各位订阅者好,
即日起,公众号原名称“ISO IEC 27001学习笔记”更名为“信息安全管理知识体系”。起初,为公众号取名为“ISO IEC 27001学习笔记”,是因为在2019年的时候,建立了一个以“ISO/IEC 27001学习笔记”为名称的个人网站。就是那个时候,正在深入钻研ISO/IEC 27001: 2013标准,经过一段时间后,才发现原来,能够找到的参考的资料(包括书籍和互联网资料)真的很少,所以当时只能自己摸索,阅读了大量的书籍(目前可能超过300本了),甚至还跑去知网这类网站阅读了不少信息安全相关的硕士和博士论文。所以当时就只是单纯想把自己的学习心得和收获分享给大家。
现在,把公众号更名为“信息安全管理知识体系”,是经历了数年的学习钻研和工作积累,有了更好的想法和更高的目标。
曾在一本书中看到,一个大型跨国金融公司的首席信息安全官指出,今天信息安全管理学科作为一个新的学科,其发展是远远落后于其他管理学科的,甚至比企业信息安全管理实践的知识需求都慢了很多拍,通俗一点讲就是,如今的信息安全管理学科的发展和研究已经跟不上企业信息安全管理实践的需求了。也正是因为如此,当我那时想学习的时候,几乎找不到很有参考价值的学习资料,当时还想着,论文应该研究的都该是最前沿的东西吧,结果还是失望了,那些论文上面大多都是理论的东西,而且都是翻来覆去的写来写去的,参考的价值真的很有限,所以那位首席信息安全官才会那样说吧。
最近偶然看到了几篇对如今企业信息安全发展看法的文章,都认为,如今信息安全虽然刚起步,却面临着陷入困境的境地。文章中提到造成困境的原因有很多,其中有一条是关于人员知识的,提到很多企业的专职和非专职的信息安全人员的相关知识缺乏,文章中也给出了解决这一问题的方案,那就是进行赋能,但赋能的前提是要有系统性的知识才能进行赋能,否则就可能出现想学,却无东西可学,或不知从何处下手学习的现象,那么赋能也就成了空话。
我想面对如今信息安全的这些困境,如果仅仅分享ISO/IEC 27001标准的学习心得和收获,是远远不够的。要走出这些困境,唯有以ISO/IEC 27001为核心,全面梳理和建立信息安全管理知识体系,深入理解ISO/IEC 27001标准,理清ISO/IEC 27001标准与其他信息安全相关的标准(如ISO/IEC 27701、ISO/SAE 21434等)之间的关系和衔接渠道,理清信息安全管理与企业其他管理(如研发管理、质量管理等)之间的关系和衔接渠道,输出优秀的实践案列,钻研出简单易操作的信息安全管理工具(如质量管理的七大手法和五大工具)等,最终使信息安全管理走向系统化、流程化和信息化的全面信息安全管理。
最后,感谢大家的持续支持,大家的支持和关注,是我们走向更高目标的动力。
