Download 如何评价一个投资系统或策略的好与坏? 制定和执行策略免费下载
Experience unlimited games, music, books, movies and more from our comprehensive library..
Search Files, Movies, Books
Discover the latest literary masterpiece, explore a new cinematic universe, jam out to classic hits, or delve into the competition of multiplayer games. Whatever it is, we’ve got you covered.
如何评价一个企业的信息安全做的好不好?
我倾向用一个指标体系来评价企业信息安全工作的好坏,而不是 1 、 2 个指标。之所以说体系,是因为企业信息安全的好坏需要从多个维度来综合评判;而用一个指标体系可以让评价过程和评价结果相对全面、客观、量化、容易被读懂。通过这个评价体系持续监测、评估企业的信息安全状况 3-5 年,从其变化趋势也可以评判企业信息安全工作的好坏。而 如何评价一个投资系统或策略的好与坏? KPI 通常用 3-4 个指标来评价当期信息安全工作的绩效,在全面性和持久性上是有显著差别的,两者的目的和关注点是不一样的。
其次,任何评价体系都应该是一个效果为主的评价体系,当然其中可以增补一些动作性、过程性的指标。这一点,评价体系和 KPI 是相似的。
第三,评价体系通常用于反映企业的信息安全状态,但这个状态一般不会用于 CSO 的当期绩效考核、进而影响 CSO 和信息安全团队当期的收入和待遇。 KPI 则完全不一样。因此,我也不赞成用评价体系来代替 KPI 、代替绩效评价。
当然,从“威胁者”的角度来看,可能往往就看 1-2 个指标就可以了。比如:过往发生的信息安全事件数量是否多、危害是否大?这家企业历史上暴露的信息安全漏洞是否多、等级是否高?过往是否有成功打击泄密者、窃取者、攻击者的案例,是否足够有威慑力?这家企业的信息在黑市上的售卖价格是高还是低?作为 CSO 要应对的威胁和对手,这类指标往往效果更加显著,因此应该作为评价体系的组成部分。当然,有时候如果老板实在不懂安全、但他又想来评价信息安全工作,用这几个指标也往往能镇得住老板。
3. 常见的评价方法 如何评价一个投资系统或策略的好与坏?
“分类量化”的评价方法,一般以 ISO27001 、 如何评价一个投资系统或策略的好与坏? COBIT 的控制点为基础演化而来,对这些控制点先融合再分类。记住,这里面请把“威胁者”关注的指标加进去。
以上分类方式,我个人更喜欢 IBM 的“ PPT ”方法,也就是 Process (流程)、 Person (人)、 Tech (技术),但我对之做了一些改进、称为 Process (业务和流程)、 Person (人)、 Tech (IT技术与物理安全)。需要特别说明的是 Process 为什么是“业务和流程”:“流程”强调的是“在流程中应该有信息安全的控制点,有了控制点、信息安全措施的有效性才能得到保证”,“业务”强调的是“信息安全应该关注高价值和高风险业务、不用面面俱到”。
下面这张图是我自己总结的信息安全管理成熟度。据说 Gartner 的 ITScore 将成熟度分为: 1 -意识; 2 -被动; 3 -主动; 4 -符合服务; 5 -符合业务,似乎有异曲同工之妙;但我对此认知较浅,就不多说了。有兴趣的读者可以从 https://www.gartner.com/technology/research/methodologies/it-score.jsp 进入,做进一步研究。
这当中有 2 个细节没有展现出来。 第一就是每个分类里面更加细化、量化的打分规则到底是什么。因为我还没有足够的精力把这部分整理出来;即便整理出来了,这个打分规则也依然是个参考,因为不同行业的差异性、不同企业对于信息安全认知的差异性,都会显著影响评价标准、打分规则的变化。比如科技研发型企业对于保密性更加关注,金融企业对于保密性和可用性更加关注,生产制造型企业对于可用性、完整性更加关注,互联网企业对于保密性、可用性和完整性都关注。
第二就是每个公司在信息安全上的投入,往往是一个极其重要的衡量因素;当然这个因素到底属于哪一类就是仁者见仁智者见智了。再细分下去,投入分为几块( 1 )老板或信息安全管理的最高层在信息安全工作上的时间、精力的投入多少;( 2 )每年在信息安全建设、改造上的资金投入,在企业当年总投入的占比;( 3 )信息安全团队人员的数量、级别和拥有资质,以及在公司总人数的占比;
实施这种评价标准的直接作用就是找差距。实施上的难点在于( 1 )得先找到一个行业标杆企业;( 2 )实施评价的时候,对标杆企业的做法必须有足够的了解、掌握充分的信息。所以实施这种评价标准的时候往往依赖咨询公司。
对于企业来说,通过外部机构的认可、认证也是一种评价标准。常理来说,得到一些权威机构的认可、认证,至少可以证明其在某些方面达到了较好的水平。当然,我们也不能由此推断,通过认证的企业一定比未通过认证的企业做得好;尤其是在国内,有的时候确实存在给钱就能过的现象,这些认证机构拿自己的权威和声誉开玩笑。因此,如果要看证书,一般以 BSI 、 DNV 、 SGI 或中国信息安全认证中心出具的还算权威的。
A、 ISO27001 : 2013
相信对于了解信息安全的人来说,一定对这个标准不陌生,就我认为这是目前安全界里最权威、最具代表和最完善的信息安全管理标准(注意,是管理标准),通过 14 个安全控制域和 114 项安全控制措施,全面覆盖企业信息安全管理的各个方面。 ISO27001 是一个基础的信息安全管理标准,他可以帮助一家没有任何信息安全管理能力的企业,可以通过实施 ISO27001 快速帮助企业搭建一套信息安全管理框架;也可以帮助一家实施安全已经很长的企业,去思考在安全领域哪些是短板,哪些是空白,需要在哪些领域继续深化才能更全面覆盖安全。所以我个人认为,一个优秀的 CSO 你可以不懂安全攻防技术,但是你绝对不能不了解 ISO27001 ,因为没有视野的人是无法当一个称职的 CSO 。
不过遗憾的是,我认为 ISO27001:2013 如何评价一个投资系统或策略的好与坏? 在“业务安全”方面还描述的不够,对于企业的信息安全应该如何给业务赋能、理解业务乃至服务业务方面,还是有显著短板的。很期待后续的版本中能够补足。
SDL 即 Security Development Lifecycle (SDL) ,是微软从安全的角度提出的指导软件开发过程的管理模式, SDL 的核心理念就是将软件安全的考虑集成在软件开发的每一个阶段需求分析、设计、编码、测试和维护;由于 SDL 实施起来成本很高,因此仅限有能力的甲方安全团队借鉴。
随着云计算服务的高速发展,云安全也成为云服务提供商和云服务客户最关注的的问题; CSA STAR 是一项全新而有针对性的国际专业认证项目,由全球标准奠基者——英国标准协会( BSI )和国际云安全权威组织云安全联盟( CSA )联合推出,旨在应对与云安全相关的特定问题。 CSA-STAR 是以 ISO/IEC 27001 认证为基础,结合云端安全控制矩阵 CCM 的要求,运用 BSI 提供的成熟度模型和评估方法,为提供和使用云计算的任何组织,从沟通和利益相关者的参与;策略、计划、流程和系统性方法;技术和能力;所有权、领导力和管理;监督和测量等 如何评价一个投资系统或策略的好与坏? 5 个维度,综合评估组织云端安全管理和技术能力。 ISO22301
一个企业的信息安全做得好不能仅仅从保密性来衡量,所以在这里引入了业务连续性的管理体系,对于现在的企业,不论你是制造业、互联网或者是金融业,都无法容忍灾难带来的业务中断,这里提出的 ISO22301 就是通过一套系统化的管理流程,帮助企业对潜在灾难事件进行分析,帮助企业提前确定可能发生的灾难,并做好应急准备,以阻止或减少这些灾难带给企业的损失。
从IT投资策略开始,谈谈航司IT投资的价值回报如何评估
李志军 如何评价一个投资系统或策略的好与坏? 2018-03-06 08:12
【环球旅讯】(特约评论员 李志军)在传统航空公司的发展历史上,IT技术一直是处于支持的地位,是“最后有钱才投资”的一个板块。除了在运行控制领域,因为涉及飞机运行安全必须做一些投入之外,在其它领域IT技术并不是从一开始就像现在这样受到重视的。这也是为什么很多航空公司的IT是外包给外部的IT公司。这种状况在进入互联网应用爆发之后才得以改变,尤其是移动技术的流行,使得航空公司重新意识到了IT的重要性。
如何制定航空公司的IT投资策略
首先是专注。航空公司的IT投资要专注于对公司发展战略的支撑。
其次是前瞻。航空公司的IT投资要能识别出未来的需求,对未来进行投资。
第三是敏捷。应对蜂拥而至的业务需求,要能进行快速的IT投资决策。
在应对这类事情方面,除了需要建立快速决策的管理机制外,对于航空公司的IT部门还有着更高的要求:IT部门必须时刻了解这个行业的变化,哪些外部的IT公司可以提供什么样的解决方案?这些解决方案的具体功能和局限如何?这些情报信息要时刻掌握和更新,甚至在并没有出现采购需求的情况下,做必要的POC(Prove of Concept),这也是保证快速决策一个很重要的因素。
如何划分航空公司的IT投资类别
第一个类别:基础设施类
第二个类别:管理控制类
第三个类别:核心业务类
对传统航空公司而言,有两大核心业务系统是必不可少的,即航班运行控制系统(FOC,Flight Operation Control)和旅客服务系统(PSS,Passenger Service System)。这两套系统由于其业务复杂,通常航空公司都是以购买或租用的方式来获得。如果是租用方式(例如PSS按旅客处理量来付费),那么在某种意义上并不是IT投资,原因是航空公司并没有通过付费获得自有的IT资产,但是否租用则是在考虑IT投资时做出的决策。近年来PSS系统的外延有很大的扩展,主要是在互联网的环境下,PSS包括了航空公司的售票网站、手机应用等,也包括了放置在机场的自助服务设备等,这方面的IT投资也逐步增多。
如何评价一个投资系统或策略的好与坏?
目前公司团队共28人,核心投研团队共计15人,均来自国内外知名理工科专业,大多数成员拥有在千禧管理量化团队、中科院、摩根士丹利等大型金融机构的资深从业背景。据悉, Millennium Management Group(“千禧管理”)管理资产规模超过353亿美元,旗下量化交易基金 2000-2015年化平均收益率为18.7%。
涵德投资: 量化投资在海外发展已经有30多年,2010年股指期货推出后,量化投资在国内日渐受追捧,也吸引了很多原本任职于国际对冲基金的人才回国。2010年年底,公司创始人离开了全球顶尖对冲基金MillenniumManagement Group(千禧管理), 经过一年的时间整理数据、挖掘国内市场上适合交易的量化模型、搭建国内量化市场的交易系统,从2012年正式开始实盘交易,并于2013年创办了涵德投资。
涵德投资: 在国外成熟市场的研究成果转移至国内同样有效,这是因为量化投资利用市场的无效性进行盈利,相较于更加市场化的国外市场,国内市场无效性更高。经过一年多数据的积累和模型的测试,涵德量化策略从2012年开始交易,至今表现稳定。 在国外,Alpha策略年化基本在10%以内,而在国内市场研发的量化策略年化超额收益可以达到实盘年化10%~15%的水平。
涵德投资: 量化基金对量化投资在向着分散化方向发展。目前国外做得好的量化机构如Winton、Renaissance、TwoSigma、Millennium等管理规模均在200亿美元以上,而其模型开发、交易方式又各有不同。 我们认为,机器学习替代研究员进行量化模型的开发和投资组合优化是未来重点探索的方向。
涵德投资: 国内不缺乏量化投资的土壤。利用计算机强大的数据处理能力,量化投资可以从数据上找到不完全有效市场下的盈利空间,量化投资的发展空间很大程度上取决于一国市场的有效性程度。国外成熟市场环境相对更为有效,可挖掘的盈利空间更为有限,且竞争巨大。相对的, 国内市场正处于快速发展的成长阶段,市场有效性低,盈利空间十分巨大。随着国内金融工具的丰富和监管的完善,量化投资前景可观。
私募工坊: 如何评价一个投资系统或策略的好与坏? 与传统的投研方式相比,贵司认为量化投资最大的特征在哪? 优势如何体现?
涵德投资: 量化投资排除了人的主观干预性和人性的心理弱点,从而具有投资策略连贯性、操作客观性、下达指令准确性以及高速度等一系列优势。量化投资策略交易应用 IT 技术和金融工程模型策略、减少执行成本、进行套利和风险对冲。量化策略在执行过程中完全由算法自动执行,不需要人为干预。
私募工坊: 贵司 在交易过程中是严格执行策略还是会根据情况进行人工干预?如果干预,一般在什么情况进行干预?
涵德投资: 公司原则上不干预策略执行。量化模型由量化研究员开发,并在测试平台中进行回测和实盘测试,对表现稳定的模型纳入交易使用。 投资经理进行投资组合优化算法的开发,对模型权重、风险度指标等进行控制,自动控制策略的进入和退出。 公司有交易员,对每日交易情况进行盘中监控、盘后整理数据供投资经理分析。
私募工坊: 公司 目前有多少模型和策略?大约能容纳多少资金量?
涵德投资: 一套交易策略的好坏在于能否将收益与风险相平衡,在实盘交易的过程中,必须意识到收益与风险的平衡的重要性,在风险整体可控的情况下,尽可能追求收益率。 一些常用的评价指标有年化收益率、年化波动率、最大回撤和夏普比率。
涵德投资: 优势: Alpha 策略回避了择时这一难题,策略仅需专注于选股,只要选出的股票组合能超越大盘指数,就能获得正收益。Alpha策略的波动较单边买入持有策略要低,Alpha策略赚取的是股票组合超越大盘指数部分的收益,无论盈亏,一般来说波动都远小于市场的波动。Alpha策略在单边下跌的市场下也能盈利。
涵德投资: 股票Alpha策略侧重于流动性最大的2000支股票,策略整体容量为50亿。 平均持股数量在100-300只之间,单只股票持仓比例不超过2%,行业集中度与中证500行业集中度大致相同。 策略多空完全对冲,获取选股的绝对收益。
私募工坊: 贵司量化 CTA 主要集中在哪些品种,为什么选择这些品种?不同市场表现中,操作周期是否不同?
涵德投资: CTA策略交易市场上流动性较好的20多个品种,平均持仓10个左右, 量化投资的逻辑在于相信历史会重演,对于过去有较大的波动且数据较长的品种有一定的偏好。策略换仓周期属于典型的中频策略。
涵德投资: 公司 使用统计套利的方式建模,构建角度包含量价、宏观、基本面、新闻等多个角度,从建模的角度而言,基本面和技术面都存在套利空间,都可以作为建模依据。 目前在交易的模型数据来源也十分广泛。
涵德投资: 量化投资的风险主要来源于 策略内部的风控和策略外部的风控。
策略外部的风 控: 公司自主开发的量化交易系统具备实时的风控监督机制,通过预先设定的各种风控规则来阻止意外的发生,例如,通过限制交易代码、限制持仓量等措施避免策略因为各种原因产生的错误的交易指令发到柜台,从而确保即使策略逻辑中出现了某种错误,其带来的风险总体上仍然是可控的。
涵德投资: 公司在策略开发和模型角度上不断丰富,在开发过程中,对模型和已有的同质性进行检测。 对和已有模型同质性高点角度就行排除,保证模型足够新,从而保障策略长期风险小。
涵德投资: 公司产品投资于股票、股指期货、商品期货等,通过多策略、多品种投资有效降低下跌风险,追求风险收益比的最优回报。 投资策略的研究基于股票、期货市场价格、交易量、开仓量、波动性和交易者的行为特点,并在基础理论之上通过量化建模和数据分析,结合中国市场自身的特点,开发量化投资策略。
从人员角度分析:研究员(Quant Analyst)负责量化模型研究,基于alpha letter、google scholar等研究前沿寻找交易角度,通过对10年以上的数据进行回测分析。之后基金经理(Portfolio Manager)会根据模型的回测表现、该模型与其他模型的相关性和模型的逻辑与经济学意义等方便确定该模型在实际交易中的权重。
私募工坊: 随着监管政策的不断收紧, 贵司认为整个市场的盈利难度相比之前如何?各大私募之间比拼的又是什么?
涵德投资: 随着监管的收紧,量化投资的发挥空间稳定。随着监管体制的完善,异常的极端事件发生的概率会变小,未来收益的可预测性会增强,量化分析的价值逐步提升。目前来看, 长期稳定的盈利和较小的回撤是各大机构比拼的主要内容,对涵德而言,长期稳定的表现是我们力求的目标。
涵德投资: 今年监管推出的系列办法对我们有一定影响,相较于原来专注投研的业务模式, 公司今年积极引入市场成熟经验,对投资人风险识别、产品申购等流程进行程序化把控,确保流程合规、管理到位。 目前公司是协会观察会员。