之前看到某个头部新能源制造企业招聘信息安全负责人的JD时,就会让人忍不住笑出来了,我当时就在想,要是按照这个JD去招人,即使招再多的人,换再多的人,也是于事无补,这家企业的信息安全仍然会是个零蛋。这个JD里最重要的要求竟然是要求候选人懂渗透测试和攻防演练,当然其他要求也都是与信息技术有关的。很显然,这家企业是被前面离职的那位信息安全负责人带到沟里去了,这家企业前面那位做了不到一年的信息安全负责人,他之前的经历都是在互联网平台企业,主要是做渗透,攻防等相关信息技术的工作,这样的经历很显然是无法担起新能源制造企业的信息安全负责人的工作重担的,所以才会干了不到一年就被迫离开了,并且是一事无成。最奇葩的是,这家企业,在这个信息安全负责人离职后,竟然继续拿着这个已离职的信息安全负责人规划的信息安全岗位和相关的任职资格去招聘人员。
我之前多次说过,信息安全不是信息技术,企业信息安全的工作重心绝不是局限在信息技术领域,信息安全也不是包揽一切,去替别的业务部门打杂和背锅,而是要总掌全局,以及统筹和监督企业各个部门的信息安全工作的。那么,作为企业的信息安全负责人真正该做些什么呢?
作为企业的信息安全负责人,应像企业其他模块的负责人一样,要用体系思维统掌全局,掌握信息安全管理基本框架,以ISO/IEC 27001为内核,衍生出策略与流程体系,文化与培训体系,组织与人员体系,风险与决策体系,监控与检查体系,应急与响应体系,绩效与奖惩体系以及技术与集成体系等八大体系,并将这些体系嵌入到企业的各个业务模块(例如研发、质量、制造、人力资源、IT等),以实现企业信息安全的全面落地,进而全面实现企业信息安全的信息化,数字化和智能化等相关工作。
