徐斌, 壳牌石油(中国)区 CIO,总是挂着微笑的娃娃脸上几乎看不出实际年龄。一直说“自己不是什么技术大拿”,但却已经在信息化领域工作22年,无论是国企还是民营合资公司,熟悉欧洲公司企业文化,也对美洲公司企业文化颇为认同,擅长从技术和业务之间开展信息化研究,并对如何真正从公司的内部角度管理信息和数据有着深刻思考;对企业信息安全有较深刻的落地探索经验。
近期,企业网D1Net记者独家专访了壳牌石油(中国) CIO 徐斌,以下为采访内容。
壳牌石油(中国) CIO 徐斌
徐斌认为,企业信息安全必须对以下三方面进行思考:
首先,认识到企业风险管理的基础是什么?企业工作所有的技术目的是为商业服务,实现商业目标。所以,不是为了技术而技术,而是要找到目标,明确管理的关键环节。
第二,找到切合自身的MNC信息安全管理实践方案;
第三,明确事故管理有哪些工具可以帮助我们。
企业风险管理的基础是数据和信息
企业风险管理的基础是数据和信息,数据本身是客观存在的表现形式,不管是企业内部的运营状况,客户状况,客户信息,或者其它外部情况这些都是数据。但是数据本身非常,有些也没有任何意义,只有通过数据的收集管理才能形成信息。
企业中的数据管理就是把数据的收集、存储到数据信息的整合等方面作为风险管理的基础和核心。其目的是把数据管理好,不被外部攻击,并变成企业真正可用的,能帮助我们实现商业价值的内容。也就是把数据信息往后延展到知识能力,通过知识的总结从而对未来趋势做出预测,最后形成商业智慧。这便形成数据价值链,当然,前提是需要对数据和信息实现基本管理。
重视数据生命周期管理
企业中对数据的管理需要重视对数据生命周期的全程管理,而不是单纯地管理某一个节点,数据什么时候生成,什么时候发展,怎么被使用,包括最后数据终结,这是一个整体的生命周期的管理。
数据生命周期包括六个阶段:
首先,需要定义和设计数据,即明确为什么要这个数据,有什么样的意义等等。
其次是去创建和收集数据,大数据时代,不仅要从内部收集,也要从外部收集,以及第三方数据等。
第三是数据的转移和发布,比如如何存储?如何公布给使用者等;
第四是如何使用和维护。
第五怎样进行保存,包括有用无用数据的清理。
最后的阶段是数据的销毁。这一阶段中国公司较国外企业有较大差距,尤其是销售环节特别弱。英国石油、壳牌等企业在对数据进行销毁时会寻求专业公司的帮助并付费。先内部将硬盘格式化,然后再交给专业销毁公司进行处理。
明确企业数据管理六大目标
一般而言,企业数据管理需要达成以下目标:
一是可接触的,能让用户用上的,能够被希望用到的;
二是可用的,在需要使用的时间节点上可以用好它;
三是可审计的,每个数据的产生环节,使用环节都能够被记录下来,可帮助企业找到数据管理过程的漏洞。
四是合规的,能符合企业对数据管理的制度要求,中国正在实施国家信息安全保密法,对数据审计提出了更高要求。
第五,保持一致性,也就是避免信息孤岛,很多企业信息同样一个事物在不同系统的表现形式不一样,比如做库存查询,很难统一知道整个企业集团里针对某一个商品的实际库存情况?销售情况等等。造成管理复杂,数据不准确,不能被商业使用。
第六,保证数据完整性,即数据准确性。
这六个方面的管理目标能帮助企业实现商业目标,增加市场份额,提供流动性管理,降低企业风险等等。
而这六个目标也就是实现“三个正确”,即把正确的数据提供给正确的人用来做正确的决策。
数据安全是文化和管理问题
徐斌说:“很多人认为数据安全是一个技术问题,其实并不是技术问题,技术只是其中的一个方面,其实质是文化和管理的问题。”
数据最重要的是来源要准确,或者说具有高质量的数据来源,但很多企业做了很多IT系统,但效果上并没有达成目标?原因多是数据来源出了问题。
企业需要强劲的数据使用文化。跨国公司做数据风险管理采用了类似于PDC循环的方式。从风险评估开始,再判读数据对企业价值的贡献度,建立评估,形成对应的风险控制体系和合规检查的体系,最后一旦出现事故,进行事故的管理。
这是一个不断循环,不断更新迭代企业整个风险评估的循环过程。其基础是要在全集团企业建立信息安全意识,包括员工安全准则等体系。
数据安全方法论:“添砖加瓦式”VS“亡羊补牢式”
数据安全战略包括数据使用规划,数据在各个系统之间的分布规划,包括数据安全管理的整个体系的目标。这是全球比较普遍的使用方法。其起点是风险评估,任何方法论的基础都是以风险评估作为整个数据建立控制体系的来源,数据的等级分布,数据的风险评估建立对应的控制流程,最终形成安全管控体系,属于“添砖加瓦式”的方法。即在相对比较成熟的数据安全控制体系下,当发现一个新的事故后便添加新内容,形成不断迭代,不断完善的风险控制体系
相对应的,中国很多企业则采取了“亡羊补牢式”信息安全建设,出现问题,投入建设一套体系。其整个控制点是由信息安全事故产生的,通过信息安全事故的发生进行一个事件分析,评估影响度,建立对应的控制,最后才会纳入到风险安全管理的信息中去。 传统来看信息安全管理主要在基础设施层面比较多,比如防火墙、路径检测、日志等等来做风险管理。但如果只关注基础设施层,比如银行、信用卡业务,如果只是关注设施层,在信用卡操作平台上面,有些正常用户也可以做很多高风险的事件。所以,信息安全管理应走到应用层,要在应用系统层面,配置层面,在应用系统使用层面做跟踪的管理。比如对信用卡库操作上,可对用户的使用行为做跟踪和分析,以智能观察是否也存在风险,而不是单纯只设置了防火墙,或者逻辑层面做技术设置。
CIO应成首席创新官
徐斌说:“无论是数据应用还是数据安全,中国企业都还有很长的路要走。 “互联网+”时代,CIO应该成为首席创新官,通过IT技术产生新的业务模式,产生新的业务增长点,找到新的业务创新,最后形成首席连接官,将内部和外部连接在一起。CIO应成为一个连接的桥梁,把企业内部的需求和外部的SaaS服务商直接连接,不直接提供技术解决方案,而是更多提供整个战略规划,框架设计,包括信息安全管理的控制,这是未来CIO非常核心的抓手和桥梁。”
由此看来,徐斌对他的职业赋予了新的定义!这个新定义将带给行业什么?我们期待!
本文转自d1net(转载)
