面向業務的SOC

近日,在CISPS的論壇上有一個關於「SOC如何更好地貼近業務」的討論。很高興的看到,我提出的SOC2.0的理念在業界繼續引起普遍的思考。其實,你們討論的時候各有各的道理,看似矛盾,實際上你們是站在不一樣的角度來看待這個命題。事實上,談面向業務的SOC,遵循的是一個自頂向下的思惟過程,是站在一個比較High Level的角度來分析SOC的發展趨勢。不只是SOC,整個安全都要與業務對齊/融合(Alignment or Convergence)。業務永遠是目標。在邁向這個目標的過程當中,有不少具體的事情須要去作,安全的業務特徵也須要一點一點的來體現。因此,現階段,面向業務(business-oriented)的提法是比較準確的,比基於業務(business-based)更好。php

巧合的是,ESG在2011年7月份受RSA之託進行了一番市場與技術調研分析,出了一個叫作「ESG信息安全管理成熟度模型」的白皮書。裏面有一個四階段成熟度模型:安全

 

如何面向業務作SOC?我已經思考了多年,也遇到了不少challenge。近來又有不少新的認識。我想,等我再沉澱一下,屆時再深刻分享個人一些新思考。ide

相關文章
相關標籤/搜索