摘要:如果单说风险管理的话,这个范围包含的内容太广了,不是简简单单一篇文章可以介绍完的。本篇暂时先不对风险管理进行过多展开,只是稍作介绍引出信息安全风险评估,因为风险评估在信息安全领域,占有非常重要的位置。 一、如何理解风险管理? 如何理解“管理”在《关于管理的定义与解释》中已经很详细的阐述过了,风险管理 阅读全文
信息安全管理02_信息安全内涵与外延
2020-08-03 11:01 by 微言晓意, 671 阅读, 0 推荐, 收藏, 编辑
摘要:这些年随着众多安全标准的推广普及,人们对信息安全的认知慢慢趋向一致,到底什么是「信息安全」在安全行业内,已经没有什么太大的分歧与争论了。所以今天这一篇,针对信息安全内涵只是简单做一个总结,没有什么新的东西。在信息安全外延方面,根据近些年安全行业的发展,谈谈自己的一些感受。 信息安全保护的对象是信息资 阅读全文
信息安全管理01_关于管理的定义与解释
2020-08-03 10:59 by 微言晓意, 606 阅读, 0 推荐, 收藏, 编辑
摘要:信息安全管理,涉及安全,也涉及管理,从本质来说属于管理范畴,但管理的内容与对象又是安全,所以脱离安全谈管理也没有意义。基于这个逻辑关系,本系列文章会以信息安全管理方法与过程为主线,重点介绍各项信息安全最佳实践,同时也会涉及到IT风险管理等相关领域的一些内容。 任何领域知识的学习,第一件要做的事情就是 阅读全文
沧海桑田,看风险评估在这十五年间的变化与演进
2020-08-02 21:23 by 微言晓意, 332 阅读, 0 推荐, 收藏, 编辑
摘要:15年前,如果你懂风险评估,那你是安全行业的大牛;10年前,如果你懂风险评估,那你在安全行业可以找个不错的工作;15年后的今天,你说你懂风险评估,大部分可能会说「什么年代了,聊这个太Low了吧」。 风险评估应该算是安全服务、安全咨询,最为重要的一个组成部分,相信大部分人对它都有着难以割舍的情感。所以 阅读全文
安全建设从扁鹊三兄弟,到程咬金的三板斧
2020-08-02 21:21 by 微言晓意, 370 阅读, 0 推荐, 收藏, 编辑
摘要:在《如果身处企业高管的位子,你会关心哪些安全问题?》的文章结尾,我提出「扁鹊三兄弟」的故事已经过时了,应该多多提倡「程咬金三板斧」的思路。 相信很多安全从业者,尤其是安全顾问,都接触过「扁鹊三兄弟」的故事,其核心的内容是: 扁鹊大哥推行「七分养、三分治」,在病人发病前就将疾病治好了,因此没有人觉得大 阅读全文
基于主动防御能力,建设安全运营体系的一点思考
2020-08-02 21:19 by 微言晓意, 830 阅读, 0 推荐, 收藏, 编辑
摘要:在网络安全2.0开局之年的2014年,人们对下一代安全防御体系,应该说是既憧憬又迷茫,既期盼又陌生,既感受到了传统安全体系的不足、又对严峻的安全新形势有点不知所措。 转眼短短四年后的2018年,我们再来看看下一代安全防御体系,不仅发展趋势与方向已经得到了共识,思路、方法、技术也是日趋完善成熟,相关产 阅读全文
如果身处企业高管的位子,你会关心哪些安全问题?
2020-08-02 21:17 by 微言晓意, 288 阅读, 0 推荐, 收藏, 编辑
摘要:在《基于主动防御能力,建设安全运营体系的一点思考》文章中,提到了在下一代安全体系建设中的两个主要目标,一个是提高主动安全防御能力,另外一个是提高整体安全运营的能力。 从技术角度来看,这两个安全体系建设的目标,的确是与当前的发展趋势是相符的。但这几天我突然在想,这样描述是不是太技术化了?企业高级管理层 阅读全文
这些年我对安全成熟度模型的一点点思考
2020-08-02 21:15 by 微言晓意, 809 阅读, 0 推荐, 收藏, 编辑
摘要:在多年安全咨询的职业与项目经历中,一直钟爱并经常使用的一个工具,就是安全成熟度模型。安全成熟度模型既能够清晰地展示安全全貌,又能为安全工作提供明确的努力方向与建设目标。因此,安全成熟度模型不仅是很棒的咨询工具,更是为企业安全建设指引方向的灯塔。 #####1、传统安全成熟度模型及其存在问题 从安全的 阅读全文
OODA循环在网络安全运营平台建设中的应用
2020-08-02 21:14 by 微言晓意, 810 阅读, 1 推荐, 收藏, 编辑
摘要:OODA循环最早用于信息战领域,在空对空武装冲突敌对双方互相较量时,看谁能更快更好地完成“观察—调整—决策—行动”的循环程序。 双方都从观察开始,观察自己、观察环境和敌人。基于观察,获取相关的外部信息,根据感知到的外部威胁,及时调整系统,做出应对决策,并采取相应行动。 #####一、OODA循环网络 阅读全文
UEBA如何在企业有效地应用与落地
2020-08-02 21:13 by 微言晓意, 566 阅读, 0 推荐, 收藏, 编辑
摘要:作为一种高级网络安全威胁检测手段,用户实体行为分析(UEBA)这个网络安全市场的新成员,这两年一直备受关注。我们来看一下市场分析定位,就能感受到用户实体行为分析(UEBA)的发展速度了。 2014年,Gartner发布了用户行为分析(UBA)市场界定; 2015年,Gartner将用户行为分析(UB 阅读全文
自适应安全框架(ASA)在网络安全2.0新防御体系中的应用
2020-08-02 20:55 by 微言晓意, 3296 阅读, 1 推荐, 收藏, 编辑
摘要:随着云计算、大数据、移动互联、物联网等新技术的成熟,社交网络、电子商务、智慧城市的发展,已经使人们的生活全面走进了由网络所构建的虚拟世界。 随着网络承载的事务越来越丰富,其所面临的安全威胁也越来越多,针对关键信息基础设施的高级威胁持续增加,安全威胁变得更加具有针对性、技术含量也更高。 在这种严峻的网 阅读全文
2.0新防御体系下,网络安全成熟度模型以及各级别安全关键实践
2020-08-02 20:48 by 微言晓意, 915 阅读, 0 推荐, 收藏, 编辑
摘要:在前一篇《网络安全2.0主动防御体系有哪些新思路?》的文章中,我们提出当前网络安全的内涵与外延已经发生了很大的变化,安全已经扩展到全方位的网络空间领域。 与此同时,网络安全成熟度及建设目标也随之发生了扩展,在以“安全合规”为导向的体系化阶段的基础上扩展了两个级别,即以“量化控制”为特征的主动性防御阶 阅读全文
网络安全2.0主动防御体系有哪些新思路?
2020-08-02 20:47 by 微言晓意, 889 阅读, 0 推荐, 收藏, 编辑
摘要:在上一篇《为什么说当前网络安全已经进入了2.0时代?》的文章中,我们系统阐述了当前国内从传统的信息安全时代,已经过渡到了网络安全2.0时代。 从信息安全1.0时代跨入网络安全2.0时代,传统的信息安全被动防御体系已经无法适应当前形势,以积极防御为标志的网络安全新防御体系2.0时代已经来临。 那么,网 阅读全文
为什么说当前网络安全已经进入了2.0时代?
2020-08-02 20:46 by 微言晓意, 822 阅读, 0 推荐, 收藏, 编辑
摘要:随着组织信息化程度越来越高,云计算、大数据、移动互联网、物联网等新兴技术的发展与落地,传统信息安全的边界越来越模糊,新的攻击形态层出不穷,对信息安全的威胁正变得更加智能化和复杂化。 没有信息化就没有现代化,没有网络安全就没有国家安全,近年来,网络安全形势快速发展,已经从1.0时代跨入2.0时代,传统 阅读全文
国内外云计算安全相关认证大搜罗
2020-08-02 20:44 by 微言晓意, 660 阅读, 0 推荐, 收藏, 编辑
摘要:随着云计算的出现,云存储、云服务的广泛应用,云安全相关标准及认证也快速发展。近些年来,很多组织陆续推出了一些云安全相关标准,与此同时,一些机构也推广云安全相关认证服务。本文将主要的云安全相关测评认证进行一个简单介绍。 #####1、德国可信云计算认证 德国可信云计算认证是面向大众市场的认证,目的是帮 阅读全文
国内外云安全研究组织机构大罗列
2020-08-02 20:42 by 微言晓意, 624 阅读, 0 推荐, 收藏, 编辑
摘要:随着云计算的出现,云存储、云服务的广泛应用,云安全相关标准及认证也快速发展。近些年来,很多组织陆续推出了一些云安全相关标准,与此同时,一些机构也推广云安全相关认证服务。 目前云安全标准相关组织机构,可以简单分为云安全标准组织、云安全研究组织、云安全认证组织,本文将主要的云安全标准组织、研究组织进行一 阅读全文
云安全涉及的内容到底包含几个意思
2020-08-02 20:40 by 微言晓意, 712 阅读, 0 推荐, 收藏, 编辑
摘要:如今云计算在各领域的应用飞速发展,云计算的安全防护也逐渐被提上日程,云安全相关的产品、标准、认证也搞得如火如荼。 那么,云安全所涉及到的内容,到底包含哪些方面呢?通过本文来进行一下梳理。 #####可靠的云Safe Cloud 可靠的云是指云能够提供持续可靠的服务,不发生中断,不因故障给租户或用户带 阅读全文
安全咨询到底应不应该负责落地?
2020-08-02 20:38 by 微言晓意, 183 阅读, 0 推荐, 收藏, 编辑
摘要:安全咨询应该负责落地吗?当然不负责落地! 上周五下班时间,某金融科技风险管理交流群里,有人发消息问“软件安全生命周期管控、数据安全生命周期管控、等保2.0都落地”的咨询项目,大概得需要多少钱。 一石激起千层浪,沉默许久的群里开始热闹起来,有人说这些都没法落地,有人说多少钱都能给造造完了,我对这个有意 阅读全文
从王熙凤出场谈咨询顾问需要具备的控场能力
2020-08-02 20:33 by 微言晓意, 293 阅读, 0 推荐, 收藏, 编辑
摘要:王熙凤是《红楼梦》中非常关键的一个人物,她主持荣国府,协理宁国府,是贾府的实际当权人物。 外界对王熙凤有着非常高的评价,在这些评价中,大多数都不约而同的提到了她的领导能力,对其在贾府中所做的管理工作都大加赞许,更有人认为她是《红楼梦》中的女曹操。 由此可见,王熙凤在领导能力、管理方法上,确实有着非同 阅读全文
顾问本身就是一种Title
2020-08-02 20:30 by 微言晓意, 861 阅读, 0 推荐, 收藏, 编辑
摘要:在绝大多数情况下,一个人的Title是表示其身份与地位的,不同的Title代表不同的职务、职位与级别。这关系到一个人的面子问题,所以自然而然的变得十分重要,甚至有时还会上升到政治的高度。以前经常讲过类似的一个段子,是说如果一个单位有个姓傅的正主任,还有一个姓郑的副主任,那这个单位的人在与领导打招呼的 阅读全文
企业成功与核心竞争力
2020-08-02 20:28 by 微言晓意, 133 阅读, 0 推荐, 收藏, 编辑
摘要:任何一个企业想要取得成功,首先得问问自己那个「成功」的,为什么不是别人而是你?因为能够取得成功的毕竟是一个小概率事件。如果想不明白这个问题,那一定是取得不了成功的,或者说绝无可能会取得持续成功的。 企业失败的原因有千万条,取得成功则只有一条,那就是所谓的「核心竞争力」。每个企业的核心竞争力各有不同, 阅读全文
咨询顾问与逻辑思客
2020-08-02 20:24 by 微言晓意, 515 阅读, 0 推荐, 收藏, 编辑
摘要:前言:为了不让自己明年这个时候,仍然留下没有坚持码字的遗憾,鼓起勇气燃烧小宇宙半小时后,咬着后槽牙挣扎着将自己推到电脑前面。告诉自己一定要写点什么!写什么好呢?干了十五年安全,十年咨询,别的咱也不会呀!So,还得和自己的老本行相关。 如果照以前写专业点的文章,不但费时间还得耗死不少脑细胞,可读性也不 阅读全文
最重要与靠不住之间如何平衡
2020-08-02 20:23 by 微言晓意, 110 阅读, 0 推荐, 收藏, 编辑
摘要:在市场环境中,企业和员工都是双向选择的,只要不违反相关的法律法规,无论是企业裁员还是员工离职,都是再正常不过的事情。企业裁员无非是两种情况,要么是业务发展没有达到预期,需要减小规模控制成本;要么是员工绩效考核不达标,企业希望优胜劣汰、补充新鲜血液。 员工自己提出辞职情况要比企业裁员复杂的多,毕竟大多 阅读全文
《网络借贷信息中介机构业务活动管理暂行办法》
2020-08-02 13:32 by 微言晓意, 351 阅读, 0 推荐, 收藏, 编辑
摘要:2015年12月28日,银监会会同工业和信息化部、公安部、国家互联网信息办公室等部门,发布了《网络借贷信息中介机构业务活动管理暂行办法(征求意见稿)》,并向社会公开征求意见。 此次《办法》征求意见的截止日期是2016年1月27日,后续应该还会根据意见进行最后修订,如果顺利的话,预计在2016年中旬可 阅读全文
商业银行法律法规与监管要求汇总
2020-08-02 13:30 by 微言晓意, 1776 阅读, 1 推荐, 收藏, 编辑
摘要:俗话说「不以规矩,不成方圆」 每一个行业,都有自己要遵守的规矩。这个规矩,包括需要遵守的国家相关法律、法规,也包括行业监管制度、规范。 那么,商业银行需要遵守哪些方面的法律、法规与监管要求呢?在这里简单罗列一下: #####1、银行业相关法律 包括《银行业监督管理法》、《商业银行法》、《反洗钱法》等 阅读全文
银行科技风险监管合规应对思路
2020-08-02 13:29 by 微言晓意, 584 阅读, 0 推荐, 收藏, 编辑
摘要:#####一、法律合规案例 先看两篇前不久发生的新闻报道,第一篇是关于工商银行马德里分行的。 2月17日西班牙《国家报》消息,西班牙当局对中国工商银行马德里分行进行了搜查。据称,工行马德里分行涉嫌参与洗钱和偷税。银行员工帮助犯罪团伙非法从西班牙向中国转帐约3亿欧元(约合21.8亿元人民币)。 另外一 阅读全文
银行信息科技风险监管体系发展
2020-08-02 13:27 by 微言晓意, 403 阅读, 0 推荐, 收藏, 编辑
摘要:监管合规系列的上一篇,简单写了一下银行科技监管的背景,即为什么银行科技监管要求变的越来越严格。 今天顺着这个思路,简单写一下银行科技监管发展趋势。 #####首先,银行科技监管范畴越来越大 从对银行科技自身的监管,到要求银行机构加强科技外包管理,再到直接对科技外包服务商直接提出要求,监管机构在银行业 阅读全文
虚无缥缈的「体系」到底该怎么理解?
2020-05-17 18:26 by 微言晓意, 1190 阅读, 0 推荐, 收藏, 编辑
摘要:在咨询中,最难以理解的,并且毁誉参半的,恐怕只有「体系」了。信奉者,将其奉若神明;诋毁者,认为其百无一用。而且两种不同的意见,很多时候还要争论一番,结果无非是两种情况,一种是「小马过河」的故事结果,另一种则是「黄瓜到底是长还是绿」的诡异辩论。 我们暂且不论两种意见的对错,今天就花点时间掰扯掰扯,到底 阅读全文
一分钟让你轻松了解常见IT标准的特点
2020-05-17 18:25 by 微言晓意, 625 阅读, 0 推荐, 收藏, 编辑
摘要:在标准化管理日渐成熟的今天,对所有的IT从业者来讲,无论是管理岗位,还是技术岗位,都需要或多或少的了解一些IT标准。但是,由于标准内容非常的晦涩,对大多数不熟悉标准的人,学习标准的过程中往往会遇到非常大的困扰。 为了帮助标准学习者能够在最短的时间内掌握标准的要点,我对常见IT标准的特点进行一个总结。 阅读全文
信息安全管理体系有效性度量思路
2020-05-17 18:23 by 微言晓意, 1064 阅读, 0 推荐, 收藏, 编辑
摘要:随着各界对信息安全管理重视程度的加强,越来越多的组织依据ISO27001标准来建立自身的信息安全管理体系(ISMS),对ISMS有效性如何进行测量,本文分享一些知识和经验。 一、为什么需要进行有效性测量? 我们为什么要对ISMS的有效性进行测量呢?换句话说,进行ISMS有效性测量的意义及价值是什么, 阅读全文