1、從問題型到合規性從風險管理到對標管理IT安全的實現之道可編輯課件從問題型到合規性落實IT安全的驅動方式可編輯課件信息安全產業要素交易品(形態/價值/技術)提供商(模式/能力/資本)第三方（主管機構、測評機構、媒體等）客戶(需求)可編輯課件當前，交易品的變化是被客戶驅動的目前沒有革命性的技術能夠帶來產品、服務和平臺的根本性跳躍發展因此，產品、服務和平臺的變化就來自于客戶的變化2006可編輯課件客戶的變化：成熟追求我最根本的目的我到底要什么追求目的的達成、強調落實我到底怎么做到2006可編輯課件追求最根本的目的原先關注信息安全本身，關注出了事故，以后不要出事故信息安全關注的是對信息系統的保障，對于

2、信息數據的保護業務業務還是業務2006可編輯課件示例分析：政府機構或者城市的管理者關注的業務機構和城市在常態下的正常運行，并且盡量做到效率和效果機構和城市在緊急狀態下（如災難時），能夠及時有效地應對門戶網站災難應急處理支撐系統2006可編輯課件示例分析：電信運營商的經營者關心什么業務從網絡的經營者，變成一個信息服務的經營者必須滿足薩班斯-奧克斯利法案的要求支撐系統的保護安全委托(外包)增值服務內部控制系統4A、二次鑒權、審計平臺、SOX報表系統2006可編輯課件2006示例分析：一個中資銀行的經營者關心什么業務要從一個主要靠息差獲得收益，向多樣化經營發展大集中符合銀監會、中國人民銀行的相關規定

3、符合巴塞爾II的要求大集中的安全金融產品的安全巴塞爾等監管要求的符合性操作風險中的IT風險可編輯課件追求落實從需求驅動力上下手需求筐架來自內部來自外部主動引導體系化Systematic政策性Policy被動要求問題型Problem合規性Compliance可編輯課件問題型需求驅動的特點問題常常來源于客戶實際問題常常是不成體系的（看起來）需求滿足常常是“頭痛醫頭，腳痛醫腳”問題解決要求很快，追求速效問題所帶來的需求都非常實在問題解決辦法常常體現為面向脆弱性安全比如：防病毒、入侵檢測、防火墻等可編輯課件體系化需求驅動的特點常常來源于從專家和廠商而來的技術推動客戶零散的問題，被內外部專家提煉看起來成

4、體系，但是因為有抽象，和實際總是有些差別常常表現為：面向結構性安全比如：保障體系、可信計算、管理平臺等由于各個因素的牽扯，所以見效較慢完全靠體系來驅動，力度常常不足可編輯課件政策性需求驅動的特點常常來源于上級機構和主管機構雖然不追求完美的體系，但是政策性要求有一定整體性政策性要求不是強制性的，有一定的靈活性常常表現為：一些要點總結廠商和客戶一般在政策上的敏感度不高政策性的實際推動力常常不足可編輯課件合規性需求驅動的特點常常來源于上級機構和主管機構強制性、具有極強的推動力和約束力有效的合規性要求要簡單和明確可編輯課件需求驅動力向“合規性”的轉化帶來客戶價值和產業機會需求筐架來自內部來自外部主動引

5、導體系化Systematic政策性Policy被動要求問題型Problem合規性Compliance可編輯課件從風險管理到對標管理落實IT安全的操作思路可編輯課件兩大思路的融合協調風險管理Risk Management對標管理Benchmark Management可編輯課件風險管理風險管理的理念從90年代開始，已經逐步成為引導信息安全技術應用的核心理念風險的定義對目標有所影響的某件事情發生的可能性摘自AS/NZS4360可編輯課件國際風險管理趨勢動態IT安全風險成為企業運營風險中最為重要的一個組成部分，業務連續性逐漸與安全并行考慮來源：Gartner可編輯課件ISO13335中的風險管理的關

6、系圖可編輯課件ISO13335以風險為核心的安全模型風險防護措施信息資產威脅漏洞防護需求降低增加增加利用暴露價值擁有抗擊增加引出被滿足一般風險評估的理論基礎可編輯課件風險評估的國家標準可編輯課件國家標準中的風險10要素關系圖可編輯課件德國ITBPM可編輯課件德國ITBPM可編輯課件最精簡的風險管理要素可編輯課件信息安全保障框架通過S3-PPT方法展開保障措施可編輯課件最佳實踐建議教育和培訓成熟產品防病毒、防火墻、VPN、入侵檢測、漏洞掃描風險評估框架式的安全建設規劃信息安全管理體系安全域依據ITIL的流程管理監控體系、安全監控管理中心事件管理體系、應急體系可編輯課件一般風險管理過程建立環境鑒別

7、風險分析風險評價風險處理風險信息交流與咨詢監控與審查AS/NZS 4360可編輯課件最精簡的風險管理要素可編輯課件關于對標管理對標管理和風險管理的區別風險管理是從源頭從需求開始分析展開，而對標管理直接切入當前狀態和措施對標管理所對的“標”橫向比較其他機構的情況與相關的內外標準和指南進行比較與相關規定和要求進行比對，形成合規性管理可編輯課件關于對標管理等級化是對標管理的自然方法等級保護CMM能力成熟度模型可編輯課件SSE-CMMSystem Security Engineering Capability Majority Model初始級 Performed Informally計劃跟蹤級 Pl

8、anned and Tracked良好定義級 Well Defined量化控制級 Quantitatively Controlled持續改進級 Continuously Improving可編輯課件企業信息安全保障能力成長階段劃分成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業在不同階段的百分比分布來源：Gartner Inc. 2006年1月30%50%15%5%可編輯課件Gartner的階段劃分盲目自信階段普遍缺乏安全意識，對企業安全狀況不了解，未意識到信息安全風險的嚴重性認知階段通過信息安全風險評估等，企業意識到自身存在的信息安全風險，開始采取一些措施提升信息安全水

9、平改進階段意識到局部的、單一的信息安全控制措施難以明顯改善企業信息安全狀況，開始進行全面的信息安全架構設計，有計劃的建設信息安全保障體系卓越運營階段信息安全改進項目完成后，在擁有較為全面的信息安全控制能力基礎上，建立持續改進的機制，以應對安全風險的變化，不斷提升安全控制能力可編輯課件各個階段的主要工作任務成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業在不同階段的百分比分布來源：Gartner Inc. 2006年1月30%50%15%5%基本安全產品部署主要人員的培訓教育建立安全團隊制定安全方針政策評估并了解現狀可編輯課件各個階段的主要工作任務成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業在不同階段的百分比分布來源：Gartner Inc. 2006年1月30%50%15%5%啟動信息安全戰略項目設計信息安全架構建立信息安全流程完成信息安全改進項目可編輯課件各個階段的主要工作任務成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業在不同階段的百分比分布來源：Gartner Inc. 2006年1月30%50%15%5%信息安