阅读说明:这是《大话系规官方教材伴读》系列的付费正文。本系列按官方教材原章节顺序,一节一节用大白话讲透第2版教材。非会员可免费试读本讲约百分之二十。
这套伴读怎么用、和《系规精品图文课程》怎么搭着看,先读开篇导读:《大话系规官方教材伴读·开篇:这本又厚又硬的书,我陪你一节一节读完》。
付费方式:独立合集《大话系规官方教材伴读》合集价 299 元,购买后全部讲次解锁(微信小程序或官方网站均可学习)。已订阅《系规精品图文课程》的同学不再单独付费,登录学习平台即可直接读全部内容。
以下为本讲正文 ↓
大话第9章③:信息安全规划主要内容与案例
一、先问你一个会卡住的问题
同学,咱们把第 9 章收个尾,这一讲讲 9.3 信息安全规划的主要内容,加上 9.4 那个完整案例。
进正题之前,我先问你一个问题。前两讲我反复跟你说,信息安全要规划、要搭架构。那现在你真坐到桌前,要给一家公司写一份信息安全规划,你到底该写哪几块?是不是只要写"买什么防火墙、装什么杀毒软件"就行了?
如果你这么想,你又掉坑里了。
我跟你交个底:一份完整的信息安全规划,技术只是其中一块。教材把它拆成了四大块——组织体系、管理体系、技术体系、运营体系。你只写技术那一块,等于一栋楼你只盖了承重墙,没有人来管、没有制度约束、没有日常运营,照样塌。
你回想一下前两讲那句话——"三分技术、七分管理"。这一讲,就是这句话最实在的落地。四大体系里,技术体系只是一块,剩下组织、管理、运营三块全是"管理"的活儿。这一讲,我就把这四大体系,加上最后那个把全章串起来的案例,用你身边的事儿,一块一块给你讲清楚。这一讲信息密度大、考点多——等保的等级和框架、身份认证、访问控制、最小特权、职责分离,全是选择题的常客。你跟着我的图走,咱们一块一块拿下。
二、这一节在教材里的位置
先让你心里有张地图,知道自己站在哪儿。
| 教材位置 | 官方小节 | 这一讲的大白话主题 |
|---|---|---|
| 9.3 | 信息安全规划的主要内容 | 规划到底要写哪几大块 |
| 9.3.1 | 关注利益相关方的安全诉求 | 安全成不成,先看人摆没摆平 |
| 9.3.2 | 信息安全组织体系规划 | 搭班子:谁来管安全 |
| 9.3.3 | 信息安全管理体系规划 | 立制度:ISMS 和等级保护两条路 |
| 9.3.4 | 信息安全技术体系规划 | 上装备:认证、访问控制、防火墙等七类技术 |
| 9.3.5 | 信息安全运营体系规划 | 跑日常:最小特权、职责分离、应急响应等 |
| 9.4 | 信息安全规划案例 | 四个真实案例 + 一套三步规划方法 |
第 9 章我给它定 A 档偏上,而 9.3 这一节,是整章里分量最重、考点最密的一节。前两讲是讲理念(9.1)、讲架构(9.2),都偏"务虚";这一节 9.3 是"务实"——告诉你一份安全规划具体要落到哪四大块上,每一块里又有一堆实打实的知识点。等保的五个等级、身份认证的种种方式、访问控制的四种机制、运营里的最小特权和职责分离,这些都是教材原文里写得明明白白、最适合出选择题的硬货。案例题也最爱让你拿这四大体系去给一家公司挑毛病。
我把话说在前头:这一节东西多,但结构很清楚——就是四大体系加一个案例。你别被量吓住,跟着我一块一块来,每一块我都给你拎出最该记的考点。
三、大白话逐节精讲
1. 信息安全规划主要写什么:四大体系总览(9.3)
教材在 9.3 开头先给信息安全规划做了个总定义:信息安全规划,是为了确保组织在信息安全方面的稳健性而进行的一系列活动;目标是识别、评估和管理信息安全风险,采取适当措施保护组织的资产和机密信息。它是一个系统性的过程,要从组织整体出发,综合考虑多个方面。
那"多个方面"具体是哪几方面?教材在 9.3 这一整节里,用五个小节告诉你答案。我先给你一张总图,你心里有了这个框,后面每一块往里填就行:
你看这五块,可以这么理解:先把人(利益相关方)摆平,再搭班子(组织体系),再立制度(管理体系),再上装备(技术体系),最后管日常运营(运营体系)。一条线下来,从人到组织到制度到技术到运营,一份完整的安全规划就齐了。下面我一块一块讲。
2. 第一块:关注利益相关方的安全诉求(9.3.1)
教材把"利益相关方"放在四大体系前面单独讲,是有用意的——它想告诉你:安全规划成不成,首先看你有没有把各方的人摆平。
教材先给"利益相关方"下定义:利益相关方,是对组织活动能够产生影响、受到影响,或感觉受到影响的任何个人、群体或组织。他们可能来自组织内部(不同部门、不同层级、不同业务对象),也可能来自组织外部(监管单位、客户方、用户、公众等)。他们可能主动参与信息安全建设,也可能被动地关注。
教材点了个特别真实的道理:所有利益相关方都有各自的视角,不同利益方之间可能有相互竞争的关系。它举了个例子,你一看就懂——对信息安全主管而言,他期望更多的安全投资;对股东而言,他更在意这些投入会不会产生效益;对普通员工而言,他只关心安全对自己有什么影响(会不会让我干活更麻烦)。
你看,同一件"加强安全"的事,三方的诉求完全不同甚至打架。安全主管想多花钱,股东想少花钱,员工怕添麻烦。教材说,利益相关方的管理对安全规划的成功至关重要,因为一件事的成功,是众多人的合力。
教材还讲了个更深的点:我们做规划时,甚至要考虑那些"隐性的、口是心非的"诉求。一件事的决策怎么做,可能取决于利益或决策者的直觉,但表现出来的却是听起来冠冕堂皇的理由——识别这些理由背后的真实逻辑,常常决定一个项目的成败。
这一小节没什么硬性名词要背,但它的思想很重要,案例题和论文都用得上:做安全规划,技术方案是死的,人是活的;摆不平各方诉求,再好的方案也推不动。
3. 第二块:组织体系规划——搭班子(9.3.2)
摆平了人,接下来要搭"管安全的班子",这就是组织体系规划。
教材先说为什么要搭这个班子:信息安全要在"保障组织利益"的基础上,实现有选择、有条件、有范围的共享。想解决"既要保护、又要共享"这个矛盾,就必须对组织框架做顶层设计,自上而下地建立起各级信息安全机构,形成信息安全组织体系,才能在组织里形成一种保护信息安全的"行政推力"。
教材有句话点得特别透,值得你记下来写论文:在任何管理实践中,技术都只能有限地提高战斗力,组织形式才是基础。同样的一群人,组织形式不同,绩效差异可能极大。 这又是"七分管理"的注脚。
那一个合理的组织框架,至少该包括哪几块?教材给了四个,这是考点,你记一下: