监管环境下安全风险管理.pdfVIP

科技与信息安全咨询服务 科技与信息安全咨询服务 监管环境下的安全风险管理 监管环境下的安全风险管理 演讲人: 冼嘉乐 演讲人: 冼嘉乐 安永华明会计师事务所， 安永华明会计师事务所， 科技与信息安全咨询服务部 合伙人 科技与信息安全咨询服务部 合伙人 2005年3 月17 日 2005年3 月17 日 1 内容提要 内容提要 • 当前全球信息安全状况– 安永全球信息安全调查 • 当前全球信息安全状况– 安永全球信息安全调查 • 对信息技术风险管理日益重视的关键动因 • 对信息技术风险管理日益重视的关键动因 • 索克斯法案/COSO模型 • 索克斯法案/COSO模型 • 降低信息技术风险 – 安永安全管理框架 • 降低信息技术风险 – 安永安全管理框架 • 总结 • 总结 2 安永2004年全球信息安全调查 安永2004年全球信息安全调查 • 在2004年2 月至6 月期间，我们利用一套多层次 • 在2004年2 月至6 月期间，我们利用一套多层次 的问卷进行了面对面的访谈调研 的问卷进行了面对面的访谈调研 • 全球有1,225多个机构参加了这次调查 • 全球有1,225多个机构参加了这次调查 • 参加调查的机构中包括了来自世界51个国家的 • 参加调查的机构中包括了来自世界51个国家的 规模最大，并且业绩最好的公司 规模最大，并且业绩最好的公司 3 主要发现: 主要发现: • 忽视人力投入 • 忽视人力投入 – 管理层愿意进行技术产品的采购，但是不太愿意对人力投资进行优先考 – 管理层愿意进行技术产品的采购，但是不太愿意对人力投资进行优先考 虑 虑 – 只有不到半数的被调查机构为他们的雇员提供持续的安全和控制培训 – 只有不到半数的被调查机构为他们的雇员提供持续的安全和控制培训 – 不到30% 的被调查机构在2004年把“增强雇员信息安全培训并提高雇员 – 不到30% 的被调查机构在2004年把“增强雇员信息安全培训并提高雇员 信息安全意识”作为首要任务之一 信息安全意识”作为首要任务之一 • 低估来自公司内部的威胁 • 低估来自公司内部的威胁 – 对机构的最大的安全威胁来源于“病毒，特洛伊木马和蠕虫” ，此外也来 – 对机构的最大的安全威胁来源于“病毒，特洛伊木马和蠕虫” ，此外也来 自内部雇员在信息系统方面的不当行为 自内部雇员在信息系统方面的不当行为 4 主要发现: 主要发现: • 文化和治理是至关重要的 • 文化和治理是至关重要的 – 接近70% 的被调查机构的董事会未收到本单位信息安全状 – 接近70% 的被调查机构的董事会未收到本单位信息安全状 态的季度报告 态的季度报告 – 不到20% 的被调查机构积极主张把信息安全提到被CEO 关 – 不到20% 的被调查机构积极主张把信息安全提到被CEO 关 注的优先级上 注的优先级上 – 超过70% 的被调查机构未对外部信息技术承包商是否遵循 – 超过70% 的被调查机构未对外部信息技术承包商是否遵循 本机构信息安全规范进行定期评估 本机构信息安全规范进行定期评估 5 什么是信息技术风险? 什么是信息技术风险? 信息技术风险是指：机构依赖于信息技术以实现商业目 信息技术风险是指：机构依赖于信息技术以实现商业目 标，由此可能给机构带来损失或损害的可能性。 标，由此可能给机构带来损失或损害的可能性。 企业的信息技术风险包括以下几方面： 高效的控制环境 数字信息的安全性和可用性 系统的权限及访问控制 由入侵或病毒造成的系统中断 对业务连续性的威胁 6 为什么需要考虑信息技术风险？ 为什么需要考虑信息技术风险？ • 管理层高度依赖信息技术 • 管理层高度依赖信息技术 • 日常交易处理的高度自动化 • 日常交易处理的高度自