企業安全涵蓋哪些領域

企業安全涵蓋7大領域：

• 網絡安全：基礎、狹義但核心的部分，以計算機（PC、服務器、小型機、BYOD……）和網絡為主體的網絡安全，主要聚焦在純技術層面。

• 平臺和業務安全：跟所在行業和主營業務相關的安全管理，例如反欺詐，不是純技術層面的內容，是對基礎安全的拓展，目的性比較強，屬于特定領域的安全，不算廣義安全。

• 廣義的信息安全：以IT為核心，包括廣義上的“Information”載體，除了計算機數據庫以外，還有包括紙質文檔、機要，市場戰略規劃等經營管理信息、客戶隱私、內部郵件、會議內容、運營數據、第三方的權益信息等，但凡你想得到的都在其中，加上泛“Technology”的大安全體系。

• IT風險管理、IT審計&內控：對于中大規模的海外上市公司而言，有諸如SOX-404這樣的合規性需求，財務之外就是IT，其中所要求的在流程和技術方面的約束性條款跟信息安全管理重疊，屬于外圍和相關領域，而信息安全管理本身從屬于IT風險管理，是CIO視角下的一個子領域。

• 業務持續性管理：BCM（Business Continuity Management）不屬于以上任何范疇，但又跟每一塊都有交集，BCM絕對是面向實操的領域。最近，有網易、中有支付寶、后有攜程，因為各種各樣的原因業務中斷，損失巨大都屬于BCM的范疇。有人會問：這跟安全有什么關系？安全是影響業務中斷的很大一部分可能因素，例如DDoS，入侵導致必須關閉服務自檢，數據丟失，用戶隱私泄露等。又會有人問：這些歸入安全管理即可，為什么要跟BCM扯上關系，做安全的人可以不管這些嗎？答案自然是可以不管，就好像說：“我是個Java程序員，JVM、dalvik（ART）運行原理不知道又有什么關系，完全不影響我寫代碼！” 事實上，BCM提供了另一種更高維度、更完整的視角來看待業務中斷的問題。對于安全事件，它的方法論也比單純的ISMS更具有可操作性，對業務團隊更有親和力，因為你知道任何以安全團隊自我為中心的安全建設都難以落地，最終都不會做得很好。

• 安全品牌營銷、渠道維護：CSO有時候要做一些務虛的事情，例如為品牌的安全形象出席一些市場宣介，presentation。籠統一點講，現在SRC的活動基本也屬于這一類。

• CXO們的其他需求：俗稱打雜。這里你不要理解為讓安全團隊去攻擊一下競爭對手的企業這樣負面向的事情，而是有很多公司需要做，但運維開發都不干，干不了或者不適合干的事情，安全團隊能力強大時可以承包下來的部分，事實上我的職業生涯里就做了不少這樣的事情。

回答所涉及的環境：聯想天逸510S、Windows 10。