Question

《易经·系辞》中有句话“形而上者谓之道，形而下者谓之器”，这是中国古代哲学的重要范畴，儒家哲学中无形的或未成形体的东西，与表示有形的或已成形的东西的对称。映射到信息安全领域，“道”与“器”，可以理解为精神和意识层面未成形的“道”，和技能、工具层面的“器”之间的相互呼应和对称。

对于信息安全团队来说，团队文化可以说是在整体层面的“道”，而团队的意识则是一种更具体化的“道”。以下几种意识，是信息安全团队需要特别注重培养的意识。

1.客户意识

对于任何一个组织来说，满足客户需求都是首要和核心的任务。信息安全团队作为一个行使独立功能的“组织”，也同样需要满足客户的需求。参考管理大师彼得·德鲁克（Peter F.Drucker）的“经典五问”，信息安全团队需要反复地问自己这样几个问题：我们的使命是什么？我们的客户是谁？我们的客户重视什么？我们的成果是什么？我们的计划是什么？

这些问题的答案，必须围绕一个核心来找寻，即“客户”。只有先识别客户，然后分析客户的需求，才能确定团队的使命、工作目标和工作成果，进而才能有工作计划。

信息安全团队的客户，分为以下两大类：

一是行外客户。金融企业服务的所有客户，包括资产端、资金端、中间业务等业务的客户，都是信息安全团队需要服务的对象。信息安全工作，需要围绕如何保障客户资金安全、客户信息安全、客户服务能够正常提供等内容开展。通过设计合理的业务逻辑、采取严密的身份验证措施和交易验证措施、建立风险监测模型、部署安全防控工具、加强运维保障等手段，在尽量简化客户操作、优化客户体验的同时，向客户提供安全稳定的服务。

二是行内客户。从广义上看，行内的董事会和高管层，信息科技风险防范的第二第三道防线（合规、风险、审计等部门）、各管理部门和业务部门，信息科技部门的其他团队，都是信息安全团队的服务对象。信息安全工作，需要围绕合法合规、识别并化解风险等方面开展，通过监管要求对照达成、规章制度建设、信息安全管理体系建设、安全意识宣贯和培训等方式，主动地向行内客户披露风险，采取措施规避或降低风险，督促安全整改任务的完成，确保信息科技工作的安全合规。

不管是行内还是行外的客户，信息安全团队都需要在完成工作任务的时候心中时刻考虑这些客户的核心诉求，考虑如何做才能让客户满意度提升，如何主动开展工作才能帮助客户规避风险，如此方能有的放矢，措施行之有效。

2.责任意识

正如俗语所说，“安全责任重于泰山”，金融企业的信息安全团队时刻与风险打交道，一个疏忽就可能导致风险无法被及时发现，一个放纵就可能导致风险无法得到及时的处置，而一个风险就可能导致客户重大的损失。在此环境下，信息安全团队每个成员的责任心就显得异常重要。

不管信息安全团队的成员负责的是整个安全规划的设计，还是某个安全制度的修订、安全技术策略的调整，都必须把责任意识放在极高的位置，把自己看成整个企业安全防控的责任人，对安全防控的整体结果负责，绝对不能“千里之堤，溃于蚁穴”。

有了责任意识，就会认真细致地制订方案计划，就会不放过任何一个风险隐患的蛛丝马迹，就会发现风险后立即承担责任并确保整改到位，就会遇到问题绝不退缩而是积极寻求解决方案，就会坚持学习了解新的安全动向并查漏补缺，就会努力调动一切资源来达成安全防控的目标。

3.风险意识

信息安全团队是为金融企业客户安全保驾护航的“风险清道夫”，对于风险必须有最强的敏感性和最小的容忍度。“看不见的风险是最大的风险”，信息安全团队必须练就“火眼金睛”，先要识别风险，继而尽最大的努力化解风险。

关于信息安全事故、风险、隐患的存在与发展，有几个重要的理论和法则：

·“冰山理论”，冰山浮出水面的部分仅占总体积的十分之一左右，其余大部分深藏于水下。

·“海恩法则”，每一起严重的航空事故背后，必然有近 29 起轻微事故和 300 多起未遂事故先兆，以及 1000 起事故隐患。

·“墨菲定律”，如果坏事有可能发生，不管这种可能性多么小，它总会发生，并引起最大可能的损失。

从上述三条安全界的著名定律可以推导得出，真正令人害怕的，并不是已经发生的、可见的事故，而是更多潜藏的未知隐患和威胁。要避免发生严重的事故，就必须像轮船发现水面以下的冰山那样，提前发现事故隐患，并将其扼杀在萌芽状态。

因此，信息安全团队必须建立对风险的“敬畏之心”，不能把安全防控重点放在风险事件发生之后疲于奔命的应急处置，不应该总是担任“救火队员”，而应该将风险前移，将工作重心放在事前预防、事中控制，重点放在对尚未暴露的风险隐患的排查、发现和及时化解，做到未雨绸缪，心中有数，防患于未然。当然，如果风险事件万一真正发生了，也不要逃避，而是应该深入总结分析，查明根本原因，举一反三，落实整改措施，直至彻底解决。

4.创新意识

随着新技术的发展和新业务、新产品的涌现，信息科技的治理架构、技术架构和运维模式不断演化，以适应激烈的市场竞争。伴生于信息科技建设的信息安全工作也在新形势下面临着新问题，现有的信息安全防控体系存在着防范不足、失当甚至失效的风险，传统的安全基础架构和安全技术工具在新形势下显得捉襟见肘，逐渐力不从心。

按照传统的安全思维和信息安全工作定位，信息安全的发展往往相对滞后于业务的快速创新和技术的高速发展。然而，在新的形势下，信息安全工作也必须与时俱进，信息安全团队必须树立创新意识，从创新中寻求突破和发展。

第一是理念的创新。在新的科技创新形势和新技术层出不穷的环境下，新技术风险的暴露以及随之而来的攻击手段创新，给信息安全风险防范带来了前所未有的压力和挑战。例如，云计算发展使金融企业的网络边界被打破，移动应用让终端安全管理成为挑战，大数据使信息保护的难度被放大。信息安全团队从理念上认识到创新的重要性，时刻更新自己的理念，深入分析新技术、新形势下存在的新风险，掌握业务和技术发展趋势，加快新技术的学习，抓住新技术中的关键风险点，针对性地建立防控措施。

第二是制度的创新。制度创新包括组织架构的创新、管理体系的创新、工作流程的创新和管理制度的创新等。为了更好地发挥信息安全工作对业务和其他科技工作的支撑作用，信息安全团队必须建立一套能快速响应互联网和金融科技创新形势的信息安全管理组织、机制、流程和制度体系，根据最新的监管要求、国际国内安全管理体系标准和技术规范，持续不断地更新迭代，既防控住关键风险，又不显著影响工作效率。

第三是技术的创新。金融企业普遍部署了防病毒软件、防火墙、IPS/IDS、WAF 等安全相关的工具软件，以防范外部的攻击入侵。这些常见的传统安全防御手段主要针对传统业务和技术架构进行设计和部署。但是，随着技术不断进步，新技术往往引入新的架构和新的业务模式，一方面，存在新技术引入的新风险，大量的新漏洞呈现集中爆发趋势，系统安全受到威胁，传统的风险管控手段滞后，无法满足新风险的防范要求；另一方面，金融企业引发的关注度增加，获利性吸引力增强，导致面临的攻击加大，而攻击方法和工具的进化速度总是领先于防控平台，传统的安全防范技术已经无法完全满足新形势下的安全保障要求。因此必须大幅加强安全技术的创新应用，如威胁情报分析、安全态势感知与安全大数据分析、人工智能等，才能应对千变万化的安全威胁。

要保持创新的理念、制度和技术，需要信息安全团队持续不断地跟踪、掌握和研判国内外发展态势，结合自身的深入思考，形成创新的氛围，专项研究创新成果的转化应用。

5.学习意识

当今时代，新理念、新技术层出不穷，新攻击趋向产业化，新漏洞出现常态化，任何在信息安全方面因循守旧的传统金融企业，都可能面临安全防线被攻破的风险。

因此，必须打造学习型的信息安全团队，提高团队全体成员的学习意愿，激发学习潜力，才能保持源源不断的原动力，实现有效的风险防范。

·从信息安全团队负责人开始，就要在思想上提高认识，以身作则地学习，并在整个团队内部达成共识，形成向学习型组织进化的融洽氛围。

·要加强对员工的教育和引导，激发员工的主观能动性，实现从“要我学、要我做”到“我要学、我要做”的转变，使员工的个人追求和个人价值体现与安全团队目标和安全团队价值观保持一致。

·要推动从学习到生产的转化，鼓励员工切实把学习的内容消化、吸收并且变为对工作有帮助的原材料，最终实现事半功倍的产出。

·鼓励和营造团队内部互相交流和探讨的气氛，通过企业内训、员工之间互相培训、内部交流会等形式，达到“1+1>>2”的效果，将个人智慧转化为集体智慧。

通过打造学习型团队，可以提高信息安全团队对信息科技风险的掌控能力，也同时提高对风险的预判和防控能力，既避免“看不见的风险”，又能随时从容应对“已看到的风险”。

6.沟通意识

沟通在任何工作中的重要性都毋庸置疑。对于信息安全团队来说，大量的风险控制工作并非由自身完成，需要通过持续不断的沟通，来实现风险管控的目标。因此，必须在整个团队内部营造随时沟通的融洽氛围，对团队外部注意沟通的方式方法，实现良好的沟通效果。

·通过沟通实现“管理”上级。信息安全工作的目标没有统一范式，必须通过沟通去逐步确定。例如，信息安全工作目标是否与企业战略目标、信息科技战略目标保持一致，信息安全工作相关成本与效益的平衡点如何把控，信息安全投入和管控的重点在哪里，都需要向信息科技部门的负责人、首席信息官、高管层、董事会等做各种各样的报告，通过多轮的沟通，方可确定。因此，需要通过良好的沟通方式，争取上级的支持。为了更好地“管理”上级，需要掌握几个沟通的小技巧：站在上级的角度思考，用数字和事实说话，建立固定的沟通机制（包括时间、频率、汇报模板等），凡事带着解决方案去请示（说明各套方案的优缺点），等等。

·通过沟通横向协调和合作。信息安全工作不是金融企业的主营业务，但是对主营业务会产生一定的制约作用，因此需要加强横向的沟通。与其他部门的沟通、部门内部其他团队的沟通，目的都是为了更好地协作，达成金融企业的整体目标，确保安全这个“大后方”对前沿阵地的有效支持。积极主动地进行横向沟通，向对方讲清楚信息安全工作的必要性和目标，以及对客户、业务、科技其他工作的帮助作用，让大家理解安全不是为了“制约”而是为了“保护”，从而从心底理解和接受信息安全工作的出发点，心甘情愿地配合信息安全团队的工作，这样就能事半功倍，更好地达到风险管控的效果。

·通过沟通管理团队。信息安全团队内部必须建立顺畅的沟通文化，必须通过沟通确保团队成员对工作规划、工作目标、实现方法理解一致。在任何一个团队成员遇到困难时，必须敢于及时提出，并利用团队的力量共同讨论、沟通、协调并解决。

信息安全团队可以这样理解沟通的意义：上级、平级、下级都是可以利用的资源，沟通就是通过努力协调全方位的资源，用于达成信息安全管理的目标，从而实现信息安全对企业目标的支撑和保驾护航作用的过程。