序四

信息技術推動了這個時代的快速發展，企業經營因它變得更加精準高效，衣食住行也因它變得更加豐富便捷。但是，信息技術也給企業和用戶帶來了前所未有的風險和挑戰。隱私、金錢和其他資產越來越多地轉化成數字標簽暴露在互聯網上，作惡成本越來越低，作惡手段越來越隱蔽，關于網絡攻擊和數據泄露的新聞報道層見疊出。

如何在數字化時代有效地保護用戶和企業的合法權益，滿足監管單位的合規要求，構建全面可靠的信息安全保障體系，已經成為企業必須重點關注的核心問題之一。有意思的是，信息安全是一項綜合程度很高的工作，既需要合理的制度流程進行規范和約束，又需要可靠的技術措施進行控制和監控。因此，在規劃上，必須將管理與技術高度融合；在實施過程中，必須溝通協調大量干系方，比如企業內部的技術、產品、法務、內審、公關和政府關系等部門，企業外部的監管機構、行業協會、安全組織和白帽子等；在投入上，必須充分平衡安全和業務之間的沖突，用合理的成本保證業務的正常發展，在保證各方合法權益的前提下，盡可能多地兼顧效率需求。

這就對企業信息安全負責人提出了很高的要求。他必須既具備管理、技術方面的硬技能，又具備溝通、協調方面的軟技能，最重要的是能夠站在更高的視角上調控安全和業務的平衡點。

這本書通篇都在講具體的信息安全管理和執行實務，而不是泛泛地談論理論。作者用簡單易懂的語言，清晰地給出了企業信息安全負責人在什么階段、做什么事情、怎么做。本書凝聚了作者的工作經驗和感悟。無論老練還是新晉的信息安全負責人，或是需要獨立承擔部分信息安全工作的工程師，都能從中有所收獲。

劉子正

微博副總裁