诸子笔会 | ​孙琦：数字化助推企业信息安全管理

自2021年6月起，安在征文全新“改版”——“诸子笔会，打卡征文”。简单来说，我们在诸子云社群招募“志愿者”，组成“笔友群”，自拟每月主题，互相督促彼此激励，完成每月一篇原创，在诸子云知识星球做主题相关每日打卡，同时邀请专业作者群内分享，互通交流。我们的目标，不仅是在持续8个月时间里，赢取累计8.8万的高额奖金，更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文，即诸子笔会月度主题来稿之一。

数字化助推企业信息安全管理

文 | 孙琦

孙琦

某上市公司信息安全负责人

2021年的中国，企业数字化转型已从“激烈讨论”阶段过度到“大多数企业已启动数字化转型进程”。在这个大背景下，企业对于信息安全工作的重视程度也已经从“要不要做”提升到“如何做好”的阶段。很多企业对于信息安全工作存在疑惑，如何做？做什么？如何看到效果？希望下文的内容能为读者带来一些启发，解除这些疑虑。

我们尝试将企业信息安全活动的“能力属性”和“业务属性”结合，通过量化企业经营活动中的信息安全需求及企业信息安全能力，真实反应企业经营活动与信息安全活动相互作用的状态，解决企业不知道如何做好信息安全工作的问题，这套方法我们称其为“企业信息安全指数“。

当我们以2021年的视角回望过去的10年，可能大多数人都会感慨2021年真的是最具有挑战的一年。外部大环境不断变化，其产生的各种“化学效果”逐步传导至社会各个层面。如果用现今流行的“躺平”态度去看待，会发现其实也还好；如果尝试用历史的角度去看待，会发现“历史的车轮”是如此的相似，以一种进化的姿态不断重复前进。

本人尝试着用“数字化”的方式来和大家一起聊一聊“安全”。这里的“数字化”，不是特指xxx系统，也不是xxx统计报告，它更像是由“内部刚需”产生的一个工作流，它有效且不让人“讨厌”。信息安全，有人将其理解为网络安全、数据安全、系统安全等技术概念，我更愿意把它理解为“企业业务流中天然产生的自然属性”，业务从产生开始就自带了安全属性。

我们来看一组数据，“数字化”的表现非常亮眼。“数字化”技术模糊了传统企业的边界，使得一个企业可以在短时间内迅速扩大或缩小，其产生的综合变化严重挑战着传统的生产模式。“数字化”企业也有着其非常巨大优势，“轻资产”模式使得“数字化”平台企业具备了快速调整、敢于试错的能力，因为它没有传统企业那些“承重”的包袱，比如各类“有形资产“。

数字化是那么的“美丽动人”，越来越多的企业注意到了它的重要性，也愿意为它买单。在此基础上，尝试用数字化的手段去聊“安全”，应该不会有人觉得不搭调吧。

想用“数字化”的方式解决安全问题前，首选需要用“数字化”的方式来描绘出企业的数字边界。以一个非常理想的环境来看，“深入业务，做业务的伙伴“，目标就是就是能够固化业务流程，用信息技术实现其线上化；但事实往往是残忍的，很多企业在这一步就没有做好，比如PM往往只是口头和也无妨沟通，业务说ok就ok了。我们需要清晰认识到，业务说ok，不代表真的ok，可能是他不想和你聊了，他认为你不懂业务。什么时候是真的ok了？业务用了你的信息化系统后不“骂你”，这才是你真的帮他用“数字化”解决了问题。

了解了业务，下一步就是要做到知根知底。这里需要深入了解的对象，包括了IT infrastructure、重要合作伙伴、公司各BU等等。我曾花了大量时间深入了解公司的业务和IT能力，期间访问了各BU的head、各子公司一把手、大量合作伙伴负责人，和他们就聊一件事，“你们放心做业务，安全的事情交给我，你们全程参与配合就行了“。时至今日，我依然不敢说我及时了解了公司的全部业务，肯定还有什么今天早上刚成立的新业务是我不知道的，但这些已经不是最重要的了，经过“掏心掏肺”的有效沟通，各业务条线早已知晓，安全问题要找安全团队，安全氛围就是这么一步步建立起来的。

阐述一下我对当代企业能力的理解，业务为王、管理赋能、数字创新，将这几点有机结合起来，就构成了我理解的现代企业能力。其中安全作为业务即爱又恨的天然属性已经被越来越多的企业接受，现在谈及安全，已经不是做不做的问题了，而是投入多少以及怎么做了。

“通过量化企业经营活动中的信息安全需求及企业信息安全能力，真实反应企业经营活动与信息安全活动相互作用的状态。”，这是我对企业信息安全指数的定义。

做企业信息安全指数的目标很明确，希望通过运营“企业信息安全指数”实现“提升集团安全运营能力、提升集团流程管理能力、支撑集团业务高速发展”。

“提升集团安全运营能力”。这里需要介绍一下我目前所服务的企业，A+H上市企业，在行业内属于公认的行业龙头，覆盖全国200+城市，全国商场数量400+，员工数量数以万计。相信大家看到这段介绍的第一感觉一定是“大公司”，如此庞大的物理边界也暗示着需要保护的数字边界可能每一天都在发生变化，这绝对是一份“紧张刺激”的挑战，作为它的安全负责人，我每天即“兴奋”又“担心”。借用一段歌词来演绎，“我颠颠又倒倒好比浪涛，有万种的委屈付之一笑。我一下低我一下高，摇摇晃晃不肯倒，酒里乾坤我最知道”。正是在这种背景下，我提出构建“企业信息安全指数”来提升集团的安全运营能力，其背后的逻辑总结为一句话就是“你们放心做业务，安全的事情交给我，你们全程参与配合就行了。”

“提升集团流程管理能力”。彼得·德鲁克曾说：“你如果无法度量它，你就无法管理它“。我们需要一种手段去把每一个控制点固化，并将其形成可持续迭代的闭环，不断进化。数字化是”武器“，流程管理是”使用说明书“，让不同业务的参与方以“使用说明书”为统一标准来操作我们的“武器”，随着时间的推移，不同业务的参与方都养成了标准化使用“武器”的习惯，安全管理自然也就水到渠成了。

“支撑集团业务高速发展”，这个目标是参照集团的战略规划设计的。安全运营建立在统一、清晰的战略目标基础上，以大战略确定小战略，方向对了自然阻力就小了，做事也更能得到相关参与方的理解与共鸣。

我将以一个case study的方式来为大家阐述一家数字化转型做的还不错的公司案例，这家企业已经完成了数字化转型的大部分工作，在其主要业务活动中完成了数据分级分类管理的准备工作。对于数字化能力不足的企业，建议在数字化能力建设初期就将信息安全的规划纳入其中，安全建设越早介入对于企业的数字化建设越有利的观点已经被普遍认同。

“业务伴随指数”和“资源燃烧指数”是两个面向业务的安全指数，目标是促进业务单元之间的赛马文化，让各BU负责人主动关注业务的安全属性，同时提升安全活动的单位价值，让业务方理解安全成本的构成，知道花了哪些钱自然也就愿意为哪些不得不花的“安全成本”买单了。安全团队的精力是有限的，很难做到全面熟悉所有业务，但需要知道业务开展的基本情况；他们不可能完全了解业务的每一个细节，但他们被赋予了在任何情况下都要确保业务能够安全开展的责任。

通过建立安全运营报告的机制来推动安全能力建设，具体落地就是为每一个主体创建信息安全档案。信息安全档案，以每一个公司为主体进行管理，对该主体下所拥有的数字化系统进行备案化管理。

第一步，明确其公司法人即信息安全最终责任人，督促其将网络安全负责人、数据安全负责人、技术负责人等关键岗位逐一明确。

第二步，启动网络安全等级保护工作。在这个过程中，我们能够收获的是对于公司所有数字化资产的完整梳理，发现不足以及问题，有效的提升安全管理和技术能力。

第三步，启动信息安全审计工作。在这个过程中，安全团队和业务团队的目标是建立信任和共同的目标。任何一厢情愿的活动都存在较大风险，努力朝着双赢的目标前进更为务实。

第四步，启动满意度调查工作，让业务部门更多的提出他们的真实意见和想法，内容越多越好。每一条信息都应当被高度重视，无理取闹的单纯发泄或者句句中肯的有效建议，每一个问题点都能具象化我们需要提升的能力。

第五步，定期更新信息安全档案。

同时，在每一个信息化项目立项前进行整体项目评审，除了论证项目本身的业务价值外，安全评审也是其中非常重要的一环，因为它具有一票否决的能力。在这个环节，安全主要从技术角度（是否有渗透测试报告、是否有对应的技术防护手段等）和安全合规角度（是否有EULA、是否有隐私管理说明、是否满足APP隐私管理要求等）进行控制。我动用过否决权，也正是因为敢于动用否决权，几轮沟通下来逐步获取了业务方的信任，毕竟我们的目标是一致的，与其亡羊补牢，不如未雨绸缪。

每一份安全运营报告都要主动同步给相关的业务方，业务小伙伴其实也非常想知道我们到底做了哪些、实际安全状况如何；每一次安全评审都是伴随着业务的信息化项目启动而启动，每一次安全投出的否决票都得到了业务方的认真对待。企业可以接受系统带着某些小bug上线，不能接受带着高危安全风险的系统上线。

信息安全活动的决策，大概率都是基于商业需求推动的。基于这点，我设计了资源燃烧指数，让我们的业务小伙伴能够通过非技术语言进行流畅的沟通。业务最关心的是钱花在哪里了，是否值得。我们就很简单的告诉他，业务所用安全资源情况是什么样的，在这个业务上投入了多少安全服务，同时还会告诉业务方，安全团队的整体工作负荷是什么样的。目的很明确，安全投入清晰可见，业务消耗的每一份安全资源都用在了最合适的地方，它很好的保障了业务在一个安全环境下的高速成长。

安全团队通常都是默默无闻的，在设计的时候我充分考虑了这一点，以便安全团队可以大声喊出“安全资源不是无限的，所有资源都是先到先得。“

企业安全能力需要因地制宜的逐步培养。在讨论信息安全的时候必须清楚的理解，安全的本质是激烈的对抗，激烈的对抗依靠强技术支撑。企业内在技术能力很难在短时间内快速形成，例如渗透测试能力、溯源能力、分析能力等等。部分企业通过采购服务的方式进行能力的快速实现，随之而来问题的是如何将这些外采服务转化成自己的能力。我并不推荐长期通过外采服务的方式来进行企业内部的安全活动，因为随着企业数据分级分类的深入，很多数据并不适合让外部服务商来触碰，这里更多是从商业角度进行的考量，也是在和企业高管深度交流后达成的共识。

通过安全管理体系的构建逐步分解各项安全活动，上图是我之前在一次公开演讲中展示的安全治理蓝图。先确定顶层体系建设框架，然后以组织、支撑、运营的角度向下逐步下沉，直到每一个控制点都能够满足你的管理要求，能够反馈给你想要的数据。我有一个心得体会可以分享给大家，宏观蓝图确定了并不代表其中所有的内容都能具体实现，抓住重点，逐个击破，先确保1-3个战略重点得到稳固落实，以点带面推动整体迭代，通过辐射扩散的方式逐步完善企业的信息安全能力。

读懂业务，整体布局，稳扎稳打。企业容易忽略安全管理不善的成本，如数据泄露，系统被攻击造成的业务中断等，更容易因为不清楚自己的真实现状而不知所措或者盲目投入。通过数字化的方式将安全呈现在屏幕上，让每一个参与方都真实的看到安全的模样，让每一个业务环节都得到有效的安全保护。

诸子笔会｜张永宏：安全数字化的价值端建设

诸子笔会 | 刘志诚：数字化对企业安全体系建设的影响浅析

齐心抗疫 与你同在