《最新德勤it风险和合规性介绍1104132ppt课件》由会员分享,可在线阅读,更多相关《最新德勤it风险和合规性介绍1104132ppt课件(80页珍藏版)》请在金锄头文库上搜索。
1、德勤德勤IT风险管理和合规性管理介风险管理和合规性管理介绍绍110413 (2)ITRiskManagement目录1.背景介绍2.德勤相关调查报告介绍3.风险驱动的IT内控体系建设4.IT风险管理相关服务体系总体介绍5.IT风险/信息安全合规管理及整合服务介绍6.信息安全风险管理及敏感信息保护服务介绍7.IT服务管理体系建设服务介绍8.业务连续性及IT外包管理服务介绍9.部分典型案例介绍10.关于德勤22010,德勤华永会计师事务所有限公司ITRiskManagementITRiskManagementITRiskManagementITRiskManagementITRiskManagem
2、entITRiskManagementITRiskManagement企业企业ITIT管理活动概览管理活动概览组织及组织及计划计划风险评估风险评估风险风险处理处理监控及改进监控及改进IT规划规划系统建设系统建设运行维护运行维护IT项目计划上线/移交项目组合管理监控合规改进IT年度规划IT项目群计划综合管理(日常运营/设备管理)IT治理项目管理IT服务管理需求管理基础架构运维管理应用运维管理技术运维管理信息安全管理92010,德勤华永会计师事务所有限公司ITRiskManagement企业企业ITIT成熟度模型成熟度模型桌面服务桌面服务(文书、计算、存储服务文书、计算、存储服务)第一级第一级PC
3、在企业已经普及,文件处理、存在企业已经普及,文件处理、存储以及部分计算工作,由电脑完成。储以及部分计算工作,由电脑完成。IT以桌面服务为主。以桌面服务为主。第二级第二级IT成为企业内部沟通的常用渠道,成为企业内部沟通的常用渠道,网络已经成为企业日常运营不可网络已经成为企业日常运营不可分割的部分。分割的部分。第三级第三级IT开始为企业日常管理提供开始为企业日常管理提供服务,表现在企业的日常运服务,表现在企业的日常运营开始依赖于营开始依赖于IT系统。系统。第四级第四级IT作为支持业务的核心,作为支持业务的核心,大量的业务流程均基于业大量的业务流程均基于业务系统进行务系统进行第五级第五级IT为企业提
4、供基于信息为企业提供基于信息的服务,成为业务的的服务,成为业务的推动者推动者网络服务网络服务(邮件、网站、远程会议等邮件、网站、远程会议等)业务应用建设业务应用建设(OA, 财务财务,合同,库存合同,库存)核心应用及应用整合核心应用及应用整合信息服务信息服务信息集中信息挖掘决策支持知识管理102010,德勤华永会计师事务所有限公司ITRiskManagement如何管理如何管理ITIT?IT的地位如何?该做什么?该怎么做?有没有做到?IT目标与业务目标相一致IT战略规划IT战术计划及项目建设IT绩效管理及内部控制IT治治理理112010,德勤华永会计师事务所有限公司ITRiskManageme
5、nt目录1.背景介绍2.德勤相关调查报告介绍3.风险驱动的IT内控体系建设4.IT风险管理相关服务体系总体介绍5.IT风险/信息安全合规管理及整合服务介绍6.信息安全风险管理及敏感信息保护服务介绍7.IT服务管理体系建设服务介绍8.业务连续性及IT外包管理服务介绍9.部分典型案例介绍10.关于德勤122010,德勤华永会计师事务所有限公司ITRiskManagement德勤相关调查报告介绍(一)德勤相关调查报告介绍(一)2009年IT与业务平衡情况调查132010,德勤华永会计师事务所有限公司ITRiskManagement演变和趋势演变和趋势 信息技术对业务的影响信息技术对业务的影响在信息技
6、术的效率方面(自动化以及在更低成本下的更快速的运行)将仍然是体现信息技术价值的重要因素,但是它的普及性是个问题。面对新的挑战,信息技术的代表认识到他们不断变化的角色将更有可能面向业务本身而非面向他们的业务伙伴。142010,德勤华永会计师事务所有限公司ITRiskManagementIT IT 治理治理IT仍然没有全部参与进去:大约一半的受访者经常在董事会层面讨论IT问题;而另一半则很少或从来没有讨论过。尽管IT问题会出现在董事会的议事日程中,但是IT管理层的参与仍然不够。IT指导委员会可望在董事会层面来监督和促使IT问题的讨论,但是事实上在某些国家他们看起来不能总是得到其应有的重视。IT和业
7、务战略之间达到一致必须在预算之外IT和业务战略达到一致的过程可能仍然被过多地视为是一种与预算挂钩的一次性过程。从全球来看, 各种组织必须将他们的注意力集中于IT目标与总体战略方向的兼容性上。使高层聆听使高层聆听IT的声音的声音让让IT与业务战略相一致与业务战略相一致152010,德勤华永会计师事务所有限公司ITRiskManagementIT IT 管理管理IT为业务项目提供支持,但仍然没有在启动阶段就作为一种驱动力来表现。IT治理模型在IT全速管理中起到重要作用:IT在越高的治理层面被考虑,它就会在业务项目启动时作为一种驱动力发挥更多作用。“IT 管理” 应该不再等同于“IT部门”. 随着业
8、务的进行,信息技术交织与业务日益交织到一起,业务决策和IT决策的边界变得模糊。二者共同创造的价值需要越来越多超越传统界限的“责任共享”但在达成共识方面仍有进步的空间。以信息技术为驱动力以信息技术为驱动力共享业务和共享业务和IT之间的责任之间的责任162010,德勤华永会计师事务所有限公司ITRiskManagementIT IT 外包外包 - - 使用不同的外包风格使用不同的外包风格内包和外包这两种类型仍然存在,总体上来讲,也是最为普遍的外包类型,但地区之间也存在着显著差异。主要的外包类型主要的外包类型取决于需取决于需求求人员外包人员外包任务外包任务外包流程外包流程外包项目总包项目总包完全内部
9、的完全内部的IT组织组织多外包协作多外包协作172010,德勤华永会计师事务所有限公司ITRiskManagement目录1.背景介绍2.德勤相关调查报告介绍3.风险驱动的IT内控体系建设4.IT风险管理相关服务体系总体介绍5.IT风险/信息安全合规管理及整合服务介绍6.信息安全风险管理及敏感信息保护服务介绍7.IT服务管理体系建设服务介绍8.业务连续性及IT外包管理服务介绍9.部分典型案例介绍10.关于德勤182010,德勤华永会计师事务所有限公司ITRiskManagementITIT风险管理体系与风险管理体系与ITIT管理框架管理框架参考模型参考模型ISO 20000ITIL 3.0IS
10、O 27001业务要求业务要求管理框架管理框架过程改进过程改进PDCA监管要求业务要求IT风险评估IT风险规划IT 控制目标选择IT管理领域管理领域软件开发管理(CMMI)IT运维管理(ISO 20000/ITIL)信息安全管理 (ISO 27001)业务连续性管理 (BS 25999)组织及职责方针及政策战略规划绩效管理IT审计IT合规管理参考模型参考模型COBITITIT风险评估及规划风险评估及规划IT风险处理风险处理192010,德勤华永会计师事务所有限公司ITRiskManagement驱动业务目标监管要求(SOX)COSO公司治理BS 25999ISO 27001ISO 20000/
11、ITIL最佳实践业务连续性管理COBIT信息安全管理IT服务管理平衡计分卡ITIT管理与国际管理与国际ITIT管控框架管控框架IT控制目标管理体系20ITRiskManagementITIT治理模型治理模型角色与职责角色与职责IT治理模型治理模型治理IT确保业务与IT战略的一致性批准IT投资领导IT治理 评估及批准项目方案评估业务与战略是否一致监控项目组合及项目管理活动确保项目的成功实施IT战略、规划及预算制订推动IT决定治理企业IT架构监控及管理IT采购IT合规监察需求项目组合管理办公室项目组合管理办公室 (PMO)协调项目的开发进行项目组合及项目管理推动跨项目沟通结合IT战略、规划及预算协
12、同管理IT投资组合212010,德勤华永会计师事务所有限公司ITRiskManagementITIT内控体系内控体系IT内控要求IT内部内部控制控制q为实现IT战略,需要识别、开发、采购及实现IT解决方案;q对现有系统的变更及维护管理。q交付业务所需的IT服务;q对安全、可用性、连续性及服务级别进行管理;q对数据的管理;qIT日常运营操作。q对IT服务的能力进行监控,对绩效进行评估;q对IT内部控制的监控;q对IT合规的控制;q进行IT治理。q包括IT的战略规划及战术计划,以及IT如何最佳地支持和实现业务目标;qIT的目标及方向应当被计划、沟通及管理;q应当建立IT的组织结构及技术架构。222
13、010,德勤华永会计师事务所有限公司ITRiskManagementITIT风险管理体系架构风险管理体系架构内部审计持续改进业业务务导导向向的的风风险险评评估估方方法法论论风险评估过程风险处理过程风险处理计划实际残留风险信息资产业务流程信息系统组织结构方针政策意识文化流程控制物理设施、硬件网络环境系统及工具软件软软投投入入基础基础设施设施人员管理日常运营威胁弱点现有控制措施风风险险要要素素评评估估对对象象控制措施知识库威胁库弱点库风险事件知识库风险风险知识知识库库风险指标库风险分级指南风险管理策略管理机制知识库技术措施知识库风风险险库库业务目标业务需求风险管理目标监管及法规要求相关标准要求客户
14、要求风风险险管管理理要要求求及及目目标标风险基线预计残留风险232010,德勤华永会计师事务所有限公司ITRiskManagement目录1.背景介绍2.德勤相关调查报告介绍3.风险驱动的IT内控体系建设4.IT风险管理相关服务体系总体介绍5.IT风险/信息安全合规管理及整合服务介绍6.信息安全风险管理及敏感信息保护服务介绍7.IT服务管理体系建设服务介绍8.业务连续性及IT外包管理服务介绍9.部分典型案例介绍10.关于德勤242010,德勤华永会计师事务所有限公司ITRiskManagement我们的服务范围我们的服务范围IT规划规划系统建设系统建设运行维护运行维护IT治理及投资组合优化IT
15、风险管理体系项目组合管理IT服务管理体系(ITIL/ISO 20000)信息安全管理:安全评估/安全体系规划/ISMS建设/数据及隐私保护(ISO 27001)业务连续性管理(BS 25999)IT审计IT和信息安全合规管理IT绩效管理/KPI体系建设IT外包管理252010,德勤华永会计师事务所有限公司ITRiskManagementITRiskManagementIT风险管理及治理服务介绍262010,德勤华永会计师事务所有限公司德勤的德勤的ITIT风险管理体系建设方法论风险管理体系建设方法论实现全面的信息科技风险管理体系建设,应参考业界最佳实践和监管要求,首先了解IT风险管理现状,在现有
16、的操作风险管理框架下制订IT风险管理体系评估、监控、分析等各个模块的管理要点,继尔梳理或修订相对应的制度/流程,在此基础上对其运作情况进行持续监控。2727ITRiskManagementITIT治理治理q业务一致vIT的战略、服务的提供应当与业务发展方向保持一致;q价值交付vIT服务应当按照业务预期的方式交付;vIT服务的流程应当具有效率和效能;q风险管理vIT对于监管要求的满足、IT业务过程中风险的评估及处理;q投资组合vIT的投资应当具备成本-效益,应对项目组合进行优先排序;q组织职责v应当建立符合治理结构和风险管理的组织结构和职责;q绩效管理v应当建立基于价值和风险的绩效指标,并对IT
17、绩效进行管理。282010,德勤华永会计师事务所有限公司ITRiskManagementITIT治理概要治理概要业务目标业务需求IT规划IT项目建设部门职责及目标IT目标战术计划绩效管理财务财务愿愿景景内部内部流程流程客户客户学习学习与成长与成长人才培养信息安全管理业务连续性内部审计投资组合管理应用开发系统集成体系建设日常运营岗位职责及技能要求战战略略内部内部流程流程客户客户学习学习与成长与成长方针政策意识文化业务流程物理设施、硬件网络环境系统及工具软件软软投投入入基基础础设设施施IT基础架构基础架构292010,德勤华永会计师事务所有限公司ITRiskManagement业绩: 业务目标合规
18、性:SOX公司治理IT 治理BS 25999ISO 27001ISO 20000/ITIL最佳实践业务连续性管理流程及程序驱动COBITCOSO信息安全管理IT服务管理平衡计分卡我们的方法论与我们的方法论与COBITCOBIT、国际标准和最佳实践的关、国际标准和最佳实践的关系系302010,德勤华永会计师事务所有限公司ITRiskManagement目录1.背景介绍2.德勤相关调查报告介绍3.风险驱动的IT内控体系建设4.IT风险管理相关服务体系总体介绍5.IT风险/信息安全合规管理及整合服务介绍6.信息安全风险管理及敏感信息保护服务介绍7.IT服务管理体系建设服务介绍8.业务连续性及IT外包
19、管理服务介绍9.部分典型案例介绍10.关于德勤312010,德勤华永会计师事务所有限公司ITRiskManagementITRiskManagementIT风险/信息安全合规管理及整合服务介绍322010,德勤华永会计师事务所有限公司合规管理合规管理合规管理合规库知识库合规管理的目标符合国家法律法规、行业规范和企业制度要求,借鉴国际上先进的标准和最佳实践,形成合规指标,指导行业和企业认识自我提升治理水平。3333合规管理合规管理合规管理的方法l 梳理现有组织现有情况;l 进行合规指标表填报。合规库应用l 将各类信息分类存入知识库以备使用;l 根据组织需求,制定培训计划调用数据作为案例,知识应用
20、。知识库应用3434合规库的内容l从信息安全管理、内控、最佳实践、安全审计、风险管理、成熟度等方面对ISO27001、ISO38500、ISO20000、COBIT、萨班斯、等级保护等标准进行深入分析,结合国航实际建设运行情况进行梳理,形成整合后的合规指标。l本次IT风险和安全合规整合是以信息安全为主线,根据国航现有情况,本着提升信息安全的目标,有针对性的从六个标准中不同的方向、内容、角度,全面研究制定IT风险和安全合规整合。合规管理合规管理合规库的内容标准名称标准内容治理比例COBITcobit4.1版有34个域14个流程210个控制点其中与行业标准相关并且可用于IT审计的流程有26个ISO
21、27001ISO27001有11域39个目标133个控制点全部参照ISO20000ISO20000有5大流程13子流程全部参照SOXSOX共十一个章节1107个小节取其公司IT内控部分共12个目标ISO38500ISO38500共分为4大类根据治理测评取其16个目标等级保护国家分为5级,分为管理和技术部分按照行业情况取1-4级技术部分合规管理合规管理从六个标准中不同的方向、内容、角度对适合项梳理ISO27001ISO20000ISO38500COBIT萨班斯等级保护合规库建立过程合合规库分类合规库的内容合规管理合规管理- 38 -CoBit (26目标)目标)ISO27001(39目标)目标)
22、ISO20000(17目标)目标)ISO38500(16目标)目标)SOX (17目标)目标)等级保护等级保护(56目标)目标)安全审计、成熟度模型信息安全IT运行流程治理测评内控安全测评1.定义信息体系结构2.确定技术方向3.传达管理目标和方向4.人力资源管理5.需求管理6.风险评估7.项目管理8.获取并维护应用程序软件9.获取并维护技术基础设施10.程序开发与维护11.系统安装与鉴定12.变更管理13.定义并管理服务水平14.管理第三方的服务15.管理性能与容量16.确保系统安全17.确定并分配成本18.配置管理19.处理问题和突发事件20.数据管理21.设施管理22.运营管理23.过程监
23、控24.评价内部控制的适应性25.获取独立保证26.提供独立的审计1.内部组织 2.外部各方 3.对资产负责 4.信息分类 5.任用之前 6.任用中 7.任用的终止或变化 8.安全区域 9.设备安全 10.操作规程和职责 11.第三方服务交付管理 12.系统规划和验收 13.防范恶意和移动代码 14.备份 15.网络安全管理 16.介质处置 17.信息的交换 18.电子商务服务 19.监视 20.访问控制的业务要求 21.用户访问管理 22.用户职责 23.网络访问控制 24.操作系统访问控制 25.应用和信息访问控制 26.移动计算和远程工作 27.信息系统的安全要求 28.应用中的正确处理
24、 29.密码控制 30.系统文件的安全 31.开发和支持过程中的安全 32.技术脆弱性管理 33.报告信息安全事态和弱点 34.信息安全事件和改进的管理 35.业务连续性管理的信息安全方面 36.符合法律要求 37.符合安全策略和标准以及技术符合性 38.信息系统审计考虑管理39.合规性声明1.IT服务方针和框架2.服务管理的实施与交付3.实施服务管理目标和计划4.监视、测量并评审服务管理目标和计划的完成情况5.改进服务交付和管理的效率和有效性6.管理并交付新服务或服务的变更7.服务等级管理8.服务报告9.实现向顾客承诺的服务连续性和可用性10.制定预算并解释服务提供成本11.确保容量以满足当
25、前和未来的业务需求12.在所有服务活动中有效管理信息安全13.确保服务提供商提供高质量的无缝服务14.业务服务响应服务要求15.服务抱怨16.顾客满意度调查17.合同争议管理1.对分配职责进行评价2.确保能够胜任所分配的职责3.监控所分配职责的实施4.考虑机遇使IT更好的服务于业务发展5.分配其当下的活动6.指导计划的实施与发展以弥补差距7.基于适当的和持续的分析8.清晰可见的决策9.具有合理的理由确定IT的采购(获取)10.适用于组织的目的11.满足将来业务要求12.符合强制法律要求13.每个人与小组都必须要理解及接受他们自身的职责14.不论是使用IT还是供应IT,必须要有相关的授权15.I
26、T的能力必须要满足企业内现在及未来的业务战略方向16.IT的获得都是经过长期的分析1.合理的治理结构、内部机构设置与权责分配2.建立良好的企业文化3.建立良好人力资源政策4.长效的内部审计机制5.建立风险评估制度6.设定目标7.识别风险8.风险分析9.风险策略10.紧抓企业内控核心11.建立高效的信息搜集渠道12.健全企业内部及外部信息联系与沟通13.提高监督检查工作的针对性和时效性14.通过实施监督检查不断提高信息与沟通的质量和效率15.评价证明内控是否有效的进行16.审计真实有效的反应客观事实17.专门的审计部门(小组)承担该责任1.信息安全规划与设计2.安全组织和机构3.等级保护定级4.
27、人员配备5.授权和审批6.沟通和合作7.审核和检查8.第三方管理人员9.信息安全制度管理10.系统开发的安全11.信息安全工程实施12.等保定级合规性测试13.安全服务商的选择14.安全事件管理15.安全运行维护16.安全监控检查及持续改进17.信息系统的终止及销毁18. 。国航信息安全合规性审计要点(合并共计国航信息安全合规性审计要点(合并共计82个目标)个目标)1.是否有IT服务方针和建立健全IT框架2.是否有IT安全组织及安全人员支持3.是否对重要信息资产进行有效管控4.是否对内外部IT相关人员进行有效管控5.是否定期进行信息安全风险评估6.管理第三方的服务7.管理性能与容量8.确保系统
28、安全9.是否针对风险评估结果进行有效的风险控制10. 是否针对风险评估结果进行有效的风险控制11. 是否进行有效的内部检查和监控12. 是否持续有效的改进IT业务流程13. 是否对第三方服务和支持人员进行管理和监控14.是否建立有安全事件管理流程,并形成应急预案15.是否定期进行内部人员的安全培训和教育16.是否对到期信息系统进行合理终止和有效销毁17. 是否定期进行内部或者外部审核18.是否IT的能力必须要满足企业内现在及未来的业务战略方向19.是否信息安全工程实施20.是否等保定级合规性测试21.是否做到安全监控检查及持续改进22.是否做到信息系统的终止及销毁23.是否监视、测量并评审服务
29、管理目标和计划的完成情况24.改进服务交付和管理的效率和有效性合规指标合规管理合规管理合规库分为关系表和实施表。合规库关系表合规执行层实施表ISO27001、ISO20000、ISO38500、SOX、COBIT、等级保护等域目标目标描述控制点控制点描述控制方法合规库的建立合规管理合规管理安全合规知识库,涉及国家法律法规、国家标准、行业规范、企业制度、各类事件管理数据,为相关工作提供信息检索和知识获取,为员工培训实现充足的数据支撑。知识库的定义合规管理合规管理ITRiskManagement目录1.背景介绍2.德勤相关调查报告介绍3.风险驱动的IT内控体系建设4.IT风险管理相关服务体系总体介
30、绍5.IT风险/信息安全合规管理及整合服务介绍6.信息安全风险管理及敏感信息保护服务介绍7.IT服务管理体系建设服务介绍8.业务连续性及IT外包管理服务介绍9.部分典型案例介绍10.关于德勤412010,德勤华永会计师事务所有限公司ITRiskManagementITRiskManagement信息安全风险管理及敏感信息保护服务介绍422010,德勤华永会计师事务所有限公司ITRiskManagement信息安全管理体系架构信息安全管理体系架构监管及法监管及法规要求规要求相关标准相关标准最佳实践最佳实践相关指南相关指南信息安全信息安全管理体系管理体系在满足国际/国内监管要求的同时,依据ISO
31、27001标准要求,建设符合国际安全标准的信息安全管理体系。1.识别监管机构和相关法律法规要求,以确保满足合规要求;2.基于相关国际、国内标准要求(例如ISO 27001)建设信息安全管理体系,使体系建设的过程和结果符合标准要求。使客户可以更为顺利地申请认证;3.参考风险管理的相关指南,包括信息安全风险评估指南(ISO 27005),国标信息安全风险评估指南、CORAS及SP 800-30等指南,使风险评估的结果能够在多层面多角度展示企业信息安全风险;4.信息安全风险处理过程结合德勤行业风险知识库(RACK),基于行业特点和客户业务特性部署安全控制措施。432010,德勤华永会计师事务所有限公
32、司ITRiskManagement信息安全建设路线图安全矩阵对单个安全过程,测量效率,效果,价值和持续的性能提升发展发起股东安全项目股东支持项目并承担责任安全策略与标准策略与标准定义责任,行为和标准保证存在审计,监控和报告过程和控制以确保它们符合标准并且有效功能和物理的安全架构建立标准和技术以支持与股东的互动安全组织架构授予个人和组织权力,责任,以支持架构信息安全战略与原则从业务战略出发定义清晰的,与技术无关的原则符合性和认证建立符合性测量和报告系统信息安全控制定义安全控制建立管理风险的一致基础安全成熟度概念上的安全架构存在架构原则和策略以定义核心的安全职能安全管理授权,运作,事件,问题,变更
33、,配置,监控442010,德勤华永会计师事务所有限公司ITRiskManagement敏感信息保护敏感信息保护 信息资产管理信息资产管理q识别业务相关的信息资产,明确具体管理对象;q应用安全体系的信息资产分级标准,基于资产价值对业务相关信息资产进行分级;q结合财务管理,对资产的分布、利用率、容量进行资产管理;q基于资产级别细化访问控制和信息传输方针;q明确和细化信息资产的管理职责,并指派到岗到人。角色包括:v资产所有者v资产保管者v资产使用者v监管者v审计者q围绕信息资产的生命周期,基于风险管理信息安全。信息处理信息存储信息使用信息传输信息输出信息输入信息销毁信息资产生命周期信息资产识别及分级
34、,能够使管理者明确管理对象,并基于价值进行风险管理。信息资产生命周期的不同环节,伴随有不同的风险。需要结合各环节的具体流程对风险进行评估及处理,通过优化流程保障信息资产安全。452010,德勤华永会计师事务所有限公司ITRiskManagement敏感信息保护敏感信息保护 业务风险评估业务风险评估鉴别个人权责与信息所有权鉴别个人权责与信息所有权分析业务活动数据热点与关键环境分析业务活动数据热点与关键环境12对应管控部署与管控部署与绩效指效指标3确确认信息保信息保护基准基准Systems Hardening Guidelines4462010,德勤华永会计师事务所有限公司ITRiskManage
35、ment敏感信息保护敏感信息保护 防数据泄漏防数据泄漏选择合适工具选择合适工具部署与监控部署与监控5留存保留存保护活活动记录与与轨迹迹6数位鉴识与犯罪数位鉴识与犯罪/舞弊侦防舞弊侦防7定期定期RCSA发现新热点与弱点发现新热点与弱点8472010,德勤华永会计师事务所有限公司ITRiskManagement应用开发安全管理开发过程安全开发过程安全q访问控制q物理安全q设备安全q网络安全q信息交换q开发文档安全q人员安全q安全需求分析q安全架构设计q安全编码q安全测试q渗透性测试q发布安全应用软件安全应用软件安全应用系统开发应用系统开发项目启动项目启动系统上线系统上线系统维护系统维护系统处置系统
36、处置系统开发系统开发信息安全应贯穿于软件开发生命周期整个环节,并且渗透入软件自身的安全。而软件开发安全也应当于整体风险管理体系相结合,例如外包风险。482010,德勤华永会计师事务所有限公司ITRiskManagement德勤信息安全知识库德勤信息安全知识库业务目标业务需求信息资产安全控制措施知识库威胁库安全目标业务流程安全行业风险知识库财务财务愿愿景景内部内部流程流程客户客户学习学习与成长与成长内部审计持续改进弱点库方针政策意识文化流程控制物理设施、硬件网络环境系统及工具软件软软投投入入基基础础设设施施信息安全落实机制信息安全落实机制信息系统安全行业安全事件知识库管理机制知识库技术措施知识库
37、业务导向的信业务导向的信息安全体系息安全体系信息安全信息安全控制库控制库行业风险库行业风险库n业务导向的安全业务导向的安全体系建设方法论体系建设方法论n行业风险库行业风险库n安全控制库安全控制库n体系落实指南体系落实指南德勤德勤风险风险知识知识库库绩效指标绩效指标492010,德勤华永会计师事务所有限公司ITRiskManagement目录1.背景介绍2.德勤相关调查报告介绍3.风险驱动的IT内控体系建设4.IT风险管理相关服务体系总体介绍5.IT风险/信息安全合规管理及整合服务介绍6.信息安全风险管理及敏感信息保护服务介绍7.IT服务管理体系建设服务介绍8.业务连续性及IT外包管理服务介绍9
38、.部分典型案例介绍10.关于德勤502010,德勤华永会计师事务所有限公司ITRiskManagementITRiskManagementIT服务管理体系建设服务介绍512010,德勤华永会计师事务所有限公司ITRiskManagement德勤ISO20000IT服务管理体系导入方法论4.4.服务服务运营运营维护维护ITIT服务服务的的运作运作计算信息服务成本快速的服务事件处理和 反应能力3.3.服务服务 转移转移建立建立转移转移ITIT服务服务避免服务移转过程 对企业造成冲击降低对服务运作环 境造成影响2.2.服务服务设计设计规划设计规划设计ITIT服务服务依据企业需求拟定服务计划以服务角度
39、设计财务与服务框架5.5.持续持续改善改善ITIT服务持续改善服务持续改善设计流程服务报告建立绩效指标建立PDCA持续改善机制522010,德勤华永会计师事务所有限公司ITRiskManagement德勤深知如何妥善配置资源 1.强化组织客户服务报告,融入端到端的IT服务管理架构,以确保SLA与客户需求的符合程度。 2.整理事件分类与处理优先级,并加强处理经验积累,杜绝潜在问题发生 3.部署配置管理工具,开发配置管理数据库,并有效整合其他流程的管理绩效指标及服务报告(KPI & Service Report)。 4.建立IT服务/系统资源规划的程序,依目前资源可达到的服务级别,结合历史数据分析
40、,拟定短中长期能力计划 5.建立以IT服务为中心的预算编列、监控及报告的成本管理机制;计算出各服务每期所产生的总服务成本 6.配合服务级别目标导向的管理机制,利用服务报告追踪落实度,并针对银行不同管理阶层,分别开发合适的服务报告内容。 532010,德勤华永会计师事务所有限公司ITRiskManagement以层次式架构,整合组织内外部管理要求质量管理政策IT服务管理政策测量改善管理办法上线管理办法变更管理办法变更上线标准作业程序事件异常排除标准作业程序需求管理标准作业程序系统变更申请单系统测试报告模板变更上线系统操作指南以层次式架构区分信息流程执行重点一阶政策二阶办法三阶程序四阶表格通过政策
41、制定,表现信息组织对治理制度的策略及管理目标整合ISO9000/ISO20000的文管机制、组织资源、查核机制、控管要求对于详细标准作业方式,设计整合管理流程,避免重复工作及多余活动对于员工实际作业使用的活动申请单,以单一格式达到多方管控要求542010,德勤华永会计师事务所有限公司ITRiskManagement利用Deloitte Global KPI数据库,协助银行进行绩效衡量指标的设计参考Deloitte IT KPI数据库决定KPI优先级n厘清流程目标n决定各IT KPI的重要程度与优先级设计适合的KPIn依据业务特性与策略目标选定适合的IT KPI生成符合管理层需要的服务报告552
42、010,德勤华永会计师事务所有限公司ITRiskManagement目录1.背景介绍2.德勤相关调查报告介绍3.风险驱动的IT内控体系建设4.IT风险管理相关服务体系总体介绍5.IT风险/信息安全合规管理及整合服务介绍6.信息安全风险管理及敏感信息保护服务介绍7.IT服务管理体系建设服务介绍8.业务连续性及IT外包管理服务介绍9.部分典型案例介绍10.关于德勤562010,德勤华永会计师事务所有限公司ITRiskManagementITRiskManagement业务连续性及IT外包管理服务介绍572010,德勤华永会计师事务所有限公司ITRiskManagement德勤对德勤对BCMBCM目
43、标的理解目标的理解q一个全盘的BCM框架(请参考右边的图示) 为制定BCM程序提供了强大的基础;q当面临影响业务正常运作的事件时,建立在完善的业务影响评价制度之上的并符合实践的计划将持续发挥重要的作用;q业务持续性管理安排将根据银行业务活动的改变而进行随时调整;q在组织内部明确了“了解-接受-拥有 ”的阶梯方法。了解及建立培训维护测试业务持续项目(Program)管理业务持续性管理BCM策略BCM治理框架关键业务活动的DRP组织危机管理计划关键业务活动的BCP582010,德勤华永会计师事务所有限公司ITRiskManagementITIT外包管理咨询外包管理咨询.n更新的外包战略n改进的能力
44、和绩效n成本控制及降低n改善现金流及节约资产投资n聚焦于核心竞争能力n成功的战略供应商合作伙伴关系关键输出关键输出外包流程外包流程德勤基于长期在IT外包市场的研究以及协助客户解决问题的经验,开发出IT外包管理策略以及指南,协助企业解决外包战略、服务商选择与变更以及外包关系管理等方面遇到的挑战。开发开发IT外包战略外包战略n识别外包现状n确认外包的业务驱动n开发/精化外包准则n识别及选择外包策略n差距评估n准备外包业务案例n开发移交策略n建立外包绩效指标n准备方案邀请书n评估供应商能力n选择供应商n就合同条款及价格进行谈判n管理IT供应商采购流程n服务移交n合同转移选择供应商及移交选择供应商及移
45、交管理供应商关系管理供应商关系n度量供应商绩效指标n进行价值审计n跟踪及管理合同执行n管理外包风险n开发/提升现有服务产品592010,德勤华永会计师事务所有限公司ITRiskManagement目录1.背景介绍2.德勤相关调查报告介绍3.风险驱动的IT内控体系建设4.IT风险管理/信息安全相关服务体系总体介绍5.IT风险/信息安全合规管理及整合服务介绍6.信息安全风险管理及敏感信息保护服务介绍7.IT服务管理体系建设服务介绍8.业务连续性及IT外包管理服务介绍9.部分典型案例介绍10.关于德勤602010,德勤华永会计师事务所有限公司ITRiskManagement案例案例1 - 1 - 信
46、息科技风险管理信息科技风险管理项目背景及工作内容:项目背景及工作内容:在银监会发布 商业银行信息科技风险管理指引(简称“指引”)后,银行为落实指引要求,从10多家公司中选择德勤,为其提供信息科技风险评估、体系规划和实施等服务。我们的团队通过分析指引要求,并结合国际标准(ISO27001)、最佳实务(COSO ERM、ITIL、COBIT等)、法规要求(如监管机构相关要求),以德勤在全球和中国金融行业服务中形成的知识库为基础,对银行的信息科技风险情况进行了总体评估。我们在评估的基础上帮客户制订了信息科技风险管理策略、建立了相关的治理模型、识别和分析了客户相关的信息科技风险库,实现对银行信息科技风
47、险的识别、计量、监测和控制,并针对识别的重要IT风险提供了应对建议和关键风险管理指标体系。同时,项目组还对银行的现有信息科技风险管理制度进行梳理和差距分析,并在此基础上形了一套完善的制度体系框架。客户客户: : 一家全国性的股份制商业银行(上市公司)一家全国性的股份制商业银行(上市公司)项目项目: : 信息科技风险管理体系的咨询与实施信息科技风险管理体系的咨询与实施612010,德勤华永会计师事务所有限公司ITRiskManagement案例案例1 - 1 - 信息科技风险管理(续)信息科技风险管理(续)项目收益:项目收益:完成全行的整体信息科技风险评估,了解全行的信息科技风险管理情况;形成了
48、先进的信息科技风险管理策略,以及配套的信息科技风险治理模型;一套完善的信息科技风险库和对应的应对策略;建成了信息科技风险的关键风险指标体系和报告机制;通过交流、培训、视频课件等形式,提升了全行不同层面的风险意识和信息安全意识;具有可操作性的后续实施路线图;通过项目知识转移,加强了全行信息科技、风险管理、审计等不同条线在信息科技风险管理方面的技术和能力;。客户客户: : 一家全国性的股份制商业银行(上市公司)一家全国性的股份制商业银行(上市公司)项目项目: : 信息科技风险管理体系的咨询与实施信息科技风险管理体系的咨询与实施622010,德勤华永会计师事务所有限公司ITRiskManagemen
49、t案例案例2 - 2 - 信息科技治理信息科技治理项目背景及工作内容:项目背景及工作内容:银行希望按照业务发展目标和信息科技现状,结合外部监管要求,为银行制定IT治理体系,包括信息科技治理架构、IT建设蓝图及实施计划。基于德勤IT治理方法论及德勤特有的风险/价值分析工具,对银行的现状进行评估;对需求进行分析;对远景进行规划;并制定详细的实施计划,为银行全行搭建IT治理的整体框架,协助其编制未来3至5年间IT治理体系的实施路线。项目收益:项目收益:掌握信息科技治理现状,以及与领先实践的差距;明确了信息科技发展的战略目标、实施蓝图和相应的治理架构;明确了信息科技发展的实施路线图和方案。客户客户:
50、: 某地区性商业银行某地区性商业银行项目项目: : 信息科技治理及实施规划信息科技治理及实施规划632010,德勤华永会计师事务所有限公司ITRiskManagementn依据规划和实施情况,为年度计划和预算的制定提供支持n根据定期评估的结果,更新规划内容和年度计划n负责实施过程中整体IT架构的管理,确保实施与总体架构相符,对于可能影响架构的情况进行掌控,并根据需要对架构进行更新StrategyProgramme DeliveryBusinessStrategyStrategic ProgrammeManagementStrategyBusinessStrategyStrategic Prog
51、rammeManagementProgramme DeliveryStrategyProgramme DeliveryBusinessStrategyStrategic ProgrammeManagementStrategyIT规划规划与架构管理项目实施管理总体实施管理n从全局角度掌握规划和计划的执行情况,从各实施项目组获取和汇总所需的各种信息;n协调不同项目之间的资源、交流和沟通;n有效控制信息化实施的风险、质量和成本;n直接参与战略型关键项目的管理,确保项目按时、保质、在预算内完成n为项目的实施提供专家服务(包括业务方案设计、系统架构设计、产品选型、概念验证、验收测试等),确保规划的理念能
52、在实施过程中落实项目1项目2项目在信息化规划的框架内,客户PIO着眼于规划与架构、总体实施和项目实施三个自顶向下分解的层次,关注各个层次面临的管理挑战,通过合理的组织和高效的管理执行,确保规划的落实,实现IT投资和收益的目标。案例案例3 - 信息科技战略规划与实施信息科技战略规划与实施客户客户: : 某领先国有政策性银行某领先国有政策性银行项目项目: : 信息科技战略的咨询与实施信息科技战略的咨询与实施642010,德勤华永会计师事务所有限公司ITRiskManagement案例案例4 - 4 - 信息安全管理体系咨询信息安全管理体系咨询项目背景及工作内容:项目背景及工作内容:我们的团队通过分
53、析并结合国际标准(如ISO17799/27001)、最佳实务(如COBIT)、监管要求,以及德勤在全球和中国的经验,帮助客户制定了信息安全战略规划。 客户通过结合自身的业务战略、信息技术战略与信息安全战略,对其安全路标有了清晰的认识。我们还协助银行完善和明确跨部门的信息安全小组的职责和工作机制,并协助客户设计部分速赢项目,如某些重要的政策/程序以及几个议定项目的可行性研究。项目收益:项目收益:建立与业务战略方向一致的信息安全规划,完善信息安全治理架构;建立信息安全项目群和建设路线图;明确信息安全管理流程,制订制度体系,并协助完成部分制度的编写工作;。客户客户: : 一家全国性的股份制商业银行一
54、家全国性的股份制商业银行项目项目: : 信息安全管理体系的战略规划与初步实施信息安全管理体系的战略规划与初步实施652010,德勤华永会计师事务所有限公司ITRiskManagement案例案例5 ISO270015 ISO27001认证咨询服务认证咨询服务项目背景及工作内容:项目背景及工作内容:某基金管理公司为提升其信息安全管理水平,聘请德勤提供ISO27001方面的咨询。德勤通过了两个阶段五个步骤,找出该公司与标准要求方面的差距,并指导其进行相应的完善工作,帮助客户顺利通过认证。同时,德勤还针对客户需求提供了相关的培训服务。项目收益:项目收益:优化的公司信息安全战略,实现对业务战略的更好的
55、支持;建立了明确的信息安全政策和流程,推动了企业安全文化建设,提高企业信息安全水平;为通过ISO27001的认证做好了准备。客户客户: :某华东地区金融业基金管理公司某华东地区金融业基金管理公司项目项目: ISMS: ISMS体系相关的咨询、培训服务体系相关的咨询、培训服务 662010,德勤华永会计师事务所有限公司ITRiskManagement案例案例6 -6 - IT IT服务管理服务管理(ITSM)(ITSM) 咨询咨询项目背景及工作内容:项目背景及工作内容:为保证行内信息化管理的战略目标,该银行希望能改善IT服务管理和信息化项目开发管理的整体管理水平。德勤基于ISO20000国际标准
56、与德勤全球领先相关行业经验协助客户制订了信息化项目开发管理及IT服务管理的制度与流程。项目收益:项目收益:通过该项目,该银行很快基于德勤设计的制度和流程实施了IT服务管理流程。客户客户: :某国有政策性银行某国有政策性银行项目项目: : IT服务管理服务管理(ITSM)咨询咨询打印中心672010,德勤华永会计师事务所有限公司ITRiskManagement案例案例7 7 业务持续性管理业务持续性管理项目背景及工作内容:项目背景及工作内容:为了提升市场竞争力,该银行邀请德勤,基于银行对于风险控制的战略要求,以风险战略、银行运营核心价值为出发点,结合其全面风险管理规划,对银行的业务连续性管理(B
57、CM)工作进行整体规划,以建立稳定可靠的业务运行环境,满足监会的商业银行操作风险管理指引和巴塞尔新资本协议当中的高级业务连续性经营原则的要求。我们在项目中在现状分析的基础上,协助客户完善了相关治理架构及职能,并提出了相应的BCM管理办法。随后通过对主要业务、技术、环境与管理的影响性分析和风险评估,考虑组织的业务发展情况、信息化建设等情况,系统地规划危机管理的有效组织与报告,业务连续性计划的业务优先级划分与紧急恢复步骤,以及灾难恢复计划中关于重要系统、资源及场所的恢复策略及措施。客户客户: : 五大国有商业银行之一五大国有商业银行之一项目项目: : 业务持续性管理业务持续性管理682010,德勤
58、华永会计师事务所有限公司ITRiskManagement案例案例7 7 业务持续性管理(续)业务持续性管理(续)项目收益:项目收益:满足监管部门对于业务持续性管理的要求;通过建立和实施完备的业务连续性管理架构,银行将确保可能的运营中断损失被控制在银行可承受的范围之内;银行的核心运营流程将不会因重大的操作风险事件(如天灾、罢工、重大疫情、系统宕机等)而遭受严重的人员、财产与收益损失。客户客户: : 五大国有商业银行之一五大国有商业银行之一项目项目: : 业务持续性管理业务持续性管理692010,德勤华永会计师事务所有限公司ITRiskManagement案例案例8 - 8 - 信息科技外包风险管
59、理信息科技外包风险管理项目背景及工作内容:项目背景及工作内容:该项目是国内金融行业第一个关于IT外包风险管理方面的专项咨询项目。德勤在项目中协助银行建立了满足银监会商业银行信息科技风险管理指引中IT外包有关要求、符合国内外包领域发展趋势和银行现状的IT外包管理框架,完善IT外包管理制度、细化工作流程和操作办法,以指导银行现有和未来的IT外包管理活动,从而控制银行IT外包风险,提升IT外包管理能力和水平。项目收益:项目收益:统一了IT外包管理策略和工作开展思路;实现了组织级的IT外包供应商管理、人员管理;明确了IT外包风险评估要点。客户客户: : 某全国性商业银行某全国性商业银行项目项目: :
60、信息科技外包风险管理咨询信息科技外包风险管理咨询702010,德勤华永会计师事务所有限公司ITRiskManagement案例案例9 9 信息科技风险评估信息科技风险评估项目背景及工作内容:项目背景及工作内容:银行根据监管机构要求,聘请德勤对其信息科技风险进行评价审计,内容包括:信息科技治理和组织结构信息安全管理信息科技项目开发和变更管理信息系统运行和操作管理业务持续性规划项目收益:项目收益:外部评价审计报告;根据德勤经验和领先实践提供的增值建议。客户客户: : 某全国性商业银行某全国性商业银行项目项目: : 信息科技风险评估信息科技风险评估712010,德勤华永会计师事务所有限公司ITRis
61、kManagement目录1.背景介绍2.德勤相关调查报告介绍3.风险驱动的IT内控体系建设4.IT风险管理相关服务体系总体介绍5.IT风险/信息安全合规管理及整合服务介绍6.信息安全风险管理及敏感信息保护服务介绍7.IT服务管理体系建设服务介绍8.业务连续性及IT外包管理服务介绍9.部分典型案例介绍10.关于德勤11.问题与讨论722010,德勤华永会计师事务所有限公司ITRiskManagementITRiskManagement德勤全球德勤全球q我们是全球四大会计师事务所之一,我们是全球四大会计师事务所之一,q有一百多年的历史,有一百多年的历史,q16万万9千余名员工,遍布在全球千余名员
62、工,遍布在全球140多个国家,多个国家,q2010财年的营业额为财年的营业额为280亿美元。亿美元。q我们向全球客户提供审计、税务、企业财务顾问、我们向全球客户提供审计、税务、企业财务顾问、管理咨询服务等多元化服务;管理咨询服务等多元化服务;q我们为我们为80的世界的世界500强企业提供服务强企业提供服务; 我们服务逾我们服务逾700家年销售额或总资产超过家年销售额或总资产超过10亿美元的公司亿美元的公司 ;超过超过25%的世界知名上市公司是德勤的客户。的世界知名上市公司是德勤的客户。732010,德勤华永会计师事务所有限公司ITRiskManagement德勤中国的业务分布距离德勤在中国的第
63、一个办事处已经接近一百年;今天,德勤中国已经拥有逾8,000名员工,分布在全国14个办事处:北京、重庆、大连、广州、杭州、香港、澳门、南京、上海、深圳、苏州、天津、厦门和武汉;我们是中国大陆及港澳地区居领导地位的专业服务机构之一;我们以全球网络为支持,为国内企业、跨国公司以及高成长的企业提供全面的审计、税务、企业财务顾问、管理咨询服务。北京北京天津天津大连大连南京南京上海上海广州广州香港香港深圳深圳澳门澳门苏州苏州德勤分所杭州杭州重庆重庆742010,德勤华永会计师事务所有限公司ITRiskManagement德勤中国的不同之处德勤中国的不同之处四大会计师事务所中,四大会计师事务所中,唯一唯一
64、一家以企业管理咨询服务作为其核心一家以企业管理咨询服务作为其核心竞争力之一的事务所竞争力之一的事务所为超过为超过8080的财富的财富500500强的中国企业提供服务强的中国企业提供服务为近为近5050的中国的中国100100强企业提供服务强企业提供服务为大约为大约1/31/3的在香港联合交易所上市的公司提供服务的在香港联合交易所上市的公司提供服务为为800800多多家跨国企业及他们在中国的分支机构提供服务家跨国企业及他们在中国的分支机构提供服务是协助中国企业赴海外上市方面的是协助中国企业赴海外上市方面的市场领先者市场领先者,在,在20072007年和年和20082008年,为超过一半的在纽交所
65、和纳斯达克上市的中国企业提供服务年,为超过一半的在纽交所和纳斯达克上市的中国企业提供服务752010,德勤华永会计师事务所有限公司ITRiskManagement德勤企业风险管理服务(ERS)l在IT风险咨询和安全咨询服务方面处于IT咨询服务业和世界四大会计事务所的领先地位,在2009年1季度Forrest(权威调查机构)的评测中,德勤的IT风险咨询和IT安全咨询服务位列世界第一l我们在风险管理、内部控制和信息系统审计领域拥有丰富的项目经验l我们在大中国区拥有超过800人的团队我们的核心服务lIT项目组合管理lIT绩效体系建设lIT整合管理体系建设l信息系统审计l核心系统(ERP)内控管理l数
66、据及隐私保护管理l电子商务/网络解决方案l管理体系运行及改进咨询免责说明:以上的评价报告出自2009年1季度Forrester报告.该报告是Forrester的观点,它是有关特定时间该市场的分析情况介绍.它将Forrester定义的标准和厂商情况进行了比较.有关厂商的级别是根据许多相互影响的因素评定出来的,公司在选择厂商时应当对厂商进行更多的评价。Forrester研究中心明确免除一切担保,为特殊目的表达或暗示某种目的。lIT治理咨询lIT风险管理体系建设lIT/信息安全风险评估lIT外包管理体系建设l信息安全管理体系建设lIT服务/运维管理体系建设l业务连续性管理(BCM)咨询德勤企业风险管
67、理服务762010,德勤华永会计师事务所有限公司ITRiskManagement 谢谢 江江 电话:+86(10)85125326 133 7012 6120 经理 邮箱:如果想了解更多信息, 请联系我们或浏览我们的网站联系我们联系我们德勤华永会计师事务所有限公司北京分所德勤华永会计师事务所有限公司北京分所企业风险管理服务企业风险管理服务北京市东长安街1号东方广场西二座德勤大楼8层100738薛梓源薛梓源合伙人电话:+86 (10) 8520 7315传真:+86 (10) 8520 7494邮箱:772010,德勤华永会计师事务所有限公司德勤中国 德勤中国通过其众多的法律实体为客户提供专业服
68、务,此等法律实体均是 Deloitte Touche Tohmatsu 德勤全球(瑞士会员性社团组织)的成员。德勤是中国大陆及港澳地区居领导地位的专业服务机构之一,共拥有7,000名员工,分布在北京、大连、广州、香港、澳门、南京、上海、深圳、苏州和天津。早在1917年,德勤于上海成立了办事处。我们以全球网络为支持,为国内企业、跨国公司以及高成长的企业提供全面的审计、税务、企业管理咨询和财务咨询服务。 德勤中国拥有丰富的经验,并一直为中国会计准则、税制以及本土专业会计师的发展作出重大的贡献。在香港,德勤更为大约三分之一在香港联合交易所上市的公司提供服务。若需获得有关我们的更多资料,请浏览我们的网
69、站 (“德勤”) 泛指根据瑞士法律组成的社团性质的组织Deloitte Touche Tohmatsu (“德勤全球”)、其成员所/公司、以及他们的附属机构和关联机构。德勤全球是一个由全球各地众多的成员所/公司组成的组织,致力于提供卓越的专业服务及咨询。德勤全球重视客户服务,并在约140个国家切实执行其全球性客户服务战略。德勤依托由约165, 000名专业人士组成的全球网络,在审计、税务、企业管理咨询和财务咨询等四个领域为超过八成的全球最大型企业以及全国性大型企业、公共机构、当地的重要客户以及众多发展迅速的全球性公司提供专业服务。作为社团组织的德勤全球并不提供上述服务,由于法律规定及其他原因,某些成员所/公司不会在所有四个专业领域提供服务。作为一家根据瑞士法律组成的社团性质的组织,德勤全球和其任何成员所/公司之间对其相互的行为、疏忽或遗漏不承担任何责任。每一成员所/公司是一个冠以“Deloitte” 、 “Deloitte & Touche” 、 “Deloitte Touche Tohmatsu” 、 “德勤”或其他相关名称独立运营的法律实体。2010,德勤华永会计师事务所有限公司7879
