《《信息安全策略编制指南》序言》由会员分享,可在线阅读,更多相关《《信息安全策略编制指南》序言(2页珍藏版)》请在金锄头文库上搜索。
1、56信息安全与通信保密2014 02 专家热谈ExpertsForum 编者按:由江南天安公司出品的信息安全策略编制指南近期正式与读者见面,该书的出版发行,为业界带 去大量国外信息安全战略策略指引,对我国信息安全保障体系的建设有很现实的指导意义。中国信息安全测评认证 中心主任吴世忠为该书作序,序中对该书出版发行的历程、意义作了详细描述,将书中要点进行了再现,为了让读 者能够对该书有个提纲挈领地的认知和总体上的了解,本期杂志特将此序全文摘录,以飨读者。 信息安全策略编制指南序言 认识小四同志多年,一直被他 及他所带领的团队在信息安全领域 矢志不渝的追求所感动。有感于我 国在信息安全策略方面的知识
2、缺失 和意识不强,他们在五年前就着手 翻译、推介国外的著作和实践,今 年,终于将Charles Cresson Wood 主编的信息安全策略编制指南 (Information Security Policies Made Easy,Version 12)独家引进。付梓 之际,嘱我写个序言。我无法推辞, 因为知识引进和文化交流是一项公 益事业,企业慷慨以往,理当助一 臂之力,更何况我深感在信息安全 形势日趋严峻、风险管理力度亟待 加强的当下,推介和促进安全策略 方面的工作,对我国的信息安全保 障体系建设,具有特别重要的意义。 首先,政策和策略对信息安全 而言十分重要。在网络无处不在、 信息不可或
3、缺的现代,信息安全备 受关注。经过十多年的快速发展, 我国信息安全工作的理论和实践均 取得了长足进步,但信息安全的现 实问题和潜在风险仍与El俱增。只 要将国内外的信息安全工作略作比 较,就不难发现,我们在信息安全 战略、理念、理论、技术以及产品 研发、市场服务等方面,无论是引 进消化,还是自主创新,甚至综合 集成,均有不俗的表现,与西方的 差距越来越小,唯有在信息安全 工作实务上,与国外的差距较大。 从政府部门、大型企业到社会团体 和个人用户,我们在具体的信息安 全保障机制和管理办法、技术措施 上,仍然缺乏有效的抓手,也鲜 见可资借鉴的“最佳实践”fBest Practice),致使国家的相
4、关法规 I 要求、技术标准、行业规范 和工作指引,往往难以落 到实处、取得实效。究 其原因,安全策略的缺 失乃是最大的症结所 在。亦即对信息安全保 【 障工作的具体化、部 I 门化、个性化的机制 性、战术性、可操作的办法不多。 在西方的语境中,将这类工作称为 安全策略fSecurity Policies),即根 据国家的相关政策法规,依据行业 规范和技术标准,针对本单位的特 定安全目标和要求,研究制定具体 的安全要求、职责分工及工作举措。 不用讳言,这正是我国信息安全保 障工作中亟待强化的一块短板,也 是决定我们的信息安全工作是否务 实、能否落实的重要环节。 其次,信息安全策略编制 指南一书知
5、识面广,适用性强。 要将信息安全的国家法规、行业规 范、技术标准等等内容转化落实成 机构内部可操作的工作要求,本身 是一件十分复杂的事。本书基于作 者几十年的从业经验和大量经典案 例,归纳总结出一系列概括性、普 适性的模板和范本。书名以Made Easy为亮点,就是言“化繁为简” 之意。我看本书特点:一是覆盖 面广。以1750余条实用的安全策 略、近40个安全目标、130余项 安全措施,涵盖了组织落实、资产 管理、人员管理、物理环境安全、 通信与运行安全、访问控制、开发 维护、应急响应、业务连续性和合 法合规等10多个方面,覆盖了信 信息安全与通信保密cismagnet 57 息安全工作的各个
6、环节。二是实用性强。书中提供 了40多个在大量实践基础上提炼而成的策略范本, 涉及邮件安全、网络安全、边界防护、数据保密、 互联网使用、网络计算等等,几乎是每一个单位都 必不可少的安全工作。这些范本内容具体,针对性 强,拿来即用,十分方便,可为广大读者和用户节 省大量的人力和物力开销。三是与时俱进。本版书 籍新增了100多个新的策略模板,以适应信息安全 的新发展和新挑战,如移动计算、软件保障、供应 链安全、信息销毁、社交网络、业务外包、网络间 谍等,与网络技术的发展和安全威胁的升级如此贴 近,十分难能可贵。四是政策性强。本大全所列安 全策略全面系统地反映了美国乃至西方发达国家对 信息安全的相关
7、政策与技术标准。如美国联邦信息 安全管理法案fFISMANISTSP 80053)、卫生行 业的健康保险方便性和责任法案(HIPAA)、支付卡 行业数据安全标准(PCIDSS)、证券行业萨班斯法 案(SarbanesOxley)、银行业巴塞尔协议(Base II)、 金融业服务现代化法案(GLBA)、能源行业关键基 础设施保护要求(NERCFERCCIP),以及国际标准 ISO 2700127002、13335、15408、18336、20000 等的符合性和具体落实。五是参考源多。本书中的 每个策略方案均包括具体内容和相关解释,并辅以 与其它策略的交叉参照(Cross Reference)和
8、对用户 类别及安全环境的具体指南。特别值得一提的是, 本书多达10多个f从A到L)内容丰富的附录,包 括25种与安全策略制定高度相关的专业文献、近 50种专业期刊、40多个专业协会的信息、100多 条增强信息安全意识的建议和多种简洁实用的检查 表和备忘录等,贴近实战,相当实用。 再者,信息安全策略编制指南堪称真正 意义上的经典。由于信息安全炙手可热,国外各 类相关书籍汗牛充栋,在技术发展13新月异、科 研创新层出不穷的当下,能成为经典的著述并不 多见。就本人并不全面的阅读经历和工作了解, 在信息安全领域、历经l0年以上、能够一版再 版、不断与时俱进、保持经久不衰的著作,我 遇到过三本。一本是B
9、ruce Schneier所著应用 密码学(Applied Cryptography),我有幸与几位 同行将其翻译成中文,据报至今仍是信息安全领 域的畅销书。另一本是Ross Anderson所著安 全工程:构建可靠的分布式系统指南(Security Engineering:A Guide to Building Dependable Distributed Systems),该书一直被全球信息安全界 奉若神明,自然也是我们置于案头、时时参阅的 重要工具书。第三本便是由Charles Cresson Wood 先生主编的信息安全策略编制指南,至今已 出第12版,被业界誉为信息安全策略的“金科玉
10、 律”,我也有幸从第5版开始就阅读这部鸿篇巨 著,并切身体会到本书所以被全球9000多个单位 采用、影响全球70多个国家的道理。所以我也相 信,本书中文版的面市,必将为提高该书的影响 力和应用面作出重要而又重大的贡献。 此外,我还想说的是,译书本是一件吃力不讨 好的事,在互联网迅速普及、国内外交流顺畅的今 天,翻译专业性、政策性极强的信息安全专著,没 有勇气和胆量是不行的。因为众多的新概念、新技 术、不同的文化背景和专业习惯,甚至不同的政治 体制和意识形态,都可能构成文字翻译上的巨大挑 战。好在译书本身是为了公益,相信业内专家同仁 和广大读者受众,对本书翻译中的不尽如意和不尽 达意之处,会以理解、支持和宽容的情怀对之。 再次感谢小四同志及其团队为我们的信息安全 工作所作的无私奉献。同时也要感谢他们为我提供 了重读信息安全策略编制指南的机会和动力。 也正因为如此,我才得以有感而发,写下这些文字, 权充为序。一 吴世忠 2013年深秋于京西 作者简介:吴世忠,博士、研究员,中国信 息安全产品测评认证中心主任。现为全国信息安 全标准化技术委员会副主任、国家网络与信息安 全协调小组成员,中国信息产业商会信息安全产 业分会理事长。
