从问题型到合规性从风险管理到对标管理.ppt

从问题型到合规性从风险管理到对标管理 IT安全的实现之道 从问题型到合规性 落实IT安全的驱动方式 信息安全产业要素 当前 交易品的变化是被客户驱动的 目前没有革命性的技术能够带来产品 服务和平台的根本性跳跃发展 因此 产品 服务和平台的变化就来自于客户的变化 客户的变化 成熟 追求我最根本的目的我到底要什么追求目的的达成 强调落实我到底怎么做到 追求最根本的目的 原先关注信息安全本身 关注出了事故 以后不要出事故 信息安全关注的是对信息系统的保障 对于信息数据的保护 业务业务还是业务 示例分析 政府机构或者城市的管理者关注的业务 机构和城市在常态下的正常运行 并且尽量做到效率和效果机构和城市在紧急状态下 如灾难时 能够及时有效地应对 门户网站灾难应急处理支撑系统 示例分析 电信运营商的经营者关心什么业务 从网络的经营者 变成一个信息服务的经营者必须满足萨班斯 奥克斯利法案的要求 支撑系统的保护安全委托 外包 增值服务内部控制系统4A 二次鉴权 审计平台 SOX报表系统 示例分析 一个中资银行的经营者关心什么业务 要从一个主要靠息差获得收益 向多样化经营发展大集中符合银监会 中国人民银行的相关规定符合巴塞尔II的要求 大集中的安全金融产品的安全巴塞尔等监管要求的符合性 操作风险中的IT风险 追求落实从需求驱动力上下手 问题型需求驱动的特点 问题常常来源于客户实际问题常常是不成体系的 看起来 需求满足常常是 头痛医头 脚痛医脚 问题解决要求很快 追求速效问题所带来的需求都非常实在问题解决办法常常体现为面向脆弱性安全比如 防病毒 入侵检测 防火墙等 体系化需求驱动的特点 常常来源于从专家和厂商而来的技术推动客户零散的问题 被内外部专家提炼看起来成体系 但是因为有抽象 和实际总是有些差别常常表现为 面向结构性安全比如 保障体系 可信计算 管理平台等由于各个因素的牵扯 所以见效较慢完全靠体系来驱动 力度常常不足 政策性需求驱动的特点 常常来源于上级机构和主管机构虽然不追求完美的体系 但是政策性要求有一定整体性政策性要求不是强制性的 有一定的灵活性常常表现为 一些要点总结厂商和客户一般在政策上的敏感度不高政策性的实际推动力常常不足 合规性需求驱动的特点 常常来源于上级机构和主管机构强制性 具有极强的推动力和约束力有效的合规性要求要简单和明确 需求驱动力向 合规性 的转化带来客户价值和产业机会 从风险管理到对标管理 落实IT安全的操作思路 两大思路的融合协调 风险管理RiskManagement 对标管理BenchmarkManagement 风险管理 风险管理的理念从90年代开始 已经逐步成为引导信息安全技术应用的核心理念风险的定义对目标有所影响的某件事情发生的可能性 摘自AS NZS4360 国际风险管理趋势动态 IT安全风险成为企业运营风险中最为重要的一个组成部分 业务连续性逐渐与安全并行考虑 来源 Gartner ISO13335中的风险管理的关系图 ISO13335以风险为核心的安全模型 风险 防护措施 信息资产 威胁 漏洞 防护需求 价值 一般风险评估的理论基础 风险评估的国家标准 国家标准中的风险10要素关系图 德国ITBPM 德国ITBPM 最精简的风险管理 要素 信息安全保障框架 通过S3 PPT方法展开保障措施 最佳实践建议 教育和培训成熟产品防病毒 防火墙 VPN 入侵检测 漏洞扫描风险评估框架式的安全建设规划信息安全管理体系安全域依据ITIL的流程管理监控体系 安全监控管理中心事件管理体系 应急体系 一般风险管理过程 建立环境 鉴别风险 分析风险 评价风险 处理风险 信息交流与咨询 监控与审查 AS NZS4360 最精简的风险管理 要素 关于对标管理 对标管理和风险管理的区别风险管理是从源头从需求开始分析展开 而对标管理直接切入当前状态和措施对标管理所对的 标 横向比较其他机构的情况与相关的内外标准和指南进行比较与相关规定和要求进行比对 形成合规性管理 关于对标管理 等级化是对标管理的自然方法等级保护CMM 能力成熟度模型 SSE CMM SystemSecurityEngineering CapabilityMajorityModel初始级PerformedInformally计划跟踪级PlannedandTracked良好定义级WellDefined量化控制级QuantitativelyControlled持续改进级ContinuouslyImproving 企业信息安全保障能力成长阶段划分 Gartner的阶段划分 盲目自信阶段普遍缺乏安全意识 对企业安全状况不了解 未意识到信息安全风险的严重性认知阶段通过信息安全风险评估等 企业意识到自身存在的信息安全风险 开始采取一些措施提升信息安全水平改进阶段意识到局部的 单一的信息安全控制措施难以明显改善企业信息安全状况 开始进行全面的信息安全架构设计 有计划的建设信息安全保障体系卓越运营阶段信息安全改进项目完成后 在拥有较为全面的信息安全控制能力基础上 建立持续改进的机制 以应对安全风险的变化 不断提升安全控制能力 各个阶段的主要工作任务 基本安全产品部署 主要人员的培训教育 建立安全团队 制定安全方针政策 评估并了解现状 各个阶段的主要工作任务 启动信息安全战略项目 设计信息安全架构 建立信息安全流程 完成信息安全改进项目 各个阶段的主要工作任务 信息安全流程的持续改进 追踪技术和业务的变化 两大思路的融合协调 风险管理RiskManagement 对标管理BenchmarkManagement 感谢