外包企业在信息安全管理中易犯的一些误区(1)

以下的文章主要向大家讲述的是外包企业在信息安全管理中的一些误区,自从商务部推出服务外包“大气势工程”之后,在政府政策的大力扶持之下,国内外包产业发展的如雨后春竹,为了能够承接更多高端服务。满足客户的要求,商务部同时鼓励外包企业通过国际认证以获得更好的竞争力和良好的企业形象。比特网专家特稿:自从商务部推出服务外包“千百十工程”之后,在政府政策的大力扶持之下,国内外包产业发展的如火如荼,为了能够承接更多高端服务,满足客户的要求,商务部同时鼓励外包企业通过国际认证以获得更好的竞争力和良好的企业形象。ISO27001信息安全管理体系(ISMS)认证在此背景下,在外包公司得到了比较广泛的认可。越来越多的外包公司已经实施、或者计划实施ISO27001认证,本人作为信息安全管理体系(ISMS)的咨询顾问,在广泛接触这些外包公司,以及与企业各级人员后,总的一个感觉就是很多外包企业对信息安全管理存在或这或那不正确的
认识,这种认识将阻碍企业建立有效的、合规的信息安全管理体系(ISMS),阻碍企业信息安全工作的良性发展,甚至可能将阻碍企业业务发展。本文将主要阐述外包企业信息安全管理的误区,以及针对这些的误区的对策。为了更好地理解外包企业信息安全的需要,我将
首先简要分析一下服务外包业务的特点,当然,由于信息安全是本文的
发力点,仅仅分析列出与信息安全相关的业务特点:1. 知识密集型,对人才的要求很好外包服务属于知识型密集产业,很多业务都需要从业人员有相关的培训教育经历和
丰富的实践经验,与制造业有很大区别。因此外包需要的人力资源要求就高,而外包业务恰恰依赖的就是人。2. 外包成果无形化,难以量化评估外包最终的成果多数并非是实物化产品,而是一种服务,这就难以将成果量化进行评估,
但是在某些方面也存在一些公认的评价体系,如软件外包领域内CMMI国际认证,这是对软件外包接包商能力的一种评价指标。另外,在考量接包方在客户信息保密等方面,国际国内客户基本都已经认同ISO27001信息安全管理体系(ISMS)认证,这是接包方在信息安全能力方面的评价框架。3. 很大程度上依赖互联网和通信技术目前国内外包业务大多数是离岸外包,双方合作关系的确立以及业务的发展必须依赖互联网和通信技术。对于互联网和通信技术的过分依赖使得服务外包又具有了一种新的风险,通信网络的中断将导致业务的中断。服务外包企业的信息安全建设在政府政策的鼓励以及客户的要求的下,信息安全管控水平不断提高,ISO27001信息安全管理体系(ISMS)认证在外包企业也是强劲发展,尽管到目前为止,通过认证的企业的绝对数不大,但是发展很快,从下图我们可以看出:498)this.width=498;' onmousewheel = 'javascript:return big(this)' height="296" alt="浅谈外包企业信息安全管理误区" width="459" src="http://images.51cto.com/files/uploadimg/20100925/1054520.jpg" />数据来源于ISMS International User Group而对于这些数据贡献,绝大部分是来自服务外包企业。尽管如此,但是服务外包企业对信息安全管理还是存在着较多误区,主要
几点归纳如下。1. 信息安全认识误区尽管国内的外包行业有将近10年度发展历史,但是大的外包公司还不多,外包业务主要还是集中在软件外包,而软件外包的客户主要是做日韩企业。日韩客户一般对信息安全的要求都比较高,国内外包企业这么
多年在与客户打交道时,在客户的要求,不断提高企业自身的信息安全控制水平,但是在外包企业信息安全建设的过程中,出现了这样或那样的对信息安全建设的误区,其中的原因有迫于客户的压力来提升企业信息安全管理水平,主动性要求不高,企业自身在信息安全方面的积累也不多,另外也有一些外包企业急功近利,为了迎合客户的要求而仅仅做做表面文章。(1) 安全防御的
重点是来自外部的攻击由于媒体的报道以及一些安全产品厂商为了自身业务的需要而做的一些错误的引导,导致外包企业,甚至其他行业的公司都认为企业所面临的威胁主要是来自外界。
各类安全威胁中,企业最重视哪3类?据《信息周刊》的调查来看,病毒和蠕虫,间谍软件,垃圾邮件3类威胁一直高居榜首。但是依据此3类威胁部署的企业信息安全方案将仅限于信息安全产品的老三样—防病毒、防火墙和IDS的老路上。实际上,企业内部数据安全的危害性正在日益上升,如未经授权的雇员对文件或数据的访问、带有公司数据的可移动设备遗失或失窃等,恶意员工故意破坏信息系统甚至泄漏企业机密等,但是这一点还没有引起企业足够的重视。 1 2 下一页>>查看全文 内容导航第 1 页:外包企业在信息安全管理中易犯的一些误区前 原文:外包企业在信息安全管理中易犯的一些误区(1) 返回网络安全首页

时间: 2024-10-21 20:30:16

外包企业在信息安全管理中易犯的一些误区(1)的相关文章

COBIT在企业信息安全管理中的应用实践

引言 随着信息技术的不断发展和广泛应用,信息已成为政府机构及商业组织保持竞争力和业务持续运营的重要资产.然而信息正面临着来自各方面越来越多的威胁,如何保障信息安全已经成为亟待解决的关键问题. 目前企业解决信息安全问题的常见方式:发现问题-->进行安全项目投资-->寻找产品-->制定方案-->产品实施,这种头痛医头脚痛医脚的方式很快便暴露其弊端.随着业务系统的发展和多样性安全需求的提出,就会出现产品兼容问题.集成问题.扩展问题.管理问题等,难以支持业务发展,安全状况并没有得到明显改善

安全应急响应工作中易犯的5大错误

本文讲的是 安全应急响应工作中易犯的5大错误,转行或开启一份新工作的最大挑战之一,不是了解该做什么,而是学会不能做什么. 人非圣贤,孰能无过?但在安全行业,小过失往往造成大损失.下面是安全响应中一些常见的错误,以及安全专家给出的真知灼见. 无准备 对没准备的公司,发现自己被攻击的事实可能会带来恐慌.无效响应和难以承受的账单.你知道攻击事件中得弄清哪些问题,不妨设置好整体计划以应对这些问题,有备无患. 比如说:哪些数据被盗了?攻击者是怎么进到公司网络的?他们在公司网络中畅游多久了?都有哪些系统被他

初创公司营销过程中易犯的7个致命错误

中介交易 SEO诊断 淘宝客 云主机 技术大厅 北京时间9月4日消息,据国外媒体报道,Steli 是销售服务公司ElasticSales的联合创始人兼首席布道师,同时也兼任多家初创公司和企业人的销售顾问,以下是他以初创公司的营销业务为主题撰写的一篇文章. 初创公司营销过程中易犯的7个致命错误(腾讯科技配图) ElasticSales有幸为硅谷多家热门的初创公司服务过,帮助他们开展.运营公司的营销活动.每一周,我们都会和多家初创公司展开讨论,以了解这些销售团队所面临的挑战有哪些.在多次的服务过程中

社会化SEO中易犯的4个错误

首先,当然需要知道什么是社会化SEO,很简单,根据字面意思就知道,是社会化媒体营销和SEO的结合体,这种整合营销的威力可能会远远超过一些http://www.aliyun.com/zixun/aggregation/38848.html">营销人员的想象的.在线营销没有成果的话,那就表示你的行动不正确,没有恰当的利用好各种平台资源,从而导致品牌的信息战略显得无力而困惑. 你要意识到社交媒体营销和SEO是"手牵着手"的,有一些易犯的错误需要注意,这里就介绍4个社会化SEO

数据挖掘中易犯的11大错误

按照Elder博士的总结,这10大易犯错误包括: 0. 缺乏数据(Lack Data) 1. 太关注训练(Focus on Training) 2. 只依赖一项技术(Rely on One Technique) 3. 提错了问题(Ask the Wrong Question) 4. 只靠数据来说话(Listen (only) to the Data) 5. 使用了未来的信息(Accept Leaks from the Future) 6. 抛弃了不该忽略的案例(Discount Pesky Ca

十个JavaScript中易犯的小错误,你中了几枪?

在今天,JavaScript已经成为了网页编辑的核心.尤其是过去的几年,互联网见-证了在SPA开发.图形处理.交互等方面大量JS库的出现. 如果初次打交道,很多人会觉得js很简单.确实,对于很多有经验的工程师,或者甚至是初学者而言,实现基本的js功能几乎 毫无障碍.但是JS的真实功能却比很多人想象的要更加多样.复杂.JavaScript的许多细节规定会让你的网页出现很多意想不到的bug,搞懂这些 bug,对于成为一位有经验的JS开发者很重要. 常见错误一:对于this关键词的不正确引用 我曾经听

10个JavaScript中易犯小错误_javascript技巧

在今天,JavaScript已经成为了网页编辑的核心.尤其是过去的几年,互联网见证了在SPA开发.图形处理.交互等方面大量JS库的出现. 如果初次打交道,很多人会觉得js很简单.确实,对于很多有经验的工程师,或者甚至是初学者而言,实现基本的js功能几乎毫无障碍.但是JS的真实功能却比很多人想象的要更加多样.复杂.JavaScript的许多细节规定会让你的网页出现很多意想不到的bug,搞懂这些bug,对于成为一位有经验的JS开发者很重要. 常见错误一:对于this关键词的不正确引用 我曾经听一位喜

小心网络布线中易犯十类错误

网络布线是一项十分繁琐和复杂的工作,但目前看来从事这项工作的人员中还普遍存在着相关知识与经验不足的现象.比如,大量电话工程及电工人员同时也兼顾着网络布线的工作.事实证明,这种做法存在有很多隐患,对于电话系统来说,出现突发错误的可能性是可以被容忍的,而在数据线路中就需求尽量杜绝这种情况的发生. 在本文中,我们将重点关注双绞线在实际布线中的应用.下文给出了在实际布线中需要大家避免的十项错误. 一.未对整体网络进行前瞻性规划 目前千兆网络已经开始普及,但还有很多公司需要继续使用百兆到桌面的网络连接.例

必看 :大数据挖掘中易犯的11大错误

0.缺乏数据(LackData) 对于分类问题或预估问题来说,常常缺乏准确标注的案例. 例如: 欺诈侦测(FraudDetection):在上百万的交易中,可能只有屈指可数的欺诈交易,还有很多的欺诈交易没有被正确标注出来,这就需要在建模前花费大量人力来修正. 信用评分(CreditScoring):需要对潜在的高风险客户进行长期跟踪(比如两年),从而积累足够的评分样本. 1.太关注训练(FocusonTraining) IDMer:就象体育训练中越来越注重实战训练,因为单纯的封闭式训练常常会训练