|
|
|
|
|
|
為什么選擇TISAX? 或者更確切地說,你為什么在看這篇文章? 為了回答這個問題,我們從通常來看是關注商業經營,尤其是信息的保護。 想象一下你的搭檔。他有機密信息。他想和他的供應商——你分享。你和你的合作伙伴之間的合作創造了價值。合作伙伴與您共享的信息是創造價值的重要組成部分。因此,他想適當地保護它。他想確保你同樣謹慎地處理他的信息。 但他怎么能確定他的信息可以被你妥當的保管呢?他不能僅僅是“相信”你。你的搭檔需要看一些證據。 現在有兩個問題。誰定義了信息“安全”處理的意義?接下來,你如何證明這一點? 你的搭檔和你都不是第一次面對這些問題的唯一一人。幾乎每個人都必須找到答案,而且大多數答案都有相似之處。 每次您必須獨立地為一個常見問題創建一個解決方案時,如果有一種標準的方法,就可以減輕從頭開始創建所有東西的負擔。雖然定義一個標準是一項巨大的工作,但它只做了一次,而且它的追隨者每次都從中受益。 對于保護信息的正確做法,肯定有不同的看法。但是,由于上述好處,大多數公司都樂于采用標準。標準是針對給定挑戰的所有經過驗證和時...
一、軟件安全開發度量指標的定義與作用 (一)什么是軟件安全開發度量指標 銀監會在發布的《商業銀行操作風險管理指引》中,將度量指標定義為“代表某一風險領域變化情況并可定期監控的統計指標”。軟件安全開發度量指標可用于監測系統開發過程中以及系統上線后發現的各項風險及控制措施,并作為反映風險變化情況的早期預警指標,開發團隊以及安全團隊可根據預警信息及早采取措施,提升開發安全質量,防范應用及系統安全風險。 (二)軟件安全開發度量指標的作用 安言咨詢建立完善的軟件安全開發度量指標可以為全面風險管理實施提供切實的支持,并可以在如下三方面實現顯著提升。 1.提高風險監控的及時性 軟件安全開發度量指標的首要用途是可以幫助客戶方內部在不需要進行復雜的模型運算的前提下,就可以及時了解風險暴露的變化狀況。顯然對于軟件安全開發度量指標的監測頻率可以遠遠高于計算經濟資本的頻率。這種及時性可以顯著提升客戶方內部對于風險趨勢的把握能力。 2.提高經營決策的前瞻性 對于軟件安全開發度量指標的持續監測和分析,安言咨詢可以幫助客戶方內部有效把握各...
ISO20000是第一部針對信息技術服務管理(IT Service Management)領域的國際標準,它于2005年12月15日發布。作為認證組織的IT運營和服務管理水平的國際標準,IT服務管理國際標準ISO/IEC 20000-1:2011新版于2011年4月12日正式發布,新版融入了ISO20000至2005年發布以來業界的實踐經驗(截止目前,中國已有100多家企業通過了相關認證)和行業新的變化(云計算、綠色IT新技術新理念的出現,ITILv3、ISO9000改版、ISO27000等的改版),從整體到細節對ISO/IEC 20000-1:2005版進行了修訂 ISO20000具體規定了IT服務管理行業向企業及其客戶有效地提供服務的、一體化的管理過程以及過程建立的相關要求,幫助識別和管理IT服務的關鍵過程,保證提供有效的IT服務以滿足客戶和業務的需求。它著重于通過“IT服務標準化”來管理IT問題,即將IT問題歸類,識別問題的內在聯系,然后依據服務級別協議進行計劃、管理和監控,并強調與客戶的溝通。 l 什么是IT服務管理 IT服務管理作為一個新興的領域受到人們日益廣泛的關注,在其發展過程中也出現了多種定義。 世界IT領域的權威研究機構加特納認為,IT服務管理是一套通過服務級別協議(SLA)來保證IT服務質量的協同流程,它融合了系統管理、...
信息安全發展至今,人們越來越認識到安全管理在整個信息安全建設過程中的重要性,而作為信息安全管理方面最著名的國際標準——ISO/IEC 27001(即之前所稱的BS7799標準),則成為可以指導我們現實工作的最好的參照,它也是認證審核的標準。 信息安全管理實用規則ISO/IEC27001的前身為英國的BS7799標準,該標準由英國標準協會(BSI)于1995年2月提出,并于1995年5月修訂而成的。2000年,國際標準化組織(ISO)在BS7799-1的基礎上制定通過了ISO 17799標準。BS7799-2在2002年也由BSI進行了重新的修訂。ISO組織在2005年對ISO 17799再次修訂,BS7799-2也于2005年被采用為ISO/IEC 27001:2005。ISO組織在2013年再次進行改版,發布了ISO/IEC 27001:2013版. ISO/IEC 27001標準,旨在規范、引導信息安全管理體系的發展過程和實施情況。ISO/IEC 27001標準被外界認為是一個不偏向任何技術、任何企業和產品供應商的價值中立的管理體系。只要實施得當,ISO/IEC 27001標準將幫助企業檢查并確認其信息安全管理手段和實施方案的有效性。從企業外部來看,ISO/IEC 27001關注信息的可用性、機密性和完整性,至今這仍然是這項標準致力達到的目標。 l 什么是信息安全管理 ISO/IEC 27001標準,為建...
安全基線是一個信息系統的最小安全保證,即該信息系統最基本需要滿足的安全要求。信息系統安全往往需要在安全付出成本與所能夠承受的安全風險之間進行平衡,而安全基線正是這個平衡的合理的分界線。不滿足系統最基本的安全需求,也就無法承受由此帶來的安全風險,而非基本安全需求的滿足同樣會帶來超額安全成本的付出,所以構造信息系統安全基線己經成為系統安全工程的首要步驟,同時也是進行安全評估、解決信息系統安全性問題的先決條件。 安言咨詢為企業提供的信息系統全生命周期安全基線工作是以《國家信息系統安全等級保護基本要求》為基礎,以相關行業信息安全及風險監管條例安全基線要求、信息安全技術信息系統通用安全技術要求、信息安全技術操作系統安全技術要求、信息安全技術數據庫管理系統安全技術要求、信息安全技術服務器安全技術要求為參考,結合互聯網應用環境中高危風險威脅分析,及客戶方信息系統安全管理和安全技術現狀,對服務端操作系統、中間件、數據庫、應用系統,針對安全技術方面提出的不同安全等級的保護要求制定基線標準。 安全基線的梳理工作需要對操作系統、中間件、數據庫各個版本的特性及區別以及應用系統的安全需求進行調...
根據中國銀行業監督管理委員會的《電子銀行業務管理辦法》要求,在境內開展電子銀行業務的金融機構應定期對電子銀行系統進行安全評估,并將其作為電子銀行風險管理的重要組成部分。 安言咨詢將根據中國銀監會的《電子銀行安全評估指引》和《網上銀行安全評估內部審核規范》,參照《電子銀行業務管理辦法》、《網上銀行系統信息安全通用規范》等相關制度規范的要求,開展電子銀行安全評估工作。 1.符合性核查依據 本次電子銀行安全評估工作主要依據以下政策法規和標準規范: 《電子銀行安全評估指引》(中國銀行業監督管理委員會) 2.項目進度及范圍 依據《電子銀行業務管理辦法》的要求在風險管理架構和制度、安全策略文檔、系統安全性及業務連續性四個主要安全域,包括了安全策略、內控制度建設、系統安全性、業務連續性、業務應急、風險管理狀況及風險預警七方面內容對電子銀行進行綜合評估。 2.1項目評估范圍 具體安全評估內容及評估執行級別請見下表: 評估域 評估項 風險管理架構和制度 電子銀行業務高級管理職責和制度設計 董事會和高管層的認識和支持 電子銀行業務管理部門崗位設...
