BS7799中ISMS和RA的讨论

BS7799中ISMS和RA的讨论

http://blog.chinaunix.net/space.php?uid=76840&do=blog&id=2569776


 事实上，我们从事信息安全工作的，在为客户提供方案时，客户要求往往是主导。如果客户就要求东，你就不能过于强调西。当然，引导客户需求是我们的责任，但往往并不能完全如自己意，否则，就是教条了。所以，我们应该看到，好的咨询顾问，在坚持一些基本原则和大的方法论的基础上，会适当根据客户需求来调整具体策略和方法的，并且要为此而使这种调整具有合理性和可行性。客户的要求肯定是有其道理的，这一点必须承认，否则就永远只会抱怨甲方难缠了。

具体到ISMS建设上面，应该说不存在一个完全固定和标准的操作模式的，只需要记住PDCA，就知道，这个东西是不断在完善不断在调整的，重要的不是从哪里开始，而是你要给予这个体系自我适应和调整的能力。
企业信息安全建设一穷二白的时候，很多安全问题非常明显的，甚至一些很简单的安全集成方案也能解决大部分问题，那何不先买台防火墙？买台防DDoS？至于说还有其他什么问题，后面我再评估一下行不行？然后再补漏，再调整，尽管有可能前面的举措有不尽适当之处，有可能使得投资效率受到影响，但我先解决燃眉之急了，后面怎么都好说。但你不能说做ISMS时RA不重要，实际上，你在真正做RA之前所做的工作，是一种凭借直觉、经验、行业特点也可能是简单分析判断之后的成果，用软件设计来讲，只是一种原型而已，是毛坯。它能解决问题，但到底是否彻底完全解决了问题，还有没有其他问题，只能通过补充RA来实现。要让信息安全管理真正从自发状态达到自觉状态，RA是很关键的，我们为什么要做7799？不是纯拿个证书来唬人的，而是要让人知道，我们的信息安全建设，不是一时之举，不是零敲碎打的个案，而是企业整个管理体系的一个组成部分。ISMS建设方法是有其深层次道理的，不能否认，但可以灵活对待。

有些企业，在还没有做7799之前，你不能说它就没有建立起这个体系，它也有各种安全措施，也有日常管理制度，甚至也有内审机制，他们缺的只是把这个已有的可能不全面可能效率不高的体系与国际标准和最佳实践相比较，从而找出差距而已。这时候，我先做RA，是很对路子的，找到问题，找到不足，然后对症下药。看看已有的策略体系有什么问题，调整更新，看看现有的控制措施有什么不足，更新改造。
什么都没有绝对化的，有时候你可以顺应环境，有时候你有可以引导环境，但一些原则，还是应该保持的，至少可以少走弯路。