法規(guī)遵從與安全風(fēng)險(xiǎn)管理培訓(xùn)資料課件

?2007McAfee,Inc.法規(guī)遵從與安全風(fēng)險(xiǎn)管理王昊華南區(qū)銷(xiāo)售工程師CISSP/CISA/CCNP?2007McAfee,Inc.法規(guī)遵從與安全風(fēng)險(xiǎn)管理1CIO確保風(fēng)險(xiǎn)處于可接受的范圍將業(yè)務(wù)中斷降至最小保護(hù)數(shù)據(jù)資源降低安全和法規(guī)遵從的成本審核降低審核成本自動(dòng)訪問(wèn)安全數(shù)據(jù)自動(dòng)的風(fēng)險(xiǎn)和法規(guī)報(bào)告功能提高可視性和精確性IT操作人員將網(wǎng)絡(luò)和系統(tǒng)中斷的時(shí)間降至最短確定計(jì)劃和修復(fù)漏洞的優(yōu)先級(jí)提高資源效率改善工作流程確保遵從內(nèi)外部策略

前瞻性地預(yù)防身份信息被盜確定風(fēng)險(xiǎn)和應(yīng)對(duì)措施的優(yōu)先級(jí)提供指標(biāo)CSO業(yè)務(wù)面臨的挑戰(zhàn)來(lái)自于安全威脅方面的風(fēng)險(xiǎn)？由于未遵從法規(guī)所產(chǎn)生的風(fēng)險(xiǎn)？我的企業(yè)面臨什么樣的風(fēng)險(xiǎn)？2022/12/192CIO確保風(fēng)險(xiǎn)處于可接受的范圍審核降低審核成本IT操作人員法規(guī)遵從丑聞?dòng)?guó)財(cái)政部11月20號(hào)證實(shí)，英國(guó)皇家稅務(wù)及海關(guān)總署丟失兩張重要數(shù)據(jù)光盤(pán)，其中包括2500萬(wàn)人的敏感個(gè)人信息，署長(zhǎng)保羅?格雷已經(jīng)宣布引咎辭職，并表示這是“稅務(wù)部門(mén)重大的操作失誤”；2005年美國(guó)萬(wàn)事達(dá)卡國(guó)際組織承認(rèn)包括萬(wàn)事達(dá)、維薩、運(yùn)通等在內(nèi)高達(dá)4000多萬(wàn)信用卡用戶(hù)的銀行資料存在泄密風(fēng)險(xiǎn)；2006年之前中國(guó)人民建設(shè)銀行網(wǎng)站公積金信息泄露，任何人只需要通過(guò)輸入身份證號(hào)碼即可以查出賬戶(hù)余額和每月扣款額度；中國(guó)信息保密法規(guī)處于“一張白紙”狀態(tài)。2022/12/193法規(guī)遵從丑聞?dòng)?guó)財(cái)政部11月20號(hào)證實(shí)，英國(guó)皇家稅務(wù)及海關(guān)總法規(guī)遵從現(xiàn)狀A(yù)recentCSOMagazinesurveyrevealedthatregulationsandcompliancewerethetopdriversforsecurityinvestments.Securityriskassessmentwasthetopsecurityinitiative,whilethreatandriskmanagementwerethetopconcernskeepingCSOsupatnight.“SecuritySensorX”Feb.2006多數(shù)企業(yè)的法規(guī)遵從措施是分散的(de-centralized)，被動(dòng)的(reactive)，隨機(jī)的(ad-hoc)；企業(yè)受約束的法規(guī)太多，成本很高，效率很低；實(shí)現(xiàn)法規(guī)遵從過(guò)多的依賴(lài)技術(shù)手段，忽略了管理手段。2022/12/194法規(guī)遵從現(xiàn)狀A(yù)recentCSOMagazinesu法規(guī)遵從是一個(gè)全球性的挑戰(zhàn)……

每個(gè)人都必須有所付出……J-SOXSarbanes-

OxleyBaselIIPIPEDAEUDPDGLBAHIPAAPCIMITSFISMADPADPADTO-93CPC

Art.43FFIECCPASolvencyIIDPASA-PLR-DPL?1.54M€22-30M$3MSW￥349M

$30M$10+M

ISO/IEC27001:2005運(yùn)營(yíng)管理安全2022/12/195法規(guī)遵從是一個(gè)全球性的挑戰(zhàn)……

每個(gè)人都必須有所付出……J法規(guī)遵從是一個(gè)全球性的挑戰(zhàn)……

每個(gè)人都必須有所付出……（續(xù)）企業(yè)面臨的法規(guī)太多法律的兩個(gè)屬性（屬人性/屬地性）每個(gè)法規(guī)的流程完全不同（Dis-jointedResponse）法規(guī)遵從的延續(xù)性GLBA，HIPPA，SOX，COBIT，ISO17799/27001管理層對(duì)實(shí)現(xiàn)法規(guī)遵從的要求行業(yè)最佳實(shí)踐（Best-practice）成本收益分析（Cost-benefitanalysis）2022/12/196法規(guī)遵從是一個(gè)全球性的挑戰(zhàn)……

每個(gè)人都必須有所付出……（IT治理（法規(guī)遵從的起點(diǎn)）IT治理的5大目標(biāo)（Controlobjective）戰(zhàn)略一致性（StrategicAlignment）價(jià)值交付（ValueDelivery）資源管理（ResourceManagement）風(fēng)險(xiǎn)管理（RiskManagement）績(jī)效管理（PerformanceManagement）4類(lèi)IT資源人（People），信息（Information），應(yīng)用（Application），設(shè)施（Infrastructure）CIAA（Confidentiality/Integrity/Availability/Accountability）3種控制手段（Physical/Technical/Operational）2022/12/197IT治理（法規(guī)遵從的起點(diǎn)）IT治理的5大目標(biāo)（ControlCOBIT——IT管理規(guī)范Cobit信息準(zhǔn)則Effectiveness/efficiency/confidentiality/integrity/availability/compliance/reliability4大類(lèi)流程PlanandOrganize/AcquireandImplement/DeliverandSupport/MonitorandEvaluate（34個(gè)子流程）4類(lèi)控制目標(biāo)ActivityGoal/ProcessGoal/ITGoal/BusinessGoal2類(lèi)考核指標(biāo)KGI（關(guān)鍵目標(biāo)指示），KPI（關(guān)鍵績(jī)效指示）管理評(píng)價(jià)體系（CMM模型）Initial/Repeatable/Defined/Managed/Optimized2022/12/198COBIT——IT管理規(guī)范Cobit信息準(zhǔn)則2022/12/SOX——公司治理規(guī)范SOX：美國(guó)證監(jiān)會(huì)對(duì)于上市公司的公司治理規(guī)范要求Section306除了極特殊的情況外，對(duì)于發(fā)行權(quán)益性證券公司的所有董事、經(jīng)理因任職而獲得的其所任職公司的權(quán)益證券，在該權(quán)益證券的管制期間，這些董事、經(jīng)理直接或間接買(mǎi)賣(mài)或獲取、轉(zhuǎn)讓這些權(quán)益證券的行為是非法的。Section404內(nèi)部控制報(bào)告必須要指明公司管理層建立和維護(hù)內(nèi)部控制系統(tǒng)及相應(yīng)控制程序充分有效的責(zé)任和包括發(fā)行人管理層最近財(cái)政年度末對(duì)內(nèi)部控制體系及控制程序有效性的評(píng)價(jià)。擔(dān)任公司年報(bào)審計(jì)的會(huì)計(jì)公司應(yīng)當(dāng)對(duì)其進(jìn)行測(cè)試和評(píng)價(jià)，并出具評(píng)價(jià)報(bào)告(第404款)。第404條款是SOX法案中最為嚴(yán)厲和最具高昂執(zhí)行成本的條款。2022/12/199SOX——公司治理規(guī)范SOX：美國(guó)證監(jiān)會(huì)對(duì)于上市公司的公司治ISO27001——ISO安全標(biāo)準(zhǔn)A7：AssetManagement（資產(chǎn)管理）A10：CommunicationandOperationManagement（通信與操作管理）A11：AccessControl（訪問(wèn)控制）A13：InformationSecurityIncidentManagement（信息安全突發(fā)事件管理）A15：Compliance（遵從性）2022/12/1910ISO27001——ISO安全標(biāo)準(zhǔn)A7：AssetMana安全風(fēng)險(xiǎn)的三個(gè)維度安全風(fēng)險(xiǎn)

=資產(chǎn)

(重要性)

弱點(diǎn)

(嚴(yán)重性)

威脅

(嚴(yán)重性)xxCM1

CM2

CM3

認(rèn)證

Authentication

備份Back-up

負(fù)載均衡LoadBalance

監(jiān)控

Monitoring

加密Encryption

弱點(diǎn)管理VulnerabilityManagement

修補(bǔ)管理PatchManagement防火墻

Firewall防毒Anti-Virus入侵探測(cè)/防護(hù)

IDS/IPS防護(hù)對(duì)策:

軟件漏洞SoftwareBug

不必要的網(wǎng)絡(luò)風(fēng)險(xiǎn)UnnecessaryServices

不恰當(dāng)?shù)拿艽a設(shè)定WeakPasswords

錯(cuò)誤的配置Mis-configurations

木馬/后門(mén)

Trojan/backdoor病毒VirusSpreading

蠕蟲(chóng)

WormOutbreak

黑客程序

ExploitCodes

黑客工具HackerTools

黑客攻擊HackerAttacks

服務(wù)器Workstation/Server

無(wú)線設(shè)備WirelessLANs/Devices

網(wǎng)絡(luò)設(shè)備N(xiāo)etworkDevices數(shù)據(jù)庫(kù)Database

應(yīng)用程序Applications2022/12/1911安全風(fēng)險(xiǎn)的三個(gè)維度安全風(fēng)險(xiǎn)=認(rèn)證Authentica安全風(fēng)險(xiǎn)成本收益分析資產(chǎn)價(jià)值（AssetValue）暴露因子（ExposureFactor，某種風(fēng)險(xiǎn)造成資產(chǎn)損失的百分比，實(shí)施安全方案之前EF1與實(shí)施安全方案之后EF2會(huì)顯著不同）年發(fā)生率（AnnualRateofOccurrence）對(duì)策成本（CountermeasureCost）對(duì)策價(jià)值（Benefit）Benefit=AV*EF1*ARO-AV*EF2*ARO-CC2022/12/1912安全風(fēng)險(xiǎn)成本收益分析資產(chǎn)價(jià)值（AssetValue）202McAfee安全風(fēng)險(xiǎn)模型2022/12/1913McAfee安全風(fēng)險(xiǎn)模型2022/12/1313McAfeeSRM安全風(fēng)險(xiǎn)管理方法論

ProtectionandComplianceIntegration=KeyBenefits

減少成本，降低復(fù)雜度增加運(yùn)作效率更快的實(shí)現(xiàn)防護(hù)和法規(guī)遵從+威脅保護(hù)McAfeeFoundstoneMcAfeePolicyAuditorMcAfeeDLPMcAfeeNACMcAfeeIntruShieldMcAfeeTotalProtectionMcAfeeSecureInternetGateway風(fēng)險(xiǎn)&法規(guī)遵從性SRMSolution集成McAfeePreventsys2022/12/1914McAfeeSRM安全風(fēng)險(xiǎn)管理方法論

ProtectionMcAfee法規(guī)審計(jì)工具——PreventsysPreventsys可以根據(jù)某些規(guī)章制度或行業(yè)認(rèn)證（如SOX、PCI）專(zhuān)門(mén)定制和設(shè)計(jì)PolicyLab通過(guò)技術(shù)的支持，報(bào)告現(xiàn)有控制架構(gòu)的有效性2022/12/1915McAfee法規(guī)審計(jì)工具——PreventsysPreven?2007McAfee,Inc.謝謝！

?2007McAfee,Inc.謝謝！

161、機(jī)遇對(duì)于有準(zhǔn)備的頭腦有特別的親和力。2、不求與人相比，但求超越自己，要哭就哭出激動(dòng)的淚水，要笑就笑出成長(zhǎng)的性格！3、在你內(nèi)心深處，還有無(wú)窮的潛力，有一天當(dāng)你回首看時(shí)，你就會(huì)知道這絕對(duì)是真的。4、無(wú)論你覺(jué)得自己多么的了不起，也永遠(yuǎn)有人比你更強(qiáng)；無(wú)論你覺(jué)得自己多么的不幸，永遠(yuǎn)有人比你更加不幸。5、不要浪費(fèi)你的生命，在你一定會(huì)后悔的地方上。6、放棄該放棄的是無(wú)奈，放棄不該放棄的是無(wú)能；不放棄該放棄的是無(wú)知，不放棄不該放棄的是執(zhí)著。7、不要輕易用過(guò)去來(lái)衡量生活的幸與不幸！每個(gè)人的生命都是可以綻放美麗的，只要你珍惜。8、千萬(wàn)別迷戀網(wǎng)絡(luò)游戲，要玩就玩好人生這場(chǎng)大游戲。9、過(guò)錯(cuò)是暫時(shí)的遺憾，而錯(cuò)過(guò)則是永遠(yuǎn)的遺憾！10、人生是個(gè)圓，有的人走了一輩子也沒(méi)有走出命運(yùn)畫(huà)出的圓圈，其實(shí)，圓上的每一個(gè)點(diǎn)都有一條騰飛的切線。11、沒(méi)有壓力的生活就會(huì)空虛；沒(méi)有壓力的青春就會(huì)枯萎；沒(méi)有壓力的生命就會(huì)黯淡。12、我以為挫折、磨難是鍛煉意志、增強(qiáng)能力的好機(jī)會(huì)?！u韜奮13、你不能左右天氣，但可以改變心情。你不能改變?nèi)菝?，但可以掌握自己。你不能預(yù)見(jiàn)明天，但可以珍惜今天。14、我們總是對(duì)陌生人太客氣，而對(duì)親密的人太苛刻。15、人之所以痛苦，在于追求錯(cuò)誤的東西。16、知道自己要干什么，夜深人靜，問(wèn)問(wèn)自己，將來(lái)的打算，并朝著那個(gè)方向去實(shí)現(xiàn)。而不是無(wú)所事事和做一些無(wú)謂的事。17、逆境是成長(zhǎng)必經(jīng)的過(guò)程，能勇于接受逆境的人，生命就會(huì)日漸的茁壯。18、哪里有天才，我是把別人喝咖啡的功夫，都用在工作上的?！斞?9、所謂天才，那就是假話，勤奮的工作才是實(shí)在的?！獝?ài)迪生20、做一個(gè)決定，并不難，難的是付諸行動(dòng)，并且堅(jiān)持到底。21、不要因?yàn)樽约哼€年輕，用健康去換去金錢(qián)，等到老了，才明白金錢(qián)卻換不來(lái)健康。22、如果你不給自己煩惱，別人也永遠(yuǎn)不可能給你煩惱，煩惱都是自己內(nèi)心制造的。23、命運(yùn)負(fù)責(zé)洗牌，但是玩牌的是我們自己！24、再長(zhǎng)的路，一步步也能走完，再短的路，不邁開(kāi)雙腳也無(wú)法到達(dá)。25、成功，往往住在失敗的隔壁！26、大多數(shù)人想要改造這個(gè)世界，但卻罕有人想改造自己。27、人生是一場(chǎng)旅行，在乎的不是目的地，是沿途的風(fēng)景以及看風(fēng)景的心情。28、偉大的事業(yè)不是靠力氣、速度和身體的敏捷完成的，而是靠性格、意志和知識(shí)的力量完成的。29、人生最大的喜悅是每個(gè)人都說(shuō)你做不到，你卻完成它了！30、在實(shí)現(xiàn)理想的路途中，必須排除一切干擾，特別是要看清那些美麗的誘惑。31、激情，這是鼓滿(mǎn)船帆的風(fēng)。風(fēng)有時(shí)會(huì)把船帆吹斷；但沒(méi)有風(fēng)，帆船就不能航行。32、滴水穿石不是靠力，而是因?yàn)椴簧釙円埂?3、忍別人所不能忍的痛，吃別人所別人所不能吃的苦，是為了收獲得不到的收獲。34、時(shí)間是個(gè)常數(shù)，但也是個(gè)變數(shù)。勤奮的人無(wú)窮多，懶惰的人無(wú)窮少?！謬?yán)35、不同的信念，決定不同的命運(yùn)！36、只有你學(xué)會(huì)把自己已有的成績(jī)都?xì)w零，才能騰出空間去接納更多的新東西，如此才能使自己不斷的超越自己。37、突破心理障礙，才能超越自己。38、人不怕走在黑夜里，就怕心中沒(méi)有陽(yáng)光。9、過(guò)錯(cuò)是暫時(shí)的遺憾，而錯(cuò)過(guò)則是永遠(yuǎn)的遺憾！10、人生是個(gè)圓，有的人走了一輩子也沒(méi)有走出命運(yùn)畫(huà)出的圓圈，其實(shí)，圓上的每一個(gè)點(diǎn)都有一條騰飛的切線。11、沒(méi)有壓力的生活就會(huì)空虛；沒(méi)有壓力的青春就會(huì)枯萎；沒(méi)有壓力的生命就會(huì)黯淡。12、我以為挫折、磨難是鍛煉意志、增強(qiáng)能力的好機(jī)會(huì)?！u韜奮13、你不能左右天氣，但可以改變心情。你不能改變?nèi)菝?，但可以掌握自己。你不能預(yù)見(jiàn)明天，但可以珍惜今天。14、我們總是對(duì)陌生人太客氣，而對(duì)親密的人太苛刻。39、生命里最重要的事情是要有個(gè)遠(yuǎn)大的目標(biāo)，并借助才能與堅(jiān)毅來(lái)完成它?！璧?0、工作中，你要把每一件小事都和遠(yuǎn)大的固定的目標(biāo)結(jié)合起來(lái)。41、大部分人往往對(duì)已經(jīng)失去的機(jī)遇捶胸頓足，卻對(duì)眼前的機(jī)遇熟視無(wú)睹20、對(duì)所學(xué)知識(shí)內(nèi)容的興趣可能成為學(xué)習(xí)動(dòng)機(jī)?！澘品?/p>

21、游手好閑地學(xué)習(xí)，并不比學(xué)習(xí)游手好閑好?！s翰·貝勒斯

22、讀史使人明智，讀詩(shī)使人靈秀，數(shù)學(xué)使人周密，自然哲學(xué)使人精邃，倫理學(xué)使人莊重，邏輯學(xué)使人善辯?！喔?/p>

23、我們?cè)谖覀兊膭趧?dòng)過(guò)程中學(xué)習(xí)思考，勞動(dòng)的結(jié)果，我們認(rèn)識(shí)了世界的奧妙，于是我們就真正來(lái)改變生活了。——高爾基

24、我們要振作精神，下苦功學(xué)習(xí)。下苦功，三個(gè)字，一個(gè)叫下，一個(gè)叫苦，一個(gè)叫功，一定要振作精神，下苦功?！珴蓶|

25、我學(xué)習(xí)了一生，現(xiàn)在我還在學(xué)習(xí)，而將來(lái)，只要我還有精力，我還要學(xué)習(xí)下去?！?jiǎng)e林斯基1、機(jī)遇對(duì)于有準(zhǔn)備的頭腦有特別的親和力。17?2007McAfee,Inc.法規(guī)遵從與安全風(fēng)險(xiǎn)管理王昊華南區(qū)銷(xiāo)售工程師CISSP/CISA/CCNP?2007McAfee,Inc.法規(guī)遵從與安全風(fēng)險(xiǎn)管理18CIO確保風(fēng)險(xiǎn)處于可接受的范圍將業(yè)務(wù)中斷降至最小保護(hù)數(shù)據(jù)資源降低安全和法規(guī)遵從的成本審核降低審核成本自動(dòng)訪問(wèn)安全數(shù)據(jù)自動(dòng)的風(fēng)險(xiǎn)和法規(guī)報(bào)告功能提高可視性和精確性IT操作人員將網(wǎng)絡(luò)和系統(tǒng)中斷的時(shí)間降至最短確定計(jì)劃和修復(fù)漏洞的優(yōu)先級(jí)提高資源效率改善工作流程確保遵從內(nèi)外部策略

前瞻性地預(yù)防身份信息被盜確定風(fēng)險(xiǎn)和應(yīng)對(duì)措施的優(yōu)先級(jí)提供指標(biāo)CSO業(yè)務(wù)面臨的挑戰(zhàn)來(lái)自于安全威脅方面的風(fēng)險(xiǎn)？由于未遵從法規(guī)所產(chǎn)生的風(fēng)險(xiǎn)？我的企業(yè)面臨什么樣的風(fēng)險(xiǎn)？2022/12/1919CIO確保風(fēng)險(xiǎn)處于可接受的范圍審核降低審核成本IT操作人員法規(guī)遵從丑聞?dòng)?guó)財(cái)政部11月20號(hào)證實(shí)，英國(guó)皇家稅務(wù)及海關(guān)總署丟失兩張重要數(shù)據(jù)光盤(pán)，其中包括2500萬(wàn)人的敏感個(gè)人信息，署長(zhǎng)保羅?格雷已經(jīng)宣布引咎辭職，并表示這是“稅務(wù)部門(mén)重大的操作失誤”；2005年美國(guó)萬(wàn)事達(dá)卡國(guó)際組織承認(rèn)包括萬(wàn)事達(dá)、維薩、運(yùn)通等在內(nèi)高達(dá)4000多萬(wàn)信用卡用戶(hù)的銀行資料存在泄密風(fēng)險(xiǎn)；2006年之前中國(guó)人民建設(shè)銀行網(wǎng)站公積金信息泄露，任何人只需要通過(guò)輸入身份證號(hào)碼即可以查出賬戶(hù)余額和每月扣款額度；中國(guó)信息保密法規(guī)處于“一張白紙”狀態(tài)。2022/12/1920法規(guī)遵從丑聞?dòng)?guó)財(cái)政部11月20號(hào)證實(shí)，英國(guó)皇家稅務(wù)及海關(guān)總法規(guī)遵從現(xiàn)狀A(yù)recentCSOMagazinesurveyrevealedthatregulationsandcompliancewerethetopdriversforsecurityinvestments.Securityriskassessmentwasthetopsecurityinitiative,whilethreatandriskmanagementwerethetopconcernskeepingCSOsupatnight.“SecuritySensorX”Feb.2006多數(shù)企業(yè)的法規(guī)遵從措施是分散的(de-centralized)，被動(dòng)的(reactive)，隨機(jī)的(ad-hoc)；企業(yè)受約束的法規(guī)太多，成本很高，效率很低；實(shí)現(xiàn)法規(guī)遵從過(guò)多的依賴(lài)技術(shù)手段，忽略了管理手段。2022/12/1921法規(guī)遵從現(xiàn)狀A(yù)recentCSOMagazinesu法規(guī)遵從是一個(gè)全球性的挑戰(zhàn)……

每個(gè)人都必須有所付出……J-SOXSarbanes-

OxleyBaselIIPIPEDAEUDPDGLBAHIPAAPCIMITSFISMADPADPADTO-93CPC

Art.43FFIECCPASolvencyIIDPASA-PLR-DPL?1.54M€22-30M$3MSW￥349M

$30M$10+M

ISO/IEC27001:2005運(yùn)營(yíng)管理安全2022/12/1922法規(guī)遵從是一個(gè)全球性的挑戰(zhàn)……

每個(gè)人都必須有所付出……J法規(guī)遵從是一個(gè)全球性的挑戰(zhàn)……

每個(gè)人都必須有所付出……（續(xù)）企業(yè)面臨的法規(guī)太多法律的兩個(gè)屬性（屬人性/屬地性）每個(gè)法規(guī)的流程完全不同（Dis-jointedResponse）法規(guī)遵從的延續(xù)性GLBA，HIPPA，SOX，COBIT，ISO17799/27001管理層對(duì)實(shí)現(xiàn)法規(guī)遵從的要求行業(yè)最佳實(shí)踐（Best-practice）成本收益分析（Cost-benefitanalysis）2022/12/1923法規(guī)遵從是一個(gè)全球性的挑戰(zhàn)……

每個(gè)人都必須有所付出……（IT治理（法規(guī)遵從的起點(diǎn)）IT治理的5大目標(biāo)（Controlobjective）戰(zhàn)略一致性（StrategicAlignment）價(jià)值交付（ValueDelivery）資源管理（ResourceManagement）風(fēng)險(xiǎn)管理（RiskManagement）績(jī)效管理（PerformanceManagement）4類(lèi)IT資源人（People），信息（Information），應(yīng)用（Application），設(shè)施（Infrastructure）CIAA（Confidentiality/Integrity/Availability/Accountability）3種控制手段（Physical/Technical/Operational）2022/12/1924IT治理（法規(guī)遵從的起點(diǎn)）IT治理的5大目標(biāo)（ControlCOBIT——IT管理規(guī)范Cobit信息準(zhǔn)則Effectiveness/efficiency/confidentiality/integrity/availability/compliance/reliability4大類(lèi)流程PlanandOrganize/AcquireandImplement/DeliverandSupport/MonitorandEvaluate（34個(gè)子流程）4類(lèi)控制目標(biāo)ActivityGoal/ProcessGoal/ITGoal/BusinessGoal2類(lèi)考核指標(biāo)KGI（關(guān)鍵目標(biāo)指示），KPI（關(guān)鍵績(jī)效指示）管理評(píng)價(jià)體系（CMM模型）Initial/Repeatable/Defined/Managed/Optimized2022/12/1925COBIT——IT管理規(guī)范Cobit信息準(zhǔn)則2022/12/SOX——公司治理規(guī)范SOX：美國(guó)證監(jiān)會(huì)對(duì)于上市公司的公司治理規(guī)范要求Section306除了極特殊的情況外，對(duì)于發(fā)行權(quán)益性證券公司的所有董事、經(jīng)理因任職而獲得的其所任職公司的權(quán)益證券，在該權(quán)益證券的管制期間，這些董事、經(jīng)理直接或間接買(mǎi)賣(mài)或獲取、轉(zhuǎn)讓這些權(quán)益證券的行為是非法的。Section404內(nèi)部控制報(bào)告必須要指明公司管理層建立和維護(hù)內(nèi)部控制系統(tǒng)及相應(yīng)控制程序充分有效的責(zé)任和包括發(fā)行人管理層最近財(cái)政年度末對(duì)內(nèi)部控制體系及控制程序有效性的評(píng)價(jià)。擔(dān)任公司年報(bào)審計(jì)的會(huì)計(jì)公司應(yīng)當(dāng)對(duì)其進(jìn)行測(cè)試和評(píng)價(jià)，并出具評(píng)價(jià)報(bào)告(第404款)。第404條款是SOX法案中最為嚴(yán)厲和最具高昂執(zhí)行成本的條款。2022/12/1926SOX——公司治理規(guī)范SOX：美國(guó)證監(jiān)會(huì)對(duì)于上市公司的公司治ISO27001——ISO安全標(biāo)準(zhǔn)A7：AssetManagement（資產(chǎn)管理）A10：CommunicationandOperationManagement（通信與操作管理）A11：AccessControl（訪問(wèn)控制）A13：InformationSecurityIncidentManagement（信息安全突發(fā)事件管理）A15：Compliance（遵從性）2022/12/1927ISO27001——ISO安全標(biāo)準(zhǔn)A7：AssetMana安全風(fēng)險(xiǎn)的三個(gè)維度安全風(fēng)險(xiǎn)

=資產(chǎn)

(重要性)

弱點(diǎn)

(嚴(yán)重性)

威脅

(嚴(yán)重性)xxCM1

CM2

CM3

認(rèn)證

Authentication

備份Back-up

負(fù)載均衡LoadBalance

監(jiān)控

Monitoring

加密Encryption

弱點(diǎn)管理VulnerabilityManagement

修補(bǔ)管理PatchManagement防火墻

Firewall防毒Anti-Virus入侵探測(cè)/防護(hù)

IDS/IPS防護(hù)對(duì)策:

軟件漏洞SoftwareBug

不必要的網(wǎng)絡(luò)風(fēng)險(xiǎn)UnnecessaryServices

不恰當(dāng)?shù)拿艽a設(shè)定WeakPasswords

錯(cuò)誤的配置Mis-configurations

木馬/后門(mén)

Trojan/backdoor病毒VirusSpreading

蠕蟲(chóng)

WormOutbreak

黑客程序

ExploitCodes

黑客工具HackerTools

黑客攻擊HackerAttacks

服務(wù)器Workstation/Server

無(wú)線設(shè)備WirelessLANs/Devices

網(wǎng)絡(luò)設(shè)備N(xiāo)etworkDevices數(shù)據(jù)庫(kù)Database

應(yīng)用程序Applications2022/12/1928安全風(fēng)險(xiǎn)的三個(gè)維度安全風(fēng)險(xiǎn)=認(rèn)證Authentica安全風(fēng)險(xiǎn)成本收益分析資產(chǎn)價(jià)值（AssetValue）暴露因子（ExposureFactor，某種風(fēng)險(xiǎn)造成資產(chǎn)損失的百分比，實(shí)施安全方案之前EF1與實(shí)施安全方案之后EF2會(huì)顯著不同）年發(fā)生率（AnnualRateofOccurrence）對(duì)策成本（CountermeasureCost）對(duì)策價(jià)值（Benefit）Benefit=AV*EF1*ARO-AV*EF2*ARO-CC2022/12/1929安全風(fēng)險(xiǎn)成本收益分析資產(chǎn)價(jià)值（AssetValue）202McAfee安全風(fēng)險(xiǎn)模型2022/12/1930McAfee安全風(fēng)險(xiǎn)模型2022/12/1313McAfeeSRM安全風(fēng)險(xiǎn)管理方法論

ProtectionandComplianceIntegration=KeyBenefits

減少成本，降低復(fù)雜度增加運(yùn)作效率更快的實(shí)現(xiàn)防護(hù)和法規(guī)遵從+威脅保護(hù)McAfeeFoundstoneMcAfeePolicyAuditorMcAfeeDLPMcAfeeNACMcAfeeIntruShieldMcAfeeTotalProtectionMcAfeeSecureInternetGateway風(fēng)險(xiǎn)&法規(guī)遵從性SRMSolution集成McAfeePreventsys2022/12/1931McAfeeSRM安全風(fēng)險(xiǎn)管理方法論

ProtectionMcAfee法規(guī)審計(jì)工具——PreventsysPreventsys可以根據(jù)某些規(guī)章制度或行業(yè)認(rèn)證（如SOX、PCI）專(zhuān)門(mén)定制和設(shè)計(jì)PolicyLab通過(guò)技術(shù)的支持，報(bào)告現(xiàn)有控制架構(gòu)的有效性2022/12/1932McAfee法規(guī)審計(jì)工具——PreventsysPreven?2007McAfee,Inc.謝謝！

?2007McAfee,Inc.謝謝！

331、機(jī)遇對(duì)于有準(zhǔn)備的頭腦有特別的親和力。2、不求與人相比，但求超越自己，要哭就哭出激動(dòng)的淚水，要笑就笑出成長(zhǎng)的性格！3、在你內(nèi)心深處，還有無(wú)窮的潛力，有一天當(dāng)你回首看時(shí)，你就會(huì)知道這絕對(duì)是真的。4、無(wú)論你覺(jué)得自己多么的了不起，也永遠(yuǎn)有人比你更強(qiáng)；無(wú)論你覺(jué)得自己多么的不幸，永遠(yuǎn)有人比你更加不幸。5、不要浪費(fèi)你的生命，在你一定會(huì)后悔的地方上。6、放棄該放棄的是無(wú)奈，放棄不該放棄的是無(wú)能；不放棄該放棄的是無(wú)知，不放棄不該放棄的是執(zhí)著。7、不要輕易用過(guò)去來(lái)衡量生活的幸與不幸！每個(gè)人的生命都是可以綻放美麗的，只要你珍惜。8、千萬(wàn)別迷戀網(wǎng)絡(luò)游戲，要玩就玩好人生這場(chǎng)大游戲。9、過(guò)錯(cuò)是暫時(shí)的遺憾，而錯(cuò)過(guò)則是永遠(yuǎn)的遺憾！10、人生是個(gè)圓，有的人走了一輩子也沒(méi)有走出命運(yùn)畫(huà)出的圓圈，其實(shí)，圓上的每一個(gè)點(diǎn)都有一條騰飛的切線。11、沒(méi)有壓力的生活就會(huì)空虛；沒(méi)有壓力的青春就會(huì)枯萎；沒(méi)有壓力的生命就會(huì)黯淡。12、我以為挫折、磨難是鍛煉意志、增強(qiáng)能力的好機(jī)會(huì)?！u韜奮13、你不能左右天氣，但可以改變心情。你不能改變?nèi)菝?，但可以掌握自己。你不能預(yù)見(jiàn)明天，但可以珍惜今天。14、我們總是對(duì)陌生人太客氣，而對(duì)親密的人太苛刻。15、人之所以痛苦，在于追求錯(cuò)誤的東西。16、知道自己要干什么，夜深人靜，問(wèn)問(wèn)自己，將來(lái)的打算，并朝著那個(gè)方向去實(shí)現(xiàn)。而不是無(wú)所事事和做一些無(wú)謂的事。17、逆境是成長(zhǎng)必經(jīng)的過(guò)程，能勇于接受逆境的人，生