信息安全在哪里都一样

人们把信息安全分为管理和技术,工程可以归入管理与技术;把追求的目标分为合规和实效。我国的等级保护体系适用于各行各业,但是许多行业的行政监管部门基于行业的风险特征又从宏观上发布了一系列的监管标准,这些标准关注效果而不是过程。



 

面对如此之多的合规监控,信息安全管理者往往忧心忡忡,焦虑不安,生怕在认证或监管中被发现缺陷而留下劣迹。实际上,信息安全管理围绕三个基本点展开即可,它们是原理、标准和实践。

原理居首,因为标准制定从来没有违背原理的,实践在绝大多数情况下是现有原理与标准指导下的活动。管理者与其以监管为中心不如以原理为中心,去构建分层次的、弹性的信息安全体系。而且,这个体系应当是一套而不是多套。

  分层次的体系是由宏观、抽象的描述向微观、具体的描述自顶向下的递进体系。越往上越稳定,那是具有普适性的;越往下越弹性,那是满足管理的、技术的和监管的不断变化。

以银行业为例,很多银行在已经具有ISO27001的安全体系后却不能满足银监的监管,而再次围绕监管建设新的体系,两种体系往往存在策略、逻辑和方法的不一致性,究其原因,更多的是建设ISO27001体系时过于封闭和形式化,缺乏真正的信息安全原理性思考,缺乏整体体系的架构设计和层次间的接口设计,以致于弹性尽失。当公司已经拥有信息科技风险体系,再建设ISO27001体系是也几乎面临同样的问题。如今,网络安全法又发布执行了,安全管理者又该如何面对呢?

理解信息安全的本质吧,智者从来都是处置自如,无所惑。

作者:沈海峰

 

(责任编辑:安博涛)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

组织提高安全性应时刻更新补丁

组织提高安全性应时刻更新补丁

今年5月,全球性的WannaCry病毒攻击感染了20多万台工作站。一个月后,在组织进行恢复...[详细]

信息安全在哪里都一样

信息安全在哪里都一样

人们把信息安全分为管理和技术,工程可以归入管理与技术;把追求的目标分为合规和实效...[详细]

人工神经网络也有后门

人工神经网络也有后门

8月初,纽约大学教授希达斯佳格测了下交通,然后在他工作的布鲁克林办公楼外的停车标...[详细]

全球网络安全年收入超10亿美元以上的15家公

全球网络安全年收入超10亿美元以上的15家公司

1、赛门铁克(Symantec) 企业性质:安全公司 2016年营收:36亿美元 2、德勤(Deloitte) ...[详细]

基于眼睛的面部表情识别专利

基于眼睛的面部表情识别专利

我们知道,眼睛是心灵之窗,人们常说可以通过眼神洞察内心,而新技术也把眼睛当作了一...[详细]

返回首页 返回顶部