網際網路企業安全進階指南3.9 關于ISO27001

<b>3.9　關于iso27001</b>

<b></b>

<b>1. 重建對安全标準的認知</b>

雖然标題用了iso27001，但實際上這裡可以指代所有的安全标準和安全理論。木桶理論安全界的人都知道，但用到實際工作中，沒太大用，說到底就是給外行解釋安全這件事的一個通俗比喻而已。業内有些聲音認為安全标準堵不住漏洞，是以安全标準都是沒用的“廢物”，這種論據顯然是有問題的，首先安全标準的制定就不是為了堵漏洞，是以安全标準跟漏洞沒關系，完全兩個層面的東西，不能拿來說事，堵漏洞有具體的技術手段，但安全建設并不隻有堵漏洞這種微觀對抗。

那安全标準到底有什麼用，我用最通俗的語言解釋一遍，安全标準歸根結底是為了給你一個參考和指引，當你把基礎的技術防護手段實施之後，過了上任之初的救火階段之後，就需要停下來思考一下整個企業安全範疇中，哪些事情是短闆，哪些領域尚且空白，需要在哪些點上繼續深挖才能覆寫公司整體的安全建設，而安全标準的價值就是告訴你，在安全建設的領域裡可能有那麼100件事情是需要做的，但具體選擇隻做80件還是99件還是100件全做是你自己的事情，它隻告訴你100件事情是什麼，但是這100件事情怎麼實作，對應的技術方案或流程是什麼它不會告訴你，實作和落地是需要自己去想的，它本質上是用于開拓視野，跟堵不堵漏洞完全沒沖突，換句話說它是一本書的目錄，但對于每個章節怎麼寫則取決于你自己，你可以買waf也可以加強容器，也可以像偏執狂一樣地做代碼審計，至于堵漏洞那隻是每個章節裡的一段文字而已。

<b>2. 最實用的參考</b>

對網際網路公司而言，我認為有幾個非常剛需的參考：

itil(bs15000/iso20000)—絕大多數網際網路公司的運維流程都是以itil為骨架建立的，甚至連内部的運維管理平台，監控系統上都能一眼看出itil的特征。而偏運維側的安全，基礎架構與網絡安全，這部分的安全建設是以運維活動為主幹，在運維活動上添加安全環節來實作安全管理的。是以想在運維側建立安全流程必須熟悉itil，把安全環節銜接到所有的釋出、變更、配置、問題和事件管理之上，而不是打破原來既有的運維流程，再去獨創一個什麼安全流程。

sdl—研發側的安全管理，絕大多數公司都借鑒了微軟的sdl，即便是再有想法的甲方安全團隊也離不開它，是以無論如何必須掌握sdl。

iso27001—企業安全管理領域的基礎性安全标準，所謂基礎就是不能比這個更加精簡了，你可以不碰那些高大上的，但是iso 27001則相當于入門水準，就好像高等數學線性代數你可以不會，但是如果你連9×9乘法表都背不出來，那隻能永遠呆在家裡不出門了，因為你連買10個蘋果找你多少錢都算不來。iso 27001總體上提供了一個架構性的認知。

<b>3. 廣泛的相容性</b>

學習攻防技術和學習少數幾個國際标準一點都不沖突，南向北向都是人為劃分的，除非坐地畫圈，否則完全不存在這種天然障礙。一個優秀的甲方工程師就是應該系統化又熟悉技術細節的，對于開篇提到的cso而言，沒有視野的人絕對當不了cso。

<b>4. 局限性</b>

方法論的作用是解決企業整體安全從30分走向50分的問題，這個階段需要具備普适性的有助于改善基本面全方位提升的東西。但是到了中後期，這些就不太管用了，如果你想從60分上升到80分，不能再依賴于方法論，而是進入安全特性改進的貼身肉搏戰狀态，很多競争力也許隻有幾十條規則，但是這些從表面上是看不出來的，隻有依靠專業人士的技能和資源的集中投入才能有所産出。