近年来，数字化转型被越来越多的人了解并付诸实施，成为企业变革的趋势。但在过程中也有一个概念的热度随之增加，即数据安全。数据是当今数字化时代的重要生产资料，其安全性甚至可以直接决定数字化转型成功与否。

赵超认为，信息安全是一件千万不能追热度的事情，否则真可能竹篮打水。信息安全是对风险的管理，但不是实现零风险。企业首先要明确的是目前业务形态下，到底有哪些信息资产，存在哪些风险，需要管控到何种程度。而这也恰恰是信息安全工作的难点所在。

如果不知从何入手，赵超建议可以参考信息安全ISO27001体系，对企业的信息资产进行摸排，对关键信息资产的风险进行识别，然后从组织人员、流程、技术三方面建立基本安全框架。有了基本框架，一方面可以依据体系要求的PDCA过程进行持续的改进。同时，以基本框架为起点，择机启动从信息安全到数据安全的纵深推进。

以上是从信息安全体系方法论的角度。另一方面， 赵超认为企业非常有必要结合数字化转型的规划，识别出信息资产发生的变化趋势。明确信息安全管控在企业的核心关注。是内网信息资产的保护，还是互联网上应用和数据的安全。后者就不能单纯以企业自身的风险接受度为管控依据，还必须符合法律法规的要求。大多数的制造企业，信息还只是属于企业的资产，尚未成为企业的生产资料。这种情况下，没有必要跟着一窝蜂大谈网络安全、数据安全这些时髦概念。重点还是打好基础。而在企业数字化进程不断深化的过程中，安全管控要稳得住、跟得上、直至成为数字业务中即开发、运维之外并驾齐驱的第三架马车。

在谈到互联网环境下安全的挑战时，赵超表示，挑战无处不在。这永远是道高一尺魔高一丈的角力过程。在现实世界中，整个社会秩序有商业准则、法律法规在维护。但是在互联网世界中，新的秩序还处于建设过程中。如果企业不具备自身保护能力，不仅会损害企业自身利益，甚至会影响到客户、消费者。对于关键信息基础设施运营者，更可能影响到国计民生。这时，安全运作的底线就是要符合法规要求。

之所以信息安全越来越受到重视，就是因为商业行为越来越互联网化。所谓的网络安全，其实是网络空间安全(Cyber Security)。企业在其数字化转型的进程中，只有明白自身所处位置，才能识别出风险所在，也才能有的放矢地做好信息安全管控。