发现了一个很好的实践ISO/IEC 27001的模型,HACCP虽然是应用于食品安全管理,但对于目前的现状,ISO/IEC 27001虽然发展了20多年,但是相关好的实践模型几乎没有,HACCP未必不是一个很好的借鉴模型。
现在做信息安全的,对于ISO/IEC 27001几乎都能说上几句,但是对于ISO/IEC 27001具体如何实践,具体的落地实施,因为没有实践模型,所以很少有人说的清楚。曾经遇到一个在信息安全领域自称做了20几年的人,说做ISO/IEC 27001没啥了不起的,说他以前带着底下的兄弟,两周就搞定,能说出这样的话,虽然他在信息安全领域资历深,但是对于ISO/IEC 27001恐怕还是处在一个一无所知的状态。而遇到的另外一个人,是一家互联网企业的安全合规负责人,他谈了他的一些想法,他说也是今天互联网企业对于信息安全的通用做法,普遍是重技术,管理比如ISO/IEC 27001随意弄一下的。
HACCP是从企业产品和服务作为切入点的一个模型,所以能更好地与企业的业务过程高度结合,而今天中国的信息安全在实施的时候,几乎抛开了ISO/IEC 27001,抛开了企业的产品和服务,选择了人和资产作为切入点,严重脱离了公司的实际业务过程,所以就导致现在各大厂商做出来的安全产品虽多,但适合企业的却很少,说白了都是一些拍脑袋做出来的安全产品,所以就出现不少一开始很多企业满怀激情的,花了大价钱上的一些安全产品,最终也只能弃用,因为企业发现最后,这些安全产品严重影响企业的业务。
现在各个大厂商寄以厚望的“零信任”,也犯了同样的错误,方向也同样错了。当然ISO/IEC 27001标准在制定的时候,也存在一些不足,像ISO 22000《食品安全管理体系——食品链中各类组织的要求》就把HACCP模型的要求添加进去了,作为食品安全管理体系的要求,而ISO/IEC 27001正文部分并未提供任何实践模型,甚至很多要求本来应该放到正文,却放到了附录A。