写在前面
早年刚参加信息安全工作更多的学点皮毛技术,到处找安全工具,跟踪poc,拿到一个就全网扫一遍,从来没有想过,系统化的安全工作应该怎样搞?我做的工作在安全体系中处于哪个阶段?
后来有机会做企业安全建设,才发现整体的安全观,安全体系建设知识针对是少之又少,总在头疼医头,脚痛医脚,没有办法帮助服务的公司,做整体的、全面的提升。
最近因为杨过,才来思考怎样帮助我们公司全面提升安全防御能力,查找了大量的信息安全资料,发现非常不系统,没有全面的介绍材料,最后请教朋友,给我发了一份材料 信息安全国家标准列表思维导图
如下图所示
我觉得这是我正在寻找的,是每个信息安全从业人员都应该看看的,这是一份被我们忽略的宝藏。
我写一下我的读后感,主要从信息安全国家标准非常重要、我们国家都有哪些信息安全标准、哪里可以订阅到信息安全国家标准
国家标准介绍
中华人民共和国国家标准,简称国家标准,是包括语编码系统的国家标准码,由在国际标准化组织(ISO)和国际电工委员会(或称国际电工协会,IEC)代表中华人民共和国的会员机构:国家标准化管理委员会发布。在1994年及之前发布的标准,以2位数字代表年份。由1995年开始发布的标准,标准编号后的年份,才改以4个数字代表。
国家标准化管理委员会发布 是咱们国家的标准管理机构,其下设置了很多技术委员会,每个行业基本上都有专门的技术委员会负责本行业标准的编写。
咱们国家的信息安全行业是由国家标准化管理委员会筹建的全国信息安全标准化技术委员会编号TC260 负责编写。
信息安全标准重要性
标准是一个行业的统一规范,是实践参考标准。同样,信息安全标准是信息安全专家智慧的结晶,是安全最佳实践的概括总结,是非常好的入门/参考手册,是信息安全建设的理论基础和行动指南。
统一管理机构
咱们国家是由全国信息安全标准化技术委员会编号TC260 ,这个机构由包括秘书长和联系人在内的100位信息安全行业专家组成(队伍非常的大),大部分专家都是各方向的领军人物。
行业专家编写
标准的编写除TC260委员专家外,每个标准还会公开邀请相关行业专家参与编写,大部分都是各大安全公司的专家,基本都是业内人士。
内容实际可用
行业专家编写的标准,编写组委会都是经过多次修改,最终形成征求意见稿,然后面向社会发布征求意见稿,积极听取任何人对新标准的建议,然后进行修改,最终形成终稿,送审。
我们国家都有哪些信息安全标准
那么我们国家都有哪些信息安全标准,从信息安全国家标准列表思维导图上看,咱们国家每个安全方向都有相关的国家标准,主要包括 术语/导则 、关键信息基础设施、等级保护、风险评估、应急响应、业务连续性 灾难恢复、系统安全工程、电子政务、风险管理、信息安全管理体系、安全保障评估、应用系统安全、数据中心、可信计算、IT服务 安全服务 运维、信息技术安全性评估、 漏洞管理、安全测试 、云计算安全、数据安全、工业控制安全、物联网安全、车联网安全、智慧城市安全、移动安全、个人信息安全、商用密码等方向
哪里能够找到完整的信息安全标准
其实很难找到比较全的信息安全标准,这也是为什么大部分从业人员不太了解我国的标准主要原因,目前找到比较好的是这份信息安全标准列表,是比较全的,而且作者还在不断的更新和维护。
好了今天就写道这里,总结一下:
信息安全行业从业人员要重视国家发布的相关标准
一份比较便于查找的和检索的信息安全标准列表http://ab.github5.com大家可以从这个网站上查看