More Related Content Similar to 12 istm information security management-amn Similar to 12 istm information security management-amn (18) More from Amnon Elbee אמנון אלבי More from Amnon Elbee אמנון אלבי (19) 12 istm information security management-amn1. מערכות ניהולמערכות ניהול
מידע וטכנולוגיותמידע וטכנולוגיות
הארגוני המידע אבטחת של ניהולהארגוני המידע אבטחת של ניהול
Information Security ManagementInformation Security Management
דד""פינק ליאור רפינק ליאור ר
אלבי אמנואלבי אמנו
ב אוניברסיטתב אוניברסיטת--בנגב גוריובנגב גוריו
וניהול תעשיה להנדסת המחלקהוניהול תעשיה להנדסת המחלקה
שיעור9
2. הארגוני המידע אבטחת ניהול 228מאי12
הבעיההבעיה
לפשיעה אטרקטיבית תשתית מהווה האינטרנטלפשיעה אטרקטיבית תשתית מהווה האינטרנט––
גדולי מסחר היקפיגדולי מסחר היקפי,,נמו סיכונמו סיכו,,יחסית אנונימיותיחסית אנונימיות
עקי ונזק ישיר נזקעקי ונזק ישיר נזק
התופעה היק את להערי קושיהתופעה היק את להערי קושי
כל לאכל לא""וירטואלי פושעוירטואלי פושע) ") "cybercriminalcybercriminal((מעוניימעוניי
בכסבכס))לדוגמאלדוגמא,,אידיאולוגיי מניעי או ונדליזאידיאולוגיי מניעי או ונדליז((
כספי ג הוא הנזקכספי ג הוא הנזק,,בדימוי בפגיעה מתבטא ג אבדימוי בפגיעה מתבטא ג א
החברה של ובמוניטיהחברה של ובמוניטי
3. הארגוני המידע אבטחת ניהול 328מאי12
מידע מערכות סיכונימידע מערכות סיכוני
רבי נכסי ה עצמו והמידע המידע מערכותרבי נכסי ה עצמו והמידע המידע מערכות--ערער
הארגו עבורהארגו עבור
אפשריי סיכוניאפשריי סיכוני::
פיזי נזקפיזי נזק))אשאש,,שיטפושיטפו,,אסואסו((
פנימי אנושי מגור נזקפנימי אנושי מגור נזק))בזדו או בתמימותבזדו או בתמימות((
חיצוני אנושי מגור נזקחיצוני אנושי מגור נזק))וירוסיוירוסי,,פורציפורצי––HackersHackers((
טכניות תקלותטכניות תקלות
עיקרי אחריות תחו הינה מידע מערכות אבטחתעיקרי אחריות תחו הינה מידע מערכות אבטחת
מידע מערכות יחידת שלמידע מערכות יחידת של
4. הארגוני המידע אבטחת ניהול 428מאי12
הסיכוני ניהולהסיכוני ניהול
סיכוני סוגי
טבע נזקי
אד בני
תפעוליי גורמי←חשמל הפסקת
סיכוני ניהול
זיהוי
חומרה הערכת
פתרו של בחירה:התחמקות,פתרו ללא אימו,הקטנה,העברה
שוט סיכוני ניהול:מדידה,בקרה
5. הארגוני המידע אבטחת ניהול 528מאי12
מוחלטת אבטחה אי מדועמוחלטת אבטחה אי מדוע
באבטחה הקשורות עלויותבאבטחה הקשורות עלויות
המשתמש בנוחות פגיעההמשתמש בנוחות פגיעה))Ease of useEase of use((
ציבורית מבחינהציבורית מבחינה,,של הצור בי מתח ישנושל הצור בי מתח ישנו
ולאסו התקשורת רשתות את לנטר הממשלולאסו התקשורת רשתות את לנטר הממשל
לפרטיות האזרחי זכות ובי מידעלפרטיות האזרחי זכות ובי מידע
7. הארגוני המידע אבטחת ניהול 728מאי12
האינטרנט ברשת פגיעות נקודותהאינטרנט ברשת פגיעות נקודות
Source: Laudon and Laudon (2004)
8. הארגוני המידע אבטחת ניהול 828מאי12
אלקטרונית בתקשורת אבטחה מימדיאלקטרונית בתקשורת אבטחה מימדי
IntegrityIntegrity עצמו את מציג שהוא מי באמת הוא הגולש הא?
מיהו אומר הגולש/במשהו מחזיק/מאפיישלו רק
Non RepudiationNon Repudiation הכחשה אי
AuthenticityAuthenticity זיהוי/הרשאה
ConfidentialityConfidentiality סודיות
PrivacyPrivacy פרטיות
AvailabilityAvailability זמינות/מיותרת הצפנה למנוע
9. הארגוני המידע אבטחת ניהול 928מאי12
עיקריי אבטחה איומיעיקריי אבטחה איומי
Malicious codeMalicious code
Hacking and cybervandalismHacking and cybervandalism
Credit card fraud/theftCredit card fraud/theft
Spoofing/phishingSpoofing/phishing
Denial of service attacksDenial of service attacks
SniffingSniffing
Insider jobsInsider jobs
10. הארגוני המידע אבטחת ניהול 1028מאי12
Malicious CodeMalicious Code
איומי של קטגוריהאיומי של קטגוריה,,קוד של שוני סוגי הכוללתקוד של שוני סוגי הכוללת
נזק לעשות שנועד תוכנהנזק לעשות שנועד תוכנה::
VirusVirus––את לשכפל היכולת את לה שיש מחשב תוכנתאת לשכפל היכולת את לה שיש מחשב תוכנת
אחרי לקבצי ולהתפשט עצמהאחרי לקבצי ולהתפשט עצמה,,נזק גרימת תו כלל בדרנזק גרימת תו כלל בדר
כלשהוכלשהו))Macro, FileMacro, File--infecting, Scriptinfecting, Script((
WormWorm––למחשב ממחשב להתפשט שמטרתו תוכנה קודלמחשב ממחשב להתפשט שמטרתו תוכנה קוד
Trojan horseTrojan horse––למשתמש טבעי נראהלמשתמש טבעי נראה,,מבצע אז אולמבצע אז אול
צפויות בלתי פעילויותצפויות בלתי פעילויות
11. הארגוני המידע אבטחת ניהול 1128מאי12
Hacking and CybervandalismHacking and Cybervandalism
HackerHacker––מורשית בלתי גישה להשיג המנסה אדמורשית בלתי גישה להשיג המנסה אד
מחשב למערכתמחשב למערכת
CrackerCracker––פלילית כוונה בעל האקרפלילית כוונה בעל האקר
White hatsWhite hats––האקריהאקרי""טוביטובי""לארגוני המסייעילארגוני המסייעי
אבטחה פרצות ולתק לאתראבטחה פרצות ולתק לאתר))חוזה תחתחוזה תחת((
Black hatsBlack hats––נזק כוונת בעלי האקרינזק כוונת בעלי האקרי))של רצונו בלאשל רצונו בלא
המטרה ארגוהמטרה ארגו((
Grey hatsGrey hats––לטובת פועלי שה המאמיני האקרילטובת פועלי שה המאמיני האקרי
בלא אבטחה פרצות ומפרסמי פורצי שה בכ הכללבלא אבטחה פרצות ומפרסמי פורצי שה בכ הכלל
נזק לגרונזק לגרו
12. הארגוני המידע אבטחת ניהול 1228מאי12
Credit Card FraudCredit Card Fraud
זה מאיו חשש מתו באינטרנט רוכשי אינ רבי אנשיזה מאיו חשש מתו באינטרנט רוכשי אינ רבי אנשי
בפועלבפועל,,חושבי שאנשי ממה יותר הרבה קט זה איוחושבי שאנשי ממה יותר הרבה קט זה איו
Spoofing/PhishingSpoofing/Phishing
SpoofingSpoofing––לא ייצוגלא ייצוג--שימוש באמצעות עצמ של אמיתישימוש באמצעות עצמ של אמיתי
דוא בכתובתדוא בכתובת""אחר למישהו התחזות או מזויפת לאחר למישהו התחזות או מזויפת ל
PhishingPhishing--לכתובת קישור להפניית מתייחס ג זה מושגלכתובת קישור להפניית מתייחס ג זה מושג
מהמתכוו שונה אינטרנטמהמתכוו שונה אינטרנט,,הרצוי ליעד מתחזה האתר כאשרהרצוי ליעד מתחזה האתר כאשר
13. הארגוני המידע אבטחת ניהול 1328מאי12
Denial of Service (DoS) attackDenial of Service (DoS) attack
על מיותרת תעבורה ע אינטרנט אתר להצפת מתייחס זה מושגעל מיותרת תעבורה ע אינטרנט אתר להצפת מתייחס זה מושג
האתר את להפיל מנתהאתר את להפיל מנת::
רלוונטי לא להיות הופ השירות אשר עד מתאר תגובה זמרלוונטי לא להיות הופ השירות אשר עד מתאר תגובה זמ
ליכולתו מעבר עומס ע מתמודד השרתליכולתו מעבר עומס ע מתמודד השרת
לאזורי מגיעות או מידע הורסות אינ אלה שהתקפות למרותלאזורי מגיעות או מידע הורסות אינ אלה שהתקפות למרות
השרת של חסוייהשרת של חסויי,,הפסד וגוררות החברה לפעילות מפריעות ההפסד וגוררות החברה לפעילות מפריעות ה
ותדמיתי כספיותדמיתי כספי
Distributed DoSDistributed DoS––לתקו מנת על מחשבי במספר שימושלתקו מנת על מחשבי במספר שימוש
המטרה רשת אתהמטרה רשת את
14. הארגוני המידע אבטחת ניהול 1428מאי12
SniffingSniffing
SnifferSniffer––האזנה תוכנת של סוגהאזנה תוכנת של סוג,,מידע המנטרתמידע המנטרת
ברשת העוברברשת העובר
Insider JobsInsider Jobs
מגורמי דווקא לאו מגיע ביותר המשמעותיי האיומי אחדמגורמי דווקא לאו מגיע ביותר המשמעותיי האיומי אחד
הארגו בתו מאנשי אלא חיצונייהארגו בתו מאנשי אלא חיצוניי
16. הארגוני המידע אבטחת ניהול 1628מאי12
טכנולוגיי פתרונותטכנולוגיי פתרונות
Encryption:Encryption:
Symmetric key encryptionSymmetric key encryption
Public key encryptionPublic key encryption
Digital envelopeDigital envelope
Digital certificateDigital certificate
17. הארגוני המידע אבטחת ניהול 1728מאי12
ופרטי ציבורי מפתח בשיטת ההצפנה)1(
צירופי מנעול תלוי שעליה פתוחה תיבה לנעמי שולח אמנו
פתוח.
הסודי הצירו בידיעת צור אי המנעול לסגירת.
טביעת בצירו אותה ולנעול מכתב בתיבה לשי יכולה נעמי
המכתב גבי על שלה אצבע.את לשלוח יכולה היא כעת
חשש ללא לאמנו התיבה.
הסודי הצירו את מכיר אמנו רק,את לפתוח מסוגל הוא רק
המכתב את ולקרוא התיבה.
היא כי מוכיחה נעמי של האצבע טביעתהיאאת שלחה אשר
המכתב
לאחר התיבה את לפתוח מסוגלת אינה עצמה נעמי אפילו
אותה שנעלה
18. הארגוני המידע אבטחת ניהול 1828מאי12
ופרטי ציבורי מפתח בשיטת ההצפנה)2(
פומבי מפתח הצפנת)ציבורי מפתח או(ב ענ היאקריפטוגרפיהג הנקרא
הפענוח ממפתח שונה ההצפנה מפתח בה אשר אסימטרית הצפנה.
לעצמו מכי משתמש כלמפתחות זוג:פומבי מפתח)Public key(שהוא
פרטי ומפתח לכל הנגיש הצפנה מפתח)Private key(מתאי,בסוד הנשמר
לפענוח ומשמש.
הנה ההתאמהחד-חדערכית)פרטי מפתח ורק א קיי פומבי מפתח לכל
לו המתאי יחיד.(זו בשיטה מסר להצפי כדי,עותק לידיו להשיג המצפי על
המקבל של הפומבי המפתח של אותנטי,את לו ושולח מצפי הוא בעזרתו
המסר.הפרטי המפתח בעזרת המוצפ הטקסט את לשחזר מסוגל המקבל רק
שברשותו המתאי.
שב הקושי על נשענת פומבי מפתח שיטת בטיחותחישובמתו הפרטי המפתח
הפומבי המפתח.א זו שיטה מכונה זו מסיבה-סימטרית,הצפנה לשיטת בניגוד
סימטריתההצפנה למפתח זהה הפענוח מפתח שבה)נית פני כל על
ההצפנה מפתח מתו בקלות לחישוב.(
19. הארגוני המידע אבטחת ניהול 1928מאי12
.1השרת אל פונה הדפדפ
.2הדפדפ אל התעודה את שולח השרת
.3המפתח את התעודה מ שול הדפדפהציבוריהשרת של
.4הדפדפמייצרהצפנה מפתח)סימטרי(
.5מצפי הדפדפ)א באופ-סימטרי(הסימטרי המפתח אתבשימושהמפתחהציבוריהשרת של
.6הסימטרי המפתחהמוצפהשרת אל נשלח
.7הסימטרי המפתח את מפענח השרתבשימוששלו הפרטי המפתח
.8תעלה יוצר אשר סימטרי מפתח יש ולשרת לדפדפמאובטחתSSLביניה
20. הארגוני המידע אבטחת ניהול 2028מאי12
SSLעובד זה אי?
ל ניגש הקונההאינטרנט אתרמסוימת חנות של.
לכל הידוע הציבורי המפתח את שולח החנות של האינטרנט שרת.
הדפדפזמני מפתח מייצר הקונה של)הסימטרי המפתח הוא
הוא כיו המקובל וחוזקו128ביט.(
במפתח שימוש תו מוצפ באופ לחנות מועבר הסימטרי המפתח
החנות של הציבורי.
הפרטי במפתח שימוש תו מפענחת החנותהחנות של
המפתח מהו ידעו הקונה של והדפדפ החנות של השרת רק
במפתח שימוש תו מוצפ מידע ביניה להעביר ויוכלו הסימטרי
הסימטרי]לחסוהצפנה בזמ.[את יותר עוד לאבטח כדי
התקשורתביניה,שיחה יצירת בעת יוחל הסימטרי המפתח
חדשה.
ע אותו ומצפי האשראי כרטיס מספר את לחנות מעביר הקונה
הסימטרי המפתח.
יוכל לא לקונה החנות בי השיחה את ליירט שיצליח עוי גור
המתאי הסימטרי המפתח את לו שאי מכיוו השיחה את לפענח.
22. הארגוני המידע אבטחת ניהול 2228מאי12
Public Key EncryptionPublic Key Encryption
Source: Laudon and Traver (2004)
23. הארגוני המידע אבטחת ניהול 2328מאי12
Digital Certificates andDigital Certificates and
Certification AuthoritiesCertification Authorities
Source: Laudon and Traver (2004)
24. הארגוני המידע אבטחת ניהול 2428מאי12
טכנולוגיי פתרונותטכנולוגיי פתרונות--המשהמש
Secure Sockets Layer (SSL)Secure Sockets Layer (SSL)
Virtual Private Networks (VPN)Virtual Private Networks (VPN)
FirewallsFirewalls
AntiAnti--Virus SoftwareVirus Software
25. הארגוני המידע אבטחת ניהול 2528מאי12
הצפנה←חשאיות או סודיות
המקבל של הפומבי המפתח באמצעות המוצפ מסר,לא
את בידיו המחזיק המקבל מלבד איש ידי על לפענוח נית
המתאי הפרטי המפתח.
דיגיטלית חתימה←אימות/שלמות בדיקת ג כמו זיהוי.
של הפרטי המפתח באמצעות שנחת מסרהשולח,נית
השולח של הפומבי למפתח גישה לו שיש מי כל ידי על לאימות.
המסמ וכי המסמ מקור הוא שהשולח להוכיח נית באמצעותו
זר גור בידי שונה לא.
המפתחות שיטת של העיקריי היישומי
26. הארגוני המידע אבטחת ניהול 2628מאי12
יושר תעודתCertificate
מאשר גור ידי על מונפקת
באתר הפרטי נכונות על מעיד
המאשר הגור על סומכי אנו הא?
אמו רשתTrust Net
28. הארגוני המידע אבטחת ניהול 2828מאי12
המידע אבטחת של טבעותהמידע אבטחת של טבעות
Source: Laudon and Traver (2004)
30. הארגוני המידע אבטחת ניהול 3028מאי12
האבטחה מעגליהאבטחה מעגלי
פיסית אבטחה
גישה בקרת:למתק,לנתוני,לתוכניות
זהות וידואAuthentication
יודע שהמשתמש דבר←What the user knows
ושניוניות ראשוניות סיסמאות
המשתמש ברשות שיש דבר←What the user has
מגנטי כרטיס,הצפנה נושא חכ כרטיס,ייצורPINע"יSecure ID
המשתמש את המזהה דבר←Who the user is
תוכנה אבטחת
תקשורת אבטחת
עקיפי אבטחה אמצעי:גיבוי,DRP,ביטוח
32. הארגוני המידע אבטחת ניהול 3228מאי12
הבאי במגזרי היתר בי מיוש זה מסוג פתרו:
כספיי מוסדות:בנקי,חברותביטוח
ממשלה משרדי
תקשורת חברות
החיצו העול מפני להגנה אבטחה מעטפת
34. הארגוני המידע אבטחת ניהול 3428מאי12
פיזיי נזקי כנגד הגנה אמצעיפיזיי נזקי כנגד הגנה אמצעי
אש כיבוי אמצעיאש כיבוי אמצעי,,ברקי כולאיברקי כולאי
אש חסינות בכספות גיבויי אחסואש חסינות בכספות גיבויי אחסו
למי איטולמי איטו
אל ציודאל ציוד--החשמל ברשת הפרעות לבידוד פסקהחשמל ברשת הפרעות לבידוד פסק
גבוהות טמפרטורות של מצב לאיתור טמפרטורה גלאיגבוהות טמפרטורות של מצב לאיתור טמפרטורה גלאי
מרוחק גיבוי אתרמרוחק גיבוי אתר
35. הארגוני המידע אבטחת ניהול 3528מאי12
לנתוני פיזית גישה מניעתלנתוני פיזית גישה מניעת))שרתי נעילתשרתי נעילת,,כונניכונני,,
הדפסות איסורהדפסות איסור((
קפדניות הרשאותקפדניות הרשאות
שעוזבי ולעובדי חדשי לעובדי נהלישעוזבי ולעובדי חדשי לעובדי נהלי
סיסמה באמצעות משתמשי זיהויסיסמה באמצעות משתמשי זיהוי))AuthenticationAuthentication((
מגנטיי כרטיסי באמצעות זיהוימגנטיי כרטיסי באמצעות זיהוי,,ביומטריי או חכמיביומטריי או חכמי
והתראות מעקביוהתראות מעקבי
אנוש גורמי כנגד הגנה אמצעיאנוש גורמי כנגד הגנה אמצעי
36. הארגוני המידע אבטחת ניהול 3628מאי12
הרשאותהרשאות
גישה בקרת של רשימת←Access control list
לגשת מותר למי,לבצע לו מותר מה
גישה בקרת של מטריצה←Access control matrix
שורה=משתמש,עמודה=נתו סוג,תוכנית,טבלה
37. הארגוני המידע אבטחת ניהול 3728מאי12
מאסו להתאוששות תכניתמאסו להתאוששות תכנית
Disaster Recovery Plan (DRP)Disaster Recovery Plan (DRP)
מאז משמעותית תאוצה קיבל הנושאמאז משמעותית תאוצה קיבל הנושא1111//99//20012001
בנושא שמתמחות חברות קמותבנושא שמתמחות חברות קמות,,שונות בשיטותשונות בשיטות::
משוכלל גיבויי מערמשוכלל גיבויי מער
גיבוי אתרגיבוי אתר
מרוחק באתר אחסומרוחק באתר אחסו
אחר באתר גיבויאחר באתר גיבוי
38. הארגוני המידע אבטחת ניהול 3828מאי12
ארגוניות ופרוצדורות מדיניותארגוניות ופרוצדורות מדיניות
הכרחי הגנה אמצעי הינ הטכנולוגיי הפתרונותהכרחי הגנה אמצעי הינ הטכנולוגיי הפתרונות,,אא
בלתיבלתי--מספיקמספיק
המידע לאבטחת תוכנית לפתח נדרש הארגוהמידע לאבטחת תוכנית לפתח נדרש הארגו,,תותו
הבאי השלבי יישוהבאי השלבי יישו::
סיכוני הערכת ביצועסיכוני הערכת ביצוע
אבטחה מדיניות פיתוחאבטחה מדיניות פיתוח
יישו תוכנית פיתוחיישו תוכנית פיתוח
אבטחה ארגו יצירתאבטחה ארגו יצירת
אבטחה ביקורת ביצועאבטחה ביקורת ביצוע
חונכותחונכות,,אישית דוגמאאישית דוגמא,,הדרכותהדרכות
לקידו תנאילקידו תנאי
חדירות בדיקותחדירות בדיקות
39. הארגוני המידע אבטחת ניהול 3928מאי12
אבטחה המלצות)דוגמא(
שרת גרסת של הסתרה,הפעלה מערכתוהפיתוח
חסימת-Directory Listing
מוגדרות לכתובות הניהול ממשק חסימת
מיותרי ממשקי ביטול)משתמשי רישו(
משתמש ש:תקופתית והחלפה חוזק
נוהלי,נוהלי,נוהלי....
40. הארגוני המידע אבטחת ניהול 4028מאי12
Governing for Enterprise SecurityGoverning for Enterprise Security
Carnegie Mellon University, Software Engineering InstituteCarnegie Mellon University, Software Engineering Institute
Shifts in Perspective about Security:Shifts in Perspective about Security:
The goal is securityThe goal is security
Security is an expenseSecurity is an expense
There is an intermittentThere is an intermittent
focus on securityfocus on security
Security has a technicalSecurity has a technical
ownerowner
Security is a technicalSecurity is a technical
problemproblem
From:From: To:To:
The goal is businessThe goal is business
continuitycontinuity
GoalGoal
Security is an investmentSecurity is an investmentFundingFunding
Security is integratedSecurity is integratedFocusFocus
Security is owned by theSecurity is owned by the
enterpriseenterprise
OwnershipOwnership
Security is an enterpriseSecurity is an enterprise--
wide problemwide problem
ScopeScope
41. הארגוני המידע אבטחת ניהול 4128מאי12
Governing for Enterprise SecurityGoverning for Enterprise Security
Carnegie Mellon University, Software Engineering InstituteCarnegie Mellon University, Software Engineering Institute
Characteristics of Effective Security Governance:Characteristics of Effective Security Governance:
1.1. Security is enacted at an enterprise levelSecurity is enacted at an enterprise level
2.2. CC--level leaders understand their accountability andlevel leaders understand their accountability and
responsibility with respect to securityresponsibility with respect to security
3.3. Security is treated the same as any other businessSecurity is treated the same as any other business
requirementrequirement -- it is considered a cost of doing business,it is considered a cost of doing business,
not a discretionary or negotiable budgetnot a discretionary or negotiable budget--line item thatline item that
needs to be regularly defendedneeds to be regularly defended
4.4. Business units and staff donBusiness units and staff don’’t get to decide unilaterallyt get to decide unilaterally
how much security they wanthow much security they want
5.5. Security is considered during normal strategic andSecurity is considered during normal strategic and
operational planning cyclesoperational planning cycles
6.6. Security has achievable, measurable objectives thatSecurity has achievable, measurable objectives that
directly align with enterprise objectivesdirectly align with enterprise objectives
42. הארגוני המידע אבטחת ניהול 4228מאי12
Governing for Enterprise SecurityGoverning for Enterprise Security
Carnegie Mellon University, Software Engineering InstituteCarnegie Mellon University, Software Engineering Institute
Characteristics of Effective Security Governance:Characteristics of Effective Security Governance:
7.7. Determining how much security is enough equates toDetermining how much security is enough equates to
how much risk and how much exposure an organizationhow much risk and how much exposure an organization
can toleratecan tolerate
8.8. All function and business unit leaders within theAll function and business unit leaders within the
organization understand how security serves as aorganization understand how security serves as a
business enabler (versus an inhibitor)business enabler (versus an inhibitor)
9.9. They view security as part of their responsibility andThey view security as part of their responsibility and
understand that their performance with respect tounderstand that their performance with respect to
security is measured as part of their overall performancesecurity is measured as part of their overall performance
10.10. Security is integrated into enterprise functions andSecurity is integrated into enterprise functions and
processesprocesses -- these include risk management, humanthese include risk management, human
resources (hiring, firing), audit/compliance, disasterresources (hiring, firing), audit/compliance, disaster
recovery, business continuity, asset management,recovery, business continuity, asset management,
change control, and IT operationschange control, and IT operations
43. הארגוני המידע אבטחת ניהול 4328מאי12
Governing for Enterprise SecurityGoverning for Enterprise Security
Carnegie Mellon University, Software Engineering InstituteCarnegie Mellon University, Software Engineering Institute
Characteristics of Effective Security Governance:Characteristics of Effective Security Governance:
11.11. Security is actively considered as part of newSecurity is actively considered as part of new--projectproject
initiation and ongoing project management, and duringinitiation and ongoing project management, and during
all phases of any softwareall phases of any software--development life cycledevelopment life cycle
12.12. All personnel who have access to enterprise networksAll personnel who have access to enterprise networks
understand their individual responsibilities with respectunderstand their individual responsibilities with respect
to protecting and preserving the organizationto protecting and preserving the organization’’s securitys security
conditioncondition
13.13. Rewards, recognition, and consequences with respectRewards, recognition, and consequences with respect
to security policy compliance are consistently appliedto security policy compliance are consistently applied
and reinforcedand reinforced