|
上海CIO联盟召开企业级信息安全第二次研讨会2015年9月25日星期五下午,上海CIO联盟邀请了公安三所、公安一所、交大信息安全工程学院、国家信息安全工程技术中心和同济大学CIMS研究中心的多位专家,再加上几位铁杆的热心CIO,齐聚中航商用发动机召开企业级信息安全第二次研讨会 本文关键字: 信息安全 2015年9月25日星期五下午,上海CIO联盟邀请了公安三所、公安一所、交大信息安全工程学院、国家信息安全工程技术中心和同济大学CIMS研究中心的多位专家,再加上几位铁杆的热心CIO,齐聚中航商用发动机。把前两次的研讨会的结果和总结,再进一步深化和修订。 会议一开始,由CIO联盟交流活动部部长陈森,代表之前参与讨论的专家和CIO们,介绍了之前会议总结的几点意见,包括7个决策维度和代表CIO利益的负责任的思路(信息安全无小事,出了事故就要追责);还有根据ISO27001整理的“企业级信息安全实用指南”。这次的专家明显都是“泰斗级”,分别提出了非常重要的建议。 1.公安三所的陆主任。 1)他认为国家标准、国际标准都不是最高要求,甚至是最低要求,国家也在鼓励联盟退出标准;因此,实用指南的目的定位: a)对标,ISO27001; b)实用落地; c)经验分享; 2)实用指南推进的注意事项。 a)还需要再融合更多的一些标准; b)针对各种适用性,进一步细化; c)实施过程也要细化; 3)“白帽子”的身份认证和“白帽子“测试的安全通道建立。针对互联网金融和移动互联网公司,他们的手机APP、网上交易程序,都是关系到用户切身利益的大事。陆主任和陈部长都主张建立可信任的“白帽子”资源池。 2.电信一所的彭主任。 1)信息安全工作的目标 a)通过认证就安全吗? b)应该总结一些方法论; c)除了标准,还要有实操手册,包括策略等级、借用等保的分级思路和相关领域的工作方法论; d)标准的建立,针对不同企业,力度不一样;具体实施要参照项目管理的思路; e)成立专委会,集合专家的智慧来为CIO们服务。 3.交大的刘老师。 1)信息安全意识,应该对公司或单位的一把手和高层管理做知识和案例的培训(扫盲)。 4.同济大学CIMS研究中心的王老师。 1)要素安全,当然不仅限于信息安全,要围绕企业的运营要素来做安全工作; 2)安全预警指数,应该根据企业实际情况建立; 3) 从整体利益考虑,先评估和培训 在这些专家都发表意见的时候,CIO们也没有闲着,陆续提出了CIO们的思路。 1.卡斯柯的孙总。 a)信息安全的范围不要太广,要专注; b)很多年前就做过ISO27001的认证,很多细节都有软件在实现和操作。 2.华谊集团的倪总、上海仪电的魏主任等 a)CIO们在信息安全领域的知识不够专业,希望这个指南足够落地,能够看懂; b)对企业的生产安全比较重视; c)企业内网、外网的安全应该区分对待; d)每个企业的经营状况不一样,高大上的方案是必要的,但也需要平易近人、实际可靠的方案。 大家都对信息安全实用指南的方向性给予肯定,而真正的辩论,是集中在我们联盟制定信息安全指南的必要性和权威性。陈森部长从CIO的切身利益出发总结如下: 首要的,就是CIO们的责任。不管ISO27001或者等保我们过还是不过,一旦发生信息安全事故,承担责任的一定是企业的CIO。所以,一方面我们也要不断完善自己;另一方面,要找可靠的合作伙伴(专业机构或厂商)。我们完善自己的时候,去建立制度、建立企业级的安全意识;在找合作伙伴的时候,一定要找有足够资质的,而更重要的是找有担当精神的伙伴。 其次,这个指南的方向性特点就是落地,就是实用。但这需要一定的时间的积累,也需要大家把自己的企业最佳实践贡献在这个实用指南中。这样这个指南才能干不断充实和完善。 第三,这个也是避不开的,就是大家讨论的这个权威性。这会让人联想到厨师和食客,大多数情况下,厨师的厨艺一定比食客高出很多,但食客们还是在左右餐厅的兴衰。权威源于信任;一种源自责任感的信任,才能在信息安全的领域建立权威。 最后,我们的确需要邀请更多的专家参与这个指南的制定,光靠CIO们的最佳实践,还不足以令整体结构清晰。这也是我们之前工作忽略的一点,在今后会大力弥补! 责编:何鹏 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|