信息安全管理,涉及安全,也涉及管理,從本質來說屬於管理範疇,但管理的內容與對象又是安全,所以脫離安全談管理也沒有意義。基於這個邏輯關係,本系列文章會以信息安全管理方法與過程為主線,重點介紹各項信息安全最佳實踐,同時也會涉及到IT風險管理等相關領域的一些內容。
任何領域知識的學習,第一件要做的事情就是把相關的術語定義清楚,這樣才有一個交流討論的基礎,避免陷入很多維度錯位的無謂爭論。所以第一篇先對「管理」進行一個基礎的介紹與解釋。
提到信息安全管理,大部分人甚至很多安全從業者,可能想到是信息安全相關的制度、規範與程序,在國內普遍重技術、輕管理的大環境下,這也導致很多人對信息安全管理有點不屑一顧,其實這是由於沒有充分理解管理的內涵所造成的。
信息安全管理中的「管理」英文是Management,如果對其含義進行一個定義,通俗的講就是:通過某些特定的手段,達到有效的結果。信息安全的目的就是保護信息資產安全,保障業務穩定運行;信息安全手段則包括人(People)、流程(Process)、技術(Technology),俗稱PPT。
這樣一對比我們很容易就能發現,其實管理(Management)與技術(Technology)並不是一個層面的定義,將這兩個術語放在一起相提並論並不是十分合適。那為什麼我們平時老是聽到「管理與技術並重」這樣的說法呢?那是因為在強調管理與技術並重時的管理,其實是制度與流程(Process)的通俗說法,並不是指真正的管理(Management)。
信息安全管理目的從宏觀來講是保護信息資產安全,保障業務穩定運行,這是放之四海而皆準的;具體來講是保護信息資產的保密性、完整性和可用性,即CIA,也有信息安全等於CIA的說法。信息安全的定義今天暫時先不展開,後續在一個專門的小節來闡述。今天將信息安全管理的三個手段進行一個簡單的解釋。
人(People)是三個手段裡面最為核心的一個,強調的是信息安全管理過程中人的知識、技能、經驗,以及對信息安全的理解與認知。信息安全是一項專業性比較強的工作,想要達到信息安全管理目的,就需要一支職業素養很強的專業團隊。同時,信息安全又與每個人都密切相關,任何人疏忽大意都可能導致信息安全事件的發生,提高每個人對信息安全的認知也尤為重要。
技術(Technology)是三個手段裡發展最快、應用最廣的一個,技術應用能夠大大提高工作效率,將人的主要精力從繁瑣的重複性的事務中解放出來,發揮更大的主觀能動性,創造更大的價值。同時技術相對而言也更可靠,這裡的可靠有兩層意思,一個是技術不會疲勞犯錯,另外一個是技術不會騙人。所以大部分時候,相對於其它手段,人們對技術更加青睞。
流程(Process)是三個手段裡實施周期長、見效慢、失敗率高的一個,也是一旦積累到一定程度就會發揮巨大威力的一個。流程在信息安全管理中的作用,可以作為其它兩個手段的補充,輔助使之應用的更好、發揮的作用更大,提高信息安全管理的效率與效果。另一個方面,流程也可以作為主導,引領信息安全管理的方向,為其它手段應用提供指導。關於流程(Process)手段,以後專門針對過程管理再做詳細說明。
總得來講,人(People)、流程(Process)、技術(Technology)這三種手段都有自己的特點與優勢,沒有哪個好哪不好之說,只要達到管理的具體目的就是好的;同時呢,不同手段之間也可以相互的配合使用,就目前來講三種手段之間的界線也越來越模糊,相互融合是趨勢。