数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
首先,我们先拆解一下信息安全这个话题。
我们先从安全开始说,我的这个理解源于我在依图的时候,我当时在找安全相关的负责人,接触了一些安全领域的专家。通过这些面试和专家的讨论,慢慢也帮助我对于安全有了更深的理解。这个方法也是CIO们可以借鉴的经验,对于你不熟悉的领域,可以通过大量的面试去了解。
那么安全包括什么?包括:物理安全、信息安全、数据安全、生产安全等等。
生产安全:在企业里面生产安全的责任人最清楚,工厂一般都有SHE,也就是安全健康环境保护部门。
1、物理安全:责任人大多数是行政。
2、信息安全:也没有一个很明确的规定,在有的CIO的岗位职责描述里面,可能都没有这一项。但是大家心目中信息安全一般是落在CIO头上的。数字化转型网www.szhzxw.cn
3、数据安全:也是一个比较有意思的话题,这个是随着数字化的出现才慢慢变得重要的领域,数据安全是不是信息安全的一部分,还是数据安全,是一个单独的领域,这个也是不清晰的,不同的公司可能有不同的情况。比如有些公司IT跟数据团队在不同的组织,这个时候数据安全到底是谁来负责,就需要明确一下的。数字化转型网www.szhzxw.cn
4、隐私安全:跟安全相关的是个人隐私保护这个领域,这个是不是信息安全的范畴,是应该在信息安全管理里面一起考虑,还是需要单独的有一个组织来管理,对于公司业务牵涉到很多个人隐私相关问题的可能个人隐私就需要单独拿出来考虑了,不见得CIO就一定是合适的。最终负责人有的时候可能法务部更加适合来牵头负责。
这么拆解一下之后,大家是不是更加能够理解为什么信息安全的工作比较难,因为信息安全、数据安全、个人隐私这些话题都是交织在一起,有的企业放在一起管很合理,有的企业放在一起就太大了,不合适。特别是数字化时代,这三个领域都是很大的话题,可能分开管理更加合适。
接着我们来拆解一下信息安全这个话题,如果我们跟专门帮助企业做信息安全的咨询公司讨论,或者我们去参考信息安全的各种认证各种理论,或者我们去对照信息安全领域的一些认证体系,就会发现信息安全包含的内容很大,基本上都是十几个控制域,几十上百个控制点。简单举几个例子,比如说安全意识、网络安全、终端安全、开发安全、操作安全等等。这些控制域下面比如网络安全就有很多的控制点,不太了解的朋友们估计都会倒吸一口凉气,安全这么复杂吗?反正我在开始真正了解安全工作之后,对负责安全工作的同事肃然起敬,他们应该得到尊重。
声明:本文来自榕锦IT高管共赢圈,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于榕锦IT高管共赢圈;编辑/翻译:数字化转型网萍水。
