数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
谁说信息安全已死,只不过人为拉低了信息安全的层次罢了。
在整理27000族标准时,正好看到ISO/IEC 27014 信息安全治理这个标准,虽然现在很多人把信息安全治理挂在嘴上,可能都没有对其真正理解。
以前我还在想为什么要有信息安全治理和信息安全管理,为什么要区分?其实信息安全治理层次比信息安全管理更高,信息安全治理已经上升到实体(组织)的战略层面,主要关注方向和监督,解决实体(组织)信息安全与实体(组织)其他治理领域的协调和整合,以及他们之间的冲突等。
就目前情况而言,在今天中国,能上升到来谈信息安全治理的企业,可能找到一两家就算不错了,信息安全管理层次可能就是大部分企业的天花板了。
在ISO/IEC 27014 “条款7,实体(组织)治理和信息安全治理”中提到,实体(组织)有很多治理领域,包括信息安全,信息技术(IT),健康和安全,质量,以及财务。可以看到上面提到的几个领域,今天的情况是在组织中其他几个领域人员配置都要远远超过信息安全人员配置了。
今天很多人到处都说信息安全已死,我想如果把信息安全仅仅当作弄产品卖产品,去搞圈子去搞吹牛逼大会,把信息安全当作风口当作A股,忽悠毕业生去搞护网去搞渗透,那么就拉低了信息安全的层次,别说到信息安全治理层次,就是信息安全管理的层次也没有达到,如果这样来看信息安全,那么的确已经死了。
声明:本文来自Sky的安全观,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于Sky的安全观;编辑/翻译:数字化转型网默然。
