敏捷信息安全过程——启明星辰首席战略官潘柱廷谈敏捷信息安全-网管员世界
发布时间:2007-12-17   作者:网管员世界

 

敏捷,辞典里解释为快速、灵活,即能够对外界变化迅速做出反应;敏捷制造,美国Agility Forum将其定义为能在不可预测的持续变化的竞争环境中使企业繁荣和成长,并具有面对由顾客需求的产品和服务驱动的市场做出迅速响应的能力。而敏捷信息安全过程又是一个什么概念呢?仅仅是一个理念,抑或是信息安全产业未来的发展方向?为此记者采访了其创建者启明星辰首席战略官潘柱廷先生的讲解。
何谓敏捷信息安全过程

 

信息安全环境的不可预测和企业内外部攻击的不断更新升级对信息安全产品提出了更高的要求,企业需要在变幻莫测、波诡云谲的信息安全环境中安身立命,建立快速响应需求、积极应对攻击和威胁的安全体系,因此,以敏捷信息安全过程为代表的适应性理念就浮出水面了。

 

敏捷信息安全过程具备以下几个特征:

 

1.承认变更——敏捷信息安全过程的最显著特征是欢迎变更并主动接受和适应变更,唯有如此,信息安全体系和产品才能积极应对纷繁复杂的网络环境和客户的需求变化。

 

2.以客户需求为导向——由于面临越来越复杂的信息安全环境,对需求变更的控制显得尤为重要,敏捷信息安全过程在承认变更的基础上能够有效管理需求变更。

 

3.以迭代为表象——用“自管理”来简化命令-控制链,减少计划时间,进行短周期的迭代。

 

4.以配置管理为核心能力——敏捷信息安全过程最核心的能力是配置管理,通过把网络和信息系统、威胁和保障措施等安全资源及时有效地进行版本更新和动态管理,可以有效地将安全风险降至最低。

 

5.清晰的描述——不沉迷于周期性的检查和报告。

 

总结:敏捷信息安全过程就是将任务拆分来迭代执行,从而实现动态安全、完善的风险管理、过程管理和配置管理的一个信息安全体系的实现过程。它具备内敛的、内聚的、变化不大的框架并且承认内外环境的复杂性和易变性,能够以更低的风险保障项目运行的成功率。
敏捷信息安全过程的价值

 

在与大客户接触的过程中,启明星辰发现需求变化非常大非常多,用户面对的是复杂、动态、模糊的信息环境,因此需要一个能够灵活改写进程并且具有迭代生命周期,能够敏捷反应不断变化的需要的过程。敏捷信息安全过程将成为积极应对变化的一个解决方案,其价值体现在以下几点:

1.小周期迭代

 

2.降低风险

 

3.控制变更

 

敏捷并不是逃避变更,而是在变的过程中找到不变和共性的东西。当运用到信息安全当中时,就是持经求变,而经就是事物内部发展的规律,计划、实施最终得到结果的过程,在每个小迭代周期当中都应该有计划,风险管理、威胁中的一些规律也是不变的。控制变更、自管理,减少计划周期,这些都是由敏捷展开的一系列方法。

 

具备以上了价值,敏捷信息安全过程将能够在信息安全产业掀起一股主动应对变更、积极响应需求的热潮,这样信息安全产品才能够以不变的精神始终立于信息安全所处的风口浪尖上。

 

敏捷、迭代和适应性的思路,不仅仅可以用在软件开发的过程中,还可以用在部门管理、信息安全体系建设等较复杂的管理工作上。这个貌似新鲜却又显而易见的方法为信息安全的实践者提供了一个很好的思路。潘柱廷先生表示,这个方法由启明星辰提出是非常自然的,因为长期以来启明星辰一直在关注信息安全体系的建设如何能够更好地服务于用户;启明星辰也非常注重学习、交流和共享,期望这个思路和方法能够在信息安全行业里得到很好地利用和体现。

文章来源:网管员世界
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号