oaktomber的个人博客

2009-06-25

2009年高考零分作文是真是假？ - [网络日志]

要问人生短短的几十年，能有多少意义重大的事儿？不管多与少，高考肯定算一个！要问高考中什么最让人品头论足？我想，那肯定是高考作文。虽然高考作文地位如此之重要，也不是能够随随便便能够得高分的，但是，要是想得零分作文可是非常容易的，只需要鼓起勇气。

对于高考零分作文这道独特风景线，有人认为这些作文不应该被判极刑，还有人认为这些零分作文应该得满分，头脑理性的人则会反问一句：“你真的相信这些是真的？”，但华歌说的好：不是这个问题。关键是为什么会出现"这个"。

Tag：高考作文零分

oaktomber 发表于15:38:15 | 阅读全文 | 评论 0 | 编辑 | 分享 0
2009-06-23

如何有效实施信息安全管理体系 - [管理体系]

作者：李鹏飞

时至今日，“信息”作为一种商业资产，其所拥有的价值对于一个企业而言毋庸置疑，重要性也与日俱增。越来越多的企业通过实施信息安全管理体系，来保证信息的保密性、完整性和可用性，保护信息免受来自各方的威胁，从而确保一个企业或机构可持续的发展。

通常企业都会通过聘请外部顾问以项目的形式，来进行自身信息安全管理体系的建设，咨询顾问与企业内体系推进人员共同进行体系的策划、风险评估、体系文件编写、风险管控措施规划，当体系建立完成后，最终由企业内部推行人员自行维护，推动体系的正常运转。通过这种方式来进行体系的建设，能够最大程度发挥咨询顾问的经验，使企业不会在体系的建设过程中迷失方向，但是，在项目结束咨询顾问撤场后，企业内部体系推行人员却显得无所适从，或者在体系的推行过程中显得并不是非常的得心应手，问题在哪里呢?主要是以下几个方面：

首先，在风险处置过程中所输出的众多信息安全管控措施难以统一规划，并且缺少各项控制措施与信息安全风险的一一对应。

众所周知，在风险评估的过程中将会全面、系统地对企业的各项信息资产进行详细的风险分析，系统的分析出企业所面临的各项风险，并对各项风险采取合理、有效的管控措施。在风险评估的过程中，企业所面临的信息安全风险的类别，以及每一类信息风险中实际风险的个数无疑是非常大的，并且不同类别的信息安全风险所采取管控措施的优先级也有很大的差别，如何对数量庞大的风险及管控措施进行合理的规划，对于企业来说无疑是一个很大的难题，尤其对于组织规模比较庞大的企业更是如此，因此如何对风险评估后的管控措施进行统一、合理的规划至关重要。

其次，信息安全管理体系中的各级文件、模板及记录很难有条理地进行管理。

信息安全管理体系拥有为数众多的文档化的方针、策略、规范、制度，并在体系运行的过程中将产生大量的记录，如何对这些文件进行分门别类的管理，并且很好的对其中的逻辑性与一致性进行控制，这对于体系维护人员来讲是一个不大不小的难题。

最后，体系实施及运作过程中关键的活动(如体系测量、组织内审、管理评审等)的策略、实施、记录很难系统化、程序化。

信息安全管理体系在进行PDCA循环运行中，控制措施测量、内审及管理评审是体系进行持续改进的发动机，但是，由于这些活动关系到企业的各个部门，组织、策划、协调起来非常的困难，因此，如何将这些活动的组织策划自动化、实施程序系统化，并且实施过程记录完整化是体系推行人员一个非常大的挑战。

如何对上面提到的这些问题进行有效的规避，即要发挥传统咨询模式的优点，又能够避免传统咨询模式的不足，使企业的信息安全管理体系实施更加有效呢?谷安天下经过多年的沉淀积累，总结了相关领域咨询经验，形成完善的信息安全体系建设方法论，通过结合IT风险控制体系建设流程及知识库，GooISMS能满足各级组织的IT风险控制体系建设需求。

GooISMS-信息安全体系建设系统包括安全体系规划、安全体系设计、安全体系实施、安全体系保障四个主要模块。这四个主要模块的功能说明如下：

　　1) 安全体系规划：分析识别出的信息安全改进措施，将需要增加或改进的措施分解成一项项任务或项目，明确每个任务或项目的目标、工作内容，分析任务或项目的实施优先级，根据实施优先级规划这些任务或项目的实施时间、实施范围及参与人员。

　　2) 安全体系设计：建立体系相关部门、人员、职责及联系信息，体统管理各类方针、策略、程序及作业指导书的模板及具体文件的归档、版本控制。

　　3) 安全体系实施：将各个任务实施的情况记录到系统中，对各项任务的实施的状态执行有效跟踪，并且评价各个任务实施的有效性。

　　4) 安全体系保障：对体系内部审核、外部审核及管理评审等活动进行组织、策划、协调，并对内审、外审、管理评审的过程进行记录，对各不符合项及预防措施进行记录及状态跟踪。

GooISMS-信息安全体系建设系统充分与信息安全管理体系咨询方法论进行结合，对体系建设过程提供完整的安全规划方法论，有效提高安全规划的合理性，提供内部审核、管理评审、外部审核等管理活动支持，保障体系的有效实施。

Tag：ISMS 实施工具

oaktomber 发表于11:42:09 | 阅读全文 | 评论 0 | 编辑 | 分享 0
2009-06-12

PDCA的有效应用 - [转载文章]

好的文章并不需要长长的篇幅，不需要旁征博引，而需要看是否是自己的切身体会，是否能够深入精髓。

作者：王二乐

做了这么多年管理体系相关的工作，收获最大的则是PDCA的持续改进方法和理念。多年的观察发现，成功的客户并不是一开始就准备建立一套完美的管理体系，而是着重于建立一套持续改进的机制并让人们逐渐认可并接受PDCA的方法和理念。

PDCA的每个字母代表着一个动作，P（Plan）代表策划。策划本身代表着动态过程，即与企业或产品的生命周期有关，也就是从无到有，从有到优的过程。策划首先以目标和结果实现为导向，通过有效的资源使用实现最终结果的可预测性和目标的精准性。这也是现代西方科学管理突破我们的传统经验管理最大瓶颈的贡献，即实现了工作的可预测、可复制的规模化要求。成功的策划主要通过分块管理，使复杂的事情通过模块化后简单化，分类管理，通过专业化分工使人力资源能发挥自己的优势且易于培养，分级管理，使工作能够按照重要性和优先度进行分级授权管理，平衡工作的效率和风险控制难题。

正如《论语》所述，“季文子三思而后行。子闻之，曰：再斯可矣”。再好的策划也必须落实到实际行动和实践中，否则就成了纸上谈兵。PDCA的D（Do）代表实施。实施最关注的就是执行的效率和效果，而这与策划的可实施性以及监控考核的程度有很大关系。PDCA的C（ Check）代表检查。管理的结果告诉我们，人们通常只做他们被检查和考核而不是所期望的，也就是说监控和检查是管理很重要的手段和方法，检查可以驱动人们的执行力。

PDCA的A（Act）代表改进。对于循序渐进的改进我们往往并不关注和重视，工作中容易强调一些自己控制不了或影响不了的客观原因，而对自己可以改变的部分总认为不值得做。这是国人和西方人最不同的地方。前段时间遇到一个老海龟博士，他第一天上班，***总理问他美国人和中国人最大的不同是什么？他当时的回答是：美国人主要看地方和社区新闻，而中国人看全国的新闻联播。美国人只关心身边的事情，而中国人多关心国家大事。这种文化和习惯体现在工作中就是国人对一些身边力所能及的调优和改进工作不太有兴趣，而这正是PDCA的精华所在。

Tag：管理体系 PDCA 转载

oaktomber 发表于16:19:10 | 阅读全文 | 评论 0 | 编辑 | 分享 0
2009-04-28

青岛印象（二）

青岛最有名的山是崂山，据导游说是唯一的临海的山，即海上名山第一吧，呵呵，个人感觉有点夸张了。崂山的出名很大程度上是因为蒲松龄笔下的那个会穿墙术的崂山道士，在青岛旅游，本地人经常问去没去崂山，可见崂山在青岛本地还是非常重要。

从崂山的台阶上可以远看大海，一望无际，在不远处有很多渔民用来养鱼的装置，崂山停车场上全是旅游来的车，人也相当的多。

山脚下很多摆摊的本地人，买一些崂山的特产，比较稀奇的算这种叫莲花果的水果了，据导游说并不好吃，是观赏用的。

爬到半山腰，有一个小小的水库，水从上向下流到这里，有点瀑布的感觉。整个崂山似乎都是比较大块的时候，没感觉到有土，估计所有的土及松动的岩石已经被水冲刷干净了。

爬山的小路，在小路的边上很多商家在买东西，偶尔还有一些小的亭子，感觉上山并没有什么特别的，主要是在爬山的过程中来感觉一下山水响应的环境，在山上来愿望一下大海。

由于时间的关系，我们只爬到了半山腰，并没有向上爬，这里也是有一个普通，在石桥上有很多同心锁。

Tag：青岛印象崂山

oaktomber 发表于20:25:05 | 阅读全文 | 评论 0 | 编辑 | 分享 0
2009-04-28

青岛印象（一） - [网络日志]

由于飞机晚点，周六凌晨1点多才到达预定的别墅酒店，酒店所处的环境很不错，房间大概有45平米左右，而且推开窗子就可以看到大海。

酒店在青岛的崂山区，从酒店穿过一条马路就是海边，早上的时候海边已经有不少人在活动，有人在捡贝壳、有人在晨跑，也有像我这样来这里旅游的人在四处观望。

这里的海似乎是绿色的，不知道是不是在浅海区的原因，风倒是挺大的，大概有5、6级的样子，海边有很多大石头块，在大概几米的范围内，到处都是拍碎了的贝壳。

Tag：旅游青岛海边

oaktomber 发表于11:30:39 | 阅读全文 | 评论 3 | 编辑 | 分享 0
2009-04-20

ISMS相关原创文章汇总 - [网络日志]
为了方便查找，对一些原创的文章进行记录汇总。

ISMS在外包企业与业务的结合
- 博文链接：http://oaktomber.blogbus.com/logs/31978834.html
- 比特网发表：http://sec.chinabyte.com/38/8652538.shtml
- 新浪网发表：http://tech.sina.com.cn/roll/2008-12-23/1114928968.shtml
ISMS有效性测量浅析
- 为什么需要进行ISMS有效性测量：http://oaktomber.blogbus.com/logs/37413607.html
- 有效性测量体系设计原则：http://oaktomber.blogbus.com/logs/37568518.html
- 有效性测量体系设计过程--Plan策划阶段：http://oaktomber.blogbus.com/logs/37718900.html
- 有效性测量体系设计过程--Do运作阶段：http://oaktomber.blogbus.com/logs/37916948.html
- 有效性测量体系设计过程--Check控制、Act改进阶段：http://oaktomber.blogbus.com/logs/37958727.html
- 比特网发表：http://sec.chinabyte.com/182/8785682.shtml
如何有效实施信息安全管理体系
- 如何有效实施信息安全管理体系：http://oaktomber.blogbus.com/logs/41396786.html
- 比特网发表：http://sec.chinabyte.com/228/8920228.shtml
Tag：原创文章记录

oaktomber 发表于09:58:51 | 阅读全文 | 评论 1 | 编辑 | 分享 0
2009-04-16

有效性测量体系设计过程--Check控制、Act改进阶段 - [管理体系]
前面已经涉及到了在策划阶段与运作阶段的实施过程，这两个阶段基本上就是主题，在Check阶段和Act阶段的主要任务就是检查改进。

在ISMS的控制(Check)阶段，需要做的事情有两个方面，一是根据有效性测量的结果对ISMS进行评价，另外一个需要对有效性测量体系进行评价，两方面的工作具体来说为：
1. 评价ISMS运作：体系管理组根据指标分解的层次，对指标进行计算、整合及分析，检查各层次指标是否满足目标要求，并对整体状况进行评估，得出ISMS做的好的方面以及需要改进的方面。
2. 评价测量指标：根据测量、分析结果，评价有效性测量体系的贡献，并从中找到需要改进的区域，调整测量指标体系，为ISMS有效性的测量更好的提供服务。
在ISMS的改进阶段，基于控制阶段的分析，对ISMS及测量指标体系分别进行改进，使之鞥好的为ISMS服务。
Tag：27001 ISMS 有效性度量

oaktomber 发表于09:56:15 | 阅读全文 | 评论 0 | 编辑 | 分享 0
2009-04-15

有效性测量体系设计过程--Do运作阶段 - [管理体系]
在ISMS的运作阶段，需要对有效性测量体系进行详细的设计，主要是解决测量什么、如何测量、测量结果如何展示的问题。我们从以下几个方面进行分析：
1. 分析有效性测量需求：对于策划阶段的各类有效性测量的输入进行归纳整理，在这个基础上还可以考虑加入一些其它方面的只要指标，比如ISMS的重要活动、信息安全管理的日常操作等，这些方面统一分析整理，最终得出一套需要进行测量的重要指标。
2. 有效性测量指标分解：对归纳出来的各项重要指标做进一步分解，对应到ISMS的各项具体度量项，并为每项设定度量目标的阀值。
3. 测量指标采集方案设计：测量指标采集方案的设计是将各项指标如何测量进行定义，包括测量指标的计算方法、指标采集频度、测量责任人及采集方式等。测量方案一定要具体可行，指标采集频度可以根据不同的指标区别对待，在制定责任人时应尽量避免由操作者直接测量自己工作的指标。
4. 有效性测量指标的记录：按照测量指标采集方案的频率进行检查，并且按照时间线进行记录，记录的数据应客观准确，这样才能真正的反映问题。
在此阶段的过程中，测量指标的选取是一个重点，同时也是一个难点，不能测量的指标过少，但同时也没有比较所有的控制点全部进行测量，下面是一个测量指标分类的参考，可根据实际情况选取一些关键的指标进行度量。
- 管理控制措施：如安全目标、安全意识等方面；
- 业务流程：如风险评估和处理、选择控制措施等；
- 运营措施：如备份、防范恶意代码、存储介质等方面；
- 技术控制措施：如防火墙、入侵检测、补丁管理等；
- 审核、回顾和测试：如内审、外审、技术符合性检查等；
Tag：27001 ISMS 有效性度量

oaktomber 发表于10:25:05 | 阅读全文 | 评论 0 | 引用 1 | 编辑 | 分享 0
2009-04-10

有效性测量体系设计过程--Plan策划阶段 - [管理体系]
前面我们谈到了进行有效性测量的必要性以及建立测量指标体系的原则，那么如何建立一个有效性测量的体系呢？下面我结合ISMS建设的PDCA四个阶段来做一个说明各阶段的重要活动。

1. ISMS的Plan策划阶段

随着整个ISMS的策划，有效性测量的工作其实已经可以开展，这个阶段主要是收集有效性测量的需求，为有效性测量提供输入，是进行有效性测量指标体系设计的基础。具体的活动如下：
- 1） ISMS目标建立：有效性测量一定要与组织的业务目标相关，是为了组织的核心业务目标而测量的，这是进行有效性测量的第一要点。在ISMS策划阶段建立组织ISMS的业务目标时，一定使ISMS的目标能够反映组织的业务目标，并且这个目标需要遵守SMART原则，即要具体(Specific)，可量化(Measurable)，¬可达成(Achievable or Attainable)，现实的(Realistic)，并且有限定的时间期限(Timely)。
- 2) 利害相关方关注收集：在ISMS的策划阶段，可以收集各利害相关人的关注点，比如：客户的信息安全关注点、股东或高层的信息安全关注点、上级或监管机构的信息安全关注点等，这些都是建设ISMS的重要信息输入，同时也是有效性测量的重点关注内容。
- 3) 历年安全事件的总结：信息安全事件的频次，能够在一定程度上反映出组织信息安全的薄弱环节，这些高频次的安全事件可作为有效性测量的一个重点，来跟踪验证针对信息安全事件的安全措施是否有效。如以往病毒发作的安全事件比较高，那么可以将病毒的发作次数、病毒软件的安装率、操作系统的补丁更新率作为有效性测量的指标来进行测量，以反映出防病毒控制措施的有效性。
- 4) 信息安全高风险归纳：在策划阶段进行风险评估中的信息安全高风险，是需要组织必须要处理的，而且这些高风险同时是需要被重点跟踪的，因此所有的信息安全高风险必须能够反映到有效性测量的指标体系中去，来验证信息安全高风险的控制措施是否有效。
按照上面所讲的方面进行有效性测量的需求信息收集，来为有效性测量提供有力的输入信息，这样在进行有效性测量指标的设计时，就能够做到有理有据。
Tag：27001 ISMS 有效性度量

oaktomber 发表于17:43:41 | 阅读全文 | 评论 1 | 引用 1 | 编辑 | 分享 0
2009-04-08

推荐：贫民窟的百万富翁 - [文史哲杂]

近期看的几部片子中比较不错的一部，真实、有意义，推荐！

豆瓣上的介绍：

2006年，印度孟买。
　　印度青年杰玛•马利克（戴夫•帕特尔饰）还差一个问题就能赢得2千万卢比。他是怎么做到的？A：他作弊；B：他幸运；C：他是天才；D：一切命中注定。
　　这是《谁想成为百万富翁》电视猜谜节目的人生版。杰玛•马利克在已经赢得1千万卢比的情况下被警方以欺诈罪逮捕，严刑拷问下杰玛说出他获得1千万卢比的真相——他确实知道答案，但他只知道这些！
　　出身贫民窟的杰玛年幼就生活艰苦，他与哥哥沙里姆、少女拉媞卡(芙蕾达•平托饰)三人却一起经历了几十年印度的变迁。之前每一个问题，都好像是杰玛的记忆碎片，牵动他关于亲情、爱情与人生的回忆。
　　而现在，杰玛一方面要洗清自己的犯罪嫌疑，一方面要拯救与拉媞卡的爱。在金钱与爱之前，杰玛能够沉着冷静，选择出正确的答案吗？

Tag：电影休闲

oaktomber 发表于13:12:38 | 阅读全文 | 评论 1 | 编辑 | 分享 0