從問題型到合規(guī)性PPT演示文稿

1、1,從問題型到合規(guī)性從風(fēng)險管理到對標管理,IT安全的實現(xiàn)之道,2,從問題型到合規(guī)性,落實IT安全的驅(qū)動方式,3,信息安全產(chǎn)業(yè)要素,4,當(dāng)前，交易品的變化是被客戶驅(qū)動的,目前沒有革命性的技術(shù)能夠帶來產(chǎn)品、服務(wù)和平臺的根本性跳躍發(fā)展,因此，產(chǎn)品、服務(wù)和平臺的變化就來自于客戶的變化,5,客戶的變化：成熟,追求我最根本的目的 我到底要什么 追求目的的達成、強調(diào)落實 我到底怎么做到,6,追求最根本的目的,原先關(guān)注信息安全本身，關(guān)注出了事故，以后不要出事故 信息安全關(guān)注的是對信息系統(tǒng)的保障，對于信息數(shù)據(jù)的保護,業(yè)務(wù) 業(yè)務(wù) 還是業(yè)務(wù),7,示例分析：政府機構(gòu)或者城市的管理者關(guān)注的業(yè)務(wù),機構(gòu)和城市在常態(tài)下的正常

2、運行，并且盡量做到效率和效果 機構(gòu)和城市在緊急狀態(tài)下（如災(zāi)難時），能夠及時有效地應(yīng)對,門戶網(wǎng)站 災(zāi)難應(yīng)急處理支撐系統(tǒng),8,示例分析：電信運營商的經(jīng)營者關(guān)心什么業(yè)務(wù),從網(wǎng)絡(luò)的經(jīng)營者，變成一個信息服務(wù)的經(jīng)營者 必須滿足薩班斯-奧克斯利法案的要求,支撐系統(tǒng)的保護 安全委托(外包)增值服務(wù) 內(nèi)部控制系統(tǒng) 4A、二次鑒權(quán)、審計平臺、SOX報表系統(tǒng),9,示例分析：一個中資銀行的經(jīng)營者關(guān)心什么業(yè)務(wù),要從一個主要靠息差獲得收益，向多樣化經(jīng)營發(fā)展 大集中 符合銀監(jiān)會、中國人民銀行的相關(guān)規(guī)定 符合巴塞爾II的要求,大集中的安全 金融產(chǎn)品的安全 巴塞爾等監(jiān)管要求的符合性操作風(fēng)險中的IT風(fēng)險,10,追求落實從需求驅(qū)動

3、力上下手,11,問題型需求驅(qū)動的特點,問題常常來源于客戶實際 問題常常是不成體系的（看起來） 需求滿足常常是“頭痛醫(yī)頭，腳痛醫(yī)腳” 問題解決要求很快，追求速效 問題所帶來的需求都非常實在 問題解決辦法常常體現(xiàn)為 面向脆弱性安全 比如：防病毒、入侵檢測、防火墻等,12,體系化需求驅(qū)動的特點,常常來源于 從專家和廠商而來的技術(shù)推動 客戶零散的問題，被內(nèi)外部專家提煉 看起來成體系，但是因為有抽象，和實際總是有些差別 常常表現(xiàn)為：面向結(jié)構(gòu)性安全 比如：保障體系、可信計算、管理平臺等 由于各個因素的牽扯，所以見效較慢 完全靠體系來驅(qū)動，力度常常不足,13,政策性需求驅(qū)動的特點,常常來源于上級機構(gòu)和主管機

4、構(gòu) 雖然不追求完美的體系，但是政策性要求有一定整體性 政策性要求不是強制性的，有一定的靈活性 常常表現(xiàn)為：一些要點總結(jié) 廠商和客戶一般在政策上的敏感度不高 政策性的實際推動力常常不足,14,合規(guī)性需求驅(qū)動的特點,常常來源于上級機構(gòu)和主管機構(gòu) 強制性、具有極強的推動力和約束力 有效的合規(guī)性要求要簡單和明確,15,需求驅(qū)動力向“合規(guī)性”的轉(zhuǎn)化帶來客戶價值和產(chǎn)業(yè)機會,16,從風(fēng)險管理到對標管理,落實IT安全的操作思路,17,兩大思路的融合協(xié)調(diào),風(fēng)險管理 Risk Management,對標管理 Benchmark Management,18,風(fēng)險管理,風(fēng)險管理的理念從90年代開始，已經(jīng)逐步成為引導(dǎo)信

5、息安全技術(shù)應(yīng)用的核心理念 風(fēng)險的定義 對目標有所影響的某件事情發(fā)生的可能性 摘自AS/NZS4360,19,國際風(fēng)險管理趨勢動態(tài),IT安全風(fēng)險成為企業(yè)運營風(fēng)險中最為重要的一個組成部分，業(yè)務(wù)連續(xù)性逐漸與安全并行考慮,來源：Gartner,20,ISO13335中的風(fēng)險管理的關(guān)系圖,21,ISO13335以風(fēng)險為核心的安全模型,風(fēng)險,防護措施,信息資產(chǎn),威脅,漏洞,防護需求,價值,一般風(fēng)險評估的 理論基礎(chǔ),22,風(fēng)險評估的國家標準,23,國家標準中的風(fēng)險10要素關(guān)系圖,24,德國ITBPM,25,德國ITBPM,26,最精簡的風(fēng)險管理要素,27,信息安全保障框架,通過S3-PPT方法展開保障措施,

6、28,最佳實踐建議,教育和培訓(xùn) 成熟產(chǎn)品 防病毒、防火墻、VPN、入侵檢測、漏洞掃描 風(fēng)險評估 框架式的安全建設(shè)規(guī)劃 信息安全管理體系 安全域 依據(jù)ITIL的流程管理 監(jiān)控體系、安全監(jiān)控管理中心 事件管理體系、應(yīng)急體系,29,一般風(fēng)險管理過程,建立環(huán)境,鑒別風(fēng)險,分析風(fēng)險,評價風(fēng)險,處理風(fēng)險,信 息 交 流 與 咨 詢,監(jiān)控 與審查,AS/NZS 4360,30,最精簡的風(fēng)險管理要素,31,關(guān)于對標管理,對標管理和風(fēng)險管理的區(qū)別 風(fēng)險管理是從源頭從需求開始分析展開，而對標管理直接切入當(dāng)前狀態(tài)和措施 對標管理所對的“標” 橫向比較其他機構(gòu)的情況 與相關(guān)的內(nèi)外標準和指南進行比較 與相關(guān)規(guī)定和要求進

7、行比對，形成合規(guī)性管理,32,關(guān)于對標管理,等級化是對標管理的自然方法 等級保護 CMM能力成熟度模型,33,SSE-CMM,System Security Engineering Capability Majority Model 初始級 Performed Informally 計劃跟蹤級 Planned and Tracked 良好定義級 Well Defined 量化控制級 Quantitatively Controlled 持續(xù)改進級 Continuously Improving,34,企業(yè)信息安全保障能力成長階段劃分,35,Gartner的階段劃分,盲目自信階段 普遍缺乏安全意識，

8、對企業(yè)安全狀況不了解，未意識到信息安全風(fēng)險的嚴重性 認知階段 通過信息安全風(fēng)險評估等，企業(yè)意識到自身存在的信息安全風(fēng)險，開始采取一些措施提升信息安全水平 改進階段 意識到局部的、單一的信息安全控制措施難以明顯改善企業(yè)信息安全狀況，開始進行全面的信息安全架構(gòu)設(shè)計，有計劃的建設(shè)信息安全保障體系 卓越運營階段 信息安全改進項目完成后，在擁有較為全面的信息安全控制能力基礎(chǔ)上，建立持續(xù)改進的機制，以應(yīng)對安全風(fēng)險的變化，不斷提升安全控制能力,36,各個階段的主要工作任務(wù),基本安全產(chǎn)品部署,主要人員的培訓(xùn)教育,建立 安全團隊,制定安全方針政策,評估并 了解現(xiàn)狀,37,各個階段的主要工作任務(wù),啟動信息安全戰(zhàn)略項目,設(shè)計信息安全