数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
《孙子兵法》说:“兵无常势,水无常形”,信息安全管理亦如此。信息安全管理的最高境界是“有形化无形,无形化有形”,而不是一味追求一成不变的固定方法或模板。
信息安全管理必须灵活,必须与公司的业务结合,否则一味追求固定化的思路和方法,最终只会沦为一场表演,既浪费了时间和资源,也必将一无所获。
信息安全管理,有一项是项目的信息安全管理,下面就以企业核心业务项目为例,说明该如何来进行企业核心项目的管理。
企业核心项目的信息安全管理,必然不是独立存在的,必须依托于企业的研发体系。如果抛开企业自己的研发体系,胡乱借鉴所谓的项目信息安全管理思路和方法,对企业而言,最终必然是赔了夫人又折兵。
有形化无形:要对企业核心项目的信息安全进行管理,就必然要首先知道,项目信息安全会有哪些基本要求(如资产识别和分级,信息安全风险评估,培训,保密协议签署,信息安全检查,信息安全目标建立,产品网络安全和隐私保护等),这边便是有形。而实现这些基本要求的思路和方法,是不确定的,必须要因企业研发体系的实际情形而定的,这便是无形。
无形化有形:不同企业所采用的研发体系,是不一样的。例如,汽车供应链企业或整车制造企业,可能采用的是AIGI的APQP五阶段的研发体系,或VDA-RGA的MLA八阶段的研发体系;而对于追求研发效率的企业,可能学习华为和IBM,采用的是IPD模式的研发体系。企业核心业务项目的信息安全管理,必须依托于企业的研发体系,企业的研发体系不一样,因而企业核心业务项目的信息安全管理的思维和方法,也是不固定的,这亦是无形。企业核心业务项目的信息安全管理需要落地,必须将项目信息安全基本要求整合到企业的研发体系中,形成企业特有的管理流程和要求,这亦是有形。
由此可见,企业核心业务项目的信息安全管理,绝不是说一些空话和套话,弄一些模板和文件,以及做一些表演,就能够实现落地的,并为企业带来价值的。企业核心业务项目的信息安全管理实现落地,是一个系统化的工程,需要匹配的资源和执行力。
现在看看很多企业的研发体系,企业已经为此投入了大量资金和人力资源,高层也大力支持,最终也是弄得人仰马翻,狗屎一样。由此也可知道,企业核心业务项目的信息安全管理,对绝大多是企业而言,绝非易事。
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于网络;编辑/翻译:数字化转型网默然。
