3.9 关于ISO27001


1. 重建对安全标准的认知

虽然标题用了ISO27001,但实际上这里可以指代所有的安全标准和安全理论。木桶理论安全界的人都知道,但用到实际工作中,没太大用,说到底就是给外行解释安全这件事的一个通俗比喻而已。业内有些声音认为安全标准堵不住漏洞,所以安全标准都是没用的“废物”,这种论据显然是有问题的,首先安全标准的制定就不是为了堵漏洞,所以安全标准跟漏洞没关系,完全两个层面的东西,不能拿来说事,堵漏洞有具体的技术手段,但安全建设并不只有堵漏洞这种微观对抗。

那安全标准到底有什么用,我用最通俗的语言解释一遍,安全标准归根结底是为了给你一个参考和指引,当你把基础的技术防护手段实施之后,过了上任之初的救火阶段之后,就需要停下来思考一下整个企业安全范畴中,哪些事情是短板,哪些领域尚且空白,需要在哪些点上继续深挖才能覆盖公司整体的安全建设,而安全标准的价值就是告诉你,在安全建设的领域里可能有那么100件事情是需要做的,但具体选择只做80件还是99件还是100件全做是你自己的事情,它只告诉你100件事情是什么,但是这100件事情怎么实现,对应的技术方案或流程是什么它不会告诉你,实现和落地是需要自己去想的,它本质上是用于开拓视野,跟堵不堵漏洞完全没冲突,换句话说它是一本书的目录,但对于每个章节怎么写则取决于你自己,你可以买WAF也可以加固容器,也可以像偏执狂一样地做代码审计,至于堵漏洞那只是每个章节里的一段文字而已。

2. 最实用的参考

对互联网公司而言,我认为有几个非常刚需的参考:

ITIL(BS15000/ISO20000)—绝大多数互联网公司的运维流程都是以ITIL为骨架建立的,甚至连内部的运维管理平台,监控系统上都能一眼看出ITIL的特征。而偏运维侧的安全,基础架构与网络安全,这部分的安全建设是以运维活动为主干,在运维活动上添加安全环节来实现安全管理的。所以想在运维侧建立安全流程必须熟悉ITIL,把安全环节衔接到所有的发布、变更、配置、问题和事件管理之上,而不是打破原来既有的运维流程,再去独创一个什么安全流程。

SDL—研发侧的安全管理,绝大多数公司都借鉴了微软的SDL,即便是再有想法的甲方安全团队也离不开它,所以无论如何必须掌握SDL。

ISO27001—企业安全管理领域的基础性安全标准,所谓基础就是不能比这个更加精简了,你可以不碰那些高大上的,但是ISO 27001则相当于入门水准,就好像高等数学线性代数你可以不会,但是如果你连9×9乘法表都背不出来,那只能永远呆在家里不出门了,因为你连买10个苹果找你多少钱都算不来。ISO 27001总体上提供了一个框架性的认知。

3. 广泛的兼容性

学习攻防技术和学习少数几个国际标准一点都不冲突,南向北向都是人为划分的,除非坐地画圈,否则完全不存在这种天然障碍。一个优秀的甲方工程师就是应该系统化又熟悉技术细节的,对于开篇提到的CSO而言,没有视野的人绝对当不了CSO。

4. 局限性

方法论的作用是解决企业整体安全从30分走向50分的问题,这个阶段需要具备普适性的有助于改善基本面全方位提升的东西。但是到了中后期,这些就不太管用了,如果你想从60分上升到80分,不能再依赖于方法论,而是进入安全特性改进的贴身肉搏战状态,很多竞争力也许只有几十条规则,但是这些从表面上是看不出来的,只有依靠专业人士的技能和资源的集中投入才能有所产出。

互联网企业安全高级指南3.9 关于ISO27001相关推荐

  1. 高质量解读《互联网企业安全高级指南》三部曲——实践篇

    前言: 高效读书,一张逻辑图读懂.读薄书中重点. 注:下面文字只是对逻辑思维图的"翻译",节省时间,只看图即可. 实践篇逻辑思维图 1.    业务安全与风控 1.1.    说明 ...

  2. 【读书笔记】《互联网企业安全高级指南(赵彦等)》

    文章目录 理论篇 第一章 安全环境与大背景 1. 企业安全包括哪些事情 1. 互联网企业和传统企业在安全建设中的区别 参考链接 理论篇 第一章 安全环境与大背景 1. 企业安全包括哪些事情 企业安全涵 ...

  3. 互联网企业安全高级指南1.2 企业安全包括哪些事情

    1.2 企业安全包括哪些事情 企业安全涵盖7大领域,如下所示: 1)网络安全:基础.狭义但核心的部分,以计算机(PC.服务器.小型机.BYOD--)和网络为主体的网络安全,主要聚焦在纯技术层面 2)平 ...

  4. 互联网企业安全高级指南3.5 选择在不同的维度做防御

    3.5 选择在不同的维度做防御 攻击的方法千千万万,封堵同一个安全风险的防御方法往往不止一种,如何选择性价比最高的手段是甲方安全从业者需要权衡的. 1. 技术实现维度场景 在纵深防御的概念中(参考后面 ...

  5. 高质量解读《互联网企业安全高级指南》三部曲(技术篇)——办公网络安全

    前言: 高效读书,一张逻辑图读懂.读薄书中重点. 注:下面文字只是对逻辑思维图的"翻译",节省时间,只看图即可. 办公网络安全逻辑思维图 1.    说明 1.1.    办公网络 ...

  6. 互联网企业安全高级指南读书笔记之网络安全

    网络入侵检测 传统 NIDS 绿盟 IDS 体系架构 绿盟 IPS 体系架构 IDS/IPS 部署示意图 大型全流量 NIDS 由于 NIDS 采用的是基于攻击特征的签名库,只要加载的攻击特征一多,系 ...

  7. 互联网企业安全高级指南3.7.2 SDL落地率低的原因

    3.7.2 SDL落地率低的原因 1. DevOps的交付模式 互联网频繁的迭代和发布,不同于传统的软件开发过程.如果一个软件要一年交付,那么在前期抽出2-4周做安全设计也可以接受,但在互联网交付节奏 ...

  8. 互联网企业安全高级指南3.6 需要自己发明安全机制吗

    3.6 需要自己发明安全机制吗 1. 安全机制的含义 首先解释一下发明安全机制这句话的意思.安全机制包括:常见的对称和非对称加密算法,操作系统自带的RBAC基于角色的访问控制,自带的防火墙Netfil ...

  9. 互联网企业安全高级指南读书笔记之基础安全措施

    互联网服务安全域抽象示例 虚线部分代表安全域的边界,把不同的业务(垂直纵向)以及分层的服务(水平横向)切开,只在南北向的 API 调用上保留最小权限的访问控制,在东西向如无系统调用关系则彼此隔离 生成 ...

  10. 高质量解读《互联网企业安全高级指南》三部曲(技术篇)——移动应用安全

    前言: 高效读书,一张逻辑图读懂.读薄书中重点. 注:下面文字只是对逻辑思维图的"翻译",节省时间,只看图即可. 移动应用安全逻辑思维图 1.    说明 1.1.    互联网公 ...

最新文章

  1. 解决无法安装cnpm,cnpm卡顿问题
  2. VC6.0:“Setup was unable to create a DCOM user account“的解决方案
  3. CheLunTan.Net无需注册同样享有发帖和回帖权利
  4. excel制作录入和查询系统_excel表格制作成绩查询系统攻略:让学生隐私更安全!
  5. JSP简单练习-EL获取表单数据
  6. Windows Server 2012活动目录基础配置与应用(新手教程)之4---域用户的基本管理...
  7. ssh主机之间建立互信 --免密码
  8. 看到他我一下子就悟了---委托
  9. Ubuntu 20.04配置FTP服务方法(非匿名登录)
  10. FastReport使用一——简介
  11. 【电机学复习笔记】第二章 变压器
  12. pdfFactory 7PDF 虚拟打印机官方注册码版下载
  13. 零基础搭建外卖优惠券返利CPS小程序教程
  14. 史上最贵的merge代码,新浪程序员因加班错失年会77万大奖!
  15. CSDN:2019年度CSDN博客之星评选竞赛——105号【一个处女座的程序猿】,感谢您,投上的宝贵一票,感谢!感恩!
  16. 在Windows 7 Media Center中收听本地FM广播
  17. 优化 ASP 应用程序和 VBScript 的技巧。
  18. WebGL简易教程(十五):加载gltf模型
  19. android手游直播怎么推流,安卓手机直播,Total Control手游投屏教程
  20. 音乐复兴:发烧友的耳朵有救了

热门文章

  1. python搞机器视觉,掌控Python 人工智能之机器视觉
  2. matlab分段函数怎么画图_关于MATLAB中分段函数的画法
  3. 分享阿里云ace考试攻略 详解ACP认证考试须知
  4. 微电子学属于计算机专业吗,微电子学
  5. 生物信息学常用软件—2(PCR引物设计及相关软件使用)
  6. 计算机科技文献中 CAM,计算机辅助设计、制造(CAD、CAM)和《机械制图》 课程的结合、探索与实践研究...
  7. 使用Mac系统来进行Java编程
  8. 74HC595中文资料
  9. RTl8188EUS设置ap模式
  10. 《麦肯锡方法》读书笔记4