Upload
surachai-chatchalermpun
View
798
Download
4
Tags:
Embed Size (px)
DESCRIPTION
Citation preview
©2011, All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
Surachai Chatchalermpun Sub-Committee of TISA
IRCA:ISO27001, CISA, CISSP, CSSLP, SSCP, CEH, ECSA Asia-Pacific Information Security Leadership Achievement Award
Addressing the RISK aspects for
making business decision
Master degree of “Management Information System”, Mahidol University
1
April, 1, 2012
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
Speaker Profile 2
Speaker profile
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
Speaker Profile 4
Speaker profile
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
Speaker Profile 5
Speaker profile
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
Speaker Profile Speaker profile
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
TISA Volunteer
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
1. เพอใหเขาใจและตระหนกในความเสยงของ IT ทอาจสงผลกระทบตอ Business
2. เรยนรวธการลดความเสยงใหไปสระดบทยอมรบได และเปนไปตาม International standard , Best practice, Good practice
3. เพอใหสามารถน าความร ประยกตใชหรอน าไปแบงปน ถายทอดผอน
ไดอยางมประสทธภาพ
Main Objectives
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
1. What is GRC?
2. GRC Related Standard & Best Practices on Business & IT Alignment
3. Performance VS Conformance
4. What does the Gartner trend?
5. What is the ISF Threat Horizon?
6. What is Computer Crime (Hacking Demo)?
7. What is the Thailand Computer Crime Act?
8. What is the ISO27001:ISMS?
9. Enterprise Information Security Architecture (EISA)
10. Mapping Maturity Model to EISA
Contents
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
Source : http://www.grc-resource.com
What is GRC?
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
Integrated GRC : A Holistic Approach
http://www.isaca.org/Journal/Past-Issues/2009/Volume-5/Pages/JOnline-Compliance-Management-andnbsp-andnbsp-A-Holistic-Approach.aspx
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
https://www.acisonline.net/acis-news/360-Degree-IT-Management/images/p3.jpg
Performance VS Conformance
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
http://itgthailand.files.wordpress.com/2012/03/business-drivers.jpg
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
http://i.i.com.com/cnwk.1d/i/bto/20091020/gartner_10_trends.png
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
http://www.slideshare.net/softwarepark/technology-trends-2012
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
http://i.techrepublic.com.com/blogs/gartner-2012-top-10-tech.jpg
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
http://www.apeconmyth.com/wp-content/uploads/2012/02/GartnerHypeCycleEmergTech2011s.gif
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
2. ตง password งายๆ กลวลม 3. บอก password ของตนกบผอน 4. ใหผอนยมใชเครองคอมพวเตอรและ
Login ดวย account ของทาน 5. เปดดขอมลของผอนโดยไมไดรบอนญาต 6. ไม Lock หนาจอคอมฯ เมอไมอยทโตะ 7. สงตอขอมลทไมไดมการพสจนยนยนขอเทจจรง 8. สงตอภาพหรอคลปลามก 9. เปดไฟลแนบใน e-mail จากคนไมรจก 10. ท า USB Thumb drive หลนหายหรอใหผอนยม
1. เขยน password ตดไวทโตะท างาน
คณเคย . . . หรอไม
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
การเปลยนแปลงรปแบบการกระท าความผด
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
Facts: • User สวนใหญมกตง Password ตามค าใน Dictionary • User สวนใหญมกตง Password ดวยอกษรตวเลกทงหมด • User สวนใหญมกไมคอยเปลยน Password • Password เหลานมกตกเปนเหยอรายแรกๆของผไมหวงดเสมอ
STRONG PASSWORD
รไหม? มใครแอบเดา Password
งายๆของ คณอย?”
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
Password Attacks • Dictionary Attack (Use words in Dictionary) o Ant, cat, dog, frog, … , zoo
• Brute Force Attack (Use all possibilities) o 0001, 0002, 0003, …., 9999
Protections • ไมใช Password ทคาดเดาไดงาย เชน ค าทมใน Dictionary • ใชการผสมอกขระทซบซอน เชน L0v3@1sts1ghT (Love at first sight) • เปลยน Password อยางสม าเสมอเมอถงเวลาทเหมาะสม เชน ทกๆ 90 วน
STRONG PASSWORD
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
Security Awareness >> Show Case
Password Attack
• Lowercase Alphabet หรออกษรภาษาองกฤษตวเลก เชน a b c d
• Uppercase Alphabet หรออกษรภาษาองกฤษตวใหญ เชน A B C D
• Numeric หรอ ตวเลข เชน 1 2 3 4
• Special Character หรอ อกขระพเศษ เชน ! @ # $ % ^ & * ( ) _ +
การตง Password ทดควรประกอบดวย
3 ใน 4 แบบ
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
1. Pass phrase เนอเพลงโปรด,ประโยคเดด YouWillNeverWalkAlone1945
2. Replacement Y0uW1llNeverWalkAl0ne1945
3. กด Shift คางไว YouWillNeverWalkAlone19$%
4. ดแปนไทย รกนะเดกโงจวบๆ-> iydotgfHdF’j0U;[q
อกษรเดม อกษรแทน
A 4 หรอ @
E 3
I 1 หรอ !
O 0
S $
And &
for 4 (four)
เทคนคการตง Password (ตงใหยากแตจ าใหงาย)
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
VDO Security Awareness
อยาลม Log out นะ มเชนนน จะเปนเชนน…
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
Security Awareness >> Show Case
Key Logger
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
VDO Security Awareness
ทายซวา เกดอะไรขน !!!
บนหนาจอคอมฯ
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
Security Awareness >> Show Case
Can you trust this file? Click or Not ?
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
ความอนตรายทแฝงเขามากบสงทเหมอนจะไมมอะไร
Trojan Horse
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
©2011, All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
“มอถอยงทนสมย ยงมภย ตามตดตว…”
ใครลง Antivirus ทมอถอบาง…?
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
ระวงถกลวงความลบและดกฟงโทรศพทมอถอดวย Spy Phone
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
ภยคกคามตอความเปนสวนตว !!! โดยทคณไมรตว…
• Can read SMS…
• Can read & send e-mail…
• Can see Call logs
• Can see & stolen your data in Phone or SD Card
• Can record & download your voice …
• Can see your WebCam…
• Can know Location where you are…
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
How to survive • Raise security awareness • Always lock your mobile’s screen with PinCode
• Install mobile’s antivirus
• Don’t use free Wi-fi, if you not sure it is can trust
• Always check your list of Application
• Change default password of web server
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
ผใชงานตองมความรเทาทนและระแวดระวงอยเสมอ
เครองทจะใชตองไดรบการดแลและรทมา
เชอมตอผานระบบทนาเชอถอและไวใจได
เขาสบรการทนาเชอถอและไวใจได
Trusted Components
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
ทมาของกฎหมาย พ.ร.บ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐
• ลกษณะความผดในรปแบบ electronic ไมสามารถใชกฎหมายทมอยเดมเอาผดได เชน การลกทรพย
• การตดตามหาตวผกระท าผดมาลงโทษท าไดยาก เนองจากไมมการท าบนทกประวตการใชงานระบบอยางมมาตรฐาน
• การใชงานอเลกทรอนกสมแนวโนมสงมากขน และการกระท าความผดกมแนวโนมมากขนและซบซอนขนเชนกน
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
ปจจยทท าใหตองมการบญญตกฎหมาย (พ.ร.บ. คอมฯ 2550)
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
• ประกาศเมอวนท 18 มถนายน 2550 • เรมมผลบงคบใช 18 กรกฎาคม 2550 • เจตนารมณ
– ก ำหนดฐำนควำมผดและบทลงโทษ – ก าหนดอ านาจหนาทของพนกงาน
เจาหนาท – ก าหนดหนาทของผใหบรการ
• กฎหมายทเกยวของ – ประมวลกฎหมายอาญา – หลกการใชกฎหมายอาญา, เจตนา, ผใช,
ผสนบสนน, เหตยกเวนความรบผด, เหตยกเวนโทษ, เหตบรรเทาโทษ – ประมวลกฎหมายวธพจารณาความอาญา – การสอบสวน & การด าเนนคด
พ.ร.บ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
ลกษณะทวไปของกฎหมายอาญา กฎหมายอาญา คอ • กฎหมายทก าหนดฐานความผดและบทลงโทษ
• โดยบคคลจะรบโทษทางอาญาไดกตอเมอมกฎหมายในขณะกระท าความผด ก าหนดวาการกระท านนเปนความผด และมบทลงโทษไว
• มลกษณะเปนกฎระเบยบมงเนนใหทกคนอยรวมกนอยาง มความสข มงเนน เพอความสงบสขทางสงคม เพอความเรยบรอยในบานเมอง เชน ความผดฐานฆาผอน ,ท ารายรางกาย, ลกทรพย, ชงทรพยฉอโกง, บกรก, ความผดเกยวกบการปลอมแปลง เปนตน
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
ค านยามทส าคญ • “ระบบคอมพวเตอร” หมายความวา อปกรณหรอชดอปกรณของคอมพวเตอรทเชอมการท างานเขาดวยกน โดยไดมการก าหนดค าสง ชดค าสง หรอสงอนใด และแนวทางปฏบตงานใหอปกรณหรอชดอปกรณท าหนาทประมวลผลขอมลโดยอตโนมต
• “ขอมลคอมพวเตอร” หมายความวา ขอมล ขอความ ค าสง ชดค าสง หรอสงอนใดบรรดาทอยในระบบคอมพวเตอรในสภาพทระบบคอมพวเตอรอาจประมวลผลได
• “ขอมลจราจรทางคอมพวเตอร” หมายความวา ขอมลเกยวกบการตดตอสอสารของระบบคอมพวเตอร ซงแสดงถงแหลงก าเนด ตนทาง ปลายทาง เสนทาง เวลา วนท ปรมาณ ระยะเวลา ชนดของบรการ หรออน ๆ ทเกยวของกบการตดตอสอสารของระบบคอมพวเตอรนน
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
ลกษณะของ “ผใหบรการ” และ “ผใชบรการ”
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
ลกษณะของ “ผใหบรการ” และ “ผใชบรการ”
Part 1 Computer-Related Offences.
Part 2 Competent Officials
§3 Definitions
§17 Offences done outside the Kingdom
shall be punished in the Kingdom
Competent Officials
Service Providers
Computer Crime
Computer-Related Crime
พระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐
หมวด ๑ ความผดเกยวกบคอมพวเตอร
กระท าตอคอมพวเตอร
ใชคอมพวเตอรกระท าความผด
หมวด ๒ พนกงานเจาหนาท
พนกงานเจาหนาท
ผใหบรการ
ม. ๓ ค านยาม
ม.๑๗ การกระท าความผดนอกราชอาณาจกร
รบโทษในราชอาณาจกร
ม.๕ การเขาถงระบบคอมฯ
ม.๖ การลวงรมาตรการการปองกนการเขาถง
ม.๗ การเขาถงขอมลคอมฯ
ม.๘ การดกรบขอมลคอมฯ
ม.๙ การรบกวนขอมลคอมฯ
ม.๑๐ การรบกวนระบบคอม
ม.๑๒ บทหนกของม.๙/๑๐
ม.๑๓ การจ าหนาย/เผยแพรชดค าสงเพอใชกระท าความผด
ม.๑๑ สแปมเมล
ม.๑๔ การปลอมแปลงขอมลคอมฯ/เผยแพรเนอหาอนไมเหมาะสม
ม.๑๕ ความรบผดของผ ใหบรการ
ม.๑๖ การเผยแพรภาพจากการตดตอ/ดดแปลง
ฐานความผด โทษจ าคก โทษปรบ
มาตรา ๕ เขาถงคอมพวเตอรโดยมชอบ ไมเกน ๖ เดอน ไมเกน ๑๐,๐๐๐ บาท
มาตรา ๖ ลวงรมาตรการปองกน ไมเกน ๑ ป ไมเกน ๒๐,๐๐๐ บาท
มาตรา ๗ เขาถงขอมลคอมพวเตอรโดยมชอบ ไมเกน ๒ ป ไมเกน ๔๐,๐๐๐ บาท
มาตรา ๘ การดกขอมลคอมพวเตอร ไมเกน ๓ ป ไมเกน ๖๐,๐๐๐ บาท
มาตรา ๙ การรบกวนขอมลคอมพวเตอร ไมเกน ๕ ป ไมเกน ๑๐๐,๐๐๐ บาท
มาตรา ๑๐ การรบกวนระบบคอมพวเตอร
มาตรา ๑๑ สแปมเมล
ไมเกน ๕ ป
ไมม
ไมเกน ๑๐๐,๐๐๐ บาท
ไมเกน ๑๐๐,๐๐๐ บาท
มาตรา ๑๒ การกระท าตอความมนคง
(๑) กอความเสยหายแกขอมลคอมพวเตอร
(๒) กระทบตอความม นคงปลอดภยของประเทศ/เศรษฐกจ
วรรคทาย เปนเหตใหผอ นถงแกชวต
ไมเกน ๑๐ ป
๓ ป ถง ๑๕ ป
๑๐ ป ถง ๒๐ ป
+ ไมเกน ๒๐๐,๐๐๐ บาท
๖๐,๐๐๐-๓๐๐,๐๐๐ บาท
ไมม
มาตรา ๑๓ การจ าหนาย/เผยแพรชดค าสง ไมเกน ๑ ป ไมเกน ๒๐,๐๐๐ บาท
มาตรา ๑๔ การเผยแพรเนอหาอนไมเหมาะสม ไมเกน ๕ ป ไมเกน ๑๐๐,๐๐๐ บาท
มาตรา ๑๕ ความรบผดของ Tel Co, ISP,อนๆ Internet Access)
ไมเกน ๕ ป ไมเกน ๑๐๐,๐๐๐ บาท
มาตรา ๑๖ การตดตอภาพผอน ถาสจรต ไมมความผด ไมเกน ๓ ป ไมเกน ๖๐,๐๐๐ บาท
ฐานความผดและบทลงโทษของ พ.ร.บ. คอมพวเตอร 2550
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
เพอใหเปนไปตาม พ.ร.บ. วาดวยการกระท าความผดคอมพวเตอร 2550 ดงนน บรษทจ ำเปนตอง จดการเกบขอมลจราจร (Log) ตาม พ.ร.บ. คอมพวเตอร 2550 ซงเกบไวอยางนอย 90 วน หรออาจจดท าหอง SOC (Security Operation Center) ซงท าหนาท Monitor การใชงาน Internet
โดยในการใชงาน Internet พนกงานจะตองระบตวตนโดยใช Username password ของตนเองผานทาง Proxy Server
การใชงานระบบคอมพวเตอรทเกยวของกบ พ.ร.บ. คอมพวเตอร
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
ตวอยาง : นโยบายความมนคงปลอดภยสารสนเทศ
เรองการใช Password
พนกงานตองใช Password ของตนหรอปฏบตงานในระบบขอมลตามสทธทไดรบเทานน
หากไดรบ Password ในครงแรกจาก ปตท. ตองเปลยนใหมทนทใหเปนความลบเฉพาะตว ในกรณทถกเปดเผย ตองเปลยนใหมทนท
ตองเปลยนทกๆ 90 วน
ตองตงใหยาวตงแต 8 ตวขนไป
ตองประกอบดวย ตวอกษร ตวเลข หรอสญลกษณอนใดทยากตอการคาดเดา
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
61
ISO27001 Present “What to do?”
ISO27002 Present “How to do?”
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
ขอก าหนดของมาตรฐาน ISO/IEC 27001
โครงสรางของมาตรฐานสามารถแบงไดดงน
62
ขอคด
กอนก
ารสร
างระบบ
• 0 – Introduction
• 1 – Scope
• 2 – normative reference
• 3 - Terms and definitions วธ
การบ
รหารคว
ามเสยง
• 4 – ISMS
• 5 – Management responsibility
• 6 Internal ISMS audit
• 7 – Management review of the ISMS
• 8 – ISMS improvement
สงทต
องปฏ
บตเปนป
ระจ า
• Annex A – (33) Control objectives and (139) controls
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
http://www.iso27001security.com/html/27002.html
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
Risk VS Control
• ตองมการประเมนความเสยง (Risk Assessment) ขององคกรเสยกอน ซงมขนตอนส าคญทตองปฏบต เชน ▫ การระบปจจยทมผลท าใหเกดความเสยง (Risk Identification Risk = Vulnerability x Threat) ▫ การระบความเสยงทมโอกาสเกดขน (Risk estimation)
▫ การวเคราะหความเสยง (Risk Analysis) ▫ การบรหารจดการกบความเสยง (Risk Management)
• การตรวจสอบระบบสารสนเทศตองพจารณาเรองของการควบคม (Control) วาไดมการจดการอยางถกตองหรอไม การตรวจสอบการควบคมแบงออกเปน 3 ประเภทใหญๆ คอ 1. การควบคมแบบปองกนลวงหนา (Preventive Control) 2. การควบคมแบบคนหาประวตเหตการณทเกดขน (Detective Control) 3. การควบคมแบบแกไขปญหาจากเหตการณทเกดขน (Corrective Control)
หลกการในการตรวจสอบระบบสารสนเทศ
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
Overview of ISO/IEC 27005 ISRM
(Information Security Risk Management)
65
In Planning phase
(1) Establishing the context
(2) Risk assessment
(3) Developing risk treatment plan
(4) Risk acceptance
In Doing phase
(1) Implementation of risk treatment
plan
In Checking phase
(1) Continual monitoring and
reviewing of risks
In Acting phase
(1) Maintain and improve the
information Security Risk
Management Process
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
What is ISMS?
Information Security Management System
Information Security + Management System
Information Security > IT Security
Information = (e) + (not e)
Management System requires
(P)eople, (P)rocess & (T)echnology
67
PPT : People-Process-Technology
People
Technology
Process
Good Firewall+
Competence People+
Review and Change
Management Process
can then yield the highest effectiveness
Firewall alone doesn’t do any
good without knowledgeable people managing it
Firewall with competence
people managing it can reveal its true power
Best people cannot do
much without proper tools and appropriate process
Managing ICT can only reach highest effectiveness when these three ingredients are working in harmony.
68
People
Technology
Process
Confidentiality
Availability
Integrity
3 Pillars of ICT 3 Pillars of Information Security
Disclosure
Alteration Destruction
Key Principle
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
Who is adopting ISO27001?
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
Reason for adopting the standard
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
Main Challenges to ISO27001
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
P-D-C-A Model
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
EISA Maturity Level Definition
http://upload.wikimedia.org/wikipedia/commons/thumb/e/ec/Characteristics_of_Capability_Maturity_Model.svg/600px-Characteristics_of_Capability_Maturity_Model.svg.png
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
หากมขอสงสยหรอค าถามเพมเตมตดตอไดท :
Email: surachai.won[at]gmail[dot]com
ตดตามผลงานไดท:
Slideshare: www.slideshare.net/chatsec YouTube: www.youtube.com/user/WonJuJub Blogspot: www.wonjujub.blogspot.com/ Facebook Fanpage:
https://www.facebook.com/surachai.chatchalermpun
Contact me 77
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved
Qu35t!0n &
Answer