隨著新一代數字技術的飛速發展并成功滲入各行各業，信息安全問題已經不再單純作用于虛擬網絡空間，還對于物理世界的企業生產、經營、技術等都產生了巨大的影響。數字經濟的全面到來，讓信息安全開始成為當代企業發展的第一生命線。

近日，在企業網D1Net和信眾智聯合主辦的2019 CIOC全國CIO大會上，聯合汽車電子信息安全總監趙超就分享了自己在企業信息安全建設方面的心得體會。

【聯合汽車電子信息安全總監 趙超】

信息安全是風控體系

“做IT大多是靠經驗的，但信息安全除外。”趙超指出，信息安全是風控體系，其核心目標是服務于資產的CIA。大病靠防，小病靠治，和中醫體系類似，信息安全需要靠“防”、“治”雙輪運作，從“亡羊補牢”到“未雨綢繆”，循環迭代。

“信息系統和安全這兩件事情確實可能不是‘同年同月同日生’，但恐怕它們只能‘同年同月同日死。’”趙超表示，由于數字資產中數據與載體密不可分;建設、運維、使用者多重角色、多重關系;軟件即服務;虛擬世界與現實世界融合等特點，為信息安全建設帶來很大的挑戰。這就導致很多企業信息安全建設是在系統建設好、上線運行之后才開始考慮安全的問題。很多安全手段的啟用，也不是因為找到了自身的風險所在，往往是跟著行業里的一些實踐或者乙方產品的發展啟動實施的。但這樣一來，就可能導致投入和風險不匹配，資金多花在了一些市場上熱門的產品，自身大的漏洞反被忽視。正是因為這個原因，信息安全一定要以體系化運作為基礎，以風險為導向。

變化并不是獨立發生的

人們關注的是變化，但需要找到核心變量，才能理解變化所在。“在互聯網技術的大背景下，數據資產發生很大的變化，導致了信息安全領域面臨的問題、可能采取的措施都隨之而變。也就是說，信息安全態勢的改變并不是獨立發生的。”

企業信息化階段，信息技術是輔助性的，幫助流程落地，使管理透明化。企業做了很多流程系統，但與企業核心價值鏈的關系并不緊密。與之相對應的，信息安全建設和業務之間更是存在很大隔閡。也就是說，出了信息安全問題，對企業的影響可能并不大。即便是企業最有價值的信息資產，核心技術資料，其保護手段并不過多依賴于信息安全保護機制。往往是通過法律層面的知識產權或商業秘密加以保護。

特別是傳統企業，信息系統本身并不直接創造價值。作為業務的輔助手段，這些系統也只是存在于自家的局域網環境里。現在企業都在做數字化創新轉型，其根本含義就是利用互聯網技術帶來的互動作用，把自己的產品和服務推到互聯網上，與客戶消費者互動。在互聯網上的IT系統，才是真正意義上的業務與技術的融合。“如果只是出在公司內網，就無法從互聯網如此巨大的經濟體中獲取價值。”趙超認為，互聯網能夠讓產品服務和客戶服務直接送達客戶，快速獲取并反饋客戶需求。未來數字經濟和實體經濟將會匯集成一個閉環，能讓客戶需求和價值生成的過程不斷循環。

“正因為這樣的趨勢，信息安全也會發生相應的改變。”趙超直言，信息資產將從靜態數據向業務服務轉化，不管是To B抑或To C，服務一定是在互聯網上的。

“傳統意義上的信息安全關注企業內網系統，對應的業務數據是公司的信息資產, 例如研發數據, 經營數據。而互聯網上的系統，最重要的是交易數據、客戶數據、以及服務送達。在全新的價值網絡中，信息安全成為企業價值達成不可或缺的手段。”趙超認為，天下攘攘，皆為利往。未來，整個價值鏈勢必向互聯網上遷移，因此，越來越多的信息資產將離開局域網的圍欄。企業內部保存的只是一些基本的、作為后盾支撐經營運作的系統。特別是企業價值達成必然是在互聯網上實現的。信息安全將成為網絡空間的安全問題，和業務完全融合為一體。

立足六大基本點，積極推進企業安全建設

安全無處不在，既需要傳統領域的信息保護，又面臨著未來的巨大挑戰。作為合資企業，聯合汽車電子極為重視信息安全的建設，談及多年來的實戰經驗，趙超直言應該抓住以下幾個基本點：

1. 全局把控、尋找定位。從全價值鏈著眼，確定信息安全管控范圍及力度。還要考慮到未來網絡世界里，存在風險和收益的權衡，“風險大、收益大”這一規律也同樣適用于信息安全風險。如何把控兩者之間的關系，找準安全管控的定位尤為關鍵。

2. 回歸安全本源。信息安全需要做到“亡羊補牢”和“風險識別”，兩者不分先后，互為因果，迭代閉環。

3. 導入體系，持續運行。引入信息安全體系，通過PDCA中風險識別、防范措施、檢查改進、處置行動等流程，明確監管責任和主體責任，持續運行安全服務。

4. 資產識別要點。在資產識別上明確數據資產，數據載體資產，安全措施資產的不同特性，必要時進行資產同類項合并，這樣才能保證風險評估的有效進行。除了數據以外，服務也應該被作為單獨的資產來加以識別。

5. 職責定義，三道防線。層層落實“誰主管(業務)誰負責;誰運行誰負責;誰使用誰負責”的主體責任，并建立以主體責任、監管治理和審計為中心的三道防線。

6. 措施的認識。很多企業把措施狹義地理解為技術措施。而信息安全的管控措施包含技術、流程、責任意識多個方面，確立兜底措施的高優先級，追蹤技術手段趨勢，明確防御措施自身的風險。

演講末尾，趙超談及了自己對于未來的展望，她指出，未來企業將會從原有的物理世界中走出來，將價值延伸到互聯網的世界中去，和用戶接觸并產生反饋，帶動整個價值鏈的閉環運作，循環上升。而網絡安全、價值創造、技術實現也將完全融為一體，成為企業價值運作的三駕馬車。