关于企业安全生产重要性的重要性

来源:蜘蛛抓取(WebSpider) 时间:2015-04-20 22:51 标签: 企业安全生产重要性
simon 的BLOG
用户名:simon
文章数:522
评论数:1361
访问量:1307076
注册日期:
阅读量:4296
阅读量:1759
阅读量:10176
阅读量:787
[匿名]51cto游客:
[匿名]51cto游客:
[匿名]51cto游客:
51CTO推荐博文
概述这个周末的自由时间,用来研究一下遵从性的话题,理论联系实际,同时学习一下VMware的vCM,即配置管理工具。它的主要功能是“连续评估虚拟与物理服务器的遵从状态,并可自动修复不满足遵从性要求的配置项。”保障遵从性的意义是什么?保障遵从性是保证安全的大前提,如果空有好的安全策略和安全技术却不能严格落实,就会极大地浪费企业在安全方面的投入,安全风险不能得到有效控制。说得通俗点儿,在安全方面保障不了遵从性就相当于在企业管理方面缺少执行力,结果导致“政令不通”。何为遵从性检查?遵从性检查的过程,就是当前值与期望值的比对,那么什么是期望值呢?对于大型公司而言,期望值可能是安全顾问根据企业情况制定的安全策略;对于中小企业而
言,期望值可能是业界的最佳实践;而对于某些特定的行业,上市公司或者对外提供IT服务的企业来说,期望值更可能是政府的法律法规。对于很多企业来说,期望值是个混合体,即包括来自政府的法律法规,又包括来自业界的最值实践和来自安全顾问的安全策略,这就增加了遵从性检查的难度,加之需要检查的对象五花八门,分布广泛,形态各异,时刻保障遵从性几乎成了不可能完成的任务。常用的遵从性标准有哪些?标准的种类非常多,包括且不限于法律法规,行业规范,国际标准,技术指引,业界指南和最佳实践等。可以概括为几个大类,第一类是法律法规,主要有SOX; HIPAA; GLBA; FISMA; DISA; ISO 27002等。第二类是行业规范,主要有PCI DSS; NERC/FERC,第三类是厂商最佳实践,如VMware和Microsoft的系统安全加固指南等。第四类是安全研究组织制定的安全规范,如CIS Certified B DISA NIST等。SOX即《萨班斯法案》(Sarbanes-Oxley Act)的简称。 萨班斯法案是美国政府出台的一部涉及会计职业监管、公司治理、证券市场监管等方面改革的重要法律。它的主要内容是财务监管,主要对象是上市公司。HIPAA全称为Health Insurance Portability and Accountability Act/1996,Public Law 104-19,中文名为健康保险携带和责任法案。主要内容是在医疗行业内部如何有效共享资源并保护个人的隐私,主要对象是保险公司,医疗机构等。GLBA的全称是Gramm-Leach-Bliley Act,也叫现代化金融服务法案。用于控制金融机构处理个人信息的方式,这项法案包括三部分:财产保密条例、安全措施条例、托辞供应。其中财产保密条例,用于管制对私
人财产信息的搜集和泄露;安全措施条例,用于保证财政机构必须实现对私人信息的安全保护;托辞供应用于禁止使用不正当的托辞访问私人信息。FISMA即联邦信息安全管理法案(The Federal Information Security Management Act FISMA)定义了一个广泛的框架来确保联邦政府的数据安全。DISA实际上指的是Defense Information Systems Agency (DISA) Security Technical Implementation Guide (STIG),是政府发布的技术指引。ISO27002是由ISO制定的信息安全管理体系实用规则,是目前应用最广泛的安全管理最佳实践,已等同转化为中国国家标准GB/T 。
本标准给出了一个组织启动、实施、保持和改进信息安全管理的指南和一般原则。PCI DSS是支付卡行业 (PCI) 数据安全标准 (DSS) 是一组全面的要求,旨在确保持卡人的信用卡和借记卡信息保持安全,而不管这些信息是在何处以何种方法收集、处理、传输和存储。
NERC/FERC是指North American Regulatory Commission和Federal Energy Regulatory Commission,用于管理能源行业的运营,防范能源行业风险。CIS Certified Benchmarks,CIS即Center for Internet Security,是目前业界最权威的信息安全研究机构,为常见的系统编制了大量详细的安全指南。NIST是美国国家标准与技术研究院,也制定了一系列的信息系统安全规范。如何实现遵从性检查?遵从性检查主要依靠两种手段,第一种是技术手段,可能自动扫描受检系统,发现遵从性问题,生成遵从性报告,也可以自动修复这些遵从性问题。第二种手段是调查问卷,用于检查那些无法靠技术性手段完成的,可利用培训考试,问答或人工审计等形式来完成。为什么说遵从性是非常重要的?在保证信息系统的安全,从技术,人员到流程,都是不容忽视的。全体人员要有安全意识,技术人员要有专业知识;流程要健全并能得到严格执行。但是再严密的安全防护,也难免百密一疏,根据木桶原理,如果不能及时发现并解决安全短板,系统安全将无法得到保障。遵从性解决方案正是应对这一问题的,它可以帮助你:1,负责解读和映射法律法规与最佳实践,帮助安全管理员在内置模板的基础上制定企业的遵从性策略。2,自动,快速置备新的系统,确保新部署的系统满足遵从性要求。3,监测系统的变化,自动收集,分析系统数据,及时发现并纠正不满足遵从性要求的配置。4,对于不满足遵从性要求且无法修复的系统,可以暂时将其隔离保护,通知管理人员进行处理。5,生成遵从性报告,可用于企业内审自查,也可用于应对外部审计。还有一句俗语现在很流行:“不怕神一样的对手,就怕猪一样的队友”,遵从性监测就是帮助企业把“害群之马”找出来,不管他是无心之失,还是有意为止,都可以在危险到来之前把隐患排除掉。[完]&& 本文出自 “” 博客,转载请与作者联系!
了这篇文章
类别:┆阅读(0)┆评论(0)安全防范对企业的重要性_百度文库
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
评价文档:
安全防范对企业的重要性
阅读已结束,如果下载本文需要使用
想免费下载本文?
把文档贴到Blog、BBS或个人站等:
普通尺寸(450*500pix)
较大尺寸(630*500pix)
你可能喜欢 上传我的文档
 下载
 收藏
该文档贡献者很忙,什么也没留下。
 下载此文档
正在努力加载中...
关于电力企业电力安全监督工作重要性的研究
下载积分:1200
内容提示:关于电力企业电力安全监督工作重要性的研究
文档格式:PDF|
浏览次数:1|
上传日期: 07:21:34|
文档星级:
该用户还上传了这些文档
关于电力企业电力安全监督工作重要性的研究
官方公共微信

我要回帖

更多关于 企业安全生产重要性 的文章

 

随机推荐