在甲方做安全，无可避免需要跟各种不同的人打交道，跟不同部门的人打交道。因为安全是一个横向的学科，要把安全做好就得动能各部门人员的配合。对部门内部，需要做好安全人员本身的人员管理，对外，需要持续输出安全的价值。

首先讨论一下对部门内部的管理，能让人产生动力的无非是有利益的东西。金钱的奖励、核心价值的实现、个人能力的提高、让内部幸福感提升。首先讨论一下金钱的奖励，金钱的奖励需要根据绩效等考核去做划分，那么怎么去指定绩效考核目标呢？以下是个人的一些想法：

1. 内部风险的发现数量和等级，数量需要制定阈值，避免内部发生内卷的无意义的堆砌数量的现象发生，权重配比可按照发现的数量占据30%，设置上限；按照风险发现的严重程度适当分配其他70%的评分标准。可按照公司的实际情况适当划分；
2. 协调其他部门或人员关闭风险，风险发现是过程，风险整改闭环才是目的。按照人员的协同整改周期，整改效率，整改数量去衡量。一来可以直观判断组织内部面临的风险态势，二来可以发现部门内部人员日常工作碰到的难点以及工作状况；
3. 根据安全人员所跟进的业务线应急、安全事件发生数量跟进。安全最终的目标是“不出事”，不出安全事件或者少出安全事件作为评判的标准。当然，可以同比其他业务系统做好相关的基准定调。

其次，讨论关于内部部门核心价值承认，个人能力与幸福程度提高的想法：

1. 承认安全人员的核心价值，需要安全工作真正落地，而不是变成一个空中楼阁。管理者需要适当的与其他部门的人员输出部门内部其他安全人员的工作内容，获取横向部门领导的认可，隐形推动安全工作。使得安全人员落实某些措施确实可以有效改善组织内部的风险，而非流于形式；
2. 个人能力提升其实也是作为团队建设的一部分，帮助成员搭建起一个能力提升平台，帮助成员全面提升自己，如果成员想在深度上专研，也需要去沟通公司管理层，帮助内部成员提升安全能力。当然，如果花销巨大，根据公司不同情况签订留人协议；
3. 一个人感觉到幸福，除了价值的承认，根据时代的特点，还需要平衡好个人生活与工作时间。为什么现在普遍充斥着内耗以及内卷的氛围，年轻人习惯于躺平。在互联网大环境中，世界再无新鲜事，一切打着“画饼”的激励举措，都被旁人看得明白，“套路”很难搞定现在的年轻人了。真的需要用心去帮助成员提高幸福感，得到生活与工作的平衡。例如，组织单纯为了表现工作量的报告制作，停止无意义的加班和内耗，除了工作外，以朋友的形式相处更好。

上述是对内部成员打交道的一些简单分析，除开上面描写的场景，可以从漏洞发现、漏洞管理、权限管理、安全运营、合规化建设、监管单位对接、业务线安全、办公网安全等多方面考量。对于激励管理、价值管理等可以参考管理大师的佳作，在此抛砖引玉。

以下讨论一下对于横向其他职能部门的安全推进工作怎么与人打交道。安全在企业阻力重重，难以落地或者效果不理想的原因都是因为内部不理解、不认可、不专业等所导致的。

安全是需要向其他部门进行输出的职业，等同于法务部门之于组织。首先，我们要做的就是提纲挈领，把安全要做的条条框框画出来，牵扯到其他部门的配合与管理的需要及时跟其他部门负责人沟通。说明怎么做、为什么需要这样做、不这样做将会导致什么后果、这样做会存在什么样的风险、不这样做又会存在什么风险、其他方案以及为什么会选择这个方案。

举个例子：组织需要防止办公网数据泄漏（为什么），需要在员工的办公终端安装DLP软件（怎么做），如果不安装这个软件，无法定位数据泄漏事件，难以管控（后果），但是安装这个软件导致的现象是，涉及到敏感数据的文件将会进行阻断，导致发送不出去，对于部分低配电脑存在明显的卡顿现象。还有一些在网络层的部署方案，但是对于离开办公网的场景无法做到覆盖。

确定完需要跟别的部门打配合的工作后，剩下的是持续对横向部门输出安全的价值。个人认为风险管理是一个比较好的共同话题，因为其他职能部门作为企业的一个子集，其实也是为了控制企业风险而存在的。例如财务、会计、出纳、采购等控制公司的成本预算、供应商管理、财务保障等风险管理，开发部门代码风险管理，人资部门被调，犯罪记录等风险管理。安全即对公司IT信息系统的风险管理和把关。

可以分发安全小手册给全员提高安全意识，可以发印刷了安全红线的鼠标垫给全员明确公司的安全“底线”，可以通过活动方式邀请参与。可按照不同部门面临的不同威胁使用不同的工具，手段各异，但是目标一致，就是宣传。

需要其他人员打配合，需要多见面，中国人讲究面子，很多场合见面可以解决很大一部分的阻力。通过邮件、聊天等方式沟通，一来难以将全貌阐述清楚；二来会显得毫无诚意，见面三分情，面都没见过，需要打配合，当然没情面可讲；三来需要以服务的态度，站在对方的立场来说，采取什么措施会对他们的“入侵”最小，影响最小，方便快捷，而不是一个通知放出去，多了解对方的难处，也需要坚守自己的立场和底线。

很多安全人员闭门造车，不了解公司其他部门的生存方式，工作方式，不了解别人的难处。只专注于自身的领域，渗透容易进入到一个纯技术的道路，不是说不好，对于甲方“不出事”的前提，多高大上的漏洞最终落到实处就是风险关闭。要多想想，为什么这个漏洞那么严重，为什么他们不关闭？是不想关闭，还是遇到什么样的难题，都需要多跟踪交流，而非满足式的自嗨，世界除了我其他都是蠢蛋。

所以，安全整改需要防止过度的入侵，但是安全文化需要全方位的渗透，这才有利于安全真正落到实处。