如何正确理解企业信息安全体系的搭建

一个企业要做好信息安全管理，必然需要和其他领域（如研发，财务，人力资源，供应链，以及健康和安全等）一样，建立体系。那该如何理解企业的信息安全体系，以及如何建立企业的信息安全体系？在说这个话题之前，我想先说一下，之前的职业生涯中的一次经历。前不久，又发现某家新能源企业又在招聘信息安全总监。其实早在2022年的时候，就有猎头找我聊过，当时这家企业还只是招的是信息安全经理的岗位，当时我说了只要给我几个打杂的人，他们需要的我都能够帮他们做到，也许简历不够漂亮吧。至少从他们后面招的信息安全总监对比来看，单纯简历方面会有不少差距，好像本硕都是985学校毕业的，而我的学历只是普通本科，工作经历可能看像去也比我好太多。他们那个总监应该是2023年去入职的，2023年这家企业有不少信息安全岗位在招，其中包括一个信息安全管理经理的岗位，后面又有机会跟这位信息安全总监面聊过一次……可能很多人把信息安全想的太简单了吧，特别企业是从0到1打造信息安全体系的过程，这里说信息安全体系可不仅仅是写写文件，通过ISO/IEC27001体系认证，我们不妨换一个角度，换一个领域来看这个问题，现在很多公司想建立完善的研发体系，财务体系，人力资源体系，供应链体系等，要想完成这些，企业是要付出高昂的代价的去挖高管，去挖团队，培养团队的，沉淀知识的，当然这些领域都是成熟的领域，只要企业舍得花钱，肯定能找到人，而信息安全并没有那么成熟，人才远远没有其他领域多，想挖人也不是那么容易的。由此我们可以知道，信息安全体系，不仅仅是建立信息安全制度，和通过ISO/IEC27001体系认证，就像很多企业，负责ISO9001质量管理体系人员可能只有十几人，要维持企业的整个质量体系的运转，就需要整个品质部门，可能有上千人。企业若想要搭建信息安全体系，不妨可以参照企业其他领域，如质量、研发，财务，人力资源，供应链，以及健康和安全等领域，建立体系的方法。如今，很多企业，特别是大型企业，热衷于企业各领域的体系建设，那是因为只有搭建了完善的体系，管理方能一劳永逸。