近年来,数字化转型被越来越多的人了解并付诸实施,成为企业变革的趋势。但在过程中也有一个概念的热度随之增加,即数据安全。数据是当今数字化时代的重要生产资料,其安全性甚至可以直接决定数字化转型成功与否。
赵超认为,信息安全是一件千万不能追热度的事情,否则真可能竹篮打水。信息安全是对风险的管理,但不是实现零风险。企业首先要明确的是目前业务形态下,到底有哪些信息资产,存在哪些风险,需要管控到何种程度。而这也恰恰是信息安全工作的难点所在。
如果不知从何入手,赵超建议可以参考信息安全ISO27001体系,对企业的信息资产进行摸排,对关键信息资产的风险进行识别,然后从组织人员、流程、技术三方面建立基本安全框架。有了基本框架,一方面可以依据体系要求的PDCA过程进行持续的改进。同时,以基本框架为起点,择机启动从信息安全到数据安全的纵深推进。
以上是从信息安全体系方法论的角度。另一方面, 赵超认为企业非常有必要结合数字化转型的规划,识别出信息资产发生的变化趋势。明确信息安全管控在企业的核心关注。是内网信息资产的保护,还是互联网上应用和数据的安全。后者就不能单纯以企业自身的风险接受度为管控依据,还必须符合法律法规的要求。大多数的制造企业,信息还只是属于企业的资产,尚未成为企业的生产资料。这种情况下,没有必要跟着一窝蜂大谈网络安全、数据安全这些时髦概念。重点还是打好基础。而在企业数字化进程不断深化的过程中,安全管控要稳得住、跟得上、直至成为数字业务中即开发、运维之外并驾齐驱的第三架马车。
在谈到互联网环境下安全的挑战时,赵超表示,挑战无处不在。这永远是道高一尺魔高一丈的角力过程。在现实世界中,整个社会秩序有商业准则、法律法规在维护。但是在互联网世界中,新的秩序还处于建设过程中。如果企业不具备自身保护能力,不仅会损害企业自身利益,甚至会影响到客户、消费者。对于关键信息基础设施运营者,更可能影响到国计民生。这时,安全运作的底线就是要符合法规要求。
之所以信息安全越来越受到重视,就是因为商业行为越来越互联网化。所谓的网络安全,其实是网络空间安全(Cyber Security)。企业在其数字化转型的进程中,只有明白自身所处位置,才能识别出风险所在,也才能有的放矢地做好信息安全管控。