Why

总体看了一遍，记录几点。

ISO 31000 是一个风险管理指南，不是用来做认证的。标准正文24页。

标准主要讲了三部分：原则、框架、流程

术语部分对风险、事件、后果、可能性、风险管理、管理风险、策略、风险喜好等做了说明和区分，写的非常清晰，篇幅较多，共7页。建议多阅读几遍。

原则部分强调：风险管理要为企业创造价值、保护价值；风险管理是组织管理体系的一部分；风险管理是决策的一部分；风险管理要考虑到人和文化的因素。

框架部分与ISMS思路基本类似，设计、落实、监控、改进，突出了几点：理解企业的环境、责任、融入企业流程、资源、沟通与报告。

流程部分强调几点：建立内外环境、定义风险标准。

总体上，标准写的很容易懂，与其他风险评估标准不同的是更加侧重与企业管理体系的融合和企业环境的考虑。作为一个结构化的思考框架，很多地方值得学习和参考。

开发、讲授课程是一件很不容易的事情，最大的难点在于选择讲什么、怎么讲。所以必须花费很多的时间进行全盘思考、精心设计，开发课程类似编剧，讲授课程如同演出。

开发课程需要时间会比较长，但实际上很多都是赶鸭子上架，不到最后关头是拿不出来的，这里不去分析时间管理的问题。开发课程遵循的原则是“信、达、雅”，讲义上所有数据、图片、引用都应该有来源，这样既显得严谨又能让听众信服，还能指引延伸阅读。文字要流畅，能用短语的就不要用长句，除非特别引用，否则最好不要出现大段的文字。错别字连篇、分不清“的、地、得”、词不达意、逻辑混乱，这些都要不得。初次文字完成后，一定要舍得砍，越砍越精炼。雅，更多是布局上的考虑，能够引起视觉注意的有大小、颜色、方向，该大的字不能吝啬，该小的字要保证坐在后排要看得清，如果你在讲授过程中发现后排的人一直低头，首先想到的是不是字太小了。颜色要和谐搭配，但不能变成花脸。方向在一定程度上能暗示趋势，比如上升或下降。在图片的旁边要有简要解释，不能让人一头雾水。

 除了形式，内容编排更要精心设计，要逻辑清晰、边界明显、上下连贯、重点突出。课程是让学员在有限的时间内熟悉、理解、掌握知识点，不要搞成味同嚼蜡。

 功夫在诗外，讲授课程不是读本子。美国钢铁公司创始人安德鲁·卡内基说：“我相信，在任何一个领域要想获得卓越的成功，自己必须精通于斯”。也就是说，讲课的人一定是这门课程的专家（或深谙多年），否则讲课效果会大打折扣。他们都具有旁征博引、深入浅出的能力，看问题深刻，讲出来简单。在讲授过程中，重要知识点一定要花时间花力气讲清楚，不要怕重复，只有多重复几遍学员才能有更多理解。讲课的目的是为了讲明白，而不是讲完。

 要想本子写好讲好，日常需要多积累、多揣摩、多练习、多尝试。当你看到乔布斯在台上完美的演出时，你应该想到其实那个本子被砍了无数次、那个演出被练了无数遍。

Source: http://www.physorg.com/news176138448.html

The National Cybersecurity and Communications Integration Center (NCCIC) brings together various government organizations responsible for protecting cyber networks and infrastructure and private sector partners.

"This will be a 24/7, 365-day-a-year facility to improve our national efforts to prepare and respond to threats and incidents affecting critical information technology and communications infrastructure," Napolitano said.

She said the NCCIC will serve as the "central repository" for the cyber protection efforts of the civilian side of the federal government and its private sector partners.

Attending the ribbon-cutting ceremony for the NCCIC was the head of the US military's "cyber command," Lieutenant General Keith Alexander, director of the super-secret National Security Agency (NSA).

The high-security new NCCIC facility is located in an Arlington, Virginia, office building and includes a long narrow room dominated by giant wall-mounted video screens displaying maps and threat data. Facing the screens are dozens of computer work stations with multiple screens.

"Securing America's cyber infrastructure requires a coordinated and flexible system to detect threats and communicate protective measures to our federal, state, local, and private sector partners and the public," Napolitano said.

"Consolidating our cyber and communications operations centers within the NCCIC will enhance our ability to effectively mitigate risks and respond to threats," she added.

NCCIC combines two Homeland Security operational organizations: the US Computer Emergency Readiness Team (US-CERT) and the National Coordinating Center for Telecommunications (NCC).

US-CERT is a public-private partnership aimed to protecting and defending cyber infrastructure while the NCC is the operational arm of the National Communications System.

NCCIC will also integrate the National Cybersecurity Center (NCSC), which coordinates operations among the six largest federal cyber centers.

Napolitano, whose department has received the green light to hire up to 1,000 cybersecurity experts over the next three years, stressed the private sector participation in the NCCIC, noting they will have "offices in the same space."

US-CERT currently partners with a number of private sector companies such as telecommunications firms and others in monitoring cyber threats.

The opening of the NCCIC was the culmination of what has been dubbed "National Cybersecurity Awareness Month."

No single agency is currently charged with ensuring government information technology security and lawmakers have called for creating a powerful national cybersecurity advisor reporting directly to the president.

President Barack Obama has made cybersecurity a top priority and announced in May that he would name a "cyber czar" to defend against criminal, espionage and hacker attacks on US government and private computer networks.

Obama has not yet named the "cyber czar" but the 2010 Homeland Security Act that he signed on Wednesday included 397 million dollars for cybersecurity.

US government websites come under attack on a daily basis, according to the Department of Homeland Security, with the threats ranging from teenage hackers to criminal gangs to foreign governments.

(c) 2009 AFP


对于国内来说，情况就稍微复杂点了。

Source: http://tech.163.com/09/1027/08/5MK9H9LO000915BE.html

摘录一些。

打乱华为按工作年限、资历进行工号排序的做法，让自己“淹没”在华为10万雄兵之中，是任正非兑现自己在1998年提出的华为未来十年要实现“淡化企业家个人色彩，强化公司职业化管理”目标的最具符号意义的佐证。

任正非率队走访美国各大跨国公司，遍访了惠普、IBM、朗讯等IT巨头，并最终将目光锁定在IBM身上，以“削足适履”的精神，以及前后十年、超过十亿元的学费为代价，向IBM学习美国式的管理模式，从而为此后的国际化扩张之旅，提前进行了血液和灵魂的改造。

华为2008年已实现合同销售额233亿美元，实际销售额183.29亿美元，72％的收益来自于海外。

华为真正走向国际化的首站——俄罗斯市场，斩获的第一个合同仅仅只是几块电源，总额为38美金。此后一场亚洲金融危机紧随而至，更是冰封了华为试图将俄罗斯市场作为国际化开局的脚步。

我们没有像朗讯等公司那样雄厚的基础研究，即便我们的产品先进也是暂时的，不趁着短暂的领先尽快抢占一些市场，加大投入来巩固和延长我们的先进，一点点领先的优势会稍纵即逝。

海外市场不相信机会主义。

从1995年在俄罗斯建立办事处，1996年首度参加俄罗斯电信展，到1997年在当地建立合资公司“贝托”，直至经历1998年金融危机、2001年全球经济危机过程中的等待、蛰伏，并且持续加大投入，俄罗斯开拓样本只是华为每一个海外站点历程的缩影。

多年以来，任正非一直在思索着，如何在急速的扩军中，打造一支既骁勇善战，又兼具全球眼光和职业化运作经验的一流国际之师。

抓住机会窗的时间差，一边打仗（抢市场），一边练兵（管理变革），这成为华为早期国际化的显要特点。

尊重人才。不迁就人才。把聪明人规范起来。

Source: http://tech.163.com/09/0916/09/5JASSM81000915BF.html

摘录一些。

中国泛海董事长卢志强

泛海未来就做房地产、金融、资源三大产业。综合投资，作为中国泛海非常重要的一项业务方向。

把传统的资产进行梳理，区分哪些是战略投资、哪些是产业投资。

经过十几年长期的积累，基本上联想把泛海看透了，泛海也把联想看透了；柳总把我看透了，我也把柳总看透了。

交朋友，我是非常优秀的人，比做丈夫要优秀得多！这是我爱人说的。

第一，我办企业的目标跟柳总有所不同。柳总是一定要把联想做成伟大的企业。我就希望把泛海办成一流的企业。比如说中国的地产公司，一流的企业不是1家、2家，可能是10家、20家，我希望泛海是其中之一。

泛海的文化是容人的，大家关注到泛海高管变动很少，相对来讲比其它的企业给的钱也少。我小时候看中国的古典名著比较多，尤其是《水浒》给我的印象十分深刻：108个大将有很好的分工，有很好的分配制度，大碗喝酒、大块吃肉，用到商道上未必不是一件好事。

人要讲情、讲义、讲理、讲法。如果一个人不讲情、不讲义，我想大家都要敬而远之了。用在商道上，无非就是你的利益多一点、我少一点。其实想来，吃小亏真的 占大便宜，能够容人、能够让利会得到大家的尊重。与联想的这次合作，我想我们泛海的精神起到了作用！否则柳总是什么人啊！他看问题入木三分。我想他不会轻易选择一个伙伴。

Source: http://tech.163.com/09/0908/10/5IMBNJAE000915BD.html

摘录一些。

除了可预见的东西方管理文化冲突等常见跨境并购整合陷阱对执行力的损耗，他还得应对挑剔的媒体、敌意的西方意识形态环境、国际化的董事会以及亟待注入士气和明确方向的员工。

联想仍在追求“彻头彻尾”的国际化：不只是把产品更多的卖向海外市场，更要接受国际化的资本、治理结构和管理团队的检验。

“慢”是客户的一个抱怨焦点，因为订单供应不上的情况经常出现。客户的一个订单可能涉及到不同的零配件需求，这些需求会按既定流程提到产品部门、采购部门和质量部门，以确定采购和生产周期，最终给客户答复交货时间。让来自中国的联想高管奇怪的是，整个过程耗时甚长且没有确定的“截止点”。更让中国高管沮丧的是，按照过去的意识形态，谁都没必要为此承担责任—从销售到产品和供应链的各个环节，都认为自己尽了本职工作，而他们的负责人，亦是平行的架构，没有一个人在从头到尾的进行统筹规划。

裁员比例最大的是第10级员工，这部分员工正是真正干活的。而节省下来的费用也很容易就被从外部高薪聘请的高管所抵消。

联想的质控人员可以骄傲地宣称苹果等竞争对手的产品无法达到自己的测试标准，但在消费市场，重要的乃是将产品及时投放市场。

据联想内部人士评价，Cuong Do甚为聪明，他能拿出一堆漂亮的图表来阐释战略，却很少关心执行细节；他热衷于通过并购和商务合作等手段让联想实现增长，在公司内部却很少听见他的声音。当阿梅里奥得知员工抱怨最多的是不清楚公司战略是什么时，他感到震惊。

这种沟通并不仅是单向度的灌输，自下而上的反馈也非常重要。杨元庆出现在公司各种规模的会议上，并不知疲倦地飞往全球各地市场向员工和客户沟通联想的新战略方向。联想的内网专门建立了一个“向元庆提问”的栏目收集底层员工的意见，并及时给出反馈。

无论是在内部，还是在市场以及合作伙伴中，一个公司的CEO调整不可避免会引起混乱。元庆用非常简单易于理解的方式在公司内外沟通我们的新战略方向。我们在非常短的时间内几乎是无缝地避免了混乱的发生。

与前任用很多表来解释战略不同，杨元庆最终形成的战略只有一张表。“每次开会，那张表都放在第一页拿出来。后来做到开会不用看里面的字，大家看颜色就知道代表什么。

Think产品贴近消费者的尝试正在显示其效果。研究发现，平均每个人按Del键和Esc键超过700次，远高于其他功能键的使用频率。人们在用这两个键的时候，会感觉是完成了一件大事，有一种痛快感。联想在今年6月发布T400S笔记本电脑上，将这两个键都放大了1倍。

网络战就是一群“斯文人进行的不可告人勾当”。
Source: http://tech.qq.com/a/20090814/000130.htm

1. 网络窃密：攻破互联网或侵入内部网，窃取个人隐私、单位或国家机密，有时也收集大量基础数据，为将来开展其它行动做准备。
2. 攻击网页：篡改对方单位、政府机构网页或设法阻止访问，这样做一般来说实际危害不大，但对被攻击者的声望和威信是个打击。
3. 网络宣传：通过互联网、手机等手段广泛散布对自己有利的真假消息，操纵舆论，影响士气。
4. 拒绝服务：近期发生的多起事件都属这类，通过分布式攻击，让服务器资源不足，造成大片断网。
5. 关键点破坏：通过病毒攻击、电磁干扰、实际火力打击等把对方网络中关键性的服务器、转接设备、卫星等破坏掉，从而使整个系统瘫痪。
6. 公共服务破坏：对发达城市严重依赖网络管理的供水、供电、交通信号、通信等系统发起网络攻击，造成管线、网络的瘫痪，制造城市混乱。
7. 硬件潜伏破坏：通过大的IT产品厂商或特工把藏有破坏程序的硬件当成正常硬件出售或安装到敌方枢纽部，战时摇控启动攻击。据说美国在1991年海湾战争中就利用预先掉包的打印机芯片作怪，使伊拉克防空系统错乱失去了应有战斗力。

Source: http://www.boonbox.net/csi/cyber-security-informer-19-5-09.htm

Cyber security tips from Sauder School Dean, Daniel F. Muzyka, from his recent column in the Globe and Mail include:

• Make sure security awareness exists and is maintained. Realize that users are generally rational actors: Give them incentives for good behaviour.【保持有安全意识】
• Keep up with the technology. New hardware offers new solutions, including fingerprint readers that secure laptops.【跟踪新技术】
• Remember the human element. People often avoid doing this because they worry, ironically enough, that it will harm their computer. It shouldn't be this way. Organizationally, patches can be supported by understanding them, testing them, and disseminating them efficiently and quietly with help available for those with difficulties.【不要忽视人的因素】
• Don't collect data you don't need: You can't lose it if you don't have it.【最小权限】

Sauder School Associate Professor of Management Information Systems Hasan Cavusoglu offers the following advice for companies looking to improve their security:

• Cyber security awareness ust be presented in creative ways to get attention. Don't just give rules, because rules get broken. They have to understand what they do is also affecting themselves. For instance, employees should be made aware that their promotions and bonuses will depend in part on how they’re handling information security. Money is very tangible and a very effective way to change behavior.【要让他们知道，做的事情对自身的影响】
  
• Make employees aware with literature about cyber crime and the legal consequences. Employees will know that if they are caught violating cyber security, they will get into trouble. Organizations should use these "carrot and stick" tactics at same time. 【要让他们知道，什么是合法的什么是犯罪的】
  

Source: http://www.businesswire.com/portal/site/google/?ndmViewId=news_view&newsId=20090727005415&newsLang=en

转贴几个图：

Source: http://ow.ly/15ID8J

Just to summarize the attack:

1. HC accessed Gmail for a Twitter employee by using the password recovery feature that sends a reset link to a secondary email. In this case the secondary email was an expired Hotmail account, he simply registered it, clicked the link and reset the password. Gmail was then owned.
2. HC then read emails to guess what the original Gmail password was successfully and reset the password so the Twitter employee would not notice the account had changed.
3. HC then used the same password to access the employee’s Twitter email on Google Apps for your domain, getting access to a gold mine of sensitive company information from emails and, particularly, email attachments.
4. HC then used this information along with additional password guesses and resets to take control of other Twitter employee personal and work emails.
5. HC then used the same username/password combinations and password reset features to access AT&T, MobileMe, Amazon and iTunes, among other services. A security hole in iTunes gave HC access to full credit card information in clear text. HC now also had control of Twitter’s domain names at GoDaddy.
6. Even at this point, Twitter had absolutely no idea they had been compromised.

Source: http://tech.163.com/09/0721/02/5ENC43OK000915BF.html

不管处在哪种商业环境下，企业都不能丧失核心的文化和价值观。企业不应口袋里钱很紧，就减少员工福利，让员工受到伤害。因为，这也许能在短期内帮助公司维持正常运营，但对公司长期发展不利。

在商业环境变化前，公司的管理者应有敏锐的意识，并做出及时调整。

谷歌全球有40多个工程研究院，员工根据兴趣爱好进行研发，这样不可避免产生重复。调整后，谷歌的每个工程师被按照搜索、图片、视频和手机等不同领域进行 划分，归类到相应部门，密切配合，协同研发。这样不仅可以保障员工继续按照兴趣和特长研发产品，还可以避免资源的重复利用，提高开发效率。

首先，管理者不能太短视。不能因为没有资金紧张，随意把项目都砍掉。等到别的公司把这个项目做起来，又匆匆上马，但为时已晚。其次，管理者要有原则。一切基于数字说话，不能拍脑袋。根据公司的战略使命和方向，做客观的排序，一定把战略性的内容保留下来。

凡事都可以做最坏的打算，置之死地而后生，然后积极去争取每个机会，哪怕是1%的机会。最后，争取到，最好。争取不到，也不要沮丧。

要相信任何困难都可以渡过，后悔和担心是最不需要做的事情。一件事情已经发生，弥补来不及，不要后悔，要想从这个事情，学到什么。不要再想错误。多想一分钟，都是浪费生命。担心，也是一样没有必要。

遇到危机时，员工很需要看到领导的表现。领导一定要有自控能力，不能心慌或者沮丧，要有足够的自信。但自信不是演戏，需要沟通。谷歌遇到危机时，通常会开员工大会，或者通过邮件沟通，避免猜测。

中国的网民和手机用户数量都是全球最大，但和美国有不一样的成长性。在娱乐、通信、社交和电子商务等互联网四大分支领域中，由于网民中国比较年轻，娱乐、通信和社交等领域发展迅速，唯一相对落后的是电子商务领域。

中国网民的价值还没有充分挖掘出来。中国网民的饱和度是美国的1/3，中国网民人均消费是美国的1/10—1/15，这也就意味着存在50-60倍的差距。同时，由于美国本身也在增长，这也意味着中国公司的发展空间会很大。

创新企业要想想用户最需要的东西和可能寻找的应用开发，不要在乎第一年是否赚钱。

Source: http://tech.163.com/09/0721/02/5ENC5S2G000915BF.html

摘录

企业随时都可能陷入危机，不一定在经济危机期间。唐骏认为：企业始终都要有危机感。

过去三十年，中国人主要消费大众消费品，解决温饱问题。下一步，中国将向豪华奢侈的消费发展。车，要更舒适，更人性化，电视不仅要看到图像，还要更高的画质、音质，更轻更簿。实现这些，需要高新技术。在消费向豪华奢侈升级时，高科技产品将进入更新换代的阶段。除了通讯、电子产品外，大家将会更关注健康长寿。生物医药面临巨大的机会。此外，新能源、新材料，随着中国制造升级，也面临着巨大的机会。中国成为全球消费中心，有巨大的现实意义，有巨大的商业想象空间。

面对竞争，中国企业可通过两种方式致胜，一靠自主创新，二是引进技术，消化吸收再创新。

从全球来看，高新技术产业主要分为IT、生物医药、新材料、新能源四大类。

美国是原创型技术创新，这种技术创新投入大，风险高，当然，回报也大。日本不同，主要是模仿美国的技术，在美国的原创技术做应用创新，集成创新。

零售业的利润来自管理、运营，像毛巾拧水。

看经济是不是见底，可从三个维度分析，消费、投资、出口。