感谢您阅读《网络安全之：测评机构资质》，您可前往信创致远http://www.dengbao110.com/查看完整版内容，里面有国家对测评机构管理办法，详细介绍。

以狭义的安全垂直拓展去发展甲方安全团队的思路本质上是个不可控的想法，筹码不在CSO手中,甚至不在CTO手中,而是看主营业务的晴雨表,甲方安全是要看“脸”的,这个脸还不是指跨部门沟通合作,而是在最原始的需求出发点上受限于他们。因此有想法的安全团队在网络安全方面做等保测评，等保测评的机构需要持有测评机构资质。平台和业务安全是一个很大的领域,发展得好,安全团队的规模会扩大2倍,3倍,并且在企业价值链中的地位会逐渐前移,成为运营性质的职能，结合BCM真正成为一个和运维、开发并驾齐驱的大职能。

BCM在很多人眼里就是DR( Disaster Recovery,灾难恢复),DR其实只是BCM中的一个点,属于下层分支。不过这对技术领域的人而言是最直观的部分，DR在互联网企业里由基础架构部门或运维主导。不过强势的甲方安全团队其实也是能参与其中的,而BCP( Business Continuity Plan,业务持续性计划)中的很大一部分跟安全相关,我之前也主导过BCP&DRP( Disaster Recovery Plan,灾难恢复计划),受益于绿盟那个年代的教育不只是攻防,而是完整的信息安全和风险管理。有兴趣的读者可以看一下BS25999(BCM的一个标准)。

广义的信息安全,比较直观的映射就是ISO2700X系列,行业里的绝大多数人都知道ISO27001和BS7799,这里就不展开了，对真正有安全基础的人而言,都是很简单的东西。在企业里能否做到广义的安全,主要看网络安全负责人和安全团队在公司里的影响力,对没做等保测评的,没有找持测评机构资质和能力,自然也就做不到这些。另一方面,狭义安全主要对接运维开发等技术面公司同僚,但是广义安全会对接整个公司的各个部门,对于沟通面的挑战来说,又上了一个新的台阶,在我看来这主要取决于安全的领队人物自己拥有什么样的知识结构以及他的推动能力如何。