周明昊-安全风险治理中的数字化（9页）.pdf

《周明昊-安全风险治理中的数字化（9页）.pdf》由会员分享，可在线阅读，更多相关《周明昊-安全风险治理中的数字化（9页）.pdf（9页珍藏版）》请在三个皮匠报告上搜索。

1、周明昊、嘉实基金安全负责人，前火币网信息安全总监。厦门大学毕业，12年信息安全从业经验，热爱技术与实践。CISSP、27001 Lead Auditor。Contents目录一.数字化转型下信息安全二.安全运营的数字化三.风险管理的数字化四.实施过程中的问题和若干细节数字化转型下的信息安全企业数字化转型要求 资产、客户、市场、数据端下的业务转型 管理要求：所见即所做安全应该如何适应转型趋势 工作成果数字化 提供高质量的常态化输入安全运营的数字化根据管理层的偏好选取展示指标被动型数据 入侵检测告警事件数统计 攻击拦截次数 攻击来源地分布主动型数据 漏洞扫描系统次 渗透测试次数 弱口令整改情况 项

2、目安全评审数量安全风险治理的数字化思路聚焦问题通过数字化看板将问题放在台面上以推动管理层参与风险治理为核心明确风险责任主体评分主体以业务部门为单位，将风险后果与业务部门自身的目标挂钩整体思路：建立一条与公司管理层思路相适应的，与业务目标挂钩的，信息安全风险展示路径。为公司管理层参与信息安全风险治理提供抓手。安全风险治理的数字化实现实现思路1.制定风险值的构成因素和算法。2.获取业务系统的基本信息。3.明确“风险对业务影响”的描述规则。总体风险值=（业务系统风险值*业务权重）产品角度的优化和细节工作流上下文数据质量视图参与感12345管理者习惯于何种呈现方式，更关注整体情况还是风险值最高的系统？是否希望通过数字化展示的系统直接下发工作流任务？系统中是否要纳入业务对风险的反馈和跟踪？是否需要同时展示业务系统的相关信息，如系统责任人、开发方等。风险治理数字化的输入，最关键的部分来自其它系统，IP与系统的对应关系、漏洞扫描结果的准确性、系统与责任人的对应关系。可以给管理者提供一个关注按钮，被关注的风险自动分配给系统/业务责任人进行跟踪。谢谢