• 2009-04-28

    青岛印象(二)

    青岛最有名的山是崂山,据导游说是唯一的临海的山,即海上名山第一吧,呵呵,个人感觉有点夸张了。崂山的出名很大程度上是因为蒲松龄笔下的那个会穿墙术的崂山道士,在青岛旅游,本地人经常问去没去崂山,可见崂山在青岛本地还是非常重要。

    从崂山的台阶上可以远看大海,一望无际,在不远处有很多渔民用来养鱼的装置,崂山停车场上全是旅游来的车,人也相当的多。

    山脚下很多摆摊的本地人,买一些崂山的特产,比较稀奇的算这种叫莲花果的水果了,据导游说并不好吃,是观赏用的。

    爬到半山腰,有一个小小的水库,水从上向下流到这里,有点瀑布的感觉。整个崂山似乎都是比较大块的时候,没感觉到有土,估计所有的土及松动的岩石已经被水冲刷干净了。

    爬山的小路,在小路的边上很多商家在买东西,偶尔还有一些小的亭子,感觉上山并没有什么特别的,主要是在爬山的过程中来感觉一下山水响应的环境,在山上来愿望一下大海。

    由于时间的关系,我们只爬到了半山腰,并没有向上爬,这里也是有一个普通,在石桥上有很多同心锁。

    Tag:青岛 印象 崂山
    oaktomber 发表于20:25:05 | 阅读全文 | 评论 0 | 编辑 | 分享 0

  • 2009-04-28

    青岛印象(一) - [网络日志]

    由于飞机晚点,周六凌晨1点多才到达预定的别墅酒店,酒店所处的环境很不错,房间大概有45平米左右,而且推开窗子就可以看到大海。

    酒店在青岛的崂山区,从酒店穿过一条马路就是海边,早上的时候海边已经有不少人在活动,有人在捡贝壳、有人在晨跑,也有像我这样来这里旅游的人在四处观望。

    这里的海似乎是绿色的,不知道是不是在浅海区的原因,风倒是挺大的,大概有5、6级的样子,海边有很多大石头块,在大概几米的范围内,到处都是拍碎了的贝壳。

    Tag:旅游 青岛 海边
    oaktomber 发表于11:30:39 | 阅读全文 | 评论 3 | 编辑 | 分享 0

  • 2009-04-20

    ISMS相关原创文章汇总 - [网络日志]

    为了方便查找,对一些原创的文章进行记录汇总。

    ISMS在外包企业与业务的结合

    ISMS有效性测量浅析

    如何有效实施信息安全管理体系

    管理体系的内在特质

    Tag:原创 文章 记录
    oaktomber 发表于09:58:51 | 阅读全文 | 评论 1 | 编辑 | 分享 0

  • 2009-04-16

    有效性测量体系设计过程--Check控制、Act改进阶段 - [管理体系]

    前面已经涉及到了在策划阶段运作阶段的实施过程,这两个阶段基本上就是主题,在Check阶段和Act阶段的主要任务就是检查改进。

    在ISMS的控制(Check)阶段,需要做的事情有两个方面,一是根据有效性测量的结果对ISMS进行评价,另外一个需要对有效性测量体系进行评价,两方面的工作具体来说为:

    1. 评价ISMS运作:体系管理组根据指标分解的层次,对指标进行计算、整合及分析,检查各层次指标是否满足目标要求,并对整体状况进行评估,得出ISMS做的好的方面以及需要改进的方面。
    2.  评价测量指标:根据测量、分析结果,评价有效性测量体系的贡献,并从中找到需要改进的区域,调整测量指标体系,为ISMS有效性的测量更好的提供服务。

    在ISMS的改进阶段,基于控制阶段的分析,对ISMS及测量指标体系分别进行改进,使之鞥好的为ISMS服务。

    Tag:27001 ISMS 有效性 度量
    oaktomber 发表于09:56:15 | 阅读全文 | 评论 0 | 编辑 | 分享 0

  • 2009-04-15

    有效性测量体系设计过程--Do运作阶段 - [管理体系]

    在ISMS的运作阶段,需要对有效性测量体系进行详细的设计,主要是解决测量什么、如何测量、测量结果如何展示的问题。我们从以下几个方面进行分析:

    1. 分析有效性测量需求:对于策划阶段的各类有效性测量的输入进行归纳整理,在这个基础上还可以考虑加入一些其它方面的只要指标,比如ISMS的重要活动、信息安全管理的日常操作等,这些方面统一分析整理,最终得出一套需要进行测量的重要指标。
    2. 有效性测量指标分解:对归纳出来的各项重要指标做进一步分解,对应到ISMS的各项具体度量项,并为每项设定度量目标的阀值。
    3. 测量指标采集方案设计:测量指标采集方案的设计是将各项指标如何测量进行定义,包括测量指标的计算方法、指标采集频度、测量责任人及采集方式等。测量方案一定要具体可行,指标采集频度可以根据不同的指标区别对待,在制定责任人时应尽量避免由操作者直接测量自己工作的指标。
    4. 有效性测量指标的记录:按照测量指标采集方案的频率进行检查,并且按照时间线进行记录,记录的数据应客观准确,这样才能真正的反映问题。

    在此阶段的过程中,测量指标的选取是一个重点,同时也是一个难点,不能测量的指标过少,但同时也没有比较所有的控制点全部进行测量,下面是一个测量指标分类的参考,可根据实际情况选取一些关键的指标进行度量。

    • 管理控制措施:如安全目标、安全意识等方面;
    • 业务流程:如风险评估和处理、选择控制措施等;
    • 运营措施:如备份、防范恶意代码、存储介质等方面;
    • 技术控制措施:如防火墙、入侵检测、补丁管理等;
    • 审核、回顾和测试:如内审、外审、技术符合性检查等;
    Tag:27001 ISMS 有效性 度量
    oaktomber 发表于10:25:05 | 阅读全文 | 评论 0 | 引用 1 | 编辑 | 分享 0

  • 2009-04-10

    有效性测量体系设计过程--Plan策划阶段 - [管理体系]

    前面我们谈到了进行有效性测量的必要性以及建立测量指标体系的原则,那么如何建立一个有效性测量的体系呢?下面我结合ISMS建设的PDCA四个阶段来做一个说明各阶段的重要活动。

    1. ISMS的Plan策划阶段

    随着整个ISMS的策划,有效性测量的工作其实已经可以开展,这个阶段主要是收集有效性测量的需求,为有效性测量提供输入,是进行有效性测量指标体系设计的基础。具体的活动如下:

    • 1) ISMS目标建立:有效性测量一定要与组织的业务目标相关,是为了组织的核心业务目标而测量的,这是进行有效性测量的第一要点。在ISMS策划阶段建立组织ISMS的业务目标时,一定使ISMS的目标能够反映组织的业务目标,并且这个目标需要遵守SMART原则,即要具体(Specific),可量化(Measurable),¬可达成(Achievable or Attainable),现实的(Realistic),并且有限定的时间期限(Timely)。
    • 2) 利害相关方关注收集:在ISMS的策划阶段,可以收集各利害相关人的关注点,比如:客户的信息安全关注点、股东或高层的信息安全关注点、上级或监管机构的信息安全关注点等,这些都是建设ISMS的重要信息输入,同时也是有效性测量的重点关注内容。
    • 3) 历年安全事件的总结:信息安全事件的频次,能够在一定程度上反映出组织信息安全的薄弱环节,这些高频次的安全事件可作为有效性测量的一个重点,来跟踪验证针对信息安全事件的安全措施是否有效。如以往病毒发作的安全事件比较高,那么可以将病毒的发作次数、病毒软件的安装率、操作系统的补丁更新率作为有效性测量的指标来进行测量,以反映出防病毒控制措施的有效性。
    • 4) 信息安全高风险归纳:在策划阶段进行风险评估中的信息安全高风险,是需要组织必须要处理的,而且这些高风险同时是需要被重点跟踪的,因此所有的信息安全高风险必须能够反映到有效性测量的指标体系中去,来验证信息安全高风险的控制措施是否有效。

    按照上面所讲的方面进行有效性测量的需求信息收集,来为有效性测量提供有力的输入信息,这样在进行有效性测量指标的设计时,就能够做到有理有据。

    Tag:27001 ISMS 有效性 度量
    oaktomber 发表于17:43:41 | 阅读全文 | 评论 1 | 引用 1 | 编辑 | 分享 0

  • 2009-04-08

    推荐:贫民窟的百万富翁 - [文史哲杂]

    近期看的几部片子中比较不错的一部,真实、有意义,推荐!

    豆瓣上的介绍:

    2006年,印度孟买。
      印度青年杰玛•马利克(戴夫•帕特尔饰)还差一个问题就能赢得2千万卢比。他是怎么做到的?A:他作弊;B:他幸运;C:他是天才;D:一切命中注定。
      这是《谁想成为百万富翁》电视猜谜节目的人生版。杰玛•马利克在已经赢得1千万卢比的情况下被警方以欺诈罪逮捕,严刑拷问下杰玛说出他获得1千万卢比的真相——他确实知道答案,但他只知道这些!
      出身贫民窟的杰玛年幼就生活艰苦,他与哥哥沙里姆、少女拉媞卡(芙蕾达•平托饰)三人却一起经历了几十年印度的变迁。之前每一个问题,都好像是杰玛的记忆碎片,牵动他关于亲情、爱情与人生的回忆。
      而现在,杰玛一方面要洗清自己的犯罪嫌疑,一方面要拯救与拉媞卡的爱。在金钱与爱之前,杰玛能够沉着冷静,选择出正确的答案吗?

    Tag:电影 休闲
    oaktomber 发表于13:12:38 | 阅读全文 | 评论 1 | 编辑 | 分享 0

  • 2009-04-07

    有效性测量体系设计原则 - [管理体系]

    在对ISMS进行有效性测量的时候,我们应该遵循什么样的原则呢?我认为只要遵循“有依据、可操作、能比较”这三点原则,那么设计出来的有效性测量体系就是比较好的。这三点原则说明如下:

     1) 有依据:有效性测量的过程中,不是为了测量而测量,不是为了标准而测量,各项指标的设定一定要有理有据,每个测量的指标都应当能够具体反映出ISMS的运行状态。

    2) 可操作:一个不能操作的测量指标体系是没有意义的,所以有效性测量指标体系一定是清晰、明确,具体可操作的,而同时又是容易收集、不能花费太大的成本的,否则设计再好的测量指标体系都无法真正的贯彻执行。

    3) 能比较:有效性测量的结果一定是可比较的,可以通过量化的数值、图形化的参考来展现测量的结果,这样能够清晰、直观的观察到ISMS的状态趋势。

    Tag:27001 ISMS 有效性 度量
    oaktomber 发表于11:43:43 | 阅读全文 | 评论 0 | 引用 1 | 编辑 | 分享 0

  • 2009-04-03

    为什么需要进行ISMS有效性测量 - [管理体系]

    一直想整理一下有效性测量方面的东西,这几天准备写点东西,完成之后就是一篇关于ISMS有效性测量浅析的文章,顺便也完成了公司要求发表文章的作业。

    言归正传,做文章嘛就得有个开头,最为通俗的开头莫过于为什么要做这件事情,所以首先需要阐述的就是,为什么需要对ISMS进行有效性测量?换句话说,进行ISMS有效性测量的意义及价值是什么?

    1.对信息安全管理目标的考核

    组织在建立ISMS时都会依据组织业务的发展、各利益相关方安全要求及组织的信息安全管理水平等,来设定自身信息安全管理的目标,通过有效性测量,不但可以很好的对信息安全目标达到的程度进行考核,准确的衡量ISMS的绩效,而且还能够为管理层对信息安全管理的资源投入提供数据依据。

    2.ISMS持续改进的重要依据

    在建立ISMS时,通常都会进行风险评估及风险处理措施的实施,如果不进行有效行测量,就不能反映出当前组织的各安全措施的效果如何,即无法表现出信息安全的改进在哪些方面。通过有效性测量,能够更充分的反映出当前组织的信息安全存在问题及问题的严重程度,为今后的信息安全的工作重点提供有力的依据。

    3.信息安全管理工作的绩效考核

    有效性测量结果不仅是衡量ISMS绩效的重要标准,也是对信息安全管理组织工作绩效的一个有利的侧面展示,通过有效性测量的数据,不但可以使管理者清晰的了解信息安全管理工作,而且还能增强信息安全管理工作人员的信心。

    4.满足标准(ISO 27001)的符合性要求

    众所周知,ISO 27001标准中明确要求组织定义测量体系,并实施之获得数据,衡量所实施ISMS的有效性。通过ISMS有效性测量工作,不仅仅充分的满足了标准的要求,而且是推动ISMS持续改进的动力。

    Tag:ISMS 有效性 度量 27001
    oaktomber 发表于12:22:10 | 阅读全文 | 评论 0 | 引用 1 | 编辑 | 分享 0
共1页 1