第1部分 企业网络安全管理体系结构
企业的网络安全管理应当是一门学问,但至今尚未出现“网络安全学”“网络安全管理学”之类的独立学科。因此,不可避免地,在网络安全的语境下还包括大量在情绪上不够理性的内容。
企业的网络安全管理是实践性很强的领域。世界上没有两个完全相同的企业,不同企业的使命、形态、规模都各不相同,所面临的网络安全挑战也就不尽相同,所以,针对万千世界就有万千法门,不同的企业就有不同的网络安全管理方法。各种方法各有其妙,只能针对具体情况具体分析而不可生搬硬套。
大道至简,不论万千法门如何变化,其中总还是会有些规律性的经验总结或趋势性的经验判断,可以被不同的企业相互借鉴、参考。这些规律性或趋势性的内容,可以看作是企业网络安全管理知识的基础,它们之间自有一定的体系和结构。
讨论企业安全管理的体系结构,就要源于企业的网络安全工作实践——这种讨论不应脱离企业所处的环境,应当在适当的语境下讨论企业网络安全工作的目标、过程和方法。并且,还应讨论:为有效开展网络安全工作而必须具备的工作环境的特征有哪些,以及对这些工作环境的约束条件(的集合)有哪些。例如,这些内容中应包括但不限于:企业内部的网络安全生态、企业主营业务与网络安全融合发展的趋势、企业治理结构相关变革的可能路径等。