数据风险管理实践与最佳典范.ppt

IBM Corporation ? IBM Software Group | Information Management IBM Corporation 数据风险管理实践与最佳典范 企业风险管理演进路径 法规管理 （Policy Mgmt） 审计检查 （Audit and testing） 评价与报告 （Dashboard and analytics） 评价与持续改进闭环 执行监控 （Business/IT control enforcement） 外部监管条例 内部制度规范 管理策略维护 管理策略比较 策略全景视图 最佳实践与案例 基线设置 访问控制 日志分析 事件管理 流程管理 规则管理 风险评估 审计计划管理 审计作业管理 审计发现跟踪 审计模板管理 审计资源管理 管理视图 统计分析 内外部报告 有效性评价 合规情况披露 外部监管沟通 业务整改闭环 体系整改闭环 1 2 3 4 风险管理 识别、评估、报告和选择如何管理风险，达成目标 合规 遵守决策及政策要求的过程 治理 建立决策权和制定政策的过程 企业风险管理要素（GRC）、现状、及相关部门 各行业对风险管理的认知度差异很大，但均有不同部门关注风险管理的不同层次 许多企业已成立或酝酿成立统一的部门管理风险及信息安全，该部门的工作重点不在IT系统建设而是IT系统治理，在治理中为企业打造法规遵从和风险管理的统一 各企业在前期IT风险防范举措多在于网络、防火墙、物理监控、事后审计等。 目前业界普遍对有效的数据库监控技术缺乏了解 风险管理/信息安全部 运维/数据库管理 审计部门 70%以上IT风险属操作风险，其最大漏洞在数据库 随着企业业务对IT系统的依赖程度越来越高，IT风险对业务风险的影响也越来越大。而IT风险中70%以上属于操作风险，即由人工操作不当（无意或故意）引起的风险。因此，有效地控制IT风险，尤其是操作风险，对企业的安全运营至关重要。 3/4的成员不清楚特权用户对数据库进行过何种操作 2/3的成员不能有效防止特权用户对数据库的非授权访问 85%的成员将真实数据不加防范地交与开发人员或第三方人员 将近一半的成员对其非特权用户访问敏感数据毫无措施 大多数成员都未能及时采取防范SQL注入的攻击 Source: 2010 Independent Oracle User Group (IOUG) Data Security Survey, based on survey of 430 members. /dm/offers/fy11/50651_2010_report_ioug_data_security_survey.pdf 法规遵从已成为企业风险管理的强大推动力 经历近10年的努力，《信息系统安全等级保护》已成为指导企业IT建设中治理风险较完善的带有强制性的法规体系。在12.5期间有计划地得以落实是必然趋势 GBT XXXXX-XXXX 信息系统安全 等级保护实施指南（送审稿） GBT 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GBT 22240-2008 信息安全技术 信息系统安全等级保护定级指南 此外各行业风险相关的法律/法规日趋完善 银行业数据安全、法规遵从、及规避风险实施要点 关注领域 要点 相关法规 敏感数据 客户信息、账务信息以及产品信息 《商业银行信息科技风险管理指引》 第七条（十一） 2009-6-1 实时监控 不良贷款率前5名的银行分支机构和不良贷款余额在亿元以上的客户及拥有5家以上关联企业、合计贷款余额在亿元以上的集团客户 《商业银行不良资产监测和考核暂行办法》 -银监会 流程管理 商业银行各级机构应当明确规定授信审查人、审批人之间的权限和工作程序，严格按照权限和程序审查、审批业务，不得故意绕开审查、审批人 《商业银行内部控制指引》 第三十八条 2007-7-3 操作日志 主机系统和数据库系统的操作日志至少保留6个月,账务更改记录应保存3年。 《中国人民银行关于加强银行数据集中安全工作的指导意见》银发[2002]260号 参与部门 商业银行数据中心、风险管理委员会、和审计委员会 《商业银行合规风险管理指引》 2006-10-25 《商业银行数据中心监管指引》 -银监办发[2010]114号 电信业相关法规， 新华社2010年11月8日 工业和信息化部已完成的《信息安全条例（报送稿）》对信息网络环境下法律主体的权利、义务，各种危害网络与信息系统安全行为，网络科技创新，加强国际兼容等内容作了规定 该条例针对当前规范信息安全的法律法规等数十部部门规章存在的内容分散、相互交叉甚至抵触的现象，影响了立法效力和执法严肃性，对信息安全监督管理造成不利影响。为此需要制定一部内容综合、法律效力较高的法律或行政法规 该条例借鉴国际