作为信息技术应用最广泛、最复杂的行业之一，证券行业的信息化建设与业务联动非常紧密，说信息化是当今证券行业的“命脉”一点也不为过。因此，对于证券行业来说，如何做好IT规划，保障IT系统安全有序的运行，是证券行业IT管理层面前一道难题。另一方面，为了保障证券期货信息安全管理体系建设的合规性、全面性和实用性，我们依据《证券法》、《证券投资基金法》、《期货交易管理条例》、《证券行业期货信息安全保障管理办法》及信息安全保障相关的法律、行政法规进行全面映射。梵禅信息结合多年的行业信息科技风险管理经验，提出了证券行业“五层一体系”的规划思路。既是把信息系统抽象成纯技术视角来看，从“基础环境、网络、操作系统、数据库、应用系统五个层面，加上一个贯穿五个层面的信息安全管理体系”形成“五层一体系“模型。按照“五层一体系”模型抽象出来之后，将包括数据库在内的以下四层实现全面标准化，包括标准化设计、标准化建设、标准

银行企业高度依赖信息科技，信息科技重在安全，而关注安全即关注风险。认识到信息科技风险作为银行风险重要组成部分，树立并强化全面的信息科技风险意识，着力加强和完善相关规划、建设和管理工作，继而建立全面的信息安全和信息科技风险管理体系，是银行企业面临的一项紧迫课题。就信息科技风险管理整体性工作而言，银监会发布的《商业银行信息科技风险管理指引》无疑是国内各银行企业一致遵从的“标准”，但如何理解科技风险，如何解读合规要求，如何与商业银行IT内控对接，如何确保落地，往往给相关管理者带来诸多困惑。梵禅信息从事信息安全专业咨询，重点关注金融银行业，先后为包括建设银行、交通银行、农业银行、招商银行、广发银行等机构提供过专业咨询服务，对银行企业实施IT治理、信息科技风险管理和内控合规有着深刻的理解，并为此专门提出一套解决方案。我们认为，银监会《商业银行信息科技风险管理指引》与国际权威的COSO-ERM企业全...

在电信运营市场竞争日趋激烈，通信技术不断更新发展，客户及市场日渐成熟的新形式下，移动通信行业充分认识到需要加强企业信息化安全，狠抓企业内部的信息化安全建设，使它成为推动企业低成本、高效运营的重要基础，坚持集中化、标准化、集成化的原则，实现“以业务为导向、以客户为中心、以安全为保障”的服务模式。在信息安全管理建设过程中，通信行业也面临着一些普遍的问题如：安全工作开展普遍着重于运维阶段，运维阶段的安全管理、安全运作、安全技术上都能得到较完善的支撑；但系统上线前缺乏有效的安全规划和管理，不仅使系统存在大量的缺陷与漏洞，还加大了后期运维工作的压力。针对这一问题，梵禅通过加强系统开发生命周期的管理，在系统生命周期各个阶段都针对性的制定和开展安全管理和安全技术工作，建立完善系统运维前的安全保障过程，使安全工作前移，从而有效的缓解了运维的压力。通信行业信息安全管理是一个长期的建设和改进过程，在这些过程...

十二五”期间，随着坚强智能电网以及“三集五大”体系深入推进，SG-ERP工程的全面建设对电网企业信息化安全运维运行工作都提出了更高要求。同时适应电网企业发展新形势新要求，做好信息通信融合安全发展，全面保障智能电网以及“三集五大”建设，确保信息化管理组织及信息系统安全稳定运行，电网企业从技术环境改造与优化、制度建设与梳理以及责任制落实几个方面，已经初步形成了管理制度加技术手段配套的信息安全运维保障体系。但是，随着信息技术飞速发展，应用环境日益复杂，以及企业应用需求的日益增加，国家、企业对信息安全的要求不断提高，信息化发展过程中也暴露出许多问题和不足，主要体现在：随着信息化大集中的建设，信息安全基础设施需要进一步进行系统化的优化整合；目前信息安全运行维护监管水平和能力不足，需要建设高自动化水平的集中监管平台；电网企业普遍缺乏体系化的安全管理策略及流程管理体系，无法有效指导信息化建设、运维与监管

保险企业是以保险业务为核心的,融证券、信托、银行、资产管理、企业年金等多元金融业务为一体的紧密、高效、多元的综合金融保险服务集团。信息科技风险管理工作应该得到保险企业管理层的高度重视和参与，根据不同应用系统的安全等级制定实用的安全防护策略，以保证保险企业业务流程的高效畅通和高度安全。就保险企业信息科技风险管理工作而言，大多数保险企业遵循公安部发布的《信息安全等级保护管理办法》以及保监会发布的《保险公司信息系统安全管理指引(试行)》，已经初步建立了技术结合管理的一系列措施，包括对主要业务信息系统进行定级和备案，并按照相关标准执行针对性的控制措施。但随着保险企业信息化大集中，IT技术以及企业业务的不断发展，以及监管机构不断提出新的要求，保险企业也需要修炼内功，持续提升自身的信息科技风险管理水平。梵禅信息多年来与多家国内外知名保险公司保持着长期合作关系，也时刻关注着保险行业信息科技风险管理的发...