人们把信息安全分为管理和技术，工程可以归入管理与技术；把追求的目标分为合规和实效。我国的等级保护体系适用于各行各业，但是许多行业的行政监管部门基于行业的风险特征又从宏观上发布了一系列的监管标准，这些标准关注效果而不是过程。

面对如此之多的合规监控，信息安全管理者往往忧心忡忡，焦虑不安，生怕在认证或监管中被发现缺陷而留下劣迹。实际上，信息安全管理围绕三个基本点展开即可，它们是原理、标准和实践。

原理居首，因为标准制定从来没有违背原理的，实践在绝大多数情况下是现有原理与标准指导下的活动。管理者与其以监管为中心不如以原理为中心，去构建分层次的、弹性的信息安全体系。而且，这个体系应当是一套而不是多套。

分层次的体系是由宏观、抽象的描述向微观、具体的描述自顶向下的递进体系。越往上越稳定，那是具有普适性的；越往下越弹性，那是满足管理的、技术的和监管的不断变化。

以银行业为例，很多银行在已经具有ISO27001的安全体系后却不能满足银监的监管，而再次围绕监管建设新的体系，两种体系往往存在策略、逻辑和方法的不一致性，究其原因，更多的是建设ISO27001体系时过于封闭和形式化，缺乏真正的信息安全原理性思考，缺乏整体体系的架构设计和层次间的接口设计，以致于弹性尽失。当公司已经拥有信息科技风险体系，再建设ISO27001体系是也几乎面临同样的问题。如今，网络安全法又发布执行了，安全管理者又该如何面对呢？

理解信息安全的本质吧，智者从来都是处置自如，无所惑。

作者：沈海峰