IT Security & Risk Management (August 26, 2019)
âĒ
4 likesâĒ209 views
Presented at The New Generation IT Doctor for Hospital Development Training Program, Thai Medical Informatics Association, Nonthaburi, Thailand on August 26, 2019
Recommended
Recommended
More Related Content
Similar to IT Security & Risk Management (August 26, 2019)
Similar to IT Security & Risk Management (August 26, 2019) (20)
More from Nawanan Theera-Ampornpunt
More from Nawanan Theera-Ampornpunt (20)
IT Security & Risk Management (August 26, 2019)
- 1. āļāļēāļĢāļāļēāļŦāļāļāļāđāļĒāļāļēāļĒāđāļĨāļ°āļĢāļ°āđāļāļĩāļĒāļāļāļāļīāļāļąāļāļī āļāļēāļĢāļāļĢāļ°āđāļĄāļīāļ āđāļĨāļ°āļāļ§āļāļāļļāļĄāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ āļāļēāļĢāļāļąāļāļāļēāļĢāļāļ§āļēāļĄāļĄāļąāđāļāļāļāđāļāļĢāļ°āļāļ āđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĢāļāļāļĒāļēāļāļēāļĨāļāļąāđāļāļāđāļ Confidentiality and Privacy āļāļ.āļāļ§āļāļĢāļĢāļ āļāļĩāļĢāļ°āļāļąāļĄāļāļĢāļāļąāļāļāļļāđ 26 āļŠāļīāļāļŦāļēāļāļĄ 2562 SlideShare.net/Nawanan
- 2. 2003 M.D. (First-Class Honors) (Ramathibodi) 2009 M.S. in Health Informatics (U of MN) 2011 Ph.D. in Health Informatics (U of MN) âĒ Faculty of Medicine Ramathibodi Hospital Mahidol University o Assistant Dean for Informatics o Lecturer, Section for Clinical Epidemiology & Biostatistics âĒ Member, TMI Executive Board nawanan.the@mahidol.ac.th SlideShare.net/Nawanan Facebook.com/NawananT Line ID: NawananT Introduction
- 4. âĒ TMI HITQIF Framework âĒ IT Governance âĒ Strategic Planning & IT Master Plan âĒ Structure, Roles, Team Development & Roadmap to IT Quality âĒ IT Policy, Regulation, Risk & Security Management âĒ Service Level Management, IT Service Desk & Data Center Management âĒ Data Management âĒ IT Process, Metrics & Control âĒ Continuous & Sustainable IT Quality Improvement Overall Topics of HITQIF Course
- 5. Policy Planning Implement ation Monitoring & Evaluation Enforce ment Big Picture of IT Risk & Security Management
- 6. âĒ Overview of IT Security & Privacy âĒ IT Security & Privacy Policy âĒ IT Security Management âĒ IT Risk Management Outline
- 7. Overview of IT Security & Privacy
- 8. Malware Threats to Information Security
- 9. āļ āļąāļĒ Security āļāļąāļāđāļĄāļ·āļāļāđāļāļĒ (Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/ (Bottom) http://www.bloomberg.com/news/articles/2014-12-07/sony-s-darkseoul-breach-stretched-from-thai-hotel- to-hollywood
- 13. Privacy Threats in Thailand https://www.posttoday.com/it/548240
- 14. http://news.sanook.com/1262964/ Privacy Threats in Thai Health Care
- 15. Privacy Threats in Thai Health Care
- 16. Privacy Threats in Thai Health Care https://www.blognone.com/node/79473
- 17. Sources of the Threats ⊠Hackers ⊠Viruses & Malware ⊠Poorly-designed systems ⊠Insiders (Employees) ⊠Peopleâs ignorance & lack of knowledge ⊠Disasters & other incidents affecting information systems
- 18. ⊠Information risks ⊠Unauthorized access & disclosure of confidential information ⊠Unauthorized addition, deletion, or modification of information ⊠Operational risks ⊠System not functional (Denial of Service - DoS) ⊠System wrongly operated ⊠Personal risks ⊠Identity thefts ⊠Financial losses ⊠Disclosure of information that may affect employment or other personal aspects (e.g. health information) ⊠Physical/psychological harms ⊠Organizational risks ⊠Financial losses ⊠Damage to reputation & trust ⊠Etc. Consequences of Security Attacks
- 19. ⊠Privacy: âThe ability of an individual or group to seclude themselves or information about themselves and thereby reveal themselves selectively.â (Wikipedia) ⊠Security: âThe degree of protection to safeguard ... person against danger, damage, loss, and crime.â (Wikipedia) ⊠Information Security: âProtecting information and information systems from unauthorized access, use, disclosure, disruption, modification, perusal, inspection, recording or destructionâ (Wikipedia) Privacy & Security
- 20. Confidentiality âĒ āļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĨāļąāļāļāļāļāļāđāļāļĄāļđāļĨ Integrity âĒ āļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĢāļāļāđāļ§āļāđāļĨāļ°āļāļ§āļēāļĄ āļāļđāļāļāđāļāļāļāļāļāļāđāļāļĄāļđāļĨ âĒ āļāļĢāļēāļĻāļāļēāļāļāļēāļĢāđāļāļĨāļĩāđāļĒāļāđāļāļĨāļāđāļāđāđāļ āļāļē āđāļŦāđāļŠāļđāļāļŦāļēāļĒ āļāļēāđāļŦāđāđāļŠāļĩāļĒāļŦāļēāļĒ āļŦāļĢāļ·āļāļāļđāļ āļāļēāļĨāļēāļĒāđāļāļĒāļĄāļīāļāļāļ Availability âĒ āļāļēāļĢāļĢāļąāļāļĐāļēāļŠāļ āļēāļāļāļĢāđāļāļĄāđāļāđāļāļēāļ āļŦāļĨāļąāļāļāļēāļĢāļāļāļ Information Security
- 21. Examples of Confidentiality Risks http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm
- 22. Examples of Integrity Risks http://www.wired.com/threatlevel/2010/03/source-code-hacks/ http://en.wikipedia.org/wiki/Operation_Aurora âOperation Auroraâ Alleged Targets: Google, Adobe, Juniper Networks, Yahoo!, Symantec, Northrop Grumman, Morgan Stanley, Dow Chemical Goal: To gain access to and potentially modify source code repositories at high tech, security & defense contractor companies
- 23. Examples of Integrity Risks http://news.softpedia.com/news/700-000-InMotion-Websites-Hacked-by-TiGER-M-TE-223607.shtml Web Defacements
- 24. Examples of Availability Risks http://en.wikipedia.org/wiki/Blaster_worm Viruses/worms that led to instability & system restart (e.g. Blaster worm)
- 25. Examples of Availability Risks http://en.wikipedia.org/wiki/Ariane_5_Flight_501 Ariane 5 Flight 501 Rocket Launch Failure Cause: Software bug on rocket acceleration due to data conversion from a 64-bit floating point number to a 16-bit signed integer without proper checks, leading to arithmatic overflow
- 26. Interesting Resources ⊠http://en.wikipedia.org/wiki/List_of_software_bugs ⊠http://en.wikipedia.org/wiki/Notable_computer_viruses_an d_worms ⊠http://en.wikipedia.org/wiki/Hacktivism ⊠http://en.wikipedia.org/wiki/Website_defacement ⊠http://en.wikipedia.org/wiki/Hacker_(computer_security) ⊠http://en.wikipedia.org/wiki/List_of_hackers
- 27. Protecting Information Privacy & Security
- 31. āļŦāļĨāļąāļāļāļĢāļīāļĒāļāļĢāļĢāļĄāļāļĩāđāđāļāļĩāđāļĒāļ§āļāļąāļ Privacy âĒ Autonomy (āļŦāļĨāļąāļāđāļāļāļŠāļīāļāļāļīāđ/āļāļ§āļēāļĄāđāļāđāļāļāļīāļŠāļĢāļ°āļāļāļāļāļđāđāļāđāļ§āļĒ) âĒ Beneficence (āļŦāļĨāļąāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļĢāļ°āđāļĒāļāļāđāļŠāļđāļāļŠāļļāļāļāļāļāļāļđāđāļāđāļ§āļĒ) âĒ Non-maleficence (āļŦāļĨāļąāļāļāļēāļĢāđāļĄāđāļāļēāļāļąāļāļāļĢāļēāļĒāļāđāļāļāļđāđāļāđāļ§āļĒ) âFirst, Do No Harm.â
- 32. Hippocratic Oath ... What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about. ... http://en.wikipedia.org/wiki/Hippocratic_Oath
- 33. āļāļāļŦāļĄāļēāļĒāļāļĩāđāđāļāļĩāđāļĒāļ§āļāđāļāļāļāļąāļ Privacy âĒ āļāļĢāļ.āļŠāļļāļāļ āļēāļāđāļŦāđāļāļāļēāļāļī āļ.āļĻ. 2550 âĒ āļĄāļēāļāļĢāļē 7 āļāđāļāļĄāļđāļĨāļāđāļēāļāļŠāļļāļāļ āļēāļāļāļāļāļāļļāļāļāļĨ āđāļāđāļāļāļ§āļēāļĄāļĨāļąāļāļŠāđāļ§āļ āļāļļāļāļāļĨ āļāļđāđāđāļāļāļ°āļāļēāđāļāđāļāļīāļāđāļāļĒāđāļāļāļĢāļ°āļāļēāļĢāļāļĩāđāļāđāļēāļāļ°āļāļēāđāļŦāđāļāļļāļāļāļĨāļāļąāđāļ āđāļŠāļĩāļĒāļŦāļēāļĒāđāļĄāđāđāļāđ āđāļ§āđāļāđāļāđāļāļēāļĢāđāļāļīāļāđāļāļĒāļāļąāđāļāđāļāđāļāđāļāļāļēāļĄāļāļ§āļēāļĄāļāļĢāļ°āļŠāļāļāđ āļāļāļāļāļļāļāļāļĨāļāļąāđāļāđāļāļĒāļāļĢāļ āļŦāļĢāļ·āļāļĄāļĩāļāļāļŦāļĄāļēāļĒāđāļāļāļēāļ°āļāļąāļāļāļąāļāļīāđāļŦāđāļāđāļāļ āđāļāļīāļāđāļāļĒ āđāļāđāđāļĄāđāļ§āđāļēāđāļāļāļĢāļāļĩāđāļ āđ āļāļđāđāđāļāļāļ°āļāļēāļĻāļąāļĒāļāļēāļāļēāļāļŦāļĢāļ·āļāļŠāļīāļāļāļī āļāļēāļĄāļāļāļŦāļĄāļēāļĒāļ§āđāļēāļāđāļ§āļĒāļāđāļāļĄāļđāļĨāļāđāļēāļ§āļŠāļēāļĢāļāļāļāļĢāļēāļāļāļēāļĢāļŦāļĢāļ·āļāļāļāļŦāļĄāļēāļĒ āļāļ·āđāļāđāļāļ·āđāļāļāļāđāļāļāļŠāļēāļĢāđāļāļĩāđāļĒāļ§āļāļąāļāļāđāļāļĄāļđāļĨāļāđāļēāļāļŠāļļāļāļ āļēāļāļāļāļāļāļļāļāļāļĨāļāļĩāđāđāļĄāđāđāļāđ āļāļāļāļāļāđāļĄāđāđāļāđ
- 34. āļāļĢāļ°āļĄāļ§āļĨāļāļāļŦāļĄāļēāļĒāļāļēāļāļē âĒ āļĄāļēāļāļĢāļē 323 āļāļđāđāđāļāļĨāđāļ§āļāļĢāļđāđāļŦāļĢāļ·āļāđāļāđāļĄāļēāļāļķāđāļāļāļ§āļēāļĄāļĨāļąāļāļāļāļāļāļđāđāļāļ·āđāļāđāļāļĒāđāļŦāļāļļāļāļĩāđāđāļāđāļ āđāļāđāļēāļāļāļąāļāļāļēāļāļāļđāđāļĄāļĩāļŦāļāđāļēāļāļĩāđ āđāļāļĒāđāļŦāļāļļāļāļĩāđāļāļĢāļ°āļāļāļāļāļēāļāļĩāļāđāļāđāļāđāļāļāļĒāđ āđāļ āļŠāļąāļāļāļĢ āļāļāļāļēāļŦāļāđāļēāļĒāļĒāļē āļāļēāļāļāļāļļāļāļāļĢāļĢāļ āđ āļāļđāđāļāļĒāļēāļāļēāļĨ...āļŦāļĢāļ·āļāđāļāļĒāđāļŦāļāļļāļāļĩāđāđāļāđāļāļāļđāđāļāđāļ§āļĒ āđāļāļāļēāļĢāļāļĢāļ°āļāļāļāļāļēāļāļĩāļāļāļąāđāļ āđāļĨāđāļ§āđāļāļīāļāđāļāļĒāļāļ§āļēāļĄāļĨāļąāļāļāļąāđāļāđāļāļāļĢāļ°āļāļēāļĢāļāļĩāđ āļāđāļēāļāļ°āđāļāļīāļāļāļ§āļēāļĄāđāļŠāļĩāļĒāļŦāļēāļĒāđāļāđāļāļđāđāļŦāļāļķāđāļāļāļđāđāđāļ āļāđāļāļāļĢāļ°āļ§āļēāļāđāļāļĐāļāļēāļāļļāļāđāļĄāđāđāļāļīāļ āļŦāļāđāļāļ·āļāļ āļŦāļĢāļ·āļāļāļĢāļąāļāđāļĄāđāđāļāļīāļāļŦāļāļķāđāļāļāļąāļāļāļēāļ āļŦāļĢāļ·āļāļāļąāđāļāļāļēāļāļąāđāļāļāļĢāļąāļ âĒ āļāļđāđāļĢāļąāļāļāļēāļĢāļĻāļķāļāļĐāļēāļāļāļĢāļĄāđāļāļāļēāļāļĩāļāļāļąāļāļāļĨāđāļēāļ§āđāļāļ§āļĢāļĢāļāđāļĢāļ āđāļāļīāļāđāļāļĒ āļāļ§āļēāļĄāļĨāļąāļāļāļāļāļāļđāđāļāļ·āđāļ āļāļąāļāļāļāđāļāđāļĨāđāļ§āļāļĢāļđāđāļŦāļĢāļ·āļāđāļāđāļĄāļēāđāļāļāļēāļĢāļĻāļķāļāļĐāļēāļāļāļĢāļĄāļāļąāđāļ āđāļāļāļĢāļ°āļāļēāļĢāļāļĩāđāļāđāļēāļāļ°āđāļāļīāļāļāļ§āļēāļĄāđāļŠāļĩāļĒāļŦāļēāļĒāđāļāđāļāļđāđāļŦāļāļķāđāļāļāļđāđāđāļāļāđāļāļāļĢāļ°āļ§āļēāļāđāļāļĐ āđāļāđāļāđāļāļĩāļĒāļ§āļāļąāļ
- 36. Cybersecurity & Data Protection
- 37. āđāļāļ§āļāļēāļāļāļēāļĢāļāļļāđāļĄāļāļĢāļāļ Privacy âĒ Informed consent âĒ Privacy culture âĒ User awareness building & education âĒ Organizational policy & regulations ⊠Enforcement ⊠Ongoing privacy & security assessments, monitoring, and protection
- 38. ⊠Attack ⊠An attempt to breach system security ⊠Threat ⊠A scenario that can harm a system ⊠Vulnerability ⊠The âholeâ that is used in the attack Common Security Terms
- 39. ⊠Identify some possible means an attacker could use to conduct a security attack Class Exercise
- 40. Alice Simplified Attack Scenarios Server Bob Eve/Mallory
- 41. Alice Simplified Attack Scenarios Server Bob - Physical access to client computer - Electronic access (password) - Tricking user into doing something (malware, phishing & social engineering) Eve/Mallory
- 42. Alice Simplified Attack Scenarios Server Bob - Intercepting (eavesdropping or âsniffingâ) data in transit - Modifying data (âMan-in-the-middleâ attacks) - âReplayâ attacks Eve/Mallory
- 43. Alice Simplified Attack Scenarios Server Bob - Unauthorized access to servers through - Physical means - User accounts & privileges - Attacks through software vulnerabilities - Attacks using protocol weaknesses - DoS / DDoS attacks Eve/Mallory
- 44. Alice Simplified Attack Scenarios Server Bob Other & newer forms of attacks possible Eve/Mallory
- 45. Alice Safeguarding Against Attacks Server Bob Administrative Security - Security & privacy policy - Governance of security risk management & response - Uniform enforcement of policy & monitoring - Disaster recovery planning (DRP) & Business continuity planning/management (BCP/BCM) - Legal obligations, requirements & disclaimers
- 46. Alice Safeguarding Against Attacks Server Bob Physical Security - Protecting physical access of clients & servers - Locks & chains, locked rooms, security cameras - Mobile device security - Secure storage & secure disposition of storage devices
- 47. Alice Safeguarding Against Attacks Server Bob User Security - User account management - Strong p/w policy (length, complexity, expiry, no meaning) - Principle of Least Privilege - âClear desk, clear screen policyâ - Audit trails - Education, awareness building & policy enforcement - Alerts & education about phishing & social engineering
- 48. Alice Safeguarding Against Attacks Server Bob System Security - Antivirus, antispyware, personal firewall, intrusion detection/prevention system (IDS/IPS), log files, monitoring - Updates, patches, fixes of operating system vulnerabilities & application vulnerabilities - Redundancy (avoid âSingle Point of Failureâ) - Honeypots
- 49. Alice Safeguarding Against Attacks Server Bob Software Security - Software (clients & servers) that is secure by design - Software testing against failures, bugs, invalid inputs, performance issues & attacks - Updates to patch vulnerabilities
- 50. Alice Safeguarding Against Attacks Server Bob Network Security - Access control (physical & electronic) to network devices - Use of secure network protocols if possible - Data encryption during transit if possible - Bandwidth monitoring & control
- 51. Alice Safeguarding Against Attacks Server Bob Database Security - Access control to databases & storage devices - Encryption of data stored in databases if necessary - Secure destruction of data after use - Access control to queries/reports - Security features of database management systems (DBMS)
- 52. Privacy Safeguards Image: http://www.nurseweek.com/news/images/privacy.jpg ⊠Security safeguards ⊠Informed consent ⊠Privacy culture ⊠User awareness building & education ⊠Organizational policy & regulations ⊠Enforcement ⊠Ongoing privacy & security assessments, monitoring, and protection
- 53. User Security
- 54. ⊠Access control ⊠Selective restriction of access to the system ⊠Role-based access control ⊠Access control based on the personâs role (rather than identity) ⊠Audit trails ⊠Logs/records that provide evidence of sequence of activities User Security
- 55. ⊠Identification ⊠Identifying who you are ⊠Usually done by user IDs or some other unique codes ⊠Authentication ⊠Confirming that you truly are who you identify ⊠Usually done by keys, PIN, passwords or biometrics ⊠Authorization ⊠Specifying/verifying how much you have access ⊠Determined based on system ownerâs policy & system configurations ⊠âPrinciple of Least Privilegeâ User Security
- 56. ⊠Nonrepudiation ⊠Proving integrity, origin, & performer of an activity without the personâs ability to refute his actions ⊠Most common form: signatures ⊠Electronic signatures offer varying degrees of nonrepudiation ⊠PIN/password vs. biometrics ⊠Digital certificates (in public key infrastructure - PKI) often used to ascertain nonrepudiation User Security
- 57. ⊠Multiple-Factor Authentication ⊠Two-Factor Authentication ⊠Use of multiple means (âfactorsâ) for authentication ⊠Types of Authentication Factors ⊠Something you know ⊠Password, PIN, etc. ⊠Something you have ⊠Keys, cards, tokens, devices (e.g. mobile phones) ⊠Something you are ⊠Biometrics User Security
- 58. Need for Strong Password Policy So, two informaticians walk into a bar... The bouncer says, "What's the password." One says, "Password?" The bouncer lets them in. Credits: @RossMartin & AMIA (2012)
- 59. Unknown Internet sources, via http://pikabu.ru/story/interesno_kakoy_zhe_u_nikh_parol_4274737, via Facebook page âāļŠāļāļāđāļŪāļāđāļ§āđāļāđāļāļāđāļĄāļ§āđâ Whatâs the Password?
- 60. Written Password
- 61. Recommended Password Policy ⊠Length ⊠8 characters or more (to slow down brute-force attacks) ⊠Complexity (to slow down brute-force attacks) ⊠Consists of 3 of 4 categories of characters ⊠Uppercase letters ⊠Lowercase letters ⊠Numbers ⊠Symbols (except symbols that have special uses by the system or that can be used to hack system, e.g. SQL Injection) ⊠No meaning (âDictionary Attacksâ) ⊠Not simple patterns (12345678, 11111111) (to slow down brute- force attacks & prevent dictionary attacks) ⊠Not easy to guess (birthday, family names, etc.) (to prevent unknown & known persons from guessing)Personal opinion. No legal responsibility assumed.
- 62. Recommended Password Policy ⊠Expiration (to make brute-force attacks not possible) ⊠6-8 months ⊠Decreasing over time because of increasing computerâs speed ⊠But be careful! Too short duration will force users to write passwords down ⊠Secure password storage in database or system (encrypted or store only password hashes) ⊠Secure password confirmation ⊠Secure âforget passwordâ policy ⊠Different password for each account. Create variations to help remember. If not possible, have different sets of accounts for differing security needs (e.g., bank accounts vs. social media sites) Personal opinion. No legal responsibility assumed.
- 63. Techniques to Remember Passwords ⊠http://www.wikihow.com/Create-a-Password-You-Can- Remember ⊠Note that some of the techniques are less secure! ⊠One easy & secure way: password mnemonic ⊠Think of a full sentence that you can remember ⊠Ideally the sentence should have 8 or more words, with numbers and symbols ⊠Use first character of each word as password ⊠Sentence: I love reading all 7 Harry Potter books! ⊠Password: Ilra7HPb! ⊠Voila! Personal opinion. No legal responsibility assumed.
- 64. Dear mail.mahidol.ac.th Email Account User, We wrote to you on 11th January 2010 advising that you change the password on your account in order to prevent any unauthorised account access following the network instruction we previously communicated. all Mailhub systems will undergo regularly scheduled maintenance. Access to your e-mail via the Webmail client will be unavailable for some time during this maintenance period. We are currently upgrading our data base and e-mail account center i.e homepage view. We shall be deleting old [https://mail.mahidol.ac.th/l accounts which are no longer active to create more space for new accountsusers. we have also investigated a system wide security audit to improve and enhance our current security. In order to continue using our services you are require to update and re-comfirmed your email account details as requested below. To complete your account re-comfirmation,you must reply to this email immediately and enter your account details as requested below. Username : Password : Date of Birth: Future Password : Social Engineering Examples Real social-engineering e-mail received by Speaker
- 65. Phishing Real phishing e-mail received by Speaker
- 66. ⊠Poor grammar ⊠Lots of typos ⊠Trying very hard to convince you to open attachment, click on link, or reply without enough detail ⊠May appear to be from known person (rely on trust & innocence) Signs of a Phishing Attack
- 67. ⊠Donât be too trusting of people ⊠Always be suspicious & alert ⊠An e-mail with your friendâs name & info doesnât have to come from him/her ⊠Look for signs of phishing attacks ⊠Donât open attachments unless you expect them ⊠Scan for viruses before opening attachments ⊠Donât click links in e-mail. Directly type in browser using known & trusted URLs ⊠Especially cautioned if ask for passwords, bank accounts, credit card numbers, social security numbers, etc. Ways to Protect against Phishing
- 68. Malware
- 69. ⊠Malicious software - Any code with intentional, undesirable side effects ⊠Virus ⊠Worm ⊠Trojan ⊠Spyware ⊠Logic Bomb/Time Bomb ⊠Backdoor/Trapdoor ⊠Rootkit ⊠Botnet Malware
- 70. ⊠Virus ⊠Propagating malware that requires user action to propagate ⊠Infects executable files, data files with executable contents (e.g. Macro), boot sectors ⊠Worm ⊠Self-propagating malware ⊠Trojan ⊠A legitimate program with additional, hidden functionality Malware
- 71. ⊠Spyware ⊠Trojan that spies for & steals personal information ⊠Logic Bomb/Time Bomb ⊠Malware that triggers under certain conditions ⊠Backdoor/Trapdoor ⊠A hole left behind by malware for future access Malware
- 72. ⊠Rogue Antispyware ⊠Software that tricks or forces users to pay before fixing (real or hoax) spyware detected ⊠Rootkit ⊠A stealth program designed to hide existence of certain processes or programs from detection ⊠Botnet ⊠A collection of Internet-connected computers that have been compromised (bots) which controller of the botnet can use to do something (e.g. do DDoS attacks) Malware
- 73. Ransomware āļĢāļ°āļāļēāļāđāļ Healthcare Top: http://www.healthcareitnews.com/news/more-half-hospitals-hit-ransomware-last-12-months Bottom: http://www.mirror.co.uk/news/uk-news/ransomware-nhs-cyber-attack-live-10409420
- 75. WannaCry Alerts
- 76. WannaCry Alerts
- 77. WannaCry Alerts
- 80. WannaCry Prevention for Admins https://www.thaicert.or.th/downloads/files/info_WannaCry-Admin.png
- 87. ⊠Installed & updated antivirus, antispyware, & personal firewall ⊠Check for known signatures ⊠Check for improper file changes (integrity failures) ⊠Check for generic patterns of malware (for unknown malware): âHeuristics scanâ ⊠Firewall: Block certain network traffic in and out ⊠Sandboxing ⊠Network monitoring & containment ⊠User education ⊠Software patches, more secure protocols Defense Against Malware
- 88. ⊠Social media spams/scams/clickjacking ⊠Social media privacy issues ⊠User privacy settings ⊠Location services ⊠Mobile device malware & other privacy risks ⊠Stuxnet (advanced malware targeting certain countries) ⊠Advanced persistent threats (APT) by governments & corporations against specific targets Newer Threats
- 89. ⊠Most common reason for security bugs is invalid programming assumptions that attackers will look for ⊠Weak input checking ⊠Buffer overflow ⊠Integer overflow ⊠Race condition (Time of Check / Time of Use vulnerabilities) ⊠Running programs in new environments Software Security Adapted from Nicholas Hopperâs teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271
- 90. ⊠Defense in Depth ⊠Multiple layers of security defense are placed throughout a system to provide redundancy in the event a security control fails ⊠Secure the weakest link ⊠Promote privacy ⊠Trust no one Secure Software Design Principles Saltzer & Schroeder (1975), Viega & McGraw (2000) Adapted from Nicholas Hopperâs teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271 http://en.wikipedia.org/wiki/Defense_in_depth_(computing)
- 91. ⊠Modular design ⊠Check error conditions on return values ⊠Validate inputs (whitelist vs. blacklist) ⊠Avoid infinite loops, memory leaks ⊠Check for integer overflows ⊠Language/library choices ⊠Development processes Secure Software Best Practices Adapted from Nicholas Hopperâs teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271
- 92. Security in Thailandâs ICT Laws
- 93. âĒ āļāļĢāļ.āļ§āđāļēāļāđāļ§āļĒāļāļēāļĢāļāļĢāļ°āļāļēāļāļ§āļēāļĄāļāļīāļāđāļāļĩāđāļĒāļ§āļāļąāļāļāļāļĄāļāļīāļ§āđāļāļāļĢāđ āļ.āļĻ. 2550 â āļāļēāļŦāļāļāļāļēāļĢāļāļĢāļ°āļāļēāļāļĩāđāļāļ·āļāđāļāđāļāļāļ§āļēāļĄāļāļīāļ āđāļĨāļ°āļŦāļāđāļēāļāļĩāđāļāļāļāļāļđāđāđāļŦāđāļāļĢāļīāļāļēāļĢ âĒ āļāļĢāļ.āļ§āđāļēāļāđāļ§āļĒāļāļļāļĢāļāļĢāļĢāļĄāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ āļ.āļĻ. 2544 âĒ āļāļĢāļ.āļ§āđāļēāļāđāļ§āļĒāļāļļāļĢāļāļĢāļĢāļĄāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ (āļāļāļąāļāļāļĩāđ 2) āļ.āļĻ. 2551 â āļĢāļāļāļĢāļąāļāļŠāļāļēāļāļ°āļāļēāļāļāļāļŦāļĄāļēāļĒāļāļāļāļāđāļāļĄāļđāļĨāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ â āļĢāļąāļāļĢāļāļāļ§āļīāļāļĩāļāļēāļĢāļŠāđāļāđāļĨāļ°āļĢāļąāļāļāđāļāļĄāļđāļĨāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ āļāļēāļĢāđāļāđāļĨāļēāļĒāļĄāļ·āļāļāļ·āđāļ āļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ (electronic signature) āđāļĨāļ°āļāļēāļĢāļĢāļąāļāļāļąāļāļāļĒāļēāļāļŦāļĨāļąāļāļāļēāļāļāļĩāđ āđāļāđāļāļāđāļāļĄāļđāļĨāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ āđāļāļ·āđāļāļŠāđāļāđāļŠāļĢāļīāļĄāļāļēāļĢāļāļē e-transactions āđāļŦāđāļāđāļēāđāļāļ·āđāļāļāļ·āļ â āļāļēāļŦāļāļāđāļŦāđāļĄāļĩāļāļāļ°āļāļĢāļĢāļĄāļāļēāļĢāļāļļāļĢāļāļĢāļĢāļĄāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ āđāļĨāļ°āļāļēāļāļēāļāļŦāļāđāļēāļāļĩāđ āļāļāļŦāļĄāļēāļĒāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļāđāļāļĒ
- 94. âĒ āļŦāđāļēāļĄāļĄāļīāđāļŦāđāļāļāļīāđāļŠāļāļāļ§āļēāļĄāļĄāļĩāļāļĨāļāļđāļāļāļąāļāđāļĨāļ°āļāļēāļĢāļāļąāļāļāļąāļāđāļāđāļāļēāļāļāļāļŦāļĄāļēāļĒāļāļāļ āļāđāļāļāļ§āļēāļĄāđāļ āđāļāļĩāļĒāļāđāļāļĢāļēāļ°āđāļŦāļāļļāļāļĩāđāļāđāļāļāļ§āļēāļĄāļāļąāđāļāļāļĒāļđāđāđāļāļĢāļđāļāļāļāļāļāđāļāļĄāļđāļĨ āļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ (āļĄāļēāļāļĢāļē 7) âĒ āđāļŦāđāļāļ·āļāļ§āđāļēāļāđāļāļĄāļđāļĨāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ āļĄāļĩāļāļēāļĢāļĨāļāļĨāļēāļĒāļĄāļ·āļāļāļ·āđāļāđāļĨāđāļ§ āļāđāļē (1) āđāļāđ āļ§āļīāļāļĩāļāļēāļĢāļāļĩāđāļĢāļ°āļāļļāļāļąāļ§āđāļāđāļēāļāļāļāļĨāļēāļĒāļĄāļ·āļāļāļ·āđāļ āđāļĨāļ° (2) āđāļāđāļāļ§āļīāļāļĩāļāļēāļĢāļāļĩāđāđāļāļ·āđāļāļāļ·āļāđāļāđ (āļĄāļēāļāļĢāļē 9) âĒ āļāļļāļĢāļāļĢāļĢāļĄāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđāļāļĩāđāđāļāđāļāļĢāļ°āļāļēāļāļēāļĄāļ§āļīāļāļĩāļāļēāļĢāđāļāļāļāļĨāļāļāļ āļąāļĒāļāļĩāđ āļāļēāļŦāļāļāđāļ āļāļĢāļ. āđāļŦāđāļŠāļąāļāļāļīāļĐāļāļēāļāļ§āđāļēāđāļāđāļāļ§āļīāļāļĩāļāļēāļĢāļāļĩāđāđāļāļ·āđāļāļāļ·āļāđāļāđ (āļĄāļēāļāļĢāļē 25) âĒ āļāļēāļāļ āļāļēāļĢāļāļāļļāļāļēāļ āļāļēāļĢāļāļāļāļ°āđāļāļĩāļĒāļ āļāļēāļŠāļąāđāļāļāļēāļāļāļāļāļĢāļāļ āļāļēāļĢāļāļēāļĢāļ°āđāļāļīāļ āļāļēāļĢāļāļĢāļ°āļāļēāļĻ āļŦāļĢāļ·āļāļāļēāļĢāļāļēāđāļāļīāļāļāļēāļĢāđāļāđ āļāļēāļĄāļāļāļŦāļĄāļēāļĒāļāļąāļāļŦāļāđāļ§āļĒāļāļēāļāļāļāļ āļĢāļąāļāļŦāļĢāļ·āļāđāļāļĒāļŦāļāđāļ§āļĒāļāļēāļāļāļāļāļĢāļąāļ āļāđāļēāđāļāđāļāļĢāļ°āļāļēāđāļāļĢāļđāļāļāļāļāļāđāļāļĄāļđāļĨ āļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđāļāļēāļĄāļŦāļĨāļąāļāđāļāļāļāđāđāļĨāļ°āļ§āļīāļāļĩāļāļēāļĢāļāļĩāđāļāļēāļŦāļāļāđāļāļĒ āļāļĢāļ. âĒ āđāļŦāđāļāļ·āļāļ§āđāļēāļĄāļĩāļāļĨāđāļāļĒāļāļāļāļāđāļ§āļĒāļāļāļŦāļĄāļēāļĒ (āļĄāļēāļāļĢāļē 35) āļāļĨāļāļēāļāļāļāļŦāļĄāļēāļĒāļāļāļ āļāļĢāļ.āļāļļāļĢāļāļĢāļĢāļĄāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ
- 95. âĒ āļāļĢāļ.āļāļēāļŦāļāļāļāļĢāļ°āđāļ āļāļāļļāļĢāļāļĢāļĢāļĄāđāļāļāļēāļāđāļāđāļāđāļĨāļ°āļāļēāļāļīāļāļĒāđāļāļĩāđāļĒāļāđāļ§āđāļāļĄāļīāļŦāļāļē āļāļāļŦāļĄāļēāļĒāļ§āđāļēāļāđāļ§āļĒāļāļļāļĢāļāļĢāļĢāļĄāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđāļĄāļēāđāļāđāļāļąāļāļāļąāļ āļ.āļĻ. 2549 âĒ āļāļĢāļ°āļāļēāļĻāļāļāļ°āļāļĢāļĢāļĄāļāļēāļĢāļāļļāļĢāļāļĢāļĢāļĄāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ â āđāļĢāļ·āđāļāļ āļāļēāļĢāļĢāļąāļāļĢāļāļāļŠāļīāđāļāļāļīāļĄāļāđāļāļāļ āļ.āļĻ. 2555 âĒ āļāļēāļŦāļāļāļŦāļĨāļąāļāđāļāļāļāđāđāļĨāļ°āļ§āļīāļāļĩāļāļēāļĢāļĢāļąāļāļĢāļāļāļŠāļīāđāļāļāļīāļĄāļāđāļāļāļ (Print-Out) āļāļāļāļāđāļāļĄāļđāļĨ āļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ āđāļāļ·āđāļāđāļŦāđāļŠāļēāļĄāļēāļĢāļāđāļāđāļāđāļēāļāļāļīāļāđāļāļāļāđāļāļĄāļđāļĨāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ āđāļĨāļ°āļĄāļĩāļāļĨāđāļāđāđāļāļ āļāđāļāļāļāļąāļāđāļāđ â āđāļĢāļ·āđāļāļ āļŦāļĨāļąāļāđāļāļāļāđāđāļĨāļ°āļ§āļīāļāļĩāļāļēāļĢāđāļāļāļēāļĢāļāļąāļāļāļēāļŦāļĢāļ·āļāđāļāļĨāļāđāļāļāļŠāļēāļĢāđāļĨāļ°āļāđāļāļāļ§āļēāļĄāđāļŦāđ āļāļĒāļđāđāđāļāļĢāļđāļāļāļāļāļāđāļāļĄāļđāļĨāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ āļ.āļĻ. 2553 âĒ āļāļēāļŦāļāļāļŦāļĨāļąāļāđāļāļāļāđāđāļĨāļ°āļ§āļīāļāļĩāļāļēāļĢāđāļāļāļēāļĢāļāļąāļāļāļēāļŦāļĢāļ·āļāđāļāļĨāļāđāļāļāļŠāļēāļĢāđāļĨāļ°āļāđāļāļāļ§āļēāļĄāļāļĩāđāđāļāđāļĄāļĩ āļāļēāļĢāļāļąāļāļāļēāļŦāļĢāļ·āļāđāļāļĨāļāđāļŦāđāļāļĒāļđāđāđāļāļĢāļđāļāļāļāļāļāđāļāļĄāļđāļĨāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđāđāļāļ āļēāļĒāļŦāļĨāļąāļ â āđāļĢāļ·āđāļāļ āđāļāļ§āļāļēāļāļāļēāļĢāļāļąāļāļāļēāđāļāļ§āļāđāļĒāļāļēāļĒ (Certificate Policy) āđāļĨāļ°āđāļāļ§ āļāļāļīāļāļąāļāļī (Certification Practice Statement) āļāļāļāļāļđāđāđāļŦāđāļāļĢāļīāļāļēāļĢāļāļāļ āđāļāļĢāļąāļāļĢāļāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ (Certificate Authority) āļ.āļĻ. 2552 âĒ āļ§āđāļēāļāđāļ§āļĒāļāļēāļĢāđāļŦāđāļāļĢāļīāļāļēāļĢāļāļāļāđāļāļĢāļąāļāļĢāļāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ (Certificate) āļāļāļŦāļĄāļēāļĒāļĨāļēāļāļąāļāļĢāļāļāļāļāļ āļāļĢāļ.āļāļļāļĢāļāļĢāļĢāļĄāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ
- 96. âĒ āļāļĢāļ.āļāļēāļŦāļāļāļŦāļĨāļąāļāđāļāļāļāđāđāļĨāļ°āļ§āļīāļāļĩāļāļēāļĢāđāļāļāļēāļĢāļāļēāļāļļāļĢāļāļĢāļĢāļĄāļāļēāļ āļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđāļ āļēāļāļĢāļąāļ āļ.āļĻ. 2549 â āļāļĢāļ°āļāļēāļĻ āđāļĢāļ·āđāļāļ āđāļāļ§āļāđāļĒāļāļēāļĒāđāļĨāļ°āđāļāļ§āļāļāļīāļāļąāļāļīāđāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļ āļāļĨāļāļāļ āļąāļĒāļāđāļēāļāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļāļŦāļāđāļ§āļĒāļāļēāļāļāļāļāļĢāļąāļ āļ.āļĻ. 2553 âĒ āļāļēāļŦāļāļāļĄāļēāļāļĢāļāļēāļ Security Policy āļāļāļāļŦāļāđāļ§āļĒāļāļēāļāļāļāļāļĢāļąāļāļāļĩāđāļĄāļĩāļāļēāļĢāļāļēāļāļļāļĢāļāļĢāļĢāļĄāļāļēāļ āļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđāļ āļēāļāļĢāļąāļ â āļāļĢāļ°āļāļēāļĻ āđāļĢāļ·āđāļāļ āđāļāļ§āļāđāļĒāļāļēāļĒāđāļĨāļ°āđāļāļ§āļāļāļīāļāļąāļāļīāđāļāļāļēāļĢāļāļļāđāļĄāļāļĢāļāļāļāđāļāļĄāļđāļĨāļŠāđāļ§āļ āļāļļāļāļāļĨāļāļāļāļŦāļāđāļ§āļĒāļāļēāļāļāļāļāļĢāļąāļ āļ.āļĻ. 2553 âĒ āļāļēāļŦāļāļāļĄāļēāļāļĢāļāļēāļ Privacy Policy āļāļāļāļŦāļāđāļ§āļĒāļāļēāļāļāļāļāļĢāļąāļāļāļĩāđāļĄāļĩāļāļēāļĢāļāļēāļāļļāļĢāļāļĢāļĢāļĄāļāļēāļ āļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđāļ āļēāļāļĢāļąāļ āļāļāļŦāļĄāļēāļĒāļĨāļēāļāļąāļāļĢāļāļāļāļāļ āļāļĢāļ.āļāļļāļĢāļāļĢāļĢāļĄāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ
- 97. âĒ āļāļĢāļ.āļ§āđāļēāļāđāļ§āļĒāļāļēāļĢāļāļ§āļāļāļļāļĄāļāļđāđāļĨāļāļļāļĢāļāļīāļāļāļĢāļīāļāļēāļĢāļāļēāļĢāļāļēāļĢāļ°āđāļāļīāļāļāļēāļ āļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ āļ.āļĻ. 2551 âĒ āļāļĢāļ°āļāļēāļĻ āđāļĢāļ·āđāļāļ āļŦāļĨāļąāļāđāļāļāļāđāļāļēāļĢāļāļīāļāļēāļĢāļāļēāļĨāļāđāļāļĐāļāļĢāļąāļāļāļēāļāļāļāļāļĢāļāļ āļŠāļēāļŦāļĢāļąāļāļāļđāđāļāļĢāļ°āļāļāļāļāļļāļĢāļāļīāļāđāļŦāđāļāļĢāļīāļāļēāļĢāļāļēāļĢāļāļēāļĢāļ°āđāļāļīāļāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ āļ.āļĻ. 2554 âĒ āļāļĢāļ°āļāļēāļĻ āđāļĢāļ·āđāļāļ āļŦāļĨāļąāļāđāļāļāļāđ āļ§āļīāļāļĩāļāļēāļĢ āđāļĨāļ°āđāļāļ·āđāļāļāđāļāđāļāļāļēāļĢāļāļĢāļ°āļāļāļāļāļļāļĢāļāļīāļ āļāļĢāļīāļāļēāļĢāļāļēāļĢāļāļēāļĢāļ°āđāļāļīāļāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ āļ.āļĻ. 2552 âĒ āļāļĢāļ°āļāļēāļĻ āļāļāļ. āļāļĩāđāđāļāļĩāđāļĒāļ§āļāđāļāļ āļāļāļŦāļĄāļēāļĒāļĨāļēāļāļąāļāļĢāļāļāļāļāļ āļāļĢāļ.āļāļļāļĢāļāļĢāļĢāļĄāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ
- 98. âĒ āļāļĢāļ.āļ§āđāļēāļāđāļ§āļĒāļ§āļīāļāļĩāļāļēāļĢāđāļāļāļāļĨāļāļāļ āļąāļĒāđāļāļāļēāļĢāļāļēāļāļļāļĢāļāļĢāļĢāļĄāļāļēāļ āļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ āļ.āļĻ. 2553 â āļāļĢāļ°āļāļēāļĻ āđāļĢāļ·āđāļāļ āļāļĢāļ°āđāļ āļāļāļāļāļāļļāļĢāļāļĢāļĢāļĄāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ āđāļĨāļ°āļŦāļĨāļąāļāđāļāļāļāđāļāļēāļĢ āļāļĢāļ°āđāļĄāļīāļāļĢāļ°āļāļąāļāļāļĨāļāļĢāļ°āļāļāļāļāļāļāļļāļĢāļāļĢāļĢāļĄāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđāļāļēāļĄāļ§āļīāļāļĩāļāļēāļĢāđāļāļ āļāļĨāļāļāļ āļąāļĒ āļ.āļĻ. 2555 âĒ āļŦāļĨāļąāļāđāļāļāļāđāļāļēāļĢāļāļĢāļ°āđāļĄāļīāļāđāļāļ·āđāļāļāļēāļŦāļāļāļĢāļ°āļāļąāļāļ§āļīāļāļĩāļāļēāļĢāđāļāļāļāļĨāļāļāļ āļąāļĒāļāļąāđāļāļāđāļē â āļāļĢāļ°āļāļēāļĻ āđāļĢāļ·āđāļāļ āļĄāļēāļāļĢāļāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļāļāļĢāļ°āļāļ āļŠāļēāļĢāļŠāļāđāļāļĻāļāļēāļĄāļ§āļīāļāļĩāļāļēāļĢāđāļāļāļāļĨāļāļāļ āļąāļĒ āļ.āļĻ. 2555 âĒ āļāļēāļŦāļāļāļĄāļēāļāļĢāļāļēāļāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļēāļĄāļ§āļīāļāļĩāļāļēāļĢāđāļāļāļāļĨāļāļāļ āļąāļĒāđāļāđāļĨāļ°āļĢāļ°āļāļąāļ āļāļāļŦāļĄāļēāļĒāļĨāļēāļāļąāļāļĢāļāļāļāļāļ āļāļĢāļ.āļāļļāļĢāļāļĢāļĢāļĄāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ
- 99. āļŠāļĢāļļāļāļāļ§āļēāļĄāđāļāļ·āđāļāļĄāđāļĒāļāļāļāļāļāļāļŦāļĄāļēāļĒ āļāļĢāļ.āļāļļāļĢāļāļĢāļĢāļĄāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ âĒ āļāļĢāļ.āļ§āđāļēāļāđāļ§āļĒāļāļļāļĢāļāļĢāļĢāļĄāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ âĒ āļāļĢāļ.āļ§āđāļēāļāđāļ§āļĒāļ§āļīāļāļĩāļāļēāļĢāđāļāļāļāļĨāļāļāļ āļąāļĒāđāļāļāļēāļĢāļāļē āļāļļāļĢāļāļĢāļĢāļĄāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ (+ āļāļĢāļ°āļāļēāļĻ 2 āļāļāļąāļ) āļāļĢāļ°āļāļēāļĻ āđāļĢāļ·āđāļāļ āļŦāļĨāļąāļāđāļāļāļāđāđāļĨāļ°āļ§āļīāļāļĩāļāļēāļĢāđāļāļāļēāļĢ āļāļąāļāļāļēāļŦāļĢāļ·āļāđāļāļĨāļāđāļāļāļŠāļēāļĢāđāļĨāļ°āļāđāļāļāļ§āļēāļĄāđāļŦāđāļāļĒāļđāđ āđāļāļĢāļđāļāļāļāļāļāđāļāļĄāļđāļĨāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ āļŦāļāđāļ§āļĒāļāļēāļāļāļāļāļĢāļąāļ âĒ āļāļĢāļ.āļāļēāļŦāļāļāļŦāļĨāļąāļāđāļāļāļāđāđāļĨāļ°āļ§āļīāļāļĩāļāļēāļĢāđāļāļāļēāļĢāļāļēāļāļļāļĢāļāļĢāļĢāļĄ āļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđāļ āļēāļāļĢāļąāļ âĒ āļāļĢāļ°āļāļēāļĻ āđāļĢāļ·āđāļāļ āđāļāļ§āļāđāļĒāļāļēāļĒāđāļĨāļ°āđāļāļ§āļāļāļīāļāļąāļāļīāđāļāļāļēāļĢ āļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāđāļēāļāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļ āļŦāļāđāļ§āļĒāļāļēāļāļāļāļāļĢāļąāļ âĒ āļāļĢāļ°āļāļēāļĻ āđāļĢāļ·āđāļāļ āđāļāļ§āļāđāļĒāļāļēāļĒāđāļĨāļ°āđāļāļ§āļāļāļīāļāļąāļāļīāđāļāļāļēāļĢ āļāļļāđāļĄāļāļĢāļāļāļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨāļāļāļāļŦāļāđāļ§āļĒāļāļēāļāļāļāļāļĢāļąāļ
- 100. âĒ āļāļāļ°āļāļĢāļĢāļĄāļāļēāļĢāļāļļāļĢāļāļĢāļĢāļĄāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ âĒ āļŠāļēāļāļąāļāļāļēāļāļāļāļ°āļāļĢāļĢāļĄāļāļēāļĢāļāļļāļĢāļāļĢāļĢāļĄāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ āļŠāļēāļāļąāļāļāļēāļ āļāļĨāļąāļāļāļĢāļ°āļāļĢāļ§āļ āļāļĢāļ°āļāļĢāļ§āļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢ âĒ āļŠāļēāļāļąāļāļāļēāļāļāļąāļāļāļēāļāļļāļĢāļāļĢāļĢāļĄāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ (āļāļāļāđāļāļēāļĢāļĄāļŦāļēāļāļ) āļŦāļĢāļ·āļ āļŠāļāļāļ. â Electronic Transactions Development Agency (Public Organization) - ETDA āļŦāļāđāļ§āļĒāļāļēāļāļāļĩāđāđāļāļĩāđāļĒāļ§āļāđāļāļāļāļąāļ āļāļĢāļ.āļāļļāļĢāļāļĢāļĢāļĄāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ
- 101. âĒ āļĄāļēāļāļĢāļē 25 āļāļāļ āļāļĢāļ.āļ§āđāļēāļāđāļ§āļĒāļāļļāļĢāļāļĢāļĢāļĄāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ â âāļāļļāļĢāļāļĢāļĢāļĄāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđāđāļāļāļĩāđāđāļāđāļāļĢāļ°āļāļēāļāļēāļĄāļ§āļīāļāļĩāļāļēāļĢāđāļāļāļāļĨāļāļāļ āļąāļĒāļāļĩāđ āļāļēāļŦāļāļāđāļāļāļĢāļ°āļĢāļēāļāļāļĪāļĐāļāļĩāļāļē āđāļŦāđāļŠāļąāļāļāļīāļĐāļāļēāļāļ§āđāļēāđāļāđāļāļ§āļīāļāļĩāļāļēāļĢāļāļĩāđāđāļāļ·āđāļāļāļ·āļāđāļāđ âĒ āļāļĢāļ.āļ§āđāļēāļāđāļ§āļĒāļ§āļīāļāļĩāļāļēāļĢāđāļāļāļāļĨāļāļāļ āļąāļĒāđāļāļāļēāļĢāļāļēāļāļļāļĢāļāļĢāļĢāļĄāļāļēāļ āļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ āļ.āļĻ. 2553 â āļ§āļīāļāļĩāļāļēāļĢāđāļāļāļāļĨāļāļāļ āļąāļĒ āļĄāļĩ 3 āļĢāļ°āļāļąāļ (āļāļ·āđāļāļāļēāļ, āļāļĨāļēāļ, āđāļāļĢāđāļāļāļĢāļąāļ) â āļāļēāđāļāļāļāļēāļĄāļāļĢāļ°āđāļ āļāļāļāļāļāļļāļĢāļāļĢāļĢāļĄāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ (āļāļļāļĢāļāļĢāļĢāļĄāļāļĩāđāļĄāļĩāļāļĨāļāļĢāļ°āļāļ āļāđāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļŦāļĢāļ·āļāļāļ§āļēāļĄāļŠāļāļāđāļĢāļĩāļĒāļāļĢāđāļāļĒāļāļāļāļāļĢāļ°āđāļāļĻ āļŦāļĢāļ·āļāļāđāļāļŠāļēāļāļēāļĢāļāļāļ) āļŦāļĢāļ·āļāļāļēāđāļāļāļāļēāļĄāļŦāļāđāļ§āļĒāļāļēāļ (āļāļļāļĢāļāļĢāļĢāļĄāļāļāļāļŦāļāđāļ§āļĒāļāļēāļāļŦāļĢāļ·āļāļāļāļāđāļāļĢāļāļĩāđāļāļ·āļāđāļāđāļ āđāļāļĢāļāļŠāļĢāđāļēāļāļāļ·āđāļāļāļēāļāļŠāļēāļāļąāļāļāļāļāļāļĢāļ°āđāļāļĻ āļŦāļĢāļ·āļ Critical Infrastructure) âāļ§āļīāļāļĩāļāļēāļĢāđāļāļāļāļĨāļāļāļ āļąāļĒâ
- 102. āļāļļāļĢāļāļĢāļĢāļĄāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ āļāļĢāļ°āđāļ āļāļāđāļāđāļāļāļĩāđ âĒ āļāđāļēāļāļāļēāļĢāļāļēāļĢāļ°āđāļāļīāļāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ âĒ āļāđāļēāļāļāļēāļĢāđāļāļīāļāļāļāļāļāļāļēāļāļēāļĢāļāļēāļāļīāļāļĒāđ âĒ āļāđāļēāļāļāļĢāļ°āļāļąāļāļ āļąāļĒ âĒ āļāđāļēāļāļŦāļĨāļąāļāļāļĢāļąāļāļĒāđāļāļāļāļāļđāđāļāļĢāļ°āļāļāļāļāļļāļĢāļāļīāļāļŦāļĨāļąāļāļāļĢāļąāļāļĒāđ âĒ āļāļļāļĢāļāļĢāļĢāļĄāļāļĩāđāļāļąāļāđāļāđāļ āļĢāļ§āļāļĢāļ§āļĄ āđāļĨāļ°āđāļŦāđāļāļĢāļīāļāļēāļĢāļāđāļāļĄāļđāļĨāļāļāļāļāļļāļāļāļĨāļŦāļĢāļ·āļ āļāļĢāļąāļāļĒāđāļŠāļīāļāļŦāļĢāļ·āļāļāļ°āđāļāļĩāļĒāļāļāđāļēāļāđ āļāļĩāđāđāļāđāļāđāļāļāļŠāļēāļĢāļĄāļŦāļēāļāļāļŦāļĢāļ·āļāļāļĩāđāđāļāđāļāļāđāļāļĄāļđāļĨ āļŠāļēāļāļēāļĢāļāļ° âĒ āļāļļāļĢāļāļĢāļĢāļĄāđāļāļāļēāļĢāđāļŦāđāļāļĢāļīāļāļēāļĢāļāđāļēāļāļŠāļēāļāļēāļĢāļāļđāļāđāļ āļāđāļĨāļ°āļāļĢāļīāļāļēāļĢāļŠāļēāļāļēāļĢāļāļ°āļāļĩāđ āļāđāļāļāļāļēāđāļāļīāļāļāļēāļĢāļāļĒāđāļēāļāļāđāļāđāļāļ·āđāļāļāļāļĨāļāļāđāļ§āļĨāļē āļ§āļīāļāļĩāļāļēāļĢāđāļāļāļāļĨāļāļāļ āļąāļĒāđāļāļĢāļ°āļāļąāļāđāļāļĢāđāļāļāļĢāļąāļ
- 103. āđāļŦāđāļŦāļāđāļ§āļĒāļāļēāļāļĒāļķāļāļāļ·āļāļŦāļĨāļąāļāļāļēāļĢāļāļĢāļ°āđāļĄāļīāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļāļāļĢāļ°āļāļāđāļāļāđāļāđāļĨāļĒāļĩ āļŠāļēāļĢāļŠāļāđāļāļĻāļāļķāđāļāđāļāđāļāļāļĩāđāļĒāļāļĄāļĢāļąāļāđāļāđāļāļāļēāļĢāļāļąāđāļ§āđāļ āđāļāđāļāđāļāļ§āļāļēāļāđāļāļāļēāļĢāļāļĢāļ°āđāļĄāļīāļ āļĢāļ°āļāļąāļāļāļĨāļāļĢāļ°āļāļ āļāļķāđāļāļāđāļāļāļāļĢāļ°āđāļĄāļīāļāļāļĨāļāļĢāļ°āļāļāđāļāļāđāļēāļāļāđāļāđāļāļāļĩāđāļāđāļ§āļĒ (āļāļĨāļāļĢāļ°āļāļāļāļēāļ Worst Case Scenario āđāļ 1 āļ§āļąāļ) âĒ āļāļĨāļāļĢāļ°āļāļāļāđāļēāļāļĄāļđāļĨāļāđāļēāļāļ§āļēāļĄāđāļŠāļĩāļĒāļŦāļēāļĒāļāļēāļāļāļēāļĢāđāļāļīāļ â āļāđāļē: âĪ 1 āļĨāđāļēāļāļāļēāļ â āļāļēāļāļāļĨāļēāļ: 1 āļĨāđāļēāļāļāļēāļ < āļĄāļđāļĨāļāđāļē âĪ 100 āļĨāđāļēāļāļāļēāļ â āļŠāļđāļ: > 100 āļĨāđāļēāļāļāļēāļ āļĢāļ°āļāļąāļāļāļĨāļāļĢāļ°āļāļāļāļąāļāļ§āļīāļāļĩāļāļēāļĢāđāļāļāļāļĨāļāļāļ āļąāļĒ
- 104. āđāļŦāđāļŦāļāđāļ§āļĒāļāļēāļāļĒāļķāļāļāļ·āļāļŦāļĨāļąāļāļāļēāļĢāļāļĢāļ°āđāļĄāļīāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļāļāļĢāļ°āļāļāđāļāļāđāļāđāļĨāļĒāļĩ āļŠāļēāļĢāļŠāļāđāļāļĻāļāļķāđāļāđāļāđāļāļāļĩāđāļĒāļāļĄāļĢāļąāļāđāļāđāļāļāļēāļĢāļāļąāđāļ§āđāļ āđāļāđāļāđāļāļ§āļāļēāļāđāļāļāļēāļĢāļāļĢāļ°āđāļĄāļīāļāļĢāļ°āļāļąāļ āļāļĨāļāļĢāļ°āļāļ āļāļķāđāļāļāđāļāļāļāļĢāļ°āđāļĄāļīāļāļāļĨāļāļĢāļ°āļāļāđāļāļāđāļēāļāļāđāļāđāļāļāļĩāđāļāđāļ§āļĒ (āļāļĨāļāļĢāļ°āļāļāļāļēāļ Worst Case Scenario āđāļ 1 āļ§āļąāļ) âĒ āļāļĨāļāļĢāļ°āļāļāļāđāļāļāļēāļāļ§āļāļāļđāđāđāļāđāļāļĢāļīāļāļēāļĢāļŦāļĢāļ·āļāļāļđāđāļĄāļĩāļŠāđāļ§āļāđāļāđāđāļŠāļĩāļĒāļāļĩāđāļāļēāļāđāļāđāļĢāļąāļāļāļąāļāļāļĢāļēāļĒāļāđāļ āļāļĩāļ§āļīāļ āļĢāđāļēāļāļāļēāļĒ āļŦāļĢāļ·āļāļāļāļēāļĄāļąāļĒ â āļāđāļē: āđāļĄāđāļĄāļĩ â āļāļēāļāļāļĨāļēāļ: āļāļĨāļāļĢāļ°āļāļāļāđāļāļĢāđāļēāļāļāļēāļĒāļŦāļĢāļ·āļāļāļāļēāļĄāļąāļĒ 1-1,000 āļāļ â āļŠāļđāļ: āļāļĨāļāļĢāļ°āļāļāļāđāļāļĢāđāļēāļāļāļēāļĒāļŦāļĢāļ·āļāļāļāļēāļĄāļąāļĒ > 1,000 āļāļ āļŦāļĢāļ·āļāļāđāļāļāļĩāļ§āļīāļāļāļąāđāļāđāļāđ 1 āļāļ āļĢāļ°āļāļąāļāļāļĨāļāļĢāļ°āļāļāļāļąāļāļ§āļīāļāļĩāļāļēāļĢāđāļāļāļāļĨāļāļāļ āļąāļĒ
- 105. āđāļŦāđāļŦāļāđāļ§āļĒāļāļēāļāļĒāļķāļāļāļ·āļāļŦāļĨāļąāļāļāļēāļĢāļāļĢāļ°āđāļĄāļīāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļāļāļĢāļ°āļāļāđāļāļāđāļāđāļĨāļĒāļĩ āļŠāļēāļĢāļŠāļāđāļāļĻāļāļķāđāļāđāļāđāļāļāļĩāđāļĒāļāļĄāļĢāļąāļāđāļāđāļāļāļēāļĢāļāļąāđāļ§āđāļ āđāļāđāļāđāļāļ§āļāļēāļāđāļāļāļēāļĢāļāļĢāļ°āđāļĄāļīāļāļĢāļ°āļāļąāļ āļāļĨāļāļĢāļ°āļāļ āļāļķāđāļāļāđāļāļāļāļĢāļ°āđāļĄāļīāļāļāļĨāļāļĢāļ°āļāļāđāļāļāđāļēāļāļāđāļāđāļāļāļĩāđāļāđāļ§āļĒ (āļāļĨāļāļĢāļ°āļāļāļāļēāļ Worst Case Scenario āđāļ 1 āļ§āļąāļ) âĒ āļāļĨāļāļĢāļ°āļāļāļāđāļāļāļēāļāļ§āļāļāļđāđāđāļāđāļāļĢāļīāļāļēāļĢāļŦāļĢāļ·āļāļāļđāđāļĄāļĩāļŠāđāļ§āļāđāļāđāđāļŠāļĩāļĒāļāļĩāđāļāļēāļāđāļāđāļĢāļąāļāļāļ§āļēāļĄ āđāļŠāļĩāļĒāļŦāļēāļĒāļāļ·āđāļāđāļ â āļāđāļē: âĪ 10,000 āļāļ â āļāļēāļāļāļĨāļēāļ: 10,000 < āļāļēāļāļ§āļāļāļđāđāđāļāđāļĢāļąāļāļāļĨāļāļĢāļ°āļāļ âĪ 100,000 āļāļ â āļŠāļđāļ: > 100,000 āļāļ âĒ āļāļĨāļāļĢāļ°āļāļāļāđāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļāļāļĢāļąāļ â āļāđāļē: āđāļĄāđāļĄāļĩāļāļĨāļāļĢāļ°āļāļāļāđāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļāļāļĢāļąāļ â āļŠāļđāļ: āļĄāļĩāļāļĨāļāļĢāļ°āļāļāļāđāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļāļāļĢāļąāļ āļĢāļ°āļāļąāļāļāļĨāļāļĢāļ°āļāļāļāļąāļāļ§āļīāļāļĩāļāļēāļĢāđāļāļāļāļĨāļāļāļ āļąāļĒ
- 106. âĒ āļāļīāļāļēāļĢāļāļēāļāļēāļĄāļāļĢāļ°āđāļ āļāļāļāļāļāļļāļĢāļāļĢāļĢāļĄāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ âĒ āļāļīāļāļēāļĢāļāļēāļāļēāļĄāļĢāļ°āļāļąāļāļāļĨāļāļĢāļ°āļāļ â āļāđāļēāļĄāļĩāļāļĨāļāļĢāļ°āđāļĄāļīāļāļāļĩāđāđāļāđāļāļāļĨāļāļĢāļ°āļāļāđāļāļĢāļ°āļāļąāļāļŠāļđāļ 1 āļāđāļēāļ āđāļŦāđāđāļāđāļ§āļīāļāļĩāļāļēāļĢāđāļāļāļāļĨāļāļāļ āļąāļĒ āļĢāļ°āļāļąāļāđāļāļĢāđāļāļāļĢāļąāļ â āļĢāļ°āļāļąāļāļāļĨāļēāļāļāļĒāđāļēāļāļāđāļāļĒ 2 āļāđāļēāļ āđāļŦāđāđāļāđāļ§āļīāļāļĩāļāļēāļĢāđāļāļāļāļĨāļāļāļ āļąāļĒāļĢāļ°āļāļąāļāļāļĨāļēāļ â āļāļāļāļāļēāļāļāļĩāđ āđāļŦāđāđāļāđāļ§āļīāļāļĩāļāļēāļĢāđāļāļāļāļĨāļāļāļ āļąāļĒāđāļāļĢāļ°āļāļąāļāļāļ·āđāļāļāļēāļ āļŠāļĢāļļāļāļ§āļīāļāļĩāļāļēāļĢāļāļĢāļ°āđāļĄāļīāļāļĢāļ°āļāļąāļāļ§āļīāļāļĩāļāļēāļĢāđāļāļāļāļĨāļāļāļ āļąāļĒ
- 107. âĒ āļāđāļēāļāļāļīāļāļĄāļēāļāļĢāļāļēāļ ISO/IEC 27001:2005 - Information technology - Security techniques - Information security management systems - Requirements âĒ āļĄāļĩāļāļĨāđāļāđāļāļąāļāļāļąāļāđāļĄāļ·āđāļāļāđāļ 360 āļ§āļąāļ āļāļąāļāđāļāđāļ§āļąāļāļāļĢāļ°āļāļēāļĻāđāļāļĢāļēāļāļāļīāļāļāļēāļāļļāđāļāļāļĐāļē (19 āļ.āļ. 2555) āļāļ·āļ 14 āļ.āļ. 2556 âĒ āđāļĄāđāļĄāļĩāļāļāļāļēāļŦāļāļāđāļāļĐ āđāļāđāļāđāļāļĩāļĒāļāļĄāļēāļāļĢāļāļēāļāļŠāļēāļŦāļĢāļąāļ âāļ§āļīāļāļĩāļāļēāļĢāļāļĩāđāđāļāļ·āđāļāļāļ·āļāđāļāđâ āđāļ āļāļēāļĢāļāļīāļāļēāļĢāļāļēāļāļ§āļēāļĄāļāđāļēāđāļāļ·āđāļāļāļ·āļāđāļāļāļēāļāļāļāļŦāļĄāļēāļĒāļāļāļāļāļļāļĢāļāļĢāļĢāļĄāļāļēāļ āļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ āđāļāđāļĄāļĩāļāļĨāđāļāđāļāļīāļāļ āļēāļāļĨāļąāļāļĐāļāđāđāļĨāļ°āļāđāļēāļŦāļāļąāļāļāļēāļĢāļāļēāļāđāļāļĄāļđāļĨ āļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđāđāļāđāļāđāļāļāļĒāļēāļāļŦāļĨāļąāļāļāļēāļāđāļāļāļēāļĢāļāđāļāļŠāļđāđāļāļāļĩāđāļāļĻāļēāļĨāļŦāļĢāļ·āļāļāļēāļĢ āļāļēāđāļāļīāļāļāļēāļĢāļāļēāļāļāļāļŦāļĄāļēāļĒ âĒ āļāļāļ°āļāļĢāļĢāļĄāļāļēāļĢāļāļļāļĢāļāļĢāļĢāļĄāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđāļāļēāļāļāļīāļāļēāļĢāļāļēāļāļĢāļ°āļāļēāļĻāđāļāļĒāđāļāļĢāđ āļĢāļēāļĒāļāļ·āđāļāļŦāļāđāļ§āļĒāļāļēāļāļāļĩāđāļĄāļĩāļāļēāļĢāļāļąāļāļāļēāļāđāļĒāļāļēāļĒāđāļĨāļ°āđāļāļ§āļāļāļīāļāļąāļāļīāđāļāļĒāļŠāļāļāļāļĨāđāļāļāļāļąāļ āļ§āļīāļāļĩāļāļēāļĢāđāļāļāļāļĨāļāļāļ āļąāļĒ āđāļāļ·āđāļāđāļŦāđāļŠāļēāļāļēāļĢāļāļāļāļāļĢāļēāļāđāļāđāļāļāļēāļĢāļāļąāđāļ§āđāļāļāđāđāļāđ āļāļĢāļ°āļāļēāļĻ āđāļĢāļ·āđāļāļ āļĄāļēāļāļĢāļāļēāļ Security āļāļēāļĄāļ§āļīāļāļĩāļāļēāļĢāđāļāļāļāļĨāļāļāļ āļąāļĒ
- 108. âĒ āđāļāđāļāđāļāđāļ 11 āļŦāļĄāļ§āļ (Domains) â Security policy â Organization of information security â Asset management â Human resources security â Physical and environmental security â Communications and operations management â Access control â Information systems acquisition, development and maintenance â Information security incident management â Business continuity management â Regulatory compliance āļĄāļēāļāļĢāļāļēāļ Security āļāļēāļĄāļ§āļīāļāļĩāļāļēāļĢāđāļāļāļāļĨāļāļāļ āļąāļĒ
- 109. āļĄāļēāļāļĢāļāļēāļ Security āļāļēāļĄāļ§āļīāļāļĩāļāļēāļĢāđāļāļāļāļĨāļāļāļ āļąāļĒ āđāļāđāļĨāļ°āļĢāļ°āļāļąāļ āļŦāļĄāļ§āļ (Domain) āļĢāļ°āļāļąāļāļāļ·āđāļāļāļēāļ āļĢāļ°āļāļąāļāļāļĨāļēāļ (āđāļāļīāđāļĄāđāļāļīāļĄāļāļēāļāļĢāļ°āļāļąāļāļāļ·āđāļāļāļēāļ) āļĢāļ°āļāļąāļāļŠāļđāļ (āđāļāļīāđāļĄāđāļāļīāļĄāļāļēāļāļĢāļ°āļāļąāļāļāļĨāļēāļ) Security policy 1 āļāđāļ 1 āļāđāļ - Organization of information security 5 āļāđāļ 3 āļāđāļ 3 āļāđāļ Asset management 1 āļāđāļ 4 āļāđāļ - Human resources security 6 āļāđāļ 1 āļāđāļ 2 āļāđāļ Physical and environmental security 5 āļāđāļ 2 āļāđāļ 6 āļāđāļ Communications & operations management 18 āļāđāļ 5 āļāđāļ 9 āļāđāļ Access control 9 āļāđāļ 8 āļāđāļ 8 āļāđāļ Information systems acquisition, development and maintenance 2 āļāđāļ 6 āļāđāļ 8 āļāđāļ Information security incident management 1 āļāđāļ - 3 āļāđāļ Business continuity management 1 āļāđāļ 3 āļāđāļ 1 āļāđāļ Regulatory compliance 3 āļāđāļ 5 āļāđāļ 2 āļāđāļ āļĢāļ§āļĄ 52 āļāđāļ 38 āļāđāļ (āļĢāļ§āļĄ 90 āļāđāļ) 42 āļāđāļ (āļĢāļ§āļĄ 132 āļāđāļ)
- 110. âĒ āļāļĢāļ°āļāļēāļĻāļāļāļ°āļŊ āđāļĢāļ·āđāļāļ āļāđāļĒāļāļēāļĒāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļŠāļēāļĢāļŠāļāđāļāļĻ āļāļāļ° āđāļāļāļĒāļĻāļēāļŠāļāļĢāđāđāļĢāļāļāļĒāļēāļāļēāļĨāļĢāļēāļĄāļēāļāļīāļāļāļĩ āļ.āļĻ. 2551 âĒ āļāļĢāļ°āļāļēāļĻāļāļāļ°āļŊ āđāļĢāļ·āđāļāļ āļŦāļĨāļąāļāđāļāļāļāđāļāļēāļĢāļāļāļīāļāļąāļāļīāļāļāļāļāļđāđāđāļāđāļĢāļąāļāļāļāļļāļāļēāļāđāļŦāđāđāļāđāļēāļāļķāļ āļāđāļāļĄāļđāļĨāļāļēāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ āļ.āļĻ. 2554 âĒ āļāļĢāļ°āļāļēāļĻāļāļāļ°āļŊ āđāļĢāļ·āđāļāļ āļāļēāļĢāļāļāļāļąāļāļāđāļēāļĒāļŠāļēāđāļāļēāđāļ§āļāļĢāļ°āđāļāļĩāļĒāļāļāļđāđāļāđāļ§āļĒ āļ.āļĻ. 2556 âĒ āļāļĢāļ°āļāļēāļĻāļĄāļŦāļēāļ§āļīāļāļĒāļēāļĨāļąāļĒāļĄāļŦāļīāļāļĨ āđāļĢāļ·āđāļāļ āļāđāļĒāļāļēāļĒāđāļāļĩāđāļĒāļ§āļāļąāļāļāļēāļĢāđāļāđāļŠāļ·āđāļāļŠāļąāļāļāļĄ āļāļāļāđāļĨāļāđ (Social Network) āļāļāļāļāļļāļāļĨāļēāļāļĢāđāļĨāļ°āļāļąāļāļĻāļķāļāļĐāļēāļāļāļ āļĄāļŦāļēāļ§āļīāļāļĒāļēāļĨāļąāļĒāļĄāļŦāļīāļāļĨ (āļĨāļāļ§āļąāļāļāļĩāđ 23 āļĄ.āļ. 2556) âĒ āļāļĢāļ°āļāļēāļĻāļāļāļ°āļŊ āđāļĢāļ·āđāļāļ āļāđāļāļāļēāļŦāļāļāļāļēāļĢāđāļāđāļŠāļ·āđāļāļŠāļąāļāļāļĄāļāļāļāđāļĨāļāđ āļāļāļāļāļāļ° āđāļāļāļĒāļĻāļēāļŠāļāļĢāđāđāļĢāļāļāļĒāļēāļāļēāļĨāļĢāļēāļĄāļēāļāļīāļāļāļĩ āļ.āļĻ. 2556 âĒ āļāļĢāļ°āļāļēāļĻāļāļāļ°āļŊ āđāļĢāļ·āđāļāļ āđāļāļ§āļāļēāļāļāļāļīāļāļąāļāļī āļāļēāļĢāļāļāļāļąāļāļāļķāļāļ āļēāļāđāļĨāļ°āđāļŠāļĩāļĒāļāđāļ āđāļĢāļāļāļĒāļēāļāļēāļĨāļŠāļąāļāļāļąāļāļāļāļāļāļāļ°āđāļāļāļĒāļĻāļēāļŠāļāļĢāđāđāļĢāļāļāļĒāļēāļāļēāļĨāļĢāļēāļĄāļēāļāļīāļāļāļĩ āļ.āļĻ. 2557 āļāļąāļ§āļāļĒāđāļēāļ: āļĢāļ°āđāļāļĩāļĒāļāļāđāļēāļāđ āļāļāļāļĢāļēāļĄāļēāļāļīāļāļāļĩ āļāđāļēāļ IT Security
- 111. IT Security & Privacy Policy
- 112. 1.2 āļĄāļĩāļāđāļĒāļāļēāļĒāđāļĨāļ°āđāļāļ§āļāļēāļāļāļāļīāļāļąāļāļīāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļ āđāļĢāļāļāļĒāļēāļāļēāļĨ âĒ āļĄāļĩāļāļēāļĢāļāļēāļŦāļāļāļāđāļĒāļāļēāļĒ āđāļĨāļ°āđāļāļ§āļāļēāļāļāļāļīāļāļąāļāļīāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļĩāđ āļāļąāļāđāļāļ āļāļĢāļāļāļāļĨāļļāļĄāļāđāļĒāļāļēāļĒāļāđāļēāļāļāļ§āļēāļĄāļāļĢāļāļāđāļ§āļāļāļđāļāļāđāļāļāļāļāļāļāđāļāļĄāļđāļĨ āļāļ§āļēāļĄ āļāļĨāļāļāļ āļąāļĒāļāļāļāļĢāļ°āļāļ āļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĨāļąāļāļāļāļāļāļđāđāļāđāļ§āļĒ āļāļēāļĢāđāļāđāļāļŠāļēāļĢāļŠāļāđāļāļĻ āļāđāļēāļāđ āļĢāļ°āļĒāļ°āđāļ§āļĨāļēāđāļāļāļēāļĢāđāļāđāļāļāđāļāļĄāļđāļĨāļāļđāđāļāđāļ§āļĒ āļāđāļāļĄāļđāļĨāļāļīāļāđāļĨāļ°āļŠāļēāļĢāļŠāļāđāļāļĻ āļāļēāļĢ āļāļēāļĨāļēāļĒāļāđāļāļĄāļđāļĨāļāļīāļāđāļĨāļ°āļŠāļēāļĢāļŠāļāđāļāļĻāļāđāļ§āļĒāļāļ§āļēāļĄāđāļŦāļĄāļēāļ°āļŠāļĄ āđāļĨāļ°āļāđāļĒāļāļēāļĒāļāļēāļāļąāļ āļāļđāđāļĨ āļāļīāļāļāļēāļĄāļāļēāļĢāļāļēāđāļāļīāļāļāļēāļāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ âĒ āļĄāļĩāļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢāļāđāļĒāļāļēāļĒāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļāđāļĢāļāļāļĒāļēāļāļēāļĨāđāļŦāđ āļāļđāđāđāļāļĩāđāļĒāļ§āļāđāļāļāļĢāļąāļāļāļĢāļēāļāđāļĨāļ°āļāļēāđāļāļīāļāļāļēāļĢāđāļāđāļāļ§āđāļāļĩāļĒāļ§āļāļąāļ TMI HITQIF v1.1: Structure & Role
- 113. 1.2 āļĄāļĩāļāđāļĒāļāļēāļĒāđāļĨāļ°āđāļāļ§āļāļēāļāļāļāļīāļāļąāļāļīāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļ āđāļĢāļāļāļĒāļēāļāļēāļĨ âĒ āļĢāļ°āļāļąāļ 0 āļĒāļąāļāđāļĄāđāļĄāļĩāļāđāļĒāļāļēāļĒāđāļĨāļ°āđāļāļ§āļāļēāļāļāļāļīāļāļąāļāļīāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ āļāļāļāđāļĢāļāļāļĒāļēāļāļēāļĨ âĒ āļĢāļ°āļāļąāļ 1 āļĄāļĩāļāđāļĒāļāļēāļĒāđāļĨāļ°āđāļāļ§āļāļēāļāļāļāļīāļāļąāļāļīāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļ āđāļĢāļāļāļĒāļēāļāļēāļĨ āđāļāđāđāļĄāđāļāļĢāļāļāļļāļāļāđāļēāļāļāļĩāđāļŠāļēāļāļąāļ (1. āļāļ§āļēāļĄāļāļĢāļāļāđāļ§āļāļāļđāļāļāđāļāļāļāļāļ āļāđāļāļĄāļđāļĨ 2. āļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļĢāļ°āļāļ 3. āļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĨāļąāļāļāļđāđāļāđāļ§āļĒ 4. āļāļēāļĢ āđāļāđāļāļŠāļēāļĢāļŠāļāđāļāļĻ āļĢāļ°āļĒāļ°āđāļ§āļĨāļēāđāļāļāļēāļĢāđāļāđāļāļāđāļāļĄāļđāļĨ āļāļēāļĢāļāļēāļĨāļēāļĒāļāđāļāļĄāļđāļĨ 5. āļāļēāļĢ āļāļēāļāļąāļāļāļđāđāļĨ āļāļīāļāļāļēāļĄāļāļēāļĢāļāļēāđāļāļīāļāļāļēāļāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ) TMI HITQIF v1.1: Structure & Role
- 114. 1.2 āļĄāļĩāļāđāļĒāļāļēāļĒāđāļĨāļ°āđāļāļ§āļāļēāļāļāļāļīāļāļąāļāļīāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļ āđāļĢāļāļāļĒāļēāļāļēāļĨ âĒ āļĢāļ°āļāļąāļ 2 āļĄāļĩāļāđāļĒāļāļēāļĒāđāļĨāļ°āđāļāļ§āļāļēāļāļāļāļīāļāļąāļāļīāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļ āđāļĢāļāļāļĒāļēāļāļēāļĨ āļāļĢāļāļāļļāļāļāđāļēāļāļāļĩāđāļŠāļēāļāļąāļ âĒ āļĢāļ°āļāļąāļ 3 āļĄāļĩāļāđāļĒāļāļēāļĒāđāļĨāļ°āđāļāļ§āļāļēāļāļāļāļīāļāļąāļāļīāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļ āđāļĢāļāļāļĒāļēāļāļēāļĨ āļāļĢāļāļāļļāļāļāđāļēāļāļāļĩāđāļŠāļēāļāļąāļ āđāļāđāđāļĄāđāļĄāļĩāļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢāđāļŦāđāļāļđāđāđāļāļĩāđāļĒāļ§āļāđāļāļ āļĢāļąāļāļāļĢāļēāļ āđāļĨāļ°āļāļēāđāļāļīāļāļāļēāļĢāđāļāļ§āđāļāļĩāļĒāļ§āļāļąāļ âĒ āļĢāļ°āļāļąāļ 4 āļĄāļĩāļāđāļĒāļāļēāļĒāđāļĨāļ°āđāļāļ§āļāļēāļāļāļāļīāļāļąāļāļīāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļ āđāļĢāļāļāļĒāļēāļāļēāļĨ āļāļĢāļāļāļļāļāļāđāļēāļāļāļĩāđāļŠāļēāļāļąāļ āļĄāļĩāļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢāđāļŦāđāļāļđāđāđāļāļĩāđāļĒāļ§āļāđāļāļāļĢāļąāļāļāļĢāļēāļ āđāļĨāļ°āļāļēāđāļāļīāļāļāļēāļĢāđāļāļ§āđāļāļĩāļĒāļ§āļāļąāļ TMI HITQIF v1.1: Structure & Role
- 115. âPolicy & Guidelines/Work Instructions on o Data completeness & integrity o System security o Patient information privacy & confidentiality protections o Secure data storage, retention & destruction o Monitoring, evaluation & enforcement âCommunication of Policy & Guidelines IT Security & Privacy Policy Checklist
- 116. IT Risk Management
- 117. ⊠Project failures ⊠Waste investments ⊠Security breaches ⊠System crashes ⊠Failures by service providers to understand and meet customer requirements ⊠System errors or bugs Examples of IT Risks
- 118. Risk Strategies âĒ Accept/ignore âĒ Avoid completely âĒ Reduce risk likelihood or impact âĒ Transfer risk to someone else (e.g. insurance) Marchewka (2006) Risk = f(likelihood x impact) Risk Management
- 120. Technology ProcessPeople Balanced IT Security Management
- 121. 1.3 āļĄāļĩāļāđāļĒāļāļēāļĒāđāļĨāļ°āđāļāļ§āļāļēāļāļāļāļīāļāļąāļāļīāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļ āđāļĢāļāļāļĒāļēāļāļēāļĨ āļĄāļĩāļāļēāļĢāļāļēāļŦāļāļāļāđāļĒāļāļēāļĒ āđāļĨāļ°āđāļāļ§āļāļēāļāļāļāļīāļāļąāļāļīāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļĩāđ āļāļąāļāđāļāļ āļāļĢāļāļāļāļĨāļļāļĄāļāđāļĒāļāļēāļĒāļāđāļēāļāļāļ§āļēāļĄāļāļĢāļāļāđāļ§āļāļāļđāļāļāđāļāļāļāļāļāļāđāļāļĄāļđāļĨ āļāļ§āļēāļĄ āļāļĨāļāļāļ āļąāļĒāļāļāļāļĢāļ°āļāļ āļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĨāļąāļāļāļāļāļāļđāđāļāđāļ§āļĒ āļāļēāļĢāđāļāđāļāļŠāļēāļĢāļŠāļāđāļāļĻāļāđāļēāļāđ āļĢāļ°āļĒāļ°āđāļ§āļĨāļēāđāļāļāļēāļĢāđāļāđāļāļāđāļāļĄāļđāļĨāļāļđāđāļāđāļ§āļĒ āļāđāļāļĄāļđāļĨāļāļīāļāđāļĨāļ°āļŠāļēāļĢāļŠāļāđāļāļĻ āļāļēāļĢāļāļēāļĨāļēāļĒ āļāđāļāļĄāļđāļĨāļāļīāļāđāļĨāļ°āļŠāļēāļĢāļŠāļāđāļāļĻāļāđāļ§āļĒāļāļ§āļēāļĄāđāļŦāļĄāļēāļ°āļŠāļĄ āđāļĨāļ°āļāđāļĒāļāļēāļĒāļāļēāļāļąāļāļāļđāđāļĨ āļāļīāļāļāļēāļĄāļāļēāļĢāļāļēāđāļāļīāļāļāļēāļāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ āļĄāļĩāļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢāļāđāļĒāļāļēāļĒāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļāđāļĢāļāļāļĒāļēāļāļēāļĨāđāļŦāđ āļāļđāđāđāļāļĩāđāļĒāļ§āļāđāļāļāļĢāļąāļāļāļĢāļēāļāđāļĨāļ°āļāļēāđāļāļīāļāļāļēāļĢāđāļāđāļāļ§āđāļāļĩāļĒāļ§āļāļąāļ TMI HITQIF v1.2: Structure and Role
- 122. 1.5 āļĄāļĩāļāļēāļĢāļāļēāļŦāļāļāļĄāļēāļāļĢāļāđāļēāļāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāđāļēāļāđāļāļĩāđāļāļēāđāļāđāļ āļŠāļāļāļāļĨāđāļāļāļāļąāļāļĄāļēāļāļĢāļāļēāļāļāļāļāļāļĢāļ°āđāļāļĻāļŦāļĢāļ·āļāļĄāļēāļāļĢāļāļēāļāļŠāļēāļāļĨ āđāļāđāđāļāđ āļĄāļēāļāļĢāļāļēāļāļāđāļāļĄāļđāļĨ āļĄāļēāļāļĢāļāļēāļāļĢāļŦāļąāļŠāļāđāļāļĄāļđāļĨ (āļāļķāđāļāļĢāļ§āļĄāļāļķāļ āļĢāļŦāļąāļŠāđāļĢāļ āļĢāļŦāļąāļŠ āļāđāļēāļāļąāļ āļŠāļąāļāļĨāļąāļāļĐāļāđ āļāļąāļ§āļĒāđāļ āļāļēāļāļēāļāļąāļāļāļ§āļēāļĄ) āļĄāļēāļāļĢāļāļēāļāļāļēāļĢāļāļāļīāļāļąāļāļīāļāļēāļ āļĄāļēāļāļĢāļāļēāļāļāđāļēāļāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāđāļĨāļ°āļāļ§āļēāļĄāļĨāļąāļāļāļđāđāļāđāļ§āļĒ āļĄāļēāļāļĢāļāļēāļāļĢāļ°āļāļ āđāļāļĢāļ·āļāļāđāļēāļĒāļāļāļĄāļāļīāļ§āđāļāļāļĢāđ āļĄāļēāļāļĢāļāļēāļāļāļēāļāļāļēāļĒāļ āļēāļāđāļĨāļ°āļŠāļ āļēāļāđāļ§āļāļĨāđāļāļĄ TMI HITQIF v1.2: Structure and Role
- 123. 2.1 āļāļąāļāđāļŦāđāļĄāļĩ Data center âĒ Data center āļāļāļāđāļĢāļāļāļĒāļēāļāļēāļĨ āđāļāđāđāļāđāļāļĩāđāļāļąāđāļāļāļāļ servers āđāļĨāļ°āļāļļāļāļāļĢāļāđāļāļĩāđ āđāļāļĩāđāļĒāļ§āļāđāļāļ āđāļāđāļ āļĢāļ°āļāļāļŠāļēāļĢāļāļāļāđāļāļĄāļđāļĨ āļāļļāļāļāļĢāļāđāļŠāļēāļĢāļāļ redundant system āļĢāļ°āļāļāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒ āđāļāđāļāļāđāļ data center āļāļĩāđāļāđāļāļāļĄāļĩāļāļēāļĢāļāļąāļāļāļēāļĢ āļāļĒāđāļēāļāđāļŦāļĄāļēāļ°āļŠāļĄ āđāļāļ·āđāļāđāļŦāđāđāļāđāđāļāļ§āđāļē āļāļ°āļŠāļēāļĄāļēāļĢāļāđāļāđāļāļēāļāļĢāļ°āļāļāđāļāđāļāļĒāđāļēāļāļāļĨāļāļāļ āļąāļĒ āļāļĢāļēāļĻāļāļēāļāļāļēāļĢāļŦāļĒāļļāļ āļŦāļĢāļ·āļāļŠāļ°āļāļļāļāļāļāļāļĢāļ°āļāļ āļāļķāđāļāļāđāļāļāļāļēāļāļķāļāļāļķāļāļŠāļīāđāļāļāđāļāđāļāļāļĩāđ 1) āļŦāđāļāļ āļŠāļāļēāļāļāļĩāđ āđāļĨāļ°āļŠāļīāđāļāđāļ§āļāļĨāđāļāļĄ āļāđāļāļāļāļąāļāđāļŦāđāļĄāļĩāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒ āđāļāđāļ āļĄāļĩ āļāļēāļĢāļāļĢāļąāļāļāļēāļāļēāļĻāļāļĩāđāļāļĩ āļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļēāļāļāļļāļāļāļĨāļ āļēāļĒāļāļāļ āļāļēāļĢ āļāđāļāļāļāļąāļāļāļąāļāļāļĩāļ āļąāļĒ (āļĢāļ§āļĄāļāļķāļāļĢāļ°āļāļāļāļĢāļ§āļāļāļąāļāļāļ§āļąāļāđāļĨāļ°āļĢāļ°āļāļāđāļāļ·āļāļāļ āļąāļĒ āđāļāļĢāļ·āđāļāļāļāļąāļāđāļāļĨāļīāļ āđāļĨāļ°āļĢāļ°āļāļāļāļąāļāđāļāļĨāļīāļāļāļąāļāđāļāļĄāļąāļāļī) TMI HITQIF v1.2: Technology
- 124. 2.1 āļāļąāļāđāļŦāđāļĄāļĩ Data center 2) āļĄāļĩāļĢāļ°āļāļāļāđāļāļāļāļąāļāļāļēāļĢāđāļŠāļĩāļĒāļŦāļēāļĒāļāļāļāļāđāļāļĄāļđāļĨāđāļĨāļ°āļĢāļ°āļāļ (data integrity and fault tolerance) āļāļķāđāļāļĢāļ§āļĄāļāļķāļ UPS āđāļĨāļ°āļĢāļ°āļāļāđāļāļāđāļēāļŠāļēāļĢāļāļ, āļĢāļ°āļāļ RAID, redundant power supply āđāļĨāļ° redundant servers 3) āļĄāļĩāļĢāļ°āļāļāļŠāļēāļĢāļāļāļāđāļāļĄāļđāļĨ āļāļąāđāļāļ āļēāļĒāđāļ āđāļĨāļ°āļ āļēāļĒāļāļāļ data center 4) āļĄāļĩāļāļēāļĢāļāļąāļāļāļēāļĢ network āļāļĩāđāđāļŦāļĄāļēāļ°āļŠāļĄ TMI HITQIF v1.2: Technology
- 125. 2.3 āļāļąāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļŦāļĢāļąāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāđāļĨāļ° āļāļļāđāļĄāļāļĢāļāļāļāļ§āļēāļĄāļĨāļąāļāļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨ āđāļĨāļ°āļāļēāļĢāđāļāđāļēāļāļķāļāļāđāļāļĄāļđāļĨāļāļđāđāļāđāļ§āļĒ âĒ āļāļ§āļēāļĄāđāļāđāļāļŠāđāļ§āļāļāļąāļ§āļāļāļāļāļđāđāļāđāļ§āļĒāđāļāđāļāļŠāļīāđāļāļŠāļēāļāļąāļ āļāļķāđāļāđāļāđāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĒāđāļēāļāļŦāļāļķāđāļāļāļēāļ āļāļēāļĢāđāļāđāđāļāļāđāļāđāļĨāļĒāļĩ āļāļēāđāļāđāļāļāđāļāļāļāļąāļāļāļēāļĢāđāļŦāđāļĄāļĩāļĢāļ°āļāļāļāļĩāđāļāđāļāļāļāļąāļāļāļđāđāđāļĄāđāđāļāđāļĢāļąāļāļāļāļļāļāļēāļ āđāļāđāļēāļāļķāļāļāđāļāļĄāļđāļĨāļāļāļāļāļđāđāļāđāļ§āļĒ āļāļąāļāļāļĩāđ 1) āļĢāļ°āļāļāļĄāļĩāļāļąāļāļāļĩāļĢāļēāļĒāļāļ·āđāļāļāļđāđāđāļāđāļāļēāļ āđāļĨāļ°āļĢāļŦāļąāļŠāļāđāļēāļ (username and password) āđāļĨāļ°āļāļĨāđāļāļāļēāļĢāļĒāļ·āļāļĒāļąāļāļāļąāļ§āļāļļāļāļāļĨ 2) āļŠāļĢāđāļēāļāļĢāļ°āļāļāļāļēāļĢāđāļāđāļēāļāļķāļāļāđāļāļĄāļđāļĨāļāļđāđāļāđāļ§āļĒāđāļŦāđāļĢāļąāļāļāļļāļĄ (āđāļāļĢ āļŠāļēāļĄāļēāļĢāļāđāļāđāļēāļāļķāļ āļāđāļāļĄāļđāļĨāļŠāđāļ§āļāđāļŦāļ āļāđāļ§āļĒāļ§āļīāļāļĩāđāļ āđāļāđāļāļāđāļ) TMI HITQIF v1.2: Technology
- 126. 2.3 āļāļąāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļŦāļĢāļąāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāđāļĨāļ° āļāļļāđāļĄāļāļĢāļāļāļāļ§āļēāļĄāļĨāļąāļāļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨ āđāļĨāļ°āļāļēāļĢāđāļāđāļēāļāļķāļāļāđāļāļĄāļđāļĨāļāļđāđāļāđāļ§āļĒ 3) āļŠāļēāļĄāļēāļĢāļāļĢāļ°āļāļļāļāļąāļ§āļāļļāļāļāļĨāļāļđāđāđāļāđāļēāļāļķāļāļāđāļāļĄāļđāļĨ āļāļđāđāļāļēāļāđāļāļĄāļđāļĨāļāļđāđāļĢāļąāļāļāļĢāļīāļāļēāļĢāđāļāđāļēāļŠāļđāđ āļĢāļ°āļāļ āļāļđāđāļāļĩāđāđāļāđāđāļāļāđāļāļĄāļđāļĨ āđāļĨāļ°āļ§āļąāļāđāļ§āļĨāļēāļāļĩāđāđāļāđāļēāļāļķāļāļŦāļĢāļ·āļāļāļēāļāđāļāļĄāļđāļĨ āļāļđāđāļĢāļąāļāļāļĢāļīāļāļēāļĢāđāļāđāļēāļŠāļđāđāļĢāļ°āļāļāļŦāļĢāļ·āļāđāļāđāđāļāļāđāļāļĄāļđāļĨāđāļāđ āļĄāļĩāđāļāļāđāļāđāļĨāļĒāļĩāļāđāļēāļāļāļ§āļēāļĄ āļĄāļąāđāļāļāļāļāļāļāļĢāļ°āļāļāđāļāđāļ firewall āļĢāļ°āļāļāļāđāļāļāļāļąāļāđāļ§āļĢāļąāļŠāđāļĨāļ°āđāļāļĢāļāļąāļ āļāļēāļĢ āđāļĒāļāļĢāļ°āļāļ Internet āđāļĨāļ°āļĢāļ°āļāļāļāļēāļāđāļĢāļāļāļĒāļēāļāļēāļĨ āļāļēāļĢāļāļąāļ private network āđāļāđāļāļāđāļ TMI HITQIF v1.2: Technology
- 127. 3.1 āļĄāļĩāļāļļāļāļĨāļēāļāļĢāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļĩāđāđāļāļĩāļĒāļāļāļ āđāļāļĒāļĄāļĩāļāļēāļĢāļāļēāļŦāļāļ āļŠāļĄāļĢāļĢāļāļāļ°āļāļĩāđāļāļēāđāļāđāļāļāļāļāđāļāđāļĨāļ°āļāļēāđāļŦāļāđāļāļāļĒāđāļēāļāđāļŦāļĄāļēāļ°āļŠāļĄ āļāļąāļāđāļāđāđāļāđ 1) Chief Information officer (CIO)... 2) āļŦāļąāļ§āļŦāļāđāļēāļŦāļāđāļ§āļĒāļāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ (Head of IT unit)... 3) āļāļļāļāļĨāļēāļāļĢāļāļ·āđāļāđ... ... II. IT security personnel āļāļđāđāļāļđāđāļĨāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļāļāļĢāļ°āļāļāđāļāļāđāļāđāļĨāļĒāļĩ āļŠāļēāļĢāļŠāļāđāļāļĻ ... TMI HITQIF v1.2: People
- 128. 3.4 āļĄāļĩāļāļēāļĢāļāļąāļāļāļēāļāļđāđāđāļāđāļāļēāļāļĢāļ°āļāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ āļāļđāđāđāļāđāļāļēāļāļĢāļ°āļāļ āđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļŠāļēāļĄāļēāļĢāļāđāļāđāļāļēāļāđāļāđāļāļĒāđāļēāļāļāļđāļāļāđāļāļ āđāļĨāļ°āđāļāđāļāđāļ āļāļēāļĄāļāļĢāļīāļāļāđāļĨāļ°āļāđāļĒāļāļēāļĒāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļāļāļāļāđāļāļĢ āļāļąāđāļ āļāđāļēāļāļāļ§āļēāļĄāļāļđāļāļāđāļāļāļāļĢāļāļāđāļ§āļāļāļāļāļāđāļāļĄāļđāļĨ āļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĨāļąāļāļāļāļāļāļđāđāļāđāļ§āļĒ āđāļĨāļ°āļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļĢāļ°āļāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ āļāļēāļĢāļāļąāļāļāļēāļāļĩāđ āļĢāļ§āļĄāļāļķāļāļāļđāđāļāļĢāļīāļŦāļēāļĢāļĢāļ°āļāļąāļāļŠāļđāļāđāļĨāļ°āļāļđāđāđāļāļĩāđāļĒāļ§āļāđāļāļāđāļāđāļĢāļąāļāļāļēāļĢāļāļąāļāļāļēāđāļŦāđāđāļāđāļēāđāļ āđāļāļĩāđāļĒāļ§āļāļąāļāļŦāļĨāļąāļāļāļēāļĢāļāļąāļāļāļēāļĢāļŠāļēāļĢāļŠāļāđāļāļĻ (Principles of Information Management) āļāļĩāđāļāļēāđāļāđāļāļāđāļ§āļĒ āđāļāļĒāļĄāļļāđāļāđāļāđāļāđāļŦāđāđāļāļīāļāļ§āļąāļāļāļāļĢāļĢāļĄāļāļēāļĢāđāļāđ āļāļēāļāļŠāļēāļĢāļŠāļāđāļāļĻāļāļĩāđāļāļĩ TMI HITQIF v1.2: People
- 129. āļāļąāļāļĢāļēāļāļēāļĨāļąāļāļāļāļāļŦāļāđāļ§āļĒāļāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĢāļāļāļĒāļēāļāļēāļĨāļāļąāđāļ āļāļēāļ āļĄāļĩāļāļ§āļēāļĄāļĒāļ·āļāļŦāļĒāļļāđāļāđāļāđ āđāļāđāļāļāļēāļāļāļēāļāļāļĒāđāļēāļāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļēāļ āļāļąāļāļāđāļēāļāļāļļāļāļāļĨāļ āļēāļĒāļāļāļāļāļđāđāļĨ āđāļāđāļāđāļāļāļĄāļĩāļāļēāļĢāļāļąāļāļāļēāļĢāļāļĩāđāđāļāđāđāļāđāļāđāļ§āđāļēāļāļ° āļŠāļēāļĄāļēāļĢāļāļāļēāđāļāļīāļāļāļēāļĢāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļāđāļāļĒāđāļēāļāļĢāļēāļāļĢāļ·āđāļ āļāļĨāļāļāļ āļąāļĒ āļĢāļ§āļĄāļāļąāđāļāļāļ°āđāļĄāđāļāļĢāļ°āļāļāļāđāļāļ āļēāļĢāļāļīāļāļŦāļĨāļąāļāļāļāļāđāļĢāļāļāļĒāļēāļāļēāļĨ āđāļĨāļ° āđāļĄāđāļāļĢāļ°āļāļāļāđāļāļāļ§āļēāļĄāļĨāļąāļāļāļāļāļāļđāđāļāđāļ§āļĒ TMI HITQIF v1.2: People
- 130. 4.4 āļĄāļĩāļāļēāļĢāļāļāļāđāļāļāļĢāļ°āļāļāļāļāļāļāļāđāļāļāļ§āļēāļĄāļāļīāļāļāļĨāļēāļ (fault tolerance) āļĄāļĩāļāļēāļĢāļāļēāļĢāļļāļāļĢāļąāļāļĐāļēāļāļĒāđāļēāļāļŠāļĄāđāļēāđāļŠāļĄāļ āļĄāļĩāļāļēāļĢāļāļąāļāļāļēāļĢāđāļāļ·āđāļāđāļŦāđ āļĢāļ°āļāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļēāđāļāļīāļāļāļēāļāđāļāđāļāļĒāđāļēāļāļāđāļāđāļāļ·āđāļāļ (Availability Management) āđāļĨāļ°āļŠāļēāļĄāļēāļĢāļāļāļđāđāļāļ·āļāļĢāļ°āļāļāđāļāđāđāļĄāđāļāļ°āļĄāļĩ āđāļŦāļāļļāļāļēāļĢāļāđāđāļĄāđāļāļēāļāļāļąāļāđāļāļīāļāļāļķāđāļ (IT Service Continuity Management) āđāļāļĒāļĄāļĩāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđāđāļĨāļ°āļāļąāļāļāļēāđāļāļāļŠāļēāļĢāļāļāļāļļāļāđāļāļīāļ (Business Continuity Plan) āđāļĨāļ°āđāļāļāļāļđāđāļāļ·āļāļĢāļ°āļāļ (Disaster Recovery Plan) āļĢāļ§āļĄāļāļąāđāļāļĄāļĩāļāļēāļĢāļāļāļāļ§āļāđāļĨāļ°āļāļąāļāļāđāļāļāđāļāļāļāļĒāđāļēāļ āļŠāļĄāđāļēāđāļŠāļĄāļ TMI HITQIF v1.2: Process
- 131. 4.6 āļĄāļĩāļāļēāļĢāļāļąāļāļāļēāļĢāļāđāļāļĄāļđāļĨ āđāļŦāđāđāļāđāđāļāļ§āđāļē āļāđāļāļĄāļđāļĨāļŠāļēāļāļąāļāđāļāđāļĢāļąāļāļāļēāļĢāļāļąāļāļāļķāļ āđāļĨāļ°āļāļąāļāđāļāđāļ āđāļāļĢāļ°āļāļ āļāļĒāđāļēāļāļāļđāļāļāđāļāļāđāļĨāļ°āļāļĢāļāļāđāļ§āļ āļāļĢāļ°āļāļāļāđāļāļāđāļ§āļĒ 1) āļāļēāļĢāļāļąāļāļāļķāļ āļāļēāļāļēāļĢāļŠāļēāļāļąāļ āļāļĢāļ°āļ§āļąāļāļī āļāļĨāļāļēāļĢāļāļĢāļ§āļāļĢāđāļēāļāļāļēāļĒ āđāļĨāļ°āļāļēāļ§āļīāļāļīāļāļāļąāļĒāđāļĢāļ āđāļ āļāļąāļāļĢāļāļđāđāļāđāļ§āļĒāļāļāļ āđāļĨāļ°/āļŦāļĢāļ·āļ āđāļ§āļāļĢāļ°āđāļāļĩāļĒāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ āđāļāļĒāļāđāļāļāđāļĄāđāļāļąāļāđāļāđāļāļĢāļŦāļąāļŠ ICD āđāļāļāļāļēāļ§āļīāļāļīāļāļāļąāļĒāđāļĢāļ 2) āļāļąāļāļāļķāļāļāļĢāļ°āļ§āļąāļāļīāļāļĢāļ§āļāļĢāđāļēāļāļāļēāļĒāđāļĢāļāļĢāļąāļ āļāļąāļāļāļķāļāļāļ§āļēāļĄāļāđāļēāļ§āļŦāļāđāļē āđāļĨāļ°āļāļēāļĢāļŠāļĢāļļāļāđāļ§āļ āļĢāļ°āđāļāļĩāļĒāļāđāļĄāļ·āđāļāļŠāļīāđāļāļŠāļļāļāļāļēāļĢāļĢāļąāļāļĐāļē (Discharge Summary) āđāļāđāļāđāļĄāļāļđāđāļāđāļ§āļĒāđāļ 3) āļĢāļēāļĒāļāļēāļāļāļēāļĢāļāđāļēāļāļąāļ āđāļāļāļđāđāļāđāļ§āļĒāļāļļāļāļĢāļēāļĒāļāļĩāđāđāļāđāļĢāļąāļāļāļēāļĢāļāđāļēāļāļąāļ 4) āļāļēāļĢāđāļŦāđāļĢāļŦāļąāļŠ ICD āļāļąāđāļāļĢāļŦāļąāļŠāļāļĨāļļāđāļĄāđāļĢāļ āđāļĨāļ°āļĢāļŦāļąāļŠāļāļēāļĢāļāđāļēāļāļąāļ 5) āļāļēāļĢāļāļąāļāļāļķāļāđāļ§āļāļĢāļ°āđāļāļĩāļĒāļāđāļŦāđāļŠāļāļāļāļĨāđāļāļāļāļąāļāļĄāļēāļāļĢāļāļēāļāļāđāļāļĄāļđāļĨāļāļēāļāļāļēāļĢāđāļāļāļĒāđāļāļ·āđāļāđ TMI HITQIF v1.2: Process
- 132. āļāļēāļĢāļĄāļĩāļĢāļ°āļāļāļāļēāļĢāļāļ§āļāļāļļāļĄāļāļēāļĢāļāļēāđāļāļīāļāļāļēāļāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ āļāļ°āļāļēāđāļŦāđāđāļāđāđāļāđāļāđāļ§āđāļēāļāļēāļĢāļāļēāđāļāļīāļāļāļēāļāļāļ°āđāļāđāļāđāļāļāļēāļĄāļĢāļ°āļāļ āđāļĨāļ° āđāļāļāļāļēāļāļāļĩāđāļ§āļēāļāđāļ§āđ āļāļēāļĢāļāļ§āļāļāļļāļĄāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļ·āļāđāļāđāļāļŠāđāļ§āļ āļŦāļāļķāđāļāļāļāļāļāļēāļĢāļāļ§āļāļāļļāļĄāļ āļēāļĒāđāļāļāļāļāļŦāļāđāļ§āļĒāļāļēāļ āļāļķāđāļāļāļĢāļ°āļāļāļāļāđāļ§āļĒāļāļĨāđāļāļāļĩāđ āļŠāļēāļāļąāļāļāļąāļāļāļĩāđ TMI HITQIF v1.2: Control
- 133. 5.1 āļĄāļĩāļĢāļ°āļāļāļāļ§āļāļāļļāļĄāļāļąāđāļ§āđāļ (General control) āđāļāļ·āđāļāđāļŦāđāđāļāđāđāļāļ§āđāļē āļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻāļāļ°āļŠāļēāļĄāļēāļĢāļāđāļāđāļāļēāļāđāļāđāļāļĒāđāļēāļāļāļđāļāļāđāļāļ āļāļĨāļāļāļ āļąāļĒ āļāļēāļĢ āļāļ§āļāļāļļāļĄāļāļąāđāļ§āđāļāđāļāđāđāļāđ āļāļēāļĢāļāļ§āļāļāļļāļĄāđāļāļāļĢāļāļĩāļāđāļāđāļāļāļĩāđ 1) āļŠāļĢāđāļēāļāļ§āļąāļāļāļāļĢāļĢāļĄāļāļēāļĢāđāļāđāļāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļĩāđāļāļĨāļāļāļ āļąāļĒ āđāļĨāļ° āļŠāļāļāļāļĨāđāļāļāļāļąāļāļāļīāļĻāļāļēāļāļāļāļāļāļāļāđāļāļēāļĢ 2) āļāļēāļĢāļāļąāļāļŠāļĢāđāļēāļ/āļāđāļāđāļāļīāļĄ software āđāļŦāđāđāļāđāļāđāļāļāļĒāđāļēāļāļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļ āļĢāļ§āļĄāļāļąāđāļāļāļēāļāļąāļāļāļđāđāļĨ source code/version āļāļāļ software TMI HITQIF v1.2: Control
- 134. 3) āļĢāļ°āļāļāļāļ§āļāļāļļāļĄāļāđāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļŠāļēāļĢāļŠāļāđāļāļĻ (Information Security Management) āļĄāļĩāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļ§āļāļāļļāļĄāļāļĩāđ āļāļēāđāļŦāđāđāļāđāđāļāđāļāđāļ§āđāļē āļĢāļ°āļāļāđāļĨāļ°āļāđāļāļĄāļđāļĨāđāļāđāļĢāļąāļāļāļēāļĢāļāļāļāđāļāļāļāļēāļāļāļēāļĢāđāļāđāļēāļāļķāļ āļŦāļĢāļ·āļāđāļāļĄāļāļĩāđāļāļĒāļāļđāđāđāļĄāđāļāļĢāļ°āļŠāļāļāđāļāļĩ āļāļēāļĢāđāļāđāļāļēāļāļāļĩāđāđāļĄāđāļāļđāļāļāđāļāļāļŦāļĢāļ·āļāđāļĄāđāđāļāđāļĢāļąāļ āļāļāļļāļāļēāļ āļāļĢāļ°āļāļāļāđāļāļāđāļ§āļĒ 3.1) āļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāđāļēāļāļāļēāļĒāļ āļēāļ āđāļāđāļ āļĄāļēāļāļĢāļāļēāļĢāļāļēāļĢāđāļāđāļēāļāļāļ data center 3.2) āļāđāļēāļ software āđāļĨāļ°āļāļēāļĢāđāļāđāļāļēāļ āđāļāđāļ āļāļēāļĢāđāļĨāļ·āļāļāđāļāđ database TMI HITQIF v1.2: Control
- 135. 3.3) āļāļēāļĢāļāļ§āļāļāļļāļĄāļāļēāļĢāđāļāđāļēāļāļķāļ (Access Control) āļāļēāļĢāļāļąāļāļāļēāļĢāļāļēāļĢāđāļāđāļēāļāļķāļāļāļāļ āļāļđāđāđāļāđāļāļēāļ (User access management) āļĢāļ§āļĄāļāļķāļāļāļēāļĢāļāļēāļāļąāļāļāļĩāļĢāļēāļĒāļāļ·āđāļāļāļđāđāđāļāđāļāļēāļ āļāļēāļĢāļāļēāļŦāļāļāļŠāļīāļāļāļīāļāļđāđāđāļāđāļāļēāļ āļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĨāļąāļāļĢāļŦāļąāļŠāļāđāļēāļāļāļāļāļāļđāđāđāļāđāđāļāđāļĨāļ°āļāļļāļāļāļĨ āļĢāļ§āļĄāļāļķāļāļĒāļ·āļāļĒāļąāļāļāļąāļ§āļāļļāļāļāļĨ (Authentication) 3.4) āļāļēāļĢāļāļ§āļāļāļļāļĄāđāļŦāđāđāļāļāļēāļ°āļāļđāđāļāļĩāđāđāļāļĩāđāļĒāļ§āļāđāļāļāđāļāđāļēāļāļąāđāļāļŠāļēāļĄāļēāļĢāļāđāļāđāļēāļāļķāļāļāđāļāļĄāļđāļĨ (Business requirements of access control) 3.5) āļāļēāļĢāļāļēāļŦāļāļāļŦāļāđāļēāļāļĩāđāļāļ§āļēāļĄāļĢāļąāļāļāļīāļāļāļāļāļāļāļāļāļđāđāđāļāđāļāļēāļ (User responsibilities) 3.6) āļāļēāļĢāļāļ§āļāļāļļāļĄāļāļēāļĢāđāļāđāļēāļāļķāļāļĢāļ°āļāļ (System and application access control) TMI HITQIF v1.2: Control
- 136. 3.7) āļāļēāļĢāļāļąāļāļāļķāļāļāđāļāļĄāļđāļĨāļĨāđāļāļāđāļĨāļ°āļāļēāļĢāđāļāđāļēāļĢāļ°āļ§āļąāļ (Logging and Monitoring) 3.8) āļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāļāđāļāļāđāļŦāļ§āđāļāļēāļāđāļāļāļāļīāļ (Technical Vulnerability Management) 3.9) āļāđāļēāļāđāļāļĢāļ·āļāļāđāļēāļĒ āđāļāđāļ āļāļēāļĢāđāļāļ·āđāļāļĄāđāļĒāļ Internet āļāļēāļĢāļāđāļāļāļāļąāļāļāļēāļĢāļāļļāļāļĢāļļāļ āđāļāļĢāļ·āļāļāđāļēāļĒ 3.10) āļāļēāļĢāļāļēāļĢāļļāļāļĢāļąāļāļĐāļēāļĢāļ°āļāļāđāļāļĒāļāļļāļāļāļĨāļ āļēāļĒāļāļāļ āļĄāļĩāļĄāļēāļāļĢāļāļēāļĢāļāļ§āļāļāļļāļĄ 3.11) āļāļēāļĢāļāđāļāļāļāļąāļāđāļ§āļĢāļąāļŠāđāļāļĢāļ°āļāļāļāļāļĄāļāļīāļ§āđāļāļāļĢāđ āđāļĨāļ°āđāļāļĢāļ·āđāļāļāļĄāļ·āļāđāļāļāļĒāđ (Protection from Malware) 3.12) āļāļēāļĢāđāļāđ Social Media āđāļāļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢāļāđāļāļĄāļđāļĨāļāļđāđāļāđāļ§āļĒ TMI HITQIF v1.2: Control
- 137. 4) āļāđāļēāļ hardware/software āđāļĄāļ·āđāļāļĄāļĩāļāļēāļĢāđāļāļĨāļĩāđāļĒāļāđāļāļĨāļāļĢāļ°āļāļāļāļēāļāđāļāļīāļāļāļķāđāļāđāļāđāļ āļāļēāļĢāļĨāļāļĢāļ°āļāļāļāļēāļ āļāļēāļĢāļāļīāļāļāļąāđāļāđāļāļĢāđāļāļĢāļĄāļāļĢāļąāđāļāđāļŦāļĄāđ āļāļąāđāļāļāđāļē āļĢāļ°āļāļ(configuration) āļāļēāļĢāđāļāļīāđāļĄāļŦāļāđāļ§āļĒāļāļ§āļēāļĄāļāļēāđāļāđāļāļĢāļ·āđāļāļāļāļāļĄāļāļīāļ§āđāļāļāļĢāđ āđāļāđāļāļāđāļ 5.2 āļĄāļĩāļĢāļ°āļāļāļāļ§āļāļāļļāļĄāļāđāļ§āļĒ application (Application control) āđāļāļ·āđāļāđāļŦāđāđāļāđāđāļ āļ§āđāļē āļāđāļāļĄāļđāļĨāļŠāļēāļĢāļŠāļāđāļāļĻāļāļĩāđāļĄāļĩāļāļĒāļđāđāđāļāļĢāļ°āļāļāđāļāđāļāļāđāļāļĄāļđāļĨāļāļĩāđāļāļđāļāļāđāļāļ āļāļĢāļāļāđāļ§āļ āđāļāļ·āđāļāļāļ·āļāđāļāđ āļāļąāļāđāļ§āļĨāļē āđāļāļĒāļĄāļĩāļĢāļ°āļāļāļāļ§āļāļāļļāļĄāļāļĢāļ§āļāļŠāļāļāļāļąāļāļāļĩāđ ... 5) āļāļēāļĢāļĢāļ°āļāļļāļāļąāļ§āļāļđāđāđāļāđāļēāđāļāđāļĢāļ°āļāļ āđāļĨāļ°āļāļ§āļāļāļļāļĄāđāļŦāđāļāļđāđāļĄāļĩāļŠāļīāļāļāļīāđāļāđāļēāļāļąāđāļāļāļĩāđāđāļāđāļēāđāļāđāļāļēāļāļĢāļ°āļāļ āđāļāđāļāļēāļĄāļŠāļīāļāļāļī āļĄāļĩāļāļēāļĢāļāļąāļāļāļķāļāļāđāļāļĄāļđāļĨāļāļēāļĢāđāļāđāļēāđāļāđāļāļēāļ TMI HITQIF v1.2: Control
- 138. 5.3 āļĄāļĩāļĢāļ°āļāļāļāļĢāļīāļŦāļēāļĢāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ (IT risk management) āđāļāļāđāļēāļāļāđāļēāļāđ āļāļąāļāļāļĩāđ 1) āļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāđāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļāļāļāļĢāļąāļāļĒāļēāļāļĢāđāļāļĢāļ°āļāļāđāļāļāđāļāđāļĨāļĒāļĩ āļŠāļēāļĢāļŠāļāđāļāļĻ (hardware software network data) 2) āļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĩāđāļĢāļ°āļāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļēāļāļāļēāđāļŦāđāđāļāļīāļāļāļ§āļēāļĄāļāļāļāļĢāđāļāļāđāļ āļāļēāļĢāļāļđāđāļĨāļĢāļąāļāļĐāļēāļāļđāđāļāđāļ§āļĒ 3) āļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāđāļāļāļ§āļēāļĄāđāļāđāļāļŠāđāļ§āļāļāļąāļ§āļāļāļāļāđāļāļĄāļđāļĨāļāļđāđāļāđāļ§āļĒ 4) āļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāđāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāđāļāļĢāļāļāļēāļĢāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ (IT Project Management Failure) TMI HITQIF v1.2: Control
- 139. āļāļēāļĢāļāļēāļŦāļāļāļāļąāļ§āļāļĩāđāļ§āļąāļ āđāļĨāļ°āļ§āļąāļāļāļĨāļāļĩāđāļŠāļēāļĄāļēāļĢāļāđāļāđāđāļāļāļēāļĢāļāļīāļāļāļēāļĄāđāļāđāļēāļĢāļ°āļ§āļąāļāđāļĨāļ° āļāļĢāļ§āļāļŠāļāļāļāļēāļĢāļāļēāđāļāļīāļāļāļēāļāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļāđāļĢāļāļāļĒāļēāļāļēāļĨ āļ§āđāļē āđāļāđāļāđāļāļāļĒāđāļēāļāļāļđāļāļāđāļāļāđāļŦāļĄāļēāļ°āļŠāļĄāđāļĨāļ°āļāļĢāļĢāļĨāļ§āļąāļāļāļļāļāļĢāļ°āļŠāļāļāđ āļāļēāļĢāļ§āļąāļāđāļĨāļ°āļāļĢāļ°āđāļĄāļīāļāļāļĨ āļāļ§āļĢāļāļĢāļ°āļāļēāđāļāļāļļāļāđāļŦāļĄāļ§āļāļāļāļāļāļĢāļāļāļāļēāļĢāļāļąāļāļāļē āđāļāļ·āđāļāļĨāļāļāļēāļĢāđāļāđāļāļ§āļēāļĄāđāļŦāđāļāļāļāļ āļāļļāļāļāļĨāđāļāļāļēāļĢāļāļąāļāļŠāļīāļāđāļ āļāļēāļĢāļ§āļąāļāļāļĩāđāļŠāļēāļāļąāļ āđāļāđāđāļāđ 6.1 āļ§āļąāļāđāļĨāļ°āļāļīāļāļāļēāļĄ āļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļēāļāļēāļāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ āđāļāđāļ āļāļēāļāļ§āļāļāļĢāļąāđāļāđāļĨāļ°āļĢāļ°āļĒāļ°āđāļ§āļĨāļēāļāļĩāđāļāđāļāļāļŦāļĒāļļāļāđāļŦāđāļāļĢāļīāļāļēāļĢ (down time), āļĢāļ°āļĒāļ°āđāļ§āļĨāļēāđāļ āļāļēāļĢāđāļāđāđāļāļāļļāļāļąāļāļīāļāļēāļĢāļāđāļāđāļēāļāđ, āļāđāļēāđāļāđāļāđāļēāļĒāđāļāļāļēāļĢāļāļēāļĢāļļāļāļĢāļąāļāļĐāļēāļĢāļ°āļāļ 6.2 āļ§āļąāļāđāļĨāļ°āļāļīāļāļāļēāļĄāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ āļāļēāļĢāļāļ§āļāļāļļāļĄāļ āļēāļĒāđāļ āļāđāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāđāļĨāļ°āļāļ§āļēāļĄ āļāļĨāļāļāļ āļąāļĒāļāļāļāļĢāļ°āļāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ TMI HITQIF v1.2: Metrics
- 140. 6.3 āļ§āļąāļāđāļĨāļ°āļāļīāļāļāļēāļĄāļāļ§āļēāļĄāļāļđāļāļāđāļāļ āļāļĢāļāļāđāļ§āļ āđāļāļ·āđāļāļāļ·āļāđāļāđ āļāļąāļāđāļ§āļĨāļēāļāļāļāļāđāļāļĄāļđāļĨ āļŠāļēāļĢāļŠāļāđāļāļĻ 6.4 āļāļĢāļ§āļāļŠāļāļāļāļēāļĢāļāļāļīāļāļąāļāļīāļāļēāļĄāļāđāļĒāļāļēāļĒāđāļĨāļ°āļĢāļ°āđāļāļĩāļĒāļāļāļāļīāļāļąāļāļī 6.5 āļāļĢāļ°āđāļĄāļīāļāđāļĨāļ°āļ§āļąāļāļāļĨāļāļēāļĢāļāļēāđāļāļīāļāļāļēāļĢāļāļēāļĄāđāļāļāđāļĄāđāļāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ āļāļēāļĢāļāļąāļāļāļēāļŠāļĄāļĢāļĢāļāļāļ°āļāļļāļāļĨāļēāļāļĢ āļāļēāļĢāļāļąāļāļāļēāļāļ§āļēāļĄāļŠāļēāļĄāļēāļĢāļāļāļāļāļĢāļ°āļāļ TMI HITQIF v1.2: Metrics
- 141. Final Thoughts
- 142. âĒ āļ āļąāļĒāļāđāļēāļ IT Security & Privacy āđāļāđāļ Risk āļāļĩāđāļŠāļēāļāļąāļāļāļąāļāļŦāļāļķāđāļāļāļĩāđāļāđāļāļ āļĄāļĩāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢ âĒ Security āļĄāļĩāļāļąāđāļ C, I, A āđāļĨāļ°āđāļāļĩāđāļĒāļ§āļāđāļāļāļāļąāļ Privacy âĒ Policy & Regulation āļĢāļ§āļĄāļāļąāđāļ Legal compliance āļĄāļĩāļāļ§āļēāļĄāļŠāļēāļāļąāļ âĒ āļāļĒāđāļēāļĨāļ·āļĄāđāļŦāđāļāļ§āļēāļĄāļŠāļēāļāļąāļāļāļąāļāļāļąāđāļ 3 āļāđāļēāļāļāļāļ IT Security āļāļĒāđāļēāļāđāļāđ āļŠāļĄāļāļļāļĨ: People, Process, Technology IT Security
- 143. How to Deal with Security
- 144. How to Deal with Security