安全运营管理.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《安全运营管理.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 运营 管理
- 资源描述:
-
1、安全运营管理企业信息安全企业信息安全 de 路线图路线图信息安全要融入企业.适度安全即可信息安全很简单.买些FW/IDS/AV装上就行了信息安全投入太大.太专业.太难了信息安全是国家和政府的事情.离我们太远了信息安全如何搞?拿来主义!“标准规范专家顾问”就搞定了“三分技术七分管理”信息安全要结合实际IT环境.深入核心业务信息安全系统体系架构信息安全系统体系架构34IT控制亟待解决的问题控制亟待解决的问题u 变更控制过程并不存在(特别是在分布式或基于Web的环境中)u 针对关键应用的安全程序、策略和配置结构并没有文件化u 组织的安全策略、程序、角色与责任等方面存在差距u 安全管理程序缺乏适当的控
2、制.或者往往:缺乏人员离职或改变工作职责情况下对访问进行删除或变更的控制(特别是对合同人员)对访问变更的批准不够充分 管理层对访问级别没有进行有规律的复查和批准u 对系统的过度访问 对操作系统、数据库和应用环境的特权访问 职责分离不足 应用开发者和数据库管理员能够访问生产系统u 基础架构支持应用不够安全(网络、OS、DB)u 并没有将IT控制集成到关键的业务过程中去(SDCL、变更控制、符合性、测试和数据转换程序)u 缺乏对控制持续有效的校验过程(至少应该一个季度一次)u 没有对风险进行评估的长期策略5“安全运营管理安全运营管理”的定位的定位一安全运营是指在安全策略的指导下.安全组织利用安全技
3、术来达成安全保护目标的过程二安全运营与IT运营相辅相成、互为依托、共享资源与信息三安全运营与安全组织紧密联系.融合在业务管理和IT管理体系中安全策略安全组织管理安全运行维护安全技术基于运行维护管理运用基于指导落实远程接入管理办法网帐号和口令管理策略防病毒规范SOC规范中国网通信息安全主策略管理层指示安全框架最佳实践管理维护管理执行6内容提要内容提要 安全管理问题与挑战 安全运营管理战略 业务发展的要求 安全运营与收入保障 安全运营与萨班斯法案符合性 标准和最佳实践 IT 保障体系 安全运营管理体系建议 安全运营组织 安全运营支持层次 安全运营管理流程 行动建议和路线图7业务流程和系统的发展对业
4、务流程和系统的发展对安全运营管理提出新的要求安全运营管理提出新的要求呼叫中心 电子邮件 邮件短信 网站自助服务服务开通 资源管理事件管理 工单管理客户管理 客户交互市场管理 项目管理管线资源、无线设备接入网、传输、交换话音、互联网XML/UDDI/WSDL/SOAP/SOA/BPELI-CRMO-CRMService-LevelAgreement资源管理 工单管理 配置管理 性能管理 安全管理 变更管理 服务水平管理计费 结算 帐务 伙伴管理 经营分析 决策支持商业智能BASS管理层市场部计划部客服计费网络部网管中心整合前后端.全程调度订单-资源-服务开通-更新客户资料-报竣申诉-客户资料-网
5、管工单-解决-报竣订单-资源-立项采购-更新资源库-服务开通-更新客户资料-报竣BOSS综合网管安全运营平台安全运营一方面需要适应业务流程和系统的发展.另外一方面帮助控制整合后系统的安全风险8电信运营商典型的收入生成过程示意图电信运营商典型的收入生成过程示意图在收入生成的很多环节在收入生成的很多环节上都有可能因为安全威上都有可能因为安全威胁而造成收入流失!胁而造成收入流失!找回遗漏收入 提高利润 减少收入的延迟 减少和防范新的收入流失 企业资源计划ERP 集成化的、条理化(Streamlined)的市场和客户响应流程系统平台 完备的客户资料系统和运营数据系统 数据仓库和主题分析 集成化、自动化
6、的BOSS系统 高效的数据业务管理平台 集成化的、条理化的内部IT运维管理平台 优化的、完备的KPI指标体系.及其收集、分析与展示 完备的备份和灾难恢复能力 根源分析能力收入保障收入保障目标目标安全运营安全运营保证收入优化主要可用的主要可用的IT IT手段手段 广义的收入保障与安全运营广义的收入保障与安全运营 计费数据的完整性、可用性、可信性 客户资料的完整性和可信性 减少人为错误、滥用误用等带来的损失 跨系统层和应用层的完整的身份和授权管理 保证关键流程点的有效性和可审计性 提高系统和服务的可用性.以及业务连续提供能力 提高客户安全故障的快速响应能力 保护客户数据和隐私稳定服务质量 考察并保
7、障主要收入流程和系统 BOSS的升级和稳定运行 规范管理SP的服务提供和计费 快速响应市场的需求变化提升客户满意度 提高计费准确性 提高服务开通/服务停止准确性 提升客户满意度降低成本和风险 疏理现有计费体系.找出问题 剔除存在的差异.降低错误率 分析欠费类型.降低坏账风险 分析号码资源利用.提高利用率 分析路由和网络资源利用.降低成本提升管理水平 完善内控体系.实现闭环管理 建立KPI稽核体系.有效进行收入控制 自动化工具.固化流程.大幅提高执行能力 精确的财务和管理报表 提高部门间协作.快速解决运营中出现的问题SOX符合性对企业的影响符合性对企业的影响因为可靠的财务报告过程有赖于IT.所以
8、.IT在SOX 404符合性努力过程中扮演着关键的角色;对许多组织来说.SOX可以简化为对现有责任的法律条文化这些IT控制责任早已存在.不过.SOX可能要求进行额外的形式化.并且要求在文件化和测试方面做出努力公司应该确保IT在SOX符合性努力中扮演主动的角色:参与符合性领导委员会 理解财务报告过程.就IT(应用、基础架构、安全等)的依赖性进行沟通 在确保财务报告过程具有充分控制方面.建立IT的角色 文件化IT风险及与财务报告过程相关的控制 定期测试控制.改进重要的不足 建立监视活动.以确保IT控制在特定时间内的效力11安全管理与技术的发展体现出以下三个趋势安全管理与技术的发展体现出以下三个趋势
9、走向规范标准走向规范标准 BS7799/ISO17799/ISO27001 ITIL/eTOM CoBIT X.805 国内正在制定越来越多的国家标准和规范.例如风险评估规范、风险管理规范等集成应用安全集成应用安全与系统安全与系统安全 关键应用的身份、授权与审计成为企业内控的必备首选 完备的职责分离设计(SOD)和权限管理 安全管理系统走向平台化、集成化与IT管理集成与应用集成深入企业管理深入企业管理核心流程核心流程 收入保障需要安全管理提供的数据和业务安全保障 SOX符合性需要安全管理提供的“内控”业务连续性管理与安全保障密不可分 安全作为增值服务 安全成为市场竞争力12安全运营需要参考安全
10、运营需要参考COBIT ITIL BS7799等最佳实践等最佳实践COBIT重点在于IT控制和IT度量评价.但是没有讲如何做.也不专注在安全ITIL重点在于IT过程管理.强调IT支持和IT交付.但是没有安全和开发ISO/IEC17799重点在于IT安全控制.但没有讲如何做参照CobiT和ISO17799来进行安全健康检查/审计.并识别过程和控制中的脆弱性参照ITIL来提高IT过程和控制.参照ISO17799来提高安全过程和控制参照ITIL来定义技术参照CobiT来定义“度量”和KPIITIL还可以用来作为架构方面的参照架构和角色度量过程技术控制人SOX compliance is one of
11、 the business objectives of security operations!13故障性能配置变更连续性服务质量服务台IT保障身份认证安全域访问控制漏洞补丁风险评估入侵检测日志审计安全保障关键业务的双重保障关键业务的双重保障OSS服务开通资源管理网络管理服务管理存储备份OA/MSSEAI流程模型数据模型业务模型BSSCRM数据采集计费帐务综合结算经营分析业务关联业务关联根源分析管理应用数据库操作系统存储及IT硬件各种网元设施管理14内容提要内容提要 安全管理问题与挑战 安全运营管理战略 业务发展的要求 安全运营与收入保障 安全运营与萨班斯法案符合性 标准和最佳实践 IT 保障
展开阅读全文