首先,这一定会是一个系列文章,但究竟会有多少期,我也不确定,这取决于我的时间和精力,也许我会有一个总纲,照着总纲一步一步写完;或者我可能会想到哪里写到哪里;再或者我会根据写文章期间发生的一些安全事件,针对这些事件来写……总而言之,这会是一个努力用通俗易懂的语言,结合火爆的安全事件,尽可能详细的讲解企业信息安全管理建设的系列文章。
用通俗易懂的语言来说明一件事情,看似简单,其实很难,比如你现在读到的这一行,我其实就写了将近一个小时了……,一方面是自己的文笔能力着实有限,另一方面是信息安全的涉及面实在是太广,一时间不知道该从和说起,更不用提说清楚了。
先说说为什么要写这个话题吧。
信息安全已经不是什么新名词了,云大物移(云计算,大数据,物联网,移动互联网)的爆发式发展,信息安全早就已经延伸到方方面面。然而就像自然界中的平衡法则一样,羊群的壮大必然带来狼群的发展;信息技术的突飞猛进,必然也带来了新的威胁,比如电信诈骗,网络攻击等等。虽然市面上已经有非常多讲解网络安全和企业信息安全的相关书籍,但是仍然有很多企业并不知道什么是企业信息安全管理,为什么要有信息安全管理,更不知道该如何去搭建信息安全管理体系。
我曾经遇到一个企业,这家企业主要做运动用品制造,同时开发相应的手机app,公司一共有将近400余人。他们要招聘一个信息安全工程师,以下是我和这个主管的一个大致的对话内容:
我:你们需要这个信息安全工程师做什么呢?
主管:我们希望他能把我们公司的这个安全给管起来。
我:那这个职位汇报给谁呢?
主管:直接汇报给我。(主管是开发部主管)
我:那公司现阶段的安全管理是什么样子的?
主管:我们没有这个现在……
我:那是什么原因现在要做这个呢?
主管:我们有一个外国公司想和我们合作,但是他们来了之后发现我们这个安全太欠缺了,所以我们要招一个人,把安全给管起来。
从上面的对话中我们可以看出,这个公司招这个信息安全工程师的职位,其实并不是他们自己想做的,而是出于要引进外资,所以对这个职位的职位描述其实非常不清楚,更不用说公司自己对信息安全的态度了。我甚至可以预见到这家公司得到外资注入之后,他们的信息安全会变成什么样子……
这样的企业不在少数,它们当中很多面临着不得不做信息安全方面的工作,因为信息技术的提升越来越深入生活,越来越开放,所以导致越来越多的法律法规也相应而生,比如欧盟的《通用数据保护条例》(GDPR);美国的《加利福尼亚洲消费者隐私法案》(CCPA);中国在2007年发布的《信息安全等级保护管理办法》,2017年6月1日实施的《中华人民共和国网络安全法》,2021年9月1日实施的《中华人民共和国数据安全法》,2021年11月1日实施的《中华人民共和国个人信息保护法》等等
从法律法规的颁布频率上看,我们越来越频繁的颁布和更新新法案法规,这足以说明国家对信息安全的重视程度越来越高了,很多企业急切的需要解决信息安全管理方面的问题。
所以,作为一个信息安全从业者,我想把我自己对信息安全的理解写下来,供大家参考。
再说说我打算怎么写这些文章吧
为了能够简单明了的解释,我想采用一问一答,也就是Q&A的方式来作为文章的结构,这样读者可以直接了当的知道问题的答案和解决方法。当然,这是我现在的想法,后期可能会根据内容的不同,而做一些相应的调整。
最后
如果这些文章能够带给你一些帮助和启发,那将是我莫大的荣幸。