以下为现场速记。
曾永红:谢谢大家!因为有很多新老朋友,信息化内审,不管是这项工作还是这方面的人才,应该说比较稀缺,但里面的内容又相对比较敏感,希望在门口的同事进来,把门关一下。还有就是大家不要照相,因为这个东西确实不好,说出去以后,我比较大火,所以我们公司很注重这个。
分享和保密,一直都是不断前进的一个话题,我一直想跟范总说,我们是不是可以搞一个信息化陷阱、坑方面的交流探讨。
范脡:好。
曾永红:因为大家都在讲,信息化转型应该怎么做,怎么做能够更好,包括张总说的创新,这些都是我们希望做的。大家能够看到,人类有史以来都希望不断进步,都是有一种本能,是趋利避害,都在想怎么做才会更好,这是向上的力量。还有一种向下的力量,不确定性带来的威胁。这是我们生活中都想到,在信息化层面,这确实讲的比较少。所以我这边分享一下信息化的内审交流。
信息化转型,风险很多,包括里面涉及到组织、信息化项目、内容。
我分三个部分,信息化转型的风险和挑战,信息化内审涉及到的内容、方法,以及对相关人才能力模型的探索,未来我们这个职业会怎么样,和大家做交流。
我想问一下大家,信息化人才跳槽有很多原因,大家认为会有什么原因?要更好的薪资、前景、平台,还有什么?
回答:安全事故。
曾永红:对,安全事故,有很多原因,包括你遇到一些不开心的,同事之间的关系等等,各种都会有。确实会发生不同的情形,但我们有没有想过,你在这个岗位上,你是怎样想到离开这个岗位,有没有思考过这个话题?也许你能够做到光荣的退休,我也希望在座的能够这样。这可能是一个没有想过的话题,我们大家都知道“黑天鹅事件”,是小概率的,比较难以预测。还有一种是“黑犀牛事件”,就是说大概率的,比较容易发生,而且发生起来范围很广、影响很大,就像犀牛一样,对我们的整个体系都会造成冲击。这两种情形在我们的生活中都是存在的,在我们的工作中都是存在的。
刚才有美的的同事提到需求,信息化很多方面就是因为需求不清晰、流程不清晰,业务部门也没有搞明白,直接上线,包括计划,有很多种原因造成信息化上的失败。当你作为一把手,推进这个事项的过程中,没有人提醒你,以前我们有一个职业是信息化监理,但这个行业为什么没有生存?是因为乙方,而且我们也不希望监管,希望有绝对的控制权,哪希望还有管着你的。对于一个大型的集团性企业来讲,必然会面临这样的问题,那么多的产业集团、那么多的所谓地方CIO,作为一个集团的信息化管理,需要对各产业集团信息化做风险把控。
我们部门成立有一些内部驱动力,组织变革,也是从地产走向汽车转型了。另外,信息化陷阱太多了,可能要讲陷阱的话,一天一夜都可以聊,会后的时候也可以聊。外部驱动力,大家有没有关注到?不管是说中美贸易摩擦还是网络安全法成为一个法律之后,我们的CIO的职业有可能要担刑责,高危职业。因为如果出现一些安全事件,你很可能被网警带过去的,企业罚款多少钱,确实很正常。我所知道的,深圳、广州可能每个月都会有一单这样的事情。所以面临外部监管越来越严厉、严格的时候,刚才我也给SD-WAN做了广告,确实SD-WAN是一个很好的解决方案,他将原来发布在互联网上的应用,不用发布到互联网上去。能不发布到互联网上的应用,不要发布。所有的解决方案里,都是面对企业的应用进行互联,这种解决方案应该大力推广。公安部直接管等保系统,你没有备案,没有做好等保的相关要求,直接出了问题,那中美贸易摩擦那么大,又喜欢搞搞,后来又改了一下名,我党对这个很敏感,不容一粒尘沙,大家可能没有意识到这么严厉,但你一旦经历的话,那就是黑犀牛,对你整个冲击就会很大。我们确实需要关注网络安全还是等保的要求,对整个信息化建设体系的冲击。
安全内审做什么?刚才说到我们有比较多的产业集团,审核什么呢?建设的规划,从规划层面看规划、架构、体系,当初做的好不好,包括计划的完成率,以及需求,需求不仅仅是指信息化的需求,还有业务部门的需求,是不是合理?如果不合理,可以一票否决,老板说过一句话,流程不完善的,不上信息系统。新上项目从需求设计到实施方案都可以去做审核,还有使用情况、能效,管理匹配度怎么样,建设的费用以及流程方面的审查,包括安全,安全面非常广。
我今天以安全为例,内审方法,PDC,从风险评估到处理,到监控和改进以及组织和计划,大家都清楚PDC,从规划建设到运维整个过程。我这里讲监控和改进,刚才我们说到信息化的不确定性,除了有很多机会,也有很多风险和威胁,但有些东西是无法改变的,这个时候就需要快速地响应和及时的监控。我们的监控体系,我想我们燃气集团的监控体系应该做得很不错,万一出现什么问题,能够快速响应处置和解决。同样,我们的风险及时处理也是循环的,要形成闭环的管理。我们再说说信息化内审的人才,我们近期在做这方面的人才研究,动机,他要有一个比较好的工作心态,能够想做出一些事出来。特质,还是要照章办事,按规则办事,不能搞创新。内审人才不能搞太多创新,为什么这方面的人才和做项目的人又不一样。自我,类似像公检法一样,他要从自我形象、自我维护,要能够维护审查的尊严、权威。技能,除了他能够按一定的规则、流程办事之外,还要有分析和设计的场景,包括鉴别的技能、行为的技能,压力都比较大。知识,包括信息化的审查知识、专业知识。比较特殊的一些专业知识就是风险管理,还有内部控制,信息资产的评估、监测、相关模型的建立。另外,发现问题和风险,要有比较好的沟通和协调能力。还有法律法规,信息安全也有非常多的法律法规,这方面的熟悉程度。比如说等保2.0当中,二级系统、三级系统、四级系统,像燃气集团,应该是过了等保四级。
答:要求要三级。
曾永红:你要对等保2.0的三级系统非常熟悉,哪些要做到什么控制。
我在这里讲一下能力模型,这两天正在做的一个东西,比较新鲜。前面提到综合能力、专业能力、知识,专业能力的需求,执行力,我相信这是一个通用的素质,每个企业都需要执行力,但他对执行力的要求更高。我这里定义一下,比如说能力等级的,在监督下完成、有效行动迎难而上、始终如一、坚韧不拔,这是能力等级五的,能力等级五的这些人基本上都是很难得的。学习能力和解决问题的能力,他能够独立公关,能够提出有针对性的解决方案、积极地寻找解决方案,他如果只是按规定做一些选择和判断,这是综合能力,我相信我们其他的信息化岗位需要同样的素质和能力。
风险意识,等级二的时候,要有一定的风险意识,对复杂的风险有一定的解决能力。能力等级四的时候,要求能够识别大部分的信息系统风险。等级五的时候,要全方位地风险防范能力,有很强的能力,能够主动识别风险,并制定应对预案,降低和规避风险。
成就导向方面,能够不断挑战自己卓越的实现价值。
为什么刚才强调监测呢?监测对出了问题之后能够快速响应,刚才说到,我们没有绝对的安全,很多东西就是抵抗不住,像中美大战的时候,很多面对国家级的入侵,你根本无法抵抗。也就是说,这些问题发生的风险是必然出现的,只不过我们什么时候去接受、面对它而已。这里面监测非常重要,要求我们能否建立监控体系、快速响应的机制。很多时候,我们资源不足,我们可以借助外部的力量,像现在的一些专业的安全公司、服务单位都有预警系统,包括快速响应的团队。
我们这里也强调,整个集团要能够对下属集团提供咨询服务,从对某个领域到几个领域,再到3-5个领域,再到提供资深的更多领域,甚至是全领域都能够提供技术咨询,这是一个专家级的咨询服务。
物理安全,从简单地知道中心的基本控制要求,到防泄露、智能化的检测、报警,物理分区,特别是对一些敏感的区域、办公场所都需要,特别是像一些未来的工厂,他就会分,我知道华为有红、黄、蓝区,就是矩阵化的管理,我们想想为什么我们觉得福田的公安、消防越来越安全,大家在深圳都能够感受到,其实他们就是矩阵式的监控和管理,网格性的管理方式。物理分区,多重访问控制措施,对物理安全有很大的帮助。
网络安全,从初级的到高级的,能够精通网络架构、安全策略、发现一些网络安全隐患,就能够快速提出一些解决方案。
系统安全,从Windows、Linux到云平台,到安全基线能够参与到重大项目的评审,他的能力不断地提升。
对应用系统来讲,数据精密性、完整性、可用性,他要熟悉标准和要求,1到2级的控制,大部分的访问控制,以数据安全标准为要求,到能够进行集团的重大项目的方案评审。
关于数据安全,9月1号个人隐私法会出来,我们现在非常关注,前段时间打击了二三十个APP,收集太多了,用户的权限,你不点击还用不了,网信办也在进行打击。从数据安全方面,从不懂个人隐私、脱敏、数据分析分类的方法和技术,到知道数据备份恢复,再到数据的检查,数据的备份是否有效,数据全生命周期管理,知道数据要去销毁。从综合能力到专业能力,再到技术能力,技术能力包括前面说到的,终端安全、开发安全、安全防护的工具、安全新技术,从这些维度衡量内审安全工程师的能力模型。为什么这么做呢?因为也是我们要两条线走,一个是管理,毕竟管理的坑太少,我们要做一些基数,让他觉得这个能够不断地自我成长。
信息化内审的相关工作以及职业,这个模型,我搜了中国所有的论文库、期刊库,这方面的研究有,我搜了上百篇,我在这一类人才中探索,也跟像DHL做人才测评的公司的专家、总监们交流,他们也说没有这方面的,找不到。大家知道,信息安全方面人才本身就非常稀缺,又是做内审的,就更加稀缺了。我感到现在大专院校已经在做,有一些本科毕业的安全专业的工程师,后面像四大毕马威、德勤,他们也有一些外审,但他们的外审和我们内审还是有点不一样,外审更多的是一次性提供一些工具、模板给你,或者是项目性。但我们内审是更加持续性地给予内部信息化相关专业的同事的建议、指导,提出要求、监督、整改,各方面要去完成。信息化审查专业,相对来说大型集团企业来讲,既新鲜,又有挑战。他能够规避我们数字化转型过程中从规划、到建设、到需求的风险。另外,我们也对各产业集团做的好的方面,我们也会提出一些表彰,会促进他做的更好。
我们有一些信息审计系统,比方说,我们有一些追溯系统,有泄密,前段时间很多同事、业界的朋友都在问,一个文档泄密出去了,又能够追踪到谁泄密的,很多同事都在问,我们也是类似的系统,打出去,都知道,这篇文章是谁泄密出去的。现在有很多种技术,像暗水印技术、字体、水纹加密算法,特别是金融类企业、银行类企业有这样的需求,主要的原因是不可避免地发生一些信息泄密,但还是希望能够找到责任人,能够继续惩处。信息安全这个职业近些年比较火,对内审专业也是比较新鲜的探索。我就和大家交流这么多,大家看有什么问题,可以回答一个问题,大家有什么想交流的,可以互动一下。
提问:曾总,像张总刚才讲的,他们掌握了很多用户的信息,包括上次美的张总分享,他们也有很多用户信息。这部分的用户信息面临很大的压力,这些数据很有价值,但目前存在的风险也很大,关于个人隐私保护方面,越来越严格。企业在拥有这个数据之后,怎样去面对隐私保护的挑战?
曾永红:我们有一个采集样,我们的个人隐私法写的也很清楚,你想应用这些数据产生价值的时候,你不能够跟个体的信息关联,你可以提炼,我们说脱敏之后提炼,这是一组行为人员的,比方说我们今天的深圳CIO沙龙,有这么多人参与了,演讲了什么主题,不涉及到具体,你不要提到曾永红就行了,那就没有关系。就像那么多燃气客户的数据,你可以分析出、预测性地说出这些炉具,这一批买的,更换日期大约在什么时间内,我可以通过这些大数据分析采集出来。你不能说曾永红在什么时间内,约了哪个女朋友,一起过来。这种就会出问题了,这个意思就是说不要跟个体有关。谢谢大家!
京公网安备 11010502049343号