以下是现场速记。

上海非夕机器人科技信息安全总监 刘歆轶

刘歆轶：大家好!很久没有参加CIO的大会了，因为我最近十年专注在安全领域，我前面工作的十四年是做IT的管理，那是从1998年开始，到2012年做了职业方向的转型，专注在安全领域。十年前经常参加各种各样这种大会，很久没有参加了，有点亲切的感觉。

我是上海非夕机器人信息安全总监，CIO是有定义的，只有真正加入了管理层，加入到这个圈子里才能叫C，这是国家的规定，在金融行业里，比如证券公司，证监会曾经发文，“公司必须设立CIO，要加入领导班子”，意味着IT经理、IT总监、IT部部长，只要没有在公司的决策层，没有在CXO的圈子里，都不能叫CIO。信息安全也一样，目前我的抬头是信息安全总监，还没有到CISO的程度。

进入公司之后，又增加了另外一个职位，数据保护官，关注数据合规、隐私保护这类工作。由于各项法规的颁布越来越多，所以公司的合规，尤其是有跨境的数据传输和个人隐私相关信息的企业要格外关注。如这次某互联网行业顶格罚款就是因为个人信息传输造成的，如果将来企业当中出现个人隐私的问题，有跨境的，有传递的，要格外注意。而且这个领域不是只有信息安全的人关注，还有一些法律界朋友们在关注。我在学习数据保护官相关内容时，考取这个认证时，发现80%是律师，各大律所去做这个生意，怎么样保证个人隐私数据安全，来抢占我们的地盘，要注意。

2012年转换赛道，转换方向从认证辅导角度进的，2012年从公司离开之后，准备给自己充电，开始做一些安全领域的认证考试，全球大概有15万持证人员，但是在中国只有3800人，一方面非常困难，因为考试要考6个小时，从早上9点考到下午3点，中间不休息，难度非常大，从2003年中国第一次开始考，到目前为止只有3822个人通过了或持证了，非常难。

还有一部分对于组织的认证，信息安全认证，ISO27001，以及ISO2000系列的认证，那个时候组织愿意进行认证的主要行业有两个，一个是金融行业，一个是互联网行业，这些都是有强制要求的。金融行业主要的证券、银行、保险，证监会、人行、银保监会，他们都有非常严格的监管要求，基本上每个月都会派审计师下来去做审计，我之前是给国内四大行、六大行，还有一些商业银行做信息安全规划，做ISO27001认证的辅导、体系建设等一系列工作，积累了很多经验，确实感觉在金融领域里信息安全投入非常大，首先银行不缺钱，资金充足，而且上面又有硬性的监管要求，必须要做到怎样，否则罚得钱就更多，所以他们愿意花钱。甚至有的时候申请预算下来该投的都投了，不知道往哪儿花了。所以做安全的友商愿意跑银行领域，确实钱好赚。

做了几年咨询顾问之后又转回制造行业，就是在非夕机器人。毕竟我前面十几年都是在制造行业做IT，所以对制造行业非常有感情。非夕机器人是一个非常年轻的公司，创业到现在只有六年时间。介绍几部分：

1.非夕安全体系规则

2.ISO27000标准介绍

3.2022年新版变化

4.新版对企业影响

一、非夕机器人简介

非夕意思不是夕阳产业，是朝阳产业，整个公司非常新的企业，公司由斯坦福机器人实验室的几位博士毕业之后在硅谷创业，那是2016年。2017年在上海成立了上海非夕，主要是研发，佛山有工厂，深圳分公司，主要制造的是手臂形状的机器人，利用一些非常先进的视觉反馈和力觉反馈，后台AI自主式柔性机器人，总而言之比较高大上，比现在的机器手臂更加先进。可以应用的领域越来越多。

公司最重要的是研发能力，基本上斯坦福那边获取到一些新的研发资源和动态，在硅谷研发中心做转换，交由国内进行实现和生产，所以我们研发数据安全作为重中之重。

我加入公司之后开始做了一系列相关安全规划工作。整体安全是依托于整个公司战略。从企业战略到安全架构，最后到安全建设，用这样一个思考的方式来进行的。

整体框架，我们通过跟公司管理层访谈之后，梳理出了大概的情况，底层所谓的安全技术实际上是参考“三保护一支撑”的概念，保护安全的计算环境、区域边界、通讯以及支撑性的基础设施，这个框架是业界比较认可的通用框架。

安全运营日常工作，技术和运营两部分都是需要安全管理作为指导。信息安全应该是自上而下覆盖式的方式，到底要做什么，往哪个方向去，确定好了之后，才通过技术和运营加以实现，达到其目标。我在公司首先基于整体理念，先去梳理安全管理层面。当然也考虑到一定因素，首先IT成熟度，还有资金投入，一进公司花几百万也不合适，先用一些不太花钱的方法，把整体框架搭建起来，慢慢再去填充。

信息安全管理体系参照ISO/IEC27001，它的架构相对比较全，比较稳定。

涉及内容是PTC怎么样组织所有的安全工作，然后附录的14个领域，包括方针策略、组织资产、人力资源、物理通讯网络等等领域。

规划工作开展过程分几个阶段：

首先是启动和计划，要做一些整体的管理范围的确定、工作的计划、前期的沟通，尤其高层沟通，整个信息安全工作要依托企业安全战略，在风险评估里，确定风险准则一定是由公司最高管理层确定的。

差距评估和风险评估阶段，依据ISO27001准则，114个要求，根据公司现状做整体对比，知道到底哪些地方有欠缺，再通过风险评估来评估到底有欠缺的地方哪些是重要的，哪些是高低风险的，找出重点，区别出优先级，基本三年规划或五年规划就出来了，知道做哪些事情，知道按什么顺序去做。

按照计划开始设计整体管理框架、制度建设、制度评审发布，制度发布之后，具体怎么样落地，需要技术层面做支撑的。

最后还要进行相应的试运行，试运行阶段发现问题再做相应调整，再去做整改，再做内审、管审等一系列。

以上是标准ISO管理体系搭建的过程。

成果。在14个领域分别给出不同的情况，一般在27000里从两个层面做评估，一个是管理制度层面，一个是实际执行层面，就会分出四个象限，如果都做得比较好就是绿色，没有差距;如果制度做得不好，但实际执行还行，但没有成文，就属于浅绿;如果制度写得挺漂亮，实际上没有做，就变成黄色;如果制度和执行都比较弱，但至少还有，就是橙色;如果完全没有考虑到这方面，就是红色。114个要求对比下来，就会在公司里有这么一个整体的蓝图，知道大概哪个方面有什么样的欠缺。

风险评估，这是所有安全工作的起点，只有知道哪些有风险，哪些作为优先级，才知道后一步该怎么做。风险评估的方法是基于是ISO27005，信息资产先做一个识别，信息资产就是数据资产，数据安全是数据资产，还有软件资产、硬件资产、人员资产和服务资产。再去看外界有哪些威胁，内部有哪些缺陷和漏洞，当前已有的措施是否生效，分析清楚之后进行顶级，到底是高中低，根据这个看是不是处理，还是不用处理。处理之后再做一轮风险评估。

根据五类不同资产梳理出哪些是高风险、哪些是低风险，有一个饼图和柱状图，让大家一目了然能够看清楚需要在哪个方向发力。

确定信息安全方针，方针策略特别虚，但实际上确实需要，到底公司往哪个方向发展直接指导、引领我们后续到底怎么样开展工作。比如我们公司现在制定的是“全面管理、预防为主、分级保护、合规审慎”，主要范围确定下来，一定要跟着策略走。可以细化到年度，比如今年的策略是防止内部数据泄露，可能会上很多漏洞或DRP、员工桌面管控等，如果明年策略改成防御未来入侵，可能要做很多其他的防火墙、威胁等东西。由策略指导我们具体往哪个方向跑，一定是非常重要的。当然比较虚，只是一个方向，没有告诉你怎么做。

有了策略之后就要有组织，到底谁来干这些活儿，活儿分配下来没有人干不行，一般会分成几个层级，首先是信息安全领导小组，一定是公司最高管理层负全责;有一个管理团队，一般都是IT人员、安全人员、核心部门负责人组成，制定一些具体的要求;每一个部门都设立安全专员，即接口人，他们负责把整个安全体系慢慢往下推，推到每个部门里面去;全员职责，每一个员工都是信息安全的责任人，要定期对他们进行相应要求。

对于文件层级，一般分成四个层级：方针政策;各种程序，具体提出哪些管理要求;具体如何执行，操作步骤，表单模板等;记录文档，确定到底做了没有，事后审计时用来查的。

整体建设过程中，基本上按照制度的建设，对于各个业务部门、业务流程进行访谈，小组讨论，进行相应制度的修改、设立、小组评审，完善一个制度，制度再审批发布。

会形成一个制度清单，按照整体框架在哪个领域分别建立哪些相应管理制度，每个公司不一样，按照业务和IT运维程度，以及细化不一样，会建立这么一个清单。

确立到底都在什么时候做哪些事情，就要定期检查，会设立有效性测量指标，每年在什么时候到底要干什么，检查什么，做了没做，这是内审时我们重点要查的对象，每天必须要干的事。

还会做一些整体有效性测量的统计，到底做得好不好，有没有达到要求。

内审。在每年至少组织一次内部审核，把前面做的所有事情全都做一遍梳理，看看到底还有哪些缺陷。除了内审之外还有管理评审，做得好不好，什么状况，开一个管理评审会，让公司管理层了解一下到底今年信息安全体系运行状况怎么样，还有方针政策是否要调整，每年的回顾，还有相关利益方的安全需求有没有新的变化，外界的环境有没有新的变化，这一切的变化都要在管理评审会上提供，供管理层来做评价。

内审当中肯定会涉及到很多改进的计划，这些改进计划管理层是否要批准，拍板是否要给人、给钱、给时间，哪个要做、哪个不要做、哪个推迟、哪个取消，都在管理评审会上敲定的。

如果大家之前没有做过体系的话，基本能够有一个了解。

二、ISO27000标准介绍

ISO27000发展历程，最早是从英国的英标组织发展到最后变成ISO27000，变成国际标准。里面大概有30~40个，最上面27000是术语，所有信息安全相关的术语和概念可以在这里能查到。最主要的是27001，这是认证标准，通过它，按照这个标准来审核。ISO整个组织里有一个默认的潜规则，凡是以001为标准的就是可认证的，其他都是相关的。整个体系里面包括001的体系要求，002的实用规则，003的实用指南，还有对于审核机构的要求、认证等等。

27701，关于个人信息保护的管理，很多互联网公司都在说已经通过了27701，因为有能力保护个人隐私的信息、员工的信息、客户的信息。

在不同领域，不同行业里分别也有不同的认证标准可以进行认证或供参考。

目前所有ISO27000家族系里所有的标准清单，红颜色都可以认证。27017和27018，经常听一些云厂商过这两个认证，比如阿里、腾讯，只要提供云服务都会过这些，基础是27001整体框架搭起来之后，这些作为补充。

三、2022变化解读

这次是27002文档发生了改版情况，不是27001，按照ISO27000的惯例，先提出一些实践，27002如何才能够达到要求或怎么做的一些最佳实践的极，一般都是先更新27002，再更新27001。

27002这次改版变化蛮大的，有必要跟大家分享一下，如果没有时间去翻这个标准，非常冗长，大致听我说一下，有一个概念就可以了。

首先有几个点的变化，标准名称变化，这是非常重要的，意味着内容会产生很大的变化;整体结构，原来18个章节变成现在8个章节和2个附录;术语定义内容变化，控制分类、控制数量、控制属性、控制视图都做了相应条件，尤其增加了属性、视图是之前没有的，将来会有新的变化。

关于名称的变化，原来27002名字叫做信息技术-安全技术-信息安全控制实用规则，改版以后叫做信息安全、网络安全和隐私保护-信息安全控制。对于这些名词概念容易混淆，数据安全、网络安全、信息安全到底有什么区别?边界在哪里?稍微解释一下。

整体来讲，信息安全是大框，什么都能装;数据安全，数据是作为信息资产其中一部分，信息资产包含数据、软件、硬件、服务和人员，所以数据安全管理作为信息安全管理的一部分，也可以说数据安全是作为数据治理的一部分，是有交叠，也不完全包含。

网络安全和信息安全有什么区别?最近国家在提网络安全宣传周，为什么不叫信息安全?因为网络安全强调的是攻防对抗，而信息安全强调的是对于信息资产的保护，也就是CIA三个属性，这两个角度不一样，原来ISO27000是基于信息安全的架构来做描述的，现在增加了网络安全，即强调对抗的内容。

章节变化，从原来很多章节缩减成了核心4个，从组织控制、人员控制、物理控制和技术控制，完全融合在一起，原来分成14个领域，现在变成只有4个框架了。

标准内容、术语，原来直接引用ISO27000就可以了，现在增加了很多新的术语的内容在里面。

关于控制域原来14个变成了4个主题，合在一起就会发现没有办法用它来分类，原来14个分类，每一个有1~2个、2~3个，特别好细分，现在变成4个，比如某一个里面有37个控制数量，根本没办法用它来细分分类，这有一个变化。但可以用视图做细分。

新增一些控制措施，做了一些延伸，比如威胁情报、云安全，之前都没有;连续性要求，物理安全监控现在特别提到;配置管理;

10、11、12，信息删除、数据屏蔽、数据防泄露，特指个人信息的隐私保护，增加了这部分内容。

还有其他监控活动、网络过滤、安全编码是增加的。老的没有任何删减，都合并在一起了，新增了8个新的内容。

整体框架格式也增加了一个属性表格，到底属于哪一类的，前面有一个介绍。

增加控制属性视图，所有控制，一条一条要求都要分属于不同的属性，比如控制类型分成预防、检测、纠正，安全属性CIA跟哪个相关，网络安全属性按IPDRR架构，属于哪个阶段;运营能力，跟之前14个领域非常像，变成了15个域;安全域又有治理、保护、防御、韧性，分了很多细化的属性，方便去筛选，不管喜欢从哪个视图，比如强调网络安全，就采用网络安全属性作为整体的视图视角去看到底这些安全控制在哪些，如果喜欢信息安全的视角，就按照CIA来看，是这样一个过程。

预防、检测、纠正三类不同的事件，属于控制类型的属性。

CIA信息安全的属性。

IPDRR，所有控制措施分别在IPDRR里处于哪个环节，都已经囊括其中了。

对照图，如果之前做过两期按照14个域来划分，现在可以转换成运营能力15个域，有严格对应的关系，不用改太多的东西，非得往4个里面去塞，而是直接调整一下，放到新的运营能力里面就可以了，不会产生太大的变化。

按照治理、保护、防御、恢复四个层面，也可以通过这个视角来进行。会形成一个整体的视图，举例，某一个控制措施到底属于纠正性的还是预防性的，还是哪一种，都可以按这个表格筛选出来，这里会用一些工具，比如Excel，把哪一条属于哪个控制视图、安全属性视图、网络安全视图的做筛选，当然也可以用一些工具在线上做或多维表格都可以，没有的话，用Excel也可以。

四、升版对企业的影响

27002不是认证的标准，是一个实践标准，一定会引起27001的升级，按照ISO内部的说法，应该在今年10月份左右27001就会升版到2022版，因为27002直接指导着27001，27002变了，27001肯定也会变。

对于组织来讲，如果还没有做ISO27000认证时，可以由两个选择，一是继续按照老版做准备去认证，等到2022发布之后再去升版;二是直接等到2022发布之后，一次升到新版。两种路径都可以，看你目前准备的程度如何，可以按照新版直接准备，也可以按照老版准备，一般一个升版都有三年的周期让你慢慢调整。

对企业安全管控的影响。方法论不变，都是基于风险整体的管理;范围更加广，增加了网络安全、隐私保护的内容;兼容性更强，可以通过不同的视角分别按照你喜欢的方式去年展现所有的控制方法。

谢谢大家!