徐斌， 殼牌石油(中國(guó))區(qū) CIO，總是掛著微笑的娃娃臉上幾乎看不出實(shí)際年齡。一直說“自己不是什么技術(shù)大拿”，但卻已經(jīng)在信息化領(lǐng)域工作22年，無論是國(guó)企還是民營(yíng)合資公司，熟悉歐洲公司企業(yè)文化，也對(duì)美洲公司企業(yè)文化頗為認(rèn)同，擅長(zhǎng)從技術(shù)和業(yè)務(wù)之間開展信息化研究，并對(duì)如何真正從公司的內(nèi)部角度管理信息和數(shù)據(jù)有著深刻思考;對(duì)企業(yè)信息安全有較深刻的落地探索經(jīng)驗(yàn)。

近期，企業(yè)網(wǎng)D1Net記者獨(dú)家專訪了殼牌石油(中國(guó)) CIO 徐斌，以下為采訪內(nèi)容。

殼牌石油(中國(guó)) CIO 徐斌

徐斌認(rèn)為，企業(yè)信息安全必須對(duì)以下三方面進(jìn)行思考：

首先，認(rèn)識(shí)到企業(yè)風(fēng)險(xiǎn)管理的基礎(chǔ)是什么?企業(yè)工作所有的技術(shù)目的是為商業(yè)服務(wù)，實(shí)現(xiàn)商業(yè)目標(biāo)。所以，不是為了技術(shù)而技術(shù)，而是要找到目標(biāo)，明確管理的關(guān)鍵環(huán)節(jié)。

第二，找到切合自身的MNC信息安全管理實(shí)踐方案;

第三，明確事故管理有哪些工具可以幫助我們。

企業(yè)風(fēng)險(xiǎn)管理的基礎(chǔ)是數(shù)據(jù)和信息

企業(yè)風(fēng)險(xiǎn)管理的基礎(chǔ)是數(shù)據(jù)和信息，數(shù)據(jù)本身是客觀存在的表現(xiàn)形式，不管是企業(yè)內(nèi)部的運(yùn)營(yíng)狀況，客戶狀況，客戶信息，或者其它外部情況這些都是數(shù)據(jù)。但是數(shù)據(jù)本身非常，有些也沒有任何意義，只有通過數(shù)據(jù)的收集管理才能形成信息。

企業(yè)中的數(shù)據(jù)管理就是把數(shù)據(jù)的收集、存儲(chǔ)到數(shù)據(jù)信息的整合等方面作為風(fēng)險(xiǎn)管理的基礎(chǔ)和核心。其目的是把數(shù)據(jù)管理好，不被外部攻擊，并變成企業(yè)真正可用的，能幫助我們實(shí)現(xiàn)商業(yè)價(jià)值的內(nèi)容。也就是把數(shù)據(jù)信息往后延展到知識(shí)能力，通過知識(shí)的總結(jié)從而對(duì)未來趨勢(shì)做出預(yù)測(cè)，最后形成商業(yè)智慧。這便形成數(shù)據(jù)價(jià)值鏈，當(dāng)然，前提是需要對(duì)數(shù)據(jù)和信息實(shí)現(xiàn)基本管理。

重視數(shù)據(jù)生命周期管理

企業(yè)中對(duì)數(shù)據(jù)的管理需要重視對(duì)數(shù)據(jù)生命周期的全程管理，而不是單純地管理某一個(gè)節(jié)點(diǎn)，數(shù)據(jù)什么時(shí)候生成，什么時(shí)候發(fā)展，怎么被使用，包括最后數(shù)據(jù)終結(jié)，這是一個(gè)整體的生命周期的管理。

數(shù)據(jù)生命周期包括六個(gè)階段：

首先，需要定義和設(shè)計(jì)數(shù)據(jù)，即明確為什么要這個(gè)數(shù)據(jù)，有什么樣的意義等等。

其次是去創(chuàng)建和收集數(shù)據(jù)，大數(shù)據(jù)時(shí)代，不僅要從內(nèi)部收集，也要從外部收集，以及第三方數(shù)據(jù)等。

第三是數(shù)據(jù)的轉(zhuǎn)移和發(fā)布，比如如何存儲(chǔ)?如何公布給使用者等;

第四是如何使用和維護(hù)。

第五怎樣進(jìn)行保存，包括有用無用數(shù)據(jù)的清理。

最后的階段是數(shù)據(jù)的銷毀。這一階段中國(guó)公司較國(guó)外企業(yè)有較大差距，尤其是銷售環(huán)節(jié)特別弱。英國(guó)石油、殼牌等企業(yè)在對(duì)數(shù)據(jù)進(jìn)行銷毀時(shí)會(huì)尋求專業(yè)公司的幫助并付費(fèi)。先內(nèi)部將硬盤格式化，然后再交給專業(yè)銷毀公司進(jìn)行處理。

明確企業(yè)數(shù)據(jù)管理六大目標(biāo)

一般而言，企業(yè)數(shù)據(jù)管理需要達(dá)成以下目標(biāo)：

一是可接觸的，能讓用戶用上的，能夠被希望用到的;

二是可用的，在需要使用的時(shí)間節(jié)點(diǎn)上可以用好它;

三是可審計(jì)的，每個(gè)數(shù)據(jù)的產(chǎn)生環(huán)節(jié)，使用環(huán)節(jié)都能夠被記錄下來，可幫助企業(yè)找到數(shù)據(jù)管理過程的漏洞。

四是合規(guī)的，能符合企業(yè)對(duì)數(shù)據(jù)管理的制度要求，中國(guó)正在實(shí)施國(guó)家信息安全保密法，對(duì)數(shù)據(jù)審計(jì)提出了更高要求。

第五，保持一致性，也就是避免信息孤島，很多企業(yè)信息同樣一個(gè)事物在不同系統(tǒng)的表現(xiàn)形式不一樣，比如做庫存查詢，很難統(tǒng)一知道整個(gè)企業(yè)集團(tuán)里針對(duì)某一個(gè)商品的實(shí)際庫存情況?銷售情況等等。造成管理復(fù)雜，數(shù)據(jù)不準(zhǔn)確，不能被商業(yè)使用。

第六，保證數(shù)據(jù)完整性，即數(shù)據(jù)準(zhǔn)確性。

這六個(gè)方面的管理目標(biāo)能幫助企業(yè)實(shí)現(xiàn)商業(yè)目標(biāo)，增加市場(chǎng)份額，提供流動(dòng)性管理，降低企業(yè)風(fēng)險(xiǎn)等等。

而這六個(gè)目標(biāo)也就是實(shí)現(xiàn)“三個(gè)正確”，即把正確的數(shù)據(jù)提供給正確的人用來做正確的決策。

數(shù)據(jù)安全是文化和管理問題

徐斌說：“很多人認(rèn)為數(shù)據(jù)安全是一個(gè)技術(shù)問題，其實(shí)并不是技術(shù)問題，技術(shù)只是其中的一個(gè)方面，其實(shí)質(zhì)是文化和管理的問題。”

數(shù)據(jù)最重要的是來源要準(zhǔn)確，或者說具有高質(zhì)量的數(shù)據(jù)來源，但很多企業(yè)做了很多IT系統(tǒng)，但效果上并沒有達(dá)成目標(biāo)?原因多是數(shù)據(jù)來源出了問題。

企業(yè)需要強(qiáng)勁的數(shù)據(jù)使用文化?？鐕?guó)公司做數(shù)據(jù)風(fēng)險(xiǎn)管理采用了類似于PDC循環(huán)的方式。從風(fēng)險(xiǎn)評(píng)估開始，再判讀數(shù)據(jù)對(duì)企業(yè)價(jià)值的貢獻(xiàn)度，建立評(píng)估，形成對(duì)應(yīng)的風(fēng)險(xiǎn)控制體系和合規(guī)檢查的體系，最后一旦出現(xiàn)事故，進(jìn)行事故的管理。

這是一個(gè)不斷循環(huán)，不斷更新迭代企業(yè)整個(gè)風(fēng)險(xiǎn)評(píng)估的循環(huán)過程。其基礎(chǔ)是要在全集團(tuán)企業(yè)建立信息安全意識(shí)，包括員工安全準(zhǔn)則等體系。

數(shù)據(jù)安全方法論：“添磚加瓦式”VS“亡羊補(bǔ)牢式”

數(shù)據(jù)安全戰(zhàn)略包括數(shù)據(jù)使用規(guī)劃，數(shù)據(jù)在各個(gè)系統(tǒng)之間的分布規(guī)劃，包括數(shù)據(jù)安全管理的整個(gè)體系的目標(biāo)。這是全球比較普遍的使用方法。其起點(diǎn)是風(fēng)險(xiǎn)評(píng)估，任何方法論的基礎(chǔ)都是以風(fēng)險(xiǎn)評(píng)估作為整個(gè)數(shù)據(jù)建立控制體系的來源，數(shù)據(jù)的等級(jí)分布，數(shù)據(jù)的風(fēng)險(xiǎn)評(píng)估建立對(duì)應(yīng)的控制流程，最終形成安全管控體系，屬于“添磚加瓦式”的方法。即在相對(duì)比較成熟的數(shù)據(jù)安全控制體系下，當(dāng)發(fā)現(xiàn)一個(gè)新的事故后便添加新內(nèi)容，形成不斷迭代，不斷完善的風(fēng)險(xiǎn)控制體系

相對(duì)應(yīng)的，中國(guó)很多企業(yè)則采取了“亡羊補(bǔ)牢式”信息安全建設(shè)，出現(xiàn)問題，投入建設(shè)一套體系。其整個(gè)控制點(diǎn)是由信息安全事故產(chǎn)生的，通過信息安全事故的發(fā)生進(jìn)行一個(gè)事件分析，評(píng)估影響度，建立對(duì)應(yīng)的控制，最后才會(huì)納入到風(fēng)險(xiǎn)安全管理的信息中去。 傳統(tǒng)來看信息安全管理主要在基礎(chǔ)設(shè)施層面比較多，比如防火墻、路徑檢測(cè)、日志等等來做風(fēng)險(xiǎn)管理。但如果只關(guān)注基礎(chǔ)設(shè)施層，比如銀行、信用卡業(yè)務(wù)，如果只是關(guān)注設(shè)施層，在信用卡操作平臺(tái)上面，有些正常用戶也可以做很多高風(fēng)險(xiǎn)的事件。所以，信息安全管理應(yīng)走到應(yīng)用層，要在應(yīng)用系統(tǒng)層面，配置層面，在應(yīng)用系統(tǒng)使用層面做跟蹤的管理。比如對(duì)信用卡庫操作上，可對(duì)用戶的使用行為做跟蹤和分析，以智能觀察是否也存在風(fēng)險(xiǎn)，而不是單純只設(shè)置了防火墻，或者邏輯層面做技術(shù)設(shè)置。

CIO應(yīng)成首席創(chuàng)新官

徐斌說：“無論是數(shù)據(jù)應(yīng)用還是數(shù)據(jù)安全，中國(guó)企業(yè)都還有很長(zhǎng)的路要走。 “互聯(lián)網(wǎng)+”時(shí)代，CIO應(yīng)該成為首席創(chuàng)新官，通過IT技術(shù)產(chǎn)生新的業(yè)務(wù)模式，產(chǎn)生新的業(yè)務(wù)增長(zhǎng)點(diǎn)，找到新的業(yè)務(wù)創(chuàng)新，最后形成首席連接官，將內(nèi)部和外部連接在一起。CIO應(yīng)成為一個(gè)連接的橋梁，把企業(yè)內(nèi)部的需求和外部的SaaS服務(wù)商直接連接，不直接提供技術(shù)解決方案，而是更多提供整個(gè)戰(zhàn)略規(guī)劃，框架設(shè)計(jì)，包括信息安全管理的控制，這是未來CIO非常核心的抓手和橋梁。”

由此看來，徐斌對(duì)他的職業(yè)賦予了新的定義!這個(gè)新定義將帶給行業(yè)什么?我們期待!