在甲方的信息化安全從業(yè)人員，在企業(yè)的安全工作推進(jìn)和建設(shè)過程中，需要考慮各方的利益，好的事情和想法，得不到各方的擁護(hù)，很難實(shí)踐開來，具體的工作方法，建議如下：

一、緊隨高層利益一致者在企業(yè)粗放式發(fā)展初期，甚至是進(jìn)入大企業(yè)行列，信息安全也可能根本就不會進(jìn)入CTO的思考范圍，更別說CEO級別的管理層了。

當(dāng)然這兩年情況好多了，在網(wǎng)絡(luò)安全法頒發(fā)、中央網(wǎng)信委成立后，CEO級別的管理層公開支持網(wǎng)絡(luò)安全工作必然是政治上正確的事，但這也不一定能成為你開展信息安全工作堅(jiān)強(qiáng)后盾。

筆者以為，信息安全工作最堅(jiān)強(qiáng)的后盾應(yīng)該是數(shù)據(jù)中心老大或CTO類的人員，因?yàn)樾畔踩录畲蟮氖芎φ呖赡苁撬麄儯霈F(xiàn)重大信息安全事件最可能履責(zé)者也較大可能是他們。

因此，從某種程度上說，我們和數(shù)據(jù)中心老大或CTO類老大對安全的訴求是一致的，我們要緊緊跟隨在他們周圍，適當(dāng)利用他們的權(quán)力和影響力把一些信息安全訴求傳遞出去。

但是，我們也不能什么事都往CTO那里轉(zhuǎn)，如果這樣，要你信息安全部干什么？有些事能控制風(fēng)險就本級解決吧。

這里就有個問題，哪些事是需要上升到CTO級別人員解決的呢？需要各位CSO們自己考慮掌握了。

二、團(tuán)結(jié)支撐部門雖然信息安全占據(jù)了一定的政策利好以及領(lǐng)導(dǎo)支持優(yōu)勢，但是，人少要求多是不可忽視的基本事實(shí)，因此，這就要求信息安全團(tuán)隊(duì)需在企業(yè)內(nèi)部找到同盟軍，以應(yīng)對更加突出的安全風(fēng)險。

一般來說，基礎(chǔ)設(shè)施部門是一個不錯的同盟軍選擇，比如網(wǎng)絡(luò)團(tuán)隊(duì)、云管平臺團(tuán)隊(duì)、主機(jī)系統(tǒng)團(tuán)隊(duì)等。

主要原因有：（一）基礎(chǔ)設(shè)施規(guī)模龐大，整改難度大，盲目把他們作為主要治理對象可能會很難出成績；（二）信息安全基礎(chǔ)設(shè)施的很多建設(shè)需要依賴基礎(chǔ)設(shè)施部門支持，比如流量采集、監(jiān)控節(jié)點(diǎn)部署、主機(jī)申請、網(wǎng)絡(luò)策略開通等。

（三）基礎(chǔ)設(shè)施大部分都不會直接對外，風(fēng)險等級不會太高，反觀應(yīng)用安全確是當(dāng)前風(fēng)險等級最高、安全管理最急迫的領(lǐng)域。

通過團(tuán)結(jié)同盟軍，一起把應(yīng)用開發(fā)安全管理好，在此之中，再逐步對基礎(chǔ)設(shè)施部門提一些容易整改的安全需求，畢竟也是一個戰(zhàn)壕里的戰(zhàn)友，基礎(chǔ)設(shè)施部門估計(jì)也不好意思拒絕。

當(dāng)然，各個單位遇到的突出矛盾和情況也存在很大差別，尋找什么樣的同盟軍需要自己斟酌考慮。

三、抓主要矛盾雖然企業(yè)安全團(tuán)隊(duì)可能懷抱偉大理想，團(tuán)隊(duì)初建可能意氣風(fēng)發(fā)，躊躇滿志，想盡快把企業(yè)安全防護(hù)水平整體提高一個臺階，但是，對于系統(tǒng)、開發(fā)以及業(yè)務(wù)團(tuán)隊(duì)來說，企業(yè)安全建設(shè)與管理都是給人家添加工作量的事情，可能因?yàn)橐粋€安全要求導(dǎo)致他們整個系統(tǒng)要返工重做，從思想上、意識上有一定的反抗情緒也是人之常情。

因此，對于企業(yè)安全建設(shè)來說，最重要的工作是做調(diào)查研究，了解企業(yè)IT建設(shè)與安全管理現(xiàn)狀，識別影響組織和企業(yè)最大的風(fēng)險，然后再根據(jù)風(fēng)險找出安全管理的牛鼻子方法，抓住安全風(fēng)險的主要矛盾，這也是ROI平衡的一個具體方面，切不可能眉目胡子一把抓，事事都管，沒有重點(diǎn)，把本就弱小的安全團(tuán)隊(duì)像撒芝麻一樣撒到各個項(xiàng)目或事務(wù)中，不能團(tuán)結(jié)一致干一件事，最后估計(jì)也難成一事。

四、以可證明的風(fēng)險說話Linux 的創(chuàng)始人 Linus Torvalds 在 2000-08-25 給pnux-kernel 郵件列表的一封郵件提到的：Talk is cheap，Show me the code。

在安全管理上依然適用，當(dāng)我們像唐僧念經(jīng)一樣翻來覆去的提示風(fēng)險，揭示風(fēng)險，卻沒有任何”漏洞利用證明“，也不能拿出有效規(guī)避風(fēng)險辦法，對于企業(yè)里的其他人員來說，這些語言來說都是蒼白無力，而且還會對信息安全部門產(chǎn)生無用論、能力不足論等思想。

風(fēng)險本來就是抽象的，把抽象的概念傳達(dá)給企業(yè)內(nèi)員工，我們只能用結(jié)果來說話，比如拿下系統(tǒng)控制權(quán)、下載了關(guān)鍵數(shù)據(jù)等。

因此，我們要充分發(fā)揮自己的專業(yè)能力，利用滲透測試、眾測、攻防演練去最大限度的發(fā)現(xiàn)及證明各類風(fēng)險危害，用鮮活的事例來教育員工。

五、切合實(shí)際安全工作最大的兩個動力：事件驅(qū)動和監(jiān)管要求。

內(nèi)部安全事件不能經(jīng)常發(fā)生吧，外部事件又總是有點(diǎn)隔靴搔癢之感，能說一說，但是很難轉(zhuǎn)化為行動的動力。

很多時候能說事就只有監(jiān)管要求，但是我們也要注意不能拿著監(jiān)管要求、安全體系等盲目要求按章辦事、逐條落實(shí)，不考慮企業(yè)現(xiàn)狀，這就會犯了本本主義和教條主義錯誤。

比如，監(jiān)管要求中要求：生產(chǎn)和測試網(wǎng)絡(luò)要嚴(yán)格隔離。

這一條用意當(dāng)然是好的，但是要在企業(yè)內(nèi)部有效實(shí)施肯定會面臨較大的阻礙，例如，有些系統(tǒng)想運(yùn)轉(zhuǎn)起來就是要求能夠?qū)崿F(xiàn)測試和生產(chǎn)聯(lián)通；有些系統(tǒng)在測試環(huán)境搭建測試系統(tǒng)成本很大等等，這時候都可會導(dǎo)致生產(chǎn)和測試不能完全隔離。

此時，就需要安全部門具有問題具體分析，靈活對待，在不違反重大原則、導(dǎo)致重大風(fēng)險的情況下可以適當(dāng)?shù)摹⒂邢薅鹊拈_綠燈。

六、取到高層支持在企業(yè)的內(nèi)部規(guī)章制度中，信息安全一般都會有一定的考核權(quán)和處罰權(quán)，也可能有些大領(lǐng)導(dǎo)的直接授權(quán)等，以此作為企業(yè)安全管理的尚方寶劍。

但是，筆者想說的是，對于弱小且處于擴(kuò)張中的團(tuán)隊(duì)來說，一定要慎用尚方寶劍，使用不當(dāng)會導(dǎo)致我們提前樹敵。

雖然，我們本意和目的不是懲戒，主要目是提高安全意識。

但是，我們應(yīng)當(dāng)明白，我們的處罰對于別人來說都會造成經(jīng)濟(jì)上、聲譽(yù)上的損失，從而會對信息安全團(tuán)隊(duì)本身產(chǎn)生一定的逆反心理。

同樣，對于其他人員來說，這也會導(dǎo)致他們對信息安全團(tuán)隊(duì)產(chǎn)生一定隔閡，從此以后對信息安全管理不配合，或者表面支持、背地里敷衍、甚至使絆子，這些都會給信息安全工作帶來較大的阻礙。

但是，從長遠(yuǎn)看，考核權(quán)和處罰權(quán)仍然是我們推動信息安全工作的主要抓手。

七、善用乙方團(tuán)隊(duì)現(xiàn)實(shí)場景中，有些乙方人員戲稱甲方叫“甲方爸爸”，這是一句玩笑話，其實(shí)甲方合同才是他們真是的“甲方爸爸”，我們不過都是干活的。

作為一個甲方安全人員，我們也應(yīng)該明白，在業(yè)務(wù)高速發(fā)展和信息化程度越來越高的大背景下，甲方的安全人員在數(shù)量上、專業(yè)技能上還是與甲方的安全建設(shè)需求有一定的差距。

那么這時候，乙方團(tuán)隊(duì)就是甲方信息安全建設(shè)力量的重要補(bǔ)充。

很多方案設(shè)計(jì)、風(fēng)險分析、技術(shù)實(shí)施都需要乙方人員的深度參與，畢竟他們在細(xì)分領(lǐng)域以及專業(yè)場景上，比我們甲方人員要見得多、識得廣。

作為甲方團(tuán)隊(duì)人員，我們要善于使用乙方團(tuán)隊(duì)，團(tuán)結(jié)帶領(lǐng)乙方團(tuán)隊(duì)快速高效地搭建起甲方的信息安全治理體系。

對于甲方來說，信息安全建設(shè)工作既是一個技術(shù)問題，但已經(jīng)超越了技術(shù)問題，這里面牽涉了很多制衡、溝通、協(xié)調(diào)、妥協(xié)等方方面面的問題。

作為甲方信息安全人員來說，在了解信息安全專業(yè)知識的時候，還應(yīng)該多掌握一些戰(zhàn)略戰(zhàn)術(shù)層面的方法論，以讓企業(yè)的信息安全工作能夠更好的推廣實(shí)施下去。