在《信息技术服务 监理 第4部分:信息安全监理规范》中给了两个附录,包括安全合规要求和安全技术要求两部分内容,在两个要求中基本上很全面地描述了两方面的内容。
然而,这些要求下面其实是面向非常广的知识面和要求面的,一旦需要细化其实又是一个个大工程。比如,信息安全监理这是一套体系性的工作,而且信息安全监理的质量与对应安全从业人员的经验相关性也非常强,在《信息技术服务 从业人员能力评价要求》中对从业人员职业名称等级划分中,比如以本文提到的信息安全监理,其要求在职业等级中是第3级以上水平。两年前,在一个单位的信息系统建设项目上,和一个监理公司的大哥聊天时还说得监理是要求比较高的一个职业,当时我就谈到了关于监理的从业能力要求。信息系统工程监理其实要求更上一层,需要最低水平达到第4级要求。
![信息系统工程安全合规和安全技术要求]( "信息系统工程安全合规和安全技术要求")
再比如,信息系统评估要求是达到职业等级第4级、第5级、第6级要求的,所以从知识、技能、经验三个维度去评价这么一类人的水平,在行业内要求是相当高的。具体关于从业人员能力要求,可以参考:网络安全等级保护:信息技术服务从业人员能力培养。
![信息系统工程安全合规和安全技术要求]( "信息系统工程安全合规和安全技术要求")
回到监理要求,我们会发现。一个好的监理,需要掌握风险评估、等级保护、信息安全体系等合规性要求相关知识,又要对技术相关知识有一定的理解。大家会常常去谈论安全服务,真正有价值的安全服务,自然不是一堆设备的堆砌,而是一群有真实水平和能力的人,对这一堆设备科学合理的利用过程中,为需方提供所需的合规性、技术性的服务。
![信息系统工程安全合规和安全技术要求]( "信息系统工程安全合规和安全技术要求")
技术层面,则需要学习掌握物理安全、网络安全、主机安全、应用系统安全等知识,只有正确地理解相关知识,才能够做好监理工作。
![信息系统工程安全合规和安全技术要求]( "信息系统工程安全合规和安全技术要求")
在人才管理方面,像华为、阿里、腾讯、百度等大型互联网企业会有自己企业的一套标准,对应不同标准的人则可以支撑对应需求的工作。
从业人员需要从知识、技能、经验三个维度考虑自我提升,知识可以根据自身所处阶段去学习,而技能则需要结合所学知识以及指导人指点去实践,在实践中多思考多总结,不断提升自身经验水平。在自我提升的道路上,正应了那句学无止境,在网络安全领域我还是一个初学者,还需要学习的东西太多太多,所以很多知识的理解欠缺尚多,一些不成熟的观点也只希望方家指正,虽然做不到闻过则喜,至少我会虚心接受。![信息系统工程安全合规和安全技术要求]( "信息系统工程安全合规和安全技术要求")
作为我个人,最早浅显的接触国家标准,是因为原来的公司是做机电设计的,另外因为一个非常要求好的朋友,是做弱电设计这块的。在机电设计过程中除了技术,就是遵循国家相关规范,在与朋友交流过程中,对国家标准才开始有了关注,其实此时距离毕业已经五年有余,然而此前对国家标准知之甚少关注基本全无,也就是在此时我对学校学习的东西,感觉不再那么系统了。至少,老师们各自为政,没有给我系统梳理过这方面的知识。
深入学习国家标准,是从2017年开始,距离和原同事交流学习又是三年了。在慢慢学习中,先是理解法律法规、国家标准是我们开展工作的规范和参考,不然一件工作或工程就失去了可参考依据,那么甲乙双方就会争执不下,常常在网上看到一组搞笑图片,说的是以李若彤的小龙女作为甲方需求,最终交付了贾玲版的小龙女,用户体验成小岳岳式的效果。其实,虽然这是一个笑话,不过也确实是我们社会生活中的真实情况。
甲方:“你们干得啥活啊?就没有一个标准吗?”
乙方:“你们瞎胡要求,就没有一个标准吗?”
……
其实,这个场景除非甲乙双方闹掰了,一般情况下不一定会真实发生,不过在彼此双方沟通陷入僵局时,那么内心里的几万只羊驼以及这些疑问也就来了?那么,我们在信息系统工程中,到底该怎么做呢?
可能在一些单位老带新,不能说是九斤老太的一代不如代,但是很多时候,往往是新的伙计好的学不到,老的家伙把一大堆“经验”就“倾囊传授”,认为事情就该这么做。甲乙双方就这样,在没标准没规则的荒野求生,在领导和工作职责的双重压力下渐渐磨平原本痴狂自我的应有的激情,却变得更加自我无法接受新知识。
原文始发于微信公众号(祺印说信安):信息系统工程安全合规和安全技术要求
评论