面向业务的SOC

近日，在CISPS的论坛上有一个关于“SOC如何更好地贴近业务”的讨论。很高兴的看到，我提出的SOC2.0的理念在业界继续引发广泛的思考。其实，大家讨论的时候各有各的道理，看似矛盾，实际上大家是站在不同的角度来看待这个命题。事实上，谈面向业务的SOC，遵循的是一个自顶向下的思维过程，是站在一个比较High Level的角度来分析SOC的发展趋势。不仅是SOC，整个安全都要与业务对齐/融合（Alignment or Convergence）。业务永远是目标。在迈向这个目标的过程中，有很多具体的事情需要去做，安全的业务特征也需要一点一点的来体现。所以，现阶段，面向业务（business-oriented）的提法是比较准确的，比基于业务（business-based）更好。

巧合的是，ESG在2011年7月份受RSA之托进行了一番市场与技术调研分析，出了一个叫做“ESG信息安全管理成熟度模型”的白皮书。里面有一个四阶段成熟度模型：

 

如何面向业务做SOC？我已经思考了多年，也遇到了很多challenge。近来又有很多新的认识。我想，等我再沉淀一下，届时再深入分享我的一些新思考。