Question

建设一个好的信息安全团队，不是一蹴而就的。随着金融企业对信息安全保障的要求不断提升，信息安全工作不断成长成熟，信息安全团队也逐步发展壮大。因此，有必要提前设计好信息安全团队的建设路径，安排好不同阶段、不同人数团队的不同工作任务。

1.先找好“唐僧”

首先要找到一个“唐僧”式的人物，作为信息安全团队的领头人。这个人必须有坚定的信念，执着的追求，对目标一以贯之的坚持，才能在重重困难中坚持把信息安全工作做到位。

信息安全团队的领头人，除了自己不畏艰难、苦心修行、日益精进之外，还必须能够对团队产生巨大的影响，至少要做到以下几点：

·努力让团队成员认可信息安全工作的价值，相信自己的价值，感受到被别人认同的价值，这样才能激发每个员工的最大潜力和最强的主观能动性。

·让信息安全工作创造价值。要用“踩油门”的心态和目的，去“踩刹车”，不能习惯性地“踩刹车”，或者一直踩住刹车导致止步不前。最好的做法是，类似开车时候的“切线变道”，“踩刹车”的目的是为了更好地前进。金融企业是经营风险的机构，风险管理能力是核心竞争力，良好的风控措施，是为了更好地发展业务。同样，恰到好处的信息安全管理，也是为了系统更稳定地运行和更好地支持业务，必须努力让这一目标得以实现。

·通过各种量化措施，让安全团队的价值表达、体现出来，方法之一是设置合理的安全监测指标和安全考核指标，体现安全团队对风险的主动发现能力的持续提升，以及安全团队工作绩效的持续改善。

·主动报告和表达，“管理”上级，做好上层领导的工作，争取领导的支持。信息安全是“一把手工程”，获得领导的信任和支持是成败的关键，也是信息安全团队领头人最主要的工作任务之一。

2.通过招聘补充成员

“唐僧”确定以后，其他团队成员也需要陆续到位。如果能找到专业技能非常高超的“孙悟空”，沟通协调能力极强的“猪八戒”，任劳任怨的“沙和尚”，还有平常默默无闻、关键时刻担当顶梁柱的“白龙马”，这样的团队组合就非常完美。这就需要根据企业的实际需要，针对性地找到对应技能的团队成员。

专业的安全人员在市场上很少，而且前面提到的安全团队知识和技能涵盖面非常广，如监管要求、安全标准、网络安全、系统安全、应用安全、数据安全、漏洞挖掘、安全运维、安全开发等，能精通一种都已经极为不易，如果所有的都要精通，基本不可能，要么就是成本极高，不符合安全人员的定位。因此，要逃离招聘的“悖论”（既希望找通才和高端专才，又不愿意付出对等的薪酬），要先考虑清楚重点需要什么样的技能，然后招某一方面技能比较突出的人员，招进来以后其他方面边做边学，掌握至一定程度即可，不求样样精通。

还有一种比较好的方式是，招聘应届生自己培养。这样能根据需要的专业方向，针对性地督促应届生学习，假以时日即可精通某些方面。

总体来说，要招聘到符合目标的人才，不能坐等人家主动过来发现企业的需求、主动投简历，而应该自己到市场上去发现和物色，变“招”为“找”。

3.形成团队“合力”

安全管理要求和安全技术纷繁复杂，靠一两个人全盘掌握几乎不可能，所以安全团队要根据人员特点和专业特长，合理安排角色和分配任务，鼓励每个人在专业路上纵深发展，取长补短，使团队合力最大化。

4.循序渐进地成长

金融企业的信息安全团队，往往是从 0 起步，兼职、一个人专职、二个人专职、三个人到 N 个人专职，这样一步一步成长起来的。

金融企业信息安全的职能基本都是确定的，在安全管理和安全技术两个大类下，具体包括监管合规、制度建设、开发安全、运维安全、安全技术等几方面小类的工作。但是处于不同发展阶段的企业，在信息安全管控目标、风险控制范围和深度、剩余风险接受程度上不一样，因此，需要根据信息安全团队的资源情况，确定不同阶段、不同资源条件下需要做到的不同层次的目标，进而确定工作重点和工作方法。团队人数不同，信息安全工作的重点和采用的具体方法也就不同。

（1）兼职的信息安全

信息安全团队建设之初，往往是从综合团队安排一个人兼职承担所有信息安全工作职责。此时金融企业的安全工作，在安全管理方面往往只能做到“被动”式地满足监管要求，基本是来一个文件处理一个文件，来一个检查应对一个检查，发现一个漏洞封堵一个漏洞，很少有主动的检查、评估工作，也很少能举一反三地主动发现漏洞并实现整改。在安全制度建设方面，较难有所建树。

在开发全生命周期的信息安全防控、运维全流程信息安全防控工作中，只能组织开发、运维岗位的人员来配合安全工作，负责开发、运维相关领域的自查和评估。

安全技术方面基本以外包为主，通过外购安全设备和安全服务，来实现最基本的安全工具的部署和应用，此时的安全策略基本上可以先采用“出厂配置”，然后由外购的安全服务来提供定期的分析和调优。此外，通过外购渗透测试和漏洞扫描等服务，来帮助发现信息系统的技术漏洞。

对内外部发现问题的整改督办工作力度难以到位，更多依赖被检查对象的自觉性，基本对方说完成整改，安全人员就接受结果，没有时间和精力去验证结果。

（2）一个人的信息安全

如果有一个专职的信息安全人员，安全管理方面的工作除了被动应对外部检查审计外，已经可以实现一定程度的主动发现风险和主动的安全检查。

在安全制度建设方面，此时可以处于起步阶段，牵头建立起关于加解密管理、数据安全等核心的制度规范。

在运维安全方面，可以组织内部安全自查工作，将安全检查工作划分为机房、网络、系统、应用、终端等多个领域，但只能做到每月轮换一个领域开展自查工作，全年基本覆盖所有领域。检查深度上，可以先做到“从无到有”，离“从有到优”还有一定距离。

开发安全方面，可以建立一定的安全开发规范，提供给开发人员执行，但很难去介入开发过程的监督审核，难以检验开发规范落地效果。

安全技术方面，仍然继续依靠外包资源开展安全工具的维护、策略调优、渗透测试、漏洞扫描等技术防护工作。

对内外部发现问题的整改督办工作力度仍然难以保证，被动接受被检查对象报告的结果，有余力的时候可抽查一定比例的证明材料。

（3）两个人的信息安全

当有两个专职信息安全人员时，安全管理和安全技术就可以各由一个人负责。此时，可以安排两个员工分别开展安全管理和安全技术两个专业领域的学习，往各自的专业领域发展。

安全管理方面，监管要求、行业标准、制度流程可以作为安全管理人员的必备技能，要求必须熟悉、掌握、应用。监管要求的达成应该更加主动，除了必须完成的“功课”外，还应自主对照所有监管要求开展合规性分析，弥补短板。此时的分析，主要在于分析制度、流程、机制是否能达到监管要求，对于执行落地情况较难深入检查验证。

安全制度方面，可以开始规划制度体系，制定企业的整体安全策略，并且对于开发安全、运维安全、信息安全、业务连续性管理、外包管理等建立起总体的管理办法，明确各流程中的安全管理要求。

内部的安全检查应该可以建立常态化机制了。在运维风险管控方面，检查列表覆盖运维工作的关键流程（例如，事件和应急处理、生产变更处理和数据备份管理等几个流程），检查深度上可以开始“从有到优”，更加详细具体。

开发安全方面，可以建立覆盖需求分析、设计、编码、测试、投产全生命周期的应用安全基线和检查列表，交给开发人员自查。可以在关键技术领域参加技术方案评审（例如，加解密方案、互联网应用安全等领域），但对于规范落地的检查仍然难以到位。

安全技术方面，可以开始有一定的自主控制能力，安排一人学习掌握常见安全工具的策略，在外包资源的帮助下，初步具备攻击情况分析和策略调优的能力。

对内外部发现问题的整改督办工作力度增大，参照“二八原则”，对 20%重要整改事项的目标效果可以开展验证，对于 80%的绝大部分非重要整改事项，仍然继续被动接受结果。

（4）三个人的信息安全

对于中小型金融企业来说，如果能有三个专职信息安全人员，就已经非常幸福了。此时可以组建起独立的安全团队，从中挑选一个作为团队的负责人整体安排工作，最好能挑选一个在安全管理和安全技术方面都有一定的经验的人员来承担，走“广”的路线；另外两人分别担负起安全管理和安全技术的职责，走“专”的路线。

安全管理方面，监管要求的合规性检查应该“地毯式”铺开，自主对照所有监管要求开展合规性分析，除了分析是否有对应的制度、流程和机制来达成监管要求外，对于实际的执行应该通过检查、抽查等方式检验。

安全制度方面，应建立起相对完整的制度体系规划，除了开发、运行等围绕科技项目生命周期的管理制度外，科技管理、外包管理、信息安全管理等科技支撑性质的制度也应该建立起来。有条件的金融企业，可以开展 ISO27001 信息安全管理体系认证，通过对照标准，建立起完整、规范的体系文件，消除制度空白和盲区，促进制度执行。

内部检查的力度可以进一步增大。在运维风险管控方面，检查列表应该覆盖运维工作的所有流程和所有领域，轮换开展深入检查。除了检查制度、流程、机制是否完整外，更多的重点放在实际执行情况是否符合要求。有条件的金融机构可以申请 ISO20000IT 服务管理体系认证，建立覆盖运维全流程的体系文件。

开发安全方面，重点要检验需求分析、设计、编码、测试、投产全生命周期的应用安全基线和检查列表的落地情况，通过技术方案评审、开发人员自查、信息安全团队抽查的方式确保规范落地。

安全技术方面，仍然保持一定的自主控制能力，安排一人学习掌握常见安全工具的策略，对攻击情况分析和策略调优的分析更加到位。渗透测试、漏洞扫描工作仍然依靠外部资源开展。

对内外部发现问题的整改督办工作，继续参照“二八原则”开展，但对于 20%重要整改事项的目标效果可以开展认真细致的验证，对于 80%的非重要整改事项，抽取部分证明材料验证。

（5）N 个人的信息安全

从四个人以上的信息安全团队开始，就可以根据“余力”的情况，在安全管理或者安全技术方面分别加强。

安全管理工作，主要从深度、精细度方面提升，监管要求达成情况的检查频率可以提高、抽样比例可以提高；安全制度的体系架构可以继续优化，制度的层级、关联关系可以梳理得很清晰，制度的细则可以覆盖到所有的领域，制度的可执行性可以进一步通过培训、检查、反馈、修订的闭环实现提升，制度的电子化“硬约束”可以逐步增加；内部安全检查可以往纵深发展，覆盖范围、频度、深度可以持续提升，开发安全的规范执行检查应该更加到位。

安全技术工作还是继续依赖外包资源开展，因为金融企业面临的巨大的“黑产”市场，很难靠金融企业自身的寥寥数人来应对，需要依靠专业的安全团队，运用专业的安全工具，才能与专业级的黑客抗衡。但是金融企业需要培养一定的自主掌控能力，特别是要培养安全人员对于业务的理解能力，更多地挖掘业务逻辑方面的漏洞，更好地把控外部安全团队的工作质量。

特别需要说明的是，对于安全技术架构和安全技术基础设施建设的职能，有的金融企业可能会放入队伍更庞大的 IT 运维团队的职责中。但从专业性、敏感性和安全技术防控的统一性来考虑，最好在人员允许的情况下，逐步调整为安全技术团队负责。

（6）提升人员单位产出：“安全管理技术化，安全技术管理控”

上面的实施路径，是信息安全管理工作的传统路线。由于信息安全岗位始终是职数有限的，管理者更需思考如何提升人员单位产出，在人数受限的情况下实现“弯道超车”。这就需要另外一个招数—“安全管理技术化，安全技术管理控”。

“安全管理技术化”，意思是逐步建立可量化、可视化、一体化、自动化、智能化的信息科技风险管控机制。具体手段包括建设可视化的信息科技风险预警和整改追踪平台；建设自动化、可量化的信息科技风险监测和计量机制；建立程序脚本和检测平台以实现自动化检查；实施安全事件管理平台和运作安全运营中心等。

“安全技术管理控”，意思是不能“唯技术论”。不能认为部署一大堆最先进的安全工具就能防控风险，而应先明确安全技术工具实施是想实现怎样的安全管理工作目标，在技术运用过程中不停地思考和衡量目标是否达成；同时应该将安全工具的应用超越简单的操作层面，进化到不停地开展管理策略和风险监测模型的回顾、检讨、调优，建立跨团队、跨系统、跨平台的一体化管理体系。