在前面的评论文章中,我写到了如今绝大多数企业的信息安全部门就是一个草台班子,由于其能力的不足和认知的狭隘,所以导致他们只能龟缩在信息技术领域,或者龟缩在IT部门,进而无法总掌全局,然后被其他业务部门直接无视,结果沦为各个业务部门的打杂部门和背锅部门。以上这些,其实都已经昭示了作为企业原本的信息安全统筹和监督的部门已经被彻底地边缘化了。

如今这些所谓的信息安全部门,只会做一些IT领域的安全工作,如终端安全,服务器安全,网络安全,渗透测试,漏洞挖掘和扫描,以及攻防演练等,而对于其他业务部门相关业务是完全不了解的,也更加不懂如何统筹和协助各个业务部门做好信息安全,这样一来,当然在其他业务部门眼中,所谓的信息安全部门对于信息安全的了解,还没有他们自己懂得多,所谓的信息安全部门对于各个业务部门来说就是毫无价值的,所以各个业务部门必然绕过信息安全部门,自己独立去规划和实施自己部门的信息安全,最终结果就是彻底边缘化草台班子的信息安全部门。