听了上午专家和各位领导的介绍，下面把我们合资企业的一个信息安全方面的经验给大家分享一下。下面我将从四个方面介绍我们公司在信息安全方面的要求和体系的建设情况。
1、信息安全方面的要求；
2、安全体系的建立；
3、如何建立和推行相关制度；
4、信息安全管理体系建立和执行的经验和体会。
    联合汽车电子有限公司（简称UAES）是中联汽车电子有限公司和德国罗伯特•博世有限公司在中国的合资企业。公司成立于1995年，主要引进博世公司具有当代世界先进水平的汽油发动机控制系统（Engine Management System）的产品技术，我们在全国各地都有分公司，上海是总部，技术中心，还有一个生产厂，在无锡、西安、重庆都有我们的分公司、分厂。
    我们公司在做信息安全的时候，考虑的主要的是以下关键问题：
 如何保护公司商业与技术秘密；
 如何满足与中外股东、客户、供应商等进行信息交流的安全要求；
 如何满足客户的审计需要；
 如何实现信息系统自身的保密性、完整性、可用性；
 如何满足处理个人数据时的保护要求(隐私保护)。
    我们公司在看待信息安全时是这样定义的。
    1、保护数据以及数据所在的系统的机密性，可用性，完整性及可靠性。
    2、在处理员工的个人数据时要适当保护。
    我认为企业信息安全应该是一个团队性的工作，所有员工都有责任保护公司的数据安全。信息安全技术和产品是一方面，正如上午很多专家和领导都讲的，在我们企业看来，信息安全中技术占一部分，但大部分还是管理方面的工作。在我们公司信息安全从以下三方面考虑：
    1、人员组织结构，通过这方面提高我们的员工安全意识。
    2、规范操作流程，通过我们制订规范的流程，保证我们的信息安全。
    3、适当的技术手段。
    我们公司在信息安全方面组织构架是这样的，公司副总是直接负责领导的，而我们两边蓝的是中外股东，对信息安全方面给予工作指导。然后是每一个部门，每一个分厂、分公司都有一个负责信息安全的联络人，这是组织构架上保证我们体系的执行。

    上图是我们信息安全体系，如果有公司做过ISO9000和ISO14000，对这个体系方面可能会很好的理解，它有一个整个的安全方针，后面会有一些规定、指导书等等。再往下面是具体操作层面的东西。有了这样一个组织构架， 我们要进行 人员意识培训，然后加上审计，我们就可以很好的构建了。
    关于信息安全体系的执行，通过我们公司管理层重视和支持，管理体系与培训，员工的理解与参与，技术措施的实施，检查和监督，定期审计和改进来完善我们这个体系。
    我们做信息安全三个原则：
    1、合法性，符合法律以及公司规定，不能用盗版，我想很多的问题，病毒、木马  是由盗版引起的，如果我们在这方面做的好，现在这方面的问题可能就会减少很多。
    2、经济有效性，这是一个投入产出的问题。
    3、局部利益服从整体利益。一个部门的安全需求，可能跟另外的安全需求是不一样的。我们要从整个公司层面，以及从部门的角度来平衡这个问题。
    我想IT在整个公司的角色，应该是这三个方面：
    1、服务提供。
    2、业务伙伴。
    3、IT管控。
    信息安全提升IT价值：
    1、降低企业风险。
    2、提高IT系统效率。
    3、增强业务伙伴信心。你这个公司的信息安全做好了，跟你打交道的合作伙伴对你公司的信息就增强了。
    我们做信息安全有一个口号，就是更出色，更安全，这是我们整个信息安全宣传的口号。
    我就讲这么多，谢谢大家。