《信息安全策略编制指南》序言 (论文)

资源描述

《《信息安全策略编制指南》序言 (论文)》由会员分享，可在线阅读，更多相关《《信息安全策略编制指南》序言 (论文)（2页珍藏版）》请在金锄头文库上搜索。

1、56 信息安全与通信保密 2 0 1 4 0 2 专家热谈 E x p e r t s F o r u m 编者按：由江南天安公司出品的信息安全策略编制指南近期正式与读者见面，该书的出版发行，为业界带去大量国外信息安全战略策略指引，对我国信息安全保障体系的建设有很现实的指导意义。中国信息安全测评认证中心主任吴世忠为该书作序，序中对该书出版发行的历程、意义作了详细描述，将书中要点进行了再现，为了让读者能够对该书有个提纲挈领地的认知和总体上的了解，本期杂志特将此序全文摘录，以飨读者。信息安全策略编制指南序言认识小四同志多年，一直被他及他

2、所带领的团队在信息安全领域矢志不渝的追求所感动。有感于我国在信息安全策略方面的知识缺失和意识不强，他们在五年前就着手翻译、推介国外的著作和实践，今年，终于将 C h a r l e s C r e s s o n Wo o d 主编的信息安全策略编制指南 ( I n f o r ma t i o n S e c u r i t y P o l i c i e s Ma d e E a s y ，V e r s i o n 1 2 ) 独家引进。付梓之际，嘱我写个序言。我无法推辞，因为知识引进和文化交流是一项公益事业，企业慷慨以往，理当

3、助一臂之力，更何况我深感在信息安全形势日趋严峻、风险管理力度亟待加强的当下，推介和促进安全策略方面的工作，对我国的信息安全保障体系建设，具有特别重要的意义。首先，政策和策略对信息安全而言十分重要。在网络无处不在、信息不可或缺的现代，信息安全备受关注。经过十多年的快速发展，我国信息安全工作的理论和实践均取得了长足进步，但信息安全的现实问题和潜在风险仍与 E l 俱增。只要将国内外的信息安全工作略作比较，就不难发现，我们在信息安全战略、理念、理论、技术以及产品研发、市场服务等方面，无论是引进消化

4、，还是自主创新，甚至综合集成，均有不俗的表现，与西方的差距越来越小，唯有在信息安全工作实务上，与国外的差距较大。从政府部门、大型企业到社会团体和个人用户，我们在具体的信息安全保障机制和管理办法、技术措施上，仍然缺乏有效的抓手，也鲜见可资借鉴的 “ 最佳实践”f B e s t P r a c t i c e ) ，致使国家的相关法规 I 要求、技术标准、行业规范和工作指引，往往难以落到实处、取得实效。究其原因，安全策略的缺失乃是最大的症

5、结所在。亦即对信息安全保【障工作的具体化、部 I 门化、个性化的机制性、战术性、可操作的办法不多。在西方的语境中，将这类工作称为安全策略 f S e c u r i t y P o l i c i e s ) ，即根据国家的相关政策法规，依据行业规范和技术标准，针对本单位的特定安全目标和要求，研究制定具体的安全要求、职责分工及工作举措。不用讳言，这正是我国信息安全保障工作中亟待强化的一块短板，也是决定我们的信息安全工作是否务实、能否落实的重要环节。其次，信息安全策略编制指南一

6、书知识面广，适用性强。要将信息安全的国家法规、行业规范、技术标准等等内容转化落实成机构内部可操作的工作要求，本身是一件十分复杂的事。本书基于作者几十年的从业经验和大量经典案例，归纳总结出一系列概括性、普适性的模板和范本。书名以 M a d e E a s y为亮点，就是言 “ 化繁为简” 之意。我看本书特点：一是覆盖面广。以 1 7 5 0 余条实用的安全策略、近 4 0个安全目标、1 3 0余项安全措施，涵盖了组织落实、资产管理、人员管理、物理环境安全、通信与运行安全、访

7、问控制、开发维护、应急响应、业务连续性和合法合规等 1 0多个方面，覆盖了信信息安全与通信保密 c i s ma g n e t 5 7 息安全工作的各个环节。二是实用性强。书中提供了4 0 多个在大量实践基础上提炼而成的策略范本，涉及邮件安全、网络安全、边界防护、数据保密、互联网使用、网络计算等等，几乎是每一个单位都必不可少的安全工作。这些范本内容具体，针对性强，拿来即用，十分方便，可为广大读者和用户节省大量的人力和物力开销。三是与时俱进。本版书籍新增了 1 0 0多个新的策略模板，以适应信息安全的新发展

8、和新挑战，如移动计算、软件保障、供应链安全、信息销毁、社交网络、业务外包、网络间谍等，与网络技术的发展和安全威胁的升级如此贴近，十分难能可贵。四是政策性强。本大全所列安全策略全面系统地反映了美国乃至西方发达国家对信息安全的相关政策与技术标准。如美国联邦信息安全管理法案 f F I S MA N I S T S P 8 0 0 5 3 ) 、卫生行业的健康保险方便性和责任法案 ( H I P A A ) 、支付卡行业数据安全标准 ( P C I D S S ) 、证券行业萨班斯法案 ( S a r b a n e s O x

9、 l e y ) 、银行业巴塞尔协议 ( B a s e I I ) 、金融业服务现代化法案 ( G L B A ) 、能源行业关键基础设施保护要求 ( N E R C F E R C C I P ) ，以及国际标准 I SO 2 7 001 2 7 00 2、 1 33 3 5、 1 5 4 08、 1 8 33 6、 2 0 0 00 等的符合性和具体落实。五是参考源多。本书中的每个策略方案均包括具体内容和相关解释，并辅以与其它策略的交叉参照 ( C r o s s R e f e r e n c e ) 和对用户类别及安全环境的具体指南。特别

10、值得一提的是，本书多达 1 0 多个 f 从 A到 L ) 内容丰富的附录，包括 2 5种与安全策略制定高度相关的专业文献、近 5 0种专业期刊、4 0多个专业协会的信息、1 0 0多条增强信息安全意识的建议和多种简洁实用的检查表和备忘录等，贴近实战，相当实用。再者，信息安全策略编制指南堪称真正意义上的经典。由于信息安全炙手可热，国外各类相关书籍汗牛充栋，在技术发展 13新月异、科研创新层出不穷的当下，能成为经典的著述并不多见。就本人并不全面的阅读经

11、历和工作了解，在信息安全领域、历经 l 0年以上、能够一版再版、不断与时俱进、保持经久不衰的著作，我遇到过三本。一本是 B r u c e S c h n e i e r 所著应用密码学 ( A p p l i e d C r y p t o g r a p h y ) ，我有幸与几位同行将其翻译成中文，据报至今仍是信息安全领域的畅销书。另一本是 R o s s A n d e r s o n 所著安全工程：构建可靠的分布式系统指南 ( S e c u

12、r i t y Eng i n e e r i ng： A Gu i d e t o Bu i l di n g De pe nd a bl e D i s t r i b u t e d S y s t e m s ) ，该书一直被全球信息安全界奉若神明，自然也是我们置于案头、时时参阅的重要工具书。第三本便是由 C h a r l e s C r e s s o n Wo o d 先生主编的信息安全策略编制指南，至今已出第 1 2 版，被业界誉为信息安全策略的 “ 金科玉律 ” ，我也有幸从第 5版开始就阅读这部鸿篇巨著

13、，并切身体会到本书所以被全球 9 0 0 0多个单位采用、影响全球 7 0多个国家的道理。所以我也相信，本书中文版的面市，必将为提高该书的影响力和应用面作出重要而又重大的贡献。此外，我还想说的是，译书本是一件吃力不讨好的事，在互联网迅速普及、国内外交流顺畅的今天，翻译专业性、政策性极强的信息安全专著，没有勇气和胆量是不行的。因为众多的新概念、新技术、不同的文化背景和专业习惯，甚至不同的政治体制和意识形态，都可能构成文字翻译上的巨大挑战。好在译书本身是为了公益，相信业内专家同仁

14、和广大读者受众，对本书翻译中的不尽如意和不尽达意之处，会以理解、支持和宽容的情怀对之。再次感谢小四同志及其团队为我们的信息安全工作所作的无私奉献。同时也要感谢他们为我提供了重读信息安全策略编制指南的机会和动力。也正因为如此，我才得以有感而发，写下这些文字，权充为序。一吴世忠 2 0 1 3年深秋于京西作者简介：吴世忠，博士、研究员，中国信息安全产品测评认证中心主任。现为全国信息安全标准化技术委员会副主任、国家网络与信息安全协调小组成员，中国信息产业商会信息安全产业分会理事长。

展开阅读全文