從問題型到合規(guī)性

1、從問題型到合規(guī)性從風(fēng)險(xiǎn)管理到對標(biāo)管理IT安全的實(shí)現(xiàn)之道1從問題型到合規(guī)性落實(shí)IT安全的驅(qū)動(dòng)方式2信息安全產(chǎn)業(yè)要素交易品(形態(tài)/價(jià)值/技術(shù))提供商(模式/能力/資本)第三方（主管機(jī)構(gòu)、測評(píng)機(jī)構(gòu)、媒體等）客戶(需求)3當(dāng)前，交易品的變化是被客戶驅(qū)動(dòng)的目前沒有革命性的技術(shù)能夠帶來產(chǎn)品、服務(wù)和平臺(tái)的根本性跳躍發(fā)展因此，產(chǎn)品、服務(wù)和平臺(tái)的變化就來自于客戶的變化20064客戶的變化：成熟追求我最根本的目的我到底要什么追求目的的達(dá)成、強(qiáng)調(diào)落實(shí)我到底怎么做到20065追求最根本的目的原先關(guān)注信息安全本身，關(guān)注出了事故，以后不要出事故信息安全關(guān)注的是對信息系統(tǒng)的保障，對于信息數(shù)據(jù)的保護(hù)業(yè)務(wù)業(yè)務(wù)還是業(yè)務(wù)20066

2、示例分析：政府機(jī)構(gòu)或者城市的管理者關(guān)注的業(yè)務(wù)機(jī)構(gòu)和城市在常態(tài)下的正常運(yùn)行，并且盡量做到效率和效果機(jī)構(gòu)和城市在緊急狀態(tài)下（如災(zāi)難時(shí)），能夠及時(shí)有效地應(yīng)對門戶網(wǎng)站災(zāi)難應(yīng)急處理支撐系統(tǒng)20067示例分析：電信運(yùn)營商的經(jīng)營者關(guān)心什么業(yè)務(wù)從網(wǎng)絡(luò)的經(jīng)營者，變成一個(gè)信息服務(wù)的經(jīng)營者必須滿足薩班斯-奧克斯利法案的要求支撐系統(tǒng)的保護(hù)安全委托(外包)增值服務(wù)內(nèi)部控制系統(tǒng)4A、二次鑒權(quán)、審計(jì)平臺(tái)、SOX報(bào)表系統(tǒng)200682006示例分析：一個(gè)中資銀行的經(jīng)營者關(guān)心什么業(yè)務(wù)要從一個(gè)主要靠息差獲得收益，向多樣化經(jīng)營發(fā)展大集中符合銀監(jiān)會(huì)、中國人民銀行的相關(guān)規(guī)定符合巴塞爾II的要求大集中的安全金融產(chǎn)品的安全巴塞爾等監(jiān)管要求的

3、符合性操作風(fēng)險(xiǎn)中的IT風(fēng)險(xiǎn)9追求落實(shí)從需求驅(qū)動(dòng)力上下手需求筐架來自內(nèi)部來自外部主動(dòng)引導(dǎo)體系化Systematic政策性Policy被動(dòng)要求問題型Problem合規(guī)性Compliance10問題型需求驅(qū)動(dòng)的特點(diǎn)問題常常來源于客戶實(shí)際問題常常是不成體系的（看起來）需求滿足常常是“頭痛醫(yī)頭，腳痛醫(yī)腳”問題解決要求很快，追求速效問題所帶來的需求都非常實(shí)在問題解決辦法常常體現(xiàn)為面向脆弱性安全比如：防病毒、入侵檢測、防火墻等11體系化需求驅(qū)動(dòng)的特點(diǎn)常常來源于從專家和廠商而來的技術(shù)推動(dòng)客戶零散的問題，被內(nèi)外部專家提煉看起來成體系，但是因?yàn)橛谐橄?，和?shí)際總是有些差別常常表現(xiàn)為：面向結(jié)構(gòu)性安全比如：保障體系、可

4、信計(jì)算、管理平臺(tái)等由于各個(gè)因素的牽扯，所以見效較慢完全靠體系來驅(qū)動(dòng)，力度常常不足12政策性需求驅(qū)動(dòng)的特點(diǎn)常常來源于上級(jí)機(jī)構(gòu)和主管機(jī)構(gòu)雖然不追求完美的體系，但是政策性要求有一定整體性政策性要求不是強(qiáng)制性的，有一定的靈活性常常表現(xiàn)為：一些要點(diǎn)總結(jié)廠商和客戶一般在政策上的敏感度不高政策性的實(shí)際推動(dòng)力常常不足13合規(guī)性需求驅(qū)動(dòng)的特點(diǎn)常常來源于上級(jí)機(jī)構(gòu)和主管機(jī)構(gòu)強(qiáng)制性、具有極強(qiáng)的推動(dòng)力和約束力有效的合規(guī)性要求要簡單和明確14需求驅(qū)動(dòng)力向“合規(guī)性”的轉(zhuǎn)化帶來客戶價(jià)值和產(chǎn)業(yè)機(jī)會(huì)需求筐架來自內(nèi)部來自外部主動(dòng)引導(dǎo)體系化Systematic政策性Policy被動(dòng)要求問題型Problem合規(guī)性Compliance1

5、5從風(fēng)險(xiǎn)管理到對標(biāo)管理落實(shí)IT安全的操作思路16兩大思路的融合協(xié)調(diào)風(fēng)險(xiǎn)管理Risk Management對標(biāo)管理Benchmark Management17風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理的理念從90年代開始，已經(jīng)逐步成為引導(dǎo)信息安全技術(shù)應(yīng)用的核心理念風(fēng)險(xiǎn)的定義對目標(biāo)有所影響的某件事情發(fā)生的可能性摘自AS/NZS436018國際風(fēng)險(xiǎn)管理趨勢動(dòng)態(tài)IT安全風(fēng)險(xiǎn)成為企業(yè)運(yùn)營風(fēng)險(xiǎn)中最為重要的一個(gè)組成部分，業(yè)務(wù)連續(xù)性逐漸與安全并行考慮來源：Gartner19ISO13335中的風(fēng)險(xiǎn)管理的關(guān)系圖20ISO13335以風(fēng)險(xiǎn)為核心的安全模型風(fēng)險(xiǎn)防護(hù)措施信息資產(chǎn)威脅漏洞防護(hù)需求降低增加增加利用暴露價(jià)值擁有抗擊增加引出被滿足一般

6、風(fēng)險(xiǎn)評(píng)估的理論基礎(chǔ)21風(fēng)險(xiǎn)評(píng)估的國家標(biāo)準(zhǔn)22國家標(biāo)準(zhǔn)中的風(fēng)險(xiǎn)10要素關(guān)系圖23德國ITBPM24德國ITBPM25最精簡的風(fēng)險(xiǎn)管理要素26信息安全保障框架通過S3-PPT方法展開保障措施27最佳實(shí)踐建議教育和培訓(xùn)成熟產(chǎn)品防病毒、防火墻、VPN、入侵檢測、漏洞掃描風(fēng)險(xiǎn)評(píng)估框架式的安全建設(shè)規(guī)劃信息安全管理體系安全域依據(jù)ITIL的流程管理監(jiān)控體系、安全監(jiān)控管理中心事件管理體系、應(yīng)急體系28一般風(fēng)險(xiǎn)管理過程建立環(huán)境鑒別風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)信息交流與咨詢監(jiān)控與審查AS/NZS 436029最精簡的風(fēng)險(xiǎn)管理要素30關(guān)于對標(biāo)管理對標(biāo)管理和風(fēng)險(xiǎn)管理的區(qū)別風(fēng)險(xiǎn)管理是從源頭從需求開始分析展開，而對標(biāo)管理直

7、接切入當(dāng)前狀態(tài)和措施對標(biāo)管理所對的“標(biāo)”橫向比較其他機(jī)構(gòu)的情況與相關(guān)的內(nèi)外標(biāo)準(zhǔn)和指南進(jìn)行比較與相關(guān)規(guī)定和要求進(jìn)行比對，形成合規(guī)性管理31關(guān)于對標(biāo)管理等級(jí)化是對標(biāo)管理的自然方法等級(jí)保護(hù)CMM能力成熟度模型32SSE-CMMSystem Security Engineering Capability Majority Model初始級(jí) Performed Informally計(jì)劃跟蹤級(jí) Planned and Tracked良好定義級(jí) Well Defined量化控制級(jí) Quantitatively Controlled持續(xù)改進(jìn)級(jí) Continuously Improving33企業(yè)信息安全保障能

8、力成長階段劃分成熟度時(shí)間盲目自信階段認(rèn)知階段改進(jìn)階段卓越運(yùn)營階段福布斯2000強(qiáng)企業(yè)在不同階段的百分比分布來源：Gartner Inc. 2006年1月30%50%15%5%34Gartner的階段劃分盲目自信階段普遍缺乏安全意識(shí)，對企業(yè)安全狀況不了解，未意識(shí)到信息安全風(fēng)險(xiǎn)的嚴(yán)重性認(rèn)知階段通過信息安全風(fēng)險(xiǎn)評(píng)估等，企業(yè)意識(shí)到自身存在的信息安全風(fēng)險(xiǎn)，開始采取一些措施提升信息安全水平改進(jìn)階段意識(shí)到局部的、單一的信息安全控制措施難以明顯改善企業(yè)信息安全狀況，開始進(jìn)行全面的信息安全架構(gòu)設(shè)計(jì)，有計(jì)劃的建設(shè)信息安全保障體系卓越運(yùn)營階段信息安全改進(jìn)項(xiàng)目完成后，在擁有較為全面的信息安全控制能力基礎(chǔ)上，建立持續(xù)改

9、進(jìn)的機(jī)制，以應(yīng)對安全風(fēng)險(xiǎn)的變化，不斷提升安全控制能力35各個(gè)階段的主要工作任務(wù)成熟度時(shí)間盲目自信階段認(rèn)知階段改進(jìn)階段卓越運(yùn)營階段福布斯2000強(qiáng)企業(yè)在不同階段的百分比分布來源：Gartner Inc. 2006年1月30%50%15%5%基本安全產(chǎn)品部署主要人員的培訓(xùn)教育建立安全團(tuán)隊(duì)制定安全方針政策評(píng)估并了解現(xiàn)狀36各個(gè)階段的主要工作任務(wù)成熟度時(shí)間盲目自信階段認(rèn)知階段改進(jìn)階段卓越運(yùn)營階段福布斯2000強(qiáng)企業(yè)在不同階段的百分比分布來源：Gartner Inc. 2006年1月30%50%15%5%啟動(dòng)信息安全戰(zhàn)略項(xiàng)目設(shè)計(jì)信息安全架構(gòu)建立信息安全流程完成信息安全改進(jìn)項(xiàng)目37各個(gè)階段的主要工作任務(wù)成熟度時(shí)間盲目自信階段認(rèn)知階段改進(jìn)階段卓越運(yùn)營階段福布斯2000強(qiáng)企業(yè)在不同階段的百分比分布來源：Gartner Inc. 2006年1月30%50%15%5%