曾经我在一本有关信息安全管理的书籍中,看到该书的作者(某大型跨国金融企业首席信息安全官)说道,今天中国的信息安全已经严重走偏了,几乎所有人的目光都聚焦到了信息技术上面,以及几乎所有的资源也都倾泻到这上面了,而对于信息安全管理,几乎是无人问津,在企业也很少受到重视。起初,我是特别认同这位首席信息安全官的观点的,因为在前几年,为了钻研信息安全,每隔段时间,我就会在网上各大平台扫购有关信息安全的书籍,只要是我还没有购买的,就全部下单购买下来,后来我就发现这些书籍几乎都是有关信息技术方面的,而对于信息安全管理方面的书籍,其中只有为数不多的几本。当时,从中国出版的书籍来看,我是特别认同这位首席信息安全官的观点的。后来,也许是因为我的阅读,我的实践,以及我的苦思冥想,我才发现中国的信息安全不是走偏了方向那么简单的问题,而是从事信息安全的这群人中的绝大多数,根本就不知道信息安全为何物?所以,他们把信息安全做成了IT运维,他们成立了信息安全部门,而且招聘了很多信息安全专职人员,但不知道要做什么,结果就是去抢IT运维的工作,例如终端安全,服务器安全,渗透测试,漏洞扫描和挖掘,以及攻防演练等工作,这些工作本身就是IT运维的工作,并且是与他们密不可分的,这样人为强制分开,只能是既浪费资源,也让原本的IT运维也做不好,更何谈把信息安全做好。
当前中国信息安全领域正面临深刻的认知错位:当财务总监通过预算控制企业命脉、人力资源总监以组织设计塑造核心竞争力时,今天中国众多所谓的信息安全负责人却仍在炫耀漏洞挖掘和攻防演练的“技术杂技”。这种将信息安全矮化为IT运维的思维,如同要求审计部门负责人亲自充当会计做账、质量部门负责人亲自承担生产一线员工的自检职能——既荒谬又危险。
信息安全的真正价值在于其构建业务嵌入式的风险管理框架。当制造业将“设计失效模式分析(DFMEA)”融入研发流程,当医疗机构把“感染控制”写入诊疗规范时,今天中国的信息安全却仍在玩弄IT运维领域的基础工作。
那些沉溺于漏洞挖掘和攻防演练报告的“技术专家”们需要觉醒:董事会需要的是与企业风险管理(ERM)框架对接的信息安全路线图,而非充斥着CVE编号的技术呓语。当你能用大股东听得懂的语言,证明信息安全投入是如何降低并购交易中的尽调风险、是如何保护核心专利不被逆向工程时,信息安全才真正完成了从成本中心到价值引擎的蜕变。也唯有这样,信息安全才能摆脱“背锅侠”的宿命,进化为企业战略的真正合伙人。
企业信息安全负责人必读系列丛书,将主要围绕以ISO/IEC 27001为内核,构建信息安全管理基本框架,衍生出策略与流程体系,文化与培训体系,组织与人员体系,风险与决策体系,监控与检查体系,应急与响应体系,绩效与奖惩体系以及技术与集成体系等八大体系,并将这些体系嵌入到企业的各个业务模块(例如研发、质量、制造、人力资源、IT等),以实现企业信息安全的全面落地,进而全面实现企业信息安全的信息化,数字化和智能化这些内容进行编写的。
本套丛书是连接董事会战略与信息安全落地的桥梁——为创始人、董事长和CEO提供风险治理的决策框架,为信息安全负责人打造从技术思维到管理思维的蜕变路径,为信息安全一线从业者构建系统化的知识图谱。
本套丛书除了涵盖信息安全的核心内容(即与ISO/IEC 27001关联紧密的内容,如ISO/IEC 27701,ISO/SAE 21434以及TISAX等),还会涵盖部分信息安全的非核心内容(即与ISO/IEC 27001有关联但并不紧密的内容,如ISO 22301,ISO/IEC 20000-1,以及ISO 42001等),因为完全搞清楚了这些信息安全的非核心内容,对于理解信息安全的核心内容会起到事半功倍的效果。
Sky Huang
2025年12月于深圳
