本篇是安信证券信息技术中心总经理许彦冰为《企业安全建设指南:金融行业安全架构与技术实践》所作序一,感谢许彦冰女士为本书作序,她是我非常敬佩的一位领导和学习楷模。在安信证券三年时间,我从许总处学习到:以更高的视角思考安全工作的价值和存在的意义,以更协作的方式在组织内部推动安全工作落地,以人为本推动团队成员实现个人价值提升。
安信手机证券用户数突破400万,祝贺安信手机证券团队,他(她)们绝对是证券业的一股清流,有实力有颜值还努力。
三年前认识聂君,初见时的场景仍记忆犹新,当时本人所在的企业急需引进一名在信息安
全领域能够独挡一面的专业人才,机缘巧合之下认识了聂君,几次接触发现不仅知识和能力与岗位相匹配,更为重要的是彼此对很多事情的认识和看法非常契合,颇有相见恨晚之感。三顾茅庐之下,估计这位安全界大名鼎鼎之君哥终于被我感动,我也终为公司求得这一人才。
合作三年,感佩聂君做事的认真和用心,视角全面、思维成熟、敏于实践、勤于总结、乐于分享、广结人缘,若非如此,我想也断不会有此书的出版。
这几年,因工作的关系,我们在安全领域做了不小投入,下了不少功夫,对从事安全领域的甲乙方小伙伴们有了更多的了解,接触下来,真觉得十分有趣,也很欣赏。安全圈无论是国内外,颇有江湖侠客之风,黑客之文化:英雄不问出处,尊重个性,崇尚技术,追求卓越。靠着先天之悟性加后天之勤奋,从业者可以一战成名,受众人尊重甚至追随。
当下,尤其是对金融机构而言,信息安全的重要性已经不需要再特别论证。或许各家企业起心动念起点不同,但无论是主动谋求长治久安,还是仅仅为形势环境所迫,无一例外都已经将信息安全作为一项重中之重的任务来抓。但真正要做好,却着实不易。借此机会,我也从我的角度(甲方
IT
主管)浅谈一二。
一、
关于信息安全工作的定位:金融企业的商业价值是为客户提供金融服务,业务永远是其根本和主业,
IT
的价值在于把技术做好,为公司提供先进的、安全的、有市场竞争力的
IT
平台和工具,服务好客户。因此
IT
万不可跳脱出来,就着技术论技术,甚至倒逼公司做投入。信息安全作为
IT
的一个细分领域,也同样必须统一到这个认识上。作为甲方的安全从业人员,必须基于公司的业务、发展阶段和内外部环境,综合统筹制定安全规划和实施路径,帮助企业达成商业目标,和业务的差别仅仅是分工不同、职责不同而已。
二、
关于信息安全工作的重要性:经常听到这句话:信息安全做的好不好,首先取决于领导的重视程度。在我看来,这话对也不对。对的方面是:结果是否达成确实和领导有很大关系,如果公司不做投入,领导该承担的责任不承担,任谁都不可能做好这份工作;那为什么又说这话不对呢,因为领导不是神仙,在缺少信息支撑的情况下不可能作出预判和决策。安全人员自身要做好领域规划和布道宣传,有意识的提炼工作、向上管理。有时往往是因为自身能力的欠缺,这方面的工作做得不够,不同职场层次之间存在较大信息不对称,才造成了公司投入没有及时跟上。因此,无论是安全人员还是
IT
人员,这是需要时刻提醒自己和提升自己的地方。
