©2011, All rights reserved

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.

Surachai Chatchalermpun Sub-Committee of TISA

IRCA:ISO27001, CISA, CISSP, CSSLP, SSCP, CEH, ECSA Asia-Pacific Information Security Leadership Achievement Award

Addressing the RISK aspects for

making business decision

Master degree of “Management Information System”, Mahidol University

1

April, 1, 2012

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

Speaker Profile 2

Speaker profile

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

Speaker Profile 4

Speaker profile

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

Speaker Profile 5

Speaker profile

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

Speaker Profile Speaker profile

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

TISA Volunteer

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

1. เพอใหเขาใจและตระหนกในความเสยงของ IT ทอาจสงผลกระทบตอ Business

2. เรยนรวธการลดความเสยงใหไปสระดบทยอมรบได และเปนไปตาม International standard , Best practice, Good practice

3. เพอใหสามารถน าความร ประยกตใชหรอน าไปแบงปน ถายทอดผอน

ไดอยางมประสทธภาพ

Main Objectives

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

1. What is GRC?

2. GRC Related Standard & Best Practices on Business & IT Alignment

3. Performance VS Conformance

4. What does the Gartner trend?

5. What is the ISF Threat Horizon?

6. What is Computer Crime (Hacking Demo)?

7. What is the Thailand Computer Crime Act?

8. What is the ISO27001:ISMS?

9. Enterprise Information Security Architecture (EISA)

10. Mapping Maturity Model to EISA

Contents

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

Source : http://www.grc-resource.com

What is GRC?

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

Integrated GRC : A Holistic Approach

http://www.isaca.org/Journal/Past-Issues/2009/Volume-5/Pages/JOnline-Compliance-Management-andnbsp-andnbsp-A-Holistic-Approach.aspx

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

https://www.acisonline.net/acis-news/360-Degree-IT-Management/images/p3.jpg

Performance VS Conformance

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

http://itgthailand.files.wordpress.com/2012/03/business-drivers.jpg

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

http://i.i.com.com/cnwk.1d/i/bto/20091020/gartner_10_trends.png

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

http://www.slideshare.net/softwarepark/technology-trends-2012

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

http://i.techrepublic.com.com/blogs/gartner-2012-top-10-tech.jpg

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

http://www.apeconmyth.com/wp-content/uploads/2012/02/GartnerHypeCycleEmergTech2011s.gif

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

2. ตง password งายๆ กลวลม 3. บอก password ของตนกบผอน 4. ใหผอนยมใชเครองคอมพวเตอรและ

Login ดวย account ของทาน 5. เปดดขอมลของผอนโดยไมไดรบอนญาต 6. ไม Lock หนาจอคอมฯ เมอไมอยทโตะ 7. สงตอขอมลทไมไดมการพสจนยนยนขอเทจจรง 8. สงตอภาพหรอคลปลามก 9. เปดไฟลแนบใน e-mail จากคนไมรจก 10. ท า USB Thumb drive หลนหายหรอใหผอนยม

1. เขยน password ตดไวทโตะท างาน

คณเคย . . . หรอไม

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

การเปลยนแปลงรปแบบการกระท าความผด

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

Facts: • User สวนใหญมกตง Password ตามค าใน Dictionary • User สวนใหญมกตง Password ดวยอกษรตวเลกทงหมด • User สวนใหญมกไมคอยเปลยน Password • Password เหลานมกตกเปนเหยอรายแรกๆของผไมหวงดเสมอ

STRONG PASSWORD

รไหม? มใครแอบเดา Password

งายๆของ คณอย?”

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

Password Attacks • Dictionary Attack (Use words in Dictionary) o Ant, cat, dog, frog, … , zoo

• Brute Force Attack (Use all possibilities) o 0001, 0002, 0003, …., 9999

Protections • ไมใช Password ทคาดเดาไดงาย เชน ค าทมใน Dictionary • ใชการผสมอกขระทซบซอน เชน L0v3@1sts1ghT (Love at first sight) • เปลยน Password อยางสม าเสมอเมอถงเวลาทเหมาะสม เชน ทกๆ 90 วน

STRONG PASSWORD

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

Security Awareness >> Show Case

Password Attack

• Lowercase Alphabet หรออกษรภาษาองกฤษตวเลก เชน a b c d

• Uppercase Alphabet หรออกษรภาษาองกฤษตวใหญ เชน A B C D

• Numeric หรอ ตวเลข เชน 1 2 3 4

• Special Character หรอ อกขระพเศษ เชน ! @ # $ % ^ & * ( ) _ +

การตง Password ทดควรประกอบดวย

3 ใน 4 แบบ

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

1. Pass phrase เนอเพลงโปรด,ประโยคเดด YouWillNeverWalkAlone1945

2. Replacement Y0uW1llNeverWalkAl0ne1945

3. กด Shift คางไว YouWillNeverWalkAlone19$%

4. ดแปนไทย รกนะเดกโงจวบๆ-> iydotgfHdF’j0U;[q

อกษรเดม อกษรแทน

A 4 หรอ @

E 3

I 1 หรอ !

O 0

S $

And &

for 4 (four)

เทคนคการตง Password (ตงใหยากแตจ าใหงาย)

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

VDO Security Awareness

อยาลม Log out นะ มเชนนน จะเปนเชนน…

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

Security Awareness >> Show Case

Key Logger

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

VDO Security Awareness

ทายซวา เกดอะไรขน !!!

บนหนาจอคอมฯ

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

Security Awareness >> Show Case

Can you trust this file? Click or Not ?

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

ความอนตรายทแฝงเขามากบสงทเหมอนจะไมมอะไร

Trojan Horse

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

©2011, All rights reserved

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.

“มอถอยงทนสมย ยงมภย ตามตดตว…”

ใครลง Antivirus ทมอถอบาง…?

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

ระวงถกลวงความลบและดกฟงโทรศพทมอถอดวย Spy Phone

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

ภยคกคามตอความเปนสวนตว !!! โดยทคณไมรตว…

• Can read SMS…

• Can read & send e-mail…

• Can see Call logs

• Can see & stolen your data in Phone or SD Card

• Can record & download your voice …

• Can see your WebCam…

• Can know Location where you are…

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

How to survive • Raise security awareness • Always lock your mobile’s screen with PinCode

• Install mobile’s antivirus

• Don’t use free Wi-fi, if you not sure it is can trust

• Always check your list of Application

• Change default password of web server

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

ผใชงานตองมความรเทาทนและระแวดระวงอยเสมอ

เครองทจะใชตองไดรบการดแลและรทมา

เชอมตอผานระบบทนาเชอถอและไวใจได

เขาสบรการทนาเชอถอและไวใจได

Trusted Components

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

ทมาของกฎหมาย พ.ร.บ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐

• ลกษณะความผดในรปแบบ electronic ไมสามารถใชกฎหมายทมอยเดมเอาผดได เชน การลกทรพย

• การตดตามหาตวผกระท าผดมาลงโทษท าไดยาก เนองจากไมมการท าบนทกประวตการใชงานระบบอยางมมาตรฐาน

• การใชงานอเลกทรอนกสมแนวโนมสงมากขน และการกระท าความผดกมแนวโนมมากขนและซบซอนขนเชนกน

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

ปจจยทท าใหตองมการบญญตกฎหมาย (พ.ร.บ. คอมฯ 2550)

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

• ประกาศเมอวนท 18 มถนายน 2550 • เรมมผลบงคบใช 18 กรกฎาคม 2550 • เจตนารมณ

– ก ำหนดฐำนควำมผดและบทลงโทษ – ก าหนดอ านาจหนาทของพนกงาน

เจาหนาท – ก าหนดหนาทของผใหบรการ

• กฎหมายทเกยวของ – ประมวลกฎหมายอาญา – หลกการใชกฎหมายอาญา, เจตนา, ผใช,

ผสนบสนน, เหตยกเวนความรบผด, เหตยกเวนโทษ, เหตบรรเทาโทษ – ประมวลกฎหมายวธพจารณาความอาญา – การสอบสวน & การด าเนนคด

พ.ร.บ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

ลกษณะทวไปของกฎหมายอาญา กฎหมายอาญา คอ • กฎหมายทก าหนดฐานความผดและบทลงโทษ

• โดยบคคลจะรบโทษทางอาญาไดกตอเมอมกฎหมายในขณะกระท าความผด ก าหนดวาการกระท านนเปนความผด และมบทลงโทษไว

• มลกษณะเปนกฎระเบยบมงเนนใหทกคนอยรวมกนอยาง มความสข มงเนน เพอความสงบสขทางสงคม เพอความเรยบรอยในบานเมอง เชน ความผดฐานฆาผอน ,ท ารายรางกาย, ลกทรพย, ชงทรพยฉอโกง, บกรก, ความผดเกยวกบการปลอมแปลง เปนตน

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

ค านยามทส าคญ • “ระบบคอมพวเตอร” หมายความวา อปกรณหรอชดอปกรณของคอมพวเตอรทเชอมการท างานเขาดวยกน โดยไดมการก าหนดค าสง ชดค าสง หรอสงอนใด และแนวทางปฏบตงานใหอปกรณหรอชดอปกรณท าหนาทประมวลผลขอมลโดยอตโนมต

• “ขอมลคอมพวเตอร” หมายความวา ขอมล ขอความ ค าสง ชดค าสง หรอสงอนใดบรรดาทอยในระบบคอมพวเตอรในสภาพทระบบคอมพวเตอรอาจประมวลผลได

• “ขอมลจราจรทางคอมพวเตอร” หมายความวา ขอมลเกยวกบการตดตอสอสารของระบบคอมพวเตอร ซงแสดงถงแหลงก าเนด ตนทาง ปลายทาง เสนทาง เวลา วนท ปรมาณ ระยะเวลา ชนดของบรการ หรออน ๆ ทเกยวของกบการตดตอสอสารของระบบคอมพวเตอรนน

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

ลกษณะของ “ผใหบรการ” และ “ผใชบรการ”

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

ลกษณะของ “ผใหบรการ” และ “ผใชบรการ”

Part 1 Computer-Related Offences.

Part 2 Competent Officials

§3 Definitions

§17 Offences done outside the Kingdom

shall be punished in the Kingdom

Competent Officials

Service Providers

Computer Crime

Computer-Related Crime

พระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐

หมวด ๑ ความผดเกยวกบคอมพวเตอร

กระท าตอคอมพวเตอร

ใชคอมพวเตอรกระท าความผด

หมวด ๒ พนกงานเจาหนาท

พนกงานเจาหนาท

ผใหบรการ

ม. ๓ ค านยาม

ม.๑๗ การกระท าความผดนอกราชอาณาจกร

รบโทษในราชอาณาจกร

ม.๕ การเขาถงระบบคอมฯ

ม.๖ การลวงรมาตรการการปองกนการเขาถง

ม.๗ การเขาถงขอมลคอมฯ

ม.๘ การดกรบขอมลคอมฯ

ม.๙ การรบกวนขอมลคอมฯ

ม.๑๐ การรบกวนระบบคอม

ม.๑๒ บทหนกของม.๙/๑๐

ม.๑๓ การจ าหนาย/เผยแพรชดค าสงเพอใชกระท าความผด

ม.๑๑ สแปมเมล

ม.๑๔ การปลอมแปลงขอมลคอมฯ/เผยแพรเนอหาอนไมเหมาะสม

ม.๑๕ ความรบผดของผ ใหบรการ

ม.๑๖ การเผยแพรภาพจากการตดตอ/ดดแปลง

ฐานความผด โทษจ าคก โทษปรบ

มาตรา ๕ เขาถงคอมพวเตอรโดยมชอบ ไมเกน ๖ เดอน ไมเกน ๑๐,๐๐๐ บาท

มาตรา ๖ ลวงรมาตรการปองกน ไมเกน ๑ ป ไมเกน ๒๐,๐๐๐ บาท

มาตรา ๗ เขาถงขอมลคอมพวเตอรโดยมชอบ ไมเกน ๒ ป ไมเกน ๔๐,๐๐๐ บาท

มาตรา ๘ การดกขอมลคอมพวเตอร ไมเกน ๓ ป ไมเกน ๖๐,๐๐๐ บาท

มาตรา ๙ การรบกวนขอมลคอมพวเตอร ไมเกน ๕ ป ไมเกน ๑๐๐,๐๐๐ บาท

มาตรา ๑๐ การรบกวนระบบคอมพวเตอร

มาตรา ๑๑ สแปมเมล

ไมเกน ๕ ป

ไมม

ไมเกน ๑๐๐,๐๐๐ บาท

ไมเกน ๑๐๐,๐๐๐ บาท

มาตรา ๑๒ การกระท าตอความมนคง

(๑) กอความเสยหายแกขอมลคอมพวเตอร

(๒) กระทบตอความม นคงปลอดภยของประเทศ/เศรษฐกจ

วรรคทาย เปนเหตใหผอ นถงแกชวต

ไมเกน ๑๐ ป

๓ ป ถง ๑๕ ป

๑๐ ป ถง ๒๐ ป

+ ไมเกน ๒๐๐,๐๐๐ บาท

๖๐,๐๐๐-๓๐๐,๐๐๐ บาท

ไมม

มาตรา ๑๓ การจ าหนาย/เผยแพรชดค าสง ไมเกน ๑ ป ไมเกน ๒๐,๐๐๐ บาท

มาตรา ๑๔ การเผยแพรเนอหาอนไมเหมาะสม ไมเกน ๕ ป ไมเกน ๑๐๐,๐๐๐ บาท

มาตรา ๑๕ ความรบผดของ Tel Co, ISP,อนๆ Internet Access)

ไมเกน ๕ ป ไมเกน ๑๐๐,๐๐๐ บาท

มาตรา ๑๖ การตดตอภาพผอน ถาสจรต ไมมความผด ไมเกน ๓ ป ไมเกน ๖๐,๐๐๐ บาท

ฐานความผดและบทลงโทษของ พ.ร.บ. คอมพวเตอร 2550

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

เพอใหเปนไปตาม พ.ร.บ. วาดวยการกระท าความผดคอมพวเตอร 2550 ดงนน บรษทจ ำเปนตอง จดการเกบขอมลจราจร (Log) ตาม พ.ร.บ. คอมพวเตอร 2550 ซงเกบไวอยางนอย 90 วน หรออาจจดท าหอง SOC (Security Operation Center) ซงท าหนาท Monitor การใชงาน Internet

โดยในการใชงาน Internet พนกงานจะตองระบตวตนโดยใช Username password ของตนเองผานทาง Proxy Server

การใชงานระบบคอมพวเตอรทเกยวของกบ พ.ร.บ. คอมพวเตอร

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

ตวอยาง : นโยบายความมนคงปลอดภยสารสนเทศ

เรองการใช Password

พนกงานตองใช Password ของตนหรอปฏบตงานในระบบขอมลตามสทธทไดรบเทานน

หากไดรบ Password ในครงแรกจาก ปตท. ตองเปลยนใหมทนทใหเปนความลบเฉพาะตว ในกรณทถกเปดเผย ตองเปลยนใหมทนท

ตองเปลยนทกๆ 90 วน

ตองตงใหยาวตงแต 8 ตวขนไป

ตองประกอบดวย ตวอกษร ตวเลข หรอสญลกษณอนใดทยากตอการคาดเดา

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

61

ISO27001 Present “What to do?”

ISO27002 Present “How to do?”

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

ขอก าหนดของมาตรฐาน ISO/IEC 27001

โครงสรางของมาตรฐานสามารถแบงไดดงน

62

ขอคด

กอนก

ารสร

างระบบ

• 0 – Introduction

• 1 – Scope

• 2 – normative reference

• 3 - Terms and definitions วธ

การบ

รหารคว

ามเสยง

• 4 – ISMS

• 5 – Management responsibility

• 6 Internal ISMS audit

• 7 – Management review of the ISMS

• 8 – ISMS improvement

สงทต

องปฏ

บตเปนป

ระจ า

• Annex A – (33) Control objectives and (139) controls

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

http://www.iso27001security.com/html/27002.html

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

Risk VS Control

• ตองมการประเมนความเสยง (Risk Assessment) ขององคกรเสยกอน ซงมขนตอนส าคญทตองปฏบต เชน ▫ การระบปจจยทมผลท าใหเกดความเสยง (Risk Identification Risk = Vulnerability x Threat) ▫ การระบความเสยงทมโอกาสเกดขน (Risk estimation)

▫ การวเคราะหความเสยง (Risk Analysis) ▫ การบรหารจดการกบความเสยง (Risk Management)

• การตรวจสอบระบบสารสนเทศตองพจารณาเรองของการควบคม (Control) วาไดมการจดการอยางถกตองหรอไม การตรวจสอบการควบคมแบงออกเปน 3 ประเภทใหญๆ คอ 1. การควบคมแบบปองกนลวงหนา (Preventive Control) 2. การควบคมแบบคนหาประวตเหตการณทเกดขน (Detective Control) 3. การควบคมแบบแกไขปญหาจากเหตการณทเกดขน (Corrective Control)

หลกการในการตรวจสอบระบบสารสนเทศ

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

Overview of ISO/IEC 27005 ISRM

(Information Security Risk Management)

65

In Planning phase

(1) Establishing the context

(2) Risk assessment

(3) Developing risk treatment plan

(4) Risk acceptance

In Doing phase

(1) Implementation of risk treatment

plan

In Checking phase

(1) Continual monitoring and

reviewing of risks

In Acting phase

(1) Maintain and improve the

information Security Risk

Management Process

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

What is ISMS?

Information Security Management System

Information Security + Management System

Information Security > IT Security

Information = (e) + (not e)

Management System requires

(P)eople, (P)rocess & (T)echnology

67

PPT : People-Process-Technology

People

Technology

Process

Good Firewall+

Competence People+

Review and Change

Management Process

can then yield the highest effectiveness

Firewall alone doesn’t do any

good without knowledgeable people managing it

Firewall with competence

people managing it can reveal its true power

Best people cannot do

much without proper tools and appropriate process

Managing ICT can only reach highest effectiveness when these three ingredients are working in harmony.

68

People

Technology

Process

Confidentiality

Availability

Integrity

3 Pillars of ICT 3 Pillars of Information Security

Disclosure

Alteration Destruction

Key Principle

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

Who is adopting ISO27001?

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

Reason for adopting the standard

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

Main Challenges to ISO27001

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

P-D-C-A Model

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

EISA Maturity Level Definition

http://upload.wikimedia.org/wikipedia/commons/thumb/e/ec/Characteristics_of_Capability_Maturity_Model.svg/600px-Characteristics_of_Capability_Maturity_Model.svg.png

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

หากมขอสงสยหรอค าถามเพมเตมตดตอไดท :

Email: surachai.won[at]gmail[dot]com

ตดตามผลงานไดท:

Slideshare: www.slideshare.net/chatsec YouTube: www.youtube.com/user/WonJuJub Blogspot: www.wonjujub.blogspot.com/ Facebook Fanpage:

https://www.facebook.com/surachai.chatchalermpun

Contact me 77

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission. ©2011 All rights reserved

Qu35t!0n &

Answer