自2021年6月起，安在征文全新“改版”——“诸子笔会，打卡征文”。简单来说，我们在诸子云社群招募“志愿者”，组成“笔友群”，自拟每月主题，互相督促彼此激励，完成每月一篇原创，在诸子云知识星球做主题相关每日打卡，同时邀请专业作者群内分享，互通交流。我们的目标，不仅是在持续8个月时间里，赢取累计8.8万的高额奖金，更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文，即诸子笔会月度主题来稿之一。

     文 | 王振东

王振东

      网络安全爱好者

赛博空间安全业余研究员，安全意识培养倡导者，隐私保护从业者

获得认证：EXIN DPO、心理疏导师、信息安全工程师

来源

起初，夏娃在蛇的引诱下偷吃了分别善恶之树上的果子，罪就从一个人进入了世界。但是亚当却要承担主要责任，因为夏娃是亚当的妻子。

在别处听来一句颇富哲学意味的话，是这样说的：“你娶了她，就娶了她的一切。”且不谈是谁说的，也不论当时是什么场合、有什么样的前因后果，作为一个丈夫来说，是有几分感同身受的。

两个人结婚以后，搬到一起住。从最初感情的联结，进入了物理的联结，原先各自承担自己的风险，后来大家一起面对共同的困难。举两个简单的例子。住在一起后，房门钥匙人手一把，即便一个人要是弄丢了，另一个人还可以开门，不至于要撬锁，因为有了备份，风险似乎降低了。住在一起后，两个人逐渐发现彼此之间存在各种各样的差异，尤其在安全意识方面的差异，使得安全意识强的那一方不得不忍受木桶原理带来的担心。

图1.风险

人是风险的主要来源。

人带来的风险主要有两种，一种是被动的错误，一种是主动的恶意。人非圣贤，孰能无过。当人在疲劳、有心事、受到惊吓等情况下，做事往往比较容易出错。而当人被不公平地对待、利益受损、被冒犯等情况下，比较容易产生报复或仇恨情绪，出现破坏性地想法和行为。

引入

对于家庭这一社会细胞而言，主要有两种引入人件风险的途径，一个是嫁娶，一个是生育。而对于企业这一推动社会经济发展的组织而言，主要是招聘。

但是，企业引入风险的方式绝不是只有招聘这么简单。企业的资金、工具、流程、数据、原料、场地等等无法穷尽的相关者无一不会有人的参与，而以上这些内容的所有上游供应商也都由形形色色的人来控制和提供。于是，获得投资，可能引入了新的风险；采购设备，可能引入了新的风险；采集数据，可能引入了新的风险；系统上线，可能引入了新的风险；做个变更，可能引入了新的风险；搬个家，可能引入了新的风险……

当然，不仅如此。当出现新的法律法规和政策要求，而员工又很难更新思想认识和专业知识时，新的风险又出现了——只是这些风险早就隐藏在组织中，变化只是让它们暴露出来而已。

图2.招聘现场

化解

安全管理的本质就是风险管理，而风险管理的本质是责任管理。

组织中负重要责任的人，往往是那些顶着“首席”头衔的人。

CEO，首席执行官，负责制定和修改公司的业务计划，从宏观角度监督公司的财务、战略规划和运营，确保公司的发展和繁荣。

CFO，首席财务官，负责创建和维护公司的资金结构，决定公司的财务需求，并向股东提交财报。

CLO，首席法务官，负责构建和维护公司的法务体系，领导公司对内对外法律事务。

CIO，首席信息官，负责公司信息系统和技术的战略与管理。

CSO，首席安全官，负责公司整体安全战略规划和管理。

CISO，首席信息安全官，专门负责信息安全领域事务的领导和管理。

CPO，首席隐私官，负责确保客户、员工等隐私数据安全，满足相关监管机构的隐私保护要求。

CHO，首席人力资源官，制定集团化经营的公司人力资源的战略规划，并监督执行，负责建立畅通的沟通渠道和有效的激励机制，全面负责人力资源部门的工作的职责。

图3. 认真负责细致入微

责任会带来权力，而权力会带来风险。化解风险的一个有效方法，就是监督和制衡权力。从另一个角度来说，没有人能独自承担全部责任，哪怕是一个专业细分领域的而已。

所以这些人会把自己承担的责任向下分，分到几个自己“最信任”的高级经理头上。这些高级经理也会向他们的上司一样，继续把责任向下分。最后，公司里的每一个人都拿到了自己领取薪水的一个理由——一份责任。每个人用来承担这份责任的职业素养和专业能力就可以化解风险。

排除

人心叵测。有太多公司因为人的恶意而陷入困境甚至倒闭。有太多人一时鬼迷心窍勾起贪心锒铛入狱。但是聪明的安全管理者们想出了很多办法来避免这样的事情发生，比如用岗位轮换的方法来检测欺诈行为，用职责分离的方法限制权力。在招聘的时候，可以做背景调查和安全意识测试，在辞退的时候，做好交接和审查。

但是这些冰冷的工具，不会成为人们积极、乐观、主动、负责的原因，企业至少需要施行两个计划，一个是员工帮助计划，另一个是安全意识培养计划。

员工帮助计划，即Employee Assistance Plan. 旨在为员工建造一个健康有效的工作环境，主要关注员工的心理健康，通过识别、分析和处理员工的心理问题，提升员工的幸福感。实际上，EAP不仅可以帮助员工解决潜在的心理问题，还能提升员工对企业的信任感和忠诚度，并且可以提升员工的工作效率和工作能力。

图4. 最警觉的动物：水母

安全意识培养计划，即Security Awareness Development Plan. 我在研究安全意识时提出了该计划。区别于安全意识培训、宣贯、教育等“高高在上”或者“一劳永逸”的态度，我倡导企业将安全意识培养当作企业发展过程中持续不断进行地一个全员计划。从基础做起，先让全体员工获得基本的生活、办公相关的安全知识，再逐渐通过案例帮助理解，第一阶段可以达到每个人都具备基础的风险识别和处理能力。针对不同岗位，还可以根据岗位职责制定专门的培养计划。培养的范围也不应局限在信息安全，而要对安全有全面的认识，也包括人身安全、交通安全、食品安全等。法律意识和隐私意识也是很重要的一部分。

意识是个看不见的东西，但人的行为往往会将事实显露出来。

结语

人可以带来风险，也可以控制风险。安全不是主角，人才是。

诸子笔会 |11月征文合集《供应链安全》

诸子笔会 |10月征文合集《安全周》

张永宏 王振东 赵锐 蔚晨

刘志诚 刘顺 肖文棣 季奖公布

诸子笔会 |9月征文合集《安全团队》

刘志诚  张永宏  刘顺  杨文斌  蔚晨

王振东  孙琦  肖文棣  赵锐 月奖公布

诸子笔会 |8月征文合集《数据安全》

诸子笔会 | 7月征文合集《安全自动化》

诸子笔会 | 6月征文合集《安全数字化》

齐心抗疫 与你同在