第一部分我可以稍微总结一下，我觉得这是我们两个比较关注的体系，但是大家找咨询公司做咨询体系的时候，你往往会被咨询公司带到别的体系上面去，比如说30001，最后就发现做不了，因为做的是全公司的业务连续性。还有几个相关的体系，大家也可以逐步的去了解一下，但是一定要抓住根本。哪方面的专家就会愿意夸大哪方面的事情，但是多多少少这些体系都会相关到。

现在我们的数据资产有一个很大的变化，导致我们的信息安全也发生了很大的变化，也就是说信息安全的变化并不是独立发生的，当然我们也可以说因为政府强调网络安全，我们的信息安全顺便蹭个热点，能问老板要到一点钱。但是它有一些本质的东西，我们回顾一下信息化阶段有什么特性呢？我们做了很多流程系统，但是它和我们核心价值链的关系应该说不是那么紧密，它不是直接对公司来说挣钱的。当然现在我们有很多企业数字化已经做了一些东西，它要么直接为企业带来挣钱的东西，要么可以省掉钱，这个就有机会到了核心价值链上。但是在信息化阶段的时候，我们可能还是辅助性质的，也就是我们要让管理透明化。所以所做的这些事情和业务之间还有一个隔阂，在看全业务的角度，我们会发现这些信息系统也都是待在公司的网络里的，没有出门，待在家里的有保护屏障的。虽然有大门到internet上去 也有很多公司加锁，所以还是安全的。

现在我们的业务要到互联网上，如果我们做的系统还是待在家里的，其实就没有太大的变化。但是如果我们待在家里，我们就不能够从互联网这个大的经济体里去获得更大的价值。我们要把应用搬出去给到移动设备去用，而这些移动设备是给消费者使用的。这个过程真正的作用是说，我们要把企业里的价值一直交付到消费者手里，所以你必须在互联网上进行交付。而互联网为什么能够支持这种交付呢？因为它经历了几个过程，它从一个互联的1．0、2．0、3．0，也就是从PC联网、到移动联网、到互联网，还经历了互动的1．0、2．0、3．0，原来的网页到关注到点评到现在的社区。互联网的特点带来一个可能性，让产品服务和客户服务直接交付，这样你就知道客户需要什么，你就能够把客户的需要带进公司里来，生成价值之后再交付给他。

基于互联网这样的一个特点，我们在原来的实体产业里面，我们就要向数字产业去迈进。而同样的在数字产业里原生出来的企业，它虽然在那里已经圈了大片的地，但是它还是要往我们的实体经济渗透。最后让数字经济和实体经济汇集成一个闭环，这个闭环是什么呢？就是我们的客户需求和我们的价值生成过程不断的循环。正因为这样的一个趋势，所以我们相应的信息安全也发生了一个变化，早期我们是保护静态资产，我们企业有设计、有图纸，这是我们要保护的。但是接下来你必须要考虑的是，因为现在有一个界面一定是在互联网上的，如果你不在互联网上有一个你的产品界面或者服务界面，用户就看不到你。不管是To C的还是To B的，这个时候意味着你必须要迈出家门，你保护的东西就发生了变化，至少它是在围墙外面的。

再往后，如果我们进一步延伸，如果我们的服务能够直接作用到消费者甚至对他的人生价值产生影响，这个价值是巨大的，它的风险也是巨大的，因为它一定是在互联网上的。这时候就会发现这个价值是往右手边，大家的右手边是价值生成的源泉，那里可以有柴米油盐酱醋茶，还可以有琴棋书画诗酒花，这个价值影响是巨大的。整个价值链的过程延展到了外面，而有利的地方是人人趋之若鹜的地方。信息资产和数据资产都在往外移、往互联网上移，保护在家里的可能是一些基本的东西或者后盾的支撑供应链运作的，而和消费者相关的、和客户相关的都是在往互联网上移的，至少这些信息和数据都是往外流动的才有价值。

我稍微说一点概念，就是我们传统意义上说的信息安全指的是我们内部的、内网的，而且它对应的业务是公司的信息资产，就是核心知识产权。当你跟客户交易的时候，这个时候开始提数据安全，当然我们也对着数据安全来做公司的工作，但是后来我们的项目失败掉了，把这些数据挖出来做数据安全太费劲了，但是我觉得数据安全的点是在交易数据。这个时候把数据带出来，再后面被习大大说成网络安全是国家战略，为什么是国家战略？因为在那个虚拟世界里，它是一个全新的价值网络，这个价值网络就像一片新大陆，大家都要冲进去，当然都希望在里面定规则。所以不仅我们有网安法，到处都有网安法，GDPR，大家都在里面争取定规则的权利。同时企业之间也想在这当中谋利，这就导致信息安全的整个意义会有所转变，也就是说它总是往价值链上面价值大的地方去倾斜。

总结一下我们过去这么多年的实战当中的要点，供大家参考，这也不是很全面的，只是我觉得当时确实有很多迷惑的地方。第一，我们还是看一下全局，在这个全局里除了我刚才介绍的，我们要做风险的管控，补救措施，而这个风险大家会发现也有一些变化，在左边我们可能更强调的是一个成本投入，就是我们要消减风险。而在右边是风险大、收益大，有钱能使鬼推磨，你可以到右边的互联网世界里，有的人真的想违法，冒一点风险，不仅是黑客，当时法律也没有规定，企业可不可以把用户的数据卖掉，做一些谋利的事情，这个时候法律应运而生。其实《隐私法》一直没有推出，因为我们是合资公司，在外企都特别强调隐私保护，在我们这儿觉得好像没有关系，所以这件事情一直没有做起来。但是现在不一样了，法律是应运而生的，包括5月16日出台的2．0，它一方面可以帮助我们企业提升我们的水准，一方面它也是要抓坏人的，我们不能做坏人，或者说做坏人风险大，但是也可能回报大，这时候需要平衡一下。

还是回到我们的信息安全保护的基本方法论上，那就是我的题目，你要做必须要做亡羊补牢的事情，不能不做，不能出了问题也不管。但是还是要做风险识别这个事情，这两件事情是不分先后的，它们是互为因果的。我们做亡羊补牢的事情以后，可能会更加帮助我们意识到哪里的风险更大，已经发生的事情风险概率是100％，你从风险里面发现出来的风险一定要把它补牢。你以前养乖乖羊，后面养千里马，它肯定是要往外面跑的。

这里还有一个责任，这也是我的自身体会，监管责任和主体责任基本上是不分的。还有安全服务，这个也要做一定的界定。在资产识别上面有很多问题，比如ERP系统是不是资产，防病毒是不是信息资产，这涉及到对信息资产识别的时候的颗粒度问题，要把它看成一棵树。从你的应用、从你面向客户的服务开始，比如说电商，你要把电商拆解到一系列的资产上面来，这才是一个资产，一个软件、一个版本就是资产。有一个树状结构，一定要做合并同类项，因为对同样的问题它的风险比较类似。网络基本上都被合并成内网、外网。

另外是主体责任，大家要记住主体责任。刚才说谁主管谁负责、谁运行谁负责、谁使用谁负责，看你能不能跳到主管监管责任，但是监管责任也很重大，如果你没有监管到或者没有导入一个有效的方法论让整个企业运作起来，监管责任可能更加重大。如果有能力，对主管部门提供一定的服务，当然要量力而行。这是三道防线。

最后是措施，技术＋流程＋责任意识，不是一般意义上的意识，我的安全意识很强是没有用的，安全意识很强，出了事情都不是我的事情就没有意思。我们的技术手段现在有一些趋势上的变化，但是在做这么多事情的时候，一定要记住兜底的方案，小朋友都知道服务器倒了重新恢复的是最高优先级的，这个是保证能睡觉的方案，是要最先做的，也就是容灾这个事情一定是最先做的。就算不做也要跟老板说清楚，我是管不了地震的，我是管不了洪水的，这个话是一定要去说的，不然的话随便你发生什么事情的时候都是你的问题。

最后一页是未来的展望，我觉得我们企业的可能从原来的泥巴里或者围墙里走出来，在整个互联网的世界里投入一个APP，把我们的价值实现点植入到互联网里面去。它的构成一定是IaaS、PaaS、SaaS的结构，其实我个人非常不认同混合云，不要拍我，这是我个人的观点。我们要把我们的价值延伸到互联网的世界里去，它在那里面和我们的客户接触到，然后再反馈回来，带动我们的整个供应链。所以信息安全要按照这样的一个思路去梳理，找到自己的工作重点。谢谢大家！