一个企业要做好信息安全管理,必然需要和其他领域(如研发,财务,人力资源,供应链,以及健康和安全等)一样,建立体系。那该如何理解企业的信息安全体系,以及如何建立企业的信息安全体系?在说这个话题之前,我想先说一下,之前的职业生涯中的一次经历。
前不久,又发现某家新能源企业又在招聘信息安全总监。其实早在2022年的时候,就有猎头找我聊过,当时这家企业还只是招的是信息安全经理的岗位,当时我说了只要给我几个打杂的人,他们需要的我都能够帮他们做到,也许简历不够漂亮吧。至少从他们后面招的信息安全总监对比来看,单纯简历方面会有不少差距,好像本硕都是985学校毕业的,而我的学历只是普通本科,工作经历可能看像去也比我好太多。他们那个总监应该是2023年去入职的,因此2023年这家企业有不少信息安全岗位在招,其中包括一个信息安全管理经理的岗位,后面又有机会跟这位信息安全总监面聊过一次……
可能很多人把信息安全想的太简单了吧,特别企业是从0到1打造信息安全体系的过程,这里说信息安全体系可不仅仅是写写文件,通过ISO/IEC 27001体系认证,我们不妨换一个角度,换一个领域来看这个问题,现在很多公司想建立完善的研发体系,财务体系,人力资源体系,供应链体系等,要想完成这些,企业是要付出高昂的代价的去挖高管,去挖团队,培养团队的,沉淀知识的,当然这些领域都是成熟的领域,只要企业舍得花钱,肯定能找到人,而信息安全并没有那么成熟,人才远远没有其他领域多,想挖人也不是那么容易的。
由此我们可以知道,信息安全体系,不仅仅是建立信息安全制度,和通过ISO/IEC 27001体系认证,就像很多企业,负责ISO 9001质量管理体系人员可能只有十几人,但是要维持企业的整个质量体系的运转,就需要整个品质部门,可能有上千人。
因此,企业若想要搭建信息安全体系,不妨可以参照企业其他领域,如质量、研发,财务,人力资源,供应链,以及健康和安全等领域,建立体系的方法。
如今,很多企业,特别是大型企业,热衷于企业各领域的体系建设,那是因为只有搭建了完善的体系,管理方能一劳永逸。
