在先前的评论文章中,提到了如今绝大多数企业的信息安全部门的定位就是错误的,信息安全部门本该承担监督和统筹各业务部门信息安全的角色丢掉了,反而总览了各业务部门的一切信息安全相关的工作。正因为如此,所以如今的企业信息安全部门是不受监控的。

原本企业的信息安全部门是监督和统筹的角色,企业的各业务部门是承担本部门业务的信息安全工作的,这样,信息安全部门和各业务部门是可以相互牵制和相互监督的,而今绝大多数企业的业务部门是完全不参与信息安全相关工作的,而由企业的信息安全部门包揽了一切,就必然导致信息安全部门的监守自盗和不受监控,例如信息安全部门的规划,预算,资源的采购,服务的采购,项目的实施,这些是不是符合企业需求,最终的效果是怎么样的,以及有没有给企业带来价值,诸如这些,最终都是凭信息安全部门一张嘴说的。