• 安全治理/风险/合规管理GRC领域,这属于ISMS的传统关注领域,会议议程中的演讲涉及网络安全体系框架和标准、GDPR合规、威胁建模应用、风险建模应用、安全度量实践、风险评估方法等主题;
• 人员安全管理领域,相关主题演讲主要涉及安全培训、安全意识等领域的实践分享,突出了人员安全管理对于整体信息安全保障的重要性;
• 信息系统生命周期管理领域,议程中DevSecOps Day的设置,以及众多关于如何将安全控制前移,有效覆盖信息系统全生命周期的开发和运维阶段的主题演讲,分享了行业管理实践、自动化技术工具等方面的宝贵探索和经验。
• 人员安全管理领域,相关主题演讲主要涉及安全培训、安全意识等领域的实践分享,突出了人员安全管理对于整体信息安全保障的重要性;
• 信息系统生命周期管理领域,议程中DevSecOps Day的设置,以及众多关于如何将安全控制前移,有效覆盖信息系统全生命周期的开发和运维阶段的主题演讲,分享了行业管理实践、自动化技术工具等方面的宝贵探索和经验。
• WirmWheel专注于个人信息和隐私保护,在隐私保护监管日趋严格的背景下,ISMS中的安全合规控制领域需要与时俱进补充对应的管理策略和技术手段;
• Shiftleft所提供的静态脆弱性检测技术方案和动态应用保护技术,属于广受关注的DevOps信息系统全生命周期管理领域,不仅具备更强的代码安全脆弱性发现能力,而且能满足应用脆弱性无法有效修补的现实需求,这也都是ISMS中系统获取、开发和维护管理控制领域需要优化解决的老问题;
• 有三家公司的解决方案与云计算场景的管理优化密切相关,DualityTech的同态加密方案与ISMS的密码控制领域相关,为有效解决多租户环境下的数据隔离保护提供了一种未来的可能性,DisruptOps和CloudKnox的解决方案则是ISMS的访问控制管理领域所关心的重要问题,即如何在云计算场景下寻找更为有效的权限管理手段;
• 最终获得冠军的Axonious关注的是资产管理这一非常基础的领域,资产管理在ISMS中的地位犹如丰田的Camry汽车,要追求扎实和好用,用更新的技术手段,去优化解决基础实践领域中属于昨天的问题,在此基础之上才有可能从整体上优化安全风险管理水平的提高。
无论是RSAC 2019议程中的主题领域,还是创新沙盒大赛入围和优胜结果,我们都可以看到这样一种态度,使用创新技术手段,提升安全管理实践的精细程度和效率,改善一直存在的管理实践问题,从而使信息安全管理实践变得更好(Make Cybersecurity Management Better),无疑是与RSAC2019的会议主题Better相契合的。
