信息安全管理成為信息安全保障的熱點(diǎn)

風(fēng)險(xiǎn)評(píng)估的國(guó)際動(dòng)態(tài)匯報(bào)要點(diǎn)信息安全管理成為信息安全保障的熱點(diǎn)泰德帶來(lái)的啟示風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)的關(guān)系信息安全管理成為

信息安全保障的熱點(diǎn)ITIS$！信息就是財(cái)富,安全才有價(jià)值。CI:CriticalInfrastructureCIP:CriticalInfrastructureProtectionCII:CriticalInformation

Infrastructure.CIIP:CriticalInformation

InfrastructureProtection技術(shù)提供安全保障功能，但不是安全保障的全部提高人的安全意識(shí)，技術(shù)、管理兩手抓成為國(guó)際共識(shí)。標(biāo)準(zhǔn)化組織和行業(yè)團(tuán)體抓緊制定管理標(biāo)準(zhǔn)ISO13335正在重組修改正在修訂17799BS7799-2成為國(guó)際標(biāo)準(zhǔn)正在討論NIST在聯(lián)邦I(lǐng)T系統(tǒng)認(rèn)證認(rèn)可的名義下提出大量規(guī)范SP800-18《IT系統(tǒng)安全計(jì)劃開(kāi)發(fā)指南》（1998年12月）SP800-26《IT系統(tǒng)安全自評(píng)估指南》（2001年11月）SP800-30《IT系統(tǒng)風(fēng)險(xiǎn)管理指南》（2002年1月發(fā)布，2004年1月21日修訂）SP800-37《聯(lián)邦I(lǐng)T系統(tǒng)認(rèn)證認(rèn)可指南》（2002年9月，2003年7月，2004年5月最后文本）FIPS199《聯(lián)邦信息和信息系統(tǒng)的安全分類標(biāo)準(zhǔn)》（草案第一版）（2003年12月）SP800-53《聯(lián)邦信息系統(tǒng)安全控制》（2003年8月31日發(fā)布草案）SP800-53A《聯(lián)邦信息系統(tǒng)安全控制有效性檢驗(yàn)技術(shù)和流程》（計(jì)劃2003至2004年出版）SP800-60《信息和信息類型與安全目標(biāo)及風(fēng)險(xiǎn)級(jí)別對(duì)應(yīng)指南》（2004年3月草案2.0版)ManagingEnterpriseRiskandAchievingMoreSecureInformationSystemsinvolves—Categorizing(enterpriseinformationandinformationsystems)Selecting(appropriatesecuritycontrols)Refining(securitycontrolsthroughariskassessment)Documenting(securitycontrolsinasystemsecurityplan)Implementing(securitycontrolsinnewandlegacysystems)Assessing(theeffectivenessofsecuritycontrols)Determining(enterprise-levelriskandriskacceptability)Authorizing(informationsystemsforprocessing)Monitoring(securitycontrolsonanongoingbasis)

國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)

(ISACA)

提出：1.ISRiskAssessment,effective1July20022.DigitalSignatures,effective1July20023.IntrusionDetection,effective1August20034.VirusesandotherMaliciousLogic,effective1August20035.ControlRiskSelf-assessment,effective1August20036.Firewalls,effective1August20037.IrregularitiesandIllegalActsEffective1November20038.SecuurityAssessment—PenetrationTestingandVulnerabilityAnalysis,effective1September2004提出《信息和相關(guān)技術(shù)的控制目標(biāo)》(CoBIT)CoBIT開(kāi)發(fā)和推廣了第三版，CoBIT起源于組織為達(dá)到業(yè)務(wù)目標(biāo)所需的信息這個(gè)前提

CoBIT鼓勵(lì)以業(yè)務(wù)流程為中心，實(shí)行業(yè)務(wù)流程負(fù)責(zé)制CoBIT還考慮到組織對(duì)信用、質(zhì)量和安全的需要它提供了組織用于定義其對(duì)IT業(yè)務(wù)要求的幾條信息準(zhǔn)則：效率、效果、可用性、完整性、保密性、可靠性和一致性。CoBIT進(jìn)一步把IT分成4個(gè)領(lǐng)域計(jì)劃和組織，獲取和運(yùn)用，交付和支持，監(jiān)控和評(píng)價(jià)。共計(jì)34個(gè)IT業(yè)務(wù)流程。其中3個(gè)與信息安全直接密切相關(guān)的業(yè)務(wù)流程是：計(jì)劃和組織流程9——評(píng)估風(fēng)險(xiǎn)：傳遞和支持流程4——確保連貫的服務(wù)；傳遞和支持流程5——保證系統(tǒng)安全。CoBIT為正在在尋求求控制制實(shí)施施最佳佳實(shí)踐踐的管管理者者和IT實(shí)施人人員提提供了了超過(guò)過(guò)300個(gè)詳細(xì)細(xì)的控控制目目標(biāo)，，以及及建立立在這這些目目標(biāo)上上的廣廣泛的的行動(dòng)動(dòng)指南南。后后者是是用來(lái)來(lái)評(píng)估估和審審計(jì)對(duì)對(duì)IT流程控控制和和治理理的程程度。。國(guó)際CIIP手冊(cè)(2004)PartIIAnalysisofMethodsandModelsforCIIAssessment1SectorAnalysis2InterdependencyAnalysis3RiskAnalysis4ThreatAssessment5VulnerabilityAssessment6ImpactAssessment7SystemAnalysis2002年版TechnicalIT-SecurityModelsRiskAnalysisMethodology(forITSystems)InfrastructureRiskAnalysisModel(IRAM)Leontief-BasedModelofRiskinComplexInterconnectedInfrastructuresSectorandLayerModel,SectorAnalysis,ProcessandTechnologyAnalysis,DimensionalInterdependencyAnalysis.泰德帶帶來(lái)的的啟示示風(fēng)險(xiǎn)三三角形形風(fēng)險(xiǎn)資產(chǎn)威脅脆弱性性泰德眼眼中的的InformationSecurityGovernance標(biāo)準(zhǔn)體體系（ISMS）BS7799Part2CorporateGovernancePLANDOACTCHECK風(fēng)險(xiǎn)管理處理系統(tǒng)控制內(nèi)部審計(jì)功能ISO/IEC17799ISMSStandardsISO/IEC17799andBS7799-2SecurityprocessesandcontrolcompliancestatementsControlsandcontrolimplementationadviceControlsNON-MANDATORYStatementsRiskassessmentAudit/reviewsMANDATORYStatementsRiskassessment,treatmentandmanagementComplianceaudit/reviews(SHALLstatements)GovernanceprinciplesISMSSpecificationsISMSStandardsManagementsystemspecs,guidance&auditingBS7799Part2ISMSGuidelines(riskassessment,selectionofcontrols)GMITS/MICTSISO/IEC18044IncidenthandlingPD3000seriesonriskandselectionofcontrolsISMSControlCataloguesISO/IEC17799Managementsystemcertificationandaccreditationstandards(auditingprocess,proceduresetc)ISOGuide62EA7/03EN45013EN45012ISO19011ISO9001NationalschemesandstandardsProductStandardsTechnicalimplementationandspecificationstandardsEncryptionAuthenticationDigitalsignaturesKeymanagementNon-repudiationITnetworksecurityTPPservicesTimestampingAccesscontrolBiometricsCardsProductandproductsystemtestingandevaluationISO/IEC15408EvaluationcriteriaProtectionprofilesISMSStandardsBS7799-2:2002PLANDOACTCHECKPDCAModelDesignISMSImplement&useISMSMonitor&reviewISMSMaintain&improveISMSRiskbasedcontinualimprovementframeworkforinformationsecuritymanagementISO/IEC17799新老版版本對(duì)對(duì)比SecuritypolicySecurityorganisationAssetclassification&controlPersonnelsecurityPhysical&environmentalsecurityCommunications&operationsmanagementAccesscontrolSystemsdevelopment&maintenanceBusinesscontinuityCompliance2000versionSecuritypolicyOrganisinginformationsecurityAssetmanagementHumanresourcessecurityPhysical&environmentalsecurityCommunications&operationsmanagementAccesscontrolInformationsystemsacquisition,developmentandmaintenance

BusinesscontinuitymanagementComplianceInformationsecurityincidentmanagementnewversionSecuritypolicyOrganisinginformationsecurityAssetmanagementHumanresourcessecurityPhysical&environmentalsecurityCommunications&operationsmanagementAccesscontrolInformationsystemsacquisition,developmentandmaintenance

BusinesscontinuitymanagementComplianceInformationsecurityincidentmanagementnewversionISMSStandardsRevisionofISO/IEC17799:2000SatisfyrequirementControl(plussupportingtext)Staterequirement2000editionControlObjectiveControlImplementationguidanceOtherinformationRevisededitionControlObjective新老版版本變變化ISO/IEC17799neweditionISO/IEC17799oldedition9oldcontrolsdeleted16newcontrolsadded118controlsremaining老版本本:包含10個(gè)控制制要項(xiàng)項(xiàng)，36個(gè)控控制制目目標(biāo)標(biāo)，，127個(gè)控控制制措措施施新版版本本:11個(gè)39個(gè)134個(gè)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估如如何何貫貫穿穿于于安安全全管管理理BS7799-2:2002設(shè)計(jì)ISMSImplementandusetheISMSMonitoringandreviewtheISMSImproveandupdatetheISMS計(jì)劃DOCHECKACTISMS定義ISMS的執(zhí)行范圍和政策執(zhí)行風(fēng)險(xiǎn)評(píng)估對(duì)風(fēng)險(xiǎn)評(píng)估處理作出決定

選擇控制ISMSStandardsBS7799-2:2002DesigntheISMS執(zhí)行和使用ISMSMonitoringandreviewtheISMSImproveandupdatetheISMSPLAN行動(dòng)CHECKACTISMS執(zhí)行風(fēng)險(xiǎn)評(píng)估處理計(jì)劃執(zhí)行控制執(zhí)行意識(shí)/培訓(xùn)將ISMS放到

操作使用中ISMSStandardsBS7799-2:2002DesigntheISMSImplementandusetheISMS監(jiān)控和檢查ISMSImproveandupdatetheISMSPLANDO檢查ACTISMS執(zhí)行監(jiān)控進(jìn)程執(zhí)行定期檢查

檢查剩余風(fēng)險(xiǎn)和可接受的風(fēng)險(xiǎn)內(nèi)部審計(jì)ISMSStandardsBS7799-2:2002DesigntheISMSImplementandusetheISMSMonitoringandreviewtheISMS改進(jìn)和升級(jí)ISMSPLANDOCHECKACTISMS實(shí)現(xiàn)改進(jìn)矯正性和預(yù)防性的活動(dòng)傳達(dá)結(jié)果

檢查改進(jìn)達(dá)到的目標(biāo)ISMSAssetsBusinessprocessesInformation

PeopleServicesICTPhysicallocationApplications

assetdirectoryAssetsCorporateimagePeopleInformation/informationsystemsProcessesProducts/servicesApplicationsICTPhysicalISO/IEC177997.1.1InventoryofassetsISMSRisksAssetthreats&vulnerabilitiesAssetvalue&utility

assetdirectoryAssetsCorporateimagePeopleInformation/informationsystemsProcessesProducts/servicesApplicationsICTPhysicalRisktreatmentRisks&impactsRisktreatment風(fēng)險(xiǎn)險(xiǎn)等等級(jí)級(jí)不可容忍的風(fēng)險(xiǎn)可容忍的風(fēng)險(xiǎn)很少發(fā)生業(yè)務(wù)暴露持續(xù)的業(yè)務(wù)暴露對(duì)業(yè)務(wù)影響的因果關(guān)系較小對(duì)業(yè)務(wù)產(chǎn)生災(zāi)難性影響的因果關(guān)系業(yè)務(wù)務(wù)影影響響低(可忽忽略略,無(wú)關(guān)關(guān)緊緊要要,為不不足足道道,無(wú)須須重重視視)中低低(值得得注注意意,相當(dāng)當(dāng)可可觀觀但但不不是是主主要要的的)中(重要要,主要要)中高高(嚴(yán)重重危危險(xiǎn)險(xiǎn),潛在在災(zāi)災(zāi)難難)高(破壞壞性性的的,總體體失失靈靈,完全全停停頓頓)保密性要求(C)資產(chǎn)價(jià)值分級(jí)描述1–低可公開(kāi)非敏感信息和信息處理設(shè)施及系統(tǒng)資源，可以公開(kāi).。2–中僅供內(nèi)部使用或限制使用非敏感的信息僅限內(nèi)部使用，即不能公開(kāi)或限制信息或信息處理設(shè)施及系統(tǒng)資源可在組織內(nèi)部根據(jù)業(yè)務(wù)需要的約束來(lái)使用。3–高秘密或絕密敏感的信息或信息處理設(shè)施和系統(tǒng)資源，只能根據(jù)需要（need-to-know）或嚴(yán)格依據(jù)工作需要。資產(chǎn)產(chǎn)分分級(jí)級(jí)完整性要求(I)資產(chǎn)價(jià)值分級(jí)描述1–低低完整性對(duì)信息的非授權(quán)的損害或更改不會(huì)危及業(yè)務(wù)應(yīng)用或?qū)I(yè)務(wù)的影響可以忽略。2–中中完整性對(duì)信息的非授權(quán)的損害或更改不會(huì)危及業(yè)務(wù)應(yīng)用，但是值得注意以及對(duì)業(yè)務(wù)的影響是重要的。3–高高或非常高完整性對(duì)信息的非授權(quán)的損害或更改危及業(yè)務(wù)應(yīng)用，且對(duì)業(yè)務(wù)的影響是嚴(yán)重的并會(huì)導(dǎo)致業(yè)務(wù)應(yīng)用的重大或全局失敗。資產(chǎn)產(chǎn)分分級(jí)級(jí)可用性要求

(A)資產(chǎn)價(jià)值分級(jí)描述1-低低可用性資產(chǎn)(信息,信息系統(tǒng)

系統(tǒng)資源/網(wǎng)絡(luò)服務(wù),人員等.)可以容忍多于一天的不能使用。2–中中可用性資產(chǎn)(信息,信息系統(tǒng)

系統(tǒng)資源/網(wǎng)絡(luò)服務(wù),人員等.)可以容忍半天到一天的不能使用。3–高高可用性資產(chǎn)(信息,信息系統(tǒng)

系統(tǒng)資源/網(wǎng)絡(luò)服務(wù),人員等.)可以容忍幾個(gè)小時(shí)的不能使用。4–非常高非常高的可用性資產(chǎn)(信息,信息系統(tǒng)

系統(tǒng)資源/網(wǎng)絡(luò)服務(wù),人員等.)必須保證每年每周24x7工作。資產(chǎn)產(chǎn)分分級(jí)級(jí)威脅脅和和脆脆弱弱性性估估計(jì)計(jì)威脅脅應(yīng)該該考考慮慮它它們們出出現(xiàn)現(xiàn)的的可可能能性性，，以以及及可可能能利利用用弱弱點(diǎn)點(diǎn)/脆弱弱性性可可能能性性。。實(shí)例不太可能發(fā)生的機(jī)會(huì)小于可能出現(xiàn)的機(jī)會(huì)小于25%很可能/大概機(jī)會(huì)50:50高可能發(fā)生的機(jī)會(huì)多于75%非常可能不發(fā)生的機(jī)會(huì)小于1/10絕對(duì)無(wú)疑100%會(huì)發(fā)生風(fēng)險(xiǎn)險(xiǎn)控控制制RiskthresholdRisklevel風(fēng)險(xiǎn)險(xiǎn)控控制制ContinualImprovement啟示示風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估是是出出發(fā)發(fā)點(diǎn)點(diǎn)等級(jí)級(jí)劃劃分分是是判判斷斷點(diǎn)點(diǎn)安全全控控制制是是落落腳腳點(diǎn)點(diǎn)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估和和等等級(jí)級(jí)保保護(hù)護(hù)的的關(guān)關(guān)系系27號(hào)文文件件把把實(shí)實(shí)施施信信息息系系統(tǒng)統(tǒng)安安全全等等級(jí)級(jí)保保護(hù)護(hù)作作為為重重要要基基礎(chǔ)礎(chǔ)性性工工作作。。信息息安安全全等等級(jí)級(jí)保保護(hù)護(hù)制制度度是是國(guó)國(guó)家家在在國(guó)國(guó)民民經(jīng)經(jīng)濟(jì)濟(jì)和和社社會(huì)會(huì)信信息息化化的的發(fā)發(fā)展展過(guò)過(guò)程程中中，，提提高高信信息息安安全全保保障障能能力力和和水水平平，，維維護(hù)護(hù)國(guó)國(guó)家家安安全全、、社社會(huì)會(huì)穩(wěn)穩(wěn)定定和和公公共共利利益益，，保保障障和和促促進(jìn)進(jìn)信信息息化化建建設(shè)設(shè)健健康康發(fā)發(fā)展展的的一一項(xiàng)項(xiàng)基基本本制制度度。。我們們國(guó)國(guó)家家為為實(shí)實(shí)施施等等級(jí)級(jí)保保護(hù)護(hù)奮奮斗斗了了20年。。實(shí)施施信信息息安安全全等等級(jí)級(jí)保保護(hù)護(hù)，，能能夠夠有有效效地地提提高高我我國(guó)國(guó)信信息息和和信信息息系系統(tǒng)統(tǒng)安安全全建建設(shè)設(shè)的的整整體體水水平平，，有利利于于在信信息息化化建建設(shè)設(shè)過(guò)過(guò)程程中中同同步步建建設(shè)設(shè)信信息息安安全全設(shè)設(shè)施施，，保保障障信信息息安安全全與與信信息息化化建建設(shè)設(shè)相相協(xié)協(xié)調(diào)調(diào)；；有利利于于為信信息息系系統(tǒng)統(tǒng)安安全全建建設(shè)設(shè)和和管管理理提提供供系系統(tǒng)統(tǒng)性性、、針針對(duì)對(duì)性性、、可可行行性性的的指指導(dǎo)導(dǎo)和和服服務(wù)務(wù)，，有有效效控控制制信信息息安安全全建建設(shè)設(shè)成成本本；；有利利于于優(yōu)化化信信息息安安全全資資源源的的配配置置，，對(duì)對(duì)信信息息系系統(tǒng)統(tǒng)分分級(jí)級(jí)實(shí)實(shí)施施保保護(hù)護(hù)，，重重點(diǎn)點(diǎn)保保障障基基礎(chǔ)礎(chǔ)信信息息網(wǎng)網(wǎng)絡(luò)絡(luò)和和關(guān)關(guān)系系國(guó)國(guó)家家安安全全、、經(jīng)經(jīng)濟(jì)濟(jì)命命脈脈、、社社會(huì)會(huì)穩(wěn)穩(wěn)定定等等方方面面的的重重要要信信息息系系統(tǒng)統(tǒng)的的安安全全；；有利利于于明確確國(guó)國(guó)家家、、法法人人和和其其他他組組織織、、公公民民的的信信息息安安全全責(zé)責(zé)任任，，加加強(qiáng)強(qiáng)信信息息安安全全管管理理；；有利利于于推動(dòng)動(dòng)信信息息安安全全產(chǎn)產(chǎn)業(yè)業(yè)的的發(fā)發(fā)展展，，逐逐步步探探索索出出一一條條適適應(yīng)應(yīng)社社會(huì)會(huì)主主義義市市場(chǎng)場(chǎng)經(jīng)經(jīng)濟(jì)濟(jì)發(fā)發(fā)展展的的信信息息安安全全模模式式。。信息息安安全全等等級(jí)級(jí)保保護(hù)護(hù)制制度度的的基基本本內(nèi)內(nèi)容容信息息安安全全等等級(jí)級(jí)保保護(hù)護(hù)是是指指對(duì)對(duì)國(guó)國(guó)家家秘秘密密信信息息、、法法人人和和其其他他組組織織及及公公民民的的專專有有信信息息以以及及公公開(kāi)開(kāi)信信息息和和存存儲(chǔ)儲(chǔ)、、傳傳輸輸、、處處理理這這些些信信息息的的信信息息系系統(tǒng)統(tǒng)分分等等級(jí)級(jí)實(shí)實(shí)行行安安全全保保護(hù)護(hù)，，對(duì)對(duì)信信息息系系統(tǒng)統(tǒng)中中使使用用的的信信息息安安全全產(chǎn)產(chǎn)品品實(shí)實(shí)行行按按等等級(jí)級(jí)管管理理，，對(duì)對(duì)信信息息系系統(tǒng)統(tǒng)中中發(fā)發(fā)生生的的信信息息安安全全事事件件分分等等級(jí)級(jí)響響應(yīng)應(yīng)、、處處置置。。保護(hù)等級(jí)級(jí)的劃分分1、第一級(jí)級(jí)為自主保護(hù)護(hù)級(jí)，適用于于一般的的信息和和信息系系統(tǒng)，其其受到破破壞后，，會(huì)對(duì)公公民、法法人和其其他組織織的權(quán)益益有一定定影響，，但不危危害國(guó)家家安全、、社會(huì)秩秩序、經(jīng)經(jīng)濟(jì)建設(shè)設(shè)和公共共利益。。2、第二級(jí)級(jí)為指導(dǎo)保護(hù)護(hù)級(jí)，適用于于一定程程度上涉涉及國(guó)家家安全、、社會(huì)秩秩序、經(jīng)經(jīng)濟(jì)建設(shè)設(shè)和公共共利益的的一般信信息和信信息系統(tǒng)統(tǒng)，其受受到破壞壞后，會(huì)會(huì)對(duì)國(guó)家家安全、、社會(huì)秩秩序、經(jīng)經(jīng)濟(jì)建設(shè)設(shè)和公共共利益造造成一定定損害。。3、第三級(jí)級(jí)為監(jiān)督保護(hù)護(hù)級(jí)，適用于于涉及國(guó)國(guó)家安全全、社會(huì)會(huì)秩序、、經(jīng)濟(jì)建建設(shè)和公公共利益益的信息息和信息息系統(tǒng)，，其受到到破壞后后，會(huì)對(duì)對(duì)國(guó)家安安全、社社會(huì)秩序序、經(jīng)濟(jì)濟(jì)建設(shè)和和公共利利益造成成較大損損害。4、第四級(jí)級(jí)為強(qiáng)制保護(hù)護(hù)級(jí)，適用于于涉及國(guó)國(guó)家安全全、社會(huì)會(huì)秩序、、經(jīng)濟(jì)建建設(shè)和公公共利益益的重要要信息和和信息系系統(tǒng)，其其受到破破壞后，，會(huì)對(duì)國(guó)國(guó)家安全全、社會(huì)會(huì)秩序、、經(jīng)濟(jì)建建設(shè)和公公共利益益造成嚴(yán)嚴(yán)重?fù)p害害。5、第五級(jí)級(jí)為?？乇Ｗo(hù)護(hù)級(jí)，適用于于涉及國(guó)國(guó)家安全全、社會(huì)會(huì)秩序、、經(jīng)濟(jì)建建設(shè)和公公共利益益的重要要信息和和信息系系統(tǒng)的核核心子系系統(tǒng)，其其受到破破壞后，，會(huì)對(duì)國(guó)國(guó)家安全全、社會(huì)會(huì)秩序、、經(jīng)濟(jì)建建設(shè)和公公共利益益造成特特別嚴(yán)重重?fù)p害。。實(shí)施信息息安全等等級(jí)保護(hù)護(hù)工作的的要求（一）完完善標(biāo)準(zhǔn)準(zhǔn)，分類類指導(dǎo)。。（二）科科學(xué)定級(jí)級(jí)，嚴(yán)格格備案。。（三）建建設(shè)整改改，落實(shí)實(shí)措施。。（四）自自查自糾糾，落實(shí)實(shí)要求。。（五）建建立制度度，加強(qiáng)強(qiáng)管理。。（六）監(jiān)監(jiān)督檢查查，完善善保護(hù)。。同一個(gè)問(wèn)問(wèn)題的不不同側(cè)面面從資產(chǎn)的的重要性性看-劃分需要要的保護(hù)護(hù)等級(jí)。。從面對(duì)的的威脅和和脆弱性性看-進(jìn)行風(fēng)險(xiǎn)險(xiǎn)分析。。從安全保保障能力力看-選擇需要要的安全全控制。。等級(jí)保護(hù)護(hù)制度進(jìn)進(jìn)行全面面管理、、響應(yīng)和和處置。。幾點(diǎn)認(rèn)識(shí)識(shí)風(fēng)險(xiǎn)評(píng)估估是落實(shí)實(shí)等級(jí)保保護(hù)的抓抓手。面向?qū)ο笙蠛兔嫦蛳蚴侄尾徊荒芊指罡?。IT驅(qū)動(dòng)和業(yè)業(yè)務(wù)驅(qū)動(dòng)動(dòng)同樣需需要。風(fēng)險(xiǎn)評(píng)估估是出發(fā)發(fā)點(diǎn)等級(jí)劃分分是判斷斷點(diǎn)安全控制制是落腳腳點(diǎn)9、靜夜四四無(wú)鄰，，荒居舊舊業(yè)貧。。。12月-2212月-22Thursday,December29,202210、雨中黃葉葉樹(shù)，燈下下白頭人。。。03:48:4303:48:4303:4812/29/20223:48:43AM11、以我獨(dú)沈沈久，愧君君相見(jiàn)頻。。。12月-2203:48:4303:48Dec-2229-Dec-2212、故故人人江江海海別別，，幾幾度度隔隔山山川川。。。。03:48:4303:48:4303:48Thursday,December29,202213、乍見(jiàn)見(jiàn)翻疑疑夢(mèng)，，相悲悲各問(wèn)問(wèn)年。。。12月月-2212月月-2203:48:4303:48:43December29,202214、他鄉(xiāng)生生白發(fā)，，舊國(guó)見(jiàn)見(jiàn)青山。。。29十十二月20223:48:43上午午03:48:4312月-2215、比不了得得就不比，，得不到的的就不要。。。。十二月223:48上上午12月-2203:48December29,202216、行行動(dòng)動(dòng)出出成成果果，，工工作作出出財(cái)財(cái)富富。。。。2022/12/293:48:4303:48:4329December202217、做做前前，，能能夠夠環(huán)環(huán)視視四四周周；；做做時(shí)時(shí)，，你你只只能能或或者者最最好好沿沿著著以以腳腳為為起起點(diǎn)點(diǎn)的的射射線線向向前前。。。。3:48:43上上午午3:48上上午午03:48:4312月月-229、沒(méi)有有失敗敗，只只有暫暫時(shí)停停止成成功??！。12月月-2212月月-22Thursday,December29,202210、很多多事情情努力力了未未必有有結(jié)果果，但但是不不努力力卻什什么改改變也也沒(méi)有有。。。03:48:4303:48:4303:4812/29/20223:48:43AM11、成功就就是日復(fù)復(fù)一日那那一點(diǎn)點(diǎn)點(diǎn)小小努努力的積積累。。。12月-2203:48:4303:48Dec-2229-Dec-2212、世間成事事，不求其其絕對(duì)圓滿滿，留一份份不足，可可得無(wú)限完完美。。03:48:4303:48:4303:48Thursday,December29,202213、不不知知香香積積寺寺，，數(shù)數(shù)里里入入云云峰峰。。。。12月月-2212月月-2203:48:430