信息安全管理系统（I S)它是组织在整体或特定范围内建立的信息安全政策和目标，以及完成这些目标所使用的方法和系统。它是直接管理活动的结果，表示为政策、原则、目标、方法、计划、活动、程序、过程和资源 。

虽然不是一个人的安全部门，但一的安全管理岗位在信息安全管理体系中的责任不亚于那些孤军奋战的一个人的安全部门。即使你知道前面的路充满了荆棘，你也必须奋斗和前进。这是相当天将减少对斯人的责任……视觉感，给那些奋战**的安全管理**者较高的敬意。

达到一定规模后，才会有安全管理岗位的坑。一般都是一个人的安全部门，附属于运维部门。一个人既有安全运维、安全管理、应用安全(代码审计、渗透)、安全开发，甚至需要承担部分运维责任。对于规模稍大、重视信息安全的前瞻性企业，或合规要求严格的企业，将设立专门的安全管理岗位，甚至设立独立的安全部门。我就自己的专业范围和工作职责谈安全管理岗位。

常说三点靠技术，七点靠管理，但至少我们需要形成共识——信息安全问题不能仅仅作为技术问题来处理，安全管理的作用是可以理解的。

作为承担安全管理责任的安全管理岗位，核心工作是建立、实施、维护和不断完善信息安全管理体系。通过合理的组织体系、规章制度和控制措施，整合具有信息安全功能的软硬件设施和管理人员，确保整个组织达到预定的信息安全。

不同企业对信息安全管理体系建设的需求也不同：

1. 信息安全管理体系可以从零开始建立；

2. 企业可能有信息安全管理系统，但只有冷制度规范，躺在经理的电脑上，直到面对监管机构的检查才开始发挥作用，没有发挥约束力和控制；

3. 可能企业已有信息安全管理体系，但是实时性无法满足企业日益变化的安全需求，待进一步优化改进；

4. ……

在系统建设之初，我相信每个人的初衷都是建立一个可实施的信息安全管理系统。但我们都知道，没有**的安全或**的着陆。ISO27001所谓**安全可落地的信息安全管理体系没有定义。它倡导的是PDCA流程模式，保证管理体系不断完善的有效模式。PDCA循环将一个过程抽象为四个阶段：规划、实施、检查和措施。通过持续循环，信息安全管理不断改进。

信息安全管理体系的有效实施在很大程度上决定了信息安全管理的水平。如何建立一个相对可实施的信息安全管理体系是安全管理岗位工作的核心问题。关于这个问题，我一直在思考和反思整个系统建设过程中，我仍在探索的道路上，不能给出一个完整和准确的答案。但基于个人在整个系统建设过程中的思考和思考，总结了几点。

一、高层的明确支持和相关资源的**

在组织内建立信息安全管理体系必须得到高级管理人员的承诺和支持！为什么？

1. 从上到下高效推广

我相信绝大多数安全管理岗位都有同样的经验和感受：我们努力推广某*程规范，希望在某些方面改善企业的信息安全问题，但在与各部门沟通的过程中，我们到处碰壁。其他部门不一定愿意采用流程规范，或出于工作效率或拒绝新事物。更直率地说，每个部门都有自己的部门KPI，对于信息安全部门来说，信息安全管理体系的建设和实施确实是一个重要的问题KPI评估指标，但对于业务部门来说，他们可能更关注业务的稳定运行，而信息安全管理系统只是辅助业务安全稳定运行的工具。如果高级管理人员能够处理跨部门之间的协调问题，相应的安全政策和控制措施可以更有效地实施组织，系统建设将用一半的努力得到两倍的结果。这也反映了ISO27001中所提倡的“**力”的概念，信息安全需要从上至下推动，需要从上而下全员参与。

2. 资源**有效

另一方面，引用了一句俗语聪明的女人没有米饭很难做饭。在信息安全管理体系建设过程中，可能涉及外部咨询机构和评估机构的引入，以及安全设备的采购……钱！钱！钱！钱！是任何项目发展的基础，需要**在有效安全过程中的必要财政支持。

我们确实看到一些企业可能不聘请任何外部第三方咨询机构，内部人员建立自己的信息安全管理体系；

我们也见过一些企业(防病毒软件，WAF……），基于开源软件的二次开发，内部人员自行开发或满足安全需要；

上述做法可行吗？只要企业内的人力资源能够满足现有需求，当然是可行的！归根结底，人力资源投资与资本投资的平衡是较可行的解决方案！

但是，无论是人力资源投入还是项目设备资金采购，都离不开**的高度支持。

二、适合自己的才是较好的

为什么要建立一个信息安全管理系统？企业面临的问题和风险是什么？企业现在处于什么安全管理水平？各企业信息安全工作的起点和重点不同，后续安全工作的重点自然也不同。我们确实看到大型企业有完善的安全管理体系，处于行业*，**安全发展趋势，管理体系不一定，我们可以参考他们的管理模式，在我们内部做一定的调整，但不的管理模式，复制， 。管理50人和管理5000人适用于不同的管理方法。也许既然他们都有能力有效地管理5000人，他们真的可以管理50人。但在某种程度上，你怎么能用牛刀杀死鸡呢？ 如果一个安全要求不是很高的企业，遵循安全要，发布各种安全体系政策，控制各种安全过程，做各种安全审计和检查，理论上是安全的，但让公众怨恨沸腾，往往效果不好。投入产出是一个永恒的话题，需要测量安全管理岗位。毕竟，安全是为业务服务的，信息安全管理体系必须从业务目标出发，反映业务的安全需求。只要能满足业务的安全需求，即使控制程度不如其他行业，也是一个很好的管理体系。适合你自己的，是较好的！