关于信息安全管理

ayazero

以下仅讨论在商业环境中的企业信息安全管理，诸如加解密、芯片等属于科研、国家信息安全工程的话题暂不讨论


信息安全不等价于网络安全和计算机安全

IT-信息技术，包含对象很广，比如企业中的有线通讯设备：电话，无限手持设备，信息的其他承载媒介，音频、视讯、文档等，只不过计算机在IT中占的比例较大而以

管理一词并不是指管理一堆服务器，一堆设备就称之为管理了，管理的真正意义是管理企业、管理流程、管理人

在信息安全管理中，管理占大多数，战略层面的东西很少，IT治理层面才会涉及战略的东西更多一点。而技术在任何企业场景中都只是一种实现手段，是为管理服务的。

从ERM（企业风险管理）的整体视角看，战略、财务、运营风险的重要性明显高于IT风险，很多时候IT风险仅仅是运营风险的一个方面，所以有人常常说老板不重视信息安全的时候，反过来站在CEO的角度想想或许可以理解这种优先级

我个人认为企业不重视安全的一个很重要的原因：信息安全官缺乏沟通技巧，缺少管理能力，视角偏低，不能用管理者的语言沟通

CSO的从业素质，如果不懂信息安全技术，对威胁、脆弱性、风险的理解偏颇，那么可能他招聘不到合适的人才，后续展开的工作都是偏离主题或执行力低下的

但是CSO也并不需要自己是个技术专家，他只需要准确理解趋势，知道要做什么，然后招聘合适的人来做这些事情就可以了

对于技术从业者来说，理解这些或许有些困难，不过这也是视野开阔和职业成长的机会

SuperCube

很有道理。
最近在想如何将信息安全扩展开，其中一个想法就是将风险评估的安全方面扩展到业务连续性方面，扩大风险评估的范围。

ayazero

我觉得扩大范围并不难，但是要让客户为那扩大的部分付费需要一点说服力

SuperCube

money是不重要的，重要的是经验，一个将自己想法实践的机会。
对乙方还好办，一般的都不懂，好忽悠，前提是在他的预算范围内。
不过对我最重要的是考虑如何说服CIO给我这个实践的机会。 ：）

ayazero

销售技巧就可以，但最好

对对方的绩效无损，即扩大范围顶多不产生价值，而不是降低CIO的绩效

选择有过成功合作经验的客户，这样别人容易相信你能做好事情

持续性服务的大客户，“实验”的机会比较多

~wind~

他们总想亡羊补牢