2008年5月22日,财政部、证监会、审计署、银监会、保监会五个部门联合发布题为"关于印发《企业内部控制基本规范》的通知"。这个通知明确规定了2009年7月1日起,将在上市公司范围内实施《企业内部控制基本规范》,同时鼓励非上市大中型企业执行。这份文件的重要性可以说非同小可,很多人将其比作《萨班斯法案》的中文版。这是中国会计审计领域的又一重大改革举措,客观上提升了对信息安全的需求。据IDC预计,2007-2011年,国内风险管理解决方案市场将以22.4%的复合增长率快速增长。有业内人士表示,近2-3年内,国内市场将迎来一个需求大量增长的时期。
嘉宾介绍:刘科全先生历任联想网御技术总监、副总经理、运营总裁职务。负责公司技术与产品规划,先后参与或组织联想网御多款信息安全产品的开发管理工作和市场营销工作。2006年以来,全面负责联想网御公司运营管理。
记者:各位观众大家好!欢迎收看比特网CEO百家访谈栏目,我是主持人于捷,本期我们邀请到的嘉宾是联想网御科技公司总裁刘科全先生,请您和我们比特网的朋友打个招呼吧!
刘科全:亲爱的比特网观众朋友,我是联想网御科技公司总裁刘科全,大家好!
记者:刘总,听说您特别擅长讲故事,并经常用故事来启发和激励员工,在正式采访您之前,是否可以请您也给比特网的观众讲一个故事呀?
刘科全:好呀,我讲一个狼捕黄羊的故事吧。黄羊是草原上最善于奔跑的动物,它的最高速度为每小时90公里左右,而狼呢,狼的一般时速只有50公里左右,在冲刺时也只能达到每小时65公里的速度,显然狼跑不过黄羊。可一匹聪明的狼却能独自捕杀一匹健壮的黄羊。为什么呢?因为狼有坚韧执着、不达目的誓不罢休的性格,因为狼有重视和深入研究对手的习惯。在白天,一条狼盯上一只黄羊,先不动它。一到天黑,黄羊就会找一个背风草厚的地方躺下睡觉。这会儿狼也抓不住它,因为黄羊身子睡了,可它的鼻子耳朵没有睡,稍有动静,黄羊蹦起来就跑,狼同样追不上。其实整个晚上狼都不会动手,趴在不远的地方死等,一等就是一整夜,等到天亮了,黄羊憋了一夜尿,尿泡憋胀了,狼瞅准机会就冲上去猛追。黄羊跑起来撒不出尿,跑不了多远尿泡就颠破了,后腿会抽筋,也就跑不动了。结果这匹黄羊就成了狼的猎物。
狼性为很多企业所推崇,但企业培养狼性其实是在打造双刃剑。我们公司的文化更多是崇尚老黄牛精神,但在激烈的竞争形势下,我们也需要适度地学习和塑造狼性。
记者:真的很精彩!听说联想网御08年业绩辉煌。在世界经济形势如此不好的情况下,联想网御为什么取得了这么辉煌的成就?
刘科全:2008年在整体经济形势下滑的情况下,联想网御取得了销售收入增长40%和净利润增长100%的满意成绩。这一方面是我们抓住了众多奥运安全保障项目的难得机遇,另一方面是联想网御坚定地推进"信息安全蓝海战略"结出的硕果。
在奥运安保方面,联想网御经过过去两年精心的准备,我们不但为奥运官方网和CCTV.COM奥运转播网提供了安全保障,还获得了新华网、人民网等几十个与奥运相关的重要信息系统的安全保障任务,在确保北京奥运会成功召开的同时,企业也获取了不错的经济效益。
在推进信息安全蓝海战略方面,过去三年来,我们坚定不移的贯彻以客户价值创新为基础的"走出去"战略,立志要从本土优秀企业阵营中"走出去",完成从本土到海外,从优秀到卓越的历史飞跃。这是一个充满艰难困苦的万里长征,我们还只是迈出了第一步。但这第一步已经使我们显著增强了平稳度过金融寒冬的能力,并在2008年经营业绩中得到了体现。
记者:您刚才说联想网御通过以客户价值创新为基础的蓝海战略,显著增强了联想网御过冬的能力,这可能对很对处于金融危机之中的企业都有借鉴作用,您能否详细介绍一下联想网御是如何实施客户价值创新的?
刘科全:自2006年以来,联想网御公司为摆脱恶性竞争、拓展成长空间,制定了帮助客户价值创新、实现自身价值飞跃的信息安全蓝海战略。主要包括技术价值创新、服务价值创新、经营价值创新三个部分内容。
在技术价值创新方面,我们集中公司内外方方面面的专家,通过探寻信息化建设的根本目标和根本需求,总结提炼了"下一代安全架构"的技术理念,从网络基础设施的安全需求、关键应用系统与关键数据的安全需求、业务流程与管理规范的安全需求等方面综合分析,从用户根本需求倒推我们的技术创新目标,按技术创新目标规划和部署技术研发工作。经过三年的以用户价值创新为起点的技术创新与技术并购,目前的联想网御公司已经不再是一个单纯的防火墙产品领先厂商。联想网御公司的IPS、UTM、DDoS清洗、SSL VPN等多条产品线均成为国内领先厂商。
在服务价值创新方面,我们通过协助国家管理机关和大行业、大企业制定信息安全标准,通过帮助客户建立安全的IT业务流程体系,通过在线的信息安全咨询服务,帮助各级各类用户最大限度地发挥信息化的优势,使客户的业务实现价值创新,从而获得增值的服务收益。
在经营价值创新方面,我们通过拓展海外市场、建立精细化的渠道体系和扁平化的营销体系,拓宽和缩短从厂商到目标用户之间的通路,使用户能够以最经济的方式得到专业的产品与服务,从而使用户价值最大化。
无论在技术方面、在服务方面,还是在经营方面,只有帮助客户实现价值创新,企业本身才能最终实现自身的价值。在过去几年的业务实践中,我们总是能在不同时期,紧紧围绕国家政策和企业经营需求,抓住为客户实现价值创新的关键环节,迅速开发满足客户价值创新需求的解决方案,这才是联想网御能够不断成长进步的关键。比如国家为了规范经济秩序,于2008年6月由财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》,并将于2009年7月1日在上市公司范围内强制实行,同时鼓励非上市的其他大中型企业执行。我们就从中看到了帮助国家和企业推进中国版"塞班斯法案"的巨大潜在价值,组织力量迅速开发了《联想网御IT内控解决方案》,相信这个方案必将孕育巨大的商机。可以说,每一个目标远大的企业,帮助客户实现价值创新的机会无处不在、无时不在。
记者:您刚才谈到联想网御为配合国家推动企业内控基本规范的实施,已经做好了技术上的准备,企业内控可是09年最热的一个话题了。您对企业内控有怎样的认识?
刘科全:企业内控是各国政府在现代企业所有权与经营权相分离的背景下,为了保护企业所有者的权益,建立的旨在防范和揭露企业经营中的错误与弊端的制度。目前我国颁布的《企业内部控制基本规范》,既吸取了国外的先进经验,又充分考虑了国内企业的现实情况,在保障国民经济持续、良性发展方面,具有十分重要的意义和价值。企业内控要达到的目的一是提高企业资源利用的效率与效果,二是要保证财务报告的真实性和可靠性,三是要保证企业经营符合相关法律和法规。要达成上述目的,企业内控主要是扮演三个方面的角色。以自然人的健康管理为例,企业内控扮演的主要是体检中心、医院、监护人的角色。
体检中心:专业的体检中心会发挥两项社会职责,首先是向服务对象宣传和推广健康的生产与生活方式,帮助人们形成锻炼身体、增强体质的文化氛围,其次是定期为人们体检身体。这就是企业内控管理规范中提到的优化内部环境,加强风险评估。
医院:一个人通过体检发现了毛病,就要进医院,医生会为你治病,这就是所谓的"控制活动";在接受治疗过程中,医护人员会进一步收集了解你的病因和生活习惯等相关信息,会向你讲解如何恢复健康的相关注意事项,这就是规范中的"信息与沟通"。
监护人:一个病人身边的监护人,往往会替病人监督医院的治疗措施是否得当,同时会监督病人遵照医生的嘱咐,按时吃药、按时治疗,这就是内部监督机制。
与自然人生病所不同的是,自然人体检和住院多为自愿,因为自然人首先要对自己负责;而针对企业法人的内部控制措施,往往是强制性的,因为企业法人首先要为企业股东和社会负责。就这一点区别。
另外,由于我们身处信息时代,IT已经成为企业资源管理、业务实施与财务核算的基础支撑平台,因此企业内控最为关键的是企业信息系统或者说IT系统的内控。
记者:刚才您谈到,企业内控中最重要也是最不可缺少的就是IT系统内控。那么IT系统的内控主要解决哪些问题呢?
刘科全:IT已经普遍地成为国内大中型企业业务与财务的技术支撑平台,要保障业务的健壮性和连续性,要保障财务相关信息的真实性和有效性,就必须对企业的IT系统进行严格控制。IT 内控是信息时代企业规避潜在风险的关键措施。企业IT内控主要解决五个问题:包括角色管理与授权、信息资源访问控制、系统开发变更与维护控制、硬件及其他配套设备控制、财务相关应用系统的控制。
1) 角色管理与授权
梳理组织架构与业务职责
根据职责定义角色
对不同角色授予不同的权限
Ø权责合理性审核与审批流程制定等
2) 信息资源访问控制
信息系统操作流程
对信息资源的权限设置
信息资源分级、分域保护方案设计
访问控制安全措施的实现,以及数据的备份恢复等
3) 系统开发、变更与维护控制
从业务安全角度,IT处理流程的控制,文档功能的备案和审核,对外包方的控制
系统上线计划、回退计划、数据迁移计划、整体测试和用户验收管理
变更审批、运维阶段系统可用性控制,系统备份恢复、应急响应等安全保护措施
4) 硬件及其他配套设备控制
更新、扩充、修复、报废、流转等情况进行登记
物理环境的建设合规性要求
使用管理、异常处理制度,严格按照制度处理故障。
5) 财务相关应用系统的控制
规范记账、算账、报账等流程,降低人为的会计舞弊风险;
建立完善的财务系统操作管理制度,实现职责分离;
保障财务数据的可用性、完整性和保密性。
记者:刚才您对IT系统内控的具体要求作了深入浅出的描述,听说贵公司针对上述需求做出了应对部署。更推出了相应的解决方案?请您详细介绍一下联想网御是如何帮助客户解决这些IT内控需求的呢?
刘科全:目前,通过对萨班斯法案和《企业内部控制基本规范》的研究,结合我们为部分大型企业服务的经验,我们开发了一套解决方案集,帮助企业打造符合《企业内部控制基本规范》要求的IT系统。这套方案包括以下4个专项解决方案:权限管理安全解决方案、基础平台安全解决方案、关键应用安全解决方案、审计监控安全解决方案。
⑴ 权限管理安全解决方案
通过联想网御IT内控咨询服务,帮助企业梳理信息化目标与风险,并协助企业建立合理的组织架构、岗位设置、人员职责范围等方面的策略、标准和制度等。通过联想网御用户角色管理软件系统,实施基于角色的权限控制与安全审计。
⑵ 基础平台安全解决方案
物理资产控制:
网络系统控制:
主机系统控制:
⑶ 审计监控安全解决方案
系统建立、系统使用和系统变更与废止,分别提供不同的解决方案。
⑷ 安全审计监督解决方案
为满足企业IT内控需求,规避潜在的安全风险,联想网御除提供有针对性的IT内控咨询、风险评估等安全服务外,还推出了专门针对IT内控的安全审计产品,审计、监控企业内部IT资源环境,解决企业当前在访问控制及审计措施方面所面临的主要问题。并通过统一安全管理平台对各个系统进行统一的访问审计,综合分析,及时发现入侵行为, 满足企业IT内控要求。
感兴趣的朋友可以阅读《联想网御IT内控解决方案》
记者:我们的解决方案为客户带来了什么价值?与联想网御合作又为其企业的未来发展带来什么样的价值?作为网络安全企业,我们自身又从中获得什么样的机遇?
刘科全:联想网御的解决方案,从业务流程、应用系统与基础设施三个维度,通过IT内控解决方案集,帮助用户打造清晰的权责控制、稳固的信息基础设施、安全的财务系统和全面的安全审计监督,最终帮助用户实现安全可靠、稳定高效、业务连续和符合法规的IT系统,将企业内控的制度、措施通过技术手段加以固化,规范企业内部管理水平,提高企业经营管理水平和风险防范能力,十分有利于促进企业可持续发展。
另外,联想网御虽然不是上市公司,但作为联想系的成员企业,一直严格按照塞班时法案范我们的经营管理活动,从中积累了大量的实际经验,我们在帮助…输出我们自身的…
总之,IT内控将给国内信息安全行业带来新的发展机遇.当然机会属于有准备的企业