从问题型到合规性从风险管理到对标管理

《从问题型到合规性从风险管理到对标管理》由会员分享，可在线阅读，更多相关《从问题型到合规性从风险管理到对标管理（40页珍藏版）》请在装配图网上搜索。

1、从问题型到合规性从风险管理到对标管理 从问题型到合规性落 实 IT安 全 的 驱 动 方 式 信息安全产业要素 当前，交易品的变化是被客户驱动的 目 前 没 有 革 命 性 的 技 术能 够 带 来 产 品 、 服 务 和平 台 的 根 本 性 跳 跃 发 展 因 此 ， 产 品 、 服 务 和平 台 的 变 化 就 来 自 于客 户 的 变 化2006 客户的变化：成熟 追 求 我 最 根 本 的 目 的我 到 底 要 什 么 追 求 目 的 的 达 成 、 强 调 落 实我 到 底 怎 么 做 到 2006 追求最根本的目的 原 先 关 注 信 息 安 全 本身 ， 关 注 出 了 事 故

2、 ，以 后 不 要 出 事 故 信 息 安 全 关 注 的 是 对信 息 系 统 的 保 障 ， 对于 信 息 数 据 的 保 护 业 务 业 务 还 是 业 务2006 示例分析：政府机构或者城市的管理者关注的业务 机 构 和 城 市 在 常 态 下的 正 常 运 行 ， 并 且 尽量 做 到 效 率 和 效 果 机 构 和 城 市 在 紧 急 状态 下 （ 如 灾 难 时 ） ，能 够 及 时 有 效 地 应 对 门 户 网 站 灾 难 应 急 处 理 支 撑 系统2006 示例分析：电信运营商的经营者关心什么业务 从 网 络 的 经 营 者 ， 变成 一 个 信 息 服 务 的 经营 者

3、 必 须 满 足 萨 班 斯 -奥克 斯 利 法 案 的 要 求 支 撑 系 统 的 保 护 安 全 委 托 (外 包 )增 值服 务 内 部 控 制 系 统 4A、 二 次 鉴 权 、 审 计平 台 、 SOX报 表 系 统2006 2006示例分析：一个中资银行的经营者关心什么业务 要 从 一 个 主 要 靠 息 差获 得 收 益 ， 向 多 样 化经 营 发 展 大 集 中 符 合 银 监 会 、 中 国 人民 银 行 的 相 关 规 定 符 合 巴 塞 尔 II的 要 求 大 集 中 的 安 全 金 融 产 品 的 安 全 巴 塞 尔 等 监 管 要 求 的符 合 性 操 作 风 险中

4、 的 IT风 险 追求落实从需求驱动力上下手需求筐架来自内部来自外部主动引导体系化Systematic政策性Policy被动要求问题型Problem合规性Compliance 问题型需求驱动的特点 问 题 常 常 来 源 于 客 户 实 际 问 题 常 常 是 不 成 体 系 的 （ 看 起 来 ） 需 求 满 足 常 常 是 “ 头 痛 医 头 ， 脚 痛 医 脚 ” 问 题 解 决 要 求 很 快 ， 追 求 速 效 问 题 所 带 来 的 需 求 都 非 常 实 在 问 题 解 决 办 法 常 常 体 现 为 面 向 脆 弱 性 安 全 比 如 ： 防 病 毒 、 入 侵 检 测 、 防

5、 火 墙 等 体系化需求驱动的特点 常 常 来 源 于 从 专 家 和 厂 商 而 来 的 技 术 推 动 客 户 零 散 的 问 题 ， 被 内 外 部 专 家 提 炼 看 起 来 成 体 系 ， 但 是 因 为 有 抽 象 ， 和 实际 总 是 有 些 差 别 常 常 表 现 为 ： 面 向 结 构 性 安 全 比 如 ： 保 障 体 系 、 可 信 计 算 、 管 理 平 台 等 由 于 各 个 因 素 的 牵 扯 ， 所 以 见 效 较 慢 完 全 靠 体 系 来 驱 动 ， 力 度 常 常 不 足 政策性需求驱动的特点 常 常 来 源 于 上 级 机 构 和 主 管 机 构 虽 然

6、不 追 求 完 美 的 体 系 ， 但 是 政 策 性 要求 有 一 定 整 体 性 政 策 性 要 求 不 是 强 制 性 的 ， 有 一 定 的 灵活 性 常 常 表 现 为 ： 一 些 要 点 总 结 厂 商 和 客 户 一 般 在 政 策 上 的 敏 感 度 不 高 政 策 性 的 实 际 推 动 力 常 常 不 足 合规性需求驱动的特点 常 常 来 源 于 上 级 机 构 和 主 管 机 构 强 制 性 、 具 有 极 强 的 推 动 力 和 约 束 力 有 效 的 合 规 性 要 求 要 简 单 和 明 确 需求驱动力向“合规性”的转化带来客户价值和产业机会需求筐架来自内部来自外部

7、主动引导体系化Systematic政策性Policy被动要求问题型Problem合规性Compliance 从风险管理到对标管理落 实 IT安 全 的 操 作 思 路 两大思路的融合协调 风 险 管 理Risk Management 对 标 管 理Benchmark Management 风险管理 风 险 管 理 的 理 念 从 90年 代 开 始 ， 已 经 逐步 成 为 引 导 信 息 安 全 技 术 应 用 的 核 心 理念风 险 的 定 义 对 目 标 有 所 影 响 的 某 件 事 情 发 生 的 可 能 性摘 自 AS/NZS4360 国际风险管理趋势动态 IT安 全 风 险 成

8、为 企 业 运 营 风 险 中 最 为 重 要 的 一 个 组 成 部 分 ， 业 务连 续 性 逐 渐 与 安 全 并 行 考 虑 来源：G artner ISO13335中的风险管理的关系图 ISO13335以风险为核心的安全模型风 险防 护 措 施 信 息 资 产威 胁 漏 洞 防 护 需 求降 低 增 加 增 加利 用 暴 露价 值 拥 有抗 击 增 加引 出被 满 足 一 般 风 险 评 估 的理 论 基 础 风险评估的国家标准 国家标准中的风险10要素关系图使 命 脆 弱 性 安 全 需 求 安 全 措 施 资 产 价 值资 产威 胁 风 险 残 余 风 险事 件 依赖 拥 有 被

9、满足 抗 击利 用 暴 露 降 低增 加增 加增 加 导 出演变成 未 被 满 足 未 控 制可 能 诱 发 残留 成本 德国ITBPM 德国ITBPM 最精简的风险管理要素 信息安全保障框架 通 过 S3-PPT方 法 展 开 保 障 措 施 最佳实践建议 教 育 和 培 训 成 熟 产 品 防 病 毒 、 防 火 墙 、 VPN、 入 侵 检 测 、 漏 洞 扫 描 风 险 评 估 框 架 式 的 安 全 建 设 规 划 信 息 安 全 管 理 体 系 安 全 域 依 据 ITIL的 流 程 管 理 监 控 体 系 、 安 全 监 控 管 理 中 心 事 件 管 理 体 系 、 应 急 体

10、 系 一般风险管理过程建 立 环 境鉴 别 风 险分 析 风 险评 价 风 险处 理 风 险信息交流与咨询 监控与审查 AS/NZS 4360 最精简的风险管理要素 关于对标管理 对 标 管 理 和 风 险 管 理 的 区 别 风 险 管 理 是 从 源 头 从 需 求 开 始 分 析 展 开 ， 而对 标 管 理 直 接 切 入 当 前 状 态 和 措 施 对 标 管 理 所 对 的 “ 标 ” 横 向 比 较 其 他 机 构 的 情 况 与 相 关 的 内 外 标 准 和 指 南 进 行 比 较 与 相 关 规 定 和 要 求 进 行 比 对 ， 形 成 合 规 性 管理 关于对标管理 等

11、 级 化 是 对 标 管 理 的 自 然 方 法 等 级 保 护 CMM能 力 成 熟 度 模 型 SSE-CMM System Security Engineering Capability Majority Model 初 始 级 Performed Informally 计 划 跟 踪 级 Planned and Tracked 良 好 定 义 级 Well Defined 量 化 控 制 级 Quantitatively Controlled 持 续 改 进 级 Continuously Improving 企业信息安全保障能力成长阶段划分盲目自信阶段认知阶段改进阶段卓越运营阶段 福

12、布 斯 2000强 企 业 在 不 同 阶 段 的 百 分 比 分 布来 源 ： Gartner Inc. 2006年 1月 Gartner的阶段划分 盲 目 自 信 阶 段 普 遍 缺 乏 安 全 意 识 ， 对 企 业 安 全 状 况 不 了 解 ， 未 意 识 到 信 息安 全 风 险 的 严 重 性 认 知 阶 段 通 过 信 息 安 全 风 险 评 估 等 ， 企 业 意 识 到 自 身 存 在 的 信 息 安 全风 险 ， 开 始 采 取 一 些 措 施 提 升 信 息 安 全 水 平 改 进 阶 段 意 识 到 局 部 的 、 单 一 的 信 息 安 全 控 制 措 施 难 以

13、明 显 改 善 企 业信 息 安 全 状 况 ， 开 始 进 行 全 面 的 信 息 安 全 架 构 设 计 ， 有 计 划的 建 设 信 息 安 全 保 障 体 系 卓 越 运 营 阶 段 信 息 安 全 改 进 项 目 完 成 后 ， 在 拥 有 较 为 全 面 的 信 息 安 全 控 制 能 力 基 础 上 ， 建 立 持 续 改 进 的 机 制 ， 以 应 对 安 全 风 险 的 变 化 ，不 断 提 升 安 全 控 制 能 力 各个阶段的主要工作任务盲目自信阶段认知阶段改进阶段卓越运营阶段 福 布 斯 2000强 企 业 在 不 同 阶 段 的 百 分 比 分 布来 源 ： Gart

14、ner Inc. 2006年 1月基本安全产品部署主要人员的培训教育建立安全团队 制定安全方针政策评估并了解现状 各个阶段的主要工作任务盲目自信阶段认知阶段改进阶段卓越运营阶段 福 布 斯 2000强 企 业 在 不 同 阶 段 的 百 分 比 分 布来 源 ： Gartner Inc. 2006年 1月启动信息安全战略项目设计信息安全架构建立信息安全流程 完成信息安全改进项目 各个阶段的主要工作任务盲目自信阶段认知阶段改进阶段卓越运营阶段 福 布 斯 2000强 企 业 在 不 同 阶 段 的 百 分 比 分 布来 源 ： Gartner Inc. 2006年 1月信息安全流程的持续改进 追踪技术和业务的变化 两大思路的融合协调 风 险 管 理Risk Management 对 标 管 理Benchmark Management需求筐架来自内部来自外部主动引导体系化Systematic政策性Policy被动要求问题型Problem合规性Compliance