面向业务的SOC

近日，在CISPS的论坛上有一个关于“SOC如何更好地贴近业务”的讨论。很高兴的看到，我提出的SOC2.0的理念在业界继续引起普遍的思考。其实，你们讨论的时候各有各的道理，看似矛盾，实际上你们是站在不一样的角度来看待这个命题。事实上，谈面向业务的SOC，遵循的是一个自顶向下的思惟过程，是站在一个比较High Level的角度来分析SOC的发展趋势。不只是SOC，整个安全都要与业务对齐/融合（Alignment or Convergence）。业务永远是目标。在迈向这个目标的过程当中，有不少具体的事情须要去作，安全的业务特征也须要一点一点的来体现。因此，现阶段，面向业务（business-oriented）的提法是比较准确的，比基于业务（business-based）更好。

巧合的是，ESG在2011年7月份受RSA之托进行了一番市场与技术调研分析，出了一个叫作“ESG信息安全管理成熟度模型”的白皮书。里面有一个四阶段成熟度模型：

 

如何面向业务作SOC？我已经思考了多年，也遇到了不少challenge。近来又有不少新的认识。我想，等我再沉淀一下，届时再深刻分享个人一些新思考。