Addressing IT Risk [Lecture at MIS Mahidol]1. 1
Addressing the RISK aspects for
making business decision
Master degree of “Management Information System”, Mahidol University
April, 1, 2012
Surachai Chatchalermpun
Sub-Committee of TISA
IRCA:ISO27001, CISA, CISSP, CSSLP, SSCP, CEH, ECSA
Asia-Pacific Information Security Leadership Achievement Award
©2011, All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
2. 2
Speaker Profile
Speaker profile
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
3. ©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
4. 4
Speaker Profile
Speaker profile
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
5. 5
Speaker Profile
Speaker profile
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
6. Speaker Profile
Speaker profile
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
7. ©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
8. ©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
9. TISA Volunteer
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
10. ©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
11. Main Objectives
1. เพื่อให้เข้าใจและตระหนักในความเสี่ ยงของ IT ที่อาจส่ งผลกระทบต่อ
Business
2. เรี ยนรู ้วิธีการลดความเสี่ ยงให้ไปสู่ระดับที่ยอมรับได้
และเป็ นไปตาม International standard , Best practice, Good practice
3. เพื่อให้สามารถนาความรู ้ ประยุกต์ใช้หรื อนาไปแบ่งปัน ถ่ายทอดผูอื่น
้
ได้อย่างมีประสิ ทธิภาพ
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
12. Contents
1. What is GRC?
2. GRC Related Standard & Best Practices on Business & IT Alignment
3. Performance VS Conformance
4. What does the Gartner trend?
5. What is the ISF Threat Horizon?
6. What is Computer Crime (Hacking Demo)?
7. What is the Thailand Computer Crime Act?
8. What is the ISO27001:ISMS?
9. Enterprise Information Security Architecture (EISA)
10. Mapping Maturity Model to EISA
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
13. What is GRC?
Source : http://www.grc-resource.com
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
14. Integrated GRC : A Holistic Approach
http://www.isaca.org/Journal/Past-Issues/2009/Volume-5/Pages/JOnline-Compliance-Management-andnbsp-andnbsp-A-Holistic-Approach.aspx
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
21. ©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
26. คุณเคย . . . หรือไม่
1. เขียน password ติดไว้ที่โต๊ะทางาน
2. ตั้ง password ง่ายๆ กลัวลืม
3. บอก password ของตนกับผูอื่น ้
4. ให้ผอื่นยืมใช้เครื่ องคอมพิวเตอร์และ
ู้
Login ด้วย account ของท่าน
5. เปิ ดดูขอมูลของผูอื่นโดยไม่ได้รับอนุญาต
้ ้
6. ไม่ Lock หน้าจอคอมฯ เมื่อไม่อยูที่โต๊ะ ่
7. ส่ งต่อข้อมูลที่ไม่ได้มีการพิสูจน์ยนยันข้อเท็จจริ ง
ื
8. ส่ งต่อภาพหรื อคลิปลามก
9. เปิ ดไฟล์แนบใน e-mail จากคนไม่รู้จก ั
10. ทา USB Thumb drive หล่นหายหรื อให้ผอื่นยืม ู้
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
27. การเปลียนแปลงรู ปแบบการกระทาความผิด
่
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
28. STRONG PASSWORD
รู้ไหม? มีใครแอบเดา Password
ง่ายๆของ คุณอยู่?”
Facts:
• User ส่วนใหญ่มกตัง Password ตามคาใน Dictionary
ั ้
• User ส่วนใหญ่มกตัง Password ด้วยอักษรตัวเล็กทังหมด
ั ้ ้
• User ส่วนใหญ่มกไม่ค่อยเปลียน Password
ั ่
• Password เหล่านี้ มักตกเป็ นเหยือรายแรกๆของผูไม่หวังดีเสมอ
่ ้
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
29. STRONG PASSWORD
Password Attacks
• Dictionary Attack (Use words in Dictionary)
o Ant, cat, dog, frog, … , zoo
• Brute Force Attack (Use all possibilities)
o 0001, 0002, 0003, …., 9999
Protections
• ไม่ใช้ Password ที่คาดเดาได้ง่าย เช่น คาที่มีใน Dictionary
• ใช้การผสมอักขระที่ซบซ้อน เช่น L0v3@1sts1ghT (Love at first sight)
ั
• เปลี่ยน Password อย่างสมาเสมอเมื่อถึงเวลาที่เหมาะสม เช่น ทุกๆ 90 วัน
่
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
30. Security Awareness >> Show Case
Password Attack
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
31. การตั้ง Password ทีดควรประกอบด้ วย
่ ี
• Lowercase Alphabet หรื ออักษรภาษาอังกฤษตัวเล็ก
เช่ น a b c d
• Uppercase Alphabet หรื ออักษรภาษาอังกฤษตัวใหญ่
เช่ น A B C D
• Numeric หรื อ ตัวเลข 3 ใน 4 แบบ
เช่ น 1 2 3 4
• Special Character หรื อ อักขระพิเศษ
เช่ น ! @ # $ % ^ & * ( ) _ +
32. เทคนิคการตั้ง Password (ตั้ งให้ยากแต่จาให้ง่าย)
1. Pass phrase อักษรเดิม อักษรแทน
เนือเพลงโปรด,ประโยคเด็ด
้ A 4 หรื อ @
YouWillNeverWalkAlone1945
E 3
2. Replacement
Y0uW1llNeverWalkAl0ne1945
I 1 หรื อ !
O 0
3. กด Shift ค ้างไว ้
YouWillNeverWalkAlone19$% S $
And &
4. ดูแป้ นไทย
for 4 (four)
รักนะเด็กโง่จวบๆ-> iydotgfHdF’j0U;[q
๊
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
33. VDO Security Awareness
อย่าลืม Log out นะ มิเช่นนั้น
จะเป็ นเช่นนี้…
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
34. Security Awareness >> Show Case
Key Logger
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
35. VDO Security Awareness
่
ทายซิ วา เกิดอะไรขึ้น
!!!
บนหน้าจอคอมฯ
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
36. Security Awareness >> Show Case
Can you trust this file?
Click or Not ?
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
37. Trojan Horse
่ ิ่ ่
ความอันตรายทีแฝงเข ้ามากับสงทีเหมือนจะไม่มอะไร
ี
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
38. ©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
39. ©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
40. “มือถือยิงทันสมัย ยิงมีภัย ตามติดตัว…”
่ ่
©2011, All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
42. ระวังถูกล้ วงความลับและดักฟั งโทรศัพท์ มือถือด้ วย Spy Phone
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
43. ภัยคุกคามต่อความเป็ นส่วนตัว !!!
โดยทีคุณไม่ ร้ ูตัว…
่
• Can read SMS…
• Can read & send e-mail…
• Can see Call logs
• Can see & stolen your data in Phone or SD Card
• Can record & download your voice …
• Can see your WebCam…
• Can know Location where you are…
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
44. How to survive
• Raise security awareness
• Always lock your mobile’s screen with PinCode
• Install mobile’s antivirus
• Don’t use free Wi-fi, if you not sure it is can trust
• Always check your list of Application
• Change default password of web server
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
45. Trusted Components
เข้ าสู่ บริการทีน่าเชื่อถือและไว้ ใจได้
่
เชื่อมต่ อผ่านระบบที่น่าเชื่อถือและไว้ ใจได้
เครื่องทีจะใช้ ต้องได้ รับการดูแลและรู้ ทมา
่ ี่
ผู้ใช้ งานต้ องมีความรู้ เท่ าทันและระแวดระวังอยู่เสมอ
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
46. ทีมาของกฎหมาย พ.ร.บ.ว่ าด้ วยการกระทาความผิดเกียวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐
่ ่
• ลักษณะความผิดในรู ปแบบ electronic ไม่สามารถใช้กฎหมายที่มีอยู่
เดิมเอาผิดได้ เช่น การลักทรัพย์
• การติดตามหาตัวผูกระทาผิดมาลงโทษทาได้ยาก เนื่องจากไม่มีการทาบันทึก
้
ประวัติการใช้งานระบบอย่างมีมาตรฐาน
• การใช้งานอิเล็กทรอนิ กส์มีแนวโน้มสู งมากขึ้น และการกระทาความผิดก็มี
แนวโน้มมากขึ้นและซับซ้อนขึ้นเช่นกัน
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
48. พ.ร.บ.ว่ าด้ วยการกระทาความผิดเกียวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐
่
• ประกาศเมื่อวันที่ 18 มิถุนายน 2550
• เริ่มมีผลบังคับใช้ 18 กรกฎาคม 2550
• เจตนารมณ์
– กำหนดฐำนควำมผิ ดและบทลงโทษ
– กาหนดอานาจหน้ าที่ของพนักงาน
เจ้ าหน้ าที่
– กาหนดหน้ าที่ของผู้ให้ บริการ
• กฎหมายที่เกี่ยวข้ อง
– ประมวลกฎหมายอาญา – หลักการใช้ กฎหมายอาญา, เจตนา, ผู้ใช้ ,
ผู้สนับสนุน, เหตุยกเว้ นความรั บผิด, เหตุยกเว้ นโทษ, เหตุบรรเทาโทษ
– ประมวลกฎหมายวิธีพจารณาความอาญา – การสอบสวน & การดาเนินคดี
ิ
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
49. ลักษณะทั่วไปของกฎหมายอาญา
กฎหมายอาญา คือ
• กฎหมายที่กาหนดฐานความผิดและบทลงโทษ
• โดยบุคคลจะรับโทษทางอาญาได้กต่อเมื่อมีกฎหมายในขณะกระทาความผิด
็
กาหนดว่าการกระทานั้นเป็ นความผิด และมีบทลงโทษไว้
• มีลกษณะเป็ นกฎระเบียบมุ่งเน้นให้ทุกคนอยูร่วมกันอย่าง มีความสุ ข มุ่งเน้น เพื่อ
ั ่
ความสงบสุ ขทางสังคม เพื่อความเรี ยบร้อยในบ้านเมือง เช่น ความผิดฐานฆ่าผูอื่น ,
้
ทาร้ายร่ างกาย, ลักทรัพย์, ชิงทรัพย์ฉอโกง, บุกรุ ก, ความผิดเกี่ยวกับการปลอม
้
แปลง เป็ นต้น
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
50. คานิยามที่สาคัญ
• “ระบบคอมพิวเตอร์ ” หมายความว่า อุปกรณ์หรื อชุดอุปกรณ์ของคอมพิวเตอร์ ที่เชื่อม
การทางานเข้าด้วยกัน โดยได้มีการกาหนดคาสั่ง ชุดคาสั่ง หรื อสิ่ งอื่นใด และแนวทาง
ปฏิบติงานให้อุปกรณ์หรื อชุดอุปกรณ์ทาหน้าที่ประมวลผลข้อมูลโดยอัตโนมัติ
ั
• “ข้ อมูลคอมพิวเตอร์ ” หมายความว่า ข้อมูล ข้อความ คาสั่ง ชุดคาสั่ง หรื อสิ่ งอื่นใด
่
บรรดาที่อยูในระบบคอมพิวเตอร์ ในสภาพที่ระบบคอมพิวเตอร์ อาจประมวลผลได้
• “ข้ อมูลจราจรทางคอมพิวเตอร์ ” หมายความว่า ข้อมูลเกี่ยวกับการติดต่อสื่ อสารของ
ระบบคอมพิวเตอร์ ซึ่ งแสดงถึงแหล่งกาเนิ ด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่
ปริ มาณ ระยะเวลา ชนิดของบริ การ หรื ออื่น ๆ ที่เกี่ยวข้องกับการติดต่อสื่ อสารของ
ระบบคอมพิวเตอร์ น้ น
ั
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
51. ลักษณะของ “ผู้ ให้ บริการ” และ “ผู้ ใช้ บริการ”
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
52. ลักษณะของ “ผู้ ให้ บริการ” และ “ผู้ ใช้ บริการ”
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
53. ม.๕ การเข ้าถึงระบบคอมฯ
พระราชบ ัญญ ัติวาด้วยการกระทาความผิด
่
ม.๖ การล่วงรู ้มาตรการการ
เกียวก ับคอมพิวเตอร์ พ.ศ. ๒๕๕๐
่ ป้ องกันการเข ้าถึง
ม. ๓ คานิยาม
§3 Definitions ม.๗ การเข ้าถึงข ้อมูลคอมฯ
ม.๘ การดักรับข ้อมูลคอมฯ
ม.๙ การรบกวนข ้อมูลคอมฯ
ม.๑๐ การรบกวนระบบคอม
หมวด1 Computer-Related Offences.
Part ๑ ความผิดเกียวก ับคอมพิวเตอร์
่
ม.๑๒ บทหนักของม.๙/๑๐
ม.๑๓ การจาหน่าย/เผยแพร่
กระทาต่อคอมพิวเตอร์
Computer Crime ั่
ชุดคาสงเพือใชกระทา
่ ้
ความผิด
้
ใชคอมพิวเตอร์กระทาความผิด
Computer-Related ม.๑๑ สแปมเมล์
Crime ม.๑๔ การปลอมแปลง
ม.๑๗ การกระทาความผิดนอกราชอาณาจักร ข ้อมูลคอมฯ/เผยแพร่
§17 Offences done outside the Kingdom
รับโทษในราชอาณาจักร เนือหาอันไม่เหมาะสม
้
shall be punished in the Kingdom
ม.๑๕ ความรับผิดของผู ้
ให ้บริการ
หมวด ๒ พน ักงานเจ้าหน้าที่ ม.๑๖ การเผยแพร่ภาพจาก
Part 2 Competent Officials การตัดต่อ/ดัดแปลง
พน ักงานเจ้าหน้าที่
Competent Officials
ผูให้บริการ
้
Service Providers
55. ฐานความผิดและบทลงโทษของ พ.ร.บ. คอมพิวเตอร์ 2550
ฐานความผิด โทษจาคุก โทษปร ับ
มาตรา ๕ เข ้าถึงคอมพิวเตอร์โดยมิชอบ ไม่เกิน ๖ เดือน ไม่เกิน ๑๐,๐๐๐ บาท
มาตรา ๖ ล่วงรู ้มาตรการป้ องกัน ไม่เกิน ๑ ปี ไม่เกิน ๒๐,๐๐๐ บาท
มาตรา ๗ เข ้าถึงข ้อมูลคอมพิวเตอร์โดยมิชอบ ไม่เกิน ๒ ปี ไม่เกิน ๔๐,๐๐๐ บาท
มาตรา ๘ การดักข ้อมูลคอมพิวเตอร์ ไม่เกิน ๓ ปี ไม่เกิน ๖๐,๐๐๐ บาท
มาตรา ๙ การรบกวนข ้อมูลคอมพิวเตอร์ ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท
มาตรา ๑๐ การรบกวนระบบคอมพิวเตอร์ ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท
มาตรา ๑๑ สแปมเมล์ ไม่ม ี ไม่เกิน ๑๐๐,๐๐๐ บาท
มาตรา ๑๒ การกระทาต่อความมั่นคง
ี
(๑) ก่อความเสยหายแก่ข ้อมูลคอมพิวเตอร์ ไม่เกิน ๑๐ ปี + ไม่เกิน ๒๐๐,๐๐๐ บาท
(๒) กระทบต่อความมนคงปลอดภ ัยของประเทศ/
่ั ๓ ปี ถึง ๑๕ ปี ๖๐,๐๐๐-๓๐๐,๐๐๐ บาท
เศรษฐกิจ ๑๐ ปี ถึง ๒๐ ปี ไม่ม ี
วรรคท้าย เปนเหตุให้ผอนถึงแก่ชวต
็ ู ้ ื่ ี ิ
ุ ั่
มาตรา ๑๓ การจาหน่าย/เผยแพร่ชดคาสง ไม่เกิน ๑ ปี ไม่เกิน ๒๐,๐๐๐ บาท
มาตรา ๑๔ การเผยแพร่เนือหาอันไม่เหมาะสม
้ ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท
มาตรา ๑๕ ความรับผิดของ Tel Co, ISP,อืนๆ Internet
่ ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท
Access)
มาตรา ๑๖ การตัดต่อภาพผู ้อืน ถ ้าสุจริต ไม่มความผิด
่ ี ไม่เกิน ๓ ปี ไม่เกิน ๖๐,๐๐๐ บาท
56. การใช้ งานระบบคอมพิวเตอร์ ที่เกียวข้ องกับ พ.ร.บ. คอมพิวเตอร์
่
เพื่อให้เป็ นไปตาม พ.ร.บ. ว่าด้วยการกระทาความผิดคอมพิวเตอร์ 2550 ดังนัน บริษท
้ ั
จำเปนต้อง จัดการเก็บข้อมูลจราจร (Log) ตาม พ.ร.บ. คอมพิวเตอร์ 2550 ซึ่งเก็บไว้อย่าง
็
น้อย 90 วัน หรืออาจจัดทาห้อง SOC (Security Operation Center) ซึ่งทาหน้าที่
Monitor การใช้งาน Internet
โดยในการใช้งาน Internet พนักงานจะต้องระบุตวตนโดยใช้ Username
ั
password ของตนเองผ่านทาง Proxy Server
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
57. ©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
58. ©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
59. ©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
60. ตัวอย่าง : นโยบายความมันคงปลอดภัยสารสนเทศ
่
เรื่องการใช้ Password
พนักงานต้องใช้ Password ของตนหรื อปฏิบติงานในระบบข้อมูลตาม
ั
สิ ทธิ ที่ได้รับเท่านั้น
หากได้รับ Password ในครั้งแรกจาก ปตท. ต้องเปลี่ยนใหม่ทนทีให้ ั
เป็ นความลับเฉพาะตัว ในกรณี ที่ถกเปิ ดเผย ต้องเปลี่ยนใหม่ทนที
ู ั
ต้องเปลี่ยนทุกๆ 90 วัน
ต้องตั้งให้ยาวตั้งแต่ 8 ตัวขึ้นไป
ต้องประกอบด้วย ตัวอักษร ตัวเลข หรื อสัญลักษณ์อื่นใดที่ยากต่อการคาดเดา
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
61. ISO27001 ISO27002
Present “What to do?” Present “How to do?”
61
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
62. 62
โครงสร้างของมาตรฐานสามารถแบ่งได้ดงนี้
ั
ข้ อกาหนดของมาตรฐาน ISO/IEC 27001
• 0 – Introduction • 4 – ISMS • Annex A –
ข้อคิดก่อนการสร้างระบบ
วิธีการบริ หารความเสี่ ยง
สิ่ งที่ตองปฏิบติเป็ นประจา
• 1 – Scope • 5 – Management (33) Control
• 2 – normative responsibility objectives and
reference
ั
• 6 Internal ISMS (139) controls
• 3 - Terms and
audit
้
definitions
• 7 – Management
review of the
ISMS
• 8 – ISMS
improvement
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
64. หลักการในการตรวจสอบระบบสารสนเทศ
Risk VS Control
• ต้องมีการประเมินความเสี่ ยง (Risk Assessment) ขององค์กรเสี ยก่อน ซึ่งมีข้ นตอนสาคัญที่ตองปฏิบติ เช่น
ั ้ ั
▫ การระบุปัจจัยที่มีผลทาให้เกิดความเสี่ ยง (Risk Identification Risk = Vulnerability x Threat)
▫ การระบุความเสี่ ยงที่มีโอกาสเกิดขึ้น (Risk estimation)
▫ การวิเคราะห์ความเสี่ ยง (Risk Analysis)
▫ การบริ หารจัดการกับความเสี่ ยง (Risk Management)
• การตรวจสอบระบบสารสนเทศต้องพิจารณาเรื่ องของการควบคุม (Control) ว่าได้มีการจัดการอย่างถูกต้องหรื อไม่ การ
ตรวจสอบการควบคุมแบ่งออกเป็ น 3 ประเภทใหญ่ๆ คือ
1. การควบคุมแบบป้ องกันล่วงหน้า (Preventive Control)
2. การควบคุมแบบค้นหาประวัติเหตุการณ์ที่เกิดขึ้น (Detective Control)
3. การควบคุมแบบแก้ไขปัญหาจากเหตุการณ์ที่เกิดขึ้น (Corrective Control)
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
65. 65
Overview of ISO/IEC 27005 ISRM
(Information Security Risk Management)
In Planning phase
(1) Establishing the context
(2) Risk assessment
(3) Developing risk treatment plan
(4) Risk acceptance
In Doing phase
(1) Implementation of risk treatment
plan
In Checking phase
(1) Continual monitoring and
reviewing of risks
In Acting phase
(1) Maintain and improve the
information Security Risk
Management Process
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
66. What is ISMS?
Information Security Management System
Information Security + Management System
Information Security > IT Security
Information = (e) + (not e)
Management System requires
(P)eople, (P)rocess & (T)echnology
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
67. PPT : People-Process-Technology
Best people cannot do
much without proper tools Firewall with competence
and appropriate process people managing it can
People reveal its true power
Good Firewall+
Competence People+
Review and Change
Management Process Firewall alone doesn’t do any
can then yield the good without knowledgeable
highest effectiveness people managing it
Process Technology
Managing ICT can only reach highest effectiveness when these three ingredients are working in harmony.
67
68. 68
Key Principle
3 Pillars of ICT 3 Pillars of Information Security
Disclosure
People Confidentiality
Process Technology Integrity Availability
Alteration Destruction
69. Who is adopting ISO27001?
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
70. Reason for adopting the standard
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
71. Main Challenges to ISO27001
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
72. P-D-C-A Model
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
73. ©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
76. EISA Maturity Level Definition
http://upload.wikimedia.org/wikipedia/commons/thumb/e/ec/Characteristics_of_Capability_Maturity_Model.svg/600px-Characteristics_of_Capability_Maturity_Model.svg.png
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
77. 77
Contact me
หากมีข้อสงสัยหรื อคาถามเพิ่มเติมติดต่ อได้ ที่ :
Email: surachai.won[at]gmail[dot]com
ติดตามผลงานได้ ที่:
Slideshare: www.slideshare.net/chatsec
YouTube: www.youtube.com/user/WonJuJub
Blogspot: www.wonjujub.blogspot.com/
Facebook Fanpage:
https://www.facebook.com/surachai.chatchalermpun
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
78. ©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
79. Qu35t!0n
&
Answer
©2011 All rights reserved
For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.