最后一个就是审核方,审核方对大企业是不陌生的,有的企业一年要面临4-5轮的审核,这些审核来自于行业监管部门、国家级部门,或者来自于认证方,我通过了一些证书的认证,然后定期进行审核,各种审核实际上对
信息安全是有持续保证的一种方式,是非常必须的,审核方他往往会贴近一些国际的观点,非常独立、公正,当然这种方式也有它自身的缺点,就是审核方对客户的理解往往比较局限,有时他的引导会造成客户一定资源上的浪费。
所以业内的各种形式都有自己优点和缺点,但就目前客户的具体需求是什么样子的呢?我发现现在用户已经从单一产品建设逐渐向整体的偏重于管理建设方向转移,但是管理建设只是以ISO27001为代表还不足够。现在我们在实现客户需求的时候,必须要了解这个产品的点在哪里,然后厂商会在每个技术点上向用户阐述自己的特点。最后还需要把这个咨询建设出来的结果拿出来去通过审核方。所以用户会碰到很多情况,所以他希望你提供给他成熟、有序的
信息安全产业服务给他。
安全的发展,从2000年如果开始计算,到今年已经是第九个年头了,我们这个会已经跟着一块办第九年了,明年应该是第十年,我觉得十年对一个产业来说也是一个值得总结和回顾的时间,我希望明年这个时候再有幸对
信息安全产业进行反思和回顾,谢谢大家。
主持人:下面有5分钟的提问和回答时间,哪位有问题可以举手。
提问:您好,我来自北京邮电大学,对于大学有很多安全问题其实都是类似的,您说的产业链里面涉及到客户、咨询、集成、审计,我理解这里面最困难的一个问题,比如说我是客户的话,我对我的安全需求说不出来,如果你是咨询公司,我咨询你的时候可能提供不了这些问题,比如说我这个安全共享中心什么东西很重要,但是至于这个需求是什么我不知道,就像很多时候对于客户来说他自己的需求是描述不出来的,您是来自咨询公司的,那么您在这方面有什么专业的指导?
王怀宾:谢谢你的提问,针对这个问题我想作为一个咨询面对客户需求不明朗的时候,往往他会有以下几种办法。
首先是经验,应该说某一类型的客户基本问题是相一致的,常说的2:8原理主要原理大概应该是集中在那个方向上,我可以在这个方向上进行引导,看是不是符合他的需求。
第二,我们的一些经验有的是积淀下来的,有的是拿来的,我们从哪里拿来这些经验,我们可以从一些成功的经验上得出一些。
第三种就是要进行客户访谈工作,因为客户可能所在的部门,领导可能只是一个宏观的要求,每一个部门都有自己的事业和视角,但是问题往往发生在每个部门视野看不到的地方,你需要穿插对每个部门访谈之后,特别关注他们核心点的地方,往往会发现很多安全隐患。
这就是咨询的价值。
主持人:谢谢王总。
提问:27001和29999和ITIL三者有什么关系?客户应该如何平衡这三者之间的关系?
王怀宾:这个问题是一个非常好的问题。应该说27001在CM(音)里面的要求提出了一些常规性控制的点,就是说它是框架性一般性控制的点,而在ISO20000和ITIL侧重的只是IT这条线的应急响应计划和IT这条线如何在重大灾难发生的时候保证业务连续性。而29999是从企业的整体业务角度上来想问题。这是三者之间的区别。
如果企业考虑在建设过程中,我的建设方案和前面的路线图是一致的,可以先从27001着手,第一个部门可能是在IT部门,IT部门结合ITIL相关形成细化的IT应急预案等一些东西,随着整个企业认识的提高到一定程度之后,业务部门发起要求,由领导牵头发出整个企业的BCI25999的建设。
【责任编辑:
董晶晶 TEL:(010)68479336-8033】
|
服 务 CIO 推 进 信 息 化 
