引言
首先我认为传统的信息安全是各自划分地盘,进行管理、技术、运营加固的体系;而现在更多强调的是数据安全,基于数据生命周期确保数据的CIA。
两者不冲突,我们需要基于现状(外部环境、公司环境、个人性格)构建属于自己的“信息安全/数据安全”理念/框架
原则
把数据安全抽象为一个实体(可以代表一个团队,也可以代表一块业务 )它无法独立于其它安全域而存在,他们之间是共建的关系,信息安全团队直接为保证数据的安全的目标负责,并需要拥有对应解释的权利和履行解释的义务。
一个应用、一套系统、一个站点要为自身的数据安全负责,不应抱有将数据安全责任给信息安全团队的错误认识,但可以向信息安全团队寻求帮助和指导;
总部信息安全团队不应试图捕捉所有每个应用或系统的数据安全风险,并尝试给出技术解决方案,而更要站在更大全局的视角提供相对通用和普世的产出。
框架
职责
信息安全团队 | 应用管理员/系统管理员/分子站点IT工程师 | |
决策 |
| |
管理 |
|
|
执行 |
|
|
附录
如下这段话摘自公众号:连续创业的Janky
谁为信息安全负责?
假设服务端主机系统存在loudong且被heike利用,最终导致了数据泄露,此般事故若是定责的话,应该归因到信息安全团队还是应用管理员或者系统管理员,或者是业务部门?
任何指明责任方的回答一定都是“不正确”的答案,我们唯一可以明确的是确实发生了数据泄露事故,信息安全团队一定是需要有解释的权利和义务。同时我们也无法穷举一切可能发生数据泄露的风险场景,然后生硬的为各个安全域划定范围,核心矛盾在于几乎一切风险都能转换为数据安全问题,如果范围圈定太广必然导致数据安全业务无法承受自身之重,如果范围圈定太小又必然导致其它安全业务的不公感增强。
一个国家或一个社会的繁荣进步,离不开每个个体的付出和努力,然而事实上并不是每个个体都具备为国之崛起而奋斗的胸怀和能力,国家或社会也不会要求个体为宏观的目标理想负责。
这便是对开篇关于亚当·斯密引语的白话解读,个体只需要关注如何实现自身的利益最大化(当然是通过合法方式获取合法利益的前提假设),即默默完成了推动和促进社会国家利益的最大化。
数据安全作为状态化的名词,表达的是追求数据的安全状态,这里的状态就是亚当·斯密笔下的国家社会集体利益,应用安全、网络安全、主机安全、移动安全、数据安全等业务或团队就是集体中的个体。每个个体都有自己关注的范围如主机安全领域的防入侵、防bingdu、补丁管理、端口管控等等,个体并不直接为数据安全目标负责,但就在解决好自身关注的风险同时已经帮助达到了整体数据的安全的目标。