法规遵从与安全风险管理培训资料

*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,*,2007 McAfee,Inc.,法规遵从与安全风险管理,王昊,华南区销售工程师,CISSP/CISA/CCNP,CIO,确保风险处于可接受的范围,将业务中断降至最小,保护数据资源,降低安全和法规遵从的成本,审核,降低审核成本,自动访问安全数据,自动的风险和法规报告功能,提高可视性和精确性,IT,操作人员,将网络和系统中断的时间降至最短,确定计划和修复漏洞的优先级,提高资源效率,改善工作流程,确保遵从内外部策略,前瞻性地预防身份信息被盗,确定风险和应对措施的优先级,提供指标,CSO,业务面临的挑战,来自于安全威胁方面的风险？,由于未遵从法规所产生的风险？,我的企业面临什么样的风险？,2024/10/15,2,法规遵从丑闻,英国财政部,11,月,20,号证实，英国皇家税务及海关总署丢失两张重要数据光盘，其中包括,2500,万人的敏感个人信息，署长保罗,格雷已经宣布引咎辞职，并表示这是“税务部门重大的操作失误,”,；,2005,年美国万事达卡国际组织承认包括万事达、维萨、运通等在内高达,4000,多万信用卡用户的银行资料存在泄密风险,；,2006,年之前中国人民建设银行网站公积金信息泄露，任何人只需要通过输入身份证号码即可以查出账户余额和每月扣款额度；,中国信息保密法规处于“一张白纸”状态。,2024/10/15,3,法规遵从现状,A recent,CSO Magazine,survey revealed that,regulations and compliance,were the top drivers for security investments.Security risk assessment was the top security initiative,while threat and risk management were the top concerns keeping CSOs up at night.,“Security Sensor X”Feb.2006,多数企业的法规遵从措施是分散的,(de-centralized),，被动的,(reactive),，随机的,(ad-hoc),；,企业受约束的法规太多，成本很高，效率很低；,实现法规遵从过多的依赖技术手段，忽略了管理手段。,2024/10/15,4,法规遵从是一个全球性的挑战,每个人都必须有所付出,J-SOX,Sarbanes-Oxley,Basel II,PIPEDA,EUDPD,GLBA,HIPAA,PCI,MITS,FISMA,DPA,DPA,DTO-93,CPCArt.43,FFIEC,CPA,Solvency II,DPA,SA-PL,R-DPL,1.54M,22-30M,$3M,SW,349M,$30M,$10+M,ISO/IEC 27001:2005,运营,管理,安全,2024/10/15,5,法规遵从是一个全球性的挑战,每个人都必须有所付出,（续）,企业面临的法规太多,法律的两个属性（属人性,/,属地性）,每个法规的流程完全不同（,Dis-jointed Response,）,法规遵从的延续性,GLBA,，,HIPPA,，,SOX,，,COBIT,，,ISO17799/27001,管理层对实现法规遵从的要求,行业最佳实践（,Best-practice,）,成本收益分析（,Cost-benefit analysis,）,2024/10/15,6,IT,治理（法规遵从的起点）,IT,治理的,5,大目标（,Control objective,）,战略一致性（,Strategic Alignment,）,价值交付（,Value Delivery,）,资源管理（,Resource Management,）,风险管理（,Risk Management,）,绩效管理（,Performance Management,）,4,类,IT,资源,人（,People,），信息（,Information,），应用（,Application,），设施（,Infrastructure,）,CIAA,（,C,onfidentiality/,I,ntegrity/,A,vailability/,A,ccountability,）,3,种控制手段（,Physical/Technical/Operational,）,2024/10/15,7,COBITIT,管理规范,Cobit,信息准则,Effectiveness/efficiency/confidentiality/integrity/availability/compliance/reliability,4,大类流程,P,lan and,O,rganize/,A,cquire and,I,mplement/,D,eliver and,S,upport/,M,onitor and,E,valuate,（,34,个子流程）,4,类控制目标,Activity Goal/Process Goal/IT Goal/Business Goal,2,类考核指标,KGI,（关键目标指示），,KPI,（关键绩效指示）,管理评价体系（,CMM,模型）,Initial/Repeatable/Defined/Managed/Optimized,2024/10/15,8,SOX,公司治理规范,SOX,：美国证监会对于上市公司的公司治理规范要求,Section 306,除了极特殊的情况外，对于发行权益性证券公司的所有董事、经理因任职而获得的其所任职公司的权益证券，在该权益证券的管制期间，这些董事、经理直接或间接买卖或获取、转让这些权益证券的行为是非法的。,Section 404,内部控制报告必须要指明公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任和包括发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价。担任公司年报审计的会计公司应当对其进行测试和评价，并出具评价报告,(,第,404,款,),。,第,404,条款是,SOX,法案中最为严厉和最具高昂执行成本的条款。,2024/10/15,9,ISO27001ISO,安全标准,A7,：,Asset Management,（资产管理）,A10,：,Communication and Operation Management,（通信与操作管理）,A11,：,Access Control,（访问控制）,A13,：,Information Security Incident Management,（信息安全突发事件管理）,A15,：,Compliance,（遵从性）,2024/10/15,10,安全风险的三个维度,安全风险,=,资产,(,重要性,),弱点,(,严,重性,),威,胁,(,严,重性,),x x,CM,1,CM,2,CM,3,认证,Authentication,备份,Back-up,负载均衡,Load Balance,监控,Monitoring,加密,Encryption,弱点,管理,Vulnerability Management,修,补,管理,Patch Management,防火,墙,Firewall,防毒,Anti-Virus,入侵,探测,/,防护,IDS/IPS,防,护对,策,:,软件漏洞,Software Bug,不必要的,网络风险,Unnecessary Services,不,恰当的密码设定,Weak Passwords,错误的配置,Mis-configurations,木马,/,后门,Trojan/backdoor,病毒,Virus Spreading,蠕虫,Worm Outbreak,黑客程序,Exploit Codes,黑客工具,Hacker Tools,黑客攻击,Hacker Attacks,服务器,Workstation/Server,无线设备,Wireless LANs/Devices,网络设备,Network Devices,数据库,Database,应用程序,Applications,2024/10/15,11,安全风险成本收益分析,资产价值（,Asset Value,）,暴露因子（,Exposure Factor,，某种风险造成资产损失的百分比，实施安全方案之前,EF1,与实施安全方案之后,EF2,会显著不同）,年发生率（,Annual Rate of Occurrence,）,对策成本（,Countermeasure Cost,）,对策价值（,Benefit,）,Benefit=AV*EF1,*,ARO-AV*EF2,*,ARO-CC,2024/10/15,12,McAfee,安全风险模型,2024/10/15,13,McAfee SRM,安全风险管理方法论,Protection and Compliance Integration,=,Key Benefits,减少成本，降低复杂度,增加运作效率,更快的实现防护和法规遵从,+,威胁保护,McAfee Foundstone,McAfee Policy,Auditor,McAfee DLP,McAfee NAC,McAfee IntruShield,McAfee Total Protection,McAfee Secure Internet Gateway,风险,&,法规遵从性,SRM Solution,集成,McAfee Preventsys,2024/10/15,14,McAfee,法规审计工具,Preventsys,Preventsys,可以根据某些规章制度或行业认证（如,S,OX,、,PCI,）专门定制和设计,Policy Lab,通过技术的支持，报告现有控制架构的有效性,2024/10/15,15,2007 McAfee,Inc.,谢 谢！,