法规遵从与安全风险管理培训资料(ppt 17页).ppt

2007McAfee，Inc，法规遵从性和安全风险管理，Wang Hao south China销售工程师CISSP/CISA/CCNP，2，2020/5/28，安全威胁风险？不符合法规的风险？我的企业面临的风险是什么？32020/5/28，合规丑闻，英国财政部11月20日确认，英国皇家税务海关总署丢失了包括2500万敏感个人信息在内的两个重要数据光盘，保罗格雷已经宣布辞职，并表示：“这是税务部门重大运营失误。”2005年，美国万事达卡国际承认，包括万事达卡、维萨卡、express在内，多达4000多万信用卡用户的银行信息有泄露的危险。到2006年，中国人民建设银行网站公积金信息泄露，任何人都可以输入身份证号码，了解账户馀额和每月扣除额。中国信息秘密法和规定处于“白纸一张”的状态。4，2020/5/28，法规遵从性现状，Arecentcsommaginesurveyrevealedthatregulationsandcompliance werethetoeditriversforsecuritying“security sensorx”feb . 2006对大多数企业的法规遵从性措施是分布式、被动和随机的；企业规制太多，成本高，效率低。过度依赖技术以实现法规遵从性，忽略管理手段。5，2020/5/28，法规遵从性是全球性的挑战任何人都必须支付的挑战iso/iec 2701:55，6，2020/5/28，法规遵从性是全球性的挑战每个人都必须支付的事项.(续)，对于企业面临的法规过多的法律的两个属性人类/领土，每个法规的流程是用于完全不同(Dis-jointedResponse)法规遵从性的延长GLBA、HIPPA、SOX、COBIT、iso 17799/2709 设施(infra structure)confidential/integrity/avail ability/accountability(ciaa)三种控制方法(物理/技术) Sox:美国证券监督管理委员会对上市公司的公司治理条例要求的第306节规定，除了非常特别的情况外，发行股权证券的所有董事、经理因任职而获得的公司股权证券，在该股权证券的控制期间，该董事、经理直接或间接买卖、取得、转让这些股权证券的行为是非法的。 Section404内部控制报告应包括公司管理层对内部控制系统及其控制程序的建立和维护的完整有效责任，以及发布者管理层最近财政年度末对内部控制系统和控制程序的有效性的评估。公司年度报告审计员会计公司应对此进行测试和评估，并发布评估报告(第404段)。404条款是SOX法案中最严格、执行成本最高的条款。，10，2020/5/28，iso 2701 iso安全标准，A7:资产管理a10:communicationandoperationmanagement 在实施安全方案之前，EF1和实施安全方案之后，EF2可能有很大差异)年度应计率(annuarateofocus)对应成本(benefit)benefit=av * EF1 * aro-av * EF2 * aro 2020/5/28，McAfee法规审核工具 prevensys，preve