这个“CSO怎么做”的系列，到这一章算是收个尾。我一直在琢磨这几个问题：信息安全市场到底是甲方引领，还是乙方引领驱动？为什么国内很多安全产品、长期以来没有适应国内科技创新型企业的需求？

人员安全之意识教育在我很久之前就写过了，而作为信息安全最基础的一环—-物理安全也必不可少。

这一章就来说说如何开展信息安全审计工作。

本章还是着重讨论数据防泄漏的体系如何运作，包括建立和运营。同时，概念定义上，“防泄漏”强调机密性的保护，“数据”包括需要保护的电子信息和纸件信息，电子信息包括静态和流动的信息；“数据”不仅包括结构化信息，还包括非结构化信息。

本来这一篇的标题是“如何满足信息安全合规要求”，但是2018年发生的一些事情让我重新审视这个话题，并且根据与一些同行的交流发现，很多中小企业主其实对于信息安全应该干什么、不干什么其实并不清晰，因此我修改了本篇的话题内容，并提前来聊聊这个内容。

从CSO的角度看，信息安全工作是一项管理工作还是技术工作？当然是管理工作，即便CSO的工作量主要投入在技术方向上，它也还是一项管理工作。为什么，因为技术工作也是需要基于框架、架构和方法论，这些框架、架构和方法论能够保障信息安全工作按照正确的方向前进、并提供企业所需要的价值，这些框架、架构和方法论在我看来就是管理体系。因此，CSO的工作范围之内必须要有信息安全管理体系。