为确保企业的合规工作,违反程序,安全政策等在需要时可以用来诉讼,当安全团队被要求与法律部门密切合作时,CISO应该和律师谈什么?
在安全风险分析过程中,“资产估价(asset valuation)”与“影响分析(impact analysis)”之间的区别是什么?
我们公司第一次制定正式的安全风险管理计划,您能提供一些安全风险管理计划示例吗,或者就安全风险管理计划应包括哪些内容给我们提供一些建议吗?
要按照一套已有的规定完成一个现有架构的差距分析。目的是找到差距,解决这些问题,从而使基础架构达到中期总结报告的标准。该怎么办呢?
作为IT审计员,我想为公司的端口执行入侵渗透测试,但受到了IT小组的阻扰,因为他们担心这会导致系统停机。你觉得我该怎么说服他们呢?
我们得到了来自几个供应商的投标,但其中最适合我们系统的产品却比我之前给管理层的估价要高一些。在试图说服他们去购买更高价位的产品方面,您有什么建议吗?
公司最近发生了一次安全事件,一名员工将敏感数据下载到个人USB记忆棒中。但管理层却决定放他一马。作为安全专业人士,如何寻求管理层对执行安全政策的支持呢?
对有“遵从审计”历史的企业来说,建立一个以信息安全而不是遵从审计为目标的安全文化的最佳实践是什么?
如果企业的“灾难恢复/业务连续性”计划已经过时了,在考虑修改这些计划时,有什么好的建议吗?
关于风险优先级存在着很多不同的观点,但在防止笔记本电脑数据丢失方面,安全专家Ernest Hayden更倾向于使用全盘加密技术对企业中所有笔记本电脑进行加密。
