法规遵从与安全风险管理培训课件

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*, 2007 McAfee, Inc.,法规遵从与安全风险管理,王昊,华南区销售工程师,CISSP/CISA/CCNP, 2007 McAfee, Inc.法规遵从与安全风险管理,1,CIO,确保风险处于可接受的范围,将业务中断降至最小,保护数据资源,降低安全和法规遵从的成本,审核,降低审核成本,自动访问安全数据,自动的风险和法规报告功能,提高可视性和精确性,IT,操作人员,将网络和系统中断的时间降至最短,确定计划和修复漏洞的优先级,提高资源效率,改善工作流程,确保遵从内外部策略,前瞻性地预防身份信息被盗,确定风险和应对措施的优先级,提供指标,CSO,业务面临的挑战,来自于安全威胁方面的风险？,由于未遵从法规所产生的风险？,我的企业面临什么样的风险？,2024/8/22,2,CIO确保风险处于可接受的范围审核降低审核成本IT 操作人员,法规遵从丑闻,英国财政部,11,月,20,号证实，英国皇家税务及海关总署丢失两张重要数据光盘，其中包括,2500,万人的敏感个人信息，署长保罗,格雷已经宣布引咎辞职，并表示这是“税务部门重大的操作失误,”,；,2005,年美国万事达卡国际组织承认包括万事达、维萨、运通等在内高达,4000,多万信用卡用户的银行资料存在泄密风险,；,2006,年之前中国人民建设银行网站公积金信息泄露，任何人只需要通过输入身份证号码即可以查出账户余额和每月扣款额度；,中国信息保密法规处于“一张白纸”状态。,2024/8/22,3,法规遵从丑闻英国财政部11月20号证实，英国皇家税务及海关总,法规遵从现状,A recent,CSO Magazine,survey revealed that,regulations and compliance,were the top drivers for security investments. Security risk assessment was the top security initiative, while threat and risk management were the top concerns keeping CSOs up at night.,“Security Sensor X” Feb. 2006,多数企业的法规遵从措施是分散的,(de-centralized),，被动的,(reactive),，随机的,(ad-hoc),；,企业受约束的法规太多，成本很高，效率很低；,实现法规遵从过多的依赖技术手段，忽略了管理手段。,2024/8/22,4,法规遵从现状A recent CSO Magazine su,法规遵从是一个全球性的挑战,每个人都必须有所付出,J-SOX,Sarbanes-Oxley,Basel II,PIPEDA,EUDPD,GLBA,HIPAA,PCI,MITS,FISMA,DPA,DPA,DTO-93,CPCArt. 43,FFIEC,CPA,Solvency II,DPA,SA-PL,R-DPL,1.54M,22-30M,$3M,SW, 349M,$30M,$10+ M,ISO/IEC 27001:2005,运营,管理,安全,2024/8/22,5,法规遵从是一个全球性的挑战每个人都必须有所付出J,法规遵从是一个全球性的挑战,每个人都必须有所付出,（续）,企业面临的法规太多,法律的两个属性（属人性,/,属地性）,每个法规的流程完全不同（,Dis-jointed Response,）,法规遵从的延续性,GLBA,，,HIPPA,，,SOX,，,COBIT,，,ISO17799/27001,管理层对实现法规遵从的要求,行业最佳实践（,Best-practice,）,成本收益分析（,Cost-benefit analysis,）,2024/8/22,6,法规遵从是一个全球性的挑战每个人都必须有所付出（,IT,治理（法规遵从的起点）,IT,治理的,5,大目标（,Control objective,）,战略一致性（,Strategic Alignment,）,价值交付（,Value Delivery,）,资源管理（,Resource Management,）,风险管理（,Risk Management,）,绩效管理（,Performance Management,）,4,类,IT,资源,人（,People,），信息（,Information,），应用（,Application,），设施（,Infrastructure,）,CIAA,（,C,onfidentiality/,I,ntegrity/,A,vailability/,A,ccountability,）,3,种控制手段（,Physical/Technical/Operational,）,2024/8/22,7,IT治理（法规遵从的起点）IT治理的5大目标（Control,COBITIT,管理规范,Cobit,信息准则,Effectiveness/efficiency/confidentiality/integrity/availability/compliance/reliability,4,大类流程,P,lan and,O,rganize/,A,cquire and,I,mplement/,D,eliver and,S,upport/,M,onitor and,E,valuate,（,34,个子流程）,4,类控制目标,Activity Goal/Process Goal/IT Goal/Business Goal,2,类考核指标,KGI,（关键目标指示），,KPI,（关键绩效指示）,管理评价体系（,CMM,模型）,Initial/Repeatable/Defined/Managed/Optimized,2024/8/22,8,COBITIT管理规范Cobit信息准则2023/8/3,SOX,公司治理规范,SOX,：美国证监会对于上市公司的公司治理规范要求,Section 306,除了极特殊的情况外，对于发行权益性证券公司的所有董事、经理因任职而获得的其所任职公司的权益证券，在该权益证券的管制期间，这些董事、经理直接或间接买卖或获取、转让这些权益证券的行为是非法的。,Section 404,内部控制报告必须要指明公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任和包括发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价。担任公司年报审计的会计公司应当对其进行测试和评价，并出具评价报告,(,第,404,款,),。,第,404,条款是,SOX,法案中最为严厉和最具高昂执行成本的条款。,2024/8/22,9,SOX公司治理规范SOX：美国证监会对于上市公司的公司治,ISO27001ISO,安全标准,A7,：,Asset Management,（资产管理）,A10,：,Communication and Operation Management,（通信与操作管理）,A11,：,Access Control,（访问控制）,A13,：,Information Security Incident Management,（信息安全突发事件管理）,A15,：,Compliance,（遵从性）,2024/8/22,10,ISO27001ISO安全标准A7：Asset Mana,安全风险的三个维度,安全风险,=,资产,(,重要性,),弱点,(,严,重性,),威,胁,(,严,重性,),x x,CM,1,CM,2,CM,3,认证,Authentication,备份,Back-up,负载均衡,Load Balance,监控,Monitoring,加密,Encryption,弱点,管理,Vulnerability Management,修,补,管理,Patch Management,防火,墙,Firewall,防毒,Anti-Virus,入侵,探测,/,防护,IDS / IPS,防,护对,策,:,软件漏洞,Software Bug,不必要的,网络风险,Unnecessary Services,不,恰当的密码设定,Weak Passwords,错误的配置,Mis-configurations,木马,/,后门,Trojan/backdoor,病毒,Virus Spreading,蠕虫,Worm Outbreak,黑客程序,Exploit Codes,黑客工具,Hacker Tools,黑客攻击,Hacker Attacks,服务器,Workstation / Server,无线设备,Wireless LANs / Devices,网络设备,Network Devices,数据库,Database,应用程序,Applications,2024/8/22,11,安全风险的三个维度安全风险 = 认证 Authentica,安全风险成本收益分析,资产价值（,Asset Value,）,暴露因子（,Exposure Factor,，某种风险造成资产损失的百分比，实施安全方案之前,EF1,与实施安全方案之后,EF2,会显著不同）,年发生率（,Annual Rate of Occurrence,）,对策成本（,Countermeasure Cost,）,对策价值（,Benefit,）,Benefit = AV*EF1,*,ARO - AV*EF2,*,ARO - CC,2024/8/22,12,安全风险成本收益分析资产价值（Asset Value）202,McAfee,安全风险模型,2024/8/22,13,McAfee安全风险模型2023/8/3113,McAfee SRM,安全风险管理方法论,Protection and Compliance Integration,=,Key Benefits,减少成本，降低复杂度,增加运作效率,更快的实现防护和法规遵从,+,威胁保护,McAfee Foundstone,McAfee Policy,Auditor,McAfee DLP,McAfee NAC,McAfee IntruShield,McAfee Total Protection,McAfee Secure Internet Gateway,风险,&,法规遵从性,SRM Solution,集成,McAfee Preventsys,2024/8/22,14,McAfee SRM安全风险管理方法论Protection,McAfee,法规审计工具,Preventsys,Preventsys,可以根据某些规章制度或行业认证（如,SOX,、,PCI,）专门定制和设计,Policy Lab,通过技术的支持，报告现有控制架构的有效性,2024/8/22,15,McAfee法规审计工具PreventsysPreven, 2007 McAfee, Inc.,谢 谢 ！, 2007 McAfee, Inc.谢 谢 ！,16,1,、机遇对于有准备的头脑有特别的亲和力。,2,、不求与人相比，但求超越自己，要哭就哭出激动的泪水，要笑就笑出成长的性格！,3,、在你内心深处，还有无穷的潜力，有一天当你回首看时，你就会知道这绝对是真的。,4,、无论你觉得自己多么的了不起，也永远有人比你更强；无论你觉得自己多么的不幸，永远有人比你更加不幸。,5,、不要浪费你的生命，在你一定会后悔的地方上。,6,、放弃该放弃的是无奈，放弃不该放弃的是无能；不放弃该放弃的是无知，不放弃不该放弃的是执着。,7,、不要轻易用过去来衡量生活的幸与不幸！每个人的生命都是可以绽放美丽的，只要你珍惜。,8,、千万别迷恋网络游戏，要玩就玩好人生这场大游戏。,9,、过错是暂时的遗憾，而错过则是永远的遗憾！,10,、人生是个圆，有的人走了一辈子也没有走出命运画出的圆圈，其实，圆上的每一个点都有一条腾飞的切线。,11,、没有压力的生活就会空虚；没有压力的青春就会枯萎；没有压力的生命就会黯淡。,12,、我以为挫折、磨难是锻炼意志、增强能力的好机会。,邹韬奋,13,、你不能左右天气，但可以改变心情。你不能改变容貌，但可以掌握自己。你不能预见明天，但可以珍惜今天。,14,、我们总是对陌生人太客气，而对亲密的人太苛刻。,15,、人之所以痛苦，在于追求错误的东西。,16,、知道自己要干什么，夜深人静，问问自己，将来的打算，并朝着那个方向去实现。而不是无所事事和做一些无谓的事。,17,、逆境是成长必经的过程，能勇于接受逆境的人，生命就会日渐的茁壮。,18,、哪里有天才，我是把别人喝咖啡的功夫，都用在工作上的。,鲁迅,19,、所谓天才，那就是假话，勤奋的工作才是实在的。,爱迪生,20,、做一个决定，并不难，难的是付诸行动，并且坚持到底。,21,、不要因为自己还年轻，用健康去换去金钱，等到老了，才明白金钱却换不来健康。,22,、如果你不给自己烦恼，别人也永远不可能给你烦恼，烦恼都是自己内心制造的。,23,、命运负责洗牌，但是玩牌的是我们自己！,24,、再长的路，一步步也能走完，再短的路，不迈开双脚也无法到达。,25,、成功，往往住在失败的隔壁！,26,、大多数人想要改造这个世界，但却罕有人想改造自己。,27,、人生是一场旅行，在乎的不是目的地，是沿途的风景以及看风景的心情。,28,、伟大的事业不是靠力气、速度和身体的敏捷完成的，而是靠性格、意志和知识的力量完成的。,29,、人生最大的喜悦是每个人都说你做不到，你却完成它了！,30,、在实现理想的路途中，必须排除一切干扰，特别是要看清那些美丽的诱惑。,31,、激情，这是鼓满船帆的风。风有时会把船帆吹断；但没有风，帆船就不能航行。,32,、滴水穿石不是靠力，而是因为不舍昼夜。,33,、忍别人所不能忍的痛，吃别人所别人所不能吃的苦，是为了收获得不到的收获。,34,、时间是个常数，但也是个变数。勤奋的人无穷多，懒惰的人无穷少。,字严,35,、不同的信念，决定不同的命运！,36,、只有你学会把自己已有的成绩都归零，才能腾出空间去接纳更多的新东西，如此才能使自己不断的超越自己。,37,、突破心理障碍，才能超越自己。,38,、人不怕走在黑夜里，就怕心中没有阳光。,9,、过错是暂时的遗憾，而错过则是永远的遗憾！,10,、人生是个圆，有的人走了一辈子也没有走出命运画出的圆圈，其实，圆上的每一个点都有一条腾飞的切线。,11,、没有压力的生活就会空虚；没有压力的青春就会枯萎；没有压力的生命就会黯淡。,12,、我以为挫折、磨难是锻炼意志、增强能力的好机会。,邹韬奋,13,、你不能左右天气，但可以改变心情。你不能改变容貌，但可以掌握自己。你不能预见明天，但可以珍惜今天。,14,、我们总是对陌生人太客气，而对亲密的人太苛刻。,39,、生命里最重要的事情是要有个远大的目标，并借助才能与坚毅来完成它。,歌德,40,、工作中，你要把每一件小事都和远大的固定的目标结合起来。,41,、大部分人往往对已经失去的机遇捶胸顿足，却对眼前的机遇熟视无睹,20,、对所学知识内容的兴趣可能成为学习动机。,赞科夫,21,、游手好闲地学习，并不比学习游手好闲好。,约翰,贝勒斯,22,、读史使人明智，读诗使人灵秀，数学使人周密，自然哲学使人精邃，伦理学使人庄重，逻辑学使人善辩。,培根,23,、我们在我们的劳动过程中学习思考，劳动的结果，我们认识了世界的奥妙，于是我们就真正来改变生活了。,高尔基,24,、我们要振作精神，下苦功学习。下苦功，三个字，一个叫下，一个叫苦，一个叫功，一定要振作精神，下苦功。,毛泽东,25,、我学习了一生，现在我还在学习，而将来，只要我还有精力，我还要学习下去。,别林斯基,1、机遇对于有准备的头脑有特别的亲和力。,17,