新版信息安全风险管理标准ISO／IEC 27005：2011正式发布

信息安全风险管理是为了避免网络欺诈、识别码偷盗、网站破坏、个人信息丢失、及其他信息安全事故的发生。组织如没有可靠的风险管理体系，就会遭受信息威胁。信息安全风险管理过程包括：风险评估，风险处理，风险接受，风险沟通．风险监控和评审。     

信息安全外包管理

<正>针对信息安全外包管理进行深入的分析,对于很好掌握其中的风险并且确立基本的信息安全外包管理的框架,有着关键性的价值和意义。文章将针对这一方面的内容展开论述,详细分析了信息安全外包管理的主要风险,同时对基本的管理框架以及外包风险管理的实施等对策方案进行了全面的研究,旨在为有关信息外包管理质量的进步做出积极贡献。     

企业信息安全风险管理的框架研究

随着信息时代的到来,信息化技术在企业中发挥的作用愈发重要,在目前的网络环境中,大量的病毒频繁地攻击企业的信息系统,甚至造成系统无法及时处理攻击的情况。因此,企业信息安全应变被动处理为主动防御,在信息系统中建立风险管理框架,合理利用企业内部资源,提高企业信息系统安全性。本文将对企业信息安全风险管理的框架进行研究,探讨企业信息安全风险管理的需求、过程以及实施等细节。     

基于大数据的电信企业风险管理及应用

管理会计的核心功能是创造企业价值,风险管理是企业价值管理的重要内容,然而当前风险管理所依据的数据量不够,往往导致风险管理不到位,影响企业价值。大数据为准确可靠的风险管理提供了依据。传统电信监管模式制约了网络运行安全的监管和网络强国战略的实施。文章以大数据为基础,利用管理会计工具建立监管业务模型,构建电信企业的风险管理模式,通过大数据中心系统,最终建立高标准风险管理机制,以期实现信息安全监测预警,达到电信监管的要求。     

浅谈信息安全管理体系的风险管理与绩效

现代社会,信息作为组织的重要资产,受到了人们的高度重视,同时出现的许多信息安全事件也让人们关注起信息安全建设.本文针对信息安全事件的特点指出,预防信息安全事件的有效手段是建立长效信息安全管理机制,即推行国际标准化组织颁布的ISO 270012005《信息安全管理体系规范》.文章认为,组织建立并保持ISO 27001标准的有效运行,应在风险管理方面着力.文章结合ISO27001标准主要条款,论述了"设备不安全"、"恶意软件植入系统"、"访问不安全"等风险因素的管理控制措施.文章强调组织推行ISO 27001标准并保持有效运行,应将ISO27001标准与综合利用技术手段紧密结合,应着重把资产保护和业务连续性放在突出位置.     

细化商业银行操作风险管理的新思路

突发事件的攀升及美国次级债的恶化,使操作风险的内部管理和外部监管越来越受到重视。为了加强我国商业银行的操作风险管理,银监会于2007年6月在其网站公布《商业银行操作风险管理指引》,就如何管理、计量操作风险进行阐述,再次说明这是当前银行业风险管理面临的一项重要挑战。本文在分析巴塞尔新资本协议操作风险和实际工作的基础上,提出将信息资产作为商业银行一类特殊产品线,采用信息安全管理体系ISO27001完善和细化操作风险管理,以此提升风险管理和内控能力。     

关于物联网环境下的信息安全问题探讨

信息安全作为国家重要战略资源意义重大。而物联网伴随着互联网技术的广泛应用而迅速发展,这给信息安全带来了空前的未知和挑战。且目前的信息安全问题层出,说明解决物联网环境下信息安全问题技术方案不够成熟和系统。相对地,学术与工业界关于物联网环境下信息安全问题尚未形成一个广泛讨论和研究的焦点。文章以安全政策和技术层面,基于物联网信息安全防御基本架构和物联网信息安全相关研究进展总结出新的物联网信息安全防御架构。指出了目前及其未来时间段内信息安全方面存在的巨大潜在威胁,并提出合理化建议。     

云计算与信息安全

信息安全是当前计算机科学的一个研究热点;云计算是一个新的技术,给信息安全提供了挑战和机遇。介绍了云计算的基本概念、云计算的安全问题,通过云计算用户以及云计算服务提供商两方面分析了云计算中确保信息安全的方法。     

空管信息安全风险评估

文章在深入研究标准信息安全体系结构、充分考量结构合理性的基础上,结合空管行业特点,遵循体系设计原则,选取模糊综合评价方法,建立了信息安全风险评估模糊综合评价模型,并对风险评估结果判定和风险管理流程进行了改进,通过归一化方法把个体系统特征统一到整体安全评估系统当中,进一步延伸,能够实现每一环节都有例证来准确反映风险状况的目的。     

供应链系统信息安全管理策略探析

供应链管理系统信息安全问题已经成为供应链管理应用和发展的瓶颈问题。本文重点研究了解决供应链管理系统信息安全问题的关键技术支持。并由此，探讨了将它们应用于保护供应链管理系统信息安全的组合方案和应用策略。     

信息安全管理有效性的测量研究

随着信息系统在企业中的广泛应用,信息安全问题越来越为严峻,信息安全管理有效性测量是通过对企业信息安全风险进行评估,得出企业信息安全控制水平是否能保障信息系统安全的结论,对提高企业信息安全管理水平极为重要。本文就信息安全管理有效性的测量进行了研究,可供信息安全管理有效性测量实践参考。     

电力行业网络安全技术研究

随着Internet的迅速发展,信息安全问题面临新的挑战。电力系统信息安全问题已威胁到电力系统的安全、稳定、经济、优质运行,影响着"数字电力系统"的实现进程。研究电力系统信息安全问题、开发相应的应用系统、制定电力系统信息遭受攻击时的防范与系统恢复措施等信息安全战略是当前信息化工作的重要内容。电力系统信息安全已经成为电力企业生产、经营和管理的重要组成部分。     

后金融危机时代企业集团风险管理机制研究

风险管理是公司治理的核心，2008年全球金融危机导致数以千计的企业集团蒙受重大损失，与此同时也暴露出企业集团在风险管理方面存在的缺陷。因此，构建更为有效的企业集团风险管理机制显得尤为迫切和必要。本文从后金融危机时代企业集团风险管理的必要性、企业集团风险管理存在的问题、企业集团风险管理机制的构建等方面进行了研究。     

基于"大"风险管理的内部控制研究

为保证财物安全、会计信息的真实性、经营效率、决策理性等,国内外理论界与实务界先后提出了内部控制、公司治理与风险管理等各种控制规范和措施。本文首先回顾了内部控制、公司治理与风险管理的相关研究,指出三者在实务中存在的问题,认为问题的根源在于三者“各自为政”。在论述内部控制、公司治理与风险管理整合可行性的基础上,提出了“大”风险管理概念,并针对实务中存在的问题,给出了相应的建议。     

基于经济安全的信息安全问题研究

信息被广泛应用于社会发展的各个方面，已渗透到国家发展的每一个领域，其重性不言而喻。信息时代的到来给全球带来了飞速发展的契机，但信息安全问题也随之而来，尤其在互联网广泛应用的今天，信息安全的问题逐步凸显，对我国经济安全带来巨大的影响。因此，本文通过对信息安全与经济安全关系以及信息安全的影响因素的分析，发现我国信息安全方面存在问题的研究．并提出加强信息安全保障的措施。     

基于“大”风险管理的内部控制研究

为保证财物安全、会计信息的真实性、经营效率、决策理性等,国内外理论界与实务界先后提出了内部控制、公司治理与风险管理等各种控制规范和措施。本文首先回顾了内部控制、公司治理与风险管理的相关研究,指出三者在实务中存在的问题,认为问题的根源在于三者"各自为政"。在论述内部控制、公司治理与风险管理整合可行性的基础上,提出了"大"风险管理概念,并针对实务中存在的问题,给出了相应的建议。     

企业信息主要安全风险分析及应对策略探讨

该文主要针对企业在信息化建设中的安全问题进行简要的研究分析,首先对网络信息安全的概念做了简要的叙述,其次分析了信息安全策略和安全威胁,最后对企业常见的各种网络安全问题提出相应的解决策略。     

地铁深基坑工程动态风险管理研究综述

深基坑工程是一项具有区域性、综合性、不确定性、动态性和环境效应等特点的高风险工程。建立动态风险管理体系,对深基坑的风险进行评估和控制,在深基坑工程中非常重要。本文论述了深基坑工程动态风险管理的必要性、重要性和动态风险管理的内容,通过对深基坑工程动态风险管理的国内外研究现状进行归纳和总结,提出了深基坑工程的动态风险管理中存在的一些问题,并提出了一些建议,为深基坑工程中的动态风险管理提供参考。     

试析证券公司风险管理商务智能系统建设

文章着眼于研究如何借助商务智能(BI)系统为风险管理技术方法的计算与形象化展现提供帮助。通过对我国证券公司风险管理的业务、技术问题分析,文章给出了风险管理技术方法的雷达网状图,提出了我国证券公司风险管理BI系统设计框架,并对系统建设中数据格式的标准化、逻辑模型设计、自适应性等关键问题进行了探讨。     

基于AP2DR2A+ET的企业信息安全框架研究

经济全球化、互联网时代,信息成为企业市场竞争核心资源。企业信息化过程中,面临各种信息安全风险。文章通过分析企业信息安全建设普遍存在的问题,提出AP2DR2A+ET信息安全模型。在AP2DR2A+ET模型基础上,设计出企业信息安全框架。该框架实现了企业组织与人员、信息安全管理、信息安全技术三方面因素整合,实现了信息安全管理体系、信息安全技术体系、信息安全运维体系的统一,对企业信息安全建设具有指导意义。