對于信息安全的重要性，我們已經無需再次強調。雖然得到了企業用戶的高度重視，調查數據還是再次為我們敲響了警鐘，2014年在中國大陸與香港地區，檢測到的網絡犯罪事件導致企業平均財務順勢 增至240萬美元，同比2013年增長33%，而全球這一數值為270萬美元，增長34%。

安全，與戰略同行

針對這一現狀，很多企業已經開始有意識地關注公司的信息是否安全，盡管許多中國大陸與香港受訪者表示他們目前擁有信息安全保護政策，但信息安全策略/愿景缺失成為開展信息安全工作的最主要障礙之一，針對這種現狀，普華永道中國網絡安全服務合伙人冼嘉樂提出了企業邁向戰略性安全管控體系的五個步驟。

　　圖說：冼嘉樂，普華永道中國網絡安全服務合伙人

第一，確保信息安全的管控策略與商業目標一致，并使自身成為戰略投資。第二，識別最具價值的信息資產，并優先保護高價值數據，第三，是為了減少對各類攻擊的響應時間，請充分了解您的對手，包括他們的動機，可能會利用的資源，以及他們會使用的攻擊方式等等。第四，評估第三方與供應鏈合作伙伴的信息安全狀況，以確保第三方也同樣符合企業要求的安全策略及最佳實踐。第五，積極參與多方合作，提高企業對網絡安全威脅與應對的意識。

有了這五大業務步驟，企業的安全戰略就有了實施指南，冼嘉樂表示，這五大步驟同樣適用于中國的廣大中小企業。簡單的說，信息安全的基本目的是為了保護業務活動，如果信息安全影響了業務的發展與正常活動，那么這樣的信息安全應該被重新審視與評價，如何平衡信息安全與業務發展的關系呢？步驟一就很好地解決了這個問題，因此不論企業規模大小，信息安全工作的第一項任務或者說第一個出發點就是為了商業目標的實現。具體到中小企業，他們往往處于業務發展期，每一筆花費都需要更加精打細算，在信息安全方面的投資是否能保護商業活動以及商業利益顯得更加珍貴。

安全步驟“動”起來

對于這五大安全步驟的實施方式，賽迪網記者專門咨詢了冼嘉樂。冼嘉樂表示，這五個步驟不是嚴格意義上的相互依存的順序關系，他們更類似于日常信息安全工作的指導原則與關注點，所以需要結合企業的實際情況進行定制化的分析，有重點有針對性地“動態”進行工作。普通企業一般的信息安全工作，可以劃分為幾個階段不斷循環。

首先是風險識別與評估，全面認識目前企業所面臨的信息安全風險，并進行風險高低與優先級排序。其次是制定并實施信息安全風險管控解決方案，找出問題的解決辦法與順序關系。再次是信息安全管控監督，確保信息安全的解決方案發揮應有的作用。最后是持續改進，不斷發現新的問題并不斷改進，使信息安全管控工作處于動態持續提升的環境，可以看到，通過風險評估的工作后造出薄弱環節做到有的放矢，通過管控監督的活動，衡量信息安全的落地執行情況與效果，而且這是一個動態的過程，可以理解為螺旋式上升。

而從國際國內來說，也有不少相關的標志、框架可以作為這些步驟的參考，如ISO27000、ISO20000、NIST-SP800、SSE-CMM、ISO15408、COBIT等等，不過冼嘉樂也強調，這些都是通用性的標志，每個企業在實際使用過程中需要結合自身情況，不可生搬硬套。

安全，如何面對大數據、互聯網

針對企業客戶比較關注的大數據、云計算以及互聯網安全，冼嘉樂表示，應該謹慎選擇合理的技術方案，并且了解內外有別，合理對信息資產進行分類分級，這樣才能對信息進行分級安全保護。此外信息安全不應僅僅是事后的要求，在業務開展與技術應用之初就應該把信息安全作為一個要素考慮和評估。不僅如此，企業高管還需要平衡業務與安全的關系與戰略一致性問題，對企業信息安全評估、監控與管控進行一個動態的管理。

最后，冼嘉樂還談到了國內外安全策略的異同點。由于國內外企業的業務環境和企業信息安全建設階段不同，具體的執行策略會有寫差別，例如國外企業對信息安全的重視程度普遍比較高，已經開展多年的信息安全管控建設，“硬”環境相對比較完善，如設備部署、流程體系建設等；目前更加重視“軟”環境，如人員意識、內外部欺詐的預防、信息安全合作等等。國內的信息安全還處于起步階段，因此基礎設施的建設還處于比較重要和高投入階段，更加重視企業信息安全解決方案的部署、使用以及信息安全管控體系的建設，但是發展速度非常快，一些先進企業和大型機構和國外信息安全管控的水平相差不大。

相信有了這些安全良方，企業安全之路會越走越順。

附簡歷：

冼嘉樂，普華永道中國網絡安全服務合伙人

從業22 余年，為中國大陸、香港和美國眾多知名企業提供信息系統管理相關服務，工作涉及信息安全、IT風險管理和國有企業、上市公司以及外企在華的IT審計服務等方面，在金融業、通信科技信息技術