杜國(guó)強(qiáng): 我想說其實(shí)很多人在問一個(gè)問題，信息風(fēng)險(xiǎn)其實(shí)在不同的區(qū)域，不同的行業(yè)，其實(shí)都有不同的。我想看看我們問一下Gartner張先生，信息風(fēng)險(xiǎn)在不同的行業(yè)，不管金融，制造，電信，不同區(qū)域，華南，華北，華中，還是說大型企業(yè)，中型企業(yè)等等，或者在這個(gè)不同行業(yè)，他們的一些做法，或者一些經(jīng)驗(yàn)分享給大家？

張瑾: 我是這么來看，中國(guó)的IT包括剛才說的風(fēng)險(xiǎn)管理，實(shí)際上都是屬于一個(gè)非常不均衡。如果看關(guān)鍵行業(yè)，比如說大銀行，以及各大電信運(yùn)營(yíng)商，他們實(shí)際上現(xiàn)在所做到IT管理水平，實(shí)際上跟全球最高水平實(shí)際上并沒有太高差距，甚至有時(shí)候某些地方都比較領(lǐng)先，但是他只代表一部分IT用戶，我們看到很多IT用戶對(duì)IT是沒有什么具體管理，尤其是風(fēng)險(xiǎn)管理方面實(shí)際上是非常薄弱的。

所以，我覺得現(xiàn)在最明顯的就是這種不一致性。既有最先進(jìn)，最好的管理方式，同時(shí)也有最落后原來基于人因素，沒有任何自動(dòng)化，職能化的方式都會(huì)有。所以，這種不一致產(chǎn)生很多問題，并不意味著電信運(yùn)營(yíng)商的解決方案就能夠全都復(fù)制出來。大家所保護(hù)的東西不一樣，大家所面臨的業(yè)務(wù)風(fēng)險(xiǎn)是不一樣的，我覺得這個(gè)市場(chǎng)還有很多發(fā)展?jié)摿Γ约鞍l(fā)展的更多多樣性。

杜國(guó)強(qiáng): 好的，再來一個(gè)問題，想問世行的專家。其實(shí)很直接了，從世行的角度上來看，世行采取什么樣的措施來控制這種數(shù)據(jù)風(fēng)險(xiǎn)？

從世行的角度來講，我們有一個(gè)比較特別的挑戰(zhàn)。其中一個(gè)就是世行職責(zé)，他是一個(gè)金融機(jī)構(gòu)，我們有自己的財(cái)務(wù)管理機(jī)制，我們?yōu)楹芏鄧?guó)家管理財(cái)務(wù)。所以說，我們對(duì)信息非常敏感。另外一方面，我們這個(gè)銀行跟世界簡(jiǎn)評(píng)有關(guān)，這方面的數(shù)據(jù)必須要在世界范圍內(nèi)能夠廉價(jià)，廣泛的傳遞。

所以說，我們對(duì)于保護(hù)信息風(fēng)險(xiǎn)這方面，我們有一個(gè)兩階段的過程。第一我們需要技術(shù)，由銀行進(jìn)行評(píng)估。比如說我們用什么樣的操作系統(tǒng)，我們買什么產(chǎn)品的時(shí)候，抗病毒，殺病毒軟件的時(shí)候我們會(huì)有一定的評(píng)估，他是否適應(yīng)我們世行這個(gè)結(jié)構(gòu)架構(gòu)。

那么，之前我也提過，你的這個(gè)組織復(fù)雜性越來越高的時(shí)候，風(fēng)險(xiǎn)也會(huì)越來越高。而且，你要確保你正常運(yùn)行的成本也會(huì)越來越高。那么，如果你使用的這個(gè)軟件，或者說這個(gè)方式不符合你們的組織架構(gòu)，那就是不行的。

James C.Nelms: 第二在認(rèn)證架構(gòu)，剛才在那5個(gè)層面解決方案你也看到了，我們有專家在各個(gè)層面分布，無論是在應(yīng)用，還是操作系統(tǒng)等等，商業(yè)單位部門也是分這5個(gè)層面，就像我剛才也提過管理，管理也是非常重要，我們商業(yè)作為一個(gè)部門我們有信息安全問題，我們有風(fēng)險(xiǎn)管理的問題，我們也有架構(gòu)管理的層面。那么，整個(gè)管理層他是需要是否做這個(gè)工作。

杜國(guó)強(qiáng): 還有一個(gè)問題，問一下賽門鐵克李先生，我們有沒有什么方法，手段來降低，或者規(guī)避這些信息風(fēng)險(xiǎn)？也就是說，當(dāng)我們碰到這些問題的時(shí)候，我們有沒有一些應(yīng)對(duì)的能力，我想看一下李先生，賽門鐵克的李剛做一些描述？

李剛: 好的，是這樣的。因?yàn)槲覀儎倓傉劦竭^關(guān)于風(fēng)險(xiǎn)的各種不同表現(xiàn)形式的問題，關(guān)于技術(shù)方面的東西我們?cè)谶@里面不去多設(shè)計(jì)，我就談一下我們剛才所說的治理落地的問題。我們還是回到剛才咱們談到第一個(gè)很有趣的話題，關(guān)于危機(jī)網(wǎng)站的事情，關(guān)于信息泄露的問題。

我很贊同世行James給大家提的觀點(diǎn)，你在做IT治理最基本因素需要知道你要有我們講到信息，你的信息都有哪些，你信息流從業(yè)務(wù)層面上來看是什么樣，從IT層面上來看是什么樣的，這些信息哪些是敏感，哪些是不敏感，或者敏感程度是什么樣的，當(dāng)你這些信息發(fā)生泄露的時(shí)候，造成什么樣的損失。所有這些東西，事實(shí)上是一個(gè)很龐大的業(yè)務(wù)問題。

剛才我說到了，在中國(guó)很多業(yè)務(wù)問題需要有工具，需要有IT手段把它落地，你可能有一個(gè)系統(tǒng)，利用這個(gè)系統(tǒng)來幫助你去跟蹤業(yè)務(wù)的動(dòng)態(tài)變化，來回答剛才這樣一些問題，這樣你所有IT治理，包括信息安全這些決策就能夠很容易的變成你的企業(yè)員工所能夠自覺遵守的一些真正可以落地的規(guī)則。

我舉例子，比如說某些信息你不能夠按照業(yè)務(wù)流程，按照我們企業(yè)治理流程，你不能出現(xiàn)在某些部門，某些人的個(gè)人電腦上。這個(gè)是最關(guān)鍵的，而不是說這個(gè)信息本身需不需要加密，我說的這是第一步，舉的這個(gè)例子就是這樣，這些都是需要有技術(shù)手段。剛才我說了把IT治理原則，來真正量化實(shí)現(xiàn)。

杜國(guó)強(qiáng): 還有一個(gè)問題，我相信其實(shí)大家也想了解，我問一下Gartner張先生，從國(guó)家的角度，目前對(duì)所謂信息風(fēng)險(xiǎn)，安全，這些整體來看，怎么樣子降低信息的一些風(fēng)險(xiǎn)管理，國(guó)家有沒有出臺(tái)一些法令，法規(guī)，或者是一些建議指導(dǎo)，有沒有這些積極的方針？ [12:24:22]
杜國(guó)強(qiáng): 實(shí)際上現(xiàn)在國(guó)家也越來越重視這個(gè)問題，實(shí)際上國(guó)家一直在想推出有關(guān)企業(yè)內(nèi)控的法規(guī)。應(yīng)該說，我們現(xiàn)在看到推遲很多次，由于種種原因，我們看到終于可以落地，是一個(gè)真正可以執(zhí)行的法規(guī)讓大家來遵守。

在企業(yè)內(nèi)控的規(guī)范里面，國(guó)家已經(jīng)規(guī)定很多相對(duì)比較細(xì)致的內(nèi)容，比如哪些東西需要保護(hù)，需要怎么保護(hù)，以及相關(guān)負(fù)責(zé)部門，或者甚至職位是誰，在這些法律法規(guī)已經(jīng)落地之后，實(shí)際上我相信還會(huì)有很多行業(yè)性法規(guī)也會(huì)跟著一起出臺(tái)，比如金融行業(yè)，證券行業(yè)，以及電信行業(yè)會(huì)有針對(duì)他們自己行業(yè)特點(diǎn)項(xiàng)目規(guī)范一系列繼續(xù)出臺(tái)。出臺(tái)之后，我相信在中國(guó)會(huì)有一個(gè)，我相信中國(guó)還不會(huì)馬上出現(xiàn)一個(gè)這么詳盡規(guī)則，但是這是一個(gè)發(fā)展方向，中國(guó)會(huì)逐漸完善自己的法律法規(guī)，在法規(guī)方面完善更好。

最后一個(gè)問題，保證是各位最有興趣的。云的數(shù)據(jù)是無所不在，你也不知道它在哪里，有一個(gè)更復(fù)雜的東西出來了，移動(dòng)互聯(lián)網(wǎng)手機(jī)，每個(gè)人拿著這個(gè)手機(jī)可以到處跑，你可以發(fā)現(xiàn)云再加上互聯(lián)網(wǎng)，再加上現(xiàn)在手機(jī)移動(dòng)互聯(lián)網(wǎng)，對(duì)安全，對(duì)信息風(fēng)險(xiǎn)怎么辦，如何來做？

張瑾: 我先講一下云的問題，我們Gartner做過很多用戶調(diào)研。普遍大家都會(huì)認(rèn)為，云里面大家最關(guān)心的一個(gè)問題就是有關(guān)安全，大家覺得似乎放在云上不安全。但是，我想提出一個(gè)正好相反的概念，我覺得云在很大程度上可以提升安全。為什么這么講？大家拋開云的問題不看，大家看看自己企業(yè)實(shí)際上安全水平達(dá)到什么水平，我相信很多企業(yè)，尤其是中小企業(yè)在安全方面沒有足夠重視，沒有一套純系統(tǒng)化，能夠完全覆蓋各個(gè)方面的安全管理策略。相反，云的提供商，實(shí)際上他是有這些策略，而且這些策略是符合所有法律法規(guī)，以及行業(yè)的歸并，或者是所有IT現(xiàn)在流行最先進(jìn)，最全面的管理方案。

所以，能夠把這些東西以一種服務(wù)方式，提供給一些中小企業(yè)，我相信對(duì)于他們來說更多是提升安全，而不是損失安全。從這個(gè)角度來看，我覺得最大問題不是技術(shù)問題，不是云真得有什么東西沒有覆蓋到，還是關(guān)鍵問題。放回幾百年前，錢是放在一個(gè)罐子里面埋在自己家院子里比較安全，還是放在錢莊里面安全，對(duì)于企業(yè)云都是一個(gè)提升安全而不是損失安全的工具。

我是非常同意你的觀點(diǎn)，這個(gè)云的技術(shù)來講，實(shí)際上也是一樣，就像你剛剛所說的。比如說，你要是很好的移動(dòng)云的話，好好的管理，我們有三種形式的云，一個(gè)是公共云，有些人管理這個(gè)服務(wù)器和數(shù)據(jù)，還有一個(gè)私人云。私人云，是指企業(yè)，比如你把東西放上去，把東西拿上來我不會(huì)關(guān)心這個(gè)技術(shù)，另外一個(gè)是混合型云，也就是說，數(shù)據(jù)是內(nèi)部的，服務(wù)器是外部管理的，我是非常同意你的說法。

James C.Nelms: 也就是說，這種責(zé)任，我們可以把數(shù)據(jù)和責(zé)任下放給別人，我們要看一下你要負(fù)什么責(zé)任，你要為你的數(shù)據(jù)負(fù)責(zé)任，要為你的決定負(fù)責(zé)任，是不是要把它放上去，有很好的控制之外，云肯定會(huì)提高安全性。

杜國(guó)強(qiáng): 你把我的數(shù)據(jù)放在云的提供上更加安全，但是要把責(zé)任歸屬講清楚，萬一發(fā)生問題的時(shí)候怎么辦。

李剛: 在一個(gè)星期之前一個(gè)論壇上面，我完全贊成張總這邊看法，我們也談到同樣觀點(diǎn)。事實(shí)上云不是帶來了風(fēng)險(xiǎn)，尤其是對(duì)中國(guó)客戶，尤其對(duì)中國(guó)中小企業(yè)來說，云應(yīng)該是中小企業(yè)安全的一個(gè)終極解決方案，使之變的更安全。比如像容災(zāi)，我們不相信中小企業(yè)建立自己的容災(zāi)系統(tǒng)，但是云容災(zāi)系統(tǒng)顯然是一個(gè)非常好的方向。

有一個(gè)報(bào)告，中國(guó)云的采納率是遠(yuǎn)遠(yuǎn)高于美國(guó)，云模式是提高企業(yè)生產(chǎn)率，提高企業(yè)IT價(jià)值很重要一個(gè)革命性方向。中國(guó)在這方面落后于美國(guó)，落后在什么地方？就是對(duì)安全，在這里面又想談到所謂IT治理問題，很多中國(guó)企業(yè)，他之所以不敢把他的業(yè)務(wù)遷移到云上面去，一個(gè)很重要的原因他甚至根本不知道自己的敏感信息，或者敏感的業(yè)務(wù)流程是什么。所以，他采取一種保守策略，干脆什么不往云上面放，但是事實(shí)上恰恰相反。

在這里也借這個(gè)論壇呼吁，中國(guó)的企業(yè)真的可以開始認(rèn)認(rèn)真真討論云戰(zhàn)略，認(rèn)真豎立自己企業(yè)內(nèi)部IT。這也是中國(guó)優(yōu)勢(shì)，政府可以主導(dǎo)來把這個(gè)云的安全理念，這種規(guī)范，這種第三方審計(jì)，這種服務(wù)機(jī)構(gòu)迅速引入這個(gè)市場(chǎng)里面，使得中國(guó)整個(gè)國(guó)民經(jīng)濟(jì)能夠更好的進(jìn)行云革命新的進(jìn)步。

杜國(guó)強(qiáng): 好的，我想說其實(shí)信息風(fēng)險(xiǎn)不管叫安全保護(hù)等等，其實(shí)這個(gè)課題絕對(duì)是一個(gè)很大的課題。而且這個(gè)課題絕對(duì)不是技術(shù)搞定，必須牽扯到人，牽扯到內(nèi)部的流程控管等等。這些因素，IT能夠把這些人員因素，流程因素更加簡(jiǎn)化。

zhabin