網際網路企業安全高階指南3 9 關於ISO27001

3.9　關於iso27001

1. 重建對安全標準的認知

雖然標題用了iso27001，但實際上這裡可以指代所有的安全標準和安全理論。木桶理論安全界的人都知道，但用到實際工作中，沒太大用，說到底就是給外行解釋安全這件事的乙個通俗比喻而已。業內有些聲音認為安全標準堵不住漏洞，所以安全標準都是沒用的「廢物」，這種論據顯然是有問題的，首先安全標準的制定就不是為了堵漏洞，所以安全標準跟漏洞沒關係，完全兩個層面的東西，不能拿來說事，堵漏洞有具體的技術手段，但安全建設並不只有堵漏洞這種微觀對抗。

那安全標準到底有什麼用，我用最通俗的語言解釋一遍，安全標準歸根結底是為了給你乙個參考和指引，當你把基礎的技術防護手段實施之後，過了上任之初的救火階段之後，就需要停下來思考一下整個企業安全範疇中，哪些事情是短板，哪些領域尚且空白，需要在哪些點上繼續深挖才能覆蓋公司整體的安全建設，而安全標準的價值就是告訴你，在安全建設的領域裡可能有那麼100件事情是需要做的，但具體選擇只做80件還是99件還是100件全做是你自己的事情，它只告訴你100件事情是什麼，但是這100件事情怎麼實現，對應的技術方案或流程是什麼它不會告訴你，實現和落地是需要自己去想的，它本質上是用於開拓視野，跟堵不堵漏洞完全沒衝突，換句話說它是一本書的目錄，但對於每個章節怎麼寫則取決於你自己，你可以買waf也可以加固容器，也可以像偏執狂一樣地做**審計，至於堵漏洞那只是每個章節裡的一段文字而已。

2. 最實用的參考

對網際網路公司而言，我認為有幾個非常剛需的參考：

itil(bs15000/iso20000)—絕大多數網際網路公司的運維流程都是以itil為骨架建立的，甚至連內部的運維管理平台，監控系統上都能一眼看出itil的特徵。而偏運維側的安全，基礎架構與網路安全，這部分的安全建設是以運維活動為主幹，在運維活動上新增安全環節來實現安全管理的。所以想在運維側建立安全流程必須熟悉itil，把安全環節銜接到所有的發布、變更、配置、問題和事件管理之上，而不是打破原來既有的運維流程，再去獨創乙個什麼安全流程。

sdl—研發側的安全管理，絕大多數公司都借鑑了微軟的sdl，即便是再有想法的甲方安全團隊也離不開它，所以無論如何必須掌握sdl。

iso27001—企業安全管理領域的基礎性安全標準，所謂基礎就是不能比這個更加精簡了，你可以不碰那些高大上的，但是iso 27001則相當於入門水準，就好像高等數學線性代數你可以不會，但是如果你連9×9乘法表都背不出來，那只能永遠呆在家裡不出門了，因為你連買10個蘋果找你多少錢都算不來。iso 27001總體上提供了乙個框架性的認知。

3. 廣泛的相容性

學習攻防技術和學習少數幾個國際標準一點都不衝突，南向北向都是人為劃分的，除非坐地畫圈，否則完全不存在這種天然障礙。乙個優秀的甲方工程師就是應該系統化又熟悉技術細節的，對於開篇提到的cso而言，沒有視野的人絕對當不了cso。

4. 侷限性

方**的作用是解決企業整體安全從30分走向50分的問題，這個階段需要具備普適性的有助於改善基本面全方位提公升的東西。但是到了中後期，這些就不太管用了，如果你想從60分上公升到80分，不能再依賴於方**，而是進入安全特性改進的貼身肉搏戰狀態，很多競爭力也許只有幾十條規則，但是這些從表面上是看不出來的，只有依靠專業人士的技能和資源的集中投入才能有所產出。

網際網路企業安全高階指南3 9 關於ISO27001

網際網路企業安全高階指南1 1切入「企業安全」的視角

網際網路企業安全高階指南讀書筆記（2）

網際網路企業安全高階指南讀書筆記（3）

網際網路企業安全高階指南3 9 關於ISO27001

網際網路企業安全高階指南1 1切入「企業安全」的視角

網際網路企業安全高階指南讀書筆記（2）

網際網路企業安全高階指南讀書筆記（3）

相關推薦