1IT安全策略
管理人员应该审视那些能够管理特权账户(如域管理员账户、应用程序管理员账户、数据库管理员)的IT安全策略,要保障安全策略的存在,还要清楚存取访问是如何被处理、验证、证明的,要确保对这些策略定期进行审查。否则,基本上就不存在管理特权访问的基础了。在没有相关报告的情况下,管理特权账户的策略是不完整的。特权账户的口令审核报告经常要涉及到如下的问题:口令何时更新、更新失败有哪些,以及在一个共享账户下,个别用户如何执行任务等等。
制定的策略应具有这样的目标:能够终止明显的不可防御的用户活动。要确保所有的雇员、订约人和其它用户清楚其责任,从而与IT的安全策略、方法以及与其角色相适应的相关指导等。
2“超级用户”账户和访问
了解公司与用户访问有关的暴露程度是很重要的。应该决定拥有访问特权的账户和用户的人员,并获得对网络、应用程序、数据和管理功能的访问有较高权力的所有账户列表。包括通常被忽视的所有计算机账户。由此,要确保用户访问能够被检查,并确保其拥有恰当的许可。一个好方法是定期地审查用户访问,并决定数据和系统的“所有者”已经得到明确授权。
3账户和口令配置标准
要保证所有的管理员账户能够根据策略更新。在特定设备上,不应存在默认的口令设置。对那些拥有足够的默认账户和口令资源的用户来说,其信息是很丰富的。有一些安全账户,其账户名就是口令,这简直是自寻烦恼。设置口令的期限也是很重要的,禁用某些明显的临时账户也是很聪明的作法。
4对口令的受控访问
对权力有所提升的账户和管理员的口令存取要加以管理。其道理可能很明显,不过对口令的共享访问并非总能得到控制。离线的记录或开放性的访问,如包含口令的电子邮件,就不应当存在。即使一个加密的口令文件也是不足取的。在最糟的情形中,口令文件的口令并没有得到控制。
5服务账户( “机器” 账户)
服务器也可以被提升权限,并用于各种罪恶的目的。这些账户典型情况下并不分配给人类用户,并且也不包括在传统的认证或口令管理过程中。这些账户可被轻易地隐藏。管理员应该保障服务账户只拥有必要的访问权。这些账户应该定期检查,因为它们经常拥有超级用户的能力。这种用户的数量是很多的,而且还有许多不用的账户也需要注意。
6高风险用户和角色
有一些公司积级地监视某些角色,这些角色对企业会造成极高的风险,企业的监视会发现其潜在的“不可接受”的行为。许多企业拥有一些风险极高的关键角色。例如,一位采购经理为谋求一个职位可能会将自己能够访问的敏感数据带到另外一家竞争公司那里去。这种情况下,其访问是被授权的,不过却存在着滥用的情况。岗位、职责的轮换以及设定任命时间是对付高风险的一个重要方案。注意:IT安全专家通常都属于高风险角色的范围。
7安全知晓项目
任何雇员或用户都可能造成一种威胁。贯彻执行一个可以处理上述所有要点的安全知晓项目,并能保证其强制实施势在必行。现在有许多方案能够确保所有的用户已经阅读并同意有关规则和政策。其中一种工具是在用户登录时要求其在一个警告消息上签名,要求用户确认其同意并选择窗口中的“接收”或“同意”复选框。
8背景筛选
背景筛选就是要认真地问雇员一些措词严格的问题,以揭示其特定行为和态度的危险信号,例如:
·违规的或异常的工作经历:离开工作的可疑理由、长期未被雇用的原因
·欺诈:在某些事实上(例如教育、以前的雇佣关系)的虚伪陈述
·人格/态度问题:与同事或管理人员的糟糕关系
·挫败、威信问题、猜疑、无力接受改变等
9事件记录
安全事件记录提供了实时使用和活动的透明度。精确而完整的用户及其活动的记录对于事件分析和制定额外的安全措施是至关重要的。获取访问的方法、访问范围和过去的活动是很重要的。为保证有充足的记录,应考虑改善对较高风险领域和服务的记录利用。
10证据
管理人员应熟悉所使用的不同存储设备,如果有任何可疑迹象,还应具备 “指纹”知识的足够知识水平。这可以是cookie数据、隐藏的 *** 作系统数据等。从公司系统中获取关键文件并将其放置到闪速存储器上是很简单的事情,这些闪速设备可被伪装为数码相机、个人数字助理(PDA)或移动电话等。还有一些调查人员从移动电话中收集和分析信息,因为这种设备可包含语音邮件、正文消息、地址文件、电话号码和许多遗漏电话、已接电话等。如果有任何可疑的非法活动,就应保留相关证据,直至最终决定其结果。
信安是个蓬勃发展的行业,随着现在网络化的迅猛发展,各行各业特别是大型企事业单位、银行、金融、网络公司、运营商(移动联通)等与网络无法分割的单位都需要专业人士的加入。
信安毕业主要从事商业信息安全、防火墙维护等专业性强的工作,目前就业尚佳。
任何一个行业是否好找工作,都要参照于以下几点:人才供需、行业门槛两点。
IT行业也是一样,而根据网上的资料以及数据显示:IT培训认为现阶段IT高薪资工作正在向IT的新兴行业、新概念行业,以及受行业发展趋势带来积极影响的行业转移,很自然的这些行业对人才的需求,以及现阶段人才的稀缺都保障了这方面工作比较好找。
IT行业的人才供需
像现在的大数据、云计算、信息安全、VR,都属于这一类行业。这些行业都有几个共性:技术性强、注重思维的全面性和延展性、随随着年限的增加不仅提升了熟练度和技巧,还提升了这方面的悟性。这样的人才对以后商业的发展极其有利,人才也更为稀缺,自然备受追捧。我公司是做信息安全教育的,做信息安全这一行,重要的不是你代码打得有多快,工作效率有多高,而是看你长年累月工作后所提炼的方法论,方向往往比效率更为重要。
IT行业门槛
IT行业的行业门槛主要是指技术方面的门槛,由于IT行业的工作性质,再加之IT行业里饱受诟病的加班,枯燥等问题,让很多有条件的人的都敬而远之。还有一部分勉强进入IT行业,因为悟性和个人能力的原因工作效率不高,不适合IT行业。所以综合下来IT从业人员参差不齐,优秀的IT程序员,其实还是比较稀缺的。
再进一步说,IT行业之间也有不同,信息安全、大数据、云计算是比较难的,甚至需要的知识容量都不是一般程序员所能比拟,这样下来,这方面人才就更少了。
① 谁能告诉我关于考网络工程师的心得体会
全国来计算机技术与软件专自业技术资格(水平)考试有网络工程师的考试,相当于助理工程师。但考的人很多,所以证书效力越来越弱。你如果足够有实力,可以去考CCNA(思科认证的网络工程师助理级),考完以后可以参加CCNP(思科认证的网络工程师助理级)。有关网络的终极证书是CCIE(思科认证的互联网专家)。这些证书都不是终身的!
② 有谁知道思科实习生的信息吗
思科实习生面试的体会
HR这次的效率出乎想象,已经开始通知同学面试了。
信箱里有好几封信问面试的,cisco的“面经”在最上面的一篇,而且我拿去跟HR核实,他们说这应该是猎头公司的面试:)
我就说说我个人的体会吧,给大家参考着装方面,我个人认为不需要特别正式。
公司里几乎看不到穿西装的男士,除非你去跟客户谈特别大的一个单子。
男生面试,我个人建议穿衬衫+纯绵裤子,这样比较好。
如果穿有领T恤也不错。事实上,公司里大部分男士都这么穿。
女士穿套裙的也不是很多,我印象中公司的公关经理商容JJ总这么穿;P
我对女士着装不了解,周围的女同事着装只要大方,干净就好了。特别正规的套装,说实在的也不符合东海岸IT公司的风格。
思科招聘正式员工时,都是猎头公司去做,然后经过6-8轮面试。实习生的招聘也要经过好几轮面试的。有HR,有你的老板,有你的同事。我经历的面试,基本语言都是中文,但夹杂大量的英文(外企都这样)。我没有碰到特别多的专业问题,除了几个问我学习一些课程的体会,觉得他们比较注意就你的简历提问,如果你有 的经历,会问你以前 的情况,不妨准备一下。
我的老板面我的时候,第一个问题就是:你觉得你都有什么缺点?
HR和老板面试我的时候,都问了同样的问题:
你为什么要来思科实习?你觉得这几个月的实习之后会给你带来什么?
思科希望自己的员工都是最优秀的。
如果你的简历上有你参加某个活动、团体的经历。
HR可能会问:当时是如何选拔的?你是从多少人中脱颖而出的?
回答问题注意条理清晰。
思科非常注意员工的交流沟通能力。在培训中,很多课程都是针对交流能力的。思科在中国没有研发,主要是sales, mkting, customer advocacy部门,此外就是finance, legal,HR, PR 等辅助性部门了。
有好几个同学觉得非技术型工作有些屈才。其实说真的,在公司里面,sales是地位最高的部门了,他们的收入也相当高(有个说法是思科和高盛是薪水最高的公司)。
目前,思科中国在北京工作的员工中,大约有20-30名清华校友,分别来自电子系,计算机系,电机系,自动化系,精仪系,,机械系,水利系,经管学院和法学院。此外,也有很多来自北邮,北大,外经贸,北理工,北师大,北外等学校的毕业生。公司里面没有什么帮派,校友之间联络的目的,完全不是为了朋党之争。
当母校校庆的时候,校友会AA制聚餐,纪念母校的生活,当有校友离开公司的时候,校友也会聚餐一下,悄悄地为他/她送行。应该说,公司里面的风气是很不错的
目前,思科中国总部在东方广场E1座19-21楼,隔壁E2就是老对手朗讯公司了。不过,目前思科还是老大,第2-11名的竞争对手加起来,市场份额也不如思科。
大概实习生进来之后会有概括的介绍,清华的同学不妨去图书馆借阅business the Cisco way这本书看看, 思科没有硬性的打卡规定,不过卡还是有用的,进门要它,上厕所要它,去免费健身也要它。
因为思科招收的实习生相对较少,所以同事一般都比较照顾,会进行必要的培训。另外,作为网络企业,思科的内部网站提供大量的自我培训内容,工作时间是9-18点,可以自己掌握,但同事基本上都比较敬业。
思科公司的工作环境是不错的,有厨房,pantry,淋浴间,提供多种碳酸饮料和软饮料,阿姨会很早就煮好了咖啡,并愿意为你提供辅助服务。
在拿到INTERN OFFER之后,只要学校开一个实习介绍信就可以了,中智公司会跟实习生签订合同,包括薪水,税款之后,要签订保密协议。思科是非常注重知识产权保护的公司,老员工会非常认真地告诉你:千万不要使用盗版软件。
总之,我的体会是,虽然你可能不喜欢IT或者互联网这样的产业,但cisco这样的规范、人性化的公司,还是值得体验一下的。
③ 空调学习心得怎样写
不知不觉我已经在公司工作了一个月了。翻开每天的工作日志,发现自己每天都有收获,都有感悟。
通过一个月的工作,我已经开始融入公司,适应现在的工作节奏。想当初我接到总部通知说要被调到大区实习,心里真的不是很乐意。毕竟,留在,是我选择这份工作的一个重要因素。但在与总部沟通,和爸妈商量之后,我决定服从安排,来大区实习。大区人力资源的同事非常热情,主动跟我联系,帮我安排好住的地方。这让我对到大区实习少了一份顾虑。
签完合同后,我被安排到空调品类学习。刚到空调品类是,看着这个陌生的环境,还有陌生的人,真的有点紧张,尤其对我这么性格比较内敛的一个人而言。但是想想当初选择这份工作的原因之一,就是能好好锻炼自己。我就学着主动去向同事请教问题。在走出第一步之后,我渐渐和空调品类的同事们熟悉起来,也开始融入公司。
在这一个月的工作中,我学到了很多。首先,了解了空调产品的基础知识,以及联合广场店空调品类的各个品牌产品的主推卖点以及定位。其次,学会了pos开票、退换货、会员卡、赠品发放以及以旧换新等销售流程。还学习了店面布置、主推产品、OEM产品及阳光包等相关知识。最主要的是学习了销售技巧,并实际运用。最让我有成就感的就是独立卖出去了两台空调。
在28号的时候,我再一次接受了企业文化、企业发展史以及公司的基本制度等培训。这让我对公司的企业文化有了更深一层的理解,也对大区的发展和组织架构有了一些初步的了解。29号下午,我们与大区领导进行了沟通。在沟通过程中,孙总对我们的疑问进行了一一解答,并对我们提出了要求和鼓励。在沟通过程中,我没有主动发言,都是孙总问了我几个问题。并不是我不积极,只是我觉得自己没有什么疑问,因为我选择苏宁,就是觉得公司的培训模式可以让我学到很多,我早就做好了从基础做起的心理准备。在遇到不懂的问题的时候,我就向同事请教,好好学习。有时候在几乎没有顾客的时候,我会有一段时间觉得好无聊。这时,我就到OA上去了解公司的新闻,或者练练开单。
④ 我要学习思科的课程。目标是从ccna到ccie。但是我对电脑零基础。我想ccna靠自学。
NA的话,买学习指copy南还有看红头发视频,然后做题库,就可以考过了。书就几十块。
只要努力坚持,NP也可这样过。CCIE就要投入时间,精力和金钱更大,当然需要做大量的实验,IE最好是培训了。
开始了,坚持努力就没错了!
⑤ 求网络设备应用技术实训总结
这个暑假,学校安排了我们三、四班学生到四川省国信安信息安全培训基地进行实训,虽然时间不是很长,仅仅为期五天
,但是我受益匪浅,这次实训,让我对网络工程及信息安全有了更深的了解,对此次实训,颇有体会。
本次实习主要任务是学会局域网的设计与应用,网络互连技术,以及网络应用中如何保证信息的安全,通过理论与实践相
结合,进一步加深我们的理论知识。要想在短暂的实训时间内,尽可能能多的学一些东西,这就需要我们跟老师有很好的
沟通,加深彼此的了解。刚到培训基地,老师并不了解我们的工作和学习能力,不清楚我们会做那些工作,所以跟老师进
行沟通是很必要的。通过沟通了解,老师对我们有了大体了解,便有针对性的教我们一些网络信息安全方面的知识。
“纸上得来终觉浅,绝知此事要躬行!”在短暂的实习过程中,让我深深的感觉到自己在实际运用中的专业知识的匮乏。
让我们真正领悟到“学无止境”的含义。在实训的课程中,老师给我们讲解了如何进行网络拓扑结构的设计,如何进行网
络的部线,路由器及交换机的配置,防火墙和网络检测器IDS的安装和配置等等。在进行实训的过程中,我真正学到了计算
机教科书上所没有或者真正用到了课本上的知识,这样,既巩固了旧知识,又掌握了新知识。此外,老师还特地带我们去
参国家软件孵化器科技园。参观中我懂得了真实生活中,网络的部线原理和方式以及从硬件上是如何实现网络的互联和保
证信息的安全的。
此外,在此次实训的过程中,给我感受最深的就是我们分组完成一个网络系统的构建策划,包括项目的需求分析,网络拓
扑图的制作以及网络搭建方案的撰写。在这些过程中,我不仅知道了整个项目的竟标和项目开发的流程,而且让我深深的
体会到一个团队中的各成员合作的重要性,要善于团队合作,善于利用别人的智慧,这才是大智慧。靠单一的力量是很难
完成一个大项目的,在进行团队合作的时候,还要考虑技术上的规范性和统一性,这样才可能在进行组合的时候能得到更
完美的组合。
这次实训让我学到的东西太多,使我受益非浅,它让我知道了工作上的辛苦,让我知道工作并不像在学校里学习一样轻松
。不过,虽然辛苦了点,但能让我学到不同的东西,我心里还是高兴的。人非生而知之,要学得知识,一靠学习,二靠实
践。没有实践,学习就是无源之水,无本之木。以上就是我在成都的进行实训的心得和感受。 不到半年的时间就将步入社
会的我们,面临是继续深造,还是就业的压力,我想我们更应该把握住最后的一段时间,充实、完善自我,争取做一名出
色的大学生!
⑥ 思科和华为的认证我该如何选择
华为认证及思科认证都是由厂商推出的网络技术认证,二者有一定的相似性版,比如它们都分为三权级,都是针对网络技术提出的。但在级别的划分上,华为强调的是技术应用的场合不同而分为不同的三级,如达到华为初级认证(HCNE)者应可以完成中小企业中网络的设计实施及维护的任务,华为中级认证(HCSE)通过者可以完成大中型企业中网络的设计实施及维护任务,而高级认证(HCIE)通过者可以完成行业及电信企业级的网络 设计及实施维护任务。可见华为认证级别的划分强调的是技术应用的场合,或者说是你拿到这个认证,能完成什么样的工作。
感觉思科要好点,因为思科是跨国公司,而且产品面向的是中高端,而华为是面向中低端
⑦ cisco学习心得
一、兴趣
二、多看书
三、多做实验
⑧ 请问学完一套包含了红帽RHCE,思科CCNP,oracle OCP和微软MCITP的课程之后,毕业好找工作吗往什么方向
很牛掰,不知道楼主能不能坚持下来
只是CCNP学费加考试就几K了,要敲好久的命令了
不过回engineer还是要实践经验的,答不然考出来也是paper。不过比没有证书还是强不少
苏州4年左右CCIE一般8K-2W
⑨ 超市学习执行力决定竞争力心得体会
为你从网上搜到的一些素材,希望对你有借鉴只用,还望看完后采纳一下哦 为什么一件小事拖拖拉拉完不成为什么一个好的战略犹如空中楼阁,无法实施这些都是因为没有好的执行力作为支撑。
比尔·盖茨说:“没有执行力,就没有竞争力。
”可见执行力对于企业发展、团队塑造是多么重要。
谭老师寄语:不要在执行的时候,随随便便耍小聪明,一个人的聪明不是聪明,一个民族的聪明、整体的聪明才是真聪明。
在美国西点军校里有一个广为传诵的悠久传统,就是遇到军官问话,只能有四种回答:“报告长官,是”,“报告长官,不是”,“报告长官,不知道”,“报告长官,没有任何借口”。
除此以外,不能多说一个字。
“没有任何借口”是美国西点军校奉行的最重要的行为准则。
它强化的是每一位学员想尽办法去完成任何一项任务,而不是为没有完成任务去寻找借口,哪怕看似合理的借口。
其核心是敬业、责任、服从、诚实。
这一理念是提升企业凝聚力和竞争力,建设企业文化的最重要的准则。
秉承这一理念,众多著名企业建立了自己杰出的团队。
“没有任何借口”体现的是一种完美的执行能力,一种服从、诚实的态度,一种负责、敬业的精神。
在现实生活中,我们缺少的正是这种人:他们想尽办法去完成任务,而不是去寻找借口。
著名企管专家谭小芳老师表示,每个组织并不缺乏伟大的战略,真正需要的是,把战略落实到位的执行力。
毕竟,再不景气,仍有公司达到预定的运营目标;构想再伟大,也要有人将它实践出来,这一切靠的就是执行力。
没有执行力,哪有竞争力。
——杰克·韦尔奇 管理是一种实践,基本质不在于知,而在于行。
——彼得·德鲁克 在未来的10年内,我们所面临的挑战就是执行力。
——比尔·盖茨 执行力就是在每一阶段、每一环节都力求完美,切实执行。
——迈克尔·戴尔 你是否想过:为什么满街的咖啡店,唯有星巴克一枝独秀?为什么同是做PC(PersonalComputer),唯有戴尔独占鳌头?为什么都是做超市,唯有沃尔玛雄居零售业榜首?应该说,各家便利商店和咖啡店的战略都是大致相同的,然而绩效却是大不相同,道理何在?关键就在于是否具有非常强的执行力。
全世界做网络设备最大的思科公司,拥有行业垄断技术,然而其总裁在谈到公司成功的主要原因时,竟然认为成功不在于技术,而在于执行力。
由此可见,“执行力”在世界级大公司里被看得有多重。
甚至可以这么说,凡是发展快且好的世界级企业,都是执行力强的企业。
比尔盖茨就曾坦言:“微软在未来10年内,所面临的挑战就是执行力。
” 当然,我们不可否认,许多组织的成功离不开其战略的创新或经营模式的新颖,但如果其执行力不强,也一定会被模仿者追上,因为它们和竞争者的差距就在于执行力的强弱。
…… 今天,对于执行力的意义,已经毋庸多言;对于提高执行力的着眼点,因为人们对此问题的关切,也已经认识得比较全面。
现在,需要我们关注的是:“提高执行力”本身的执行问题。
谭老师强调的是,执行力不是一个表象问题,要达成“提高执行力”的目标,我们首先要找出执行力管理的根源——那些起到基因作用的要素,才能保证执行力的健康发育。
文章前面,请先看一个案例吧——“在南方的某个城市,某跨国公司中国区高管在一幢摩天大楼的60层举行一年一度的营销年会,在座的80余人中,美方高管有50余人,剩下的就是中方的高级雇员。
会议即将结束时,美国来的总裁突然站起身说:全体人员跟我一起跳下去,这个时候,空气一下子凝聚起来,只见那50余人齐刷刷地站起身目光紧盯着总裁。
中方雇员们慌了,也忙不迭地在椅子上挪起身子,惊恐地望着美方总裁,心说:这老头疯了!” 故事到此结束,培训师说:我们姑且不说,他们是不是真的跳下去,简单的测试却折射出两种文化体制下一种人文最本能的反映。
谭小芳老师(预定谭老师执行力培训,请联系13733187876)表示,在外企,绝对服从是第一,其次创新;在国内,同样的要求却在执行过程中出现了偏差,老板在考虑员工怎么想的,员工在考虑老板想的对不对,其实,在企业管理的角度,既然岗位设置已经完毕,剩下的就是各司其职、各负其责。
谭老师认为,执行力要的就是按时、保质、保量三个达标—— 按时,是工作成果在时限上的要求。
保质,是工作成果在品质上的要求。
成果至少不低于标准值,不允许假冒伪劣、以次充好; 保量,是工作成果在数量上的要求。
至少要达到规定的数量,不允许偷工减料、缺斤短两。
谭小芳老师认为,提高执行力的关键在于每一名员工真正明确和履行各自的岗位职责,在其位、谋其政,心往一处想,劲往一处使,形成执行合力。
1、提高执行力,各级领导要起到“领路人”的作用。
“领导”的职责无非两条,一个是“领”,一个是“导”。
所谓“领”,就是要率先垂范,以身作则,不搞特权,充分发挥领导的模范和带头作用。
所谓“导”,就是要在“领”的基础上,把握方向和大局,及时解决遇到的各种矛盾和问题,纠正出现的偏差和错误,积极引导广大员工朝着正确的方向前进,促进企业的发展。
2、提高执行力,各级中层干部要切实发挥“桥梁”作用。
中层干部的主要职责就是承上启下、上传下达,既要对上级负责,又要对下级负责;既要吃透上级精神,把领导的意图完完整整地向职工传达,又要结合实际,把落实过程中出现的问题及时全面地向领导汇报。
好的主管人才要能独立思考及独立行动,只要最少的指示,就能去执行工作。
一位主管的主要责任是,指导他手下员工的活动——他们的工作。
指导就是指示领导,因此好的主管人才,一定要像领导者一样能统御及思考。
3、提高执行力,普通员工要充分发扬“蜜蜂”精神。
普通员工的本职就是落实,就是执行。
要进一步树立大局意识、责任意识和学习意识,加强理论知识和业务技能学习,全面提高自身素质,充分发扬“蜜蜂”那种兢兢业业、任劳任怨的精神,扎实高效地干好自己的本职工作,不折不扣地落实上级精神。
谭老师的执行力培训课程抓住了执行力的根本——队伍建设、流程规范、提升士气这个铁三角,再加上“没有任何借口”的精神,没有任何借口——体现的是一种负责、敬业的精神,一种服从、诚实的态度,一种完美的执行能力。
我们需要的正是这种精神的人,他们想尽办法去完成任务,而不是去寻找任何借口,哪怕看似合理的借口。
提升员工信息安全意识的技巧:
技巧一: 在不影响正常工作的前提下,合理利用员工碎片化时间进行宣贯工作
企业内部IT或信息安全部门,在企业内部开展员工信息安全意识宣教工作时,员工往往会觉得:一定又要耽误很多工作时间来配合。如果这项工作在开展初期就让员工产生这样的想法,那基本上已经算是失败了。
由此可见,开展这项工作时,利用员工的碎片化时间非常重要。那么,哪些是员工的碎片化时间呢?上下班地铁、公交车上;等待和上下电梯时;走路经过办公楼大厅或走廊时;工作开始前电脑开机时等。这些都是能够被利用起来,开展信息安全意识宣传教育工作的碎片化时间。
技巧二:注重与员工工作、生活息息相关的信息安全知识点
我们在前接触国内较早开展员工信息安全意识教育工作的企业时,有个很深的感受是,不少企业在选择向员工推送的知识点时,只会选择和员工工作相关的内容,而生活方面的知识则被全部排除在外。
但随着安全意识宣教工作的不断推进,尤其是在加入与员工生活相关的信息安全知识点后,我们发现员工对信息安全宣教工作关注度反而有所提高。员工对生活相关内容的关注,反而更容易拉近信息安全宣教工作本身与员工之间的距离。
并且如果员工能在生活中养成良好的信息安全意识和行为习惯,那么这些好的意识与习惯也会被带到工作中来。
技巧三:选择不易引起员工反感的宣传教育形式
选择了恰当的时间和员工更关注的知识点,接下来要确定的就是采用什么样的形式。基本原则就是,采用不易引起员工反感的形式。员工普遍不喜欢被动的强制教育,例如组织一场培训后强制考试。那么在开展宣教工作的时候,就一定要避免这一点。
在某些办公场所展示信息安全宣教内容,例如会议室、茶水间、打印房等,张贴相关提示的海报,开会前后或者中场休息的间隙,播放信息安全意识的宣传教育短片,这些都是不易引起员工反感,润物细无声的宣教方式。
技巧四:新颖的表现形式,引起员工注意力
如何将信息安全知识更好地呈现给员工,是尤其需要注意并且花心思的事情。如果将内容白纸黑纸的直接呈现在员工面前,那基本上就可以不用期待多高关注度了。普通员工绝大部分不是做IT或者信息安全的,因此“将知识本身转换成为员工能懂的语言”这一点至关重要。同时还要以员工更易接受的形式输出,例如赏心悦目的海报、生动幽默的动画片、震撼冲击力强的教育宣传片,或者随时可翻阅的手机等,都是不错的选择。
技巧五:短期与长期计划相结合
选择好了宣教的对象、知识点和内容及其表现形式,接下来就需要制定实际适合企业的信息安全意识宣教计划。一般建议企业先制定一个长期计划和目标,再将长期计划分解成具体、可执行的短期计划。例如,制定一份员工信息安全意识宣教的3年计划,通过每年连续举办信息安全宣传周来实现;另外,除了每年信息安全宣传周的其它时间,则可以每月通过邮件或手机微信等方式,向员工推送信息安全期刊等宣教材料。
技巧六:宣教工作需要长期坚持
长期开展员工的信息安全意识宣传教育工作的关键,与其说在于技巧,不如说是在于坚持。任何意识的培养,都是一个长期且复杂的过程,就像人身和交通安全的意识培养,信息安全意识的宣教也需要持续不断进行下去。
在控制it外包风险与安全方面,做到心中有底、手中有招、控制有术,建立事前预防、事中控制、事后监督的三道防线。(一)事前预防
在日常工作中,各种外包风险的前期预兆是会表现出来的,关键是没有及时发现,马上纠正或是对发现的问题思想麻痹,错误扩大化变成案件,形成损失并为纠正错误付出高昂代价。因此,把风险消灭在萌芽状态,才是风险控制的重点。
1、制定IT业务外包战略。银监会颁布的《银行信息科技风险管理指引》和《商业银行外包风险管理指引》中对外包业务都提出了要求,重点考虑IT业务外包要能促进公司的科技业务发展、信息系统安全运营和科技业务管理水平,紧密配合公司业务发展规划,全面权衡外包的利益与风险,决定将哪些IT业务外包,制定IT业务外包战略规划。
2、建立IT业务风险与安全管理体系。体系制定要做到统一框架,统一标准、统一措施、统一监督管理,内容由IT业务风险与安全管理策略、管理制度与规范、技术标准、指引、流程、 *** 作手册等组成。通过制定风险与安全管理体系,指导公司IT业务风险与安全管理工作的开展,使其符合国际、国内的有关安全标准和我国的法律法规;在公司内部形成一个信息科技风险与安全管理机制,确保落实,保护公司所有信息科技资源和资产的安全;明确信息系统的防护、检测和应急恢复等各项信息科技风险与安全管理指标、原则和违规行为的处理措施;对与公司合作组织、商业伙伴、承包商和服务提供者提出相关的安全约束。项目管理者联盟
3、做好IT业务风险与安全的认知与培训。通过举办培训班、研讨会、发送邮件、赠送报刊等方式,为公司科技人员和业务人员提供IT业务风险与安全方面知识的培训,通过持续不断的培训学习,掌握本公司IT业务风险与安全管理制度规范,提高全员风险与安全防范意识,积极参与信息科技风险与安全防范工作中,形成全员参与信息科技安全管理的风险管理文化。
4、建立IT业务外包供应商信息管理系统,设计科学、全面的风险指标评估体系。西格玛中有句名言:有什么样的指标、就有什么样的结果。建立科学的IT业务外包供应商评估指标体系,有利于统一供应商与银行的IT业务发展目标。该指标体系需要从质量、成本、交付、服务、技术、资产、流程这些方面入手,确定外包供应商成立及上市时间、行业经验、规模、安全、人力、财务、问题响应时间、是否有产品保险、企业文化以及各种认证等重点内容,详细设计3K(KCS、KCSA和KRI)指标,每一项指标都要给出相应的分值区间,通过建立外包供应商信息管理系统,把设计的评估指标纳入系统中,详细记录外包供应商及其供应链上的各方面信息,通过系统统计分析,从而科学有效的评估外包供应商的服务能力。
(二)事中控制
银行与外包合作商签署合同,项目正式进入合作 *** 作阶段,在日常IT项目运营过程中,银行作为甲方应做好如下几方面的工作。
1、认真执行制度、不断完善制度
从出现的有关银行计算机系统风险安全与犯罪案件分析中,大多数都是因为没有章不循,没有按制度办事,按业务处理流程办事造成的,这就要求银行加强对制度执行严肃性的管理,违章必究,否则制定的各项制度规范形同虚设,起不到应用的作用。同时,还要注意IT业务外包供应商风险与安全管理制度规范建设与信息系统同步规划、同步建设、同步管理,能紧随银行信息科技业务的发展、环境的变化、中心工作的更替、创新的要求,及时得到调整、修订和补充。
2、选择适合自己的外包供应商,签署合作合同
签署合同是IT业务外包不可避免的风险。因此,根据前期对市场的调研分析,搜集的供应商信息,寻找合格的IT服务供应商,询价和报价,通过招投标方式,建立适合公司科技与业务经营发展需要的供应商,并协同法律部门做好外包合同文本的制定和签署,合理规避和防范合同风险的发生。
3、加强与外包供应商的合作与交流
一旦项目签署合同开始启动,银行作为甲方要提供项目研发办公条件,尽快让外包商到行里来工作,向同事一样给予相关方面的必要帮助。同时,银行科技人员以及业务人员要参与到项目建设中,既可以让自己的技术和业务人员与外包公司技术人员熟悉、了解掌握产品技术性能和业务功能,便于项目研发过程中问题的沟通交流,还可以全程对项目进度、质量进行跟踪,以便于在规定的时间内,高质量的完成软件项目的研发投产,让项目利益所有者都满意。
4、建立外包供应商服务评价体系
因很多外包公司特别是跨国公司,外包、分包普遍存在,也就降低了供应链的透明性和可追溯性,有意无意的形成漏洞,加大了供应链风险。所以,要采取日常业绩跟踪和阶段性评比方法,更加深入的了解外包供应商及其供应链的一些情况,避免信息不对称,便于更好地建立外包供应商信息管理系统,根据有关业绩的跟踪记录,对供应商的业绩表现进行综合考核,全面、正确的评价外包商工作情况。
5、做好项目建设的计划与控制
为避免人员频繁变动、项目延期、交付的技术文档不齐全及系统上线后支持服务跟不上等现象。要求银行科技人员与外包项目经理及项目组成员建立项目进度与质量控制沟通机制(如周例会、项目周报、问题跟踪管理报告等),定期监测与度量项目进展情况,识别有否偏离计划之处,及时发现问题、反馈问题、了解原因、解决问题,确保实现项目目标。
6、建立应急管理机制,保持业务持续性
你不能防范每种风险,但是你却可以迅速发现问题,并提前思考解决方法,动员所有的选择,这才是风险与安全管理的精髓。银行要制定可行的外包供应商应急管理计划,项目外包会使得银行对外包供应商产生依赖,如果外包供应商不能如期履行合同,而导致银行业务中断所引起的后果必须高度重视。这就需要银行要严格审查外包供应商提供的执行方案,并针对外包供应商不履行合同或者发生紧急事件制定应急应对方案。
(三)事后监督
外包项目完成后,银行相关职能部门应做好对外包项目从立项、招投标、建设、投产使用等全过程进行检查审计,主要做好如下几方面工作。
1、与完善规章制度相结合,实现各项工作制度化
在事后监督检查过程中,加强检查IT业务外包制度是否建立健全、科学有效、符合工作实际,不断完善规章制度,使外包各项工作有章可依,工作制度化。
2、与奖惩相结合,维护法规与制度的严肃性
适当的处罚,能促进责任人改正错误,增强法律法规观念,更好的促进工作,依据制定的IT业务外包风险与安全管理制度规范,检查项目外包实施过程中各项工作是否按制度办事,针对检查出来的问题,要查明原因,对于不按制度办事的违章行为要给予处罚,做的好的要表彰,做到奖罚分明,维护制度的严肃性。
3、与内审计相结合,制定外审策略
在做好内审的同时,也可以邀请外审机构对外包商以及外包供应链上公司的风险与安全管理能力等进行全面的评估。
4、与规范化管理相结合,实现业务 *** 作程序化
事后监督工作要深入到科技业务一线,认真执行规范化 *** 作规程,从细节入手,查找不足、堵塞漏洞,促进外包供应商管理制度化、程序化、规范化。
5、与IT服务内容相结合,做好多外包商的监督管理
监督、定期重新评估外包风险,并把所搜集信息和评估结果纳入外包供应商信息系统管理,通过合同和SLA协议管理供应商,要注重周期性地审查外包合同,并根据环境和银行业务发展的需要及时修改合同、重新设定外包服务标准。
总的来说,it外包要在国家法律法规和公司的制度规范内展开,要建立健全IT业务外包过程中信息披露和检查监督及考核机制,建立一个功能完善的外包供应商信息管理系统,有效防范IT业务外包风险,确保信息安全。
参考资料:
给你个专业的。(信息安全的运维管理)
725 系统运维管理
7251 环境管理(G3)
本项要求包括:
a) 应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理;
b) 应指定部门负责机房安全,并配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理;
c) 应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定;
d) 应加强对办公环境的保密性管理,规范办公环境人员行为,包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等。
7252 资产管理(G3)
本项要求包括:
a) 应编制并保存与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容;
b) 应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为;
c) 应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施;
d) 应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。
7253 介质管理(G3)
本项要求包括:
a) 应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定;
b) 应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理;
c) 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,对介质归档和查询等进行登记记录,并根据存档介质的目录清单定期盘点;
GB/T 22239—2008
28
d) 应对存储介质的使用过程、送出维修以及销毁等进行严格的管理,对带出工作环境的存储介质进行内容加密和监控管理,对送出维修或销毁的介质应首先清除介质中的敏感数据,对保密性较高的存储介质未经批准不得自行销毁;
e) 应根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同;
f) 应对重要介质中的数据和软件采取加密存储,并根据所承载数据和软件的重要程度对介质进行分类和标识管理。
7254 设备管理(G3)
本项要求包括:
a) 应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理;
b) 应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理;
c) 应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等;
d) 应对终端计算机、工作站、便携机、系统和网络等设备的 *** 作和使用进行规范化管理,按 *** 作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/断电等 *** 作;
e) 应确保信息处理设备必须经过审批才能带离机房或办公地点。
7255 监控管理和安全管理中心(G3)
本项要求包括:
a) 应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存;
b) 应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施;
c) 应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。
7256 网络安全管理(G3)
本项要求包括:
a) 应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;
b) 应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;
c) 应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份;
d) 应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;
e) 应实现设备的最小服务配置,并对配置文件进行定期离线备份;
f) 应保证所有与外部系统的连接均得到授权和批准;
g) 应依据安全策略允许或者拒绝便携式和移动式设备的网络接入;
GB/T 22239—2008
29
h) 应定期检查违反规定拨号上网或其他违反网络安全策略的行为。
7257 系统安全管理(G3)
本项要求包括:
a) 应根据业务需求和系统安全分析确定系统的访问控制策略;
b) 应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补;
c) 应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装;
d) 应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常 *** 作流程等方面作出具体规定;
e) 应指定专人对系统进行管理,划分系统管理员角色,明确各个角色的权限、责任和风险,权限设定应当遵循最小授权原则;
f) 应依据 *** 作手册对系统进行维护,详细记录 *** 作日志,包括重要的日常 *** 作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的 *** 作;
g) 应定期对运行日志和审计数据进行分析,以便及时发现异常行为。
7258 恶意代码防范管理(G3)
本项要求包括:
a) 应提高所有用户的防病毒意识,及时告知防病毒软件版本,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查;
b) 应指定专人对网络和主机进行恶意代码检测并保存检测记录;
c) 应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定;
d) 应定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成书面的报表和总结汇报。
7259 密码管理(G3)
应建立密码使用管理制度,使用符合国家密码管理规定的密码技术和产品。
72510 变更管理(G3)
本项要求包括:
a) 应确认系统中要发生的变更,并制定变更方案;
b) 应建立变更管理制度,系统发生变更前,向主管领导申请,变更和变更方案经过评审、审批后方可实施变更,并在实施后将变更情况向相关人员通告;
c) 应建立变更控制的申报和审批文件化程序,对变更影响进行分析并文档化,记录变更实施过程,并妥善保存所有文档和记录;
d) 应建立中止变更并从失败变更中恢复的文件化程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。
72511 备份与恢复管理(G3)
本项要求包括:
a) 应识别需要定期备份的重要业务信息、系统数据及软件系统等;
GB/T 22239—2008
30
b) 应建立备份与恢复管理相关的安全管理制度,对备份信息的备份方式、备份频度、存储介质和保存期等进行规范;
c) 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略须指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法;
d) 应建立控制数据备份和恢复过程的程序,对备份过程进行记录,所有文件和记录应妥善保存;
e) 应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间内完成备份的恢复。
72512 安全事件处置(G3)
本项要求包括:
a) 应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;
b) 应制定安全事件报告和处置管理制度,明确安全事件的类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责;
c) 应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分;
d) 应制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理方法等;
e) 应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训,制定防止再次发生的补救措施,过程形成的所有文件和记录均应妥善保存;
f) 对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。
72513 应急预案管理(G3)
本项要求包括:
a) 应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;
b) 应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障;
c) 应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次;
d) 应定期对应急预案进行演练,根据不同的应急恢复内容,确定演练的周期;
e) 应规定应急预案需要定期审查和根据实际情况更新的内容,并按照执行。
以上就是关于IT安全策略,程序和标准全部的内容,包括:IT安全策略,程序和标准、〔高考〕我的问题:我想具体了解一下学“信息安全”〔IT类的〕这个专业将来的就业情况怎么样 请帮忙解...、IT培训分享IT行业学什么好找工作等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)