1+2+3一直加到无穷大等于几？答案竟是负的十二分之一。从专业角度来讲，这是一种重整化思想，解释为此求和是对ζ函数做了解析延拓。不去管其中的数学专业性，单只这结果本身是不是很有趣？包括黎曼猜想、量子力学、双缝干涉实验等等。不禁遐想，是否一味的盲从科学也算是一种迷信？又是否科学的尽头真的就是神学呢？

对此朱诚感慨道：“多纬度的去观察这个世界，了解其中的运行规律，有时候我真的觉得这一切并非那么简单，我对这些神奇的事特别感兴趣，因为了解得越多就越能使我坦然的面对生活。茫茫宇宙之中，我们每个人都只是一个小小的质子，生命很短，个体很小，因此只有从容不迫的活在当下才最为重要。而每当我工作很累、压力很大的时候，我就会这么安慰我自己。”

朱诚将电影比作一个个视窗，他惯于从不同的角度去看待社会、看待文化、看待每处地域里所呈现出的不同的风土人情。他觉得这就是一处处的人生，遥不可及而又让人身临其境。访谈就是在这样的语境下，朱诚告诉了笔者该怎么做好信息安全上的管理工作。

朱诚毕业于南京理工大学，专业为电子科学与技术。他毕业后不久就做了软件开发。2016年夏天，一次偶然的机会他接触到了信息安全管理，从业至今，六年过去了。

从项目经理到安全管理，陌生领域的未知性给朱诚带来了极大的挑战，而直到今天他终于明白自己的选择没有错。“这两年，无论是国家的形势，政策的变化，还是数字化的转型，动辄就会威胁到企业的存亡。近年来全球多个国家纷纷颁布相关法律法规，对信息安全与隐私保护相关问题进行严格的规范与引导。如中国的网络安全法、GB/T 35273个人信息保护条例；欧盟GDPR通用数据保护条例；美国加州CCPA隐私保护条例；美国内华达州SB220数据隐私法；英国DPA2018数据保护法等，都说明了社会对信息安全管理有着巨大的需求。”

那么对朱诚来说，开发、测试和信息安全到底有何不同？朱诚回答了一个词：大局观。

“作为开发工程师我只需要负责一个模块，因为几乎没有工程师是负责一整个软件的，所以我只需要关注这一个模块就行，我只要把这一个模块开发好、测试好就可以了。但是信息安全管理不一样，第一他需要更多的沟通，比如我们常需要和开发人员、测试人员沟通，有时还需要和客户的管理人员沟通。然后我们得站在开发、测试的角度去想问题，甚至还得站在消费者的立场去想产品的价值问题、使用情况。因此，我觉得信息安全比起一般的开发测试岗位得更具整体观念和大局意识。”

正是这样在意识上的转换和品性上的坚韧不拔，公司才会让朱诚接手新业务信息安全管理的开拓和建设。朱诚认为这纯属机缘巧合，而笔者则更多的觉得该是“机会总会留给有所准备的人”。

外包行业的信息安全管理和甲方的信息安全管理有着较大的区别，甲方更注重策略，乙方更注重管理和执行，而朱诚所在的外包行业就属于乙方公司。

对朱诚来说，在长达六年的安全管理工作中，较为有趣的内容是违规调查，因为这需要和不同的人斗智斗勇，有时候甚至还会牵扯到心理战，用朱诚自己的话说，就像是在预审犯人，即如何让违规的人员说出违规经过和违规动机，这对公司的安全十分重要。要知道的是，外包公司所导致的信息安全违规会使甲方公司被严重罚款，动辄上百万。

“我司在业内可算得上TOP3，只我所负责的业务线就有上万人。所以我们有自己的内控制度，我们需要依据具体的事项来定员工的处罚级别，有时候还会涉及司法程序。听我言语是不是觉得好像就这么回事？其实不然。在调查的过程中我们需要关注员工的表情、动作和表述，要时刻留意他的措辞有无漏洞，在不同的处境和情节面前，或需吓唬，或需安慰，目的是为了尽量避免被调查的员工做出过激的举动，这就需要去把握一个适合的尺度。而我呢，常常会比较严厉，也就是所谓的唱黑脸。”

朱诚为此举了个例子。某分公司曾有个即将离职的同事，在离职前相关专员与他做了信息安全上的沟通，签署了必要文件，并进行了流程上的检查。结果在检查途中，该名员工主动交代了自己在工作上的一些违规事件，但却对所盗取的文件和代码自称记不清了，相关专员因此发现该名员工在交代事件时常常含糊不清、避重就轻。于是在意识到问题的严重性后，专员并未直接戳破，而是将之前公司所发生的真实案例和一些“主动上报免于处罚”的事实缓缓道之，并安慰对方让其可先回家思考，若有遗漏或未及时想到的，明天再做补充也不迟。

当时该名员工态度坚决，一口否认，承诺自己所做的都已交代完毕，没有丝毫隐瞒。但相关专员还是坚持让员工仔细斟酌，并言明“被公司查出”和“自己交代”之间的性质区别。就这样，无奈之下员工只好先行归去。而有趣的是，第二天众人都还未上班，大概早上六点左右，该名员工就打电话给专员说昨天交代的事情还有些许遗漏，今天想来补充。最后所有违规之事都被他全盘托出，甲方公司因此才避免了重大违规。

“当然也有不到黄河心不死的。曾经有名员工在微信上和我们专员叫嚣说‘有本事就告我啊’，在众人的认知里，公司是不是很难在司法上胜过员工？因为法律对员工会有所偏向，但反过来思考，公司若没有足够的证据又怎么会和你一个员工去计较？所以直到传票发至该名员工的老家，直到他家里人通知到他，这名员工才意识到了事情的严重性，最后将所有赔偿都付清了。”

CISPP书里面指出，公司的高层应该为信息安全管理负责，朱诚认为这句话不管是在甲方公司还是在乙方公司都非常正确。这里的负责指的不是具体的管理，而是要推动安全管理措施将其落地，这是公司高管应该做到的。

“信息安全管理毕竟是一个吃成本的部门，有时候还会影响业务开展的效率，所以我相信大家都遇到过不被公司主流业务待见的问题。说白了，公司没事的时候，安全部门的存在感很低，公司一旦在网络上、合规上、安全上出事，安全部门马上就要出来背锅。因此，‘业务不待见，主管不配合’仍是信息安全管理中最大的问题。”

2019年，朱诚接手了公司互联网业务的信息安全管理。为了开展公司里的相关工作，他和各业务高管交流了信息安全管理的相关内容，发现部分业务主管仍不清楚安全部门在公司里是什么角色、什么职能，只觉得安全部门是打杂的。

朱诚需要招收一名信息安全专员，连续面试了三十多人都没有找到合适的，最后问了面试者才发现，HR在筛选候选人时是这么形容信息安全管理的：这是一个职能岗位，比较简单。

“我把岗位描述、职能内容都发给他了，我还交代了外包的信息安全专员和甲方的信息安全专员会有哪些区别，结果和每个面试者都好像鸡同鸭讲，足见这个岗位的存在感。而其实信息安全从严格意义上来说是一门独立的科学，和质量管理是一样的，没有区别，信息安全也有自己的方法论。”

也正是在这一年，朱诚所在的业务发生了信息安全事故，业务主管被问责，这才逐步扭转了众人对业务信息安全的态度。朱诚说，这可算是塞翁失马。

对朱诚来说，在工作上所遇到的难题除了岗位不被重视外，大环境下安全人才的缺失也是一大痛楚。“就好像那三十多位面试者，他们虽然对IT行业有一定的了解，但对安全管理一窍不通，这所引申出的行业问题就是在专业上没有针对性。”

朱诚指出，什么叫信息安全管理？很多人在涉及信息安全之前就只是做IT的，所以他们不明白作为一名管理人员的心态该是怎样的，随着95后、00后的加入，管理人员得明白这群人在想什么？这些年轻人需要的是什么？管理的侧重点在哪儿？很多策略、很多人员、很多场景，得对症施药，才能药到病除。公司要有安全制度，安全管理人员要告诉员工、告诉开发、告诉测试，什么东西能做，什么东西不能做，这样才能避免信息安全的违规。

许多精通于技术的人才会在管理上偏弱，还有一些完全侧重于制度编写的，他在技术上又会存在问题，这便是朱诚认为的安全行业人才发展不均衡的根本所在。

“三分技术、七分管理才能做好信息安全，而我认为最起码也得是五分技术、五分管理。我们得和IT对接、得和运维对接，得知道IT在说什么，网络拓扑怎么看，同时也该明白上网行为如何分析，后台审计策略如何设置。能和IT沟通，也得学会怎么和业务主管沟通，从入职到离职的员工都要有所交流、有所管理。其实言下之意就是这些专业人才他们在自己的职业发展上，要么过于偏向技术，要么过于偏向一些和技术无关的内容。”

如今朱诚有了自己的团队和架构，自然对管理方式有着自己独特的方法论和见解。朱诚表示，当下公司里的信息安全管理从两方面入手，一是人员管理，二是IT技术管理。

人员管理分为四个阶段，入职、在职、转项目转部门、离职，朱诚采取的是端到端的管理方式，即每个员工都需要在各阶段有所学习、有所管理。

入职阶段，员工的安全风险体现在意识层面，因为毫不夸张的说，信息安全在很多公司里是没有的，所以很多员工入职时的安全意识几乎为零。因此朱诚的管理手段就是对其进行意识上的培养，比如上安全教育课、考试、让他们签署承诺书、让他们进行定期的自我检查等。

在职阶段，员工虽然渐渐有了安全意识，但他很快就会被业务淹没，比如员工经常需要加班，那么在这个时间段，朱诚的管理方法里常要做的就是宣传和巡检。宣传可以用海报的形式，也可以发送宣传邮件，或者进行知识竞答，目的就是花较少的成本去达到最大范围的宣传覆盖。而巡检就是到现场去察看员工有没有做出违规的举动，比如他们会偷拍一些机密的文件，或把U盘、存储设备等带到办公区域

转项目转部门阶段，会出现出差的情况，比如原来是在南京公司的员工挪去了杭州，此时朱诚的管理方法里主要做的就是审计。首先是要审计人员有无转项目和转部门的资格，针对于他的工作情况，需要找到他的项目经理，去分析他有没有可能持过一些高风险的权限，包括这名员工在原来的项目组里有没有和同事、客户、项目经理等起过冲突，因为有些违规可能是激情犯罪，因一时情绪而突然发作。同时还会审计员工的办公设备，看有没有留存于不属于这个项目的文件，还会审计工作产出、代码合格率、工作情况、背景调查、成绩业绩等等。

离职阶段，主要的管理手段是签署和承诺，即让员工去签署一些不扩散承诺书，并同时让员工按下指纹，其目的在于给员工一种心理暗示，因为签字和指纹只有在极其严肃的事上才会同时要求做到，这样员工才会对此事上心，他才会明白，一旦违规公司是会追究责任的。

相对比于人员管理，IT技术管理上的内容就比较少了，主要是上网行为的管理，即通过上网行为管理AC，审计员工的传输数据和日常上网行为习惯，用于分析员工是否有信息外发的风险。“比较有意思的是，我们在和违规人员交谈时会把平时他的上网记录、上网行为给打印出来，放到他的面前，这样他才会谨记，以后就不敢再随便违规了。”

当谈及有什么事让朱诚感到自豪时，朱诚不假思索的说道：“组建了互联网业务的信息安全管理团队，建立了互联网业务的信息安全管理体系，这是一个从0到1的过程，很辛苦。但当客户说我司是所有外包公司信息安全管理体系最完善、管理措施最扎实、管理结果最优秀的团队时，那一刻，我觉得什么付出都是值得的。”

朱诚说他的团队偏向于制度和策略，算是一群管理人员。在人才缺失、人才发展不均衡的背景下，朱诚的每位队员都能像作战部队一样做到以身作则、身体力行，这点让朱诚特别有成就感。十二人，从最初的“业务不待见，主管不重视”，到如今的举足轻重，朱诚觉得每一位队员都是非常值得信赖和依靠的。

“虽说我是他们的主管，他们是我的下属，但我们之间更像是在相互成就。对我来说，我会争取给他们提供更好的岗位、更好的发展，而对他们来说，严格遵循每一次的安排和计划实施，才会让我所负责的管理团队更有底气和力量，这就是所谓的团队。同时，我的安全团队还能和业务团队之间做到相得益彰，这在许多公司里都是很难得的。业务和安全不该是相互对立的关系，信息安全可以帮助业务更好的做到业务交付，而业务团队则可以配合去把信息安全的管理策略落实到位。很欣慰，我的团队在这点上做得很好。”

最后，朱诚对行业的未来总结出了三点建议。

1、信息安全管理不能束之高阁，更应该普及化。当下的社会环境虽然有着各种法律的颁布，但对群众生活上的影响还是比较少，电信诈骗、个人信息泄露等仍旧屡见不鲜，而个人信息保护只是信息安全的冰山一角。

2、信息安全管理人才应该有意识、有目的的在大学阶段进行培养，应该增加安全管理人才储备。就像上文所说的那样，人才发展不均衡，在大学里没有关于“信息安全”这样系统的专业和学科，比如密码学、信息安全学、数据安全管理学等。

3、信息安全管理应该渗透到每一个开发测试人员的心中。每位开发人员、测试人员在对自己的模块、自己的代码进行编译时，他就该有安全意识，该具备数据安全和个人信息保护的概念，这样才不会导致所开发的软件在起初就已经有了“过度收集信息”的倾向。对IT人员而言，往小了说，这是违背职业道德的，往大了说，这就是违法的。

齐心抗疫 与你同在