法规遵从与风险管理.ppt

法规遵从与安全风险管理 法规遵从丑闻 英国财政部11月20号证实，英国皇家税务及海关总署丢失两张重要数据光盘，其中包括2500万人的敏感个人信息，署长保罗?格雷已经宣布引咎辞职，并表示这是“税务部门重大的操作失误”； 2005年美国万事达卡国际组织承认包括万事达、维萨、运通等在内高达4000多万信用卡用户的银行资料存在泄密风险 ； 2006年之前中国人民建设银行网站公积金信息泄露，任何人只需要通过输入身份证号码即可以查出账户余额和每月扣款额度； 中国信息保密法规处于“一张白纸”状态。 法规遵从现状 A recent CSO Magazine survey revealed that regulations and compliance were the top drivers for security investments. Security risk assessment was the top security initiative, while threat and risk management were the top concerns keeping CSOs up at night. “Security Sensor X” Feb. 2006 多数企业的法规遵从措施是分散的(de-centralized)，被动的(reactive)，随机的(ad-hoc)； 企业受约束的法规太多，成本很高，效率很低； 实现法规遵从过多的依赖技术手段，忽略了管理手段。 法规遵从是一个全球性的挑战…… 每个人都必须有所付出…… 法规遵从是一个全球性的挑战…… 每个人都必须有所付出……（续） 企业面临的法规太多 法律的两个属性（属人性/属地性） 每个法规的流程完全不同（Dis-jointed Response） 法规遵从的延续性 GLBA，HIPPA，SOX，COBIT，ISO17799/27001 管理层对实现法规遵从的要求 行业最佳实践（Best-practice） 成本收益分析（Cost-benefit analysis） IT治理（法规遵从的起点） IT治理的5大目标（Control objective） 战略一致性（Strategic Alignment） 价值交付（Value Delivery） 资源管理（Resource Management） 风险管理（Risk Management） 绩效管理（Performance Management） 4类IT资源 人（People），信息（Information），应用（Application），设施（Infrastructure） CIAA（Confidentiality/Integrity/Availability/Accountability） 3种控制手段（Physical/Technical/Operational） COBIT——IT管理规范 Cobit信息准则 Effectiveness/efficiency/confidentiality/integrity/availability/compliance/reliability 4大类流程 Plan and Organize/Acquire and Implement/Deliver and Support/Monitor and Evaluate（34个子流程） 4类控制目标 Activity Goal/Process Goal/IT Goal/Business Goal 2类考核指标 KGI（关键目标指示），KPI（关键绩效指示） 管理评价体系（CMM模型） Initial/Repeatable/Defined/Managed/Optimized SOX——公司治理规范 SOX：美国证监会对于上市公司的公司治理规范要求 Section 306 除了极特殊的情况外，对于发行权益性证券公司的所有董事、经理因任职而获得的其所任职公司的权益证券，在该权益证券的管制期间，这些董事、经理直接或间接买卖或获取、转让这些权益证券的行为是非法的。 Section 404 内部控制报告必须要指明公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任和包括发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价。担任公司年报审计的会计公司应当对其进行测试和评价，并出具评价报告(第404款)。 第404条款是SOX法案中最为严厉和最具高昂执行成本的条款。 ISO27001——ISO安全标准 A7：Asset Management（资产管理） A10：Communication and Operation Management（通信与操作管理） A11：Access Control（访问控制） A13：Info