等保——监管由谁来管: 公安(内容,重要信息) 网信办 法律安全的目的: 风险 审计 控制审计的作用:增加价值和改善组织的运营目标和目的的区别: 目标是一种量化的指标 目的是最终结果 企业风险的分类:战略,合规,运营,财务风险常用术语: 目标、脆弱性、威胁、可能性、影响程度、固有风险、现有控制措施等……我国企业IT风险发展阶段: 1.ISMS初步建立阶段 ISMI体系安全评估,加固 2.精细化SOC平台、ITRM平台、ISMS/ITSM/BCM体系 IT风险管理阶段 3.IT风险与业务融合阶段 业务风险管理平台,SOC平台,ITRM平台,ISMS/ITSM/BCM体系 管理级别: 粗放管理级 规范管理级 优化管理级 融合管理级审计的驱动力: 1.合规 2.效率、效果——经营 3.安全 4.管理者 5.利用审计要挟 数据是什么:信息系统中的信息信息安全的目标: 基本目标:保密性、完整性、可用性(这是信息的三要素) 扩展目标:真实性、可追溯性、防抵赖性…… 企业保密信息:与业务相关、与国家要求相关风险处置策略:降低、规避、转嫁、接受风险风险由可能性和后果构成,两个维度的阴影面积可以算作是危险程度用户访问的控制原则:知所必须。最小授权