主動(dòng)性合規(guī)驅(qū)動(dòng)信息安全保障工作-潘柱廷 啟明星辰首席戰(zhàn)略官_第1頁(yè)
主動(dòng)性合規(guī)驅(qū)動(dòng)信息安全保障工作-潘柱廷 啟明星辰首席戰(zhàn)略官_第2頁(yè)
主動(dòng)性合規(guī)驅(qū)動(dòng)信息安全保障工作-潘柱廷 啟明星辰首席戰(zhàn)略官_第3頁(yè)
主動(dòng)性合規(guī)驅(qū)動(dòng)信息安全保障工作-潘柱廷 啟明星辰首席戰(zhàn)略官_第4頁(yè)
主動(dòng)性合規(guī)驅(qū)動(dòng)信息安全保障工作-潘柱廷 啟明星辰首席戰(zhàn)略官_第5頁(yè)
已閱讀5頁(yè),還剩23頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

主動(dòng)性合規(guī)管理驅(qū)動(dòng)信息安全保障工作啟明星辰CSO潘柱廷破題(暨摘要)信息安全保障的四種需求驅(qū)動(dòng)力被動(dòng)的合規(guī)性管理是實(shí)實(shí)在在的動(dòng)力主動(dòng)的驅(qū)動(dòng)力更利于良性建設(shè)PSPC需求驅(qū)動(dòng)筐架需求筐架來(lái)自內(nèi)部來(lái)自外部主動(dòng)引導(dǎo)體系化Systematic政策性Policy被動(dòng)要求問(wèn)題型Problem合規(guī)性Compliance問(wèn)題型自己機(jī)構(gòu)(或看到其他機(jī)構(gòu))正在發(fā)生、曾經(jīng)發(fā)生的安全問(wèn)題所引出的安全需求。比如:網(wǎng)站被入侵、網(wǎng)絡(luò)遭到病毒侵害、發(fā)生火災(zāi)導(dǎo)致數(shù)據(jù)丟失等等。這些問(wèn)題會(huì)立刻引發(fā)安全問(wèn)題解決的需求,比如:防病毒、入侵檢測(cè)、備份等等。這類需求是信息安全產(chǎn)業(yè)最原始的動(dòng)力。體系化單獨(dú)的安全問(wèn)題被逐漸地被綜合考慮,政策性的指導(dǎo)被逐步深化理解和實(shí)踐從體系化的角度考慮安全需求和安全建設(shè),強(qiáng)調(diào)建立“信息安全保障體系”、“監(jiān)控體系”、“應(yīng)急體系”、“業(yè)務(wù)安全體系”等等。這樣的體系化需求,能夠讓客戶建立起來(lái)一些持續(xù)多年的持續(xù)性需求,這種需求常常會(huì)表現(xiàn)為一個(gè)持續(xù)2-3年以上的安全規(guī)劃。政策性由于主管機(jī)關(guān)的要求和政策性引導(dǎo),敦促機(jī)構(gòu)對(duì)于安全問(wèn)題的重視,加強(qiáng)安全投入,從而引出了很多安全需求。這樣的需求,常常由于機(jī)構(gòu)自身對(duì)于問(wèn)題的緊迫性不足,對(duì)于需求的理解不透,而導(dǎo)致安全投入和安全建設(shè)流于形式。但是這個(gè)需求是在一定階段中支撐了整個(gè)信息安全產(chǎn)業(yè)的發(fā)展的。合規(guī)性合規(guī)性要求常常表現(xiàn)為法律法規(guī)的要求、標(biāo)準(zhǔn)的要求、行業(yè)主管機(jī)關(guān)和監(jiān)管機(jī)關(guān)的行政要求等等。比如國(guó)際上的薩班斯-奧克斯利法案、巴塞爾協(xié)議、ISO27000系列(7799系列)等;再比如國(guó)內(nèi)的等級(jí)保護(hù)要求、風(fēng)險(xiǎn)評(píng)估、商業(yè)銀行內(nèi)控要求等等。這些合規(guī)性要求已經(jīng)是多方面安全需求和經(jīng)驗(yàn)的綜合,常常具有一定的強(qiáng)制性。通過(guò)合規(guī)性所引發(fā)的安全需求會(huì)形成非常穩(wěn)定的產(chǎn)業(yè)交易需求,可以說(shuō)是產(chǎn)業(yè)穩(wěn)定發(fā)展的重要支柱。信息安全產(chǎn)業(yè)要素交易品(形態(tài)/價(jià)值/技術(shù))提供商(模式/能力/資本)第三方(主管機(jī)構(gòu)、測(cè)評(píng)機(jī)構(gòu)、媒體等)客戶(需求)PSPC需求驅(qū)動(dòng)力在產(chǎn)業(yè)要素上的分布交易品(形態(tài)/價(jià)值/技術(shù))提供商(模式/能力/資本)第三方(主管機(jī)構(gòu)、測(cè)評(píng)機(jī)構(gòu)、媒體等)客戶(需求)問(wèn)題型體系化合規(guī)性政策性問(wèn)題型需求驅(qū)動(dòng)的特點(diǎn)問(wèn)題常常來(lái)源于客戶實(shí)際問(wèn)題常常是不成體系的(看起來(lái))需求滿足常常是“頭痛醫(yī)頭,腳痛醫(yī)腳”問(wèn)題解決要求很快,追求速效問(wèn)題所帶來(lái)的需求都非常實(shí)在問(wèn)題解決辦法常常體現(xiàn)為面向脆弱性安全比如:防病毒、入侵檢測(cè)、防火墻等體系化需求驅(qū)動(dòng)的特點(diǎn)常常來(lái)源于從專家和廠商而來(lái)的技術(shù)推動(dòng)客戶零散的問(wèn)題,被內(nèi)外部專家提煉看起來(lái)成體系,但是因?yàn)橛谐橄螅蛯?shí)際總是有些差別常常表現(xiàn)為:結(jié)構(gòu)化安全比如:保障體系、可信計(jì)算、管理平臺(tái)等由于各個(gè)因素的牽扯,所以見(jiàn)效較慢啟明星辰信息安全保障總體框架可信計(jì)算組織—TNC可信網(wǎng)絡(luò)連接規(guī)范啟明星辰泰合信息安全管理平臺(tái)體系結(jié)構(gòu)漏洞評(píng)估中心事件/流量/運(yùn)行監(jiān)控中心風(fēng)險(xiǎn)分析決策支持與預(yù)警系統(tǒng)響應(yīng)管理系統(tǒng)顯示報(bào)告體系結(jié)構(gòu)示意圖ScannerIDSFWAV主機(jī)與網(wǎng)絡(luò)設(shè)備人工審計(jì)外部響應(yīng)系統(tǒng)(安全設(shè)備管理系統(tǒng)與網(wǎng)管)策略管理平臺(tái)資源管理平臺(tái)其他事件檢測(cè)系統(tǒng)其他狀態(tài)檢測(cè)系統(tǒng)資產(chǎn)管理平臺(tái)統(tǒng)一信息知識(shí)庫(kù)外部協(xié)同用戶管理安全知識(shí)管理平臺(tái)自身安全體系化需求驅(qū)動(dòng)的特點(diǎn)常常來(lái)源于從專家和廠商而來(lái)的技術(shù)推動(dòng)客戶零散的問(wèn)題,被內(nèi)外部專家提煉看起來(lái)成體系,但是因?yàn)橛谐橄?,和?shí)際總是有些差別常常表現(xiàn)為:面向結(jié)構(gòu)性安全比如:保障體系、可信計(jì)算、管理平臺(tái)等由于各個(gè)因素的牽扯,所以見(jiàn)效較慢完全靠體系來(lái)驅(qū)動(dòng),力度常常不足政策性需求驅(qū)動(dòng)的特點(diǎn)常常來(lái)源于上級(jí)機(jī)構(gòu)和主管機(jī)構(gòu)雖然不追求完美的體系,但是政策性要求有一定整體性政策性要求不是強(qiáng)制性的,有一定的靈活性常常表現(xiàn)為:一些要點(diǎn)總結(jié)中辦發(fā)[2003]27號(hào)國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)(2003年8月26日)加強(qiáng)信息安全保障工作-總體要求總體要求:堅(jiān)持積極防御、綜合防范的方針全面提高信息安全防護(hù)能力重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境保障和促進(jìn)信息化發(fā)展保護(hù)公眾利益,維護(hù)國(guó)家安全加強(qiáng)信息安全保障工作-主要原則主要原則:立足國(guó)情,以我為主,堅(jiān)持管理與技術(shù)并重;正確處理安全與發(fā)展的關(guān)系,以安全保發(fā)展,在發(fā)展中求安全;統(tǒng)籌規(guī)劃,突出重點(diǎn),強(qiáng)化基礎(chǔ)性工作;明確國(guó)家、企業(yè)、個(gè)人的責(zé)任和義務(wù),充分發(fā)揮各方面的積極性,共同構(gòu)筑國(guó)家信息安全保障體系。加強(qiáng)信息安全保障工作-九項(xiàng)任務(wù)系統(tǒng)等級(jí)保護(hù)和風(fēng)險(xiǎn)管理基于密碼技術(shù)的信息保護(hù)和信任體系網(wǎng)絡(luò)信息安全監(jiān)控體系應(yīng)急處理體系加強(qiáng)技術(shù)研究,推進(jìn)產(chǎn)業(yè)發(fā)展法制建設(shè)、標(biāo)準(zhǔn)化建設(shè)人才培養(yǎng)與全民安全意識(shí)保證信息安全資金加強(qiáng)對(duì)信息安全保障工作的領(lǐng)導(dǎo),建立健全信息安全管理責(zé)任制政策性需求驅(qū)動(dòng)的特點(diǎn)常常來(lái)源于上級(jí)機(jī)構(gòu)和主管機(jī)構(gòu)雖然不追求完美的體系,但是政策性要求有一定整體性政策性要求不是強(qiáng)制性的,有一定的靈活性常常表現(xiàn)為:一些要點(diǎn)總結(jié)廠商和客戶一般在政策上的敏感度不高政策性的實(shí)際推動(dòng)力常常不足合規(guī)性需求驅(qū)動(dòng)的特點(diǎn)常常來(lái)源于上級(jí)機(jī)構(gòu)和主管機(jī)構(gòu)強(qiáng)制性、具有極強(qiáng)的推動(dòng)力和約束力有很多stackholder會(huì)推波助瀾典型的合規(guī)性要求密碼管理計(jì)算機(jī)安全產(chǎn)品銷售許可等級(jí)保護(hù)薩班斯-奧克斯利法案。。。合規(guī)性需求驅(qū)動(dòng)的特點(diǎn)常常來(lái)源于上級(jí)機(jī)構(gòu)和主管機(jī)構(gòu)強(qiáng)制性、具有極強(qiáng)的推動(dòng)力和約束力有很多stackholder會(huì)推波助瀾合規(guī)性要求常常被夸大扭曲,或者委曲應(yīng)付如何恰當(dāng)?shù)乩煤弦?guī)性理解從問(wèn)題-體系-政策-合規(guī)的因果低調(diào)看待合規(guī)性,將合規(guī)性向政策性轉(zhuǎn)化避免最壞情況追求更好目標(biāo)達(dá)到最低要求將合規(guī)性向內(nèi)部傳遞PSPC需求驅(qū)動(dòng)筐架需求筐架來(lái)自內(nèi)部來(lái)自外部主動(dòng)引導(dǎo)體系化Systematic政策性Policy被動(dòng)要求問(wèn)題型Problem合規(guī)性Compliance主動(dòng)性合規(guī)管理交易品

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論