|
|
|
|
|
|
银行企业高度依赖信息科技,信息科技重在安全,而关注安全即关注风险。认识到信息科技风险作为银行风险重要组成部分,树立并强化全面的信息科技风险意识,着力加强和完善相关规划、建设和管理工作,继而建立全面的信息安全和信息科技风险管理体系,是银行企业面临的一项紧迫课题。 就信息科技风险管理整体性工作而言,银监会发布的《商业银行信息科技风险管理指引》无疑是国内各银行企业一致遵从的“标准”,但如何理解科技风险,如何解读合规要求,如何与商业银行IT内控对接,如何确保落地,往往给相关管理者带来诸多困惑。 安言咨询从事信息安全专业咨询,重点关注金融银行业,先后为包括建设银行、交通银行、农业银行、招商银行、广发银行等机构提供过专业咨询服务,对银行企业实施IT治理、信息科技风险管理和内控合规有着深刻的理解,并为此专门提出一套解决方案。 我们认为,银监会《商业银行信息科技风险管理指引》与国际权威的COSO-ERM企业全面风险管理框架有着高度的一致性,这意味着,银行企业在IT领域实施风险管理,必然遵循企业全面风险管理的总体框架,并与包括市场风险、信用风险、流动风险等在内的传统业务风险保持对接,...
信息安全保障人员认证体系是中国信息安全认证中心面向信息安全保障领域不同专业、行业、岗位、不同层次信息安全技术和管理人员的培训认证体系,特别是与信息安全工作直接密切相关的中高级管理人员、专业技术人员等推出的信息安全保障人员资格认证和专业水平认证。 CISAW认证依据RB/T 202-2013《信息安全保障人员认证准则》开展认证培训。通过CISAW认证,表明获证人员: 1. 通过了ISCCC-COP-R02《信息安全保障人员认证考试大纲》要求的相应从业方向、业务领域的技术知识水平与应用能力考试;(特别:预备级人员需通过信安中心认定的学历教育选修课程考试和基础课程考试) 2. 履行了ISCCC-COP-R01《信息安全保障人员认证规则》规定的义务; 3. 达到了信息安全保障人员应具有的职业素养、教育经历、从业经历的要求(预备级无从业经历要求); 4. 证书可作为有关证书采信部门对上岗人员要求的资格证明和能力证明。 所有获证人员除符合本准则要求之外,还应遵守本国或地区的有关法律、法规。 CISAW通过考试和其它评价方式证明获证人员具备了在一定的专业方...
信息安全保障人员认证(Certified Information Security Assurance Worker, CISAW)体系是中国信息安全认证中心( China Information Security Certification Center, ISCCC,简称:信安中心)历经六年磨砺,集约业界专家、企业精英、高校及研究机构学者参与打磨的针对信息安全保障不同专业技术方向、应用领域和保障岗位,依据国际标准IS0/IEC 17024 《人员认证机构通用要求》所建立的、不同层次的信息安全保障人员认证体系。 2014年, 为进一步落实习近平总书记在网络安全和信息化领导小组第一次工作会议上提出的加强国家信息人才队伍建设的指示,信安中心加大了推广力度,针对不同专业技术方向和行业应用领域授权了一批教学管理机构,主要从事CISAW的培训体系建设、教程开发、师资建设、培训组织机构和市场渠道推广工作。 信息系统安全集成人员认证是CISAW体系中技术专业类认证的一个技术方向,主要认证对象为专业从事信息系统安全集成相关的技术人员和管理人员。 更多详细信息请点击右侧相关文档预览查看,谢谢!
信息安全保障人员认证( Certified Information Security Assurance Worker, CISAW)体系是中国信息安全认证中心( CHINA INFORMATION SECURITY CERTIFICATION CENTER,ISCCC,简称:信安中心)历经六年磨砺,集约业界专家、企业精英、高校及研究机构学者参与打磨的针对信息安全保障不同专业技术方向、应用领域和保障岗位,依据国际标准IS0/IEC 17024《人员认证机构通用要求》所建立的、不同层次的信息安全保障人员认证体系。2014年,为进一步落实习近平总书记在网络安全和信息化领导小组第一次工作会议上提出的加强国家信息人才队伍建设的指示,信安中心加大了推广力度,针对不同专业技术方向和行业应用领域授权了一批教学管理机构,主要从事CISAW的培训体系建设、教程开发、师资建设、培训组织机构和市场渠道推广工作。 信息系统安全运维人员认证是CISAW体系中技术专业类认证的一个技术方向,主要认证对象为专业从事信息系统安全运维相关的技术人员和管理人员。 更多详细信息请点击右侧相关文档预览查看,谢谢!
当前,由于自然灾害及人为事故频繁发生,企业业务运作的不确定性和风险大幅度增加,而加强企业的业务连续性管理则成为打造最佳企业应急预案的必然选择。为了满足企业对统一的业务连续性管理国际标准的需求,ISO公共安全技术委员会ISO/TC 223,制定了ISO 22301:2012《公共安全—业务连续性管理体系-要求》标准。该国际标准采纳了全球利益相关方、合作者等各方意见和建议,于2012年发布实施。 ISO 22301:2012致力于使公共或私有部门的组织更具有适应性,其管理体系框架能够帮助企业制定一套一体化的管理流程计划,使企业对潜在的灾难加以辨别分析,帮助其确定可能发生的冲击对企业的运作造成的威胁,并提供一个有效的管理机制来阻止或抵消这些威胁,减少灾难事件给企业带来的损失。 什么是ISO22301业务连续性管理体系 ISO22301:2012《公共安全—业务连续性管理体系-要求》将帮助所有的组织,无论其规模大小、地域或开展的活动如何,在处理任何类型的风险时能更好地应对并更具信心。 在任何时候事故都能使组织的业务中断,采用ISO 22301标准将保证组织能够应对事故并保证其业务的持续运行。事故发生有多种类型,从严重的...
随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。安言咨询对于这方面内容提供专业的咨询服务。 一、信息安全服务资质简介 信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价。 应急处理服务是对影响计算机系统和网络安全的不当行为(事件)进行标识、记录、分类和处理,直到受影响的业务恢复正常运行的过程。(用1799概述里面一段一句的内容) 风险评估服务是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以求防范和化解信息安全风险,或将风险控制在可接受的水...
版权所有©上海安言信息技术有限公司 2014-2015
