企业信息安全风险管理解决之道

企业信息安全风险管理解决之道EnterpriseInfoSecRiskManagementSolution，EIRMS安言咨询王怀滨2008.4ƒƒ企业面临的信息安全挑战企业面临的信息安全挑战ƒƒ信息安全风险管理之道－信息安全风险管理之道－ƒƒ面向客户需求的产业链面向客户需求的产业链EIRMSEIRMS目录目录企业面临的信息企业面临的信息安全挑战安全挑战企业面临的信息安全挑战企业面临的信息安全挑战自身需求•研发、知识产权和客户资料保护的要求•业务连续的要求•企业发展战略对IT内控的要求•企业信誉和形象的要求自身业务发展对信息依赖Æ风险管理达成信息安全合规要求•上市公司监管：SOX法案•行业规范：银监会风险管理指引，电子银行PCI，电力行业……•政府机构：公安部等级保护行业一般性风险管理诉求Æ企业内部风险管理诉求客户要求•第二方审计：SAS70/CobiT/PCI•证书要求：ISO27001/ISO20000/BS25999外部组织对信息安全关注Æ企业内部风险管理诉求行业大环境客户/合作伙伴企业自身环境逐渐演变渐趋成熟的应对策略逐渐演变渐趋成熟的应对策略事件驱动技术驱动流程驱动风险驱动•事件或故障发生后再补救•不重视安全管理•很少专门信息安全预算和计划•使用基本的用户名密码管理•部署了基本的安全工具•强调并依赖安全技术•部署了各种先进的安全工具•每年安全经费预算10%•没有正式的安全组织，安全策略、标准和流程•员工安全意识普遍薄弱•强调安全管理•信息安全预算介于整个IT预算的1%和10%之间•信息资产分类•有正式的安全组织，完善的安全策略、标准和流程•部署了基本的安全工具•强调安全管理和技术的平衡•安全预算基于风险评估结果•集成且统一的安全体系管理架构、技术架构•基于国际标准的完善的安全策略、标准和流程•部署了必要的安全工具•应急响应机制完善且定期演练•预防为主、防治结合理想形态是风险驱动的信息安全理想形态是风险驱动的信息安全z遵循法律法规，在统一的方针策略指导下，健全组织架构和角色责任，通过规范的流程化管理，借助必要的技术手段支持，实施信息安全内部控制，实现预防为主、防治结合的信息安全形态z这种形态以信息安全风险管理为核心，表现为风险识别、评价、处理、控制等一系列过程，同时考虑到业务连续性管理（BCM）对信息安全的要求z这种形态需建立有效性度量机制，实现持续改进，形成遵循PDCA运行模式的全面的信息安全管理体系z可以通过SOC之类的运行支撑平台，来支持该体系的运转z将信息安全管理融入到企业治理特别是IT治理框架下，从战略角度看待信息安全，最终实现信息安全治理企业治理企业经营（业务）战略视角信息安全治理信息安全的战略视角IT治理IT的战略视角风险管理过程（考虑到BCM）组织架构策略架构技术架构合规要求（法律法规和方针）有效性度量遵循PDCA运行模式的ISMS人员、流程和技术控制运行支撑平台（SOC）信息安全风险管信息安全风险管理之道－理之道－EIRMSEIRMS一种思路，信息安全建设路线图一种思路，信息安全建设路线图基础设施安全控制信息安全管理体系软件开发安全控制IT安全管理和运维业务连续性管理信息安全治理框架由点到面由面到点由点到面将基本控制做到全面、系统和完整，形成风险驱动的体系在体系框架内，将控制深入到与业务结合更紧密的IT领域最终上升到直接的业务层面，形成信息安全战略可以借鉴的最佳实践/标准提升层次EIRMSEIRMS：渐进式的咨询解决方案：渐进式的咨询解决方案基础设施安全控制信息安全管理体系软件开发安全控制IT安全管理和运维业务连续性管理信息安全治理框架IT基础设施安全咨询•网络基础设施•信息安全典型风险问题技术解决方案信息安全管理咨询•信息安全风险评估；信息安全策略规划•信息安全管理体系建设软件安全保障咨询•基于SDL的软件开发过程安全控制；•CMMI基础上的软件安全开发控制IT服务管理咨询•关键应用系统安全运维管理流程•IT服务管理体系建设业务连续性管理咨询•业务影响分析（制定；•业务连续性管理体系建设/系统安全评估；BIA）；BCP/DRP信息安全治理咨询•企业信息安全内控有效性度量建设；•法律法规及行业规范合规性建设人员安全意识和能力提升咨询•人员信息安全意识推进服务•人员IT及信息安全能力提升规划和实施tnopqrsEIRMS是帮助企业建立以风险管理为核心的信息安全管理体系,并最终达到企业信息安全治理要求的、可持续的、阶段实施的整体解决方案EIRMSEIRMS的最终成果（蓝图）的最终成果（蓝图）组织架构•内部组织设置•外部关系管理•角色和责任确定•意识和技能要求策略架构•方针/策略•标准/指南/程序•规程（作业书）•证据记录技术架构•功能•结构•区域•粒度：PDRR：层次化：内外边界：等级保护人员控制•入职/离职控制•岗位绩效考核•培训和意识提升•第三方管理流程控制•风险管理过程•事件/变更管•信息流转控制•开发/运维流理程技术控制•解决•技术•技术•技术方案设计措施实施措施监控措施改进风险管理过程•风险识别•风险评估•风险处理•风险控制事件管理过程•事件分类•事件发现和通知•应急处理和上报•事件调查和总结业务连续性管理过程•业务•业务•业务•计划影响分析连续性策略连续性计划演练和维护法律法规•信息安全法律•上市公司内控合规行业规范/客户要求•金融/电信/能源…•客户审核要求等业务需求•现有•新业业务生存发展务拓展需要有效性度量•信息安全管理体系内审和管理评审•信息安全控制有效性度量（可基于CobiT）和技术评估•外部独立审核运行支撑平台（SOC）遵循PDCA运行模式的ISMS信息安全治理从战略到策略最终目标和归宿面向客户需求的面向客户需求的安全产业链安全产业链信息安全产业链的主要构成方信息安全产业链的主要构成方厂商咨询商集成商审计方ƒ可覆盖管理流程、人员意识与产品技术多个领域ƒ客观中立，发现问题并引领客户需求；ƒ解决方案落地困难，流于形式。ƒ具备良好的客户关系，贴近客户需求；ƒ根据客户要求提供相应的产品集成服务能力；ƒ对安全的认识滞后，缺乏对客户的引导；ƒ针对特定问题能够提供专业的解决方案；ƒ适合客户IT基础建设的发展模式；ƒ产品研发有前瞻性，可影响市场需求；ƒ对客户安全需求的理解局限于自身的产品功能范围；ƒ符合国际规范的权威评价；ƒ持续跟踪性强，符合安全持续改进的特点；ƒ具体问题的认识局限，可能导致审核偏差，浪费客户资源。企业需求的变化与产业链的支持企业需求的变化与产业链的支持z单一产品建设转向Process、People、Technology的平衡。比较多的客户开始转向进行ISMS（信息安全管理体系）建设。z只从以建立符合ISO27001标准要求的ISMS建设入手，忽略实效的技术产品落地，也容易导致走过场流于形式。z只有管理体系的基础上，针对特定问题采取更实效的技术控制措施，信息安全才能归于平衡和持久。z而这种平衡持久的信息安全管理体系，最终又需要建立在稳定的、可度量的、自动化的平台之上，最终实现企业信息安全方面的“ERP”。z企业客户在力图实现此目标时，需要的是具有连贯性的厂商支持和服务，单一形态或者阶段性的支持服务已经不能适应信息安全的发展需要。z即便是解决一个最基本的问题（例如统一身份管理），也不是只靠产品厂商就能解决的。真正有效的解决方案，应该是咨询机构先做问题发掘和需求分析，提供良好的规划建议。再此基础上，企业客户有针对性选择适用的产品（涉及产品厂商）并部署实施（涉及集成商）。实施之后，持续的健康运行又有赖成熟的服务提供商的支持。在整个过程中，为了确保阶段成果和控制措施的绩效，独立审核机构又可以发挥作用。z企业为满足信息安全目标的实现，需要成熟、有序的信息安全产业链支持！ThankYou！©2007-2008AryasecInformationTechnologyLimitedAryasecOnline:400-88-27001