《上市公司it治理--安全篇 信息系统安全策略》由会员分享,可在线阅读,更多相关《上市公司it治理--安全篇 信息系统安全策略(74页珍藏版)》请在金锄头文库上搜索。
1、上市公司上市公司上市公司上市公司ITITITIT治理治理治理治理-安全篇安全篇安全篇安全篇信息系统安全策略信息系统安全策略资深信息安全咨询顾问资深信息安全咨询顾问樊山樊山 深圳市汇安科技有限公司技术总监深圳市汇安科技有限公司技术总监 CISPCISP、CISICISI、OWASPOWASP会员会员 广东省声像资料司法鉴定员广东省声像资料司法鉴定员 广东工程职业技术学院客座教授广东工程职业技术学院客座教授2011-04引言传统安全保障传统安全保障 1、技术保障技术保障产品的叠加 安全服务的引入 人 2、管理保障管理保障风险评估 ISMS体系信息系统安全等级保护引言感性保护向理性保护过渡感性保护向
2、理性保护过渡 信息系统安全保护向安全保障过渡信息系统安全保护向安全保障过渡 技术保护向以管理为主的体系建设技术保护向以管理为主的体系建设 静态防御向动态保障过渡静态防御向动态保障过渡信息安全保障体系路线图下一代网络攻击应对技术下一代网络攻击应对技术1.社交网络将成为黑客攻击的主要目标社交网络将成为黑客攻击的主要目标 2. 如果黑客没有瞄准社交网络如果黑客没有瞄准社交网络,他们肯定他们肯定 在觊觎你的移动设备在觊觎你的移动设备 3. 恶意软件将变得更加复杂恶意软件将变得更加复杂,结合了多种结合了多种 攻击技术和漏洞利用攻击技术和漏洞利用 4.通过维基解密泄漏的机密信息将曝光内部通过维基解密泄漏的
3、机密信息将曝光内部 人员数据泄漏的可能性人员数据泄漏的可能性 5. 除金钱外除金钱外,政治原因将会成为政治原因将会成为2011年攻年攻 击的另一个动力击的另一个动力下一代网络攻击应对技术网络战只不过是一个更宏大的问题的小部 分:我们需要设计出一个稳定的,全球性 的IT基础设施。下一代网络攻击应对技术1.防患于未然防患于未然。描绘组织的信息流。 了解系统/服务需要关键的网络功能。 制定网绚中断后的短期(1小时)、中期 (24小时)及长期(多天)后备计划。下一代网络攻击应对技术2.维护系统维护系统。对所有设备例行打补丁 包括朋务器,工作站及网络设备。 第三方应用程序。 定期审计。 集中收集日志下一
4、代网络攻击应对技术3.共享信息共享信息。如果在某个行业里的每个人都发现了相同 的探测戒是异常活动,那就可以让我们确 定攻击的前导,仅而避克重大的灾难。 分享关于有效和无效的防御技术的信息也 可以帮助我们更有效地作出反应。下一代网络攻击应对技术4.做一个好邻居做一个好邻居。不要忽略非关键系统。 5.要大惊小怪要大惊小怪。那些对一起又一起网络攻击的报道造成了 不必要的恐慌。这实际又是对那些攻击者 的鼓励。 保持冷静,攻击者就又少了一个发起网络 攻击的理由。风险管理信息安全风险管理什么是风险管理什么是风险管理 风险管理要素风险管理要素 风险管理控制过程风险管理控制过程 风险评估描述风险评估描述描述信
5、息安全风险管理的系统化方法对于识别组织有信息安全风险管理的系统化方法对于识别组织有 关信息安全要求和建立有效的信息安全管理体系关信息安全要求和建立有效的信息安全管理体系 (ISMS)来说是必须的来说是必须的。信息安全风险管理方法信息安全风险管理方法 应该适合于组织的环境应该适合于组织的环境,特别是应该与组织的整特别是应该与组织的整 体风险管理相一致体风险管理相一致。应该按照需要的时间和地应该按照需要的时间和地 点点,以有效和及时的方式处理风险以有效和及时的方式处理风险。 信息安全风险管理是一个持续的过程信息安全风险管理是一个持续的过程。该过程应该过程应 该建立范畴该建立范畴,评估风险评估风险,
6、并利用风险处置计划来并利用风险处置计划来 实施建议和决策以处置风险实施建议和决策以处置风险。风险管理分析风险管理分析,是是 在决定应该做什么和什么时候做之前分析可能发在决定应该做什么和什么时候做之前分析可能发 生什么以及可能的后果是什么生什么以及可能的后果是什么,以将风险降低到以将风险降低到 可以接受的级别可以接受的级别。什么是风险管理什么是风险什么是风险 什么是风险管理什么是风险管理 风险管理基本概念风险管理基本概念什么是风险风险的最简单的定义是风险的最简单的定义是“起作用的不确定起作用的不确定 性性”,它之所以起作用它之所以起作用,是因为它能够影响是因为它能够影响 一个或多个目标一个或多个
7、目标。 风险并不是存在于真空中风险并不是存在于真空中,因此我们需要因此我们需要 定义什么定义什么“处于风险之中处于风险之中”(at risk),),也就也就 是说是说,如果风险发生的话如果风险发生的话,什么目标将会什么目标将会 受到影响受到影响。 风险的一个更加完整的定义是风险的一个更加完整的定义是“能够影响一能够影响一 个或多个目标的不确定性个或多个目标的不确定性”。什么是风险管理风险管理(Risk Management),又名危机 管理,是一个管理过程,包括对风险的定义、 测量、评估和发展因应风险的策略。目的是 将可避免的风险、成本及损失极小化。理想 的风险管理,事先已排定优先次序,可以优
8、 先处理引发最大损失及发生机率最高的事 件,其次再处理风险相对较低的事件。 实际状况中,因为风险与发生机率通常不一 致,所以难以决定处理顺序。故须衡量两者 比重,做出最合适的决定。 因为牵涉到机会成本(opportunity cost),风 险管理同时也要面对如何运用有效资源的难 题。把资源用于风险管理可能会减少运用在 其他具有潜在报酬之活动的资源;理想的风 险管理正是希望以最少的资源化解最大的危 机。风险管理要素风险管理八大要素风险管理八大要素 目标与构成要素之间的关系目标与构成要素之间的关系风险管理八大要素内部环境内部环境包含组织的基调,它 为主体内的人员如何认识和对待风险设定了 基础,包
9、括风险管理理念和风险容量、诚信 和道德价值观,以及他们所处的经营环境。 目标设定必须先有目标,管理当局才能 识别影响目标实现的潜在事项。企业风险管 理确保管理当局采取适当的程序去设定目 标,确保所选定的目标支持和切合该主体的 使命,并且与它的风险容量相符。 事项识别必须识别影响主体目标实现的 内部和外部事项,区分风险和机会。机会被 反馈到管理当局的战略或目标制订过程中。 风险评估通过考虑风险的可能性和影响 来对其加以分析,并以此作为决定如何进行 管理的依据。风险评估应立足于固有风险和 剩余风险。风险管理八大要素风险应对管理当局选择风险应对回 避、承受、降低或者分担风险采取一系 列行动以便把风险
10、控制在主体的风险容限(risk tolerance)和风险容量以内。 控制活动制订和执行政策与程序以帮助 确保风险应对得以有效实施。 信息与沟通相关的信息以确保员工履行 其职责的方式和时机予以识别、获取和沟通。 有效沟通的含义比较广泛,包括信息在主体 中的向下、平行和向上流动。 监控对企业风险管理进行全面监控,必 要时加以修正。监控可以通过持续的管理活 动、个别评价或者两者结合来完成。目标与构成要素之间的关系内部环境内部环境目标设定目标设定事项识别事项识别风险评估风险评估风险应对风险应对控制活动控制活动信息与沟通信息与沟通监控监控经 营经 营战 略战 略报 告报 告合 规合 规主 体 层 次主
11、 体 层 次分 部分 部业 务 单 元业 务 单 元子 公 司子 公 司目标与构成要素之间的关系有效性有效性 认定一个主体的企业风险管理是否“有效”, 是在对八个构成要素是否存在和有效运行进 行评估的基础之上所作的判断。因此,构成 要素也是判定企业风险管理有效性的标准。 构成要素如果存在并且正常运行,那么就可 能没有重大缺陷,而风险则可能已经被控制 在主体的风险容量范围之内。 如果确定企业风险管理在所有四类目标上都 是有效的,那么董事会和管理当局就可以合 理保证他们了解主体实现其战略和经营目标、 主体的报告可靠以及符合适用的法律和法规 的程度。目标与构成要素之间的关系局局 限限 除了前面讨论过
12、的因素之外,局限还 导源于下列现实:人类在决策过程中 的判断可能有纰漏,有关应对风险和 建立控制的决策需要考虑相关的成本 和效益,类似简单误差或错误的个人 缺失可能会导致故障的发生,控制可 能会因为两个或多个人员的串通而被 规避,以及管理当局有能力凌驾于企 业风险管理决策之上。这些局限使得 董事会和管理当局不可能就主体目标 的实现形成绝对的保证。目标与构成要素之间的关系涵盖内部控制涵盖内部控制内部控制是企业风险管理不可分割的 一部分。内部控制是在内部控制 整合框架中加以定义和描述的。 由于该框架经受了时间的考验,并且 成为现行规则、法规和法律的基础, 因此那份文件对内部控制的定义和框 架依然有
13、效。目标与构成要素之间的关系 职能与责任职能与责任主体中的每个人都对企业风险管理负有一定的 责任。首席执行官(CEO)负有首要责任,并且 应当假设其拥有所有权。其他管理人员支持主 体的风险管理理念,促使符合其风险容量,并 在各自的责任范围内依据风险容限去管理风险。 风险官、财务官、内部审计师等通常负有关键 的支持责任。主体中的其他人员负责按照既定 的指引和规程去实施企业风险管理。董事会对 企业风险管理提供重要的监督,并察觉和认同 主体的风险容量。很多外部方面,例如顾客、 卖主、商业伙伴、外部审计师、监管者和财务 分析师常常提供影响企业风险管理的有用信 息,但是他们不但不对主体的企业风险管理的
14、有效性承担任何责任,而且也不是它的组成部 分。风险管理控制过程过程简述过程简述 确定范畴确定范畴 信息安全风险评估信息安全风险评估 信息安全风险处置信息安全风险处置 信息安全风险的沟通信息安全风险的沟通 信息安全监视和评审信息安全监视和评审过程简述识别风险 依据风险造成的业务后果和发生的可能性进行风险评估 就风险的后果和可能性进行沟通并达成理解 建立风险处置的优先次序 对降低风险的活动进行排序 在做出风险管理决策时,让利益相关方参与,并及时告知风险管理的状态 有效监视风险处置 监视风险和风险管理过程,并定期评审 收集信息以改进风险管理方法 应该对管理者和员工进行有关风险和减轻风险所应采取行动的
15、培训风险评估风险评估风险分析风险分析确定范畴确定范畴风险评价风险评价风险评估风险评估风险处置风险处置风险接受风险接受风险识别风险识别风 险 监 视 和 评 审风 险 监 视 和 评 审风 险 沟 通风 险 沟 通风险决策点风险决策点1 风险评估是否满足要求风险评估是否满足要求?NO NO 风险决策点风险决策点2 风险处置是否满足要求风险处置是否满足要求?YES YES 结束首个或后续循环结束首个或后续循环风险评估风险评估风险分析风险分析确定范畴确定范畴风险评价风险评价风险评估风险评估风险处置风险处置风险接受风险接受风险识别风险识别风 险 监 视 和 评 审风 险 监 视 和 评 审风 险 沟
16、通风 险 沟 通风险决策点风险决策点1 风险评估是否满足要求风险评估是否满足要求?NO NO 风险决策点风险决策点2 风险处置是否满足要求风险处置是否满足要求?YES YES 结束首个或后续循环结束首个或后续循环确定范畴 输入输入:与确定信息安全风险管理范畴相与确定信息安全风险管理范畴相 关的所有关于组织的信息关的所有关于组织的信息。 活动活动:应该确定信息安全风险管理的范应该确定信息安全风险管理的范 畴畴,这涉及信息安全风险管理所必须的这涉及信息安全风险管理所必须的 基本准则的设定基本准则的设定,范围和边界的界定范围和边界的界定, 适合于信息安全管理运行的组织架构的适合于信息安全管理运行的组织架构的 确定确定。 实施指南实施指南: 确定信息安全风险评估的宗确定信息安全风险评估的宗 旨是必要的旨是必要的,因为这将影响整个风险评因为这将影响整个风险评 估过程估过程,特别是对确定风险评估范畴的特别是对确定风险评估范畴的 影响
