信息安全在哪里都一样
一样 哪里 信息安全
2023-09-27 14:24:12 时间
人们把信息安全分为管理和技术,工程可以归入管理与技术;把追求的目标分为合规和实效。我国的等级保护体系适用于各行各业,但是许多行业的行政监管部门基于行业的风险特征又从宏观上发布了一系列的监管标准,这些标准关注效果而不是过程。
![](http://www.d1net.com/uploadfile/2017/0903/20170903092144627.jpg)
面对如此之多的合规监控,信息安全管理者往往忧心忡忡,焦虑不安,生怕在认证或监管中被发现缺陷而留下劣迹。实际上,信息安全管理围绕三个基本点展开即可,它们是原理、标准和实践。
原理居首,因为标准制定从来没有违背原理的,实践在绝大多数情况下是现有原理与标准指导下的活动。管理者与其以监管为中心不如以原理为中心,去构建分层次的、弹性的信息安全体系。而且,这个体系应当是一套而不是多套。
分层次的体系是由宏观、抽象的描述向微观、具体的描述自顶向下的递进体系。越往上越稳定,那是具有普适性的;越往下越弹性,那是满足管理的、技术的和监管的不断变化。
以银行业为例,很多银行在已经具有ISO27001的安全体系后却不能满足银监的监管,而再次围绕监管建设新的体系,两种体系往往存在策略、逻辑和方法的不一致性,究其原因,更多的是建设ISO27001体系时过于封闭和形式化,缺乏真正的信息安全原理性思考,缺乏整体体系的架构设计和层次间的接口设计,以致于弹性尽失。当公司已经拥有信息科技风险体系,再建设ISO27001体系是也几乎面临同样的问题。如今,网络安全法又发布执行了,安全管理者又该如何面对呢?
理解信息安全的本质吧,智者从来都是处置自如,无所惑。
作者:沈海峰
本文转自d1net(转载)
相关文章
- JavaScript图形实例:像雪花一样的Hexaflake分形
- 【软件测试】测试人不躺平,进军高级自动化测试自救,你的不一样结局......
- 你说的项目管理和我说的一样吗?
- 如何让机器人具备像人类一样的触觉?
- linux让命令或程序在终端后台运行的方法(Ubuntu/Fedora/Centos等一样适用)
- 《像计算机科学家一样思考Python(第2版)》——1.2 运行Python
- SQL教程之如何开始像 SQL 请求一样思考
- 对 Android 开发者来说,Google Play 到底哪里不一样?
- SDN商业化之路开启,云杉网络坚持像VMware一样只卖软件
- 外媒吐槽:苹果保密措施像筛子一样不靠谱
- 像docker一样挂载文件映射目录到虚拟机VM内部进行开发详细实现步骤及介绍
- 混合云、区块链、认知技术,还有哪一样前沿技术是IBM没提到的吗?
- 安全开发 | 如何让Django框架中的CSRF_Token的值每次请求都不一样