法规遵从与安全风险管理培训资料课件

©2007McAfee,Inc.法规遵从与安全风险管理王昊华南区销售工程师CISSP/CISA/CCNP©2007McAfee,Inc.法规遵从与安全风险管理1CIO确保风险处于可接受的范围将业务中断降至最小保护数据资源降低安全和法规遵从的成本审核降低审核成本自动访问安全数据自动的风险和法规报告功能提高可视性和精确性IT操作人员将网络和系统中断的时间降至最短确定计划和修复漏洞的优先级提高资源效率改善工作流程确保遵从内外部策略

前瞻性地预防身份信息被盗确定风险和应对措施的优先级提供指标CSO业务面临的挑战来自于安全威胁方面的风险？由于未遵从法规所产生的风险？我的企业面临什么样的风险？2022/12/192CIO确保风险处于可接受的范围审核降低审核成本IT操作人员法规遵从丑闻英国财政部11月20号证实，英国皇家税务及海关总署丢失两张重要数据光盘，其中包括2500万人的敏感个人信息，署长保罗•格雷已经宣布引咎辞职，并表示这是“税务部门重大的操作失误”；2005年美国万事达卡国际组织承认包括万事达、维萨、运通等在内高达4000多万信用卡用户的银行资料存在泄密风险；2006年之前中国人民建设银行网站公积金信息泄露，任何人只需要通过输入身份证号码即可以查出账户余额和每月扣款额度；中国信息保密法规处于“一张白纸”状态。2022/12/193法规遵从丑闻英国财政部11月20号证实，英国皇家税务及海关总法规遵从现状ArecentCSOMagazinesurveyrevealedthatregulationsandcompliancewerethetopdriversforsecurityinvestments.Securityriskassessmentwasthetopsecurityinitiative,whilethreatandriskmanagementwerethetopconcernskeepingCSOsupatnight.“SecuritySensorX”Feb.2006多数企业的法规遵从措施是分散的(de-centralized)，被动的(reactive)，随机的(ad-hoc)；企业受约束的法规太多，成本很高，效率很低；实现法规遵从过多的依赖技术手段，忽略了管理手段。2022/12/194法规遵从现状ArecentCSOMagazinesu法规遵从是一个全球性的挑战……

每个人都必须有所付出……J-SOXSarbanes-

OxleyBaselIIPIPEDAEUDPDGLBAHIPAAPCIMITSFISMADPADPADTO-93CPC

Art.43FFIECCPASolvencyIIDPASA-PLR-DPL₤1.54M€22-30M$3MSW¥349M

$30M$10+M

ISO/IEC27001:2005运营管理安全2022/12/195法规遵从是一个全球性的挑战……

每个人都必须有所付出……J法规遵从是一个全球性的挑战……

每个人都必须有所付出……（续）企业面临的法规太多法律的两个属性（属人性/属地性）每个法规的流程完全不同（Dis-jointedResponse）法规遵从的延续性GLBA，HIPPA，SOX，COBIT，ISO17799/27001管理层对实现法规遵从的要求行业最佳实践（Best-practice）成本收益分析（Cost-benefitanalysis）2022/12/196法规遵从是一个全球性的挑战……

每个人都必须有所付出……（IT治理（法规遵从的起点）IT治理的5大目标（Controlobjective）战略一致性（StrategicAlignment）价值交付（ValueDelivery）资源管理（ResourceManagement）风险管理（RiskManagement）绩效管理（PerformanceManagement）4类IT资源人（People），信息（Information），应用（Application），设施（Infrastructure）CIAA（Confidentiality/Integrity/Availability/Accountability）3种控制手段（Physical/Technical/Operational）2022/12/197IT治理（法规遵从的起点）IT治理的5大目标（ControlCOBIT——IT管理规范Cobit信息准则Effectiveness/efficiency/confidentiality/integrity/availability/compliance/reliability4大类流程PlanandOrganize/AcquireandImplement/DeliverandSupport/MonitorandEvaluate（34个子流程）4类控制目标ActivityGoal/ProcessGoal/ITGoal/BusinessGoal2类考核指标KGI（关键目标指示），KPI（关键绩效指示）管理评价体系（CMM模型）Initial/Repeatable/Defined/Managed/Optimized2022/12/198COBIT——IT管理规范Cobit信息准则2022/12/SOX——公司治理规范SOX：美国证监会对于上市公司的公司治理规范要求Section306除了极特殊的情况外，对于发行权益性证券公司的所有董事、经理因任职而获得的其所任职公司的权益证券，在该权益证券的管制期间，这些董事、经理直接或间接买卖或获取、转让这些权益证券的行为是非法的。Section404内部控制报告必须要指明公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任和包括发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价。担任公司年报审计的会计公司应当对其进行测试和评价，并出具评价报告(第404款)。第404条款是SOX法案中最为严厉和最具高昂执行成本的条款。2022/12/199SOX——公司治理规范SOX：美国证监会对于上市公司的公司治ISO27001——ISO安全标准A7：AssetManagement（资产管理）A10：CommunicationandOperationManagement（通信与操作管理）A11：AccessControl（访问控制）A13：InformationSecurityIncidentManagement（信息安全突发事件管理）A15：Compliance（遵从性）2022/12/1910ISO27001——ISO安全标准A7：AssetMana安全风险的三个维度安全风险

=资产

(重要性)

弱点

(严重性)

威胁

(严重性)xxCM1

CM2

CM3

认证

Authentication

备份Back-up

负载均衡LoadBalance

监控

Monitoring

加密Encryption

弱点管理VulnerabilityManagement

修补管理PatchManagement防火墙

Firewall防毒Anti-Virus入侵探测/防护

IDS/IPS防护对策:

软件漏洞SoftwareBug

不必要的网络风险UnnecessaryServices

不恰当的密码设定WeakPasswords

错误的配置Mis-configurations

木马/后门

Trojan/backdoor病毒VirusSpreading

蠕虫

WormOutbreak

黑客程序

ExploitCodes

黑客工具HackerTools

黑客攻击HackerAttacks

服务器Workstation/Server

无线设备WirelessLANs/Devices

网络设备NetworkDevices数据库Database

应用程序Applications2022/12/1911安全风险的三个维度安全风险=认证Authentica安全风险成本收益分析资产价值（AssetValue）暴露因子（ExposureFactor，某种风险造成资产损失的百分比，实施安全方案之前EF1与实施安全方案之后EF2会显著不同）年发生率（AnnualRateofOccurrence）对策成本（CountermeasureCost）对策价值（Benefit）Benefit=AV*EF1*ARO-AV*EF2*ARO-CC2022/12/1912安全风险成本收益分析资产价值（AssetValue）202McAfee安全风险模型2022/12/1913McAfee安全风险模型2022/12/1313McAfeeSRM安全风险管理方法论

ProtectionandComplianceIntegration=KeyBenefits

减少成本，降低复杂度增加运作效率更快的实现防护和法规遵从+威胁保护McAfeeFoundstoneMcAfeePolicyAuditorMcAfeeDLPMcAfeeNACMcAfeeIntruShieldMcAfeeTotalProtectionMcAfeeSecureInternetGateway风险&法规遵从性SRMSolution集成McAfeePreventsys2022/12/1914McAfeeSRM安全风险管理方法论

ProtectionMcAfee法规审计工具——PreventsysPreventsys可以根据某些规章制度或行业认证（如SOX、PCI）专门定制和设计PolicyLab通过技术的支持，报告现有控制架构的有效性2022/12/1915McAfee法规审计工具——PreventsysPreven©2007McAfee,Inc.谢谢！

©2007McAfee,Inc.谢谢！

161、机遇对于有准备的头脑有特别的亲和力。2、不求与人相比，但求超越自己，要哭就哭出激动的泪水，要笑就笑出成长的性格！3、在你内心深处，还有无穷的潜力，有一天当你回首看时，你就会知道这绝对是真的。4、无论你觉得自己多么的了不起，也永远有人比你更强；无论你觉得自己多么的不幸，永远有人比你更加不幸。5、不要浪费你的生命，在你一定会后悔的地方上。6、放弃该放弃的是无奈，放弃不该放弃的是无能；不放弃该放弃的是无知，不放弃不该放弃的是执着。7、不要轻易用过去来衡量生活的幸与不幸！每个人的生命都是可以绽放美丽的，只要你珍惜。8、千万别迷恋网络游戏，要玩就玩好人生这场大游戏。9、过错是暂时的遗憾，而错过则是永远的遗憾！10、人生是个圆，有的人走了一辈子也没有走出命运画出的圆圈，其实，圆上的每一个点都有一条腾飞的切线。11、没有压力的生活就会空虚；没有压力的青春就会枯萎；没有压力的生命就会黯淡。12、我以为挫折、磨难是锻炼意志、增强能力的好机会。——邹韬奋13、你不能左右天气，但可以改变心情。你不能改变容貌，但可以掌握自己。你不能预见明天，但可以珍惜今天。14、我们总是对陌生人太客气，而对亲密的人太苛刻。15、人之所以痛苦，在于追求错误的东西。16、知道自己要干什么，夜深人静，问问自己，将来的打算，并朝着那个方向去实现。而不是无所事事和做一些无谓的事。17、逆境是成长必经的过程，能勇于接受逆境的人，生命就会日渐的茁壮。18、哪里有天才，我是把别人喝咖啡的功夫，都用在工作上的。——鲁迅19、所谓天才，那就是假话，勤奋的工作才是实在的。——爱迪生20、做一个决定，并不难，难的是付诸行动，并且坚持到底。21、不要因为自己还年轻，用健康去换去金钱，等到老了，才明白金钱却换不来健康。22、如果你不给自己烦恼，别人也永远不可能给你烦恼，烦恼都是自己内心制造的。23、命运负责洗牌，但是玩牌的是我们自己！24、再长的路，一步步也能走完，再短的路，不迈开双脚也无法到达。25、成功，往往住在失败的隔壁！26、大多数人想要改造这个世界，但却罕有人想改造自己。27、人生是一场旅行，在乎的不是目的地，是沿途的风景以及看风景的心情。28、伟大的事业不是靠力气、速度和身体的敏捷完成的，而是靠性格、意志和知识的力量完成的。29、人生最大的喜悦是每个人都说你做不到，你却完成它了！30、在实现理想的路途中，必须排除一切干扰，特别是要看清那些美丽的诱惑。31、激情，这是鼓满船帆的风。风有时会把船帆吹断；但没有风，帆船就不能航行。32、滴水穿石不是靠力，而是因为不舍昼夜。33、忍别人所不能忍的痛，吃别人所别人所不能吃的苦，是为了收获得不到的收获。34、时间是个常数，但也是个变数。勤奋的人无穷多，懒惰的人无穷少。——字严35、不同的信念，决定不同的命运！36、只有你学会把自己已有的成绩都归零，才能腾出空间去接纳更多的新东西，如此才能使自己不断的超越自己。37、突破心理障碍，才能超越自己。38、人不怕走在黑夜里，就怕心中没有阳光。9、过错是暂时的遗憾，而错过则是永远的遗憾！10、人生是个圆，有的人走了一辈子也没有走出命运画出的圆圈，其实，圆上的每一个点都有一条腾飞的切线。11、没有压力的生活就会空虚；没有压力的青春就会枯萎；没有压力的生命就会黯淡。12、我以为挫折、磨难是锻炼意志、增强能力的好机会。——邹韬奋13、你不能左右天气，但可以改变心情。你不能改变容貌，但可以掌握自己。你不能预见明天，但可以珍惜今天。14、我们总是对陌生人太客气，而对亲密的人太苛刻。39、生命里最重要的事情是要有个远大的目标，并借助才能与坚毅来完成它。——歌德40、工作中，你要把每一件小事都和远大的固定的目标结合起来。41、大部分人往往对已经失去的机遇捶胸顿足，却对眼前的机遇熟视无睹20、对所学知识内容的兴趣可能成为学习动机。——赞科夫

21、游手好闲地学习，并不比学习游手好闲好。——约翰·贝勒斯

22、读史使人明智，读诗使人灵秀，数学使人周密，自然哲学使人精邃，伦理学使人庄重，逻辑学使人善辩。——培根

23、我们在我们的劳动过程中学习思考，劳动的结果，我们认识了世界的奥妙，于是我们就真正来改变生活了。——高尔基

24、我们要振作精神，下苦功学习。下苦功，三个字，一个叫下，一个叫苦，一个叫功，一定要振作精神，下苦功。——毛泽东

25、我学习了一生，现在我还在学习，而将来，只要我还有精力，我还要学习下去。——别林斯基1、机遇对于有准备的头脑有特别的亲和力。17©2007McAfee,Inc.法规遵从与安全风险管理王昊华南区销售工程师CISSP/CISA/CCNP©2007McAfee,Inc.法规遵从与安全风险管理18CIO确保风险处于可接受的范围将业务中断降至最小保护数据资源降低安全和法规遵从的成本审核降低审核成本自动访问安全数据自动的风险和法规报告功能提高可视性和精确性IT操作人员将网络和系统中断的时间降至最短确定计划和修复漏洞的优先级提高资源效率改善工作流程确保遵从内外部策略

前瞻性地预防身份信息被盗确定风险和应对措施的优先级提供指标CSO业务面临的挑战来自于安全威胁方面的风险？由于未遵从法规所产生的风险？我的企业面临什么样的风险？2022/12/1919CIO确保风险处于可接受的范围审核降低审核成本IT操作人员法规遵从丑闻英国财政部11月20号证实，英国皇家税务及海关总署丢失两张重要数据光盘，其中包括2500万人的敏感个人信息，署长保罗•格雷已经宣布引咎辞职，并表示这是“税务部门重大的操作失误”；2005年美国万事达卡国际组织承认包括万事达、维萨、运通等在内高达4000多万信用卡用户的银行资料存在泄密风险；2006年之前中国人民建设银行网站公积金信息泄露，任何人只需要通过输入身份证号码即可以查出账户余额和每月扣款额度；中国信息保密法规处于“一张白纸”状态。2022/12/1920法规遵从丑闻英国财政部11月20号证实，英国皇家税务及海关总法规遵从现状ArecentCSOMagazinesurveyrevealedthatregulationsandcompliancewerethetopdriversforsecurityinvestments.Securityriskassessmentwasthetopsecurityinitiative,whilethreatandriskmanagementwerethetopconcernskeepingCSOsupatnight.“SecuritySensorX”Feb.2006多数企业的法规遵从措施是分散的(de-centralized)，被动的(reactive)，随机的(ad-hoc)；企业受约束的法规太多，成本很高，效率很低；实现法规遵从过多的依赖技术手段，忽略了管理手段。2022/12/1921法规遵从现状ArecentCSOMagazinesu法规遵从是一个全球性的挑战……

每个人都必须有所付出……J-SOXSarbanes-

OxleyBaselIIPIPEDAEUDPDGLBAHIPAAPCIMITSFISMADPADPADTO-93CPC

Art.43FFIECCPASolvencyIIDPASA-PLR-DPL₤1.54M€22-30M$3MSW¥349M

$30M$10+M

ISO/IEC27001:2005运营管理安全2022/12/1922法规遵从是一个全球性的挑战……

每个人都必须有所付出……J法规遵从是一个全球性的挑战……

每个人都必须有所付出……（续）企业面临的法规太多法律的两个属性（属人性/属地性）每个法规的流程完全不同（Dis-jointedResponse）法规遵从的延续性GLBA，HIPPA，SOX，COBIT，ISO17799/27001管理层对实现法规遵从的要求行业最佳实践（Best-practice）成本收益分析（Cost-benefitanalysis）2022/12/1923法规遵从是一个全球性的挑战……

每个人都必须有所付出……（IT治理（法规遵从的起点）IT治理的5大目标（Controlobjective）战略一致性（StrategicAlignment）价值交付（ValueDelivery）资源管理（ResourceManagement）风险管理（RiskManagement）绩效管理（PerformanceManagement）4类IT资源人（People），信息（Information），应用（Application），设施（Infrastructure）CIAA（Confidentiality/Integrity/Availability/Accountability）3种控制手段（Physical/Technical/Operational）2022/12/1924IT治理（法规遵从的起点）IT治理的5大目标（ControlCOBIT——IT管理规范Cobit信息准则Effectiveness/efficiency/confidentiality/integrity/availability/compliance/reliability4大类流程PlanandOrganize/AcquireandImplement/DeliverandSupport/MonitorandEvaluate（34个子流程）4类控制目标ActivityGoal/ProcessGoal/ITGoal/BusinessGoal2类考核指标KGI（关键目标指示），KPI（关键绩效指示）管理评价体系（CMM模型）Initial/Repeatable/Defined/Managed/Optimized2022/12/1925COBIT——IT管理规范Cobit信息准则2022/12/SOX——公司治理规范SOX：美国证监会对于上市公司的公司治理规范要求Section306除了极特殊的情况外，对于发行权益性证券公司的所有董事、经理因任职而获得的其所任职公司的权益证券，在该权益证券的管制期间，这些董事、经理直接或间接买卖或获取、转让这些权益证券的行为是非法的。Section404内部控制报告必须要指明公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任和包括发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价。担任公司年报审计的会计公司应当对其进行测试和评价，并出具评价报告(第404款)。第404条款是SOX法案中最为严厉和最具高昂执行成本的条款。2022/12/1926SOX——公司治理规范SOX：美国证监会对于上市公司的公司治ISO27001——ISO安全标准A7：AssetManagement（资产管理）A10：CommunicationandOperationManagement（通信与操作管理）A11：AccessControl（访问控制）A13：InformationSecurityIncidentManagement（信息安全突发事件管理）A15：Compliance（遵从性）2022/12/1927ISO27001——ISO安全标准A7：AssetMana安全风险的三个维度安全风险

=资产

(重要性)

弱点

(严重性)

威胁

(严重性)xxCM1

CM2

CM3

认证

Authentication

备份Back-up

负载均衡LoadBalance

监控

Monitoring

加密Encryption

弱点管理VulnerabilityManagement

修补管理PatchManagement防火墙

Firewall防毒Anti-Virus入侵探测/防护

IDS/IPS防护对策:

软件漏洞SoftwareBug

不必要的网络风险UnnecessaryServices

不恰当的密码设定WeakPasswords

错误的配置Mis-configurations

木马/后门

Trojan/backdoor病毒VirusSpreading

蠕虫

WormOutbreak

黑客程序

ExploitCodes

黑客工具HackerTools

黑客攻击HackerAttacks

服务器Workstation/Server

无线设备WirelessLANs/Devices

网络设备NetworkDevices数据库Database

应用程序Applications2022/12/1928安全风险的三个维度安全风险=认证Authentica安全风险成本收益分析资产价值（AssetValue）暴露因子（ExposureFactor，某种风险造成资产损失的百分比，实施安全方案之前EF1与实施安全方案之后EF2会显著不同）年发生率（AnnualRateofOccurrence）对策成本（CountermeasureCost）对策价值（Benefit）Benefit=AV*EF1*ARO-AV*EF2*ARO-CC2022/12/1929安全风险成本收益分析资产价值（AssetValue）202McAfee安全风险模型2022/12/1930McAfee安全风险模型2022/12/1313McAfeeSRM安全风险管理方法论

ProtectionandComplianceIntegration=KeyBenefits

减少成本，降低复杂度增加运作效率更快的实现防护和法规遵从+威胁保护McAfeeFoundstoneMcAfeePolicyAuditorMcAfeeDLPMcAfeeNACMcAfeeIntruShieldMcAfeeTotalProtectionMcAfeeSecureInternetGateway风险&法规遵从性SRMSolution集成McAfeePreventsys2022/12/1931McAfeeSRM安全风险管理方法论

ProtectionMcAfee法规审计工具——PreventsysPreventsys可以根据某些规章制度或行业认证（如SOX、PCI）专门定制和设计PolicyLab通过技术的支持，报告现有控制架构的有效性2022/12/1932McAfee法规审计工具——PreventsysPreven©2007McAfee,Inc.谢谢！

©2007McAfee,Inc.谢谢！

331、机遇对于有准备的头脑有特别的亲和力。2、不求与人相比，但求超越自己，要哭就哭出激动的泪水，要笑就笑出成长的性格！3、在你内心深处，还有无穷的潜力，有一天当你回首看时，你就会知道这绝对是真的。4、无论你觉得自己多么的了不起，也永远有人比你更强；无论你觉得自己多么的不幸，永远有人比你更加不幸。5、不要浪费你的生命，在你一定会后悔的地方上。6、放弃该放弃的是无奈，放弃不该放弃的是无能；不放弃该放弃的是无知，不放弃不该放弃的是执着。7、不要轻易用过去来衡量生活的幸与不幸！每个人的生命都是可以绽放美丽的，只要你珍惜。8、千万别迷恋网络游戏，要玩就玩好人生这场大游戏。9、过错是暂时的遗憾，而错过则是永远的遗憾！10、人生是个圆，有的人走了一辈子也没有走出命运画出的圆圈，其实，圆上的每一个点都有一条腾飞的切线。11、没有压力的生活就会空虚；没有压力的青春就会枯萎；没有压力的生命就会黯淡。12、我以为挫折、磨难是锻炼意志、增强能力的好机会。——邹韬奋13、你不能左右天气，但可以改变心情。你不能改变容貌，但可以掌握自己。你不能预见明天，但可以珍惜今天。14、我们总是对陌生人太客气，而对亲密的人太苛刻。15、人之所以痛苦，在于追求错误的东西。16、知道自己要干什么，夜深人静，问问自己，将来的打算，并朝着那个方向去实现。而不是无所事事和做一些无谓的事。17、逆境是成长必经的过程，能勇于接受逆境的人，生