华为的信息安全,可能算是一个比较奇葩的东西,就算来自华为内部的人员也未必清楚。华为的信息安全是分2套体系,2套人马来做的,一为信息安全管理体系,一为网络安全管理体系,而这两套体系是两个部门,两套人马来做的。

华为的信息安全管理体系实际上并不包含信息安全管理的全部内容,仅仅指的是数据保密管理这块内容,侧重数据的保密管理,也仅仅涉及数据的保密性(C)这个安全属性。这个华为做的比较早,可能20多年前就开始做了,而现在很多人,包括来自华为内部的人员,都把这个视为今天信息安全管理的全部内容,那就更不要说华为的供应商了,头次遇见华为独特的要求,那就更是一头雾水了。

我猜应该是这几年,华为又建设了网络安全管理体系吧,侧重于除数据以外的其他信息资产的管理,并且主要偏向于完整性(I)和可用性(A)这两个安全属性的管理,主要针对跟华为项目相关的信息系统以及信息系统周边的人员、硬件以及物理空间等。

华为这两大块加起来才是今天真正意义上信息安全管理,所以作为华为供应链的相关企业,以前只要面对华为的信息安全管理体系,也就是数据保密管理体系的审核,而这两年还需要同时面对华为的网络安全管理体系的审核。