订阅数:392390企业内部控制规范——基本规范(征求意见稿)
第一章 总 则
第一条 为了引导和推动企业建立健全内部控制,提高企业内部控制与经营管理水平,促进企业健康可持续发展,维护社会主义市场经济秩序和社会公众利益,依
据《中华人民共和国会计法》、《中华人民共和国公司法》、《中华人民共和国证券法》以及其他有关法律、行政法规的规定,制定本规范。
第二条 企业内部控制规范包括基本规范、具体规范和应用指南等。
基本规范规定企业内部控制的基本目标、基本要素、基本原则和总体要求,是制定具体规范和应用指南的基本依据。
具体规范和应用指南根据基本规范制定,是对企业有效执行基本规范作出的具体规定和应用说明。
时间:2008年8月24日 晚
虽然估计不会有大的问题,但是还是决定晚上闭幕式的时候到奥运官方网站的安全监控现场度过这个晚上。
晚上7点多打车到搜狐大厦。各方神仙已经有到的了。我就到监控室,与搜狐和我们公司的监控人员们一起,度过了闭幕式的两个小时。还好,监控室里面有一个大电视,让大家可以在监控的同时欣赏到闭幕式的盛况。
静静地看闭幕式,与很多人一起看,确实感觉不同。大家你一言我一语,大家共同的感叹就是老谋子看来已经被掏空了,真的没有太多招儿了。总体来说,大家批评的多一些。
不过,官方网站一切平安,大家都非常高兴。
时间:2007年
在一年半的时间里,经历奥运数字安保的过程,进一步确证了“敏捷迭代”思路的合理性。因为确实有太多的东西发生着变化。
就从构建整个保障体系的大原则来看,也从开始的“节俭办奥运”,逐渐随着国际国内形势的变化,变成了“平安奥运”的主题了。最开始,由于以节俭办奥运为原则,连鸟巢的盖子都节省掉了,那么我们更应当好好节省网络安全的投资。这种资金的压缩节省确实给我们带来了一定的设计压力。进入了2008年之后,各方面的重视加强了,甚至于追加项目也出现了,我们公司在奥运相关保障的投资也越来越大了,“节俭”确实不是关键字了,“全力保障+万无一失”这样的努力+结果的要求成为了主要的声音。
但是,这并不是说原先不应当“节俭办奥运”,而直接把安全摆在第一位去筹备。如果没有节俭办奥运在先,可能后来也就没有足够的资金再加强平安奥运了。如果在一年半之前预见到以后会以“平安奥运”为大原则,而直接以此为标杆,那么从整个事件的策划来讲可能并没有太大的帮助。
大的系统工程,如同一盘围棋,在棋局的开始无法完全预测整盘棋的走势,也无法预测最后的决胜是在中盘的大龙绝杀、还是官子的细微失误、还是布局阶段的大局优势。在开始,必须也不得不走一步看一步。(当然要提前算5步,也要有取势-取实地之大原则)
从这个大原则的变化就可以看出,敏捷迭代的价值。
时间:2007年上半年
和奥运会的密切关系是从去年年初开始的。那个时候,开始参与奥组委admin网的安保项目。详细的过程无法赘述,最后启明星辰中标,我也真正深度参与到北京奥运的工作。当然,挑战和压力也就自然而来了。
[潘柱廷按]
最近常常被问到这个问题:“中国信息安全产业与国际信息安全产业相比,到底处在一个什么地位?”其实,大家问这个问题的时候,这个国际是指比较发达的美国、欧洲和日本的情况,也就是指所谓的国际先进水平。要回答好这个问题并不容易,必须要对于中国的产业有全面的认识,而且还要对于国际先进情况有较准确的了解。我自己对此的了解不敢说深入,不过,对于这个必须回答的问题总可以说两句。
要对比中国信息安全产业和国际先进水平,也许可以参考《信息安全产业的产业要素探索和应用》中谈到的产业四要素:交易品、客户、提供商、第三方。在这里,我想把这产业四要素变换成评价产业五个指标:核心技术、安全产品、安全服务、应用、产业环境。核心技术是交易品要素中的关键部分;而安全产品和安全服务则凝聚了交易品要素和提供商要素的关键结果,产品和服务其实是提供商所提供的交易品的两种形态;应用则是体现客户要素对于安全需求的认识、满足和实现;产业环境主要是谈客户、提供商和第三方机构组成的大环境,比如政策、竞争、合作等等。下面就从核心技术、安全产品、安全服务、应用、产业环境几个方面谈谈。
[转自VFES]
标准和规范常常是大家做具体工作的依据。为了能够更好地分享对于标准和规范的理解和认识,有一些内容可能是必要:
1、提供原文
如果有标准和规范的原文,一定要提供出来。如果是翻译版本,最好能够中文和外文都有;如果有下载地址,最好也能够提供以便跟踪最新情况。而提供的原文最好是一个完整文档,比如PDF, word等。
2、介绍来龙去脉
标准和规范的环境、演变过程、发展方向等等,对于理解这个标准是非常重要的内容。自己研读需要准确了解这些,分享给别人的时候最好也能够把这些讲清楚。
3、结构分析
标准和规范的文档结构常常最能够反映其整体思路。所以,能够将其结构描述清楚,就是一个抓住脉络的过程。
4、条款阐释
逐条阐释标准和规范是真正确保你了解它的基础。这个工作非常繁杂,但是最最基础。
5、案例介绍
标准和规范应用、推广、认证、检查...各个方面的实际案例,都对大家理解标准和规范非常重要
标准和规范不仅仅是文本,它应当是活的,是值得亲近的。
原 文章:云计算
[潘柱廷原创]
一、云服务Cloud Services
云服务,或者说是云模式服务Cloud mode services。云服务一般理解就是云计算能够提供的服务,就像Google Doc,Amazon等那样;还有一个理解,就是把传统的服务(特别是人对人),用云模式给整合起来,形成云服务。本文主要的研究对象就是云模式信息安全服务Cloud Mode Information Security Services (CMISS)。
原 文章:信息安全五大检测机制对比分析
安星这类的安全检查,在检测机制和运营方式上都是不同于以往的IDS、Scanner等检测机制的。http://www.websec360.com
| 网站安全360:让网站安全变得简单 | ||||||
|
| 网站安全令人堪忧,问题何在? | ||||||
|
这类服务型的检测比检测产品更接近客户的真实问题,是检测能力走SaaS方向的一个典型吧。
原 文章:云计算
北京时间7月3日消息,据国外媒体报道,美国知名市场研究公司Gartner日前发布的一份研究报告称,虽然云计算(cloud-computing)产业具有巨大市场增长前景,但对于使用这项服务的企业用户来说,他们应该意识到,云计算服务存在着七大潜在安全风险。
所谓云计算,就是指密集型网格(grid)服务,或称之为“基于服务架构(SOA)”的公共计算。云计算把软件和IT基础设施当作一种服务对外提供。通俗地讲,就是互联网公司向那些没有或不愿组建自身IT基础设施的中小型企业提供在线数据存储服务,第三方软件开发商也可利用云计算平台运行自己开发的应用软件。
此前在线CRM(客户关系管理)软件服务商Salesforce.com和亚马逊已经推出了云计算服务,微软和Google也在陆续跟进。如Google前不久推出了App Engine服务,微软也计划今年晚些时候推出相应产品。除Gartner外,不少业界人士也表示,企业用户使用云计算服务,等于是把自己数据交给了另一家以盈利为目标的企业代为保管,其风险性不可忽视。这些人士还认为,云计算服务应当由政府部门提供,以保证云计算服务商的中立性。
以下就是Gartner所提出的云计算服务7大潜在安全风险简介:
[潘柱廷注]信息安全是一个依附性产业。其依附于IT,依附于IT威胁。所以,要确保跟上安全的步伐,就要跟上IT发展的步伐。那么,现在台天上的这片云彩,就应当成为我们关注的对象。
“云计算”(Cloud Computing)是分布式处理(Distributed Computing)、并行处理(Parallel Computing)和网格计算(Grid Computing)的发展,或者说是这些计算机科学概念的商业实现。许多跨国信息技术行业的公司如IBM、Yahoo和Google等正在使用云计算的概念兜售自己的产品和服务。云计算这个名词可能是借用了量子物理中的“电子云”(Electron Cloud),强调说明计算的弥漫性、无所不在的分布性和社会性特征。量子物理上有“电子云(electron cloud)”,在原子核周围运动的电子不是一个经验世界的轨道例如像天体一样的运行轨道,而是弥漫空间的、云状的存在,描述电子的运动不是牛顿经典力学而是一个概率分布的密度函数,用薛定谔波动方程来描述,特定的时间内粒子位于某个位置的概率有多大,这跟经典力学的提法完全不同。电子云有以下特性,概然性、弥漫性、同时性等等,云计算可能的确是来自电子云的概念,前今年就有所谓“无所不在的计算”,IBM有一个无所不在的计算叫“Ubiquitous “,MS(Bill)不久也跟着提出一个无所不在的计算“Pervade“,现在人们对无所不在的计算又有了新的认识,现在说是”Omnipresent “。但是,云计算的确不是纯粹的商业炒作,的确会改变信息产业的格局,现在许多人已经用上了Google Doc和Google Apps,用上了许多远程软件应用如Office字处理而不是用自己本地机器上安装这些应用软件,以后谁还会花钱买Office软件哪?还有许多企业应用如电子商务应用,例如要写一个交易程序,Google的企业方案就包含了现成的模板,一个销售人员根本没学习过Netbeanr也能做出来。这种计算和产业动向是符合开源精神的,符合SaaS(Software as a Service)趋势。现在有这样的说法,当今世界只有五台计算机,一台是Google的,一台是IBM的,一台是Yahoo的,一台是Amazon的,一台是微软的,因为这五个公司率先在分布式处理的商业应用上捷足先登引领潮流。Sun公司很早就提出说“网络就是计算机”是有先见之明的。
管理类产品越来越成为了信息安全行业中的重要门类,在IDC和CCID的市场报告中,也开始专门为这类产品进行分析了。这是大大的好事,因为这类产品使得整个行业更加地丰富了。
管理类产品必然的内涵和交付品形态
从我经营的信息安全管理类产品,以及我能够接触到的其他管理类产品,比如,网络管理、CRM、ERP等等,其必然都会存在三大特征:
管理类产品必然的发展阶段
从信息安全管理平台类产品,以及像CRM和ERP类等管理产品,都有类似的发展过程。我个人认为,可以表达为:
原 文章:追问:什么是审计?审计是什么?
审计
[摘自百度知道]
审计与会计的区别
有人认为审计(AUDIT)是从会计中派生出来的,其本质还是与会计有关。事实上,审计与会计是两种不同的但又有联系的社会活动。审计与会计的联系主要表现在:审计的主要对象是会计资料及其所反映的财政、财务收支活动。会计资料是审计的前提和基础。会计活动是经济管理活动的重要组成部分,会计活动本身就是审计监督的主要对象。我国古代的“听其会计”和西方国家的“听审”,都含有审查会计之意,检查会计资料只是审计的一种手段和方法。随着审计的发展,审计和会计的区别越来越突出,主要表现在:
审计是整个信息安全产业中的一个重要门类。而实际情况,在市场中,审计,是一个非常混乱的门类。从所有获得资质的、以审计命名的产品清单,就可以看出对于审计的理解大家有多么混乱。那么你到底怎么看审计呢?
原 文章:命名:广义威胁用例管理
用广义威胁用例管理的方法和大家沟通,不管是用户、销售人员、技术人员都能够产生很大的共鸣。为什么呢?其实就是因为用例方法是一个实在的方法。他用一个看起来很笨的,但是却是用非常直接和明确的方法,来讲述被神秘化和理念化的事务。
其实,在我们日常的工作中,还有其他“用例方法”可以采用。比如:
需求用例
在软件工程中,特别是现在流行的敏捷开发方法中非常重要。需求用例成为需求方和软件开发人员沟通的重要媒介。因为,实际上用户需要的不是那一个一个功能,用户需要的是能够完成一些操作,而这些操作是有过程的,而描述这个过程采用用例的方法是比较妥当的。一个典型的用例描述就是“某角色,为了某某目的,操作某某,获得某某结果”。
设计和开发人员根据用例所描述的需求来开发软件,可以确保软件能够实现用例,也就是可以确保软件在这些用例上的可操作性。如果,不强调用例的话,很可能会导致功能模块好像都非常全,但是实际操作起来会非常的别扭。
而且,采用用例作为需求描述的主要方法,还有利于阶段性开发。因为,每个阶段都能够完成一部分用例,而这些用例都是完整的操作。那么,当因为资源、进度等原因,被迫完成阶段性开发的时候,这个阶段性成果是可运行的。而如果从功能模块的角度出发,很可能,根本无法中间停止,因为操作无法串起来。
凡此种种利弊,都是由于“需求用例”是描述软件最最表面、也最最实际的部分。所以,不管是采用大型软件工程方法进行管理还是采用敏捷软件开发的方法进行管理,需求用例都是一个很好的管理工具。
用户故事
解决方案是被大家常常挂在嘴边的好东西。大家都声称自己不仅仅是一个卖产品,而是一个提供解决方案的。
那么,解决方案到底是个什么东西呢?
简单说,解决方案就是解决用户问题的方案。
那么,用户问题到底是个什么东西呢?怎么描述用户问题呢?
用户问题可以用一个故事描述,就是采用“用例”的方法来描述用户的问题。因为用户的问题也是一个过程,有因果有前后的过程。
那么在信息安全领域,怎么用用例方法描述用户问题呢?
因为,信息安全领域有三要素的特征——资产、威胁、防护措施。那么我们描述用户问题,主要就是围绕针对资产的威胁来描述。那么一个很有意义的方法就是“威胁用例”。用故事的形式,讲述安全威胁。
营销故事
解决方案应当是能够在销售人员和售前人员之间传递的和共享的。
现在媒体上评选的解决方案其实都简化成为了一个方案文档,解决方案可不仅仅是一个方案。
解决方案其实是一个过程,一个故事,一个互动的故事。
这个故事讲述的是:客户怎么样,销售怎么样,售前怎么样,客户于是又怎么样,我们提交了一个什么,客户给出了一个反馈,然后我们提出了一个什么,最后客户非常认可,最最后,当然是我们签订了合同啦...故事还没有结束,还有实施的故事,最后,当然是项目验收啦...故事还没有结束,还有后续的持续的项目啦,客户信任我们了,我们又给客户干了好多好多的事情...
一个好的解决方案,应当是一个这样的故事
《中国财政政策报告2006/2007》给出一种解读
中国社科院财贸所与中国财政经济出版社日前在京联合召开中国公共财政建设研讨会暨《中国财政政策报告2006/2007》首发式,来自国家财政部、税务总局、国务院发展研究中心、北京大学、清华大学、北京师范大学及中国社科院的专家学者,就我国公共财政建设的指标体系构建等相关话题进行了研讨。
党的十六大把本世纪头20年称作一个重要战略机遇期,并强调这是一个必须紧紧抓住且大有可为的战略机遇期。此后,党中央又进一步明确提出了落实科学发展观和构建社会主义和谐社会等重大战略思想,这些都对我国的公共财政建设提出了更高的要求。与会者认为,这一背景下的公共财政建设研究应是多层面的,公共财政建设的紧迫性和艰巨性,凸显了将有关公共财政问题研究向“更加务实”的制度安排层面推进的必要。但对于公共财政的内涵和重点,人们依然有不同看法。有学者认为,公共财政是一种制度安排,它主要是满足社会公共需要;也有学者认为,公共财政建设的重点主要是解决市场失灵。但无论哪一种理解,对我国而言,由生产建设型财政向公共性财政建设转变都是一项重大的财政制度变革。由此,迫切需要拿出一套切实可行的公共财政建设施工方案,有学者称之为“标识公共财政建设的‘路线图’”。
由中国社科院财贸所课题组完成、高培勇研究员主编的《中国财政政策报告2006/2007》,就是这方面的一项最新研究成果。《报告》的主题是“为中国公共财政建设勾画‘路线图’——重要战略机遇期的公共财政建设》”,是中国社科院A类重大课题研究成果。《报告》认为,鉴于中国公共财政建设是一个由诸多子系统构成的复杂的系统工程,公共财政建设的“路线图”的一个适当选择,就是以制度设计为主要线索,运用综合评价技术,构建公共财政建设指标体系。《报告》在全面回顾公共财政建设历程、系统分析重要战略机遇期对公共财政建设具体要求的基础上,立足于中国公共财政建设的特殊体制背景,构建了一个以公共性为基本线索的中国公共财政建设指标体系的总体框架。总括起来,这个框架可以概括为“一条主线、三项职能、四个层面、十大指标”,也可以简称为“1+3+4+10”体系。所谓一条主线,即指中国公共财政建设指标体系是以公共性为灵魂,并以此作为贯穿始终的基本线索。所谓“三项职能”,即指其指标体系是按照资源配置、收入分配和经济稳定等三项职能作为基本定位的。所谓“四个层面”,是指其指标体系覆盖了基础环境建设、制度框架建设、运行绩效建设和开放条件下的公共财政建设等四个层面的内容。所谓“十大指标”,是指其指标体系由十大一级指标构成,即:政府干预度、非营利化、收支集中度、财政法治化、财政民主化、分权规范度、均等化、可持续、绩效改善度和财政国际化。
与会者认为,公共财政是一个制度安排,公共财政建设事实上是一种制度变革。由“全能型财政”转到“公共性财政”,是建设社会主义市场经济体制的本质要求。与会者强调,改革的紧迫性要求相关的研究不能仅仅局限于理论方面的研究,还要向制度建设层面深入推进,《中国财政政策报告2006/2007》,至少提供了一种很有参考价值的框架建议。
与会者还就公共财政的建设重点,以及公共财政建设与构建和谐社会主义和谐的关系等进行了研讨。
内容摘要:构建顾客满意度调查指标体系是有效实施顾客满意度调查的关键。目前,很多企业已将提高顾客满意度作为其运营目标之一,并积极地实施顾客满意度调查,但却往往忽视如何建立一个系统、科学、有效的顾客满意度调查指标体系。为此本文给出了构建顾客满意度指标体系的原则、方法与流程。
关键词:顾客满意度调查 顾客满意度指标体系
内容摘要:
随着企业逐渐成为经济和市场的主体,企业经营安全对象的预警理论的研究已为业界所关注。本文分析企业预警管理活动过程,建立了企业预警预控管理活动模式,同时介绍了其管理活动的内容。并通过对企业具体特点的分析及企业构成的过程思考,构建了全面的预警指标体系。 预警管理-[飞诺网FENO.CN]
关键词:经营预警 指标体系
Powered by Haiwit
