truebasic 的 站内主页

2018
08-14

CSO怎么做（6）如何运行企业信息安全管理体系？

1.       为什么要有信息安全管理体系？ 从CSO的角度看，信息安全工作是一项管理工作还是技术工作？当然是管理工作，即便CSO的工作量主要投入在技术方向上，它也还是一项管理工作。为什么，因为技术工作也是需要基于框架、架构和方法论，这些框架、架构和方法论能够保障信息安全工作按照正确的方向前进、并提供企业所需要的价值.... 展开阅读 >>

2018
07-23

CSO怎么做（5）如何设计一个企业的信息安全目标和路线图？ HOT

一个CSO上任之后，他的第一个任务应该是什么？排除一些紧急事件处理的因素之外，我认为应该是设计和明确企业的信息安全目标和路线图。CSO上任一定是承担了企业管理层对信息安全的一些期待，那么如何满足管理层的这些期待？除了一些短期应对举措外，就必须要拿出一个中长期的、可行的信息安全目标和路线图。所谓“目标”，就是信息安全要做成什么样子、是一个结果状态；所谓“路线图”，就是通过怎样的实施路径、在不同.... 展开阅读 >>

2018
06-01

CSO怎么做（4）如何评价一个企业的信息安全做的好不好？ HOT

这是最难写的一个章节，没有之一。工作了十几年，和不同企业的同行探讨过不少回，没有得到一个一致的答案。但是，大家的回答还是给了不少启发。我把这个问题拆解为几个小问题，咱们逐一解决。本篇得以成稿，老同事张亦颖和刘翠华帮助莫大，在此表示感谢，其他参与过讨论的老朋友们在此一并谢过。 .... 展开阅读 >>

2018
05-02

CSO怎么做（3）CSO的4个核心工作 HOT

当一个公司开始设置CSO这个岗位的时候，意味着公司高层希望在某种程度上把信息安全工作抓起来、需要有人对此统筹、负责。绝大多数情况下，这家公司的信息安全已经有了一定的基础、采取了一些信息安全控制措施。那么，CSO应该如何开展工作？ Rapido写的《如何做好首席信息安全官-企业安全体系与架构实现》这篇文章，列举了CSO的12大能力要素，内容全面、见解入木三分，看的很有感觉，但是我.... 展开阅读 >>

2018
04-18

CSO怎么做（2）理解企业信息安全工作的几种驱动方式

什么叫信息安全工作的驱动方式？就是回答一个企业为什么要做信息安全。正确理解一个企业为什么做信息安全，可以（1）知道这个企业的信息安全目标、重点是什么，“知道为什么而战”比“怎么战”更重要；（2）找到一个最合理、最有效的方式来推动信息安全工作，同时也能够更好地达到信息安全工作目标、展现价值；（3）对CSO、信息安全从业人员的职业发展也是很重要的参考，知道这家企业是否适合自己、自己是否可以找到价.... 展开阅读 >>

2018
04-02

CSO怎么做（1）序+几个名词概念

整整1年前，想写一系列文章，把CSO这个岗位的工作套路总结一下，不止包括自己掌握的，也包括听到的、看到的、从别人那里学来的。核心目的很简单：总结共享、共同提升。结果后来工作上的事情一忙起来，然后也有点懒，就耽搁了。今年决定要完成这个目标，于是，提起精神来、认真做下去。 因为比较擅长写制度、写策略，所以想保持一点严谨性，先定义几个名词概念，避免读者对后续的内容产生误解。说的不严谨.... 展开阅读 >>

2017
04-02

安全的本质是什么？

作为一个信息安全从业者，十多年来，在不同的场合被人问过这个问题，在微信群里也多次有人讨论过这个问题。但是，这么久以来，我一直无法回答这个问题，甚至拒绝回答这个问题，因为这并不是一个好问题。本文只是想谈谈常见的几个答案，由此帮助大家思考信息安全工作的一些特征。本文首发Sec-UN，转载请注明。   1、 安全的本质是信任。 选择一款.... 展开阅读 >>

2017
03-14

我眼中的信息安全意识教育体系 HOT

“唯品会安全应急响应中心”公众号于2017-1-9发布了“魔风”撰写的《唯品会信息安全培训体系》，拜读之后、深为叹服，这是一个有理论、有实践、有改进的信息安全培训体系，值得信息安全从业人员学习、借鉴。本人在甲乙方都做过，在甲方高科技企业（也有人将之归类于制造业）有较长的工作经历，.... 展开阅读 >>