序四

信息技术推动了这个时代的快速发展，企业经营因它变得更加精准高效，衣食住行也因它变得更加丰富便捷。但是，信息技术也给企业和用户带来了前所未有的风险和挑战。隐私、金钱和其他资产越来越多地转化成数字标签暴露在互联网上，作恶成本越来越低，作恶手段越来越隐蔽，关于网络攻击和数据泄露的新闻报道层见叠出。

如何在数字化时代有效地保护用户和企业的合法权益，满足监管单位的合规要求，构建全面可靠的信息安全保障体系，已经成为企业必须重点关注的核心问题之一。有意思的是，信息安全是一项综合程度很高的工作，既需要合理的制度流程进行规范和约束，又需要可靠的技术措施进行控制和监控。因此，在规划上，必须将管理与技术高度融合；在实施过程中，必须沟通协调大量干系方，比如企业内部的技术、产品、法务、内审、公关和政府关系等部门，企业外部的监管机构、行业协会、安全组织和白帽子等；在投入上，必须充分平衡安全和业务之间的冲突，用合理的成本保证业务的正常发展，在保证各方合法权益的前提下，尽可能多地兼顾效率需求。

这就对企业信息安全负责人提出了很高的要求。他必须既具备管理、技术方面的硬技能，又具备沟通、协调方面的软技能，最重要的是能够站在更高的视角上调控安全和业务的平衡点。

这本书通篇都在讲具体的信息安全管理和执行实务，而不是泛泛地谈论理论。作者用简单易懂的语言，清晰地给出了企业信息安全负责人在什么阶段、做什么事情、怎么做。本书凝聚了作者的工作经验和感悟。无论老练还是新晋的信息安全负责人，或是需要独立承担部分信息安全工作的工程师，都能从中有所收获。

刘子正

微博副总裁