|
|
原帖由 linkenpark 于 2008-5-19 09:24 发表 ![]()
1.请汪总讲讲,GDS在做灾备项目中如何给客户做成本效益分析的?比如风险导致的损失和防护措施所需的投入,如何计算的?怎么样才让客户觉得值得这么做。贵公司是怎么做的。
2.在国内,很多事件人为因素较重,sars的瞒报,这次地震的辟谣。GDS在灾备项目中,如何给用户定制人员的管理,避免一人/一个部门说了算的局面。或者说有什么办法避免这种人为造成的问题。
3.有幸拜读过贵公司的RA报告,请问贵公司做RA的依据是什么?
3、RA的依据有:
1、评估基线标准
–中华人民共和国国家标准《GB 9361-88 计算站场地安全要求 Safety requirements for computation center field》,中华人民共和国电子工业部1988年4月26日批准 1988年10月1日实施
–中华人民共和国国家标准《GB/T 2887-2000 电子计算机场地通用规范 Specification for electronic computer field 》国家质量技术监督局2000-01-03发布 2000-08-01实施
–中华人民共和国国家标准《电子计算机机房设计规范 —GB50174-93 中华人民共和国国家标准》,1993年2月17日 国家技术监督局 、中华人民共和国建设部联合发布1993年9月1日实施
2、行业相关监管管理规范
如
–关于印发《保险公司风险管理指引(试行)》的通知 保监发〔2007〕23号
–《关于做好保险信息系统灾难备份工作的通知》 保监发[2004]127号
–关于印发《保险机构开业信息化建设验收指引》的通知 保监发[2004] 137号
–保险业信息系统灾难恢复管理规范(草案)
–保险业信息系统灾难恢复管理暂行办法(草案)
3、场地环境设施管理评估基线
-风险评估工作涉及场地环境设施维护保养的风险评估,我们参考《ISO/IEC 20000:2005“信息技术-服务管理》体系方法评估内容。针对风险因素的改进策略建议参考《ISO/IEC 20000:2005第二部分:实施准则(Code of practice)-实践指导》和ISO/IEC 20000信息安全相关的《IDT ISO/IEC 17799:2005信息技术 安全技术信息安全管理实用规则》。
《ISO/IEC 20000:2005“信息技术-服务管理》ISO/IEC 20000整合了ISO管理体系标准基于流程导向的方法(PDCA),包括规划(Plan)-执行(Do)-检查(Check)-行动(Act)的循环和持续改善方法论。
-国信办的《信息安全风险评估指南》(范红版本) |
|
楼主: 去留无意123
IP卡
狗仔卡
发表于 2008-5-18 15:24
显身卡
发表于 2008-5-22 13:19
