安全保障体系_——_使命、原则、框架、执行和实践.ppt

构建信息安全保障体系——使命、原则、框架、执行和实践;三观论;摘要;使命;问题;问题;三法则;加强信息安全保障工作-总体要求;加强信息安全保障工作-主要原则;加强信息安全保障工作-九项任务;原则;原则——风险管理;安全的三个相对性原则;风险管理;ISO13335中的风险管理的关系图;ISO13335以风险为核心的安全模型;风险评估的国家标准;国信办报告中的风险９要素关系图;德国ITBPM;最精简的风险管理３要素;三法则;了解威胁;威胁趋势;威胁的总结;针对威胁的主要技术;了解资产和业务;怎么了解资产和业务（IT相关）;机构典型的ITA及其安全思维;ITA分析初探-层次;ITA分析初探-分布式;中国移动2004年的6个试点项目;边界接入域;运营商的业务特色;电力系统二次安防的思路;某涉密广域网的特色;某涉密办公网的特色;银行的业务特征;了解保障措施;保障体系的实际组成;技术环境——当前主流的基本安全产品;技术环境——当前主流的基本安全服务;安全管理平台成为一个值得考虑的选择;三法则;框架;框架;最精简的风险管理３要素：R3-AST;信息安全保障框架;信息安全保障框架;信息安全保障框架;技术功能是T3-PDR的衍生;三法则;保障框架-措施;27号文的框架分析;产品的框架分析;安全服务体系的框架分析;体系设计方案的框架分析;最佳实践建议;执行;执行——风险管理的落实;国际风险管理趋势——业务化;案例分析：瑞士联合银行UBS的风险观点;瑞士联合银行UBS的风险观点;UBS－将机构安全问题组织化;UBS－策略和组织的保证;UBS－风险管理组织;UBS －风险报告;合规性管理——需求驱动力的变化;问题型需求驱动的特点;体系化需求驱动的特点;政策性需求驱动的特点;合规性需求驱动的特点;当前典型的“规”;企业信息安全保障能力成长阶段划分;企业信息安全保障能力成长阶段划分;各个阶段的主要工作任务;各个阶段的主要工作任务;各个阶段的主要工作任务;需求驱动力向“合规性”的转化带来客户价值和产业机会;实践;中观落实的思想方法;中观落实的思想方法;管理与技术的平衡;中观落实的思想方法;中观落实的思想方法;域;安全域的概念;资产结构化-安全域;美国NSA的IATF;启明星辰的3+1安全域方法;围绕安全域落实相关工作;中观落实的思想方法;鸟瞰图;;安全管理平台成为承上启下的技术手段;平台应当发挥的作用;功能体系结构;实时监控的可视化显示;报表管理;状态监控-客户实景;某客户安全管理平台的实景;落实信息安全工作的思路;三法则;四象限法则;谢谢