IT Value and Risk Management

Slideshow Transcript

1. Slide 2: 信息化价值与风险管理 战 潘柱廷 首席 略官 术 启明星辰信息技 有限公司 启明星辰信息技
2. Slide 3: 摘要 从一本畅销书说起，信息化的价值及其内  在风险 使命和原则：面向企业业务，从风险防范  到风险经营 框架与执行：构建整体风险管理框架，用  合规性作为驱动力
3. Slide 4: 从一本畅销书说起 2 0 0 5 年 - 2 0 0 6 年最有影响力的 经济类图书 一本 和管理
4. Slide 5: 《世界是平的》
5. Slide 6: 碾平世界的 10 大动力 ⑤ 外包： Y2K ⑥ 离岸经营：和瞪羚一起赛 ②Web 出现和网景上 跑，和狮子一起捕食 市 ⑦ 在阿肯色州吃寿司 ④ 上传：驾驭社区的 ⑩ 数字的、移动的、个 ⑧ 内包：那些穿这可笑褐色 力量 人的和虚拟的类固 短裤的家伙在干什么 ⑨ 提供信息 Google 、 醇 ？ 雅虎和 MSN 搜索 ———————————— 服务 ③ 工作流软件：让你我的应 用软件互相对话 ① 柏林墙的倒塌和 Windows 操作系统的建立
6. Slide 7: 碾平世界的 10 大动力—要素分析 流程 信息和知识 技术和 其他催化剂 ⑤ 外包  ⑥离岸经营   ②Web 和浏览器 ⑦ 供应链   ⑧内包 —————————— ④ 上传 ⑩ 无线技术等类固醇 ③ 工作流： ⑨ 搜索引擎 流程化和标准化 意识形态、基础平台 ① 壁垒的倒塌和平台的建立
7. Slide 8: 价值带来风险——使命 面向企业业务，从风险防范到 风险经营
8. Slide 9: 中办发 [2003]27 号 国家信息化领导小组关于 加强信息安全保障工作的意见 （ 2003 年 8 月 26 日）
9. Slide 10: 加强信息安全保障工作 - 总体要 求 总体要求：  坚持积极防御、综合防范的方针  全面提高信息安全防护能力  重点保障基础信息网络和重要信息系统安全  创建安全健康的网络环境  保障和促进信息化发展  保护公众利益，维护国家安全 
10. Slide 11: 加强信息安全保障工作 - 主要原 则 主要原则：  立足国情，以我为主，  坚持管理与技术并重；  正确处理安全与发展的关系，以安全保发  展，在发展中求安全； 统筹规划，突出重点，强化基础性工作；  明确国家、企业、个人的责任和义务，充  分发挥各方面的积极性，共同构筑国家信 息安全保障体系。
11. Slide 12: 加强信息安全保障工作 - 九项任 务 系统等级保护和风险管理  基于密码技术的信息保护和信任体系  网络信息安全监控体系  应急处理体系  加强技术研究，推进产业发展  法制建设、标准化建设  人才培养与全民安全意识  保证信息安全资金  加强对信息安全保障工作的领导，建立健全信息  安全管理责任制
12. Slide 13: 原则
13. Slide 14: 风险管理 风险管理的理念从 90 年代开始，已经逐步  成为引导信息安全技术应用的核心理念 风险的定义 对目标有所影响的某件事情发生的可能性  [ 摘自 AS/NZS4360]
14. Slide 15: 《中央企业全面风险管理指引》 2006 年 6 月 6 日，国务院国有资产监督管  理委员会印发了《中央企业全面风险管理指 引》 “ 第三条　本指引所称企业风险，指未来的不  确定性对企业实现其经营目标的影响。企业风 险一般可分为战略风险、财务风险、市场风险 、运营风险、法律风险等；也可以能否为企业 带来盈利等机会为标志，将风险分为纯粹风险 ( 只有带来损失一种可能性 ) 和机会风险 ( 带来 损失和盈利的可能性并存 ) 。”
15. Slide 16: 国际风险管理趋势动态 IT 安全风险成为企业运营风险中最为重要的一个组成部分，业务连  续性逐渐与安全并行考虑 员工行为 外部欺诈 内部欺诈 产品 交付 业务行为 物理资产的损失 客户 工作场所安全 企业风险管理（ERM） 核心风险关注： 运营风险关注： 做什么？ 怎么做？ 信用风险 市场风险 运营风险 IT风险 项目风险 设施风险 法律风险 安全 业务连续性 项目 来源： Gartner 等等
16. Slide 17: 案例分析：瑞士联合银行 UBS 的风险 观点
17. Slide 18: 瑞士联合银行 UBS 的风险观点 UBS 风险包 原始风险 间接风险 信用风险 交易过程风险 合规风险 市场风险 法律风险 税收风险 流动性和 安全风险 责任风险 融资风险
18. Slide 19: UBS －将机构安全问题组织化
19. Slide 20: UBS －策略和组织的保证
20. Slide 21: UBS －风险管理组织
21. Slide 22: UBS －风险报告
22. Slide 23: ISO13335 中的风险管理的关系图
23. Slide 24: ISO13335 以风险为核心的安全模型 利用 威胁 漏洞 抗击 增加 增加 暴露 防护措施 降低 信息资产 风险 引出 拥有 被满足 增加 防护需求 价值
24. Slide 25: 风险评估的国家标准
25. Slide 26: 国家标准中的风险 10 要素关系图 使命 依赖 脆弱性 资产 资产价值 暴露 拥有 未被 满足 增 利用 成本 加 加 增 威胁 风险 安全需求 导出 增加 抗击 残留 被满足 演变成 降 低 事件 残余风险 安全措施 可能诱发 未控制
26. Slide 27: 德国 ITBPM
27. Slide 28: 德国 ITBPM 德国信息安全局发布的ITBPM Safeguards Threats IT Components IT部件 保障措施 威胁
28. Slide 29: 最精简的风险管理３要素 R3-AST 三要素风险模型： 资产和业务 保障措施 威胁 Asset Safeguard Threat
29. Slide 30: 框架
30. Slide 31: 最精简的风险管理３要素： R3-AST R3-AST 三要素风险模型： 资产和业务 保障措施 威胁 Asset Safeguard Threat
31. Slide 32: 信息安全保障框架 信息安全保障框架VISAF 资产清单  资产和业务 保障措施 威胁  面向网络拓扑  基于安全域 / 业务域  基于业务流分析 …… 
32. Slide 33: 信息安全保障框架 信息安全保障框架VISAF 脆弱性管理  资产和业务 保障措施 威胁  告警管理  事件管理  预警管理  威胁管理 …… 
33. Slide 34: 信息安全保障框架 通过 S3-PPT 方法展开保障措施 
34. Slide 35: 保障框架 - 措施 资产和业务 保障措施 威胁 人和组织 运营和管理 策略 组织 营 运 技术 认证 监控 防御 应急 审计 内容安全
35. Slide 36: 27 号文的框架分析 等级保护 资产和业务 保障措施 威胁 风险评估 人和组织 运营和管理 法制建设 策略 标准化建设 人才培养 全民意识组织 营 责任制 运 保证资金 技术 技术和产业 认证 监控 防御 信任体系 应急体系 监控体系 应急 审计 内容安全
36. Slide 37: 产品需求和应用的变化趋势 防病毒 防火墙 VPN 漏洞扫描 入侵检测 IDS 软因素认证 硬因素认证 企业安全管理 安全事件信息管理 入侵防御系统 标识管理 IT 审计 渗透性测试 安全管理服务 管家安全服务
37. Slide 38: 产品的框架分析 资产和业务 保障措施 威胁 人和组织 运营和管理 策略 组织 安全管理中心 营 运 PKI IPS 技术 双因子 防火墙 IDS 认证 监控 防御 应用审计 防垃圾 SAN 应急 审计 防病毒 内容安全 Scanner 远程数据热备 加密机
38. Slide 39: 安全服务体系的框架分析 SCS 安全规划、风险评估、安全设计、风险管 安全顾问服务 理、运行安全服务、灾难恢复计划、维护 支持服务、 7799 安全稽核 MSS 专家 7/ 24 监控、专业人员响应管理、专 可管理安全服务 业分析报告、日常安全检查 SIS 安全集成服务、产品维护服务、安全测试 系统集成服务 服务、网络优化服务、补丁管理服务 EDU 课程培训、安全信息通告服务、安全知识 教育知识服务 库服务 IRS 网络应急处理、取证服务 应急响应服务
39. Slide 40: 安全服务体系的框架分析 资产和业务 保障措施 威胁 管理咨询 人和组织 运营和管理 策略 教育培训 组织 安全集成 MSS 营 运 技术 评估加固 认证 监控 防御 风险评估 应急响应 应急 审计 内容安全
40. Slide 41: 体系设计方案的框架分析 资产和业务 保障措施 威胁 人和组织 运营和管理 策略 安全管理体系 组织 营 运 技术 安全防护体系 安全监控体系 认证 监控 防御 网络信任体系 应急恢复体系 安全审计体系 应急 审计 内容安全
41. Slide 42: 执行
42. Slide 43: 执行——风险管理的落实 IT 风险管理的业务化  将 IT 风险管理（信息安全）融合到业务安全  中去 从风险管理到合规性管理 
43. Slide 44: 合规性管理——需求驱动力的变化 需求筐架 来自内部 来自外部 体系化 政策性 动导 主引 Syste m atic Po licy 问题型 合规性 动 被 要求 Pro ble m Co m pliance
44. Slide 45: 问题型需求驱动的特点 问题常常来源于客户实际  问题常常是不成体系的（看起来）  需求满足常常是“头痛医头，脚痛医脚”  问题解决要求很快，追求速效  问题所带来的需求都非常实在  问题解决办法常常体现为  面向脆弱性安全  比如：防病毒、入侵检测、防火墙等 
45. Slide 46: 体系化需求驱动的特点 常常来源于  从专家和厂商而来的技术推动  客户零散的问题，被内外部专家提炼  看起来成体系，但是因为有抽象，和实际  总是有些差别 常常表现为：面向结构性安全  比如：保障体系、可信计算、管理平台等  由于各个因素的牵扯，所以见效较慢  完全靠体系来驱动，力度常常不足 
46. Slide 47: 政策性需求驱动的特点 常常来源于上级机构和主管机构  虽然不追求完美的体系，但是政策性要求  有一定整体性 政策性要求不是强制性的，有一定的灵活  性 常常表现为：一些要点总结  厂商和客户一般在政策上的敏感度不高  政策性的实际推动力常常不足 
47. Slide 48: 合规性需求驱动的特点 常常来源于上级机构和主管机构  强制性、具有极强的推动力和约束力  有效的合规性要求要简单和明确 
48. Slide 49: 当前典型的“规” 国资发改革 [2006]108 号文  《中央企业全面风险管理指引》  萨班斯 - 奥克斯利法案 SO X  新巴塞尔资本协议 Base l II  银监会 [2006]63 号文  《银行业金融机构信息系统管理指引》  等级保护 公通字 [2006]7 号文  《信息安全等级保护管理办法》试行  涉密分级保护  《涉及国家秘密的信息系统分级保护技术要求 》 
49. Slide 50: 企业信息安全保障能力成长阶段划分 认阶 进阶 营 知 段 改 段 卓越运 盲目自信 成 阶段 阶段 熟 度 50% 15% 30% 5% 时间 福布斯 2000 强企业在不同阶段的百分比分布 来源： Gartner Inc. 2006 年 1 月
50. Slide 51: 企业信息安全保障能力成长阶段划分 盲目自信阶段  认阶 进阶 营 知 段 改 段 卓越运 盲目自信 成 阶段  阶段 普遍缺乏安全意识，对企业安全状况不了解，未意 熟 识到信息安全风险的严重性 度 认知阶段  通过信息安全风险评估等，企业意识到自身存在的  信息安全风险，开始采取一些措施提升信息安全水 平 改进阶段  意识到局部的、单一的信息安全控制措施难以明显  改善企业信息安全状况，开始进行全面的信息安全 架构设计，有计划的建设信息安全保障体系 50% 15% 30% 5% 卓越运营阶段  时间 信息安全改进项目完成后，在拥有较为全面的信息  福布斯 2000 强企业在不同阶段的百分比分布 来源： Gartner Inc. 2006 年 1 月 安全控制能力基础上，建立持续改进的机制，以应 对安全风险的变化，不断提升安全控制能力
51. Slide 52: 各个阶段的主要工作任务 认阶 进阶 营 知 段 改 段 卓越运 盲目自信 成 阶段 阶段 熟 制定安全 度 方针政策 主要人员的 培训教育 评估并 了解现状 基本安全 建立 产品部署 安全团队 50% 15% 30% 5% 时间 福布斯 2000 强企业在不同阶段的百分比分布 来源： Gartner Inc. 2006 年 1 月
52. Slide 53: 各个阶段的主要工作任务 认阶 进阶 营 知 段 改 段 卓越运 盲目自信 成 阶段 阶段 完成信息安全 熟 度 改进项目 设计信息 建立信息 安全架构 安全流程 启动信息安全 战略项目 50% 15% 30% 5% 时间 福布斯 2000 强企业在不同阶段的百分比分布 来源： Gartner Inc. 2006 年 1 月
53. Slide 54: 各个阶段的主要工作任务 认阶 进阶 营 知 段 改 段 卓越运 盲目自信 成 阶段 阶段 熟 追踪技术和业 度 务的变化 信息安全流程 的持续改进 50% 15% 30% 5% 时间 福布斯 2000 强企业在不同阶段的百分比分布 来源： Gartner Inc. 2006 年 1 月
54. Slide 55: 需求驱动力向“合规性”的转化 风险管理向合规性管理发展 需求筐架 来自内部 来自外部 体系化 政策性 动导 主引 R3-AST 三要素风险模型： Syste m atic Po licy 资产和业务 保障措施 威胁 Asset Safeguard Threat 问题型 合规性 动 被 要求 Pro ble m Co m pliance
55. Slide 56: 从企业业务出发的信息化风险 信息化风险是业务风险的组成部分  信息化是威胁的一种渠道  信息化具有放大作用  信息化是控制风险的有效手段和必要工具  信息风险管理的融合 
56. Slide 57: 谢谢 下载地址：大潘的网誌 http://www.i170.com/user/jordanpan/Article_56699 3-4 February 2007 Beijing 2006 Annual Co nfe re nce o f Chine se Ente rprise Info rm atizatio n To p 500