信息化价值与风险管理 潘柱廷 首席战略官 启明星辰信息技术有限公司

摘要 从一本畅销书说起，信息化的价值及其内在风险 使命和原则：面向企业业务，从风险防范到风险经营 框架与执行：构建整体风险管理框架，用合规性作为驱动力

从一本畅销书说起，信息化的价值及其内在风险

使命和原则：面向企业业务，从风险防范到风险经营

框架与执行：构建整体风险管理框架，用合规性作为驱动力

从一本畅销书说起 2005 年 -2006 年最有影响力的 一本经济和管理类图书

《世界是平的》

碾平世界的 10 大动力 ① 柏林墙的倒塌和 Windows 操作系统的建立 ⑩ 数字的、移动的、个人的和虚拟的类固醇 ⑤ 外包： Y2K ⑥ 离岸经营：和瞪羚一起赛跑，和狮子一起捕食 ⑦ 在阿肯色州吃寿司 ⑧ 内包：那些穿这可笑褐色短裤的家伙在干什么？ ———————————— ③ 工作流软件：让你我的应用软件互相对话 ② Web 出现和网景上市 ④ 上传：驾驭社区的力量 ⑨ 提供信息 Google 、雅虎和 MSN 搜索服务

碾平世界的 10 大动力—要素分析 意识形态、基础平台 ① 壁垒的倒塌和平台的建立 技术和 其他催化剂 ⑩ 无线技术等类固醇 流程 ⑤ 外包 ⑥离岸经营 ⑦ 供应链 ⑧内包 —————————— ③ 工作流： 流程化和标准化 信息和知识 ② Web 和浏览器 ④ 上传 ⑨ 搜索引擎

价值带来风险——使命 面向企业业务，从风险防范到风险经营

中办发 [2003]27 号 国家信息化领导小组关于 加强信息安全保障工作的意见 （ 2003 年 8 月 26 日）

国家信息化领导小组关于

加强信息安全保障工作的意见

（ 2003 年 8 月 26 日）

加强信息安全保障工作 - 总体要求 总体要求： 坚持积极防御、综合防范的方针 全面提高信息安全防护能力 重点保障基础信息网络和重要信息系统安全 创建安全健康的网络环境 保障和促进信息化发展 保护公众利益，维护国家安全

总体要求：

坚持积极防御、综合防范的方针

全面提高信息安全防护能力

重点保障基础信息网络和重要信息系统安全

创建安全健康的网络环境

保障和促进信息化发展

保护公众利益，维护国家安全

加强信息安全保障工作 - 主要原则 主要原则： 立足国情，以我为主， 坚持管理与技术并重； 正确处理安全与发展的关系，以安全保发展，在发展中求安全； 统筹规划，突出重点，强化基础性工作； 明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。

主要原则：

立足国情，以我为主，

坚持管理与技术并重；

正确处理安全与发展的关系，以安全保发展，在发展中求安全；

统筹规划，突出重点，强化基础性工作；

明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。

加强信息安全保障工作 - 九项任务 系统等级保护和风险管理 基于密码技术的信息保护和信任体系 网络信息安全监控体系 应急处理体系 加强技术研究，推进产业发展 法制建设、标准化建设 人才培养与全民安全意识 保证信息安全资金 加强对信息安全保障工作的领导，建立健全信息安全管理责任制

系统等级保护和风险管理

基于密码技术的信息保护和信任体系

网络信息安全监控体系

应急处理体系

加强技术研究，推进产业发展

法制建设、标准化建设

人才培养与全民安全意识

保证信息安全资金

加强对信息安全保障工作的领导，建立健全信息安全管理责任制

原则

风险管理 风险管理的理念从 90 年代开始，已经逐步成为引导信息安全技术应用的核心理念 风险的定义 对目标有所影响的某件事情发生的可能性 [ 摘自 AS/NZS4360]

风险管理的理念从 90 年代开始，已经逐步成为引导信息安全技术应用的核心理念

风险的定义

对目标有所影响的某件事情发生的可能性

[ 摘自 AS/NZS4360]

《中央企业全面风险管理指引》 2006 年 6 月 6 日，国务院国有资产监督管理委员会印发了《中央企业全面风险管理指引》 “ 第三条 本指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险 ( 只有带来损失一种可能性 ) 和机会风险 ( 带来损失和盈利的可能性并存 ) 。”

2006 年 6 月 6 日，国务院国有资产监督管理委员会印发了《中央企业全面风险管理指引》

“ 第三条 本指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险 ( 只有带来损失一种可能性 ) 和机会风险 ( 带来损失和盈利的可能性并存 ) 。”

国际风险管理趋势动态 IT 安全风险成为企业运营风险中最为重要的一个组成部分，业务连续性逐渐与安全并行考虑 来源： Gartner

IT 安全风险成为企业运营风险中最为重要的一个组成部分，业务连续性逐渐与安全并行考虑

案例分析：瑞士联合银行 UBS 的风险观点

瑞士联合银行 UBS 的风险观点 UBS 风险包 原始风险 间接风险 信用风险 市场风险 流动性和 融资风险 交易过程风险 合规风险 法律风险 税收风险 安全风险 责任风险

UBS －将机构安全问题组织化

UBS －策略和组织的保证

UBS －风险管理组织

UBS －风险报告

ISO13335 中的风险管理的关系图

ISO13335 以风险为核心的安全模型 风险 防护措施 信息资产 威胁 漏洞 防护需求 价值 降低 增加 增加 利用 暴露 拥有 抗击 增加 引出 被满足

风险评估的国家标准

国家标准中的风险 10 要素关系图

德国 ITBPM

德国 ITBPM

最精简的风险管理３要素

框架

最精简的风险管理３要素： R3-AST

信息安全保障框架 资产清单 面向网络拓扑 基于安全域 / 业务域 基于业务流分析 … …

资产清单

面向网络拓扑

基于安全域 / 业务域

基于业务流分析

… …

信息安全保障框架 脆弱性管理 告警管理 事件管理 预警管理 威胁管理 … …

脆弱性管理

告警管理

事件管理

预警管理

威胁管理

… …

信息安全保障框架 通过 S3-PPT 方法展开保障措施

通过 S3-PPT 方法展开保障措施

保障框架 - 措施

27 号文的框架分析 等级保护 风险评估 监控体系 应急体系 信任体系 技术和产业 法制建设 标准化建设 人才培养 全民意识 保证资金 责任制

产品需求和应用的变化趋势 防病毒 防火墙 VPN 漏洞扫描 入侵检测 IDS 软因素认证 硬因素认证 企业安全管理 安全事件信息管理 入侵防御系统 标识管理 IT 审计 渗透性测试 安全管理服务 管家安全服务

防病毒

防火墙

VPN

漏洞扫描

入侵检测 IDS

软因素认证

硬因素认证

企业安全管理

安全事件信息管理

入侵防御系统

标识管理

IT 审计

渗透性测试

安全管理服务

管家安全服务

产品的框架分析 IDS 应用审计 防火墙 SAN 防垃圾 安全管理中心 Scanner 远程数据热备 IPS 防病毒 加密机 双因子 PKI

安全服务体系的框架分析 网络应急处理、取证服务 IRS 应急响应服务 课程培训、安全信息通告服务、安全知识库服务 EDU 教育知识服务 安全集成服务、产品维护服务、安全测试服务、网络优化服务、补丁管理服务 SIS 系统集成服务 专家 7/24 监控、专业人员响应管理、专业分析报告、日常安全检查 MSS 可管理安全服务 安全规划、风险评估、安全设计、风险管理、运行安全服务、灾难恢复计划、维护支持服务、 7799 安全稽核 SCS 安全顾问服务

安全服务体系的框架分析 评估加固 教育培训 MSS 应急响应 安全集成 风险评估 管理咨询

体系设计方案的框架分析 安全监控体系 安全审计体系 安全防护体系 应急恢复体系 网络信任体系 安全管理体系

执行

执行——风险管理的落实 IT 风险管理的业务化 将 IT 风险管理（信息安全）融合到业务安全中去 从风险管理到合规性管理

IT 风险管理的业务化

将 IT 风险管理（信息安全）融合到业务安全中去

从风险管理到合规性管理

合规性管理——需求驱动力的变化 合规性 C ompliance 问题型 P roblem 被动要求 政策性 P olicy 体系化 S ystematic 主动引导 来自外部 来自内部 需求筐架

问题型 需求驱动的特点 问题常常来源于客户实际 问题常常是不成体系的（看起来） 需求满足常常是“头痛医头，脚痛医脚” 问题解决要求很快，追求速效 问题所带来的需求都非常实在 问题解决办法常常体现为 面向脆弱性安全 比如：防病毒、入侵检测、防火墙等

问题常常来源于客户实际

问题常常是不成体系的（看起来）

需求满足常常是“头痛医头，脚痛医脚”

问题解决要求很快，追求速效

问题所带来的需求都非常实在

问题解决办法常常体现为

面向脆弱性安全

比如：防病毒、入侵检测、防火墙等

体系化 需求驱动的特点 常常来源于 从专家和厂商而来的技术推动 客户零散的问题，被内外部专家提炼 看起来成体系，但是因为有抽象，和实际总是有些差别 常常表现为：面向结构性安全 比如：保障体系、可信计算、管理平台等 由于各个因素的牵扯，所以见效较慢 完全靠体系来驱动，力度常常不足

常常来源于

从专家和厂商而来的技术推动

客户零散的问题，被内外部专家提炼

看起来成体系，但是因为有抽象，和实际总是有些差别

常常表现为：面向结构性安全

比如：保障体系、可信计算、管理平台等

由于各个因素的牵扯，所以见效较慢

完全靠体系来驱动，力度常常不足

政策性 需求驱动的特点 常常来源于上级机构和主管机构 虽然不追求完美的体系，但是政策性要求有一定整体性 政策性要求不是强制性的，有一定的灵活性 常常表现为：一些要点总结 厂商和客户一般在政策上的敏感度不高 政策性的实际推动力常常不足

常常来源于上级机构和主管机构

虽然不追求完美的体系，但是政策性要求有一定整体性

政策性要求不是强制性的，有一定的灵活性

常常表现为：一些要点总结

厂商和客户一般在政策上的敏感度不高

政策性的实际推动力常常不足

合规性 需求驱动的特点 常常来源于上级机构和主管机构 强制性、具有极强的推动力和约束力 有效的合规性要求要简单和明确

常常来源于上级机构和主管机构

强制性、具有极强的推动力和约束力

有效的合规性要求要简单和明确

当前典型的“规” 国资发改革 [2006]108 号文 《中央企业全面风险管理指引》 萨班斯 - 奥克斯利法案 SOX 新巴塞尔资本协议 Basel II 银监会 [2006]63 号文 《银行业金融机构信息系统管理指引》 等级保护 公通字 [2006]7 号文 《信息安全等级保护管理办法》试行 涉密分级保护 《涉及国家秘密的信息系统分级保护技术要求 》

国资发改革 [2006]108 号文

《中央企业全面风险管理指引》

萨班斯 - 奥克斯利法案 SOX

新巴塞尔资本协议 Basel II

银监会 [2006]63 号文

《银行业金融机构信息系统管理指引》

等级保护 公通字 [2006]7 号文

《信息安全等级保护管理办法》试行

涉密分级保护

《涉及国家秘密的信息系统分级保护技术要求 》

企业信息安全保障能力成长阶段划分 成熟度 时间 盲目自信 阶段 认知阶段 改进阶段 卓越运营 阶段 福布斯 2000 强企业在不同阶段的百分比分布 来源： Gartner Inc. 2006 年 1 月 30% 50% 15% 5%

企业信息安全保障能力成长阶段划分 盲目自信阶段 普遍缺乏安全意识，对企业安全状况不了解，未意识到信息安全风险的严重性 认知阶段 通过信息安全风险评估等，企业意识到自身存在的信息安全风险，开始采取一些措施提升信息安全水平 改进阶段 意识到局部的、单一的信息安全控制措施难以明显改善企业信息安全状况，开始进行全面的信息安全架构设计，有计划的建设信息安全保障体系 卓越运营阶段 信息安全改进项目完成后，在拥有较为全面的信息安全控制能力基础上，建立持续改进的机制，以应对安全风险的变化，不断提升安全控制能力 成熟度 时间 盲目自信 阶段 认知阶段 改进阶段 卓越运营 阶段 福布斯 2000 强企业在不同阶段的百分比分布 来源： Gartner Inc. 2006 年 1 月 30% 50% 15% 5%

盲目自信阶段

普遍缺乏安全意识，对企业安全状况不了解，未意识到信息安全风险的严重性

认知阶段

通过信息安全风险评估等，企业意识到自身存在的信息安全风险，开始采取一些措施提升信息安全水平

改进阶段

意识到局部的、单一的信息安全控制措施难以明显改善企业信息安全状况，开始进行全面的信息安全架构设计，有计划的建设信息安全保障体系

卓越运营阶段

信息安全改进项目完成后，在拥有较为全面的信息安全控制能力基础上，建立持续改进的机制，以应对安全风险的变化，不断提升安全控制能力

各个阶段的主要工作任务 基本安全产品部署 主要人员的培训教育 建立 安全团队 制定安全方针政策 评估并 了解现状 成熟度 时间 盲目自信 阶段 认知阶段 改进阶段 卓越运营 阶段 福布斯 2000 强企业在不同阶段的百分比分布 来源： Gartner Inc. 2006 年 1 月 30% 50% 15% 5%

各个阶段的主要工作任务 启动信息安全战略项目 设计信息安全架构 建立信息安全流程 完成信息安全改进项目 成熟度 时间 盲目自信 阶段 认知阶段 改进阶段 卓越运营 阶段 福布斯 2000 强企业在不同阶段的百分比分布 来源： Gartner Inc. 2006 年 1 月 30% 50% 15% 5%

各个阶段的主要工作任务 信息安全流程的持续改进 追踪技术和业务的变化 成熟度 时间 盲目自信 阶段 认知阶段 改进阶段 卓越运营 阶段 福布斯 2000 强企业在不同阶段的百分比分布 来源： Gartner Inc. 2006 年 1 月 30% 50% 15% 5%

需求驱动力向“合规性”的转化 风险管理向合规性管理发展 合规性 C ompliance 问题型 P roblem 被动要求 政策性 P olicy 体系化 S ystematic 主动引导 来自外部 来自内部 需求筐架

从企业业务出发的信息化风险 信息化风险是业务风险的组成部分 信息化是威胁的一种渠道 信息化具有放大作用 信息化是控制风险的有效手段和必要工具 信息风险管理的融合

信息化风险是业务风险的组成部分

信息化是威胁的一种渠道

信息化具有放大作用

信息化是控制风险的有效手段和必要工具

信息风险管理的融合

谢谢 下载地址：大潘的网誌 http://www.i170.com/user/jordanpan/Article_56699 3-4 February 2007 Beijing 2006 Annual Conference of Chinese Enterprise Informatization Top 500