信息安全要在企业落地,给企业带来正向的价值,就必定要回归到其管理的本色。所谓的“七分管理,三分技术”这类说法都是不正确的。正如企业在各个领域管理所倡导的财务体系,人力资源体系,采购与供应链体系,质量体系,研发体系等,当然对于信息安全来说,同样有信息安全体系,这就决定了企业的信息安全就是管理,而非技术。
现在之所以很多人错误地认为信息安全就是技术,那些因为与信息安全自身的发展地有关,最开始的信息安全是仅局限于IT的,这个时候跟现在地网络安全差不多,确实很多东西都跟信息技术有关,但随着信息安全的发展,信息安全早已不仅仅局限于IT了,而是已经需要融入企业的整体经营和企业所有业务过程之中,这就必然需要将信息安全推向管理的高度。
最开始在中国搞信息安全的,也仅仅是在一些互联网公司,像这些企业本来没有什么管理可言,都是随性而为的,而现如今研发制造行业全面加入到了信息安全这个领域,就必然会把信息安全推向管理方向,因为只有这样才符合研发制造型企业的需求。
这几年,信息安全涌入了大量的人员,但绝大多数的都是滥竽充数的,根本没办法根据企业的需求来为企业规划信息安全,也根本无法明白信息安全部门该做什么,该设置那些岗位,结果把本属于IT部门的那些岗位,那些工作,如安全技术产品的运维岗,软件开发安全岗,终端安全岗,渗透测试岗等,抢到信息安全部门来滥竽充数,这必然会给企业造成重大的资源浪费,并且无法给企业带来任何正向的价值。
信息安全的定位,应该是和质量是一样的,都是属于监督性质的部门,是不会参与具体的业务的。就像制造和研发部门实际上也有很多质量相关的岗位,但是不能把这些岗位划到质量部门,同理前面提到的那些IT岗位,都是属于去完成IT部门相关的业务的,是IT部门的自己的事情,也只能IT部门去完成,虽然跟信息安全有关,这些岗位是不能规划到信息安全部门的,信息安全只能去监督IT部门这些岗位的工作,而不是把工作完全抢过来。
如果一个企业设置一个信息安全部门,没有把其定位为管理部门,而只是像前面说的那样,分走一部分IT原本的工作,那么这样的信息安全部门是完全没有必要存在的,所以很多企业裁员的时候,这样的信息安全部门很容易直接一锅被端了。这样的信息安全部门,即使不被裁掉,也只能龟缩在IT的范畴,也是一个边缘化的部门,永远不可能将信息安全开展到企业的各个部门,各个业务领域。
