主持人:尊敬的各位领导、各位来宾,女士们、先生们,下午好!欢迎光临2008第九届中国
信息安全大会,我们这个主题论坛的题目是安全融合•产品创新。我是公安部第一研究所严明,今天下午的本论坛由我来主持。
我们经常讲,
信息安全:三分安全、七分管理。安全重在管理,这是一个基本概念,而且已经被大家所广泛的接受。那么
信息安全风险管理可以说是
信息安全保障工作的一项基础性的工作。现在我们有请安言咨询总经理王怀宾先生演讲,他演讲的题目是:企业
信息安全风险管理解决之道。有请。
王怀宾:谢谢严所长,谢谢大会给我这样一个机会,今天下午与大家交流的主题叫做企业
信息安全风险管理解决之道。这个题目跟今天上午大家讨论的技术为主的一些观点还是有一些区别,我主要是从管理和咨询这两个纬度剖析一些企业现在面临的
信息安全现状和情况。
内容主要分三个部分。第一部分介绍一下企业面临的
信息安全挑战。第二部分内容介绍一下
信息安全风险管理之道,EIRMS。第三部分是面向企业的需求,实际上客户是需要有一个完整的产业链来配合的。
首先看一下企业面临的
信息安全需求是什么?如果从
信息安全大的框架来看,把安全的需求可以分成国家级、企业级和个人级的,国家层面的安全可能考虑到是一些关系到战略,个人安全可能会涉及到黑客、病毒入侵的情况,而对企业来说,它关心的
信息安全问题是什么呢?
当前,我们国家的企业,特别是一些大型高端的企业客户,一般情况下会面临着三种挑战。第一种挑战就是来自于这个行业监管方面的要求,无论是银监会、证监会、国资委,还是在美国上市的上市公司,只要企业生存在一个国家治理环境下,肯定它会面临着一些行业上的监管要求,而且监管要求的发展会对企业的IT治理提的越来越细,作为企业就必须要满足这些要求。
第二个层面,客户的要求,企业要发展必须要赢得客户和合作伙伴的信任,来自于客户方和合作伙伴方对
信息安全的要求也越来越细致和明确,特别是随着我国很多大型企业加入国际的竞争中,以前在国内可以按照自己的想法和工作方式做的一些事情,随着和国际组织的合作,他会面对来自国际企业一些细致的要求。
第三个层次的挑战,也是最重要的,是自身发展的需求,企业随着自己对信息高度的依赖,信息系统的建造对业务的发展要求是非常高的,这里面也包括一些企业研发的知识产权的一些东西,也包括客户的各种信息。
所以从整个大的环境下,我们可以看到来自于行业的、来自于客户的,和自身发展的需求,促使了企业面临着对
信息安全的重视程度是越来越高。企业面临
信息安全几个常见的行为模式是怎样的呢?我们把这分为以下四类。最常见的一种叫做事件驱动型的,也就是我如果发生了什么事情,针对这个事情考虑什么样的办法解决这个问题。第二种是技术驱动型,也就是说企业有了一定的技术能力,他会对市场上的趋势有一些判断,随着厂商的影响和推动会逐步选择一些技术,提前预防风险的发生。企业发展到第三个阶段,我们称之为流程驱动型的,其代表也就是现在我们业内非常热的IT运维服务管理方面,建立了ITIL和ISO20000。企业到了一个最高阶段应该是风险驱动型,也就是通过自己的预测,然后提前加以管控,强调技术与管理的平衡,强调以预防为主的方式,把风险降低最低的水平上。应该说,有一些大型企业本身的特质也是一个类型,比如金融、能源,他们对
信息安全的重视程度要高一些。
|
服 务 CIO 推 进 信 息 化 
