安全管理很多依赖于企业自身的企业管理水平,如果剥去安全策略、管理制度和流程的完备性、前瞻性等技术因素的包装,其实,企业治理过程中最为重要的要素之 一 - 执行力,对安全管理同样非常关键,它决定了那些(可能漂亮或者不怎么漂亮、完备或者不怎么完备的)安全策略、制度流程等是否能够得到落实。实际上是安全效 率(efficiency) 和 安全有效性或效力(effectiveness)的问题。开发几尺厚的安全策略制度流程手册文档,购买千兆防火墙、IDS,上安全管理中心(SOC)等等 这些措施大多都是面向的安全效率,而如何能够保证所有的或关键的安全措施都能够坚守岗位(Stick)、按照策略运转是效力问题。
在2002年准备SOC项目时,考虑推出了“可视化”、“可量化”、“可管理”、“可运营”等几个概念,强调了企业信息系统中安全风险的可视化和可量化, 能够实用技术手段揭示“冰山水面下的部分”。“可管理”、“可运营”强调了安全管理与企业管理的融合,安全管理要走出去,加强沟通宣传,避免“曲高和寡” 的技术主导倾向,时刻要考虑组织职位流程方面的落地能力、可操作性。
这一切做法的出发点从本质上说与IT治理、企业治理的思路是一致的,安全管理不需要“重新发明轮子”,我们只需要多借鉴,多思考,很多安全问题其实可以寻求安全之外的经验知识来帮助解决。安全管理活动中需要注意提高“执行力”。
Posted by Richard 
