你的信息安全团队在疲于奔命吗？

凡做企业，要取得成功，有两点很重要：一是先进的管理思路和经验，一是精干的组织团队。推至信息安全的建设上来，道理也是如此。环境和技术都在不断变化，安全管理思路便须是新的思路，团队也需具备新的质素。近年数不穷尽的泄密案例使企业主都懂得以前车为鉴，早几年前便组建起了IT部门。发展至今，一些大型企业有了信息安全管理委员会，有了自己的CIO，信息安全管理也初具规模。

但这情况仅限于一部分大企业而已。在接触了众多的企业客户之后，我们发现粗放型的信息安全管理非常普遍。这首先表现在信息安全团队的建设上：有的企业IT部隶属于财务部或总务部，甚至整个公司就只设三两个网管员;团队的管理思路偏重于IT运维管理等日常运营，眼光只盯着IT技术，并不注重其他非技术能力的培养;IT部跟业务部门的沟通也仅限于电脑故障等层面，对业务的了解并不多。这种情况持续多年下来，似乎也并无大碍。

然而，时代在不断前进，我们不禁要问：你的信息安全团队是否“垂垂老矣”?它是否无心学习新的技能，是否变得跟不上业务的快速变化，它的管理思维是否仍旧停留在五六年前的时光里?这个问题只有企业管理者才心知肚明。

错综复杂的商业环境，威胁环境、新技术采用、以及监管审查的不断变化，迫使企业信息安全团队的工作重点和职责都发生了巨大转变。那种脱离业务环境，只注重IT技能，“以不变应万变”的老做法似乎已不合时宜了。因此，从发展的角度出发，这里想要探讨的是，在不久的将来，建立新型的企业信息安全团队可以从哪些方面努力。

首要便是，信息安全团队需要了解业务。无论怎样革新，最终目的都是为了企业的成长。脱离企业的具体业务改组团队，只能是隔靴搔痒，不能使信息安全建设最大程度地服务于业务。在以往，信息安全部门与业务部门是存在“隔阂”的，部署系统前没有深入的调研基础，因而只能笼统、简单地采取“一刀切”的惰性管理方法。只有了解诸如从战略计划到研发设计、原料采购、生产、销售等一系列的业务流程，了解各级部门存在的风险控制点，才能制定出符合企业实际的、有效的信息安全管理方案。

其次，信息安全团队成员应具备一些安全领域不常用的技能。这些技能如业务风险管理、数据分析、法律、市场营销等。松下电器就是一个十分典型的例子。在组织上，它建立了专业完整的信息安全事务管理局，一路打通从信息技术部门到业务部门的脉络;在管理上，它从文件、邮件、U盘、打印、网页访问、pc离线等方面进行控制，并划定风险指标，定期向业务部门发送风险征兆报告、业务部门定期反馈报告问题，使它的企业安全看起来天衣无缝。不具备一定的风险管理、数据分析技能，无论如何都不可能达到如此精细化的管理效果的。

再次，信息安全团队应具服务意识，即以“服务于其他部门”来定位自己。但实际的情形往往相反，多数是安全团队闷声闷气地搞了一套系统回来，突然在全司强制要求人人遵守。业务部门不但觉得是“变麻烦”了，而且在心理上难以接受这种强制式的管理。如果安全团队在将安全理念付诸实际时，始终抱着“我所做的一切，都是服务于你的业务”这样的心态，与各个部门进行平等的沟通，并通过良好的安全策略形式展现解决方案，让业务部门充分领会这些理念，那么业务团队将会把定位成一个贡献者，而不是阻饶者;企业中每个人也都相信安全的重要作用并且支持安全团队，而不是去规避了。

此外，信息安全团队与业务团队须实行联合问责模式。考虑到信息安全实乃全司大事，绝非仅仅是安全团队的责任，因此有必要与业务部门联手共同管理网络安全风险，协调制定统一的应对方法，为业务开展提供便利，并明确责任分工。确保企业的业务经理和管理人员对信息安全负有共同责任，使其明白他们的网络风险也是业务风险的一部分。

最后，信息安全团队必须了解什么技术在不断涌现，以及如何运用这些新技术。因此就要关注市场上在发生什么，关注你所在行业或平行行业的贸易报道、商业新闻，并积极和公司领导交谈。为什么?因为我们的理念必须比行动出发得更早，理念的更新要求你时时触摸到最新鲜的动态。

总而言之，信息安全团队建设必须联系业务的特点进行，并在与业务部门的联动中，发挥信息安全团队的最大作用，正如汇丰控股公司的基础设施安全集团主管鲍勃罗杰所言：“核心安全团队的专业知识应主要用于为业务部门提供咨询、提供指导、驱动战略、确定及阐明风险、了解威胁、推动企业发展——而不应被日常经营活动所累。”这才是新型信息安全团队应有的风貌和特性。