以下是現(xiàn)場(chǎng)速記。
上海非夕機(jī)器人科技信息安全總監(jiān) 劉歆軼
劉歆軼:大家好!很久沒(méi)有參加CIO的大會(huì)了,因?yàn)槲易罱陮?zhuān)注在安全領(lǐng)域,我前面工作的十四年是做IT的管理,那是從1998年開(kāi)始,到2012年做了職業(yè)方向的轉(zhuǎn)型,專(zhuān)注在安全領(lǐng)域。十年前經(jīng)常參加各種各樣這種大會(huì),很久沒(méi)有參加了,有點(diǎn)親切的感覺(jué)。
我是上海非夕機(jī)器人信息安全總監(jiān),CIO是有定義的,只有真正加入了管理層,加入到這個(gè)圈子里才能叫C,這是國(guó)家的規(guī)定,在金融行業(yè)里,比如證券公司,證監(jiān)會(huì)曾經(jīng)發(fā)文,“公司必須設(shè)立CIO,要加入領(lǐng)導(dǎo)班子”,意味著IT經(jīng)理、IT總監(jiān)、IT部部長(zhǎng),只要沒(méi)有在公司的決策層,沒(méi)有在CXO的圈子里,都不能叫CIO。信息安全也一樣,目前我的抬頭是信息安全總監(jiān),還沒(méi)有到CISO的程度。
進(jìn)入公司之后,又增加了另外一個(gè)職位,數(shù)據(jù)保護(hù)官,關(guān)注數(shù)據(jù)合規(guī)、隱私保護(hù)這類(lèi)工作。由于各項(xiàng)法規(guī)的頒布越來(lái)越多,所以公司的合規(guī),尤其是有跨境的數(shù)據(jù)傳輸和個(gè)人隱私相關(guān)信息的企業(yè)要格外關(guān)注。如這次某互聯(lián)網(wǎng)行業(yè)頂格罰款就是因?yàn)閭€(gè)人信息傳輸造成的,如果將來(lái)企業(yè)當(dāng)中出現(xiàn)個(gè)人隱私的問(wèn)題,有跨境的,有傳遞的,要格外注意。而且這個(gè)領(lǐng)域不是只有信息安全的人關(guān)注,還有一些法律界朋友們?cè)陉P(guān)注。我在學(xué)習(xí)數(shù)據(jù)保護(hù)官相關(guān)內(nèi)容時(shí),考取這個(gè)認(rèn)證時(shí),發(fā)現(xiàn)80%是律師,各大律所去做這個(gè)生意,怎么樣保證個(gè)人隱私數(shù)據(jù)安全,來(lái)?yè)屨嘉覀兊牡乇P(pán),要注意。
2012年轉(zhuǎn)換賽道,轉(zhuǎn)換方向從認(rèn)證輔導(dǎo)角度進(jìn)的,2012年從公司離開(kāi)之后,準(zhǔn)備給自己充電,開(kāi)始做一些安全領(lǐng)域的認(rèn)證考試,全球大概有15萬(wàn)持證人員,但是在中國(guó)只有3800人,一方面非常困難,因?yàn)榭荚囈?個(gè)小時(shí),從早上9點(diǎn)考到下午3點(diǎn),中間不休息,難度非常大,從2003年中國(guó)第一次開(kāi)始考,到目前為止只有3822個(gè)人通過(guò)了或持證了,非常難。
還有一部分對(duì)于組織的認(rèn)證,信息安全認(rèn)證,ISO27001,以及ISO2000系列的認(rèn)證,那個(gè)時(shí)候組織愿意進(jìn)行認(rèn)證的主要行業(yè)有兩個(gè),一個(gè)是金融行業(yè),一個(gè)是互聯(lián)網(wǎng)行業(yè),這些都是有強(qiáng)制要求的。金融行業(yè)主要的證券、銀行、保險(xiǎn),證監(jiān)會(huì)、人行、銀保監(jiān)會(huì),他們都有非常嚴(yán)格的監(jiān)管要求,基本上每個(gè)月都會(huì)派審計(jì)師下來(lái)去做審計(jì),我之前是給國(guó)內(nèi)四大行、六大行,還有一些商業(yè)銀行做信息安全規(guī)劃,做ISO27001認(rèn)證的輔導(dǎo)、體系建設(shè)等一系列工作,積累了很多經(jīng)驗(yàn),確實(shí)感覺(jué)在金融領(lǐng)域里信息安全投入非常大,首先銀行不缺錢(qián),資金充足,而且上面又有硬性的監(jiān)管要求,必須要做到怎樣,否則罰得錢(qián)就更多,所以他們?cè)敢饣ㄥX(qián)。甚至有的時(shí)候申請(qǐng)預(yù)算下來(lái)該投的都投了,不知道往哪兒花了。所以做安全的友商愿意跑銀行領(lǐng)域,確實(shí)錢(qián)好賺。
做了幾年咨詢(xún)顧問(wèn)之后又轉(zhuǎn)回制造行業(yè),就是在非夕機(jī)器人。畢竟我前面十幾年都是在制造行業(yè)做IT,所以對(duì)制造行業(yè)非常有感情。非夕機(jī)器人是一個(gè)非常年輕的公司,創(chuàng)業(yè)到現(xiàn)在只有六年時(shí)間。介紹幾部分:
1.非夕安全體系規(guī)則
2.ISO27000標(biāo)準(zhǔn)介紹
3.2022年新版變化
4.新版對(duì)企業(yè)影響
一、非夕機(jī)器人簡(jiǎn)介
非夕意思不是夕陽(yáng)產(chǎn)業(yè),是朝陽(yáng)產(chǎn)業(yè),整個(gè)公司非常新的企業(yè),公司由斯坦福機(jī)器人實(shí)驗(yàn)室的幾位博士畢業(yè)之后在硅谷創(chuàng)業(yè),那是2016年。2017年在上海成立了上海非夕,主要是研發(fā),佛山有工廠(chǎng),深圳分公司,主要制造的是手臂形狀的機(jī)器人,利用一些非常先進(jìn)的視覺(jué)反饋和力覺(jué)反饋,后臺(tái)AI自主式柔性機(jī)器人,總而言之比較高大上,比現(xiàn)在的機(jī)器手臂更加先進(jìn)。可以應(yīng)用的領(lǐng)域越來(lái)越多。
公司最重要的是研發(fā)能力,基本上斯坦福那邊獲取到一些新的研發(fā)資源和動(dòng)態(tài),在硅谷研發(fā)中心做轉(zhuǎn)換,交由國(guó)內(nèi)進(jìn)行實(shí)現(xiàn)和生產(chǎn),所以我們研發(fā)數(shù)據(jù)安全作為重中之重。
我加入公司之后開(kāi)始做了一系列相關(guān)安全規(guī)劃工作。整體安全是依托于整個(gè)公司戰(zhàn)略。從企業(yè)戰(zhàn)略到安全架構(gòu),最后到安全建設(shè),用這樣一個(gè)思考的方式來(lái)進(jìn)行的。
整體框架,我們通過(guò)跟公司管理層訪(fǎng)談之后,梳理出了大概的情況,底層所謂的安全技術(shù)實(shí)際上是參考“三保護(hù)一支撐”的概念,保護(hù)安全的計(jì)算環(huán)境、區(qū)域邊界、通訊以及支撐性的基礎(chǔ)設(shè)施,這個(gè)框架是業(yè)界比較認(rèn)可的通用框架。
安全運(yùn)營(yíng)日常工作,技術(shù)和運(yùn)營(yíng)兩部分都是需要安全管理作為指導(dǎo)。信息安全應(yīng)該是自上而下覆蓋式的方式,到底要做什么,往哪個(gè)方向去,確定好了之后,才通過(guò)技術(shù)和運(yùn)營(yíng)加以實(shí)現(xiàn),達(dá)到其目標(biāo)。我在公司首先基于整體理念,先去梳理安全管理層面。當(dāng)然也考慮到一定因素,首先IT成熟度,還有資金投入,一進(jìn)公司花幾百萬(wàn)也不合適,先用一些不太花錢(qián)的方法,把整體框架搭建起來(lái),慢慢再去填充。
信息安全管理體系參照ISO/IEC27001,它的架構(gòu)相對(duì)比較全,比較穩(wěn)定。
涉及內(nèi)容是PTC怎么樣組織所有的安全工作,然后附錄的14個(gè)領(lǐng)域,包括方針策略、組織資產(chǎn)、人力資源、物理通訊網(wǎng)絡(luò)等等領(lǐng)域。
規(guī)劃工作開(kāi)展過(guò)程分幾個(gè)階段:
首先是啟動(dòng)和計(jì)劃,要做一些整體的管理范圍的確定、工作的計(jì)劃、前期的溝通,尤其高層溝通,整個(gè)信息安全工作要依托企業(yè)安全戰(zhàn)略,在風(fēng)險(xiǎn)評(píng)估里,確定風(fēng)險(xiǎn)準(zhǔn)則一定是由公司最高管理層確定的。
差距評(píng)估和風(fēng)險(xiǎn)評(píng)估階段,依據(jù)ISO27001準(zhǔn)則,114個(gè)要求,根據(jù)公司現(xiàn)狀做整體對(duì)比,知道到底哪些地方有欠缺,再通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)評(píng)估到底有欠缺的地方哪些是重要的,哪些是高低風(fēng)險(xiǎn)的,找出重點(diǎn),區(qū)別出優(yōu)先級(jí),基本三年規(guī)劃或五年規(guī)劃就出來(lái)了,知道做哪些事情,知道按什么順序去做。
按照計(jì)劃開(kāi)始設(shè)計(jì)整體管理框架、制度建設(shè)、制度評(píng)審發(fā)布,制度發(fā)布之后,具體怎么樣落地,需要技術(shù)層面做支撐的。
最后還要進(jìn)行相應(yīng)的試運(yùn)行,試運(yùn)行階段發(fā)現(xiàn)問(wèn)題再做相應(yīng)調(diào)整,再去做整改,再做內(nèi)審、管審等一系列。
以上是標(biāo)準(zhǔn)ISO管理體系搭建的過(guò)程。
成果。在14個(gè)領(lǐng)域分別給出不同的情況,一般在27000里從兩個(gè)層面做評(píng)估,一個(gè)是管理制度層面,一個(gè)是實(shí)際執(zhí)行層面,就會(huì)分出四個(gè)象限,如果都做得比較好就是綠色,沒(méi)有差距;如果制度做得不好,但實(shí)際執(zhí)行還行,但沒(méi)有成文,就屬于淺綠;如果制度寫(xiě)得挺漂亮,實(shí)際上沒(méi)有做,就變成黃色;如果制度和執(zhí)行都比較弱,但至少還有,就是橙色;如果完全沒(méi)有考慮到這方面,就是紅色。114個(gè)要求對(duì)比下來(lái),就會(huì)在公司里有這么一個(gè)整體的藍(lán)圖,知道大概哪個(gè)方面有什么樣的欠缺。
風(fēng)險(xiǎn)評(píng)估,這是所有安全工作的起點(diǎn),只有知道哪些有風(fēng)險(xiǎn),哪些作為優(yōu)先級(jí),才知道后一步該怎么做。風(fēng)險(xiǎn)評(píng)估的方法是基于是ISO27005,信息資產(chǎn)先做一個(gè)識(shí)別,信息資產(chǎn)就是數(shù)據(jù)資產(chǎn),數(shù)據(jù)安全是數(shù)據(jù)資產(chǎn),還有軟件資產(chǎn)、硬件資產(chǎn)、人員資產(chǎn)和服務(wù)資產(chǎn)。再去看外界有哪些威脅,內(nèi)部有哪些缺陷和漏洞,當(dāng)前已有的措施是否生效,分析清楚之后進(jìn)行頂級(jí),到底是高中低,根據(jù)這個(gè)看是不是處理,還是不用處理。處理之后再做一輪風(fēng)險(xiǎn)評(píng)估。
根據(jù)五類(lèi)不同資產(chǎn)梳理出哪些是高風(fēng)險(xiǎn)、哪些是低風(fēng)險(xiǎn),有一個(gè)餅圖和柱狀圖,讓大家一目了然能夠看清楚需要在哪個(gè)方向發(fā)力。
確定信息安全方針,方針策略特別虛,但實(shí)際上確實(shí)需要,到底公司往哪個(gè)方向發(fā)展直接指導(dǎo)、引領(lǐng)我們后續(xù)到底怎么樣開(kāi)展工作。比如我們公司現(xiàn)在制定的是“全面管理、預(yù)防為主、分級(jí)保護(hù)、合規(guī)審慎”,主要范圍確定下來(lái),一定要跟著策略走??梢约?xì)化到年度,比如今年的策略是防止內(nèi)部數(shù)據(jù)泄露,可能會(huì)上很多漏洞或DRP、員工桌面管控等,如果明年策略改成防御未來(lái)入侵,可能要做很多其他的防火墻、威脅等東西。由策略指導(dǎo)我們具體往哪個(gè)方向跑,一定是非常重要的。當(dāng)然比較虛,只是一個(gè)方向,沒(méi)有告訴你怎么做。
有了策略之后就要有組織,到底誰(shuí)來(lái)干這些活兒,活兒分配下來(lái)沒(méi)有人干不行,一般會(huì)分成幾個(gè)層級(jí),首先是信息安全領(lǐng)導(dǎo)小組,一定是公司最高管理層負(fù)全責(zé);有一個(gè)管理團(tuán)隊(duì),一般都是IT人員、安全人員、核心部門(mén)負(fù)責(zé)人組成,制定一些具體的要求;每一個(gè)部門(mén)都設(shè)立安全專(zhuān)員,即接口人,他們負(fù)責(zé)把整個(gè)安全體系慢慢往下推,推到每個(gè)部門(mén)里面去;全員職責(zé),每一個(gè)員工都是信息安全的責(zé)任人,要定期對(duì)他們進(jìn)行相應(yīng)要求。
對(duì)于文件層級(jí),一般分成四個(gè)層級(jí):方針政策;各種程序,具體提出哪些管理要求;具體如何執(zhí)行,操作步驟,表單模板等;記錄文檔,確定到底做了沒(méi)有,事后審計(jì)時(shí)用來(lái)查的。
整體建設(shè)過(guò)程中,基本上按照制度的建設(shè),對(duì)于各個(gè)業(yè)務(wù)部門(mén)、業(yè)務(wù)流程進(jìn)行訪(fǎng)談,小組討論,進(jìn)行相應(yīng)制度的修改、設(shè)立、小組評(píng)審,完善一個(gè)制度,制度再審批發(fā)布。
會(huì)形成一個(gè)制度清單,按照整體框架在哪個(gè)領(lǐng)域分別建立哪些相應(yīng)管理制度,每個(gè)公司不一樣,按照業(yè)務(wù)和IT運(yùn)維程度,以及細(xì)化不一樣,會(huì)建立這么一個(gè)清單。
確立到底都在什么時(shí)候做哪些事情,就要定期檢查,會(huì)設(shè)立有效性測(cè)量指標(biāo),每年在什么時(shí)候到底要干什么,檢查什么,做了沒(méi)做,這是內(nèi)審時(shí)我們重點(diǎn)要查的對(duì)象,每天必須要干的事。
還會(huì)做一些整體有效性測(cè)量的統(tǒng)計(jì),到底做得好不好,有沒(méi)有達(dá)到要求。
內(nèi)審。在每年至少組織一次內(nèi)部審核,把前面做的所有事情全都做一遍梳理,看看到底還有哪些缺陷。除了內(nèi)審之外還有管理評(píng)審,做得好不好,什么狀況,開(kāi)一個(gè)管理評(píng)審會(huì),讓公司管理層了解一下到底今年信息安全體系運(yùn)行狀況怎么樣,還有方針政策是否要調(diào)整,每年的回顧,還有相關(guān)利益方的安全需求有沒(méi)有新的變化,外界的環(huán)境有沒(méi)有新的變化,這一切的變化都要在管理評(píng)審會(huì)上提供,供管理層來(lái)做評(píng)價(jià)。
內(nèi)審當(dāng)中肯定會(huì)涉及到很多改進(jìn)的計(jì)劃,這些改進(jìn)計(jì)劃管理層是否要批準(zhǔn),拍板是否要給人、給錢(qián)、給時(shí)間,哪個(gè)要做、哪個(gè)不要做、哪個(gè)推遲、哪個(gè)取消,都在管理評(píng)審會(huì)上敲定的。
如果大家之前沒(méi)有做過(guò)體系的話(huà),基本能夠有一個(gè)了解。
二、ISO27000標(biāo)準(zhǔn)介紹
ISO27000發(fā)展歷程,最早是從英國(guó)的英標(biāo)組織發(fā)展到最后變成ISO27000,變成國(guó)際標(biāo)準(zhǔn)。里面大概有30~40個(gè),最上面27000是術(shù)語(yǔ),所有信息安全相關(guān)的術(shù)語(yǔ)和概念可以在這里能查到。最主要的是27001,這是認(rèn)證標(biāo)準(zhǔn),通過(guò)它,按照這個(gè)標(biāo)準(zhǔn)來(lái)審核。ISO整個(gè)組織里有一個(gè)默認(rèn)的潛規(guī)則,凡是以001為標(biāo)準(zhǔn)的就是可認(rèn)證的,其他都是相關(guān)的。整個(gè)體系里面包括001的體系要求,002的實(shí)用規(guī)則,003的實(shí)用指南,還有對(duì)于審核機(jī)構(gòu)的要求、認(rèn)證等等。
27701,關(guān)于個(gè)人信息保護(hù)的管理,很多互聯(lián)網(wǎng)公司都在說(shuō)已經(jīng)通過(guò)了27701,因?yàn)橛心芰ΡWo(hù)個(gè)人隱私的信息、員工的信息、客戶(hù)的信息。
在不同領(lǐng)域,不同行業(yè)里分別也有不同的認(rèn)證標(biāo)準(zhǔn)可以進(jìn)行認(rèn)證或供參考。
目前所有ISO27000家族系里所有的標(biāo)準(zhǔn)清單,紅顏色都可以認(rèn)證。27017和27018,經(jīng)常聽(tīng)一些云廠(chǎng)商過(guò)這兩個(gè)認(rèn)證,比如阿里、騰訊,只要提供云服務(wù)都會(huì)過(guò)這些,基礎(chǔ)是27001整體框架搭起來(lái)之后,這些作為補(bǔ)充。
三、2022變化解讀
這次是27002文檔發(fā)生了改版情況,不是27001,按照ISO27000的慣例,先提出一些實(shí)踐,27002如何才能夠達(dá)到要求或怎么做的一些最佳實(shí)踐的極,一般都是先更新27002,再更新27001。
27002這次改版變化蠻大的,有必要跟大家分享一下,如果沒(méi)有時(shí)間去翻這個(gè)標(biāo)準(zhǔn),非常冗長(zhǎng),大致聽(tīng)我說(shuō)一下,有一個(gè)概念就可以了。
首先有幾個(gè)點(diǎn)的變化,標(biāo)準(zhǔn)名稱(chēng)變化,這是非常重要的,意味著內(nèi)容會(huì)產(chǎn)生很大的變化;整體結(jié)構(gòu),原來(lái)18個(gè)章節(jié)變成現(xiàn)在8個(gè)章節(jié)和2個(gè)附錄;術(shù)語(yǔ)定義內(nèi)容變化,控制分類(lèi)、控制數(shù)量、控制屬性、控制視圖都做了相應(yīng)條件,尤其增加了屬性、視圖是之前沒(méi)有的,將來(lái)會(huì)有新的變化。
關(guān)于名稱(chēng)的變化,原來(lái)27002名字叫做信息技術(shù)-安全技術(shù)-信息安全控制實(shí)用規(guī)則,改版以后叫做信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)-信息安全控制。對(duì)于這些名詞概念容易混淆,數(shù)據(jù)安全、網(wǎng)絡(luò)安全、信息安全到底有什么區(qū)別?邊界在哪里?稍微解釋一下。
整體來(lái)講,信息安全是大框,什么都能裝;數(shù)據(jù)安全,數(shù)據(jù)是作為信息資產(chǎn)其中一部分,信息資產(chǎn)包含數(shù)據(jù)、軟件、硬件、服務(wù)和人員,所以數(shù)據(jù)安全管理作為信息安全管理的一部分,也可以說(shuō)數(shù)據(jù)安全是作為數(shù)據(jù)治理的一部分,是有交疊,也不完全包含。
網(wǎng)絡(luò)安全和信息安全有什么區(qū)別?最近國(guó)家在提網(wǎng)絡(luò)安全宣傳周,為什么不叫信息安全?因?yàn)榫W(wǎng)絡(luò)安全強(qiáng)調(diào)的是攻防對(duì)抗,而信息安全強(qiáng)調(diào)的是對(duì)于信息資產(chǎn)的保護(hù),也就是CIA三個(gè)屬性,這兩個(gè)角度不一樣,原來(lái)ISO27000是基于信息安全的架構(gòu)來(lái)做描述的,現(xiàn)在增加了網(wǎng)絡(luò)安全,即強(qiáng)調(diào)對(duì)抗的內(nèi)容。
章節(jié)變化,從原來(lái)很多章節(jié)縮減成了核心4個(gè),從組織控制、人員控制、物理控制和技術(shù)控制,完全融合在一起,原來(lái)分成14個(gè)領(lǐng)域,現(xiàn)在變成只有4個(gè)框架了。
標(biāo)準(zhǔn)內(nèi)容、術(shù)語(yǔ),原來(lái)直接引用ISO27000就可以了,現(xiàn)在增加了很多新的術(shù)語(yǔ)的內(nèi)容在里面。
關(guān)于控制域原來(lái)14個(gè)變成了4個(gè)主題,合在一起就會(huì)發(fā)現(xiàn)沒(méi)有辦法用它來(lái)分類(lèi),原來(lái)14個(gè)分類(lèi),每一個(gè)有1~2個(gè)、2~3個(gè),特別好細(xì)分,現(xiàn)在變成4個(gè),比如某一個(gè)里面有37個(gè)控制數(shù)量,根本沒(méi)辦法用它來(lái)細(xì)分分類(lèi),這有一個(gè)變化。但可以用視圖做細(xì)分。
新增一些控制措施,做了一些延伸,比如威脅情報(bào)、云安全,之前都沒(méi)有;連續(xù)性要求,物理安全監(jiān)控現(xiàn)在特別提到;配置管理;
10、11、12,信息刪除、數(shù)據(jù)屏蔽、數(shù)據(jù)防泄露,特指?jìng)€(gè)人信息的隱私保護(hù),增加了這部分內(nèi)容。
還有其他監(jiān)控活動(dòng)、網(wǎng)絡(luò)過(guò)濾、安全編碼是增加的。老的沒(méi)有任何刪減,都合并在一起了,新增了8個(gè)新的內(nèi)容。
整體框架格式也增加了一個(gè)屬性表格,到底屬于哪一類(lèi)的,前面有一個(gè)介紹。
增加控制屬性視圖,所有控制,一條一條要求都要分屬于不同的屬性,比如控制類(lèi)型分成預(yù)防、檢測(cè)、糾正,安全屬性CIA跟哪個(gè)相關(guān),網(wǎng)絡(luò)安全屬性按IPDRR架構(gòu),屬于哪個(gè)階段;運(yùn)營(yíng)能力,跟之前14個(gè)領(lǐng)域非常像,變成了15個(gè)域;安全域又有治理、保護(hù)、防御、韌性,分了很多細(xì)化的屬性,方便去篩選,不管喜歡從哪個(gè)視圖,比如強(qiáng)調(diào)網(wǎng)絡(luò)安全,就采用網(wǎng)絡(luò)安全屬性作為整體的視圖視角去看到底這些安全控制在哪些,如果喜歡信息安全的視角,就按照CIA來(lái)看,是這樣一個(gè)過(guò)程。
預(yù)防、檢測(cè)、糾正三類(lèi)不同的事件,屬于控制類(lèi)型的屬性。
CIA信息安全的屬性。
IPDRR,所有控制措施分別在IPDRR里處于哪個(gè)環(huán)節(jié),都已經(jīng)囊括其中了。
對(duì)照?qǐng)D,如果之前做過(guò)兩期按照14個(gè)域來(lái)劃分,現(xiàn)在可以轉(zhuǎn)換成運(yùn)營(yíng)能力15個(gè)域,有嚴(yán)格對(duì)應(yīng)的關(guān)系,不用改太多的東西,非得往4個(gè)里面去塞,而是直接調(diào)整一下,放到新的運(yùn)營(yíng)能力里面就可以了,不會(huì)產(chǎn)生太大的變化。
按照治理、保護(hù)、防御、恢復(fù)四個(gè)層面,也可以通過(guò)這個(gè)視角來(lái)進(jìn)行。會(huì)形成一個(gè)整體的視圖,舉例,某一個(gè)控制措施到底屬于糾正性的還是預(yù)防性的,還是哪一種,都可以按這個(gè)表格篩選出來(lái),這里會(huì)用一些工具,比如Excel,把哪一條屬于哪個(gè)控制視圖、安全屬性視圖、網(wǎng)絡(luò)安全視圖的做篩選,當(dāng)然也可以用一些工具在線(xiàn)上做或多維表格都可以,沒(méi)有的話(huà),用Excel也可以。
四、升版對(duì)企業(yè)的影響
27002不是認(rèn)證的標(biāo)準(zhǔn),是一個(gè)實(shí)踐標(biāo)準(zhǔn),一定會(huì)引起27001的升級(jí),按照ISO內(nèi)部的說(shuō)法,應(yīng)該在今年10月份左右27001就會(huì)升版到2022版,因?yàn)?7002直接指導(dǎo)著27001,27002變了,27001肯定也會(huì)變。
對(duì)于組織來(lái)講,如果還沒(méi)有做ISO27000認(rèn)證時(shí),可以由兩個(gè)選擇,一是繼續(xù)按照老版做準(zhǔn)備去認(rèn)證,等到2022發(fā)布之后再去升版;二是直接等到2022發(fā)布之后,一次升到新版。兩種路徑都可以,看你目前準(zhǔn)備的程度如何,可以按照新版直接準(zhǔn)備,也可以按照老版準(zhǔn)備,一般一個(gè)升版都有三年的周期讓你慢慢調(diào)整。
對(duì)企業(yè)安全管控的影響。方法論不變,都是基于風(fēng)險(xiǎn)整體的管理;范圍更加廣,增加了網(wǎng)絡(luò)安全、隱私保護(hù)的內(nèi)容;兼容性更強(qiáng),可以通過(guò)不同的視角分別按照你喜歡的方式去年展現(xiàn)所有的控制方法。
謝謝大家!