法規(guī)遵從與安全風(fēng)險管理培訓(xùn)資料課件

?2007McAfee,Inc.法規(guī)遵從與安全風(fēng)險管理王昊華南區(qū)銷售工程師CISSP/CISA/CCNP?2007McAfee,Inc.法規(guī)遵從與安全風(fēng)險管理1CIO確保風(fēng)險處于可接受的范圍將業(yè)務(wù)中斷降至最小保護(hù)數(shù)據(jù)資源降低安全和法規(guī)遵從的成本審核降低審核成本自動訪問安全數(shù)據(jù)自動的風(fēng)險和法規(guī)報告功能提高可視性和精確性IT操作人員將網(wǎng)絡(luò)和系統(tǒng)中斷的時間降至最短確定計劃和修復(fù)漏洞的優(yōu)先級提高資源效率改善工作流程確保遵從內(nèi)外部策略

前瞻性地預(yù)防身份信息被盜確定風(fēng)險和應(yīng)對措施的優(yōu)先級提供指標(biāo)CSO業(yè)務(wù)面臨的挑戰(zhàn)來自于安全威脅方面的風(fēng)險？由于未遵從法規(guī)所產(chǎn)生的風(fēng)險？我的企業(yè)面臨什么樣的風(fēng)險？2022/12/192CIO確保風(fēng)險處于可接受的范圍審核降低審核成本IT操作人員法規(guī)遵從丑聞英國財政部11月20號證實(shí)，英國皇家稅務(wù)及海關(guān)總署丟失兩張重要數(shù)據(jù)光盤，其中包括2500萬人的敏感個人信息，署長保羅?格雷已經(jīng)宣布引咎辭職，并表示這是“稅務(wù)部門重大的操作失誤”；2005年美國萬事達(dá)卡國際組織承認(rèn)包括萬事達(dá)、維薩、運(yùn)通等在內(nèi)高達(dá)4000多萬信用卡用戶的銀行資料存在泄密風(fēng)險；2006年之前中國人民建設(shè)銀行網(wǎng)站公積金信息泄露，任何人只需要通過輸入身份證號碼即可以查出賬戶余額和每月扣款額度；中國信息保密法規(guī)處于“一張白紙”狀態(tài)。2022/12/193法規(guī)遵從丑聞英國財政部11月20號證實(shí)，英國皇家稅務(wù)及海關(guān)總法規(guī)遵從現(xiàn)狀A(yù)recentCSOMagazinesurveyrevealedthatregulationsandcompliancewerethetopdriversforsecurityinvestments.Securityriskassessmentwasthetopsecurityinitiative,whilethreatandriskmanagementwerethetopconcernskeepingCSOsupatnight.“SecuritySensorX”Feb.2006多數(shù)企業(yè)的法規(guī)遵從措施是分散的(de-centralized)，被動的(reactive)，隨機(jī)的(ad-hoc)；企業(yè)受約束的法規(guī)太多，成本很高，效率很低；實(shí)現(xiàn)法規(guī)遵從過多的依賴技術(shù)手段，忽略了管理手段。2022/12/194法規(guī)遵從現(xiàn)狀A(yù)recentCSOMagazinesu法規(guī)遵從是一個全球性的挑戰(zhàn)……

每個人都必須有所付出……J-SOXSarbanes-

OxleyBaselIIPIPEDAEUDPDGLBAHIPAAPCIMITSFISMADPADPADTO-93CPC

Art.43FFIECCPASolvencyIIDPASA-PLR-DPL?1.54M€22-30M$3MSW￥349M

$30M$10+M

ISO/IEC27001:2005運(yùn)營管理安全2022/12/195法規(guī)遵從是一個全球性的挑戰(zhàn)……

每個人都必須有所付出……J法規(guī)遵從是一個全球性的挑戰(zhàn)……

每個人都必須有所付出……（續(xù)）企業(yè)面臨的法規(guī)太多法律的兩個屬性（屬人性/屬地性）每個法規(guī)的流程完全不同（Dis-jointedResponse）法規(guī)遵從的延續(xù)性GLBA，HIPPA，SOX，COBIT，ISO17799/27001管理層對實(shí)現(xiàn)法規(guī)遵從的要求行業(yè)最佳實(shí)踐（Best-practice）成本收益分析（Cost-benefitanalysis）2022/12/196法規(guī)遵從是一個全球性的挑戰(zhàn)……

每個人都必須有所付出……（IT治理（法規(guī)遵從的起點(diǎn)）IT治理的5大目標(biāo)（Controlobjective）戰(zhàn)略一致性（StrategicAlignment）價值交付（ValueDelivery）資源管理（ResourceManagement）風(fēng)險管理（RiskManagement）績效管理（PerformanceManagement）4類IT資源人（People），信息（Information），應(yīng)用（Application），設(shè)施（Infrastructure）CIAA（Confidentiality/Integrity/Availability/Accountability）3種控制手段（Physical/Technical/Operational）2022/12/197IT治理（法規(guī)遵從的起點(diǎn)）IT治理的5大目標(biāo)（ControlCOBIT——IT管理規(guī)范Cobit信息準(zhǔn)則Effectiveness/efficiency/confidentiality/integrity/availability/compliance/reliability4大類流程PlanandOrganize/AcquireandImplement/DeliverandSupport/MonitorandEvaluate（34個子流程）4類控制目標(biāo)ActivityGoal/ProcessGoal/ITGoal/BusinessGoal2類考核指標(biāo)KGI（關(guān)鍵目標(biāo)指示），KPI（關(guān)鍵績效指示）管理評價體系（CMM模型）Initial/Repeatable/Defined/Managed/Optimized2022/12/198COBIT——IT管理規(guī)范Cobit信息準(zhǔn)則2022/12/SOX——公司治理規(guī)范SOX：美國證監(jiān)會對于上市公司的公司治理規(guī)范要求Section306除了極特殊的情況外，對于發(fā)行權(quán)益性證券公司的所有董事、經(jīng)理因任職而獲得的其所任職公司的權(quán)益證券，在該權(quán)益證券的管制期間，這些董事、經(jīng)理直接或間接買賣或獲取、轉(zhuǎn)讓這些權(quán)益證券的行為是非法的。Section404內(nèi)部控制報告必須要指明公司管理層建立和維護(hù)內(nèi)部控制系統(tǒng)及相應(yīng)控制程序充分有效的責(zé)任和包括發(fā)行人管理層最近財政年度末對內(nèi)部控制體系及控制程序有效性的評價。擔(dān)任公司年報審計的會計公司應(yīng)當(dāng)對其進(jìn)行測試和評價，并出具評價報告(第404款)。第404條款是SOX法案中最為嚴(yán)厲和最具高昂執(zhí)行成本的條款。2022/12/199SOX——公司治理規(guī)范SOX：美國證監(jiān)會對于上市公司的公司治ISO27001——ISO安全標(biāo)準(zhǔn)A7：AssetManagement（資產(chǎn)管理）A10：CommunicationandOperationManagement（通信與操作管理）A11：AccessControl（訪問控制）A13：InformationSecurityIncidentManagement（信息安全突發(fā)事件管理）A15：Compliance（遵從性）2022/12/1910ISO27001——ISO安全標(biāo)準(zhǔn)A7：AssetMana安全風(fēng)險的三個維度安全風(fēng)險

=資產(chǎn)

(重要性)

弱點(diǎn)

(嚴(yán)重性)

威脅

(嚴(yán)重性)xxCM1

CM2

CM3

認(rèn)證

Authentication

備份Back-up

負(fù)載均衡LoadBalance

監(jiān)控

Monitoring

加密Encryption

弱點(diǎn)管理VulnerabilityManagement

修補(bǔ)管理PatchManagement防火墻

Firewall防毒Anti-Virus入侵探測/防護(hù)

IDS/IPS防護(hù)對策:

軟件漏洞SoftwareBug

不必要的網(wǎng)絡(luò)風(fēng)險UnnecessaryServices

不恰當(dāng)?shù)拿艽a設(shè)定WeakPasswords

錯誤的配置Mis-configurations

木馬/后門

Trojan/backdoor病毒VirusSpreading

蠕蟲

WormOutbreak

黑客程序

ExploitCodes

黑客工具HackerTools

黑客攻擊HackerAttacks

服務(wù)器Workstation/Server

無線設(shè)備WirelessLANs/Devices

網(wǎng)絡(luò)設(shè)備NetworkDevices數(shù)據(jù)庫Database

應(yīng)用程序Applications2022/12/1911安全風(fēng)險的三個維度安全風(fēng)險=認(rèn)證Authentica安全風(fēng)險成本收益分析資產(chǎn)價值（AssetValue）暴露因子（ExposureFactor，某種風(fēng)險造成資產(chǎn)損失的百分比，實(shí)施安全方案之前EF1與實(shí)施安全方案之后EF2會顯著不同）年發(fā)生率（AnnualRateofOccurrence）對策成本（CountermeasureCost）對策價值（Benefit）Benefit=AV*EF1*ARO-AV*EF2*ARO-CC2022/12/1912安全風(fēng)險成本收益分析資產(chǎn)價值（AssetValue）202McAfee安全風(fēng)險模型2022/12/1913McAfee安全風(fēng)險模型2022/12/1313McAfeeSRM安全風(fēng)險管理方法論

ProtectionandComplianceIntegration=KeyBenefits

減少成本，降低復(fù)雜度增加運(yùn)作效率更快的實(shí)現(xiàn)防護(hù)和法規(guī)遵從+威脅保護(hù)McAfeeFoundstoneMcAfeePolicyAuditorMcAfeeDLPMcAfeeNACMcAfeeIntruShieldMcAfeeTotalProtectionMcAfeeSecureInternetGateway風(fēng)險&法規(guī)遵從性SRMSolution集成McAfeePreventsys2022/12/1914McAfeeSRM安全風(fēng)險管理方法論

ProtectionMcAfee法規(guī)審計工具——PreventsysPreventsys可以根據(jù)某些規(guī)章制度或行業(yè)認(rèn)證（如SOX、PCI）專門定制和設(shè)計PolicyLab通過技術(shù)的支持，報告現(xiàn)有控制架構(gòu)的有效性2022/12/1915McAfee法規(guī)審計工具——PreventsysPreven?2007McAfee,Inc.謝謝！

?2007McAfee,Inc.謝謝！

161、機(jī)遇對于有準(zhǔn)備的頭腦有特別的親和力。2、不求與人相比，但求超越自己，要哭就哭出激動的淚水，要笑就笑出成長的性格！3、在你內(nèi)心深處，還有無窮的潛力，有一天當(dāng)你回首看時，你就會知道這絕對是真的。4、無論你覺得自己多么的了不起，也永遠(yuǎn)有人比你更強(qiáng)；無論你覺得自己多么的不幸，永遠(yuǎn)有人比你更加不幸。5、不要浪費(fèi)你的生命，在你一定會后悔的地方上。6、放棄該放棄的是無奈，放棄不該放棄的是無能；不放棄該放棄的是無知，不放棄不該放棄的是執(zhí)著。7、不要輕易用過去來衡量生活的幸與不幸！每個人的生命都是可以綻放美麗的，只要你珍惜。8、千萬別迷戀網(wǎng)絡(luò)游戲，要玩就玩好人生這場大游戲。9、過錯是暫時的遺憾，而錯過則是永遠(yuǎn)的遺憾！10、人生是個圓，有的人走了一輩子也沒有走出命運(yùn)畫出的圓圈，其實(shí)，圓上的每一個點(diǎn)都有一條騰飛的切線。11、沒有壓力的生活就會空虛；沒有壓力的青春就會枯萎；沒有壓力的生命就會黯淡。12、我以為挫折、磨難是鍛煉意志、增強(qiáng)能力的好機(jī)會?！u韜奮13、你不能左右天氣，但可以改變心情。你不能改變?nèi)菝玻梢哉莆兆约?。你不能預(yù)見明天，但可以珍惜今天。14、我們總是對陌生人太客氣，而對親密的人太苛刻。15、人之所以痛苦，在于追求錯誤的東西。16、知道自己要干什么，夜深人靜，問問自己，將來的打算，并朝著那個方向去實(shí)現(xiàn)。而不是無所事事和做一些無謂的事。17、逆境是成長必經(jīng)的過程，能勇于接受逆境的人，生命就會日漸的茁壯。18、哪里有天才，我是把別人喝咖啡的功夫，都用在工作上的?！斞?9、所謂天才，那就是假話，勤奮的工作才是實(shí)在的?！獝鄣仙?0、做一個決定，并不難，難的是付諸行動，并且堅持到底。21、不要因?yàn)樽约哼€年輕，用健康去換去金錢，等到老了，才明白金錢卻換不來健康。22、如果你不給自己煩惱，別人也永遠(yuǎn)不可能給你煩惱，煩惱都是自己內(nèi)心制造的。23、命運(yùn)負(fù)責(zé)洗牌，但是玩牌的是我們自己！24、再長的路，一步步也能走完，再短的路，不邁開雙腳也無法到達(dá)。25、成功，往往住在失敗的隔壁！26、大多數(shù)人想要改造這個世界，但卻罕有人想改造自己。27、人生是一場旅行，在乎的不是目的地，是沿途的風(fēng)景以及看風(fēng)景的心情。28、偉大的事業(yè)不是靠力氣、速度和身體的敏捷完成的，而是靠性格、意志和知識的力量完成的。29、人生最大的喜悅是每個人都說你做不到，你卻完成它了！30、在實(shí)現(xiàn)理想的路途中，必須排除一切干擾，特別是要看清那些美麗的誘惑。31、激情，這是鼓滿船帆的風(fēng)。風(fēng)有時會把船帆吹斷；但沒有風(fēng)，帆船就不能航行。32、滴水穿石不是靠力，而是因?yàn)椴簧釙円埂?3、忍別人所不能忍的痛，吃別人所別人所不能吃的苦，是為了收獲得不到的收獲。34、時間是個常數(shù)，但也是個變數(shù)。勤奮的人無窮多，懶惰的人無窮少?！謬?yán)35、不同的信念，決定不同的命運(yùn)！36、只有你學(xué)會把自己已有的成績都?xì)w零，才能騰出空間去接納更多的新東西，如此才能使自己不斷的超越自己。37、突破心理障礙，才能超越自己。38、人不怕走在黑夜里，就怕心中沒有陽光。9、過錯是暫時的遺憾，而錯過則是永遠(yuǎn)的遺憾！10、人生是個圓，有的人走了一輩子也沒有走出命運(yùn)畫出的圓圈，其實(shí)，圓上的每一個點(diǎn)都有一條騰飛的切線。11、沒有壓力的生活就會空虛；沒有壓力的青春就會枯萎；沒有壓力的生命就會黯淡。12、我以為挫折、磨難是鍛煉意志、增強(qiáng)能力的好機(jī)會?！u韜奮13、你不能左右天氣，但可以改變心情。你不能改變?nèi)菝?，但可以掌握自己。你不能預(yù)見明天，但可以珍惜今天。14、我們總是對陌生人太客氣，而對親密的人太苛刻。39、生命里最重要的事情是要有個遠(yuǎn)大的目標(biāo)，并借助才能與堅毅來完成它?！璧?0、工作中，你要把每一件小事都和遠(yuǎn)大的固定的目標(biāo)結(jié)合起來。41、大部分人往往對已經(jīng)失去的機(jī)遇捶胸頓足，卻對眼前的機(jī)遇熟視無睹20、對所學(xué)知識內(nèi)容的興趣可能成為學(xué)習(xí)動機(jī)?！澘品?/p>

21、游手好閑地學(xué)習(xí)，并不比學(xué)習(xí)游手好閑好?！s翰·貝勒斯

22、讀史使人明智，讀詩使人靈秀，數(shù)學(xué)使人周密，自然哲學(xué)使人精邃，倫理學(xué)使人莊重，邏輯學(xué)使人善辯?！喔?/p>

23、我們在我們的勞動過程中學(xué)習(xí)思考，勞動的結(jié)果，我們認(rèn)識了世界的奧妙，于是我們就真正來改變生活了?！郀柣?/p>

24、我們要振作精神，下苦功學(xué)習(xí)。下苦功，三個字，一個叫下，一個叫苦，一個叫功，一定要振作精神，下苦功。——毛澤東

25、我學(xué)習(xí)了一生，現(xiàn)在我還在學(xué)習(xí)，而將來，只要我還有精力，我還要學(xué)習(xí)下去?！獎e林斯基1、機(jī)遇對于有準(zhǔn)備的頭腦有特別的親和力。17?2007McAfee,Inc.法規(guī)遵從與安全風(fēng)險管理王昊華南區(qū)銷售工程師CISSP/CISA/CCNP?2007McAfee,Inc.法規(guī)遵從與安全風(fēng)險管理18CIO確保風(fēng)險處于可接受的范圍將業(yè)務(wù)中斷降至最小保護(hù)數(shù)據(jù)資源降低安全和法規(guī)遵從的成本審核降低審核成本自動訪問安全數(shù)據(jù)自動的風(fēng)險和法規(guī)報告功能提高可視性和精確性IT操作人員將網(wǎng)絡(luò)和系統(tǒng)中斷的時間降至最短確定計劃和修復(fù)漏洞的優(yōu)先級提高資源效率改善工作流程確保遵從內(nèi)外部策略

前瞻性地預(yù)防身份信息被盜確定風(fēng)險和應(yīng)對措施的優(yōu)先級提供指標(biāo)CSO業(yè)務(wù)面臨的挑戰(zhàn)來自于安全威脅方面的風(fēng)險？由于未遵從法規(guī)所產(chǎn)生的風(fēng)險？我的企業(yè)面臨什么樣的風(fēng)險？2022/12/1919CIO確保風(fēng)險處于可接受的范圍審核降低審核成本IT操作人員法規(guī)遵從丑聞英國財政部11月20號證實(shí)，英國皇家稅務(wù)及海關(guān)總署丟失兩張重要數(shù)據(jù)光盤，其中包括2500萬人的敏感個人信息，署長保羅?格雷已經(jīng)宣布引咎辭職，并表示這是“稅務(wù)部門重大的操作失誤”；2005年美國萬事達(dá)卡國際組織承認(rèn)包括萬事達(dá)、維薩、運(yùn)通等在內(nèi)高達(dá)4000多萬信用卡用戶的銀行資料存在泄密風(fēng)險；2006年之前中國人民建設(shè)銀行網(wǎng)站公積金信息泄露，任何人只需要通過輸入身份證號碼即可以查出賬戶余額和每月扣款額度；中國信息保密法規(guī)處于“一張白紙”狀態(tài)。2022/12/1920法規(guī)遵從丑聞英國財政部11月20號證實(shí)，英國皇家稅務(wù)及海關(guān)總法規(guī)遵從現(xiàn)狀A(yù)recentCSOMagazinesurveyrevealedthatregulationsandcompliancewerethetopdriversforsecurityinvestments.Securityriskassessmentwasthetopsecurityinitiative,whilethreatandriskmanagementwerethetopconcernskeepingCSOsupatnight.“SecuritySensorX”Feb.2006多數(shù)企業(yè)的法規(guī)遵從措施是分散的(de-centralized)，被動的(reactive)，隨機(jī)的(ad-hoc)；企業(yè)受約束的法規(guī)太多，成本很高，效率很低；實(shí)現(xiàn)法規(guī)遵從過多的依賴技術(shù)手段，忽略了管理手段。2022/12/1921法規(guī)遵從現(xiàn)狀A(yù)recentCSOMagazinesu法規(guī)遵從是一個全球性的挑戰(zhàn)……

每個人都必須有所付出……J-SOXSarbanes-

OxleyBaselIIPIPEDAEUDPDGLBAHIPAAPCIMITSFISMADPADPADTO-93CPC

Art.43FFIECCPASolvencyIIDPASA-PLR-DPL?1.54M€22-30M$3MSW￥349M

$30M$10+M

ISO/IEC27001:2005運(yùn)營管理安全2022/12/1922法規(guī)遵從是一個全球性的挑戰(zhàn)……

每個人都必須有所付出……J法規(guī)遵從是一個全球性的挑戰(zhàn)……

每個人都必須有所付出……（續(xù)）企業(yè)面臨的法規(guī)太多法律的兩個屬性（屬人性/屬地性）每個法規(guī)的流程完全不同（Dis-jointedResponse）法規(guī)遵從的延續(xù)性GLBA，HIPPA，SOX，COBIT，ISO17799/27001管理層對實(shí)現(xiàn)法規(guī)遵從的要求行業(yè)最佳實(shí)踐（Best-practice）成本收益分析（Cost-benefitanalysis）2022/12/1923法規(guī)遵從是一個全球性的挑戰(zhàn)……

每個人都必須有所付出……（IT治理（法規(guī)遵從的起點(diǎn)）IT治理的5大目標(biāo)（Controlobjective）戰(zhàn)略一致性（StrategicAlignment）價值交付（ValueDelivery）資源管理（ResourceManagement）風(fēng)險管理（RiskManagement）績效管理（PerformanceManagement）4類IT資源人（People），信息（Information），應(yīng)用（Application），設(shè)施（Infrastructure）CIAA（Confidentiality/Integrity/Availability/Accountability）3種控制手段（Physical/Technical/Operational）2022/12/1924IT治理（法規(guī)遵從的起點(diǎn)）IT治理的5大目標(biāo)（ControlCOBIT——IT管理規(guī)范Cobit信息準(zhǔn)則Effectiveness/efficiency/confidentiality/integrity/availability/compliance/reliability4大類流程PlanandOrganize/AcquireandImplement/DeliverandSupport/MonitorandEvaluate（34個子流程）4類控制目標(biāo)ActivityGoal/ProcessGoal/ITGoal/BusinessGoal2類考核指標(biāo)KGI（關(guān)鍵目標(biāo)指示），KPI（關(guān)鍵績效指示）管理評價體系（CMM模型）Initial/Repeatable/Defined/Managed/Optimized2022/12/1925COBIT——IT管理規(guī)范Cobit信息準(zhǔn)則2022/12/SOX——公司治理規(guī)范SOX：美國證監(jiān)會對于上市公司的公司治理規(guī)范要求Section306除了極特殊的情況外，對于發(fā)行權(quán)益性證券公司的所有董事、經(jīng)理因任職而獲得的其所任職公司的權(quán)益證券，在該權(quán)益證券的管制期間，這些董事、經(jīng)理直接或間接買賣或獲取、轉(zhuǎn)讓這些權(quán)益證券的行為是非法的。Section404內(nèi)部控制報告必須要指明公司管理層建立和維護(hù)內(nèi)部控制系統(tǒng)及相應(yīng)控制程序充分有效的責(zé)任和包括發(fā)行人管理層最近財政年度末對內(nèi)部控制體系及控制程序有效性的評價。擔(dān)任公司年報審計的會計公司應(yīng)當(dāng)對其進(jìn)行測試和評價，并出具評價報告(第404款)。第404條款是SOX法案中最為嚴(yán)厲和最具高昂執(zhí)行成本的條款。2022/12/1926SOX——公司治理規(guī)范SOX：美國證監(jiān)會對于上市公司的公司治ISO27001——ISO安全標(biāo)準(zhǔn)A7：AssetManagement（資產(chǎn)管理）A10：CommunicationandOperationManagement（通信與操作管理）A11：AccessControl（訪問控制）A13：InformationSecurityIncidentManagement（信息安全突發(fā)事件管理）A15：Compliance（遵從性）2022/12/1927ISO27001——ISO安全標(biāo)準(zhǔn)A7：AssetMana安全風(fēng)險的三個維度安全風(fēng)險

=資產(chǎn)

(重要性)

弱點(diǎn)

(嚴(yán)重性)

威脅

(嚴(yán)重性)xxCM1

CM2

CM3

認(rèn)證

Authentication

備份Back-up

負(fù)載均衡LoadBalance

監(jiān)控

Monitoring

加密Encryption

弱點(diǎn)管理VulnerabilityManagement

修補(bǔ)管理PatchManagement防火墻

Firewall防毒Anti-Virus入侵探測/防護(hù)

IDS/IPS防護(hù)對策:

軟件漏洞SoftwareBug

不必要的網(wǎng)絡(luò)風(fēng)險UnnecessaryServices

不恰當(dāng)?shù)拿艽a設(shè)定WeakPasswords

錯誤的配置Mis-configurations

木馬/后門

Trojan/backdoor病毒VirusSpreading

蠕蟲

WormOutbreak

黑客程序

ExploitCodes

黑客工具HackerTools

黑客攻擊HackerAttacks

服務(wù)器Workstation/Server

無線設(shè)備WirelessLANs/Devices

網(wǎng)絡(luò)設(shè)備NetworkDevices數(shù)據(jù)庫Database

應(yīng)用程序Applications2022/12/1928安全風(fēng)險的三個維度安全風(fēng)險=認(rèn)證Authentica安全風(fēng)險成本收益分析資產(chǎn)價值（AssetValue）暴露因子（ExposureFactor，某種風(fēng)險造成資產(chǎn)損失的百分比，實(shí)施安全方案之前EF1與實(shí)施安全方案之后EF2會顯著不同）年發(fā)生率（AnnualRateofOccurrence）對策成本（CountermeasureCost）對策價值（Benefit）Benefit=AV*EF1*ARO-AV*EF2*ARO-CC2022/12/1929安全風(fēng)險成本收益分析資產(chǎn)價值（AssetValue）202McAfee安全風(fēng)險模型2022/12/1930McAfee安全風(fēng)險模型2022/12/1313McAfeeSRM安全風(fēng)險管理方法論

ProtectionandComplianceIntegration=KeyBenefits

減少成本，降低復(fù)雜度增加運(yùn)作效率更快的實(shí)現(xiàn)防護(hù)和法規(guī)遵從+威脅保護(hù)McAfeeFoundstoneMcAfeePolicyAuditorMcAfeeDLPMcAfeeNACMcAfeeIntruShieldMcAfeeTotalProtectionMcAfeeSecureInternetGateway風(fēng)險&法規(guī)遵從性SRMSolution集成McAfeePreventsys2022/12/1931McAfeeSRM安全風(fēng)險管理方法論

ProtectionMcAfee法規(guī)審計工具——PreventsysPreventsys可以根據(jù)某些規(guī)章制度或行業(yè)認(rèn)證（如SOX、PCI）專門定制和設(shè)計PolicyLab通過技術(shù)的支持，報告現(xiàn)有控制架構(gòu)的有效性2022/12/1932McAfee法規(guī)審計工具——PreventsysPreven?2007McAfee,Inc.謝謝！

?2007McAfee,Inc.謝謝！

331、機(jī)遇對于有準(zhǔn)備的頭腦有特別的親和力。2、不求與人相比，但求超越自己，要哭就哭出激動的淚水，要笑就笑出成長的性格！3、在你內(nèi)心深處，還有無窮的潛力，有一天當(dāng)你回首看時，你就會知道這絕對是真的。4、無論你覺得自己多么的了不起，也永遠(yuǎn)有人比你更強(qiáng)；無論你覺得自己多么的不幸，永遠(yuǎn)有人比你更加不幸。5、不要浪費(fèi)你的生命，在你一定會后悔的地方上。6、放棄該放棄的是無奈，放棄不該放棄的是無能；不放棄該放棄的是無知，不放棄不該放棄的是執(zhí)著。7、不要輕易用過去來衡量生活的幸與不幸！每個人的生命都是可以綻放美麗的，只要你珍惜。8、千萬別迷戀網(wǎng)絡(luò)游戲，要玩就玩好人生這場大游戲。9、過錯是暫時的遺憾，而錯過則是永遠(yuǎn)的遺憾！10、人生是個圓，有的人走了一輩子也沒有走出命運(yùn)畫出的圓圈，其實(shí)，圓上的每一個點(diǎn)都有一條騰飛的切線。11、沒有壓力的生活就會空虛；沒有壓力的青春就會枯萎；沒有壓力的生命就會黯淡。12、我以為挫折、磨難是鍛煉意志、增強(qiáng)能力的好機(jī)會。——鄒韜奮13、你不能左右天氣，但可以改變心情。你不能改變?nèi)菝玻梢哉莆兆约?。你不能預(yù)見明天，但可以珍惜今天。14、我們總是對陌生人太客氣，而對親密的人太苛刻。15、人之所以痛苦，在于追求錯誤的東西。16、知道自己要干什么，夜深人靜，問問自己，將來的打算，并朝著那個方向去實(shí)現(xiàn)。而不是無所事事和做一些無謂的事。17、逆境是成長必經(jīng)的過程，能勇于接受逆境的人，生