• 关于我们 联系我们
当前位置:CIO人物访谈 → 正文

前途汽车邢红波:信息安全问题,归根结底是人的问题

责任编辑:cdeng 作者:邓彩霞 |来源:企业网D1Net  2019-06-03 08:53:38 原创文章 企业网D1Net

“在整个信息化安全建设过程中,很多企业都会碰到两点困惑:第一,信息安全建设是碎片化、不成体系的,大多数情况下头痛医头,脚痛医脚,碰到什么问题买什么产品;第二,做信息安全投入预算难,经常被管理层、决策层诟病,后续解释起来也相对困难。”前途汽车CIO邢红波在由企业网D1Net和信众智联合主办的2019 CIOC全国CIO大会上如是说到。

【前途汽车CIO邢红波】

隐患丛生,企业信息安全须警钟长鸣

大数据时代,信息安全问题被屡屡提及,在商业机遇和风险不断演变的背景之下,企业信息安全该如何保障。“不同的行业在企业信息化安全建设里面有很多共性的东西在。”邢红波指出,当下企业之所以要做信息安全规划,很大程度源于以下四个层面的思考:

1. 数字化转型企业需要对数字资产进行合理、有效的保护;

随着企业数字化转型的深入,线上线下一体化“数字化是双胞胎”的运营逐步实现,信息资产已经成为企业最有价值、最具竞争力的核心资产,如何以更合理、更高效的方式实现信息(数字)资产的保护,对信息安全建设提出了更高要求。

2. 工业互联网建设需要企业有与之匹配的安全管控能力;

工业互联网时代IT、OT、CT快速融合,IoT模糊了传统安全边界,数据安全是工业互联网面临的最大壁垒之一,开展针对性的信息安全建设是构架坚固的网络安全系统、管理脆弱环节、保护敏感信息与知识产权的有效途径。

3. 利益驱动下的信息安全事件频发给企业造成巨额经济损失;

信息即财富的趋势下,越来越多的黑客组织投身于信息资产的窃取,攻击手段变幻莫测,攻击渠道多种多样,IoT设备、工业网已经成为不法黑客的攻击重点,为整个网络空间的安全环境带来全新挑战。

4. 数字化转型需要相应的信息安全管理体系及技术手段为企业合规运营保驾护航;

国外GDPR、联邦数据法、国内安全法、工业控制系统安全指南、信息安全等级保护法以及企业还需通过ISO27001认证,建立相应的安全规划方案为后续体系建设指明方向,确保企业合规运营。

此外,相较于其他行业,汽车行业电动化、网联化、共享化趋势,使得新兴技术的发展应用在提高工作效率,满足客户体验的同时,特别是政策性影响,也给安全技术带来了新的风险、挑战和要求。“汽车行业的企业安全需求重点在于全球合规的遵从、业务和产品安全、数据资产保护、防黑客攻击、系统可用性保障者五个层面。“邢红波直言,其实大多数企业安全并没有想象中的复杂,只要仔细梳理,思路就会很清晰。从管理角度而言,目前企业的信息安全现状主要表现在信息安全管理、信息安全技术、人员安全意识和安全事件四个维度上。

“人防”+“技防”双轮驱动企业信息安全建设

凡事预则立,不立则废。从企业战略和IT战略出发,设计出企业信息安全建设的整体规划,逐步推演,才能制定出信息安全的原则策略。邢红波透露,前途汽车的安全规划战略只有四点要求,即和公司战略保持一致、满足企业业务需求、体现信息部门价值、符合相应的法律法规。

“越安全就越不易用,越易用就越不安全,这是一个始终无法解决的矛盾。”邢红波认为,在做信息安全的过程中,必须在信息安全投入和使用中做好平衡,更关注安全,还是更关注业务,信息安全原则的选择需要做好充分考量。

“在保障企业正常运营效率的同时,采取一切必要的管理和技术手段,保护企业的核心数据资产和IT系统的机密性、完整性和可用性;确保企业信息安全运营符合相应法律法规的要求,这就是我们整个企业信息安全规划的整体策略。”邢红波表示,在完备的规划策略之下,前途汽车希望通过“人防”+“技防”,实现“事前防御、事中控制、事后追溯”的管理目标,全面降低企业信息安全风险,实现合规合赢,做到涉密信息拿不走、黑客进不来、安全不违规、特权不滥用。

信息安全建设规划方面,前途汽车借用了信息安全成熟度滑动标尺模型为工具进行行业对标,确定信息安全建设中期目标,包括联合安全厂商,与成熟企业进行行业对标参考。“我们始终认为制度和人是关键,是核心,技术仅仅只是手段。”在前途汽车的“P.P.T”(Process、Personal、Technology)信息安全建设指导理念中指出,信息安全工作,管理是核心,技术是手段,不是紧靠技术系统上线就可完成,而是融合管理和技术两方面的投入,进而改变员工的思想、行为和企业安全文化的一个持续过程。

信息安全建设不是一蹴而就的,要有一个渐进的过程

“信息安全建设有很多内容,企业不能一次性的将它实施完成,因此需要有自己的实施线路图优先级考虑。”在前途汽车的信息安全建设过程中,邢红波要求从严重性、风险、收益、易实施性、最佳实践五个维度衡量并进行轻重缓急分配,确定事件优先级。

在实际运作中,邢红波坦言,目前前途汽车做了3年的安全规划投入,预算控制在1000万以内,每年200-300万,最终达到3.0阶段。第一步建体系、搭围墙,做基础保障安全;第二步梳理数据资产,建保险柜,实现纵深防御;第三步运维保障,主动防御,完成整个企业的安全运营。为此,邢红波告诫在场观众,“信息安全组织的建立一定是自主建立的,一个企业没有信息安全组织就没有组织保障,事情就没法做好。安全制度和流程的建立,建议各位请成熟的咨询公司先搭建体系,后续逐步细化落实。”

演讲末尾,邢红波再次强调,信息安全问题归根结底是人的问题,信息安全管理是核心,技术是手段。然而,道高一尺,魔高一丈,信息安全建设只有起点,没有终点,企业永远在路上。

关键字:邢红波前途汽车信息安全

原创文章 企业网D1Net

x 前途汽车邢红波:信息安全问题,归根结底是人的问题 扫一扫
分享本文到朋友圈
当前位置:CIO人物访谈 → 正文

前途汽车邢红波:信息安全问题,归根结底是人的问题

责任编辑:cdeng 作者:邓彩霞 |来源:企业网D1Net  2019-06-03 08:53:38 原创文章 企业网D1Net

“在整个信息化安全建设过程中,很多企业都会碰到两点困惑:第一,信息安全建设是碎片化、不成体系的,大多数情况下头痛医头,脚痛医脚,碰到什么问题买什么产品;第二,做信息安全投入预算难,经常被管理层、决策层诟病,后续解释起来也相对困难。”前途汽车CIO邢红波在由企业网D1Net和信众智联合主办的2019 CIOC全国CIO大会上如是说到。

【前途汽车CIO邢红波】

隐患丛生,企业信息安全须警钟长鸣

大数据时代,信息安全问题被屡屡提及,在商业机遇和风险不断演变的背景之下,企业信息安全该如何保障。“不同的行业在企业信息化安全建设里面有很多共性的东西在。”邢红波指出,当下企业之所以要做信息安全规划,很大程度源于以下四个层面的思考:

1. 数字化转型企业需要对数字资产进行合理、有效的保护;

随着企业数字化转型的深入,线上线下一体化“数字化是双胞胎”的运营逐步实现,信息资产已经成为企业最有价值、最具竞争力的核心资产,如何以更合理、更高效的方式实现信息(数字)资产的保护,对信息安全建设提出了更高要求。

2. 工业互联网建设需要企业有与之匹配的安全管控能力;

工业互联网时代IT、OT、CT快速融合,IoT模糊了传统安全边界,数据安全是工业互联网面临的最大壁垒之一,开展针对性的信息安全建设是构架坚固的网络安全系统、管理脆弱环节、保护敏感信息与知识产权的有效途径。

3. 利益驱动下的信息安全事件频发给企业造成巨额经济损失;

信息即财富的趋势下,越来越多的黑客组织投身于信息资产的窃取,攻击手段变幻莫测,攻击渠道多种多样,IoT设备、工业网已经成为不法黑客的攻击重点,为整个网络空间的安全环境带来全新挑战。

4. 数字化转型需要相应的信息安全管理体系及技术手段为企业合规运营保驾护航;

国外GDPR、联邦数据法、国内安全法、工业控制系统安全指南、信息安全等级保护法以及企业还需通过ISO27001认证,建立相应的安全规划方案为后续体系建设指明方向,确保企业合规运营。

此外,相较于其他行业,汽车行业电动化、网联化、共享化趋势,使得新兴技术的发展应用在提高工作效率,满足客户体验的同时,特别是政策性影响,也给安全技术带来了新的风险、挑战和要求。“汽车行业的企业安全需求重点在于全球合规的遵从、业务和产品安全、数据资产保护、防黑客攻击、系统可用性保障者五个层面。“邢红波直言,其实大多数企业安全并没有想象中的复杂,只要仔细梳理,思路就会很清晰。从管理角度而言,目前企业的信息安全现状主要表现在信息安全管理、信息安全技术、人员安全意识和安全事件四个维度上。

“人防”+“技防”双轮驱动企业信息安全建设

凡事预则立,不立则废。从企业战略和IT战略出发,设计出企业信息安全建设的整体规划,逐步推演,才能制定出信息安全的原则策略。邢红波透露,前途汽车的安全规划战略只有四点要求,即和公司战略保持一致、满足企业业务需求、体现信息部门价值、符合相应的法律法规。

“越安全就越不易用,越易用就越不安全,这是一个始终无法解决的矛盾。”邢红波认为,在做信息安全的过程中,必须在信息安全投入和使用中做好平衡,更关注安全,还是更关注业务,信息安全原则的选择需要做好充分考量。

“在保障企业正常运营效率的同时,采取一切必要的管理和技术手段,保护企业的核心数据资产和IT系统的机密性、完整性和可用性;确保企业信息安全运营符合相应法律法规的要求,这就是我们整个企业信息安全规划的整体策略。”邢红波表示,在完备的规划策略之下,前途汽车希望通过“人防”+“技防”,实现“事前防御、事中控制、事后追溯”的管理目标,全面降低企业信息安全风险,实现合规合赢,做到涉密信息拿不走、黑客进不来、安全不违规、特权不滥用。

信息安全建设规划方面,前途汽车借用了信息安全成熟度滑动标尺模型为工具进行行业对标,确定信息安全建设中期目标,包括联合安全厂商,与成熟企业进行行业对标参考。“我们始终认为制度和人是关键,是核心,技术仅仅只是手段。”在前途汽车的“P.P.T”(Process、Personal、Technology)信息安全建设指导理念中指出,信息安全工作,管理是核心,技术是手段,不是紧靠技术系统上线就可完成,而是融合管理和技术两方面的投入,进而改变员工的思想、行为和企业安全文化的一个持续过程。

信息安全建设不是一蹴而就的,要有一个渐进的过程

“信息安全建设有很多内容,企业不能一次性的将它实施完成,因此需要有自己的实施线路图优先级考虑。”在前途汽车的信息安全建设过程中,邢红波要求从严重性、风险、收益、易实施性、最佳实践五个维度衡量并进行轻重缓急分配,确定事件优先级。

在实际运作中,邢红波坦言,目前前途汽车做了3年的安全规划投入,预算控制在1000万以内,每年200-300万,最终达到3.0阶段。第一步建体系、搭围墙,做基础保障安全;第二步梳理数据资产,建保险柜,实现纵深防御;第三步运维保障,主动防御,完成整个企业的安全运营。为此,邢红波告诫在场观众,“信息安全组织的建立一定是自主建立的,一个企业没有信息安全组织就没有组织保障,事情就没法做好。安全制度和流程的建立,建议各位请成熟的咨询公司先搭建体系,后续逐步细化落实。”

演讲末尾,邢红波再次强调,信息安全问题归根结底是人的问题,信息安全管理是核心,技术是手段。然而,道高一尺,魔高一丈,信息安全建设只有起点,没有终点,企业永远在路上。

关键字:邢红波前途汽车信息安全

原创文章 企业网D1Net

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^