- Văn bản
- Lịch sử
PROCESS DESCRIPTION- DS5 Ensure Sys
PROCESS DESCRIPTION
- DS5 Ensure Systems Security
The need to maintain the integrity of information and protect INFORMATION TECHNOLOGY assets requires a security management process. This process includes establishing and maintaining INFORMATION TECHNOLOGY security roles and responsibilities, policies, standards, and procedures. Security management also includes performing security monitoring and periodic testing and implementing corrective actions for identified security weaknesses or incidents. Effective security management protects all information technology assets to minimise the business impact of security vulnerabilities and incidents.
Control over the information technology process of
Ensure systems security
that satisfies the business requirement for information technology of maintaining the integrity of information and processing infrastructure and minimising the impact of security vulnerabilities and incidents by focusing on defining information technology security policies, plans and procedures, and monitoring, detecting, reporting and resolving security vulnerabilities and incidents is achieved by
• Understanding security requirements, vulnerabilities and threats
• Managing user identities and authorisations in a standardised manner
• Testing security regularly
and is measured by
• Number of incidents damaging the organisation’s reputation with
the public
• Number of systems where security requirements are not met
• Number of violations in segregation of duties
Effectiveness
Efficiency
Confidentiality
Integrity
Availability
Compliance
Reliability
P P S S S
People
Information
Applications
Infrastructure
STRATEGIC
ALIGNMENT
PERFORMANCE
MEASUREMENT
VALUE
DELIVERY
RISK
MANAGEMENT
RESOURCE
MANAGEMENT
IT GOVERNANCE
Primary Secondary
Deliver and Support
Ensure Systems CONTROL OBJECTIVES
DS5.1 Management of information technology Security
Manage information technology security at the highest appropriate organisational level, so the management of security actions is in line with business requirements.
DS5.2 information technology Security Plan
Translate business, risk and compliance requirements into an overall information technology security plan, taking into consideration the information technology infrastructure and the security culture. Ensure that the plan is implemented in security policies and procedures together with appropriate investments in services, personnel, software and hardware. Communicate security policies and procedures to stakeholders and users.
DS5.3 Identity Management
Ensure that all users (internal, external and temporary) and their activity on information technology systems (business application, information technology environment,system operations, development and maintenance) are uniquely identifiable. Enable user identities via authentication mechanisms.
Confirm that user access rights to systems and data are in line with defined and documented business needs and that job requirements are attached to user identities. Ensure that user access rights are requested by user management, approved by system owners and implemented by the security-responsible person. Maintain user identities and access rights in a central repository.
Deploy cost-effective technical and procedural measures, and keep them current to establish user identification, implement authentication and enforce access rights.
DS5.4 User Account Management
Address requesting, establishing, issuing, suspending, modifying and closing user accounts and related user privileges with a set of user account management procedures. Include an approval procedure outlining the data or system owner granting the access privileges. These procedures should apply for all users, including administrators (privileged users) and internal and external users,for normal and emergency cases. Rights and obligations relative to access to enterprise systems and information should be contractually arranged for all types of users. Perform regular management review of all accounts and related privileges.
DS5.5 Security Testing, Surveillance and Monitoring
Test and monitor the information technology security implementation in a proactive way. information technology security should be reaccredited in a timely manner to ensure that the approved enterprise’s information security baseline is maintained. A logging and monitoring function will enable the early prevention and/or detection and subsequent timely reporting of unusual and/or abnormal activities that may need to be addressed.
DS5.6 Security Incident Definition
Clearly define and communicate the characteristics of potential security incidents so they can be properly classified and treated by the incident and problem management process.
DS5.7 Protection of Security Technology
Make security-related technology resistant to tampering, and do not disclose security documentation unnecessarily.
DS5.8 Cryptographic Key Management
Determine that policies and procedures are in place to organise the generation, change, revocation, destruction, distribution,certification, storage, entry, use and archiving of cryptographic keys to ensure the protection of keys against modification and unauthorised disclosure.
DS5.9 Malicious Software Prevention, Detection and Correction
Put preventive, detective and corrective measures in place (especially up-to-date security patches and virus control) across the organisation to protect information systems and technology from malware (e.g., viruses, worms, spyware, spam).
DS5.10 Network Security
Use security techniques and related management procedures (e.g., firewalls, security appliances, network segmentation, intrusion detection) to authorise access and control information flows from and to networks.
DS5.11 Exchange of Sensitive Data
Exchange sensitive transaction data only over a trusted path or medium with controls to provide authenticity of content, proof of submission, proof of receipt and non-repudiation of origin.
MANAGEMENT GUIDELINES
From Inputs
PO2 Information architecture; assigned data classifications
PO3 Technology standards
PO9 Risk assessment
AI2 Application security controls specification
DS1 OLAs
Outputs To
Security incident definition DS8
Specific training requirements on security awareness DS7
Process performance reports ME1
Required security changes AI6
Security threats and vulnerabilities PO9
IT security plan and policies DS11
RACI Chart Functions
CEO
CFO
Business Executive
CIO
Business Process Owner
Head Operations
Chief Architect
Head Development
Head information technology Administration
PMO
Compliance, Audit,
Risk and Security
Activities
Define and maintain an information technology security plan. I C C A C C C C I I R
Define, establish and operate an identity (account) management process. I A C R R I C
Monitor potential and actual security incidents. A I R C C R
Periodically review and validate user access rights and privileges. I A C R
Establish and maintain procedures for maintaining and safeguarding cryptographic keys. A R I C
Implement and maintain technical and procedural controls to protect information
flows across networks. A C C R R C
Conduct regular vulnerability assessments. I A I C C C R
A RACI chart identifies who is Responsible, Accountable, Consulted and/or Informed.
Goals and Metrics
• Ensure that critical and confidential information is withheld from those who should not have access to it.
• Ensure that automated business transactions and information exchanges can be trusted.
• Maintain the integrity of information and processing infrastructure.
• Account for and protect all information technology assets.
• Ensure that information technology services and infrastructure can resist and recover from failures due to error, deliberate attack or disaster.Process
• Permit access to critical and sensitive data only to authorised users.
• Identify, monitor and report security vulnerabilities and incidents.
• Detect and resolve unauthorised access to information, applications and infrastructure.
• Minimise the impact of security vulnerabilities and incidents.
• Understanding security requirements, vulnerabilities and threats
• Managing user identities and authorisations in a standardised manner
• Defining security incidents
• Testing security regularly
• Number of incidents with business impact
• Number of systems where security requirements are not met
• Time to grant, change and remove access privileges
• Number and type of suspected and actual access violations
• Number of violations in segregation of duties
• Percent of users who do not comply with password standards
• Number and type of malicious code preventedctivities
• Frequency and review of the type of security events to be monitored
• Number and type of obsolete accounts
• Number of unauthorised IP addresses, ports and traffic types denied
• Percent of cryptographic keys compromised and revoked
• Number of access rights authorised, revoked, reset or changed
MATURITY MODEL
Management of the process of Ensure systems security that satisfies the business requirements for information technology of maintaining the integrity of information and processing infrastructure and minimising the impact of security vulnerabilities and incidents is:
0 Non-existent when
The organisation does not recognise the need for information technology security. Responsibilities and accountabilities are not assigned for ensuring security. Measures supporting the management of information technology security are not implemented. There is no information technology security reporting and no response process for information technology security breaches. There is a complete lack of a recognisable system security administration process.
1 Initial/Ad Hoc when
The organisation recognises the need for information technology security. Awareness of the need for security depends primarily on the individual. information technology security is addressed on a reactive basis. information t
- DS5 Ensure Systems Security
The need to maintain the integrity of information and protect INFORMATION TECHNOLOGY assets requires a security management process. This process includes establishing and maintaining INFORMATION TECHNOLOGY security roles and responsibilities, policies, standards, and procedures. Security management also includes performing security monitoring and periodic testing and implementing corrective actions for identified security weaknesses or incidents. Effective security management protects all information technology assets to minimise the business impact of security vulnerabilities and incidents.
Control over the information technology process of
Ensure systems security
that satisfies the business requirement for information technology of maintaining the integrity of information and processing infrastructure and minimising the impact of security vulnerabilities and incidents by focusing on defining information technology security policies, plans and procedures, and monitoring, detecting, reporting and resolving security vulnerabilities and incidents is achieved by
• Understanding security requirements, vulnerabilities and threats
• Managing user identities and authorisations in a standardised manner
• Testing security regularly
and is measured by
• Number of incidents damaging the organisation’s reputation with
the public
• Number of systems where security requirements are not met
• Number of violations in segregation of duties
Effectiveness
Efficiency
Confidentiality
Integrity
Availability
Compliance
Reliability
P P S S S
People
Information
Applications
Infrastructure
STRATEGIC
ALIGNMENT
PERFORMANCE
MEASUREMENT
VALUE
DELIVERY
RISK
MANAGEMENT
RESOURCE
MANAGEMENT
IT GOVERNANCE
Primary Secondary
Deliver and Support
Ensure Systems CONTROL OBJECTIVES
DS5.1 Management of information technology Security
Manage information technology security at the highest appropriate organisational level, so the management of security actions is in line with business requirements.
DS5.2 information technology Security Plan
Translate business, risk and compliance requirements into an overall information technology security plan, taking into consideration the information technology infrastructure and the security culture. Ensure that the plan is implemented in security policies and procedures together with appropriate investments in services, personnel, software and hardware. Communicate security policies and procedures to stakeholders and users.
DS5.3 Identity Management
Ensure that all users (internal, external and temporary) and their activity on information technology systems (business application, information technology environment,system operations, development and maintenance) are uniquely identifiable. Enable user identities via authentication mechanisms.
Confirm that user access rights to systems and data are in line with defined and documented business needs and that job requirements are attached to user identities. Ensure that user access rights are requested by user management, approved by system owners and implemented by the security-responsible person. Maintain user identities and access rights in a central repository.
Deploy cost-effective technical and procedural measures, and keep them current to establish user identification, implement authentication and enforce access rights.
DS5.4 User Account Management
Address requesting, establishing, issuing, suspending, modifying and closing user accounts and related user privileges with a set of user account management procedures. Include an approval procedure outlining the data or system owner granting the access privileges. These procedures should apply for all users, including administrators (privileged users) and internal and external users,for normal and emergency cases. Rights and obligations relative to access to enterprise systems and information should be contractually arranged for all types of users. Perform regular management review of all accounts and related privileges.
DS5.5 Security Testing, Surveillance and Monitoring
Test and monitor the information technology security implementation in a proactive way. information technology security should be reaccredited in a timely manner to ensure that the approved enterprise’s information security baseline is maintained. A logging and monitoring function will enable the early prevention and/or detection and subsequent timely reporting of unusual and/or abnormal activities that may need to be addressed.
DS5.6 Security Incident Definition
Clearly define and communicate the characteristics of potential security incidents so they can be properly classified and treated by the incident and problem management process.
DS5.7 Protection of Security Technology
Make security-related technology resistant to tampering, and do not disclose security documentation unnecessarily.
DS5.8 Cryptographic Key Management
Determine that policies and procedures are in place to organise the generation, change, revocation, destruction, distribution,certification, storage, entry, use and archiving of cryptographic keys to ensure the protection of keys against modification and unauthorised disclosure.
DS5.9 Malicious Software Prevention, Detection and Correction
Put preventive, detective and corrective measures in place (especially up-to-date security patches and virus control) across the organisation to protect information systems and technology from malware (e.g., viruses, worms, spyware, spam).
DS5.10 Network Security
Use security techniques and related management procedures (e.g., firewalls, security appliances, network segmentation, intrusion detection) to authorise access and control information flows from and to networks.
DS5.11 Exchange of Sensitive Data
Exchange sensitive transaction data only over a trusted path or medium with controls to provide authenticity of content, proof of submission, proof of receipt and non-repudiation of origin.
MANAGEMENT GUIDELINES
From Inputs
PO2 Information architecture; assigned data classifications
PO3 Technology standards
PO9 Risk assessment
AI2 Application security controls specification
DS1 OLAs
Outputs To
Security incident definition DS8
Specific training requirements on security awareness DS7
Process performance reports ME1
Required security changes AI6
Security threats and vulnerabilities PO9
IT security plan and policies DS11
RACI Chart Functions
CEO
CFO
Business Executive
CIO
Business Process Owner
Head Operations
Chief Architect
Head Development
Head information technology Administration
PMO
Compliance, Audit,
Risk and Security
Activities
Define and maintain an information technology security plan. I C C A C C C C I I R
Define, establish and operate an identity (account) management process. I A C R R I C
Monitor potential and actual security incidents. A I R C C R
Periodically review and validate user access rights and privileges. I A C R
Establish and maintain procedures for maintaining and safeguarding cryptographic keys. A R I C
Implement and maintain technical and procedural controls to protect information
flows across networks. A C C R R C
Conduct regular vulnerability assessments. I A I C C C R
A RACI chart identifies who is Responsible, Accountable, Consulted and/or Informed.
Goals and Metrics
• Ensure that critical and confidential information is withheld from those who should not have access to it.
• Ensure that automated business transactions and information exchanges can be trusted.
• Maintain the integrity of information and processing infrastructure.
• Account for and protect all information technology assets.
• Ensure that information technology services and infrastructure can resist and recover from failures due to error, deliberate attack or disaster.Process
• Permit access to critical and sensitive data only to authorised users.
• Identify, monitor and report security vulnerabilities and incidents.
• Detect and resolve unauthorised access to information, applications and infrastructure.
• Minimise the impact of security vulnerabilities and incidents.
• Understanding security requirements, vulnerabilities and threats
• Managing user identities and authorisations in a standardised manner
• Defining security incidents
• Testing security regularly
• Number of incidents with business impact
• Number of systems where security requirements are not met
• Time to grant, change and remove access privileges
• Number and type of suspected and actual access violations
• Number of violations in segregation of duties
• Percent of users who do not comply with password standards
• Number and type of malicious code preventedctivities
• Frequency and review of the type of security events to be monitored
• Number and type of obsolete accounts
• Number of unauthorised IP addresses, ports and traffic types denied
• Percent of cryptographic keys compromised and revoked
• Number of access rights authorised, revoked, reset or changed
MATURITY MODEL
Management of the process of Ensure systems security that satisfies the business requirements for information technology of maintaining the integrity of information and processing infrastructure and minimising the impact of security vulnerabilities and incidents is:
0 Non-existent when
The organisation does not recognise the need for information technology security. Responsibilities and accountabilities are not assigned for ensuring security. Measures supporting the management of information technology security are not implemented. There is no information technology security reporting and no response process for information technology security breaches. There is a complete lack of a recognisable system security administration process.
1 Initial/Ad Hoc when
The organisation recognises the need for information technology security. Awareness of the need for security depends primarily on the individual. information technology security is addressed on a reactive basis. information t
0/5000
MÔ TẢ QUÁ TRÌNH-DS5 Đảm bảo hệ thống an ninhSự cần thiết để duy trì sự toàn vẹn của thông tin và bảo vệ tài sản công nghệ thông tin yêu cầu một quy trình quản lý bảo mật. Quá trình này bao gồm việc thiết lập và duy trì thông tin công nghệ an ninh vai trò và trách nhiệm, chính sách, tiêu chuẩn, và thủ tục. Quản lý an ninh cũng bao gồm thực hiện giám sát an ninh và định kỳ kiểm tra và thực hiện các hành động sửa sai cho bảo mật được xác định điểm yếu hoặc sự cố. Quản lý hiệu quả an ninh bảo vệ tài sản công nghệ thông tin tất cả để giảm thiểu tác động kinh doanh của các lỗ hổng bảo mật và sự cố.Kiểm soát quá trình công nghệ thông tinĐảm bảo hệ thống an ninhmà đáp ứng yêu cầu kinh doanh cho công nghệ thông tin của việc duy trì sự toàn vẹn của thông tin và xử lý cơ sở hạ tầng và hỗ tác động của các lỗ hổng bảo mật và sự cố bằng cách tập trung vào việc xác định chính sách an ninh công nghệ thông tin, kế hoạch và thủ tục, và giám sát, phát hiện, báo cáo và giải quyết các lỗ hổng bảo mật và sự cố là đạt được bằng• Sự hiểu biết các yêu cầu về an ninh, lỗ hổng và mối đe dọa• Quản lý nhận dạng người dùng và authorisations một cách tiêu chuẩn hóa• Kiểm tra bảo mật thường xuyênvà được đo bằng• Số tai nạn gây thiệt hại danh tiếng của tổ chức với củacông chúng• Số hệ thống nơi mà yêu cầu bảo mật không được đáp ứng• Số lượng các hành vi vi phạm trong sự phân biệt của nhiệm vụHiệu quảHiệu quảBảo mậtTính toàn vẹnTính khả dụngTuân thủĐộ tin cậyP P S S SNgườiThông tinỨng dụngCơ sở hạ tầngCHIẾN LƯỢCLIÊN KẾTHIỆU SUẤTĐO LƯỜNGGIÁ TRỊGIAO HÀNGRỦI ROQUẢN LÝTÀI NGUYÊNQUẢN LÝCNTT QUẢN TRỊTrung học chínhCung cấp và hỗ trợĐảm bảo hệ thống kiểm soát mục tiêuDS5.1 quản lý công nghệ thông tin bảo mậtQuản lý an ninh công nghệ thông tin ở cấp độ cao nhất tổ chức thích hợp, do đó, việc quản lý an ninh hành động phù hợp với yêu cầu kinh doanh.DS5.2 công nghệ thông tin bảo mật kế hoạchDịch kinh doanh, rủi ro và tuân thủ các yêu cầu vào một thông tin công nghệ an ninh kế hoạch tổng thể, cân nhắc cơ sở hạ tầng công nghệ thông tin và văn hóa bảo mật. Đảm bảo rằng kế hoạch được thực hiện trong chính sách bảo mật và các thủ tục cùng với khoản đầu tư thích hợp trong dịch vụ, nhân sự, phần mềm và phần cứng. Giao tiếp bảo mật chính sách và thủ tục để các bên liên quan và người sử dụng.DS5.3 Identity quản lýĐảm bảo rằng tất cả người dùng (nội bộ, bên ngoài và tạm thời) và hoạt động của họ trên hệ thống công nghệ thông tin (ứng dụng kinh doanh, môi trường công nghệ thông tin, Hệ thống hoạt động, phát triển và bảo trì) nhận dạng duy nhất. Cho phép nhận dạng người dùng thông qua cơ chế xác thực.Xác nhận rằng người sử dụng quyền truy cập vào hệ thống và dữ liệu được phù với định nghĩa và tài liệu nhu cầu kinh doanh và yêu cầu công việc được đính kèm để nhận dạng người dùng. Đảm bảo rằng quyền truy cập của người dùng được yêu cầu của quản lý người dùng, phê chuẩn của chủ sở hữu hệ thống và thực hiện bởi những người chịu trách nhiệm bảo mật. Duy trì nhận dạng người dùng và truy cập quyền trong một kho lưu trữ miền trung.Triển khai các biện pháp hiệu quả của kỹ thuật và thủ tục, và giữ chúng hiện hành để thiết lập nhận dạng người dùng, thực hiện xác thực và thực thi quyền truy cập.Quản lý tài khoản người dùng DS5.4Địa chỉ yêu cầu, thiết lập, phát hành, đình chỉ, sửa đổi và đóng tài khoản người dùng và người sử dụng có liên quan đặc quyền với một tập hợp các quy trình quản lý tài khoản người dùng. Bao gồm một thủ tục phê duyệt phác thảo chủ sở hữu dữ liệu hoặc hệ thống cấp quyền truy cập. Các thủ tục này nên áp dụng cho tất cả người dùng, bao gồm cả quản trị viên (đặc quyền người dùng) và người sử dụng nội bộ và bên ngoài, đối với trường hợp bình thường và khẩn cấp. Quyền và nghĩa vụ liên quan đến truy cập vào hệ thống doanh nghiệp và thông tin nên được contractually sắp xếp cho tất cả các loại người dùng. Thực hiện quản lý thường xuyên xem xét tất cả các tài khoản và đặc quyền liên quan.DS5.5 an ninh kiểm tra, giám sát và giám sátKiểm tra và theo dõi thực hiện an ninh công nghệ thông tin trong một cách chủ động. thông tin công nghệ an ninh nên được reaccredited trong một cách kịp thời để đảm bảo rằng doanh nghiệp đã được phê duyệt thông tin bảo mật đường cơ sở được duy trì. Một khai thác gỗ và giám sát chức năng sẽ kích hoạt công tác phòng chống đầu và/hoặc phát hiện và báo cáo kịp thời tiếp theo của hoạt động bất thường và/hoặc bất thường có thể cần phải được giải quyết.DS5.6 an ninh cố định nghĩaRõ ràng xác định và giao tiếp các đặc tính của sự cố an ninh tiềm năng để họ có thể được đúng phân loại và điều trị bằng các sự cố và quá trình quản lý vấn đề.DS5.7 bảo vệ an ninh công nghệLàm cho bảo mật liên quan đến công nghệ chống giả mạo, và không tiết lộ tài liệu an ninh không cần thiết.DS5.8 mật mã quản lý chủ chốtXác định rằng chính sách và thủ tục được thực hiện để tổ chức các thế hệ, thay đổi, thu hồi, phá hủy, phân phối, chứng nhận, lưu trữ, mục nhập, sử dụng và lưu trữ trong các chìa khóa mật mã để đảm bảo bảo vệ phím chống lại các sửa đổi và tiết lộ trái phép.Công tác phòng chống phần mềm độc hại DS5.9, phát hiện và sửa chữaĐặt các biện pháp phòng ngừa, thám tử và khắc phục tại chỗ (đặc biệt là Cập Nhật bảo mật bản vá lỗi và vi-rút kiểm soát) qua tổ chức để bảo vệ hệ thống thông tin và công nghệ từ phần mềm độc hại (ví dụ như, virus, worms, phần mềm gián điệp, thư rác).An ninh mạng DS5.10Sử dụng bảo mật kỹ thuật và quy trình quản lý liên quan (ví dụ như, tường lửa, bảo mật thiết bị, mạng lưới phân khúc, phát hiện xâm nhập) để cho phép tiến hành dòng chảy thông tin truy cập và kiểm soát từ và mạng.DS5.11 trao đổi dữ liệu nhạy cảmTrao đổi dữ liệu nhạy cảm giao dịch chỉ qua một con đường đáng tin cậy hoặc phương tiện truyền thông với các điều khiển để cung cấp tính xác thực của nội dung, giấy tờ chứng minh trình, bằng chứng nhận và phòng không thoái thác của nguồn gốc.HƯỚNG DẪN QUẢN LÝTừ đầu vàoPO2 thông tin kiến trúc; phân loại dữ liệu được chỉ địnhPo3 công nghệ tiêu chuẩnĐánh giá rủi ro PO9Đặc điểm kỹ thuật điều khiển AI2 ứng dụng bảo mậtDS1 OLAsKết quả đầu ra đểĐịnh nghĩa vụ bảo mật DS8Đào tạo cụ thể yêu cầu về an ninh nâng cao nhận thức DS7Báo cáo hiệu suất quá trình ME1Thay đổi yêu cầu an ninh AI6Mối đe dọa an ninh và lỗ hổng PO9NÓ bảo mật kế hoạch và chính sách DS11ĐUA biểu đồ chức năngGIÁM ĐỐC ĐIỀU HÀNHGIÁM ĐỐC TÀI CHÍNHKinh doanhCIOChủ doanh nghiệp quá trìnhHoạt động đầuKiến trúc sư trưởngĐầu phát triểnĐầu công nghệ thông tin quản trịMĂNG XÔNG PMOTuân thủ, kiểm toán,Rủi ro và an ninhHoạt độngXác định và duy trì một kế hoạch an ninh công nghệ thông tin. TÔI C C MỘT C C C C TÔI TÔI RXác định, thiết lập và hoạt động một quy trình quản lý danh tính (tài khoản). TÔI MỘT C R R TÔI CTheo dõi sự cố bảo mật tiềm năng và thực tế. TÔI R C C RĐịnh kỳ xem lại và xác nhận quyền truy cập của người dùng và đặc quyền. TÔI C RThiết lập và duy trì các thủ tục cho việc duy trì và bảo vệ mật mã phím. MỘT R TÔI CThực hiện và duy trì điều khiển kỹ thuật và thủ tục để bảo vệ thông tindòng chảy qua mạng. MỘT C C R R CTiến hành đánh giá thường xuyên dễ bị tổn thương. TÔI A TÔI C C C RMột biểu đồ đua xác định ai là chịu trách nhiệm, Accountable, Consulted và/hoặc thông báo.Mục tiêu và số liệu• * Bảo đảm rằng thông tin quan trọng và bí mật được giữ lại từ những người không nên có quyền truy cập vào nó.• * Bảo đảm rằng giao dịch tự động kinh doanh và trao đổi thông tin có thể được tin cậy.• Duy trì sự toàn vẹn của thông tin và xử lý cơ sở hạ tầng.• Chiếm và bảo vệ tất cả các tài sản công nghệ thông tin.• * Bảo đảm rằng dịch vụ công nghệ thông tin và cơ sở hạ tầng có thể chống lại và phục hồi từ thất bại do lỗi, cố ý tấn công hoặc thảm họa.Quá trình• Giấy phép truy cập vào dữ liệu quan trọng và nhạy cảm chỉ cho người dùng được ủy quyền.• Xác định, an ninh giám sát và báo cáo lỗ hổng và sự cố.• Phát hiện và giải quyết các truy cập trái phép thông tin, ứng dụng và cơ sở hạ tầng.• Giảm thiểu tác động của các lỗ hổng bảo mật và sự cố.• Sự hiểu biết các yêu cầu về an ninh, lỗ hổng và mối đe dọa• Quản lý nhận dạng người dùng và authorisations một cách tiêu chuẩn hóa• Xác định sự cố an ninh• Kiểm tra bảo mật thường xuyên• Số lượng các sự cố với tác động kinh doanh• Số hệ thống nơi mà yêu cầu bảo mật không được đáp ứng• Thời gian ban, thay đổi và loại bỏ quyền truy cập• Số lượng và loại hành vi vi phạm truy cập bị nghi ngờ và thực tế• Số lượng các hành vi vi phạm trong sự phân biệt của nhiệm vụ• Phần trăm của người sử dụng không tuân thủ với các tiêu chuẩn mật khẩu• Số lượng và loại độc hại mã preventedctivities• Tần số và xem xét các loại sự kiện an ninh để được theo dõi• Số lượng và loại tài khoản đã lỗi thời• Số lượng trái phép địa chỉ IP, cảng và các loại lưu lượng truy cập bị từ chối.• Phần trăm của mật mã phím thỏa hiệp và thu hồi• Số quyền truy cập được ủy quyền, thu hồi, đặt lại hoặc thay đổiMÔ HÌNH KỲ HẠN THANH TOÁNQuản lý của quá trình an ninh hệ thống đảm bảo đáp ứng các yêu cầu kinh doanh cho công nghệ thông tin của việc duy trì sự toàn vẹn của thông tin và xử lý cơ sở hạ tầng và hỗ tác động của các lỗ hổng bảo mật và sự cố là:0 phòng không tồn tại khiTổ chức không công nhận sự cần thiết cho an ninh công nghệ thông tin. Trách nhiệm và lựccủa không được chỉ định để đảm bảo an ninh. Các biện pháp hỗ trợ quản lý an ninh công nghệ thông tin không được thực hiện. Có là không có thông tin công nghệ an ninh báo cáo và không có quá trình phản ứng đối với vi phạm an ninh công nghệ thông tin. Đó là một thiếu hoàn toàn của một quy trình công nhận hệ thống quản lý bảo mật.1 ban đầu/quảng cáo Hoc khiTổ chức công nhận sự cần thiết cho an ninh công nghệ thông tin. Nâng cao nhận thức về sự cần thiết cho an ninh phụ thuộc chủ yếu vào các cá nhân. thông tin công nghệ an ninh giải quyết trên một cơ sở phản ứng. thông tin t
đang được dịch, vui lòng đợi..
PROCESS DESCRIPTION
- DS5 Ensure Systems Security
The need to maintain the integrity of information and protect INFORMATION TECHNOLOGY assets requires a security management process. This process includes establishing and maintaining INFORMATION TECHNOLOGY security roles and responsibilities, policies, standards, and procedures. Security management also includes performing security monitoring and periodic testing and implementing corrective actions for identified security weaknesses or incidents. Effective security management protects all information technology assets to minimise the business impact of security vulnerabilities and incidents.
Control over the information technology process of
Ensure systems security
that satisfies the business requirement for information technology of maintaining the integrity of information and processing infrastructure and minimising the impact of security vulnerabilities and incidents by focusing on defining information technology security policies, plans and procedures, and monitoring, detecting, reporting and resolving security vulnerabilities and incidents is achieved by
• Understanding security requirements, vulnerabilities and threats
• Managing user identities and authorisations in a standardised manner
• Testing security regularly
and is measured by
• Number of incidents damaging the organisation’s reputation with
the public
• Number of systems where security requirements are not met
• Number of violations in segregation of duties
Effectiveness
Efficiency
Confidentiality
Integrity
Availability
Compliance
Reliability
P P S S S
People
Information
Applications
Infrastructure
STRATEGIC
ALIGNMENT
PERFORMANCE
MEASUREMENT
VALUE
DELIVERY
RISK
MANAGEMENT
RESOURCE
MANAGEMENT
IT GOVERNANCE
Primary Secondary
Deliver and Support
Ensure Systems CONTROL OBJECTIVES
DS5.1 Management of information technology Security
Manage information technology security at the highest appropriate organisational level, so the management of security actions is in line with business requirements.
DS5.2 information technology Security Plan
Translate business, risk and compliance requirements into an overall information technology security plan, taking into consideration the information technology infrastructure and the security culture. Ensure that the plan is implemented in security policies and procedures together with appropriate investments in services, personnel, software and hardware. Communicate security policies and procedures to stakeholders and users.
DS5.3 Identity Management
Ensure that all users (internal, external and temporary) and their activity on information technology systems (business application, information technology environment,system operations, development and maintenance) are uniquely identifiable. Enable user identities via authentication mechanisms.
Confirm that user access rights to systems and data are in line with defined and documented business needs and that job requirements are attached to user identities. Ensure that user access rights are requested by user management, approved by system owners and implemented by the security-responsible person. Maintain user identities and access rights in a central repository.
Deploy cost-effective technical and procedural measures, and keep them current to establish user identification, implement authentication and enforce access rights.
DS5.4 User Account Management
Address requesting, establishing, issuing, suspending, modifying and closing user accounts and related user privileges with a set of user account management procedures. Include an approval procedure outlining the data or system owner granting the access privileges. These procedures should apply for all users, including administrators (privileged users) and internal and external users,for normal and emergency cases. Rights and obligations relative to access to enterprise systems and information should be contractually arranged for all types of users. Perform regular management review of all accounts and related privileges.
DS5.5 Security Testing, Surveillance and Monitoring
Test and monitor the information technology security implementation in a proactive way. information technology security should be reaccredited in a timely manner to ensure that the approved enterprise’s information security baseline is maintained. A logging and monitoring function will enable the early prevention and/or detection and subsequent timely reporting of unusual and/or abnormal activities that may need to be addressed.
DS5.6 Security Incident Definition
Clearly define and communicate the characteristics of potential security incidents so they can be properly classified and treated by the incident and problem management process.
DS5.7 Protection of Security Technology
Make security-related technology resistant to tampering, and do not disclose security documentation unnecessarily.
DS5.8 Cryptographic Key Management
Determine that policies and procedures are in place to organise the generation, change, revocation, destruction, distribution,certification, storage, entry, use and archiving of cryptographic keys to ensure the protection of keys against modification and unauthorised disclosure.
DS5.9 Malicious Software Prevention, Detection and Correction
Put preventive, detective and corrective measures in place (especially up-to-date security patches and virus control) across the organisation to protect information systems and technology from malware (e.g., viruses, worms, spyware, spam).
DS5.10 Network Security
Use security techniques and related management procedures (e.g., firewalls, security appliances, network segmentation, intrusion detection) to authorise access and control information flows from and to networks.
DS5.11 Exchange of Sensitive Data
Exchange sensitive transaction data only over a trusted path or medium with controls to provide authenticity of content, proof of submission, proof of receipt and non-repudiation of origin.
MANAGEMENT GUIDELINES
From Inputs
PO2 Information architecture; assigned data classifications
PO3 Technology standards
PO9 Risk assessment
AI2 Application security controls specification
DS1 OLAs
Outputs To
Security incident definition DS8
Specific training requirements on security awareness DS7
Process performance reports ME1
Required security changes AI6
Security threats and vulnerabilities PO9
IT security plan and policies DS11
RACI Chart Functions
CEO
CFO
Business Executive
CIO
Business Process Owner
Head Operations
Chief Architect
Head Development
Head information technology Administration
PMO
Compliance, Audit,
Risk and Security
Activities
Define and maintain an information technology security plan. I C C A C C C C I I R
Define, establish and operate an identity (account) management process. I A C R R I C
Monitor potential and actual security incidents. A I R C C R
Periodically review and validate user access rights and privileges. I A C R
Establish and maintain procedures for maintaining and safeguarding cryptographic keys. A R I C
Implement and maintain technical and procedural controls to protect information
flows across networks. A C C R R C
Conduct regular vulnerability assessments. I A I C C C R
A RACI chart identifies who is Responsible, Accountable, Consulted and/or Informed.
Goals and Metrics
• Ensure that critical and confidential information is withheld from those who should not have access to it.
• Ensure that automated business transactions and information exchanges can be trusted.
• Maintain the integrity of information and processing infrastructure.
• Account for and protect all information technology assets.
• Ensure that information technology services and infrastructure can resist and recover from failures due to error, deliberate attack or disaster.Process
• Permit access to critical and sensitive data only to authorised users.
• Identify, monitor and report security vulnerabilities and incidents.
• Detect and resolve unauthorised access to information, applications and infrastructure.
• Minimise the impact of security vulnerabilities and incidents.
• Understanding security requirements, vulnerabilities and threats
• Managing user identities and authorisations in a standardised manner
• Defining security incidents
• Testing security regularly
• Number of incidents with business impact
• Number of systems where security requirements are not met
• Time to grant, change and remove access privileges
• Number and type of suspected and actual access violations
• Number of violations in segregation of duties
• Percent of users who do not comply with password standards
• Number and type of malicious code preventedctivities
• Frequency and review of the type of security events to be monitored
• Number and type of obsolete accounts
• Number of unauthorised IP addresses, ports and traffic types denied
• Percent of cryptographic keys compromised and revoked
• Number of access rights authorised, revoked, reset or changed
MATURITY MODEL
Management of the process of Ensure systems security that satisfies the business requirements for information technology of maintaining the integrity of information and processing infrastructure and minimising the impact of security vulnerabilities and incidents is:
0 Non-existent when
The organisation does not recognise the need for information technology security. Responsibilities and accountabilities are not assigned for ensuring security. Measures supporting the management of information technology security are not implemented. There is no information technology security reporting and no response process for information technology security breaches. There is a complete lack of a recognisable system security administration process.
1 Initial/Ad Hoc when
The organisation recognises the need for information technology security. Awareness of the need for security depends primarily on the individual. information technology security is addressed on a reactive basis. information t
- DS5 Ensure Systems Security
The need to maintain the integrity of information and protect INFORMATION TECHNOLOGY assets requires a security management process. This process includes establishing and maintaining INFORMATION TECHNOLOGY security roles and responsibilities, policies, standards, and procedures. Security management also includes performing security monitoring and periodic testing and implementing corrective actions for identified security weaknesses or incidents. Effective security management protects all information technology assets to minimise the business impact of security vulnerabilities and incidents.
Control over the information technology process of
Ensure systems security
that satisfies the business requirement for information technology of maintaining the integrity of information and processing infrastructure and minimising the impact of security vulnerabilities and incidents by focusing on defining information technology security policies, plans and procedures, and monitoring, detecting, reporting and resolving security vulnerabilities and incidents is achieved by
• Understanding security requirements, vulnerabilities and threats
• Managing user identities and authorisations in a standardised manner
• Testing security regularly
and is measured by
• Number of incidents damaging the organisation’s reputation with
the public
• Number of systems where security requirements are not met
• Number of violations in segregation of duties
Effectiveness
Efficiency
Confidentiality
Integrity
Availability
Compliance
Reliability
P P S S S
People
Information
Applications
Infrastructure
STRATEGIC
ALIGNMENT
PERFORMANCE
MEASUREMENT
VALUE
DELIVERY
RISK
MANAGEMENT
RESOURCE
MANAGEMENT
IT GOVERNANCE
Primary Secondary
Deliver and Support
Ensure Systems CONTROL OBJECTIVES
DS5.1 Management of information technology Security
Manage information technology security at the highest appropriate organisational level, so the management of security actions is in line with business requirements.
DS5.2 information technology Security Plan
Translate business, risk and compliance requirements into an overall information technology security plan, taking into consideration the information technology infrastructure and the security culture. Ensure that the plan is implemented in security policies and procedures together with appropriate investments in services, personnel, software and hardware. Communicate security policies and procedures to stakeholders and users.
DS5.3 Identity Management
Ensure that all users (internal, external and temporary) and their activity on information technology systems (business application, information technology environment,system operations, development and maintenance) are uniquely identifiable. Enable user identities via authentication mechanisms.
Confirm that user access rights to systems and data are in line with defined and documented business needs and that job requirements are attached to user identities. Ensure that user access rights are requested by user management, approved by system owners and implemented by the security-responsible person. Maintain user identities and access rights in a central repository.
Deploy cost-effective technical and procedural measures, and keep them current to establish user identification, implement authentication and enforce access rights.
DS5.4 User Account Management
Address requesting, establishing, issuing, suspending, modifying and closing user accounts and related user privileges with a set of user account management procedures. Include an approval procedure outlining the data or system owner granting the access privileges. These procedures should apply for all users, including administrators (privileged users) and internal and external users,for normal and emergency cases. Rights and obligations relative to access to enterprise systems and information should be contractually arranged for all types of users. Perform regular management review of all accounts and related privileges.
DS5.5 Security Testing, Surveillance and Monitoring
Test and monitor the information technology security implementation in a proactive way. information technology security should be reaccredited in a timely manner to ensure that the approved enterprise’s information security baseline is maintained. A logging and monitoring function will enable the early prevention and/or detection and subsequent timely reporting of unusual and/or abnormal activities that may need to be addressed.
DS5.6 Security Incident Definition
Clearly define and communicate the characteristics of potential security incidents so they can be properly classified and treated by the incident and problem management process.
DS5.7 Protection of Security Technology
Make security-related technology resistant to tampering, and do not disclose security documentation unnecessarily.
DS5.8 Cryptographic Key Management
Determine that policies and procedures are in place to organise the generation, change, revocation, destruction, distribution,certification, storage, entry, use and archiving of cryptographic keys to ensure the protection of keys against modification and unauthorised disclosure.
DS5.9 Malicious Software Prevention, Detection and Correction
Put preventive, detective and corrective measures in place (especially up-to-date security patches and virus control) across the organisation to protect information systems and technology from malware (e.g., viruses, worms, spyware, spam).
DS5.10 Network Security
Use security techniques and related management procedures (e.g., firewalls, security appliances, network segmentation, intrusion detection) to authorise access and control information flows from and to networks.
DS5.11 Exchange of Sensitive Data
Exchange sensitive transaction data only over a trusted path or medium with controls to provide authenticity of content, proof of submission, proof of receipt and non-repudiation of origin.
MANAGEMENT GUIDELINES
From Inputs
PO2 Information architecture; assigned data classifications
PO3 Technology standards
PO9 Risk assessment
AI2 Application security controls specification
DS1 OLAs
Outputs To
Security incident definition DS8
Specific training requirements on security awareness DS7
Process performance reports ME1
Required security changes AI6
Security threats and vulnerabilities PO9
IT security plan and policies DS11
RACI Chart Functions
CEO
CFO
Business Executive
CIO
Business Process Owner
Head Operations
Chief Architect
Head Development
Head information technology Administration
PMO
Compliance, Audit,
Risk and Security
Activities
Define and maintain an information technology security plan. I C C A C C C C I I R
Define, establish and operate an identity (account) management process. I A C R R I C
Monitor potential and actual security incidents. A I R C C R
Periodically review and validate user access rights and privileges. I A C R
Establish and maintain procedures for maintaining and safeguarding cryptographic keys. A R I C
Implement and maintain technical and procedural controls to protect information
flows across networks. A C C R R C
Conduct regular vulnerability assessments. I A I C C C R
A RACI chart identifies who is Responsible, Accountable, Consulted and/or Informed.
Goals and Metrics
• Ensure that critical and confidential information is withheld from those who should not have access to it.
• Ensure that automated business transactions and information exchanges can be trusted.
• Maintain the integrity of information and processing infrastructure.
• Account for and protect all information technology assets.
• Ensure that information technology services and infrastructure can resist and recover from failures due to error, deliberate attack or disaster.Process
• Permit access to critical and sensitive data only to authorised users.
• Identify, monitor and report security vulnerabilities and incidents.
• Detect and resolve unauthorised access to information, applications and infrastructure.
• Minimise the impact of security vulnerabilities and incidents.
• Understanding security requirements, vulnerabilities and threats
• Managing user identities and authorisations in a standardised manner
• Defining security incidents
• Testing security regularly
• Number of incidents with business impact
• Number of systems where security requirements are not met
• Time to grant, change and remove access privileges
• Number and type of suspected and actual access violations
• Number of violations in segregation of duties
• Percent of users who do not comply with password standards
• Number and type of malicious code preventedctivities
• Frequency and review of the type of security events to be monitored
• Number and type of obsolete accounts
• Number of unauthorised IP addresses, ports and traffic types denied
• Percent of cryptographic keys compromised and revoked
• Number of access rights authorised, revoked, reset or changed
MATURITY MODEL
Management of the process of Ensure systems security that satisfies the business requirements for information technology of maintaining the integrity of information and processing infrastructure and minimising the impact of security vulnerabilities and incidents is:
0 Non-existent when
The organisation does not recognise the need for information technology security. Responsibilities and accountabilities are not assigned for ensuring security. Measures supporting the management of information technology security are not implemented. There is no information technology security reporting and no response process for information technology security breaches. There is a complete lack of a recognisable system security administration process.
1 Initial/Ad Hoc when
The organisation recognises the need for information technology security. Awareness of the need for security depends primarily on the individual. information technology security is addressed on a reactive basis. information t
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- vibrations
- bạn có thể nói hết những điều bạn muốn h
- ANGEL GURRIA: "There are unemployed grad
- K-alimentaire ouvre 7 heures-23 heures,
- high
- my teacher guides learn this word
- 「強がってなんかないわ。そもそも本当に強いし
- K-Food mở cửa từ 7h sáng tới 11h tối, có
- The limitations of the simple Flash layo
- Blind Date. Who is looking for the perfe
- immediately
- c'est demain le premier cours de cuisine
- pour
- Blind Date. Who is looking for the perfe
- Crown Prince, this way.
- あなたはそんな事考えなくていいの。
- hold
- A software suite is a collection of sepa
- I have to go to bed. goodbye he also lik
- c'est demain le premier cours de cuisine
- right now
- The limitations of the simple Flash layo
- 心配させぬようにしてたの知ってるよ
- tôi cũng biết cái số phận chết tiệt này
