鉴于百家智库和诸子项目的策划运营已逐渐成型，为了更好地对外展示、对接价值，我们在延续此前社群直播活动的基础上，举办了“百家智库 | 诸子云 · 分享汇：2022第2季暨诸子项目直播大赛”。本次大赛分5场，共8个项目参与，我们将通过直播+评选的方式对其依次进行展示。

本文即最后一场项目展示，本场主题为“安全管理体系落地实践”，参赛项目分别是《常见信息安全体系建设的文档构建》《基于清单式管理的信息安全管理体系落地实践》和《车联网信息安全意识之车机Hack实践》。

在信息安全建设过程中，安全体系是抓手。但是对于刚接触安全体系的从业者，比较迷茫；对于没预算采购安全咨询服务的从业者，比较困扰；对于没时间总结输出的资深安全从业者，比较便捷。以此为目的，梳理常见信息安全体系建设的相关材料清单。

于利新

奋斗多年的安全女战士，CVTE安全部经理，CISSP、CISP、PMP、CSAO证书持有者。

缪强

快消品企业安全专家。CISSP、CISA、PDPF、PMP证书持有者。

杜建荣

友邦资讯科技云安全经理，多年安全从业经验，CISSP，ACP，CCSP等证书持有者。

当前，网络安全愈发重要，企业数字化进程也在加快并愈发完善，由此也带来了网络信息安全风险边界扩大的问题，所以企业需要建立健全信息安全管理体系，这对企业的安全管理工作和企业的发展均有着比较重大的意义。

比如，信息安全体系的建立，将提高员工信息安全意识，提升企业信息安全管理的水平，增强组织抵御灾难性事件的能力；此外，通过信息安全管理体系的建设，可有效提高对信息安全风险的管控能力，通过与等级保护、风险评估等工作接续起来，使得信息安全管理更加科学有效。

尤其是，安全体系建立的价值将有利于企业市场对外宣传，让企业在同类企业中更加具有竞争优质，企业在各项安全评选中也能获得更好的成绩，继而提升企业的综合影响力。

构建信息安全管理体系往往不是一蹴而就，也不是每个企业都使用一个统一模板，不同的组织在建立与完善信息安全管理体系时，可根据自己的特点和具体情况，采取不同的步骤和方法。但总体而言，建立信息安全体系往往离不开这一系列模板与材料。

通过将传统的管理制度的树目录结构转换为基于二维表的清单结构，通过建立依据，细化实施步骤，制定考核要求，将具体安全工作项进行明确，从而有效地将管理要求落地执行。

廖红飞

东风财务公司信息安全负责人。精通各类主流信息安全技术及风险评估，擅长企业安全架构设计、安全运营管理、渗透测试及应急响应等方面，多次获得银监会安全课题研究成果奖及湖北辖内金融机构安全攻防比赛优胜奖。

方中奎

某大型上市公司资深安全顾问。精通企业安全运营，企业网络与信息安全体系的规划、设计、建设、运营和管理，持续完善公司整体网络与信息安全技术和管理体系。

胡峰

武汉金融资产交易所信息技术部总监。资深信息安全专家，多年互联网企业信息化建设经验，专注于企业信息化规划、信息化建设、安全运营等方面。

随着IT新系统数量日趋增多、功能日趋复杂、创新性技术不断出现、涉及的业务面越来越广，对网络安全管控体系的实际效果提出了更高的要求。因此，降低传统安全管理的执行成本，制定更明确的管控依据，实施有效的管控措施，增强网络安全的执行效率显得十分有意义且有价值。

基于清单式管理的信息安全管理体系落地实践，是基于以上背景下根据企业内部安全管理发展进行的一次探索，通过该管理方式解决传统管理制度不方便查询，整合优化现有管理制度，并建立网络安全具体工作过程中的作业指导手册等。通过二维表清单管理矩阵模式将安全工作中的规范依据、操作方法、检查标准等建立严谨的对应关系，确保每条制度，每个流程，每个执行动作，每个考核检查都环环相扣，有理有据。

通过建立基于清单式管理信息安全管理体系，在公司内部尝试实施该管理方式，以检验信息安全管理体系有效执行的情况，与公司已经建立的信息安全管理体系进行对比，优化公司内部管理工作，提升工作效率，为后续全面部署清单式管理信息安全管理体系做准备。

基于清单式管理的信息安全管理体系落地实践，实际是基于国际标准ISO27001，将传统管理制度的树目录文档结构转换为矩阵二维表清单式结构的一次改进尝试，将传统安全管理不断做“加法”转变为做“减法”模式，达成“一切为了执行”的信息安全管理本质。

该管理模式覆盖信息系统全过程(全生命周期)、全要素，保证管理无空白。将安全管理工作的执行清单化、标准化、流程化，提升工作效率。主要目标就是将安全管理公司落到实处，解决制度查询问题及执行问题，同时实现一定程度的体系度量，让公司清楚自己的安全现状及安全级别。

智能汽车将带领人类进入第三生活空间，车辆使用的场景生活化、丰富化，这些场景离不开车机屏幕，本项目通过发现智能座舱人机交互过程中，中控屏、中控娱乐系统可能对个人隐私带来风险的场景进行展示。

孙权

11年信息安全老兵，浙江寰福科技有限公司车联网信息安全专家，人才教育联盟信息安全意识工作组专，汽车信息安全渗透测试工程师认证、INSPC、CISP、CCSSP、网络安全管理员、ISO27001、ISO27701、ISO21434、IATF16949内部审核员认证、2022年CICV汽车漏洞挖掘赛线上比赛中获得二等奖。2022年杭州市滨江区红十字救护员证，中国汽车工程学会会员。2022年公安三所颁发网络与信息安全管理员(网络安全管理员)三级证书。

郭惠龙

多年从事信息安全行业，曾就职于世界五百强通信公司信息安全部门、智能终端互联网出海科技公司及新能源车企担任安全负责人，熟悉研发业务、营销业务、电商业务、智造业务等防泄漏防攻击的安全建设和运营，从传统企业安全、到互联网业务安全、云上安全、个人数据安全和合规、智能智造安全均有广泛涉及

陈俊旭

10多年信息安全工作经验，某头部自动驾驶企业安全运营负责人；在乙方负责过网络安全产品研发测试经验，在甲方互联网金融、地产等世界500强公司当任过网络安全负责人、运维安全经理；在网络安全、运维安全、红蓝对抗、车联网安全、数据安全、企业内部安全建设等领域有丰富的经验；参与过深圳智能网联汽车地标研讨制定工作。

智能座舱将经历四大发展阶段，逐步走向“第三生活空间”的最终形态。智能座舱向第三生活空间的进化不是颠覆式跨越的，而是基于电子电气基础架构、AI技术的进步、各项软硬件的研发和量产逐步行进的：

阶段1，电子座舱：智能座舱进展主要在基础技术层面，通过将汽车EE架构域内整合、系统分层，决定汽车新的软硬件定义方法；

阶段2，智能助理：提升车辆内部感知能力，驾驶监控系统(DMS)、抬头显示系统 (HUD)等开始渗透；

阶段3，人机共驾(当前重点)：车内感知和车外感知相结合，车辆支持自主或半自主决策，主动感知需求，向人提供服务；

阶段4，第三生活空间：车辆使用场景生活化、丰富化(出行规划、主动订餐、智能内容推送、影音娱乐、自动停车+充电+找车，自动付费)，在车上体验线上线下无缝联动的空间体验。

智能汽车将带领人类进入第三生活空间，车辆使用的场景生活化、丰富化(出行规划、主动订餐、智能内容推送、影音娱乐、自动停车+充电+找车，自动付费)，在车上体验线上线下无缝联动，很多私密的活动都会在第三生活空间产生，通过发现第三空间的安全隐患，制作多个案例，让人有互动的体验和认知，警醒车主注意。

本次项目《常见信息安全体系建设的文档构建》《基于清单式管理的信息安全管理体系落地实践》和《车联网信息安全意识之车机Hack实践》诸般材料已经上传至诸子云知识星球。通过下方图片中的二维码，即可开启传送门。

至此，“百家智库 | 诸子云 · 分享汇：2022第2季暨诸子项目直播大赛”正式收官，8个项目均已展示完毕。我们将于下周发布本次比赛的全程回顾，并开放大众投票，欢迎大家为你心中的“最佳项目”投上宝贵的一票。

欢迎更多抱持公益之心、有主推行业发展且重视生态建设的有识之士共同参与。还未加入诸子云的甲方业者，社群召唤，扫码加入！

诸子项目直播大赛第一场：数字化转型之安全

诸子项目直播大赛第二场：数据安全风险管理

诸子项目直播大赛第三场：算法安全及反钓鱼实践

诸子项目直播大赛第四场：隐私保护

齐心抗疫 与你同在