如果說頂層設(shè)計(jì)對(duì)于信息安全行業(yè)的發(fā)展有特別的重要性���,那么其中的各種指導(dǎo)性或強(qiáng)制性合規(guī)標(biāo)準(zhǔn)便是一種具體體現(xiàn)。
各種信息安全合規(guī)標(biāo)準(zhǔn)甫立之時(shí)應(yīng)該還沒有頂層設(shè)計(jì)這個(gè)概念��。但對(duì)于其中常見如等級(jí)保護(hù)制度和IS02700l標(biāo)準(zhǔn)這兩套成熟體系��,我雖然既沒有能力也沒有必要去對(duì)其指手畫腳���,但是想一想對(duì)于這種解決同一件事存在兩種相似方法還是很有趣的��。
因?yàn)橐患虑?�,兩套?biāo)準(zhǔn)���,這首先讓我想到“一國兩制”。彼時(shí)���,鄧公提出“一國兩制”就是作為一種頂層設(shè)計(jì)去解決國家領(lǐng)土問題���,兩種相異的制度共存卻能換來和諧��,這個(gè)成功的政治策略是充滿辨證哲學(xué)味道的���。
所以我上面說的有趣之處就是我擔(dān)心假以時(shí)日這兩套同樣旨在提升安全水準(zhǔn)的體系是否會(huì)出現(xiàn)神仙打架的局面,盡管我希望這種擔(dān)心是我的杞人憂天或者庸人自擾���。
信息安全等級(jí)保護(hù)制度和IS0 27001信息安全管理國際標(biāo)準(zhǔn)既存在著差異又有共性��,等級(jí)保護(hù)是一個(gè)宏觀的信息安全政策���,而IS0 27001標(biāo)準(zhǔn)是一個(gè)具體的信息安全管理標(biāo)準(zhǔn)?��?赡苁且?yàn)閮商讟?biāo)準(zhǔn)的契合度較高且遵循的基本安全原理和措施都是相同的��,所以迄今為止不但和諧共存��,而且在實(shí)踐中還總結(jié)出了很多如何把“兩套標(biāo)準(zhǔn)揉在一起”的方法��。
我舉一個(gè)有趣的例子���。等級(jí)保護(hù)對(duì)惡意代碼防御的要求是在網(wǎng)絡(luò)和主機(jī)兩個(gè)層面��,在應(yīng)用層則沒有明確防范手段���,而據(jù)ISO 27001在此處是要求具備應(yīng)用層惡意代碼防范的��,這樣比如就需要在方案中配備一臺(tái)Web應(yīng)用防火墻或防毒墻���。
就像過度醫(yī)療一樣��,如果此時(shí)我不憚以最壞的惡意來推測的話���,為什么要把這樣的欠缺“在設(shè)計(jì)階段補(bǔ)充好”,以及為什么要把“兩套標(biāo)準(zhǔn)揉在一起”的原因也許就可以找到部分解釋了��。
當(dāng)然��,站在行業(yè)的角度��,不論是廠家為了追逐經(jīng)濟(jì)利益向用戶多推設(shè)備還是考慮為用戶提供更嚴(yán)密的保護(hù)或滿足更苛刻的合規(guī)還是兼而有之都無可厚非���。問題是���,在這樣的“雙重標(biāo)準(zhǔn)”之下執(zhí)行這種把“兩套標(biāo)準(zhǔn)揉在一起”的做法是不是具有可持續(xù)性?
等級(jí)保護(hù)制度與ISO 2700l標(biāo)準(zhǔn)體系的區(qū)別決定了客戶會(huì)產(chǎn)生態(tài)度的區(qū)別。IS0 27001強(qiáng)調(diào)過程,即要求通過PDCA(PLAN���、DO���、CHECK、ACTION)的戴明環(huán)思想去不斷地改進(jìn)提升���,所以該標(biāo)準(zhǔn)的實(shí)施往往會(huì)得到客戶主動(dòng)迎合和自發(fā)支持��。等級(jí)保護(hù)正好相反��,因?yàn)槠鋸?qiáng)調(diào)結(jié)果��,而且規(guī)定了具體的強(qiáng)制措施��,因而現(xiàn)實(shí)中不乏為了監(jiān)管部門合規(guī)檢查的迎合者���。
如果說等級(jí)保護(hù)是一個(gè)國產(chǎn)貨,那么ISO 27001體系則是地道的舶來品��。情理來說��,能滿足更多的安全合規(guī)標(biāo)準(zhǔn)肯定說明安全水準(zhǔn)越高��。從正面意義來說,如果能同時(shí)滿足等級(jí)保護(hù)和IS027001標(biāo)準(zhǔn)體系的信息系統(tǒng)安全水準(zhǔn)肯定是足夠高的���。這或許也是目前客戶��、安全廠家和監(jiān)管方能在這種“雙重標(biāo)準(zhǔn)”之下友好生存的邏輯前提��。
可是這樣的蜜月期能持續(xù)多久?因?yàn)槔硇詠砜?�,隨著綜合國力不斷增強(qiáng),信息化程度不斷加深��,加上前期華為輸出受阻的事例以及信息安全本身的特殊性表明���,把信息安全主權(quán)提上議事日程是早晚的事���。屆時(shí)我們可能就很難再以純技術(shù)觀點(diǎn)來審視這兩個(gè)安全標(biāo)準(zhǔn)了。
當(dāng)然這里我不是要暗示將來可能一定會(huì)有未知的麻煩��,而是提醒大家思考可能發(fā)生的幾種可能性��。
如果決策層——也就是頂層設(shè)計(jì)未來從信息安全主權(quán)的角度趨嚴(yán)思考���,那么可能是將逐步摒棄泊來的ISO27001體系而代之以強(qiáng)調(diào)等級(jí)保護(hù)標(biāo)準(zhǔn)或者是吸納了ISO27001體系優(yōu)點(diǎn)的等級(jí)保護(hù)標(biāo)準(zhǔn)升級(jí)版��,這是一種自上而下的變化���。
另一種可能是頂層設(shè)計(jì)從純技術(shù)觀點(diǎn)來看認(rèn)為兩種標(biāo)準(zhǔn)可以維系現(xiàn)狀共存��,而且也是為了避免前者動(dòng)作過大授人以柄說政策設(shè)置安全貿(mào)易壁壘���。不過這樣人們最終不禁會(huì)追問兩種標(biāo)準(zhǔn)究竟的優(yōu)劣異同并最后引發(fā)一場自下而上的改變。
搜索
客戶案例
世通新官網(wǎng)
