信息安全治理成熟度模型

<正> 信息安全治理,是指最高管理层(董事会)监督管理层在信息安全战略上的过程、结构和联系,以确保这种运营处于正确的轨道。缺乏良好信息安全治理机制的组织,亦即缺乏健全的制度安排,因而不可能具备良好的信息安全管理体系,也不可能取得信息化的成功;同样,没有信息安全管理体系的畅通,单纯的治理机制也只能是一个美好的蓝图,而缺乏实际的内容。 作为一种信息安全治理机制,信息安全治理成熟度模型将有助于回答以下这些问题。     

浅谈企业信息安全治理框架

随着企业的信息化建设,企业信息安全在持续、可靠和稳定运行中面临着巨大考验,因此企业急需开展信息安全治理。论文从企业信息安全治理的实践出发,概述了目前企业信息安全治理存在的问题和困惑,总结了企业实现有效信息安全治理的关注领域和实施内容,为企业建立良好的信息安全治理提供了基本框架。     

避免选择误区

上海航空股份有限公司信息网络除了遍布全市公司总部和两个机场基地、售票点和货运点外,还延伸到全国17个主要城市。网络信息涉及到上航生产运行、经营销售、计划管理等方方面面,整个公司网络的信息安全顺畅无疑成了企业动作的命脉。 俗话说“三分技术,七分管理”,在信息管理上,公司已经建立了明确的信息安全责任制。公司信息技术分管领导作为信息安全总责任人,信息技术部经理作为工作责任人,做到了职责明确、责任到人。同时,在信息技术管理手册中对于互联网使用,病毒防     

XP退役之忧

近来信息安全行业有两件大事：一是中共中央政治局决定国安委设置，国家主席习近平任主席，李克强、张德江任副主席，具体工作机构、职责和人员也将在近期确定，国家安全特别是信息安全必将成为三月初全国两会的重点议题之一。     

档案信息安全风险评估的组织管理

本文对处于起步阶段的档案信息安全风险评估组织管理进行了较详细的描述,主要从档案信息安全风险评估原则、开展方式、评估机构资质要求、评估各方职责等方面进行了分析和研究,并提出应建立档案信息安全风险评估长效机制。     

RBAC职责分割定义及实现模型分析

访问控制是信息安全领域的重要问题之一;目前,基于角色的访问控制模型(RBAC)已被广泛接受,并成为领域专家学者研究的热点;职责分割(SoD)是RBAC的重要方面,它为增强高层次的组织安全策略提供了强大的机制,RBAC职责分割定义给出了各种职责分割约束的具体内容;针对不同的职责分割需求,各种基于角色的访问控制职责分割约束实现模型不断出现;根据应用系统的实际需求选择合适的访问控制模型必须了解各种模型的特点,该文通过分析RBAC中不同SoD模型的特点,指出其适用范围。     

以“假定已陷入危险”的方式考虑信息安全问题

EMC公司信息安全事业部RSA日前发表了一份新的报告,该报告深入探讨了在企业日益成为网络商业间谍和破坏活动目标的情况下,信息安全威胁领域发生的重要变化。该报告是企业创新信息安全委员会（SBIC）系列报告中最新的一篇,报告称,就大多数企业而言,     

日本企业公司治理结构的改革——基于近年来多元化改革的分析

一直以来,日本企业所执行的公司治理结构都是"监事会制公司",这种治理结构是基于金融机构和相关企业为股东的股份制结构。但是,由于2002年修改的商法和2006年的公司法的实施,使得企业也可以选择"委员会制公司"这种新的治理结构,而这种结构的特征就是引入了社外董事。为了确保企业经营的完善和高效,日本企业在决策、监管以及经营方面,一直没有拘泥于某一个公司治理结构上,各个公司都根据本公司的特征,进行着多样化的企业制度改革。     

浅谈南平移动公司信息安全体系建设

本文根据南平移动公司现有网络特点，提出了通过建设一种基于该网络特点的信息安全体系。该体系包括安全管理框架和安全技术框架两部分．通过一系列管理措施以及划分不同安全领域来使得南平移动公司网络信息安全达到一定的理想状况。     

企业信息安全治理

在企业内部,信息系统得到了广泛应用。在这一过程中,企业面临的信息安全风险也逐步加剧,各种未知的风险时刻影响着企业前进的步伐。对此,众多企业都在尝试借助一些技术手段来提升信息系统的安全性,力求提升信息安全的管理能力。企业内部应围绕安全监管、安全运行、合规管理等角度开展信息安全治理工作。最终,借助组织架构最大化推进信息安全治理工作。在技术角度,企业可借助前沿领域自动化技术落实信息安全治理过程,具体包括强化流程管理、优化信息安全综合治理工作。     

CIO上位的不确定因素

CIO不仅仅是增设职位和挑选合适人选这么简单的事，在公司战略管理和公司治理层面，还应该建立优化的IT治理环境，并根据公司发展战略确定CIO的职责，然后根据这些要求选择合适的人选。     

电子商务有点怕

一项最新的研究表明,从事电子商务的站点比起其它在线站点多57％的可能性遭受到安全性被破坏,并且要多24％的可能成为网络黑客或解密高手的攻击目标。研究报告所涉及的电子商务公司都遭受过大部分被调查的安全破坏类别的侵害。“1999年信息安全行业调查报告”由ICSA公司通过它的信息安全杂志出版。报告从今年4月至5月的一项调查中收集资料,共有745位数据管理、IT、网络和安全领域的管理员、经理及主管接受了此项调查。     

开展IT治理

IT治理规定了整个企业IT运作的基本框架。一个有效的IT治理架构需要明确组织的核心竞争力,并且在业务目标、治理原型、业务绩效目标之间维持平衡。了解IT治理与企业治理如何展开,将有助于为企业提供管理相关风险的最佳实务指导。 公司治理与IT治理的展开 公司治理的目标是保证企业健康、可持续发展,关注业务目标、知识管理、业务沟通、客户关系、业务活动与过程;IT治理关注的是企业信息系统、技术和网络、知识管理、IT资产管理、电子商务、IT合法性等。在公司治理与IT治理之间,企业设立目标,以通用的惯例来治理并保证目标实现。这些目标涵盖着企业的发展方向,指导企业活动和使用资源。在公司治理过程中,企业活动的结果经衡量、报告后,为企业目标的实现提供不断的修正、维护和控制,进而开始下一轮循环(见图1)。     

隐私侵犯将成为2012年最严重安全威胁

根据熊猫云安全公司防病毒实验室——PandaLabs的最新报告,隐私侵犯和数据窃取将成为2012年信息安全机构关注的焦点,网络间谍和社交网络攻击将成为潮流,并且成为最严重的安全威胁。在2012年,公司和政府部门将成为网络间谍的主要目标,从新西兰到加拿大,从日本到欧洲议会,有无数的攻击目标去窃取机密和分类信息。     

对我国电子政务建设中发展与安全问题的几点认识

党的十八大以来,我国开启新一轮行政体制改革,电子政务建设作为政府职能转变的关键环节,必将迎来新一轮的勃兴,更将成为衡量国家竞争力水平的重要标志。依托＂互联网＋＂战略深化电子政务的发展既是开展政府管理创新的必要之举,多措并举应对电子政务信息安全更是完善我国信息安全治理的应有之义。     

信息网络安全管理组织构建

在信息网络安全管理的各项工作中，信息网络安全组织体系的建立是关键和基础。建立一套科学的、可靠的、全面而有层次的安全组织体系是整体信息安全建设的必要条件和基本保证。本文从信息网络安全管理职能要求入手，结合我国网络安全管理组织运行状况和实践经验，分析了我国信息安全组织管理策略、组织机构以及管理模式，探讨了我国政府如何用发展的思路搭建起信息网络安全管理组织体系，改变传统的层级化公共组织结构，促进政府的结构、权力、人力资源的重新配置。     

CA宣布推出全面的IT治理、风险管理和法夫遵从解决方案

CA公司日前宣布推出全面的解决方案，用于帮助IT机构满足愈发严格的关键业务的治理、风险管理和法规遵从（GRC）目标。这个解决方案以创新产品CA GRC Manager为主体，CA GRC Manager能提供涉及整个企业IT风险的项目组合（portfolio）管理，同时该解决方案还包含CA行业领先的IT管控自动化解决方案。     

COBIT信息安全风险评估方法探讨

COBIT作为一种IT治理模型在近几年被越来越多的组织所接受，风险管理则是组织所采用的最多的管理信息安全问题的方法，与COBIT的控制思想相同，两类方法都需要明确管理或控制的目标，并将其作为起点实施各项控制或审计工作。     

内蒙古自治区出台《计算机信息系统安全保护办法》

2012年年初,内蒙古自治区出台了《内蒙古自治区计算机信息系统安全保护办法》（以下简称《办法》）,该办法依据《信息安全等级保护管理办法》的具体内容和要求,对信息安全等级保护的各项_T作进行了具体规定,并进一步明确了信息系统等级测评、信息安全服务机构管理、特殊功能信息技术产品管理以及违反《办法》相关规定应承担的法律责任。一是明确了信息系统等级测评工作。     

公司治理结构对内部控制有效性的影响研究——基于深市A股主板上市公司数据

本文在信号传递理论的指引下,依据我国上市公司内部控制信息的披露程度,从内外两个角度来衡量内部控制的有效性;并基于公司治理视角,对我国深市A股主板上市公司2010-2012年度的面板数据进行实证研究,分析公司治理结构对内部控制有效性的影响。研究发现"国有股比例"、"股权集中度"、"董事会规模"、"独立董事比例"及"管理层持股比例"等公司治理结构变量对内部控制有效性影响较为显著。