金融企业信息安全团队建设（务实篇）

ID：jungedetili   

上篇（）立言老师介绍了金融企业信息安全团队建设的痛点、面临的宏观环境、团队文化建设和意识建设，本篇将从以下五个方面介绍：

四、信息安全团队能力建设

五、信息安全团队建设路径

六、信息安全团队绩效体系建设

七、信息安全人员的职业规划

八、信息安全团队与其他团队的关系处理

注：序号承上。全部为企业安全建设工作中，深度实践总结归纳。

根据中国信息安全测评中心发布的《中国信息安全从业人员现状调研报告（2017年度）》，我国信息安全从业人员年龄大部分在20-40岁之间（占比88.4%），65.9%的人员从业年限在5年以内，仅15%是由信息安全专业毕业。可见，信息安全从业人员相对较为年轻，信息安全行业经验较短，且绝大部分并非信息安全专业毕业的“科班生”。因此，该报告得出判断，“整体信息安全人员的职业发展都处于初步成型阶段”。

表面上看这些都是信息安全团队的劣势，但凡事皆有两面性，只要用心加以转化，劣势就可以变为优势。信息安全团队成员虽然普遍从业年限不长，存在一定的知识和技能短板，但年轻的团队处于学习和成长的旺盛期，只要推动组建学习型组织，建立合适的知识结构，形成有效的思维模式，就能推动团队快速进步。

一个好团队的建设标准，可以采用“两个离开”来衡量：

团队成员要有能力离开，这就要求提升团队成员的知识和技能；

团队成员不愿意离开，这就要求持续提升团队凝聚力以及团队成员的价值感和归属感。

“能力+意愿”二者的结合，必能打造一支优秀的、战斗力强的团队。其中，团队意愿建设有很大的普适性，已经有大量的书籍和文章研讨，此处不再赘述。团队能力建设具有专业特性，而金融企业信息安全团队的能力建设更是有其鲜明的特点和要求，下文将重点阐述。

金融企业团队的信息安全工作涉及面广、安全保障级别高，对信息安全团队的能力建设也提出了更高的要求，需要通过恰当的专业分工，一方面让每个成员各司其职，使个人职责范围内的知识和技能提升最大化，另一方面让团队成员之间优势互补，促进团队的整体效率和效能最大化。

信息安全团队能力建设，可以分为几个步骤：

确定团队工作目标，找准主要矛盾，明确团队整体职责；

根据资源情况、团队成员特点，将团队的整体职责细分为若干子团队的职责；

根据职责分工，确定各团队成员的知识和技能需求，再根据团队的知识和技能背景，找出差距，制定针对性的培养提升计划。

掌握学习方法，实现事半功倍的效果。

以下依次说明每个步骤的实践方法。

金融企业的信息安全工作目标通常分为两部分：

安全管理类，主要是满足监管合规性要求和防范科技工作流程中的风险；

安全技术类，主要是通过各种各样的技术防控手段，防范攻击入侵、信息泄露等信息安全风险。

不同发展阶段的金融企业，上述目标的侧重性会不一样。与科技企业、互联网企业等“技术流派”有所不同的是，金融企业的安全团队往往优先满足第一类目标，因为金融企业面临的监管要求多，合规性是对外经营的基础，必须优先保障制度流程的完善及操作过程的合规。第二类目标一般先通过部署基本的安全工具（如防火墙、防病毒、IDS、WAF等）实现技术防控，再依托第三方安全专业机构的外包资源做渗透测试、漏洞扫描和日常安全监测等作为补充。

要根据本企业的特点和信息安全工作发展阶段，抓住当前信息安全团队工作的主要矛盾，确定安全团队的关键职责和团队能力建设的重点：

如果监管要求的达成还有较大差距，安全团队就要先把主要精力放在合规性方面，安全技术防控方面先部署基本的技术工具并适当利用外包资源。此时安全团队的关键职责就是构筑信息安全的底线，开展监管要求符合性分析和差距整改、信息安全管理体系建设、制度流程完善、内部安全检查等工作，安全技术工具维护和安全外包服务作为辅助职责。

如果信息安全管理工作已经达到一定水平，就要一方面持续坚持信息科技合规建设不放松，另一方面加快培养安全技术防控能力。此时安全团队的关键职责需要兼顾管理和技术两方面，在巩固既定的安全管理长效机制的同时，逐步建立一体化、自动化、智能化的纵深防御技术体系，在安全工具和平台的新增引入和升级、安全技术策略的持续优化、安全技术服务的综合化和多样化、安全攻防的深入化等方面下大功夫。

金融企业的信息安全团队工作目标、主要矛盾、关键职责等方向性的内容确定后，需要对团队职能开展进一步的细化，明确具体的工作任务。

1.信息安全管理职能

第一大类是信息安全管理职能，即通过管理手段防范信息科技风险。

一方面主要负责信息安全管理策略、制度、流程的制定和优化，确保各项信息科技监管要求在行内制度和流程中得到贯彻，即“有章可循”；

另一方面对各种监管合规要求、制度流程的执行情况进行检查和监督，确保制度流程在日常工作中落实到位，即“有章必循”。

主要工作职责包括但不限于以下几项：