从2011年开始在信息安全领域做合规,后来陆续接触其他领域(如漏洞管理、事故管理、架构评估等),摸爬滚打了10年。信息安全领域从来都是需要高大上的认证来证明自己。同时,我感觉应该多学习一点专业知识来武装自己,毕竟科学的方法论还是很重要的。经过考察,我报名参加了谷安的CISM(国际注册信息安全经理认证)课程。
课程完结后,赶上了疫情席卷全球。我在焦躁、郁闷之后平静下来,感觉读书才是最好的安定剂。同时,我也碰到了公司(某世界500强企业)前所未有的国际改革。就这样,一边开始读书学习,另一半则是公司的结构调整、职责变动。
此时我惊奇地发现,公司的改革就是CISM理论的落地。在开国际改革会议时,国际老板各种强化风险声明变革的时候,我发自内心地理解,因为这个跟我们学习的内容完全吻合。公司战略、组织结构、风险偏好、业务导向,这些书本上面的单词,我在工作中天天碰到。
随着公司改革的纵深发展,我也不断地需要跟公司高层汇报工作。由于有了CISM的理论在心,在汇报的时候也游刃有余。当高层开始各种质疑问询的时候,我的高大上理论就不由自主地溜达出来,而公司的高层竟然理解和接受。那时的我,内心甚是欢喜。
CISM的信息安全治理、信息风险管理、信息安全计划开发和管理、信息安全事故管理完整地串起了我工作的全部。虽然书本的知识与工作的实际操作不是百分百吻合,但是至少我们知道原则上应该如何操作。