这些年做信息安全的人员虽然多起来了,但基本都是一群乌合之众,滥竽充数之辈,这群人只会炫技所谓的IT技术,而对企业管理,企业业务,以及跨部门沟通等完全是一无所知的。因此,他们规划的所谓信息安全部门,必定也是一个滥竽充数的部门。这种畸形的信息安全部门,是永远不可能实现信息安全的落地,只会给企业带来各种资源的严重浪费。
在以往的文章中,我就说过现在一些所谓企业的信息安全负责人根本无法明白信息安全部门该做什么,该设置那些岗位,结果把本属于IT部门的那些岗位,那些工作,如安全技术产品的运维岗,软件开发安全岗,终端安全岗,渗透测试岗等,抢到信息安全部门来滥竽充数。
基础运维本身就要对相关基础设施的安全负责,软件开发本身就要对开发的软件安全进行负责,就像生产要对生产的产品质量负责,研发要对设计的产品质量负责,而质量部门只是监督作用,同理信息安全部门也不能越俎代庖负起运维和开发的信息安全责任,也只能去监督。
因此,现在的那些畸形信息安全部门,并不能像如今的质量部门那样发挥统筹,监督和跨部门协作的作用,而仅仅是从IT部门拿了一些岗位和工作过来而已。我们可以想象一下,假如把今天企业的质量部门全部拿掉,而另外把制造和研发相关质量职责和岗位抢过来,重新成立一个质量部门,这个会是一个多么荒谬的事情呢?这种挂羊头卖狗肉的质量部门,是没办法实现质量的落地实践的。
要是如此一来,原本由制造部门自己承担的职责,如自检,首件检查,工艺参数的确定和点检等,这些本来是制造部门一气呵成的工作,就会被硬生生地从制造部门剥离出来,划到另外一个挂羊头卖狗肉的质量部门去执行。如今的信息安全部门就全是这种奇葩的做法,本来都是IT部门一气呵成的工作,却非得人为的强行拆分开来。
所以说,今天中国很多企业的信息安全部门,都是畸形的,是不具备统筹,监督和跨部门协作整个企业信息安全相关工作的职能的,而仅仅是做了一部分IT工作。如果用这种信息安全部门,想要实现企业的信息安全落地,必定是缘木求鱼,而且还会给企业带来重大的资源浪费。
