从问题型到合规性.ppt

从问题型到合规性从风险管理到对标管理 IT安全的实现之道 从问题型到合规性 落实IT安全的驱动方式 信息安全产业要素 当前，交易品的变化是被客户驱动的 目前没有革命性的技术能够带来产品、服务和平台的根本性跳跃发展 因此，产品、服务和平台的变化就来自于客户的变化 客户的变化：成熟 追求我最根本的目的 我到底要什么 追求目的的达成、强调落实 我到底怎么做到 追求最根本的目的 原先关注信息安全本身，关注出了事故，以后不要出事故… 信息安全关注的是对信息系统的保障，对于信息数据的保护 业务 业务 还是业务 示例分析：政府机构或者城市的管理者关注的业务 机构和城市在常态下的正常运行，并且尽量做到效率和效果 机构和城市在紧急状态下（如灾难时），能够及时有效地应对 门户网站 灾难应急处理支撑系统 示例分析：电信运营商的经营者关心什么业务 从网络的经营者，变成一个信息服务的经营者 必须满足萨班斯-奥克斯利法案的要求 支撑系统的保护 安全委托(外包)增值服务 内部控制系统 4A、二次鉴权、审计平台、SOX报表系统 示例分析：一个中资银行的经营者关心什么业务 要从一个主要靠息差获得收益，向多样化经营发展 大集中 符合银监会、中国人民银行的相关规定 符合巴塞尔II的要求 大集中的安全 金融产品的安全 巴塞尔等监管要求的符合性——操作风险中的IT风险 追求落实从需求驱动力上下手 问题型需求驱动的特点 问题常常来源于客户实际 问题常常是不成体系的（看起来） 需求满足常常是“头痛医头，脚痛医脚” 问题解决要求很快，追求速效 问题所带来的需求都非常实在 问题解决办法常常体现为 面向脆弱性安全 比如：防病毒、入侵检测、防火墙等 体系化需求驱动的特点 常常来源于 从专家和厂商而来的技术推动 客户零散的问题，被内外部专家提炼 看起来成体系，但是因为有抽象，和实际总是有些差别 常常表现为：面向结构性安全 比如：保障体系、可信计算、管理平台等 由于各个因素的牵扯，所以见效较慢 完全靠体系来驱动，力度常常不足 政策性需求驱动的特点 常常来源于上级机构和主管机构 虽然不追求完美的体系，但是政策性要求有一定整体性 政策性要求不是强制性的，有一定的灵活性 常常表现为：一些要点总结 厂商和客户一般在政策上的敏感度不高 政策性的实际推动力常常不足 合规性需求驱动的特点 常常来源于上级机构和主管机构 强制性、具有极强的推动力和约束力 有效的合规性要求要简单和明确 需求驱动力向“合规性”的转化带来客户价值和产业机会 从风险管理到对标管理 落实IT安全的操作思路 两大思路的融合协调 风险管理 Risk Management 对标管理 Benchmark Management 风险管理 风险管理的理念从90年代开始，已经逐步成为引导信息安全技术应用的核心理念 风险的定义 对目标有所影响的某件事情发生的可能性 [摘自AS/NZS4360] 国际风险管理趋势动态 IT安全风险成为企业运营风险中最为重要的一个组成部分，业务连续性逐渐与安全并行考虑 ISO13335中的风险管理的关系图 ISO13335以风险为核心的安全模型 风险评估的国家标准 国家标准中的风险10要素关系图 德国ITBPM 德国ITBPM 最精简的风险管理３要素 信息安全保障框架 通过S3-PPT方法展开保障措施 最佳实践建议 教育和培训 成熟产品 防病毒、防火墙、VPN、入侵检测、漏洞扫描 风险评估 框架式的安全建设规划 信息安全管理体系 安全域 依据ITIL的流程管理 监控体系、安全监控管理中心 事件管理体系、应急体系 一般风险管理过程 最精简的风险管理３要素 关于对标管理 对标管理和风险管理的区别 风险管理是从源头从需求开始分析展开，而对标管理直接切入当前状态和措施 对标管理所对的“标” 横向比较其他机构的情况 与相关的内外标准和指南进行比较 与相关规定和要求进行比对，形成合规性管理 关于对标管理 等级化是对标管理的自然方法 等级保护 CMM——能力成熟度模型 SSE-CMM System Security Engineering － Capability Majority Model 初始级 Performed Informally 计划跟踪级 Planned and Tracked 良好定义级 Well Defined 量化控制级 Quantitatively Controlled 持续改进级 Continuously Improving 企业信息安全保障能力成长阶段划分 Gartner的阶段划分 盲目自信阶段 普遍缺乏安全意识，对企业安全状况不了解，未意识到信息安全风险的严重性 认知阶段 通过信息安全风险评估等，企业意识到自身存在的信息安全风险，开始采取一些措施提升信息安全水平