从问题型到合规性 从风险管理到对标管理

从问题型到合规性从风险管理到对标管理IT安全的实现之道从问题型到合规性落实IT安全的驱动方式信息安全产业要素交易品(形态/价值/技术)提供商(模式/能力/资本)第三方（主管机构、测评机构、媒体等）客户(需求)当前，交易品的变化是被客户驱动的•目前没有革命性的技术能够带来产品、服务和平台的根本性跳跃发展•因此，产品、服务和平台的变化就来自于客户的变化客户的变化：成熟•追求我最根本的目的我到底要什么•追求目的的达成、强调落实我到底怎么做到追求最根本的目的•原先关注信息安全本身，关注出了事故，以后不要出事故…•信息安全关注的是对信息系统的保障，对于信息数据的保护•业务•业务•还是业务示例分析：政府机构或者城市的管理者关注的业务•机构和城市在常态下的正常运行，并且尽量做到效率和效果•机构和城市在紧急状态下（如灾难时），能够及时有效地应对•门户网站•灾难应急处理支撑系统示例分析：电信运营商的经营者关心什么业务•从网络的经营者，变成一个信息服务的经营者•必须满足萨班斯-奥克斯利法案的要求•支撑系统的保护•安全委托(外包)增值服务•内部控制系统–4A、二次鉴权、审计平台、SOX报表系统示例分析：一个中资银行的经营者关心什么业务•要从一个主要靠息差获得收益，向多样化经营发展•大集中•符合银监会、中国人民银行的相关规定•符合巴塞尔II的要求•大集中的安全•金融产品的安全•巴塞尔等监管要求的符合性——操作风险中的IT风险追求落实从需求驱动力上下手需求筐架来自内部来自外部主动引导体系化Systematic政策性Policy被动要求问题型Problem合规性Compliance问题型需求驱动的特点•问题常常来源于客户实际•问题常常是不成体系的（看起来）•需求满足常常是“头痛医头，脚痛医脚”•问题解决要求很快，追求速效•问题所带来的需求都非常实在•问题解决办法常常体现为–面向脆弱性安全–比如：防病毒、入侵检测、防火墙等体系化需求驱动的特点•常常来源于–从专家和厂商而来的技术推动–客户零散的问题，被内外部专家提炼•看起来成体系，但是因为有抽象，和实际总是有些差别•常常表现为：面向结构性安全–比如：保障体系、可信计算、管理平台等•由于各个因素的牵扯，所以见效较慢•完全靠体系来驱动，力度常常不足政策性需求驱动的特点•常常来源于上级机构和主管机构•虽然不追求完美的体系，但是政策性要求有一定整体性•政策性要求不是强制性的，有一定的灵活性•常常表现为：一些要点总结•厂商和客户一般在政策上的敏感度不高•政策性的实际推动力常常不足合规性需求驱动的特点•常常来源于上级机构和主管机构•强制性、具有极强的推动力和约束力•有效的合规性要求要简单和明确需求驱动力向“合规性”的转化带来客户价值和产业机会需求筐架来自内部来自外部主动引导体系化Systematic政策性Policy被动要求问题型Problem合规性Compliance从风险管理到对标管理落实IT安全的操作思路两大思路的融合协调•风险管理RiskManagement•对标管理BenchmarkManagement风险管理•风险管理的理念从90年代开始，已经逐步成为引导信息安全技术应用的核心理念风险的定义–对目标有所影响的某件事情发生的可能性[摘自AS/NZS4360]企业风险管理（ERM）信用风险市场风险运营风险IT风险项目风险设施风险法律风险安全业务连续性项目等等运营风险关注：怎么做？核心风险关注：做什么？内部欺诈外部欺诈产品交付客户物理资产的损失工作场所安全业务行为员工行为国际风险管理趋势动态•IT安全风险成为企业运营风险中最为重要的一个组成部分，业务连续性逐渐与安全并行考虑来源：GartnerISO13335中的风险管理的关系图ISO13335以风险为核心的安全模型风险防护措施信息资产威胁漏洞防护需求降低增加增加利用暴露价值拥有抗击增加引出被满足一般风险评估的理论基础风险评估的国家标准国家标准中的风险10要素关系图德国ITBPM德国ITBPM最精简的风险管理３要素信息安全保障框架•通过S3-PPT方法展开保障措施最佳实践建议•教育和培训•成熟产品–防病毒、防火墙、VPN、入侵检测、漏洞扫描•风险评估•框架式的安全建设规划•信息安全管理体系•安全域•依据ITIL的流程管理•监控体系、安全监控管理中心•事件管理体系、应急体系一般风险管理过程建立环境鉴别风险分析风险评价风险处理风险信息交流与咨询监控与审查－AS/NZS4360最精简的风险管理３要素关于对标管理•对标管理和风险管理的区别–风险管理是从源头从需求开始分析展开，而对标管理直接切入当前状态和措施•对标管理所对的“标”–横向比较其他机构的情况–与相关的内外标准和指南进行比较–与相关规定和要求进行比对，形成合规性管理关于对标管理•等级化是对标管理的自然方法–等级保护–CMM——能力成熟度模型SSE-CMM•SystemSecurityEngineering－CapabilityMajorityModel–初始级PerformedInformally–计划跟踪级PlannedandTracked–良好定义级WellDefined–量化控制级QuantitativelyControlled–持续改进级ContinuouslyImproving企业信息安全保障能力成长阶段划分成熟度时间盲目自信阶段认知阶段改进阶段卓越运营阶段福布斯2000强企业在不同阶段的百分比分布来源：GartnerInc.2006年1月30%50%15%5%Gartner的阶段划分•盲目自信阶段–普遍缺乏安全意识，对企业安全状况不了解，未意识到信息安全风险的严重性•认知阶段–通过信息安全风险评估等，企业意识到自身存在的信息安全风险，开始采取一些措施提升信息安全水平•改进阶段–意识到局部的、单一的信息安全控制措施难以明显改善企业信息安全状况，开始进行全面的信息安全架构设计，有计划的建设信息安全保障体系•卓越运营阶段–信息安全改进项目完成后，在拥有较为全面的信息安全控制能力基础上，建立持续改进的机制，以应对安全风险的变化，不断提升安全控制能力各个阶段的主要工作任务成熟度时间盲目自信阶段认知阶段改进阶段卓越运营阶段福布斯2000强企业在不同阶段的百分比分布来源：GartnerInc.2006年1月30%50%15%5%基本安全产品部署主要人员的培训教育建立安全团队制定安全方针政策评估并了解现状各个阶段的主要工作任务成熟度时间盲目自信阶段认知阶段改进阶段卓越运营阶段福布斯2000强企业在不同阶段的百分比分布来源：GartnerInc.2006年1月30%50%15%5%启动信息安全战略项目设计信息安全架构建立信息安全流程完成信息安全改进项目各个阶段的主要工作任务成熟度时间盲目自信阶段认知阶段改进阶段卓越运营阶段福布斯2000强企业在不同阶段的百分比分布来源：GartnerInc.2006年1月30%50%15%5%信息安全流程的持续改进追踪技术和业务的变化两大思路的融合协调•风险管理RiskManagement•对标管理BenchmarkManagement需求筐架来自内部来自外部主动引导体系化Systematic政策性Policy被动要求问题型Problem合规性Compliance感谢