中小银行与五大行相比,特殊性很强,主要表现在:
1)安全人才少,真正从事安全和管理的人屈指可数;
2)安全对业务的依赖性更强,很好理解,因为生存和饭碗比安全更重要;
3)安全投入明显不足,极大地约束了安全体系建设。
在这种情况下,怎么做规划安全体系建设?
我的经验和想法有这么几点:1)还是要立足根本,追求小而美,放弃大而全。在方法论层面,只吸收大行最精华和最具有实践意义的部分,抛弃纯粹面子上的一些华而不实的东西,比如,大行说我要有一支能够开发、能够建设、还能够运营的大型安全团队才能干活,这个在中小明显不实际,所以坚决要抛弃。但是大行说,我做一个融合安全和业务的新产品,这个可以学习;
2)在做规划的时候,往往会听到四大讲一套非常美丽的方法论,这个一定要谨慎,不是说要防四大和强盗,而是说这种方法论一般都太全面和不讲场合,在中小根本无法实际展开;
3)土办法有时候很有用,你比如说,有的单位就把自己的安全体系总结成三个一:一把手+一个平台+一个考核。一把手就是说一定要行长亲自挂帅;一个平台是安全管理平台,专门出报表的;一个考核是把病毒之类的作为行政管理考核的一部分。
还有其它想法可以交流。