信息系统工程安全合规和安全技术要求

admin
admin
admin
140350
文章
117
评论
2022年10月29日15:58:22评论51 views字数 2215阅读7分23秒阅读模式
在《信息技术服务 监理 第4部分:信息安全监理规范》中给了两个附录,包括安全合规要求和安全技术要求两部分内容,在两个要求中基本上很全面地描述了两方面的内容。
然而,这些要求下面其实是面向非常广的知识面和要求面的,一旦需要细化其实又是一个个大工程。比如,信息安全监理这是一套体系性的工作,而且信息安全监理的质量与对应安全从业人员的经验相关性也非常强,在《信息技术服务 从业人员能力评价要求》中对从业人员职业名称等级划分中,比如以本文提到的信息安全监理,其要求在职业等级中是第3级以上水平。两年前,在一个单位的信息系统建设项目上,和一个监理公司的大哥聊天时还说得监理是要求比较高的一个职业,当时我就谈到了关于监理的从业能力要求。信息系统工程监理其实要求更上一层,需要最低水平达到第4级要求。

信息系统工程安全合规和安全技术要求

再比如,信息系统评估要求是达到职业等级第4级、第5级、第6级要求的,所以从知识、技能、经验三个维度去评价这么一类人的水平,在行业内要求是相当高的。具体关于从业人员能力要求,可以参考:网络安全等级保护:信息技术服务从业人员能力培养

信息系统工程安全合规和安全技术要求

回到监理要求,我们会发现。一个好的监理,需要掌握风险评估、等级保护、信息安全体系等合规性要求相关知识,又要对技术相关知识有一定的理解。大家会常常去谈论安全服务,真正有价值的安全服务,自然不是一堆设备的堆砌,而是一群有真实水平和能力的人,对这一堆设备科学合理的利用过程中,为需方提供所需的合规性、技术性的服务。

信息系统工程安全合规和安全技术要求

技术层面,则需要学习掌握物理安全、网络安全、主机安全、应用系统安全等知识,只有正确地理解相关知识,才能够做好监理工作。

信息系统工程安全合规和安全技术要求

在人才管理方面,像华为、阿里、腾讯、百度等大型互联网企业会有自己企业的一套标准,对应不同标准的人则可以支撑对应需求的工作。
从业人员需要从知识、技能、经验三个维度考虑自我提升,知识可以根据自身所处阶段去学习,而技能则需要结合所学知识以及指导人指点去实践,在实践中多思考多总结,不断提升自身经验水平。在自我提升的道路上,正应了那句学无止境,在网络安全领域我还是一个初学者,还需要学习的东西太多太多,所以很多知识的理解欠缺尚多,一些不成熟的观点也只希望方家指正,虽然做不到闻过则喜,至少我会虚心接受。信息系统工程安全合规和安全技术要求
作为我个人,最早浅显的接触国家标准,是因为原来的公司是做机电设计的,另外因为一个非常要求好的朋友,是做弱电设计这块的。在机电设计过程中除了技术,就是遵循国家相关规范,在与朋友交流过程中,对国家标准才开始有了关注,其实此时距离毕业已经五年有余,然而此前对国家标准知之甚少关注基本全无,也就是在此时我对学校学习的东西,感觉不再那么系统了。至少,老师们各自为政,没有给我系统梳理过这方面的知识。
深入学习国家标准,是从2017年开始,距离和原同事交流学习又是三年了。在慢慢学习中,先是理解法律法规、国家标准是我们开展工作的规范和参考,不然一件工作或工程就失去了可参考依据,那么甲乙双方就会争执不下,常常在网上看到一组搞笑图片,说的是以李若彤的小龙女作为甲方需求,最终交付了贾玲版的小龙女,用户体验成小岳岳式的效果。其实,虽然这是一个笑话,不过也确实是我们社会生活中的真实情况。
在标准不明确时,那么甲乙双方可能就会出现:

甲方:“你们干得啥活啊?就没有一个标准吗?”

乙方:“你们瞎胡要求,就没有一个标准吗?”

……

其实,这个场景除非甲乙双方闹掰了,一般情况下不一定会真实发生,不过在彼此双方沟通陷入僵局时,那么内心里的几万只羊驼以及这些疑问也就来了?那么,我们在信息系统工程中,到底该怎么做呢?
可能在一些单位老带新,不能说是九斤老太的一代不如代,但是很多时候,往往是新的伙计好的学不到,老的家伙把一大堆“经验”就“倾囊传授”,认为事情就该这么做。甲乙双方就这样,在没标准没规则的荒野求生,在领导和工作职责的双重压力下渐渐磨平原本痴狂自我的应有的激情,却变得更加自我无法接受新知识。
往期更精彩:
网络情报:网络情报环境背景
27000信息安全管理体系标准族及对应国标
信息系统安全工程管理要求思维导图
  1. 开启等级保护之路:GB 17859网络安全等级保护上位标准
  2. 网络安全等级保护:等级保护测评过程及各方责任
  3. 网络安全等级保护:政务计算机终端核心配置规范思维导图
  4. 网络安全等级保护:什么是等级保护?
  5. 网络安全等级保护:信息技术服务过程一般要求
  6. 闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
  7. 闲话等级保护:什么是网络安全等级保护工作的内涵?
  8. 闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
  9. 闲话等级保护:测评师能力要求思维导图
  10. 闲话等级保护:应急响应计划规范思维导图
  11. 闲话等级保护:浅谈应急响应与保障
  12. 闲话等级保护:如何做好网络总体安全规划
  13. 闲话等级保护:如何做好网络安全设计与实施
  14. 闲话等级保护:要做好网络安全运行与维护
  15. 闲话等级保护:人员离岗管理的参考实践
  16. 信息安全服务与信息系统生命周期的对应关系
  17. 工业控制系统安全:信息安全防护指南
  18. 工业控制系统安全:工控系统信息安全分级规范思维导图
  19. 工业控制系统安全:DCS防护要求思维导图
  20. 工业控制系统安全:DCS管理要求思维导图
  21. 工业控制系统安全:DCS评估指南思维导图
  22. 工业控制安全:工业控制系统风险评估实施指南思维导图
  23. 工业控制系统安全:安全检查指南思维导图(内附下载链接)
  24. 工业控制系统安全:DCS风险与脆弱性检测要求思维导图

原文始发于微信公众号(祺印说信安):信息系统工程安全合规和安全技术要求

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月29日15:58:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   信息系统工程安全合规和安全技术要求https://cn-sec.com/archives/1367737.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息