之前就提出了要把信息安全管理推向信息化,打造一个信息安全管理系统这样的想法,最近又把这个构想向前推进了一步,暂时把此系统命名为“灵枢安全管理系统”,同时也悟出了该软件的八个模块,即:策略与流程、文化与培训、组织与人员、风险与决策、监控与检查、应急与响应、绩效与奖惩以及技术与集成八个模块。
当然我也仅仅是把这个当作兴趣爱好,能走到哪就算那,毕竟当初转到信息安全这行,兴趣也是其中的一个原因。所以为了兴趣,为了完成这个构想,还需要学习很多东西,如产品,UI,前端,后端,测试……
要是真的有一天完成了这个构想,我会全部开源,免费分享给有需要的组织使用,所以对于其中“技术与集成”模块涉及的接口问题,也完全不是问题,现在国内的安全厂商都在搞自己封闭的生态,只怕到时由不得他们不开放安全产品的接口……
那么灵枢安全管理系统,跟一些人提出的“安全ERP”,以及现在风靡一时的“SOC(安全运营中心)”又有什么区别呢?
“安全ERP”,仅仅是凭借着一些零零散散的安全实践拼凑起来的,完全没有融入信息安全管理理论基础,更是完全脱离组织业务的一个东西。“
SOC(安全运营中心)”,其实这不是一个新的东西,完全是靠安全产品堆砌,然后做一个集成,再弄几个大屏,仅仅如此而已。
而灵枢安全管理系统,是以ISO/IEC 27001为框架,以系统化的信息安全管理实践为指导思想,并深度融合到组织业务中的一个软件。一个好的企业管理系统(如ERP),靠的不仅仅是信息技术,而更重要是成熟的管理和适应组织的业务。