论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 40 篇帖子 ]  前往页数 1, 2, 3  下一页
作者 内容
 文章标题 : 【坦白】信息安全管理的困惑
帖子发表于 : 2005-10-24 10:11 
离线
版主

关注按钮

注册: 2004-08-03 11:20
最近: 2018-02-04 14:11
拥有: 24,453.80 安全币

奖励: 24049 安全币
在线: 13034 点
帖子: 1844
地址: 北京
在安全领域做了6年了,从事安全咨询的工作也有2年多了,从技术方面的解决方案,到安全管理的建议和咨询,现在的感觉是越来越困惑,BS7799和ISO13335,总觉得跟经书一般,确实是好东西,很重要,但是离我们的实际生活总还是有很远的一段距离,参考到用户的实际情况时候,最后写出来,自己认可,客户认可的东西,甚至连结构都与这些经典标准大相庭径,不是说这些标准不好,而是他们太通用,最后的结果只能是这样,不细致,不深入,参考意义具有局限,郁闷。

很想听听其它同仁的看法,如何才能够切实达到信息安全管理的目标呢,谢谢。


--------本帖迄今已累计获得74安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 深有同感
帖子发表于 : 2005-10-24 10:34 
离线
版主

注册: 2005-05-07 16:00
最近: 2014-04-13 21:00
拥有: 6,533.10 安全币

奖励: 12680 安全币
在线: 17958 点
帖子: 1850
地址: 广州
深有同感!不仅仅是信息安全,其它如质量管理体系,不就是程序文件吗,简直有些应付!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 标准之与实践 VS 独孤九剑之与无招胜有招
帖子发表于 : 2005-10-24 10:58 
离线
版主

注册: 2005-06-17 17:27
最近: 2017-09-20 14:18
拥有: 1,800.00 安全币

奖励: 6741 安全币
在线: 3614 点
帖子: 232
地址: 重庆
标准之与实践 VS 独孤九剑之与无招胜有招
呵呵...说说我的个人看法:
标准本身就是这种通用的囊括了现在所有(或几乎所有)相关的大而全东西,而真正到了用户那里却更多关心的是实际运行的效果以及成本效益的考虑,抓住一些要点或者是用户当前业务运行中的主要漏洞缺陷来进行有针对性的实施就可以了.
也许用一个金庸小说中的令狐冲学独孤九剑的过程来比喻一下还是很合适的,分为三个阶段:
1学之初:学招式,这些招式就好比标准,很重要,是练成神功的基础,可以让你系统了解相关知识体系;
2学之中:将这些招式练的纯熟,甚至可以倒着来用,使你对相关知识有更深入的了解,可以根据标准灵活应用;
3学之成:忘掉这些招式,随意挥洒,自由发挥,随机应变,到此时神功已经练成,可以达到无招胜有招的境界了,此时标准已经不再重要了,重要的是根据用户具体的需求和实际情况进行分析,抓住要点做有针对性的实施.
仔细想想,感觉好象万事万物中蕴涵的道理都是相通的,也许这就是大自然的和谐之处吧!哈哈...扯远了,个人的胡思乱想,希望大家指正.


--------本帖迄今已累计获得47安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 【坦白】信息安全管理的困惑
帖子发表于 : 2005-10-24 12:04 
离线
版主

注册: 2004-04-27 09:21
最近: 2013-08-23 12:15
拥有: 17,095.10 安全币

奖励: 73503 安全币
在线: 23375 点
帖子: 2280
地址: 北京
chinadoors 写道:
在安全领域做了6年了,从事安全咨询的工作也有2年多了,从技术方面的解决方案,到安全管理的建议和咨询,现在的感觉是越来越困惑,BS7799和ISO13335,总觉得跟经书一般,确实是好东西,很重要,但是离我们的实际生活总还是有很远的一段距离,参考到用户的实际情况时候,最后写出来,自己认可,客户认可的东西,甚至连结构都与这些经典标准大相庭径,不是说这些标准不好,而是他们太通用,最后的结果只能是这样,不细致,不深入,参考意义具有局限,郁闷。

很想听听其它同仁的看法,如何才能够切实达到信息安全管理的目标呢,谢谢。

呵呵,我的工作经验没有楼猪那么丰富,也只是做了两年多的质量管理,两年多的信息安全管理而已。
既然楼猪提到了这个问题,我想就在此发表一下自己的谬论,以抛转引玉吧。
1.标准的通用性
既然称之为标准,那么肯定是通用的,ISO9000也好BS7799也罢。既然是通用的,标准只是提出一些方法论(诸如PDCA循环),不会涉及到具体的业务操作(各个组织都有不同)。但是应该看到这些方法论或理念确实是通用的,并且也非常到位。对于组织来说,要在深入领会标准理念、方法论的基础上,结合本行业、本企业的实际情况,对其进行传新和提升。
2.标准的滞后性
既然称之为标准,那么必然是非常成熟的。而成熟同时也意味着相对的滞后。
3.标准的文件
如果大家做过体系的话,ISO9000也好BS7799也罢,那么标准都会要求形成一定的文件(如文件控制、记录控制、内部审核、纠正预防措施等等)。形成文件是有一定的好处的,如可重复性,可作为内部培训的教程等等。但是体系并不是文件的简单堆砌,文件是基础,更重要的是运行与实施。
4.关于标准的一些心得体会
从我做标准(俺也做过咨询,也被人家给咨询过,嘿嘿)的经验来看。有这么几个体会:
4.1 有些咨询公司或者是审核公司是很烂的。从业人员本身对于标准是一知半解,反而非要把他的错误理解强加给被咨询/审核人员,哎,不幸啊。
4.2对于标准的理解,也不是一蹴而就的,需要慢慢深入。想当年,俺系统的学习ISO9000就学了四次,但是依然不敢说自己对于这个标准有着太深入的了解。因此各位要抱着一种谦虚谨慎的态度来认真的学习标准,不要只是一知半解就认为自己是专家了:)
4.3 标准本身也有一定的局限性。标准的制订者只是从一个方面来考虑问题,而作为一个企业的管理者来说,他必须要权衡各方面的利益冲突。举例来说。ISO9000八项管理原则之一中有一个“顾客满意”和“互利的供方关系”。我曾经就批判过。
顾客满意:从顾客满意的角度来说,其前提条件之一就是要确保产品质量的百分之百合格。然而如果从成本及满意度两个方面来考虑,组织希望把产品质量合格率控制在97-98%之间,这种情况是成本上最合理的。那么你如何来平衡这两者的冲突?
互利的供方关系:对于战略层的供方,必须与其保持良好的合作关系,这是毫无疑问的。然而,如果组织只是采购一些基本的办公器材(诸如电脑桌)那么我有没有必要和我的供方(卖给我电脑桌的机构)保持良好的关系呢,如何保持?


--------本帖迄今已累计获得59安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 我的一点看法
帖子发表于 : 2005-10-24 12:41 
离线
新手

注册: 2005-10-24 12:23
最近: 2015-09-28 22:12
拥有: 202.10 安全币

奖励: 1 安全币
在线: 991 点
帖子: 18
标准是最高层的,需要有支撑的东西,也就是需要解释标准的文档
其实既然楼主看过BS7799,应该也知道,安全策略是最顶层的,然后有制度规范,最后有实施指南和操作手册。
对如用户来说,通过宣贯标准,让他知道框架,可能的话帮助用户建立制度规范,而且应该有用户的配合,然后,用户自己的各个部门应结合标准和制度规范制定适合自己部门的实施指南和操作手册,还有就是一些流程文件等。


--------本帖迄今已累计获得46安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 我的一点看法
帖子发表于 : 2005-10-24 19:05 
离线
中级用户

注册: 2004-06-15 15:23
最近: 2015-01-15 10:35
拥有: 2,006.20 安全币

奖励: 11 安全币
在线: 2560 点
帖子: 89
地址: 北京
ah_power 写道:
标准是最高层的,需要有支撑的东西,也就是需要解释标准的文档
其实既然楼主看过BS7799,应该也知道,安全策略是最顶层的,然后有制度规范,最后有实施指南和操作手册。
对如用户来说,通过宣贯标准,让他知道框架,可能的话帮助用户建立制度规范,而且应该有用户的配合,然后,用户自己的各个部门应结合标准和制度规范制定适合自己部门的实施指南和操作手册,还有就是一些流程文件等。


同意。

标准是提“要求”的,告诉大家应该做到哪些(what to do),而没有告诉我们怎么做(how to do)。从标准的意义来说,也不应该包括“how to do”。以上提到的标准,都是有很多支撑文件的,这些文件我想比标准本身更有价值,是BSI和其他有水平的咨询机构的法宝,属于知识产权的东西。

ISO 9000和BS 7799都是BSI的大作,除了标准内容给我们的指导意义之外,给我们在文件结构上的启示是分成3个层次:最高层纲领性文件-〉作业指导性文件-〉实际操作用的第三层次文件,比如质量手册-〉程序文件-〉记录。标准的真正贯彻实施也还需要更细致的具有可操作性的“how to do”文件。


--------本帖迄今已累计获得45安全币用户奖励--------


最后由 watery 编辑于 2005-10-24 22:34,总共编辑了 1 次

回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-10-24 22:18 
离线
超级用户

注册: 2003-11-13 14:03
最近: 2014-04-09 15:53
拥有: 5,289.50 安全币

奖励: 160 安全币
在线: 6372 点
帖子: 397
地址: Shanghai
watery说得很有道理呀,支持!


--------本帖迄今已累计获得6安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 受宠若惊中……
帖子发表于 : 2005-10-24 22:31 
离线
中级用户

注册: 2004-06-15 15:23
最近: 2015-01-15 10:35
拥有: 2,006.20 安全币

奖励: 11 安全币
在线: 2560 点
帖子: 89
地址: 北京
colababy 写道:
watery说得很有道理呀,支持!


头一次受到大哥大的表扬赞许,colababy今天心情一定很好,多谢多谢!

以前看过安言名义出的一些文件,colababy大哥是专业做咨询的,估计他那里一定还有不少自己经验总结的关于标准的“how to do”资料,呵呵。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-10-25 10:44 
离线
版主

关注按钮

注册: 2004-08-03 11:20
最近: 2018-02-04 14:11
拥有: 24,453.80 安全币

奖励: 24049 安全币
在线: 13034 点
帖子: 1844
地址: 北京
那些都是核心技术了,呵呵


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : watery说的更加专业啊
帖子发表于 : 2005-10-25 13:00 
离线
新手

注册: 2005-10-24 12:23
最近: 2015-09-28 22:12
拥有: 202.10 安全币

奖励: 1 安全币
在线: 991 点
帖子: 18
我的一点说明,经watery的解释后就更加专业了啊,谢谢!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 自由发挥 != 随便发挥
帖子发表于 : 2005-10-25 14:16 
离线
初级用户

注册: 2005-05-27 17:13
最近: 2013-03-25 19:20
拥有: 592.00 安全币

奖励: 0 安全币
在线: 1136 点
帖子: 35
同意。服务是无形的东西。我们期望用户能够全面接受系统级别的整改,但是用户不理解为什么要进行整改。即使知道,也会由于省钱的念头干扰。

我们到商店买衣服,售货员希望我们不会着凉而购买一整套保暖内衣+毛衣+保暖鞋。可是我们却只会选择一件毛背心---这样也能够暂时保暖了。

专家眼光结合用户的寒酸,就是服务的效果。


--------本帖迄今已累计获得8安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-10-28 10:02 
离线
高级用户

注册: 2003-12-17 10:56
最近: 2013-10-09 17:11
拥有: 25.00 安全币

奖励: 0 安全币
在线: 3287 点
帖子: 147
地址: 北京
我们现在所接触的标准大部分都是参考标准,在具体的实践中制作参考,用户在使用时应当根据自己的实际应用情况,参考标准,在具体实施。标准本来就不是所有人都能看得懂的,针对标准的实施,如果没有指南,每个人的理解都会有所不同。我觉得,我国现有的大部分标准都是翻译的国外的标准,在翻译的过程中,对我国的国情考虑不够,特别是法律方面、组织机构、人员职责分配方面的问题。国外的东西并不是所有的都可以直接翻译使用。


--------本帖迄今已累计获得3安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-10-30 20:25 
离线
中级用户

注册: 2004-08-06 11:09
最近: 2013-04-16 11:42
拥有: 502.30 安全币

奖励: 16 安全币
在线: 2176 点
帖子: 82
从个人的经验来看,给企业实施一些标准,真有点就像医生给病人看病。
作为医生要最好对各种病治疗方法(标准)了如指掌,这些标准是很理想的最佳实践(Best practise).正如医生给病人治病必须在透彻了解(Understanding)病人的病情后才能给出最适合病人的药方,给企业作各种各样的方案(Recommendation)也必须是要了解企业的真实现状后才能给出,不能一上来就拿着理想的东西给人家套,否则会非常难受。说到底,理解现状,我们对企业的IT环境理解,对当前某行业的IT环境理解在实施项目过程中非常重要。小弟一点谬论,各位见笑了!


--------本帖迄今已累计获得11安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 自由发挥 != 随便发挥
帖子发表于 : 2005-10-31 13:44 
离线
顶级用户

注册: 2004-02-03 14:27
最近: 2017-12-28 16:42
拥有: 1,180.70 安全币

奖励: 836 安全币
在线: 9253 点
帖子: 779
这位老兄的衣服理论不错 PF 一个

backroom 写道:
同意。服务是无形的东西。我们期望用户能够全面接受系统级别的整改,但是用户不理解为什么要进行整改。即使知道,也会由于省钱的念头干扰。

我们到商店买衣服,售货员希望我们不会着凉而购买一整套保暖内衣+毛衣+保暖鞋。可是我们却只会选择一件毛背心---这样也能够暂时保暖了。

专家眼光结合用户的寒酸,就是服务的效果。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 标准之与实践 VS 独孤九剑之与无招胜有招
帖子发表于 : 2005-11-04 19:46 
离线
初级用户

注册: 2005-04-05 17:20
最近: 2008-04-09 13:41
拥有: 83.00 安全币

奖励: 0 安全币
在线: 769 点
帖子: 21
zlnscu 写道:
标准之与实践 VS 独孤九剑之与无招胜有招
呵呵...说说我的个人看法:。。。。


精彩啊! 要先好好练练基本功了 。
现在有人提及信息安全治理,比如孙强,不知各位对治理有什么理解? 粗看上去好像应该在信息(安全)管理之后的更高管理要求。但看他的实施治理的文章,很多观念又是信息安全管理方面的东西。


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 40 篇帖子 ]  前往页数 1, 2, 3  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012