討論區主頁 資訊安全管理 追著Security做資安? | 無發表權 |
全部展開 | 前一個主題 | 下一個主題 |
發表者 | 討論內容 |
---|---|
tyrone | 發表時間: 2008-12-02 21:33 |
網站管理員 註冊日: 2003-04-19 來自: CSQA 發表數: 342 |
追著Security做資安? 筆者看過一些在研究如何將「○○○○」與資訊安全管理系統(ISMS)整合的人員,是透過搜尋「○○○○」的要求裡帶有"security"一詞的實務與常規(practices)語句,然後再將該等集合起來,看看這些與ISO/IEC 27001的要求是否有共通處,是否存在整合的機會。筆者以為,這樣的作法常常會讓研究者本身迷失在研究的課題裡。
在許多的文獻裡,或者標準裡,即使其重視資訊安全的議題,很有可能是不會使用到"security(安全性)"這個字,甚至於也不會使用到與資訊安全有關的字眼,例如,"機密性(confidentiality)"、"完整性(integrity)"、以及"可用性(availability)",或是其他如"可靠性(reliability)"、"不可否認(non-repudiation)"、"可歸責性(accountability)"、"可鑑別性(authenticability)"等等。 在將資訊安全管理活動於專案管理過程、產品發展過程、品質管理過程中實作時,我們應該理解的是,到底資訊安全管理在管什麼,管理的對象是什麼,或想要達成什麼樣的結果?在不同的層級裡,資訊安全管理可能是不同的,但是標的都是「資訊」。所謂的不同層級,係指組織層級或組織業務層級、產品發展過程層級或是專案層級、以及產品層級(最終的軟體產品),但是這其中,產品層級的問題較不容易在組織自身決定,而通常是在獲取者及產品使用者的身上。因為這些產品可能需要協助使用者做到資訊安全管理的要求,但是,要做到哪些資訊安全管理的要求,則需要獲取者在獲取活動的計畫作為(含產品規劃、產品需求)階段就應決定。 除了最終產品之外,組織應注重到的,就是組織(業務過程)層級與產品發展過程層級(專案層級)的資訊安全管理活動了,這些都是組織內部的工作。今天,不論導入的○○○○是什麼,就算是資訊安全管理系統本身,也有資訊安全管理系統資訊之資訊安全管理的問題存在,而這些情況是否能夠被發現,則端視組織本身對於資訊安全管理的對象是否有清楚的認識而定。所有的○○○○所產生的資訊才是資訊安全管理系統關注的事項,而這些並無關於所有的過程活動是否有帶有security, confidentiality, integrity, avaialbility的字眼。 有資訊安全管理意涵的語句,其述敘可能會像是:「專案成員應定期向專案經理報告當期的工作進度,並經過專案經理的驗證」,以這句話而言,其本身就已經隱含了相關的資訊安全管理要求,因為,經過仔細的分析,這句話裡其實也已經包含了「機密性」、「完整性」、與「可用性」的要求了。在這句話中,包含了資訊接收的對象(專案經理)、定期(可用性)、當期的工作進度(完整性)、資訊傳送的對象與接收者(歸責性、不可否認性、與可靠性等)。 在研究相關課題時,最好能夠就問題的本質去深入理解,而非僅憑幾個關鍵字,就期望找出所有的答案,因為很有可能發生找錯對象的情況。
凡所有相皆是虛妄。見諸相非相。即見如來。 |
全部展開 | 前一個主題 | 下一個主題 |
主旨: | 發表者 | 日期 |
---|---|---|
» 追著Security做資安? | tyrone | 2008-12-02 21:33 |
無發表權 | |