张耀疆(上海安言信息技术有限公司总经理)：互联网思维下，企业信息安全是食古不化？还是刮骨疗法？

长久以来，信息安全都是企业之痛，面对黑客入侵、不当操作、信息泄漏、系统崩溃、法律违规等风险，痛在不知觉、不及时、不理解、不全面，痛在头痛医头脚痛医脚的被动，甚至痛在久病之下已不知有痛。也许企业设立了信息安全部门，建立了安全体系且做了不少专项规划，花了不小的代价采购产品实施项目，可问题依然存在：信安部门左右不是陷入尴尬，管理制度虚设人员意识薄弱，产品部署形同鸡肋沦为摆设，风险威胁不减反增如剑悬首。

开篇一段是不是觉得眼熟？是的，几乎所有针对信息安全的分析论述和解决方案，都大抵如此。或者再加些作料，比如离奇曲折的案例，触目惊心的数据，如鲠在喉的法规，后面就简单了，要么提出某种技术或某组产品，要么呼吁提升意识或加强培训，要么倡导国家战略或行业标准，无非落脚到或高或低的各种利益诉求上而已。

其实，如此局面的形成并非一日之“功”，长久以来，企业所有的事务包括信息安全，都是在传统的思维模式下发展的：整体规划等于建设技术体系，跟着标准走才会更权威，以项目方式运作才能推动落实，搞好管理就是健全制度，提升意识就是多做培训，看得见摸得着的产品才叫真落地。

都没错，只是觉得，不新鲜，好无趣。

怎么才叫有趣？或者具体说，怎样让企业信息安全看起来更新鲜更直观更有趣更发自内需而非各种外部的利益扰动？

不识庐山真面目，只缘身在此山中。很多时候，看不清楚或担心看不清楚时，不妨跳出来，采撷些他山之石，或许真能攻下美玉。不妨看看互联网吧：以用户而非客户为导向，找到真正的痛点，跨界，互通，共享，专注，快速，让用户体验达到极致，以口碑形成更多衍生价值。是否与传统的技术或产品导向不同？是否可摆脱僵化与滞后？是否不那么生硬和枯燥？是否不再陷入理论和框架的漩涡？

也许，信息安全从业者们，包括企业的信息安全部门，更应该考虑的是：信息安全的对象以及主体到底是谁？以前的努力是不是没戳到真正的痛点？信息安全需要搞得那么复杂吗？我们是在追求一个结果还是更应该关注过程？我们是不是自己把自己边缘化了？

基于互联网思维，不妨从多个方面来一番引申和联想，看看企业信息安全到底可以做怎样的一番变革？

第一，观念化。

对企业来说，信息安全的本质或者目标是什么？比较中肯的说法，信息安全是一种平衡，在风险与控制、控制与效率、效率与效益之间的平衡。既然是平衡，必然是相互依存的、相对的、变化的、差异化的，最终所展现并依赖的，更多是一种群体性的安全意识和观念，说白了，就是一种上升到文化层面的感受。某种意义上讲，一个企业信息安全是否做得好，取决于其企业文化中与风险和安全相关的因素有多少，以及做到何种程度。

这种对信息安全观念化的理解，有别于传统意义上的技术论、局部论、手段论、底层论，甚至时有时无或可有可无论，需要企业包括领导层在内，从上而下全新建构信息安全的全景蓝图和发展模式。也许，当我们再去讨论信息安全，首先想到的是包括董事会、高管、部门负责人、业务经理、普通员工在内的所有人员的认知与行为，而不仅仅是IT或信息安全部门做过以及打算做什么，并且很重要的一点，我们能时刻洞察并因需改善大家对信息安全的直观感受，信息安全才会植根于企业文化，并成为助推企业长远发展的动力之一。

第二，日常化。

观念驱动习惯，习惯在于日常。要让信息安全成为普遍感受，并将普遍感受聚成全员文化，不从日常着手很难奏效。

刹车系统不是等到汽车要减速或遇险了才配备的，而是汽车固有的组成部分，少了它，就不是汽车。同样的道理，信息安全不能总是就事论事或项目驱动，也并非只是信息安全部门特有的工作，而是企业所有部门所有人员的日常工作。什么时候，企业战略规划中信息安全成为直接而必然的业务选项了，信息安全已经融入到日常操作而非作为孤立而考虑了，员工绩效考核里有信息安全相关指标了，管理层例会上信息安全成为重点回顾之一了，信息安全才算真正到位了。

推动信息安全工作日常化，其实也是明确信息安全主体对象的过程。用户是谁？不是信息安全部门，不是IT人员，或者不仅如此，而应是企业全体人员，并且大多时候，更应该强调的是业务人员和业务部门。信息安全部门之痛并非信息安全全部的痛点，往往也非根本痛点，只有感知业务部门的痛并因人施药，才可能药到病除。

只有如此，信息安全才能在潜移默化中积淀并形成文化。

第三，去IT化。

既然信息安全应该成为企业全体上下日常工作的一部分，那就有必要做个大胆的假设：信息安全，必然去IT化。

长久以来，信息安全是与企业信息化相伴相随的，甚至基本上可以说，信息安全源于IT，并难以避免地从属于IT。大家习惯认为，信息安全的问题，都是IT的问题，而解决信息安全问题，也必须从IT入手。这种惯性思维导致的，信息安全部门的职能与权限局限于IT范围，信息安全技术与产品的作用也仅限于IT系统，信息安全永远都是可有可无的附属品，这与我们所说的信息安全人人有责、信息安全工作应该全员化日常化必然矛盾。

所谓去IT化，并非抛弃一切IT的东西。一方面，恰恰因为企业不可避免地全面信息化了，IT已经像毛细血管一样渗透到企业方方面面，势必让信息安全产生全局性的影响，具备了独立存在的意义，没有必要再强调其狭义的IT属性。另一方面，业务驱动、全员参与、日常化管理等“大安全”的概念，又要求企业必须突破IT局限，从整体和全局考虑，将信息安全看做可与信息化并列的一项重要战略。

基于这样的思维，可以设计一下：把企业的信息安全部门从IT中拿出来，或者不单纯以隶属的关系在小范围做功，而是能在全组织范围内发挥管理和协调作用，为企业代表董事会的风险治理提供决策依据。同时，将信息安全相关的决策事务纳入企业整体战略而非单纯IT规划之列，将信息安全工作分解落实到企业各个层次和方面。也许只有这样，企业信息安全的生产力才会真正得到解放。

事实上，云计算的风起云涌，已经让企业传统的IT架构和运营模式愈来愈有化于无形的趋势，信息安全呢？是要和IT共“存亡”？是继续做小？还是设法脱身而出并做大做强？

第四，服务化。

要推动企业信息安全工作的日常化，信息安全部门必须调整心态并转变工作方式。也许你曾苦恼：当初设立部门时明明定义了监督和管理职能，可回头谁都不买账，因为似乎谁都比你更有话语权，到头来，信息安全只能沦为“说起来重要，做起来不要”的尴尬地步。

怎么办？等着领导给你尚方宝剑？等着业务部门突然“良心发现”？其实，与其怨天尤人，不如换一种思路。话语权的根本，还是价值的问题。信息安全部门没话语权，根本上还是没体现出价值，即便你在做监督、检查和管理，也只是纸面文章或雷声大雨点小。

如何体现价值？很简单，就是服务。硬的不行，来软的。秉持“用户即上帝”之宗旨，提升服务意识，建立服务规范，挖掘服务需求，拓展服务方式，重视服务体验，让信息安全部门成为企业内部的一个最具代表性的服务窗口。思路一旦转变，选项也就多了。

服务到位了，何愁没有价值？何忧不被待见？

(责任编辑：安博涛)