信息安全没有死,只是层次被拉低了而已。
在整理27000族标准时,正好看到ISO/IEC 27014 信息安全治理这个标准,虽然现在很多人把信息安全治理挂在嘴上,可能都没有对其真正理解。以前我还在想为什么要有信息安全治理和信息安全管理,为什么要区分?其实信息安全治理层次比信息安全管理更高,信息安全治理已经上升到实体(组织)的战略层面,主要关注方向和监督,解决实体(组织)信息安全与实体(组织)其他治理领域的协调和整合,以及他们之间的冲突等。就目前情况而言,在今天中国,能上升到来谈信息安全治理的企业,可能找到一两家就算不错了,信息安全管理层次可能就是大部分企业的天花板了。在该标准“条款7,实体(组织)治理和信息安全治理”中提到,实体(组织)有很多治理领域,包括信息安全,信息技术(IT),健康和安全,质量,以及财务。可以看到上面提到的几个领域,今天的情况是在组织中其他几个领域人员配置都要远远超过信息安全人员配置了,今天很多人到处都说信息安全已死,我想如果把信息安全仅仅当作弄产品卖产品,忽悠毕业生去搞护网渗透,把信息安全当作风口当作A股,那么就拉低了信息安全的层次,别说到信息安全治理层次,就是信息安全管理的层次也没有达到,如果这样来看信息安全,那么的确已经死了。
|