從問題型到合規(guī)性從風(fēng)險(xiǎn)管理到對標(biāo)管理

1、. 從問題型到合規(guī)性 從風(fēng)險(xiǎn)管理到對標(biāo)管理 . 從問題型到合規(guī)性 落實(shí)IT安全的驅(qū)動方式 . 信息安全產(chǎn)業(yè)要素 . 當(dāng)前，交易品的變化是被客戶驅(qū)動的 目前沒有革命性的技術(shù) 能夠帶來產(chǎn)品、服務(wù)和 平臺的根本性跳躍發(fā)展 因此，產(chǎn)品、服務(wù)和 平臺的變化就來自于 客戶的變化 2006 . 客戶的變化：成熟 追求我最根本的目的 我到底要什么 追求目的的達(dá)成、強(qiáng)調(diào)落實(shí) 我到底怎么做到 2006 . 追求最根本的目的 原先關(guān)注信息安全本 身，關(guān)注出了事故， 以后不要出事故 信息安全關(guān)注的是對 信息系統(tǒng)的保障，對 于信息數(shù)據(jù)的保護(hù) 業(yè)務(wù) 業(yè)務(wù) 還是業(yè)務(wù) 2006 . 示例分析： 政府機(jī)構(gòu)或者城市的管理者關(guān)注的

2、業(yè)務(wù) 機(jī)構(gòu)和城市在常態(tài)下 的正常運(yùn)行，并且盡 量做到效率和效果 機(jī)構(gòu)和城市在緊急狀 態(tài)下（如災(zāi)難時(shí)）， 能夠及時(shí)有效地應(yīng)對 門戶網(wǎng)站 災(zāi)難應(yīng)急處理支撐系 統(tǒng) 2006 . 示例分析： 電信運(yùn)營商的經(jīng)營者關(guān)心什么業(yè)務(wù) 從網(wǎng)絡(luò)的經(jīng)營者，變 成一個(gè)信息服務(wù)的經(jīng) 營者 必須滿足薩班斯-奧 克斯利法案的要求 支撐系統(tǒng)的保護(hù) 安全委托(外包)增值 服務(wù) 內(nèi)部控制系統(tǒng) 4A、二次鑒權(quán)、審計(jì) 平臺、SOX報(bào)表系統(tǒng) 2006 . 2006 示例分析： 一個(gè)中資銀行的經(jīng)營者關(guān)心什么業(yè)務(wù) 要從一個(gè)主要靠息差 獲得收益，向多樣化 經(jīng)營發(fā)展 大集中 符合銀監(jiān)會、中國人 民銀行的相關(guān)規(guī)定 符合巴塞爾II的要求 大集中的安

3、全 金融產(chǎn)品的安全 巴塞爾等監(jiān)管要求的 符合性操作風(fēng)險(xiǎn) 中的IT風(fēng)險(xiǎn) . 追求落實(shí)從需求驅(qū)動力上下手 需求筐架來自內(nèi)部來自外部 主動引導(dǎo) 體系化體系化 Systematic 政策性政策性 Policy 被動要求 問題型問題型 Problem 合規(guī)性合規(guī)性 Compliance . 問題型需求驅(qū)動的特點(diǎn) 問題常常來源于客戶實(shí)際 問題常常是不成體系的（看起來） 需求滿足常常是“頭痛醫(yī)頭，腳痛醫(yī)腳” 問題解決要求很快，追求速效 問題所帶來的需求都非常實(shí)在 問題解決辦法常常體現(xiàn)為 面向脆弱性安全 比如：防病毒、入侵檢測、防火墻等 . 體系化需求驅(qū)動的特點(diǎn) 常常來源于 從專家和廠商而來的技術(shù)推動 客戶零

4、散的問題，被內(nèi)外部專家提煉 看起來成體系，但是因?yàn)橛谐橄?，和?shí) 際總是有些差別 常常表現(xiàn)為：面向結(jié)構(gòu)性安全 比如：保障體系、可信計(jì)算、管理平臺等 由于各個(gè)因素的牽扯，所以見效較慢 完全靠體系來驅(qū)動，力度常常不足 . 政策性需求驅(qū)動的特點(diǎn) 常常來源于上級機(jī)構(gòu)和主管機(jī)構(gòu) 雖然不追求完美的體系，但是政策性要 求有一定整體性 政策性要求不是強(qiáng)制性的，有一定的靈 活性 常常表現(xiàn)為：一些要點(diǎn)總結(jié) 廠商和客戶一般在政策上的敏感度不高 政策性的實(shí)際推動力常常不足 . 合規(guī)性需求驅(qū)動的特點(diǎn) 常常來源于上級機(jī)構(gòu)和主管機(jī)構(gòu) 強(qiáng)制性、具有極強(qiáng)的推動力和約束力 有效的合規(guī)性要求要簡單和明確 . 需求驅(qū)動力向“合規(guī)性”的

5、轉(zhuǎn)化 帶來客戶價(jià)值和產(chǎn)業(yè)機(jī)會 需求筐架來自內(nèi)部來自外部 主動引導(dǎo) 體系化體系化 Systematic 政策性政策性 Policy 被動要求 問題型問題型 Problem 合規(guī)性合規(guī)性 Compliance . 從風(fēng)險(xiǎn)管理到對標(biāo)管理 落實(shí)IT安全的操作思路 . 兩大思路的融合協(xié)調(diào) 風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理 Risk Management 對標(biāo)管理對標(biāo)管理 Benchmark Management . 風(fēng)險(xiǎn)管理 風(fēng)險(xiǎn)管理的理念從90年代開始，已經(jīng)逐 步成為引導(dǎo)信息安全技術(shù)應(yīng)用的核心理 念 風(fēng)險(xiǎn)的定義 對目標(biāo)有所影響的某件事情發(fā)生的可能性 摘自AS/NZS4360 . 國際風(fēng)險(xiǎn)管理趨勢動態(tài) IT安全風(fēng)險(xiǎn)成為

6、企業(yè)運(yùn)營風(fēng)險(xiǎn)中最為重要的一個(gè)組成部分，業(yè)務(wù) 連續(xù)性逐漸與安全并行考慮 來源：來源：Gartner . ISO13335中的風(fēng)險(xiǎn)管理的關(guān)系圖 . ISO13335以風(fēng)險(xiǎn)為核心的安全模型 風(fēng)險(xiǎn)風(fēng)險(xiǎn) 防護(hù)措施防護(hù)措施信息資產(chǎn)信息資產(chǎn) 威脅威脅漏洞漏洞 防護(hù)需求防護(hù)需求 降低 增加增加 利用 暴露 價(jià)值價(jià)值 擁有 抗擊 增加 引出 被滿足 一般風(fēng)險(xiǎn)評估的 理論基礎(chǔ) . 風(fēng)險(xiǎn)評估的國家標(biāo)準(zhǔn) . 國家標(biāo)準(zhǔn)中的風(fēng)險(xiǎn)10要素關(guān)系圖 使命 脆弱性 安全需求 安全措施 資產(chǎn)價(jià)值資產(chǎn) 威脅風(fēng)險(xiǎn) 殘余風(fēng)險(xiǎn)事件 依賴 擁有 被滿足 抗擊 利用 暴露 降低 增加 增加 增加 導(dǎo)出 演變成 未被滿足 未控制可能誘發(fā) 殘留

7、成本 . 德國ITBPM . 德國ITBPM . 最精簡的風(fēng)險(xiǎn)管理要素 . 信息安全保障框架 通過S3-PPT方法展開保障措施 . 最佳實(shí)踐建議 教育和培訓(xùn) 成熟產(chǎn)品 防病毒、防火墻、VPN、入侵檢測、漏洞掃描 風(fēng)險(xiǎn)評估 框架式的安全建設(shè)規(guī)劃 信息安全管理體系 安全域 依據(jù)ITIL的流程管理 監(jiān)控體系、安全監(jiān)控管理中心 事件管理體系、應(yīng)急體系 . 一般風(fēng)險(xiǎn)管理過程 建立環(huán)境 鑒別風(fēng)險(xiǎn) 分析風(fēng)險(xiǎn) 評價(jià)風(fēng)險(xiǎn) 處理風(fēng)險(xiǎn) 信 息 交 流 與 咨 詢 監(jiān) 控 與 審 查 AS/NZS 4360 . 最精簡的風(fēng)險(xiǎn)管理要素 . 關(guān)于對標(biāo)管理 對標(biāo)管理和風(fēng)險(xiǎn)管理的區(qū)別 風(fēng)險(xiǎn)管理是從源頭從需求開始分析展開，而

8、對標(biāo)管理直接切入當(dāng)前狀態(tài)和措施 對標(biāo)管理所對的“標(biāo)” 橫向比較其他機(jī)構(gòu)的情況 與相關(guān)的內(nèi)外標(biāo)準(zhǔn)和指南進(jìn)行比較 與相關(guān)規(guī)定和要求進(jìn)行比對，形成合規(guī)性管合規(guī)性管 理理 . 關(guān)于對標(biāo)管理 等級化是對標(biāo)管理的自然方法 等級保護(hù) CMM能力成熟度模型 . SSE-CMM System Security Engineering Capability Majority Model 初始級 Performed Informally 計(jì)劃跟蹤級 Planned and Tracked 良好定義級 Well Defined 量化控制級 Quantitatively Controlled 持續(xù)改進(jìn)級 Continu

9、ously Improving . 企業(yè)信息安全保障能力成長階段劃分 盲目自信盲目自信 階段階段 認(rèn)知階段認(rèn)知階段改進(jìn)階段改進(jìn)階段卓越運(yùn)營卓越運(yùn)營 階段階段 福布斯2000強(qiáng)企業(yè)在不同階段的百分比分布 來源：Gartner Inc. 2006年1月 . Gartner的階段劃分 盲目自信階段 普遍缺乏安全意識，對企業(yè)安全狀況不了解，未意識到信息 安全風(fēng)險(xiǎn)的嚴(yán)重性 認(rèn)知階段 通過信息安全風(fēng)險(xiǎn)評估等，企業(yè)意識到自身存在的信息安全 風(fēng)險(xiǎn)，開始采取一些措施提升信息安全水平 改進(jìn)階段 意識到局部的、單一的信息安全控制措施難以明顯改善企業(yè) 信息安全狀況，開始進(jìn)行全面的信息安全架構(gòu)設(shè)計(jì)，有計(jì)劃 的建設(shè)信息安

10、全保障體系 卓越運(yùn)營階段 信息安全改進(jìn)項(xiàng)目完成后，在擁有較為全面的信息安全控制 能力基礎(chǔ)上，建立持續(xù)改進(jìn)的機(jī)制，以應(yīng)對安全風(fēng)險(xiǎn)的變化， 不斷提升安全控制能力 . 各個(gè)階段的主要工作任務(wù) 盲目自信盲目自信 階段階段 認(rèn)知階段認(rèn)知階段改進(jìn)階段改進(jìn)階段卓越運(yùn)營卓越運(yùn)營 階段階段 福布斯2000強(qiáng)企業(yè)在不同階段的百分比分布 來源：Gartner Inc. 2006年1月 基本安全 產(chǎn)品部署 主要人員的 培訓(xùn)教育 建立 安全團(tuán)隊(duì) 制定安全 方針政策 評估并 了解現(xiàn)狀 . 各個(gè)階段的主要工作任務(wù) 盲目自信盲目自信 階段階段 認(rèn)知階段認(rèn)知階段改進(jìn)階段改進(jìn)階段卓越運(yùn)營卓越運(yùn)營 階段階段 福布斯2000強(qiáng)企業(yè)在不同階段的百分比分布 來源：Gartner Inc. 2006年1月 啟動信息安全 戰(zhàn)略項(xiàng)目 設(shè)計(jì)信息 安全架構(gòu) 建立信息 安全流程 完成信息安全 改進(jìn)項(xiàng)目 . 各個(gè)階段的主要工作任務(wù) 盲目自信盲目自信 階段階段 認(rèn)知階段認(rèn)知階段改進(jìn)階段改進(jìn)階段卓越運(yùn)營卓越運(yùn)營 階段階段 福布斯2000強(qiáng)企業(yè)在不同階段的百分比分布 來源：Gartner Inc. 2006年1月 信息安全流程 的持續(xù)改進(jìn)