×

扫描二维码登录本站

一味遵守国外安全体系的反思  

标签: 暂无标签
一味遵守国外安全体系的反思
由于前段时间的斯洛登事件,引起了各国自身对信息安全的重视,中国也不例外,从习主席成立国家信息安全小组就能看出国家对信息安全的重视程度,因为中国的信息安全发展相对较晚,所以缺乏标准和理论体系,所以大家都把眼光投到国外,从BS7799到ISO27001,一时间大家纷纷大谈标准,以及各种基于标准的认证,尤其是在安全服务领域,有一部分人还对各种国外标准盲目迷信和崇拜,似乎不谈标准就什么也干不成,不谈标准就不够专业,纷纷找来五花八门的东西还得借助英汉词典读着这些艰深晦涩的东西。 可是这些标准究竟能给我们带来什么呢?无庸讳言,国外先进的标准和体系对信息安全建设有良好的促进和指导作用,适当的参考也无可厚非,可是当您在各种场合讲到或用到外国安全标准的时候,是否想过这些标准是否真的适合中国,他们究竟能起到什么作用,或者说他们的实际作用是否真的如我们想当然的认为的那样?他们是否值得你花费时间去看,去讲,去推广?

如图:ISO27001结构图
file:///C:/Users/ADMINS~1/AppData/Local/Temp/msohtml1/01/clip_image001.jpg
不错国外信息化建设比我们要领先若干年,许多我们目前碰到的问题,特别是那些需要用标准规范指南来解决或指导的问题,他们都已经碰到过了,所以他们根据他们的情况提出了解决方案或是制定了相应的标准规范指南,而信息化除了有国情、行业等的特殊性规律外,也有普遍和一致的规律,但是标准应当是现实经验的提炼和总结,一定要与现实相结合,我们现在的标准过多的吸收外来的东西,吸收精华固然没错,但缺少判断和分析,一味的等同采用,就会使标准偏离现实,变得臃肿,贻害国家和后辈。
国外的标准并不是不可以批评甚至否定,仔细研究过以后有针对性地批评,指出其哪些不正确或不适合中国国情,这样是对中国的信息安全建设有价值的。就好象一些体育动作一样,你在不知道规范的时候,有些动作你是做不到位的,等你懂了,你就可以加以改造,不在乎说打造一个多么坚固的防卫安全体系,而在于说,有了一个标准,我们可以据此来进行一些规范动作的完成,并且由此可以知道:我们的大概的安全级别。至少,在某种程度上,我的系统是足够安全的。
虽然我们引用的是别人的东西,但通过引入我们也确实看到了自己存在的问题,随着熟悉度的加深,我们获得的收益会与日俱增。懂得借鉴和学习别人的东西是好事,怕的是盲目崇拜,不懂得反思和创新,反思和创新是值得我们重视的问题。
不过我有几点想法,也许不成熟,仅供大家参考吧:
1
、我们要尊重权威,但是不迷信权威。其实国内的很多权威的水平实在是不敢恭维;
2
、扎扎实实的学点东西,其实也没有必要非要学那么多的标准。一句老话一艺通百艺通,标准说来说去本质上没啥大的区别;
3
、更多的从企业的角度来考虑问题,而不是从安全公司或者咨询公司的角度来考虑,考虑标准或方法的可行性,考虑他们的需求。。。。
4
、不断烦死,不断学习,不断总结,从而可以不断的来充实自己,这才是最重要的。嘿嘿,个人见解。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x




上一篇:招聘ITIL高级项目经理(地点:长沙)
下一篇:企业信息安全体系从零做起的法则
土豆

写了 9 篇文章,拥有财富 72,被 4 人关注

您需要登录后才可以回帖 登录 | 立即注册
B Color Link Quote Code Smilies
shivanli 发表于 2015-12-21 09:22:14
体系框架是死的,但是应用是活的。赞同lz。
扫把 发表于 2015-11-25 20:29:18
安全体系是国内很多行业都在搞的东西,各个行业估计都会出来自己的安全体系的,慢慢的等吧,现有的客户现有的体系超脱出来谈体系比较难。
emill 发表于 2014-11-4 10:26:54
关键是中国确实没有整体有效又切实可行的专业的标准体系
hellotoo 发表于 2014-11-3 22:35:19
一堆的空话套话,觉得不好你提出哪里不好啊!安全这玩意是想通的,信息的来源和保存方式和控制都是美国人发明的,到了中国就不一样样了?所谓的中国特色,不过是不守规矩的特色而已。只能说对于这些不守规矩的地方要更严格,而不是不遵守人家标准。
spender 发表于 2014-7-14 16:00:03
标准只有在实施中才会发现不足。

自己没有标准或者说拍拍脑袋就制定出的标准只是一场闹剧。
123下一页
Powered by ITIL  © 2001-2025
返回顶部