|
CISP 考了、CISSP 也考了,干安全也快十年了。关于安全管理、合规、制度建设这套东西,总是不明白,到底啥叫搞得好?花钱过等保就算好了?
一会数据安全、一会分类分级、一会又是 DevSecOps 、再然后 AI 安全、智能化安全运维,给客户的感觉你们就是变着法从我口袋里骗钱,不停的创造需求啊。
每年上级单位出个安全的检查考核办法,好几年承担文件分解、落实、检查和汇总上报,大家全都照着这个来,买工具、买服务,年底大家开开心心一起演一遍测试流程就算交代了。
真他妈的无聊啊。
美帝也这么干么?正好今年有个项目需要了解 NIST 的韧性安全的标准,就系统去看了下相关的框架之间的配合关系。看了人家的 NIST CSF 2.0 ,看人家的设计思路,为啥要出框架,该怎么用,风险、控制、业务流程怎么衔接,和 ISO 27001 的关联关系、和弹性韧性的关系。也看到 RSA 会议上,老外对安全框架的认识,从控制、流程、风险三个层次,感觉清清爽爽、明明白白。CSF 是为了帮企业练内功的,不是为了考核、卖设备和赚钱的,和 ISO 27001 不一样,老美他妈的是闲钱多,有空哦。看到有个大公司的工程师说,他们内部汇报给董事会是按照 CSF 的条目汇报能力建设,然后对外是根据 27001 和合规框架来填个表罢了,CSF 才是重点。
咱们这就是等保、密评、行业检查,花钱买设备完事,到时候拔网线应付检查,差的真不是一星半点,这就是真相么?
| 
