人們把信息安全分為管理和技術,工程可以歸入管理與技術;把追求的目標分為合規和實效。我國的等級保護體系適用于各行各業,但是許多行業的行政監管部門基于行業的風險特征又從宏觀上發布了一系列的監管標準,這些標準關注效果而不是過程。
面對如此之多的合規監控,信息安全管理者往往憂心忡忡,焦慮不安,生怕在認證或監管中被發現缺陷而留下劣跡。實際上,信息安全管理圍繞三個基本點展開即可,它們是原理、標準和實踐。
原理居首,因為標準制定從來沒有違背原理的,實踐在絕大多數情況下是現有原理與標準指導下的活動。管理者與其以監管為中心不如以原理為中心,去構建分層次的、彈性的信息安全體系。而且,這個體系應當是一套而不是多套。
分層次的體系是由宏觀、抽象的描述向微觀、具體的描述自頂向下的遞進體系。越往上越穩定,那是具有普適性的;越往下越彈性,那是滿足管理的、技術的和監管的不斷變化。
以銀行業為例,很多銀行在已經具有ISO27001的安全體系后卻不能滿足銀監的監管,而再次圍繞監管建設新的體系,兩種體系往往存在策略、邏輯和方法的不一致性,究其原因,更多的是建設ISO27001體系時過于封閉和形式化,缺乏真正的信息安全原理性思考,缺乏整體體系的架構設計和層次間的接口設計,以致于彈性盡失。當公司已經擁有信息科技風險體系,再建設ISO27001體系是也幾乎面臨同樣的問題。如今,網絡安全法又發布執行了,安全管理者又該如何面對呢?
理解信息安全的本質吧,智者從來都是處置自如,無所惑。
作者:沈海峰
京公網安備 11010502049343號