《从问题型到合规性PPT演示文稿》由会员分享,可在线阅读,更多相关《从问题型到合规性PPT演示文稿(41页珍藏版)》请在金锄头文库上搜索。
1、从问题型到合规性从风险管理到对标管理ITIT安全的实现之道安全的实现之道1从问题型到合规性落实IT安全的驱动方式2信息安全产业要素交易品交易品交易品交易品( (形态形态/ /价值价值/ /技术技术) )提供商提供商提供商提供商( (模式模式/ /能力能力/ /资本资本) )第三方第三方第三方第三方(主管机构、测评机构、媒体等)(主管机构、测评机构、媒体等)客户客户客户客户( (需求需求) )3当前,交易品的变化是被客户驱动的目前没有革命性的技术能够带来产品、服务和平台的根本性跳跃发展因此,产品、服务和平台的变化就来自于客户的变化20064客户的变化:成熟追求我最根本的目的我到底要什么追求目的的
2、达成、强调落实我到底怎么做到20065追求最根本的目的原先关注信息安全本身,关注出了事故,以后不要出事故信息安全关注的是对信息系统的保障,对于信息数据的保护业务业务还是业务20066示例分析:政府机构或者城市的管理者关注的业务机构和城市在常态下的正常运行,并且尽量做到效率和效果机构和城市在紧急状态下(如灾难时),能够及时有效地应对门户网站灾难应急处理支撑系统20067示例分析:电信运营商的经营者关心什么业务从网络的经营者,变成一个信息服务的经营者必须满足萨班斯-奥克斯利法案的要求支撑系统的保护安全委托(外包)增值服务内部控制系统4A、二次鉴权、审计平台、SOX报表系统200682006示例分析
3、:一个中资银行的经营者关心什么业务要从一个主要靠息差获得收益,向多样化经营发展大集中符合银监会、中国人民银行的相关规定符合巴塞尔II的要求大集中的安全金融产品的安全巴塞尔等监管要求的符合性操作风险中的IT风险9追求落实从需求驱动力上下手需求筐架来自内部来自外部主动引导体系化体系化Systematic政策性政策性Policy被动要求问题型问题型Problem合规性合规性Compliance10问题型需求驱动的特点问题常常来源于客户实际问题常常是不成体系的(看起来)需求满足常常是“头痛医头,脚痛医脚”问题解决要求很快,追求速效问题所带来的需求都非常实在问题解决办法常常体现为面向脆弱性安全比如:防病
4、毒、入侵检测、防火墙等11体系化需求驱动的特点常常来源于从专家和厂商而来的技术推动客户零散的问题,被内外部专家提炼看起来成体系,但是因为有抽象,和实际总是有些差别常常表现为:面向结构性安全比如:保障体系、可信计算、管理平台等由于各个因素的牵扯,所以见效较慢完全靠体系来驱动,力度常常不足12政策性需求驱动的特点常常来源于上级机构和主管机构虽然不追求完美的体系,但是政策性要求有一定整体性政策性要求不是强制性的,有一定的灵活性常常表现为:一些要点总结厂商和客户一般在政策上的敏感度不高政策性的实际推动力常常不足13合规性需求驱动的特点常常来源于上级机构和主管机构强制性、具有极强的推动力和约束力有效的合
5、规性要求要简单和明确14需求驱动力向“合规性”的转化带来客户价值和产业机会需求筐架来自内部来自外部主动引导体系化体系化Systematic政策性政策性Policy被动要求问题型问题型Problem合规性合规性Compliance15从风险管理到对标管理落实IT安全的操作思路16两大思路的融合协调风险管理风险管理Risk Management对标管理对标管理Benchmark Management17风险管理风险管理的理念从90年代开始,已经逐步成为引导信息安全技术应用的核心理念风险的定义对目标有所影响的某件事情发生的可能性摘自AS/NZS436018国际风险管理趋势动态IT安全风险成为企业运营
6、风险中最为重要的一个组成部分,业务连续性逐渐与安全并行考虑来源:来源:Gartner19ISO13335中的风险管理的关系图20ISO13335以风险为核心的安全模型风险风险防护措施防护措施信息资产信息资产威胁威胁漏洞漏洞防护需求防护需求降低增加增加利用暴露价值价值拥有抗击增加引出被满足一般风险评估的理论基础21风险评估的国家标准22国家标准中的风险10要素关系图23德国ITBPM24德国ITBPM25最精简的风险管理要素26信息安全保障框架通过S3-PPT方法展开保障措施27最佳实践建议教育和培训成熟产品防病毒、防火墙、VPN、入侵检测、漏洞扫描风险评估框架式的安全建设规划信息安全管理体系安
7、全域依据ITIL的流程管理监控体系、安全监控管理中心事件管理体系、应急体系28一般风险管理过程建立环境鉴别风险分析风险评价风险处理风险信息交流与咨询监控与审查AS/NZS 436029最精简的风险管理要素30关于对标管理对标管理和风险管理的区别风险管理是从源头从需求开始分析展开,而对标管理直接切入当前状态和措施对标管理所对的“标”横向比较其他机构的情况与相关的内外标准和指南进行比较与相关规定和要求进行比对,形成合规性管合规性管理理31关于对标管理等级化是对标管理的自然方法等级保护CMM能力成熟度模型32SSE-CMMSystem Security Engineering Capability
8、Majority Model初始级 Performed Informally计划跟踪级 Planned and Tracked良好定义级 Well Defined量化控制级 Quantitatively Controlled持续改进级 Continuously Improving33企业信息安全保障能力成长阶段划分成成熟熟度度时间时间盲目自信盲目自信阶段阶段认知阶段认知阶段改进阶段改进阶段卓越运营卓越运营阶段阶段福布斯2000强企业在不同阶段的百分比分布来源:Gartner Inc. 2006年1月30%30%30%30%50%50%50%50%15%15%15%15%5%5%5%5%34Ga
9、rtner的阶段划分盲目自信阶段普遍缺乏安全意识,对企业安全状况不了解,未意识到信息安全风险的严重性认知阶段通过信息安全风险评估等,企业意识到自身存在的信息安全风险,开始采取一些措施提升信息安全水平改进阶段意识到局部的、单一的信息安全控制措施难以明显改善企业信息安全状况,开始进行全面的信息安全架构设计,有计划的建设信息安全保障体系卓越运营阶段信息安全改进项目完成后,在拥有较为全面的信息安全控制能力基础上,建立持续改进的机制,以应对安全风险的变化,不断提升安全控制能力35各个阶段的主要工作任务成成熟熟度度时间时间盲目自信盲目自信阶段阶段认知阶段认知阶段改进阶段改进阶段卓越运营卓越运营阶段阶段福布
10、斯2000强企业在不同阶段的百分比分布来源:Gartner Inc. 2006年1月30%30%30%30%50%50%50%50%15%15%15%15%5%5%5%5%基本安全产品部署主要人员的培训教育建立安全团队制定安全方针政策评估并了解现状36各个阶段的主要工作任务成成熟熟度度时间时间盲目自信盲目自信阶段阶段认知阶段认知阶段改进阶段改进阶段卓越运营卓越运营阶段阶段福布斯2000强企业在不同阶段的百分比分布来源:Gartner Inc. 2006年1月30%30%30%30%50%50%50%50%15%15%15%15%5%5%5%5%启动信息安全战略项目设计信息安全架构建立信息安全流
11、程完成信息安全改进项目37各个阶段的主要工作任务成成熟熟度度时间时间盲目自信盲目自信阶段阶段认知阶段认知阶段改进阶段改进阶段卓越运营卓越运营阶段阶段福布斯2000强企业在不同阶段的百分比分布来源:Gartner Inc. 2006年1月30%30%30%30%50%50%50%50%15%15%15%15%5%5%5%5%信息安全流程的持续改进追踪技术和业务的变化38两大思路的融合协调风险管理风险管理Risk Management对标管理对标管理Benchmark Management需求筐架来自内部来自外部主动引导体系化体系化Systematic政策性政策性Policy被动要求问题型问题型Problem合规性合规性Compliance39感谢40
