以下為現(xiàn)場(chǎng)速記。

 

曾永紅：謝謝大家!因?yàn)橛泻芏嘈吕吓笥眩畔⒒瘍?nèi)審，不管是這項(xiàng)工作還是這方面的人才，應(yīng)該說比較稀缺，但里面的內(nèi)容又相對(duì)比較敏感，希望在門口的同事進(jìn)來，把門關(guān)一下。還有就是大家不要照相，因?yàn)檫@個(gè)東西確實(shí)不好，說出去以后，我比較大火，所以我們公司很注重這個(gè)。

 

分享和保密，一直都是不斷前進(jìn)的一個(gè)話題，我一直想跟范總說，我們是不是可以搞一個(gè)信息化陷阱、坑方面的交流探討。

 

范脡：好。

 

曾永紅：因?yàn)榇蠹叶荚谥v，信息化轉(zhuǎn)型應(yīng)該怎么做，怎么做能夠更好，包括張總說的創(chuàng)新，這些都是我們希望做的。大家能夠看到，人類有史以來都希望不斷進(jìn)步，都是有一種本能，是趨利避害，都在想怎么做才會(huì)更好，這是向上的力量。還有一種向下的力量，不確定性帶來的威脅。這是我們生活中都想到，在信息化層面，這確實(shí)講的比較少。所以我這邊分享一下信息化的內(nèi)審交流。

 

信息化轉(zhuǎn)型，風(fēng)險(xiǎn)很多，包括里面涉及到組織、信息化項(xiàng)目、內(nèi)容。

 

我分三個(gè)部分，信息化轉(zhuǎn)型的風(fēng)險(xiǎn)和挑戰(zhàn)，信息化內(nèi)審涉及到的內(nèi)容、方法，以及對(duì)相關(guān)人才能力模型的探索，未來我們這個(gè)職業(yè)會(huì)怎么樣，和大家做交流。

 

我想問一下大家，信息化人才跳槽有很多原因，大家認(rèn)為會(huì)有什么原因?要更好的薪資、前景、平臺(tái)，還有什么?

 

回答：安全事故。

 

曾永紅：對(duì)，安全事故，有很多原因，包括你遇到一些不開心的，同事之間的關(guān)系等等，各種都會(huì)有。確實(shí)會(huì)發(fā)生不同的情形，但我們有沒有想過，你在這個(gè)崗位上，你是怎樣想到離開這個(gè)崗位，有沒有思考過這個(gè)話題?也許你能夠做到光榮的退休，我也希望在座的能夠這樣。這可能是一個(gè)沒有想過的話題，我們大家都知道“黑天鵝事件”，是小概率的，比較難以預(yù)測(cè)。還有一種是“黑犀牛事件”，就是說大概率的，比較容易發(fā)生，而且發(fā)生起來范圍很廣、影響很大，就像犀牛一樣，對(duì)我們的整個(gè)體系都會(huì)造成沖擊。這兩種情形在我們的生活中都是存在的，在我們的工作中都是存在的。

 

剛才有美的的同事提到需求，信息化很多方面就是因?yàn)樾枨蟛磺逦?、流程不清晰，業(yè)務(wù)部門也沒有搞明白，直接上線，包括計(jì)劃，有很多種原因造成信息化上的失敗。當(dāng)你作為一把手，推進(jìn)這個(gè)事項(xiàng)的過程中，沒有人提醒你，以前我們有一個(gè)職業(yè)是信息化監(jiān)理，但這個(gè)行業(yè)為什么沒有生存?是因?yàn)橐曳?，而且我們也不希望監(jiān)管，希望有絕對(duì)的控制權(quán)，哪希望還有管著你的。對(duì)于一個(gè)大型的集團(tuán)性企業(yè)來講，必然會(huì)面臨這樣的問題，那么多的產(chǎn)業(yè)集團(tuán)、那么多的所謂地方CIO，作為一個(gè)集團(tuán)的信息化管理，需要對(duì)各產(chǎn)業(yè)集團(tuán)信息化做風(fēng)險(xiǎn)把控。

 

我們部門成立有一些內(nèi)部驅(qū)動(dòng)力，組織變革，也是從地產(chǎn)走向汽車轉(zhuǎn)型了。另外，信息化陷阱太多了，可能要講陷阱的話，一天一夜都可以聊，會(huì)后的時(shí)候也可以聊。外部驅(qū)動(dòng)力，大家有沒有關(guān)注到?不管是說中美貿(mào)易摩擦還是網(wǎng)絡(luò)安全法成為一個(gè)法律之后，我們的CIO的職業(yè)有可能要擔(dān)刑責(zé)，高危職業(yè)。因?yàn)槿绻霈F(xiàn)一些安全事件，你很可能被網(wǎng)警帶過去的，企業(yè)罰款多少錢，確實(shí)很正常。我所知道的，深圳、廣州可能每個(gè)月都會(huì)有一單這樣的事情。所以面臨外部監(jiān)管越來越嚴(yán)厲、嚴(yán)格的時(shí)候，剛才我也給SD-WAN做了廣告，確實(shí)SD-WAN是一個(gè)很好的解決方案，他將原來發(fā)布在互聯(lián)網(wǎng)上的應(yīng)用，不用發(fā)布到互聯(lián)網(wǎng)上去。能不發(fā)布到互聯(lián)網(wǎng)上的應(yīng)用，不要發(fā)布。所有的解決方案里，都是面對(duì)企業(yè)的應(yīng)用進(jìn)行互聯(lián)，這種解決方案應(yīng)該大力推廣。公安部直接管等保系統(tǒng)，你沒有備案，沒有做好等保的相關(guān)要求，直接出了問題，那中美貿(mào)易摩擦那么大，又喜歡搞搞，后來又改了一下名，我黨對(duì)這個(gè)很敏感，不容一粒塵沙，大家可能沒有意識(shí)到這么嚴(yán)厲，但你一旦經(jīng)歷的話，那就是黑犀牛，對(duì)你整個(gè)沖擊就會(huì)很大。我們確實(shí)需要關(guān)注網(wǎng)絡(luò)安全還是等保的要求，對(duì)整個(gè)信息化建設(shè)體系的沖擊。

 

安全內(nèi)審做什么?剛才說到我們有比較多的產(chǎn)業(yè)集團(tuán)，審核什么呢?建設(shè)的規(guī)劃，從規(guī)劃層面看規(guī)劃、架構(gòu)、體系，當(dāng)初做的好不好，包括計(jì)劃的完成率，以及需求，需求不僅僅是指信息化的需求，還有業(yè)務(wù)部門的需求，是不是合理?如果不合理，可以一票否決，老板說過一句話，流程不完善的，不上信息系統(tǒng)。新上項(xiàng)目從需求設(shè)計(jì)到實(shí)施方案都可以去做審核，還有使用情況、能效，管理匹配度怎么樣，建設(shè)的費(fèi)用以及流程方面的審查，包括安全，安全面非常廣。

 

我今天以安全為例，內(nèi)審方法，PDC，從風(fēng)險(xiǎn)評(píng)估到處理，到監(jiān)控和改進(jìn)以及組織和計(jì)劃，大家都清楚PDC，從規(guī)劃建設(shè)到運(yùn)維整個(gè)過程。我這里講監(jiān)控和改進(jìn)，剛才我們說到信息化的不確定性，除了有很多機(jī)會(huì)，也有很多風(fēng)險(xiǎn)和威脅，但有些東西是無法改變的，這個(gè)時(shí)候就需要快速地響應(yīng)和及時(shí)的監(jiān)控。我們的監(jiān)控體系，我想我們?nèi)細(xì)饧瘓F(tuán)的監(jiān)控體系應(yīng)該做得很不錯(cuò)，萬一出現(xiàn)什么問題，能夠快速響應(yīng)處置和解決。同樣，我們的風(fēng)險(xiǎn)及時(shí)處理也是循環(huán)的，要形成閉環(huán)的管理。我們?cè)僬f說信息化內(nèi)審的人才，我們近期在做這方面的人才研究，動(dòng)機(jī)，他要有一個(gè)比較好的工作心態(tài)，能夠想做出一些事出來。特質(zhì)，還是要照章辦事，按規(guī)則辦事，不能搞創(chuàng)新。內(nèi)審人才不能搞太多創(chuàng)新，為什么這方面的人才和做項(xiàng)目的人又不一樣。自我，類似像公檢法一樣，他要從自我形象、自我維護(hù)，要能夠維護(hù)審查的尊嚴(yán)、權(quán)威。技能，除了他能夠按一定的規(guī)則、流程辦事之外，還要有分析和設(shè)計(jì)的場(chǎng)景，包括鑒別的技能、行為的技能，壓力都比較大。知識(shí)，包括信息化的審查知識(shí)、專業(yè)知識(shí)。比較特殊的一些專業(yè)知識(shí)就是風(fēng)險(xiǎn)管理，還有內(nèi)部控制，信息資產(chǎn)的評(píng)估、監(jiān)測(cè)、相關(guān)模型的建立。另外，發(fā)現(xiàn)問題和風(fēng)險(xiǎn)，要有比較好的溝通和協(xié)調(diào)能力。還有法律法規(guī)，信息安全也有非常多的法律法規(guī)，這方面的熟悉程度。比如說等保2.0當(dāng)中，二級(jí)系統(tǒng)、三級(jí)系統(tǒng)、四級(jí)系統(tǒng)，像燃?xì)饧瘓F(tuán)，應(yīng)該是過了等保四級(jí)。

 

答：要求要三級(jí)。

 

曾永紅：你要對(duì)等保2.0的三級(jí)系統(tǒng)非常熟悉，哪些要做到什么控制。

 

我在這里講一下能力模型，這兩天正在做的一個(gè)東西，比較新鮮。前面提到綜合能力、專業(yè)能力、知識(shí)，專業(yè)能力的需求，執(zhí)行力，我相信這是一個(gè)通用的素質(zhì)，每個(gè)企業(yè)都需要執(zhí)行力，但他對(duì)執(zhí)行力的要求更高。我這里定義一下，比如說能力等級(jí)的，在監(jiān)督下完成、有效行動(dòng)迎難而上、始終如一、堅(jiān)韌不拔，這是能力等級(jí)五的，能力等級(jí)五的這些人基本上都是很難得的。學(xué)習(xí)能力和解決問題的能力，他能夠獨(dú)立公關(guān)，能夠提出有針對(duì)性的解決方案、積極地尋找解決方案，他如果只是按規(guī)定做一些選擇和判斷，這是綜合能力，我相信我們其他的信息化崗位需要同樣的素質(zhì)和能力。

 

風(fēng)險(xiǎn)意識(shí)，等級(jí)二的時(shí)候，要有一定的風(fēng)險(xiǎn)意識(shí)，對(duì)復(fù)雜的風(fēng)險(xiǎn)有一定的解決能力。能力等級(jí)四的時(shí)候，要求能夠識(shí)別大部分的信息系統(tǒng)風(fēng)險(xiǎn)。等級(jí)五的時(shí)候，要全方位地風(fēng)險(xiǎn)防范能力，有很強(qiáng)的能力，能夠主動(dòng)識(shí)別風(fēng)險(xiǎn)，并制定應(yīng)對(duì)預(yù)案，降低和規(guī)避風(fēng)險(xiǎn)。

 

成就導(dǎo)向方面，能夠不斷挑戰(zhàn)自己卓越的實(shí)現(xiàn)價(jià)值。

 

為什么剛才強(qiáng)調(diào)監(jiān)測(cè)呢?監(jiān)測(cè)對(duì)出了問題之后能夠快速響應(yīng)，剛才說到，我們沒有絕對(duì)的安全，很多東西就是抵抗不住，像中美大戰(zhàn)的時(shí)候，很多面對(duì)國家級(jí)的入侵，你根本無法抵抗。也就是說，這些問題發(fā)生的風(fēng)險(xiǎn)是必然出現(xiàn)的，只不過我們什么時(shí)候去接受、面對(duì)它而已。這里面監(jiān)測(cè)非常重要，要求我們能否建立監(jiān)控體系、快速響應(yīng)的機(jī)制。很多時(shí)候，我們資源不足，我們可以借助外部的力量，像現(xiàn)在的一些專業(yè)的安全公司、服務(wù)單位都有預(yù)警系統(tǒng)，包括快速響應(yīng)的團(tuán)隊(duì)。

 

我們這里也強(qiáng)調(diào)，整個(gè)集團(tuán)要能夠?qū)ο聦偌瘓F(tuán)提供咨詢服務(wù)，從對(duì)某個(gè)領(lǐng)域到幾個(gè)領(lǐng)域，再到3-5個(gè)領(lǐng)域，再到提供資深的更多領(lǐng)域，甚至是全領(lǐng)域都能夠提供技術(shù)咨詢，這是一個(gè)專家級(jí)的咨詢服務(wù)。

 

物理安全，從簡單地知道中心的基本控制要求，到防泄露、智能化的檢測(cè)、報(bào)警，物理分區(qū)，特別是對(duì)一些敏感的區(qū)域、辦公場(chǎng)所都需要，特別是像一些未來的工廠，他就會(huì)分，我知道華為有紅、黃、藍(lán)區(qū)，就是矩陣化的管理，我們想想為什么我們覺得福田的公安、消防越來越安全，大家在深圳都能夠感受到，其實(shí)他們就是矩陣式的監(jiān)控和管理，網(wǎng)格性的管理方式。物理分區(qū)，多重訪問控制措施，對(duì)物理安全有很大的幫助。

 

網(wǎng)絡(luò)安全，從初級(jí)的到高級(jí)的，能夠精通網(wǎng)絡(luò)架構(gòu)、安全策略、發(fā)現(xiàn)一些網(wǎng)絡(luò)安全隱患，就能夠快速提出一些解決方案。

 

系統(tǒng)安全，從Windows、Linux到云平臺(tái)，到安全基線能夠參與到重大項(xiàng)目的評(píng)審，他的能力不斷地提升。

 

對(duì)應(yīng)用系統(tǒng)來講，數(shù)據(jù)精密性、完整性、可用性，他要熟悉標(biāo)準(zhǔn)和要求，1到2級(jí)的控制，大部分的訪問控制，以數(shù)據(jù)安全標(biāo)準(zhǔn)為要求，到能夠進(jìn)行集團(tuán)的重大項(xiàng)目的方案評(píng)審。

 

關(guān)于數(shù)據(jù)安全，9月1號(hào)個(gè)人隱私法會(huì)出來，我們現(xiàn)在非常關(guān)注，前段時(shí)間打擊了二三十個(gè)APP，收集太多了，用戶的權(quán)限，你不點(diǎn)擊還用不了，網(wǎng)信辦也在進(jìn)行打擊。從數(shù)據(jù)安全方面，從不懂個(gè)人隱私、脫敏、數(shù)據(jù)分析分類的方法和技術(shù)，到知道數(shù)據(jù)備份恢復(fù)，再到數(shù)據(jù)的檢查，數(shù)據(jù)的備份是否有效，數(shù)據(jù)全生命周期管理，知道數(shù)據(jù)要去銷毀。從綜合能力到專業(yè)能力，再到技術(shù)能力，技術(shù)能力包括前面說到的，終端安全、開發(fā)安全、安全防護(hù)的工具、安全新技術(shù)，從這些維度衡量內(nèi)審安全工程師的能力模型。為什么這么做呢?因?yàn)橐彩俏覀円獌蓷l線走，一個(gè)是管理，畢竟管理的坑太少，我們要做一些基數(shù)，讓他覺得這個(gè)能夠不斷地自我成長。

 

信息化內(nèi)審的相關(guān)工作以及職業(yè)，這個(gè)模型，我搜了中國所有的論文庫、期刊庫，這方面的研究有，我搜了上百篇，我在這一類人才中探索，也跟像DHL做人才測(cè)評(píng)的公司的專家、總監(jiān)們交流，他們也說沒有這方面的，找不到。大家知道，信息安全方面人才本身就非常稀缺，又是做內(nèi)審的，就更加稀缺了。我感到現(xiàn)在大專院校已經(jīng)在做，有一些本科畢業(yè)的安全專業(yè)的工程師，后面像四大畢馬威、德勤，他們也有一些外審，但他們的外審和我們內(nèi)審還是有點(diǎn)不一樣，外審更多的是一次性提供一些工具、模板給你，或者是項(xiàng)目性。但我們內(nèi)審是更加持續(xù)性地給予內(nèi)部信息化相關(guān)專業(yè)的同事的建議、指導(dǎo)，提出要求、監(jiān)督、整改，各方面要去完成。信息化審查專業(yè)，相對(duì)來說大型集團(tuán)企業(yè)來講，既新鮮，又有挑戰(zhàn)。他能夠規(guī)避我們數(shù)字化轉(zhuǎn)型過程中從規(guī)劃、到建設(shè)、到需求的風(fēng)險(xiǎn)。另外，我們也對(duì)各產(chǎn)業(yè)集團(tuán)做的好的方面，我們也會(huì)提出一些表彰，會(huì)促進(jìn)他做的更好。

 

我們有一些信息審計(jì)系統(tǒng)，比方說，我們有一些追溯系統(tǒng)，有泄密，前段時(shí)間很多同事、業(yè)界的朋友都在問，一個(gè)文檔泄密出去了，又能夠追蹤到誰泄密的，很多同事都在問，我們也是類似的系統(tǒng)，打出去，都知道，這篇文章是誰泄密出去的。現(xiàn)在有很多種技術(shù)，像暗水印技術(shù)、字體、水紋加密算法，特別是金融類企業(yè)、銀行類企業(yè)有這樣的需求，主要的原因是不可避免地發(fā)生一些信息泄密，但還是希望能夠找到責(zé)任人，能夠繼續(xù)懲處。信息安全這個(gè)職業(yè)近些年比較火，對(duì)內(nèi)審專業(yè)也是比較新鮮的探索。我就和大家交流這么多，大家看有什么問題，可以回答一個(gè)問題，大家有什么想交流的，可以互動(dòng)一下。

 

提問：曾總，像張總剛才講的，他們掌握了很多用戶的信息，包括上次美的張總分享，他們也有很多用戶信息。這部分的用戶信息面臨很大的壓力，這些數(shù)據(jù)很有價(jià)值，但目前存在的風(fēng)險(xiǎn)也很大，關(guān)于個(gè)人隱私保護(hù)方面，越來越嚴(yán)格。企業(yè)在擁有這個(gè)數(shù)據(jù)之后，怎樣去面對(duì)隱私保護(hù)的挑戰(zhàn)?

 

曾永紅：我們有一個(gè)采集樣，我們的個(gè)人隱私法寫的也很清楚，你想應(yīng)用這些數(shù)據(jù)產(chǎn)生價(jià)值的時(shí)候，你不能夠跟個(gè)體的信息關(guān)聯(lián)，你可以提煉，我們說脫敏之后提煉，這是一組行為人員的，比方說我們今天的深圳CIO沙龍，有這么多人參與了，演講了什么主題，不涉及到具體，你不要提到曾永紅就行了，那就沒有關(guān)系。就像那么多燃?xì)饪蛻舻臄?shù)據(jù)，你可以分析出、預(yù)測(cè)性地說出這些爐具，這一批買的，更換日期大約在什么時(shí)間內(nèi)，我可以通過這些大數(shù)據(jù)分析采集出來。你不能說曾永紅在什么時(shí)間內(nèi)，約了哪個(gè)女朋友，一起過來。這種就會(huì)出問題了，這個(gè)意思就是說不要跟個(gè)體有關(guān)。謝謝大家!