7799是一个关于安全管理的标准,从我们现在的观点来看,7799只讲了安全管理有什么,而这些组成部分之间是什么关系讲得不多。虽然ISMS是基于业界最佳实践而提出来的,但却缺乏必要的流程。因此,在这方面ITIL正好提供了可供7799借鉴的东西。
今晚在茶馆喝了很长时间茶,所以到现在都没法入睡。正好在这里把今天的困惑记下来,希望过几天能悟或者被点化。:)
晚上的话题是关于7799(或者ISMS)的必要性。
在信息安全领域,这是最近遇到的问题中最难的,也是最有价值的一类问题。
我今天上午总结了一些给同事看,得到了一个字的评价:“虚”。
如何才不虚呢?
7799到底能不能帮助我们解决具体的问题呢?
公司里一位在7799方面很有研究而且也实施过多个7799项目的同事说,国外的客户一般有完整、真实的统计数据,因此把实施7799前后的统计数据拿来做个对比基本上就解决了ROI分析的问题,也就能把必要性这个问题说个八九不离十。
国内的客户没有相应的统计数据,7799的必要性论证是否就只能那么“虚”呢?
以我目前对7799甚为肤浅的理解来看,7799对特定组织的必要性主要体现在如下几个方面:
信息化推动业务发展 AND 信息安全问题阻碍信息化进程 ==> 信息安全问题妨碍业务发展;
信息安全问题主要体现为信息安全风险管理问题;
目前,一般组织的信息安全风险管理存在以下几个问题:
不知道有哪些风险
不知道这些风险在哪里
不知道这些风险有多大
不知道如何处理这些风险
不知道处理这些风险要花多大代价
还可以更多……
其它必要性主要还包括两点:1、合规性的要求,ISMS与实践有助通过认证;2、竞争力的要求,ISMS的运行和7799认证有助于提升组织声誉,实际提升信息安全工作的效果与效率。
Powered by Haiwit
