徐斌, 殼牌石油(中國)區 CIO,總是掛著微笑的娃娃臉上幾乎看不出實際年齡。一直說“自己不是什么技術大拿”,但卻已經在信息化領域工作22年,無論是國企還是民營合資公司,熟悉歐洲公司企業文化,也對美洲公司企業文化頗為認同,擅長從技術和業務之間開展信息化研究,并對如何真正從公司的內部角度管理信息和數據有著深刻思考;對企業信息安全有較深刻的落地探索經驗。
近期,企業網D1Net記者獨家專訪了殼牌石油(中國) CIO 徐斌,以下為采訪內容。
殼牌石油(中國) CIO 徐斌
徐斌認為,企業信息安全必須對以下三方面進行思考:
首先,認識到企業風險管理的基礎是什么?企業工作所有的技術目的是為商業服務,實現商業目標。所以,不是為了技術而技術,而是要找到目標,明確管理的關鍵環節。
第二,找到切合自身的MNC信息安全管理實踐方案;
第三,明確事故管理有哪些工具可以幫助我們。
企業風險管理的基礎是數據和信息
企業風險管理的基礎是數據和信息,數據本身是客觀存在的表現形式,不管是企業內部的運營狀況,客戶狀況,客戶信息,或者其它外部情況這些都是數據。但是數據本身非常,有些也沒有任何意義,只有通過數據的收集管理才能形成信息。
企業中的數據管理就是把數據的收集、存儲到數據信息的整合等方面作為風險管理的基礎和核心。其目的是把數據管理好,不被外部攻擊,并變成企業真正可用的,能幫助我們實現商業價值的內容。也就是把數據信息往后延展到知識能力,通過知識的總結從而對未來趨勢做出預測,最后形成商業智慧。這便形成數據價值鏈,當然,前提是需要對數據和信息實現基本管理。
重視數據生命周期管理
企業中對數據的管理需要重視對數據生命周期的全程管理,而不是單純地管理某一個節點,數據什么時候生成,什么時候發展,怎么被使用,包括最后數據終結,這是一個整體的生命周期的管理。
數據生命周期包括六個階段:
首先,需要定義和設計數據,即明確為什么要這個數據,有什么樣的意義等等。
其次是去創建和收集數據,大數據時代,不僅要從內部收集,也要從外部收集,以及第三方數據等。
第三是數據的轉移和發布,比如如何存儲?如何公布給使用者等;
第四是如何使用和維護。
第五怎樣進行保存,包括有用無用數據的清理。
最后的階段是數據的銷毀。這一階段中國公司較國外企業有較大差距,尤其是銷售環節特別弱。英國石油、殼牌等企業在對數據進行銷毀時會尋求專業公司的幫助并付費。先內部將硬盤格式化,然后再交給專業銷毀公司進行處理。
明確企業數據管理六大目標
一般而言,企業數據管理需要達成以下目標:
一是可接觸的,能讓用戶用上的,能夠被希望用到的;
二是可用的,在需要使用的時間節點上可以用好它;
三是可審計的,每個數據的產生環節,使用環節都能夠被記錄下來,可幫助企業找到數據管理過程的漏洞。
四是合規的,能符合企業對數據管理的制度要求,中國正在實施國家信息安全保密法,對數據審計提出了更高要求。
第五,保持一致性,也就是避免信息孤島,很多企業信息同樣一個事物在不同系統的表現形式不一樣,比如做庫存查詢,很難統一知道整個企業集團里針對某一個商品的實際庫存情況?銷售情況等等。造成管理復雜,數據不準確,不能被商業使用。
第六,保證數據完整性,即數據準確性。
這六個方面的管理目標能幫助企業實現商業目標,增加市場份額,提供流動性管理,降低企業風險等等。
而這六個目標也就是實現“三個正確”,即把正確的數據提供給正確的人用來做正確的決策。
數據安全是文化和管理問題
徐斌說:“很多人認為數據安全是一個技術問題,其實并不是技術問題,技術只是其中的一個方面,其實質是文化和管理的問題。”
數據最重要的是來源要準確,或者說具有高質量的數據來源,但很多企業做了很多IT系統,但效果上并沒有達成目標?原因多是數據來源出了問題。
企業需要強勁的數據使用文化。跨國公司做數據風險管理采用了類似于PDC循環的方式。從風險評估開始,再判讀數據對企業價值的貢獻度,建立評估,形成對應的風險控制體系和合規檢查的體系,最后一旦出現事故,進行事故的管理。
這是一個不斷循環,不斷更新迭代企業整個風險評估的循環過程。其基礎是要在全集團企業建立信息安全意識,包括員工安全準則等體系。
數據安全方法論:“添磚加瓦式”VS“亡羊補牢式”
數據安全戰略包括數據使用規劃,數據在各個系統之間的分布規劃,包括數據安全管理的整個體系的目標。這是全球比較普遍的使用方法。其起點是風險評估,任何方法論的基礎都是以風險評估作為整個數據建立控制體系的來源,數據的等級分布,數據的風險評估建立對應的控制流程,最終形成安全管控體系,屬于“添磚加瓦式”的方法。即在相對比較成熟的數據安全控制體系下,當發現一個新的事故后便添加新內容,形成不斷迭代,不斷完善的風險控制體系
相對應的,中國很多企業則采取了“亡羊補牢式”信息安全建設,出現問題,投入建設一套體系。其整個控制點是由信息安全事故產生的,通過信息安全事故的發生進行一個事件分析,評估影響度,建立對應的控制,最后才會納入到風險安全管理的信息中去。 傳統來看信息安全管理主要在基礎設施層面比較多,比如防火墻、路徑檢測、日志等等來做風險管理。但如果只關注基礎設施層,比如銀行、信用卡業務,如果只是關注設施層,在信用卡操作平臺上面,有些正常用戶也可以做很多高風險的事件。所以,信息安全管理應走到應用層,要在應用系統層面,配置層面,在應用系統使用層面做跟蹤的管理。比如對信用卡庫操作上,可對用戶的使用行為做跟蹤和分析,以智能觀察是否也存在風險,而不是單純只設置了防火墻,或者邏輯層面做技術設置。
CIO應成首席創新官
徐斌說:“無論是數據應用還是數據安全,中國企業都還有很長的路要走。 “互聯網+”時代,CIO應該成為首席創新官,通過IT技術產生新的業務模式,產生新的業務增長點,找到新的業務創新,最后形成首席連接官,將內部和外部連接在一起。CIO應成為一個連接的橋梁,把企業內部的需求和外部的SaaS服務商直接連接,不直接提供技術解決方案,而是更多提供整個戰略規劃,框架設計,包括信息安全管理的控制,這是未來CIO非常核心的抓手和橋梁。”
由此看來,徐斌對他的職業賦予了新的定義!這個新定義將帶給行業什么?我們期待!
京公網安備 11010502049343號