分类
技術分析 是什麼

如何评价一个投资系统或策略的好与坏?

打开微信,扫一扫登录

如何评价一个投资系统或策略的好与坏?

打开微信,扫一扫登录

© 2019 福州星瑞合网络科技有限公司 | 闽ICP证:闽B2-20190794
闽ICP备19006405号-1 | 闽公网安备 35010302000482号

中国对全球人权的威胁

Protesters in Hong Kong, July 5, 2019.

香港国泰航空公司威胁要解雇支持或参与2019年香港民主抗争的员工。大众汽车首席执行官迪斯(Herbert Diess)告诉英国广播公司,他“不知道”新疆有成千上万穆斯林被拘押的报道,尽管大众汽车早在2012年就在新疆建厂。万豪酒店开除一名社交媒体账号管理员,因为他在推特上对一则称赞该公司将西藏视为国家的推文点赞,该公司并保证“不再发生这种错误。” 会计巨头普华永道否认香港报纸刊出的支持民主抗争声明代表该公司立场,据说该声明是由四大会计事务所的员工集资买下版面。好莱坞电影为避免中国敏感内容而自我审查的例子日益常见,例如1986年《壮志凌云》(台译《捍卫战士》)的最新续集中,台湾国旗从汤姆・克鲁斯(Tom Cruise)的飞行员夹克上消失。

如何评价一个企业的信息安全做的好不好?

我倾向用一个指标体系来评价企业信息安全工作的好坏,而不是 1 、 2 个指标。之所以说体系,是因为企业信息安全的好坏需要从多个维度来综合评判;而用一个指标体系可以让评价过程和评价结果相对全面、客观、量化、容易被读懂。通过这个评价体系持续监测、评估企业的信息安全状况 3-5 年,从其变化趋势也可以评判企业信息安全工作的好坏。而 KPI 通常用 3-4 个指标来评价当期信息安全工作的绩效,在全面性和持久性上是有显著差别的,两者的目的和关注点是不一样的。

其次,任何评价体系都应该是一个效果为主的评价体系,当然其中可以增补一些动作性、过程性的指标。这一点,评价体系和 KPI 是相似的。

第三,评价体系通常用于反映企业的信息安全状态,但这个状态一般不会用于 CSO 的当期绩效考核、进而影响 CSO 和信息安全团队当期的收入和待遇。 KPI 则完全不一样。因此,我也不赞成用评价体系来代替 KPI 、代替绩效评价。

当然,从“威胁者”的角度来看,可能往往就看 1-2 个指标就可以了。比如:过往发生的信息安全事件数量是否多、危害是否大?这家企业历史上暴露的信息安全漏洞是否多、等级是否高?过往是否有成功打击泄密者、窃取者、攻击者的案例,是否足够有威慑力?这家企业的信息在黑市上的售卖价格是高还是低?作为 CSO 要应对的威胁和对手,这类指标往往效果更加显著,因此应该作为评价体系的组成部分。当然,有时候如果老板实在不懂安全、但他又想来评价信息安全工作,用这几个指标也往往能镇得住老板。

3. 常见的评价方法

“分类量化”的评价方法,一般以 ISO27001 、 COBIT 的控制点为基础演化而来,对这些控制点先融合再分类。记住,这里面请把“威胁者”关注的指标加进去。

如何评价一个投资系统或策略的好与坏?

以上分类方式,我个人更喜欢 IBM 的“ PPT ”方法,也就是 Process (流程)、 Person (人)、 Tech (技术),但我对之做了一些改进、称为 Process (业务和流程)、 Person (人)、 Tech (IT技术与物理安全)。需要特别说明的是 Process 为什么是“业务和流程”:“流程”强调的是“在流程中应该有信息安全的控制点,有了控制点、信息安全措施的有效性才能得到保证”,“业务”强调的是“信息安全应该关注高价值和高风险业务、不用面面俱到”。

下面这张图是我自己总结的信息安全管理成熟度。据说 Gartner 的 ITScore 将成熟度分为: 1 -意识; 2 -被动; 3 -主动; 4 -符合服务; 5 -符合业务,似乎有异曲同工之妙;但我对此认知较浅,就不多说了。有兴趣的读者可以从 https://www.gartner.com/technology/research/methodologies/it-score.jsp 进入,做进一步研究。

这当中有 2 个细节没有展现出来。 第一就是每个分类里面更加细化、量化的打分规则到底是什么。因为我还没有足够的精力把这部分整理出来;即便整理出来了,这个打分规则也依然是个参考,因为不同行业的差异性、不同企业对于信息安全认知的差异性,都会显著影响评价标准、打分规则的变化。比如科技研发型企业对于保密性更加关注,金融企业对于保密性和可用性更加关注,生产制造型企业对于可用性、完整性更加关注,互联网企业对于保密性、可用性和完整性都关注。

第二就是每个公司在信息安全上的投入,往往是一个极其重要的衡量因素;当然这个因素到底属于哪一类就是仁者见仁智者见智了。再细分下去,投入分为几块( 1 )老板或信息安全管理的最高层在信息安全工作上的时间、精力的投入多少;( 2 )每年在信息安全建设、改造上的资金投入,在企业当年总投入的占比;( 3 )信息安全团队人员的数量、级别和拥有资质,以及在公司总人数的占比;

实施这种评价标准的直接作用就是找差距。实施上的难点在于( 1 )得先找到一个行业标杆企业;( 2 )实施评价的时候,对标杆企业的做法必须有足够的了解、掌握充分的信息。所以实施这种评价标准的时候往往依赖咨询公司。

对于企业来说,通过外部机构的认可、认证也是一种评价标准。常理来说,得到一些权威机构的认可、认证,至少可以证明其在某些方面达到了较好的水平。当然,我们也不能由此推断,通过认证的企业一定比未通过认证的企业做得好;尤其是在国内,有的时候确实存在给钱就能过的现象,这些认证机构拿自己的权威和声誉开玩笑。因此,如果要看证书,一般以 BSI 、 DNV 、 SGI 或中国信息安全认证中心出具的还算权威的。

A、 ISO27001 : 2013

相信对于了解信息安全的人来说,一定对这个标准不陌生,就我认为这是目前安全界里最权威、最具代表和最完善的信息安全管理标准(注意,是管理标准),通过 14 个安全控制域和 如何评价一个投资系统或策略的好与坏? 114 项安全控制措施,全面覆盖企业信息安全管理的各个方面。 ISO27001 是一个基础的信息安全管理标准,他可以帮助一家没有任何信息安全管理能力的企业,可以通过实施 ISO27001 快速帮助企业搭建一套信息安全管理框架;也可以帮助一家实施安全已经很长的企业,去思考在安全领域哪些是短板,哪些是空白,需要在哪些领域继续深化才能更全面覆盖安全。所以我个人认为,一个优秀的 CSO 你可以不懂安全攻防技术,但是你绝对不能不了解 ISO27001 ,因为没有视野的人是无法当一个称职的 CSO 。

不过遗憾的是,我认为 ISO27001:2013 在“业务安全”方面还描述的不够,对于企业的信息安全应该如何给业务赋能、理解业务乃至服务业务方面,还是有显著短板的。很期待后续的版本中能够补足。

SDL 即 如何评价一个投资系统或策略的好与坏? Security Development Lifecycle (SDL) ,是微软从安全的角度提出的指导软件开发过程的管理模式, SDL 的核心理念就是将软件安全的考虑集成在软件开发的每一个阶段需求分析、设计、编码、测试和维护;由于 SDL 实施起来成本很高,因此仅限有能力的甲方安全团队借鉴。

随着云计算服务的高速发展,云安全也成为云服务提供商和云服务客户最关注的的问题; CSA STAR 是一项全新而有针对性的国际专业认证项目,由全球标准奠基者——英国标准协会( BSI )和国际云安全权威组织云安全联盟( CSA )联合推出,旨在应对与云安全相关的特定问题。 CSA-STAR 是以 ISO/IEC 27001 认证为基础,结合云端安全控制矩阵 CCM 的要求,运用 BSI 提供的成熟度模型和评估方法,为提供和使用云计算的任何组织,从沟通和利益相关者的参与;策略、计划、流程和系统性方法;技术和能力;所有权、领导力和管理;监督和测量等 5 个维度,综合评估组织云端安全管理和技术能力。 ISO22301

一个企业的信息安全做得好不能仅仅从保密性来衡量,所以在这里引入了业务连续性的管理体系,对于现在的企业,不论你是制造业、互联网或者是金融业,都无法容忍灾难带来的业务中断,这里提出的 ISO22301 就是通过一套系统化的管理流程,帮助企业对潜在灾难事件进行分析,帮助企业提前确定可能发生的灾难,并做好应急准备,以阻止或减少这些灾难带给企业的损失。