法规遵从与风险管理ppt课件

1、 2007 McAfee, Inc.法规服从与平安风险管理法规服从与平安风险管理王昊华南区销售工程师CISSP/CISA/CCNPCIO 确保风险处于可接受确保风险处于可接受的范围的范围 将业务中断降至最小将业务中断降至最小 维护数据资源维护数据资源 降低平安和法规服从降低平安和法规服从的本钱的本钱审核审核 降低审核本钱降低审核本钱 自动访问平安数据自动访问平安数据 自动的风险和法规报自动的风险和法规报告功能告功能 提高可视性和准确性提高可视性和准确性IT 操作人员操作人员 将网络和系统中断的将网络和系统中断的时间降至最短时间降至最短 确定方案和修复破绽确定方案和修复破绽的优先级的优先级 提高

2、资源效率提高资源效率 改善任务流程改善任务流程 确保服从内外部战略确保服从内外部战略 前瞻性地预防身份信前瞻性地预防身份信息被盗息被盗 确定风险和应对措施确定风险和应对措施的优先级的优先级 提供目的提供目的CSO来自于平安要挟方面的风险？来自于平安要挟方面的风险？由于未服从法规所产生的风险？由于未服从法规所产生的风险？我的企业面临什么样的风险？我的企业面临什么样的风险？法规服从丑闻法规服从丑闻英国财政部11月20号证明，英国皇家税务及海关总署丧失两张重要数据光盘，其中包括2500万人的敏感个人信息，署长保罗格雷曾经宣布引咎辞职，并表示这是“税务部门艰苦的操作失误；2005年美国万事达卡国际组织

3、成认包括万事达、维萨、运通等在内高达4000多万信誉卡用户的银行资料存在泄密风险 ；2006年之前中国人民建立银行网站公积金信息泄露，任何人只需求经过输入身份证号码即可以查出账户余额和每月扣款额度；中国信息严密法规处于“一张白纸形状。法规服从现状法规服从现状 A recent CSO Magazine survey revealed that regulations and compliance were the top drivers for security investments. Security risk assessment was the top security initiat

4、ive, while threat and risk management were the top concerns keeping CSOs up at night. “Security Sensor X Feb. 2006 多数企业的法规服从措施是分散的(de-centralized)，被动的(reactive)，随机的(ad-hoc)； 企业受约束的法规太多，本钱很高，效率很低； 实现法规服从过多的依赖技术手段，忽略了管理手段。法规服从是一个全球性的挑战法规服从是一个全球性的挑战每个人都必需有所付出每个人都必需有所付出J-SOXSarbanes-OxleyBasel IIPIPEDAE

5、UDPDGLBAHIPAAPCIMITSFISMADPADPADTO-93CPCArt. 43FFIECCPASolvency IIDPASA-PLR-DPL1.54M22-30M$3MSW 349M $30M$10+ M ISO/IEC 27001:2005运营运营管理管理平安平安法规服从是一个全球性的挑战法规服从是一个全球性的挑战每个人都必需有所付出每个人都必需有所付出续续 企业面临的法规太多 法律的两个属性属人性/属地性 每个法规的流程完全不同Dis-jointed Response 法规服从的延续性 GLBA，HIPPA，SOX，COBIT，ISO17799/27001 管理层对实现法

6、规服从的要求 行业最正确实际Best-practice 本钱收益分析Cost-benefit analysisIT治理法规服从的起点治理法规服从的起点 IT治理的5大目的Control objective 战略一致性Strategic Alignment 价值交付Value Delivery 资源管理Resource Management 风险管理Risk Management 绩效管理Performance Management 4类IT资源 人People，信息Information，运用Application，设备Infrastructure CIAAConfidentiality/In

7、tegrity/Availability/Accountability 3种控制手段Physical/Technical/OperationalCOBITIT管理规范管理规范 Cobit信息准那么 Effectiveness/efficiency/confidentiality/integrity/availability/compliance/reliability 4大类流程 Plan and Organize/Acquire and Implement/Deliver and Support/Monitor and Evaluate34个子流程 4类控制目的 Activity Goal/

8、Process Goal/IT Goal/Business Goal 2类考核目的 KGI关键目的指示，KPI关键绩效指示 管理评价体系CMM模型 Initial/Repeatable/Defined/Managed/OptimizedSOX公司治理规范公司治理规范 SOX：美国证监会对于上市公司的公司治理规范要求 Section 306 除了极特殊的情况外，对于发行权益性证券公司的一切董事、经理因任职而获得的其所任职公司的权益证券，在该权益证券的控制期间，这些董事、经理直接或间接买卖或获取、转让这些权益证券的行为是非法的。 Section 404 内部控制报告必需求指明公司管理层建立和维护内

9、部控制系统及相应控制程序充分有效的责任和包括发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价。担任公司年报审计的会计公司该当对其进展测试和评价，并出具评价报告(第404款)。 第404条款是SOX法案中最为严峻和最具高昂执行本钱的条款。ISO27001ISO平安规范平安规范 A7：Asset Management资产管理 A10：Communication and Operation Management通讯与操作管理 A11：Access Control访问控制 A13：Information Security Incident Management信息平安突发事件管理 A15

10、：Compliance服从性平安风险的三个维度平安风险的三个维度资产资产 (重要性重要性) 要挟要挟 (严重性严重性) 认证认证 Authentication 备份备份Back-up 负载平衡负载平衡Load Balance 监控监控 Monitoring 加密加密 Encryption 弱点管理弱点管理 Vulnerability Management 修补管理修补管理 Patch Management 防火墙防火墙 Firewall 防毒防毒 Anti-Virus 入侵探测入侵探测/防护防护 IDS / IPS防护对策防护对策: 软件破绽软件破绽 Software Bug Software

11、 Bug 不用要的网络风险不用要的网络风险 Unnecessary Services Unnecessary Services 不恰当的密码设定不恰当的密码设定 Weak Passwords Weak Passwords 错误的配置错误的配置 Mis-configurations Mis-configurations 木马木马/ /后门后门 Trojan/backdoor Trojan/backdoor 病毒病毒 Virus Spreading 蠕虫蠕虫 Worm Outbreak 黑客程序黑客程序 Exploit Codes 黑客工具黑客工具 Hacker Tools 黑客攻击黑客攻击 Ha

12、cker Attacks 效力器效力器Workstation / Server 无线设备无线设备Wireless LANs / Devices 网络设备网络设备Network Devices 数据库数据库 Database 运用程序运用程序Applications平安风险本钱收益分析平安风险本钱收益分析 资产价值Asset Value 暴露因子Exposure Factor，某种风险呵斥资产损失的百分比，实施平安方案之前EF1与实施平安方案之后EF2会显著不同 年发生率Annual Rate of Occurrence 对策本钱Countermeasure Cost 对策价值Benefit B

13、enefit = AV*EF1*ARO - AV*EF2*ARO - CCMcAfee平安风险模型McAfee SRM平安风险管理方法论Protection and Compliance Integration=Key Benefits 减少本钱，降低复杂度减少本钱，降低复杂度添加运作效率添加运作效率更快的实现防护和法规服从更快的实现防护和法规服从+要挟维护要挟维护McAfee FoundstoneMcAfee Policy Auditor McAfee DLPMcAfee NACMcAfee IntruShieldMcAfee Total ProtectionMcAfee Secure Internet Gateway风险风险 & 法规服从性法规服从性