为什么选择TISAX? 或者更确切地说,你为什么在看这篇文章? 为了回答这个问题,我们从通常来看是关注商业经营,尤其是信息的保护。 想象一下你的搭档。他有机密信息。他想和他的供应商——你分享。你和你的合作伙伴之间的合作创造了价值。合作伙伴与您共享的信息是创造价值的重要组成部分。因此,他想适当地保护它。他想确保你同样谨慎地处理他的信息。 但他怎么能确定他的信息可以被你妥当的保管呢?他不能仅仅是“相信”你。你的搭档需要看一些证据。 现在有两个问题。谁定义了信息“安全”处理的意义?接下来,你如何证明这一点? 你的搭档和你都不是第一次面对这些问题的唯一一人。几乎每个人都必须找到答案,而且大多数答案都有相似之处。 每次您必须独立地为一个常见问题创建一个解决方案时,如果有一种标准的方法,就可以减轻从头开始创建所有东西的负担。虽然定义一个标准是一项巨大的工作,但它只做了一次,而且它的追随者每次都从中受益。 对于保护信息的正确做法,肯定有不同的看法。但是,由于上述好处,大多数公司都乐于采用标准。标准是针对给定挑战的所有经过验证和时...
一、软件安全开发度量指标的定义与作用 (一)什么是软件安全开发度量指标 银监会在发布的《商业银行操作风险管理指引》中,将度量指标定义为“代表某一风险领域变化情况并可定期监控的统计指标”。软件安全开发度量指标可用于监测系统开发过程中以及系统上线后发现的各项风险及控制措施,并作为反映风险变化情况的早期预警指标,开发团队以及安全团队可根据预警信息及早采取措施,提升开发安全质量,防范应用及系统安全风险。 (二)软件安全开发度量指标的作用 安言咨询建立完善的软件安全开发度量指标可以为全面风险管理实施提供切实的支持,并可以在如下三方面实现显著提升。 1.提高风险监控的及时性 软件安全开发度量指标的首要用途是可以帮助客户方内部在不需要进行复杂的模型运算的前提下,就可以及时了解风险暴露的变化状况。显然对于软件安全开发度量指标的监测频率可以远远高于计算经济资本的频率。这种及时性可以显著提升客户方内部对于风险趋势的把握能力。 2.提高经营决策的前瞻性 对于软件安全开发度量指标的持续监测和分析,安言咨询可以帮助客户方内部有效把握各...
ISO20000是第一部针对信息技术服务管理(IT Service Management)领域的国际标准,它于2005年12月15日发布。作为认证组织的IT运营和服务管理水平的国际标准,IT服务管理国际标准ISO/IEC 20000-1:2011新版于2011年4月12日正式发布,新版融入了ISO20000至2005年发布以来业界的实践经验(截止目前,中国已有100多家企业通过了相关认证)和行业新的变化(云计算、绿色IT新技术新理念的出现,ITILv3、ISO9000改版、ISO27000等的改版),从整体到细节对ISO/IEC 20000-1:2005版进行了修订 ISO20000具体规定了IT服务管理行业向企业及其客户有效地提供服务的、一体化的管理过程以及过程建立的相关要求,帮助识别和管理IT服务的关键过程,保证提供有效的IT服务以满足客户和业务的需求。它着重于通过“IT服务标准化”来管理IT问题,即将IT问题归类,识别问题的内在联系,然后依据服务级别协议进行计划、管理和监控,并强调与客户的沟通。 l 什么是IT服务管理 IT服务管理作为一个新兴的领域受到人们日益广泛的关注,在其发展过程中也出现了多种定义。 世界IT领域的权威研究机构加特纳认为,IT服务管理是一套通过服务级别协议(SLA)来保证IT服务质量的协同流程,它融合了系统管理、...
信息安全发展至今,人们越来越认识到安全管理在整个信息安全建设过程中的重要性,而作为信息安全管理方面最著名的国际标准——ISO/IEC 27001(即之前所称的BS7799标准),则成为可以指导我们现实工作的最好的参照,它也是认证审核的标准。 信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。2000年,国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订,BS7799-2也于2005年被采用为ISO/IEC 27001:2005。ISO组织在2013年再次进行改版,发布了ISO/IEC 27001:2013版. ISO/IEC 27001标准,旨在规范、引导信息安全管理体系的发展过程和实施情况。ISO/IEC 27001标准被外界认为是一个不偏向任何技术、任何企业和产品供应商的价值中立的管理体系。只要实施得当,ISO/IEC 27001标准将帮助企业检查并确认其信息安全管理手段和实施方案的有效性。从企业外部来看,ISO/IEC 27001关注信息的可用性、机密性和完整性,至今这仍然是这项标准致力达到的目标。 l 什么是信息安全管理 ISO/IEC 27001标准,为建...
安全基线是一个信息系统的最小安全保证,即该信息系统最基本需要满足的安全要求。信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡,而安全基线正是这个平衡的合理的分界线。不满足系统最基本的安全需求,也就无法承受由此带来的安全风险,而非基本安全需求的满足同样会带来超额安全成本的付出,所以构造信息系统安全基线己经成为系统安全工程的首要步骤,同时也是进行安全评估、解决信息系统安全性问题的先决条件。 安言咨询为企业提供的信息系统全生命周期安全基线工作是以《国家信息系统安全等级保护基本要求》为基础,以相关行业信息安全及风险监管条例安全基线要求、信息安全技术信息系统通用安全技术要求、信息安全技术操作系统安全技术要求、信息安全技术数据库管理系统安全技术要求、信息安全技术服务器安全技术要求为参考,结合互联网应用环境中高危风险威胁分析,及客户方信息系统安全管理和安全技术现状,对服务端操作系统、中间件、数据库、应用系统,针对安全技术方面提出的不同安全等级的保护要求制定基线标准。 安全基线的梳理工作需要对操作系统、中间件、数据库各个版本的特性及区别以及应用系统的安全需求进行调...
根据中国银行业监督管理委员会的《电子银行业务管理办法》要求,在境内开展电子银行业务的金融机构应定期对电子银行系统进行安全评估,并将其作为电子银行风险管理的重要组成部分。 安言咨询将根据中国银监会的《电子银行安全评估指引》和《网上银行安全评估内部审核规范》,参照《电子银行业务管理办法》、《网上银行系统信息安全通用规范》等相关制度规范的要求,开展电子银行安全评估工作。 1.符合性核查依据 本次电子银行安全评估工作主要依据以下政策法规和标准规范: 《电子银行安全评估指引》(中国银行业监督管理委员会) 2.项目进度及范围 依据《电子银行业务管理办法》的要求在风险管理架构和制度、安全策略文档、系统安全性及业务连续性四个主要安全域,包括了安全策略、内控制度建设、系统安全性、业务连续性、业务应急、风险管理状况及风险预警七方面内容对电子银行进行综合评估。 2.1项目评估范围 具体安全评估内容及评估执行级别请见下表: 评估域 评估项 风险管理架构和制度 电子银行业务高级管理职责和制度设计 董事会和高管层的认识和支持 电子银行业务管理部门岗位设...