本篇文章版權由
ecf 和
hp所有
資訊保安的風險因素很多,相形之下,內因會多於外因。在工作重點上,基於一定的外在安全保障情況下,我們的精力需要主要放置在內控制度的設計與執行方面。
內控的關鍵點在於狀態變化時候的策略切換。狀態變化包含這樣幾個情形:
一是人員及崗位異動時,資訊許可權的調整。一方面包括本公司的人員,另外一方面也包括專案實施方的人員,不管是傳統軟體專案還是雲計算專案,一般都有測試帳號,這些帳號往往是超級許可權。為了方便日後的維護,這些帳號的管理相對比較鬆懈。公司員工離職之後,帳號不及時清理,亦有隱患。有乙個通訊公司,就是這個原因,充值卡程式被盜用,損失了上千萬。崗位變化之後,亦需要根據角色進行重新賦權。
二是應用環境變化後,需要更新安全策略。這點在《大隱隱於市的安全觀》裡面有一些說明,核心意圖是不同環境「攜帶」不同的鎖,包括在公共網路、家庭網路的情形,也包括在pc、智慧型手機、pad等終端情形之下的安全配置。
內控管理,網路安全軟體及伺服器配置雖然可以發揮作用,但是往往是技術特性的,屬於「硬約束」。我們還是需要在企業文化、職業道德等方面形成「軟約束」。鼓勵職員自覺維護資訊保安,檢視可能出現的制度性漏洞。對於風險的控制,牢牢樹立「道德防火牆」的概念。
本篇文章版權由
ecf和
hp所有
人月神話札記 禍起蕭牆
前言 none love the bearer of bad news。誰都不喜歡帶來壞訊息的人,可能我們都經歷過專案延期,很多時候,專案不是因為一件重大的問題而停滯不前,當從中反省的時候,我們恍然大悟到 原來進度的延遲都是一天天累積下來的。月有陰晴圓缺,人有旦夕禍福。決定專案的根本因素就是人,而人...
《人月神話》閱讀筆記之 第十四章 禍起蕭牆
這章講了關於控制進度的一些要點,讓我想起了乙個在這本書裡沒有提到的方法,這個方法先是被我實踐中摸索出來,然後在一本叫做 商道 的雜上找到了理論依據。先說說 商道 上那篇文章裡的例子 原書找不到了,網上沒有的賣,我只好憑記憶描述 說是有一家工廠,剛剛給某個生產環節做了自動化公升級,使得這個環節的生產率...
如何提高企業IT風險管理能力
it風險管理 企業法規遵從和長遠發展的需要 如今,企業面臨的風險的複雜性隨著市場全球化的發展而日益提高,推動企業風險管理的監管力度也隨之越來越大,不少行業為保護企業在不穩定的商業環境中穩定運轉而頒布了專門的法規。譬如,由十國主要金融服務相關機構牽頭發起的 巴塞爾第二號協定 basel accord ...