October 21, 2011 by bigdog.

取或予。

Posted in 谈谈佛学, 杂谈Misc. | Print | 2 Comments »

August 4, 2009 by bigdog.

什么是信息安全管理中最重大的问题？一向是个有个的说法。技术派，管理派，观点纷呈，各有妙论。与我而言，仅仅一个问题：信息价值如何界定？如果仅仅从技术角度或者从制度角度关心关心如何保护，信息安全管理就无法上升成为企业生存哲学的一部份，信息安全管理也就仅仅是一门可以学习而掌握的手艺活。在一个高速信息化的世界里，波普尔的第三世界不仅存在，而且正急速的发展进化着。一些这一世界里独有的生存规律正在形成，而一些现实世界里庞大公司在这个信息世界里却如同原始的蠕虫般不愿意主动进化。现实世界不仅发生着物理和化学的反应，对应的信息化反应现在也开始进行了。信息安全管理要面对的是一个全新的世界，这个世界有无数的新大陆等待新一代的哥伦布和麦哲伦。

Posted in IT顾问 | Print | 1 Comment »

June 22, 2009 by bigdog.

象其他重要业务资产一样，信息也是一种资产。随着IT系统应用的深入,它对一个组织具有越来越大的价值，因此需要加以合适地保护。信息安全防止信息受到的各种威胁，以确保业务连续性，使业务受到相关损害的风险减至最小，从而帮助企业达到回报和业务机会最大化。
    信息安全即组织通过建立一系列控制手段,从而达到该组织的特定安全目标。控制可分为策略、规程、组织, 软件应用。

ISO/IEC 27001制定的宗旨是确保机构信息的机密性、完整性及可用性，为达成上述宗旨，该标准共提出了39个控制目标及134项控制措施. 

以PDCA为模式, 应用以上各项目标及措施, 理论上可以建立起一个较完整的ISMS, 但是,是否就一定有效呢? 会不会全面但流于表面呢? 现实的问题是这种百科全书式的标准还需要结合具体组织的实际情况, 有针对性地执行创建. 如果缺乏对组织生存哲学的了解,没有IT整体战略的规划, 仅仅依靠标准去闭门造车, 难免最终成为标准无用的案例. 有佛无书不可成经,但有经未必一定成佛.

Posted in IT Security Story 安全的故事 | Print | 2 Comments »

June 14, 2009 by bigdog.

虽然我不喜欢,但风险是人类最重要的生活伴侣之一. 当人类走出伊甸园-那个无风险的保险箱. 人类的生存发展史,就是一部和风险相伴的历史. 我认为人脑这个组织很大程度上是为了计算风险而发展起来的.

那么,一个组织,从其最初的建立到发展壮大的过程中,风险的评估也是一直在进行着的,否则组织将无法生存.可以这么讲: 不同的生存哲学是建立在不同的对风险的认识之上的.

那么,在所有的IT专家在给企业提供风险评估之前,其对企业生存哲学的认识有多深就决定了其工作最终的效果. 这些, BS7799或ISO9000 都不会告诉你.

Posted in IT Security Story 安全的故事 | Print | 5 Comments »