Xây dựng Hệ thống An ninh thông tin cho Doanh nghiệp
Tài liệu thảo luận Nghiêm Sỹ Thắng
Vice CEO- CTO LienVietPostBankLienVietPostBank
Mục lục
� Tầm nhìn và mục tiêu xây dựng chiến lược CNTT và An ninh thông tin doanh nghiệp
� Phương pháp tiếp cận và mô hình hóa chiến lược triển khai
� Phương pháp mô hình hóa cấu thành Nghiệp vụ (Component Business � Phương pháp mô hình hóa cấu thành Nghiệp vụ (Component Business Model)
� Các vận dụng trong xây dựng và chuẩn hóa hệ thống An ninh thông tin doanh nghiệp
� Các vận dụng trong xây dựng hệ thống tuân thủ và quản lý rủi ro thông tin
2
� Phân tích hiện trạng của hệ thống IT và xác định tầm nhìn cho CNTT của Doanh nghiệp trong tương lai
– Gắn kết với nghiệp vụ là quyết sách, nhấn mạnh giá trị của CNTT và An ninh thông tin là biến tầm nhìn về kinh doanh thành hiện thực.
– Hiểu rõ những bất cập còn tồn tại để đưa ra định hướng tương lai
� Thiết kế xây dựng chiến lược, xác định các phương án giải quyết các tồn tại cũng như diễn giải phương án có lợi nhất cho Doanh nghiệp trong đầu tư:
Tầm nhìn & Mục tiêu Xây dựng hệ thống CNTT và An ninh thông tin Doanh nghiệp
3
– Kiến trúc, ứng dụng, dữ liệu và hạ tầng công nghệ;
– Mô hình vận hành IT, định vị CNTT, An ninh thông tin , động lực chính cho nghiệp vụ
� Xây dựng lộ trình chiến lược, sắp xếp các thứ tự ưu tiên cho các phương án, và với phương án được lựa chọn, đánh giá lợi ích tài chính và cụ thể hóa kế hoạch.
– Danh mục các chương trình
– Phân tích đầu tư
– Lập kế hoạch
Phương pháp tiếp cận và mô hình hóa chiến lược triển khai các dự án CNTT và An ninh thông tin Doanh nghiệp
Phần 1: Giai đoạn chuẩn bị
Để xác định phạm vi dự án và chọn lựa các hệ thống phù hợp, có ba giai đoạn đầu tương ứng với phần 1 trong dự án của Doanh nghiệp. Việc này sẽ giúp phân tích một cách toàn diện những yêu cầu của Doanh nghiệp đối với hệ thống An ninh thông tin và sự phù hợp của những yêu cầu này với mô hình hoạt động và chiến lược CNTT của Doanh nghiệp. Ba giai đoạn bao gồm:
� Giai đoạn 1: Chiến lược và mô hình kinh doanh� Giai đoạn 2: Xây dựng chiến lược CNTT� Giai đoạn 3: Yêu cầu doanh nghiệp,RFP và lựa chọn nhà cung cấp
Mỗi giai đoạn đều có một số công việc mấu chốt cần được thực hiện. Việc hoàn tất những nhiệm vụ chính của giai đoạn này sẽ quyết định thành công của giai đoạn kế tiếp.
4
sẽ quyết định thành công của giai đoạn kế tiếp.
Phần 2: Triển khai và sau triển khai
Trong quá trình triển khai / theo dõi tiến độ và cải tiến quy trình dự án. Những công việc này cần được quan tâm chặt chẽ và cần được thực hiện bởi một đơn vị tư vấn độc lập.
Tổng quan các bước về triển khai dự án CNTT và An ninh thông tin cho Doanh nghiệp
Giai đoạn 1 –Chiến lược và mô hình kinh doanh
Giai đoạn 2 – Xây dựng chiến lược CNTT & An ninh TT
Giai đoạn 3 .1–Yêu cầu doanh nghiệp
Giai đoạn 3.2 –RFP và lựa chọn nhà cung cấp
Giai đoạn 4 – Quản lý dự án
Phần 1 – Giai đoạn chuẩn bịPhần 2 – Giai đoạn triển khai, sau triển khai
• Phỏng vấn lãnh đạo cao cấp• Rà soát hoạt động và quy trình kinh
• Thực hiện đánh giá năng lực CNTT• Chi tiết hóa các yêu cầu về CNTT
• Ghi nhận mô hình kinh doanh• Ghi nhận yêu cầu kinh doanh, yêu cầu
• Hỗ trợ lựa chọn• Xây dựng hồ sơ mời thầu (RFP)• Hỗ trợ đánh giá
• Vận hành ban quản lý• Đảm bảo chất lượng dự án• Thiết kế và kiểm tra
5
doanh• Rà soát liên kết chiến lược• Đánh giá tính sẵn sàng• Xây dựng kế hoạch hành động
• Xây dựng và lựa chọn các giải pháp CNTT• Xây dựng bức tranh toàn cảnh CNTT• Phát triển kế hoạch chiến lược về CNTT
chức năng và yêu cầu kỹ thuật
• Lập lịch tham quan các địa điểm để đánh giá•Thương thảo hợp đồng
các kiểm soát• Hỗ trợ kiểm tra ứng dụng• Đào tạo về rủi ro và kiểm soát• Quản lý thay đổi• Đánh giá sau triển khai
• Xác định chiến lược• Đồng thuận về nội dung• Đưa ra ý kiến đóng góp• Xác định mô hình tương lai
• Hợp tác trong việc thu thập thông tin• Đưa ra ý kiến đóng góp• Xác định chiến lược CNTT• Đồng thuận về kế hoạch thực hiện chiến lược
• Đồng thuận của các bên liên quan:
– mô hình kinh doanh– yêu cầu doanh nghiệp– yêu cầu chức năng– yêu cầu kỹ thuật
• Chấp thuận các nhà cung cấp• Ký xác nhận các yêu cầu RFP• Chấp thuận các tiêu chí đánh giá• Quyết định giải pháp được chọn
• Quản lý dự án• Chấp thuận các kiểm soát hệ thống và các kiểm soát khác• Quản lý thay đổi• Triển khai hệ thống
CN
TT
Doanh N
ghiệ
p
Chuẩn bị t
riển k
hai
Ứng dụng học thuyết chiến lược của M. Porter
05 tác động chính có thể gây nguy hiểm vị trí của doanh nghiệp trên thương
trường• Mối đe dọa từ các đối thủ cạnh tranh mới.
• Quyền mặc cả của nhà cung cấp.
• Quyền mặc cả của khách hàng.
• Mối đe doạ của các sản phẩm, dịch vụ thay thế.
• Sự đua tranh của các doanh nghiệp hiện hữu.
6Mô hình chuỗi giá trị Porter áp dụng cho
doanh nghiệp sản xuất hoặc dịch vụ
Các điểm nhấn của học thuyết chiến lược M.Porter
+ Chiến lược đối phó� - Cost leadership (Giảm giá) : Tạo ra các sản phẩm, dịch vụ có giá tốt nhất
trong cùng lĩnh vực
� - Differentiation (Sự khác biệt) : Tạo ra những sản phẩm có chất lượng cao nhưng giá cạnh tranh. Ví dụ : dịch vụ hậu mãi tốt
� - Focus (Tập trung) : Tập trung vào một phân khúc thị trường nhằm đạt được cả Cost leadership và Differentiation
� - Các chiến lược bổ sung : Năm 1996, Porter đã mở rộng lý thuyết chiến
Ứng dụng học thuyết chiến lược của M. Porter
� - Các chiến lược bổ sung : Năm 1996, Porter đã mở rộng lý thuyết chiến lược thêm một số yếu tố là vị trí chiến lược, hiệu quả tác nghiệp và dịch vụ khách hàng.
+ Ứng dụng mô hình Porter� - Phân tích tất cả các điểm mạnh, điểm yếu của tất cả các hoạt động
� - Những hoạt động tạo thêm nhiều giá trị hơn có thể tạo ra các lợi thế cạnh tranh.
� - Xác định trong chuỗi hoạt động nào ứng dụng CNTT sẽ tạo gia giá trị lớn hơn và hoạt động nào ứng dụng CNTT là phù hợp nhất.
7
Ứng dụng Tiêu chuẩn COBIT+ ITIL/ISO
8
Phương pháp mô hình hóa Cấu thành Nghiệp vụ (Component Business Model)
9
Phương pháp mô hình hóa Cấu thành Nghiệp vụ (Component Business Model)
Illustrative governance model
10
Phương pháp mô hình hóa Cấu thành Nghiệp vụ (Component Business Model)
11
Phương pháp mô hình hóa Cấu thành Nghiệp vụ (Component Business Model) trong xây dựng các hạng mục CNTT và An ninh thông tin
12
Insight
Manufacturing
Distribution Risk / Fin Mgt
Strategy and Planning
Service
Branch Call CentreSelf-
Service
Sales
Sales Marketing
Product Manufacturing
DeploymentResearch Development
Risk
Market Risk Analysis & Mgmt
Credit Risk Analysis & Mgmt
Asset & Liability Policy
& Planning
OperationalRisk Analysis
& Mgmt
Administration
Channel Mgmt
Relationship Mgmt
Application Mgmt
Product Management
Portfolio MgmtProduction
Inventory Mgmt Financial MgmtPortfolio
Market Research
Segmentation
Business Strategy
Customer Analysis
Phương pháp mô hình hóa một doanh nghiệp nhằm xác đinh được các lĩnh vực trọng tâm về cả nghiệp vụ lẫn CNTT
13 13
Governance
Processing
Fixed Asset Mgmt
Alliance Mgmt
Resource Planning
Business Architecture
Business Unit Mgmt
DeploymentResearch Development
Compliance
Internal Audit
Compliance Mgmt
Data
Business
Markets
Customer
Common Processes
Billing
Payments
Customer Account
Collections/ Recovery
Deposits
Servicing
Reconciliations
Settlement
Specific Processes
Trading
Custody
Financial Capture
Valuations
Facilities
Infrastructure
Portfolio MgmtProduction
MgmtInventory Mgmt
Operations Mgmt
Financial Mgmt
Finance Policies &
Control
Financial Accounting &
Reporting
TreasuryCash
Inventory
Facilities Operations & Maintenance
Human Resources
HR Management
ITSystems
Development & Maintenance
Portfolio Analysis
Source: LienVietBank Institute for Business Value
Kiến trúc, Tổ chức CNTT và Giá trị là 3 phương diện được đánh giá trong suốt quá trình tiếp cận chiến lược CNTT
Kiế
n t
rúc Ứng dụngỨng dụng
Công nghệCông nghệ
Thông tinThông tin1. Phân tích & Tầm nhìn 2. Thiết kế chiến lược
3. Xây dựng lộ trình chiến lược
Hiện trạng của CNTT và mục tiêu tiến tới
trong tương lai
Các phương án giải quyến các bất cập tồn tại và lựa chọn phương
án tối ưu
Ý nghĩa về mặt tài chính của phương án được lựa chọn và lập kế hoạch thực hiện
Phương pháp mô hình hóa hoạt động CNTT nhằm xác định được các lĩnh vực trọng tâm về cả nghiệp vụ lẫn Công nghệ
14
Giá trị CNTT mang lạiGiá trị CNTT mang lại
Các chi phí CNTTCác chi phí CNTT
Các đầu tư cho CNTTCác đầu tư cho CNTT
Mô
hìn
hVận
hàn
h C
NT
T Quản trịQuản trị
Tổ chức CNTTTổ chức CNTT
Các dịch vụ CNTTCác dịch vụ CNTT
Các quy trình CNTTCác quy trình CNTT
Nhân sự/Năng lựcNhân sự/Năng lực
Giá
trị
Phân tích hiện trạng
Tầm nhìn CNTT & gắn kết với
nghiệp vụ
Lê
n p
hươ
ng
án
và
đ
án
h g
iá
Ch
uẩ
n bị dự
án
Danh mục dự án
Phân tích đầu tư
Lậ
p kế
hoạ
ch
dự
án
Ph
ân
tích
kh
oả
ng
cá
ch
Kiến trúc khái niệm
Tổ chứcCNTT
Bước 1 trong tiếp cận và xây dựng chiến lược CNTT
CN
TT,
kin
h do
anh
và c
ác q
uy tr
ình
xử lý
Hiện trạng CNTT
1. Phân tích & Tầm nhìn
Phân tích hiện trạng
ng
cách
Quản trị và cơ cấu CNTT
Các dự án CNTT
Các tài nguyên và kỹ năng CNTT
Hệ thống và các công nghệ Hệ thống và các công nghệ
Các xu thế kinh doanh và công nghệ
Chiế
n lượ
c về
CN
TT,
kin
h do
anh
và c
ác q
uy tr
ình
xử
Tầm nhìn và chiến lược CNTT gắn kết với nghiệp vụ
Định nghĩa các nguyên tắc và quy
tắc chủ đạo
Chiến lược và tầm
nhìn kinh doanh đặc
thù
Xác định nhu cầu CNTT
chốt
Xác định nhu cầu CNTT từ các nghiệp vụ chủ
chốt
Xác định các động lực
CNTT
Xác định các động lực cho nghiệp vụ từ phía
CNTT
Nắm bắt định hướng và chiến lược về công
nghệ
Ph
ân
tíc
h k
hoản
g c
ách
Chi phí CNTTCác dịch vụ và nguồn cung cấp
CNTTCác dịch vụ và nguồn cung cấp
CNTT
Các dự án CNTTCNTT CNTT
Nắm bắt định hướng và chiến lược kinh
doanh
Mục tiêu của các lĩnh vực tập trung – Giai đoạn 1
Phương pháp/Giai đoạn
Thành phần Lĩnh vực nghiên cứu
Phân tích hiện trạng
Quản trị và cơ cấu CNTT
Các dự án CNTT
Chi phí CNTT
Các tài nguyên & kỹ năng CNTT
Hệ thống và các công nghệ CNTT
16
Giai đoạn 1: Phân tích & Tầm nhìn
Các dịch vụ và nguồn cung cấp năng lực CNTT
Kiến trúc và chức năng ứng dụng
Xây dựng tầm nhìn, gắn kết CNTT, An ninh thông
tin và nghiệp vụ
Nắm bắt định hướng và chiến lược nghiệp vụ
Nắm bắt định hướng và chiến lược về công nghệ
Các xu thế nghiệp vụ và công nghệ
Định nghĩa các nguyên tắc và quy tắc chủ đạo
Xác định nhu cầu CNTT từ các từ nghiệp vụ chủ chốt
Xác định các động lực cho nghiệp vụ từ phía CNTT
Phân tích khỏang cáchKhoảng cách so với kiến trúc khái niệm
Khoảng cách trong mô hình vận hành IT
Xác định các hạng mục cần triển khai theo mức độ ưu tiên của Nghiệp vụ nhằm kéo theo chiến lược đầu tư CNTT
Insight
Manufacturing
Distribution Risk / Fin Mgt
Strategy and Planning
Service
Branch Call CentreSelf-
Service
Sales
Sales Marketing
Product Manufacturing
DeploymentResearch Development
Risk
Market Risk Analysis & Mgmt
Credit Risk Analysis & Mgmt
Asset & Liability Policy
& Planning
OperationalRisk Analysis
& Mgmt
Administration
Channel Mgmt
Relationship Mgmt
Application Mgmt
Product Management
Portfolio MgmtProduction
MgmtInventory Mgmt Financial MgmtPortfolio
Analysis
Market Research
Segmentation
Business Strategy
Customer Analysis
17
Governance
Processing
Fixed Asset Mgmt
Alliance Mgmt
Resource Planning
Business Architecture
Business Unit Mgmt
Compliance
Internal Audit
Compliance Mgmt
Data
Business
Markets
Customer
Common Processes
Billing
Payments
Customer Account
Collections/ Recovery
Deposits
Servicing
Reconciliations
Settlement
Specific Processes
Trading
Custody
Financial Capture
Treasury
Facilities
Infrastructure
Operations Mgmt
Finance Policies &
Control
Financial Accounting &
Reporting
Treasury Mgmt
Cash Inventory
Facilities Operations & Maintenance
Human Resources
HR Management
ITSystems
Development & Maintenance
Differentiaton
Competitive
Priority
Chỉ ra kiến trúc CNTT và An ninh thông tin từ tầm nhìn nghiệp vụ của Doanh nghiệp
Electronic Self Service Branches Call centre Mobility Partners
Authentication Access Control Content Collaboration Personalisation
ID Management
Availability
Change Management
Channels Layer
Presentation Layer
Management Application Development
High Medium Difference
Priority
18
Deposits InvestmentsBanking
ApplicationCRM
Loans Treasury PaymentsRisk and
ComplianceCredit Card
Collecting AccountingCash
ManagementAsset
ManagementHR Doc Mgmt
BI InformationClient History
Client Relationship
Client catalog
Product catalog
DW Data Marts
Security Management
Provisioning
Configuration
Directory Management
Monitoring
Portfolio and
Process control
Architecture control
Quality Management
Auditing
Components Layer
Information Layer
Business Components
Common Components
Analytics Client/Product/Segment views
Đánh giá CNTT trong ngữ cảnh các ưu tiên về nghiệp vụ sẽ làm nổi rõ mấu chốt về mục tiêu triển khai cần thiết
Insight
Manufacturing
Distribution Risk / Fin Mgt
Strategy and Planning
Service
Branch Call CentreSelf-
Service
Sales
Sales Marketing
Product Manufacturing
DeploymentResearch Development
Risk
Market Risk Analysis & Mgmt
Credit Risk Analysis & Mgmt
Asset & Liability Policy
& Planning
OperationalRisk Analysis
& Mgmt
Administration
Channel Mgmt
Relationship Mgmt
Application Mgmt
Product Management
Portfolio MgmtProduction
MgmtInventory Mgmt Financial MgmtPortfolio
Analysis
Market Research
Segmentation
Business Strategy
Customer Analysis
19
Governance
Processing
Fixed Asset Mgmt
Alliance Mgmt
Resource Planning
Business Architecture
Business Unit Mgmt
Compliance
Internal Audit
Compliance Mgmt
Data
Business
Markets
Customer
Common Processes
Billing
Payments
Customer Account
Collections/ Recovery
Deposits
Servicing
Reconciliations
Settlement
Specific Processes
Trading
Custody
Financial Capture
Treasury
Facilities
Infrastructure
Operations Mgmt
Finance Policies &
Control
Financial Accounting &
Reporting
Treasury Mgmt
Cash Inventory
Facilities Operations & Maintenance
Human Resources
HR Management
ITSystems
Development & Maintenance
Differentiaton
Competitive
PriorityMissing Functionality
Tầm nhìn CNTT cũng chỉ ra được cách lựa chọn kiến trúc chính để giải quyết các bất cập tồn tại
Electronic Self Service Branches Call centre Mobility Partners
Authentication Access Control Content Collaboration Personalisation
ID Management
Availability
Change
Channels Layer
Presentation Layer
Management Application Development
High Medium Diff/Low
Priority
20
Authentication Access Control Content Collaboration Personalisation
Deposits InvestmentsBanking
ApplicationCRM
Loans Treasury PaymentsRisk and
ComplianceCredit Card
Collecting AccountingCash
ManagementAsset
ManagementHR Doc Mgmt
BI InformationClient History
Client Relationship
Client catalog
Product catalog
DW Data Marts
Security Management
Provisioning
Configuration
Directory Management
Monitoring
Portfolio and
Process control
Architecture control
Quality Management
Change Management
Auditing
Components Layer
Information Layer
Business Components
Common Components
Analytics Client/Product/Segment views
Key EnhancementsNew Capabilities Gaps
Việc xây dựng và đánh giá các phương án chiến lược được tiến hành dựa trên các cân nhắc về cả mô hình khái niệm lẫn tổ chức
Tích hợp các kiến thức giữa môi trường và cổ đông
c ch
iến
ng
u ki
nh d
oanh
2. Thiết kế chiến lược
Xây dựng phương án và so sánh các phương án
Kiến trúc ứng dụng
Kiến trúc công nghệ
Kiến trúc khái niệm
Những điều cần làm
Lựa
chọn
tổ c
hức
chiế
n lượ
c C
NT
T tr
ong
từng
phươ
ng á
n cụ
thể
Các
yêu
cầu
kinh
doa
nh
và mứ
c độ ư
u tiê
n
so sánh các phương án
Định nghĩa các phương án cho khách hàng cụ thể
Đánh giá các phương án và quyết định lựa chọn
Phân tích rủi ro cho các phương án
Kiến trúc thông tin
Kiến trúc công nghệ
Cai quản
Tổ chức / cấu trúc CNTTCác dịch vụ & nguồn cung ứng
năng lực CNTTCác dịch vụ & nguồn cung ứng
năng lực CNTT
Các quy trình CNTT
Quản lý nhân sự
Mô hình vận hành
Mục tiêu của các lĩnh vực tập trung – Giai đoạn 2 & 3
Phương pháp/Giai đoạn
Thành phần Lĩnh vực nghiên cứu
Giai đoạn 2: Thiết kế chiến
lược
Kiến trúc khái niệm
Kiến trúc ứng dụng
Kiến trúc hạ tầng cơ sở
Kiến trúc thông tin và bảo mật
Mô hình vận hành
Cai quản
Tổ chức/cấu trúc CNTT
Các dịch vụ và nguồn cung ứng năng lực CNTT
Các quy trình IT
22
lược Các quy trình IT
Quản lý nhân sự
Xây dựng phương án và so sánh các phương án
Định nghĩa các phương án cho khách hàng cụ thể
Phân tích rủi ro cho các phương án
Đánh giá các phương án và quyết địn lựa chọn
Giai đoạn 3:Lộ trình chiến
lược
Danh mục dự ánDanh mục các dự án nghiệp vụ
Danh mục các dự án CNTT
Phân tích đầu tưĐánh giá chi phí
Phân tích đầu tư cho một số dự án quan trọng
Lập kế hoạc dự án
Đánh giá mức độ ưu tiên và các tiền đề
Lên kế hoạch đầu tư/ngân sách
Lập kế hoạch dự án
Chuẩn bị dự án Chuẩn bị dự án
Tham chiếu dựa trên cấu phần tạo ra sự mềm dẻo và dẫn dắt việc lựa chọn công nghệ và ứng dụng CNTT và An ninh thông tin
23 23
Technology infrastructure summary
Applications
(200+ apps.)
Development environments
EAI Layer
Business applications
(App 1, App 2, product Portal, FOS, product Manager, Legacy, and others…)
UNIX & Windows Scripting
.Net
Java
Notes
Websphere, Netweaver (Exchange Infrastructure, Process Integration), Actis EDIMANAGER
Perl
Visual Basic
HTML
App ABAP
Other dev. packages
24
Technical platforms
Storage
databases
Tier 1
(110 TB)
Tier 2
(125 TB)
Network infrastructure
Systems
management
HP UX
(95)
HP Intel Servers
(180)
Superdoom
(2)
Notes Servers Windows/
Intel
(54)
Network Layer — MPLS: Orange, AT&T, VPN: Orange, DWDM: Luxembourg EPT
OracleSQL
Server
7,000 Desktops
4,000 Laptops
1508 Printers
119 PDAs
DB2
EMC Symetrix
EMC Clarion
EMC Centera…
HP EVA
EMC Celera
Tape
HP OpenView, HP Network Node Manager, HP Insight Manager, CISCO Works, CISCO ACS, Netscout, and Bigbrother
AppMAXDB
Notes
Cách tiếp cận Process-base sẽ giải quyết những thách thức kỹ thuật chủ yếu của chiến lược công nghệ và bảo mật
25
� Thiết kế để tiến hóa – nâng cấp lũy tiến tính đến việc nghiệp vụ và CNTT thay đổi không ngừng
� Giảm đáng kể thời gian phát triển trong quá trình nâng cấp so với các tiếp cận thông thường
� Nhắm tới module hóa các công việc thiết kế và thực hiện các quy trình nghiệp vụ
� Khả năng thực hiện cao mà vẫn mềm dẻo
Service-oriented, loosely-coupled, business process driven components
Functional, but heavily customized andinflexible core systems
Một vài lựa chọn có thể được đưa ra trong khi xây dựng phương án
Kiến trúc ứng dụng
Kiến trúc công nghệKiế
n trú
c
khái n
iệm
Quản trị CNTT
Lựa chọn 1 Lựa chọn 2 Lựa chọn 3
26
Quản trị CNTT
Tổ chức CNTT
Cung cấp dịch vụ
CNTT
Quy trình CNTT
Nhân sự và kỹ năng
CNTT
Tổ c
hứ
c v
à q
uy
trìn
h C
NT
T
Đề xuất giải pháp và phương án xây môi trường an ninh bảo mật doanh nghiệp.
Mô hình hóa hệ thống An ninh thông tin
28
Xây dựng và chuẩn hóa hệ thống An ninh thông tin doanh nghiệp có thể mô hình hóa thành 3 bước
29
Phần 1: Security Benchmarking
30
Phần 2: Security Risk Assesment
31
Phần 3: Security Strategy Development / ISD Enhancement
32
Mục tiêu xây dựng chiến lược bảo mật doanh nghiệp
Các công tác sẽ triển khai:
� Phát triển những chiến lược để liên kết bảo mật thông tin với CNTT, kinh doanh, những chiến lược hợp nhất và những sáng kiến.
� Phân tích ngân sách cho việc bảo mật thông tin và đề xuất (gợi ý) các chiến lược giảm chi phí cho các hoạt động bảo mật thông tin
� Đánh giá sự hoàn chỉnh (phát triển môt cách hoàn chỉnh) của một hoặc nhiều tính năng bảo mật thuộc Cơ cấu bảo mật doanh nghiệp của chúng tôi và cung cấp lộ
Những lợi ích tiềm năng
• Thực hành bảo mật thông tin áp dụng một cách hợp lý, thích hợp cho toàn hệ thống.
• Cắt giảm chi phí vận hành bảo mật thông tin và “giải pháp điểm” CNTT
• Thành lập, xây dựng trách nhiệm, quyền hạn và
trách nhiệm cho việc bảo mật thông tin.
• Thống nhất bảo mật an ninh thành một hệ thống cấu bảo mật doanh nghiệp của chúng tôi và cung cấp lộ trình, những sáng kiến cụ thể để đạt được một mức độ hoàn chỉnh đặc biệt.
� Đánh giá việc ủy quyền trong vai trò, trách nhiệm bảo mật thông tin, đồng thời cung cấp những đề xuất, gợi ý trong tổ chức và quản trị.
� Tiêu chuẩn chương trình bảo mật thông tin của khách hàng đối với các chỉ tiêu ngành công nghiệp hoặc tương đương.
• Thống nhất bảo mật an ninh thành một hệ thống
quản lý kinh doanh cốt lõi.
• Mức điều kiện tốt nhất cho việc đầu tư bảo mật
thông tin cho yêu cầu của doanh nghiệp và khả
năng chịu được rủi ro của tổ chức.
• Liên kết tất cả định hướng kinh doanh, chiến
lược bảo mật và các hệ thống CNTT.
• Các giải pháp bảo mật thiết thực được liên kết
chặt chẽ và dễ quản lý.
Phương pháp phát triển hệ thống bảo mật thông tin doanh nghiệp
Cơ cấu quản lý hoạt động CNTT (ví dụ ITIL) tiếp tục trưởng thành, phát triển và đạt được những thành công trên diện rộng là những phương pháp hiệu quả cho việc sắp xếp hợp lý hóa và kiểm soát các hoạt động CNTT. Sự gia tăng mức phổ biến của những thành công này buộc những nhà lãnh đạo trong môi trường bảo mật thông tin phải suy nghĩ lại chiến lược đễ thực hiện kiểm soát bảo mật một cách hiệu quả trong bối cảnh tiêu chuẩn của cơ cấu tổ chức CNTT.
Một quy trình bảo mật tương quan , hợp nhất nhằm kiểm soát và chuyển quy trình bảo mật thành một cơ cấu tổ chức CNTT hiện đại thông qua một hoặc nhiều phương pháp sau đây:
– Sự kiểm soát được thực hiện thông qua quá trình tự vận động (VD: quá trình tự xử lý sự cố)
– Sự kiểm soát, quản lý được thực hiện thông qua việc thi hành của một quá trình( vd: xây dựng những tiêu chuẩn và chính sách)
– Sự kiểm soát được thực hiện thông qua giao diện (vd: bảo mật trong hợp đồng bên thứ 3)
Enterprise Security Framework
Định nghĩa cho các hạng mục trong mô hình bảo mật doanh nghiệp
Nhưng lợi ích của mô hình bảo mật theo “Process-Based”
• Hợp nhất với tiêu chuẩn công nghiệp trong cơ cấu CNTT- Hầu hết cơ cấu tổ chức CNTT là process-
based. Một quá trình cơ cấu bảo mật cho phép một sự xác định thẳng thắn quá trình cần thiết cho những
yêu cầu và những điểm hợp nhất.
• Phát triển bền vững – Các quá trình hợp nhất bảo mật chính thức trong CNTT và các hoạt động kinh
doanh đảm bảo cho những yêu cầu trong quá trình bảo mật sẽ được thực hiện một cách cẩn thận, hợp lý.
• Sử dụng phương pháp phân tích sự hoàn thành, phát triển – Nhiều mô hình và phương pháp phát triển
khả năng, tính năng có thể được sử dụng mà không cần sửa đổi để phân tích hiệu quả của các chương trình
bảo mật thông tin vả để tạo ra lộ trình chiến lược dựa trên sự phát triển/
• Cung cấp các số liệu quản lý – Những quy trình có thể được đo lường một cách hiệu quả bằng nhiều • Cung cấp các số liệu quản lý – Những quy trình có thể được đo lường một cách hiệu quả bằng nhiều
phương pháp và số liệu cung cấp một loạt các báo cáo quản lý về tình trạng hiện tại của các chương trình
bảo mật.
• Xây dựng trách nhiệm rõ ràng – Sự sở hữu có thể được chỉ định cho mỗi quá trình bảo mật để bảo đảm
rằng chúng được duy trì và thực hiện khi cần thiết.
• Thực hiện bảo mật một cách linh hoạt – Vai trò và trách nhiệm của việc bắt đầu, lập kế hoạch, thực hiện,
quản lý và kết thúc quá trình bảo mật thông tin có thể được chỉ định tập trung, phân tán, hoặc “các nguồn
bên ngoài” phụ thuộc vào kỹ năng yêu cầu và chi phí.
• Chi phí kỹ thuật/ Phân tích lợi ích –Khả năng lập phương hướng công nghệ để hỗ trợ cho các quy trình
cho phép việc phân tích chi phí/lợi nhuận cho quá trình mua bán công nghệ, hợp nhất và phát triển chiến
lược cắt giảm chi phí.
Tầm nhìn mô hình bảo mật theo “Process-Based” Sự kết hợp trên nhưng mô hình hiểu biết về tiến trình hoạt động ngành công nghiệp cụ thể và tiêu chuẩn quản lý an toàn bảo mật chuẩn, cho phép thực hiện mô hình hóa chiến lược tốt hơn, nhanh hơn và nhiều thông tin hơn các quyết định quản lý ứng dụng.
Trên toàn cảnh hoạt động doanh nghiệp có thể xác lập tiêu chuẩn tăng tốc triển khai nhanh chóng hệ thống bảo mật và lựa chọn thước đo giá trị đầu tư
Key Industry Accelerators:
�Risk Maps by Industry�ValuePrint�ValuePrint�IndustryPrint�InformationPrint�ServicesPrint�Value Level Metrics
Định vị triển khai công nghệ thông
tin theo ngành dọc.
Mô hình tổ chức đơn cử
39
Vòng đời các chương trình an ninh bảo mật thông tin theo COBIT
� Sử dụng khung an ninh doanh nghiệp và quá trình triển khai theo thư viện, doanh nghiệp có thể bắt đầu đánh giá, phát triển, thực hiện và duy trì một chương trình bảo mật hiệu quả.
Phương án tiếp cận chiến lược xây dựng hệ thống bảo mật doanh nghiệp
� Phạm vi và kế hoạch
– Xác định những đơn vị, cơ quan có liên quan chính và tiến hànhxây dựng lịch trình cho những cuộc gặp gỡ.
– Tiến hành xây dựng kế hoạch cho dự án một cách tổng thể.
� Hiểu rõ tình hình, tình trạng hiện tại
– Thu thập và xem xét lại những quy định, tiêu chuẩn và hệ thống dữ liệu một cách hợp lý.
– Chỉ đạo gặp gỡ, tiếp xúc với hệ thống bảo mật thông tin và những cá nhân chủ chốt có liên quan.
– Vạch ra những kỹ thuật, công nghệ bảo mật để hỗ trợ cho quy trình.
– Sắp xếp vai trò và trách nhiệm trong tổ chức để hỗ trợ cho quy trình bảo mật.bảo mật.
– Sắp xếp giao diện của quy trình bảo mật và những thứ phụ thuộc liên quan đến quy trình bảo mật, CNTT,doanh nghiệp.
� Điểm chuẩn và sự phân tích
– Xác định phương hướng chính cho sự phát triển
– Xác định những rào cản chính để phát triển
– Xây dựng những yêu cầu/ đòi hỏi để phát triển cho quy trình bảo mật.
– Dữ liệu và sự phân tích những yêu cầu giữa tình trạng hiện tại và sự đòi hỏi.
• Đề xuất và hợp lý hóa
– Phát triển lộ trình ưu tiên cho sự phát triển
– phát thảo những sáng kiến chiến lược dựa trên lộ trình vạch sẵn.
Đánh giá thường xuyên
� Theo khung an ninh doanh nghiệp và các thư viện rủi ro phát triển trong quá trình sử dụng để đo sự trưởng thành của các chương trình bảo mật thông tin và cung cấp một chiến lược để cải thiện.
Ví dụ về phương thức triển khai phân rã 3 bước thành 5 bước
1. Tóm lược : Phát thảo ngắn gọn phạm vi, phương pháp, nội dung chính, những đề xuất quan trọng.
2. Giới thiệu: Nêu ra những nội dung chính của cơ cấu tổ chức dữ liệu, bối cảnh và mục đích, đối tượng người
đọc, mức đo lường và sự giả định. đọc, mức đo lường và sự giả định.
3. Mối quan tâm của doanh nghiệp: Phát thảo những sáng kiến, phương hướng trong kinh doanh và CNTT,
định hướng luật và pháp chế, tổng thể rủi ro, chiến lược bảo mật và ngân sách.
4. Phân tích sự phát triển: Phát thảo sự phân tích và sự phát triển của quy trình bảo mật, liên quan đến quá
trình định nghĩa và các hoạt động, quy trình giao diện, vai trò và quyền hạn, chỉ số đo lường hiệu suất công
việc và các báo cáo, cho phép các ứng dụng công nghệ và kỹ thuật.
5. Những sáng kiến chiến thuật trong bảo mật: Phát thảo tổng thể lộ trình để đạt được mức phát triển đã đề ra
cho chương trình bảo mật và trình bày những sáng kiến miêu tả những nhân tố cơ bản, thực tiễn, các hoạt
động trong dự án, sự giả định và những sáng kiến phụ thuộc, giai đoạn được đo lường, và chi phí cho ngân
sách (một lần và sẽ lập lại, định kỳ)
Ví dụ về triển khai chi tiết chiến lược
Ví dụ về triển khai chi tiết chiến lược
Ví dụ về triển khai chi tiết chiến lược
Ví dụ về triển khai chi tiết chiến lược
Information Security Process Library
� Mỗi quá trình đã được xác định về các hoạt động sẽ là căn cứ thực hành tốt
nhất cho số liệu, vai trò và trách nhiệm và các điểm giao diện trong việc
hình thành những công nghệ kỹ thuật dưới dạng cơ bản cho quá trình hợp
nhất hiệu quả hoặc tái cơ cấu CNTT và bảo mật.
Process Definitions & Activities
Chức năng và quyền hạn
• IS: Chịu trách nhiệm bảođảm cho quá trình đánh giárủi ro được thực hiện khi cầnthiết. Bảo mật thông tinquản lý việc thực thi các thủtục, tạo điều kiện cho việcthu gom dự liệu, phân tíchcác lỗ hỏng và các tác độngđể xác định được rủi ro, tạođiều kiện phát triển chiếnlược hạn chế rủi ro, và tạo racác báo cáo và tài liệu hỗ trợkhác.
• IT: Chịu trách nhiệm về việcxác định hệ thống CNTT vàcác thành phần tương ứngnào hỗ trợ cho quá trình kinhdoanh, bảo trì mối liên hệgiữa hệ thống physical và tài
Process Interfaces
• Business Impact Analysis (output from)
• Vulnerability Assessment (output from)
• Compliance Assessment (output from)
• Risk Event Identification (output from)
• Remediation Decision Support (input to)
Enabling Technologies
• Risk and Control Library (RCL)
• Citadel
• TruSecure
• Logic Manager
KPIs and Reporting
• Time to perform a risk assessment
• Duration to perform a risk assessment
• Number of information assets reviewed
• Number of systems reviewed
• Number of business processes reviewed
giữa hệ thống physical và tàisản thông tin, bảo trì dòngdữ liệu tài sản thông tin vàhệ thống tài liệu, và hõ trợviệc xác dịnh các lỗ hổng hệthống.
• Business Process Owners:Chịu trách nhiệm xác định vàphân loại tài sản thông tinđược sử dụng trong quá trìnhkinh doanh của họ, xác địnhcác ứng dụng chính được sửdụng để hỗ trợ các quy trìnhkinh doanh, kiểm tra lại cácbáo cao phân tích rủi ro vàphối hợp với bảo mật thôngtin để tạo ra và quản lý cáckế hoạch và chiến lược.
• Top 5 most likely threat/vulnerability pairs
• Top 5 control weaknesses
• Top 5 impact scenarios
• Top 5 business processes with the most risk
Process Definitions and Activities - example
Process Definitions & Activities
• Mỗi quá trình xác định các dòng quy trình thực tế tốt nhất và các thủ tục chi tiết đảm bảo quá trình phát triển và các
hoạt động tái cơ cấu đạt được hiệu quả và kết quá thuận lợi.
Roles and Authorities - example
Roles and Authority
• Mỗi quy trình xác định các vai trò, trách nhiệm để bảo đảm quyền hạn và trách nhiệm đầy đủ cho quá trình
thực hiện và sở hữu.
Process Interfaces - example
Process Interfaces
• Mỗi quá trình xác định sự phụ thuộc và giao diện với những quy trình bảo mật và không bảo mật khác đảm bảo sựphát triển, tái cơ cấu, và những sáng kiến được thành công.
Key Performance Indicators and Reporting
KPIs and Reporting - example
• Mỗi quá trình xác định được nhiều chỉ số đo lường hiệu quả công việc và số liệu để hỗ trợ trong việc giám sát và
báo cáo những hoạt động bảo mật thông tin.
Time to perform a risk assessment
Duration to perform a risk assessment
Number of information assets reviewed
Top 5 most likely threat/vulnerability pairs
Top 5 control weaknesses
Top 5 impact scenarios
Number of systems reviewed
Number of business processes
reviewed
Top 5 business processes with the most
risk
Enabling Technologies - example
Enabling Technologies
• Mỗi quá trình sẽ xác định công nghệ và các nhà cung cấp có thể hỗ trợ trong quá trình tích hợp và
tự động hóa quy trình.
Những đề xuất trong kỹ thuât công nghệ
được thì được đánh giá theo:được thì được đánh giá theo:
•Những ứng dụng đã cài đặt được sử
dụng để tự đông hóa quá trình.
•Những ứng dụng tiềm năng trong
tương lai để hỗ trợ việc tự động hóa quy
trình.
• Những ứng dụng, công nghệ chưa
được biết đến, những thứ mà có thể đáp
ứng được mục tiêu của quy trình.
Enabling Technology – Risk and Control Library
Chiến lược xây dựng hệ thống tuân thủ và quản lý rủi ro - C&RM
C&RM strategy and roadmap – Project overview
Là một phần chương trình chiến lược IS, mô hình sau mo tả chiến lược và lộ trình tập trung C&RM.
Collaboration and Knowledge
Sharing
Enable Flexible Collaboration for
Information Information Management
and Exploitation
Provide the Right Information at the
Integration and Externalization
Provide Agile, Secure Capabilities to
IS Strategy
Collaboration for internal and external stakeholders
innovation
Information at the Right Time to enable business decisions and innovation
Capabilities to enable partnerships
Managing IS as a Business Compliance & Risk Management
Lean and Agile IS
Reduce Environmental Complexity and Increase Flexibility to meeting business needs
Drive IS Delivery and Risk Management Excellence
Drive Benefits Realization from IS investments
Drive employee engagement by Developing Our People
C&RM strategy and roadmap – Project overviewMục tiêu của dự án là phát triển một lộ trình định vị chiến lược quản lý rủi ro chủ động và tuân thủ toàn bộ. Hìnhảnh sau đây cung cấp một bản tóm tắt các phương pháp tiếp cận để phát triển chiến lược:
Strategy
Information Gathering Sessions
Existing Documentation
Challenges &Pain Points
Inputs
Methodology & Framework
Prioritized C&RMNeeds
Market / Industry Tools & Techniques
Đánh giá tổng quan C&RM Strategy Development
• Tiến hành phiên họp thông tin với các bên liên quan, chức năng, và nhân viên kỹ thuật
• Thu thập và xem xét các tài liệu hiện có và đang áp dụng
• Phát triển môi trường RM, bao gồm tập trung quan sát khu vực mà quy trình, công cụ, hoặc các công nghệ có thể được tăng cường
• Xác định khu vực mà ngành công nghiệp đề nghị thực hành, các công cụ, hoặc các công nghệ có thể được thừa hưởng bởi mô hình chuẩn của doanh nghiệp.
• Lộ trình chiến lược phát triển tổng kết ngắn hạn và dài hạn khu vực quy trình, công cụ và công nghệ để cho phép triển khai quản lý rủi ro tổng thể.
Deliverable
RoadmapObservations Recommendations Strategy
ITRM Risk Governance Framework
Các mô tả dưới đây phác thảo các yếu tố khác nhau,cần phải thiết kế đồng bộ cho hoạt động quản lý rủiro hiệu quả.
Strategy
Governance and Operating
Model
Policies and Standards
� What risk domains are in-scope? Who defines the risk appetite; What are the implications?
� What's our overall strategy and roadmap; Is it aligned to business needs?
� What does our capability framework look like, what are our gaps in capabilities?`
� How do we optimize our risk / cost profile?
� How do we develop incentive systems to improve risk management?
� What is the optimal governance structure and operating model across Business, Risk, Finance and IT? Who is accountable?
� How should we be structured?
� How / to what degree is independence of risk organization required?
� What are the set of policies and standards that need to work together?
Management Processes
Tools
Management Reporting
Communication, Training and Awareness
� What is the relationship across various policies?
� What are the risk management processes that we need to have in place?
� How do we evaluate the effectiveness (“process adequacy”) of the management processes?
� What are the overall tools and data architecture?
� What functions do the tools perform? Do they work effectively together?
� What are the tiered reports – who is the audience?
� How do we incorporate KRI and KPI?
� Do we have an organization-wide communication, training, and awareness program across various program elements and stakeholders?
ITRM frameworkMô hình ITRM được thừa hưởng trên cơ sở thực tế căn cứ vào việc đánh giá và phân tích
Co
mm
un
icati
on
, T
rain
ing
an
d A
ware
nes
s
Physical &
Environmental Identity
Data Protection Enterprise IT Operations
Physical Perimeter Security
External & Environmental Threats
Contact with Authorities
Physical media Handling
Equipment Security
Federation
Access Governance
Access Reporting/ Audit
Data Platform Integration
Privileged User Management
Access Management
User Account Management
Strategy Policies and Standards Governance and Operating Model
Data Loss Prevention
Data Encryption & Obfuscation
Breach Notification & Management
Data Lifecycle Analysis
Data Classification & Inventory
Data Retention & Destruction
Escalation andCrisis Mgmt.
Maintenance
Testing and Exercising
Business Impact Analysis
Data Backup
Recovery Plans and Procedures
Recovery Strategies
Asset Management
SLA, Service Validation & Testing
Capacity Management
Incident & Problem Management
Release Management
Configuration & Change Management
Key Capability
*Security design and architecture sub-capability includes development of application, technical and operations architecture
Co
mm
un
icati
on
, T
rain
ing
an
d A
ware
nes
s
Infrastructure
Security
Environmental
Security Cyber Threat
Mgmt.
Identity
& Access Mgmt. Secure
Development
Lifecycle
Data Protection
Third Party Risk
Mgmt.
Enterprise
Resilience IT Risk &
Compliance
Mgmt.
IT Operations
Antivirus & Malware
Intrusion Detection
Network Admission Control
Network/ Application Firewall
Proxy/ContentFiltering
Remote Access
Security Monitoring
Transmission Encryption
Wireless Security
Database Security
Brand Monitoring
Computer & Network Forensics
O/S Hardening & Secure Configuration
Patch Management
Penetration Testing
Threat Intelligence
Threat Modeling
Vulnerability Management
Management ReportingManagement Processes
To
ols
Security Design/ Architecture*
Security/Risk Requirements
Application Role Design/Access
Privileges
Secure Coding Guidelines
Secure Build
Security Testing
Roll-out & Go-live
Application Security Administration
Third Party Assessment Program
Third Party Compliance
(Regulatory, SLA)
Remediation and Exception
Incident Management and Response
Third Party Governance*
Regulatory and Standards Research
Integrated Req. & Control Framework
Risk & Compliance Assessment
Policies, Standards & Procedures
Issue & Corrective Action Planning
Exception Management
Sub-capability ITRM Framework Element
Supplier Compliance Management
C&RM Assessment(Current State Summary & Recommendations)
Maturity level – Assessment scoring approach
Dưới đây là mô hình khả năng xử lý dựa trên COBIT 5 đã được sử dụng để ghi thành phần khung ITRM.
Process Capability Model*
Maturity Level Maturity Level Overview
0 – Incomplete The process is not implemented or fails to achieve its purpose.
1 – PerformedProcesses are ad hoc and disorganized, but the implemented process achieves its
purpose.
The implemented process is Planned, Monitored and Adjusted to meet identified 2 – Managed
The implemented process is Planned, Monitored and Adjusted to meet identified
objectives.
3 – EstablishedThe implemented process is tailored and effectively deployed along with the infrastructure needed to provide a closed loop feedback cycle for process improvement.
4 – PredictableA predictable process operates consistently within defined limits to achieve process outcomes and is supported and driven through quantitative information derived from relevant measurement. A standard process is now performed consistently.
5 – OptimizedProcess is continuously improved to meet relevant current and projected enterprise
goals.
*Process capability model based on COBIT 5
C&RM current state summary
Dựa trên thông tin đầu vào của Doanh nghiệp , bản đồ “nhiệt “dưới đây tóm tắt các mục tiêu hiện nay cầnthực hiện RM. Ứng dụng COBIT V5 vào quá trình đánh giá.
Co
mm
un
icati
on
, T
rain
ing
an
d A
ware
nes
s
Physical &
Environmental Identity
Data Protection Enterprise
Physical Perimeter Security
External & Environmental Threats
Contact with Authorities
Physical media Handling
Equipment Security
Federation
Access Governance
Access Reporting/ Audit
Data Platform Integration
Privileged User Management
Access Management
User Account Management
Strategy Policies and Standards Governance and Operating Model
Data Loss Prevention
Data Encryption & Obfuscation
Breach Notification & Management
Data Lifecycle Analysis
Data Classification & Inventory
Data Retention & Destruction
Escalation andCrisis Mgmt.
Maintenance
Testing and Exercising
Business Impact Analysis
Data Backup
Recovery Plans and Procedures
Recovery Strategies
Asset Management
SLA, Service Validation & Testing
Capacity Management
Incident& Problem Management
Release Management
Configuration & Change Management
*Security design and architecture sub-capability includes development of application, technical and operations architecture
Co
mm
un
icati
on
, T
rain
ing
an
d A
ware
nes
s
Infrastructure
Security
Environmental
Security Cyber Threat
Mgmt.
Identity
& Access Mgmt. Secure
Development
Lifecycle
Data Protection
Third Party Risk
Mgmt.
Enterprise
Resilience IT Risk &
Compliance
Mgmt.
IT Operations
Antivirus & Malware
Intrusion Detection
Network Admission Control
Network/ Application Firewall
Proxy/ContentFiltering
Remote Access
Security Monitoring
Transmission Encryption
Wireless Security
Database Security
Brand Monitoring
Computer & Network Forensics
O/S Hardening & Secure Configuration
Patch Management
Penetration Testing
Threat Intelligence
Threat Modeling
Vulnerability Management
Management ReportingManagement Processes
To
ols
Security Design/ Architecture*
Security/Risk Requirements
Application Role Design/Access
Privileges
Secure Coding Guidelines
Secure Build
Security Testing
Roll-out & Go-live
Application Security Administration
Third Party Assessment Program
Third Party Compliance
(Regulatory, SLA)
Remediation and Exception
Incident Management and Response
Third Party Governance*
Regulatory and Standards Research
Integrated Req. & Control Framework
Risk & Compliance Assessment
Policies, Standards & Procedures
Issue & Corrective Action Planning
Exception Management
4 - Predictable1- Performed0 - Incomplete 3 - Established2 - Managed Out of Scope5 - Optimized
Supplier Compliance Management
C&RM priority areasDựa trên các phân tích hiện trạng, khuyến nghị thực hành trong ngành công nghiệp và thảo luận vớinguồn lực trong công ty, các thành phần ITRM sau đây được xác định là lĩnh vực ưu tiên để giải quyết.
ITRM Component Key Observations / Implications
IT Risk & Compliance Management
• Company A’s agency readiness capabilities related to GxP are not fully established (e.g., compliance practices, computer system validation, vendor management, compliant handling). This subjects Company A to non-compliance with the FDA, EMA, and other regulatory requirements.
Infrastructure Security / Cyber Threat Management
• The existing Company A network structure is flat and does not utilize a multi-tiered environment. The current network infrastructure potentially exposes Company A resources to external tampering and exploitation.
• Configurations for databases have limited security, and unsupported databases exist in Company A’s environment, which increases the risk of breaches.Company A’s environment, which increases the risk of breaches.
• Company A’s security monitoring solution does not provide a broad set of information on advanced persistent threats. This increases Company A’s risk exposure to cyber threats.
Enterprise Resilience• A secondary datacenter and related operational processes do not exist. In the event of a
disaster, this may result in loss of critical business capabilities.• A Business Continuity Plan (BCP) for IS does not exist.
Data Protection• Standards and processes for protecting sensitive data may not meet privacy requirements
(e.g., use, sharing, control and retention, cross-border data flow). This increases Company A’s risk of unauthorized access to sensitive data.
Identity & Access Management
• Periodic reviews and recertification of user access is performed on a limited and manual basis, which may lead to orphaned accounts and excessive access.
Third Party Risk Management
• Formal, enterprise-wide third party risk management strategy and approach does not exist.• Third party assessments are not conducted proactively or for every third party engagement,
which may lead to third parties inadequately securing Company A assets.• There is no central third party inventory to support risk management of critical third parties.
Infrastructure Security – hiện trạng và khuyến nghị
Description Key Observations Implications Recommendations
Protection of networks and the supporting infrastructure
• The existing Company A network structure is flat and does not utilize a multi-tiered environment
• Configurations for databases have limited security and unsupported databases exist in Company A’s environment
• Company A’s security monitoring
• Current network infrastructure exposes Company A resources to external tampering and exploitation
• Unsecure database configurations increase the risk of breaches
• Incomplete security management configurations increases Company A’s risk exposure to cyber threats
• Implement a tiered internal network• Enhance database security review
processes to track and remediate vulnerabilities timely or implement mitigating controls when remediation is not possible
• Enhance security monitoring capabilities to provide real-time
Sử dụng khung ITRM làm cơ sở, quan sát các điểm quan trọng, ý nghĩa và khuyến nghị tương ứng chomỗi thành phần ITRM.
Infrastructure
Security
Physical &
Environmental
Security Cyber Threat
Mgmt.
Identity
& Access Mgmt. Secure
Development
Lifecycle
Data Protection
Third Party Risk
Mgmt.
Enterprise
Resilience IT Risk &
Compliance
Mgmt.
IT Operations
• Company A’s security monitoring solution does not provide a broad set of information on advanced persistent threats
• DHCP IP addresses can be obtained by plugging a device into an Ethernet port
• Guest wireless access lacks content filtering controls and provides full access to the Internet
• Rule of least privilege is not enforced at the server and database level (e.g., users with administrative privileges)
• Although security violations are monitored, they are not reviewed consistently and timely
• Insecure protocols (e.g., FTP) are used for internal data transfer
A’s risk exposure to cyber threats• Having excessive ports enabled
increases the risk of unrestricted and unauthorized access to the network
• Company A guest wireless users may use Internet access inappropriately and subject Company A to security risks
• Administrative accounts provide little accountability, allowing for a higher chance of system compromise and exposure of confidential data
• Lack of timely responses to security violations can increase the risk of damage due to security breaches
• Insecure protocols increase the risk of sensitive data being compromised during transmission
capabilities to provide real-time analysis of security alerts and logs generated by critical network hardware and applications
• Disable public / non-essential Ethernet ports
• Implement content filtering capabilities to control Internet content being provided to guest users
• As part of the IAM program, periodic access reporting and auditing should be conducted on administrative level application accounts
• Enhance security violation review policy for timely review of security notifications
• Enable use of secure protocols for data transfer
C&RM priority recommendations
Description Key Observations Implications Recommendations
Prevent unauthorized physical access, damage, and interference to the organization’s premises and information
• N/A – Out of scope (IS does not support Physical & Environmental Security at Company A. This is area is supported by a different group.)
• N/A – Out of scope (IS does not support Physical & Environmental Security at Company A. This is area is supported by a different group.)
• N/A – Out of scope (IS does not support Physical & Environmental Security at Company A. This is area is supported by a different group.)
Sử dụng khung ITRM làm cơ sở, quan sát các điểm quan trọng, ý nghĩa và khuyến nghị tương ứng chomỗi thành phần ITRM.
Physical & Environmental Security – hiện trạng và khuyến nghị
Infrastructure
Security
Physical &
Environmental
Security Cyber Threat
Mgmt.
Identity
& Access Mgmt. Secure
Development
Lifecycle
Data Protection
Third Party Risk
Mgmt.
Enterprise
Resilience IT Risk &
Compliance
Mgmt.
IT Operations
C&RM priority recommendations
Description Key Observations Implications Recommendations
Discovering, defining and managing threats and vulnerabilities within information systems and the computing infrastructure
• Issues discovered as part of vulnerability assessments, penetration tests, security monitoring are not remediated timely
• Third party software is not patched as consistently as Microsoft patches
• Lack of timely responses to known vulnerabilities can increase the risk of security breaches
• Unpatched software increases the risk of exploitation of known vulnerabilities
• Lack of an enterprise threat intelligence / threat model leads to
• Enhance vulnerability assessment, penetration test, security monitoring processes for timely review and remediation of high risk security vulnerabilities
• Enhance third party patching processes to track and remediate known vulnerabilities timely or
Sử dụng khung ITRM làm cơ sở, quan sát các điểm quan trọng, ý nghĩa và khuyến nghị tương ứng chomỗi thành phần ITRM.
Cyber Threat Management – hiện trạng và khuyến nghị
Infrastructure
Security
Physical &
Environmental
Security Cyber Threat
Mgmt.
Identity
& Access Mgmt. Secure
Development
Lifecycle
Data Protection
Third Party Risk
Mgmt.
Enterprise
Resilience IT Risk &
Compliance
Mgmt.
IT Operations
patches• Standardized threat intelligence /
threat modeling process is not utilized consistently across the organization
• Brand monitoring of external websites is not routinely performed
• Capability to perform in house computer or network forensics is limited
intelligence / threat model leads to an incomplete threat landscape and inability to properly assign risk values and determine risk responses
• Lack of continuous brand monitoring can lead to reputational damage due to references made to Company A’s trademarks, products, etc.
� Lack of in-house forensic specialists may result in limited ability to support legal / compliance matters
known vulnerabilities timely or implement mitigating controls when remediation is not possible
• Implement a threat model strategy that can identify threats, assess the probability of potential harm and determine countermeasures to mitigate the risk
• Implement an organizational brand monitoring strategy incorporating research on pending trademark registration applications, domain name acquisitions, social media usage, and entity filings
• Consider creating an in-house cyber forensics team to manage the examination of digital media in accordance with legal / compliance requirements in the event of an investigation
C&RM priority recommendations
Sử dụng khung ITRM làm cơ sở, quan sát các điểm quan trọng, ý nghĩa và khuyến nghị tương ứng chomỗi thành phần ITRM.
Description Key Observations Implications Recommendations
Access to information, information processing facilities, and business processes controlled on the basis of business and security requirements
• Periodic reviews and recertification of user access is performed on a limited and manual basis
• A standards-based user provisioning solution is not utilized to automate provisioning to Company A applications
• Lack of periodic reviews and recertification may lead to orphaned accounts and excessive access
• Lack of an IAM governance and framework can lead to users having excessive entitlements (i.e., administrative, privileged, non-privileged) that are not required as
• Establish process for periodic access reporting and auditing
• Leverage the core IAM capabilities coming out of Parent A and Company A’s Integration and Externalization program to govern and manage activities such as provisioning, lifecycle management,
Identity & Access Management – hiện trạng và khuyến nghị
Infrastructure
Security
Physical &
Environmental
Security Cyber Threat
Mgmt.
Identity
& Access Mgmt. Secure
Development
Lifecycle
Data Protection
Third Party Risk
Mgmt.
Enterprise
Resilience IT Risk &
Compliance
Mgmt.
IT Operations
Company A applications• Process to manage the role
lifecycle, access recertifications, etc. is limited
• Management of privileged accounts (i.e., tracking, removal) is not performed consistently throughout the organization
• Company A currently does not have a password management mechanism
• Company A currently has little to no processes or solutions for access reporting and auditing
• Formal Role Based Access Control (RBAC) does not exist; closest example of RBAC in Company A’s environment is AD security groups that provide access
• No governed or structured federation taking place at Company A
privileged) that are not required as part of their job function
• Inconsistent processes utilized to create identities and grant access to required applications, systems, and platforms
• Untimely granting of access to applications, systems, and platforms
• Increase in reliance on help desk and other support functions
• Requirement to manage and administer identities and access rights for non-Company A resources
• Inconsistent management and oversight of privileged accounts
provisioning, lifecycle management, RBAC, single sign-on (SSO), self-service, etc.
C&RM priority recommendations
Description Key Observations Implications Recommendations
Integrate security as a critical component into organizations software development, integration, and maintenance processes
• IS is not typically involved in each stage of the software design process
• Security guidelines / requirements around the development of software applications are limited
• Accounts with administrative application access are not
• Lack of IS involvement may expose software to security gaps
• Lack of security guidelines / requirements can result in products being development without the appropriate security controls in place
• Excessive / unmanaged
• Enhance the SDLC framework to better include IS participation in solution design prior to implementation
• Enhance security guidelines to reflect lifecycle of development, review, approval and deployment of new products / solutions
Sử dụng khung ITRM làm cơ sở, quan sát các điểm quan trọng, ý nghĩa và khuyến nghị tương ứng chomỗi thành phần ITRM.
Secure Development Lifecycle – hiện trạng và khuyến nghị
Infrastructure
Security
Physical &
Environmental
Security Cyber Threat
Mgmt.
Identity
& Access Mgmt. Secure
Development
Lifecycle
Data Protection
Third Party Risk
Mgmt.
Enterprise
Resilience IT Risk &
Compliance
Mgmt.
IT Operations
application access are not reviewed, approved or attested by the IS team
• Testing systems against security requirements prior to production release is not consistently done across the organization
• Excessive / unmanaged administrative accounts provide little accountability, allowing for a higher chance of system compromise and exposure of confidential data
• Security vulnerabilities may not be tested and mitigated prior to production release
new products / solutions• As part of the IAM program, periodic
access reporting and auditing should be conducted on administrative level application accounts
• Security testing should be performed on systems prior to production release
C&RM priority recommendations
Description Key Observations Implications Recommendations
Helps organizations identify and manage risks and opportunities associated with information management and data protection
• Practices for protecting sensitive data may not meet privacy requirements (e.g., use, sharing, control and retention, cross-border data flow)
• Process around data classification is not followed consistently throughout the organization
• Lack of privacy requirements increases the organization’s risk to protect the data from unauthorized access
• Security controls to protect the data from unauthorized access may not be implemented on data incorrectly classified
• Rationalize data privacy requirements and formulate approach to manage Company A’s sensitive data
• Implement an enterprise-wide data classification standard and approach
• Leverage Parent A’s record management policy to back data up
Sử dụng khung ITRM làm cơ sở, quan sát các điểm quan trọng, ý nghĩa và khuyến nghị tương ứng chomỗi thành phần ITRM.
Data Protection – hiện trạng và khuyến nghị
Infrastructure
Security
Physical &
Environmental
Security Cyber Threat
Mgmt.
Identity
& Access Mgmt. Secure
Development
Lifecycle
Data Protection
Third Party Risk
Mgmt.
Enterprise
Resilience IT Risk &
Compliance
Mgmt.
IT Operations
throughout the organization• Company A leverages Parent A’s
Record Management policy, but does not actively follow the data retention and data destruction processes
• Process and controls around Data Loss Prevention (DLP) do not exist
• Process and controls around data lifecycle analysis do not exist
• Process and controls around data encryption and obfuscation (e.g., database) are limited
classified• Lack of records management may
limit the organization’s ability to classify, store, use, share and destroy data
• Lack of a DLP solution can increase the risk of a data breach due to limited monitoring, detecting & blocking data while in-use, in-motion and at-rest
• If not properly managed, appropriate protection and usage controls to protect the data may not be implemented
• Data that is not properly encrypted increases the risk of it being viewed by unauthorized individuals
management policy to back data up for historical purposes and removed / destroyed for decommissioned devices / media in accordance with record management policy
• Implement an enterprise-wide DLP solution to detect and prevent unauthorized attempts to copy or move sensitive data
• Prioritize business processes and implement protection and usage controls against private / sensitive data
• Implement a data encryption framework that encrypts private / sensitive data
C&RM priority recommendations
Description Key Observations Implications Recommendations
To maintain the security of the organization’s information and information processing facilities that are accessed or managed by external parties
• Formal, enterprise-wide third party risk management strategy and approach does not exist
• Structured risk management of the third party lifecycle at Company A is limited from a security perspective (evaluate & select, contract & on-board, manage &
� Lack of formal third party risk management and oversight may prevent Company A from identifying critical vendors and third parties essential to business operations
� Limited third party assessments may lead to vendors and third parties inadequately securing
� Implement an enterprise-wide third party risk management strategy and approach
� Develop a third-party risk management framework and processes, including a third-party risk assessment questionnaire
� Develop and maintain an inventory
Sử dụng khung ITRM làm cơ sở, quan sát các điểm quan trọng, ý nghĩa và khuyến nghị tương ứng chomỗi thành phần ITRM.
Third Party Risk Management – hiện trạng và khuyến nghị
Infrastructure
Security
Physical &
Environmental
Security Cyber Threat
Mgmt.
Identity
& Access Mgmt. Secure
Development
Lifecycle
Data Protection
Third Party Risk
Mgmt.
Enterprise
Resilience IT Risk &
Compliance
Mgmt.
IT Operations
contract & on-board, manage & monitor, terminate & off-board)
• Company A requires a third party questionnaire to be completed before a third party is engaged, however, this is only completed for known third party engagements to IS; there may be other third party engagements where this questionnaire is not completed
• A centralized third party inventory does not exist
parties inadequately securing Company A sensitive assets
� Lack of a third party inventory may prevent Company A from properly managing critical vendors and third parties
� Develop and maintain an inventory of existing third parties and corresponding risk ratings
� Perform proactive third party risk assessments (based on risk-levels) and confirm third party capabilities meet security requirements
� For GxP compliance, establish and execute vendor management capabilities
C&RM priority recommendations
Description Key Observations Implications Recommendations
Business-owned, business-driven process that establishes a fit-for-purpose strategic and operational framework that proactively improves an organization’s resilience against the disruption of its
• A secondary datacenter and related processes to operationalize do not exist
• Mature enterprise resilience program does not exist (e.g., limited formal escalation and crisis management processes, data resiliency, simulation testing)
• Lack of a secondary datacenter may result in loss of critical business capabilities in the event of a disaster
• Critical business processes may not be recovered timely in the event business continuity plans are invoked
• IS may not be operational within
• Implement a secondary data center providing resiliency for critical systems and data
• Re-evaluate the enterprise resilience program to include:• Business impact analysis,
including recovery time objectives (RTO) and recovery point
Sử dụng khung ITRM làm cơ sở, quan sát các điểm quan trọng, ý nghĩa và khuyến nghị tương ứng chomỗi thành phần ITRM.
Enterprise Resilience – hiện trạng và khuyến nghị
Infrastructure
Security
Physical &
Environmental
Security Cyber Threat
Mgmt.
Identity
& Access Mgmt. Secure
Development
Lifecycle
Data Protection
Third Party Risk
Mgmt.
Enterprise
Resilience IT Risk &
Compliance
Mgmt.
IT Operations
against the disruption of its ability to achieve its key objectives
resiliency, simulation testing)• Business Continuity Plan (BCP)
for IS does not exist
• IS may not be operational within expected timeframes in the event of a disaster
(RTO) and recovery point objectives (RPO) are reviewed and attested by the business
• Critical business processes are tested on an end-to-end basis.
• Broader cross-business scenarios such as a large scale cyber attack or large scale vendor site outage are considered
• Establish and implement a business continuity plan for IS
C&RM priority recommendations
Description Key Observations Implications Recommendations
Services that address an organization’s business security requirements and supporting strategies and architectures for establishing an enterprise level security and risk management program
• Company A’s agency readiness capabilities related to GxP are not fully established (e.g., compliance practices, computer system validation, vendor management, compliant handling)
• Formal risk management office does not exist
• Lack of mature agency readiness capabilities may subject Company A to non-compliance with the FDA
• Lack of an independent risk management office may cause difficulties enforcing compliance to risk management policies
• Lack of a risk management policy
• Establish and implement an IS Quality Program for GxP Compliance (compliance practices, computer system validation, vendor management, personnel requirements, compliant handling)
• Validate GxP systems and remediate as required
Sử dụng khung ITRM làm cơ sở, quan sát các điểm quan trọng, ý nghĩa và khuyến nghị tương ứng chomỗi thành phần ITRM.
IT Risk & Compliance Management – hiện trạng và khuyến nghị
Infrastructure
Security
Physical &
Environmental
Security Cyber Threat
Mgmt.
Identity
& Access Mgmt. Secure
Development
Lifecycle
Data Protection
Third Party Risk
Mgmt.
Enterprise
Resilience IT Risk &
Compliance
Mgmt.
IT Operations
management program does not exist• Official risk management policy
does not exist; currently under the IS policy
• Proactive corrective action tracking and remediation process is not performed consistently across the organization
• Risk Management is not typically involved in development of processes and suitable controls managed by other teams
• Formal education, training, and awareness associated with business operations and risk management / information security is minimal
• Lack of a risk management policy may prevent disparate groups from understanding what standards should be utilized; potentially leading to inconsistencies across the organization
• Lack of timely responses to identified issues (e.g., process / control deficiencies) may increase the risk of process or system compromise
• Lack of risk management involvement may result in processes and controls not being developed in accordance with risk management standards
• Lack of formal training may prevent Company A resources from understanding the current risk landscape and their roles and responsibilities
remediate as required• Develop a risk management office to
formalize a risk management framework including defining roles and responsibilities, policies, standards, and procedures:• Implement an in house-
assessment strategy prioritizing action items for known issues (e.g., risk & control assessments, internal / external audits)
• Expand the risk management role to include oversight and administration of new policies, standards, controls, etc.
• Develop formal training and awareness education program for employees and third parties that access Company A data and applications
C&RM priority recommendations
Description Key Observations Implications Recommendations
To provide a management system, including policies and a framework to enable the effective management and implementation of IT services
• A formal and structured approach to manage service level agreements (SLA) software releases, testing / validation and changes in production is limited
• A standardized capacity planning process is not utilized consistently across the organization
• Lack of SLAs, release management capabilities, testing / validation, managing changes in production may lead to end users experiencing confusion and difficulties with systems, outages impacting productivity, and security vulnerabilities
• Enhance the use of SLAs; enhance release management and testing / validation capabilities; and enhance management of changes in the production environment
• Implement a capacity management strategy and approach to evaluate if capacity meets current and future
Sử dụng khung ITRM làm cơ sở, quan sát các điểm quan trọng, ý nghĩa và khuyến nghị tương ứng chomỗi thành phần ITRM.
IT Operations – hiện trạng và khuyến nghị
Infrastructure
Security
Physical &
Environmental
Security Cyber Threat
Mgmt.
Identity
& Access Mgmt. Secure
Development
Lifecycle
Data Protection
Third Party Risk
Mgmt.
Enterprise
Resilience IT Risk &
Compliance
Mgmt.
IT Operations
across the organization vulnerabilities• Lack of adequate capacity planning
may lead to service disruptions due to infrastructure components not meeting the needs of the business
capacity meets current and future business requirements
*Note: No prioritized recommendations for this area.
C&RM priority recommendations
Strategy & Roadmap
Level 0 – C&RM “I Can” capabilitiesKiến nghị cho các thành phần của chiến lược và lộ trình giúp kích hoạt mô hình C&RM.
ITRM Component
Recommended Initiatives “I Can”
IT Risk & Compliance Management
• Establish and Implement IS Quality
Program for GxP Compliance
• Identify, Validate, and Remediate GxP
Systems
• I can have formal processes and guidance as it relates to GxP
• I can determine that vendors have appropriate quality systems and controls
in place
• I can have up-to-date relevant personnel records (e.g., training
requirements, job descriptions)
• I can measure quantitative risk of systems within the environment
• I can leverage a common methodology for system validation and
remediation
• I can identify GxP systems and their validation state
• I can restrict access to sensitive layers in Company A’s network (e.g., data Infrastructure Security / Cyber Threat Management
• Establish Network Tier Segmentation
• Enhance Database Security
• Enhance Securing Monitoring
• I can restrict access to sensitive layers in Company A’s network (e.g., data
tier, backup tier)
• I can further secure databases by applying required safeguards and
measures
• I can analyze and identify trends related to network security threats
Enterprise Resilience
• Establish Secondary Datacenter and
Operationalize
• Establish IS BCP
• I can implement appropriate disaster recovery measures that align with the
recovery time objectives (RTOs) and recovery point objectives (RPOs) of
the business
• I can resume normal IS operations within appropriate timeframes
Data Protection
• Rationalize Data Privacy
Requirements and Formulate
Approach
• I can determine what controls are required to be compliant with privacy
requirements
• I can identify where sensitive data is
Identity & Access Management
• Establish Process for Recurring
Access Certification
• I can understand who has access to what systems
• I can regularly review user access reports and certify system access
Third Party Risk Management
• Establish Third Party Risk
Management Program
• I can have formal processes and guidance when managing third party risks
• I can manage third party risks via assessments stored in a central inventory
Level 1 – C&RM capability timeline
Tóm tắt khả năng và đặt các khả năng trên lộ trình thời gian.
Year 1 Year 2 Year 3
Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4
IT Risk &
Compliance
Management
Infrastructure
Security / Cyber
IS Quality Program established
Capability for system validation & remediation ready
Company A network tier segmentation in place & related activities ongoing
Database security approach rolled outSecurity / Cyber
Threat
Management
Enterprise
Resiliency
Data Protection
Identity & Access
Management
Third Party Risk
Management
Database security approach rolled out
Enhanced security monitoring ready
Datacenter established & operationalized
IS BCP published & in place
Data privacy requirements rationalized & approach executed
Access recertification process applied in Company A environment
Third Party Risk Management Program established and operationalized
Level 2 – C&RM roadmap
Based on discussions and current state analysis, the following roadmap is recommended to address C&RM priority areas.
Roll-Out
Build
IS Program Dependency
Plan
Vision
Design
Year 1 Year 2 Year 3
Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4
IT Risk &
Compliance
Management
Infrastructure
IS Quality Program for GxP Compliance
System Validation & Remediation
Network Tier SegmentationInfrastructure
Security / Cyber
Threat
Management
Enterprise
Resiliency
Data Protection
Identity & Access
Management
Third Party Risk
Management
Database Security
Security Monitoring
Secondary Datacenter
IS BCP
Access Certification
Parent A IAM Strategy
Company A Externalized IAM Strategy / IAM Governance
Data Privacy Requirements
Notes on C&RM roadmap:1) Beyond the Roll-Out phase, ongoing activities (e.g., updates, maintenance, business as usual) are required for each roadmap initiative
IM&E Data Classification
Third Party Risk Management Program
Level 3 – Key activities for each C&RM capability
Year 1 Year 2 Year 3
Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4
IT Risk &
Compliance
Management
IS Quality Program for GxP Compliance
Roll-Out
Build
IS Program Dependency
Plan
Vision
Design
Define governance model
Design quantitative risk methods, vendor assessment, personnel approach
Build program, vendor / personnel / quantitative risk approachesRollout quantitative risk / vendor / personnel processesManagement
Infrastructure
Security / Cyber
Threat
Management
System Validation & Remediation
Complete transfer to business as usualprocesses
Plan system validation / remediation approach
Develop validation / remediation analysis and risk rating methods
Establish centralized system registry
Execute system validation & remediation
Network Tier Segmentation
Review infrastructure / network tier requirements
Design target state infrastructure / network
Initiate infrastructure / network tier activities
Continue activities to tier network / infrastructure
Define infrastructure / network tier strategy
Develop migration / production test schedule
Level 3 – Key activities for each C&RM capability
Year 1 Year 2 Year 3
Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4
Infrastructure
Security / Cyber
Threat
Management
Roll-Out
Build
IS Program Dependency
Plan
Vision
Design
Database Security
Develop database security plan
Design approach for implementing enhanced security
Implement security configurations and database updates
Rollout configurations and database updates
Security Monitoring
Review security monitoring strategy and requirements
Enterprise
Resiliency
Review security monitoring strategy and requirements
Select security monitoring vendor
Identify and prioritize endpoints
Implement security solution and customize
Complete transfer to business as usual
Secondary Datacenter
Determine disaster recovery capabilities and requirements
Prioritize systems that require recovery
Establish disaster recovery infrastructure
Continue to incorporate prioritized systems in disaster recovery capabilities
IS BCP
Define business continuity requirements
Identify recovery approach options by scenario
Develop scenario-based IS recovery playbooks
Test recovery approach
Level 3 – Key activities for each C&RM capability
Year 1 Year 2 Year 3
Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4
Data Protection
Roll-Out
Build
IS Program Dependency
Plan
Vision
Design
Data Privacy Requirements
Define data privacy strategy
Identify compliance gaps to privacy and legal requirements and design approach
Develop enterprise data and asset inventory
Execute approach for data privacy compliance
Rationalize data privacy and legal requirements
Identity & Access
Management
Third Party Risk
Management
Access Certification
Deploy access certification process and solution
Operationalize access certification and continue to integrate systems
Coordinate with existing IAM activities to assess access review / certification capabilities
Define access review / certification processes and guidelines
Third Party Risk Management Program
Define third party risk management strategy
Define third party risk lifecycle, risk rating, and assessment processes
Build third party risk inventory
Execute assessments and third party risk management processes
Establish third party risk oversight structure
Supporting MaterialsSupporting Materials
Glossary of Key Terms
Glossary of key termsTerm Definition
Access Reporting / Auditing
This functionality allows comparison of user access activity (aggregated from various systems) with user
rights and presents access policy exceptions and violations on a report or a dashboard so that the
enterprise can take remediation measures to maintain compliance.
Business Continuity Plan (BCP) Plan for continuing operations in the event of impacted operations.
Control Objectives for
Information and Related
Technology (COBIT)
Framework created by ISACA for IT management and governance. It is a supporting toolset to bridge the
gap between control requirements, technical issues and business risks.
COBIT 5 Process Capability
Model
Process capability is defined on a six point scale from 0 to 5. This scale represents increasing capability
of the implemented process, from not achieving the process purpose through meeting current and
projected business goals.
Data PrivacyProcess / methodology to manage and maintain private data via risk assessments, remediation plans,
monitoring progress, management reporting, responsibilities within the organization, etc.monitoring progress, management reporting, responsibilities within the organization, etc.
Good x Practices (GxP)Quality guidelines to determine whether a product is safe and meets its intended use. Guides quality
manufacturing in regulated industries including food, drugs, medical devices and cosmetics.
Least Privilege
Practice of limiting access to the minimal level that will allow normal functioning. This principle translates
to giving people the lowest level of user rights that they can have and still do their jobs. The principle is
also applied to things other than people, including programs and processes.
Network Tier Segmentation Logical separation of network layers (e.g., web, application, database).
Recovery Point Objective (RPO)Point in time where data must be recovered after a business interruption; for example, the end of
previous day's processing.
Recovery Time Objective (RTO)The period of time in which systems, applications, or functions must be recovered after a business
interruption.
Role Based Access Control
(RBAC)
It is a method of enforcing controlled access to an enterprise’s systems and data based on a person’s
role in the business. It is a way of determining whether every person gets access to only what is needed
by that person to do perform their duties.
Security Incident & Event
Monitoring (SIEM)
Technology that provides real-time monitoring and analysis of security alerts generated by network
hardware and applications.
Project Tear SheetsProject Tear Sheets
Level 4 – IS Quality Program for GxP Compliance
� Establish governance for GxP compliance with policies, standards, work instructions, processes that support agency readiness capabilities and system compliance requirements
� Develop a quantitative GxP compliance assessment to evaluate applicable, regulated systems in Company A’s environment� Develop a vendor compliance assessment to assess Company A’s vendors for GxP compliance� For Company A personnel, determine job description requirements and appropriate training has been performed
Project Objectives
1. Define governance model2. Agency readiness, system / vendor / personnel compliance req’s
defined3. Design approach for IS Quality program (assessment, execution)4. Develop quantitative system compliance and vendor assessments5. Develop system validation / remediation processes6. Execute vendor assessments for GxP compliance7. Assess job descriptions and execute training on required
Project Activities
• Governance model established• Policies and procedures aligned with FDA regulatory requirements• Developed readiness criteria to meet FDA requirements• Program approach designed and communicated – funding obtained• System validation assessment / remediation process defined• Vendor assessment for GxP compliance executed• Personnel trained on job requirements, training is documented• Transferred to business as usual for maintaining compliance
Project Outcomes
� Project Leader � Project Manager � GxP Specialist � Business Analyst
� Business Owners� System Owners� IS Teams
� Compliance / Security
� IS is the overall owner and approver of process and procedures, including computer system validation and computer system maintenance
� Quantitative risk assessment are tailored to current GxP regulations� Company A IS is ultimately responsible for compliance determination� There is alignment between IS and the business on GxP activities
7. Assess job descriptions and execute training on required processes
8. Complete transfer to business as usual process
� Vendors are contractually obligated to meet Company A’s quality and regulatory compliance requirements
� For GxP vendor assessments, there may be linkages to the Third Party Risk Management program that should be coordinated
� Job descriptions for applicable Company A personnel exist and can be leveraged for personnel compliance activities
Dependencies
Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3
• Transferred to business as usual for maintaining compliance
Budget Request
Deliv
era
ble
s
Assumptions
Mile
sto
nes
Project Timeline
� 6 months to establish (Q3 2013); execution duration varies
Resource Cost: ~$425KExecution costs may vary
Resources Key Stakeholders
1
Program Approach Design
23
IS Quality Program In Place
Program Governance
4
67 8
5
Vendor Assessment and Personnel Activities In Execution
Level 4 – System Validation & Remediation
� Establish a recurring process to validate and remediate systems for GxP compliance� Utilize a centralized system registry for systems that manage sensitive, GxP data� Develop risk ranking and system classification guidelines
Project Objectives
1. Identify systems that manage sensitive, GxP data2. Perform compliance analysis to determine regulatory risk rating3. Utilize centralized system registry (database exists)4. Develop and socialize validation / remediation plan based on risk
rating5. Perform validation gap assessment (first on high risk systems)6. Begin remediation efforts for systems to be validated and Part 11
compliant
Project Activities
• Regulated systems identified (e.g., location, business owner)• Systems classified by risk• System registry operational• Validation / remediation plan socialized• Areas of non-compliance identified• Systems remediated to be Part 11 compliant• Transferred to business as usual for ongoing validation / remediation
Project Outcomes
� Project Leader� Project Manager � GxP Specialist � Business Analyst
� Business Owners� System Owners� IS Teams
� Compliance / Security
� Priority of system validation will be based on risk rating� There is alignment between IS and the business on GxP activities
compliant7. Complete transfer to business as usual process
� A structured IS Quality governance model exists� System registry will leverage existing CMDB database� Remediation efforts for systems will not fully be known until validation
gap assessments are completed; also, these assessments cannot be performed until systems have been risk rated
Dependencies
Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3
Budget Request
Deliv
era
ble
s
Assumptions
Mile
sto
nes
Project Timeline
Validation / Remediation Plan
Validation and Remediation In Execution
Risk Rating Model and Registry In Place
� 4 months to establish (Q3 2013); execution duration varies
Resource Cost: ~$425KExecution costs may vary
Resources Key Stakeholders
2
43
5
1
6 7
Level 4 – Network Tier Segmentation
� Create tiers or separation of layers within Company A’s infrastructure / network (e.g., application tier, database tier)� Enhance security of Company A’s infrastructure / network via tiers to limit exposure of unauthorized users / access
Project Objectives
1. Define infrastructure / network tier strategy and requirements2. Develop migration and production test schedule3. Design target state infrastructure / network4. Execute design of tiered infrastructure / network5. Pilot: Test systems and databases in tiered infrastructure / network6. Complete transition of systems onto tiered infrastructure / network
Project Activities
• Strategy and requirements defined• Migration schedule finalized• Target state infrastructure / network architecture established• Tiered infrastructure / network in place• System and data testing complete and issues remediated• Environment fully tiered
Project Outcomes
Resource Cost: ~$625KExecution costs may vary
� Project Leader � Project Manager� Enterprise Architecture � Systems Analyst � Systems Engineer
� Business Owners� System Owners� IS Teams
� Compliance / Security� Infrastructure� Operations
� Project scope ends after successful pilot and transfer to business as usual
� Ongoing deployment is managed by operations team� Any downtime will be agreed to (alignment between IS and the
business)
� Systems and databases ready for tier activities� Ongoing tuning and maintenance (e.g., firewalls, network
components) required
Dependencies
� 7 months to establish (Q3 2013); migration to tiers varies
Resources Key Stakeholders
Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3
Budget Request
Deliv
era
ble
s
Assumptions
Mile
sto
nes
Project Timeline
1
Tier Strategy and Requirements
3 4
Tier Activities In Execution
56
2
Tier Target State Design
Level 4 – Database Security
� Secure databases by applying required safeguards and measures� Enhance database security review processes to track and remediate vulnerabilities timely or implement mitigating controls when
remediation is not possible� Enhance database security to mitigate the risk of unauthorized access, use, disclosure and modification of data
Project Objectives
1. Develop and socialize security remediation plan2. Identify database security gaps3. Develop approach for legacy databases that cannot be remediated
via updates or patches4. Pilot: Sample set of databases (more current, legacy, size, etc.)5. Execute database security remediation plan and establish ongoing
maintenance
Project Activities
• Database security gaps identified • Remediation plan for database security established• Secure approach for legacy databases developed• Pilots executed and validated• Database security rolled-out and ongoing maintenance in place
Project Outcomes
Resource Cost: ~$325KRollout / maintenance costs varies
� Project Leader� Project Manager � Systems Analyst � DB Security Specialist
� Business Owners� System / Database Owners� IS Teams
� Compliance / Security� Infrastructure� Operations
� Project scope ends after successful pilot and transfer to business as usual
� Ongoing deployment is managed by operations team� There is alignment between IS and the business on database
security activities
� Databases ready for security activities� Infrastructure / network tier segmentation has been completed and is
in place
Dependencies
� 4 months to establish (Q3 2013); security rollout varies
Resources Key Stakeholders
Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3
Budget Request
Deliv
era
ble
s
Assumptions
Mile
sto
nes
Project Timeline
3
Database Security Remediation Plan
5
Database Security In Execution
12
4
Database Security Gap Analysis
Level 4 – Security Monitoring
� Enhance security monitoring capabilities to provide real-time analysis of security alerts and logs generated by critical networkhardware and applications
� Assess existing vendor and potential new vendors to help enhance security monitoring; select vendor
Project Objectives
1. Define security monitoring strategy and requirements2. Identify and assess security monitoring vendors; select vendor3. Identify and prioritize endpoints where monitoring is required4. Implement security solution and customize (tune) endpoints5. Pilot: Test monitoring, alerts, logs, etc. and validate test results6. Complete transfer to business as usual process
Project Activities
• Strategy and requirements defined • Vendor selected and contractual relationship established• Inventory of required endpoints and risk profiles• Security monitoring solution deployed; configurations and updates
implemented• Events / incident testing complete and issues remediated• Process transferred to security team for ongoing monitoring and
support
Project Outcomes
Resource Cost: ~$375KVendor/ongoing activities not included
� Project Lead� Project Manager� Enterprise Architecture � System Analyst� System Engineer� Security Specialist
� System Owners and Teams� IS Teams
� Compliance / Security� Infrastructure� Operations
� Security vendor will provide configuration requirements and settings� There is alignment between IS and stakeholders on security
monitoring activities
� Alignment with Parent A on vendor and security monitoring solution� Infrastructure / network tier segmentation has been completed and is
in place� Configuration settings have been applied and “tuned” for critical
network devices
Dependencies
� 11 months to establish (Q1 2014 - transfer to business as usual)
Resources Key Stakeholders
Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3
support
Budget Request
Deliv
era
ble
s
Assumptions
Mile
sto
nes
Project Timeline
1
Strategy and Requirements
2
Security Monitoring Solution Implemented
34
56
Vendor Selected and Security Monitoring Design
Level 4 – Secondary Datacenter
� Implement a secondary data center providing resiliency for critical systems and data� Implement appropriate disaster recovery measures that align with the recovery time objectives (RTOs) and recovery point
objectives (RPOs) of the business� Test and validate end-to-end recovery of critical business processes
Project Objectives
1. Determine disaster recovery (DR) capabilities and requirements2. Select secondary datacenter3. Prioritize systems requiring recovery for business critical
processes4. Develop and enhance end-to-end disaster recovery approach for
recovery of business critical systems5. Build disaster recovery infrastructure
Project Activities
• Disaster recovery capabilities and requirements established• Secondary datacenter selected and contractual relationship
established• Inventory of target systems and prioritization • Alignment of resiliency solution with appropriate businesses through
evaluation of business impacts, interdependencies, RTOs, and RPOs
Project Outcomes
Resource Cost: ~$475KVendor/ongoing activities not included
� Project Lead � Project Manager � Enterprise Architecture � Business Analyst � Systems Analyst
� Business Owners� System Owners� IS Teams
� Compliance / Security� Infrastructure� Operations
� A formal business continuity model exists� DR vendor will provide support on developing governance model and
processes� There is alignment between IS and business on DR activities
5. Build disaster recovery infrastructure6. Pilot: Recovery of critical business functions7. Establish disaster recovery capabilities for in scope systems
� Business critical system have been identified, prioritized, and agreed upon
� RTOs and RPOs have been established for each critical system and have been approved by the business
Dependencies
� 9 months to establish (Q4 2013 – transfer to business as usual)
Resources Key Stakeholders
Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3
RPOs• Infrastructure in place for timely recovery of critical business
operations• Successful recovery of critical business operations• Disaster recovery capabilities established for in scope systems
Budget Request
Deliv
era
ble
s
Assumptions
Mile
sto
nes
Project Timeline
1
DR Capabilities and Requirements / Datacenter Selected
23
DR Infrastructure Established
456
7
Critical System Inventory and Solution Design
DR Capabilities Established
Level 4 – IS BCP
� Develop and operationalize a business continuity plan for IS� Build capability to resume normal IS operations within appropriate timeframes
Project Objectives
1. Define business continuity requirements for IS2. Design and socialize governance procedures3. Identify recovery approach options by scenario (e.g., unavailability
of primary work area) and time of day (e.g., start of day, end of day)
4. Develop detailed scenario-based IS recovery playbooks based on recovery approach
Project Activities
• IS business continuity requirements defined• Governance documentation published• IS recovery approach developed• Detailed recovery playbooks (e.g., communication protocols,
procedures) published • Recovery approach successfully tested• Transferred to business as usual for business continuity plan
Project Outcomes
Resource Cost: ~$150KMaintenance costs not included
� Project Lead� Project Manager � Business Analyst � Systems Analyst
� System Owners� IS Teams
� Compliance / Security� Infrastructure� Operations
� There are existing business continuity models to leverage� There is alignment between IS and stakeholders on BCP activities
recovery approach5. Test recovery approach for most likely scenarios6. Complete transfer to business as usual process
� Critical systems and applications for IS recovery have been identified� IS team are ready and able to participate in testing process
Dependencies
� 7 months to establish (Q4 2013 – transfer to business as usual)
Resources Key Stakeholders
Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3
• Transferred to business as usual for business continuity plan maintenance
Budget Request
Deliv
era
ble
s
Assumptions
Mile
sto
nes
Project Timeline
1
IS BCP Requirements
234
56
BCP Approach Tested and Validated
BCP Procedures and Playbook
Level 4 – Data Privacy Requirements
� Rationalize data privacy requirements and formulate approach to manage Company A’s sensitive data� Develop a dynamic system inventory providing details on systems that contain sensitive data
Project Objectives
1. Define data privacy strategy2. Identify data privacy and legal requirements3. Identify data flow for systems that manage sensitive data and
areas where controls should be enhanced4. Identify compliance gaps to privacy and legal requirements5. Develop an enterprise data and asset inventory for sensitive data
instances (e.g., server location, data type, data location)6. Develop and execute approach for data privacy compliance
Project Activities
• Data privacy strategy defined• Data privacy and legal requirements identified• Data flow analysis and privacy controls assessment complete• Data privacy gaps identified• System management inventory established• Approach for data privacy requirements rationalized• Remediation of compliance gaps
Project Outcomes
Budget RequestProject Timeline
Resource Cost: ~$650KExecution costs may vary
� Project Lead� Project Manager� Business Analyst� Data Privacy SME
� Data Privacy� Business Owners� System / Data Owners� IS Teams
� Compliance / Security� Operations
� Legal council attests to privacy regulations and legal obligations� Compliance posture will be reassessed upon changes to privacy or
legal requirements� There is alignment between Data Privacy group, IS and business
stakeholders on data privacy activities
� Information Management and Exploitation (IM&E) data classification has been established
� System inventory with details on privacy compliance will need to be supported by robust technology
Dependencies
� 12 months to establish (Q2 2014); execution duration varies
Resources Key Stakeholders
Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3
Budget Request
Deliv
era
ble
s
Assumptions
Mile
sto
nes
Project Timeline
2
Data Privacy Strategy
34
56
1
Data Privacy Requirements
Data Privacy Inventory
Data Privacy Compliance in Execution
Level 4 – Access Certification
� Develop an enterprise-wide approach to review / certify user access privileges and entitlements� Develop an automated tool to assist in the periodic review / certification of user access privileges and entitlements� Integrate with Company A / Parent A access management and review / certification activities
Project Objectives
1. Coordinate with the IAM team to assess access review / certification capabilities
2. Define access review / certification processes and guidelines3. Develop access review / certification approach4. Develop or leverage a solution to automate access review /
certification5. Pilot: Access review / certification solution with sample set of
systems
Project Activities
• Access review / certification capabilities assessed• Access review / certification processes and guidelines published• Access review / certification approach established• Automated review / certification tool developed and piloted• Continued system integration with access review / certification
solution and transfer to business as usual process
Project Outcomes
Resource Cost: ~$325KProduct/ongoing activities not included
� Project Lead � Project Manager � Business Analyst � System Analyst � System Engineer
� Business Owners� System Owners� IS Teams
� Compliance / Security� Infrastructure� Operations
� Quest system (currently in place) may be leveraged� Integration with overall Parent A/Company A IAM activities
(governance, identity lifecycle management, provisioning, role based access control)
� There is alignment between IS and business on access review / certification activities
systems 6. Continue to integrate systems into access review / certification
solution
� Impact of overall Parent A/Company A IAM strategy to Company A Externalized IAM and Compliance & Risk Management
� Parent A/Company A access review / certification solution
Dependencies
� 9 months to establish (Q1 2014); integration duration varies
Resources Key Stakeholders
Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3
Budget Request
Deliv
era
ble
s
Assumptions
Mile
sto
nes
Project Timeline
1
23
4
5
6Review / Certification Capabilities Assessed
Review / Certification Processes, Guidelines, Approach
Review / Certification Solution Established
Level 4 – Third Party Risk Management Program
� Implement an enterprise-wide third party risk management program� Establish and perform proactive third party risk assessments (based on risk-levels) and confirm third party capabilities meet
security requirements� Develop and maintain an inventory of existing third parties and corresponding risk ratings
Project Objectives
1. Define third party risk management strategy2. Develop third party risk oversight structure with roles &
responsibilities3. Define third party risk lifecycle (evaluate & select, contract & on-
board, manage & monitor, terminate & off-board), risk rating, and assessment processes
4. Build central inventory of third parties with associated risk rating5. Conduct assessments and rollout third party risk management
Project Activities
• Third party risk management strategy defined• Oversight for third party risk management established• Processes for third party risk lifecycle, risk rating, and assessments
defined• Utilization of third party inventory to manage risk• Proactive assessments performed for all third party engagements
and any issues are reviewed and addressed• Transferred to business as usual for ongoing third party risk
Project Outcomes
Resource Cost: ~$200KOngoing costs may vary
� Project Lead � Project Manager � Business Analyst
� Business Owners� System / Data Owners� IS Teams
� Compliance / Security
� IS will have the authority to enforce third party engagements being subject to third party risk management program
� There is alignment between IS and business on third party risk management activities
5. Conduct assessments and rollout third party risk management processes
6. Complete transfer to business as usual process
� For third party assessments, there may be linkages to the GxP vendor assessment activities that should be considered
� Central inventory of third parties may be enabled with technology / tool; if so, inventory would be dependent on the build of this technology / tool
Dependencies
� 6 months to establish (Q4 2013); rollout duration varies
Resources Key Stakeholders
Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3
• Transferred to business as usual for ongoing third party risk management
Budget Request
Deliv
era
ble
s
Assumptions
Mile
sto
nes
Project Timeline
2
Third Party Risk Management Strategy
345
6
1
Third Party Risk Oversight and Processes
Third Party Risk Inventory
Third Party Risk Management Ongoing
ITRM Framework Definitions
ITRM framework definitions
Protection of networks and the supporting infrastructure
Antivirus & MalwarePrevention, timely detection, and removal of malware, including but not limited to computer viruses, computer worms, Trojan horses, spyware and adware.
Intrusion Detection Monitor network and / or system activities for malicious activities or policy violations.
Network Admission Control
Control access to a company network by integrating with user authentication, validating devices, verifying the device’s compliance with security policy, and remediating devices before permitting access to the network.
Network / Application Firewall
Restrict access to or from a private network to prevent unauthorized access to hosts, services and applications. Detect and block web application attacks based on current threats and exploits.
Infrastructure Security
Proxy / Content Filtering
Implement content-filtering web proxy server for administrative control over the content that may be relayed through network egress points.
Remote Access Implement controls and mechanisms to restrict access to authorized users from remote locations.
Security MonitoringMonitor security events and information from a wide variety of sources, including third-party devices and hosts.
Transmission Encryption
Implement information security controls to protect sensitive data traveling over private networks or the Internet, whether wired or wireless.
Wireless Security Prevent unauthorized access or damage to wireless networks and systems accessed from them.
Database SecurityImplement information security controls to protect databases and stored data against compromises of their confidentiality, integrity and availability.
ITRM framework definitions (continued)
Prevent unauthorized physical access, damage, and interference to the organization’s premises and information
Physical Perimeter Security
Defining secure areas to be protected by appropriate controls allowing access only to authorized personnel.
External & Environmental
Threats
Protection against damage from fire, flood, earthquake, explosion, civil unrest, and other forms of natural or man-made disaster.
Contact with Authorities
Defining and maintaining appropriate contacts with relevant authorities to contact during emergencies.
Physical media Handling
Policies and procedures to prevent unauthorized disclosure, modification, removal or destruction of assets.
Physical & Environmental Security
Handling
Equipment Security Implement appropriate physical controls to protect infrastructure from theft, damage and compromise.
ITRM framework definitions (continued)
Discovering, defining and managing threats and vulnerabilities within information systems and the computing infrastructure
Brand MonitoringAnalysis of Internet sites to determine if the company’s brand is being improperly represented or used for fraudulent purposes.
Computer & Network Forensics
Gathering, retaining, analyzing and preserving the integrity of computer and network related data to support investigations for a variety of reasons such as fraud, computer crime or theft of intellectual property.
O/S Hardening & Secure Configuration
Implement and maintain secure configurations on operating systems including the removal of non-essential software, restricting file access permissions, securely configuring services and disabling or restricting system level accounts.
Patch ManagementAcquiring, testing, and installation of system changes to address software flaws, including the removal or mitigation of security vulnerabilities.
Cyber Threat Management
mitigation of security vulnerabilities.
Penetration TestingEvaluating the security of a computer system or network by simulating an attack from malicious outsiders (who do not have an authorized means of accessing the organization's systems) and insiders (who have some level of authorized access).
Threat IntelligenceImplement processes and mechanisms to mine internal log information and correlate with external intelligence to facilitate improved risk response and make informed decisions related to security measures.
Threat ModelingAnalysis of threats against the organization’s valuable assets to identify weaknesses and opportunities to improve the security and prevent damage.
Vulnerability Management
Identifying, quantifying, prioritizing, tracking and remediating the vulnerabilities in a system , reducing the risks resulting from exploitation of published technical vulnerabilities.
ITRM framework definitions (continued)
Access to information, information processing facilities, and business processes controlled on the basis of business and security requirements
FederationEnables access to internal systems for business partners and vendors without creating their identities (based on virtual trust model).
Access GovernanceInvolves creation of Enterprise roles, processes to manage the role lifecycle, access re-certifications & remediation and Segregation of Duties polices & other business rules.
Access Reporting / Audit
Provides Integrated Reporting around current user access (who has access to what) and centralized audit (approvals, key user operations).
Data Platform Integration
Provides the ability to connect and integrate with end systems to complement Account Management, Access Management, Privilege Management, Password Management and Federation.
Identity & Access Management
Privileged User Management
Complements User Account Management with Privileged Account Management by streamlining request, assignment and revocation of passwords.
Access ManagementManagement of fine-grain authorization for targets via centralized policy store, with policy administration, decision, information and enforcement.
User Account Management
Provisioning/de-provisioning, involves management of user identities across systems (user-id) and coarse grain privileges and including password self-service.
ITRM framework definitions (continued)
Integrate security as a critical component into organizations software development, integration, and maintenance processes
Security / Risk Requirements
Define explicit system security / risk requirements including functional, technical and user access requirements.
Security Design / Architecture
Defining security related aspects of the technical, operations and application architecture including such areas as user authentication, authorization, data segregation, data protection, logging and monitoring, secure interfaces between components and user provisioning mechanisms.
Application Role Design / Access
Privileges
Design access privileges and associated templates to enable access to specific application functions and data, restricting access to those individuals who are permitted while enforcing appropriate segregation of duties.
Secure Coding Establish and implement guidelines for secure application coding to reduce the potential of vulnerabilities
Secure Development Lifecycle
Secure Coding Guidelines
Establish and implement guidelines for secure application coding to reduce the potential of vulnerabilities resulting from coding errors.
Secure BuildConstruct applications and supporting infrastructure leveraging the security / risk requirements as well as industry demonstrated security practices; Configure access privileges and provision access to enable users to perform required business functions.
Security TestingTest system against security requirements including 1) proper functioning of user access rights to enable users to perform required business functions while appropriately restricting access to data and 2) identification and mitigation of system security vulnerabilities.
Roll-out & Go-liveReleasing the new application / system in the production environment after completing stages of the secure system development lifecycle, including support and resolution of system access issues.
Application Security Administration
Coordination, implementation, administration of user access privileges including maintenance of and enhancements to user access profiles and provisioning of user access.
ITRM framework definitions (continued)
Helps organizations identify and manage risks and opportunities associated with information management and data protection
Data Retention &
Destruction
Storing data for backup and historical purposes, and enabling retired devices and media to have their contents securely removed, destroyed, or overwritten.
Data Loss PreventionIdentify, monitor, and protect data in use, data in motion and data at rest through content inspection and contextual security analysis within a centralized management framework.
Data Encryption &
Obfuscation
Convert data from an understandable form to a non-understandable form to reduce the potential of access by unauthorized users.
Breach Notification &
Management
Provide notification of a data or privacy breach to affected individuals, regulatory authorities, covered entities and media.
Data Protection
Management
Data Lifecycle AnalysisPrioritize business processes and document the flow of sensitive data through those business processes while identifying protection and usage controls (lifecycle includes data collection / creation, storage, use, transfer and destruction).
Data Classification &
InventoryInformation is classified in terms of its value, legal requirements, sensitivity, and criticality to the organization.
ITRM framework definitions (continued)
To maintain the security of the organization’s information and information processing facilities that are accessed or managed by external parties
Third Party Assessment Program
Regularly assess the risks to the organization’s information and information processing facilities accessible or managed by third parties.
Third Party Governance
Define third-party agreements and contracts to enable access, process, or manage the third-party organization’s information or information processing facilities meet requirements.
Third Party Compliance
(Regulatory, SLA)
Regularly assess third parties to determine compliance with organizational security policies and meet predefined SLA’s.
Remediation and Exception
Develop procedures to manage and remediate information security risks posed by third parties and exceptions to organizational security policies.
Third Party Risk Management
Exception exceptions to organizational security policies.
Incident Management and Response
Define third-party agreements related to incident response in event of a security breach or restoration of services in event of an outage.
ITRM framework definitions (continued)
Business-owned, business-driven process that establishes a fit-for-purpose strategic and operational framework that proactively improves an organization’s resilience against the disruption of its ability to achieve its key objectives
Escalation andCrisis Management
An escalation process is used to escalate problems and issues – to determine if a disaster should be “declared”. A declaration will be performed by an executive crisis management team. This declaration will be performed based on predefined criteria and procedures.
MaintenanceThe strategies and plans should be dynamic and updated regularly to remain current with system enhancements and changing business requirements. This recovery maintenance should be integrated into the change management system and process.
Testing and Exercising
Testing the strategy and plans identifies gaps within the recovery strategy and plans. It enables organizations to recover within the agreed upon recovery objectives. It provides a metric that will be integrated into the governance program. It also serves to train individuals within the organization.
Enterprise Resilience
Exercisingintegrated into the governance program. It also serves to train individuals within the organization.
Recovery Plans and Procedures
The recovery plans and procedures should contain detailed guidance and procedures for restoring a data center, system, network or application. The procedures should be integrated with the problem management or business continuity plan development system.
Recovery StrategiesRecovery strategies should be developed for data centers, computer rooms and applications. The recovery strategy should enable the applications and systems to be recovered within the recovery objectives that were agreed upon with the business functions and risk steering committee.
Business Impact Analysis
The BIA helps to identify and prioritize critical IT systems and components. The BIA should be aligned with the business processes and their Maximum Tolerable Downtime (MTD). The primary objective from the BIA is to derive a Recovery Point Objective (RPO) and a Recovery Time Objective (RTO).
Data BackupA foundational element is that production data and storage should have frequent, scheduled backups, taken offsite. For highly critical data that storage should be mirrored or replicated to a secondary location. The data backup solution must align with the RPO.
ITRM framework definitions (continued)
Services that address an organization’s business security requirements and supporting strategies and architectures for establishing an enterprise level security and risk management program
Regulatory and Standards Research
Relevant statutory, regulatory, and contractual requirements and the organization’s approach to meet these requirements are explicitly defined, documented, and kept up to date.
Integrated Req. & Control Framework
Rationalized requirements and controls integrated from multiple industry standards, frameworks and policies.
Risk & Compliance Assessment
Risk assessments to identify, quantify, and prioritize risks against criteria for risk acceptance and objectives relevant to the organization.
Policies, Standards & Procedures
Management of guiding principles used to set direction in an organization.
IT Risk & Compliance Management
Issue & Corrective Action Planning
Steps that management takes to track, manage and remove the causes of an existing non-conformity or risks.
Exception Management
Practice of investigating, resolving and handling exception occurrences.
ITRM framework definitions (continued)
To provide a management system, including policies and a framework to enable the effective management and implementation of IT services
Asset Management Define a broad asset inventory and assign appropriate owners.
SLA, Service Validation & Testing
Define Service Level Agreements (SLA) to respond to service requests. Define processes to summarize the appropriate level of validation and testing is performed before making any changes in the production environment.
Release ManagementDefine processes to effectively manage software releases or any other changes in the production environment.
Configuration & Change Management
Define processes to review and manage changes to configurations and systems consistently with the appropriate level of validation and approvals.
IT Operations
Capacity Management
Define processes to enable IT capacity to meet current and future business requirements effectively.
Incident & Problem Management
Define processes to restore business as soon as possible or to respond to service requests.
To be Continue….
Thank you !Thank you !