合规还是不合规?这是一个问题
合规评估的关键要靠评估人和与之合作的工作人员,以及客观的评估能力,而不是提几个问题那么简单。因为回答问题的人,会尽量回答yes,而不是no。所以,提问时要尽量避免非黑即白。
标签:合规, 漏洞检测
【安全讲堂】“复杂性”攻击的五大特性
发生安全事件的企业,其公关团队使用“复杂性”一词,只不过是在试图传达一种假象,那就是公司没有做错任何事情,没有什么事情是为 了防御本来该做而没做的,因为攻击没有可预见性
标签:复杂性攻击, 安全讲堂
【安全讲堂】防止数据泄露的6个关键认识
第一眼看到一个来自伦敦通过VPN登录进来的销售副总裁仿佛没什么不对劲,可当你围绕整个用户进程仔细检查它的特点及一系列操作后或许就不是那么回事了。
标签:信息安全官, 安全讲堂
ISO27001策略与规程编写八项原则
流程或活动参与的人数越多,就越有必要形成文档。例如,参与人数有100人,仅通过口头传达相关流程的实施就会变得非常困难,要是编写一个可 以说明全部细节的规程文档,就会变得简单多了。
标签:ISO27001, 文档撰写
国信证券首席工程师廖亚滨:新技术环境下的信息安全
互联网金融存在其固有的信息技术风险,包括技术投资风险、系统开发及实现、系统处理能力、系统故障、系统安全、客户身份识别等。
标签:乌云众测, 互联网金融
如何成为一名优秀的信息安全顾问
一名好的咨询顾问不仅仅拥有雄厚的安全专业知识背景,还要积极学习客户的行业背景知识,如客户行业的监管要求、业 务专业知识、组织人脉知识。这是顾问向更高层次发展的必要条件。
标签:信息安全咨询, 谷安网校
浅谈首席信息安全官的职责
理想情况下,CISO将有责任严格评估各项计划、预定服务及其用途。他/她将有能力和授权从安全的角度去验证一个方案能否被批准,并要求修改计划以降低安全方面的缺点;在某些情况下,甚至可以反对或否决这个方案,如果方案中确定存在无法补救的严重安全问题。
标签:CISO, 首度信息安全官
来自中小业务真实攻击案例中的安全经验
但小型企业也不应在安全上打折扣。的确,现在即使在非技术领域,技术也已经无处不在。成熟的云计算服务让我们可以快速建立一个在线系统,而不仅仅是能够上网这么简单。这种高度数字化的业务模式也给在线黑客以可乘之机,他们可以轻而易举给我们造成无法估量的损失。
标签:双因素认证, 域名安全
赛门铁克分拆,迟来的决定
Symantec如果想东山再起,就必须在安全和存储两大主要业务中做出抉择,因为存储属于基础设施和运营业务,而安全面向的安全技术团队,这是两个完全不同的客户群。
标签:Symantec, 赛门铁克, 赛门铁克分拆
三个步骤冷静应对Bash漏洞
当新的漏洞爆出后,很有可能攻击者已经利用漏洞进行了入侵,因此需要对系统状况进行检测排查,尽可能快速的发现问题并予以补救。 应急工作包括,含有漏洞的系统,受感染的设备,安全策略,系统测试和补丁管理等。
标签:Bash, shellshock
通过DevOps确保可靠和有效的信息安全
信息安全及质量保证和测试团队,也同样是应当在DevOps框架中被展现的关键利益相关者。本文主要讲解如何使用 DevOps最佳实践来使您的信息安全更加健壮和有效。利用DevOps方式来保证系统安全,防止系统事故,以及确保实现无中断的服务。
标签:devops, 安全开发, 安全开发培训, 安全运维
安全意识培训工作的万能配方
要让员工意识到,敏感信息的丢失会给企业的财政状况带来严重影响,而不仅仅是他们的工作。学习识别“内鬼”的不良行为和黑客攻击方法,对个人是一件非常有益的事。
标签:安全意识培训, 安全管理
