二、小规模信息安全团队常见的困境

1、有短期、明确需要解决的信息安全问题，但缺乏长远的信息安全路线图。

既然有专职信息安全人员，说明老板或者主管已经意识到了信息安全风险的重要性，或者曾经出过事，所以通常短期之内有明确需要解决的信息安全问题。但是由于工作职责（组织架构相关）、资源、能力等问题，对于信息安全人员（或团队）未来应该干什么、解决什么问题，要么不清晰、要么缺少一个路线图，导致信息安全工作总体上偏被动、偏事件驱动型或合规驱动型。

2、资源少。

这是最典型的特征之一，“事多人少钱不够”。究其原因，可能

（1）信息安全在企业业务中的重要性还不够突出，伤的还不够痛，领导的专业能力不足，导致领导认知不到位、投入不够；

（2）企业经营和盈利能力不强，虽然领导重视、但是手里能花的钱都得精打细算，但凡花点钱都想一分钱掰成2分钱用；

（3）信息安全人员和领导对于“资源”一词的认知不一致。在我以前的文章中提到，信息安全人员往往把“资源”等同于“人、钱”，但实际上资源还包括“物、政策，内部支持者、供应商&合作商资源以及管理层在信息安全事务上投入的时间精力”；

（4）信息安全人员自身追求职业发展和企业经营需要之间的落差。作为一个摸爬滚打了十几年的业内人士，我深刻理解一个专职人员希望年年做事、做新鲜事情的感受，于是不断地发现和解决新风险、期望做新项目、希望扩大团队，但是企业经营需要的只是把风险控制在可接受程度、而不是彻底消灭，这时往往就会产生落差；

3、人员流动大、留人难。

如果是大公司、小团队，有一个较好的事业平台或薪资待遇支撑，那可能这个问题还不够突出。如果是小公司、小团队，本身的平台和事业空间有限，薪资待遇很大可能也就中等水平，做几年估计就差不多了，想留住人非常困难。

4、自己能力不够，或者面临挑战多、漏洞多、问题复杂。

基于问题3，小规模团队大概率就会遇到人员能力不足或者人数不够，“事多人少钱不够”；或者由于信息安全工作在内部的职责、定位、协作关系不清晰，手里也缺乏足够的资源使得话语权不够，看上去就会挑战多、问题复杂。

大概率的情况下，一个公司设立专职信息安全人员之前，其实信息安全并非从0起步，多少还是推行过一些信息安全要求、部署了一些工具，但一定在执行中遇到这样那样的问题。那么，设立专职人员之后，如何整合、优化这些信息安全要求和工具，如何堵住漏洞、控制风险，也使得问题更加复杂。

三、小规模信息安全团队的工作思路

问题分析完了，那么如何解决这些问题？谈谈我的思路。

1、挑个好的团队带头人。

不管是1个人的团队，还是2-3个人的团队，事以人成，这个带头人极其重要，也是开展工作的最重要一步。兵熊熊一个，将熊熊一窝的道理大家都懂。这个带头人必须（1）热爱信息安全，承压能力强或者热爱接受挑战；（2）具备信息安全专业领域资深经验；（3）既能向上沟通，也能向下管理；有全局视野；（4）具备动手能力，毕竟小团队工作的时候，不能只动口、不动手。

2、做个规划，明确2-3年内重点解决的问题、架构、路线图。

如我以前的文章所述，这是我解决问题的一贯套路，先从全局着眼、把整体布局做好。规划中要明确信息安全工作的价值、定位、目标，和2-3年内需要重点解决的问题（风险）、信息安全架构和路线图。尤其是小规模信息安全团队的工作，可能和IT团队就整个IT基础设施的架构达成一致就非常非常重要。推荐采用EA的方法论去分析和搭建。

这当中尤其需要注意和IT部门、人力资源、行政部门达成目标、分工合作机制的一致，IT部门与IT基础设施的建设和运营相关，人力资源和员工培训、奖惩相关，行政部门和物理安全管控相关。必要的话，可以采用联席会议（温和的沟通机制）、绩效考核（强硬的保障机制）等手段保证目标一致。

如果领导的想法特别多，但是又不太愿意（或不能）投入更多的资源，其实这时蛮考验团队负责人的沟通能力。常规的做法，就是把信息安全风险仔细做个风险评估，可以自己做，也可以请外部咨询公司或安全公司做，然后跟领导一起把最重要的风险挑出来、定下来。也可以借用第4步中提到的“事件驱动”的方法，把风险和危害揭示出来，进而驱动领导把风险识别、分析、排序出来。

3、80%投入解决“点”的问题，站稳脚跟。

虽然大家都说新官上任三把火，但是感觉不适用于信息安全小团队的运作。我们的第一件事情是站稳脚跟。如何站稳？就是首要解决管理层关注的重点问题、紧迫问题，比如科技创新型企业老板关注的核心技术资料的泄漏问题，比如互联网金融企业中存在的客户数据保护问题，比如金融行业中普遍存在的外包人员风险问题。用2-3年时间（当然，这个时间要和老板沟通）、投入80%的资源把问题解决掉，不贪大求全、让老板放心，我称之为“解决核心问题”，这当中有几个注意点：

（1）总体上遵循架构。这里主要说的是IT基础架构，这样可以保证安全控制措施的协调性、有效性；但是各个部分的推进可以根据实际情况、尤其是IT部门自身的业务规划来调整。比如，架构上确定要上终端接入控制措施，但根据IT的部署，对终端的改进措施希望在明年上，那经过沟通、只要符合整体架构，可以做计划调整。

（2）与核心干系人保持密切沟通，获得管理层和业务部门的支持。通常来说，这个阶段的信息安全核心问题往往是跟核心业务相关的，如果不相关，老板也不会这么重视嘛！所以，与这个问题的核心干系人保持密切沟通、汇报进展，不但可以展现成绩、暴露问题、推动问题的解决，还可以持续对管理层和业务部门主管进行意识教育。要知道，他们真正愿意倾听信息安全工作的机会并不多，要抓住每一个机会对他们进行教育。同时，与核心干系人保持良好的关系，也为后续的信息安全工作开展找到了更加有力的支持者，而这也是我所说的“资源”之一！

当然，强烈建议在花钱方面要谨慎、科学、注重效果。信息安全人员应该以帮助公司解决问题、控制风险为己任，不应该以花了多少钱为成功与否的评判标准。

（3）以制度（长期）+通知（短期）形式配合，先把关键的立法做好。为什么这么说呢？因为信息安全工作执行过程中，必然面临质疑和挑战，那就必须把执行工作所需的制度、立法工作先做到位。基于ISO27001或者其他标准体系的文件制度太多，一时半会用不上、也就没必要做，先把关键的制度完成就好，比如员工入职应接受信息安全培训后才能转正、离职必须接受信息安全审计，比如把信息安全奖惩规定定好、把奖惩权抓在手里，就有调动内部资源的一个抓手。其他临时性要求以内部通知的形式发布，两相配合。

（4）做到PDCA。重点问题基本解决之后，要通过运营、检查、审计等综合措施运行一个阶段（一般是半年到一年），并定期汇报，以实现PDCA的循环。这样既可以保证问题真正得到解决，又可以让老板、业务主管等核心干系人放心，他们会觉得你靠谱，后续对信息安全工作的支持力度也会更好。

4、20%投入到审计，以“面”上问题的解决。

刚才提到了核心的“点”的问题，下面谈谈如何解决“面”上的问题。一般来说，除了核心问题之外，多少还是有其他一些信息安全风险需要面对和控制。资源投入还是要关注，但不建议超过20%；从解决方式来看，我认为这些问题用“事件驱动型”方式来解决，效果和效率更好。

以我所见，即便是对信息安全很重视的领导，也通常是优先解决能看到的风险、已经发生了安全事件的漏洞，毕竟资源都是有限的。因此，通过持续的审计找出问题，通过响应和处理安全事件，以这些“事件”来驱动一个一个小问题的解决。逐步积累之后，就会连点成面，有点类似“农村包围城市”、“积小胜为大胜”的味道；同时，通过一个一个事件的处理和改进，不断地对员工、主管进行安全意识的教育，刷安全的存在感，也是非常有效果的。再反过来想，如果信息安全工作的上级领导要去驱动同级的其他部门领导，他是不是也需要“事件”这个武器？你给领导提供资源，领导才能给你支持嘛。

当然，这些审计点的选择，要结合当期管理层的关注、结合信息安全团队对公司业务的理解，保持至少每季度一次的频度，持续地抓典型案例、采取奖惩和改进措施，达成以上目的。比如可以策划模拟真实的钓鱼邮件等社会工程学的攻击，看看到底有多少人中招，然后把数据摆在领导面前，让领导真实感受到触目惊心的结果；比如可以集中资源抓2个月的上网数据分析，把互联网出口造成的信息泄露结果呈现在管理层面前。

不建议一开始就搞举报漏洞的奖励，因为信息安全建设的初期可能漏洞太多，根本来不及补，员工、主管也很容易漏洞疲劳，反而对信息安全工作的形象有负面影响；但是可以开展举报违规违法行为的奖励。等大的漏洞补的差不多了，再搞举报漏洞的奖励，事半功倍，既补漏洞、改善信息安全的形象，又提升员工意识。

5、逐步组建和建设团队。

组建团队不能太着急，要持续关注、找合适的人。小团队的人，我认为要招喜欢信息安全的、学习能力强的，经验不一定要太多，这样相对稳定、有忠诚度。招聘次序上来说建议先招审计，做策略、技术、意识宣传的按需补充，最后招运营人员。

小团队就不要招渗透测试的人了，还是用外部专业力量好。如果遇到疑难杂症需要解决，找咨询公司或者大牛咨询一下，其实基本就解决了，不必招大牛。

团队负责人平时要特别注重团队建设，总得在事业平台、团队氛围、薪资待遇的某个方面让员工有成长和收获吧？平时还要注意学习业务知识，让团队成员逐步树立“信息安全要为业务服务”的意识。

6、尽量用标准化、商业化的技术产品。

在信息安全建设过程中，尽量采用标准化、商业化的技术和产品，少定制化、少自己开发，少用开源工具。大量经验表明，把工具用足用好最重要，不要想着买最好的工具。对于小团队来说，实用是第一位的，应尽量选择架构简单、学习成本低的工具，那种需要投人进去琢磨、研究的工具平台看着美好，但不适用小团队。开源工具虽然免费，但是需要时间琢磨研究、非标准化的做法也会带来架构上的风险漏洞，搞不好还会引入供应链风险。

不要一开始搭太多工具平台，成本高、项目多，效果还不一定好。我建议在团队初创期间，人均负责运营的工具平台不超过2个。但同时，我认为也要敢于打破旧的束缚，对于以前部署的工具、平台，在保证投资收益比的前提下，该废止就要废止，能利旧还是要利旧，千万不要在这方面有束缚。

7、中后期的团队管理。

等到团队成员达到4个人左右的规模，就可以逐步形成这样的分工：团队负责人主管向上沟通协调、资源协调和团队管理，A负责项目管理、制度文件管理、意识教育，B负责IT基础架构的建设、项目评审，C负责审计、事件响应和调查，运营的工作可以根据实际情况让每个人都承担一部分。ABC的工作还要注意形成互相备份，这样不至于在人员流失的时候耽误工作。同时想办法把琐碎、低价值的工作交给公司内部的低价值岗位（比如文员、行政前台），或者尝试利用一些工具提升这些琐碎工作的处理效率、降低对团队人员的时间精力占比。

有些公司会考虑在某些业务部门也设立兼职的信息安全管理员，辅助做一些部门内部、更靠近业务的安全工作，比如培训、检查、督促改进等。这个工作建议在专职安全团队大于等于3个人的时候做，因为对这些兼职人员的管理也是需要投入资源的，而且需要一定的管理手段和技术手段支撑，不建议在一开始就铺开摊子做这件事情。

时间久了之后，团队成员不免面临流失的风险，因此仍要保持对可用人才的关注，可通过校招等途径适当补充。随着团队人员价值的逐步实现，在安全专业平台上的发展空间已经不大，可以考虑这几种方式（1）公司内部轮岗，安全的人去干运维，运维的人来干安全，横向扩展团队成员的技能和视野；（2）努力提升团队成员的薪酬待遇水平，以更好地保留人员。经验数据表明，安全人员的薪酬上限和公司的人均产出是基本相当的，这时就需要团队负责人多想想办法了；（3）对于团队负责人来说，去从事和安全相关的工作内容（比如合规，比如业务风控），可能也是一个选择。

8、逐步地过渡到关注和解决业务安全问题，找到更大的价值空间。

当信息安全团队的短期目标实现，就要考虑下一步发展的问题。从情理上来说，都希望扩大团队、争取更多的资源、实现更大的价值，但我还是建议团队负责人能够以务实的态度看待这件事情，毕竟这个必须建立在企业发展和盈利的基础上，不要盲目追求扩大团队和资源。

如果希望找到更大的价值空间，那必须要结合企业经营战略，在与安全密切相关的方向上整合资源和能力，着力帮助公司业务的提升，比如合规、风控、产品安全。但其核心思想依然是我之前提到的，“保企业增长，保企业核心竞争力”。如果找不到，该功成身退也就退吧，把机会留给其他人。

「推荐阅读」