从问题型六到合规性.pptVIP

从问题型到合规性从风险管理到对标管理 IT安全的实现之道 从问题型到合规性 落实IT安全的驱动方式 信息安全产业要素 当前，交易品的变化是被客户驱动的 目前没有革命性的技术能够带来产品、服务和平台的根本性跳跃发展 因此，产品、服务和平台的变化就来自于客户的变化 客户的变化：成熟 追求我最根本的目的 我到底要什么 追求目的的达成、强调落实 我到底怎么做到 追求最根本的目的 原先关注信息安全本身，关注出了事故，以后不要出事故… 信息安全关注的是对信息系统的保障，对于信息数据的保护 业务 业务 还是业务 示例分析：政府机构或者城市的管理者关注的业务 机构和城市在常态下的正常运行，并且尽量做到效率和效果 机构和城市在紧急状态下（如灾难时），能够及时有效地应对 门户网站 灾难应急处理支撑系统 示例分析：电信运营商的经营者关心什么业务 从网络的经营者，变成一个信息服务的经营者 必须满足萨班斯-奥克斯利法案的要求 支撑系统的保护 安全委托(外包)增值服务 内部控制系统 4A、二次鉴权、审计平台、SOX报表系统 示例分析：一个中资银行的经营者关心什么业务 要从一个主要靠息差获得收益，向多样化经营发展 大集中 符合银监会、中国人民银行的相关规定 符合巴塞尔II的要求 大集中的安全 金融产品的安全 巴塞尔等监管要求的符合性——操作风险中的IT风险 追求落实从需求驱动力上下手 问题型需求驱