June 21, 2010 15:03 | by
在今天这个信息技术快速发展的时代,企业发展与信息技术的关系日益密切,企业创新日益加快,信息化规划是企业 发展的助推器。
经过多年的信息化研究和实践,国内的生产企业和IT企业都开始逐渐认识到IT规划的重要性。企业信息化从本质上讲 就是管理的信息化, 企业信息化的水平也就是企业管理水平的具体体现。
进行IT规划,需要以科学的方法论做指导,同时也需要通过合理、有效的的实施步骤来完成。通过科学的规划可杜绝 “一把手”的形象工 程并消除企业信息化的“孤岛”问题。
经过多年的信息化研究和实践,国内的生产企业和IT企业都开始逐渐认识到IT规划的重要性。企业信息化从本质上讲 就是管理的信息化, 企业信息化的水平也就是企业管理水平的具体体现。
进行IT规划,需要以科学的方法论做指导,同时也需要通过合理、有效的的实施步骤来完成。通过科学的规划可杜绝 “一把手”的形象工 程并消除企业信息化的“孤岛”问题。
June 19, 2010 17:29 | by
最近在看 IT 咨询类的东西,结合自己实际工作中的情况,谈下自己的感受。
1、建立信任。
我想作为一名专业的咨询顾问,不仅仅具备的是技术上的才能,更重要应该是沟通交流的能力。在做咨询时,首先要做的就是建立信任关系。就好像我们去医院看病,我们是出于对医生专业的认可才会去医院,才会吃医生开的药。这其实就是一种信任关系。咨询也是一样,在我们做访谈时,很多时候都会遇到抵触的情绪,这就是因为被访对象认为你是一个他所属领域的侵入者,对你抱有戒心。这时候,我们就需要建立信任,来引导客户,聆听客户的想法,并从中发掘到我们想到的东西。
1、建立信任。
我想作为一名专业的咨询顾问,不仅仅具备的是技术上的才能,更重要应该是沟通交流的能力。在做咨询时,首先要做的就是建立信任关系。就好像我们去医院看病,我们是出于对医生专业的认可才会去医院,才会吃医生开的药。这其实就是一种信任关系。咨询也是一样,在我们做访谈时,很多时候都会遇到抵触的情绪,这就是因为被访对象认为你是一个他所属领域的侵入者,对你抱有戒心。这时候,我们就需要建立信任,来引导客户,聆听客户的想法,并从中发掘到我们想到的东西。
June 10, 2010 23:07 | by
规划还是规划··转一篇文章
目前大多数大中企业的信息化部门,已经将研究、制定IT战略和IT战略管理工作放在信息化建设的首要位置,但却普遍存在制订IT战略规划目的不清、问题分析模式化、报告内容雷同、效果不突出的状况。笔者认为,上述问题产生的根本原因是将IT工作规划或其他规划当作IT战略规划来做。由于发生了根本的错误,而导致效果不突出或可以取得短期效益而丧失长远利益的情况。
有些企业为了IT部门工作规划,请咨询公司做IT战略规划,然后拿来做极少的修改就作为IT工作规划的汇报;或者是以以前的工作规划为主体进行IT战略规划的设计。要注意企业IT战略规划是其战略的展开,是指导IT工作规划的思想工具,IT战略规划与IT工作规划存在十大明显区别。
目前大多数大中企业的信息化部门,已经将研究、制定IT战略和IT战略管理工作放在信息化建设的首要位置,但却普遍存在制订IT战略规划目的不清、问题分析模式化、报告内容雷同、效果不突出的状况。笔者认为,上述问题产生的根本原因是将IT工作规划或其他规划当作IT战略规划来做。由于发生了根本的错误,而导致效果不突出或可以取得短期效益而丧失长远利益的情况。
有些企业为了IT部门工作规划,请咨询公司做IT战略规划,然后拿来做极少的修改就作为IT工作规划的汇报;或者是以以前的工作规划为主体进行IT战略规划的设计。要注意企业IT战略规划是其战略的展开,是指导IT工作规划的思想工具,IT战略规划与IT工作规划存在十大明显区别。
March 21, 2010 23:02 | by
今天看了大風写的关于现在甲方互联网公司的安全团队的现状,详细请见:http://hi.baidu.com/aullik5/blog/item/a2fbb110c6950e75ca80c4f8.html,然后又看了 Ben 等人总结的一些:http://bbs.cisps.org/viewtopic.php?t=22406&postdays=0&postorder=asc&start=0
感想比较多,晚上和职业欠钱又聊了下,不禁引发思考,乙方安全服务的路在何方?是否还有存在的必要?仔细思考一番,发现乙方安全服务自有它存在的道理,具体的原因如下几点:
1、首先要明确一点,民营企业的安全做的比国企等事业单位要好。道理很简单,民营企业是由个人来创办的,每一笔钱花出去,老板都希望花在实处,而不是像国企那样,很多都是浮于表面。
感想比较多,晚上和职业欠钱又聊了下,不禁引发思考,乙方安全服务的路在何方?是否还有存在的必要?仔细思考一番,发现乙方安全服务自有它存在的道理,具体的原因如下几点:
1、首先要明确一点,民营企业的安全做的比国企等事业单位要好。道理很简单,民营企业是由个人来创办的,每一笔钱花出去,老板都希望花在实处,而不是像国企那样,很多都是浮于表面。
Author: 大潘
引子:
从最开始接触风险评估理论到现在,已经有将近5个年头了,从最开始的膜拜捧为必杀技,然后是有一阵子怀疑甚至预弃之不用,到现在重拾之,尊之为做好安全的必备法宝,这么一段起起伏伏的心理历程。对风险的方法在一步步的加深,本文从风险评估工作最突出的问题:如何得到一致的、可比较的、可重复的风险评估结果,来加以分析讨论。
引子:
从最开始接触风险评估理论到现在,已经有将近5个年头了,从最开始的膜拜捧为必杀技,然后是有一阵子怀疑甚至预弃之不用,到现在重拾之,尊之为做好安全的必备法宝,这么一段起起伏伏的心理历程。对风险的方法在一步步的加深,本文从风险评估工作最突出的问题:如何得到一致的、可比较的、可重复的风险评估结果,来加以分析讨论。
最近在看 SOX 404 的东西,好纠结,以前没遇到过··学习ing ...刚搜到的一篇项目实施经验的总结,非常的好···共享之...
一、项目进度的把握、参与项目各方的协调很重要。
二、充分重视访谈的重要性。
访谈的结果是进行流程现状描述的依据,在现有流程的基础上才能进行风险评估、控制分析、缺陷发现、改进建议、优化流程等后续工作。
一、项目进度的把握、参与项目各方的协调很重要。
二、充分重视访谈的重要性。
访谈的结果是进行流程现状描述的依据,在现有流程的基础上才能进行风险评估、控制分析、缺陷发现、改进建议、优化流程等后续工作。
1、总则
为做好应对网络与信息安全事件的各项准备工作,提高应急处理能力,结合本市实际,制定本预案。
1.1 、编制依据
《中华人民共和国突发事件应对法》、《北京市实施<中华人民共和国突发事件应对法>办法》、《北京市信息化促进条例》等法律法规,《国家突发公共事件总体应急预案》、《国家网络与信息安全事件应急预案》、《北京市突发公共事件应急总体预案》、《信息安全事件分类分级指南》(GB/Z20986-2007)等相关规定。
为做好应对网络与信息安全事件的各项准备工作,提高应急处理能力,结合本市实际,制定本预案。
1.1 、编制依据
《中华人民共和国突发事件应对法》、《北京市实施<中华人民共和国突发事件应对法>办法》、《北京市信息化促进条例》等法律法规,《国家突发公共事件总体应急预案》、《国家网络与信息安全事件应急预案》、《北京市突发公共事件应急总体预案》、《信息安全事件分类分级指南》(GB/Z20986-2007)等相关规定。
说起等保大家可能都不陌生,前年的时候闹的比较凶,去年貌似动静不大,据说今年又开始轰轰烈烈实施了。今天一直在想弄一个基于等级保护的安全解决方案,不妥之处还请大家一起讨论。
解决方案的整体思路为 现状分析 ---> 差距分析 --> 需求分析 --> 安全规划 ,简单来说先分析企业的安全现状,再分析目前企业的现状与等级保护的一个差距,由差距我们得到需求,由需求最后得出企业在未来 3- 5 年内的安全解决方案。
解决方案的整体思路为 现状分析 ---> 差距分析 --> 需求分析 --> 安全规划 ,简单来说先分析企业的安全现状,再分析目前企业的现状与等级保护的一个差距,由差距我们得到需求,由需求最后得出企业在未来 3- 5 年内的安全解决方案。
对于企业来说,到底是产品决定服务,还是服务决定产品?目前国内的安全市场比较混乱,随着安全行业逐渐被企业所重视,这很大一部分的功劳归功于黑客们,是他们让企业提高了安全意识,谁说 Hacker 都是反面的呢?对于安全厂商来说,没有黑客的攻击事件,安全厂商怎么去推他们的产品和服务呢?
从目前国内的安全市场来看,大大小小的安全公司不计其数,但大的厂家就那么几家,例如启明星辰、绿盟、安氏、天融信等等,而很多安全厂商又有多少是真正从用户的角度来考虑问题呢?目前各大安全厂商的做法都大致相同,都是由服务来推动产品。熟悉安全行业的朋友都知道,服务赚不了什么钱,而像启明这样规模的公司如果单纯靠服务来养活是完全不可能的,所以很多公司都由一个安全服务提供商转变为一个安全厂商。在安全行业刚起步时,很多公司还能遵循一定的职业守则,真正为用户所考虑,而随着竞争越来越激烈,很多公司已经渐渐转变了最初的思想。安全服务变得越来越廉价,服务只是用来推动产品的销售而已。
从目前国内的安全市场来看,大大小小的安全公司不计其数,但大的厂家就那么几家,例如启明星辰、绿盟、安氏、天融信等等,而很多安全厂商又有多少是真正从用户的角度来考虑问题呢?目前各大安全厂商的做法都大致相同,都是由服务来推动产品。熟悉安全行业的朋友都知道,服务赚不了什么钱,而像启明这样规模的公司如果单纯靠服务来养活是完全不可能的,所以很多公司都由一个安全服务提供商转变为一个安全厂商。在安全行业刚起步时,很多公司还能遵循一定的职业守则,真正为用户所考虑,而随着竞争越来越激烈,很多公司已经渐渐转变了最初的思想。安全服务变得越来越廉价,服务只是用来推动产品的销售而已。
来自:谷安天下
一、基金行业信息系统现状
网络建设方面,多数基金公司的网络是分为交易网及办公网两张网,两网间存在着一定数据交换(通过U盘或专用服务协议),两网间并未实现真正的物理隔离或强逻辑隔离。
基金行业的IT系统主要包括投资交易系统、估值系统、行情分析系统、估值系统、直销系统、营销管理系统、公司网站、研究管理系统、呼叫中心、OA系统、财务系统、交易行情系统、债券分析系统(北方之星、红顶等)、风险系统(如BARRA)、风险监控系统(如金手指)、灾备系统等。
一、基金行业信息系统现状
网络建设方面,多数基金公司的网络是分为交易网及办公网两张网,两网间存在着一定数据交换(通过U盘或专用服务协议),两网间并未实现真正的物理隔离或强逻辑隔离。
基金行业的IT系统主要包括投资交易系统、估值系统、行情分析系统、估值系统、直销系统、营销管理系统、公司网站、研究管理系统、呼叫中心、OA系统、财务系统、交易行情系统、债券分析系统(北方之星、红顶等)、风险系统(如BARRA)、风险监控系统(如金手指)、灾备系统等。
今天在整某证券公司的安全规划报告,顺便写点东东····
信息安全规划报告总的来说就是一份企业在未来 3-5 年内在信息安全方面所需做的事情,结合之前项目的经验,安全规划通常为 3 期,每期为一年,通常的安全规划报告应包括如下方面:
信息安全规划报告总的来说就是一份企业在未来 3-5 年内在信息安全方面所需做的事情,结合之前项目的经验,安全规划通常为 3 期,每期为一年,通常的安全规划报告应包括如下方面:
最近一直在跟某证券公司的项目,虽然有点累,但也学到了很多东西··现在越来越认识到技术很多时候不是万能的,技术只是和用户交流的一种必备的技能。最近的项目使我认识到如下几点:
1、作为一个好的项目经理,不是你能做多少事情,而是你能带动大家做多少事情。应该能带动项目成员的主观能动性,使得大家团结一致,共同将项目顺利的完成。而不是自己盲目的去将所有的事情都做完,这样才算一个好的项目经理。一个项目成功的标志不是项目经理的技术能力有多高,而是和用户的沟通和协调能力有多强,还有就是如何将任务成功的进行分解,按照项目成员个人的能力不同,分配相应的任务。
1、作为一个好的项目经理,不是你能做多少事情,而是你能带动大家做多少事情。应该能带动项目成员的主观能动性,使得大家团结一致,共同将项目顺利的完成。而不是自己盲目的去将所有的事情都做完,这样才算一个好的项目经理。一个项目成功的标志不是项目经理的技术能力有多高,而是和用户的沟通和协调能力有多强,还有就是如何将任务成功的进行分解,按照项目成员个人的能力不同,分配相应的任务。
出处:比特网
刚开始看到这个题目可能可能很多人都会产生不解,究竟这个风险评估过程中的“风险”指的是什么呢?是评估出来的风险结果还是评估过程中遇到的实施风险呢?所以首先我要解释一下下面到要谈的究竟是什么内容。
做信息安全的人都知道风险评估,而我在这里不谈那些技术评估、应用评估、流程评估等评估过程中的问题,只谈我们作为乙方在做咨询项目中通常都要做到的信息资产的风险评估,而这个风险评估过程中的“风险”也是指的在评估过程中遇到的实施风险。在下面的文章中我不谈如何做信息资产风险评估的方法,也不谈什么方法好,什么方法不好,因为风险评估工作各家有各家的做法,各人有个人的理解,不同的项目、不同的客户也存在不同的情况,所以针对具体情况选择合适的风险评估方法,化解在评估过程中可能遇到的问题和风险才是我这次要谈的内容。
刚开始看到这个题目可能可能很多人都会产生不解,究竟这个风险评估过程中的“风险”指的是什么呢?是评估出来的风险结果还是评估过程中遇到的实施风险呢?所以首先我要解释一下下面到要谈的究竟是什么内容。
做信息安全的人都知道风险评估,而我在这里不谈那些技术评估、应用评估、流程评估等评估过程中的问题,只谈我们作为乙方在做咨询项目中通常都要做到的信息资产的风险评估,而这个风险评估过程中的“风险”也是指的在评估过程中遇到的实施风险。在下面的文章中我不谈如何做信息资产风险评估的方法,也不谈什么方法好,什么方法不好,因为风险评估工作各家有各家的做法,各人有个人的理解,不同的项目、不同的客户也存在不同的情况,所以针对具体情况选择合适的风险评估方法,化解在评估过程中可能遇到的问题和风险才是我这次要谈的内容。
一个企业如果需要建立信息安全体系架构,一般的流程如下:
1、分析企业的信息安全目标,即企业在未来的3-5年的安全目标是什么?在信息安全方面达到什么样的程度?
2、有了安全目标之后,下一步我们要做的就是分析企业目前的安全现状,此阶段一般通过风险评估等方式来实现,可选的方式有风险评估、安全审计、渗透测试等。
1、分析企业的信息安全目标,即企业在未来的3-5年的安全目标是什么?在信息安全方面达到什么样的程度?
2、有了安全目标之后,下一步我们要做的就是分析企业目前的安全现状,此阶段一般通过风险评估等方式来实现,可选的方式有风险评估、安全审计、渗透测试等。
