當(dāng)前位置：CIO → 新聞中心 → 正文

非夕機器人信息安全總監(jiān)劉歆軼：信息安全管理體系標(biāo)準(zhǔn)升版說明

責(zé)任編輯：shjiaz |來源：企業(yè)網(wǎng)D1Net 2022-07-23 11:47:35 原創(chuàng)文章企業(yè)網(wǎng)D1Net

7月23日，由企業(yè)網(wǎng)D1Net舉辦的全國CIO大會·信息安全專場在海南博鰲召開。本屆大會主題為“數(shù)字化升級轉(zhuǎn)型新場景”。主要分享交流CIO在數(shù)字化工作中的經(jīng)驗和困惑，幫助全國各地的CIO們更好地應(yīng)對后疫情時代的數(shù)字化轉(zhuǎn)型，傳授以多種IT手段賦能新業(yè)務(wù)并實現(xiàn)降本增效實戰(zhàn)經(jīng)驗，內(nèi)容涵蓋基礎(chǔ)架構(gòu)、信息安全、協(xié)同辦公、數(shù)據(jù)、新技術(shù)(AI，低代碼等)等眾多領(lǐng)域。大會同期評選和頒發(fā)“2022全國優(yōu)秀CIO個人獎”。

以下是現(xiàn)場速記。

上海非夕機器人科技信息安全總監(jiān) 劉歆軼

劉歆軼：大家好!很久沒有參加CIO的大會了，因為我最近十年專注在安全領(lǐng)域，我前面工作的十四年是做IT的管理，那是從1998年開始，到2012年做了職業(yè)方向的轉(zhuǎn)型，專注在安全領(lǐng)域。十年前經(jīng)常參加各種各樣這種大會，很久沒有參加了，有點親切的感覺。

我是上海非夕機器人信息安全總監(jiān)，CIO是有定義的，只有真正加入了管理層，加入到這個圈子里才能叫C，這是國家的規(guī)定，在金融行業(yè)里，比如證券公司，證監(jiān)會曾經(jīng)發(fā)文，“公司必須設(shè)立CIO，要加入領(lǐng)導(dǎo)班子”，意味著IT經(jīng)理、IT總監(jiān)、IT部部長，只要沒有在公司的決策層，沒有在CXO的圈子里，都不能叫CIO。信息安全也一樣，目前我的抬頭是信息安全總監(jiān)，還沒有到CISO的程度。

進入公司之后，又增加了另外一個職位，數(shù)據(jù)保護官，關(guān)注數(shù)據(jù)合規(guī)、隱私保護這類工作。由于各項法規(guī)的頒布越來越多，所以公司的合規(guī)，尤其是有跨境的數(shù)據(jù)傳輸和個人隱私相關(guān)信息的企業(yè)要格外關(guān)注。如這次某互聯(lián)網(wǎng)行業(yè)頂格罰款就是因為個人信息傳輸造成的，如果將來企業(yè)當(dāng)中出現(xiàn)個人隱私的問題，有跨境的，有傳遞的，要格外注意。而且這個領(lǐng)域不是只有信息安全的人關(guān)注，還有一些法律界朋友們在關(guān)注。我在學(xué)習(xí)數(shù)據(jù)保護官相關(guān)內(nèi)容時，考取這個認(rèn)證時，發(fā)現(xiàn)80%是律師，各大律所去做這個生意，怎么樣保證個人隱私數(shù)據(jù)安全，來搶占我們的地盤，要注意。

2012年轉(zhuǎn)換賽道，轉(zhuǎn)換方向從認(rèn)證輔導(dǎo)角度進的，2012年從公司離開之后，準(zhǔn)備給自己充電，開始做一些安全領(lǐng)域的認(rèn)證考試，全球大概有15萬持證人員，但是在中國只有3800人，一方面非常困難，因為考試要考6個小時，從早上9點考到下午3點，中間不休息，難度非常大，從2003年中國第一次開始考，到目前為止只有3822個人通過了或持證了，非常難。

還有一部分對于組織的認(rèn)證，信息安全認(rèn)證，ISO27001，以及ISO2000系列的認(rèn)證，那個時候組織愿意進行認(rèn)證的主要行業(yè)有兩個，一個是金融行業(yè)，一個是互聯(lián)網(wǎng)行業(yè)，這些都是有強制要求的。金融行業(yè)主要的證券、銀行、保險，證監(jiān)會、人行、銀保監(jiān)會，他們都有非常嚴(yán)格的監(jiān)管要求，基本上每個月都會派審計師下來去做審計，我之前是給國內(nèi)四大行、六大行，還有一些商業(yè)銀行做信息安全規(guī)劃，做ISO27001認(rèn)證的輔導(dǎo)、體系建設(shè)等一系列工作，積累了很多經(jīng)驗，確實感覺在金融領(lǐng)域里信息安全投入非常大，首先銀行不缺錢，資金充足，而且上面又有硬性的監(jiān)管要求，必須要做到怎樣，否則罰得錢就更多，所以他們愿意花錢。甚至有的時候申請預(yù)算下來該投的都投了，不知道往哪兒花了。所以做安全的友商愿意跑銀行領(lǐng)域，確實錢好賺。

做了幾年咨詢顧問之后又轉(zhuǎn)回制造行業(yè)，就是在非夕機器人。畢竟我前面十幾年都是在制造行業(yè)做IT，所以對制造行業(yè)非常有感情。非夕機器人是一個非常年輕的公司，創(chuàng)業(yè)到現(xiàn)在只有六年時間。介紹幾部分：

1.非夕安全體系規(guī)則

2.ISO27000標(biāo)準(zhǔn)介紹

3.2022年新版變化

4.新版對企業(yè)影響

一、非夕機器人簡介

非夕意思不是夕陽產(chǎn)業(yè)，是朝陽產(chǎn)業(yè)，整個公司非常新的企業(yè)，公司由斯坦福機器人實驗室的幾位博士畢業(yè)之后在硅谷創(chuàng)業(yè)，那是2016年。2017年在上海成立了上海非夕，主要是研發(fā)，佛山有工廠，深圳分公司，主要制造的是手臂形狀的機器人，利用一些非常先進的視覺反饋和力覺反饋，后臺AI自主式柔性機器人，總而言之比較高大上，比現(xiàn)在的機器手臂更加先進。可以應(yīng)用的領(lǐng)域越來越多。

公司最重要的是研發(fā)能力，基本上斯坦福那邊獲取到一些新的研發(fā)資源和動態(tài)，在硅谷研發(fā)中心做轉(zhuǎn)換，交由國內(nèi)進行實現(xiàn)和生產(chǎn)，所以我們研發(fā)數(shù)據(jù)安全作為重中之重。

我加入公司之后開始做了一系列相關(guān)安全規(guī)劃工作。整體安全是依托于整個公司戰(zhàn)略。從企業(yè)戰(zhàn)略到安全架構(gòu)，最后到安全建設(shè)，用這樣一個思考的方式來進行的。

整體框架，我們通過跟公司管理層訪談之后，梳理出了大概的情況，底層所謂的安全技術(shù)實際上是參考“三保護一支撐”的概念，保護安全的計算環(huán)境、區(qū)域邊界、通訊以及支撐性的基礎(chǔ)設(shè)施，這個框架是業(yè)界比較認(rèn)可的通用框架。

安全運營日常工作，技術(shù)和運營兩部分都是需要安全管理作為指導(dǎo)。信息安全應(yīng)該是自上而下覆蓋式的方式，到底要做什么，往哪個方向去，確定好了之后，才通過技術(shù)和運營加以實現(xiàn)，達到其目標(biāo)。我在公司首先基于整體理念，先去梳理安全管理層面。當(dāng)然也考慮到一定因素，首先IT成熟度，還有資金投入，一進公司花幾百萬也不合適，先用一些不太花錢的方法，把整體框架搭建起來，慢慢再去填充。

信息安全管理體系參照ISO/IEC27001，它的架構(gòu)相對比較全，比較穩(wěn)定。

涉及內(nèi)容是PTC怎么樣組織所有的安全工作，然后附錄的14個領(lǐng)域，包括方針策略、組織資產(chǎn)、人力資源、物理通訊網(wǎng)絡(luò)等等領(lǐng)域。

規(guī)劃工作開展過程分幾個階段：

首先是啟動和計劃，要做一些整體的管理范圍的確定、工作的計劃、前期的溝通，尤其高層溝通，整個信息安全工作要依托企業(yè)安全戰(zhàn)略，在風(fēng)險評估里，確定風(fēng)險準(zhǔn)則一定是由公司最高管理層確定的。

差距評估和風(fēng)險評估階段，依據(jù)ISO27001準(zhǔn)則，114個要求，根據(jù)公司現(xiàn)狀做整體對比，知道到底哪些地方有欠缺，再通過風(fēng)險評估來評估到底有欠缺的地方哪些是重要的，哪些是高低風(fēng)險的，找出重點，區(qū)別出優(yōu)先級，基本三年規(guī)劃或五年規(guī)劃就出來了，知道做哪些事情，知道按什么順序去做。

按照計劃開始設(shè)計整體管理框架、制度建設(shè)、制度評審發(fā)布，制度發(fā)布之后，具體怎么樣落地，需要技術(shù)層面做支撐的。

最后還要進行相應(yīng)的試運行，試運行階段發(fā)現(xiàn)問題再做相應(yīng)調(diào)整，再去做整改，再做內(nèi)審、管審等一系列。

以上是標(biāo)準(zhǔn)ISO管理體系搭建的過程。

成果。在14個領(lǐng)域分別給出不同的情況，一般在27000里從兩個層面做評估，一個是管理制度層面，一個是實際執(zhí)行層面，就會分出四個象限，如果都做得比較好就是綠色，沒有差距;如果制度做得不好，但實際執(zhí)行還行，但沒有成文，就屬于淺綠;如果制度寫得挺漂亮，實際上沒有做，就變成黃色;如果制度和執(zhí)行都比較弱，但至少還有，就是橙色;如果完全沒有考慮到這方面，就是紅色。114個要求對比下來，就會在公司里有這么一個整體的藍圖，知道大概哪個方面有什么樣的欠缺。

風(fēng)險評估，這是所有安全工作的起點，只有知道哪些有風(fēng)險，哪些作為優(yōu)先級，才知道后一步該怎么做。風(fēng)險評估的方法是基于是ISO27005，信息資產(chǎn)先做一個識別，信息資產(chǎn)就是數(shù)據(jù)資產(chǎn)，數(shù)據(jù)安全是數(shù)據(jù)資產(chǎn)，還有軟件資產(chǎn)、硬件資產(chǎn)、人員資產(chǎn)和服務(wù)資產(chǎn)。再去看外界有哪些威脅，內(nèi)部有哪些缺陷和漏洞，當(dāng)前已有的措施是否生效，分析清楚之后進行頂級，到底是高中低，根據(jù)這個看是不是處理，還是不用處理。處理之后再做一輪風(fēng)險評估。

根據(jù)五類不同資產(chǎn)梳理出哪些是高風(fēng)險、哪些是低風(fēng)險，有一個餅圖和柱狀圖，讓大家一目了然能夠看清楚需要在哪個方向發(fā)力。

確定信息安全方針，方針策略特別虛，但實際上確實需要，到底公司往哪個方向發(fā)展直接指導(dǎo)、引領(lǐng)我們后續(xù)到底怎么樣開展工作。比如我們公司現(xiàn)在制定的是“全面管理、預(yù)防為主、分級保護、合規(guī)審慎”，主要范圍確定下來，一定要跟著策略走。可以細化到年度，比如今年的策略是防止內(nèi)部數(shù)據(jù)泄露，可能會上很多漏洞或DRP、員工桌面管控等，如果明年策略改成防御未來入侵，可能要做很多其他的防火墻、威脅等東西。由策略指導(dǎo)我們具體往哪個方向跑，一定是非常重要的。當(dāng)然比較虛，只是一個方向，沒有告訴你怎么做。

有了策略之后就要有組織，到底誰來干這些活兒，活兒分配下來沒有人干不行，一般會分成幾個層級，首先是信息安全領(lǐng)導(dǎo)小組，一定是公司最高管理層負全責(zé);有一個管理團隊，一般都是IT人員、安全人員、核心部門負責(zé)人組成，制定一些具體的要求;每一個部門都設(shè)立安全專員，即接口人，他們負責(zé)把整個安全體系慢慢往下推，推到每個部門里面去;全員職責(zé)，每一個員工都是信息安全的責(zé)任人，要定期對他們進行相應(yīng)要求。

對于文件層級，一般分成四個層級：方針政策;各種程序，具體提出哪些管理要求;具體如何執(zhí)行，操作步驟，表單模板等;記錄文檔，確定到底做了沒有，事后審計時用來查的。

整體建設(shè)過程中，基本上按照制度的建設(shè)，對于各個業(yè)務(wù)部門、業(yè)務(wù)流程進行訪談，小組討論，進行相應(yīng)制度的修改、設(shè)立、小組評審，完善一個制度，制度再審批發(fā)布。

會形成一個制度清單，按照整體框架在哪個領(lǐng)域分別建立哪些相應(yīng)管理制度，每個公司不一樣，按照業(yè)務(wù)和IT運維程度，以及細化不一樣，會建立這么一個清單。

確立到底都在什么時候做哪些事情，就要定期檢查，會設(shè)立有效性測量指標(biāo)，每年在什么時候到底要干什么，檢查什么，做了沒做，這是內(nèi)審時我們重點要查的對象，每天必須要干的事。

還會做一些整體有效性測量的統(tǒng)計，到底做得好不好，有沒有達到要求。

內(nèi)審。在每年至少組織一次內(nèi)部審核，把前面做的所有事情全都做一遍梳理，看看到底還有哪些缺陷。除了內(nèi)審之外還有管理評審，做得好不好，什么狀況，開一個管理評審會，讓公司管理層了解一下到底今年信息安全體系運行狀況怎么樣，還有方針政策是否要調(diào)整，每年的回顧，還有相關(guān)利益方的安全需求有沒有新的變化，外界的環(huán)境有沒有新的變化，這一切的變化都要在管理評審會上提供，供管理層來做評價。

內(nèi)審當(dāng)中肯定會涉及到很多改進的計劃，這些改進計劃管理層是否要批準(zhǔn)，拍板是否要給人、給錢、給時間，哪個要做、哪個不要做、哪個推遲、哪個取消，都在管理評審會上敲定的。

如果大家之前沒有做過體系的話，基本能夠有一個了解。

二、ISO27000標(biāo)準(zhǔn)介紹

ISO27000發(fā)展歷程，最早是從英國的英標(biāo)組織發(fā)展到最后變成ISO27000，變成國際標(biāo)準(zhǔn)。里面大概有30~40個，最上面27000是術(shù)語，所有信息安全相關(guān)的術(shù)語和概念可以在這里能查到。最主要的是27001，這是認(rèn)證標(biāo)準(zhǔn)，通過它，按照這個標(biāo)準(zhǔn)來審核。ISO整個組織里有一個默認(rèn)的潛規(guī)則，凡是以001為標(biāo)準(zhǔn)的就是可認(rèn)證的，其他都是相關(guān)的。整個體系里面包括001的體系要求，002的實用規(guī)則，003的實用指南，還有對于審核機構(gòu)的要求、認(rèn)證等等。

27701，關(guān)于個人信息保護的管理，很多互聯(lián)網(wǎng)公司都在說已經(jīng)通過了27701，因為有能力保護個人隱私的信息、員工的信息、客戶的信息。

在不同領(lǐng)域，不同行業(yè)里分別也有不同的認(rèn)證標(biāo)準(zhǔn)可以進行認(rèn)證或供參考。

目前所有ISO27000家族系里所有的標(biāo)準(zhǔn)清單，紅顏色都可以認(rèn)證。27017和27018，經(jīng)常聽一些云廠商過這兩個認(rèn)證，比如阿里、騰訊，只要提供云服務(wù)都會過這些，基礎(chǔ)是27001整體框架搭起來之后，這些作為補充。

三、2022變化解讀

這次是27002文檔發(fā)生了改版情況，不是27001，按照ISO27000的慣例，先提出一些實踐，27002如何才能夠達到要求或怎么做的一些最佳實踐的極，一般都是先更新27002，再更新27001。

27002這次改版變化蠻大的，有必要跟大家分享一下，如果沒有時間去翻這個標(biāo)準(zhǔn)，非常冗長，大致聽我說一下，有一個概念就可以了。

首先有幾個點的變化，標(biāo)準(zhǔn)名稱變化，這是非常重要的，意味著內(nèi)容會產(chǎn)生很大的變化;整體結(jié)構(gòu)，原來18個章節(jié)變成現(xiàn)在8個章節(jié)和2個附錄;術(shù)語定義內(nèi)容變化，控制分類、控制數(shù)量、控制屬性、控制視圖都做了相應(yīng)條件，尤其增加了屬性、視圖是之前沒有的，將來會有新的變化。

關(guān)于名稱的變化，原來27002名字叫做信息技術(shù)-安全技術(shù)-信息安全控制實用規(guī)則，改版以后叫做信息安全、網(wǎng)絡(luò)安全和隱私保護-信息安全控制。對于這些名詞概念容易混淆，數(shù)據(jù)安全、網(wǎng)絡(luò)安全、信息安全到底有什么區(qū)別?邊界在哪里?稍微解釋一下。

整體來講，信息安全是大框，什么都能裝;數(shù)據(jù)安全，數(shù)據(jù)是作為信息資產(chǎn)其中一部分，信息資產(chǎn)包含數(shù)據(jù)、軟件、硬件、服務(wù)和人員，所以數(shù)據(jù)安全管理作為信息安全管理的一部分，也可以說數(shù)據(jù)安全是作為數(shù)據(jù)治理的一部分，是有交疊，也不完全包含。

網(wǎng)絡(luò)安全和信息安全有什么區(qū)別?最近國家在提網(wǎng)絡(luò)安全宣傳周，為什么不叫信息安全?因為網(wǎng)絡(luò)安全強調(diào)的是攻防對抗，而信息安全強調(diào)的是對于信息資產(chǎn)的保護，也就是CIA三個屬性，這兩個角度不一樣，原來ISO27000是基于信息安全的架構(gòu)來做描述的，現(xiàn)在增加了網(wǎng)絡(luò)安全，即強調(diào)對抗的內(nèi)容。

章節(jié)變化，從原來很多章節(jié)縮減成了核心4個，從組織控制、人員控制、物理控制和技術(shù)控制，完全融合在一起，原來分成14個領(lǐng)域，現(xiàn)在變成只有4個框架了。

標(biāo)準(zhǔn)內(nèi)容、術(shù)語，原來直接引用ISO27000就可以了，現(xiàn)在增加了很多新的術(shù)語的內(nèi)容在里面。

關(guān)于控制域原來14個變成了4個主題，合在一起就會發(fā)現(xiàn)沒有辦法用它來分類，原來14個分類，每一個有1~2個、2~3個，特別好細分，現(xiàn)在變成4個，比如某一個里面有37個控制數(shù)量，根本沒辦法用它來細分分類，這有一個變化。但可以用視圖做細分。

新增一些控制措施，做了一些延伸，比如威脅情報、云安全，之前都沒有;連續(xù)性要求，物理安全監(jiān)控現(xiàn)在特別提到;配置管理;

10、11、12，信息刪除、數(shù)據(jù)屏蔽、數(shù)據(jù)防泄露，特指個人信息的隱私保護，增加了這部分內(nèi)容。

還有其他監(jiān)控活動、網(wǎng)絡(luò)過濾、安全編碼是增加的。老的沒有任何刪減，都合并在一起了，新增了8個新的內(nèi)容。

整體框架格式也增加了一個屬性表格，到底屬于哪一類的，前面有一個介紹。

增加控制屬性視圖，所有控制，一條一條要求都要分屬于不同的屬性，比如控制類型分成預(yù)防、檢測、糾正，安全屬性CIA跟哪個相關(guān)，網(wǎng)絡(luò)安全屬性按IPDRR架構(gòu)，屬于哪個階段;運營能力，跟之前14個領(lǐng)域非常像，變成了15個域;安全域又有治理、保護、防御、韌性，分了很多細化的屬性，方便去篩選，不管喜歡從哪個視圖，比如強調(diào)網(wǎng)絡(luò)安全，就采用網(wǎng)絡(luò)安全屬性作為整體的視圖視角去看到底這些安全控制在哪些，如果喜歡信息安全的視角，就按照CIA來看，是這樣一個過程。

預(yù)防、檢測、糾正三類不同的事件，屬于控制類型的屬性。

CIA信息安全的屬性。

IPDRR，所有控制措施分別在IPDRR里處于哪個環(huán)節(jié)，都已經(jīng)囊括其中了。

對照圖，如果之前做過兩期按照14個域來劃分，現(xiàn)在可以轉(zhuǎn)換成運營能力15個域，有嚴(yán)格對應(yīng)的關(guān)系，不用改太多的東西，非得往4個里面去塞，而是直接調(diào)整一下，放到新的運營能力里面就可以了，不會產(chǎn)生太大的變化。

按照治理、保護、防御、恢復(fù)四個層面，也可以通過這個視角來進行。會形成一個整體的視圖，舉例，某一個控制措施到底屬于糾正性的還是預(yù)防性的，還是哪一種，都可以按這個表格篩選出來，這里會用一些工具，比如Excel，把哪一條屬于哪個控制視圖、安全屬性視圖、網(wǎng)絡(luò)安全視圖的做篩選，當(dāng)然也可以用一些工具在線上做或多維表格都可以，沒有的話，用Excel也可以。

四、升版對企業(yè)的影響

27002不是認(rèn)證的標(biāo)準(zhǔn)，是一個實踐標(biāo)準(zhǔn)，一定會引起27001的升級，按照ISO內(nèi)部的說法，應(yīng)該在今年10月份左右27001就會升版到2022版，因為27002直接指導(dǎo)著27001，27002變了，27001肯定也會變。

對于組織來講，如果還沒有做ISO27000認(rèn)證時，可以由兩個選擇，一是繼續(xù)按照老版做準(zhǔn)備去認(rèn)證，等到2022發(fā)布之后再去升版;二是直接等到2022發(fā)布之后，一次升到新版。兩種路徑都可以，看你目前準(zhǔn)備的程度如何，可以按照新版直接準(zhǔn)備，也可以按照老版準(zhǔn)備，一般一個升版都有三年的周期讓你慢慢調(diào)整。

對企業(yè)安全管控的影響。方法論不變，都是基于風(fēng)險整體的管理;范圍更加廣，增加了網(wǎng)絡(luò)安全、隱私保護的內(nèi)容;兼容性更強，可以通過不同的視角分別按照你喜歡的方式去年展現(xiàn)所有的控制方法。

謝謝大家!

關(guān)鍵字：信息安全管理體系標(biāo)準(zhǔn)非夕機器人劉歆軼