在《党史商鉴》中提到一个企业是有其独特的生态环境的，这个生态环境至少包括股东、员工、客户、政府/媒体/社会中介、社会公众等层次。在《商业的伦理》中也谈到商业五伦：客户、股东、员工、供应链、社会责任。这些都说明企业在考虑一些重大的、影响深远的选择时，绝对不能仅仅看企业自身的获利问题。

　　作为任何一个企业，其趋利的倾向都是正常的，也是合理的，也是正确的。但是如果将这种趋利模式太过充分化，甚至以各种管理概念包装下融入企业内在文化中，在信息安全这个领域中发展可能就不妥了。因为，信息安全是一个特殊的行业领域、一个特殊的技术范畴。这个的特殊性就体现在趋利之为的“责任”二字上。

　　纯粹从企业经营的角度看信息安全企业是会有一些缺失的。作为趋利者来说，可以从战略抉择和运营效益两个方面（概念源自《什么是战略》）加以强化。比如：大家常常讲二八原则，那些花费８０％资源而又仅仅产生２０％业绩的事情，是否可以放弃，甚至想办法让竞争对手去做呢？在我经历的两家信息安全领导企业中，都遇到了直销和分销的两难选择，为了能够获得更高的效益，是否应当转向产品分销的模式呢？分支机构的设置向来都是一个成长企业的难题，那么为了趋利，可不可以消弱分支机构，而仅仅强调大客户销售和渠道销售呢？两家机构都自觉和不自觉地采用了直销模式，但是又都难以放弃分销。这样的选择是否必然呢？

　　常常有一个说法，企业不是慈善机构。那么，到底信息安全企业能否比较彻底地按照一个趋利理念去经营呢？

　　如果借鉴企业生态环境的观点来看这个问题，在整个生态环境中，如果仅仅考虑股东利益＋员工利益，让利润思维过度充满脑子，会让这个生态系统失去平衡，也就是破坏企业生态环境的平衡。

　　医院是一个好的比喻。如果没钱的病人就不救以确保收入，难救的病人就不救以确保医治的成功率，这种考虑，在企业经营上非常正常无可厚非。我也看到有些企业就是这样做的，没有把握的单子绝对不会参加。对于医院来说，仅仅以投入产出效益的角度来经营医院，那么这个医院会失去患者群这个生态环境的信任和依赖感，逐渐声誉扫地，最终这样追逐盈利的医院会倒下。医院是一个救死扶伤的地方，有相当的公益性质，人们对于医院的这种心智认识是难于改变的，那么医院就要适应这种生态环境。

　　而信息安全企业和医院是很好的对照。如果，一个信息安全企业完全从投入产出效益的角度经营，没有明显收益的事情不干，特别是遇到应急响应的请求而不出手帮助，从短期来说可能不会像医院那样引起极大的不良反应，但是长期这样，会失去客户对于你的期望和依赖。这个企业就不会成为人们遇到危难时心智中第一个想起来的那个企业。如果一个信息安全企业仅仅走药厂模式来销售产品，再加上只直接服务大客户（价值客户），那么企业的服务面就会相对比较窄，这样，逐渐地，生态环境中广大的中游客户就会对企业失去耐心和期望。

　　为什么会有这样的情况呢，为什么信息安全企业会类似医疗机构呢？因为真正的信息安全客户与企业的关系，就像病人和医生一样。病人在知识和能力上处于弱势地位，这里就要非常依靠医生的水平和医德。信息安全问题和病人生病一样，它是一个切身／切肤的事情，对于客户和病人影响很大，所以，客户和病人都要非常依赖信息安全企业和医院。为了平衡处于强势地位的一方，就要更多地承担责任。

　　如果用另外一个比喻也会有类似的观点，那就是用警察业来比喻信息安全。

　　上面啰嗦这么多，其是简单表达起来就是，

　　一个信息安全企业，一个力图成为领袖的信息安全企业，必须在“责任”上下功夫。

　　这个责任包括对于生态体系和生态环境中各方面的不同的责任。除了对于股东、员工和直接客户等的责任，这些我们都好理解；还要包括对于政府、非现有客户群、社会公众、人才教育机构、竞争对手、上下游企业等等。按照这个思路来思考，那么一个信息安全的领导企业，可能就需要真的在全国建立有相当覆盖度的省级分支机构，以便能够支持地方政府、地方企业和大机构的地方分支机构解决具体的信息安全问题。一个信息安全领导企业，可能也就不得不尽量拥有比较全面的信息安全能力，就好像一个三甲医院，必须是各科齐全的。虽然信息安全企业的责任属性没有医院那么强，但是“责任”也应当在整个企业的经营思路中占有重要的地位。

　　当然，这样的面向责任的经营思路与趋利的经营思路是有一定矛盾的，过大的服务范围会降低企业的利润率，过广的安全能力会提高企业的成本。当然，如果一个信息安全企业完全以责任为驱动，那么就根本算不上是一个企业了。

　　所以，一个信息安全企业要平衡“责任”和“利润”。