前段时间,有一位实习审核员,过来请教ISO/IEC 27001标准的问题。当时我就在想,要是信息安全这行的人员都像他一样爱钻研,今天中国的信息安全又何以沦落至此。
他请教的这个问题确实挺难的,要是早点问我,还真把我难倒了,因为我也是刚刚悟出来的。
信息安全作为一个新兴学科,是不可能像其他成熟的学科,有现成的知识可以直接学习,必然多数时候,需要靠从业人员的勤恳钻研,踏实实践,敢于不断尝试,进而总结突破。
当时我之所以能完美的解答这位实习审核员的疑问,全靠在工作当中的钻研和实践,以及平时的学习,无论在甲方,还是去乙方辅导,至少都会力求把工作做到最好。
那我们再来看他问的这个问题,一开始他问,适用性声明,就是SOA,应该对应哪个条款,一开始跟他说是6.1.3,后面又问是不是跟8.1也有关,我跟他说适用性声明(SOA)里面的控制文件,需要在8.1输出,最后他还是有疑问,又问是不是适用性声明(SOA)最终的输出是在8.3,然后我又说,8.3是实施风险处置,需要用到适用性声明(SOA),在8.3是输入适用性声明(SOA),而6.1.3是输出适用性声明(SOA),然后他才豁然开朗。
在信息安全这行,很多人都说,信息安全管理体系,ISO/IEC 27001都是虚的,都没有用,落不了地的。其实说这话的人,可能完完整整的把ISO/IEC 27001标准看完一遍都没有,更不要说去理解这个标准,更何谈去落地这个标准。
就像我解答的疑问,在中国像适用性声明(SOA)这个东西,目前普遍的确是一个虚的东西,压根就极少人去关注这个东西怎么来的,到底要怎么用,底层逻辑到底是怎样的,现在多数时候,仅仅是为了有这个东西,为了审核的需要。
|
