大家好，我是陈建，今天与大家分享的主要是从宏观层面的治理和管理两个角度来分析如何在企业进行信息安全工作。整体框架分为四个部分，第一是信息安全管控框架，第二是信息安全治理实践，第三是信息安全管理实践，最后是信息安全数智化管理。

信息安全管控框架需要一定的方法论，从某集团自身的信息安全管理实践的角度出发，安全管控框架分为五个部分：信息安全治理、信息安全管理、信息安全技术、信息安全开发管理以及信息安全运营。

本次课程会聚焦在信息安全治理和管理，治理会涉及一些简单的概念性问题，包括治理的框架、治理的结构、治理的模型以及治理的实施流程，同时还会涉及一些考核评价及成熟度模型。某集团在进行信息安全治理的工作时会参考国际上的相关标准，并将这些标准内化成符合某集团组织架构的内容。管理方面主要针对管理实践，例如整体的管理架构、安全管理的组织架构，制度的建设，人员意识和培训，安全审计以及安全生态圈。

治理和管理的区别主要是在执行主体、工作内容以及技术重点方面。治理更多的是把握方向，从组织的最高层、其他机构看企业的未来发展方向、战略的方向等等。从信息安全的层面来讲，信息安全治理需要从顶层设计，需要关注一个企业的安全治理结构，这其中必然有最高层领导的参与。比如某集团安全治理的最高机构是科技发展委员会，安全作为科技发展委员会的一部分。

在治理层面涉及宏观信息以及安全战略的规划。这个规划不是从个人视角看安全，而是要从企业出发，确认企业的战略目标；从行业出发，看待整体行业的发展方向。

所以信息安全治理的首要工作是梳理企业的信息安全战略，确保其与企业环境相关，与国家及行业背景相关，这能有效保证治理方向的正确性。如果大方向出现问题，那么在执行过程中就会出现问题，并很有可能受到监管的惩处，最终可能会引起管理层的不信任等等。

从个人角度来看，治理还需要运用一些现代管理学的技术手段。CSO需要掌握包括治理、管理等领域的技术手段，不要简单的从安全的角度看问题。

梳理信息安全治理架构，首先要在战略规划中加入企业的安全规划。一般中国企业喜欢3-5年的规划，实际上，在当前环境下，3年的规划就已经足够。因为技术、环境都在发生非常大的变化，所以规划的重点的下一年，后2-3年的规划只是一个参考或是路径的大致描述，无需做得十分细致。

在做战略规划时，还需要考虑如何评价。在做规划时一定要考虑到企业高层的关注点，尽可能将目标与公司目标一致，在预算、人力投入方面也是如此，要与公司业务相结合，并提前做好评价体系。

信息安全规划需要考虑到信息安全趋势，包括外部环境和新技术的发展。过去的黑灰产表现出的是兴趣和喜好，攻击者出于展现肌肉的目的进行攻击。但现在，企业面对的信息安全外部环境已经发生了巨大的变化，当下的黑灰产更多是利益驱动，目的性极强，除了政治目的外，还会有窃取数据等行为。因此，企业的安全防护模式也在发生变化，逐渐从过去的被动防御转变为主动防御。

被动防御下，企业很难知晓是谁在进行攻击，对安全产品和安全体系建设是否发生作用也无从知晓。而现在，信息安全将目光更多的放在全局感知方面，化被动为主动。传统防御模式下，安全产品和安全技术的堆叠严重阻碍了当下的业务体系，同时，个人力量也在大幅度削弱，这也使得市面上出现了各类会议，让各行各业的安全从业者能够彼此交流，碰撞出不一样的火花。

安全规划的另一个重点是关注热点安全领域，目前，国内对于国际上的趋势跟得较近，国际上的新技术和新概念在一年内势必会有国内企业来转化。

根据Gartner战略性技术趋势可以看到，2016-2017年是自适应安全架构，2018年是持续自适应风险和信任，2019年是数据道德和隐私，2020年是人工智能安全。近年来，Gartner战略性技术趋势在终端层面上的关注度是很高的，因此在做技术安全规划时，需要关注技术发展趋势。现有的风险和技术并不一定能够解决新的安全问题，但新的安全技术有很大概率能够解决。另外，新技术的出现可以帮助CSO同高层领导讲故事，让其能够对安全工作制定新的目标。

新技术会带来新的机遇和发力点，新技术主要包括AI、大数据、云计算、区块链、中台等等，这些新技术能够带来新的赛道。CSO应该持续性关注这些新赛道出现的安全能力，并与自身缺乏的安全能力相对比。与此同时，还要注意新技术带来的新问题，例如隐私泄露，API攻击，人工智能安全等等。

信息安全管理实践就是一些概念性的东西，想要承接治理层面的安全目标就要去在控制层面通过组织、制度、人员达成目标评价体系，并在策略层面建立自己的信息安全管理体系，通过审计、绩效、能力评价等方面形成一些知识库，向下传承并持续完善。

集团层面的安全管理体系建设和各个BU的安全体系建设不是一回事，集团的安全管理体系可以视为一个宪法，下面的BU不能直接照搬集团的体系，因为行业不同，具体情况不同，业务模式也不同，需要根据实际情况进行调整。BU的所有体系、文献的发布都是要经过集团审批，集团会去附和。

信息安全重要吗？其实信息安全是个必需品，但也不一定会发挥出关键价值。就像法律一样，即便法律很重要，但还是会有人违法犯罪，这是同样的道理。另外，员工安全意识培训也是如此，高层和普通员工的意识培训是不一样的，需要更体系化的将某一领域的知识进行传授。

某集团在管理上有一句话，管理建立在流程上，流程建立在系统上。很多工作需要建立在系统平台上，并通过自动化的方式去约束和落实以达成最大的效果。某集团内部拥有意识培训平台，为员工画像的同时发现员工问题，并根据个人问题的不同定向传递不同的课程。

培训不只是要关注培训方式，还要评价培训效果，并反复闭环验证。人才方面，某集团有整套的人才培养体系和框架，并拥有知识平台、分享培训平台等等。安全现在要全栈发展，在招聘新人时，要鼓励其全栈发展。真正的信息安全人才要懂开发，懂数据分析，懂管理框架等等，而不是埋头做攻防。不要担心培养的新人会离职，要有宽广的心态，培养出的人才成为CSO，你也会有成就感。

安全建设分为四个阶段，第一阶段是安全的0到1，第二阶段是安全的信息化，第三阶段是安全的平台化，这三个阶段都会有不足，正因为这些不足才产生了第四个阶段。

安全建设的四个阶段是数智化管理，安全风险管理有三个痛点，第一是合规性的需求，企业合不合规？会不会被处罚？这是就要做到安全法律法规能动态监控，快速内化；控制框架实时更新，及时覆盖新风险。第二个是管理执行，企业安不安全？安全做得好不好？这时要做到能及时警示新风险，关注风险重现；风险矩阵能有效迭代，明确剩余风险。第三是安全价值，安全投入值不值？还要不要再投入？这时要做到有风险全景和概况，关键风险自动亮灯；智能评判企业信息安全风险管理能力。

安全数智化的本质是回应管理层诉求的同时回归安全风险管理本源。所以在安全合规线上化管理方面要外规内化，建立合规库，可检索；控制活动与内外规关联，可调用；线上化更新机制，快速响应。安全风险流程化管理要做到安全风险矩阵管理，持续迭代；风险发现闭环流程，集中处置。安全价值智能化增值要做到风险画像，通过海量指标分析运算，分领域和维度呈现安全价值；安全审计自动化，通过数据模型，提效增能。