主动性合规驱动信息安全保障工作--潘柱廷 启明星辰首席战略官.ppt

主动性合规管理驱动信息安全保障工作 启明星辰 CSO 潘柱廷 破题（暨摘要） 信息安全保障的四种需求驱动力 被动的合规性管理是实实在在的动力 主动的驱动力更利于良性建设 PSPC需求驱动筐架 问题型 自己机构（或看到其他机构）正在发生、曾经发生的安全问题所引出的安全需求。比如：网站被入侵、网络遭到病毒侵害、发生火灾导致数据丢失等等。 这些问题会立刻引发安全问题解决的需求，比如：防病毒、入侵检测、备份等等。 这类需求是信息安全产业最原始的动力。 体系化 单独的安全问题被逐渐地被综合考虑，政策性的指导被逐步深化理解和实践 从体系化的角度考虑安全需求和安全建设，强调建立“信息安全保障体系”、“监控体系”、“应急体系”、“业务安全体系”等等。 这样的体系化需求，能够让客户建立起来一些持续多年的持续性需求，这种需求常常会表现为一个持续2-3 年以上的安全规划。 政策性 由于主管机关的要求和政策性引导，敦促机构对于安全问题的重视，加强安全投入，从而引出了很多安全需求。 这样的需求，常常由于机构自身对于问题的紧迫性不足，对于需求的理解不透，而导致安全投入和安全建设流于形式。 但是这个需求是在一定阶段中支撑了整个信息安全产业的发展的。 合规性 合规性要求常常表现为法律法规的要求、标准的要求、行业主管机关和监管机关的行政要求等等。 比如国际上的萨班斯- 奥克斯利法案、巴塞尔协议、ISO27000 系列（7799 系列）等； 再比如国内的等级保护要求、风险评估、商业银行内控要求等等。 这些合规性要求已经是多方面安全需求和经验的综合，常常具有一定的强制性。 通过合规性所引发的安全需求会形成非常稳定的产业交易需求，可以说是产业稳定发展的重要支柱。 信息安全产业要素 PSPC需求驱动力在产业要素上的分布 问题型需求驱动的特点 问题常常来源于客户实际 问题常常是不成体系的（看起来） 需求满足常常是“头痛医头，脚痛医脚” 问题解决要求很快，追求速效 问题所带来的需求都非常实在 问题解决办法常常体现为 面向脆弱性安全 比如：防病毒、入侵检测、防火墙等 体系化需求驱动的特点 常常来源于 从专家和厂商而来的技术推动 客户零散的问题，被内外部专家提炼 看起来成体系，但是因为有抽象，和实际总是有些差别 常常表现为：结构化安全 比如：保障体系、可信计算、管理平台等 由于各个因素的牵扯，所以见效较慢 启明星辰信息安全保障总体框架 可信计算组织 — TNC可信网络连接规范 启明星辰泰合信息安全管理平台体系结构 体系化需求驱动的特点 常常来源于 从专家和厂商而来的技术推动 客户零散的问题，被内外部专家提炼 看起来成体系，但是因为有抽象，和实际总是有些差别 常常表现为：面向结构性安全 比如：保障体系、可信计算、管理平台等 由于各个因素的牵扯，所以见效较慢 完全靠体系来驱动，力度常常不足 政策性需求驱动的特点 常常来源于上级机构和主管机构 虽然不追求完美的体系，但是政策性要求有一定整体性 政策性要求不是强制性的，有一定的灵活性 常常表现为：一些要点总结 中办发[2003]27号 国家信息化领导小组关于 加强信息安全保障工作的意见 （2003年8月26日） 加强信息安全保障工作-总体要求 总体要求： 坚持积极防御、综合防范的方针 全面提高信息安全防护能力 重点保障基础信息网络和重要信息系统安全 创建安全健康的网络环境 保障和促进信息化发展 保护公众利益，维护国家安全 加强信息安全保障工作-主要原则 主要原则： 立足国情，以我为主， 坚持管理与技术并重； 正确处理安全与发展的关系，以安全保发展，在发展中求安全； 统筹规划，突出重点，强化基础性工作； 明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。 加强信息安全保障工作-九项任务 系统等级保护和风险管理 基于密码技术的信息保护和信任体系 网络信息安全监控体系 应急处理体系 加强技术研究，推进产业发展 法制建设、标准化建设 人才培养与全民安全意识 保证信息安全资金 加强对信息安全保障工作的领导，建立健全信息安全管理责任制 政策性需求驱动的特点 常常来源于上级机构和主管机构 虽然不追求完美的体系，但是政策性要求有一定整体性 政策性要求不是强制性的，有一定的灵活性 常常表现为：一些要点总结 厂商和客户一般在政策上的敏感度不高 政策性的实际推动力常常不足 合规性需求驱动的特点 常常来源于上级机构和主管机构 强制性、具有极强的推动力和约束力 有很多stackholder会推波助澜 典型的合规性要求 密码管理 计算机安全产品销售许可 等级保护 萨班斯-奥克斯利法案 。。。 合规性需求驱动的特点 常常来源于上级机构和主管机构 强制性、具有极强的推动力和约束力 有很多stackholder会推波助澜