信息安全在哪裏都一(yī)樣

發布日期:2017-09-05首頁 > 安全資(zī)訊

人們把信息安全分(fēn)爲管理和技術,工(gōng)程可以歸入管理與技術;把追求的目标分(fēn)爲合規和實效。我(wǒ)國的等級保護體(tǐ)系适用于各行各業,但是許多行業的行政監管部門基于行業的風險特征又(yòu)從宏觀上發布了一(yī)系列的監管标準,這些标準關注效果而不是過程。


705-1FZ5152042613.jpg
 

面對如此之多的合規監控,信息安全管理者往往憂心忡忡,焦慮不安,生(shēng)怕在認證或監管中(zhōng)被發現缺陷而留下(xià)劣迹。實際上,信息安全管理圍繞三個基本點展開(kāi)即可,它們是原理、标準和實踐。

原理居首,因爲标準制定從來沒有違背原理的,實踐在絕大(dà)多數情況下(xià)是現有原理與标準指導下(xià)的活動。管理者與其以監管爲中(zhōng)心不如以原理爲中(zhōng)心,去(qù)構建分(fēn)層次的、彈性的信息安全體(tǐ)系。而且,這個體(tǐ)系應當是一(yī)套而不是多套。

  分(fēn)層次的體(tǐ)系是由宏觀、抽象的描述向微觀、具體(tǐ)的描述自頂向下(xià)的遞進體(tǐ)系。越往上越穩定,那是具有普适性的;越往下(xià)越彈性,那是滿足管理的、技術的和監管的不斷變化。

以銀行業爲例,很多銀行在已經具有ISO27001的安全體(tǐ)系後卻不能滿足銀監的監管,而再次圍繞監管建設新的體(tǐ)系,兩種體(tǐ)系往往存在策略、邏輯和方法的不一(yī)緻性,究其原因,更多的是建設ISO27001體(tǐ)系時過于封閉和形式化,缺乏真正的信息安全原理性思考,缺乏整體(tǐ)體(tǐ)系的架構設計和層次間的接口設計,以緻于彈性盡失。當公司已經擁有信息科技風險體(tǐ)系,再建設ISO27001體(tǐ)系是也幾乎面臨同樣的問題。如今,網絡安全法又(yòu)發布執行了,安全管理者又(yòu)該如何面對呢?

理解信息安全的本質吧,智者從來都是處置自如,無所惑。