浅谈企业信息安全治理框架

随着企业的信息化建设,企业信息安全在持续、可靠和稳定运行中面临着巨大考验,因此企业急需开展信息安全治理。论文从企业信息安全治理的实践出发,概述了目前企业信息安全治理存在的问题和困惑,总结了企业实现有效信息安全治理的关注领域和实施内容,为企业建立良好的信息安全治理提供了基本框架。     

向“采购框架”要效益

总拥有成本的概念在IT实施领域应用非常广泛，企业开始越来越多地关注于采购所付出的长期代价。     

业务持续管理（BCM）理论与实践专栏之二十 风险管理与业务保护

完整考虑企业IT风险管理的需求及其实现方式,可以帮助企业更准确地估计业务保护的成本,从而确保企业的投资水平在成本最优的前提下满足风险管理的需要。     

我国数字图书馆信息安全管理现状及风险管理

介绍数字图书馆及数字图书馆信息安全的相关概念,总结了数字图书馆自身的特点。从调研中总结了数字图书馆信息安全管理的现状及风险管理。     

风险管理不只是信息安全

风险管理只遵循固定的信息安全标准与准则,是无法在任何环境中都应对自如的。金融和IT业间的分离是由于对风险的不同理解造成的。IT业倾向于从安全系统这个角度来考虑风险—控制管理系统以及遵从报表和最佳的程序。     

管理框架促进业务效率

企业正在从一些管理框架和模式中获得回报,这些回报表现为成本降低、收入增加、客户满意度的提高,还有员工生产力的提高等。     

管理软件业务适应覆盖度的框架分析——从企业战略结构和立体价值链的角度出发

企业管理软件的概念和范围在不同厂商的解释中和在不同的媒体宣传中出现了不同的口径。无论哪一方都不会否认自己的产品属于正宗的系列,并且大家还在不断对自己的产品增加新的概念,针对此种现象,有必要进行系统的分析。 做出深入分析的一个基本前提是任何一个软件产品不可能满足所有行业的需求,任何一个产品的宣传也不是面向最终的单个消费者,而是面向以企业为代表的集体式客户。     

国内银行业闻“风”而动

与从前唯求达标的被动意味不同，银行如今对风险管理的重视体现出了一种应对市场环境变化的内驱力和主动出击的姿态。事实上，随着金融业开放的压力不断加大和“新巴赛尔协议”的临近，留给国内银行的时间已经不多了。     

基于Zachman框架的复杂信息系统的系统安全架构

当前由信息技术与网络技术构成的信息系统已不单是完成信息的简单处理与传输,它已成为连接与融合众多的业务系统核心。以信息系统为核心,并由此构成的包含各类业务系统的系统,可协同完成一定的组织目标和业务流程,称之为复杂信息系统。主要研究并合理地划分复杂信息系统中的不同层面的风险管理层次。研究采用国际上流行的Zachman框架,结合《GB/T 20274-2008信息安全技术信息系统安全保障评估框架》,构建复杂信息系统安全架构。该架构可用于复杂信息系统分层划分及其评估。     

基于IT治理的企业IT风险管理与控制

本文从当今国际最新的IT治理理念出发，提出应当从以下三个方面入手控制企业IT风险：保持企业战略与IT战略一致。从根本上消除企业IT投资的根本风险；帮助企业确立全面的IT资源管理架构，有效控制和管理企业IT风险；建立精确的测量指标体系，以有效地实施企业IT风险控制。     

风险管理刻不容缓

信息空间如同另一个宇宙，深邃庞杂，难以穷尽，这使得信息安全官员越来越需要像宇宙物理学家一样去工作和思考。     

电力系统信息安全风险管理体系的研究与应用

提出一种基于风险管理的信息安全管理体系,然后以中山供电局为实例,介绍电力系统信息安全风险管理体系的建立和推广过程、体系运转时遇到的问题与采用的方法,体系的审核方法等。重点介绍体系中的管理方法工具的运用,例如风险评估所采用的资产风险值CIA评估方法、体系落地时采用的"两单",体系运转的"四大机制"等,并在实际应用中通过检验,具有较高的指导和参考价值。     

电力CSO必须熟悉风险管理

有人说:“CIO有可能下岗,但CSO不会。”其根据是,首席安全官(CSO)掌握着单位越来越多的核心机密,CSO的地位将越发独特,不可替代,并预言中国的CSO正在走向“权力”的中央。CSO真的不会下岗吗?中国有多少企业有真正的CSO呢?困扰CSO真正“落地”的问题是什么呢?有专家认为,用有限的权利承担无限的责任,是CSO面临的最大的问题。无论国外的专职CSO还是国内一些企业的“准CSO”,他们在企业中大多向CEO或者CIO负责。很多时候,他们的出身是技术背景,对于企业内部所有业务系统和流程、人际关系和规范不是完全了解,这样就导致CSO们工作会“力不从心”。另一方面,CSO肩负着沉重的责任。因为,网络信息系统不出事则已,一旦出事必定是大事,有可能使单位的关键业务中断,造成巨大的经济损失,也可能使单位蒙受巨大的名誉损失。CSO承担得起这样重大的责任吗?CSO到底是个什么样的职位?这个职位需要什么样的能力?只有将CSO的责、权、利分清,CSO在企业的定位才不至于是个模糊的概念。本期CSO沙龙,将从CSO的能力建设方面,谈谈CSO应具有的三个基本素质。     

电力系统信息安全风险管理体系的研究与应用

提出一种基于风险管理的信息安全管理体系,然后以中山供电局为实例,介绍电力系统信息安全风险管理体系的建立和推广过程、体系运转时遇到的问题与采用的方法,体系的审核方法等。重点介绍体系中的管理方法工具的运用,例如风险评估所采用的资产风险值CIA评估方法、体系落地时采用的“两单”。体系运转的“四大机制”等,并在实际应用中通过检验．具有较高的指导和参考价值。     

信息安全风险管理绩效研究

分析了当前风险管理的现状和所面临的问题,并通过风险确认,提出了一个风险管理效率判别模型,以对风险管理方案进行判别,找出最佳的风险管理方案.通过分析进一步指出了基于信息资产提供业务的风险管理投资和安全事件损失的联系,并对其有效性进行了验证.实验结果表明,此方法是行之有效的.     

软件风险管理，防患于未然

伴随着从业人员的痛苦,软件工程、项目管理、过程控制、能力成熟度等知识开始被大家接受,这方面的书也出了很多。我们在理论和实践的碰撞中一步步成长,项目管理就有些模样,至少有了配置管理和版本控制,并引入了里程碑检查。按说理论增强了,控制能力提高了,工作就能更加游刃有余,可事情好像远没有想象的那样美好,生活还是一个字形容“忙”。其实,忙乱的原因,很大部分是由于项目风险控制出了问题。一、企业需要风险管理人的很多快乐得益于反思中的成长,这段时间由于工作的压力更大,考虑也更多了。前些天,朋友送了我一本书,《与熊共舞——软件…     

信息安全测评项目中的风险管理与风险规避

随着等级保护工作的不断深入,各单位对信息安全也越来越重视,导致了现阶段信息安全测评项目的大量增加。文章运用项目管理的思想和方法,以风险管理的理论加强信息安全测评项目的风险管理,完成了在测评中的风险规避,对于提高项目实施的成功率和测评结果的准确率发挥了重要作用。     

网络安全回归风险管理

当今的网络威胁环境发生了根本的变化,单纯地从某个角度出发,已经无法跟上威胁的变化.在与威胁的博弈当中,无论是管理员,还是企业经理,都容易犯"头痛医头,脚痛医脚"的毛病.如果单纯地从"网络"或"操作系统"解决问题的方法,不但无法有效地解决问题,而且还会使问题变得更糟.     

“郭士纳式”CEO？

由全球领先的安全锁业集团总裁到老牌电信企业的CEO，思文凯之个电信“门外汉”能否使爱立信从技术“工程师”成功变身为消费品“商人”？     

云计算安全框架的研究

云计算的安全问题是影响和制约云计算应用和发展的关键问题,得到了广大科研人员的高度重视。从信息安全的角度出发,深入研究了云计算的可靠性、可用性、保密性、完整性、可控性和不可抵赖性等问题,并在此基础上探讨和设计了云计算的安全框架。