信息安全行业日趋成熟 投资相对缓慢

2008年11月，借着CISSP国际信息安全专家金秋培训的举行，记者有幸在百年欧式花园教室中零距离接触10来国内信息安全精英，他们均有超过8年以上的信息安全从业经历。学员们认真学习，积极演练，热烈讨论，为记者留下了深刻的印象。 
　　对于中国这几年来在信息安全方面的发展，来自国内某知名汽车制造业的CTO Justin先生从用户角度发表了自己的看法：“一方面，技术越来越成熟，实用性越来越强，可以选择的方案也越来越多，信息安全意识在不断增强，相关标准也在不断的出台;另一方面，公司内部对于信息安全的投资增长却相对缓慢。”
　　“这是国内公司的普遍现象，”来自某五百强制药公司的安全经理Coney补充道：“IT部门不同于别的部门，投入回报比相对较低，投下去的钱不是立刻会有利润产生的，我们在申请相关预算的时候总是比较困难，因为这个不会带来非常实用的收益，这直接影响了预算的报批，老板通常会把我们部门提案的重要性延后，转而把钱投到别的项目上。”
　　“没错!”国内某知名媒体集团的研发主管接着话题：“我们部门前期投入很大，但不能立竿见影，往往事情发生以后，才会受到重视，但已经为时已晚。”
　　“这也是我们这个行业会遇到的实施上的难题” 世界500强化工集团的MICHAEL说到：“我们公司的信息安全在执行上会follow美国总部的policy，但由于国内一些技术上的不成熟或预算有限，我们也会对这些policy做一些适当的修改，使之更本土化，实用化。”
　　“在上海信息化培训中心上了CISSP的课之后，我们就能拿着课本去和CEO说事儿了”国内知名保险行业信息安全组长林先生笑道：“这些标准和说明就是将来我们去和CEO申请预算的依据!”
　　“无论是内部的信安管理还是外部的，领导的支持与参与，员工对于标准的执行，都是十分重要的!”Justin总结道：“以前我们做信息安全的总是强调，三分技术，七分管理，其实技术和管理之分已经日趋模糊，二者密不可分。”
　　“正是如此”Coney点头道：“以前总以为信息安全是IT的事情，其实它已经是保障业务持续有效进行，同其他部门一样产生效益的重要领域了，不光光是IT部，其他业务部门也都在接受相应的理念。”
　　当问及大家为何来参加CISSP培训时，国内某知名物流集团的资讯处长Mark说：“平时工作中接触到的都是一些零碎的知识，并没有形成一个系统的完整的认知体系，5天的培训可以帮助我整体梳理一下知识体系。”
　　“培训仅仅是教授你方法，至于落实到具体工作上，还是要靠你合理运用课本上的思维方式，相关标准去分析问题、解决问题。”国内某大型制造业信息安全部经理刘先生继续说道：“另外，除了工作上的需求之外，从我个人职业发展角度出发，我也希望通过培训，为自己的职业道路增添有分量的砝码。”
　　五天的课程，在上海信息化培训中心华山路上的百年英式别墅的幽幽庭院中结束了，记者亲历了培训的全程，与校友们的交流中，记者感受到了CISSP课程即将展示给业界的魅力，正如校友们谈到的，随着国内信息安全的发展，它将融合到公司业务的方方面面，不断体现其自身价值。