第一部分我可以稍微總結(jié)一下，我覺得這是我們兩個比較關(guān)注的體系，但是大家找咨詢公司做咨詢體系的時候，你往往會被咨詢公司帶到別的體系上面去，比如說30001，最后就發(fā)現(xiàn)做不了，因為做的是全公司的業(yè)務(wù)連續(xù)性。還有幾個相關(guān)的體系，大家也可以逐步的去了解一下，但是一定要抓住根本。哪方面的專家就會愿意夸大哪方面的事情，但是多多少少這些體系都會相關(guān)到。

現(xiàn)在我們的數(shù)據(jù)資產(chǎn)有一個很大的變化，導(dǎo)致我們的信息安全也發(fā)生了很大的變化，也就是說信息安全的變化并不是獨立發(fā)生的，當(dāng)然我們也可以說因為政府強調(diào)網(wǎng)絡(luò)安全，我們的信息安全順便蹭個熱點，能問老板要到一點錢。但是它有一些本質(zhì)的東西，我們回顧一下信息化階段有什么特性呢？我們做了很多流程系統(tǒng)，但是它和我們核心價值鏈的關(guān)系應(yīng)該說不是那么緊密，它不是直接對公司來說掙錢的。當(dāng)然現(xiàn)在我們有很多企業(yè)數(shù)字化已經(jīng)做了一些東西，它要么直接為企業(yè)帶來掙錢的東西，要么可以省掉錢，這個就有機會到了核心價值鏈上。但是在信息化階段的時候，我們可能還是輔助性質(zhì)的，也就是我們要讓管理透明化。所以所做的這些事情和業(yè)務(wù)之間還有一個隔閡，在看全業(yè)務(wù)的角度，我們會發(fā)現(xiàn)這些信息系統(tǒng)也都是待在公司的網(wǎng)絡(luò)里的，沒有出門，待在家里的有保護屏障的。雖然有大門到internet上去 也有很多公司加鎖，所以還是安全的。

現(xiàn)在我們的業(yè)務(wù)要到互聯(lián)網(wǎng)上，如果我們做的系統(tǒng)還是待在家里的，其實就沒有太大的變化。但是如果我們待在家里，我們就不能夠從互聯(lián)網(wǎng)這個大的經(jīng)濟體里去獲得更大的價值。我們要把應(yīng)用搬出去給到移動設(shè)備去用，而這些移動設(shè)備是給消費者使用的。這個過程真正的作用是說，我們要把企業(yè)里的價值一直交付到消費者手里，所以你必須在互聯(lián)網(wǎng)上進行交付。而互聯(lián)網(wǎng)為什么能夠支持這種交付呢？因為它經(jīng)歷了幾個過程，它從一個互聯(lián)的1．0、2．0、3．0，也就是從PC聯(lián)網(wǎng)、到移動聯(lián)網(wǎng)、到互聯(lián)網(wǎng)，還經(jīng)歷了互動的1．0、2．0、3．0，原來的網(wǎng)頁到關(guān)注到點評到現(xiàn)在的社區(qū)�；ヂ�(lián)網(wǎng)的特點帶來一個可能性，讓產(chǎn)品服務(wù)和客戶服務(wù)直接交付，這樣你就知道客戶需要什么，你就能夠把客戶的需要帶進公司里來，生成價值之后再交付給他。

基于互聯(lián)網(wǎng)這樣的一個特點，我們在原來的實體產(chǎn)業(yè)里面，我們就要向數(shù)字產(chǎn)業(yè)去邁進。而同樣的在數(shù)字產(chǎn)業(yè)里原生出來的企業(yè)，它雖然在那里已經(jīng)圈了大片的地，但是它還是要往我們的實體經(jīng)濟滲透。最后讓數(shù)字經(jīng)濟和實體經(jīng)濟匯集成一個閉環(huán)，這個閉環(huán)是什么呢？就是我們的客戶需求和我們的價值生成過程不斷的循環(huán)。正因為這樣的一個趨勢，所以我們相應(yīng)的信息安全也發(fā)生了一個變化，早期我們是保護靜態(tài)資產(chǎn)，我們企業(yè)有設(shè)計、有圖紙，這是我們要保護的。但是接下來你必須要考慮的是，因為現(xiàn)在有一個界面一定是在互聯(lián)網(wǎng)上的，如果你不在互聯(lián)網(wǎng)上有一個你的產(chǎn)品界面或者服務(wù)界面，用戶就看不到你。不管是To C的還是To B的，這個時候意味著你必須要邁出家門，你保護的東西就發(fā)生了變化，至少它是在圍墻外面的。

再往后，如果我們進一步延伸，如果我們的服務(wù)能夠直接作用到消費者甚至對他的人生價值產(chǎn)生影響，這個價值是巨大的，它的風(fēng)險也是巨大的，因為它一定是在互聯(lián)網(wǎng)上的。這時候就會發(fā)現(xiàn)這個價值是往右手邊，大家的右手邊是價值生成的源泉，那里可以有柴米油鹽醬醋茶，還可以有琴棋書畫詩酒花，這個價值影響是巨大的。整個價值鏈的過程延展到了外面，而有利的地方是人人趨之若鶩的地方。信息資產(chǎn)和數(shù)據(jù)資產(chǎn)都在往外移、往互聯(lián)網(wǎng)上移，保護在家里的可能是一些基本的東西或者后盾的支撐供應(yīng)鏈運作的，而和消費者相關(guān)的、和客戶相關(guān)的都是在往互聯(lián)網(wǎng)上移的，至少這些信息和數(shù)據(jù)都是往外流動的才有價值。

我稍微說一點概念，就是我們傳統(tǒng)意義上說的信息安全指的是我們內(nèi)部的、內(nèi)網(wǎng)的，而且它對應(yīng)的業(yè)務(wù)是公司的信息資產(chǎn)，就是核心知識產(chǎn)權(quán)。當(dāng)你跟客戶交易的時候，這個時候開始提數(shù)據(jù)安全，當(dāng)然我們也對著數(shù)據(jù)安全來做公司的工作，但是后來我們的項目失敗掉了，把這些數(shù)據(jù)挖出來做數(shù)據(jù)安全太費勁了，但是我覺得數(shù)據(jù)安全的點是在交易數(shù)據(jù)。這個時候把數(shù)據(jù)帶出來，再后面被習(xí)大大說成網(wǎng)絡(luò)安全是國家戰(zhàn)略，為什么是國家戰(zhàn)略？因為在那個虛擬世界里，它是一個全新的價值網(wǎng)絡(luò)，這個價值網(wǎng)絡(luò)就像一片新大陸，大家都要沖進去，當(dāng)然都希望在里面定規(guī)則。所以不僅我們有網(wǎng)安法，到處都有網(wǎng)安法，GDPR，大家都在里面爭取定規(guī)則的權(quán)利。同時企業(yè)之間也想在這當(dāng)中謀利，這就導(dǎo)致信息安全的整個意義會有所轉(zhuǎn)變，也就是說它總是往價值鏈上面價值大的地方去傾斜。

總結(jié)一下我們過去這么多年的實戰(zhàn)當(dāng)中的要點，供大家參考，這也不是很全面的，只是我覺得當(dāng)時確實有很多迷惑的地方。第一，我們還是看一下全局，在這個全局里除了我剛才介紹的，我們要做風(fēng)險的管控，補救措施，而這個風(fēng)險大家會發(fā)現(xiàn)也有一些變化，在左邊我們可能更強調(diào)的是一個成本投入，就是我們要消減風(fēng)險。而在右邊是風(fēng)險大、收益大，有錢能使鬼推磨，你可以到右邊的互聯(lián)網(wǎng)世界里，有的人真的想違法，冒一點風(fēng)險，不僅是黑客，當(dāng)時法律也沒有規(guī)定，企業(yè)可不可以把用戶的數(shù)據(jù)賣掉，做一些謀利的事情，這個時候法律應(yīng)運而生。其實《隱私法》一直沒有推出，因為我們是合資公司，在外企都特別強調(diào)隱私保護，在我們這兒覺得好像沒有關(guān)系，所以這件事情一直沒有做起來。但是現(xiàn)在不一樣了，法律是應(yīng)運而生的，包括5月16日出臺的2．0，它一方面可以幫助我們企業(yè)提升我們的水準，一方面它也是要抓壞人的，我們不能做壞人，或者說做壞人風(fēng)險大，但是也可能回報大，這時候需要平衡一下。

還是回到我們的信息安全保護的基本方法論上，那就是我的題目，你要做必須要做亡羊補牢的事情，不能不做，不能出了問題也不管。但是還是要做風(fēng)險識別這個事情，這兩件事情是不分先后的，它們是互為因果的。我們做亡羊補牢的事情以后，可能會更加幫助我們意識到哪里的風(fēng)險更大，已經(jīng)發(fā)生的事情風(fēng)險概率是100％，你從風(fēng)險里面發(fā)現(xiàn)出來的風(fēng)險一定要把它補牢。你以前養(yǎng)乖乖羊，后面養(yǎng)千里馬，它肯定是要往外面跑的。

這里還有一個責(zé)任，這也是我的自身體會，監(jiān)管責(zé)任和主體責(zé)任基本上是不分的。還有安全服務(wù)，這個也要做一定的界定。在資產(chǎn)識別上面有很多問題，比如ERP系統(tǒng)是不是資產(chǎn)，防病毒是不是信息資產(chǎn)，這涉及到對信息資產(chǎn)識別的時候的顆粒度問題，要把它看成一棵樹。從你的應(yīng)用、從你面向客戶的服務(wù)開始，比如說電商，你要把電商拆解到一系列的資產(chǎn)上面來，這才是一個資產(chǎn)，一個軟件、一個版本就是資產(chǎn)。有一個樹狀結(jié)構(gòu)，一定要做合并同類項，因為對同樣的問題它的風(fēng)險比較類似。網(wǎng)絡(luò)基本上都被合并成內(nèi)網(wǎng)、外網(wǎng)。

另外是主體責(zé)任，大家要記住主體責(zé)任。剛才說誰主管誰負責(zé)、誰運行誰負責(zé)、誰使用誰負責(zé)，看你能不能跳到主管監(jiān)管責(zé)任，但是監(jiān)管責(zé)任也很重大，如果你沒有監(jiān)管到或者沒有導(dǎo)入一個有效的方法論讓整個企業(yè)運作起來，監(jiān)管責(zé)任可能更加重大。如果有能力，對主管部門提供一定的服務(wù)，當(dāng)然要量力而行。這是三道防線。

最后是措施，技術(shù)＋流程＋責(zé)任意識，不是一般意義上的意識，我的安全意識很強是沒有用的，安全意識很強，出了事情都不是我的事情就沒有意思。我們的技術(shù)手段現(xiàn)在有一些趨勢上的變化，但是在做這么多事情的時候，一定要記住兜底的方案，小朋友都知道服務(wù)器倒了重新恢復(fù)的是最高優(yōu)先級的，這個是保證能睡覺的方案，是要最先做的，也就是容災(zāi)這個事情一定是最先做的。就算不做也要跟老板說清楚，我是管不了地震的，我是管不了洪水的，這個話是一定要去說的，不然的話隨便你發(fā)生什么事情的時候都是你的問題。

最后一頁是未來的展望，我覺得我們企業(yè)的可能從原來的泥巴里或者圍墻里走出來，在整個互聯(lián)網(wǎng)的世界里投入一個APP，把我們的價值實現(xiàn)點植入到互聯(lián)網(wǎng)里面去。它的構(gòu)成一定是IaaS、PaaS、SaaS的結(jié)構(gòu)，其實我個人非常不認同混合云，不要拍我，這是我個人的觀點。我們要把我們的價值延伸到互聯(lián)網(wǎng)的世界里去，它在那里面和我們的客戶接觸到，然后再反饋回來，帶動我們的整個供應(yīng)鏈。所以信息安全要按照這樣的一個思路去梳理，找到自己的工作重點。謝謝大家！