文章总结： 文章批评企业仅凭渗透测试技能招聘安全负责人，指出信息安全不局限于IT技术。核心观点是负责人应具备体系思维，以ISO27001为内核，构建涵盖策略流程、组织人员、风险决策等八大体系，并将其嵌入研发制造等各业务模块，实现安全全面落地。 综合评分： 84 文章分类： 安全建设,安全运营,技术标准

【安全锐评】企业信息安全负责人真正该做些什么

原创

27001.CN

Sky的安全观

2026年1月14日 19:13 广东

点击上方蓝色字“Sky的安全观”关注我们

资料交流，请私“加群”

>>ISO系列标准解读合集<<

ISO/IEC 27001: 2022 标准详解与实施合集（共42篇）

ISO/IEC 27001: 2013 标准详解与实施合集（共47篇）

ISO/IEC 20000-1: 2018 标准详解与实施合集（共48篇）

ISO 22301: 2019 标准详解与实施合集（共38篇）

ISO 9001: 2015 标准详解与实施合集（共45篇）new!

ISO 14001: 2015 标准详解与实施合集（共26篇）new!

ISO 45001: 2018 标准详解与实施合集（共30篇）new!

>>更多精彩合集，敬请期待<<

ISO/IEC 27001: 2022 换版不求人

ISO/IEC 27001: 2022 咨询辅导服务内容

华为供应链信息安全审核应对方案

华为供应链网络安全审核应对方案

独家：ISO/IEC 27001: 2022全新文件提供和指导

【直播预告】企业信息安全负责人必修系列课程（第一季）

之前看到某个头部新能源制造企业招聘信息安全负责人的JD时，就会让人忍不住笑出来了，我当时就在想，要是按照这个JD去招人，即使招再多的人，换再多的人，也是于事无补，这家企业的信息安全仍然会是个零蛋。这个JD里最重要的要求竟然是要求候选人懂渗透测试和攻防演练，当然其他要求也都是与信息技术有关的。很显然，这家企业是被前面离职的那位信息安全负责人带到沟里去了，这家企业前面那位做了不到一年的信息安全负责人，他之前的经历都是在互联网平台企业，主要是做渗透，攻防等相关信息技术的工作，这样的经历很显然是无法担起新能源制造企业的信息安全负责人的工作重担的，所以才会干了不到一年就被迫离开了，并且是一事无成。最奇葩的是，这家企业，在这个信息安全负责人离职后，竟然继续拿着这个已离职的信息安全负责人规划的信息安全岗位和相关的任职资格去招聘人员。

我之前多次说过，信息安全不是信息技术，企业信息安全的工作重心绝不是局限在信息技术领域，信息安全也不是包揽一切，去替别的业务部门打杂和背锅，而是要总掌全局，以及统筹和监督企业各个部门的信息安全工作的。那么，作为企业的信息安全负责人真正该做些什么呢？

作为企业的信息安全负责人，应像企业其他模块的负责人一样，要用体系思维统掌全局，掌握信息安全管理基本框架，以ISO/IEC 27001为内核，衍生出策略与流程体系，文化与培训体系，组织与人员体系，风险与决策体系，监控与检查体系，应急与响应体系，绩效与奖惩体系以及技术与集成体系等八大体系，并将这些体系嵌入到企业的各个业务模块（例如研发、质量、制造、人力资源、IT等），以实现企业信息安全的全面落地，进而全面实现企业信息安全的信息化，数字化和智能化等相关工作。

※※※原创文章，未经许可，严禁转载，侵权必究※※※

>>ISO标准过程和文件清单<<

ISO 9001: 2015 过程和文件清单

IATF 16949：2016 过程和文件清单

GB/T 23001: 2017 两化融合管理体系过程和文件清单

ISO/IEC 27701: 2019 过程和文件清单

ISO/IEC 27001: 2022 过程和文件清单

ISO 22301: 2019 过程和文件清单

ISO 14001 和ISO 45001 过程和文件清单

ISO/IEC 42001: 2023 过程和文件清单

ISO 50001: 2018 过程和文件清单

ISO/IEC 20000-1: 2018 过程和文件清单

ISO/SAE 21434: 2021过程和文件清单

ISO 22000: 2018 过程和文件清单

ISO 13485: 2016 过程和文件清单

ISO 37301: 2021 过程和文件清单 new!

GB/T  29490 — 2023 过程和文件清单 new!

>>更多精彩清单，敬请期待<<

信息安全管理 #信息安全 #信息安全负责人

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Sky的安全观 27001.CN《【安全锐评】企业信息安全负责人真正该做些什么》