2019 CIOC全国CIO大会5月23日在乌鲁木齐盛大举办，来自全国的众多CIO共聚一堂，最接地气的观点、最实用的实战经验、最前沿的技术、最新的产品在此汇聚，碰撞出属于CIO的精彩火花。

以下为现场速记。

联合汽车电子信息安全总监 赵超

赵超：大家可以叫我超姐，我来自联合汽车电子有限公司。范总给我布置这个任务的时候，其实我刚刚做了一个转岗，从IT部门的IT总监转为信息安全总监，这也是公司的组织架构有一个调整，我们把信息安全从原来IT的一个科室独立出来一个部门。我当时觉得范总给我的任务简直像我的上岗考。但是我还是要感谢一下，因为不仅有上岗考，还有一个上岗培训，这两天我觉得学到了很多东西。我也把我自己考试的材料跟大家汇报一下，看看范总能给我打几分，看看是不是能够及格。

我们先看一张图片，大家都知道扁鹊见蔡桓公，这是信息安全的人必读的教材，因为所有关于信息安全的要素在这个故事里都提到了。我们看一下，立有间在干什么？做风险评估，看看哪里有问题，对于蔡煌公而言，这件事没有什么外部的威胁，没有人拿刀杀他或者有病毒流感，但是他自身有一个脆弱性。我们都知道，这个脆弱性没有被及时的弥补，所以后来不得已这件事情只好走到应急响应这一步。在应急响应里说赶紧找扁鹊吧，结果是什么呢？大家知道吗？只好逃了。

在座的各位真的碰到问题的时候，不一定有机会能逃，但确实有可能会引咎辞职，其实在我的职业生涯里好多年，我都担心这个问题，至少在我们的交换机被雷劈的时候，确实发生过我们的交换机被雷劈了。还好我们的网络管理人住在一个小区，当时他的电话打不通，当时我的孩子比较小，我就让我的小孩去找他，这就是当时的应急响应措施。后来我们的数据库扩展命令把数据库弄趴掉了，我们从头到尾重建。其实我们的心脏也够强大的，再后来发生系统管理员晚上8点钟，说起来也是努力工作的好同事，一条命令把公司几百多台还在工作的电脑没有关机的格式化。我们再也不能这样做事情了，因为我们做IT的人都知道是靠经验的，如果信息安全这件事情还是继续靠经验会怎么样呢？所有的坑都汤一遍，大家就见不到我了。

大病靠防，小病靠治，可是这两个体系是我们IT工作两个“双轮”，我们基本上是靠着这个“双轮”在动。但是它的目标是什么呢？保证我们的资产CIO，但是关于这个CIO我后面还会提到多一样东西。可是IT这个资产很特别，也就是说我们这两个体系其实都不涉及到这个资产的建设过程。这点特别不同于汽车的物理产品，我也是汽车行业零部件的，16949或者环境保护14800、18000也是风险体系，但是它们都是产品的开发、设计、生产过程，生产完就没事了，反正交到消费者手里了，出了事情消费者会来找我们的。

可是我们的IT产品生之前是没关系的，生了之后就脱不了手了，就粘在手上了。系统和安全这两件事情确实不是同年同月同日生，但是恐怕它们只能同年同月同日死，也就是说我们所做的工作都是从它呱呱坠地的时候开始的，是不是它的建设过程也要把这个体系的事情融入呢？我觉得这个应该是有变化的，我后面也会点到一些。之所以我们要从系统建设好了以后才开始，当然得益于信息技术自身的一个特点，也就是说软件硬件不断的迭代，发展得非常快，有问题多一层，这一层就把问题隔离了，所以当我们的软件有问题的时候，我们可以重启。

但是还有更重要的一点，就是信息资产的特点，这个资产和硬件资产不一样，它是有灵魂的。也就是说，信息数据被载入到了一个载体里面，甚至是不可分的，真的像灵魂，如果硬件坏了，你的灵魂也没了，当然好在它可以重新恢复，可以再来。另外人人都可以踩一脚，汽车的数据属于谁之前是一个问题，是属于消费者吗？消费者这些数据是我的，你不要碰，但是传感器有问题你要不要知道。运营的人、管理的人、使用的人都有责任，这个不是我说的，是国资委说的，我在国资委培训的时候他们说谁管理谁负责、谁运营谁负责、谁使用谁负责。

另外我们还看到一个变化，就是软件即服务，以及后面的现实世界和虚拟世界的融合。这两点会对我们整个来考虑信息资产的安全带来了一个很大的变化，正是因为这样的一些原因，我在过去的工作过程当中，我觉得我们一定要“双轮”工作，既要按照ISO的体系方式，比如说ISO20000，我们要有真本事，等到咨询项目做完以后，我们顺便过个证吧，不过证第二年别人不会管你，自己也没有那么强的主动性把这个体系运行下去，我们可以进行回顾。但是它们有很大的不同，也就是说20000关注的是SLA服务水平，他一定要知道这些资产之间的配置关系，结果以配置项作为整个管理的核心。安全会塌了一笔，但是在20000体系里面没有特别展开，这就需要我们从另外一个视角来看。

这个资产不是配置项，这个资产最主要的是要看资产的价值，它值多少钱、它损坏了、被人篡改了，它到底会造成多大的损失。所以计划的过程是一个识别风险的过程，但是识别风险要首先找到你的资产，蔡桓公还是很金贵的，这是最大的资产。执行的过程其实是找到措施，来把风险消除或者健身健体或者待在家里不出去，这样会比较安全。检查是检查这些措施有没有到位，是不是有效的，不能说我上了一个措施了，我们的数据仓库恢复三个星期这件事情，是因为工程师一直说我备份了、我备份了，但是不能恢复。如果这些措施没有整改，就会再来一轮。我们要保持它的一致性，一致性就是不被篡改。还有保密性，这个都好理解。而我们IT运维的目标，就是保证SLA的可用性更多一些。