敏捷，辞典里解释为快速、灵活，即能够对外界变化迅速做出反应；敏捷制造，美国Agility Forum将其定义为能在不可预测的持续变化的竞争环境中使企业繁荣和成长，并具有面对由顾客需求的产品和服务驱动的市场做出迅速响应的能力。而敏捷信息安全过程又是一个什么概念呢？仅仅是一个理念，抑或是信息安全产业未来的发展方向？让我们来仔细聆听其创建者启明星辰首席战略官潘柱廷先生的讲解。

   信息安全产业走到今天，已发展成为一个相对完整健全的体系，无论是理论系统、市场运作还是产品链管理等都比较成熟，但面对发展迅猛的互联网技术和日益肆虐的攻击，究竟什么样的信息安全体系能够真正帮助企业积极有效地应对攻击和威胁入侵、将企业信息化风险降至最低？这是企业用户和信息安全厂商一直都在苦苦思索的问题。而敏捷信息安全过程概念的提出，给人们提供了一个很好的思路，或许，不久的将来敏捷信息安全过程将是大企业用户进行安全实践的方向，也是安全厂商研发安全产品时必须考虑的要素。

词义辨析--什么是敏捷信息安全过程

   敏捷信息安全过程的概念取自于敏捷过程，而敏捷过程的概念来自于1986年MIT的一项研究，该研究认为产品在上市的时间、质量、成本和服务等产品竞争四大因素中，质量已经不再是市场的最大优势了。创新周期缩短和全球化市场形成，使企业面临着不可预测和不断变化的市场，只有快速响应市场需要，提供满足用户个性需求的产品，才能在竞争中取胜。

对于信息安全而言，同样面临类似的问题，信息安全环境的不可预测和企业内外部攻击的不断更新升级都对信息安全产品提出了更高的要求，企业需要在变幻莫测、波诡云谲的信息安全环境中安身立命，建立快速响应需求、积极应对攻击和威胁的安全体系，因此，以敏捷信息安全过程为代表的适应性理念就浮出水面了。

   敏捷信息安全过程具备以下几个特征：

   承认变更--敏捷信息安全过程的最显著特征是欢迎变更并主动接受和适应变更，唯有如此，信息安全体系和产品才能积极应对纷繁复杂的网络环境和客户的需求变化。

   以客户需求为导向--由于面临越来越复杂的信息安全环境，对需求变更的控制显得尤为重要，敏捷信息安全过程在承认变更的基础上能够有效管理需求变更。

   以迭代为表象--用“自管理”来简化命令-控制链，减少计划时间，进行短周期的迭代。

   以配置管理为核心能力--敏捷信息安全过程最核心的能力是配置管理，通过把网络和信息系统、威胁和保障措施等安全资源及时有效地进行版本更新和动态管理，可以有效地将安全风险降至最低。

   清晰的描述--不沉迷于周期性的检查和报告。

   总结：敏捷信息安全过程就是将任务拆分来迭代执行，从而实现动态安全、完善的风险管理、过程管理和配置管理的一个信息安全体系的实现过程。它具备内敛的、内聚的、变化不大的框架并且承认内外环境的复杂性和易变性，能够以更低的风险保障项目运行的成功率。

价值何在--人们需要一个什么样的安全体系

在与大客户接触的过程中，发现需求变化非常大非常多，用户面对的是复杂、动态、模糊的信息环境，持续不断的变更是无法避免的，因此需要一个能够灵活改写进程并且具有迭代生命周期，能够敏捷反应不断变化的需要的过程。敏捷信息安全过程将成为积极应对变化的一个解决方案，其价值体现在以下几点：
   小周期迭代--能够以变化作为驱动因素并且支持灵活应变，以小周期作为工作单元，代表了轻量级和适应性过程，能敏捷反映不断变化的需求。

   降低风险--这是敏捷信息安全过程最大也是最直接的价值体现之处，因为是小步迭代的过程在运转，因此能够降低整个项目的不成功的机率，能够延缓风险发生的可能性从而保障成功率。

   控制变更--敏捷并不是逃避变更，而是在变的过程中找到不变和共性的东西。当运用到信息安全当中时，就是持经求变，而经就是事物内部发展的规律，计划、实施最终得到结果的过程，在每个小迭代周期当中都应该有计划，风险管理、威胁中的一些规律也是不变的。控制变更、自管理，减少计划周期，这些都是由敏捷展开的一系列方法。

   具备以上了价值，敏捷信息安全过程将能够在信息安全产业掀起一股主动应对变更、积极响应需求的热潮，这样信息安全产品才能够以不变的精神始终立于信息安全所处的风口浪尖上。

如何实现--拥抱变更，持续改进

   敏捷信息安全过程是一种理念和方法，具体实现起来需要进行一系列的建设和机制的展开。
   基线建设--建一个有结构的基础设施。从网络来说，其组织体系、策略体系、运行体系和技术体系一定要有结构。

   演练改进--改进需要建立在变更管理和安全配置管理的基础上，迭代周期不断的变化，因此只有在变更控制和配置控制上进行改进才能真正实现敏捷信息安全过程。用小周期迭代的方法则能够轻松实现这个进程。

   特事特办--特事特办主要针对紧急事件的告警和处理。对于变更的积极灵活响应使得敏捷信息安全体系对紧急事件的告警和处理更为容易。

有一点需要强调的是，虽然敏捷信息安全过程最大的特征是积极灵活地应对变更，但这个过程中有些信息安全的特质是不能改变的，也就是所谓的“经”。主要包括：

   EDIF的四要素模型关系：IT中存在的不同形态以及不同形态之间的关系，不会有大的变化。这个关系就像水加热会变成水蒸汽，血管有固体物质会形成栓塞等等一样。人、文档、基础设施和流程的关系，构成了一个相对比较稳定的关系。EDIF就是指Entity-人、Document-制度/文档、Infrastructure-基础设施、Flow-流程。

   从计划、实践到结果的过程是一个普遍过程：将一个大项目变成了大量的小步迭代，并不是要废弃计划性，而是将一个“预测性”的长期计划，变成一个“工程方式”的“小周期”的计划，包括一个小周期的计划、设计、实施、测试、使用、评价等等。“凡事预则立，不预则废”，这个道理不会因为敏捷而失效。

   风险管理模型，作为这个学科的根本关系并没有改变：敏捷过程是一个过程性的方法，它改变的主要是过程上的东西，即对于生命周期的调整。所以和时间相关性高的事情会变化较大，而作为信息安全学科中的根本关系--风险管理，则不会由于过程的变化而改变很多。资产、威胁和防护措施之间的关系依然存在，并成为信息安全的关键关系。

   此外，敏捷信息安全过程这个方法的真正落地要以合规性作为驱动力；而落实合规性要以敏捷信息安全过程做为解决思路。

   敏捷、迭代和适应性的思路，不仅仅可以用在软件开发的过程中，还可以用在部门管理、信息安全体系建设等较复杂的管理工作上。这个貌似新鲜却又显而易见的方法为信息安全的实践者提供了一个很好的思路。潘柱廷先生表示，这个方法由启明星辰提出是非常自然的，因为长期以来启明星辰一直在关注信息安全体系的建设如何能够更好地服务于用户；启明星辰也非常注重学习、交流和共享，期望这个思路和方法能够在信息安全行业里得到很好地利用和体现。     

启明星辰首席战略官潘柱廷谈敏捷信息安全