企业级风险控制及安全治理防范

1 互联网带来的安全风险

互联网开始从以社交、搜索为代表的人和人、人和信息之间连接的时代，快速奔向人和设备、人和服务连接的时代。但随之而来的，是连接的每个环节都存在安全隐患。
这些安全隐患主要分为以下5大类：

• 网络安全
• 应用安全
• 系统安全
• 设备安全
• 数据安全

2 六个基本事实

• 没有任何行业可以幸免，任何一家公司的网络都不能将自己排除在外
• 网络危害超出了金钱的范畴
• 网络×××的速度增加的同时，所需要的反应时间也变短了
• 不可以采取同样的方式来保护不同的网络
• 传统的控制是必须的，但是还不够
• 监管机构和政府作为主要的利益相关者，越来越关注网络风险

3 互联网安全风险应对思考

3.1 从了解企业面临的威胁态势入手

• 侦察
• 入.侵
• 利用
• 实现目标

3.2 高层管理者需要考虑的内容

• 提升认知：安全意思和责任
• 责任指派：职责要有明确的划分
• 监督评价：周期性的网络安全风险复核
• 评估批准：重要风险和事故报告，公司级的网络安全方针

3.3 如何进行合理的安全投资

• 恐惧、不确定性和怀疑
• 投资回报率（ROI）
• 业务连续性是关键

4 构建体系化安全管理计划开启风险防御的起点

5 企业的安全风险管理指导

安全风险防范是一个非常复杂并不断变化的主题。我们看到技术固然非常重要，并且它们复杂多变，但是安全风险管理的非技术方面也同等重要。全面的风险防御是获得成功的唯一途径，因此应纵观全局，从理念到策略再到技术行为，将其分解成单个主题，并切薄涵盖方方面面。要意识到，安全风险管理是一个过程，而不是一个产品。