在信息安全这个领域,经常会听到做信息安全就是背锅的,做这行风险太大了……这类的观点。其实,这是完全错误的,都是无知者的谬论。

认为做信息安全就是背锅的,做信息安全风险太大的,基本上都是那些把部分信息技术(IT)当作信息安全来做的那些人,这些人是完全不懂信息安全的,他们不懂信息安全在企业的角色,更不懂信息安全部门在企业该做什么,结果把一些稍微与信息安全沾边的事情全部往自己身上揽,这样一来,你不背锅谁背锅呢?

以前我就说过,信息安全和质量的性质是一样的,不能参与和负责具体的业务,只是担当监督的角色,因此要论责任和背锅的话,最多也只是间接的连带责任(如没有做好监督的工作)。

比如现在很多做信息安全的,都是抢的IT的工作,本来出了问题,直接责任就应该是IT,信息安全只要做好了监督的工作,是不需要承担任何责任的,但是现在这些做信息安全的,自己不懂信息安全管理,不知道自己该做啥,自己便把别人的工作往自己身上揽,抢别人的工作然后披上信息安全的外皮滥竽充数,忽悠企业忽悠大老板,可就是万万没想到是聪明反被聪明误,自己去抢着背锅,又能怪谁呢?只能怪自己无知,怪自己无能。