大数据不仅成为互联网行业的热门词汇，更是目前信息化领域关注的创新技术焦点。

将信息系统应用于业务创新之时，不断产生的大量数据给传统IT管理带来挑战，特别是基于大数据的深度分析和有效利用，让IT重回业务创新流程的核心。IT初期建设之后的优化和改进在大数据时代朝气蓬勃，同时，如何有效利用大数据，将老旧的、不合时宜的、维护成本过高的信息系统顺利迁移到新的应用平台上呢？如何将安全威胁隔离出来呢？这是不少关注信息安全的IT管理者的头等大事儿。

通常关键性的行业如互联网、通讯、金融等领域拥有海量的数据，信息化程度也很高，性能问题不能一直靠简单增加服务器、网络设备及带宽来解决。高可用性的需求也时刻要求我们避免系统故障和停工时间。有效预知未来可能发生的安全事件，则是大数据时代最大的安全研究课题。

信息安全技术派可能喜欢搭建强大的信息系统来监控和侦测各信息系统的使用情况，并进行大量的条件设定，以便能通过使用大数据来实现我们所期望的大安全，进而让各类安全威胁能够被自动识别、预知、报告和进行高度关联式的响应。

偏执的信息安全技术派简单地将大安全想象成Hadoop版本的SOC，这不免有些天真的可爱。因为对于业务来讲，关心的更多的是界面和功能，对后台的深层次的技术东西，比如是用IBM，还是HP或Oracle的平台，业务部门的兴趣不大。昆明亭长朗然科技有限公司大数据安全观察员James Dong说：实际上，在后台技术方面，他们更愿意交给IT人员来做决定，当然业务部门的要求也很有道理，系统最好能够有很好的扩充性，以便满足业务不断发展的扩张的需求，此外便是价钱要合理，而且尽可能少花钱多办事儿。

那大安全如何办呢？信息安全关乎业务安全，这可是不能打折的。但是在业务眼中的信息安全是什么呢？防病毒防黑客？远不是。业务持续运行不中断，或意外中断后能快速恢复？有点道理。更重要的一点儿，业务安全期望IT安全的目标和战略能够满足到业务的目标和战略实现。

说到信息安全目标和战略，便是大数据时代大安全应该积极与其保持一致的，这不是夸夸其谈纸上谈兵来点虚妄的理论。在实践方面，大安全当然要跳出IT的思维圈子，也不仅仅是将传统的物理安全、生产安全、职业安全等纳入进来。

大安全，之所以要大，海纳百川，有容乃大。把安全做大的同时也是在创新，在安全创新方面，我们要想业务所想，急业务所急，细化业务安全目标与职责，通过大数据系统来驱动业务安全的实现。强化业务风险识别与监管、内控与合规、公司治理、防内幕交易、防腐败……

大安全不是搞一套监控信息系统的安全管理系统，而是将安全理念和安全控制内置到业务流程之中，比如在关键业务信息系统的审批和流向之中加入必要的控管措施，防止专权或渎职、防止太过于保守和太过于激进等等影响业务持续健康发展的安全隐患。

要让大安全得以成功实施，需要较多的沟通协调和人员培训。这是一项大工程，每家公司都不一样，所以需要量身定制的大安全培训解决方案。使用昆明亭长朗然科技有限公司的信息安全培训解决方案，客户可以获得物超所值的精致实用的而且贴身可靠的安全培训产品和服务。

俗话说“春种一粒粟，秋收万棵籽”，“一年之计在于春”，春天是忙碌耕耘的季节，对信息安全行业的从业人员们来讲也是如此。各类组织的安全管理团队纷纷开始制定新的一年的安全目标、战略和实施计划，希冀能积极面对各类不断演变的安全威胁、通过各类安全控管措施，降低组织所面临的安全风险，进而达到保障业务的安全持续运作的总体目标。

然而，想在年终大会上进行工作总结时好好展示一把信息安全部门对于组织业务成功的伟大贡献并不容易，来自各个业务部门的高阶管理层会关注到部门内外相关的严重的计算机信息安全事故、由于安全事件给业务正常运作带来的不利影响如停工时间、客户流失、商业信誉损失、机会损失等等。

虽然我们并不能完全杜绝安全事故在组织内的发生，甚至即便我们的安全团队进行了适当的安全应急响应措施，最大限度地挽回了潜在的损失，仍然不免会被高阶管理层误解，甚至受到批评和指责，问题的根源何在？即使不是高管们刻意刁难，能投入更多的钱，请最牛的高手，实施最为领先的安全系统，也还面临着安全与效率的平衡问题。

不要以为高管们不懂得安全，他们可能确实不会配置防火墙，甚至工作电脑中了毒也还要求助于IT帮助台，然而他们对于您制定安全的控管目标和战略会有很大帮助，想在信息安全方面制定出满足SMART标准的目标并不容易，特别是安全控制目标缺乏行之有效的衡量标准，所以没能进入到组织核心决策层的信息安全管理负责人员永远可能会低一头，因为业务高管可能会轻易给信息安全工作的成绩给出或好或差的判定。

再问一次，问题的根源何在？如果安全管理负责人不想让团队的后期努力付诸东流，一年下来却发现白忙活了一场，就应该现在反思一下。

对于绝大多数组织机构而言，安全不会是核心的商业竞争力，无论如何信息安全管理负责人难挤到核心层，或许您要辩解说核心层的高管才应该为安全负责，这就对了！那您有没有想，既然高管和业务部门要为安全负责，那要专门的信息安全团队和人员干嘛？

好！到这里，聪明的您应该明白问题根源所在了，就是安全不仅是信息部门的事情，安全需要高管以及各个业务部门成员的参与，实际上，保障信息安全是组织所有成员的职责，所以让所有员工都参与进来吧！

信息安全负责人及部门成员再不应该继续像无头苍蝇一样埋头于技术的安全控管系统，应该多与各业务部门沟通协调，帮助他们了解基本的安全理念，帮助他们找出组织层面和部门层面的重要信息资产，帮助他们认识到这些信息资产所面临的安全威胁，帮助他们并和他们一起讨论及制定安全风险控制措施……

有了高阶领导层和业务部门管理层的参与，员工们也更有了主人翁精神，这才是真正在做安全，这种安全是和业务紧密相关的，不管叫风险管理、业务安全、公司治理什么的，总之，信息安全团队的价值得到了更大的发挥，而不再是配置个网络安全系统，控制了员工的网络使用行为，又引起了员工的消极对抗等等这些较低的安全管理行为。

所以，在制定安全战略时，要考虑更多与业务部门管理层及全体用户的沟通和交流，要为此分配资源，要给出足够的安全预算，要制定全体员工的安全意识培训计划……

武汉大学计算机学院副教授、信息安全博士彭国军称：信息安全是三分技术，七分管理！相对于某些安全设备投入而言，加强员工的信息安全意识，使其能够及时感知安全威胁并合理规避风险，更有意义和效果！

有信息安全从业人员觉得安全沟通不容易，用户要么忙忙碌碌重视不过来安全，要么做贼心虚刻意躲避安全……实际上，通过安全意识培训来加强沟通和理解是最佳的途径，昆明亭长朗然科技有限公司在这方面积累了丰富的经验，帮助了众多客户成功地通过安全意识培训，进而建立起组织内的安全文化，增强了企业的凝聚力和竞争力，亭长朗然公司欢迎对这些有兴趣的客户来电来邮件进行咨询。

我们总结一下，制定信息安全管理的目标、战略和计划时，要考虑到信息安全是为了保障公司的业务持续，是为了保护组织的成功，所以，信息安全不单是安全部门的职责，更不能信赖单独的技术控管措施，加强同高管以及各业务部门的沟通协调，Involve他们到一条船上，也让所有员工参与进来，方可共建成功的安全体系，也方可共享信息安全建设的胜利果实。