第五，娱乐化。

服务讲体验，而如何强化体验，这是花样和细节的问题。

曾几何时，IT宅男给人的印象总是很Boring。原本写代码编程序就够乏味了，再有意无意地给信息安全裹上一层神秘莫测的暗黑外套，不更是拒人于门外了？企业信息安全之所以难做，很大程度上在于此。提到安全就是技术，提到技术就是产品，提到产品就是配置，提到配置就是操作，对那些整天和机器设备打交道的操作员来说都够没劲的了，何况不懂技术的普通员工？更何况根本不在意细节的领导？

那怎样让信息安全不再枯燥？很简单，接地气!怎样接地气？也简单，娱乐化。我们都知道，在互联网时代，谁能最快地贴近并粘住用户，谁就能抢占桥头堡并一举获胜，超女好男如此风光，水军炒作如此热闹，归根到底，就是搞活眼球经济，而把娱乐精神发挥到极致，是吸引眼球的不二法门。

放眼望去，潮流动态已显趋势。君不见，早年间还板正端庄的各类IT展会(包括信息安全展会)，现如今已然是互联网企业的娱乐秀场，美女站台，屌丝杂耍，人体彩绘，送安全套，台前幕后斗嘴捧哏，花花绿绿好不热闹。

在企业内部搞个信息安全形象代言，举办信息安全超人赛，利用热点话题做一番“炒作”，征集故事编写脚本拍摄微电影，搞几场黑客真人秀，尽量让信息安全那点事儿更有趣、更简单、更活泼、更轻松，让信息安全部门变成企业文化发展的加油站。且不论泛娱乐化的是非曲直，对信息安全来说，把技术的问题塞到黑盒子里，把感受的问题找出来、放大并彰显，让信息安全好理解、有意思、易操作，至少是信息安全工作一种不错的表现形式。

第六，个性化。

信息安全服务的对象是企业所有的员工，但不同层级，不同部门，不同岗位的员工，其对信息安全的敏感度、诉求，以及所应承担的责任，都会有所不同。既然服务强调体验，一刀切、标准化的做法显然做不到良好体验，更别提极致体验了。

信息安全若有以人为本的思维，无论技术还是管理，其实都可能换一个模样。在企业内部，将个人的逻辑和物理身份与权限、控制、服务尽量关联，并且提供多样化的技术支持(事实上企业在此方面大多有所作为，例如身份管理和访问控制，各种SLA级别的IT服务等)。同时，多以彰显个性的方式来展示信息安全服务的到位和贴切，让信息安全意识的传播更有针对性，也许，信息安全部门更应该紧密合作的并非IT、合规或内审，而是企业的HR、行政和文宣部门。

当然，个性化就意味着多操心，多操心就意味着多付出，若要做成本管理，就要寻找平衡点了。但从体验度着手的个性化思维，未必一定是实打实的硬投入，可能更在于服务的贴近与用心，这方面，不妨学学海底捞吧，学不到十分，学个一成两成，对润滑信息安全与其他部门的关系都是有益的。

第七，数据化。

当IT基础设施、业务系统甚至应用都逐步迁升到云端，当IT部门已无可避免地精简并转换职能，不久的将来，对企业来说，也许最可宝贵的信息资产，就唯有数据。商业秘密，个人敏感信息，以及单看无足轻重汇聚则显价值的各类大数据，与数据价值链上所有相关的人员，也就自然而然成为企业信息安全新的焦点所在。

也许有一天，信息安全部门发现，以往让人焦头烂额的通讯的安全、网络的安全、主机的安全、终端的安全、操作系统以及各类应用的安全，都忽然一下子没有了实际的意义，接踵而来倒是无所不在的数据资料和无孔不入的数据交换让人犯了难，信息安全，也许就此改换了门厅，变成了地地道道的数据安全。

这种转变，一方面让信息安全的焦点更集中在业务层面，进一步淡化了信息安全的IT属性(主要是其传统的IT基础设施层面的属性)；另一方面，对信息安全相关的技术和管理方法也都提出了新的挑战。数据需要保护，如何界定、识别、分级、归属？如何控制分发和流转？如何对各种形态的数据进行全生命周期管理？数据同时可以利用，如何改变以往风险管理的模式，充分利用大数据进行全方位多层次的分析？数据安全还应适应个性化管理的需求，因为每个人都是一个数据高地，无论是来源还是归宿，以人为单位利用并保护数据也就成为一种必然和可能的选项。

第八，生活化。

当工作延伸到生活，生活也摆脱不了工作时，企业信息安全也就无可避免地会涉及到员工的生活方面了。

你还会认为员工的个人信息只是其本人的事情？你还会觉得员工个人电子设备怎么使用无所谓？你还会认为员工在非工作场所遭遇信息诈骗无足轻重？你还会对员工隐私保护漠然置之？你还会认为员工个人的法律诉讼与公司无关？你还会觉得只要在公司范围内守好信息保护之责就万事皆备？

即便从服务化、娱乐化、个性化的角度去看，也不能再对属于员工生活或与生活息息相关的信息安全一面等闲视之了。更何况，在信息安全方面，帮助员工解决疑难，为其提供更多支持和便利，也正是提升员工感受继而塑造企业文化的必然之举。

第九，协作化。

从信息安全边界来看，除了因信息的移动性和传播性而导致的向员工生活领域延伸之外，互联网开放、共享与协作的特性，也直接导致企业在信息安全方面的跨界延伸。所谓一荣俱荣一毁俱毁，在整个数据价值链上，无论上游还是下游，无论发包方还是分包方，也无论是甲方还是乙方，就信息安全而言，没有谁能独善其身。

数据在企业内部保护的挺好，但到了第三方那里却处于失控状态；数据在上游企业因量小分散还不显重要，可一旦进入中间环节并积聚成大数据，则价值凸显；数据在一个企业是一种形态，经过流转进入另一企业则成为完全不同的另一种形态。

第十，社会化。

放眼全社会，互联网思维掀起的巨浪正从科技进步的前沿向众多传统业态席卷。受其直接影响的信息安全，也正呈现一种前所未有的社会化发展之态。

电子商务，云计算，大数据，智慧城市，互联网金融，移动互联网，车联网，物联网，工控网络。就像遍布人体周身的神经系统，在控制调节的同时，也应痛感之需，而无所不在的网络环境，其痛感是什么？就是信息安全。因威胁和风险而感痛，因感痛而做出各种信息安全的应激反应。小到个人，中到企业，大到社会，就像从神经末梢传导到中枢神经以至于大脑，环环相扣，缺一不可。

事实上，企业信息安全已经不只是一个单纯话题。在内部，员工的工作与生活，智能化的设备设施，网络化的交通工具；在企业外围，与供电、供水等城市管理部门的智能化联接；在产业链上，与合作伙伴或中间机构之间密切的信息和物质交互；在上下层级，与管理和权威机构之间不可切分的互联互通。所有这些，都在强化着信息安全的社会化属性。

企业有安全委员会(或风险管理委员会)，现如今国家也成立了安全委员会，虽然是两个量级和层次的概念，但从信息安全社会化角度来看，势必产生上下或前后的关联。

也许，企业的信息安全部门应该多参与些社会性事务，并且成为信息安全相关社会组织与企业之间相互作用的真正纽带。

信息安全部门肯定是不甘心再当救火队了，但又很难成为监督员或执法官，怎么办？不妨变变身，从启蒙者做起，有时是服务生，有时是媒体人，有时是联络官，有时是调解员，有时是导演，有时甚至还要做演员。说白了，就是得有点万金油的劲儿。

也许，企业信息安全，只有当其不成为唯一或狭义上的目标时，其最大的价值才可能真正实现。

(责任编辑：安博涛)