Dr Steven J Bailey

概述

哈佛商学院信息安全与风险管理工商管理博士学位。史蒂文(Steven)是信息安全领域的一位成就斐然的人,在安全领域拥有近40年的职业生涯。在安全策略,治理,IT /信息风险,策略,标准,合规性,控制,保证,数据保护和业务连续性方面经验丰富的CISO和SME。

史蒂文(Steven)是该领域的专家,并得到同行的认可。他很荣幸在唐宁街(Downing Street)向两位英国总理进行了一对一的情况介绍,内容涉及对英国关键国家基础设施的威胁以及与之相关的风险影响。英国公司他还向一些内阁大臣(内阁秘书,外交大臣和国防秘书)介绍了类似情况。

史蒂文(Steven)撰写了不下200篇论文和文章,目前正在撰写他的第三本书“企业治理和安全策略”。自1991年以来,备受追捧的国际发言人史蒂文(Steven)一直在全球巡回演出。他还是信息系统审计与控制协会(ISACA)伦敦分会的前副主席。

行业贡献

    多年来,史蒂文(Steven)在安全行业中扮演着非常积极的角色。特别注意:

  • 原始CobIT IT治理和控制框架模型的创始作者之一;
  • 积极参与原始DTI安全实践代码的开发,使其转变为BS 7799,然后是ISO 17799,最后是ISO 27001和27002安全标准;
  • 继续坐在ISO 27001和ISO 27002的行业监视/审查面板上;
  • 积极参与ISO 27003、27005(安全风险管理),27011(电信安全)以及31000和31100(企业风险管理)标准和指南的开发;
  • 坐在内政部计算机犯罪咨询小组中;
  • 积极主动的指导小组成员,负责发展ISACA的全球认证信息安全经理(CISM)资格;
  • 积极参与ITIL风险与安全实践的小组讨论。

 

史蒂文既专注于业务又专注于技术,因此继续在安全行业广泛参与战略,治理,风险,保证和合规性问题。积极致力于根据当前的业务实践和技术趋势来改进策略,实践和方法论。

业务范围

    史蒂文曾在以下行业工作:

  • 国家关键基础设施
  • 金融(银行与投资)
  • 保险
  • 电信
  • 产业
  • 智能和物联网技术
  • 中央和地方政府
  • MoD
  • 媒体
  • 商业
  • 油和气
  • 实用工具
  • 制造业

关键经验

战略,治理,风险,监管合规性,安全保证和合规性,云体系结构,应用程序安全性和数据保护/ GDPR。

作为经验丰富的执行官

史蒂文(Steven)在信息安全和网络风险及其影响业务的相关复杂性方面积累了丰富的经验。这使他能够有效地参与和沟通,以影响高级利益相关者,并对组织的风险状况,降低风险的领域或对公司或组织的控制薄弱环节提出全面而独立的意见。

 

作为治理,法规,隐私和合规从业人员

作为原始CobIT框架的合著者,Steven是其应用程序以及COSO内部控制集成框架的专家。他在DPA,GDPR,FCA,SOX,Basel II和III,MiFID,SAS70,Dodd Frank,Gramm-Leach-Bliley,PCI-DSS,GLBA,FISMA和HIPAA的法规要求以及实施和实施方面具有丰富的领导经验。在正式框架内对它们进行测试。

 

作为风险从业者

熟悉许多企业级风险框架,包括ISO 31000和NIST SP 800-37,以及主要的评估方法vsRisk,3LoD,HMG IAS1&2,ISO 27005和IRAM I和II;而且还有CRAMM,COBRA,SARA,Octave,FIRM和SPRINT以及许多特定于部门/环境的方法,包括定性和定量方法,它们都暴露于运营,金融,信贷和保险风险领域。

 

特别熟悉

NCSC / CESG IA标准1至6,HMG安全策略框架(SPF),ISF良好实践标准(SoGP),NIST安全框架,NIST SP800系列安全标准,ISO 27000系列安全标准(包括ISMS的开发和实施);以及与合规性(ISO 19600),PCI-DSS,网络基本要素,业务连续性(ISO 22301和ISO 22313),电信(ISO 27011)以及工业/过程控制和SCADA环境(ISO 27019,IEC 62443- 2-1,IEC 62645和ISA99);无论是常规的还是特定部门的。

 

在企业安全级别

史蒂文(Steven)定期采用工业和政府的首选方法工作; Zachman企业架构;用于企业安全体系结构的SABSA; TOGAF; MODAF; ITIL用于服务管理。并在安全用例开发方面拥有丰富的经验。

 

作为技术安全设计师和架构师

史蒂文(Steven)具有扎实的企业技术知识,尤其是与相关安全标准和体系结构惯例保持一致的安全设计,构建和控制方法。他的技术知识和经验非常丰富,包括AWS和Azure云技术,O365,大数据以及复杂的业务连续性需求。

 

作为一般活动

Steven负责CobIT,IRAM,ISF SoGP,ISO 27001/27002和ITIL中IT取证(他特别感兴趣),治理,风险,法规遵从性和企业安全问题及其要求的研究和开发项目。这包括开发适当的工具以实现公司合规性,降低风险,提高效率并为IT创造价值;从而使IT透明并使业务重新控制。