现在在中国做信息安全的,绝大多数是这类人吧,也许以他们的见识、眼界和境界,是根本没法理解,企业在各个领域管理所倡导的财务体系,人力资源体系,采购与供应链体系,质量体系,研发体系等,当然对于信息安全来说,同样有信息安全体系,在他们看来,信息安全体系就是ISO/IEC 27001,流程,规范之类的,这是狭隘的见解。
事实已经证明,他们这类人,这套搞信息安全的方式已经失败了,乙方都要死翘翘了,而甲方也不愿意为这群只会表演忽悠的人买单了。
根据我的观察,不是甲方的大BOSS不重视信息安全,不愿意投入资源,而是这群人根本就不行。 为什么很多甲方的大BOSS愿意为了企业的财务体系,人力资源体系,采购与供应链体系,质量体系,研发体系这些体系建设,不惜花费几百上千万的年薪(甚至更高)去挖一个高管,这仅仅是一个高管的代价,后面团队建设,以及其他资源费用会更多,那是因为看到了这些体系的建设确确实实能够为企业带来价值。
现在中国的很多信息安全总监,根本没有明白信息安全部门该做什么,该设置那些岗位,结果把原本属于IT部门的那些岗位,如安全技术产品的运维岗,软件开发安全岗,终端安全岗,渗透测试岗等,放到信息安全部门来滥竽充数,只能去抢IT部门的工作,否则信息安全部门就无工作可做了。
