“信息安全的信息化”,这个概念并不是一步到位就想到的。其实最开始,我只是参照企业其他业务的管理引入信息系统的这一做法,如质量管理的QMS系统,同时利用信息安全管理的基本原理(图一),提出了设计一个信息安全管理的信息系统(图二)的构想,后面也是结合现代企业各个业务模块的信息化建设,才想到并且提出了“信息安全的信息化”这个的概念。 图一,信息安全管理的基本原理图二,信息安全管理系统(ISMS)现在企业的各个业务模块都比较热衷于进行信息化建设,而恰恰没人关注到“信息安全的信息化”。这种情况的出现,或许有以下几方面的原因:(一)信息安全管理学科发展比较晚,远远落后于其他业务模块管理学科,导致信息安全管理目前还很不成熟,况且如今在中国信息安全管理的重视程度远远不如信息安全技术,在这种情况下,要进行“信息安全的信息化”是有相当大的困难的,企业其他业务模块的信息化建设都是在非常成熟的业务管理基础之上的;(二)多数人对信息安全的认知可能都还停留在信息安全就是IT的一部分或者跟IT密切相关的观念上,这样的话,就不太可能把信息安全跟其他业务模块一样来看待,自然而然,当其他业务模块都在如火如荼的进行信息化建设的时候,反而忽视了“信息安全的信息化”建设。 今天在中国钻研信息安全管理的人要远远比玩信息安全技术的人少的多,我曾经在多个书籍或资料中看到这样的观点,导致现在不少人对于信息安全管理认识的不够深入。2019年2月的时候,在某个乙方公司面谈的时候,当我提到ISO/IEC 27001在中国才刚刚起步的时候,对方很不服气。ISO/IEC 27001发展是有20几年,但不代表真正有人重视,有人真正去钻研,那些年在中国有多少企业完全靠做假资料通过ISO/IEC 27001认证申请政府补贴的。 一个企业的信息化建设,其核心部分是成熟的管理,仅仅依靠IT,是没有办法完成企业各个业务模块的信息化建设的。同样要完成“信息安全的信息化”建设,就必须需要成熟的信息安全管理,恰恰这个是信息安全目前最缺的。虽然各大安全厂商在技术这块各有过人之处,但是对于信息安全管理也是他们的短板。之前在与某科技公司CEO面谈的时候,当我提到独创一个信息安全管理的信息系统的构想时,对方提出了质疑,随即反问说道,为什么XX安全厂商做不出来,我想对方会这样问大概认为有技术就可以研发出来一个信息系统了吧,的确如果现在有类似成熟的信息系统,确实是很容易山寨出来的。 “信息安全的信息化”这一概念的提出,并且能够在企业中得到应用,其前提条件是“信息安全”在企业中的属性和地位必须得到明确。 首先,“信息安全”的独立业务属性必须得到明确,不能把“信息安全”当作IT的附属或者不能完全把“信息安全”当作是IT的一部分,又或者不能把“信息安全”当作质量管理(体系)的附属或者其中的一部分。 其次,必须要明确“信息安全”跟其他业务模块在企业中的地位必须平等的。很多企业在说到“信息安全”的时候,往往都说很重视,但也往往也都是嘴上说说的,因为很多时候根本还没有做到“信息安全”与企业其他业务模块的地位是平等的。
原文:https://www.27001.org.cn/487.html
|