发展信息安全风险评估文化.ppt

1、发展信息安全风险评估文化,出发点,不是为概念而概念（来自实践，用于实践）基础是五年多来数十个风险评估案例不只是关注风险评估过程，更为关注评估效果跟踪国际先进风险评估趋势动态更基础层面来研究风险评估的一个关键点为了更好地做好风险评估工作,主要内容,为什么提出发展风险评估文化？如何理解风险评估文化？如何发展运用风险评估文化？,1、风险评估大环境产生变化,信息安全治理内审、内控Sox/CobitITIL/FISMACOSO/BaseIISAS70信息安全风险评估更具挑战,2、安全文化引起重视,信息安全治理效果不佳对“人”“安全湿件”关注落实行动世界组织倡导发展安全文化,3、安全从IT中心转移业务中心

2、,AnEnterpriseSecurityStrategylinksorganizational,technical,administrativeandphysicalsecuritycontrolstoastrategiccombinationofbusinessdrivers,legalrequirements,threatscenariosanddesignandensurestheyareoperationallyintegratedwiththeoverallITarchitecture,businessprocessesandbusinessculture,4、企业安全架构产生变化

3、,信息安全架构变化引起风险评估重点、范围、内容、方法的变化操作风险的关注,5、一般的风险评估效果不佳,安全文化影响有时与方法无关,6、风险评估文化在实践中提出,信息安全风险评估文化风险管理哲学受到关注,主要内容,为什么提出发展风险评估文化？如何理解风险评估文化？如何发展运用风险评估文化？,病状头痛医头、脚痛医脚安全保护（VA,PT技术评估管理制度）,病因（结构）系统诊断、综合治疗安全保障(C-SAS风险评估等级保障体系),健康护理救治、保健预防安全治理（M2S实时安全过程风险管理最佳实践,达致实效）,19992000200120022003200420052006,开始作为业务进行安全服务中心

4、人员、流程、系统,中国移动大收获5/7（广东移动为首）,中国电信积累锤炼11省,中国电信IP骨干网技术评估,中国移动单业务系统评估,1、风险评估理念变化,评估知识体系knowledge评估方法风格style评估人员结构structure技能获得体系skills技术支持体系support,2、信息安全风险评估关键,传承性（评估方法）差异性（组织人员）系统性（知识）复杂性（交叉、业务、治理）实践性（产生价值）,3、信息安全风险评估文化,112？过程差异性不大结果却大相径庭文化因素直接影响评估每个元素(问卷、沟通、挖掘、分析）,4、信息安全风险评估方法,主要内容,为什么提出发展风险评估文化？如何理解

5、风险评估文化？如何发展运用风险评估文化？,1、Risk,R风险评估的回报,I采取措施控制风险,S衡量管理风险的系统,K风险管理知识人、技能、文化、价值观,Build-InSecurityGovernanceDevelopBusinessUnitPartnerships,ConsolidatemultiplesecurityorganizationsandtechnologiesDevelopandimplementproactiveandpredictive,enterprise-wideriskmanagementprocessesCentralizemonitoringofnetworka

6、ndsystemsMakesecurityafunctionofthebusinessprocess,1、改变安全文化,2、风险评估工具自动化,RAMS拥有完善的知识库系统基于CNCVE的弱点库安全威胁库基于ITBPM威胁模型二级威胁分类安全控制库CVE/CNCVE兼容CVE是国际通用漏洞命名。CNCVE是中国的漏洞命名标准。CNCVE并不是简单的命名标准，而是一个完全的安全弱点知识库，包括命名标准、弱点库、验证库、知识库。,3、风险评估知识库,风险评估管理系统基于安全知识库提供预警接口采用RSS技术，主动采集安全公告MSSecurityBulletinCISCOSecurityAdvisory启明星辰安全预警通告,中国移动、中国电信中国民航等近20家重要客户使用,4、风险评估管理系统,沉静的力量可信的保障,QuietStrengthTrustedAssurance,最佳实践达致实效,最佳实践达致实效,M2S全心、全程、全能的专业安全服务,