日历
搜索
搜索Adam的博客:

标题正文标题+正文
我的速写集
最新回复
友情链接
    博客信息
    • 创建:2006-7-15
    • 文章:24
    • 评论:154
    • 访问:83335
    •  
    我的相册
    博客日志

    2008-11-11 13:33 | [转帖]ISO 24762 信息与通讯技术灾难恢复服务指南[中文翻译版]

    关键字:信息安全 规划 灾难恢复 DRP
    人家翻译的,转一个
    本国际标准旨在通过向作为业务连续性管理的一部分的信息与通讯技术灾难恢复(ICT DR)服务提供指南,来协助信息安全管理体系的运行。 信息安全管理是以达到有效的信息和服务的保密性、完整性和可用性为管理目标的过程。当组织实施ISMS时,应该识别任何带来的业务活动中断风险的因素。 ISO/IEC 27001和ISO/IEC 27002包括信息安全方面的业务连续性管理的控制目标(参见ISO/IEC 27002:2005中的控制目标14.1),实施业务连续性管理将会降低这些风险。该控制目标通过作为ISMS过程的一部分来选择和实施的控制措施来得到支持。 业务连续性管理是整个风险管理过程的有机组成部分,通过以下活动来保护组织的关键利益相关方的利益、声誉、品牌和增值活动:

     识别可能对组织业务运行造成负面影响的潜在威胁和相关风险;
     提供建立业务运作健壮性的框架;
     提供有效应对灾难和失……
    编辑 | 阅读全文(624) | 回复(4),Adam 发表于 2008-11-11 13:33

    2008-3-19 16:43 | [灌水]又见黄沙满天

    该文章有隐私级别,只有作者本人才可以查看。
    编辑 | 阅读全文(117) | 回复(0),Adam 发表于 2008-3-19 16:43

    2007-9-21 23:11 | [推荐]挑战者的成功之道:不对称创新【完整版】

    关键字:创新 精品资料

    以弱胜强,是多数中国企业都面临的一个战略困境。然而,在敌强我弱之下,挑战者如何实现对领先者的赶超?行业的后进入者又如何才能找到生存的立足点,进而不断发展?
    放眼产业市场的演变,强弱之间的转换时时都在上演。但是,以弱胜强,究竟是无心插柳,还是源于精心谋划?究竟是一时运气的偶然,还是成竹在胸的必然?
    作者基于对战略、创新和营销理论的跨领域研究,在对全球近百个以弱胜强的商战案例系统剖析的基础上,提出:创新是以弱胜强、后来居上的唯一途径,但是要想成为成功的创新者而不是铺路石,挑战者的战略思想必须有别于市场领先者——这就是不对称创新……
    编辑 | 阅读全文(5300) | 回复(22),Adam 发表于 2007-9-21 23:11

    2007-9-11 15:8 | [推荐]经理人的整体足球课:完美游戏

    经理人的整体足球课:完美游戏


        足球场上强弱易势、胜败转换,可谓再平常不过的事了。有时候,一支看起来夺冠呼声很高的强势球队,却在一连串的失误中节节败退,尚未挺进决赛,就被无情地踢出球场、铩羽而归。很显然,它是败在了自己手上,是自己把自己的冠军梦给击碎了,致使胜利离自己越来越远。这恰如某些实力强大的企业,原本在竞争中胜出的机会很大,却由于一个又一个急火攻心的错误决策,或不顾结果一意孤行的莽撞之举,最终使优势尽失、强势易手,陷入到危险的泥潭中,不得不与胜利饮痛道别。

    中国铁道出版社出版 西奥·西奥博尔德 卡里·库伯 著 

    编辑 | 阅读全文(527) | 回复(6),Adam 发表于 2007-9-11 15:8

    2007-9-10 12:59 | [原创]IT风险的分类 (入选推荐日志,加20币)

    IT风险的分类
    话说Symantec在今年2月发布了一个“IT风险管理研究报告”后,摇身一变,成为了一个IT风险管理专家的身份,从安全管理到风险管理,其实也是需要一个过程的,尽管早些年间鄙人就已经意识到安全行业迟早会走到这一步,不过没想到第一个跨出这一大步的会是Symantec,当时我的预测走出这一步的应该是一些基础架构厂商如IBM、HP之流的企业(虽然他们也提风险管理,不过吼得似乎没有那么大声),不过Symantec在鲸吞了几家公司后也俨然以”领先的基础架构软件供应商”的身份自居了,但是毕竟还是根不红、苗不正啊,正因如此,借一个“IT风险管理研究报告”以及强大的宣传攻势,赛先生推出了自己的IT风险管理服务:顾问服务和支持服务,今天拜读了Symantec全球服务团队总裁Greg Hughes先生的《Five Steps ……
    编辑 | 阅读全文(523) | 回复(1),Adam 发表于 2007-9-10 12:59

    2007-9-10 12:50 | [原创]销售体验 (入选推荐日志,加10币)

    关键字:体验营销
    本文从一个小故事开始:
    20世纪60年代,丽贝卡的妈妈过生日时,丽贝卡的奶奶亲手烤制生日蛋糕,她购买价值1毛、2毛的蛋糕制作原料;
    20世纪80年代,丽贝卡过生日时,妈妈打电话给超市或当地的面包房订生日蛋糕,这种定制服务将花费10~20美元,而许多父母却认为定制蛋糕很全家,毕竟这样做,他们可以集中精力于计划和举行画龙点晴的生日聚会;
    21世纪初,丽贝卡的女儿过生日时,丽贝卡会把整个聚会交给“迪斯尼俱乐部”公司来举办。在一个叫纽邦德的旧式农场,丽贝卡的女儿和她的14个小朋友一起体验了旧式的农家生活。他们用水洗刷牛的身体、放羊、喂鸡,自己制造苹果酒,还要背着干柴爬过小山,穿过树林。丽贝卡为此付给公司一张146美元的支票。
    丽贝卡女儿的生日祝辞上写着:“生日最美妙的东西并非物品。”
    从产品经济到服务经济,从服务经济到体验经济,客户需要的东西似乎越来越升级了……
    编辑 | 阅读全文(4063) | 回复(17),Adam 发表于 2007-9-10 12:50

    2007-2-3 0:48 | [原创]组织为什么去获得一个认证?

    美国认证机构独立协会(IAAR)是一家位于北美的管理体系认证协会。近期,这家机构针对质量管理体系标准认证的原因和好处进行了一项满意度调查,并在网站上公布了该项调查结果
    通过此次超过2500人的调查,可以对质量体系在国外的情况有所了解,挑一下来说说调查结果吧:
    1、组织选择质量体系认证的最主要原因排名前三的有:客户要求、竞争压力、基于客户需求的持续改进;
    2、组织已经认证的标准:ISO 9001:2000以83%的份额高居榜首;
    3、96%的人认可认证;
    4、超过半数的组织已经通过质量体系认证超过6年;
    5、质量体系带来的外部收益排名前三的是:提升质量感知、提高客户满意度、提高竞争优势;
    6、质量体系带来的内部收益排名前三的是:质量意识、更好的文档化、提高效率;
    7、66%的人认为质量体系对组织是有益的,还有18%的人认为非常有益;
    8、66%的人认为质量体系能驱动持续改进,还有5%的人认为完全符合持续改进……
    编辑 | 阅读全文(5971) | 回复(2),Adam 发表于 2007-2-3 0:48

    2007-1-28 15:25 | [原创]德鲁克与ISO 17799

    彼得.德鲁克被推崇为著名的思想家,一代管理学宗师;而ISO 17799则是信息安全行业公认的信息安全管理事实标准。
    信息安全管理,既然有管理,怎么说也应该跟所谓传统的管理有些贴近吧,带着这个想法,我比对了一下ISO 17799(2005版)中的关键成功因素和德鲁克老先生在《组织的管理》一书中所谈到的管理的原则,发现了很多的共同点,如果不看2005版的ISO 17799,看看其前身的BS 7799,你就会发现基本上德鲁克的原则已经覆盖了BS 7799的所有关键成功因素,我也与时俱进一把,拿2005版的17799和德鲁克老先生的管理原则做一个比对,先各自罗列一下。
    德鲁克提出的管理的原则,有7点(由于手边没有英文的《组织的管理》一书,只能罗列中文,可能翻译上存在一些问题,希望有英文版的朋友能帮我罗列一下):
    1、管理是与人密切相关的。管理的使命就是使大家能够从事共同的工作,使大家能扬长避短。
    2、因为……
    编辑 | 阅读全文(2507) | 回复(5),Adam 发表于 2007-1-28 15:25

    2007-1-22 15:51 | [原创]获取信息安全管理体系证书的流程

    关键字:ISO 27001 ISMS 认证 ISO认证
    ISO 27001:2005是建立信息安全管理系统(ISMS)的一套需求规范,组织为了提高自己的信息安全管理水平,为了向客户证明自己的信息安全管理水平,为了让权威机构来验证自己的信息安全管理水平是否是”最佳实践”,选择获取信息安全管理体系证书也许是一个最省事的方法了。
    而组织要获得这个证书主要有以下几个流程:
    1、确定认证的范围,并进行内部动员、培训,当然这个培训可以请认证机构或者咨询公司都可;
    2、建立组织的信息安全管理体系,并运行。这个阶段可以是2-3个月或者更长,视组织的具体情况而定;
    3、邀请认证公司进行预审,看看是否还有需要自己再改善改善的地方(这个阶段一般是2人日左右,可以被裁剪,如果你有足够信心的话);
    4、要求认证公司进行文审(DR)和初访(IV),涉及到组织认证范围内的所有部门以及重要流程(一般是3人日左右);
    5、纠正初访完成后审核员提出的审核发现,这个阶段……
    编辑 | 阅读全文(3912) | 回复(1),Adam 发表于 2007-1-22 15:51

    2007-1-2 17:37 | [分享]“长尾理论”电子版(英文原版)

    这本书在2006年火得一塌糊涂,大致了解一些信息,曾以为又是一个颠覆传统理论的小丑,不过看来并非我原以为的那样。

    把找到的英文原版书发到这里,与大家一起分享。

    不喜欢金币贴,免费分享

    编辑 | 阅读全文(16100) | 回复(70),Adam 发表于 2007-1-2 17:37

    2006-12-26 13:57 | [原创]“注册企业风险管理师”培训总结

    关键字:CERM培训 ERM 培训心得 总结
    经过了22个周末的辛苦学习,到今天为止注册企业风险管理师(CERM)的培训已经结束3周了,但由于12月10日的考试成绩一直没有下来,今天拿到成绩单,成绩还算相当不错的,可惜俺读书的时候没有现在这么刻苦,不然(此处省略约五千字)……既然整个培训已经暂时划上了一个句号,现在可以总结总结,算是最后交差了。
    培训总共是10门课程:
    一、风险管理纵论
    二、风险评估
    三、风险管理方法与技术
    四、企业危机管理
    五、企业操作风险管理
    六、信息与决策
    七、变革与战略风险管理
    八、公司治理
    九、财务风险管理
    十、企业全面风险管理
    感觉对我帮助最大的几门课程有风险评估、风险管理方法与技术、企业危机管理、企业操作风险管理,这与我自身的知识结构有一定的关系,同时也和老师的讲解能力有一些关系。从整个课程的设计上来说,由于每一门课程都是不同的老师进行课件的编写,而亚洲风险与危机管理协会缺乏一个能从全局方面把握……
      编辑 | 阅读全文(5689) | 回复(5),Adam 发表于 2006-12-26 13:57

      2006-12-19 15:43 | [原创]ISO 27001认证纪实

      关键字:ISMS 信息安全 管理体系 Audit
      上周以审核方观察员的身份参加了一次ISO 27001的审核,获益良多。
      此次参加的是一个“文档资料审核和初访”阶段,审核的对象是一个软件外包企业,共历时2天。
      这个阶段的活动包括:
      1、首次会议
      作为审核方和之前做项目相比还是有很大差别的,客户对你的态度那是明显的不一样,而且这些认证的需求据我估计,应该也是他们国外的客户要求的,所以驱动力比较强。
      首次会议是在一个大的会议室开的,客户来了30多人,来了2个副总,2个CXO,首次会议主要的是沟通一下这2天的计划安排,以及客户方领导的讲话动员,时间大约一共半个小时。
      然后是客户的管理层代表访谈,主要通过管理层来了解公司的组织结构、管理体系的框架、职责和授权、信息系统结构,比较重要的是组织的安全目标、风险评估的管理、审核的重点关注区域和法律法规的识别。
      2、文档审核
      文档审核关注的应该是标准中应该被记录下来的那些文档是否存在,结构是否符……
      编辑 | 阅读全文(5633) | 回复(6),Adam 发表于 2006-12-19 15:43

      2006-12-4 12:1 | [原创]CERM培训之“企业全面风险管理”

      培训课程:企业全面风险管理
      培训时间:2006年11月26日,12月2日,12月3日
      培训内容:
      企业全面风险管理作为一门收尾的课程,包括了三个部分:企业全面风险管理实务、企业整体化风险管理理论探讨、企业风险审计。
      在实务阶段首先讲解企业为什么需要进行全面风险管理,提出了三个方面的原因:
      1. 企业自身弱势最小化的需要
      2. 内外围压力
      3. 绩效最大化-战略性增长
      其中第二个原因中的许多内容在我们引导客户需求时可能用得上,记录一下吧,内外围的压力包括来自股东的压力、来自监管层的压力(SOX、交易所指引、国资委的风险管理指引、巴塞尔条约这是4个不同层面的压力,各位看官自己领悟一下)、国际标准朝向风险管理导向转变的压力(穆迪和标准普尔等评级机构已经将ERM融入到评级方法中、企业审计标准转向”风险管理导向审计”的标准压力)、来自利益相关者的压力(沃尔玛、麦当劳对供应商提出风险管理的要求)、企业社会……
      编辑 | 阅读全文(3366) | 回复(5),Adam 发表于 2006-12-4 12:1

      2006-11-30 2:27 | [原创]CERM培训之“风险管理方法与技术”(三)内部控制

      培训课程:风险管理方法与技术
      培训时间:2006年11月18日,19日,25日
      培训内容:
      前面2篇描述了培训中的非常少的一部分内容,这篇把剩下的内部控制写一写吧,虽然我以前经常把内控挂在嘴上,但这里所谈到内控和我以前嘴中的内控还是有很大的差距的。
      企业的内部控制系统是为保护资产的安全完整、信息交流与沟通的畅通、实现组织经营的效率与效果、遵守各种法律规章等目标,把各种影响因素控制和抑制在可接受的风险水平下,由企业管理当局设立的一整套系统的措施与方法。
      内控的局限性:
      • 内部控制受制于成本效益原则
      • 内部、内外的串通舞弊会使内部控制失效
      • 内部控制受人员素质、信息传递的影响
      • 权利游戏
      • 经营环境变化
      看来随着时代的发展,以前流程再造里面的五个步骤–业务流程发掘(Business Process Discovery)、业务流程设计(Business Process Design)、业务流程执行(Bus……
          编辑 | 阅读全文(4286) | 回复(4),Adam 发表于 2006-11-30 2:27

          2006-11-28 21:30 | [原创]CERM培训之“风险管理方法与技术”(二)金融衍生工具

          关键字:巨灾债券 金融衍生工具
          培训课程:风险管理方法与技术
          培训时间:2006年11月18日,19日,25日
          培训内容:
          由于写保险已经花费了比较大的篇幅,金融衍生工具也只能分开来写了,如果把金融衍生工具作为风险管理的方法,那么它和保险一样,同样具备风险转移的功能,比如说股票的买入期权就是将未来股价上涨所带来的损失风险转移给了期权卖出者,这和保险的”投保人将财产损失的风险转移给了保险人”是一样的概念,但一旦提到金融衍生工具,务必就和赌博、套利联系到了一起了。
          在课堂上,老师讲了一个巨灾债券的例子,说明了保险和金融的融合,虽然巨灾债券在国外已经如火如荼,但对于我这个门外汉而言,还是带来了不少兴奋点的,它有一个很好的作用就是和传统金融市场存在着不相干性,作为需要分散投资的投资者而言有很好的吸引力,而且避免了由于巨灾可能导致保险公司和再保险公司破产的可能,到网上查了一下, 日本地震保险体制的做法是:初级巨灾损……
          编辑 | 阅读全文(3716) | 回复(1),Adam 发表于 2006-11-28 21:30
          (共 24 条) 上一页 1 2

          仅列出标题