周明昊-安全風險治理中的數字化（9頁）.pdf

《周明昊-安全風險治理中的數字化（9頁）.pdf》由會員分享，可在線閱讀，更多相關《周明昊-安全風險治理中的數字化（9頁）.pdf（9頁珍藏版）》請在三個皮匠報告上搜索。

1、周明昊、嘉實基金安全負責人，前火幣網信息安全總監。廈門大學畢業，12年信息安全從業經驗，熱愛技術與實踐。CISSP、27001 Lead Auditor。Contents目錄一.數字化轉型下信息安全二.安全運營的數字化三.風險管理的數字化四.實施過程中的問題和若干細節數字化轉型下的信息安全企業數字化轉型要求 資產、客戶、市場、數據端下的業務轉型 管理要求：所見即所做安全應該如何適應轉型趨勢 工作成果數字化 提供高質量的常態化輸入安全運營的數字化根據管理層的偏好選取展示指標被動型數據 入侵檢測告警事件數統計 攻擊攔截次數 攻擊來源地分布主動型數據 漏洞掃描系統次 滲透測試次數 弱口令整改情況 項

2、目安全評審數量安全風險治理的數字化思路聚焦問題通過數字化看板將問題放在臺面上以推動管理層參與風險治理為核心明確風險責任主體評分主體以業務部門為單位，將風險后果與業務部門自身的目標掛鉤整體思路：建立一條與公司管理層思路相適應的，與業務目標掛鉤的，信息安全風險展示路徑。為公司管理層參與信息安全風險治理提供抓手。安全風險治理的數字化實現實現思路1.制定風險值的構成因素和算法。2.獲取業務系統的基本信息。3.明確“風險對業務影響”的描述規則?？傮w風險值=（業務系統風險值*業務權重）產品角度的優化和細節工作流上下文數據質量視圖參與感12345管理者習慣于何種呈現方式，更關注整體情況還是風險值最高的系統？是否希望通過數字化展示的系統直接下發工作流任務？系統中是否要納入業務對風險的反饋和跟蹤？是否需要同時展示業務系統的相關信息，如系統責任人、開發方等。風險治理數字化的輸入，最關鍵的部分來自其它系統，IP與系統的對應關系、漏洞掃描結果的準確性、系統與責任人的對應關系?？梢越o管理者提供一個關注按鈕，被關注的風險自動分配給系統/業務責任人進行跟蹤。謝謝