随着各类信息安全事件发生频率的不断升高，企业的老板们也都产生了一个朴素的想法，要加强信息安全治理，保护企业的各类经营、生产信息，保护企业的业务。但是对于如何建立起一套科学、高效的信息安全治理体系，却是无从下手。

    企业的信息安全治理，从0到1主要分为三个阶段，本文主要介绍下这三个阶段的主要任务，并简单介绍下从1到正无穷的工作目标。

    第一阶段——“点”

    “信息安全”是一个非常庞杂的范畴，任何一个安全域的疏漏都可能导致企业的信息安全受到破坏。网络安全和IT系统安全是信息安全众多安全域中的一部分，也仅仅是一部分。一个完善的信息安全治理体系会涉及到运维、IT、行政、人事、法务和各个业务部门。

    老板们如果希望真正的保护企业的信息安全，第一步应当是寻找一名对信息安全各安全域有着广泛经验的“设计师”来负责公司的信息安全治理工作，来为公司量身打造一套“合身”的信息安全治理蓝图。这名设计师不一定精通于网络攻防、也不一定精通于代码安全；可以不会写脚本，也可以不会装监控，但是其必须对于每个安全域都有全面的了解，拥有“安全全局观”。除此以外，这名“设计师”还必须拥有超强的学习能力以快速理解企业业务，超强的沟通协调能力以便协调各部门资源配合，超强的组织推动能力以便确保企业的信息安全治理要求能够切实落地实施。总之，在这一阶段企业需要的是一名“通才”，而非“专才”。

    然而正如大潘在文章《南火北归——网络安全的南向火热与北向回归》一文中指出的，相比具体某一安全域专家人才的数量，能够有宏观“安全全局观”的北向人才很少，既有经验、又有能力的更是极少。

    在这一阶段，很多企业迫于没有合适的人选，会临时指定IT运维部门人员兼任，但由于知识背景和工作经历的原因，这样的选择往往会致使企业的信息安全治理工作走向“网络安全管理”，这无异于缺了几块木板的水桶，不仅是资源和时间的浪费，更严重的是往往给企业带来“安全错觉”。

    当然，也不排除有些学习能力和总结归纳能力非常强的专才会在这一过程中快速成长为一名“通才”，但是不得不承认这种可能性非常低。

    第二阶段——“线”

    部分企业有幸在第一阶段找到了一名符合条件的信息安全负责人，这是一个很好的开端。“设计师”到位后，可以提出一套完整的安全治理体系规划。

    然而，理想很丰满，现实很骨感。新上任的信息安全负责人会被企业各类庞杂的信息安全事件所包围：有人泄露公司内部邮件了、公司网络出现漏洞了、有陌生人员混入企业内部了……

但是，在大量的安全事件处置过程中，这名信息安全负责人可以通过每一起安全事件的应急响应，采取必要的纠正措施，更重要的是分析事件的根本原因，选择恰当的预防措施，并去不断修正自己的规划。

    对于任何一名信息安全负责人，特别是外部空降的信息安全负责人，由于对企业情况尚未彻底了解，对企业内部的管理风格、企业文化、沟通协调方式尚不熟悉，同时企业历史上积累了大量的安全风险未有效处置，会在这一阶段面对造成巨大的压力。因此这一阶段也是企业老板们尤其需要给予关注和支持的阶段，如引荐信息安全负责人给相关部门负责人、在企业内部明确信息安全负责人对信息安全事件的管理权、协助信息安全负责人介入各类信息安全事件的处置。

    除此以外，这一阶段也是信息安全负责人从内、外部寻觅人员组建和磨合团队，以及企业“安全亚文化“的形成期，这一阶段工作的好坏，将对企业未来的信息安全治理水平造成长远的影响。

    根据不同企业的情况，这一阶段需要两三个月，也可能长达半年甚至一年。这取决于信息安全负责人的能力和企业老板们的支持力度。

    第三阶段——“面”

    经过手忙脚乱的阶段后，企业的信息安全事件发生频率会有了明显的下降，企业信息安全治理的战略方向、理念和信息安全部门的职责定位也已经逐步明晰。在前期大量安全事件的处置过程中，信息安全负责人按照自己的规划应当已经推动了部分的信息安全管控措施的落地和实施。

在第三阶段，企业信息安全治理应当全面从“应急响应“和”事后处置”转向“前期预防”。这一阶段的最主要任务应当是全面落实信息安全治理的规划蓝图，形成公司的信息安全治理体系，如明确企业各部门、各级别、各岗位的信息安全责任义务，建立覆盖企业全员的信息安全组织，形成健全的信息资产识别、风险评估、风险处置和监督审计工作机制，制定较为完善的信息安全策略和管理制度体系等等。

    这一阶段中企业的信息安全负责人会非常的辛苦，但也恰恰是最考验其能力的阶段。在这段时间里，信息安全负责人应当通过不断的沟通和协调，获得企业高层、中层的支持，推动各项信息安全治理措施的落地执行，并通过各种手段，不断提升企业的信息安全氛围。

    罗马不是一日建成的，企业的老板们也应当充分理解，这一阶段才是建立整个企业信息安全治理体系的核心阶段。信息安全治理的最终目的是避免因为信息资产招到破坏而影响业务发展，因此只有通过完善的信息安全治理体系，才能实现各安全域平衡发展，企业的信息安全风险不断下降，业务的安全性不断提升。在这种情况下，老板们需要付之以足够的耐心，指导企业信息安全负责人建立起与企业文化和企业治理架构相适应的信息安全治理架构。

    这一阶段的时间可能会很长，根据企业的规模以及企业投入的资源不同，这一阶段可能需要两到五年之久，甚至有些企业最终也未能完成这一阶段的任务。

    最后阶段——“体”

    近期网络安全领域有一句非常火的话“这个世界上只有两种企业，一种是被黑的，另一种是不知道自己被黑的”。虽是一句调侃的玩笑话，但是却说明了一个道理，这个世界上没有绝对的安全。所谓安全，无非是相对其成本而言。

    而范畴更广的信息安全治理，更是充分印证着这一道理。比如员工不出卖公司的信息只是因为出卖信息带来的回报还不够大。“别有用心者害怕没有利润或利润太少,就像自然界害怕真空一样。一旦有适应当的利润,别有用心者就大胆起来。”（马爷爷勿怪）

    由于各种新的技术、新的威胁、新的风险会不断涌现，因此企业信息安全治理是个无底洞，不分轻重缓急的信息安全投入会给企业带来巨大的经济负担并严重的影响企业的运行效率。但企业的信息安全水平又如逆水行舟，稍微的懈怠都会使得企业信息安全水平大幅降低。

    因此进入这一阶段后，企业的信息安全治理就全面的转向了维持和查缺补漏，通过前三个阶段的努力，企业的信息安全治理体系已经初步成型，而这一阶段的主要任务就是通过长期的、持续不断的关注，不断的应对各种新出现的挑战，评估风险，评估投入，维持和提高企业的信息安全水平。