面向業務的SOC

近日，在CISPS的論壇上有一個關於「SOC如何更好地貼近業務」的討論。很高興的看到，我提出的SOC2.0的理念在業界繼續引起普遍的思考。其實，你們討論的時候各有各的道理，看似矛盾，實際上你們是站在不一樣的角度來看待這個命題。事實上，談面向業務的SOC，遵循的是一個自頂向下的思惟過程，是站在一個比較High Level的角度來分析SOC的發展趨勢。不只是SOC，整個安全都要與業務對齊/融合（Alignment or Convergence）。業務永遠是目標。在邁向這個目標的過程當中，有不少具體的事情須要去作，安全的業務特徵也須要一點一點的來體現。因此，現階段，面向業務（business-oriented）的提法是比較準確的，比基於業務（business-based）更好。

巧合的是，ESG在2011年7月份受RSA之託進行了一番市場與技術調研分析，出了一個叫作「ESG信息安全管理成熟度模型」的白皮書。裏面有一個四階段成熟度模型：

 

如何面向業務作SOC？我已經思考了多年，也遇到了不少challenge。近來又有不少新的認識。我想，等我再沉澱一下，屆時再深刻分享個人一些新思考。