安全圈子从来不缺少话题,网络安全、大数据安全、云安全、安全攻防、安全监控……
近期与几个新进入安全行业的新朋友交流,大家有着共同的困扰,信息安全实务中到底要干什么。
在企业里信息安全到底要干什么?这个问题可能是很多在安全行业里做了很多年的朋友都想不明白或者没有认真想过的问题。就像有的朋友问我的,信息安全要管理终端安全、要负责网络安全、要盯着物理安全、要注意研发安全、要关注合作方安全……总感觉各个方面不小心都会影响信息安全,那么信息安全是要把这些方面都管起来吗?
要回答这个问题,我们要回归到信息安全的本质问题,什么是信息安全?可能很多人都会回答,信息安全就是信息的C.I.A属性之类。
信息安全的核心是信息资产的管控,不管是网络安全,还是物理安全,其最终的目的只有一个,保证信息资产被恰当的使用而不损害到信息资产的C.I.A等属性。
而管控又分为“管”和“控”,前面提到的信息安全的方方面面,其实本质上都仅仅是信息资产的“控”,而非”管“。对于管和控的区别,其实仔细研究下ISO27001和ISO27002的侧重点区别就很容易理解。
这一点我们可以回忆下传统的企业资产管理是如何做的。
举个常见的例子,在任何一家正规的企业里,如果需要一台办公计算机,首先要向行政或者财资部门提出申请,获得审批后,相关部门会分配出来一台计算机,编号资产号码,登记下来然后发放给申请人。这些其实就是资产的“管”。
计算机发出去之后,为了避免这一资产被窃或者丢失,公司可能会配备保安、门禁,严格一点的可能还有机器的出门条管理之类。为了避免资产的损坏,可能需要IT部门给出如何恰当使用的培训、指导。这些要求可以理解为对物理资产的“控”。
从上面的例子里显然可以看出,对于资产的“管”必然是由企业的资产管理部门(如行政、财资)部门负责,但是对于资产的“控”却需要由涉及到的相关部门来负责。
作为企业的信息安全部门,其本质上应当是信息资产的”管“的部门,其首要责任不是如何“控”住信息资产,而是“管”住信息资产。企业的核心信息资产有哪些?这些资产都存在于什么地方?这些资产恰当的发布和使用范围是什么?这些资产存在哪些风险?这些问题才是信息安全部门责无旁贷应当承担的任务。也既是ISO27001致力于解决的问题。
通过对信息资产的“管”,我们可能发现信息资产面临着各种威胁,存在着各种漏洞。那么如何打掉这些威胁,堵住这些漏洞,从而降低信息资产的安全风险就是“控”要完成的任务。”控“的工作可能需要行政部门配合、也可能需要IT运维部门配合、还可能需要人力资源部门配合……在管好了信息资产之后,如何“控”住这些资产就是下一个任务。
但是,由于一直以来网络攻击、网络安全往往与”间谍“、”黑客“等概念绑定在一起,看不见摸不着使得大众感觉神秘至极,加之国家政策的引导,大量信息安全公司的宣传,使得很多非安全专业的管理层简单的把信息安全等价于”网络安全“,最终导致很多企业的信息安全部门直接从属于信息部门或CIO,未免使得信息安全工作有些舍本逐末,也降低了信息安全在管理者心目中的地位。
很多老板或CIO会抱怨,我花了这么多钱买买了防火墙、IDS、IPS,部署了终端管理系统、文档加密系统、邮件审计系统,为什么公司的信息还是漫天飞?而具体的IT运维的负责人也会一肚子苦水,“我已经尽全力确保这些系统都在正常运转了,但是IT部门又不知道企业的哪些信息资产最重要,再说信息资产泄露渠道很多,又不仅仅是通过网络或者信息系统泄露的。“
ISMS是一个系统性工程,绝非以某一个部门之力即可建成。企业的信息安全部门应当当仁不让的成为这个系统的核心和指挥部,”管“住自己的”阵地“,发现防御系统上的漏洞,协调和指挥相关的部门去堵住防御上的漏洞,才能实现企业信息资产真正的安全。
关注SHIELD的胡言乱语,请扫描二维码
