)，七分管理，它的來源是哪里？下面這段話就可以很好的說明這個事情，為什么信息化是三分技術(shù)和七分管理。從信息論的觀點，我們會看到信息系統(tǒng)是一個比較復(fù)雜的系統(tǒng)，是由信息技術(shù)系統(tǒng)、系統(tǒng)運行環(huán)境和信息組成，不僅包括組成信息技術(shù)系統(tǒng)的計算機軟硬件、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、系統(tǒng)平臺、通信平臺，還包括系統(tǒng)運行內(nèi)外環(huán)境中的人、組織、管理、物理環(huán)境這些因素。而且很重要的一點，就是因為這些因素之間它們相互影響，相互作用，相互制約，才稱為一個有機聯(lián)系的整體。從這里看到，信息化實際上不僅僅是一個技術(shù)的問題，實際上是一個多方面的問題。

信息安全也是同樣的道理，也是三分技術(shù)，七分管理，也不是一個單純的技術(shù)問題。所以在這里我提出一個觀點，我們要做好企業(yè)的信息安全建設(shè)方面的工作，不僅僅要考慮到信息安全的技術(shù)層面管層面的問題，也要考慮到人員層面、文化層面的問題，這幾個方面也是相互制約、相互作用、相互影響的。我也覺得中國的信息化建設(shè)最大的問題不是一個技術(shù)問題，往往是人員和文化層面的問題，大家還沒有很多的意識，還沒有意識到信息技術(shù)的合理應(yīng)用能夠給企業(yè)發(fā)展帶來很大的促進作用。所以說我們必須有全方位的考慮，才能保證信息安全的目標得以實現(xiàn)。

怎么樣來建立信息安全的文化？我先大概說一下企業(yè)文化是怎么回事，現(xiàn)在的企業(yè)逐漸壯大到一定階段的時候，每個企業(yè)都會談到自己的文化，或者都會發(fā)展自己的企業(yè)文化。那么企業(yè)文化是什么？企業(yè)文化就是企業(yè)內(nèi)的一套通用的價值體系，通過企業(yè)的價值觀、承諾、傳統(tǒng)等社會特征，來無形中約束企業(yè)和企業(yè)成員的言行，使企業(yè)和企業(yè)成員的行動向著實現(xiàn)企業(yè)發(fā)展目標的方向前進。所以有時候當(dāng)技術(shù)和管理規(guī)章制度不能約束每一個行為的時候，企業(yè)的文化往往可以起到很好的作用。所以我希望能夠發(fā)揮企業(yè)文化在這方面的作用，來推動我們企業(yè)的中高層管理人員在信息化和信息安全方面意識的增強。

這里有一個很典型的例子，就是核電站有一個安全的文化，就是把企業(yè)文化和安全有機的結(jié)合在一起了，有四個”凡事”，是一個經(jīng)典的說法，就是凡事有章可循，凡事有人負責(zé)，凡事有據(jù)可查，凡事有人監(jiān)督。這是有背景的，這是國際核能界在三里島和切爾諾貝利事故以后，結(jié)合”企業(yè)文化”的管理思想，提出的新的安全管理思想和原則，而且后面應(yīng)用和傳播得非常好。它是傳統(tǒng)的縱深防御原則的一個擴充，也是安全管理思想的一個重大變革。實際上我覺得信息安全也是安全體系的一部分，所以它跟核電站的安全文化也有異曲同工的地方。我們可以建立一種信息安全的文化，就是把信息安全看作是企業(yè)文化的一個組成部分，把企業(yè)文化引入到信息安全管理政策中，通過引導(dǎo)和影響企業(yè)員工對待信息安全工作的方式和態(tài)度，員工和企業(yè)對信息安全或者信息化的態(tài)度、行為和實踐一旦形成一種風(fēng)格或者習(xí)慣的話，這些工作就比較好開展了。

這是舉例，某一個企業(yè)它的信息安全文化包含了哪些要素，有企業(yè)信息安全方面的文化和理念，也有員工在信息安全方面的文化和理念，企業(yè)的信息安全理念有安全使命、安全愿景、安全責(zé)任、核心安全觀。員工的信息安全理念包括安全意識、全員價值觀、員工行為規(guī)范、保守秘密等等要素。說到底，信息安全是對人的行為的一個管控，良好的信息安全文化理念是企業(yè)安全的一個靈魂，信息安全文化是企業(yè)文化的一個重要組成部分，我覺得這個總結(jié)得是非常好。

我們通過什么樣的形式來建成一種信息安全的文化？我覺得有以下幾點建議，主要還是通過宣貫的方式，我們可以在企業(yè)中經(jīng)常的去宣貫國內(nèi)外的信息安全形勢，國家信息安全方面的政策，還有一些比較典型的信息安全事件，還有這個企業(yè)信息安全的制度和企業(yè)信息安全的文化理念。

下面是舉個例子，比如到底這個世界上國際的信息安全形勢是什么樣子，就可以給大家講，現(xiàn)在是網(wǎng)絡(luò)空間怎么回事，大數(shù)據(jù)在當(dāng)中起到什么樣的作用，企業(yè)在全球的信息安全戰(zhàn)略中是什么樣的地位和作用等等，經(jīng)常給員工做一些宣貫，或者請專家來做一些講解。還有國家政策法規(guī)的一些宣傳，比如國資委我們對企業(yè)的信息安全有什么樣的要求，公安部又是什么樣的要求，人大又有哪些決定，同時我們ISO27001上面是怎么講的，怎么說的，耳濡目染，員工或者是企業(yè)的管理人員慢慢的就有這個意識了。這是一個央企的商業(yè)秘密信息系統(tǒng)安全技術(shù)指引。

另外還有一些信息安全的事件，也可以經(jīng)常去給員工做一些宣講和宣貫。這是一個入侵的大型離子對撞機的實驗，在2008年9月10日，黑客入侵這個系統(tǒng)，差一點就關(guān)閉了。2010年的時候百度的網(wǎng)站突然沒有訪問了，是被伊朗的一個網(wǎng)軍入侵篡改了，這都是比較惡劣、比較震驚的事件。我們企業(yè)中也可能建有內(nèi)網(wǎng)，內(nèi)網(wǎng)跟互聯(lián)網(wǎng)是隔離的，難道它就沒有風(fēng)險了嗎？通過這樣一個圖示，也可以告知員工，告知大家，內(nèi)網(wǎng)在什么樣的情況下也是能夠被攻入的。我記得伊朗的那個震網(wǎng)病毒侵入了伊朗的核電站，利用的就是這種方式。

除了文化方面，我們可以從組織和人員的層面來推動這個企業(yè)的信息安全建設(shè)，這是老生常談的，也沒有什么特色的東西。信息化也是一把手工程，我們要成立企業(yè)一個信息安全的管理機構(gòu)，這個管理機構(gòu)有這樣的職責(zé)，我們實際上不僅僅是要讓企業(yè)的一把手來擔(dān)任管理機構(gòu)的領(lǐng)導(dǎo)人，同時還要讓企業(yè)的層層一把手也納入這個機構(gòu)之中，使整個企業(yè)對于信息化或者信息安全的工作推進得會比較順利。

我們從安全管理的方面推進信息安全建設(shè)，這個都是常規(guī)的方法，大家可能普遍采用的也都是這樣。信息安全的管理體系國際標準，還有就是怎么從技術(shù)層面上做到信息安全的防護，這也都是我們等保中要求的，比如物理安全、網(wǎng)絡(luò)安全等等，就不細講了。

最后我再簡潔的說一下我們做信息安全建設(shè)的一些原則：一是要遵循國際國內(nèi)或者行業(yè)信息安全的法規(guī)和標準；二是注重投入產(chǎn)出比，安全與投資的平衡。現(xiàn)在信息安全產(chǎn)品很多，信息安全各方面需要防御的或者要部署的也很多，但是是不是我們企業(yè)有這個資金，或者有這個能力去實施呢？所以要考慮一個安全和投資的平衡。要從業(yè)務(wù)的重要性和防護等級上保持一致，按照我們等保的要求去做，你的企業(yè)受到入侵或者破壞以后，對這個國家或者對企業(yè)影響到什么程度，就把信息系統(tǒng)定為什么樣的級別，相應(yīng)的去做那些安全的防護；三是要強調(diào)三分技術(shù)，七分管理，還有誰主管誰負責(zé)，有些業(yè)務(wù)部門負責(zé)的系統(tǒng)，它主管的，你就應(yīng)該有這個安全的意識；四是統(tǒng)一性，在一個集團企業(yè)，大型企業(yè)中要統(tǒng)一進行安全規(guī)劃，統(tǒng)一進行安全策略的設(shè)置，統(tǒng)一進行安全標準，統(tǒng)一一個安全的建設(shè)；五是全面考慮，分步實施，我們不是一下子把所有的資金全部投入在信息安全方面，分階段、分步實施，一點點投資，一點點建設(shè)。

感謝大家，我今天的匯報就到這里，謝謝大家！