Pages: 2/8 First page Previous page 1 2 3 4 5 6 7 8 Next page Final page [ View by Articles | List ]

企业内控项目经验总结

  [多云 December 3, 2009 16:22 | by !4p47hy ]
最近在看 SOX 404 的东西,好纠结,以前没遇到过··学习ing ...刚搜到的一篇项目实施经验的总结,非常的好···共享之...

一、项目进度的把握、参与项目各方的协调很重要。

二、充分重视访谈的重要性。

访谈的结果是进行流程现状描述的依据,在现有流程的基础上才能进行风险评估、控制分析、缺陷发现、改进建议、优化流程等后续工作。

北京市网络与信息安全事件应急预案

  [晴 October 22, 2009 11:40 | by !4p47hy ]
1、总则

为做好应对网络与信息安全事件的各项准备工作,提高应急处理能力,结合本市实际,制定本预案。

1.1 、编制依据

《中华人民共和国突发事件应对法》、《北京市实施<中华人民共和国突发事件应对法>办法》、《北京市信息化促进条例》等法律法规,《国家突发公共事件总体应急预案》、《国家网络与信息安全事件应急预案》、《北京市突发公共事件应急总体预案》、《信息安全事件分类分级指南》(GB/Z20986-2007)等相关规定。

基于等级保护的安全解决方案

  [晴 September 4, 2009 11:03 | by !4p47hy ]
说起等保大家可能都不陌生,前年的时候闹的比较凶,去年貌似动静不大,据说今年又开始轰轰烈烈实施了。今天一直在想弄一个基于等级保护的安全解决方案,不妥之处还请大家一起讨论。

解决方案的整体思路为 现状分析 ---> 差距分析 --> 需求分析 --> 安全规划 ,简单来说先分析企业的安全现状,再分析目前企业的现状与等级保护的一个差距,由差距我们得到需求,由需求最后得出企业在未来 3- 5 年内的安全解决方案。

漫谈安全产品与安全服务

  [晴 July 13, 2009 21:14 | by !4p47hy ]
对于企业来说,到底是产品决定服务,还是服务决定产品?目前国内的安全市场比较混乱,随着安全行业逐渐被企业所重视,这很大一部分的功劳归功于黑客们,是他们让企业提高了安全意识,谁说 Hacker 都是反面的呢?对于安全厂商来说,没有黑客的攻击事件,安全厂商怎么去推他们的产品和服务呢?

从目前国内的安全市场来看,大大小小的安全公司不计其数,但大的厂家就那么几家,例如启明星辰、绿盟、安氏、天融信等等,而很多安全厂商又有多少是真正从用户的角度来考虑问题呢?目前各大安全厂商的做法都大致相同,都是由服务来推动产品。熟悉安全行业的朋友都知道,服务赚不了什么钱,而像启明这样规模的公司如果单纯靠服务来养活是完全不可能的,所以很多公司都由一个安全服务提供商转变为一个安全厂商。在安全行业刚起步时,很多公司还能遵循一定的职业守则,真正为用户所考虑,而随着竞争越来越激烈,很多公司已经渐渐转变了最初的思想。安全服务变得越来越廉价,服务只是用来推动产品的销售而已。
来自:谷安天下

一、基金行业信息系统现状

网络建设方面,多数基金公司的网络是分为交易网及办公网两张网,两网间存在着一定数据交换(通过U盘或专用服务协议),两网间并未实现真正的物理隔离或强逻辑隔离。

基金行业的IT系统主要包括投资交易系统、估值系统、行情分析系统、估值系统、直销系统、营销管理系统、公司网站、研究管理系统、呼叫中心、OA系统、财务系统、交易行情系统、债券分析系统(北方之星、红顶等)、风险系统(如BARRA)、风险监控系统(如金手指)、灾备系统等。

关于企业的信息安全规划

  [晴 May 18, 2009 16:11 | by !4p47hy ]
今天在整某证券公司的安全规划报告,顺便写点东东····
信息安全规划报告总的来说就是一份企业在未来 3-5 年内在信息安全方面所需做的事情,结合之前项目的经验,安全规划通常为 3 期,每期为一年,通常的安全规划报告应包括如下方面:

关于项目管理

  [晴 May 3, 2009 22:46 | by !4p47hy ]
最近一直在跟某证券公司的项目,虽然有点累,但也学到了很多东西··现在越来越认识到技术很多时候不是万能的,技术只是和用户交流的一种必备的技能。最近的项目使我认识到如下几点:

1、作为一个好的项目经理,不是你能做多少事情,而是你能带动大家做多少事情。应该能带动项目成员的主观能动性,使得大家团结一致,共同将项目顺利的完成。而不是自己盲目的去将所有的事情都做完,这样才算一个好的项目经理。一个项目成功的标志不是项目经理的技术能力有多高,而是和用户的沟通和协调能力有多强,还有就是如何将任务成功的进行分解,按照项目成员个人的能力不同,分配相应的任务。

风险评估过程中的风险

  [阴 March 3, 2009 09:43 | by !4p47hy ]
出处:比特网

刚开始看到这个题目可能可能很多人都会产生不解,究竟这个风险评估过程中的“风险”指的是什么呢?是评估出来的风险结果还是评估过程中遇到的实施风险呢?所以首先我要解释一下下面到要谈的究竟是什么内容。
  做信息安全的人都知道风险评估,而我在这里不谈那些技术评估、应用评估、流程评估等评估过程中的问题,只谈我们作为乙方在做咨询项目中通常都要做到的信息资产的风险评估,而这个风险评估过程中的“风险”也是指的在评估过程中遇到的实施风险。在下面的文章中我不谈如何做信息资产风险评估的方法,也不谈什么方法好,什么方法不好,因为风险评估工作各家有各家的做法,各人有个人的理解,不同的项目、不同的客户也存在不同的情况,所以针对具体情况选择合适的风险评估方法,化解在评估过程中可能遇到的问题和风险才是我这次要谈的内容。

移动设备管理规定

  [多云 February 6, 2009 13:43 | by !4p47hy ]
冷漠PS:今天下午刚写的移动设备的管理规定,主要是针对企业员工在使用 U 盘、移动硬盘等设备时应当遵循的规定,可能还有遗漏的,欢迎大家提出,或等我想到了,再来更新吧。

移动设备管理规定


1、总则

关于企业的信息安全体系架构的建立

  [晴 February 6, 2009 10:44 | by !4p47hy ]
一个企业如果需要建立信息安全体系架构,一般的流程如下:

1、分析企业的信息安全目标,即企业在未来的3-5年的安全目标是什么?在信息安全方面达到什么样的程度?

2、有了安全目标之后,下一步我们要做的就是分析企业目前的安全现状,此阶段一般通过风险评估等方式来实现,可选的方式有风险评估、安全审计、渗透测试等。

某大型企业局域网安全解决方案

  [晴 December 20, 2008 23:24 | by !4p47hy ]
第一章 总则

本方案为某大型局域网网络安全解决方案,包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计、等。本安全解决方案的目标是在不影响某大型企业局域网当前业务的前提下,实现对他们局域网全面的安全管理。

1.将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。

软件开发项目的风险管理

  [阴 October 29, 2008 13:30 | by !4p47hy ]
来源:IT 风险管理论坛

众所周知,软件开发过程可分为:需求分析、设计、编码、测试、安装及维护等几个过程(在RUP方法中:业务建模、需求、分析设计、实施、测试、部署),实际上一个完整的软件项目前后还有其它过程,在这里列出的只是和软件开发相关的核心过程。 软件项目的生命周期可以分为四个阶段(不同行业的项目生命周期不同),即初始阶段、设计阶段、实施阶段、收尾阶段。软件开发过程在软件项目的这四个阶段中的分布情况如下(括弧里面表示RUP方法中的过程):

信息安全的常见威胁

  [晴 October 24, 2008 11:15 | by !4p47hy ]
来源:谷安

计算机系统容易受到许多威胁从而造成各种各样损害导致严重损失。这些损害从由于错误而破坏数据库的安全性到火灾摧毁整个计算机中心。损害的原因是多种多样的,例如,看上去可信的员工欺骗系统的行为、外部黑客或粗心的数据录入员。由于很多损害永远也无法被发现,有些机构为了避免公众形象受损所以对损害情况加以掩盖,所以准确的评估计算机安全相关的损害是不可能的。不同的威胁其后果也有所不同:一些是影响数据的机密性或完整性而另一些则影响系统的可用性。这些威胁包括:

IT项目管理常犯的14个错误

  [晴 October 8, 2008 22:38 | by !4p47hy ]
Meridith Levinson 沈建苗 编译

有IT行业咨询师表示,只有29%的IT项目能最终成功地完成。这不是什么危言耸听,因为一些同样的项目管理错误,总是在不同的地点、不同的时间被重复。
将近70%的IT项目会超出预算或者是延期完成,究其原因,往往是缺乏良好的计划、通畅的内部沟通,以及合理的资源分配。
许多IT项目管理顾问和软件提供商经常抱怨,“甲方”总是一再犯下相同的错误。不是IT小组没有遵守标准的项目管理流程,就是没有相应的人员来开展项目,或者没有评估有可能危及项目的风险,也没有确定缓解这些风险的办法等等。诸如此类的错误还有一大堆,足以“致命”。

企业实施信息安全审计的关键流程

  [雨 September 24, 2008 09:34 | by !4p47hy ]
作者: 陈将

所谓安全审计,是指评估企业安全风险以及如何应对风险措施的一个过程。这是一个人为的过程,有一群拥有相关计算机专业技能和商业知识的审计人员操作进行。作为审计的一个过程,审计人员会询问关键职员,实施漏洞评估,给现有的安全政策和控制造册,检查IT资产。很多情况下,审计很大程度上有赖于技术工具
Pages: 2/8 First page Previous page 1 2 3 4 5 6 7 8 Next page Final page [ View by Articles | List ]