【崔嵘】数字化变革下的企业信息安全风险管理 (F) (1).pdf

1、 安全负责人当前企业面临的信息安全风险01安全风险管理的支柱0203分享：多维度的安全风险管理体系目 录大量敏感数据，如客户信息、财务数据甚至是和国家安全相关的信息。对于这类信息的不当处置可能导致客户隐私泄露、企业经济损失甚至承担法律责任攻击者可能利用企业供应链的薄弱环节，进入企业网络并进行攻击，这些攻击可能导致数据丢失、系统瘫痪和业务中断企业雇佣员工，由于人员管理的不当或者缺失可能带来巨大的安全风险。同时，员工缺乏网络安全认知和意识培训也会导致企业安全政策被忽视，从而增加潜在风险开源组件的使用，代码的不严谨造成应用程序存在安全漏洞，这些漏洞可以被利用，造成越权访问、信息泄露等风险企业攻击面管

2、理的缺失造成可能导致企业内部网络失守，面临信息泄露，系统瘫痪和业务中断等风险安全防御能力的缺失或者不足,导致企业被攻击者突破的可能性增加，给企业带来巨大的风险当前企业面临的信息安全风险人员和 安全意识法律合规安全防御攻击面产品安全供应链安全应用安全建立安全管理的组织架构人员的安全意识培训建立企业的安全文化人员文化建立多维度的安全管理流程体系定期的评估不断地优化和工具化安全管理流程制度流程防火墙，IPS/IDS，防病毒SIEM，ASM，安全运营中心(SOC)网络监控，流量分析，UEBA平台和工具安全风险管理的支柱 确保与第三方信息的共享安全 如果涉及个人信息或者含有机密数据，则需要签署DPA数据

3、保护协议 对新厂商/第三方进行安全评估。安全评估结果会直接影响供应商选择 确保在项目管理各个阶段明确和实现安全管控措的要求 如果应用服务涉及个人信息处理，则需要进行法律合规风险评估，例如隐私影响评估等多维度的安全风险管理体系数据元素分析NDA保密协议TPSA第三方安全评估SRAP安全风险评估法律合规风险评估(PIA和数据出境)DPA数据保护协议SRAP：安全风险评估流程业务需求收集与分析PM0分配安全顾问,了解项目需求PM1PM2PM3PM4安全顾问审查项目，明确安全需求安全顾问审查项目，识别安全风险，提出安全架构设计要求安全顾问检查项目安全要求是否都被满足，并且进行渗透测试安全顾问确认符合应

4、用/服务的上线条件，并确保所有安全问题得到解决项目团队和安全部门应保持沟通协作PM5威胁情报渗透测试漏洞扫描发现的途径安全漏洞管理的自动化实现漏洞 管理漏洞处置不及时沟通效率低无法准确及时了解处理进程缺乏对漏洞综合分析和统计ProactiveReactive 安全漏洞的管理形成闭环安全漏洞管理的自动化实现:安全漏洞管理平台ASSESSDETECTFIXIMPROVEMENT1.不仅针对漏洞管理，要成为安全风险管理平台2.完善应用系统层的知识库，帮助快速完成影响分析和有效的版本控制安全风险管理平台建立多维度的安全风险管理体系，能够有效的降低各方面的安全风险数据梳理、分类分级是进行风险评估的基础安全无止境，是一个持续探索、持续改进的过程总结THANKSTHANKSTHANKS