关于ISO17799-Security-Plan的思考

3 views
Skip to first unread message

Billy

unread,
May 18, 2007, 6:56:54 AM5/18/07
to CCClub中国信息安全专业人士俱乐部
在2006年的5月份曾经将自己对于信息安全的理解整理如下:

* 企业面临的安全困惑
o 为什么总是在安全事件出现后才被动处理和补救--预警防范体系
o 为什么总犯同样或类似的错误--安全工作制度化+可审计+可管理特性
o 为什么安全制度措施无法落实到每个角落--提高安全意识与责任培训+全员责任制
o 为什么安全的策略总是过时--安全不应该是一次性或阶段性的运动+螺旋状上升结构+技术手段与管理思想+攻击与防范体系
o 为什么总有补不完的漏洞--合理的资产管理+风险分析机制
o 为什么总有未经授权甚至滥用权限的行为发生--严谨的用户权限管理策略
o 为什么那么多安全设备(各种防火墙、IDS、防病毒等)我都管不过来--高效且具有UI友好性的管理机制
o 为什么安全投资的ROI总是很低呢--缺乏专业的安全咨询以权衡安全效能的提升与否
o 为什么安全技术、产品层出不穷,CSO眼花缭乱,我该选择什么--缺乏对可用安全技术、产品以及安全管理模型、思想的跟踪与消
化吸收
o 每个员工都设置生日或工号为密码,很容易被破解--安全意识有待于进一步提高
o ......

* 体系化管理安全+体系化应用Application安全+体系化主机Host安全+体系化网络Network安全+体系化传递安全

o 体系化管理安全--安全组织+文件体系(制度、规范、标准)+资产管理(审计、分级)+风险分析(事件应急响应)+安全运维+
安全意识体系+技术保障框架(宏观、中观、微观;方针、策略、指南、配置、指导性文件、日志;审计、管理、工作流引擎;防+堵+疏+导;)
o 体系化应用安全--业务应用的安全开发生命周期过程(Security Development LifeCycle)+概
念、开发第一阶段、内部测试、开发第二阶段、外部beta测试、正式发布、最佳实践反馈+安全设计、安全编码、安全性测试、安全复核、渗透测试、应急响
应+部署、维护、管理的安全体
o 体系化主机安全--补丁、更新、服务、协议、帐户、文件目录、共享、端口、注册表、审计+蠕虫、病毒、木马、资源滥用、恶意行
为+从外到内+人与机+机与机+构建主机安全威胁模型
o 体系化网络安全--进不来、拿不走、看不懂、跑不掉、赖不了
o 体系化传递安全--意识传递+责任传递+权利传递+自顶向下+自底向上+安全闭环反馈系统

* 信息安全迷思

o 信息安全的三要素(保密、完整、可用)+业务连续性+可复制特性
o 80/20规则+三分技术/七分管理+不可能的100%安全
o 安全促进/限制应用效率+黄金分割点是否一成不变
o 一把手安全工程
o 安全木桶理论
o 管理文化的差异决定安全效能的差异(东西方、CEO风格、国企/私企)
o 信息安全/网络安全+网络安全仅仅是信息安全其中的一个子集
o 安全管理部门的权威性+技术/管理手段保障+高层支持、中层理解、员工执行、落实上报、反复修正、改进提升、逐步完善、减小鸿

o 安全管理思想+外来的和尚会念经+无对错之分+管理思路各有不同+最适合的一定是最好用的
o 如何落实信息安全体系--最头疼的事情+安全管理体系、流程、技术手段、人+创造和谐体系+美德
* 信息安全趋势
o 趋于规范化、标准化+不失灵活性+BS7799/ISO17799、ISO27001、ITIL、eTOM、CoBIT、X.
805、SOX
o 深度+广度+深入到核心业务系统自身中去+延展到企业所有有机层面+安全成为核心竞争力的标志
o 平台化+集成化+框架化+门户化+体系化+自动化+虚拟化+流程化

------我是分隔线------
在经历又一个信息安全管理咨询项目之后,即便是对于某一特定行业的理解又加深了许多,我未停下思考的脚步;究竟标准、体系对于企业来说意
味着什么?方针策略?指南依据?
或者更多......
特画一草图,以求抛砖引玉,欢迎各位评点。

http://ccclub_admin.googlegroups.com/web/ISO17799-SecurityPlan-Billy.JPG

colababy

unread,
May 18, 2007, 7:58:40 AM5/18/07
to ccclub...@googlegroups.com
Billy,您好!

  Billy永无停止的对信息安全思考和探索的精神令我敬佩。很多问题都是我们经常面临或者经常问到的,正确的诠释在于实践,也在于总结。

======= 2007-05-18 您在来信中写道:=======
= = = = = = = = = = = = = = = = = = = =



礼!

colababy
cola...@263.net.cn
2007-05-18

LiHua

unread,
May 18, 2007, 9:22:27 AM5/18/07
to ccclub...@googlegroups.com
不管是什么体系,最终都是要有效的执行起来,落实到日常每个人的工作里面去才有意
义。技术手段与管理手段都是体系落地的关键,组织文化的不同决定了落地手段的不
同,这里也就是顾问咨询的关键和价值所在。

-----邮件原件-----
发件人: ccclub...@googlegroups.com [mailto:ccclub...@googlegroups.com]
代表 Billy
发送时间: 2007年5月18日 18:57
收件人: CCClub中国信息安全专业人士俱乐部
主题: {CCClub中国信息安全专业人士俱乐部 关于ISO17799-Security-Plan的思考
Message has been deleted
Message has been deleted

scott

unread,
May 21, 2007, 5:40:15 AM5/21/07
to CCClub中国信息安全专业人士俱乐部
我们所做的任何安全体系都是在对"人"的行为的约束,而这个恰恰是最复杂最难的事情,是需要经历痛苦而漫长的过程的。在安全体系建设涉足庞大的范围,岂
能一簇而就!这个过程当中,我认为技术体系的建设可以放在前面的,也就是与人打交道的管理体系放在后面,分出轻重缓急和难易程度。
Reply all
Reply to author
Forward
0 new messages