银行安全商议.pptVIP

XX银行 信息安全体系建设思路汇报 唐龙 ITIL EXPERT、CISSP、CISA 国内安全服务现状 大约50%的安全服务合同不能以让客户满意的方式提交。 千万不要成为这个统计数字中的一个! 信息安全占IT总投资的份额 占 GDP的百分比 IT运营十大问题 20％的原因是技术方面的， 80％的原因是管理方面的 ① 病毒攻击（57.1%） ② 缺乏有效的监控制度和手段（51.7%） ③ IT设备本身的性能问题（41.1%） ④ 应用系统/数据库本身存在Bugs （39.2%） ⑤ 员工缺少技能培训（37.5%） ⑥ 维护不及时或缺乏有计划的维护（35.7%） ⑦ 缺少总体规划/重复建设（33.9%） ⑧ 不同部门的IT人员之间缺乏协调（32.1%） ⑨ 缺少运营管理方法论的指导（30.4%） ⑩ 员工不按规定/流程操作（28.6%） 数据来源：翰纬IT管理研究咨询中心，2004 信息安全的三个发展阶段 按需定制可管理 可衡量：交付特定的结果 有效（Effective） 有效率的（Efficient）：用最小的努力和成本 法律法规的遵从 ROI（投资回报率）： 保证回报能保证投资的增益。 ROI=（ 避免风险节省下的费用+节省下的重复投资）/成本 信息安全的目标与价值 信息安全威胁带来的损失 分析和结论： 和2009年的情况相似，病毒和恶意软件是去年导致中断最主要原因，第二位的是系统失败和数据中断 大型企业业务中断平均是2-5天，平均每次中断恢复总成本是£200,000-£380,000，平均的直接财务损失是£25,000-£40,000，平均间接损失是£15,000-£20,000。被调查的最严重的间接损失高达£500,000。最大的损失是来自企业声誉的损失。尤其媒体对大型企业的安全事件非常关注，一旦发生事件，很容易被媒体进行宣传报道，造成恶劣的企业声誉影响，这是用财务成本无法估算的。 信息安全实施思路 信息安全与服务管理的结合 安全和业务流的结合 服务管理主管 服务级别经理 问题经理 安全经理 采购经理 活动1 AR C I I C 活动2 A R C C C 活动3 I A R I C 活动4 I A R I C 活动5 I I A C R CSF 的RACI模型进行控制 Copyright © Itsxd Co.,Ltd 12 安全管理是不是一个孤立的过程。它始终是IT 和业务管理的一部分。 尽可能通过ITSM 的流程是执行安全管理任务。 每个ITSM过程中的任务，都应兼顾安全方面。但对这些任务的控制， 应有集中式的安全管理程序。 许多与安全有关的问题源于执行较差流程。 日常业务运作没有妥善规划。这可能降低整体安全性。 • 安全常被视为功 能性的任务。 ITSM 包含所有必要的最佳做法流程，涵盖所有日常业务活动。这使得与ITSM 成为维持较安全的环境的基础。 ITIL的允许IT运营团队在IT服务的整个生命周期，评价IT服务解决方案的绩效和变化。 ITIL以人、流程、技术为基础的生命周期，来看待IT服务。 结构化过程 质量关注 业务关注 isms和流程的结合 13 服务水平管理 ITSM目标 安全控制 提供与业务的接口，使得IT组织提供的IT解决方案，是否符合规定的业务要求，并在可接受的成本内。 定义、商定、记录和管理服务水平 组织的信息安全方针，包括一般的安全性原则。 容量管理 ITSM目标 安全控制 确保IT基础设施的容量满现在和将来的业务需求。 尽量避免因无计划的载荷导 致系统发生故障。 确保所有的负载都是正常的。 控制及预防非预期的容量消 耗。 isms和流程的结合 14 可用性管理 ITSM目标 安全控制 确保商定的IT服务满足业务的可用性要求。 • 找出可用性相关的风险，如单点故障。 • 设计和实施控制措施，已尽 量减少可用性风险。 •配合事件处理流程，管理信 息安全相关的事件。 IT服务连续性管理 ITSM目标 安全控制 负责管理一个组织的持续提 供已商定的IT服务的能力。 • 确定和优先关键业务流程以及相关的威胁和脆弱性（风险管理）。 • 测试，维护和重新评估业务 持续性计划。 isms和流程的结合 15 配置管理 ITSM目标 安全控制 • 定义和控制IT服务和基础设 施的组件，并保持信息的准 确。 • 维护对组织资产的适当保护 • 识别不同类型的资产 • 标识和处理信息资产 变更管理 ITSM目标 安全控制 确保标准化方法和程序用于 高效率和迅速处理所有的变 更，以尽量减少变更的影响。 • 通过风险评估，估计变更的 潜在影响。 • 防止因变更带来的数据丢失、 损坏或业务的中断。 isms和流程的结合 16 事件管理 ITSM目标 安全控制 尽可能快的恢复正常服务运 作。 •