返回
《从问题型到合规性》PPT课件

《从问题型到合规性》PPT课件

ID:36712361

大小:333.60 KB

页数:40页

时间:2019-05-10

《从问题型到合规性》PPT课件_第1页
《从问题型到合规性》PPT课件_第2页
《从问题型到合规性》PPT课件_第3页
《从问题型到合规性》PPT课件_第4页
《从问题型到合规性》PPT课件_第5页
资源描述:

《《从问题型到合规性》PPT课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、从问题型到合规性 从风险管理到对标管理IT安全的实现之道从问题型到合规性落实IT安全的驱动方式信息安全产业要素交易品(形态/价值/技术)提供商(模式/能力/资本)第三方(主管机构、测评机构、媒体等)客户(需求)当前,交易品的变化是被客户驱动的目前没有革命性的技术能够带来产品、服务和平台的根本性跳跃发展因此,产品、服务和平台的变化就来自于客户的变化2006客户的变化:成熟追求我最根本的目的我到底要什么追求目的的达成、强调落实我到底怎么做到2006追求最根本的目的原先关注信息安全本身,关注出了事故,以后不要出事故…信息安全关注的是对信息系统的保障,对于

2、信息数据的保护业务业务还是业务2006示例分析: 政府机构或者城市的管理者关注的业务机构和城市在常态下的正常运行,并且尽量做到效率和效果机构和城市在紧急状态下(如灾难时),能够及时有效地应对门户网站灾难应急处理支撑系统2006示例分析: 电信运营商的经营者关心什么业务从网络的经营者,变成一个信息服务的经营者必须满足萨班斯-奥克斯利法案的要求支撑系统的保护安全委托(外包)增值服务内部控制系统4A、二次鉴权、审计平台、SOX报表系统20062006示例分析: 一个中资银行的经营者关心什么业务要从一个主要靠息差获得收益,向多样化经营发展大集中符合银监会、

3、中国人民银行的相关规定符合巴塞尔II的要求大集中的安全金融产品的安全巴塞尔等监管要求的符合性——操作风险中的IT风险追求落实从需求驱动力上下手需求筐架来自内部来自外部主动引导体系化Systematic政策性Policy被动要求问题型Problem合规性Compliance问题型需求驱动的特点问题常常来源于客户实际问题常常是不成体系的(看起来)需求满足常常是“头痛医头,脚痛医脚”问题解决要求很快,追求速效问题所带来的需求都非常实在问题解决办法常常体现为面向脆弱性安全比如:防病毒、入侵检测、防火墙等体系化需求驱动的特点常常来源于从专家和厂商而来的技术推

4、动客户零散的问题,被内外部专家提炼看起来成体系,但是因为有抽象,和实际总是有些差别常常表现为:面向结构性安全比如:保障体系、可信计算、管理平台等由于各个因素的牵扯,所以见效较慢完全靠体系来驱动,力度常常不足政策性需求驱动的特点常常来源于上级机构和主管机构虽然不追求完美的体系,但是政策性要求有一定整体性政策性要求不是强制性的,有一定的灵活性常常表现为:一些要点总结厂商和客户一般在政策上的敏感度不高政策性的实际推动力常常不足合规性需求驱动的特点常常来源于上级机构和主管机构强制性、具有极强的推动力和约束力有效的合规性要求要简单和明确需求驱动力向“合规性”

5、的转化 带来客户价值和产业机会需求筐架来自内部来自外部主动引导体系化Systematic政策性Policy被动要求问题型Problem合规性Compliance从风险管理到对标管理落实IT安全的操作思路两大思路的融合协调风险管理RiskManagement对标管理BenchmarkManagement风险管理风险管理的理念从90年代开始,已经逐步成为引导信息安全技术应用的核心理念风险的定义对目标有所影响的某件事情发生的可能性[摘自AS/NZS4360]国际风险管理趋势动态IT安全风险成为企业运营风险中最为重要的一个组成部分,业务连续性逐渐与安全并行

6、考虑来源:GartnerISO13335中的风险管理的关系图ISO13335以风险为核心的安全模型风险防护措施信息资产威胁漏洞防护需求降低增加增加利用暴露价值拥有抗击增加引出被满足一般风险评估的理论基础风险评估的国家标准国家标准中的风险10要素关系图德国ITBPM德国ITBPM最精简的风险管理3要素信息安全保障框架通过S3-PPT方法展开保障措施最佳实践建议教育和培训成熟产品防病毒、防火墙、VPN、入侵检测、漏洞扫描风险评估框架式的安全建设规划信息安全管理体系安全域依据ITIL的流程管理监控体系、安全监控管理中心事件管理体系、应急体系一般风险管理过

7、程建立环境鉴别风险分析风险评价风险处理风险信息交流与咨询监控与审查-AS/NZS4360最精简的风险管理3要素关于对标管理对标管理和风险管理的区别风险管理是从源头从需求开始分析展开,而对标管理直接切入当前状态和措施对标管理所对的“标”横向比较其他机构的情况与相关的内外标准和指南进行比较与相关规定和要求进行比对,形成合规性管理关于对标管理等级化是对标管理的自然方法等级保护CMM——能力成熟度模型SSE-CMMSystemSecurityEngineering-CapabilityMajorityModel初始级PerformedInformally计

8、划跟踪级PlannedandTracked良好定义级WellDefined量化控制级QuantitativelyContr

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。