从问题型到合规性 从风险管理到对标管理.ppt
《从问题型到合规性 从风险管理到对标管理.ppt》由会员分享,可在线阅读,更多相关《从问题型到合规性 从风险管理到对标管理.ppt(40页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、从问题型到合规性从风险管理到对标管理ITIT安全的实现之道安全的实现之道从问题型到合规性落实IT安全的驱动方式信息安全产业要素交易品交易品交易品交易品(形态形态/价值价值/技术技术)提供商提供商提供商提供商(模式模式/能力能力/资本资本)第三方第三方第三方第三方(主管机构、测评机构、媒体等)(主管机构、测评机构、媒体等)客户客户客户客户(需求需求)当前,交易品的变化是被客户驱动的目前没有革命性的技术能够带来产品、服务和平台的根本性跳跃发展因此,产品、服务和平台的变化就来自于客户的变化2006客户的变化:成熟追求我最根本的目的我到底要什么追求目的的达成、强调落实我到底怎么做到2006追求最根本的
2、目的原先关注信息安全本身,关注出了事故,以后不要出事故信息安全关注的是对信息系统的保障,对于信息数据的保护业务业务还是业务2006示例分析:政府机构或者城市的管理者关注的业务机构和城市在常态下的正常运行,并且尽量做到效率和效果机构和城市在紧急状态下(如灾难时),能够及时有效地应对门户网站灾难应急处理支撑系统2006示例分析:电信运营商的经营者关心什么业务从网络的经营者,变成一个信息服务的经营者必须满足萨班斯-奥克斯利法案的要求支撑系统的保护安全委托(外包)增值服务内部控制系统4A、二次鉴权、审计平台、SOX报表系统20062006示例分析:一个中资银行的经营者关心什么业务要从一个主要靠息差获得
3、收益,向多样化经营发展大集中符合银监会、中国人民银行的相关规定符合巴塞尔II的要求大集中的安全金融产品的安全巴塞尔等监管要求的符合性操作风险中的IT风险追求落实从需求驱动力上下手需求筐架来自内部来自外部主动引导体系化体系化Systematic政策性政策性Policy被动要求问题型问题型Problem合规性合规性Compliance问题型需求驱动的特点问题常常来源于客户实际问题常常是不成体系的(看起来)需求满足常常是“头痛医头,脚痛医脚”问题解决要求很快,追求速效问题所带来的需求都非常实在问题解决办法常常体现为面向脆弱性安全比如:防病毒、入侵检测、防火墙等体系化需求驱动的特点常常来源于从专家和厂
4、商而来的技术推动客户零散的问题,被内外部专家提炼看起来成体系,但是因为有抽象,和实际总是有些差别常常表现为:面向结构性安全比如:保障体系、可信计算、管理平台等由于各个因素的牵扯,所以见效较慢完全靠体系来驱动,力度常常不足政策性需求驱动的特点常常来源于上级机构和主管机构虽然不追求完美的体系,但是政策性要求有一定整体性政策性要求不是强制性的,有一定的灵活性常常表现为:一些要点总结厂商和客户一般在政策上的敏感度不高政策性的实际推动力常常不足合规性需求驱动的特点常常来源于上级机构和主管机构强制性、具有极强的推动力和约束力有效的合规性要求要简单和明确需求驱动力向“合规性”的转化带来客户价值和产业机会需求
5、筐架来自内部来自外部主动引导体系化体系化Systematic政策性政策性Policy被动要求问题型问题型Problem合规性合规性Compliance从风险管理到对标管理落实IT安全的操作思路两大思路的融合协调风险管理风险管理Risk Management对标管理对标管理Benchmark Management风险管理风险管理的理念从90年代开始,已经逐步成为引导信息安全技术应用的核心理念风险的定义对目标有所影响的某件事情发生的可能性摘自AS/NZS4360国际风险管理趋势动态IT安全风险成为企业运营风险中最为重要的一个组成部分,业务连续性逐渐与安全并行考虑来源:来源:GartnerISO13
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 从问题型到合规性 从风险管理到对标管理 题型 合规 风险 管理
限制150内