【.com原稿】长假早已结束,想必大家已经被艰难的7天“长班”压得喘不过气来?我们也算是半个月没见了。你们都安全吗?记得有细心的读者两次留言要求谈谈具体项目的选择和实施过程。好吧,像我一样灵活的连哥,这次就跨过自己定下的界限,把前期的人事管理的managing抛开,运维的东西暂时不写了,重写项目,并从项目一开始就开始写作。你看,我们的胡言乱语够任性吗?那么这次我们就来看看信息安全在具体项目初期的作用。项目背景我供职的咨询公司一直注重利用信息技术提升公司竞争力,对云计算垂涎已久。最近在和客户、合作伙伴做项目的时候,环顾同行的应用系统,被“孕妇效应”感染了。顾问们一致要求推出并使用“云沟通协作一站式平台”,与时俱进,提高办公效率。项目启动根据国外公司的行为风格,我司各部门代表临时成立了该平台的项目委员会。由于咨询行业的合规要求比较严格,我们的信息安全部作为信息技术和法规的“前哨”,有义务参与到这个项目中。本着“不让领导做问答题,让领导做对错题”的精神。以及不给领导添麻烦的想法,经过三天三夜的“烧脑”研究,整理出如下文件《超燃》的报告和问卷清单,提交公司领导审批后发送给每个申请投标的服务提供商。需求分析由于我公司的特殊性,这里只列出主要内容,其他与项目描述相关的和声明性的内容均省略,无需赘述。一言以蔽之,凝神取精。更完整的需求分析报告需要发给各部门,尤其是业务部门代表,确认签字后提交公司管理层审批备案。基于技术选型依据,得到了以上的需求分析,接下来要结合企业特点进行技术选型。鉴于我们身处咨询行业,基于合伙制的前提下,我们应该尽量减少公司内部共享固定资产和管理投入的成本,实现按需使用的特点每个项目组,按用途分摊费用,灵活扩容,我们在技术上选择使用从公有云购买的SaaS应用来集中各种分散的企业沟通和协作需求。风险分析决定了技术方向,下一步就是让安全团队大展拳脚了。由IT部门牵头,安全部门和法务部门跟进,我们首先进行了风险分析和披露,并提出了以下高层要点:由于服务提供商审查决定购买云服务,该项目团队即将准备好在服务提供商池中发送报价。这时,我们的安保人员跳出来要求暂缓。因为这个云服务相关的项目比较新,各家服务商难免牵着甲方的鼻子,把自己的产品忽悠上天。所以,我们要静下心来,在心里默念乔老师的那句“ThinkDifferent”。根据公司的实际需求和行业规范的特点,做点对点的减法,找不足而不是加法。于是我们与项目组成员召开了一次“闭门会议”。最后,我们决定像那些顾问平时做生意一样,对服务商进行“尽职调查”全面审查。这里值得提醒大家的是,这种审核一般发生在云服务项目立项、云提供商选择、服务采购确定前的阶段。那么问题来了,毕竟有参考的需要。幸运的是,我们手头有云安全联盟(CSA)发布的云控制矩阵(CloudControlsMatrix——CCM)3.0版本,让我们可以把它当成他山之石,跟猫画虎。以下是我们作为企业安全人员需要从供应商那里了解并明确写入未来采购合同的清单。这个可自由伸缩的问卷,是否足以让服务商不至于“糊涂”,不至于低估我们的知识?至少我自己已经被感动得落泪了。但值得注意的是,完成每个服务商的审核后,记得上传到集中的内网项目管理平台(如SharePoint),以备日后审核需要。当然,话虽如此,我们其实可以找一家知名的第三方云评估器厂商(cloudassessorvendor-CAV)来协助我们完成,而不是自己去努力。但考虑到项目规模不大,时间紧,成本高等因素,我们信息安全部门还是自己“练”。嗯,目前的项目选择了一家有资质的云服务商,启动了。连哥会在后续的会谈中,对整个项目各个阶段涉及到的信息安全方面的“坑点”或者“亮点”进行跟踪和汇报给大家。最后来点抒情吧。记得有记者问一位非知名相声演员:内容创作者会不会怕累,他的回答是:我们是学技术的。一个卖早餐卖油条的人,怕有一天会断绝人才吗?同样,连哥也是信息安全领域的工匠+技工,技术是我们的看家本领。真心希望我的漫谈能成为一些“唾手可得的果实”,方便读者“采摘”,帮助你和我一样:继续保持“技术人”的身份。【原创稿件,合作网站转载请注明原作者和出处为.com】
