论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 10 篇帖子 ] 
作者 内容
 文章标题 : Deloitte(德勤) 做咨询的时候给的一些脆弱点建议25项
帖子发表于 : 2008-07-20 15:40 
离线
高级用户

注册: 2006-11-15 22:10
最近: 2014-07-28 17:09
拥有: 770.10 安全币

奖励: 763 安全币
在线: 2268 点
帖子: 185
地址: BJ-SH
共25项,

V01.Information security policy, Information security infrastructure, Cryptographic controls and Reviews of security policy and technical compliance


V02.Identification of risks related to external parties,Addressing security when dealing with customers,Addressing security in third party agreements


V03.Compliance with legal/regulatory requirements


V04.Management of system equipment


V05.Management of operational procedures


V06.Security management of networks


V07.Exchanges of information and software, Cryptographic controls, Network access control,Security management of electronic messaging,On-Line Transactions,,vulnerbility management


V08.Control and management of removable equipment and/or media


V09.Housekeeping, Aspects of business continuity management, Responding to security incidents and malfunctions,Information back-up and interruption analysis


V10.Responding to security incidents and malfunctions, Housekeeping, Monitoring system access and use,Recording and tracking security incidents,Protection of log information


V11.Media handling and security, Application access control, Cryptographic controls, Security of system files,Removal of access rights


V12.Physical and environmental security


V13.Monitoring system access and use


V14.Risk Analysis and security management


V15.Integrity controls


V16.Security management of system access


V17.Security management of system connections


V18.Security management of system development


V19.Reviews of security policy and technical compliance, System audit considerations


V20.Secure areas, General controls


V21.Accountability for assets, Information classification, Operational procedures and responsibilites,Third party service delivery management


V22. Lack of People Security Management


V23. Information Security Training


V24. Lack of Segregation of Duties and Job Drescritpions


V25.Accountability for assets, Information classification, Operational procedures and responsibilites,Third party service delivery management


--------本帖迄今已累计获得20安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-07-25 21:17 
离线
初级用户

注册: 2008-07-25 17:44
最近: 2008-12-05 21:44
拥有: 26.90 安全币

奖励: 0 安全币
在线: 52 点
帖子: 20
怎么这么多英文阿


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-07-27 15:37 
离线
版主

注册: 2007-08-07 15:59
最近: 2013-10-15 15:05
拥有: 10,081.60 安全币

奖励: 9458 安全币
在线: 4248 点
帖子: 553
地址: BeiJing
建议点虽然不错,但感觉缺乏归纳,这是不是某个客户特定的建议啊?


--------本帖迄今已累计获得20安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-07-27 16:27 
离线
版主

注册: 2006-01-19 17:47
最近: 2017-12-26 19:36
拥有: 6,512.70 安全币

奖励: 1310 安全币
在线: 5213 点
帖子: 536
地址: 上海
这个应该是总结了很多客户的脆弱点之后总结出的具有普遍意义的一些情况


--------本帖迄今已累计获得4安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-09-27 13:25 
离线
初级用户

注册: 2007-11-22 00:24
最近: 2008-11-11 15:11
拥有: 159.10 安全币

奖励: 4 安全币
在线: 371 点
帖子: 31
有时候咨询或者理论中的道理在实践中有执行的困难,比如segragation of duties中,system admin, database admin, security admin(还有很多啊)....即使是很大的企业,设置全这些职位保证accountability and segragation of duties也是寥寥无几的。不知道大家在工作中是否有同感。


--------本帖迄今已累计获得34安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-09-27 18:52 
离线
版主

注册: 2007-08-07 15:59
最近: 2013-10-15 15:05
拥有: 10,081.60 安全币

奖励: 9458 安全币
在线: 4248 点
帖子: 553
地址: BeiJing
zhangbaoshan 写道:
有时候咨询或者理论中的道理在实践中有执行的困难,比如segragation of duties中,system admin, database admin, security admin(还有很多啊)....即使是很大的企业,设置全这些职位保证accountability and segragation of duties也是寥寥无几的。不知道大家在工作中是否有同感。


职责交叉时,可能需要其它安全控制手段的保障,如安全审计等!


--------本帖迄今已累计获得26安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-06-24 13:48 
离线
高级用户

注册: 2008-09-22 11:27
最近: 2016-02-15 19:36
拥有: 1,574.70 安全币

奖励: 783 安全币
在线: 2105 点
帖子: 153
segelo 写道:
建议点虽然不错,但感觉缺乏归纳,这是不是某个客户特定的建议啊?


这个看着倒确实是Deloitte的版本,不过在我们这边实行时一共是28项,比楼主的多3项

我想,光看这些大项目意义最多也就是参考一下,实际执行时,每大项底下还有很多细节要看的,涉及到不同的被审核对象,也会有所差别。我觉得在这里发帖还是有针对性地讨论问题比较好。

另外,鉴于这是人家拿来卖钱的东西,我就不帮楼主补充咯~


--------本帖迄今已累计获得24安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-09-15 21:23 
离线
新手

注册: 2009-06-07 14:49
最近: 2010-10-21 11:56
拥有: 29.00 安全币

奖励: 0 安全币
在线: 93 点
帖子: 3
德勤现在的确在统一的模板中是有28项弱点,25项是没有更新的版本吧。

在实际为客户做评估的时候,我认为比较重要的还是和管理层的沟通,了解他们企业的现状,进而找出真正企业本身的脆弱性所在。

模板中的28项只是作为一个框架性的指引,根据对应的控管项目现状,为客户有条理地梳理下体系、人员、硬件、软件、文档和数据等各类资产的弱点所在。


--------本帖迄今已累计获得26安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-09-15 23:14 
离线
高级用户

注册: 2006-11-15 22:10
最近: 2014-07-28 17:09
拥有: 770.10 安全币

奖励: 763 安全币
在线: 2268 点
帖子: 185
地址: BJ-SH
28项是模板里统一的,但是有些东西感觉针对性不是很强,跟25项里某些做过合并。
Anyway,这的确只是一个框架,针对人员硬件软件数据等这28项并不是都适用的。至少这些给我们提供了一个方向,可以了解到专业的咨询公司是如何操作的。由于每个公司的具体情况不同,可以在这些弱点的基础上进行增加和删减。


--------本帖迄今已累计获得39安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: Deloitte(德勤) 做咨询的时候给的一些脆弱点建议25项
帖子发表于 : 2010-08-20 10:58 
离线
新手

注册: 2010-03-25 15:40
最近: 2015-05-12 09:46
拥有: 35.00 安全币

奖励: 0 安全币
在线: 847 点
帖子: 11
没看出有什么特别之处。


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 10 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012