信息安全与风险管理

▪ 控制活动 ▪ 确保管理活动付诸实施的政
策/流程。
▪ 措施包括审批、授权、确认
、建议、业绩考核、资产安 全和职责分离。
▪ 风险评估 ▪ 风险评估是为了达到企
业目标而确认和分析相 关的风险-形成内部控制 活动的基础
•coso是一个企业治理模型，而Cobit是一个IT治理模型。coso更多面向策略层面，而Cobit则 更关注运营层面。Cobit可以看作是满足许多coso目标的一种方法，但只能从it角度来看，因 为coso还处理非IT项目，如公司文化、财务会计原则、董事会责任和内部通信结构。
•安全框架-Cobit
•安全管理和支持控 制
•安全框架——COSO
•安全管理和支持控
制
•所有的五个部分必须同时作用才能使 •内部控制得以产生影响
监督 ▪ 不断评估内部控制系统的表现。 ▪ 整合实时和独立的评估。 ▪ 管理层和监督活动。 ▪ 内部审计工作。
▪ 信息和沟通 ▪ 及时地获取，确定并交流相关的
•安全管理和支持控 制
•安全定义
•引
•威胁因
起
素
•直
•威胁
接
作
用
到
•利 用
•导
•脆弱性
致
•风险
•可以破坏
•资产
•安全措 施
•暴露
•并且引起一 个
•不能够被预防，通过
•安全管理和支持控 制
脆弱性（Vulnerability）是一种软 脆 件、硬件或是过程缺陷，这种缺陷 弱 也许会给攻击者提供正在寻找的方 性 便之门，这样他就能够进入某台计
算机或某个网络，并在这个系统中 对资源进行未经授权的访问。
威 胁
威胁（Threat）是威胁因素利用错 若星所造成的损失的潜能或是可能 性。
暴 暴露（Exposure）是因威胁因素而 露 遭受损失的一个案例。
对 对策（countermeasure）或者安全 策 措施，可以减轻潜在的风险。
•机构安全框架
信息安全与风险管理
2020年6月1日星期一
•安全管理主要内容及概述
•安全管理
安全计划是公司的安全管理的核心 组成部分，目的是保护公司财产。
风险分析是确定公司财产，发现构 成威胁的风险并评估这些危险变成 现实的时可能承受的危害和损失， 风险分析的结果帮助管理者采取可 行的安全策略，为在公司中发生的 活动提供安全方面的指导，说明安 全管理在公司安全计划中的价值。
•安全管理和支持控 制
•在网络中评估这些概念的正确顺序为：威胁、暴露、 脆弱性、对策，最后为风险。这是因为：如果具有某 种威胁（新的SQL攻击），但是除非你所在公司存在对 应的脆弱性（采用必要配置的SQL服务器），否则公司 不会暴露在威胁之中，这也不会形成脆弱性。如果环 境中确实存在脆弱性，就应该采取对应策略，以降低 风险。
•安全管理和支持控
制
•安全框架—— ISO17799
•ISO17799时最常用的标准，它由正式标准——英国标准7799（BS7799）发展而来。这个 是一个世界公认的信息安全管理标准，他为企业安全提供高级概念化建议。它由两部分构成 ；第一部分是一个执行指导，由如何建立一个综合性的信息安全结构体系的指导方针组成； 第二部分是一个审计指导，说明一个遵守ISO17799的组织必须满足的要求。
•安全框架—— ITIL
•改进
•事件(Event) •事故(Incident) •问题 •技术 •访问
•服务设计 •产生
•安全管理和支持控 制
•度量
•服务目 •服录务级 •可别用性 •连续性 •供应商
•报告 •服务运营
•财务 •服务战略 •投资组 合
•需求
•服务转换
•趋势
•变更 •资产&配置 •发布和部
• IT治理学院在《董事会参考之IT治理简介》第二版中对安全治理的定义 。“治理是董事会和执行管理层履行的一组责任和实践，其目标在于提 供策略指导，确保目标得以实现，封信啊得到适当管理，并证明切叶的 资源得到合理的利用。”
•安全管理
•安全管理和支持控 制
•管理的、技术的和物理的控制相互协作
•物理控制：设施保护、安全防护、锁定、监控、环境控制、入侵检测 •技术控制：逻辑访问控制、加密、安全设备、鉴别和认证
•管理控制：策略、标准、规程、方针、屏蔽人员、安 全意识培训
•公司数据和财产
•安全指标
•安全管理和支持控 制
•安全的基本原则
•日常目标或操作目标都集中在工作效率和面向任务的活动和说那个，这样 才能保证公司的功能能够以一种平顺而且可以预见的方式实现。中期目标或 战术目标，可能是将所有的工作站和资源都整合到一个地方，这样就可以实 现集中控制。长期目标，或战略目标，可能会涉及到如下活动；将所有部门 从专用通信线路转移到帧中继方式，为所有的远程用户转杯IPsec虚拟专用 网；（VPN）以代替拨号方式，向系统中整个带有必要安全措施是的无线技 术。
安全教育将上面的信息灌输给公司 中的每个员工，这样，每一个人都 受到教育，从而能够更容易的朝着 同一个安全目标前进。
•安全管理过程
•安全管理
•安全管理
•安全管理职责
安全计划 ➢ 安全计划须包括目标、范围、方针、优先级、标准和策略。 ➢ 资源有人力资源、资本、硬件以及信息等多种形式。
•自顶向下的方法
信息
▪ 从内部和外部获取信息 ▪ 使得形成从职责方面的指示到管
理层有关管理行动的发现总结等 各方面各类内部控制成功的措施 的信息流
•监控 •信息和沟通 •控制活动
•风险评估
•控制环境
控制环境 ▪ 营造单位气氛－让公司员工建立
内部控制
▪ 因素包括正直，道德价值，能力
，权威和责任
▪ 是其他内部控制组成部分的基础
•应用概念的顺序
•安全框架
•安全管理和支持控 制
•业务对象
•完整性 •完整性
•定量和
•风
•定义风
定性风
险分
险和威
险•保评估 护需
•析数 据分
胁
•功能 性评价
•代价律•任合法责理的求全•识安意•安级全可•措系靠统性
Baidu Nhomakorabea
解决方案
施
•策略 和规程
•对策
•机密性
•完整性
•可用性
•总体安全
•安全规划
•安全管理和支持控 制
•有署效性
•分析
•安全管理和支持控 制
•安全框架——小结
•Cobit和COSO提供“要实现什么”，而不是“如何实现它”，这就是ITIL和 ISO17799 存在的原因。
•要
•Cobit
实
现
什
•COSO
么
•ISO1779
9
•如
何
实
•ITIL
现
它
•安全治理
•安全管理
• 安全治理（Security Governance）在本质上非常类似于企业的IT治理，因 为这三者在功能和目标上有重叠的地方。所有这三种治理都在公司的组 织结构内进行，而且都以辅助确保公司的生存和发展为目标——只是侧 重点不同。