当信息安全遇上数字化转型

当信息安全遇上数字化转型

作者长期从事信息安全工作，在企业任职信息安全负责人。副高级职称，拥有众多国际安全领域证书CISSP、CDE、PCNSE、CCSE……紧跟信息化时代的发展与演进，近期通过了EXIN的数字化转型官DTO（Digital Transformation Officer）认证，本文从信息安全与数字化转型多种视角来浅谈获得这个重量级认证的学习心得体会。其中文中大量名词与理念多出自于整个课程的知识体系。

第一部分-背景与机遇

1. 所处时代与政策

• 信息安全法律完善：《中华人民共和国网络安全法》于2016年11月7日通过，并于2017年6月1日起施行；《中华人民共和国数据安全法》于2021年6月10日通过，并将于2021年9月1日起施行；《中华人民共和国个人信息保护法》于2021年8月20日通过，并将于2021年11月1日起施行。三部法律相辅相成，确保网络空间安全，形成对信息全方位的保护体系。
• 政策：工信部制定重要数据和核心数据识别认定等标准规范，制定行业重要数据和核心数据具体目录并实施动态管理。各地方工信主管部门确定本地区行业（领域）重要数据和核心数据具体目录并上报工信部。
• 数字经济时代来临：以使用数字化的知识和信息作为关键生产要素、以现代信息网络作为重要载体、以信息通信技术的有效使用作为效率提升和经济结构优化的重要推动力的一系列活动。
• 政策：国务院印发《“十四五”数字经济发展规划》提出，到2025年，数字经济核心产业增加值占国内生产总值比重达到10%。数据要素市场体系初步建立，产业数字化转型迈上新台阶。早在2018年，深圳就出台了数字经济产业创新发展实施方案，全面系统推进互联网大数据、云计算、人工智能等数字技术，解决核心技术受制于人，关键技术被国外垄断的问题。

1. 两条腿走路

• 网络安全已经上升到和国家信息化同等重要的位置，“没有网络安全就没有国家安全”。因此新形势下如何处理好安全与发展的关系已经成为可以直接影响国家总体布局、策略导向的重大问题。安全和信息化的关系可以比喻为“一体之两翼，驱动之双轮”，这一比喻所蕴含的精髓，就是必须对二者进行统一谋划、统一部署、统一推进和统一实施，做到“以安全保发展，以发展促安全”，才能实现信息化的健康发展。
• 没有网络安全，信息化发展越快，造成的危害就可能越大。没有安全保障的智慧行业建设，也终究像空中楼阁一样随时会轰然倒塌、随着数字化时代的来临，大数据技术驱动了各个行业智慧的升级，建设迎来了新的篇章，网络安全永远是其重要的基石。

1. 同理心

我是这么理解同理心这个概念：在工作中经常遇到别人不理解你，你不理解他人的真正想法，我们只有不断提高自己，开阔眼界，通过换位思考来将窘境破冰。所以这也是我考证的主要动力

• 信息安全从业者应当考虑到CIO、CDO主导的数字化建设与安全保障工作的步调一致性问题。
• 视野上从风险评估，业务连续性，安全工程为重点关注到以用户为中心，前台、中台、后台这种层级架构，创造价值，及时响应的数字化方向上的延申。
• 从不同视角，不同维度的思考与践行数智化创新技术，信息安全创新技术，评估与重新制定适用于特定环境下的管理实践。

第二部分-融合

1. 新兴技术引领数字化转型

数字化转型是数字经济时代下，企业的经营者将其经营领域内的价值创造的核心诉求、诉诸新一代网络化、数字化、数智化技术，从而提升其竞争力和实现业务成功的科学、系统化工程。

• 云计算：是数智化的大脑。构成了新兴技术的核心底座，是当下数字经济时代的核心驱动力，通过灵活自选计算资源扩展所需创新技术，来满足不同的价值服务。
• 区块链：创造信任，助力数智化发展。在智慧城市（供应链、教育、金融、交通、政务、医疗）、信息安全方面有着独特的优势与广泛的应用。
• 人工智能：GPU、NPU等专有芯片和云计算的应用，使AI快速发展，只要存在执行重复的任务，分析庞大的数据集，它都可以做到消灭人为错误，提高效率。AI在各行各业都有快速发展，当《奇点来临》（EXIN AI教程），会思考的AI只有你想不到的，没有它做不到的。
• 大数据：全球社会正式进入了“数据驱动”的时代。大数据技术赋予了人类前所未有的对海量数据的处理和分析能力，促使数据成为企业战略资源和创新生产要素。大数据推动数字经济高速发展
• 物联网：通过万物互联，数字孪生，把真实世界创造价值的过程模拟出来，精益生产，自动维护，分析预判。参与整个价值链的生产、设计、交付、服务等环节。

当然新兴技术不止这些（5G、边缘计算、无服务器计算、RPA、自动化、容器化、量子计算、纳米技术……），这里只是抛砖引玉来了解下这个方面的时代魅力。

工业4.0时代：人类生活方式的深度转变，就像蒸汽机、电能、计算机的出现分别带来了一个革命。多数人讲到工业4.0都会罗列一些大数据、工业互联网、AI、智能工厂等一些名词。但是这些名词都是工业4.0的表现或者是其中一个元素，并不是工业4.0核心。工业4.0代表第四次工业革命，是对一个产品的整个价值链的组织管理。它着眼于客户不断提高的个性化要求，涉及到从设计、制造、交付一直到回收等其他行为。它的目的是对整个产品的价值流程进行改变，而不仅仅是着眼于价值链中的其中某个部分，比如智能化设计以及智能工厂。

1. 安全3.0

新科技应用在支持和驱动业务的同时也带来了相应的风险、风险控制是企业数字化转型的必选项，而不是可选项。让技术成为业务健康可持续发展推手的同时我们必须时刻重视对安全的防御与风险管理。倡导深度融合数字经济时代产业业务安全、科技安全、关键信息基础设施安全的“安全3.0”，其在金融行业的代表就是“金融安全3.0”

• 关键信息基础设施安全：这个层面既需要涵盖传统的物理安全、网络安全、主机安全、应用安全、数据安全等，也需要吸纳云原生安全、零信任、态势感知这类与数字化转型息息相关的安全元素
• 数字化科技安全：关注大数据安全、人工智能安全、5G与边缘计算安全、物联网安全、区块链安全、工业互联网安全等
• 数字化业务安全：业务应用中的数据安全、智慧医疗业务安全、智慧城市业务安全、智慧金融业务安全等

第三部分-提高综合素质

1. 理解组织文化

• 以用户、消费者为中心的数字化运营：所有组织部门都以用户、消费者为中心直接或间接地不断创造价值，整合资源、及时响应，个性化服务。
• 扁平组织结构：区分传统的组织层次结构和不断变化的组织层次结构。扁平结构的沟通通常比高层结构更快、更可靠、更有效。员工的直接投入会给决策者代来更多的支持，并减少幕后权力斗争和分歧
• 发展各项组织能力间的协作。打造业务敏捷型组织。通过ITBP的角色和编制。连接IT组织与业务部门，做好桥梁。
• 知识管理促进数字化转型。在整个企业范围内捕获并共享。延申到各个领域，持续、执行并将人附加到知识上的价值体现出来，以制定出明智的决策为目的。

1. 数字化领导力

• 领导力特征：数字化领导能力的实用指南，包括以下几项：愿景，治理，文化，知识和技能
• 数字技能：技术知识，业务和行为的胜任力（Gartner EXP 胜任力能力表共25小项），所有这些都需要高情商。不仅衡量个人意识，还衡量社会意识
• 数字感知：“数字化思维”是一种能够为所有服务的利益相关者带来更多价值的思维方式，如何将其关联到企业文化和技术之中是个问题；“数字意识”并不意味着拥有使用创新方法或技术构建新服务的技术知识，而是意味着人们可以对“如何应用创新来增加服务的价值”进行描述

1. 战略性思维

• 以企业愿景、使命、创造价值作为贯彻与开拓；以信息安全保障为基础；以用户、消费者为中心作价值导向；以创新技术为启蒙疏导业务价值；以长期，中期的思维制定计划与措施。
• 创建治理体系，用于形成服务管理准则，运用战略性分析工具PESTEL、SWOT、波特五力模型等手段。分析相关利益者，思考愿景、使命、定义服务目的和目标
• 执行 EDM（评估、指导、监督）活动，以将数字化转型战略转化为运营

1. 行业共识交流

在自己获得独立思考与判断能力的前提下和业内人士交流心得，共同的认知背后更容易碰撞出火花，通过一个认证知道彼此的知识体系，通过一个职位知道彼此的职责能力，深度思考以下共识

• CIO首先信息官：是为业务所设立的。帮助企业建立竞争优势，帮助业务获得成功。挖掘企业的信息资源、制定企业信息化战略、为企业信息化合理布局、评估信息化对企业的价值等。
• CDO首席数据官：根据业务需求，通过数据挖掘、处理和分析，对企业未来的业务发展和运营提供战略性的建议和意见。具有强烈地大数据视野和大数据分析能力。
• DTO数字化转型官：标志从成本中心向利润中心转型，预示组织变革发生在即。具备相应的综合能力，能够以跨部门的工作方式来有效地推进数字化转型工作。
• CISSP安全认证专家：了解所有关于信息安全各个领域的管理与技术，与业界分享安全理念，安全工程，搭建安全架构体系，保障业务全面安全的能力。

第四部分-创造价值

1. 业务创新与颠覆

通过三种数字化转型的运营方法，发展企业的第二S曲线，保持企业的持久生命力

• 专注于流程数字化，这将提高流程效率并降低成本。
• 以客户为中心的方法：专注于更好地满足已知的客户需求和紧急行为。带来的结果是更高的客户忠诚度和更高的满意度
• 着眼于未来的方法：寻求创新和颠覆市场，以确保长期的细分市场领导地位，并使组织能够生存和发展

1. 人员管理转型

• 管理、激励和留住员工对任何组织来说都是一个挑战。领导者和管理者必须识别每一代人的独特特征，因人而异。用薪-待遇留人、用心-感情留人、成长-事业留人。针对不同时代，不同员工的特性来管理与发挥独有的品质

年代	离职	座右铭
60后	什么是离职	工作为生活
70后	为什么离职	工作为生活
80后	收入高我就离职	为快乐而工作
90后	领导骂我就离职	为快乐而工作
95后	感觉不爽就离职	永远在线
00后	领导不听话就离职	永远在线

• 适应数字化时代的领导者的特征，技术、业务、行为方面

技术（T）	业务（B）	行为（H）
T1 理解已有的系统/技术	B1 理解业务实践和路径	H1 领导、激励、建立信息
T2 设计和开发应用	B2 理解业务组织、政策和变化	H2 创造性和创新性思考
T3 应用程序、工具和方法	B3 商业行为	H3 聚焦结果
T4 整合系统	B4 理解和分析竞争环境	H4 战略性思维
T5 设计技术架构	B5 管理项目	H5 指导、授权、发展
T6 理解新兴技术	B6 管理IT应用中的业务变更	H6 建立人机关系和团队合作
	B7 计划、优先级安排和管理工作	H7 影响和说服
	B8 交流/倾听和收集信息	H8 原则性谈判
	B9 聚焦客户	H9 解决矛盾和问题
		H10 适当改变

• 扁平化管理、快速试错、无责备文化带来的人员潜能的发挥

能挖掘自身的潜能，认识并突破自己的能力圈，以最精干的方式完成具有挑战性的工作。

1. 思维转型

• 知识管理上升到企业级别的管理

创新和变革的步伐、不断发展的技术和不断变化的业务需求都要求组织在企业范围内捕获并与消费者共享知识。在数字化时代，必须由企业负责知识的获取、收集和传播，因为服务提供者使整个企业，而不是组织中的某个部门。知识必须使组织能力的一个核心和有效决策的基础，因此，它对组织内的所有部门来说都是必要的。

• 原适用于软件的敏捷开发上升到业务敏捷，在各个部门都可以应用

贯穿业务创意和机会捕捉到需求识别到开发上线再到业务运营，形成大反馈闭环。业务人员和IT人员协同参与，达成共同目标。从创意到上线运营所需时间得到度量，并能够缩短。线上运营的业务数据得到监控，从中可以识别到新的机会。业务需求颗粒度得到管理，小颗粒度的业务需求也能快速上线。

• 整合以往的各种管理实践，结合环境，创新技术，资源4个维度来分析战略（VeriSM管理网格）这是目前最全面地、综合地考虑商业与技术维度的方方面面。管理网格为企业数字转型的两大核心关键部门——IT技术部门和业务部门的有机结合有效创建了一套通用的语言，从而打通了技术人员和业务人员在企业数字化转型中无法达成目标一致性的壁垒。

1. 安全创新转型

• 利用区块链技术，在垃圾邮件，安全认证，防控风险，数据不可篡改和不可抵赖方面进行创新与应用
• 大数据技术，在态势感知，舆情分析，情报共享方面
• 人工智能，带来UEBA用户实体行为分析，多态病毒特征学习，

以上技术为业务安全风控平台，数据安全平台的业务流程和产品功能，分析检测方面提供的强有力的支持

1. 企业家精神

• 愿意拥抱变化、推动变化、享受变化，愿意打破既有的理所当然的规则去思考新的角度。由于许多事物是在用每步相差极微极缓的方式渐渐衍变的，这使人们误以为它们恒久不变，从而对变化失去敏感度。对行业的深刻洞察，就是从大局到细节多加研判。洞察趋势、知悉变化、拥抱创新是内在统一的。
• 终身学习。企业经营时刻伴随着各种变化，只有持续有效的学习，不断地改进思维结构、打破思维逻辑和知识信息的片面性，充实提升自我能力带领企业进步。

个人认为，通过学习与获得了EXIN DTO的认证，给我重塑了知识体系，扩大了眼界与视野，与业绩同行，信息安全从业者，数字化转型从业者，信息官，数据官等职业、职责、思维方式有了同理心的根基。甚至在不断创新，拥抱长期价值的这种企业家精神也能深有感触。以后要学的知识很多，追求提高个人素质，不断在企业中实践，创造价值来不断丰富自己的人生阅历。