12月21日，在企业网D1Net和信众智CIO智力共享平台共同主办的2019上海CIO沙龙上，华住集团副总裁王彬为与会人员带来了“数字化转型中的安全与风控”之分享。

以下内容根据现场速记整理完成：

王彬：我在集团分管信息安全工作，目前本集团在国内拥有5000多家酒店。

今天将分享四个部分，首先是数字化转型。现在已经到了一个数字化转型的高峰阶段。什么叫数字化转型?数字化转型就是以数字驱动业务模式的转变，以客户为中心，用数字化来提升客户价值，因此数字化，都是基于数据和基于数字的。

企业当中，怎么用好技术?怎么用好IT?既然谈到转型，谈到数字化提升客户价值，那么，风险合规是否合理?是否有人专管信息安全与信息化?网络安全与信息化相辅相成，没有信息化就没有现代化，国家法律法规也在对信息安全做出更多的规定。

因此，数字化转型带来业务增长是好事，但它是个双刃剑，没有管好的情况下，容易产生负面影响。企业那么多数据，要注意要管理好。

做信息安全，总的重要的是取得管理层的支持，因为安全真的是很费钱的一个技术领域。

首先需要良好的专业团队，目前人才市场一般性IT员工，大概一年薪酬在30-50万之间，而信息安全专业技术人才平均是50-100万之间。

其次，安全需要对业务赋能。要保证业务稳定的增长，并且保证增长时不走弯路，少踩刹车，不掉链子，这是安全业务的赋能。同时要理解什么是真正的业务赋能，有些业务动作从安全领域来讲存在较大的风险，这些并不一定是真实的商业赋能，给企业带来的风险远高于收益。。

安全怎么做?总的原则是：一般先感知，再做防御和对抗。这其中，开展等级保护测试是基础中的基础，非常重要，工作必须要做。

另外，很多人认为，做安全的，应该帮公司兜底，帮业务兜底，帮内部内审兜底，帮整个营销团队兜底。实际上只是安全团队是兜不住的，可能兜着兜着，安全部门就把自己兜底进去了，因此需要把这些整理归纳，与业务部门一起，让业务去了解相关的风险在什么地方?从赋能IT团队，到赋能业务部门，让企业整体去理解安全，全方位拥有安全管理意识，这是非常重要的。

安全做什么?安全合规，信息安全，架构，治理，生态。

风控做什么?在互联网产业中，拉新和获客是有帮助的。比如一家做美妆的互联网企业，发起了一个凭借验证手机号就可以领取口红的促销，这个活动出来就被“秒光”，实际上都是被黑产刷掉的。这种业务打法可能存在问题，思路也需要更改。线上要往线下走，也就是要和具体业务场景结合来看。线上拉新，拉过来的客，需看留存和复购，这就是风控的价值。风控是从业务出发的实际场景中，去梳理业务设计的逻辑是否合理?减少被恶意利用的可能性。

基本上，安全是风控的底，没有技术防范的人，根本做不了线上的引流和风控。因为，没有工具和手段，很难做好。当然，基础安全、办公安全、风险控制也需要进行全面考虑。

如何保证数据安全?建议整体用一套技术引擎去解决注册、刷单、内部风险管理、内部风险控制等问题。

最后，要保证合规与感知。

总体而言，CIO在规划自身企业的安全与风控时：

首先，要对企业的安全体系做整体评估，建立基本的防御能力。

第二，通过建立安全体系，行程持续化的运营能力。

第三，持续投入，但要针对高风险高优先级的点来打。