信息安全在哪裡(lǐ)都(dōu)一樣
發布時間:
2017-12-27
來(lái)源:
人(rén)們把信息安全分(fēn)爲管理(lǐ)和技術(shù),工(gōng)程可(kě)以歸入管理(lǐ)與技術(shù);把追求的目标分(fēn)爲合規和實效。我國(guó)的等級保護體(tǐ)系适用于各行各業,但(dàn)是許多行業的行政監管部門(mén)基于行業的風(fēng)險特征又從(cóng)宏觀上發布了一系列的監管标準,這些标準關注效果而不是過程。
面對如(rú)此之多的合規監控,信息安全管理(lǐ)者往往憂心忡忡,焦慮不安,生(shēng)怕在認證或監管中被發現缺陷而留下劣迹。實際上,信息安全管理(lǐ)圍繞三個基本點展開即可(kě),它們是原理(lǐ)、标準和實踐。
原理(lǐ)居首,因爲标準制定從(cóng)來(lái)沒有違背原理(lǐ)的,實踐在絕大(dà)多數情況下是現有原理(lǐ)與标準指導下的活動。管理(lǐ)者與其以監管爲中心不如(rú)以原理(lǐ)爲中心,去(qù)構建分(fēn)層次的、彈性的信息安全體(tǐ)系。而且,這個體(tǐ)系應當是一套而不是多套。
分(fēn)層次的體(tǐ)系是由宏觀、抽象的描述向微觀、具體(tǐ)的描述自(zì)頂向下的遞進體(tǐ)系。越往上越穩定,那是具有普适性的;越往下越彈性,那是滿足管理(lǐ)的、技術(shù)的和監管的不斷變化。
以銀行業爲例,很多銀行在已經具有ISO27001的安全體(tǐ)系後卻不能滿足銀監的監管,而再次圍繞監管建設新的體(tǐ)系,兩種體(tǐ)系往往存在策略、邏輯和方法的不一緻性,究其原因,更多的是建設ISO27001體(tǐ)系時過于封閉和形式化,缺乏真正的信息安全原理(lǐ)性思考,缺乏整體(tǐ)體(tǐ)系的架構設計(jì)和層次間的接口設計(jì),以緻于彈性盡失。當公司已經擁有信息科(kē)技風(fēng)險體(tǐ)系,再建設ISO27001體(tǐ)系是也幾乎面臨同樣的問(wèn)題。如(rú)今,網絡安全法又發布執行了,安全管理(lǐ)者又該如(rú)何面對呢(ne)?
理(lǐ)解信息安全的本質吧(ba),智者從(cóng)來(lái)都(dōu)是處置自(zì)如(rú),無所惑。
上一頁
下一頁
上一頁
下一頁
|
相(xiàng)關資訊
