View
1.107
Download
7
Category
Preview:
DESCRIPTION
Preparation for CCClub2007, www.ccclub.org.cn, created by Billy.Lee
Citation preview
合规性合规性 &IT&IT :软件安全之道:软件安全之道
Billy.Lee Billy.Lee
CCClubCCClub 成员成员
内部评估人员流程IT 资产
独立审核内审第二方 / 第三方
局部 简单全局 复杂业务
管理层意识发布合规声明明确责任
合规性
IT
基准控制敏感数据与系统的访问控制应用系统的变更控制关键系统与数据的可用性控制重要业务和通讯记录的保护性控制
持续改进PDCA
潜在违例行为行为追踪审查确保环境安全
IT 基础架构合规性门户法规导入差距分析基础信息库生成报表改进建议……
成本效
益
合规性 vs. IT目
标
挑战
成本中心有效成本中心业务赋能者战略资产缔造者……
IT 基础架构 -变
合规性成本 - 高
教育成本控制成本管理成本违规成本整改成本……
控制 -X ?
人——组织过程——规范技术——架构硬件是阳软件是阴……
IT- 合规之路
普通员工普通员工中层主管中层主管管理层管理层外部外部 ITIT 专家专家外部合规专家外部合规专家
合规性教育合规性教育最佳实践最佳实践参考案例参考案例组建合规性团队组建合规性团队
启动合规项目启动合规项目实施关键活动实施关键活动独立审计独立审计合规项目验收合规项目验收
总结经验教训总结经验教训推广范围进一步扩大推广范围进一步扩大整改措施落实整改措施落实制定下一个合规目标制定下一个合规目标
不确定的不确定的 IT/IT/ 管理流程管理流程基准控制目标基准控制目标应用控制目标应用控制目标
访问控制访问控制变更控制变更控制可用性控制可用性控制保护性控制保护性控制例:软件开发生命周期例:软件开发生命周期
目的服务化目的服务化执行规范化执行规范化成本最小化成本最小化
自评估并持续改进自评估并持续改进
资产管理资产管理事件管理事件管理策略管理策略管理配置管理配置管理协同管理协同管理安全管理安全管理
统一化统一化联合化联合化规范化规范化可追溯可追溯
最大限度的利用自动化最大限度的利用自动化工具辅助以合规性专家工具辅助以合规性专家的知识经验达到技术的的知识经验达到技术的合规性目标要求合规性目标要求
合规性门户合规性门户
软件开发生命周期 - 合规
软件开发生命周期
软件特性能力分析
软件开发安全法规
软件安全实践过程
目标 - 需求 - 设计 - 编码 - 测试 - 运维
对内 / 对外 价值点 永远在线 / 离线 / 部分在线
生产力 生产工具 关系
CMM/ISO17799:2005/NIST SP800-27/55/64行业特定软件开发管理规定等
……
PDCAPDCA 循环循环
威胁建模威胁建模 && 风险评估风险评估安全文档安全文档 && 编码技能编码技能
渗透测试渗透测试 && 安全推广安全推广安全评审安全评审 && 响应规划响应规划
发布发布 && 部署部署
安全教育安全教育 && 编程意识编程意识
安全设计安全设计 && 最佳实践最佳实践
软件安全开发生命周期软件安全开发生命周期实践实践
设计设计 -- 编码编码测试测试 -- 部署部署
合规性 & 软件安全理论
合规性 & 软件安全理论
努力使软件开发过程以符合合规性目标的方式运转努力使软件开发过程以符合合规性目标的方式运转
合规性 & 软件安全实践
合规性 & 软件安全实践
人
技术流程
正在进行……
软件安全指南
外部评审软件安全教育 安全测试 集中分析 威胁建模
软件安全
关键活动(举关键活动(举例)例)
CCClub 发展路线图欢迎加入我们
2007.4.18 CCClub信息安全管理 & 合规性论坛
www.CCClub.org.cn……
更多服务更多活动 更多机会更多交流更多……
2005-2006 年不定期小型聚会2005.12.18 清华 FIT 宣告正式成立大会2006.4.20 藉第七届中国信息安全大会召开之际, CCClub 海内外诸多核心成员齐聚一堂开通 www.ccclub.org.cn发行多期 CCClub 电子刊物……
联络方式联络方式
• romemeteor@gmail.com• http://www.ccclub.org.cn
Recommended