《从问题型到合规性培训教材》由会员分享,可在线阅读,更多相关《从问题型到合规性培训教材(40页珍藏版)》请在金锄头文库上搜索。
1、从问题型到合规性从风险管理到对标管理,IT安全的实现之道,从问题型到合规性,落实IT安全的驱动方式,信息安全产业要素,客户的变化:成熟,追求我最根本的目的 我到底要什么 追求目的的达成、强调落实 我到底怎么做到,追求最根本的目的,原先关注信息安全本身,关注出了事故,以后不要出事故 信息安全关注的是对信息系统的保障,对于信息数据的保护,业务 业务 还是业务,示例分析:政府机构或者城市的管理者关注的业务,机构和城市在常态下的正常运行,并且尽量做到效率和效果 机构和城市在紧急状态下(如灾难时),能够及时有效地应对,门户网站 灾难应急处理支撑系统,示例分析:电信运营商的经营者关心什么业务,从网络的经营
2、者,变成一个信息服务的经营者 必须满足萨班斯-奥克斯利法案的要求,支撑系统的保护 安全委托(外包)增值服务 内部控制系统 4A、二次鉴权、审计平台、SOX报表系统,示例分析:一个中资银行的经营者关心什么业务,要从一个主要靠息差获得收益,向多样化经营发展 大集中 符合银监会、中国人民银行的相关规定 符合巴塞尔II的要求,大集中的安全 金融产品的安全 巴塞尔等监管要求的符合性操作风险中的IT风险,追求落实从需求驱动力上下手,问题型需求驱动的特点,问题常常来源于客户实际 问题常常是不成体系的(看起来) 需求满足常常是“头痛医头,脚痛医脚” 问题解决要求很快,追求速效 问题所带来的需求都非常实在 问题
3、解决办法常常体现为 面向脆弱性安全 比如:防病毒、入侵检测、防火墙等,体系化需求驱动的特点,常常来源于 从专家和厂商而来的技术推动 客户零散的问题,被内外部专家提炼 看起来成体系,但是因为有抽象,和实际总是有些差别 常常表现为:面向结构性安全 比如:保障体系、可信计算、管理平台等 由于各个因素的牵扯,所以见效较慢 完全靠体系来驱动,力度常常不足,政策性需求驱动的特点,常常来源于上级机构和主管机构 虽然不追求完美的体系,但是政策性要求有一定整体性 政策性要求不是强制性的,有一定的灵活性 常常表现为:一些要点总结 厂商和客户一般在政策上的敏感度不高 政策性的实际推动力常常不足,合规性需求驱动的特点
4、,常常来源于上级机构和主管机构 强制性、具有极强的推动力和约束力 有效的合规性要求要简单和明确,需求驱动力向“合规性”的转化带来客户价值和产业机会,从风险管理到对标管理,落实IT安全的操作思路,两大思路的融合协调,风险管理 Risk Management,对标管理 Benchmark Management,风险管理,风险管理的理念从90年代开始,已经逐步成为引导信息安全技术应用的核心理念 风险的定义 对目标有所影响的某件事情发生的可能性 摘自AS/NZS4360,国际风险管理趋势动态,IT安全风险成为企业运营风险中最为重要的一个组成部分,业务连续性逐渐与安全并行考虑,来源:Gartner,IS
5、O13335中的风险管理的关系图,ISO13335以风险为核心的安全模型,风险,防护措施,信息资产,威胁,漏洞,防护需求,价值,一般风险评估的 理论基础,风险评估的国家标准,国家标准中的风险10要素关系图,德国ITBPM,德国ITBPM,最精简的风险管理要素,信息安全保障框架,通过S3-PPT方法展开保障措施,最佳实践建议,教育和培训 成熟产品 防病毒、防火墙、VPN、入侵检测、漏洞扫描 风险评估 框架式的安全建设规划 信息安全管理体系 安全域 依据ITIL的流程管理 监控体系、安全监控管理中心 事件管理体系、应急体系,一般风险管理过程,建立环境,鉴别风险,分析风险,评价风险,处理风险,信 息
6、 交 流 与 咨 询,监控 与审查,AS/NZS 4360,最精简的风险管理要素,关于对标管理,对标管理和风险管理的区别 风险管理是从源头从需求开始分析展开,而对标管理直接切入当前状态和措施 对标管理所对的“标” 横向比较其他机构的情况 与相关的内外标准和指南进行比较 与相关规定和要求进行比对,形成合规性管理,关于对标管理,等级化是对标管理的自然方法 等级保护 CMM能力成熟度模型,SSE-CMM,System Security Engineering Capability Majority Model 初始级 Performed Informally 计划跟踪级 Planned and Tr
7、acked 良好定义级 Well Defined 量化控制级 Quantitatively Controlled 持续改进级 Continuously Improving,企业信息安全保障能力成长阶段划分,Gartner的阶段划分,盲目自信阶段 普遍缺乏安全意识,对企业安全状况不了解,未意识到信息安全风险的严重性 认知阶段 通过信息安全风险评估等,企业意识到自身存在的信息安全风险,开始采取一些措施提升信息安全水平 改进阶段 意识到局部的、单一的信息安全控制措施难以明显改善企业信息安全状况,开始进行全面的信息安全架构设计,有计划的建设信息安全保障体系 卓越运营阶段 信息安全改进项目完成后,在拥有较为全面的信息安全控制能力基础上,建立持续改进的机制,以应对安全风险的变化,不断提升安全控制能力,各个阶段的主要工作任务,基本安全产品部署,主要人员的培训教育,建立 安全团队,制定安全方针政策,评估并 了解现状,各个阶段的主要工作任务,启动信息安全战略项目,设计信息安全架构,建立信息安全流程,完成信息安全改进项目,各个阶段的主要工作任务,信息安全流程的持续改进,追踪技术和业务的变化,两大思路的融合协调,风险管理 Risk Management,对标管理 Benchmark Management,感谢,
