Information Security Management Framework (ISMF) Version 2
by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center
āļāļēāļāđāļĄāđāļāļĨāđāļāļāļēāļĢāļāļąāļāļāļēāļĢāļĢāļ°āļāļāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāđāļāļĄāļđāļĨāļāļĒāđāļēāļāđāļāđāļāļĢāļ°āļāļāđāļĨāļ°āļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļ Information Security Management Framework (ISMF) Version 1 āļāļķāđāļāļĄāļĩāļāļąāđāļāļŦāļĄāļ 7 āļāļąāđāļāļāļāļ āļāļąāļāļĢāļđāļāļāļĩāđ 1
āļĢāļđāļāļāļĩāđ 1
āļāļāļ§āđāļē ISMF version 1 āļāļąāđāļāļāļđāļāļāļģāļĄāļēāļāļĢāļ°āļĒāļļāļāļāđāđāļāđāđāļāļāļāļāđāļāļĢāļ āļēāļāļĢāļąāļāđāļĨāļ°āđāļāļāļāļ āļāļāļāļāļĢāļ°āđāļāļĻāđāļāļĒ āļāļĨāļāļ 2 āļāļĩāļāļĩāđāļāđāļēāļāļĄāļē āļāļģāđāļŦāđāļāļĩāļĄāļāļąāļāļāļē ISMF āđāļāđāļāđāļāļāļīāļ āđāļĨāļ°āļāļĢāļ°āļŠāļāļāļēāļĢāļāđāļāļĩāđāļĄāļĩāļāļĢāļ°āđāļĒāļāļāđāļāļģāļāļ§āļāļĄāļēāļ āļāļķāđāļāļŠāđāļāļāļĨāđāļŦāđāļĄāļļāļĄāļĄāļāļāļāļāļāļāļĩāļĄāļāļąāļāļāļē ISMF āļāļĩāđāļĄāļĩāļāđāļāđāļĄāđāļāļĨāđāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāļāļąāđāļāđāļĢāļīāđāļĄāđāļāļĨāļĩāđāļĒāļāđāļ āļāļąāļāļāļąāđāļāļāļĩāļĄāļāļąāļāļāļē āļāļķāļāđāļāđāļāļģāļāļēāļĢāļ§āļīāļāļąāļĒāđāļĨāļ°āļāļąāļāļāļēāđāļĄāđāļāļĨāļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨ āļāļķāđāļāđāļāđāļāđāļāļāļŦāļĨāļąāļāđāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāļāļāđāļāļĢāļāļķāđāļāđāļŦāļĄāđ āđāļāļĒāļāļģāđāļāļ§āļāļ§āļēāļĄāļāļīāļāļāđāļēāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢ āđāļĨāļ° āļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāļĄāļēāļĢāđāļ§āļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļāđāļēāļāđāļ§āļĒāļāļąāļ
āđāļĄāđāļāļĨ ISMF Version 2 āđāļāđāļāļĢāļąāļāļĄāļļāļĄāļĄāļāļāļāļēāļ “IT security” āđāļāđāļāđāļ “Information Security” āļāļķāđāļāļŦāļĄāļēāļĒāļāļ§āļēāļĄāļ§āđāļēāđāļāđāļāļĢāļąāļāļĄāļļāļĄāļĄāļāļāļāļēāļāđāļāļīāļĄāļāļķāđāļāđāļāđāļāļāļēāļĢāđāļāđāļāđāļāļāļēāļĢāđāļāđāļāļąāļāļŦāļēāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāđāļĨāļ°āđāļāļāļĩāđāļāđāļāļŦāļĨāļąāļ āđāļāļĨāļĩāđāļĒāļāđāļāđāļāđāļāļāļēāļĢāļĄāļāļāļāļķāļāļāļąāļāļŦāļēāļāļēāļāļāļļāļĢāļāļīāļāļĄāļēāļāļāļķāđāļ
āļāļāļāļāļēāļāļāļąāđāļāļāļĩāļĄāļāļąāļāļāļē ISMF āļĒāļąāļāđāļāđāļāļąāļāļāļēāđāļāļĒāļāļēāļĻāļąāļĒāļŦāļĨāļąāļāļāļāļāļāļēāļĢāļāļąāļāļāļēāļāļĒāđāļēāļāļāđāļāđāļāļ·āđāļāļ (Continuous Improvement) āđāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļļāļāļ āļēāļ (Quality Management) āļāļķāđāļāļāļĢāļ°āļāļāļāđāļāđāļ 4 āđāļāļ§āļāļ§āļēāļĄāļāļīāļāļŦāļĨāļąāļ āļāļĢāļ°āļāļāļāļāđāļ§āļĒ 1. āļ§āļēāļāđāļāļ (Plan) 2. āļāļāļīāļāļąāļāļī (Do) 3. āļāļĢāļ§āļāļŠāļāļ (Check) āđāļĨāļ° 4. āđāļāđāđāļ (Act) āđāļāđāļāļĒāđāļēāļāđāļĢāļāđāļāļēāļĄāļāļēāļĢāļāļĢāļąāļāđāļāļ§āļāļ§āļēāļĄāļāļīāļāļāđāļēāļāļāļēāļĢāļāļąāļāļāļēāļāļĒāđāļēāļāļāđāļāđāļāļ·āđāļāļāļāļąāđāļāļĒāļąāļāđāļĄāđāļŠāļēāļĄāļēāļĢāļāļāļģāļĄāļēāđāļāđāđāļāļāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāđāļāđāđāļāļĒāļāļĢāļ āđāļāļ·āđāļāļāļāļēāļāđāļāļ§āļāļīāļāļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāļāļąāđāļāđāļĄāđāđāļāđāļāļēāļĢāļĨāļāļāđāļāļāđāļŦāļ§āđāļĨāļāđāļŦāđāđāļāđāļēāļāļąāļāļĻāļđāļāļĒāđ (zero risk) āļāļąāđāļāļāļĩāđāđāļāļ·āđāļāļāļāļēāļāļāļēāļĢāļāļģāļāļąāļāļāļĨāđāļēāļ§āļāļąāđāļāļāļēāļāļāļģāđāļāđāļŦāļēāļāđāļāđāļāđāļāļāđāļāđāļāđāļāļāļļāļāļāļĩāđāļŠāļđāļāļĄāļēāļāļāļāđāļĄāđāļāļļāđāļĄāļāđāļē āđāļĨāļ°āļāļēāļāļāļąāļāļāļ§āļēāļāļāđāļāļāļēāļĢāļāļģāļāļļāļĢāļāļīāļāļāļāļāļāļĢāļīāļĐāļąāļāļāļĩāļāļāđāļ§āļĒ āļāļąāļāļāļąāđāļāļāļēāļĢāļāļąāļāļāļēāļĢāļāđāļēāļāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāļāļąāđāļāļāļķāļāļāļ§āļĢāļāļąāđāļāļāļĒāļđāđāļāļāđāļāļ§āļāļīāļāļāđāļēāļ Risk Management āļāļķāđāļāļŦāļĄāļēāļĒāļāļ§āļēāļĄāļ§āđāļē āļāļēāļĢāļĢāļąāļāļĄāļ·āļāļāļąāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļŦāļĢāļ·āļāļāļ§āļēāļĄāđāļĄāđāļāļĨāļāļāļ āļąāļĒāļāļāļāļĢāļ°āļāļāļāļąāđāļāđāļĄāđāđāļāđāļāļēāļĢāļāļģāđāļāđāđāļāļĩāļĒāļāđāļāđāļāļ·āđāļāļāļļāļāļāļĢāļāđāđāļāļīāđāļĄāđāļĨāļ°āļāđāļāļāļāļąāļāļĢāļ°āļāļāđāļāđāļēāļāļąāđāļ āļŦāļēāļāļĒāļąāļāļĄāļĩāļ§āļīāļāļĩāļāļēāļĢāļāļ·āđāļāļāļĩāļāļĄāļēāļāļĄāļēāļĒ āļāļķāđāļāļāļēāļĢāļāļĒāļđāđāđāļāļĒāđāđāļĄāđāļāļģāļāļ°āđāļĢāđāļĨāļĒ āļāđāļāļąāļāđāļāđāļāļŦāļāļķāđāļāđāļāļāļąāđāļāļāđāļ§āļĒ āđāļĨāļ° āļāđāļāļąāļāļ§āđāļēāđāļāđāļāļŠāļīāđāļāļāļĩāđāļāļ§āļĢāļāļģāđāļāļāļĢāļāļĩāļāļĩāđāļāđāļēāđāļāđāļāđāļēāļĒāđāļāļāļēāļĢāļāđāļāļāļāļąāļāļĢāļ°āļāļāļŠāļđāļāļāļāđāļĄāđāļāļļāđāļĄāļāļąāļāļāļ§āļēāļĄāđāļŠāļĩāļĒāļŦāļēāļĒāļāļĩāđāļāļēāļāļāļ°āđāļāļīāļāļāļķāđāļāđāļāđāļāļāđāļ
āļāļąāļāļāļąāđāļāđāļĄāđāļāļĨ ISMF version 2 āļāļĩāđāļāļąāļāļāļēāļāļķāđāļāļāļķāļāđāļāđāļĒāļķāļāđāļāļ§āļāļ§āļēāļĄāļāļīāļāļāđāļēāļ Risk Management āđāļāđāļāļŦāļĨāļąāļ āļāļķāđāļāļŠāļēāļĄāļēāļĢāļāļāđāļ§āļĒāđāļŦāđāļāļāļāđāļāļĢāļŠāļēāļĄāļēāļĢāļāļāļģāđāļāļīāļāļāļēāļĢāļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāđāļāđāļāļĒāđāļēāļāđāļŦāļĄāļēāļ°āļŠāļĄ āđāļāļĒāļāļģāļāļķāļāļāļķāļ Risk Tolerance āđāļĨāļ° Risk Acceptance āđāļāđāļāļŦāļĨāļąāļ āļāļķāđāļāļāļ°āļāđāļ§āļĒāđāļŦāđāļāļāļāđāļāļĢāđāļāđāļĢāļąāļ ROI āļāļēāļāđāļāļĢāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāđāļāđāđāļāļĢāļ°āļāļąāļāļŠāļđāļāļŠāļļāļ
āđāļĄāđāļāļĨ ISMF version2 āļāļąāđāļāļāļĢāļ°āļāļāļāđāļāļāđāļ§āļĒ 4 āļāļēāļāļŦāļĨāļąāļ (Plan, Do, Check, Act āđāļāļ āļēāļ) āđāļĨāļ°āđāļāđāļĨāļ°āļāļēāļāļŦāļĨāļąāļāļĄāļĩ 4 āļāļēāļāļĒāđāļāļĒ (āļĢāļđāļāļāļĢāļāļāļĢāļēāļāļ§āļāļāļĨāļĄāļāļĩāđāļāļĒāļđāđāļāļąāļāļāļēāļāļāļ·āđāļāļāļēāļāļŦāļĨāļąāļ) āļĢāļ§āļĄāļāļąāđāļāļŦāļĄāļ 16 āļāļēāļāļĒāđāļāļĒ āđāļāļĒāđāļāđāļĨāļ°āļāļēāļāļŦāļĨāļąāļāļāļąāđāļāļāļ°āļĄāļĩāļĨāļđāļāļĻāļĢāļŠāļĩāđāļāļāļāļĩāđāļāļāļāļĄāļēāļāļķāđāļāļŦāļĄāļēāļĒāļāļķāļāļāļĨāļĨāļąāļāļāđāļŠāļļāļāļāđāļēāļĒāļāļāļāđāļāđāļĨāļ°āļāļēāļāļŦāļĨāļąāļ āđāļĨāļ°āļāļāļāđāļāļĢāļ°āļāļāļāļŠāļļāļāļāđāļēāļĒāļāļ·āļāļ§āļāđāļŦāļ§āļāļĢāļāļāļāļāļāļāļķāđāļāđāļŠāļāļāļāļķāļāļāļēāļāļāļķāđāļāļāļ°āļāđāļāļāļāļģāļāļĒāđāļēāļāļāđāļāđāļāļ·āđāļāļ āļŠāļĄāđāļģāđāļŠāļĄāļāļāļĨāļāļāđāļāļĢāļāļāļēāļĢāđāļĄāđāļāļģāļāļąāļāļ§āđāļēāļāļ°āļāđāļāļāļāļģāđāļāļāđāļ§āļāļāļēāļāļŦāļĨāļąāļāđāļ āļŠāļģāļŦāļĢāļąāļāļāļ§āļēāļĄāļŦāļĄāļēāļĒāđāļĨāļ°āļŦāļāđāļēāļāļĩāđāļāļāļāļāļāļāđāļāļĢāļ°āļāļāļāļāđāļēāļāđāđāļāđāļĄāđāļāļĨ ISMF version 2 āļāļąāđāļāļĄāļĩāļĢāļēāļĒāļĨāļ°āđāļāļĩāļĒāļāļāļąāļāļāļĩāđ
- āļāļēāļĢāļ§āļēāļāđāļāļāļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨ (Plan) āļĄāļĩāļāļģāļāļĨāđāļēāļ§āļāļĩāđāļ§āđāļē “āļŦāļēāļāļāđāļāļāļāļēāļĢāļāļģāđāļāļīāļāļāļēāļĢāđāļāđāļāļĒāđāļēāļāļĢāļēāļāļĢāļ·āđāļ āđāļĨāđāļ§āļāļēāļĢāļ§āļēāļāđāļāļāļāļĒāđāļēāļāļĢāļąāļāļāļļāļĄāļāļąāđāļāđāļāđāļāļŠāļīāđāļāļŠāļģāļāļąāļāļāļĩāđāļāļēāļāđāļĄāđāđāļāđ” āļāļķāđāļāđāļāļĄāļļāļĄāļĄāļāļāļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāļāđāđāļāđāļāļāļąāļ āļāļēāļĢāļ§āļēāļāđāļāļāļāļĩāđāļāļĩāļāļąāđāļāļāļ°āļāļģāđāļŦāđāļāđāļēāļāļāļĢāļēāļāļāļīāļāļāļĢāļĢāļĄāļāļĩāđāļāļ°āļāđāļāļāļāļģāļāļĨāļāļāļāļąāđāļāđāļāļĢāļāļāļēāļĢ āđāļāļĒāļĄāļĩāļāļēāļĢāļāļģāļāļķāļāļāļķāļ Risk Management āđāļāđāļāļŦāļĨāļąāļ āļāļķāđāļāļāļ°āļāļģāđāļŦāđāļāļ§āļēāļĄāđāļāđāļĄāļāļāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāļāļąāđāļāđāļĄāđāļāļķāļāļŦāļĢāļ·āļāļŦāļĒāđāļāļāļāļāđāļāļīāļāđāļ āļāļĒāļđāđāđāļāļĢāļ°āļāļąāļāļāļĩāđāļāļāđāļŦāļĄāļēāļ°āļāļąāļ Risk Tolerance āļāļąāđāļāđāļāļ āđāļāļāļąāđāļāļāļāļāļ§āļēāļāđāļāļāļāļĩāđāļāļĢāļ°āļāļāļāļāđāļ§āļĒāļāļēāļāļĒāđāļāļĒāļāļąāđāļāļŦāļĄāļ 4 āļāļēāļ āļāļąāļāļāļĩāđ
- Information Security Executive Briefing āđāļāđāļāļāļēāļĢāđāļĨāđāļēāļāļķāļ āļāļąāđāļāļāļāļ āļāļāļāđāļāļ āļāļ§āļēāļĄāļāđāļāļāļāļēāļĢ āđāļĨāļ°āļāđāļāļāļģāļāļąāļ āļāļāļāđāļāļĢāļāļāļēāļĢāđāļŦāđāļāļąāļāļāļđāđāļāļĢāļīāļŦāļēāļĢāļĢāļ°āļāļąāļāļŠāļđāļāļāļāļāļāļāļāđāļāļĢ āļāļąāđāļāļāļĩāđāđāļāļ·āđāļāđāļāđāļāļāļēāļĢāļāļĢāļąāļāļāļ§āļēāļĄāđāļāđāļēāđāļ āļāļ§āļēāļĄāļāļēāļāļŦāļ§āļąāļ āđāļāļĢāļĩāļĒāļĄāļāļ§āļēāļĄāļāļĢāđāļāļĄāđāļāļ·āđāļāđāļĢāļīāđāļĄāđāļāļĢāļāļāļēāļĢ āđāļĨāļ°āđāļāđāļāļāļēāļĢāđāļāđāļāļāđāļāļĄāļđāļĨāļāđāļēāļāļāļļāļĢāļāļīāļāļāļāļāļāļāļāđāļāļĢ āđāļāļ·āđāļāđāļŦāđāļāļģāđāļāļ°āļāļģāđāļāļĩāđāļĒāļ§āļāļąāļāļāļēāļĢāļāļąāđāļāđāļāļāļĒāđāļŦāļĢāļ·āļāđāļāđāļēāļŦāļĄāļēāļĒāļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāļāļāļāļāļāļāđāļāļĢ āļāļķāđāļāļāļēāļāļāļ°āļĒāļķāļāļĄāļēāļāļĢāļāļēāļāļāđāļēāļāđ āđāļāđāļ ISO/IEC 17799 (ISO/IEC27001) āļŦāļĢāļ·āļāļĄāļēāļāļĢāļāļēāļāļāļĩāđāļāļāļāđāļāļĢāļāļĢāļ°āļĒāļļāļāļāđāļāļķāđāļāđāļāļāļāđāđāļāđ
- Gap Analysis āđāļāđāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāļāļāļāđāļāļĢāđāļāļĒāļāļēāļĢāđāļāļĢāļĩāļĒāļāđāļāļĩāļĒāļāļāļąāļāļĄāļēāļāļĢāļāļēāļāļŠāļēāļāļĨ āđāļāđāļ ISO/IEC 17799 (ISO/IEC27001) āļāļķāđāļāļāļ°āļāđāļ§āļĒāđāļŦāđāļāļēāļĢāļ§āļēāļāđāļāļāđāļāļ·āđāļāļāļąāļāļāļēāđāļĨāļ°āļāļĢāļąāļāļāļĢāļļāļāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāđāļāļĄāļđāļĨāļāļāļāļāļāļāđāļāļĢāļĄāļĩāļāļīāļĻāļāļēāļāļāļĩāđāļāļąāļāđāļāļāļĒāļīāđāļāļāļķāđāļ
- Information Security People, Process, and Technology Vulnerability Assessment āđāļāđāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāļŦāļēāļāđāļāļāđāļŦāļ§āđāļāđāļēāļāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāļāļāđāļāļĢāđāļāļĒāļĄāļļāđāļāđāļāđāļāđāļāļāđāļēāļ āļāļļāļāļĨāļēāļāļĢ āļāļĢāļ°āļāļ§āļāļāļēāļĢ āđāļĨāļ°āđāļāļāđāļāđāļĨāļĒāļĩ āļāļķāđāļāļāļ°āļāđāļ§āļĒāđāļŦāđāļāļđāđāļ§āļēāļāđāļāļāđāļāđāļāļĢāļēāļāļāđāļāļĄāļđāļĨāļāļļāļāļāđāļāļāļāļāļāļāļāļāđāļāļĢāđāļāđāļāļīāļāļĨāļķāļ āļāļģāđāļŦāđāļŠāļēāļĄāļēāļĢāļāļ§āļēāļāđāļāļāđāļāđāļāļĢāļāļāļ§āļēāļĄāđāļāđāļāļāļĢāļīāļāļĄāļēāļāļāļķāđāļ
- Penetration Testing āļāļ·āļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāļĢāļ°āļāļąāļāļĨāļķāļāļāļĩāđāļŠāļļāļ āđāļāļĒāļĄāļĩāļāļēāļĢāđāļŠāļāļāļāļĨāđāļĨāļ°āļāļąāđāļāļāļāļāđāļāļāļēāļĢāļāļģāđāļāļēāļāđāļāļāđāļŦāļ§āđāļāļĩāđāļāļāđāļāļāļąāđāļāļāļāļ Vulnerability Assessment āļĄāļēāđāļāđāđāļāļāļēāļĢāđāļāļēāļ°āļĢāļ°āļāļāļāļĢāļīāļ (Ethical Hacking) āļāļķāđāļāļāļ°āļāđāļ§āļĒāļĨāļ fault positive āđāļĨāļ° āđāļāļīāđāļĄ Awareness āđāļŦāđāļāļąāļāļāļđāđāļāļĢāļīāļŦāļēāļĢāđāļĨāļ°āļāļđāđāļĢāđāļ§āļĄāđāļāļĢāļāļāļēāļĢāđāļāđāđāļāđāļāļāļĒāđāļēāļāļāļĩ
āļ āļēāļĒāļŦāļĨāļąāļāļāļēāļāļāļģāđāļāļīāļāļāļēāļāļāļąāđāļ 4 āļāļēāļāļĒāđāļāļĒāļāđāļēāļāļāđāļāđāļĨāđāļ§ āļāļđāđāļāļĢāļ§āļāļŠāļāļāđāļĨāļ°āļāļđāđāļĢāđāļ§āļĄāđāļāļĢāļāļāļēāļĢāļāļķāļāļŠāļēāļĄāļēāļĢāļāļĢāđāļ§āļĄāļāļąāļāļāļąāļāļāļēāđāļāļāļāļēāļāļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāđāļŦāđāđāļāđāļāļāļāđāļāļĢāđāļāđ āļāļķāđāļāđāļāļāļāļąāļāļāļĨāđāļēāļ§āļāļąāđāļāđāļĢāļĩāļĒāļāļ§āđāļē “Information Security Master Plan”Â
- āļāļēāļĢāļāļģāđāļāļāļāļĩāđāļ§āļēāļāđāļ§āđāļĄāļēāļāļāļīāļāļąāļāļī (DO) āļāļķāļāđāļĄāđāļ§āđāļēāļāļ°āļĄāļĩāļāļēāļĢāļ§āļēāļāđāļāļāļāļĒāđāļēāļāļāļĩāđāļāļĩāļĒāļāđāļāđāđāļāđāļŦāļēāļāļāļĢāļēāļĻāļāļēāļāļāļēāļĢāļāļģāđāļāļīāļāļāļēāļĢāļāļĒāđāļēāļāđāļŦāļĄāļēāļ°āļŠāļĄāđāļĨāđāļ§ āđāļāļĢāļāļāļēāļĢāļāļāđāļĄāđāļŠāļēāļĄāļēāļĢāļāļāļĢāļ°āļŠāļāļāļ§āļēāļĄāļŠāļģāđāļĢāđāļāđāļāđ āļāļąāļāļāļąāđāļāđāļāļāļąāđāļāļāļāļāļāļĩāđāļāļķāļāļĄāļĩāļāļēāļĢāļāļģāļāļĨāļĨāļąāļāļāđāļāļēāļāļāļąāđāļāļāļāļāļāļĩāđāļāđāļēāļāļĄāļēāđāļāļ·āđāļāđāļāđāđāļāđāļāđāļāļ§āļāļēāļāļāļāļīāļāļąāļāļī āđāļāļĒāđāļāđāļāđāļāđāļāļāļēāļĢāļāļģāļāļēāļāđāļāđāļāļīāļāđāļāļāļāļīāļ āđāļĨāļ°āđāļāļīāļāļāđāļĒāļāļēāļĒāļĢāļ§āļĄāļāļąāđāļāļŠāļīāđāļ 4 āļāļēāļāļĒāđāļāļĒāļāļąāļāļāļĩāđ
- Hardening āđāļāđāļāļāļēāļĢāļĨāļāļāđāļāļāđāļŦāļ§āđāļāļāļāļĢāļ°āļāļāļāļķāđāļāđāļāđāļāđāļāļĢāļ°āļāļąāļ Host (Windows/UNIX) āđāļĨāļ° Network Device (Router, Switching) āđāļāđāļāļŦāļĨāļąāļ āđāļāļĒāđāļāđāđāļāđāļāļ·āđāļāļĨāļāļāđāļāļāđāļŦāļ§āđāļāļāļāđāļāļĢāļ·āđāļāļāđāļĄāđāļāđāļēāļĒāđāļāļĢāļ°āļāļāļŠāļģāļāļąāļāđ
- Defense in Depth āđāļāđāļāļāļēāļĢāļŠāļĢāđāļēāļāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāđāļŦāđāđāļāđāļĢāļ°āļāļāđāļāļāļļāļāļĢāļ°āļāļąāļāļāļāļāļĢāļ°āļāļ āđāļĄāđāļ§āđāļēāļāļ°āđāļāđāļ DMZ, Network Gateway āļĢāļ§āļĄāđāļāļāļķāļ Host āđāļĨāļ° Application āđāļāļĒāđāļāđāļāļāļēāļĢāđāļāļĩāļĒāļāļāđāļāļāļģāļŦāļāļāđāļĨāļ° āđāļāļ§āļāļēāļāđāļāđāļāļŦāļĨāļąāļ
- Information Security Policy Development āļŦāļĄāļēāļĒāļāļķāļāļāļēāļĢāļāļąāļāļāļēāļāđāļĒāļāļēāļĒāļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨ āļāļķāđāļāļāļ°āđāļāđāļāđāļŠāđāļāļāļēāļāđāļāļāļēāļĢāļāđāļēāļĒāļāļāļ requirement āļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāļāļāļāļāļāļāđāļāļĢāļĄāļēāļāļŠāļđāđāđāļāļ§āļāļēāļāđāļĨāļ°āļ§āļīāļāļĩāļāļēāļĢāļāļāļīāļāļąāļāļīāđāļŦāđāđāļāđāļāļāļąāļāļāļēāļāļāļļāļāļāļāđāļāļāļāļāđāļāļĢ
- Incident Response and BCP/DRP Plan āļāļēāļĢāļŠāļĢāđāļēāļāđāļāļāļāļąāļāļāļēāļĢāļāļąāļāđāļŦāļāļļāļāļēāļĢāļāđāļāļĩāđāđāļĄāđāļāļēāļāļāļąāļ āđāļĨāļ°āđāļāļāļŠāļģāļĢāļāļāļāļļāļāđāļāļīāļ āđāļāļ·āđāļāļĢāļąāļāļĄāļ·āļāļāļąāļāļ āļąāļĒāļāđāļēāļāđāļāļĩāđāļāļēāļāļāļ°āđāļāļīāļāļāļķāđāļ āđāļāļ·āđāļāļāļģāļāļąāļāļāļ§āļēāļĄāđāļŠāļĩāļĒāļŦāļēāļĒāđāļŦāđāđāļŦāļĨāļ·āļāļāđāļāļĒāļāļĩāđāļŠāļļāļ
āļāļąāđāļāļāļāļāļāļĩāđ 2 āļāļĩāđāļāļ°āļāđāļ§āļĒāđāļŦāđāđāļāļāļāļĩāđāļ§āļēāļāđāļ§āđāļŠāļēāļĄāļēāļĢāļāđāļāļīāļāļāļķāđāļāļāļĢāļīāļāđāļāđāđāļāļāļēāļāļāļāļīāļāļąāļāļī āļāļķāđāļāļāļĨāļĨāļąāļāļāđāļāļāļāļāļąāđāļāļāļāļāļāļĩāđāļāļąāđāļāļāļ°āđāļāđāļāđāļāļāļŠāļēāļĢāļāđāļēāļāđāļāļĩāđāđāļāļĩāđāļĒāļ§āļāđāļāļāļāļąāļāļāļēāļĢāļāļģāđāļāļīāļāļāļēāļāđāļāđāđāļāđ āļāđāļĒāļāļēāļĒāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒ āđāļāļāļŠāļģāļĢāļāļāļāļļāļāđāļāļīāļ āđāļĨāļ°āđāļāļāļŠāļēāļĢāļĄāļēāļāļĢāļāļēāļāļāđāļēāļāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļŠāļģāļŦāļĢāļąāļāļāļēāļĢāļāļąāļāļāļēāļĢāļ°āļāļāđāļĨāļ°āđāļāļĢāļ·āđāļāļāđāļĄāđāļāđāļēāļĒ
- āļāļēāļĢāļāļĢāļ§āļāļŠāļāļāđāļĨāļ°āđāļāđāļēāļĢāļ°āļ§āļąāļ (Check) āļŦāļĨāļąāļāļāļēāļāļāļēāļĢāļāļēāļĢāļ§āļēāļāđāļāļāđāļĨāļ°āļāļēāļĢāļāļāļīāļāļąāļāļīāļāļĩāđāļāļĩ āļāļēāļĢāļāļĢāļ§āļāļŠāļāļāđāļĨāļ°āđāļāđāļēāļĢāļ°āļ§āļąāļāļāļąāđāļāļāđāđāļāđāļāļŠāļīāđāļāļŠāļģāļāļąāļāļāļĩāđāļāļ°āļāđāļāļāļāļģāđāļāļĨāļģāļāļąāļāļāđāļāļĄāļē āļāļąāđāļāļāļĩāđāđāļāļ·āđāļāđāļāđāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāļāļķāļāļāļ§āļēāļĄāļŠāļģāđāļĢāđāļāļāļāļāļāļēāļ āļāļ§āļēāļĄāļĒāļāļĄāļĢāļąāļāļāļāļāļāļāļąāļāļāļēāļāđāļāļāļāļāđāļāļĢ āļāđāļāļāđāļŦāļ§āđāđāļĨāļ°āļ āļąāļĒāđāļŦāļĄāđāđāļāļĩāđāļāļāđāļāļĢāļ°āļāļ āđāļāļ·āđāļāļāļģāļĄāļēāđāļāđāļāļĢāļąāļāļāļĢāļļāļāđāļĨāļ°āđāļāđāđāļāļāđāļĒāļāļēāļĒāđāļĨāļ°āļāļģāļĄāļēāđāļāđāđāļāļāļēāļĢāļāļģāļāļēāļāļāļąāđāļāļāļāļāļāđāļāđāļ
- Centralized Log Management āļāļ·āļāļāļēāļĢāļāļąāļāļāļēāļĢ āļāļąāļāđāļāđāļāđāļĨāļ°āļĢāļ§āļāļĢāļ§āļĄ Log āļāļēāļāļāļļāļāļāļĢāļāđāļāđāļēāļāđāđāļ§āđāļāļĩāđāļŠāđāļ§āļāļāļĨāļēāļ āđāļāļ·āđāļāļāļ§āļēāļĄāļŠāļ°āļāļ§āļāđāļāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđ āđāļĨāļ°āļāļēāļĢāđāļāđāļ Log āļāļāļāļĢāļ°āļāļāļāļēāļĄāļāļĩāđāļāļāļŦāļĄāļēāļĒāļāļģāļŦāļāļ
- Vulnerability Management āđāļāđāļāļāļēāļĢāļŠāļĢāđāļēāļāļĢāļ°āļāļāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāļāđāļāļāđāļŦāļ§āđāļāļāļāļĢāļ°āļāļ āļāļķāđāļāļāļ°āļāļģāđāļāļīāļāļāļēāļĢāļŠāđāļāļāļĢāļ°āļāļāđāļĨāļ°āļāļģāļĢāļēāļĒāļāļēāļāđāļāļ real-time āđāļāļĒāļĄāļĩāļāļēāļĢāļāļĢāļąāļāđāļāđāļāđāļŦāđāļŠāļĢāđāļēāļ traffic āļĢāļāļāļ§āļāļĢāļ°āļāļāļāđāļāļĒāļāļĩāđāļŠāļļāļ āļāļāļāļāļēāļāļāļąāđāļāļĒāļąāļāļĄāļĩāļĢāļ°āļāļ assign āļāđāļāļāđāļŦāļ§āđāļāļĩāđāļāļāđāļŦāđāļāļąāļāļāļļāļāļĨāļēāļāļĢāļāđāļēāļāđāđāļāļāļāļāđāļāļĢ āļāļķāđāļāļāļ°āļŠāļēāļĄāļēāļĢāļāļāđāļ§āļĒāđāļŦāđāđāļāļīāļāļāļēāļĢāļāļīāļāļāļēāļĄāļāļēāļāđāļĨāļ°āļĒāļąāļāļāđāļ§āļĒāļ§āļąāļāļāļĢāļ°āļŠāļīāļāļāļīāļāļĨāļāļēāļĢāļāļģāļāļēāļāļāļāļāļāļāļąāļāļāļēāļāđāļāđāļĨāļ°āļāļļāļāļāļĨāđāļāđāđāļāļĢāļ°āļāļąāļāļŦāļāļķāđāļāļāļĩāļāļāđāļ§āļĒ
- Compliance Management āđāļāđāļāļāļēāļĢāļāļąāļāļāļēāļĢāđāļāļ·āđāļāđāļŦāđāļāļĨāļąāļāđāļŦāđāļŠāļīāđāļāļāļĩāđāđāļāļĩāļĒāļāļāļĒāļđāđāđāļāļāđāļĒāļāļēāļĒāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļŠāļēāļĄāļēāļĢāļāđāļāđāļāļāļĢāļīāļāđāļāđāđāļāļāļēāļāļāļāļīāļāļąāļāļī āđāļāļĒāļāļēāļĢāđāļāđāđāļāļĢāļ·āđāļāļāļĄāļ·āļāđāļāļāļēāļĢāļāļ§āļāļāļļāļĄāļāļēāļĢāļāļģāļāļēāļāđāļĨāļ°āļāļēāļĢāđāļāđāļāļēāļāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻ āļāļāļāļāļēāļāļāļąāđāļāļĒāļąāļāļĄāļĩāļāļĢāļ°āđāļĒāļāļāđāđāļāļāļēāļĢāđāļāđāļēāļāļīāļāļāļēāļĄāļāļĪāļāļīāļāļĢāļĢāļĄāļāļēāļĢāđāļāđāļāļēāļāļĢāļ°āļāļāļāļāļāļāļđāđāđāļāđāļāļēāļāđāļāđāļāļĩāļāļāđāļ§āļĒ
- Real-time Threat Monitoring and Intrusion Analysis āļāļģāļāļĨāļāļĩāđāđāļāđāļāļēāļ “Centralized Log Management ” āļĄāļēāđāļāđāļāļ§āļąāļāļļāļāļīāļāđāļāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđāļāļēāļĢāđāļāđāļāļēāļāđāļĨāļ°āļ āļąāļĒāļāļĩāđāđāļāļīāļāļāļķāđāļāļāļąāļāļĢāļ°āļāļ āļĄāļĩāļ§āļąāļāļāļļāļāļĢāļ°āļŠāļāļāđāđāļāļāļēāļĢāļĨāļ fault positive āļāļĩāđāđāļāļāļāļĒāļđāđāđāļ report āđāļĨāļ° Log āļāļēāļāļāļļāļāļāļĢāļāđāļāđāļēāļ Information Security āļāļļāļāļāļĢāļāđ host āđāļĨāļ° network āļāđāļēāļāđāļāļĨāļĨāļąāļāļāđāļāļāļāļāļąāđāļāļāļāļāļāļĩāđāđāļĢāļĩāļĒāļāļ§āđāļē “Information Security Recommendation” āđāļāđāļāļāļĨāļŠāļĢāļļāļāđāļĨāļ°āļ§āļīāđāļāļĢāļēāļ°āļŦāđāļāļēāļāļāļēāļāļĒāđāļāļĒāļāđāļēāļāđ āđāļĨāļ°āļāļĨāļĨāļąāļāļāđāļāļĩāđāđāļāļāļāļķāđāļāļāļ°āļāļģāļĄāļēāđāļāđāđāļāđāļāđāļāđāļāļ§āļāļēāļāđāļāļāļēāļĢāļāļĢāļąāļāļāļĢāļļāļāđāļāļĢāļāļāļēāļĢāđāļāļāļąāđāļāļāļāļāļāđāļāđāļ
- āļāļēāļĢāļāļģāļāđāļāļāđāļāđāļŠāļāļāđāļāļ°āļĄāļēāđāļāđāđāļāļāļēāļĢāļāļĢāļąāļāļāļĢāļļāļāļĢāļ°āļāļ (Act) āđāļāđāļāļāļēāļĢāļāļģ “Information Security Recommendation” āļāļēāļāļāļąāđāļāļāļāļāļāļĩāđāđāļĨāđāļ§ āļĄāļēāđāļāđāđāļāļ·āđāļāđāļāđāļāđāļāļ§āļāļēāļāđāļāļāļēāļĢāļāļĢāļąāļāđāļāđāļāļāđāļĒāļāļēāļĒ āļ§āļīāļāļĩāļāļēāļĢāļāļāļīāļāļąāļāļī āļĢāļ§āļĄāđāļāļāļķāļāļĄāļēāļāļĢāļāļēāļĢāļāđāļēāļāđāļāļĩāđāļāļ°āļāļāļāļĄāļēāđāļāļ·āđāļāđāļŦāđāļāļāļąāļāļāļēāļāļĄāļĩāļāļ§āļēāļĄāđāļāđāļēāđāļāđāļĨāļ°āļāļāļīāļāļąāļāļīāļāļēāļĄāļāđāļĒāļāļēāļĒ āļĢāļ§āļĄāđāļāļāļķāļāļāļēāļĢāļŠāļĢāđāļēāļāđāļāļāļāđāļ§āļąāļāļāļ§āļēāļĄāļŠāļģāđāļĢāđāļāļāļāļāļāļāļāđāļāļĢāļāļāļēāļĢ
- Incident Response and BCP/DRP Update āđāļāđāļāļāļēāļĢāļāļģāļāļĨāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđāđāļĨāļ°āļāđāļāđāļāļ°āļāļģāļāļķāđāļāđāļāđāļ outcome āļĄāļēāļāļēāļāđāļāļŠāļāļĩāđāđāļĨāđāļ§ āļĄāļēāđāļāđāđāļāļāļēāļĢāļāļĢāļąāļāļāļĢāļļāļāđāļāđāđāļāđāļŠāļĢāđāļēāļāđāļāļāļāļąāļāļāļēāļĢāļāļąāļāđāļŦāļāļļāļāļēāļĢāļāđāļāļĩāđāđāļĄāđāļāļēāļāļāļąāļ āđāļĨāļ°āđāļāļāļŠāļģāļĢāļāļāļāļļāļāđāļāļīāļāđāļŦāđāđāļŦāļĄāļēāļ°āļŠāļĄāļāļąāļāļāļāļāđāļāļĢāļĄāļēāļāļĒāļīāđāļāļāļķāđāļ
- Information Security Policy Update āđāļāđāļāļāļēāļĢāļāļĢāļąāļāļāļĢāļļāļ āļāđāļĒāļāļēāļĒāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāļāļāđāļāļĢāđāļŦāđāļāļąāļāļŠāļĄāļąāļĒāđāļĨāļ°āļāļāļāļĢāļąāļāļāļąāļāļāļąāļāļāļąāļāļ āļēāļĒāđāļāđāļĨāļ°āļ āļēāļĒāļāļāļāļāļĩāđāđāļāļĨāļĩāđāļĒāļāđāļāļĨāļāđāļ
- Patch Management āđāļāđāļāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāđāļāļāļāđāļāļĒāđāļēāļāđāļāđāļāļāļąāđāļāļāļāļ āđāļāļĒāļĄāļĩāļāļēāļĢāļāļāļŠāļāļāļāļ§āļēāļĄāļāļđāļāļāđāļāļāļāļāļāđāļāļĨāđ patch āļĄāļĩāļāļēāļĢāđāļŦāļĨāļ patch āđāļĨāļ°āļāļģāđāļāļīāļāļāļēāļĢāļāļīāļāļāļąāđāļāđāļāļĒāđāļāđ bandwidth āļāđāļāļĒāļāļĩāđāļŠāļļāļ āļĢāļ§āļĄāđāļāļāļķāļāļāļēāļĢ rollback āļāļĒāđāļēāļāļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļāļĨ
- Information Security Metrics āļŦāļĄāļēāļĒāļāļķāļāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđāļŦāļēāđāļāļāļāđāļ§āļąāļāļāļĨāļŠāļģāđāļĢāđāļāļāļāļāļāļēāļĢāļāļģāļāļēāļāļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāļāļĨāļĨāļąāļāļāđāļāļĩāđāļŠāļģāļāļąāļāļāļĩāđāļŠāļļāļāļāļāļāļāļąāđāļāļāļāļāļāļĩāđāļāļąāđāļāđāļĢāļĩāļĒāļāļ§āđāļē “KPI and Information Security Scorecard” āļāļķāđāļāđāļāđāļāļāļēāļĢāļāļģāđāļāļāļāđāļāļĢāļ§āļāļ§āļąāļāļĄāļēāđāļāđāđāļāļāļēāļĢāļāļēāļĢāļ§āļąāļāļāļĨāļāļāļāļĄāļēāđāļāđāļ KPI āļāļāļāļāļāļāđāļāļĢ āđāļāļ·āđāļāđāļāđāđāļāđāļāđāļāļ§āļāļēāļāđāļāļāļēāļĢāļāļąāđāļāđāļāđāļēāļŦāļĄāļēāļĒāđāļāļāļēāļĢāļāļąāļāļāļģāđāļāļĢāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļāđāļāļĄāļđāļĨāđāļāđāļāļĢāļāļāļēāļĢāļĢāļāļāļāđāļāđāļ
āļŠāļīāđāļāļāļĩāđāļāđāļāļāļāļģāļāļĒāđāļēāļāļŠāļĄāđāļģāđāļŠāļĄāļāļāļĨāļāļāđāļāļĢāļāļāļēāļĢÂ
āļāļēāļāđāļāļŠāđāļ§āļāļāļĩāđāļāļ°āļāļĒāļđāđāđāļāļ§āļāđāļŦāļ§āļāļĢāļāļāļāļāļāļāļāļāđāļĄāđāļāļĨ ISMF version 2 āļāļķāđāļāđāļāđāļāļāļēāļāļāļģāđāļāđāļāļāļĩāđāļāļ°āļāđāļāļāļāļģāļāļĒāđāļēāļāļāđāļāđāļāļ·āđāļāļāļāļĨāļāļāļāļąāđāļāđāļāļĢāļāļāļēāļĢ āļāļĢāļ°āļāļāļāļāđāļ§āļĒāļāļēāļāļāļąāđāļāļŦāļĄāļ 3 āļŦāļąāļ§āļāđāļāļĒāđāļāļĒāđāļāđāđāļāđ
- Information Security Awareness Training and Education āđāļāđāļāļāļēāļĢāļāļąāļāļāļķāļāļāļāļĢāļāđāļāļ·āđāļāđāļāļīāđāļĄāļāļ§āļēāļĄāļĢāļđāđāđāļĨāļ°āļāļ§āļēāļĄāļāļĢāļ°āļŦāļāļąāļāļāļķāļāļāļ§āļēāļĄāļŠāļģāļāļąāļāļāļāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāđāļŦāđāđāļāđāļāļļāļāļĨāļēāļāļĢāļāļļāļāļĢāļ°āļāļąāļāđāļāļāļāļāđāļāļĢ āļāļķāđāļāļāļ°āļāđāļ§āļĒāđāļŦāđāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāļāđāļēāļ “Information Security” āđāļāļāļāļāđāļāļĢāļāļąāđāļāđāļāđāļāđāļāđāļāđāļāļĒāđāļēāļāļŠāļ°āļāļ§āļāļĄāļēāļāļāļķāđāļ
- Incident Response and Forensics āđāļāđāļāļāļēāļĢāđāļāļĢāļĩāļĒāļĄāļāļ§āļēāļĄāļāļĢāđāļāļĄāļĢāļąāļāļŠāļīāđāļāļāļĩāđāđāļĄāđāļāļēāļāļāļąāļāļāļĒāļđāđāđāļŠāļĄāļ āđāļĨāļ° āļ§āļīāđāļāļĢāļēāļ°āļŦāđāļāđāļāđāļŦāļāļļāļāļāļāļāļąāļāļŦāļē (Root-cause Analysis) āļāļēāļāļ§āļīāļāļĩ Digital Forensics
- Managed Security Services āļŦāļĄāļēāļĒāļāļķāļ āļāļēāļĢ Outsource āđāļāđāļēāļĢāļ°āļ§āļąāļāđāļāļĒāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđ Log āļāđāļ§āļĒāļāļļāļāļĨāļēāļāļĢāļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļāļāļēāļāļ āļēāļĒāļāļāļ āļāļēāļĢāđāļāđāļēāļĢāļ°āļ§āļąāļāđāļāļĒāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđ Log āļāđāļ§āļĒāļāļļāļāļĨāļēāļāļĢāļ āļēāļĒāđāļāļāļāļāđāļāļĢāļāļāļāđāļĢāļēāđāļāļāļāļąāđāļ āļāļāļāļāļēāļāļāļ°āđāļāđāđāļ§āļĨāļēāļāđāļāļāļāđāļēāļāļĄāļēāļāđāļĨāđāļ§āļĒāļąāļāļāđāļāļāļāļēāļĢāļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļāļāļĩāđāđāļĒāļāđāļĒāļ°āļĢāļ°āļŦāļ§āđāļēāļ Fault Alarm āļāļąāļ Real Attack Alarm āļāļķāđāļāļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļāļāđāļāļāļĄāļĩāļāļ§āļēāļĄāļāļģāļāļēāļāđāļāđāļāļāļīāđāļĻāļĐāļāđāļēāļāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđāļāļēāļĢāļāļļāļāļĢāļļāļāļĢāļ°āļāļ (Intrusion Analyst) āļāļĨāļāļāļāļāđāļāļāļąāļāļāļļāļāļąāļāļāđāļēāļāļąāļ§āļāļāļāļāļļāļāļĨāļēāļāļĢāļāļĩāđāļĄāļĩāļāļ§āļēāļĄāđāļāļĩāđāļĒāļ§āļāļēāļāļāļąāļāļāļĨāđāļēāļ§āļāđāļāđāļāļāļāđāļēāļāļŠāļđāļāļāļĒāļđāđāļāļāļŠāļĄāļāļ§āļĢ
āļāļēāļāļāļąāļāļŦāļēāļāļąāļāļāļĨāđāļēāļ§āļāļķāļāđāļāļīāļāđāļāļ§āļāļīāļāđāļāļāļēāļĢ “Outsource” āļāđāļēāļāļāļēāļĢāļāļąāļāļāļēāļĢāļĢāļ°āļāļāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļķāđāļāđāļĢāļĩāļĒāļāļ§āđāļē “Managed Security Services” āļŦāļĢāļ·āļ “MSS” āļāļēāļĢāļāļąāļāļāđāļēāļ Outsource āļāđāļēāļ Security āđāļāļĒāđāļāļāļēāļ° āđāļāđāļāđāļāļ§āļāļīāļāļāļĩāđāļāđāļāļāļāļēāļĢāđāļŦāđ Outsource āļĄāļēāļāđāļ§āļĒāđāļāļāļēāļĢāļāļąāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ āđāļĨāļ° āļāđāļ§āļĒāļĨāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāđāļŦāđāļāļąāļāļĢāļ°āļāļāđāļāļĒāļĢāļ§āļĄ (Risk Management & Risk Mitigation)
āđāļĄāđāļāļĨ ISMF Version 2 āđāļŠāļāļāļāļķāļāļāļēāļĢāļāļģāļāļēāļāļāļĒāđāļēāļāļāđāļāđāļāļ·āđāļāļ āđāļĨāļ°āļĄāļĩāļāļēāļĢāļāļģāđāļāļāļ§āļāđāļāđāļāļĢāļāļāļāļķāđāļāļāļ°āļāđāļ§āļĒāđāļŦāđāļāļēāļāļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāļāļąāđāļāļŠāļēāļĄāļēāļĢāļāļāļąāļāļāļēāļāļĒāđāļēāļāļāđāļāđāļāļ·āđāļāļāļāļāļāļ·āđāļāļāļēāļāļāļāļ Risk Management āđāļĨāļ°āļŠāļģāļŦāļĢāļąāļāļāļāļāļ§āļēāļĄāđāļāļāļāļāļāđāļāđāļāļāļąāđāļāļāļ°āđāļāđāļāļāļēāļĢāļāļāļīāļāļēāļĒāļĨāļāļĢāļēāļĒāļĨāļ°āđāļāļĩāļĒāļāđāļāđāļāđāļĨāļ°āļāļąāđāļāļāļāļ āļāļķāđāļāļāļ°āļāđāļ§āļĒāđāļŦāđāļāļļāļāļŠāļēāļĄāļēāļĢāļāđāļāđāļēāđāļāļ§āļīāļāļĩāļāļēāļĢāļāļģāļāļēāļāļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāđāļāđāļāļĒāđāļēāļāļāļđāļāļāđāļāļāļĄāļēāļāļĒāļīāđāļāļāļķāđāļ
āļāļēāļ : āļŦāļāļąāļāļŠāļ·āļ eLeader Thailand
āļāļĢāļ°āļāļģāđāļāļ·āļāļ āđāļāļ·āļāļāļāļļāļĄāļ āļēāļāļąāļāļāđ 2549
Update Information : 1 āļāļļāļĄāļ āļēāļāļąāļāļāđ 2549by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center
āļāļēāļāđāļĄāđāļāļĨāđāļāļāļēāļĢāļāļąāļāļāļēāļĢāļĢāļ°āļāļāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāđāļāļĄāļđāļĨāļāļĒāđāļēāļāđāļāđāļāļĢāļ°āļāļāđāļĨāļ°āļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļ Information Security Management Framework (ISMF) Version 1 āļāļķāđāļāļĄāļĩāļāļąāđāļāļŦāļĄāļ 7 āļāļąāđāļāļāļāļ āļāļąāļāļĢāļđāļāļāļĩāđ 1
āļāļāļ§āđāļē ISMF version 1 āļāļąāđāļāļāļđāļāļāļģāļĄāļēāļāļĢāļ°āļĒāļļāļāļāđāđāļāđāđāļāļāļāļāđāļāļĢāļ āļēāļāļĢāļąāļāđāļĨāļ°āđāļāļāļāļ āļāļāļāļāļĢāļ°āđāļāļĻāđāļāļĒ āļāļĨāļāļ 2 āļāļĩāļāļĩāđāļāđāļēāļāļĄāļē āļāļģāđāļŦāđāļāļĩāļĄāļāļąāļāļāļē ISMF āđāļāđāļāđāļāļāļīāļ āđāļĨāļ°āļāļĢāļ°āļŠāļāļāļēāļĢāļāđāļāļĩāđāļĄāļĩāļāļĢāļ°āđāļĒāļāļāđāļāļģāļāļ§āļāļĄāļēāļ āļāļķāđāļāļŠāđāļāļāļĨāđāļŦāđāļĄāļļāļĄāļĄāļāļāļāļāļāļāļĩāļĄāļāļąāļāļāļē ISMF āļāļĩāđāļĄāļĩāļāđāļāđāļĄāđāļāļĨāđāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāļāļąāđāļāđāļĢāļīāđāļĄāđāļāļĨāļĩāđāļĒāļāđāļ āļāļąāļāļāļąāđāļāļāļĩāļĄāļāļąāļāļāļē āļāļķāļāđāļāđāļāļģāļāļēāļĢāļ§āļīāļāļąāļĒāđāļĨāļ°āļāļąāļāļāļēāđāļĄāđāļāļĨāļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨ āļāļķāđāļāđāļāđāļāđāļāļāļŦāļĨāļąāļāđāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāļāļāđāļāļĢāļāļķāđāļāđāļŦāļĄāđ āđāļāļĒāļāļģāđāļāļ§āļāļ§āļēāļĄāļāļīāļāļāđāļēāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢ āđāļĨāļ° āļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāļĄāļēāļĢāđāļ§āļĄāļāļĢāļ°āļĒāļļāļāļāđāđāļāđāļēāļāđāļ§āļĒāļāļąāļ
āđāļĄāđāļāļĨ ISMF Version 2 āđāļāđāļāļĢāļąāļāļĄāļļāļĄāļĄāļāļāļāļēāļ “IT security” āđāļāđāļāđāļ “Information Security” āļāļķāđāļāļŦāļĄāļēāļĒāļāļ§āļēāļĄāļ§āđāļēāđāļāđāļāļĢāļąāļāļĄāļļāļĄāļĄāļāļāļāļēāļāđāļāļīāļĄāļāļķāđāļāđāļāđāļāļāļēāļĢāđāļāđāļāđāļāļāļēāļĢāđāļāđāļāļąāļāļŦāļēāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāđāļĨāļ°āđāļāļāļĩāđāļāđāļāļŦāļĨāļąāļ āđāļāļĨāļĩāđāļĒāļāđāļāđāļāđāļāļāļēāļĢāļĄāļāļāļāļķāļāļāļąāļāļŦāļēāļāļēāļāļāļļāļĢāļāļīāļāļĄāļēāļāļāļķāđāļ
āļāļāļāļāļēāļāļāļąāđāļāļāļĩāļĄāļāļąāļāļāļē ISMF āļĒāļąāļāđāļāđāļāļąāļāļāļēāđāļāļĒāļāļēāļĻāļąāļĒāļŦāļĨāļąāļāļāļāļāļāļēāļĢāļāļąāļāļāļēāļāļĒāđāļēāļāļāđāļāđāļāļ·āđāļāļ (Continuous Improvement) āđāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļļāļāļ āļēāļ (Quality Management) āļāļķāđāļāļāļĢāļ°āļāļāļāđāļāđāļ 4 āđāļāļ§āļāļ§āļēāļĄāļāļīāļāļŦāļĨāļąāļ āļāļĢāļ°āļāļāļāļāđāļ§āļĒ 1. āļ§āļēāļāđāļāļ (Plan) 2. āļāļāļīāļāļąāļāļī (Do) 3. āļāļĢāļ§āļāļŠāļāļ (Check) āđāļĨāļ° 4. āđāļāđāđāļ (Act) āđāļāđāļāļĒāđāļēāļāđāļĢāļāđāļāļēāļĄāļāļēāļĢāļāļĢāļąāļāđāļāļ§āļāļ§āļēāļĄāļāļīāļāļāđāļēāļāļāļēāļĢāļāļąāļāļāļēāļāļĒāđāļēāļāļāđāļāđāļāļ·āđāļāļāļāļąāđāļāļĒāļąāļāđāļĄāđāļŠāļēāļĄāļēāļĢāļāļāļģāļĄāļēāđāļāđāđāļāļāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāđāļāđāđāļāļĒāļāļĢāļ āđāļāļ·āđāļāļāļāļēāļāđāļāļ§āļāļīāļāļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāļāļąāđāļāđāļĄāđāđāļāđāļāļēāļĢāļĨāļāļāđāļāļāđāļŦāļ§āđāļĨāļāđāļŦāđāđāļāđāļēāļāļąāļāļĻāļđāļāļĒāđ (zero risk) āļāļąāđāļāļāļĩāđāđāļāļ·āđāļāļāļāļēāļāļāļēāļĢāļāļģāļāļąāļāļāļĨāđāļēāļ§āļāļąāđāļāļāļēāļāļāļģāđāļāđāļŦāļēāļāđāļāđāļāđāļāļāđāļāđāļāđāļāļāļļāļāļāļĩāđāļŠāļđāļāļĄāļēāļāļāļāđāļĄāđāļāļļāđāļĄāļāđāļē āđāļĨāļ°āļāļēāļāļāļąāļāļāļ§āļēāļāļāđāļāļāļēāļĢāļāļģāļāļļāļĢāļāļīāļāļāļāļāļāļĢāļīāļĐāļąāļāļāļĩāļāļāđāļ§āļĒ āļāļąāļāļāļąāđāļāļāļēāļĢāļāļąāļāļāļēāļĢāļāđāļēāļāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāļāļąāđāļāļāļķāļāļāļ§āļĢāļāļąāđāļāļāļĒāļđāđāļāļāđāļāļ§āļāļīāļāļāđāļēāļ Risk Management āļāļķāđāļāļŦāļĄāļēāļĒāļāļ§āļēāļĄāļ§āđāļē āļāļēāļĢāļĢāļąāļāļĄāļ·āļāļāļąāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļŦāļĢāļ·āļāļāļ§āļēāļĄāđāļĄāđāļāļĨāļāļāļ āļąāļĒāļāļāļāļĢāļ°āļāļāļāļąāđāļāđāļĄāđāđāļāđāļāļēāļĢāļāļģāđāļāđāđāļāļĩāļĒāļāđāļāđāļāļ·āđāļāļāļļāļāļāļĢāļāđāđāļāļīāđāļĄāđāļĨāļ°āļāđāļāļāļāļąāļāļĢāļ°āļāļāđāļāđāļēāļāļąāđāļ āļŦāļēāļāļĒāļąāļāļĄāļĩāļ§āļīāļāļĩāļāļēāļĢāļāļ·āđāļāļāļĩāļāļĄāļēāļāļĄāļēāļĒ āļāļķāđāļāļāļēāļĢāļāļĒāļđāđāđāļāļĒāđāđāļĄāđāļāļģāļāļ°āđāļĢāđāļĨāļĒ āļāđāļāļąāļāđāļāđāļāļŦāļāļķāđāļāđāļāļāļąāđāļāļāđāļ§āļĒ āđāļĨāļ° āļāđāļāļąāļāļ§āđāļēāđāļāđāļāļŠāļīāđāļāļāļĩāđāļāļ§āļĢāļāļģāđāļāļāļĢāļāļĩāļāļĩāđāļāđāļēāđāļāđāļāđāļēāļĒāđāļāļāļēāļĢāļāđāļāļāļāļąāļāļĢāļ°āļāļāļŠāļđāļāļāļāđāļĄāđāļāļļāđāļĄāļāļąāļāļāļ§āļēāļĄāđāļŠāļĩāļĒāļŦāļēāļĒāļāļĩāđāļāļēāļāļāļ°āđāļāļīāļāļāļķāđāļāđāļāđāļāļāđāļ
āļāļąāļāļāļąāđāļāđāļĄāđāļāļĨ ISMF version 2 āļāļĩāđāļāļąāļāļāļēāļāļķāđāļāļāļķāļāđāļāđāļĒāļķāļāđāļāļ§āļāļ§āļēāļĄāļāļīāļāļāđāļēāļ Risk Management āđāļāđāļāļŦāļĨāļąāļ āļāļķāđāļāļŠāļēāļĄāļēāļĢāļāļāđāļ§āļĒāđāļŦāđāļāļāļāđāļāļĢāļŠāļēāļĄāļēāļĢāļāļāļģāđāļāļīāļāļāļēāļĢāļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāđāļāđāļāļĒāđāļēāļāđāļŦāļĄāļēāļ°āļŠāļĄ āđāļāļĒāļāļģāļāļķāļāļāļķāļ Risk Tolerance āđāļĨāļ° Risk Acceptance āđāļāđāļāļŦāļĨāļąāļ āļāļķāđāļāļāļ°āļāđāļ§āļĒāđāļŦāđāļāļāļāđāļāļĢāđāļāđāļĢāļąāļ ROI āļāļēāļāđāļāļĢāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāđāļāđāđāļāļĢāļ°āļāļąāļāļŠāļđāļāļŠāļļāļ
āđāļĄāđāļāļĨ ISMF version2 āļāļąāđāļāļāļĢāļ°āļāļāļāđāļāļāđāļ§āļĒ 4 āļāļēāļāļŦāļĨāļąāļ (Plan, Do, Check, Act āđāļāļ āļēāļ) āđāļĨāļ°āđāļāđāļĨāļ°āļāļēāļāļŦāļĨāļąāļāļĄāļĩ 4 āļāļēāļāļĒāđāļāļĒ (āļĢāļđāļāļāļĢāļāļāļĢāļēāļāļ§āļāļāļĨāļĄāļāļĩāđāļāļĒāļđāđāļāļąāļāļāļēāļāļāļ·āđāļāļāļēāļāļŦāļĨāļąāļ) āļĢāļ§āļĄāļāļąāđāļāļŦāļĄāļ 16 āļāļēāļāļĒāđāļāļĒ āđāļāļĒāđāļāđāļĨāļ°āļāļēāļāļŦāļĨāļąāļāļāļąāđāļāļāļ°āļĄāļĩāļĨāļđāļāļĻāļĢāļŠāļĩāđāļāļāļāļĩāđāļāļāļāļĄāļēāļāļķāđāļāļŦāļĄāļēāļĒāļāļķāļāļāļĨāļĨāļąāļāļāđāļŠāļļāļāļāđāļēāļĒāļāļāļāđāļāđāļĨāļ°āļāļēāļāļŦāļĨāļąāļ āđāļĨāļ°āļāļāļāđāļāļĢāļ°āļāļāļāļŠāļļāļāļāđāļēāļĒāļāļ·āļāļ§āļāđāļŦāļ§āļāļĢāļāļāļāļāļāļāļķāđāļāđāļŠāļāļāļāļķāļāļāļēāļāļāļķāđāļāļāļ°āļāđāļāļāļāļģāļāļĒāđāļēāļāļāđāļāđāļāļ·āđāļāļ āļŠāļĄāđāļģāđāļŠāļĄāļāļāļĨāļāļāđāļāļĢāļāļāļēāļĢāđāļĄāđāļāļģāļāļąāļāļ§āđāļēāļāļ°āļāđāļāļāļāļģāđāļāļāđāļ§āļāļāļēāļāļŦāļĨāļąāļāđāļ āļŠāļģāļŦāļĢāļąāļāļāļ§āļēāļĄāļŦāļĄāļēāļĒāđāļĨāļ°āļŦāļāđāļēāļāļĩāđāļāļāļāļāļāļāđāļāļĢāļ°āļāļāļāļāđāļēāļāđāđāļāđāļĄāđāļāļĨ ISMF version 2 āļāļąāđāļāļĄāļĩāļĢāļēāļĒāļĨāļ°āđāļāļĩāļĒāļāļāļąāļāļāļĩāđ
- āļāļēāļĢāļ§āļēāļāđāļāļāļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨ (Plan) āļĄāļĩāļāļģāļāļĨāđāļēāļ§āļāļĩāđāļ§āđāļē “āļŦāļēāļāļāđāļāļāļāļēāļĢāļāļģāđāļāļīāļāļāļēāļĢāđāļāđāļāļĒāđāļēāļāļĢāļēāļāļĢāļ·āđāļ āđāļĨāđāļ§āļāļēāļĢāļ§āļēāļāđāļāļāļāļĒāđāļēāļāļĢāļąāļāļāļļāļĄāļāļąāđāļāđāļāđāļāļŠāļīāđāļāļŠāļģāļāļąāļāļāļĩāđāļāļēāļāđāļĄāđāđāļāđ” āļāļķāđāļāđāļāļĄāļļāļĄāļĄāļāļāļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāļāđāđāļāđāļāļāļąāļ āļāļēāļĢāļ§āļēāļāđāļāļāļāļĩāđāļāļĩāļāļąāđāļāļāļ°āļāļģāđāļŦāđāļāđāļēāļāļāļĢāļēāļāļāļīāļāļāļĢāļĢāļĄāļāļĩāđāļāļ°āļāđāļāļāļāļģāļāļĨāļāļāļāļąāđāļāđāļāļĢāļāļāļēāļĢ āđāļāļĒāļĄāļĩāļāļēāļĢāļāļģāļāļķāļāļāļķāļ Risk Management āđāļāđāļāļŦāļĨāļąāļ āļāļķāđāļāļāļ°āļāļģāđāļŦāđāļāļ§āļēāļĄāđāļāđāļĄāļāļāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāļāļąāđāļāđāļĄāđāļāļķāļāļŦāļĢāļ·āļāļŦāļĒāđāļāļāļāļāđāļāļīāļāđāļ āļāļĒāļđāđāđāļāļĢāļ°āļāļąāļāļāļĩāđāļāļāđāļŦāļĄāļēāļ°āļāļąāļ Risk Tolerance āļāļąāđāļāđāļāļ āđāļāļāļąāđāļāļāļāļāļ§āļēāļāđāļāļāļāļĩāđāļāļĢāļ°āļāļāļāļāđāļ§āļĒāļāļēāļāļĒāđāļāļĒāļāļąāđāļāļŦāļĄāļ 4 āļāļēāļ āļāļąāļāļāļĩāđ
- Information Security Executive Briefing āđāļāđāļāļāļēāļĢāđāļĨāđāļēāļāļķāļ āļāļąāđāļāļāļāļ āļāļāļāđāļāļ āļāļ§āļēāļĄāļāđāļāļāļāļēāļĢ āđāļĨāļ°āļāđāļāļāļģāļāļąāļ āļāļāļāđāļāļĢāļāļāļēāļĢāđāļŦāđāļāļąāļāļāļđāđāļāļĢāļīāļŦāļēāļĢāļĢāļ°āļāļąāļāļŠāļđāļāļāļāļāļāļāļāđāļāļĢ āļāļąāđāļāļāļĩāđāđāļāļ·āđāļāđāļāđāļāļāļēāļĢāļāļĢāļąāļāļāļ§āļēāļĄāđāļāđāļēāđāļ āļāļ§āļēāļĄāļāļēāļāļŦāļ§āļąāļ āđāļāļĢāļĩāļĒāļĄāļāļ§āļēāļĄāļāļĢāđāļāļĄāđāļāļ·āđāļāđāļĢāļīāđāļĄāđāļāļĢāļāļāļēāļĢ āđāļĨāļ°āđāļāđāļāļāļēāļĢāđāļāđāļāļāđāļāļĄāļđāļĨāļāđāļēāļāļāļļāļĢāļāļīāļāļāļāļāļāļāļāđāļāļĢ āđāļāļ·āđāļāđāļŦāđāļāļģāđāļāļ°āļāļģāđāļāļĩāđāļĒāļ§āļāļąāļāļāļēāļĢāļāļąāđāļāđāļāļāļĒāđāļŦāļĢāļ·āļāđāļāđāļēāļŦāļĄāļēāļĒāļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāļāļāļāļāļāļāđāļāļĢ āļāļķāđāļāļāļēāļāļāļ°āļĒāļķāļāļĄāļēāļāļĢāļāļēāļāļāđāļēāļāđ āđāļāđāļ ISO/IEC 17799 (ISO/IEC27001) āļŦāļĢāļ·āļāļĄāļēāļāļĢāļāļēāļāļāļĩāđāļāļāļāđāļāļĢāļāļĢāļ°āļĒāļļāļāļāđāļāļķāđāļāđāļāļāļāđāđāļāđ
- Gap Analysis āđāļāđāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāļāļāļāđāļāļĢāđāļāļĒāļāļēāļĢāđāļāļĢāļĩāļĒāļāđāļāļĩāļĒāļāļāļąāļāļĄāļēāļāļĢāļāļēāļāļŠāļēāļāļĨ āđāļāđāļ ISO/IEC 17799 (ISO/IEC27001) āļāļķāđāļāļāļ°āļāđāļ§āļĒāđāļŦāđāļāļēāļĢāļ§āļēāļāđāļāļāđāļāļ·āđāļāļāļąāļāļāļēāđāļĨāļ°āļāļĢāļąāļāļāļĢāļļāļāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāđāļāļĄāļđāļĨāļāļāļāļāļāļāđāļāļĢāļĄāļĩāļāļīāļĻāļāļēāļāļāļĩāđāļāļąāļāđāļāļāļĒāļīāđāļāļāļķāđāļ
- Information Security People, Process, and Technology Vulnerability Assessment āđāļāđāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāļŦāļēāļāđāļāļāđāļŦāļ§āđāļāđāļēāļāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāļāļāđāļāļĢāđāļāļĒāļĄāļļāđāļāđāļāđāļāđāļāļāđāļēāļ āļāļļāļāļĨāļēāļāļĢ āļāļĢāļ°āļāļ§āļāļāļēāļĢ āđāļĨāļ°āđāļāļāđāļāđāļĨāļĒāļĩ āļāļķāđāļāļāļ°āļāđāļ§āļĒāđāļŦāđāļāļđāđāļ§āļēāļāđāļāļāđāļāđāļāļĢāļēāļāļāđāļāļĄāļđāļĨāļāļļāļāļāđāļāļāļāļāļāļāļāļāđāļāļĢāđāļāđāļāļīāļāļĨāļķāļ āļāļģāđāļŦāđāļŠāļēāļĄāļēāļĢāļāļ§āļēāļāđāļāļāđāļāđāļāļĢāļāļāļ§āļēāļĄāđāļāđāļāļāļĢāļīāļāļĄāļēāļāļāļķāđāļ
- Penetration Testing āļāļ·āļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāļĢāļ°āļāļąāļāļĨāļķāļāļāļĩāđāļŠāļļāļ āđāļāļĒāļĄāļĩāļāļēāļĢāđāļŠāļāļāļāļĨāđāļĨāļ°āļāļąāđāļāļāļāļāđāļāļāļēāļĢāļāļģāđāļāļēāļāđāļāļāđāļŦāļ§āđāļāļĩāđāļāļāđāļāļāļąāđāļāļāļāļ Vulnerability Assessment āļĄāļēāđāļāđāđāļāļāļēāļĢāđāļāļēāļ°āļĢāļ°āļāļāļāļĢāļīāļ (Ethical Hacking) āļāļķāđāļāļāļ°āļāđāļ§āļĒāļĨāļ fault positive āđāļĨāļ° āđāļāļīāđāļĄ Awareness āđāļŦāđāļāļąāļāļāļđāđāļāļĢāļīāļŦāļēāļĢāđāļĨāļ°āļāļđāđāļĢāđāļ§āļĄāđāļāļĢāļāļāļēāļĢāđāļāđāđāļāđāļāļāļĒāđāļēāļāļāļĩ
āļ āļēāļĒāļŦāļĨāļąāļāļāļēāļāļāļģāđāļāļīāļāļāļēāļāļāļąāđāļ 4 āļāļēāļāļĒāđāļāļĒāļāđāļēāļāļāđāļāđāļĨāđāļ§ āļāļđāđāļāļĢāļ§āļāļŠāļāļāđāļĨāļ°āļāļđāđāļĢāđāļ§āļĄāđāļāļĢāļāļāļēāļĢāļāļķāļāļŠāļēāļĄāļēāļĢāļāļĢāđāļ§āļĄāļāļąāļāļāļąāļāļāļēāđāļāļāļāļēāļāļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāđāļŦāđāđāļāđāļāļāļāđāļāļĢāđāļāđ āļāļķāđāļāđāļāļāļāļąāļāļāļĨāđāļēāļ§āļāļąāđāļāđāļĢāļĩāļĒāļāļ§āđāļē “Information Security Master Plan”Â
- āļāļēāļĢāļāļģāđāļāļāļāļĩāđāļ§āļēāļāđāļ§āđāļĄāļēāļāļāļīāļāļąāļāļī (DO) āļāļķāļāđāļĄāđāļ§āđāļēāļāļ°āļĄāļĩāļāļēāļĢāļ§āļēāļāđāļāļāļāļĒāđāļēāļāļāļĩāđāļāļĩāļĒāļāđāļāđāđāļāđāļŦāļēāļāļāļĢāļēāļĻāļāļēāļāļāļēāļĢāļāļģāđāļāļīāļāļāļēāļĢāļāļĒāđāļēāļāđāļŦāļĄāļēāļ°āļŠāļĄāđāļĨāđāļ§ āđāļāļĢāļāļāļēāļĢāļāļāđāļĄāđāļŠāļēāļĄāļēāļĢāļāļāļĢāļ°āļŠāļāļāļ§āļēāļĄāļŠāļģāđāļĢāđāļāđāļāđ āļāļąāļāļāļąāđāļāđāļāļāļąāđāļāļāļāļāļāļĩāđāļāļķāļāļĄāļĩāļāļēāļĢāļāļģāļāļĨāļĨāļąāļāļāđāļāļēāļāļāļąāđāļāļāļāļāļāļĩāđāļāđāļēāļāļĄāļēāđāļāļ·āđāļāđāļāđāđāļāđāļāđāļāļ§āļāļēāļāļāļāļīāļāļąāļāļī āđāļāļĒāđāļāđāļāđāļāđāļāļāļēāļĢāļāļģāļāļēāļāđāļāđāļāļīāļāđāļāļāļāļīāļ āđāļĨāļ°āđāļāļīāļāļāđāļĒāļāļēāļĒāļĢāļ§āļĄāļāļąāđāļāļŠāļīāđāļ 4 āļāļēāļāļĒāđāļāļĒāļāļąāļāļāļĩāđ
- Hardening āđāļāđāļāļāļēāļĢāļĨāļāļāđāļāļāđāļŦāļ§āđāļāļāļāļĢāļ°āļāļāļāļķāđāļāđāļāđāļāđāļāļĢāļ°āļāļąāļ Host (Windows/UNIX) āđāļĨāļ° Network Device (Router, Switching) āđāļāđāļāļŦāļĨāļąāļ āđāļāļĒāđāļāđāđāļāđāļāļ·āđāļāļĨāļāļāđāļāļāđāļŦāļ§āđāļāļāļāđāļāļĢāļ·āđāļāļāđāļĄāđāļāđāļēāļĒāđāļāļĢāļ°āļāļāļŠāļģāļāļąāļāđ
- Defense in Depth āđāļāđāļāļāļēāļĢāļŠāļĢāđāļēāļāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāđāļŦāđāđāļāđāļĢāļ°āļāļāđāļāļāļļāļāļĢāļ°āļāļąāļāļāļāļāļĢāļ°āļāļ āđāļĄāđāļ§āđāļēāļāļ°āđāļāđāļ DMZ, Network Gateway āļĢāļ§āļĄāđāļāļāļķāļ Host āđāļĨāļ° Application āđāļāļĒāđāļāđāļāļāļēāļĢāđāļāļĩāļĒāļāļāđāļāļāļģāļŦāļāļāđāļĨāļ° āđāļāļ§āļāļēāļāđāļāđāļāļŦāļĨāļąāļ
- Information Security Policy Development āļŦāļĄāļēāļĒāļāļķāļāļāļēāļĢāļāļąāļāļāļēāļāđāļĒāļāļēāļĒāļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨ āļāļķāđāļāļāļ°āđāļāđāļāđāļŠāđāļāļāļēāļāđāļāļāļēāļĢāļāđāļēāļĒāļāļāļ requirement āļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāļāļāļāļāļāļāđāļāļĢāļĄāļēāļāļŠāļđāđāđāļāļ§āļāļēāļāđāļĨāļ°āļ§āļīāļāļĩāļāļēāļĢāļāļāļīāļāļąāļāļīāđāļŦāđāđāļāđāļāļāļąāļāļāļēāļāļāļļāļāļāļāđāļāļāļāļāđāļāļĢ
- Incident Response and BCP/DRP Plan āļāļēāļĢāļŠāļĢāđāļēāļāđāļāļāļāļąāļāļāļēāļĢāļāļąāļāđāļŦāļāļļāļāļēāļĢāļāđāļāļĩāđāđāļĄāđāļāļēāļāļāļąāļ āđāļĨāļ°āđāļāļāļŠāļģāļĢāļāļāļāļļāļāđāļāļīāļ āđāļāļ·āđāļāļĢāļąāļāļĄāļ·āļāļāļąāļāļ āļąāļĒāļāđāļēāļāđāļāļĩāđāļāļēāļāļāļ°āđāļāļīāļāļāļķāđāļ āđāļāļ·āđāļāļāļģāļāļąāļāļāļ§āļēāļĄāđāļŠāļĩāļĒāļŦāļēāļĒāđāļŦāđāđāļŦāļĨāļ·āļāļāđāļāļĒāļāļĩāđāļŠāļļāļ
āļāļąāđāļāļāļāļāļāļĩāđ 2 āļāļĩāđāļāļ°āļāđāļ§āļĒāđāļŦāđāđāļāļāļāļĩāđāļ§āļēāļāđāļ§āđāļŠāļēāļĄāļēāļĢāļāđāļāļīāļāļāļķāđāļāļāļĢāļīāļāđāļāđāđāļāļāļēāļāļāļāļīāļāļąāļāļī āļāļķāđāļāļāļĨāļĨāļąāļāļāđāļāļāļāļāļąāđāļāļāļāļāļāļĩāđāļāļąāđāļāļāļ°āđāļāđāļāđāļāļāļŠāļēāļĢāļāđāļēāļāđāļāļĩāđāđāļāļĩāđāļĒāļ§āļāđāļāļāļāļąāļāļāļēāļĢāļāļģāđāļāļīāļāļāļēāļāđāļāđāđāļāđ āļāđāļĒāļāļēāļĒāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒ āđāļāļāļŠāļģāļĢāļāļāļāļļāļāđāļāļīāļ āđāļĨāļ°āđāļāļāļŠāļēāļĢāļĄāļēāļāļĢāļāļēāļāļāđāļēāļāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļŠāļģāļŦāļĢāļąāļāļāļēāļĢāļāļąāļāļāļēāļĢāļ°āļāļāđāļĨāļ°āđāļāļĢāļ·āđāļāļāđāļĄāđāļāđāļēāļĒ
- āļāļēāļĢāļāļĢāļ§āļāļŠāļāļāđāļĨāļ°āđāļāđāļēāļĢāļ°āļ§āļąāļ (Check) āļŦāļĨāļąāļāļāļēāļāļāļēāļĢāļāļēāļĢāļ§āļēāļāđāļāļāđāļĨāļ°āļāļēāļĢāļāļāļīāļāļąāļāļīāļāļĩāđāļāļĩ āļāļēāļĢāļāļĢāļ§āļāļŠāļāļāđāļĨāļ°āđāļāđāļēāļĢāļ°āļ§āļąāļāļāļąāđāļāļāđāđāļāđāļāļŠāļīāđāļāļŠāļģāļāļąāļāļāļĩāđāļāļ°āļāđāļāļāļāļģāđāļāļĨāļģāļāļąāļāļāđāļāļĄāļē āļāļąāđāļāļāļĩāđāđāļāļ·āđāļāđāļāđāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāļāļķāļāļāļ§āļēāļĄāļŠāļģāđāļĢāđāļāļāļāļāļāļēāļ āļāļ§āļēāļĄāļĒāļāļĄāļĢāļąāļāļāļāļāļāļāļąāļāļāļēāļāđāļāļāļāļāđāļāļĢ āļāđāļāļāđāļŦāļ§āđāđāļĨāļ°āļ āļąāļĒāđāļŦāļĄāđāđāļāļĩāđāļāļāđāļāļĢāļ°āļāļ āđāļāļ·āđāļāļāļģāļĄāļēāđāļāđāļāļĢāļąāļāļāļĢāļļāļāđāļĨāļ°āđāļāđāđāļāļāđāļĒāļāļēāļĒāđāļĨāļ°āļāļģāļĄāļēāđāļāđāđāļāļāļēāļĢāļāļģāļāļēāļāļāļąāđāļāļāļāļāļāđāļāđāļ
- Centralized Log Management āļāļ·āļāļāļēāļĢāļāļąāļāļāļēāļĢ āļāļąāļāđāļāđāļāđāļĨāļ°āļĢāļ§āļāļĢāļ§āļĄ Log āļāļēāļāļāļļāļāļāļĢāļāđāļāđāļēāļāđāđāļ§āđāļāļĩāđāļŠāđāļ§āļāļāļĨāļēāļ āđāļāļ·āđāļāļāļ§āļēāļĄāļŠāļ°āļāļ§āļāđāļāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđ āđāļĨāļ°āļāļēāļĢāđāļāđāļ Log āļāļāļāļĢāļ°āļāļāļāļēāļĄāļāļĩāđāļāļāļŦāļĄāļēāļĒāļāļģāļŦāļāļ
- Vulnerability Management āđāļāđāļāļāļēāļĢāļŠāļĢāđāļēāļāļĢāļ°āļāļāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāļāđāļāļāđāļŦāļ§āđāļāļāļāļĢāļ°āļāļ āļāļķāđāļāļāļ°āļāļģāđāļāļīāļāļāļēāļĢāļŠāđāļāļāļĢāļ°āļāļāđāļĨāļ°āļāļģāļĢāļēāļĒāļāļēāļāđāļāļ real-time āđāļāļĒāļĄāļĩāļāļēāļĢāļāļĢāļąāļāđāļāđāļāđāļŦāđāļŠāļĢāđāļēāļ traffic āļĢāļāļāļ§āļāļĢāļ°āļāļāļāđāļāļĒāļāļĩāđāļŠāļļāļ āļāļāļāļāļēāļāļāļąāđāļāļĒāļąāļāļĄāļĩāļĢāļ°āļāļ assign āļāđāļāļāđāļŦāļ§āđāļāļĩāđāļāļāđāļŦāđāļāļąāļāļāļļāļāļĨāļēāļāļĢāļāđāļēāļāđāđāļāļāļāļāđāļāļĢ āļāļķāđāļāļāļ°āļŠāļēāļĄāļēāļĢāļāļāđāļ§āļĒāđāļŦāđāđāļāļīāļāļāļēāļĢāļāļīāļāļāļēāļĄāļāļēāļāđāļĨāļ°āļĒāļąāļāļāđāļ§āļĒāļ§āļąāļāļāļĢāļ°āļŠāļīāļāļāļīāļāļĨāļāļēāļĢāļāļģāļāļēāļāļāļāļāļāļāļąāļāļāļēāļāđāļāđāļĨāļ°āļāļļāļāļāļĨāđāļāđāđāļāļĢāļ°āļāļąāļāļŦāļāļķāđāļāļāļĩāļāļāđāļ§āļĒ
- Compliance Management āđāļāđāļāļāļēāļĢāļāļąāļāļāļēāļĢāđāļāļ·āđāļāđāļŦāđāļāļĨāļąāļāđāļŦāđāļŠāļīāđāļāļāļĩāđāđāļāļĩāļĒāļāļāļĒāļđāđāđāļāļāđāļĒāļāļēāļĒāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļŠāļēāļĄāļēāļĢāļāđāļāđāļāļāļĢāļīāļāđāļāđāđāļāļāļēāļāļāļāļīāļāļąāļāļī āđāļāļĒāļāļēāļĢāđāļāđāđāļāļĢāļ·āđāļāļāļĄāļ·āļāđāļāļāļēāļĢāļāļ§āļāļāļļāļĄāļāļēāļĢāļāļģāļāļēāļāđāļĨāļ°āļāļēāļĢāđāļāđāļāļēāļāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻ āļāļāļāļāļēāļāļāļąāđāļāļĒāļąāļāļĄāļĩāļāļĢāļ°āđāļĒāļāļāđāđāļāļāļēāļĢāđāļāđāļēāļāļīāļāļāļēāļĄāļāļĪāļāļīāļāļĢāļĢāļĄāļāļēāļĢāđāļāđāļāļēāļāļĢāļ°āļāļāļāļāļāļāļđāđāđāļāđāļāļēāļāđāļāđāļāļĩāļāļāđāļ§āļĒ
- Real-time Threat Monitoring and Intrusion Analysis āļāļģāļāļĨāļāļĩāđāđāļāđāļāļēāļ “Centralized Log Management ” āļĄāļēāđāļāđāļāļ§āļąāļāļļāļāļīāļāđāļāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđāļāļēāļĢāđāļāđāļāļēāļāđāļĨāļ°āļ āļąāļĒāļāļĩāđāđāļāļīāļāļāļķāđāļāļāļąāļāļĢāļ°āļāļ āļĄāļĩāļ§āļąāļāļāļļāļāļĢāļ°āļŠāļāļāđāđāļāļāļēāļĢāļĨāļ fault positive āļāļĩāđāđāļāļāļāļĒāļđāđāđāļ report āđāļĨāļ° Log āļāļēāļāļāļļāļāļāļĢāļāđāļāđāļēāļ Information Security āļāļļāļāļāļĢāļāđ host āđāļĨāļ° network āļāđāļēāļāđāļāļĨāļĨāļąāļāļāđāļāļāļāļāļąāđāļāļāļāļāļāļĩāđāđāļĢāļĩāļĒāļāļ§āđāļē “Information Security Recommendation” āđāļāđāļāļāļĨāļŠāļĢāļļāļāđāļĨāļ°āļ§āļīāđāļāļĢāļēāļ°āļŦāđāļāļēāļāļāļēāļāļĒāđāļāļĒāļāđāļēāļāđ āđāļĨāļ°āļāļĨāļĨāļąāļāļāđāļāļĩāđāđāļāļāļāļķāđāļāļāļ°āļāļģāļĄāļēāđāļāđāđāļāđāļāđāļāđāļāļ§āļāļēāļāđāļāļāļēāļĢāļāļĢāļąāļāļāļĢāļļāļāđāļāļĢāļāļāļēāļĢāđāļāļāļąāđāļāļāļāļāļāđāļāđāļ
- āļāļēāļĢāļāļģāļāđāļāļāđāļāđāļŠāļāļāđāļāļ°āļĄāļēāđāļāđāđāļāļāļēāļĢāļāļĢāļąāļāļāļĢāļļāļāļĢāļ°āļāļ (Act) āđāļāđāļāļāļēāļĢāļāļģ “Information Security Recommendation” āļāļēāļāļāļąāđāļāļāļāļāļāļĩāđāđāļĨāđāļ§ āļĄāļēāđāļāđāđāļāļ·āđāļāđāļāđāļāđāļāļ§āļāļēāļāđāļāļāļēāļĢāļāļĢāļąāļāđāļāđāļāļāđāļĒāļāļēāļĒ āļ§āļīāļāļĩāļāļēāļĢāļāļāļīāļāļąāļāļī āļĢāļ§āļĄāđāļāļāļķāļāļĄāļēāļāļĢāļāļēāļĢāļāđāļēāļāđāļāļĩāđāļāļ°āļāļāļāļĄāļēāđāļāļ·āđāļāđāļŦāđāļāļāļąāļāļāļēāļāļĄāļĩāļāļ§āļēāļĄāđāļāđāļēāđāļāđāļĨāļ°āļāļāļīāļāļąāļāļīāļāļēāļĄāļāđāļĒāļāļēāļĒ āļĢāļ§āļĄāđāļāļāļķāļāļāļēāļĢāļŠāļĢāđāļēāļāđāļāļāļāđāļ§āļąāļāļāļ§āļēāļĄāļŠāļģāđāļĢāđāļāļāļāļāļāļāļāđāļāļĢāļāļāļēāļĢ
- Incident Response and BCP/DRP Update āđāļāđāļāļāļēāļĢāļāļģāļāļĨāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđāđāļĨāļ°āļāđāļāđāļāļ°āļāļģāļāļķāđāļāđāļāđāļ outcome āļĄāļēāļāļēāļāđāļāļŠāļāļĩāđāđāļĨāđāļ§ āļĄāļēāđāļāđāđāļāļāļēāļĢāļāļĢāļąāļāļāļĢāļļāļāđāļāđāđāļāđāļŠāļĢāđāļēāļāđāļāļāļāļąāļāļāļēāļĢāļāļąāļāđāļŦāļāļļāļāļēāļĢāļāđāļāļĩāđāđāļĄāđāļāļēāļāļāļąāļ āđāļĨāļ°āđāļāļāļŠāļģāļĢāļāļāļāļļāļāđāļāļīāļāđāļŦāđāđāļŦāļĄāļēāļ°āļŠāļĄāļāļąāļāļāļāļāđāļāļĢāļĄāļēāļāļĒāļīāđāļāļāļķāđāļ
- Information Security Policy Update āđāļāđāļāļāļēāļĢāļāļĢāļąāļāļāļĢāļļāļ āļāđāļĒāļāļēāļĒāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāļāļāđāļāļĢāđāļŦāđāļāļąāļāļŠāļĄāļąāļĒāđāļĨāļ°āļāļāļāļĢāļąāļāļāļąāļāļāļąāļāļāļąāļāļ āļēāļĒāđāļāđāļĨāļ°āļ āļēāļĒāļāļāļāļāļĩāđāđāļāļĨāļĩāđāļĒāļāđāļāļĨāļāđāļ
- Patch Management āđāļāđāļāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāđāļāļāļāđāļāļĒāđāļēāļāđāļāđāļāļāļąāđāļāļāļāļ āđāļāļĒāļĄāļĩāļāļēāļĢāļāļāļŠāļāļāļāļ§āļēāļĄāļāļđāļāļāđāļāļāļāļāļāđāļāļĨāđ patch āļĄāļĩāļāļēāļĢāđāļŦāļĨāļ patch āđāļĨāļ°āļāļģāđāļāļīāļāļāļēāļĢāļāļīāļāļāļąāđāļāđāļāļĒāđāļāđ bandwidth āļāđāļāļĒāļāļĩāđāļŠāļļāļ āļĢāļ§āļĄāđāļāļāļķāļāļāļēāļĢ rollback āļāļĒāđāļēāļāļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļāļĨ
- Information Security Metrics āļŦāļĄāļēāļĒāļāļķāļāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđāļŦāļēāđāļāļāļāđāļ§āļąāļāļāļĨāļŠāļģāđāļĢāđāļāļāļāļāļāļēāļĢāļāļģāļāļēāļāļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāļāļĨāļĨāļąāļāļāđāļāļĩāđāļŠāļģāļāļąāļāļāļĩāđāļŠāļļāļāļāļāļāļāļąāđāļāļāļāļāļāļĩāđāļāļąāđāļāđāļĢāļĩāļĒāļāļ§āđāļē “KPI and Information Security Scorecard” āļāļķāđāļāđāļāđāļāļāļēāļĢāļāļģāđāļāļāļāđāļāļĢāļ§āļāļ§āļąāļāļĄāļēāđāļāđāđāļāļāļēāļĢāļāļēāļĢāļ§āļąāļāļāļĨāļāļāļāļĄāļēāđāļāđāļ KPI āļāļāļāļāļāļāđāļāļĢ āđāļāļ·āđāļāđāļāđāđāļāđāļāđāļāļ§āļāļēāļāđāļāļāļēāļĢāļāļąāđāļāđāļāđāļēāļŦāļĄāļēāļĒāđāļāļāļēāļĢāļāļąāļāļāļģāđāļāļĢāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļāđāļāļĄāļđāļĨāđāļāđāļāļĢāļāļāļēāļĢāļĢāļāļāļāđāļāđāļ
āļŠāļīāđāļāļāļĩāđāļāđāļāļāļāļģāļāļĒāđāļēāļāļŠāļĄāđāļģāđāļŠāļĄāļāļāļĨāļāļāđāļāļĢāļāļāļēāļĢÂ
āļāļēāļāđāļāļŠāđāļ§āļāļāļĩāđāļāļ°āļāļĒāļđāđāđāļāļ§āļāđāļŦāļ§āļāļĢāļāļāļāļāļāļāļāļāđāļĄāđāļāļĨ ISMF version 2 āļāļķāđāļāđāļāđāļāļāļēāļāļāļģāđāļāđāļāļāļĩāđāļāļ°āļāđāļāļāļāļģāļāļĒāđāļēāļāļāđāļāđāļāļ·āđāļāļāļāļĨāļāļāļāļąāđāļāđāļāļĢāļāļāļēāļĢ āļāļĢāļ°āļāļāļāļāđāļ§āļĒāļāļēāļāļāļąāđāļāļŦāļĄāļ 3 āļŦāļąāļ§āļāđāļāļĒāđāļāļĒāđāļāđāđāļāđ
- Information Security Awareness Training and Education āđāļāđāļāļāļēāļĢāļāļąāļāļāļķāļāļāļāļĢāļāđāļāļ·āđāļāđāļāļīāđāļĄāļāļ§āļēāļĄāļĢāļđāđāđāļĨāļ°āļāļ§āļēāļĄāļāļĢāļ°āļŦāļāļąāļāļāļķāļāļāļ§āļēāļĄāļŠāļģāļāļąāļāļāļāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāđāļŦāđāđāļāđāļāļļāļāļĨāļēāļāļĢāļāļļāļāļĢāļ°āļāļąāļāđāļāļāļāļāđāļāļĢ āļāļķāđāļāļāļ°āļāđāļ§āļĒāđāļŦāđāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāļāđāļēāļ “Information Security” āđāļāļāļāļāđāļāļĢāļāļąāđāļāđāļāđāļāđāļāđāļāđāļāļĒāđāļēāļāļŠāļ°āļāļ§āļāļĄāļēāļāļāļķāđāļ
- Incident Response and Forensics āđāļāđāļāļāļēāļĢāđāļāļĢāļĩāļĒāļĄāļāļ§āļēāļĄāļāļĢāđāļāļĄāļĢāļąāļāļŠāļīāđāļāļāļĩāđāđāļĄāđāļāļēāļāļāļąāļāļāļĒāļđāđāđāļŠāļĄāļ āđāļĨāļ° āļ§āļīāđāļāļĢāļēāļ°āļŦāđāļāđāļāđāļŦāļāļļāļāļāļāļāļąāļāļŦāļē (Root-cause Analysis) āļāļēāļāļ§āļīāļāļĩ Digital Forensics
- Managed Security Services āļŦāļĄāļēāļĒāļāļķāļ āļāļēāļĢ Outsource āđāļāđāļēāļĢāļ°āļ§āļąāļāđāļāļĒāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđ Log āļāđāļ§āļĒāļāļļāļāļĨāļēāļāļĢāļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļāļāļēāļāļ āļēāļĒāļāļāļ āļāļēāļĢāđāļāđāļēāļĢāļ°āļ§āļąāļāđāļāļĒāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđ Log āļāđāļ§āļĒāļāļļāļāļĨāļēāļāļĢāļ āļēāļĒāđāļāļāļāļāđāļāļĢāļāļāļāđāļĢāļēāđāļāļāļāļąāđāļ āļāļāļāļāļēāļāļāļ°āđāļāđāđāļ§āļĨāļēāļāđāļāļāļāđāļēāļāļĄāļēāļāđāļĨāđāļ§āļĒāļąāļāļāđāļāļāļāļēāļĢāļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļāļāļĩāđāđāļĒāļāđāļĒāļ°āļĢāļ°āļŦāļ§āđāļēāļ Fault Alarm āļāļąāļ Real Attack Alarm āļāļķāđāļāļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļāļāđāļāļāļĄāļĩāļāļ§āļēāļĄāļāļģāļāļēāļāđāļāđāļāļāļīāđāļĻāļĐāļāđāļēāļāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđāļāļēāļĢāļāļļāļāļĢāļļāļāļĢāļ°āļāļ (Intrusion Analyst) āļāļĨāļāļāļāļāđāļāļāļąāļāļāļļāļāļąāļāļāđāļēāļāļąāļ§āļāļāļāļāļļāļāļĨāļēāļāļĢāļāļĩāđāļĄāļĩāļāļ§āļēāļĄāđāļāļĩāđāļĒāļ§āļāļēāļāļāļąāļāļāļĨāđāļēāļ§āļāđāļāđāļāļāļāđāļēāļāļŠāļđāļāļāļĒāļđāđāļāļāļŠāļĄāļāļ§āļĢ
āļāļēāļāļāļąāļāļŦāļēāļāļąāļāļāļĨāđāļēāļ§āļāļķāļāđāļāļīāļāđāļāļ§āļāļīāļāđāļāļāļēāļĢ “Outsource” āļāđāļēāļāļāļēāļĢāļāļąāļāļāļēāļĢāļĢāļ°āļāļāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļķāđāļāđāļĢāļĩāļĒāļāļ§āđāļē “Managed Security Services” āļŦāļĢāļ·āļ “MSS” āļāļēāļĢāļāļąāļāļāđāļēāļ Outsource āļāđāļēāļ Security āđāļāļĒāđāļāļāļēāļ° āđāļāđāļāđāļāļ§āļāļīāļāļāļĩāđāļāđāļāļāļāļēāļĢāđāļŦāđ Outsource āļĄāļēāļāđāļ§āļĒāđāļāļāļēāļĢāļāļąāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ āđāļĨāļ° āļāđāļ§āļĒāļĨāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāđāļŦāđāļāļąāļāļĢāļ°āļāļāđāļāļĒāļĢāļ§āļĄ (Risk Management & Risk Mitigation)
āđāļĄāđāļāļĨ ISMF Version 2 āđāļŠāļāļāļāļķāļāļāļēāļĢāļāļģāļāļēāļāļāļĒāđāļēāļāļāđāļāđāļāļ·āđāļāļ āđāļĨāļ°āļĄāļĩāļāļēāļĢāļāļģāđāļāļāļ§āļāđāļāđāļāļĢāļāļāļāļķāđāļāļāļ°āļāđāļ§āļĒāđāļŦāđāļāļēāļāļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāļāļąāđāļāļŠāļēāļĄāļēāļĢāļāļāļąāļāļāļēāļāļĒāđāļēāļāļāđāļāđāļāļ·āđāļāļāļāļāļāļ·āđāļāļāļēāļāļāļāļ Risk Management āđāļĨāļ°āļŠāļģāļŦāļĢāļąāļāļāļāļāļ§āļēāļĄāđāļāļāļāļāļāđāļāđāļāļāļąāđāļāļāļ°āđāļāđāļāļāļēāļĢāļāļāļīāļāļēāļĒāļĨāļāļĢāļēāļĒāļĨāļ°āđāļāļĩāļĒāļāđāļāđāļāđāļĨāļ°āļāļąāđāļāļāļāļ āļāļķāđāļāļāļ°āļāđāļ§āļĒāđāļŦāđāļāļļāļāļŠāļēāļĄāļēāļĢāļāđāļāđāļēāđāļāļ§āļīāļāļĩāļāļēāļĢāļāļģāļāļēāļāļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāđāļāđāļāļĒāđāļēāļāļāļđāļāļāđāļāļāļĄāļēāļāļĒāļīāđāļāļāļķāđāļ
āļāļēāļ : āļŦāļāļąāļāļŠāļ·āļ eLeader Thailand
āļāļĢāļ°āļāļģāđāļāļ·āļāļ āđāļāļ·āļāļāļāļļāļĄāļ āļēāļāļąāļāļāđ 2549
Update Information : 1 āļāļļāļĄāļ āļēāļāļąāļāļāđ 2549