Question

信息安全团队不是孤立存在的，信息安全的价值体现在对业务、对企业发展的价值。因此，信息安全团队的“痛点”，也必须放在金融企业宏观环境这个大格局中，先从分析团队面临的环境入手，才能真正有效地化解矛盾，解决问题。

1.信息安全团队要有独立的使命、愿景和价值观，但必须服从企业整体的使命、愿景和价值观

要建立一支具有优良作风和专业水平的信息安全团队，需要先确立团队自身的相对独立的使命、愿景和价值观，这是信息安全团队全体成员共同遵守的准则和纲领，必须贯彻到每一个信息安全团队成员，并时常学习、互相提醒以刷出“存在感”。

金融企业的使命是服务客户，服务经济。信息安全作为支撑性工作，是为金融企业的业务和管理目标保驾护航的，因此信息安全的使命、愿景和价值观，必须遵从整个金融企业的使命、愿景和价值观。

2.信息安全团队建设必须遵从金融企业战略需要

不管采用哪一种使命、愿景和价值观，信息安全必须服从金融企业战略管理需要，为了实现业务战略目标而存在，不能为了安全而安全。信息安全工作是一个循序渐进、螺旋上升的过程，信息科技风险无处不在，信息安全建设永无止境，不管是大型金融机构的年均投入几个亿，还是中小型金融机构的几十万到几百万，不管是大型金融机构信息安全团队的十几至几十人，还是中小型金融机构的几个至十几个人，都不能堵住所有的风险漏洞，无法保证绝对的安全。信息安全工作，永远都是在做效益和风险的平衡和博弈，只能用尽可能小的代价，做尽可能少的事情，来实现相对最大的安全防控效果。

信息安全团队建设，是信息安全战略的重要组成部分。信息安全战略需要遵从信息科技战略，而信息科技战略需要遵从企业战略。因此，需要首先从企业业务战略目标推导出对信息科技工作的要求，从而制定信息科技战略；然后从信息科技战略分解出信息安全战略目标，从信息安全战略目标再推导出信息安全团队建设目标。

根据金融企业的传统做法，通常会选择相对稳健的业务战略风格，对信息科技架构、信息安全战略的要求也会相对传统、稳健，信息安全团队以合规、风险控制为目标，先期会将重点放在满足监管要求、部署传统安全工具、防御外部攻击等工作上。

而现在传统金融企业纷纷进入转型期，积极拥抱互联网特别是移动互联网，通常会特别重视互联网金融建设，相应的科技战略、科技组织架构会有很多适应互联网金融时代灵活、多变、可扩展性强的特征，对信息安全工作也就有着与此相适应的要求。信息安全团队的工作更侧重于云安全、大数据安全、物联网安全、人工智能安全等方面。

3.信息安全团队建设必须与企业风险偏好相适应

（1）企业风险偏好与企业发展周期息息相关

根据企业生命周期理论，企业的发展与成长的动态轨迹包括发展、成长、成熟、衰退几个阶段，处于不同生命周期阶段的企业将会建立与其特点相适应、并能不断促其发展延续的特定组织结构形式，使得企业可以从内部管理方面找到一个相对较优的模式来保持企业的发展能力，在每个生命周期阶段内充分发挥特色优势，进而延长企业的生命周期，帮助企业实现自身的可持续发展。在不同阶段的企业会有不同的风险偏好，也就意味着需要不同的信息安全建设目标和管控水平。信息安全建设，需要与企业不同生命周期的风险偏好相适应，才能更好地起到保驾护航的作用。

在金融企业建设初期，面临严重的业绩压力，发展是第一要务，通常会采用“进攻型”的战略，对于风险的接受程度相对较高，信息安全建设往往被放到不那么重要的位置，此时信息安全团队的数量和质量均会偏弱，甚至是由一个人兼职完成，相应的信息安全建设将主要以“合规”为第一目标，立足于达到监管要求这一最底线要求。

随着金融企业建设的成长，通常由“进攻型”向“防御型”战略转变，以使企业在战略期内所期望达到的经营状况基本保持在战略起点的范围和水平。相对应的，此时风险偏好会偏向于“平衡”，信息安全队伍逐步壮大，往往能建立起一支由几个人组成的信息安全团队。而且由于此时企业知名度日渐上升，受到的外部攻击威胁与日俱增（例如，仿冒的钓鱼网站多了起来，外部监测网站披露的漏洞也多了起来），此时的安全团队除了满足监管要求外，需要建立起一定的安全攻防能力，安全团队中将分出 1~2 人来专职负责安全技术防控工作。

企业建设的成熟阶段，通常采用更为稳健的策略，对风险的接受程度更低，对安全合规和风险控制的要求更高，面临的攻击风险和声誉风险更大。此时的安全团队需要更加壮大，安全管理和安全技术并重，“两手抓、两手都要硬”。

企业建设的衰退阶段，可能会采用“紧缩型”战略，此时的安全重点是“不出事”，由于投入的减少，安全团队建设逐步开始萎缩，又回到“满足监管要求”的原始阶段。

（2）企业风险偏好，与企业的性质和管理风格相关

金融企业是经营风险的企业，同时也是风险集中的企业，更是将风险防范作为头等大事的企业，在风险防控方面有着特殊的需求。但不同性质和管理风格的金融机构，其风险偏好也会大不一样。

对于风险规避型的金融机构，当预期收益率相同时，偏好那些具有低风险的解决方案，对于风险控制与合规性的要求更高，因此对于信息安全工作的重视程度和落地要求就相对高一些，安全团队建设也会处于扩张的状态。

对于风险追求型的金融机构，当预期收益相同时，会选择风险较大的方案，因为“高风险高收益”，能给他们带来更大的效用。这一类金融机构对于合规建设的重视程度相对偏弱，信息安全工作目标通常仅仅定为“不出事”，基本满足监管要求即可，安全团队建设会受到限制。

4.信息安全团队建设必须着眼未来，立足长远

近年来，随着移动互联网、物联网、云计算、大数据、区块链、人工智能等金融科技新技术的广泛应用，传统金融机构在各个层面的运行模式被相继改变：移动互联网的快速普及大幅改变了用户的行为习惯，云计算和物联网改变了业务处理和基础设施部署的方式，大数据技术改变了营销模式、风控模式和决策模式，人工智能等技术改变了客户服务和运营模式，区块链重塑了交易流程和信任模式。精准识别用户需求，提供极致用户体验，成为金融科技时代业务发展的首要驱动因素。

随着新技术的发展和新业务、新产品的涌现，信息科技的治理架构、技术架构和运维模式不断演化，以适应激烈的市场竞争需要。伴生于信息科技建设的信息科技风险管理工作也面临着新形势下的新问题，现有的信息安全防控体系面临防范不足、失当甚至失效的风险。而且，信息安全防御手段的发展往往滞后于信息科技的发展。在新的科技创新形势和新技术层出不穷的环境下，新技术风险的暴露以及随之而来的攻击手段创新，给信息安全风险防范带来了前所未有的压力和挑战。

因此，信息安全团队建设，必须着眼未来、立足长远，必须打造学习型组织，提高员工学习意愿，激发学习潜力，才能与时俱进地学习新知识和新技术，才能更准确、更有效地识别新形势下的新风险，才能更精准地应对风险，从而适应不断变化的内外部环境，实现更有效的风险防范。