IBM全球服务部亚太区信息安全经理课件.ppt

2023/3/24,Data Governance数据管治,Transforming Governance and Operational Risk Management,何锦华 CISM、CISA、CISSP IBM全球服务部亚太区信息安全经理,管治转换与运营风险管理,2,2023/3/24,主要内容,信息安全面对的威胁与挑战IBM 数据管治策略数据管治协会 Data Governance Council结论,3,2023/3/24,存在的威胁及其来源,4,2023/3/24,美数据处理公司遭入侵四千万张信用卡资料外涉 18/06/2005,美国一间为信用卡公司结算的公司，计算机系统被入侵，可能有多达四千万名信用卡客户数据外泄，主要是客户姓名及银行账号资料。当中一千四百万是万事达卡，二千二百万张是VISA卡，联邦调查局正调查。万事达卡说，他们有七万名客户资料失去，并已发现部份诈骗个案，怀疑同事件有关。汇丰及恒生银行都说，若本港客户资料外泄，会为他们更换信用卡。金管局表示会向银行了解。,万事达国际组织(MasterCardInternational)表示,信用卡付款资料遭到入侵，导致四千万张各品牌的信用卡信息被外涉。有分析家认为今次是有史以来最大宗侵犯私隐案件。公司发言人向路透社表示，公司的保安人员发现 CardSystems Solutions公司的数据遭到计算机入侵，这家公司是万事达国际的合作伙伴，代表金融机构与商家处理交易事宜。发言人指，至今已发现少量因今次安全漏洞而引起的诈骗事件，但比例相当小，联邦调查局正展开调查。,金管局会了解信用卡资料外泄 18/06/2005,5,2023/3/24,香港市民忧电子资料外泄,2006-4-7【大公报讯】警监会资料外泄事件发生後，一项调查发现，有近四成受访者表示，此事影响他们使用电子服务的信心，也有近三成受访者担心资料外泄。三月中警监会发生投诉人资料外泄事件，引起各界对网上资料保密措施的讨论。有见及此，新论坛联同正荆社进行一个有关市民使用政府网页的调查，旨在了解市民对使用电子服务的习惯及对警监会资料外泄事件的意见。调查发现，有近八成市民知道警监会资料外泄事件，有约四成表示此事会降低他们使用电子服务的信心。此外，在使用网上服务的人士中，近半数不会在网上提供个人资料，也有近三成市民担心资料外泄。负责调查机构建议，政府应加强监察内部资料储存的程序和守则，并尽量减少外判服务，尤其是涉及敏感资料及个人私隐的服务，避免市民资料外泄。,6,2023/3/24,个人资料隐私与安全Personal Data Privacy and Security,美国参议院在2005年提出个人资料隐私与安全法案(Personal Data Privacy and Security Act)，藉由制定与企业资料安全相关的法规及对资讯窃取行为的相关罚则，希望能降低资安事件对企业营运与民生经济的影响。香港亦已於1996年起实施个人资料(私隐)条例条例的目的，是在个人资料方面保障在世人士的私隐，并保障个人资料得以不受限制地从已实施资料保障法例的国家和地区自由流入香港，这有助促进本港经济的持续发展。,针对近来多项重大资料外洩事件，不论是由政府立法、或由民间企业主动发起，国际间已采取许多具体行动因应。,7,2023/3/24,美国参议院在2005年提出个人资料隐私与安全法案Personal Data Privacy and Security Act,个人资料隐私与安全法的要点如下：以严密的法规架构规範资料经纪者(data brokr)，也就是蒐集、传输或以其他方式提供5,000笔以上足以辨识非顾客或员工身分之个人资料的公司或非营利机构。资料经纪者必须遵守一套仿欧洲式的规定，包括强制向相关的个人公开纪录。修改电脑犯罪防治法，对入侵资料库者处以新的惩罚。入侵资料经纪人的系统，得处以罚款和十年徒刑。若某公司或个人蓄意隐瞒某些类型的重大资料外洩事件，得处五年徒刑。强制身为资料专有者(sol propritor)的大多数企业与个人遵守广泛的个人资料隐私与安全计画-类似Gramm-Lach-Blily法的规定。命令身为资料专有者的企业与个人，在电脑安全系统遭入侵事件影响上万人的情况下，必须通知相关人士。要求检讨联邦判刑规章，对滥用个人身分辨识资料者加重处罚，并授权司法部准钗政府加强对身分诈欺相关犯罪行为的执法工作。若某联邦机构依赖内含以美国公民个人资料为主的商业资料库，必须进一步做隐私影响评估。如果该资料库的内容涵盖全球，不以美国公民的资料为主，则此要求并不适用。另外，联邦机构的个人资料过滤计画，必须取得国会明确授权始能为之。,Source http:/,8,2023/3/24,香港个人资料(私隐)条例1996,保 障 资 料 原 则收 集 资 料 的 目 的 及 方 式:订 明 须 以 合 法 及 公 平 的 方 式 收 集 个 人 资 料，以 及 列 明 资 料 使 用 者 在 向 资 料 当 事 人 收集 个 人 资 料 时，应 向 该 当 事 人 提 供 的 资 料。个 人 资 料 的 准 确 性 及 保 留 期 间:订 明 所 保 存 的 个 人 资 料 必 须 是 准 确 和 最 新 的 资 料，而 保 存 期 间 不 得 超 过 实 际 需 要。个 人 资 料 的 使 用:订 明 除 非 获 得 资 料 当 事 人 同 意，否 则 个 人 资 料 只 可 用 於 在 收 集 资 料 时 所 述 明 的 用 途 或 与 其 直 接 有 关 的 用 途。个 人 资 料 的 保 安:订 明 须 采 取 适 当 保 安 措 施 保 障 个 人 资 料 包 括 其 存 在 形 式 令 查 阅 或 处 理 并 非 切 实 可 行 的 资 料。资 讯 须 在 一 般 情 况 下 可 提 供 订 明 资 料 使 用 者 须 公 开 所 持 有 的 个 人 资 料 类 别，以 及 该 等 个 人 资 料 所 作 的 主 要 用 途。查 阅 个 人 资 料:订 明 资 料 当 事 人 有 权 查 阅 及 改 正 其 个 人 资 料。罪 行 及 补 偿条 例 订 明 各 项 罪 行，例 如 不 遵 守 私 隐 专 员 发 出 的 执 行 通 知，可 被 处 第 5级 罚 款(目 前 是 50,000元)及 监 禁 2年。条 例 亦 订 明，任 何 个 人 如 因 资 料 使 用 者 违 反 条 例 的 规 定 而 蒙 受 损 害，包 括 感 情 的 伤 害，则 有 权 向 有 关 资 料 使 用 者 要 求 补 偿。,Source http:/www.pco.org.hk/chinese/ordinance/ordglance1.html,9,2023/3/24,数据管治与其面临的挑战,安全、隐私、符合性和风险方面的挑战，需要用通用的方案予以解决。人事组织与IT角色、行为之间的脱节。鲜有技术手段可以在正确的时间为正确的人员获的正确的信息以做出正确的抉择。没有统一的方法来量化运营风险。政策与规定之间的混乱。非结构化与非标准的政策手段。政策与IT系统和管治模型之间没有关联。业务规定与政策或业务流程之间没有关联。对原始数据的分类和IT整合缺乏通用的手段在未对结果定性之前，应对措施就已经布置到位。,挑战,数据管治是众多公司用于掌控适当访问其关键数据的过程。这个过程通过衡量并减轻运营上和安全上的与访问相关的风险来达到掌控的目的。,10,2023/3/24,主要内容,信息安全面对的威胁与挑战IBM 数据管治策略数据管治协会 Data Governance Council结论,11,2023/3/24,IBM的数据管治 基本原则,制定数据管治规定和政策以符合合约所规定的职责，并且保护股东和与各方面的关系，包括与客户、供应商和处理公司信息的第三方公司。在有效地访问数据与恰当地使用数据之间寻求平衡点。谁对于某种信息拥有所有权 谁可以使用这些信息，为了何种目的 使用技术手段使得控制模型具有强制执行力。改进一成不变的数据管治原则与框架，使之与政府的法规相符，并能正确地应用于IBM收集或产生的信息。,采用一种跨公司的控制模型来掌控信息的使用方式，提高所有数据的安全性和整合性，同时在个人与公司两个层面上保护隐私权。,Source:http:/,12,2023/3/24,IBM的数据管治 关键的成功要素,所有的IBM员工都必须定期对我们的业务行为准则进行认证。这些准则除了有很多指导和禁令以外，还管治着我们对于多种信息的使用情况：如员工隐私；所有权；知识产权；记录、报告和保存方面的信息；他人所拥有的信息；内部信息与内部交易。为增强IBM的数据管治能力，我们对客户数据库进行了巩固，使得我们可以从更多方面了解客户，以及对于客户的数据有更深入的理解。利用IBM的认证与访问控制技术，如Tivoli系列的产品，我们可以限制对敏感信息的访问，使之只向特定人群开放。,在满足基本原则的基础上，有效的数据管治最终决于三方面要素（人员、流程和技术）能够有机而自主地协同工作。IBM始终致力于开发能够在整个企业范围内更好地整合这三方面要素的方法。,Source:http:/,13,2023/3/24,主要内容,信息安全面对的威胁与挑战IBM 数据管治策略数据管治协会 Data Governance Council结论,14,2023/3/24,数据管治协会 Data Governance Council,于2005年，IBM宣布与几十个企业集团合作，共同成立一个称之为数据管治协会(Data Governance Council)的机构，在这份与IBM合作的名单上有像荷兰银行(ABN Amro)、美国运通(American Express)、德意志银行(Deutsche Bank)、美林(Merrill Lynch)、世界银行(World Bank),美国全美教师保险及年金协会(TIAA-CREF)告示国际知名的企业集团。数据管治协会:,明确和解决通用的数据管治问题，为安全、隐私、信任和公司执行问题寻找解决方案。专注于如下几方面的管理事务：数据管治政策，政策方针对于业务流程和业务活动的影响，IT基础架构、内容和组织行为方面政策的强制执行力。在企业内部与企业之间，建立起一个管治与保护个人数据和组织数据的蓝图，并且利用IBM和IBM业务合作伙伴的解决方案与概念，明确这个数据管治蓝图将如何应用于各种企业和组织。,Source:http:/,15,2023/3/24,IBM数据管治蓝图 Data Governance Blueprint,有一整套通用的工具通力协作以支持决策数据管治的人员和业务流程政策的规定涵盖了整个企业范围数据是被分类、赋值和保护的政策由逐条的规定构成，并且被整合进了业务流程中。运营风险被量化进业务流程中事件会被管控，损失会被记录最终情况会被显示在终端面板上，并随时间而更新请注意：以上这些是属于并发而且会反复更新的过程。,16,2023/3/24,IBM与业务伙伴用于数据管控蓝图的产品,政策部署,原始数据建模,业务规定管理,业务、运营风险和管治处理建模,事件管理与稽核记录,onDemand 管治终端面板,1.,2.,3.,4.,5.,6.,IBM Rational ReqPro IBM Workplace for Business Controls,IBM Rational Data Architect IBM DB2 Database Integrator,Corticon Business Rules Modeling Studio,IBM Websphere Business Integration Modeler IBM Tivoli Identity Management DB2 Anonymous Resolution,Mitratech TeamConnect IBM Tivoli Audit Logging IBM Rational ClearQuest,IBM Workplace for Business Strategy Execution IBM Websphere Portal Server IBM DB2 Content Manager,17,2023/3/24,主要内容,信息安全面对的威胁与挑战IBM 数据管治策略数据管治协会 Data Governance Council结论,18,2023/3/24,结论,为了达到法规遵从的要求，企业不得不对数据进行有效地管理，但是在这个过程中，企业还面临文化上的挑战。要有效地处理数据，关键是要公司内部每个人都对管治数据承担起相应的责任，这不只是专属于公司某一些人的事情，而是每个人的事情。当前的安全管理措施只能解决一些局部问题，而不能解决所有的问题，经过热烈的讨论我们就想 到了成立一个机构来联手解决。于是一个大胆的想法产生了一个大胆的尝试:数据管治协会。数据管治协会用来对如何使用信息的方式以及所有数据的安全性和完整性进行控制和监管，根据个人和公司设置不同级别的保密机制采用一种跨公司的数据管理模式进行管理。作为对本身和对客户而言的长期目标，IBM正寻求将数据管治和数据遵守从一年一度的稽查转变成一个实时的、由变化驱动的、随需应变的业务流程，它将持续地在整个企业范围内评估风险、更新政策以及管理资源。,19,2023/3/24,问题 及讨论 Questions and Discussions,1、想要体面生活，又觉得打拼辛苦；想要健康身体，又无法坚持运动。人最失败的，莫过于对自己不负责任，连答应自己的事都办不到，又何必抱怨这个世界都和你作对？人生的道理很简单，你想要什么，就去付出足够的努力。2、时间是最公平的，活一天就拥有24小时，差别只是珍惜。你若不相信努力和时光，时光一定第一个辜负你。有梦想就立刻行动，因为现在过的每一天，都是余生中最年轻的一天。3、无论正在经历什么，都请不要轻言放弃，因为从来没有一种坚持会被辜负。谁的人生不是荆棘前行，生活从来不会一蹴而就，也不会永远安稳，只要努力，就能做独一无二平凡可贵的自己。4、努力本就是年轻人应有的状态，是件充实且美好的事，可一旦有了表演的成分，就会显得廉价，努力，不该是为了朋友圈多获得几个赞，不该是每次长篇赘述后的自我感动，它是一件平凡而自然而然的事，最佳的努力不过是：但行好事，莫问前程。愿努力，成就更好的你！5、付出努力却没能实现的梦想，爱了很久却没能在一起的人，活得用力却平淡寂寞的青春，遗憾是每一次小的挫折，它磨去最初柔软的心智、让我们懂得累积时间的力量；那些孤独沉寂的时光，让我们学会守候内心的平和与坚定。那些脆弱的不完美，都会在努力和坚持下，改变模样。6、人生中总会有一段艰难的路，需要自己独自走完，没人帮助，没人陪伴，不必畏惧，昂头走过去就是了，经历所有的挫折与磨难，你会发现，自己远比想象中要强大得多。多走弯路，才会找到捷径，经历也是人生，修炼一颗强大的内心，做更好的自己！7、“一定要成功”这种内在的推动力是我们生命中最神奇最有趣的东西。一个人要做成大事，绝不能缺少这种力量，因为这种力量能够驱动人不停地提高自己的能力。一个人只有先在心里肯定自己，相信自己，才能成就自己！8、人生的旅途中，最清晰的脚印，往往印在最泥泞的路上，所以，别畏惧暂时的困顿，即使无人鼓掌，也要全情投入，优雅坚持。真正改变命运的，并不是等来的机遇，而是我们的态度。9、这世上没有所谓的天才，也没有不劳而获的回报，你所看到的每个光鲜人物，其背后都付出了令人震惊的努力。请相信，你的潜力还远远没有爆发出来，不要给自己的人生设限，你自以为的极限，只是别人的起点。写给渴望突破瓶颈、实现快速跨越的你。10、生活中，有人给予帮助，那是幸运，没人给予帮助，那是命运。我们要学会在幸运青睐自己的时候学会感恩，在命运磨练自己的时候学会坚韧。这既是对自己的尊重，也是对自己的负责。11、失败不可怕，可怕的是从来没有努力过，还怡然自得地安慰自己，连一点点的懊悔都被麻木所掩盖下去。不能怕，没什么比自己背叛自己更可怕。12、跌倒了，一定要爬起来。不爬起来，别人会看不起你，你自己也会失去机会。在人前微笑，在人后落泪，可这是每个人都要学会的成长。13、要相信，这个世界上永远能够依靠的只有你自己。所以，管别人怎么看，坚持自己的坚持，直到坚持不下去为止。14、也许你想要的未来在别人眼里不值一提，也许你已经很努力了可还是有人不满意，也许你的理想离你的距离从来没有拉近过.但请你继续向前走，因为别人看不到你的努力，你却始终看得见自己。15、所有的辉煌和伟大，一定伴随着挫折和跌倒；所有的风光背后，一定都是一串串揉和着泪水和汗水的脚印。16、成功的反义词不是失败，而是从未行动。有一天你总会明白，遗憾比失败更让你难以面对。17、没有一件事情可以一下子把你打垮，也不会有一件事情可以让你一步登天，慢慢走，慢慢看，生命是一个慢慢累积的过程。18、努力也许不等于成功，可是那段追逐梦想的努力，会让你找到一个更好的自己，一个沉默努力充实安静的自己。19、你相信梦想，梦想才会相信你。有一种落差是，你配不上自己的野心，也辜负了所受的苦难。20、生活不会按你想要的方式进行，它会给你一段时间，让你孤独、迷茫又沉默忧郁。但如果靠这段时间跟自己独处，多看一本书，去做可以做的事，放下过去的人，等你度过低潮，那些独处的时光必定能照亮你的路，也是这些不堪陪你成熟。所以，现在没那么糟，看似生活对你的亏欠，其实都是祝愿。,