安全管理
文章平均质量分 69
linkboy2004
安全管理
展开
-
做客51cto技术门诊,欢迎提问
<br />[第163期] 互联网时代,企业信息安全建设的解决之道<br />http://doctor.51cto.com/develop-177.html原创 2010-06-12 13:43:00 · 1228 阅读 · 0 评论 -
“二变一”的缠斗:迁移篇
在该阶段,F公司IT资产被迁移到过渡安全域中进行“磨合”,妥善处理了危及信息安全和一些应用层面的问题,基本实现了第一阶段的平滑迁移。在过渡安全域中,我们全部使用S公司的IP地址。另外,根据S两公司的信息安全政策,我们制定了防火墙的安全策略和规则: 第一,根据用户需求开通从过渡安全域的指定主机到S安全域指定主机之间的端口级访问控制;第二,根据用户需求开通从F安全域的指定主机到过渡原创 2008-01-18 16:15:00 · 494 阅读 · 0 评论 -
“二变一”的缠斗:基础篇
项目背景 2005年,跨国企业S公司收购了F公司,两公司总部都位于G国,虽然该收购起始于海外的F公司和S公司总部,但考虑到全球IT支撑系统的稳定性,IT系统的全球重整与融合却以F公司中国区作为试点,希望中国区总结出行之有效的IT迁移解决方案,做到以点带面。 笔者主持了两大跨国公司全球并购中的中国区IT系统的重新整合。作为负责维护S公司中国区网络系统的部门,笔者领导了转载 2008-01-18 16:15:00 · 510 阅读 · 0 评论 -
新浪财经三人行:专家谈萨班斯法案聊天实录
导读: 新浪财经讯 清华大学金融系副主任朱武祥(图右)、国际财务管理师协会中国总部秘书长何巧莎(图中)、中国社会科学院工业经济研究所投资与市场研究室主任曹建海(图左)三位专家于2006年7月14日下午13:00-13:45分,做客新浪财经,和广大网友一起探讨了关于萨班斯法案的相关话题。以下为相关聊天实录: 各位新浪网友,大家下午好! 主持人 : 各位新浪网友大家中午好,欢原创 2008-01-18 16:03:00 · 804 阅读 · 0 评论 -
建企业危机管理与风险控制体系
随着经济全球化的发展,企业在市场竞争中将面对各种各样的风险,如何辨识、评估、监测、控制风险,已成为企业共同关心的热点问题。在一些发达国家,风险管理起步较早。由国际组织及各国风险管理协会的大力推动风险管理标准的实施。1995年,澳大利亚和新西兰联合制订了世界上第一个风险管理标准(AS/NZS4360)。2003年英国制订了AIRMIC/ALARM/IRM标准。2004年美国COSO发布了CO原创 2008-01-15 14:50:00 · 700 阅读 · 0 评论 -
ITIL之流程管理
流程管理 流程管理 每一个组织都希望实现其愿景、使命、目标和政策,这就意味着需要进行恰当的活动。以餐馆为例,恰当的活动包括购买蔬菜、记账、订购佐料、接待客人、清理桌子、刨土豆皮以及煮咖啡等。 在这样一个毫无规律的列表下,有些活动可能会被漏掉,我们也很容易迷惑。因此,将这些活动按一定的结构组织起来是一个很好的主意。最好是,它们的组织方式让我们容易看出每组活动对组织目标的贡献原创 2008-01-15 14:48:00 · 820 阅读 · 0 评论 -
ITIL将会是企业IT管理的第一选择
【案例】 Alex公司是一家从事医疗器械加工装配的台资企业,职工人数在150人左右。其产品基本外销欧美,一年营业额在3000万左右。阿土伯是Alex的老板,从学徒工起家,对业务精通。无论是国际市场的动态,还是国内原材料的价格都是了如指掌。随着国际医疗器械的行情看好,阿土伯的生意做得一天比一天红火。 市场的竞争加剧和业务的急速发展使得阿土伯开始认识到IT对于业务拓展的重要性。在朋友的推荐下,原创 2008-01-11 21:11:00 · 537 阅读 · 0 评论 -
武大学子在腾讯做应用安全
写的不怎么好。但可以给新毕业的学生一点启发。 看看别人是怎么做的。 当然安全肯定不止是文章中说的这点,而且老实说写的也很一般。为什么发。因为不知道什么是安全的太多了。怎么做的太少了。呵呵武大的信息安全专业,到今年已经毕业三届了,不过好像没听说有几个毕业生真正在做安全相关的技术工作的,我那届有两三个在金山做杀毒的。在腾讯的安全部门,就我一个是武大的;还有一个信安的师弟在QQ医生那个项目组,也算是原创 2008-01-14 17:24:00 · 2150 阅读 · 0 评论 -
ITIL流程成熟度的五重境界
ITIL要求IT部门建立以客户为中心、以服务为导向的IT服务管理流程,这意味着企业CIO及所有IT人员都要转变传统思路,从流程角度重新审视IT部门的日常活动,把它们看作ITIL定义的某个IT管理流 程的有机组成部分或具体应用。持续性的流程改进涵盖了IT活动的各个方面,包括完善流程文档、建立新的流程工具、提高IT人员素质、调整流程考核指标、提升IT部门对外形象等等。 ITIL流程成熟度的五重原创 2008-01-11 21:07:00 · 747 阅读 · 0 评论 -
ITIL的局限性(ISO20000)
由于公司建设ITSM系统的需要,开始接触ITIL理论,学习的来源多来自于一些文档、书籍及网上的资料,随着理解的深入,越发觉得ITIL有相当的局限性,尤其当公司人人对ITIL奉为圣旨时,就更加担心我们自身会走入一个误区,我总相信没有一种管理理论可以为一个公司带来质的飞跃,对所谓的流行理论,我个人一直抱有相对冷淡的立场,比如近来喊得比较多的蓝海战略之类,其实本没有任何新意,德鲁克在五十年前就已原创 2008-01-11 21:20:00 · 568 阅读 · 0 评论 -
ITIL v3,摆脱IT管理影子 重视对服务的感受
在v2中ITIL非常强调流程的建设和管理,没有摆脱IT管理的影子,忽视了对服务的感受。而在v3里,服务的地位大幅提高。 收件箱设定为每5分钟刷新一次。硬盘灯一阵闪动,“叮”的一声电脑右下角跳出一个刚收到的邮件。一看标题丁磊来了兴致:BMC/Pink Elephant联合举办ITIL v3亚太高峰会议。ITIL v3(以下简称v3)自从5月30日发布以来一直犹抱琵琶半遮面,难得一睹芳容。机会原创 2008-01-11 21:10:00 · 476 阅读 · 0 评论 -
快速实施 ITIL速效十法则
如果在IT服务管理过程中,我们的长期目标是建立一套有效率且有用的运营体系,那么,在开始就规划好短期成果是很重要的,当这些成果产生时,就会得到大家的认可和祝贺。 巨大的变革和持续的改进,比如ITIL最佳实践的实施,是需要时间的—有时候需要几年的时间。然而,大多数的人,包括高级管理层,都不能忍受这样的“长征”,除非在较短的时间之内有一些显著的迹象让他们看到,这个长征可以获得预期的成果,是值得付原创 2008-01-11 21:09:00 · 509 阅读 · 0 评论 -
华为演讲培训-售前人员重点学习
导读: 演练:普投、胶片、秒表、锣、教鞭、演练评鉴表 课程简介 本课程主要是为培养企业员工进行公司介绍及产品介绍的职业素质而开设的,分为授课和演练两部分。通过对听众的分析,真正做到了解听众所需,进而全面介绍演讲前的准备、演讲过程的控制及演讲后的总结,使学员学会如何消解心理的紧张感、如何按照客户所需进行演讲的准备、现场的控制、如何开头及结尾,即如何进行技术宣讲;之后,通过场景模拟原创 2008-01-10 21:15:00 · 789 阅读 · 0 评论 -
ITIL的局限性
由于公司建设ITSM系统的需要,开始接触ITIL理论,学习的来源多来自于一些文档、书籍及网上的资料,随着理解的深入,越发觉得ITIL有相当的局限性,尤其当公司人人对ITIL奉为圣旨时,就更加担心我们自身会走入一个误区,我总相信没有一种管理理论可以为一个公司带来质的飞跃,对所谓的流行理论,我个人一直抱有相对冷淡的立场,比如近来喊得比较多的蓝海战略之类,其实本没有任何新意,德鲁克在五十年前就已原创 2008-01-15 14:49:00 · 527 阅读 · 0 评论 -
海外上市的风险如何规避
公司上市最普遍使用的方法是“新股上市(IPO)”,就是一家公司第一次把公司股份公开销售,这是由投资银行安排的面向投资者的销售。 IPO是一个历时很长、花费很高的过程,一般由规模比较大、资产比较雄厚的公司所采用,尤其是国有企业会寻求通过IPO上市。 IPO并非公司上市的唯一途径。现在很多公司都通过反向收购(RTO)或者“借壳上市”来完成。相对IPO而言,借壳上市可以让公司上市的花费更低、速度更快转载 2008-01-16 09:37:00 · 550 阅读 · 0 评论 -
让企业从法规遵从中获益 日志管理必不可少
近期,上市似乎成为了IT界的焦点。10月9日,金山软件在香港联交所上市;11月1日,巨人网络集团在纽约交易所上市;11月6日阿里巴巴集团B2B子公司在香港挂牌上市。三家知名IT公司在一个月内陆续上市,且股价都一路走高,让身处全民炒股热情中的中国IT界更加狂热。 大家都在关注每天的股票上涨情况以及创造出了多少个千万富翁,却忽视了上市公司背后的压力和责任。 就在7月5日,中国第一家海外上市公司原创 2008-01-16 09:31:00 · 613 阅读 · 0 评论 -
中国版萨班斯法案明年起施行
昨日(4月26日),财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,连同此前发布的《企业内部控制基本规范》,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。 为确保企业内控规范体系平稳顺利实施,财政部等五部门制定了实施时间表:自201转载 2010-04-27 10:21:00 · 898 阅读 · 0 评论 -
不要一味相信安全顾问
中国的造词很有特色,比如顾问。顾名思义就是 顾顾,问问。前不久我在听一档关于律师对商业客户价值的广播时,节目谈到人们在风险保护方面太过依赖于律师了,律师口碑不好的原因之一是被滥用,我突然想到这和安全顾问是多么相似啊,如果要你快速给这两类人打分,他们的得分一定非常接近,因为他们之间有很多相似点,如:1、律师通常按小时收费,这是非常大的一笔开支,安全顾问也通常按小时付费,而且不会让你砍价,因为翻译 2010-04-09 19:40:00 · 772 阅读 · 2 评论 -
ITIL V3与ITIL V2的价值差异
之前有篇日志写了ITIL v3的介绍。这里说一下v3和v2才差异 ITIL V3自从2007年推出后,已经将近两年了,这两年时间足够令相关的研究者和爱好者能知晓这个名词。对于新的名词、概念或者技术推出后,往往会有三个时期存在较多的争论,最热闹的时候一般是刚推出或临近推出的时期,而后慢慢冷淡一段时间后,不少有机会深入这些新事物的人慢慢地又会有第二个阶段的争论,最后一个阶段常常是这个新事物真正转载 2010-04-09 19:48:00 · 965 阅读 · 0 评论 -
ITIL V3 介绍
已经拿了itil v2 的认证 特地升级到v3认证好像意义不大,但是还是有必要了解一下 v2和v3的区别。一起来看看朋友的itil v3介绍吧 在 20 世纪80 年代末期,英国商务部发布了ITIL。OGC 最初的目标是通过应用IT 来提升政府业务的效率;目标是能够将不同IT 职能之间缺乏沟通的状况降至最低。OCG 意识到有必要管理不同的IT 组件,例如硬件、软件、基于计算机的通信来提高原创 2010-04-06 20:43:00 · 1446 阅读 · 0 评论 -
wifi不可靠 无线局域网八大安全困惑
无线局域网被认为是一种不可靠的网络,除了加强网络管理以外,更需要测试设备的构建、实施、维护和管理。 尽管IT的寒冬还未渡过,但WLAN以其便利的安装、使用,高速的接入速度,可移动的接入方式赢得了众多公司、政府、个人以及电信运营商的青睐。但WLAN中,由于传送的数据是利用无线电波在空中辐射传播,无线电波可以穿透天花板、地板和墙壁,发射的数据可能到达预期之外的、安装在不同楼层、甚至是发射机所在的原创 2010-03-30 11:12:00 · 815 阅读 · 0 评论 -
五分钟教会你编写好的制度----制度速成手册
linkboy语:走过弯路不可怕,可怕的是下次继续走弯路。当公司发展到一定规模,不在是小作坊时,就需要一些规章制度来规范公司的管理。这样公司才能按照统一的要求去运行,才能形成“法”制(国家都在倡导法制社会了)。” 制定制度本身并不难,难的是制度的推广和执行。难以推广和执行地主要原因在于:1.制度本身的反复复杂,难以推广。2.制度的实施实际上是在改变员工的原有工作习惯。 所以转载 2010-03-11 17:46:00 · 1202 阅读 · 1 评论 -
ITIL流程管理六步走
体悟之一:以前目标管理,现在流程管理服务管理实施前后主要的变化,表面看增加了一些流程经理,增加了一些“领导”——事件经理、变更经理,配置经理,问题经理。其实公司的业务没有发生变化,以前做什么现在还做什么。以前什么事情自动默认“目标管理”——最快最短流程的完成目标结果。效率很高,但有时候会出错,事件缺乏跟踪的事情时有发生,总有愤怒的客户出现。有了流程管理增加了关键质量监控点,虽然短期内完成目转载 2010-02-11 16:26:00 · 756 阅读 · 1 评论 -
ITIL流程解析
总体来说,ITIL的包括六大操作性流程(五大服务支持流程+一个服务台流程,严格来说,其中服务台应该属于功能,而非流程)和五大战术流程(五大服务提供流程)。如果说企业的IT战略属于“战略层”的话,我们可以把服务提供称之为“战术层”,把服务支持称之为“运作层”。每个ITIL流程都包括五大要点:流程目标、基本概念、主要活动、好处与风险,以及关键绩效指标与报表。所有流程的结构图如下: 图1:转载 2009-07-22 11:28:00 · 3306 阅读 · 2 评论 -
10 大安全性防护守则
来源:microsoft法则 1:如果动机不良的人能够说服您在自己计算机上执行他的程序,那么该计算机便不再属于您。法则 2:如果动机不良的人能够在您的计算机上变更操作系统,那么该计算机便不再属于您。法则 3:如果动机不良的人能够无限制地实体存取您的计算机,那么该计算机便不再属于您。法则 4:如果您允许动机不良的人上载程序到您的网站,那么该网站便不再属于您。法则 5:强大的安全性敌不过脆弱的转载 2009-01-22 13:41:00 · 590 阅读 · 0 评论 -
基于ITIL的补丁管理
导读: ITIL并不能直接指导企业IT架构的日常维护和补丁升级操作,但ITIL涵盖了范围更为宽广的变更、分发和配置管理,从而使利用ITIL的思想和原则对企业的补丁管理流程进行规范成为可能。 企业在对IT架构实施补丁升级的过程中,会遇到相当多的问题。冗余低效的补丁分发方案、补丁记录缺失、高风险的补丁实施和没有制定有效的补丁撤销策略等是其中影响最大的问题。这些问题的存在,不但明显降低了原创 2008-07-06 13:17:00 · 669 阅读 · 0 评论 -
管理者:如何激发员工高绩效地工作?
导读: 我在公司从事软件项目管理也有两年时间,带过大大小小三个项目,这个问题从一开始到现在,为了解决这个问题,我做过很多实践,包括:对于做的出色的员工给予及时的表扬和鼓励;分配具有挑战性的工作任务;给予奖励,但是总是觉得这些措施都做了,但是还是无法完全让员工处于完全激发状态,绩效总是提升不上去,感觉大家都有不同程度的逃避困难的,工作量的工作,都想每天事情少一点,舒适多一些。 今天看原创 2008-06-10 09:40:00 · 541 阅读 · 0 评论 -
ISO27001实践总结(一)
ISO27001实践总结(一) By linkboy Linkboy2007@yahoo.com.cn 序: 近期负责公司ISO27001 08年的年审项目。在整个项目实施过程中收获颇丰。无论是对ISO27001的制度了解还是ISMS的管理实施都积攒了一定的经验。08年上市中或准备上市的公司不少,在这里和大家分享一下我的ISO27001实践经验。 正文: 一.什么是ISO27001 信息安原创 2008-07-21 17:27:00 · 1465 阅读 · 0 评论 -
从公司管理到IT审计(CISA) - 信息安全 - ChinaUnix.net
从公司管理到IT审计 一、管理 先来理解一下什么是管理,什么是治理。 假设有一个私人公司A,规模50人,年营业额5千万。这样的公司经营发展,老板最关心的是什么呢?是产品、生产、营销方面的竞争力,也就是说有好产 品能够生产出来、以合理的价格卖出去并实现资金回笼、然后再生产,公司通过物流和资金流的不断循环增值,得到发展壮大。在这一阶段,公司面临的最大风险可能是产品、财务、市场、人员等风险。 为原创 2008-01-18 11:07:00 · 674 阅读 · 0 评论 -
中国IT内审暗流涌动
导读: 中国IT内审暗流涌动 天气再热也热不过热火朝天的中国证券市场。2007年,股票成为我国全民关注的焦点。股市火爆的背后,谁在冷静思考? 2007年5月25日,企业内部控制标准委员会第三次全体会议在北京友谊宾馆低调举行。会议对企业内部控制规范征求意见稿和若干项具体规范讨论稿进行了深入讨论。可见,作为现代企业内控的重要手段和考量目标之一,IT内审重新引起了企业的广泛关注。原创 2008-01-09 21:07:00 · 1075 阅读 · 0 评论 -
解读SOX法案对中国运营商的影响
导读: 解读SOX法案对中国运营商的影响 摘要:SOX法案出台的主要目的是要通过补充一系列完善的公司管理机制,从而提升公司透明度来恢复投资者对上市公司的信心。 2004年11月中旬,以中国网通顺利于美国上市为标志,包括中国电信、中国移动、中国联通以及中国网通这中国四大基础电信运营商的上市征程终告完满。但这仅仅是一个开始,等待这些运营商的仍有诸多挑战,而萨班斯法案恰恰是国内运营商们原创 2008-01-09 21:01:00 · 1369 阅读 · 0 评论 -
IT风险管理研究框架
一、信息化面临的风险九十年代以来,信息技术得到了快速的发展和广泛的应用,信息化已成为全球经济社会发展的显著特征,并逐步向一场全方位的社会变革演进。当前,信息技术己深入到各行各业,甚至影响并改变着普通百姓的生活方式,信息资源也日益成为重要生产要素、无形资产和社会财富。由于国内经济的持续增长为信息化提供了良好的外部环境和充足的投入资金,各行各业的信息化呈现出一派欣欣向荣的景象,我国信息化在推行电子政务原创 2008-01-10 11:22:00 · 1985 阅读 · 0 评论 -
【信息安全】屁股决定脑袋的COSO内控框架,一篇对COSO的趣评 [转贴]
今天在BBS上看到有人转贴的一篇评价COSO的文章,一口气看完,觉得文采、分析都非常有特点,是我喜欢的类型 :) 故转贴之~~~~ 文章有点长,帮忙总结一下中心思想:) 文章作者主要想说明 CPA为了最大化自己的利益,制定出的COSO框架存在不少缺陷,一是内部控制的范围不够宽,没有包括本应是内部控制一部分的战略规划、风险管理和纠正行为。二是内部控制的目标从范围和内容上都不够准确,范围上来说原创 2007-11-07 10:39:00 · 1424 阅读 · 0 评论 -
BS7799, ISO/IEC 17799, ISO/IEC 27001容易混淆
BS7799, ISO/IEC 17799, ISO/IEC 27001容易混淆,但愿这个帖能有一些帮助。 1. 标准组织 BSI,英国标准协会 ISO,被国际标准化组织 IEC,国际电工委员会 2. 标准之间的关系 BS7799 是BSI针对信息安全管理而制定的一个标准,其最早始于1995 年.BS 7799分为两个部分: 第一部分,名为(Code of Practi转载 2007-11-05 20:45:00 · 1700 阅读 · 0 评论 -
ITIL学习心得-概念和现状了解
ITIL-Information Technlology Infrastructure LibraryITSM-IT Service ManagementCRM-Customer Relation ManagementSCM-Supply Chain Management说明:ITSM是IT服务管理,是企业IT的管理,CRM和SCM是企业的业务的管理服务现状:IT管理最早的概念就是设备管理原创 2007-05-29 20:53:00 · 2541 阅读 · 0 评论 -
ITSM:某省通信公司支撑系统服务管理案例
1)公司背景 某通信公司在全国30个省、自治区、直辖市设立了300多个分公司和子公司。经营的电信业务包括移动电话(包括GSM和CDMA)、无线寻呼、长途电话、本地电话、数据通信(包括因特网和IP电话业务)、电信增值业务,以及与主营业务有关的其他业务。某通信公司某省分公司是省级分公司,负责全省16个地市的电信运营管理,是某省电信行业的重要支柱。 某省通信公司现有业务支撑系统包括综合营账系统、原创 2007-05-29 20:54:00 · 1457 阅读 · 0 评论 -
如何成为一个安全管理员
首先安全管理员不是系统管理员,不能只能维护层面的东西,更不能由事件来驱动,而是按着自己的架构逐步实施。防毒、终端管理、审计、补丁、策略……这些在领导看来都是维护层面的东西,安全不能只做维护层面的事情,只在具体的点上解决安全问题,效果是不好。逐步建立起风险管理的文化,构建好IT控制框架和体系,与业务层面和管理层面尽可能结合,让安全渗透到企业的方方面面,这样慢慢用户会感觉所有风险都在控制之下,原创 2007-05-17 09:37:00 · 709 阅读 · 0 评论 -
调查显示五成IT员工在跳槽时窃取数据
据国外媒体最新报道,调查研究发现,近五成IT专业人士承认,自己的工作发生变动时,他们会带走大量数据--从文件清单至销售提议与合同,而且这些专业人士几乎遍布所有IT领域。据国际信息安全调查透露,接受调查的用户表示,他们根本不把公司的信息技术安全措施放在眼里,这些安全措施根本不会成为他们从公司外部获取数据或从公司带走数据的障碍。因此,这些受调查者似乎并不担心公司的安全人员,或者至少不会放在眼里。这些员原创 2007-05-13 10:10:00 · 516 阅读 · 0 评论 -
ITSM实施三招[案例]
当前国外成熟的ITSM解决方案的实施成本相对比较高,使一些对成本较敏感的的IT部门,成为ITSM实施的一个真空区。对于国内起步阶段的ITSM(IT服务管理)实施来说,南航的ITSM实施之路是一个借鉴。南航it环境在各大航空公司中,南航的it系统是比较完善和齐全的。经过7、8年的快速建设,南航现在已经拥有了11个大系统和许多小系统;拥有众多开发人员和维护人员,计算机中心员工达到200人;拥有多个机房原创 2007-05-16 21:15:00 · 1397 阅读 · 0 评论 -
实现ITSM知识库管理
面对日趋复杂的IT应用,多种多样的IT需求,如何提供高品质的IT运维支持,成为众多企业关注的核心问题。 IT服务管理(ITSM)作为一种基于ITIL(IT Infrastructure Library)标准的国际化管理规范和方法论,为企业提升信息化服务的效率,实现以服务为中心的高质量管理提供了有效帮助。作为ITSM的内容之一,知识库管理的重要性不容忽视。 运维知识要素: ◆ 记录IT应原创 2007-05-16 21:14:00 · 1381 阅读 · 0 评论