企业信息安全管理建设（0）

首先，这一定会是一个系列文章，但究竟会有多少期，我也不确定，这取决于我的时间和精力，也许我会有一个总纲，照着总纲一步一步写完；或者我可能会想到哪里写到哪里；再或者我会根据写文章期间发生的一些安全事件，针对这些事件来写……总而言之，这会是一个努力用通俗易懂的语言，结合火爆的安全事件，尽可能详细的讲解企业信息安全管理建设的系列文章。

用通俗易懂的语言来说明一件事情，看似简单，其实很难，比如你现在读到的这一行，我其实就写了将近一个小时了……，一方面是自己的文笔能力着实有限，另一方面是信息安全的涉及面实在是太广，一时间不知道该从和说起，更不用提说清楚了。

先说说为什么要写这个话题吧。

信息安全已经不是什么新名词了，云大物移（云计算，大数据，物联网，移动互联网）的爆发式发展，信息安全早就已经延伸到方方面面。然而就像自然界中的平衡法则一样，羊群的壮大必然带来狼群的发展；信息技术的突飞猛进，必然也带来了新的威胁，比如电信诈骗，网络攻击等等。虽然市面上已经有非常多讲解网络安全和企业信息安全的相关书籍，但是仍然有很多企业并不知道什么是企业信息安全管理，为什么要有信息安全管理，更不知道该如何去搭建信息安全管理体系。

我曾经遇到一个企业，这家企业主要做运动用品制造，同时开发相应的手机app，公司一共有将近400余人。他们要招聘一个信息安全工程师，以下是我和这个主管的一个大致的对话内容：

我：你们需要这个信息安全工程师做什么呢？
主管：我们希望他能把我们公司的这个安全给管起来。
我：那这个职位汇报给谁呢？
主管：直接汇报给我。（主管是开发部主管）
我：那公司现阶段的安全管理是什么样子的？
主管：我们没有这个现在……
我：那是什么原因现在要做这个呢？
主管：我们有一个外国公司想和我们合作，但是他们来了之后发现我们这个安全太欠缺了，所以我们要招一个人，把安全给管起来。

从上面的对话中我们可以看出，这个公司招这个信息安全工程师的职位，其实并不是他们自己想做的，而是出于要引进外资，所以对这个职位的职位描述其实非常不清楚，更不用说公司自己对信息安全的态度了。我甚至可以预见到这家公司得到外资注入之后，他们的信息安全会变成什么样子……

这样的企业不在少数，它们当中很多面临着不得不做信息安全方面的工作，因为信息技术的提升越来越深入生活，越来越开放，所以导致越来越多的法律法规也相应而生，比如欧盟的《通用数据保护条例》（GDPR）；美国的《加利福尼亚洲消费者隐私法案》（CCPA）；中国在2007年发布的《信息安全等级保护管理办法》，2017年6月1日实施的《中华人民共和国网络安全法》，2021年9月1日实施的《中华人民共和国数据安全法》，2021年11月1日实施的《中华人民共和国个人信息保护法》等等

从法律法规的颁布频率上看，我们越来越频繁的颁布和更新新法案法规，这足以说明国家对信息安全的重视程度越来越高了，很多企业急切的需要解决信息安全管理方面的问题。

所以，作为一个信息安全从业者，我想把我自己对信息安全的理解写下来，供大家参考。

再说说我打算怎么写这些文章吧

为了能够简单明了的解释，我想采用一问一答，也就是Q&A的方式来作为文章的结构，这样读者可以直接了当的知道问题的答案和解决方法。当然，这是我现在的想法，后期可能会根据内容的不同，而做一些相应的调整。

最后

如果这些文章能够带给你一些帮助和启发，那将是我莫大的荣幸。