拾遗补缺系列:我与信息安全的故事(一)
我与信息安全的故事(一)
记得那是2002年第一次接触IT信息安全,在那个时候对于信息安全的理解还是硬件。接触的设备都是网络安全方面的设备包括cisco,北电等网络安全设备,那时候华为还没有像现在一样“高大上”。也没有国家的扶持都是“清一色"的CISCO,非常多。我也是在那个时候最先接触到的是CISCO并且考得了CCNA证书,在随后的几年里又考得了CCNP。在当时的那个年代里还是比较吃香的工种。
记得那是2003年未,随公司进行安全项目投标。第一次参加封闭,也知道了封闭原来就是相关的公司批派专人到固定的场所”闭关“。进行”文字创作“即写投标书。我也是在那个时候了解了原来信息安全还有信息安全的标准,那个时候是7799,也就是BS-7799即BS17799.让我知道了信息安全的理论基础原来涉及的面非常广,不仅仅是网络安全的问题,还有很多方面的问题需要解决,包括信息安全组织的问题、信息安全资产管理的问题。。等等共分为十个管理领域。
记得那是2006年第一次参考了ITIL的正式培训,随然在此之前参与并实践了很多ITIL的落地的项目,并且在此之前一直在”忽悠“着ITIL。但随后的”机缘“让我成为了正式IT服务管理的专业人员。也正式步入了IT管理的广阔领域。
我在2003年之前一直认为信息安全是设备的问题,即硬件的问题。安全需要设备,安全也需要安全工程师,对设备进行管理与调试,对网络安全进行防范与控制。在2004年正式的拜读了BS17799,正是因为那次“闭关”的触动及我公司产品要求要,对信息安全必需要有一些了解,所以再次研读了一翻。
那个时候我的体会是信息安全非常的重要性。要从几个方面进行“抓手”,而不是一个方面(例如网络安全,操作系统安全)。信息安全也不仅仅是硬件的安全还是需要需要建立信息安全体系。也触发我对安全管理体系想了解的渴望。
2006年以后我步入了我自己的转型期,从产品型工程师包括硬件工程师(cisco,ibm,安全设备网闸),软件工程师(微软MCSE,某ITIL软件)转型到IT管理专人人员,专门从事管理体系的研究,因为我去了一家IT咨询公司(喝喝:》
信息安全管理根据现在理论基础及知识,我认为需要从二个方面来看,第一个方面是信息安全体系方面。第二个方面是IT服务安全。
今天简要的说一说IT服务安全。无论选用哪个标准(ISO27001,等保),还是选择哪个版本(2005版,2013版),都需要注意的IT服务安全。
第一:什么是IT服务安全,IT服务安全就是站在使用者的角度去关注安全问题,而不是站在信息安全的角度去看问题。我认为这个是ITIL2011版带给我们最大的转变思路。
原创---版权声明------------------IT信息安全要注意安全-------------------------------------------------
第二:IT服务安全更加侧重于用户的安全体验,以用户的视角切入安全。安全不是一个设备的安全,安全是服务网及服务链的安全。
第三:SLA首次在安全领导应用,以前安全没有讲过SLA,只讲信息安全领域如(11个管控领域,133个管控目标等),今天的转变在于首次在信息安全中强调服务的重要性及服务与信息安全的关系,服务必须以SLA为核心进行安全工作的开展。
服务的信息安全根据《IT风险管理体系框架》一书也对“服务的风险”进行识别与阐述,指出建立信息安全管理体系需要从三个层面进行思考,安全战略层,安全战术层,安全运营层。所以今天面临的问题,不是一个硬件的问题,不是一个软件的问题,而是一个管理体系的问题
随着最新版ISO27001:2013的引入的持续改进的思路,IT信息安全会越做越好,随着国家信息安全战略的国家信息安全高于一切信息安全会越做越做。让我们一起等级《我与信息安全的故事之二》.
原创---版权声明------------------IT信息安全要注意安全-------------------------------------------------
记得那是2002年第一次接触IT信息安全,在那个时候对于信息安全的理解还是硬件。接触的设备都是网络安全方面的设备包括cisco,北电等网络安全设备,那时候华为还没有像现在一样“高大上”。也没有国家的扶持都是“清一色"的CISCO,非常多。我也是在那个时候最先接触到的是CISCO并且考得了CCNA证书,在随后的几年里又考得了CCNP。在当时的那个年代里还是比较吃香的工种。
记得那是2003年未,随公司进行安全项目投标。第一次参加封闭,也知道了封闭原来就是相关的公司批派专人到固定的场所”闭关“。进行”文字创作“即写投标书。我也是在那个时候了解了原来信息安全还有信息安全的标准,那个时候是7799,也就是BS-7799即BS17799.让我知道了信息安全的理论基础原来涉及的面非常广,不仅仅是网络安全的问题,还有很多方面的问题需要解决,包括信息安全组织的问题、信息安全资产管理的问题。。等等共分为十个管理领域。
记得那是2006年第一次参考了ITIL的正式培训,随然在此之前参与并实践了很多ITIL的落地的项目,并且在此之前一直在”忽悠“着ITIL。但随后的”机缘“让我成为了正式IT服务管理的专业人员。也正式步入了IT管理的广阔领域。
我在2003年之前一直认为信息安全是设备的问题,即硬件的问题。安全需要设备,安全也需要安全工程师,对设备进行管理与调试,对网络安全进行防范与控制。在2004年正式的拜读了BS17799,正是因为那次“闭关”的触动及我公司产品要求要,对信息安全必需要有一些了解,所以再次研读了一翻。
那个时候我的体会是信息安全非常的重要性。要从几个方面进行“抓手”,而不是一个方面(例如网络安全,操作系统安全)。信息安全也不仅仅是硬件的安全还是需要需要建立信息安全体系。也触发我对安全管理体系想了解的渴望。
2006年以后我步入了我自己的转型期,从产品型工程师包括硬件工程师(cisco,ibm,安全设备网闸),软件工程师(微软MCSE,某ITIL软件)转型到IT管理专人人员,专门从事管理体系的研究,因为我去了一家IT咨询公司(喝喝:》
信息安全管理根据现在理论基础及知识,我认为需要从二个方面来看,第一个方面是信息安全体系方面。第二个方面是IT服务安全。
今天简要的说一说IT服务安全。无论选用哪个标准(ISO27001,等保),还是选择哪个版本(2005版,2013版),都需要注意的IT服务安全。
第一:什么是IT服务安全,IT服务安全就是站在使用者的角度去关注安全问题,而不是站在信息安全的角度去看问题。我认为这个是ITIL2011版带给我们最大的转变思路。
原创---版权声明------------------IT信息安全要注意安全-------------------------------------------------
第二:IT服务安全更加侧重于用户的安全体验,以用户的视角切入安全。安全不是一个设备的安全,安全是服务网及服务链的安全。
第三:SLA首次在安全领导应用,以前安全没有讲过SLA,只讲信息安全领域如(11个管控领域,133个管控目标等),今天的转变在于首次在信息安全中强调服务的重要性及服务与信息安全的关系,服务必须以SLA为核心进行安全工作的开展。
服务的信息安全根据《IT风险管理体系框架》一书也对“服务的风险”进行识别与阐述,指出建立信息安全管理体系需要从三个层面进行思考,安全战略层,安全战术层,安全运营层。所以今天面临的问题,不是一个硬件的问题,不是一个软件的问题,而是一个管理体系的问题
随着最新版ISO27001:2013的引入的持续改进的思路,IT信息安全会越做越好,随着国家信息安全战略的国家信息安全高于一切信息安全会越做越做。让我们一起等级《我与信息安全的故事之二》.
原创---版权声明------------------IT信息安全要注意安全-------------------------------------------------
