近期关注了一个话题：

一位ISO27001资深人士提出，信息安全部应专注管理、剥离技术执行，将漏洞扫描、渗透测试等交给业务线或外包。 更有文章用“草台班子的信息安全部门注定是会被边缘化的”博眼球。对此一线安全人直呼不服：动辄扣“草台班子”帽子，抛开企业规模、业务能力空谈理论，根本不切实际。

争论两极化
支持，安全部应聚焦规则与体系，应远离技术琐事；反对，作为一线安全人员表示坚决反对！业务线安全配置或能力不足，盲目移交执行等于放任风险，最终还是信息安全部背锅，哪这个冤，去哪里诉？ 有人被带节奏吐槽自家安全部定位混乱，也有理性声音指出，核心是权责不清而非团队能力问题。这种刻意制造焦虑的做法，搞哗众取宠的流量对立，真的是“专业人士”么？

专业安全工作从来不是“非管即干”的单选题，核心是结合实际理清定位——这才是ISO27001、CISSP的初衷，也是一线破局关键。

从一线工程师到专家岗，也拥有CISSP、ISO27001、OSCP等相关认证，索性站长巨人的肩上，结合体系框架及实操经验扯一会。

纠结“管还是干”，本质是对安全体系框架理解偏差。ISO27001与CISSP均强调，管理与执行互补，服务企业实际风险防控，而非对立。

ISO27001要求信息安全部作为“体系所有者+统筹支撑者”，搭建“管理定方向、执行筑根基”的闭环，既要制定方针、权责流程，也要在业务线能力不足时提供技术支撑。

鼓吹“只做管理”忽略企业实际，中小公司业务线无力承担渗透测试、漏洞修复，最终风险失控，责任仍在安全部。既无法通过审计，也违背ISO27001风险导向的初衷。

CISSP知识域既含管理模块，也覆盖技术执行内容，要求优秀安全管理者兼具管理思维与技术功底——不懂执行难判措施有效性，只会执行难搭长效体系。

平衡管理与执行，核心是“动态适配”企业规模与业务能力，无统一标准。

• 百人内企业： 安全部多挂靠质量/运维部，需“执行优先、管理兜底”，亲自负责核心执行，同步搭建基础制度，规避风险零散化。
• 上千内企业： 安全部独立于研发中心，以“管理主导、执行聚焦核心”为主，赋能业务线做常规工作，自身聚焦SDL搭建、深度测试等高价值事项。
• 千人上集团： 安全部负责“管理统筹、执行抓关键”，制定统一标准、监督子公司合规，承接集团重大应急、供应链评估等核心执行工作。

简言之，管理保障安全工作可复制追溯，执行确保体系落地有效，二者缺一不可。

那些哗众取宠的标题，不过是制造焦虑的流量密码。专业安全人更专注解决“权责理清、定位明确”的核心问题。

安全部被质疑“草台班子”，根源是定位混乱、权责失衡，而非能力不足。其终极价值，是通过合理分工让安全融入业务，守住风险底线，这才是避免边缘化的关键。

与其纠结“管还是干”，不如先明确企业当前需求——是先堵漏洞，还是先搭体系，哪个更紧急？

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）