|
|
|
|
|
|
安言咨询从事信息科技风险专业咨询,重点关注金融银行业,先后为包括建设银行、交通银行、农业银行、招商银行、广发银行等机构提供过专业信息科技咨询服务,对银行企业实施IT治理、信息科技风险管理和内控合规有着深刻的理解,并为此专门提出一套解决方案。 1.银行信息科技风险 定义银行信息科技风险,既要考虑银行的金融特性,又要考虑信息技术本身的特点。银行作为金融机构,其信息化程度会影响资金融通活动的过程,本身存在着决策问题,因为信息科技某些因素的变化导致银行资金、财产、信誉遭受损失。 银行信息科技风险是指银行在使用信息技术过程中,由于信息技术因素或与信息技术相关因素,导致银行经营不确定、管理不利,并最终导致资金、财产、信誉遭受损失的可能性。其中的信息技术包括计算机硬件、软件、网络通讯设备,各种银行终端设备等。 2.银行信息科技风险特点 技术性。银行信息科技实质就是利用现代信息技术改造银行经营、管理方式,从而提高生产效率的过程,它涉及现代计算机技术、网络通讯技术、安全技术等多方面技术要素,具有技术含量极高的特性。 突发性。主要体现在两个方面,一是自然灾害的突发性,即由于信息技术领域的基础设施遭到破坏,造成银行财...
梳理企业相关结构化及非结构化数据,围绕数据全生命周期建立保障机制,通过数据分类、数据风险评估、数据安全监控和数据审计防护模型。建立数据政策和安全防护体系,满足数据治理及合规要求,协助客户有效规避数据泄露和不恰当使用风险。
1. 信息安全度量的定义 1.1什么是度量在物理和数学领域,度量的定义为“用拓扑空间的二值函数,给出空间中任意两点之间距离的值,或者是用于分析的距离的近似值。”我们可以认为,“几乎任何量化问题空间并得出值的情况,都可能看作是度量”。传统的企业管理领域有一条准则——不能测量的东西就不能管理;这条准则也同样适用于信息安全管理领域。 1.2什么是信息安全度量 行业的实践经验表明,企业在完成了网络安全架构和安全管理建设的基础建设之后,常常会遇上安全管理落地难、检查难的问题。安全内控度量则是针对此问题的解决方案。信息安全内控度量可以理解为在企业内部信息安全管理中通过采用系统的、量化的、有效的手段对信息安全管理的现状进行测量和评价,从而发现潜在的安全控制弱点,切实推动安全管理规范的落地,持续提升组织的信息安全管理水平。 2. 信息安全度量体系建设意义 2.1 度量的优势 以往对信息安全管理情况的评价大多采用定性评价,定性评价的优点在于能够对无法量化的制度建设、流程控制、日常操作等方面进行一个较为客观的评价,但定性评价的缺点也很明显,由于无法对评价结果进行量化,只能人为的对评价结果进行大致分级,这就有可能因为评价者自身...
一、 什么是IT多管理体系融合咨询 随着信息技术的不断发展深化,企业开始逐步通过建设各类管理体系并通过认证来提升自己的管理水平,常见的管理体系包括ISO27001 信息安全管理体系、ISO20000 IT服务管理体系等,为了确保企业内部各类管理体系的有效运转,提升管理体系运作效率,降低类似工作的重复开展,企业有必要开展多管理体系融合咨询活动,常见的IT管理体系融合一般是将信息安全管理体系与IT服务管理体系进行融合,部分企业为了提高整体业务水平,还通过了ISO9000质量管理体系,在这种情况下,也需要考虑与质量管理体系的融合。 二、 多体系融合的重要意义 1. 提升工作效率 通过开展IT多体系融合工作,可以将管理体系共性的内部审核、绩效评价、管理评审、纠正预防等工作的开展实现同步开展,简化工作流程,提高工作效率。 2. 明确工作事项 通过开展IT多体系融合工作,可以将各管理体系之间的部分进行有效梳理,通过对相关体系文件的修订完善,实现各管理体系具体要求之间的有效关联映射,避免各项具体要求的重复或冲突。 3. 便于考核评价 通过开展IT多体系融合工作,可以将针对各管理体系的考核评价进行有机整合,从实现对企业自身信息安全管理和IT服务管理的综合评价...
为了让IT环境适应整个企业发展的需要,企业通常会实施与其战略目标相一致的IT规划,这其中,作为有效防范和化解IT风险,并保证信息系统平稳运行和业务持续开展的重要环节,信息安全发展规划尤其重要。从整体来看,信息安全发展规划,既要遵循IT规划的框架和模式,又要充分考虑信息安全的特殊性,是一项专业要求非常高的工作。安言咨询经历在银行、电力、通讯、重点企业等领域长期的实践,积累了丰富的经验,总结并构建了一套成熟的信息安全规划方法和实施框架,并借此为有意通过整体规划来推动信息安全稳健发展的企业提供帮助。 安言咨询信息安全及IT风险管理整体解决方案 安言咨询风险管理框架采用ISO 31000:2009《风险管理—原则与指南》国际标准,作为实施风险评估的主要标准依据。针对安全策略层面、安全管理层面、组织结构和管理制度层面和信息安全技术四个方面提供全面的风险评估过程,识别、分析和处置相关风险,形成综合性信息科技风险管理框架。 风险评估是信息安全管理体系(ISMS)建设一项非常重要的活动,基于企业信息安全风险评估的结果,项目组可以更加深入地阐明企业信息安全管理现状,以及企业业务运营的特定环境中存在的信息安全隐患。通过对潜在信息安全风...
什么是信息安全等级保护? 从外部环境来看,信息安全已经成为近几年信息化建设的热点话题,如何保障信息系统的安全已经成为国家关注的焦点,从27号文件开始,国家陆续出台了一系列的安全政策和标准,提出了以“适度安全、分级保护”为核心的等级保护建设思路,公安部、保密局、国密办以及国信办陆续出台政策,要求国内重要的信息系统应按照等级保护的办法和要求,进行相关安全防护系统的建设,并于2007年启动了等级保护的定级备案工作。等级保护针对信息安全系统建设的过程,提出了具体的管理办法和实施指南,并对信息安全系统提出了技术和管理方面的建设要求。 信息安全等级保护系列标准关系图等级保护实施内容<!--[if !supportLists]-->l <!--[endif]-->信息系统等级保护定级方法 信息系统等级保护实施方法企业将在下阶段逐步启动安全等级评估、安全体系设计、安全体系建设和安全运维建设等活动,各阶段的主要工作应包括: 安全等级评估 该阶段可由企业信息管理部门牵头,应针对企业信息网络进行安全风险评估服务,完成安全等级评估和安全保障体系的规划工作,具体任务包括: 对信息系统进行安全等级评估是国家推行等级保护制...
版权所有©上海安言信息技术有限公司 2014-2015
