浅谈安全团队建设

前言

企业中安全工作有一项基础工作就是安全团队的建设，在工作之余有时也是思考一个理想的安全团队是什么样的。本篇文章就来看看建设什么样风格的安全团队以及安全管理者需要什么样的能力。

由于本人水平有限，文章中可能会出现一些错误，欢迎各位大佬指正，感激不尽。如果有什么好的想法也欢迎交流~~

安全团队的总体目标

以支撑和促进业务发展为核心，建立必要的安全管理体系和技术防控能力，保证合法合规，维护公司和用户的合法权益。

安全团队的职能

在一些小的公司，安全团队的职能不会分的那么细，一般都是一个人身兼多职。在安全团队到达一定的规模以后，就会细分出特定的职能。一般有下面的这些。

一般公司都不会划分的这么细，大多就是一个团队，不同的人负责不同工作内容。在人数比较少的时候，细分的职能越多，管理效率反而越低。

安全团队的风格

建设一支什么风格的安全团队可能这是安全领导人都会去考虑的一个问题，下面是常见的几种风格的团队。

1）执行指令型

一般在安全建设初期，安全话语权比较弱，只有几个人挂在其它部门下。这时就是命令式执行上级的指令开展工作。这种团队是无法建立起体系化的安全防护。而且很容易出现外行指导内行现象的出现。

2）明哲保身型

擅长通过制度去合理的规避安全团队的责任。例如安全团队已经发现了风险并且通知到了相应业务方的负责人，但是业务方的负责人并不想去整改，不是想尽办法说服和推进，而是立刻要求对方书面接受风险，这样不出事故的时候不用得罪同事，出了事故可以翻邮件摆脱责任。

其实这里我一直在思考一个问题，如果如果已经尽力说服，业务方还是不进行整改怎么办？

• 还是需要先与业务方沟通他们不想去整改的原因到底是什么？是太麻烦，还是时间不允许，改动太大害怕影响业务稳定性。明确这个不愿整改的原因以后，在针对性的提出措施，如时间不够，那么是否可以延后到时间充足的时间再去整改。
• 再次评估该风险的威胁范围以及严重等级，看是否有其它的方式去解决该问题，如在安全设备上建立规则，暂时性的规避该措施。
• 还有一点就是是否可以通过与上级领导沟通，讲述风险的危害，从上往下的去推动。
• 如果业务方实在强势，安全给出的方案也都全部不接受，那么最后选择明哲保身我认为也是可以的。但还要建立监控风险的机制，如果真的出现了恶意利用，那么还要第一时间去进行阻断。

3）断臂求生型

为了安全的绝对指标完全不考虑业务发展诉求，在产品需求和运营流程中处处设限，为了1分的风险不惜给用户和员工带来100分的不便，最终直接影响了业务的正常发展。

4）驱动业务型

把安全视作业务的一种属性，最终以安全团队的能力保障甚至推动业务发展。愿意为了业务和安全的平衡使自己承担更多的职能风险

从上面的介绍可以看出，最理想的团队风格就是驱动业务型了。将安全作为业务的一种属性，通过安全团队的能力保障甚至推动业务发展。

企业安全管理者应该具备什么样的能力？

安全团队的风格以及企业安全做的好坏跟安全管理者有着直接的关系，那么作为一个安全管理者应该具备哪些能力？

1）技术能力

安全涉及的面非常广泛，，涵盖了网络、数据库、操作系统、IDC机房、中间件、密码学、社会工程等多个领域。要求管理者必须具有基本的技术能力，能够与开发，测试，以及外部供应商进行交流沟通，并且判断其所说的是否准确，否则很容易出现欺上瞒下的情况。

2）沟通协调的能力

企业安全需要与业务部门，管理层打交道，有时一项安全措施能不能实施，跟领导人与其它部门的沟通有很大的关系。因此良好的沟通能力也是管理者必备的一个技能

3）向上汇报的能力

企业安全大部分要求自上而下的去实施，因此安全管理者必须要有向上汇报的能力，告诉领导人目前企业的安全现状以及如何去做，让领导人对安全有所了解

4）安全全局视野/规划

不谋全局者，不足谋一域。安全不能总是处于救火的一个状态，而要有体系的去建设，因此安全管理者必须要有全局的视野。

5）资源获取能力

安全是需要各种资源的，因此安全管理者要有资源获取的能力，如人力资源，公司政策，外部厂商资源等等。如何说服老板加大对安全的资源投入，也是一项重要能力，同时也是一门艺术。

6）了解相关法规和标准

需要了解国家和地方的相关法规和标准，以便根据法规和标准要求制定和实施企业安全管理计划和措施。

7）对新技术开放的态度

安全是一个飞速发现的行业，不时会有新的技术出现，安全领导人需要对这些技术保持敏感。

总结

上面只是安全团队建设很少的一部分东西，其它还有很多，如kpi考核，人员招聘面试等等。大家有什么想法欢迎来交流。

原文始发于微信公众号（信安路漫漫）：浅谈安全团队建设