从问题型到合规性从风险管理到对标管理.pptx

《从问题型到合规性从风险管理到对标管理.pptx》由会员分享，可在线阅读，更多相关《从问题型到合规性从风险管理到对标管理.pptx（40页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、会计学1从问题从问题(wnt)型到合规性从风险管理到型到合规性从风险管理到对标管理对标管理第一页，共40页。从问题从问题从问题从问题(wnt)(wnt)型到合规性型到合规性型到合规性型到合规性落实(lush)IT安全的驱动方式第1页/共40页第二页，共40页。信息安全产业信息安全产业(chny)要素要素交易品交易品交易品交易品(形态形态/价值价值/技术技术)提供商提供商提供商提供商(模式模式/能力能力/资本资本)第三方第三方第三方第三方（主管机构、测评机构、媒体等）（主管机构、测评机构、媒体等）客户客户客户客户(需求需求)第2页/共40页第三页，共40页。当前当前(dngqin)，交易品的变化

2、，交易品的变化是被客户驱动的是被客户驱动的n n目前没有革命性的技术(jsh)能够带来产品、服务和平台的根本性跳跃发展n n因此，产品、服务(fw)和平台的变化就来自于客户的变化2006第3页/共40页第四页，共40页。客户客户(k h)的变化：成熟的变化：成熟n n追求我最根本的目的n n我到底(do d)要什么n n追求目的的达成、强调落实n n我到底(do d)怎么做到2006第4页/共40页第五页，共40页。追求最根本追求最根本(gnbn)的目的的目的n n原先关注信息安全本身(bnshn)，关注出了事故，以后不要出事故n n信息安全关注的是对信息系统的保障，对于信息数据的保护n n业

3、务(yw)n n业务(yw)n n还是业务(yw)2006第5页/共40页第六页，共40页。示例分析：示例分析：示例分析：示例分析：政府政府政府政府(zhngf(zhngf)机构或者城市的管理者关注的业务机构或者城市的管理者关注的业务机构或者城市的管理者关注的业务机构或者城市的管理者关注的业务n n机构和城市(chngsh)在常态下的正常运行，并且尽量做到效率和效果n n机构和城市(chngsh)在紧急状态下（如灾难时），能够及时有效地应对n n门户网站n n灾难应急处理(chl)支撑系统2006第6页/共40页第七页，共40页。示例示例示例示例(shl)(shl)分析：分析：分析：分析：电信

4、运营商的经营者关心什么业务电信运营商的经营者关心什么业务电信运营商的经营者关心什么业务电信运营商的经营者关心什么业务n n从网络的经营者，变成一个(y)信息服务的经营者n n必须满足萨班斯-奥克斯利法案的要求n n支撑系统的保护n n安全委托(外包)增值服务n n内部控制系统(kn zh x tn)n n4A、二次鉴权、审计平台、SOX报表系统2006第7页/共40页第八页，共40页。2006示例分析：示例分析：示例分析：示例分析：一个中资银行的经营者关心一个中资银行的经营者关心一个中资银行的经营者关心一个中资银行的经营者关心(gun(gunxn)xn)什么业务什么业务什么业务什么业务n n要

5、从一个主要靠息差获得收益，向多样化经营发展n n大集中n n符合银监会、中国人民银行的相关(xinggun)规定n n符合巴塞尔II的要求n n大集中(jzhng)的安全n n金融产品的安全n n巴塞尔等监管要求的符合性操作风险中的IT风险第8页/共40页第九页，共40页。追求追求(zhuqi)落实从需求驱动落实从需求驱动力上下手力上下手需求筐架来自内部来自外部主动引导体系化体系化Systematic政策性政策性Policy被动要求问题型问题型Problem合规性合规性Compliance第9页/共40页第十页，共40页。问题型需求问题型需求(xqi)驱动的特点驱动的特点n n问题常常来源于客

6、户实际n n问题常常是不成体系的（看起来）n n需求满足常常是“头痛医头，脚痛医脚”n n问题解决要求很快，追求速效n n问题所带来的需求都非常实在n n问题解决办法常常体现为n n面向脆弱性安全(nqun)n n比如：防病毒、入侵检测、防火墙等第10页/共40页第十一页，共40页。体系化需求驱动体系化需求驱动(q dn)的特点的特点n n常常来源于n n从专家和厂商而来的技术推动n n客户零散的问题，被内外部专家提炼n n看起来成体系，但是因为有抽象，和实际总是(zn sh)有些差别n n常常表现为：面向结构性安全n n比如：保障体系、可信计算、管理平台等n n由于各个因素的牵扯，所以见效较

7、慢n n完全靠体系来驱动，力度常常不足第11页/共40页第十二页，共40页。政策性需求驱动政策性需求驱动(q dn)的特点的特点n n常常来源于上级机构和主管机构n n虽然(surn)不追求完美的体系，但是政策性要求有一定整体性n n政策性要求不是强制性的，有一定的灵活性n n常常表现为：一些要点总结n n厂商和客户一般在政策上的敏感度不高n n政策性的实际推动力常常不足第12页/共40页第十三页，共40页。合规性需求合规性需求(xqi)驱动的特点驱动的特点n n常常来源于上级机构(jgu)和主管机构(jgu)n n强制性、具有极强的推动力和约束力n n有效的合规性要求要简单和明确第13页/共

8、40页第十四页，共40页。需求驱动力向需求驱动力向需求驱动力向需求驱动力向“合规性合规性合规性合规性”的转化的转化的转化的转化带来客户带来客户带来客户带来客户(k h)(k h)价值和产业机会价值和产业机会价值和产业机会价值和产业机会需求筐架来自内部来自外部主动引导体系化体系化Systematic政策性政策性Policy被动要求问题型问题型Problem合规性合规性Compliance第14页/共40页第十五页，共40页。从风险管理从风险管理(gunl)到对标管理到对标管理(gunl)落实(lush)IT安全的操作思路第15页/共40页第十六页，共40页。两大思路的融合两大思路的融合(rngh

9、)协调协调n n风险管理风险管理Risk Managementn n对标管理对标管理(gunl)n nBenchmark Management第16页/共40页第十七页，共40页。风险管理风险管理n n风险管理的理念从90年代开始，已经逐步成为引导信息安全技术应用(yngyng)的核心理念n n风险的定义n n对目标有所影响的某件事情发生的可能性n n摘自AS/NZS4360第17页/共40页第十八页，共40页。国际国际(guj)风险管理趋势动态风险管理趋势动态n nITIT安全风险成为企业运营风险中最为重要安全风险成为企业运营风险中最为重要(zhngyo)(zhngyo)的一个组成部分，业务

10、连续性逐渐与安全并行考虑的一个组成部分，业务连续性逐渐与安全并行考虑来源来源(liyun)：Gartner第18页/共40页第十九页，共40页。ISO13335中的风险管理的关系中的风险管理的关系(gun x)图图第19页/共40页第二十页，共40页。ISO13335以风险以风险(fngxin)为核心为核心的安全模型的安全模型风险风险(fngxin)防护防护(fngh)措措施施信息资产信息资产威胁威胁漏洞漏洞防护需求防护需求降低增加增加利用暴露价值价值拥有抗击增加引出被满足一般风险评估的理论基础第20页/共40页第二十一页，共40页。风险评估风险评估(pn)的国家标准的国家标准第21页/共40

11、页第二十二页，共40页。国家标准中的风险国家标准中的风险(fngxin)10要素关系图要素关系图第22页/共40页第二十三页，共40页。德国德国ITBPM第23页/共40页第二十四页，共40页。德国德国ITBPM第24页/共40页第二十五页，共40页。最精简最精简(jngjin)的风险管理的风险管理要素要素第25页/共40页第二十六页，共40页。信息安全保障信息安全保障(bozhng)框架框架n n通过S3-PPT方法展开(zhn ki)保障措施第26页/共40页第二十七页，共40页。最佳最佳最佳最佳(zu ji)(zu ji)实践建议实践建议实践建议实践建议n n教育和培训教育和培训n n成

12、熟产品成熟产品n n防病毒、防火墙、防病毒、防火墙、VPNVPN、入侵检测、漏洞扫描、入侵检测、漏洞扫描n n风险评估风险评估n n框架式的安全建设规划框架式的安全建设规划n n信息安全管理体系信息安全管理体系n n安全域安全域n n依据依据ITILITIL的流程管理的流程管理n n监控体系、安全监控管理中心监控体系、安全监控管理中心n n事件事件(shjin)(shjin)管理体系、应急体系管理体系、应急体系第27页/共40页第二十八页，共40页。一般一般(ybn)风险管理过程风险管理过程建立(jinl)环境鉴别(jinbi)风险分析风险评价风险处理风险信息交流与咨询监控与审查AS/NZS

13、4360第28页/共40页第二十九页，共40页。最精简最精简(jngjin)的风险管理的风险管理要素要素第29页/共40页第三十页，共40页。关于关于(guny)对标管理对标管理n n对标管理和风险管理的区别n n风险管理是从源头从需求开始分析展开，而对标管理直接切入当前状态和措施n n对标管理所对的“标”n n横向比较(bjio)其他机构的情况n n与相关的内外标准和指南进行比较(bjio)n n与相关规定和要求进行比对，形成合规性管理第30页/共40页第三十一页，共40页。关于关于(guny)对标管理对标管理n n等级化是对标管理(gunl)的自然方法n n等级保护n nCMM能力成熟度模

14、型第31页/共40页第三十二页，共40页。SSE-CMMn nSystem Security Engineering Capability Majority Modeln n初始级 Performed Informallyn n计划跟踪级 Planned and Trackedn n良好定义级 Well Definedn n量化控制(kngzh)级 Quantitatively Controlledn n持续改进级 Continuously Improving第32页/共40页第三十三页，共40页。企业信息安全保障能力企业信息安全保障能力(nngl)成长阶段划分成长阶段划分成成熟熟度度时间时间

15、盲目自信盲目自信阶段阶段认知阶段认知阶段改进阶段改进阶段卓越运营卓越运营阶段阶段福布斯2000强企业在不同阶段的百分比分布来源：Gartner Inc.2006年1月30%30%50%50%15%15%5%5%第33页/共40页第三十四页，共40页。Gartner的阶段的阶段(jidun)划分划分n n盲目自信阶段盲目自信阶段n n普遍缺乏安全意识，对企业安全状况不了解普遍缺乏安全意识，对企业安全状况不了解(li(li oji)oji)，未意识到信息安全风险的严重性，未意识到信息安全风险的严重性n n认知阶段认知阶段n n通过信息安全风险评估等，企业意识到自身存在的信息安全风险，开始采取一些措

16、施提升通过信息安全风险评估等，企业意识到自身存在的信息安全风险，开始采取一些措施提升信息安全水平信息安全水平n n改进阶段改进阶段n n意识到局部的、单一的信息安全控制措施难以明显改善企业信息安全状况，开始进行全面意识到局部的、单一的信息安全控制措施难以明显改善企业信息安全状况，开始进行全面的信息安全架构设计，有计划的建设信息安全保障体系的信息安全架构设计，有计划的建设信息安全保障体系n n卓越运营阶段卓越运营阶段n n信息安全改进项目完成后，在拥有较为全面的信息安全控制能力基础上，建立持续改进的信息安全改进项目完成后，在拥有较为全面的信息安全控制能力基础上，建立持续改进的机制，以应对安全风险

17、的变化，不断提升安全控制能力机制，以应对安全风险的变化，不断提升安全控制能力第34页/共40页第三十五页，共40页。各个阶段的主要工作各个阶段的主要工作(gngzu)任务任务成成熟熟度度时间时间盲目自信盲目自信阶段阶段认知阶段认知阶段改进阶段改进阶段卓越运营卓越运营阶段阶段福布斯2000强企业在不同阶段的百分比分布来源：Gartner Inc.2006年1月30%30%50%50%15%15%5%5%基本(jbn)安全产品部署主要人员的培训(pixn)教育建立安全团队制定安全方针政策评估并了解现状第35页/共40页第三十六页，共40页。各个各个(gg)阶段的主要工作任务阶段的主要工作任务成成熟

18、熟度度时间时间盲目自信盲目自信阶段阶段认知阶段认知阶段改进阶段改进阶段卓越运营卓越运营阶段阶段福布斯2000强企业在不同阶段的百分比分布来源：Gartner Inc.2006年1月30%30%50%50%15%15%5%5%启动(qdng)信息安全战略项目设计(shj)信息安全架构建立信息安全流程完成信息安全改进项目第36页/共40页第三十七页，共40页。各个阶段的主要各个阶段的主要(zhyo)工作任工作任务务成成熟熟度度时间时间盲目自信盲目自信阶段阶段认知阶段认知阶段改进阶段改进阶段卓越运营卓越运营阶段阶段福布斯2000强企业在不同阶段的百分比分布来源：Gartner Inc.2006年1月

19、30%30%50%50%15%15%5%5%信息安全流程(lichng)的持续改进追踪技术和业务(yw)的变化第37页/共40页第三十八页，共40页。两大思路的融合两大思路的融合(rngh)协调协调n n风险管理风险管理风险管理风险管理Risk ManagementRisk Managementn n对标管理对标管理对标管理对标管理(gu(gu nlnl)n nBenchmark ManagementBenchmark Management需求筐架来自内部来自外部主动引导体系化体系化Systematic政策性政策性Policy被动要求问题型问题型Problem合规性合规性Compliance第38页/共40页第三十九页，共40页。感谢感谢(gnxi)第39页/共40页第四十页，共40页。