一般而言，在安全建设的演进过程中，1.0阶段仅包含基础的安全规章制度与单一的安全产品；进入2.0阶段后，安全建设开始参照最佳实践，并结合监管标准，着手构建安全体系，此阶段的核心在于产品的部署；而到了3.0阶段，安全建设则开始转向平台化，侧重于风险和合规性来引领信息安全管理的全局，企业此时会主动与国内外安全技术标准接轨。此时的安全建设不再局限于孤立的安全产品，产品间开始相互关联，数据之间也会进行一定程度的整合，但整个安全管理尚未实现真正的网络化，管理流程间仍存在断层，且企业对安全的评估尚缺乏数智化的支撑。

鉴于此现状，业界当前的重点是推动数智化发展。这要求企业首先具备信息化的基础，并逐步向数字化、自动化、智能化过渡。陈建指出，企业安全建设未来的发展方向，是利用数字化、智能化的力量，减少对人工的依赖。因此，需要将众多安全防御的规则能力，通过AI大模型等手段进行强化，使其能够自主运行。

而为了促进企业安全建设的持续进步，陈建表示，安全规划必须紧密贴合企业的整体战略，甚至应被纳入企业发展的战略规划之中，以此激发企业在安全领域的投资意愿。这便是安全治理的核心所在——从宏观层面引领安全建设，确保安全预算与所需资源的充足配置。至于安全管理，则是依据安全战略规划的具体工作和目标，将安全建设的各项措施切实落地执行。

安全治理框架分为战略规划和治理模式。战略规划的重点在于安全规划、安全评价和资源保障。其中，在做安全规划时，首先要看清企业信息安全的趋势，而外部环境趋势和新技术发展可作为规划的衡量标准。陈建以AI大模型为例：当安全规划中包含引入AI大模型的能力时，安全负责人就需要全面考虑，包括所需的资源、专业人员的配备、大模型自身的安全性保障，以及业务需求的匹配度等等。其内涵体现为四点：1、信息/数据为中心；2、以“人”为核心；3、快速检测和响应；4、安全情报驱动。

此外，安全规划还要关注企业安全建设目标，比如从架构安全、被动防御一直到情报、进攻、反制等；热点安全领域关注也是必不可少的，Gartner 战略性技术趋势分析可为企业带来一定的参考；安全规划还要看新技术会带来哪些新的机遇和发力点，当然其也避免不了新问题的诞生；最后，安全规划中，新技术引用带来的自研或商业化思考也很重要，自研安全产品和商业化采购之间的优劣需要安全负责人深入衡量。

安全评价方面，首先要衡量信息安全整体投入与KPI设计。比如针对安全管理，要关注重大信息安全事件数和风险重复率；针对安全平台，要关注安全产品渗透率和技术体系完整度；针对安全运营要关注提前预警比率等。

陈建介绍了所在集团信息安全治理模式，其包含了战略规划和考核体系，并分为了四个部分：1、安全战略规划。其包含信息安全目标、组织架构设计、安全人才发展、统一运营监控、安全技术路线、蓝军攻防生态；2、安全管控模式，其核心在于指导+赋能；3、安全组织架构，其细分为了集团整体层面和分公司层面；4、考核和成熟度评价。

在具体实践中，陈建所在集团具备了相对应的风险大盘，其包含门户、风险管理平台和意识培训平台。其中，门户主要为公司基础信息，其与企业治理相结合；风险管理平台则是能对子公司进行一站式安全治理，其覆盖了企业治理、监管属性、安全职能和资质奖惩；而意识培训平台则主要是对安全队伍能力进行考核，其包含了安全岗位、岗位能力认证、课程学习。

陈建介绍，2017年至今，所在集团安全考核逐步得到了企业的重视，其指标趋于量化，关联绩效，每年会根据集团安全风险形势，进行2次指标更新。考核范围包括了全集团20多家企业，其指标每月会统计1次，每季度会考核1次，考核内容主要集中在5个领域，共有26个基础指标、3个尽职指标、1个鼓励加分项。

安全管理方面。陈建所在集团在安全风险管理方面的方法论概括起来七个字：分类、数数、定标准。具体实践中，集团会基于NIST RMF风险管理框架，最大化自动化工具使用，风险驱动集团安全管控能力持续提升。

陈建表示，安全管理的实施必须建立在组织的基础之上。在陈建所在集团，集团层面的组织架构被划分为管理、平台及运营三大板块。管理板块扮演着桥梁的角色，确保安全策略在企业内部得以贯彻实施，这要求建立一套完善且高效的管理体系。然而，该体系的成功实施还需依赖于出色的运营工作，即运营需满足管理设定的各项要求，并实时向企业反馈风险状况。同时，为了高效运营，安全团队离不开相应的工具和平台的支持，这些平台为运营提供了必要的支撑。

关于安全培训体系，陈建指出，其中的安全文化建设离不开CEO的支持，而陈建所在集团的安全文化建设则包含了信息安全管理委员会、合规与信任、认可与激励、安全行为规范、安全卡通形象、安全大使计划、安全月活动、Hack Demo体验和CTF大赛。

陈建强调，未来安全人才一定更倾向于全栈的发展趋势，只有能力尽可能的全面才能避免内部协作时的内耗和交流成本。其次，安全人才一定要以技术为基础，这样才能做好安全管理。

关于数据安全管控，其挑战主要在于治理体系怎么建，管理水平如何评，其次是如何做到资产可视化和保护差异化。总而言之，数据安全的最大问题是要保障数据流动时的安全性。对此，陈建所在集团具备了数据安全治理体系，其分为组织人员、制度流程、技术平台三个部分。

其中，对于数据安全管控工具的设计思想主要体现在三个方向和六大场景。三个方向分别为数据流动、数据存储、数据应用，六大场景是对内流动、对外流动、数据使用、数据操作、数据辅助和数据增值。

在对内流动管控方面，主要手段是脱敏和加密，具体实践中可以使用数据脱敏管理平台，其可通过对生产环境敏感数据进行脱敏处理后流入内部分析环境，确保数据安全前提下支撑数据实验分析创新的需求；对外流动管控时，可以建立梳理监控溯源的一体化解决方案，比如陈建所在集团的解决方案覆盖了敏感数据接口管理、数据流动监控审计、异常事件检测和分析溯源机制。

此外，在第三方供应商安全管控方面，某金融科技集团具备了相应的供应商安全评估平台，其包含了威胁情报、网络空间测绘、合规知识库、自动化缺陷审计、安全研判报告、安全评分评级等能力。

对于安全数智化管理，陈建表示，企业只有具备了一定的IT基础，拥有相对完备的信息化环境才能迈向数智化。其次，企业需拥有大数据分析能力，建设数据中心，能对数据进行抽取分析。当然，安全技术平台建设也是最基本的，同时企业需要一支安全管理队伍，能建立并维护符合企业战略发展的安全管理体系。而最重要的是，企业需要投入一定的资源，这样才能迈入安全数智化时代，开展数智化建设。