信息來源：secdoctor

        人們把信息安全分為管理和技術，工程可以歸入管理與技術；把追求的目標分為合規(guī)和實效。我國的等級保護體系適用于各行各業(yè)，但是許多行業(yè)的行政監(jiān)管部門基于行業(yè)的風險特征又從宏觀上發(fā)布了一系列的監(jiān)管標準，這些標準關注效果而不是過程。

        面對如此之多的合規(guī)監(jiān)控，信息安全管理者往往憂心忡忡，焦慮不安，生怕在認證或監(jiān)管中被發(fā)現(xiàn)缺陷而留下劣跡。實際上，信息安全管理圍繞三個基本點展開即可，它們是原理、標準和實踐。

        原理居首，因為標準制定從來沒有違背原理的，實踐在絕大多數(shù)情況下是現(xiàn)有原理與標準指導下的活動。管理者與其以監(jiān)管為中心不如以原理為中心，去構建分層次的、彈性的信息安全體系。而且，這個體系應當是一套而不是多套。

        分層次的體系是由宏觀、抽象的描述向微觀、具體的描述自頂向下的遞進體系。越往上越穩(wěn)定，那是具有普適性的；越往下越彈性，那是滿足管理的、技術的和監(jiān)管的不斷變化。

        以銀行業(yè)為例，很多銀行在已經(jīng)具有ISO27001的安全體系后卻不能滿足銀監(jiān)的監(jiān)管，而再次圍繞監(jiān)管建設新的體系，兩種體系往往存在策略、邏輯和方法的不一致性，究其原因，更多的是建設ISO27001體系時過于封閉和形式化，缺乏真正的信息安全原理性思考，缺乏整體體系的架構設計和層次間的接口設計，以致于彈性盡失。當公司已經(jīng)擁有信息科技風險體系，再建設ISO27001體系是也幾乎面臨同樣的問題。如今，網(wǎng)絡安全法又發(fā)布執(zhí)行了，安全管理者又該如何面對呢？

        理解信息安全的本質(zhì)吧，智者從來都是處置自如，無所惑。