Xay dung he thong an ninh thong tin cho doanh nghiep nghiem sy thang

Xây dựng Hệ thống An ninh thông tin cho Doanh nghiệp

Tài liệu thảo luận Nghiêm Sỹ Thắng

Vice CEO- CTO LienVietPostBankLienVietPostBank

Mục lục

� Tầm nhìn và mục tiêu xây dựng chiến lược CNTT và An ninh thông tin doanh nghiệp

� Phương pháp tiếp cận và mô hình hóa chiến lược triển khai

� Phương pháp mô hình hóa cấu thành Nghiệp vụ (Component Business � Phương pháp mô hình hóa cấu thành Nghiệp vụ (Component Business Model)

� Các vận dụng trong xây dựng và chuẩn hóa hệ thống An ninh thông tin doanh nghiệp

� Các vận dụng trong xây dựng hệ thống tuân thủ và quản lý rủi ro thông tin

2

� Phân tích hiện trạng của hệ thống IT và xác định tầm nhìn cho CNTT của Doanh nghiệp trong tương lai

– Gắn kết với nghiệp vụ là quyết sách, nhấn mạnh giá trị của CNTT và An ninh thông tin là biến tầm nhìn về kinh doanh thành hiện thực.

– Hiểu rõ những bất cập còn tồn tại để đưa ra định hướng tương lai

� Thiết kế xây dựng chiến lược, xác định các phương án giải quyết các tồn tại cũng như diễn giải phương án có lợi nhất cho Doanh nghiệp trong đầu tư:

Tầm nhìn & Mục tiêu Xây dựng hệ thống CNTT và An ninh thông tin Doanh nghiệp

3

– Kiến trúc, ứng dụng, dữ liệu và hạ tầng công nghệ;

– Mô hình vận hành IT, định vị CNTT, An ninh thông tin , động lực chính cho nghiệp vụ

� Xây dựng lộ trình chiến lược, sắp xếp các thứ tự ưu tiên cho các phương án, và với phương án được lựa chọn, đánh giá lợi ích tài chính và cụ thể hóa kế hoạch.

– Danh mục các chương trình

– Phân tích đầu tư

– Lập kế hoạch

Phương pháp tiếp cận và mô hình hóa chiến lược triển khai các dự án CNTT và An ninh thông tin Doanh nghiệp

Phần 1: Giai đoạn chuẩn bị

Để xác định phạm vi dự án và chọn lựa các hệ thống phù hợp, có ba giai đoạn đầu tương ứng với phần 1 trong dự án của Doanh nghiệp. Việc này sẽ giúp phân tích một cách toàn diện những yêu cầu của Doanh nghiệp đối với hệ thống An ninh thông tin và sự phù hợp của những yêu cầu này với mô hình hoạt động và chiến lược CNTT của Doanh nghiệp. Ba giai đoạn bao gồm:

� Giai đoạn 1: Chiến lược và mô hình kinh doanh� Giai đoạn 2: Xây dựng chiến lược CNTT� Giai đoạn 3: Yêu cầu doanh nghiệp,RFP và lựa chọn nhà cung cấp

Mỗi giai đoạn đều có một số công việc mấu chốt cần được thực hiện. Việc hoàn tất những nhiệm vụ chính của giai đoạn này sẽ quyết định thành công của giai đoạn kế tiếp.

4

sẽ quyết định thành công của giai đoạn kế tiếp.

Phần 2: Triển khai và sau triển khai

Trong quá trình triển khai / theo dõi tiến độ và cải tiến quy trình dự án. Những công việc này cần được quan tâm chặt chẽ và cần được thực hiện bởi một đơn vị tư vấn độc lập.

Tổng quan các bước về triển khai dự án CNTT và An ninh thông tin cho Doanh nghiệp

Giai đoạn 1 –Chiến lược và mô hình kinh doanh

Giai đoạn 2 – Xây dựng chiến lược CNTT & An ninh TT

Giai đoạn 3 .1–Yêu cầu doanh nghiệp

Giai đoạn 3.2 –RFP và lựa chọn nhà cung cấp

Giai đoạn 4 – Quản lý dự án

Phần 1 – Giai đoạn chuẩn bịPhần 2 – Giai đoạn triển khai, sau triển khai

• Phỏng vấn lãnh đạo cao cấp• Rà soát hoạt động và quy trình kinh

• Thực hiện đánh giá năng lực CNTT• Chi tiết hóa các yêu cầu về CNTT

• Ghi nhận mô hình kinh doanh• Ghi nhận yêu cầu kinh doanh, yêu cầu

• Hỗ trợ lựa chọn• Xây dựng hồ sơ mời thầu (RFP)• Hỗ trợ đánh giá

• Vận hành ban quản lý• Đảm bảo chất lượng dự án• Thiết kế và kiểm tra

5

doanh• Rà soát liên kết chiến lược• Đánh giá tính sẵn sàng• Xây dựng kế hoạch hành động

• Xây dựng và lựa chọn các giải pháp CNTT• Xây dựng bức tranh toàn cảnh CNTT• Phát triển kế hoạch chiến lược về CNTT

chức năng và yêu cầu kỹ thuật

• Lập lịch tham quan các địa điểm để đánh giá•Thương thảo hợp đồng

các kiểm soát• Hỗ trợ kiểm tra ứng dụng• Đào tạo về rủi ro và kiểm soát• Quản lý thay đổi• Đánh giá sau triển khai

• Xác định chiến lược• Đồng thuận về nội dung• Đưa ra ý kiến đóng góp• Xác định mô hình tương lai

• Hợp tác trong việc thu thập thông tin• Đưa ra ý kiến đóng góp• Xác định chiến lược CNTT• Đồng thuận về kế hoạch thực hiện chiến lược

• Đồng thuận của các bên liên quan:

– mô hình kinh doanh– yêu cầu doanh nghiệp– yêu cầu chức năng– yêu cầu kỹ thuật

• Chấp thuận các nhà cung cấp• Ký xác nhận các yêu cầu RFP• Chấp thuận các tiêu chí đánh giá• Quyết định giải pháp được chọn

• Quản lý dự án• Chấp thuận các kiểm soát hệ thống và các kiểm soát khác• Quản lý thay đổi• Triển khai hệ thống

CN

TT

Doanh N

ghiệ

p

Chuẩn bị t

riển k

hai

Ứng dụng học thuyết chiến lược của M. Porter

05 tác động chính có thể gây nguy hiểm vị trí của doanh nghiệp trên thương

trường• Mối đe dọa từ các đối thủ cạnh tranh mới.

• Quyền mặc cả của nhà cung cấp.

• Quyền mặc cả của khách hàng.

• Mối đe doạ của các sản phẩm, dịch vụ thay thế.

• Sự đua tranh của các doanh nghiệp hiện hữu.

6Mô hình chuỗi giá trị Porter áp dụng cho

doanh nghiệp sản xuất hoặc dịch vụ

Các điểm nhấn của học thuyết chiến lược M.Porter

+ Chiến lược đối phó� - Cost leadership (Giảm giá) : Tạo ra các sản phẩm, dịch vụ có giá tốt nhất

trong cùng lĩnh vực

� - Differentiation (Sự khác biệt) : Tạo ra những sản phẩm có chất lượng cao nhưng giá cạnh tranh. Ví dụ : dịch vụ hậu mãi tốt

� - Focus (Tập trung) : Tập trung vào một phân khúc thị trường nhằm đạt được cả Cost leadership và Differentiation

� - Các chiến lược bổ sung : Năm 1996, Porter đã mở rộng lý thuyết chiến

Ứng dụng học thuyết chiến lược của M. Porter

� - Các chiến lược bổ sung : Năm 1996, Porter đã mở rộng lý thuyết chiến lược thêm một số yếu tố là vị trí chiến lược, hiệu quả tác nghiệp và dịch vụ khách hàng.

+ Ứng dụng mô hình Porter� - Phân tích tất cả các điểm mạnh, điểm yếu của tất cả các hoạt động

� - Những hoạt động tạo thêm nhiều giá trị hơn có thể tạo ra các lợi thế cạnh tranh.

� - Xác định trong chuỗi hoạt động nào ứng dụng CNTT sẽ tạo gia giá trị lớn hơn và hoạt động nào ứng dụng CNTT là phù hợp nhất.

7

Ứng dụng Tiêu chuẩn COBIT+ ITIL/ISO

8

Phương pháp mô hình hóa Cấu thành Nghiệp vụ (Component Business Model)

9


Illustrative governance model

10


11

Phương pháp mô hình hóa Cấu thành Nghiệp vụ (Component Business Model) trong xây dựng các hạng mục CNTT và An ninh thông tin

12

Insight

Manufacturing

Distribution Risk / Fin Mgt

Strategy and Planning

Service

Branch Call CentreSelf-

Service

Sales

Sales Marketing

Product Manufacturing

DeploymentResearch Development

Risk

Market Risk Analysis & Mgmt

Credit Risk Analysis & Mgmt

Asset & Liability Policy

& Planning

OperationalRisk Analysis

& Mgmt

Administration

Channel Mgmt

Relationship Mgmt

Application Mgmt

Product Management

Portfolio MgmtProduction

Inventory Mgmt Financial MgmtPortfolio

Market Research

Segmentation

Business Strategy

Customer Analysis

Phương pháp mô hình hóa một doanh nghiệp nhằm xác đinh được các lĩnh vực trọng tâm về cả nghiệp vụ lẫn CNTT

13 13

Governance

Processing

Fixed Asset Mgmt

Alliance Mgmt

Resource Planning

Business Architecture

Business Unit Mgmt


Compliance

Internal Audit

Compliance Mgmt

Data

Business

Markets

Customer

Common Processes

Billing

Payments

Customer Account

Collections/ Recovery

Deposits

Servicing

Reconciliations

Settlement

Specific Processes

Trading

Custody

Financial Capture

Valuations

Facilities

Infrastructure


MgmtInventory Mgmt

Operations Mgmt

Financial Mgmt

Finance Policies &

Control

Financial Accounting &

Reporting

TreasuryCash

Inventory

Facilities Operations & Maintenance

Human Resources

HR Management

ITSystems

Development & Maintenance

Portfolio Analysis

Source: LienVietBank Institute for Business Value

Kiến trúc, Tổ chức CNTT và Giá trị là 3 phương diện được đánh giá trong suốt quá trình tiếp cận chiến lược CNTT

Kiế

n t

rúc Ứng dụngỨng dụng

Công nghệCông nghệ

Thông tinThông tin1. Phân tích & Tầm nhìn 2. Thiết kế chiến lược

3. Xây dựng lộ trình chiến lược

Hiện trạng của CNTT và mục tiêu tiến tới

trong tương lai

Các phương án giải quyến các bất cập tồn tại và lựa chọn phương

án tối ưu

Ý nghĩa về mặt tài chính của phương án được lựa chọn và lập kế hoạch thực hiện

Phương pháp mô hình hóa hoạt động CNTT nhằm xác định được các lĩnh vực trọng tâm về cả nghiệp vụ lẫn Công nghệ

14

Giá trị CNTT mang lạiGiá trị CNTT mang lại

Các chi phí CNTTCác chi phí CNTT

Các đầu tư cho CNTTCác đầu tư cho CNTT

Mô

hìn

hVận

hàn

h C

NT

T Quản trịQuản trị

Tổ chức CNTTTổ chức CNTT

Các dịch vụ CNTTCác dịch vụ CNTT

Các quy trình CNTTCác quy trình CNTT

Nhân sự/Năng lựcNhân sự/Năng lực

Giá

trị

Phân tích hiện trạng

Tầm nhìn CNTT & gắn kết với

nghiệp vụ

Lê

n p

hươ

ng

án

và

đ

án

h g

iá

Ch

uẩ

n bị dự

án

Danh mục dự án

Phân tích đầu tư

Lậ

p kế

hoạ

ch

dự

án

Ph

ân

tích

kh

oả

ng

cá

ch

Kiến trúc khái niệm

Tổ chứcCNTT

Bước 1 trong tiếp cận và xây dựng chiến lược CNTT

CN

TT,

kin

h do

anh

và c

ác q

uy tr

ình

xử lý

Hiện trạng CNTT

1. Phân tích & Tầm nhìn


ng

cách

Quản trị và cơ cấu CNTT

Các dự án CNTT

Các tài nguyên và kỹ năng CNTT

Hệ thống và các công nghệ Hệ thống và các công nghệ

Các xu thế kinh doanh và công nghệ

Chiế

n lượ

c về

CN

TT,

kin

h do

anh

và c

ác q

uy tr

ình

xử

Tầm nhìn và chiến lược CNTT gắn kết với nghiệp vụ

Định nghĩa các nguyên tắc và quy

tắc chủ đạo

Chiến lược và tầm

nhìn kinh doanh đặc

thù

Xác định nhu cầu CNTT

chốt

Xác định nhu cầu CNTT từ các nghiệp vụ chủ

chốt

Xác định các động lực

CNTT

Xác định các động lực cho nghiệp vụ từ phía

CNTT

Nắm bắt định hướng và chiến lược về công

nghệ

Ph

ân

tíc

h k

hoản

g c

ách

Chi phí CNTTCác dịch vụ và nguồn cung cấp

CNTTCác dịch vụ và nguồn cung cấp

CNTT

Các dự án CNTTCNTT CNTT

Nắm bắt định hướng và chiến lược kinh

doanh

Mục tiêu của các lĩnh vực tập trung – Giai đoạn 1

Phương pháp/Giai đoạn

Thành phần Lĩnh vực nghiên cứu


Quản trị và cơ cấu CNTT

Các dự án CNTT

Chi phí CNTT

Các tài nguyên & kỹ năng CNTT

Hệ thống và các công nghệ CNTT

16

Giai đoạn 1: Phân tích & Tầm nhìn

Các dịch vụ và nguồn cung cấp năng lực CNTT

Kiến trúc và chức năng ứng dụng

Xây dựng tầm nhìn, gắn kết CNTT, An ninh thông

tin và nghiệp vụ

Nắm bắt định hướng và chiến lược nghiệp vụ

Nắm bắt định hướng và chiến lược về công nghệ

Các xu thế nghiệp vụ và công nghệ

Định nghĩa các nguyên tắc và quy tắc chủ đạo

Xác định nhu cầu CNTT từ các từ nghiệp vụ chủ chốt

Xác định các động lực cho nghiệp vụ từ phía CNTT

Phân tích khỏang cáchKhoảng cách so với kiến trúc khái niệm

Khoảng cách trong mô hình vận hành IT

Xác định các hạng mục cần triển khai theo mức độ ưu tiên của Nghiệp vụ nhằm kéo theo chiến lược đầu tư CNTT

Insight

Manufacturing



Service


Service

Sales

Sales Marketing



Risk




& Planning


& Mgmt

Administration

Channel Mgmt

Relationship Mgmt

Application Mgmt

Product Management


MgmtInventory Mgmt Financial MgmtPortfolio

Analysis

Market Research

Segmentation

Business Strategy

Customer Analysis

17

Governance

Processing

Fixed Asset Mgmt

Alliance Mgmt

Resource Planning


Business Unit Mgmt

Compliance

Internal Audit

Compliance Mgmt

Data

Business

Markets

Customer

Common Processes

Billing

Payments

Customer Account


Deposits

Servicing

Reconciliations

Settlement

Specific Processes

Trading

Custody

Financial Capture

Treasury

Facilities

Infrastructure

Operations Mgmt

Finance Policies &

Control


Reporting

Treasury Mgmt

Cash Inventory


Human Resources

HR Management

ITSystems


Differentiaton

Competitive

Priority

Chỉ ra kiến trúc CNTT và An ninh thông tin từ tầm nhìn nghiệp vụ của Doanh nghiệp

Electronic Self Service Branches Call centre Mobility Partners

Authentication Access Control Content Collaboration Personalisation

ID Management

Availability

Change Management

Channels Layer

Presentation Layer

Management Application Development

High Medium Difference

Priority

18

Deposits InvestmentsBanking

ApplicationCRM

Loans Treasury PaymentsRisk and

ComplianceCredit Card

Collecting AccountingCash

ManagementAsset

ManagementHR Doc Mgmt

BI InformationClient History

Client Relationship

Client catalog

Product catalog

DW Data Marts

Security Management

Provisioning

Configuration

Directory Management

Monitoring

Portfolio and

Process control

Architecture control

Quality Management

Auditing

Components Layer

Information Layer

Business Components

Common Components

Analytics Client/Product/Segment views

Đánh giá CNTT trong ngữ cảnh các ưu tiên về nghiệp vụ sẽ làm nổi rõ mấu chốt về mục tiêu triển khai cần thiết

Insight

Manufacturing



Service


Service

Sales

Sales Marketing



Risk




& Planning


& Mgmt

Administration

Channel Mgmt

Relationship Mgmt

Application Mgmt

Product Management


MgmtInventory Mgmt Financial MgmtPortfolio

Analysis

Market Research

Segmentation

Business Strategy

Customer Analysis

19

Governance

Processing

Fixed Asset Mgmt

Alliance Mgmt

Resource Planning


Business Unit Mgmt

Compliance

Internal Audit

Compliance Mgmt

Data

Business

Markets

Customer

Common Processes

Billing

Payments

Customer Account


Deposits

Servicing

Reconciliations

Settlement

Specific Processes

Trading

Custody

Financial Capture

Treasury

Facilities

Infrastructure

Operations Mgmt

Finance Policies &

Control


Reporting

Treasury Mgmt

Cash Inventory


Human Resources

HR Management

ITSystems


Differentiaton

Competitive

PriorityMissing Functionality

Tầm nhìn CNTT cũng chỉ ra được cách lựa chọn kiến trúc chính để giải quyết các bất cập tồn tại

Electronic Self Service Branches Call centre Mobility Partners


ID Management

Availability

Change

Channels Layer

Presentation Layer

Management Application Development

High Medium Diff/Low

Priority

20


Deposits InvestmentsBanking

ApplicationCRM

Loans Treasury PaymentsRisk and

ComplianceCredit Card

Collecting AccountingCash

ManagementAsset

ManagementHR Doc Mgmt

BI InformationClient History

Client Relationship

Client catalog

Product catalog

DW Data Marts

Security Management

Provisioning

Configuration

Directory Management

Monitoring

Portfolio and

Process control

Architecture control

Quality Management

Change Management

Auditing

Components Layer

Information Layer

Business Components

Common Components

Analytics Client/Product/Segment views

Key EnhancementsNew Capabilities Gaps

Việc xây dựng và đánh giá các phương án chiến lược được tiến hành dựa trên các cân nhắc về cả mô hình khái niệm lẫn tổ chức

Tích hợp các kiến thức giữa môi trường và cổ đông

c ch

iến

ng

u ki

nh d

oanh

2. Thiết kế chiến lược

Xây dựng phương án và so sánh các phương án

Kiến trúc ứng dụng

Kiến trúc công nghệ


Những điều cần làm

Lựa

chọn

tổ c

hức

chiế

n lượ

c C

NT

T tr

ong

từng

phươ

ng á

n cụ

thể

Các

yêu

cầu

kinh

doa

nh

và mứ

c độ ư

u tiê

n

so sánh các phương án

Định nghĩa các phương án cho khách hàng cụ thể

Đánh giá các phương án và quyết định lựa chọn

Phân tích rủi ro cho các phương án

Kiến trúc thông tin

Kiến trúc công nghệ

Cai quản

Tổ chức / cấu trúc CNTTCác dịch vụ & nguồn cung ứng

năng lực CNTTCác dịch vụ & nguồn cung ứng

năng lực CNTT

Các quy trình CNTT

Quản lý nhân sự

Mô hình vận hành

Mục tiêu của các lĩnh vực tập trung – Giai đoạn 2 & 3

Phương pháp/Giai đoạn

Thành phần Lĩnh vực nghiên cứu

Giai đoạn 2: Thiết kế chiến

lược



Kiến trúc hạ tầng cơ sở

Kiến trúc thông tin và bảo mật

Mô hình vận hành

Cai quản

Tổ chức/cấu trúc CNTT

Các dịch vụ và nguồn cung ứng năng lực CNTT

Các quy trình IT

22

lược Các quy trình IT

Quản lý nhân sự

Xây dựng phương án và so sánh các phương án

Định nghĩa các phương án cho khách hàng cụ thể

Phân tích rủi ro cho các phương án

Đánh giá các phương án và quyết địn lựa chọn

Giai đoạn 3:Lộ trình chiến

lược

Danh mục dự ánDanh mục các dự án nghiệp vụ

Danh mục các dự án CNTT

Phân tích đầu tưĐánh giá chi phí

Phân tích đầu tư cho một số dự án quan trọng

Lập kế hoạc dự án

Đánh giá mức độ ưu tiên và các tiền đề

Lên kế hoạch đầu tư/ngân sách

Lập kế hoạch dự án

Chuẩn bị dự án Chuẩn bị dự án

Tham chiếu dựa trên cấu phần tạo ra sự mềm dẻo và dẫn dắt việc lựa chọn công nghệ và ứng dụng CNTT và An ninh thông tin

23 23

Technology infrastructure summary

Applications

(200+ apps.)

Development environments

EAI Layer

Business applications

(App 1, App 2, product Portal, FOS, product Manager, Legacy, and others…)

UNIX & Windows Scripting

.Net

Java

Notes

Websphere, Netweaver (Exchange Infrastructure, Process Integration), Actis EDIMANAGER

Perl

Visual Basic

HTML

App ABAP

Other dev. packages

24

Technical platforms

Storage

databases

Tier 1

(110 TB)

Tier 2

(125 TB)

Network infrastructure

Systems

management

HP UX

(95)

HP Intel Servers

(180)

Superdoom

(2)

Notes Servers Windows/

Intel

(54)

Network Layer — MPLS: Orange, AT&T, VPN: Orange, DWDM: Luxembourg EPT

OracleSQL

Server

7,000 Desktops

4,000 Laptops

1508 Printers

119 PDAs

DB2

EMC Symetrix

EMC Clarion

EMC Centera…

HP EVA

EMC Celera

Tape

HP OpenView, HP Network Node Manager, HP Insight Manager, CISCO Works, CISCO ACS, Netscout, and Bigbrother

AppMAXDB

Notes

Cách tiếp cận Process-base sẽ giải quyết những thách thức kỹ thuật chủ yếu của chiến lược công nghệ và bảo mật

25

� Thiết kế để tiến hóa – nâng cấp lũy tiến tính đến việc nghiệp vụ và CNTT thay đổi không ngừng

� Giảm đáng kể thời gian phát triển trong quá trình nâng cấp so với các tiếp cận thông thường

� Nhắm tới module hóa các công việc thiết kế và thực hiện các quy trình nghiệp vụ

� Khả năng thực hiện cao mà vẫn mềm dẻo

Service-oriented, loosely-coupled, business process driven components

Functional, but heavily customized andinflexible core systems

Một vài lựa chọn có thể được đưa ra trong khi xây dựng phương án


Kiến trúc công nghệKiế

n trú

c

khái n

iệm

Quản trị CNTT

Lựa chọn 1 Lựa chọn 2 Lựa chọn 3

26

Quản trị CNTT

Tổ chức CNTT

Cung cấp dịch vụ

CNTT

Quy trình CNTT

Nhân sự và kỹ năng

CNTT

Tổ c

hứ

c v

à q

uy

trìn

h C

NT

T

Đề xuất giải pháp và phương án xây môi trường an ninh bảo mật doanh nghiệp.

Mô hình hóa hệ thống An ninh thông tin

28

Xây dựng và chuẩn hóa hệ thống An ninh thông tin doanh nghiệp có thể mô hình hóa thành 3 bước

29

Phần 1: Security Benchmarking

30

Phần 2: Security Risk Assesment

31

Phần 3: Security Strategy Development / ISD Enhancement

32

Mục tiêu xây dựng chiến lược bảo mật doanh nghiệp

Các công tác sẽ triển khai:

� Phát triển những chiến lược để liên kết bảo mật thông tin với CNTT, kinh doanh, những chiến lược hợp nhất và những sáng kiến.

� Phân tích ngân sách cho việc bảo mật thông tin và đề xuất (gợi ý) các chiến lược giảm chi phí cho các hoạt động bảo mật thông tin

� Đánh giá sự hoàn chỉnh (phát triển môt cách hoàn chỉnh) của một hoặc nhiều tính năng bảo mật thuộc Cơ cấu bảo mật doanh nghiệp của chúng tôi và cung cấp lộ

Những lợi ích tiềm năng

• Thực hành bảo mật thông tin áp dụng một cách hợp lý, thích hợp cho toàn hệ thống.

• Cắt giảm chi phí vận hành bảo mật thông tin và “giải pháp điểm” CNTT

• Thành lập, xây dựng trách nhiệm, quyền hạn và

trách nhiệm cho việc bảo mật thông tin.

• Thống nhất bảo mật an ninh thành một hệ thống cấu bảo mật doanh nghiệp của chúng tôi và cung cấp lộ trình, những sáng kiến cụ thể để đạt được một mức độ hoàn chỉnh đặc biệt.

� Đánh giá việc ủy quyền trong vai trò, trách nhiệm bảo mật thông tin, đồng thời cung cấp những đề xuất, gợi ý trong tổ chức và quản trị.

� Tiêu chuẩn chương trình bảo mật thông tin của khách hàng đối với các chỉ tiêu ngành công nghiệp hoặc tương đương.

• Thống nhất bảo mật an ninh thành một hệ thống

quản lý kinh doanh cốt lõi.

• Mức điều kiện tốt nhất cho việc đầu tư bảo mật

thông tin cho yêu cầu của doanh nghiệp và khả

năng chịu được rủi ro của tổ chức.

• Liên kết tất cả định hướng kinh doanh, chiến

lược bảo mật và các hệ thống CNTT.

• Các giải pháp bảo mật thiết thực được liên kết

chặt chẽ và dễ quản lý.

Phương pháp phát triển hệ thống bảo mật thông tin doanh nghiệp

Cơ cấu quản lý hoạt động CNTT (ví dụ ITIL) tiếp tục trưởng thành, phát triển và đạt được những thành công trên diện rộng là những phương pháp hiệu quả cho việc sắp xếp hợp lý hóa và kiểm soát các hoạt động CNTT. Sự gia tăng mức phổ biến của những thành công này buộc những nhà lãnh đạo trong môi trường bảo mật thông tin phải suy nghĩ lại chiến lược đễ thực hiện kiểm soát bảo mật một cách hiệu quả trong bối cảnh tiêu chuẩn của cơ cấu tổ chức CNTT.

Một quy trình bảo mật tương quan , hợp nhất nhằm kiểm soát và chuyển quy trình bảo mật thành một cơ cấu tổ chức CNTT hiện đại thông qua một hoặc nhiều phương pháp sau đây:

– Sự kiểm soát được thực hiện thông qua quá trình tự vận động (VD: quá trình tự xử lý sự cố)

– Sự kiểm soát, quản lý được thực hiện thông qua việc thi hành của một quá trình( vd: xây dựng những tiêu chuẩn và chính sách)

– Sự kiểm soát được thực hiện thông qua giao diện (vd: bảo mật trong hợp đồng bên thứ 3)

Enterprise Security Framework

Định nghĩa cho các hạng mục trong mô hình bảo mật doanh nghiệp

Nhưng lợi ích của mô hình bảo mật theo “Process-Based”

• Hợp nhất với tiêu chuẩn công nghiệp trong cơ cấu CNTT- Hầu hết cơ cấu tổ chức CNTT là process-

based. Một quá trình cơ cấu bảo mật cho phép một sự xác định thẳng thắn quá trình cần thiết cho những

yêu cầu và những điểm hợp nhất.

• Phát triển bền vững – Các quá trình hợp nhất bảo mật chính thức trong CNTT và các hoạt động kinh

doanh đảm bảo cho những yêu cầu trong quá trình bảo mật sẽ được thực hiện một cách cẩn thận, hợp lý.

• Sử dụng phương pháp phân tích sự hoàn thành, phát triển – Nhiều mô hình và phương pháp phát triển

khả năng, tính năng có thể được sử dụng mà không cần sửa đổi để phân tích hiệu quả của các chương trình

bảo mật thông tin vả để tạo ra lộ trình chiến lược dựa trên sự phát triển/

• Cung cấp các số liệu quản lý – Những quy trình có thể được đo lường một cách hiệu quả bằng nhiều • Cung cấp các số liệu quản lý – Những quy trình có thể được đo lường một cách hiệu quả bằng nhiều

phương pháp và số liệu cung cấp một loạt các báo cáo quản lý về tình trạng hiện tại của các chương trình

bảo mật.

• Xây dựng trách nhiệm rõ ràng – Sự sở hữu có thể được chỉ định cho mỗi quá trình bảo mật để bảo đảm

rằng chúng được duy trì và thực hiện khi cần thiết.

• Thực hiện bảo mật một cách linh hoạt – Vai trò và trách nhiệm của việc bắt đầu, lập kế hoạch, thực hiện,

quản lý và kết thúc quá trình bảo mật thông tin có thể được chỉ định tập trung, phân tán, hoặc “các nguồn

bên ngoài” phụ thuộc vào kỹ năng yêu cầu và chi phí.

• Chi phí kỹ thuật/ Phân tích lợi ích –Khả năng lập phương hướng công nghệ để hỗ trợ cho các quy trình

cho phép việc phân tích chi phí/lợi nhuận cho quá trình mua bán công nghệ, hợp nhất và phát triển chiến

lược cắt giảm chi phí.

Tầm nhìn mô hình bảo mật theo “Process-Based” Sự kết hợp trên nhưng mô hình hiểu biết về tiến trình hoạt động ngành công nghiệp cụ thể và tiêu chuẩn quản lý an toàn bảo mật chuẩn, cho phép thực hiện mô hình hóa chiến lược tốt hơn, nhanh hơn và nhiều thông tin hơn các quyết định quản lý ứng dụng.

Trên toàn cảnh hoạt động doanh nghiệp có thể xác lập tiêu chuẩn tăng tốc triển khai nhanh chóng hệ thống bảo mật và lựa chọn thước đo giá trị đầu tư

Key Industry Accelerators:

�Risk Maps by Industry�ValuePrint�ValuePrint�IndustryPrint�InformationPrint�ServicesPrint�Value Level Metrics

Định vị triển khai công nghệ thông

tin theo ngành dọc.

Mô hình tổ chức đơn cử

39

Vòng đời các chương trình an ninh bảo mật thông tin theo COBIT

� Sử dụng khung an ninh doanh nghiệp và quá trình triển khai theo thư viện, doanh nghiệp có thể bắt đầu đánh giá, phát triển, thực hiện và duy trì một chương trình bảo mật hiệu quả.

Phương án tiếp cận chiến lược xây dựng hệ thống bảo mật doanh nghiệp

� Phạm vi và kế hoạch

– Xác định những đơn vị, cơ quan có liên quan chính và tiến hànhxây dựng lịch trình cho những cuộc gặp gỡ.

– Tiến hành xây dựng kế hoạch cho dự án một cách tổng thể.

� Hiểu rõ tình hình, tình trạng hiện tại

– Thu thập và xem xét lại những quy định, tiêu chuẩn và hệ thống dữ liệu một cách hợp lý.

– Chỉ đạo gặp gỡ, tiếp xúc với hệ thống bảo mật thông tin và những cá nhân chủ chốt có liên quan.

– Vạch ra những kỹ thuật, công nghệ bảo mật để hỗ trợ cho quy trình.

– Sắp xếp vai trò và trách nhiệm trong tổ chức để hỗ trợ cho quy trình bảo mật.bảo mật.

– Sắp xếp giao diện của quy trình bảo mật và những thứ phụ thuộc liên quan đến quy trình bảo mật, CNTT,doanh nghiệp.

� Điểm chuẩn và sự phân tích

– Xác định phương hướng chính cho sự phát triển

– Xác định những rào cản chính để phát triển

– Xây dựng những yêu cầu/ đòi hỏi để phát triển cho quy trình bảo mật.

– Dữ liệu và sự phân tích những yêu cầu giữa tình trạng hiện tại và sự đòi hỏi.

• Đề xuất và hợp lý hóa

– Phát triển lộ trình ưu tiên cho sự phát triển

– phát thảo những sáng kiến chiến lược dựa trên lộ trình vạch sẵn.

Đánh giá thường xuyên

� Theo khung an ninh doanh nghiệp và các thư viện rủi ro phát triển trong quá trình sử dụng để đo sự trưởng thành của các chương trình bảo mật thông tin và cung cấp một chiến lược để cải thiện.

Ví dụ về phương thức triển khai phân rã 3 bước thành 5 bước

1. Tóm lược : Phát thảo ngắn gọn phạm vi, phương pháp, nội dung chính, những đề xuất quan trọng.

2. Giới thiệu: Nêu ra những nội dung chính của cơ cấu tổ chức dữ liệu, bối cảnh và mục đích, đối tượng người

đọc, mức đo lường và sự giả định. đọc, mức đo lường và sự giả định.

3. Mối quan tâm của doanh nghiệp: Phát thảo những sáng kiến, phương hướng trong kinh doanh và CNTT,

định hướng luật và pháp chế, tổng thể rủi ro, chiến lược bảo mật và ngân sách.

4. Phân tích sự phát triển: Phát thảo sự phân tích và sự phát triển của quy trình bảo mật, liên quan đến quá

trình định nghĩa và các hoạt động, quy trình giao diện, vai trò và quyền hạn, chỉ số đo lường hiệu suất công

việc và các báo cáo, cho phép các ứng dụng công nghệ và kỹ thuật.

5. Những sáng kiến chiến thuật trong bảo mật: Phát thảo tổng thể lộ trình để đạt được mức phát triển đã đề ra

cho chương trình bảo mật và trình bày những sáng kiến miêu tả những nhân tố cơ bản, thực tiễn, các hoạt

động trong dự án, sự giả định và những sáng kiến phụ thuộc, giai đoạn được đo lường, và chi phí cho ngân

sách (một lần và sẽ lập lại, định kỳ)

Ví dụ về triển khai chi tiết chiến lược




Information Security Process Library

� Mỗi quá trình đã được xác định về các hoạt động sẽ là căn cứ thực hành tốt

nhất cho số liệu, vai trò và trách nhiệm và các điểm giao diện trong việc

hình thành những công nghệ kỹ thuật dưới dạng cơ bản cho quá trình hợp

nhất hiệu quả hoặc tái cơ cấu CNTT và bảo mật.

Process Definitions & Activities

Chức năng và quyền hạn

• IS: Chịu trách nhiệm bảođảm cho quá trình đánh giárủi ro được thực hiện khi cầnthiết. Bảo mật thông tinquản lý việc thực thi các thủtục, tạo điều kiện cho việcthu gom dự liệu, phân tíchcác lỗ hỏng và các tác độngđể xác định được rủi ro, tạođiều kiện phát triển chiếnlược hạn chế rủi ro, và tạo racác báo cáo và tài liệu hỗ trợkhác.

• IT: Chịu trách nhiệm về việcxác định hệ thống CNTT vàcác thành phần tương ứngnào hỗ trợ cho quá trình kinhdoanh, bảo trì mối liên hệgiữa hệ thống physical và tài

Process Interfaces

• Business Impact Analysis (output from)

• Vulnerability Assessment (output from)

• Compliance Assessment (output from)

• Risk Event Identification (output from)

• Remediation Decision Support (input to)

Enabling Technologies

• Risk and Control Library (RCL)

• Citadel

• TruSecure

• Logic Manager

KPIs and Reporting

• Time to perform a risk assessment

• Duration to perform a risk assessment

• Number of information assets reviewed

• Number of systems reviewed

• Number of business processes reviewed

giữa hệ thống physical và tàisản thông tin, bảo trì dòngdữ liệu tài sản thông tin vàhệ thống tài liệu, và hõ trợviệc xác dịnh các lỗ hổng hệthống.

• Business Process Owners:Chịu trách nhiệm xác định vàphân loại tài sản thông tinđược sử dụng trong quá trìnhkinh doanh của họ, xác địnhcác ứng dụng chính được sửdụng để hỗ trợ các quy trìnhkinh doanh, kiểm tra lại cácbáo cao phân tích rủi ro vàphối hợp với bảo mật thôngtin để tạo ra và quản lý cáckế hoạch và chiến lược.

• Top 5 most likely threat/vulnerability pairs

• Top 5 control weaknesses

• Top 5 impact scenarios

• Top 5 business processes with the most risk

Process Definitions and Activities - example

Process Definitions & Activities

• Mỗi quá trình xác định các dòng quy trình thực tế tốt nhất và các thủ tục chi tiết đảm bảo quá trình phát triển và các

hoạt động tái cơ cấu đạt được hiệu quả và kết quá thuận lợi.

Roles and Authorities - example

Roles and Authority

• Mỗi quy trình xác định các vai trò, trách nhiệm để bảo đảm quyền hạn và trách nhiệm đầy đủ cho quá trình

thực hiện và sở hữu.

Process Interfaces - example

Process Interfaces

• Mỗi quá trình xác định sự phụ thuộc và giao diện với những quy trình bảo mật và không bảo mật khác đảm bảo sựphát triển, tái cơ cấu, và những sáng kiến được thành công.

Key Performance Indicators and Reporting

KPIs and Reporting - example

• Mỗi quá trình xác định được nhiều chỉ số đo lường hiệu quả công việc và số liệu để hỗ trợ trong việc giám sát và

báo cáo những hoạt động bảo mật thông tin.

Time to perform a risk assessment

Duration to perform a risk assessment

Number of information assets reviewed

Top 5 most likely threat/vulnerability pairs

Top 5 control weaknesses

Top 5 impact scenarios

Number of systems reviewed

Number of business processes

reviewed

Top 5 business processes with the most

risk

Enabling Technologies - example

Enabling Technologies

• Mỗi quá trình sẽ xác định công nghệ và các nhà cung cấp có thể hỗ trợ trong quá trình tích hợp và

tự động hóa quy trình.

Những đề xuất trong kỹ thuât công nghệ

được thì được đánh giá theo:được thì được đánh giá theo:

•Những ứng dụng đã cài đặt được sử

dụng để tự đông hóa quá trình.

•Những ứng dụng tiềm năng trong

tương lai để hỗ trợ việc tự động hóa quy

trình.

• Những ứng dụng, công nghệ chưa

được biết đến, những thứ mà có thể đáp

ứng được mục tiêu của quy trình.

Enabling Technology – Risk and Control Library

Chiến lược xây dựng hệ thống tuân thủ và quản lý rủi ro - C&RM

C&RM strategy and roadmap – Project overview

Là một phần chương trình chiến lược IS, mô hình sau mo tả chiến lược và lộ trình tập trung C&RM.

Collaboration and Knowledge

Sharing

Enable Flexible Collaboration for

Information Information Management

and Exploitation

Provide the Right Information at the

Integration and Externalization

Provide Agile, Secure Capabilities to

IS Strategy

Collaboration for internal and external stakeholders

innovation

Information at the Right Time to enable business decisions and innovation

Capabilities to enable partnerships

Managing IS as a Business Compliance & Risk Management

Lean and Agile IS

Reduce Environmental Complexity and Increase Flexibility to meeting business needs

Drive IS Delivery and Risk Management Excellence

Drive Benefits Realization from IS investments

Drive employee engagement by Developing Our People

C&RM strategy and roadmap – Project overviewMục tiêu của dự án là phát triển một lộ trình định vị chiến lược quản lý rủi ro chủ động và tuân thủ toàn bộ. Hìnhảnh sau đây cung cấp một bản tóm tắt các phương pháp tiếp cận để phát triển chiến lược:

Strategy

Information Gathering Sessions

Existing Documentation

Challenges &Pain Points

Inputs

Methodology & Framework

Prioritized C&RMNeeds

Market / Industry Tools & Techniques

Đánh giá tổng quan C&RM Strategy Development

• Tiến hành phiên họp thông tin với các bên liên quan, chức năng, và nhân viên kỹ thuật

• Thu thập và xem xét các tài liệu hiện có và đang áp dụng

• Phát triển môi trường RM, bao gồm tập trung quan sát khu vực mà quy trình, công cụ, hoặc các công nghệ có thể được tăng cường

• Xác định khu vực mà ngành công nghiệp đề nghị thực hành, các công cụ, hoặc các công nghệ có thể được thừa hưởng bởi mô hình chuẩn của doanh nghiệp.

• Lộ trình chiến lược phát triển tổng kết ngắn hạn và dài hạn khu vực quy trình, công cụ và công nghệ để cho phép triển khai quản lý rủi ro tổng thể.

Deliverable

RoadmapObservations Recommendations Strategy

ITRM Risk Governance Framework

Các mô tả dưới đây phác thảo các yếu tố khác nhau,cần phải thiết kế đồng bộ cho hoạt động quản lý rủiro hiệu quả.

Strategy

Governance and Operating

Model

Policies and Standards

� What risk domains are in-scope? Who defines the risk appetite; What are the implications?

� What's our overall strategy and roadmap; Is it aligned to business needs?

� What does our capability framework look like, what are our gaps in capabilities?`

� How do we optimize our risk / cost profile?

� How do we develop incentive systems to improve risk management?

� What is the optimal governance structure and operating model across Business, Risk, Finance and IT? Who is accountable?

� How should we be structured?

� How / to what degree is independence of risk organization required?

� What are the set of policies and standards that need to work together?

Management Processes

Tools

Management Reporting

Communication, Training and Awareness

� What is the relationship across various policies?

� What are the risk management processes that we need to have in place?

� How do we evaluate the effectiveness (“process adequacy”) of the management processes?

� What are the overall tools and data architecture?

� What functions do the tools perform? Do they work effectively together?

� What are the tiered reports – who is the audience?

� How do we incorporate KRI and KPI?

� Do we have an organization-wide communication, training, and awareness program across various program elements and stakeholders?

ITRM frameworkMô hình ITRM được thừa hưởng trên cơ sở thực tế căn cứ vào việc đánh giá và phân tích

Co

mm

un

icati

on

, T

rain

ing

an

d A

ware

nes

s

Physical &

Environmental Identity

Data Protection Enterprise IT Operations

Physical Perimeter Security

External & Environmental Threats

Contact with Authorities

Physical media Handling

Equipment Security

Federation

Access Governance

Access Reporting/ Audit

Data Platform Integration

Privileged User Management

Access Management

User Account Management

Strategy Policies and Standards Governance and Operating Model

Data Loss Prevention

Data Encryption & Obfuscation

Breach Notification & Management

Data Lifecycle Analysis

Data Classification & Inventory

Data Retention & Destruction

Escalation andCrisis Mgmt.

Maintenance

Testing and Exercising

Business Impact Analysis

Data Backup

Recovery Plans and Procedures

Recovery Strategies

Asset Management

SLA, Service Validation & Testing

Capacity Management

Incident & Problem Management

Release Management

Configuration & Change Management

Key Capability

*Security design and architecture sub-capability includes development of application, technical and operations architecture

Co

mm

un

icati

on

, T

rain

ing

an

d A

ware

nes

s

Infrastructure

Security

Environmental

Security Cyber Threat

Mgmt.

Identity

& Access Mgmt. Secure

Development

Lifecycle

Data Protection

Third Party Risk

Mgmt.

Enterprise

Resilience IT Risk &

Compliance

Mgmt.

IT Operations

Antivirus & Malware

Intrusion Detection

Network Admission Control

Network/ Application Firewall

Proxy/ContentFiltering

Remote Access

Security Monitoring

Transmission Encryption

Wireless Security

Database Security

Brand Monitoring

Computer & Network Forensics

O/S Hardening & Secure Configuration

Patch Management

Penetration Testing

Threat Intelligence

Threat Modeling

Vulnerability Management

Management ReportingManagement Processes

To

ols

Security Design/ Architecture*

Security/Risk Requirements

Application Role Design/Access

Privileges

Secure Coding Guidelines

Secure Build

Security Testing

Roll-out & Go-live

Application Security Administration

Third Party Assessment Program

Third Party Compliance

(Regulatory, SLA)

Remediation and Exception

Incident Management and Response

Third Party Governance*

Regulatory and Standards Research

Integrated Req. & Control Framework

Risk & Compliance Assessment

Policies, Standards & Procedures

Issue & Corrective Action Planning

Exception Management

Sub-capability ITRM Framework Element

Supplier Compliance Management

C&RM Assessment(Current State Summary & Recommendations)

Maturity level – Assessment scoring approach

Dưới đây là mô hình khả năng xử lý dựa trên COBIT 5 đã được sử dụng để ghi thành phần khung ITRM.

Process Capability Model*

Maturity Level Maturity Level Overview

0 – Incomplete The process is not implemented or fails to achieve its purpose.

1 – PerformedProcesses are ad hoc and disorganized, but the implemented process achieves its

purpose.

The implemented process is Planned, Monitored and Adjusted to meet identified 2 – Managed

The implemented process is Planned, Monitored and Adjusted to meet identified

objectives.

3 – EstablishedThe implemented process is tailored and effectively deployed along with the infrastructure needed to provide a closed loop feedback cycle for process improvement.

4 – PredictableA predictable process operates consistently within defined limits to achieve process outcomes and is supported and driven through quantitative information derived from relevant measurement. A standard process is now performed consistently.

5 – OptimizedProcess is continuously improved to meet relevant current and projected enterprise

goals.

*Process capability model based on COBIT 5

C&RM current state summary

Dựa trên thông tin đầu vào của Doanh nghiệp , bản đồ “nhiệt “dưới đây tóm tắt các mục tiêu hiện nay cầnthực hiện RM. Ứng dụng COBIT V5 vào quá trình đánh giá.

Co

mm

un

icati

on

, T

rain

ing

an

d A

ware

nes

s

Physical &

Environmental Identity

Data Protection Enterprise


External & Environmental Threats



Equipment Security

Federation

Access Governance

Access Reporting/ Audit



Access Management


Strategy Policies and Standards Governance and Operating Model

Data Loss Prevention

Data Encryption & Obfuscation

Breach Notification & Management

Data Lifecycle Analysis

Data Classification & Inventory

Data Retention & Destruction

Escalation andCrisis Mgmt.

Maintenance



Data Backup


Recovery Strategies

Asset Management


Capacity Management

Incident& Problem Management

Release Management


*Security design and architecture sub-capability includes development of application, technical and operations architecture

Co

mm

un

icati

on

, T

rain

ing

an

d A

ware

nes

s

Infrastructure

Security

Environmental


Mgmt.

Identity


Development

Lifecycle

Data Protection

Third Party Risk

Mgmt.

Enterprise


Compliance

Mgmt.

IT Operations

Antivirus & Malware

Intrusion Detection


Network/ Application Firewall

Proxy/ContentFiltering

Remote Access

Security Monitoring


Wireless Security

Database Security

Brand Monitoring



Patch Management

Penetration Testing

Threat Intelligence

Threat Modeling


Management ReportingManagement Processes

To

ols

Security Design/ Architecture*

Security/Risk Requirements

Application Role Design/Access

Privileges


Secure Build

Security Testing

Roll-out & Go-live




(Regulatory, SLA)



Third Party Governance*







4 - Predictable1- Performed0 - Incomplete 3 - Established2 - Managed Out of Scope5 - Optimized

Supplier Compliance Management

C&RM priority areasDựa trên các phân tích hiện trạng, khuyến nghị thực hành trong ngành công nghiệp và thảo luận vớinguồn lực trong công ty, các thành phần ITRM sau đây được xác định là lĩnh vực ưu tiên để giải quyết.

ITRM Component Key Observations / Implications

IT Risk & Compliance Management

• Company A’s agency readiness capabilities related to GxP are not fully established (e.g., compliance practices, computer system validation, vendor management, compliant handling). This subjects Company A to non-compliance with the FDA, EMA, and other regulatory requirements.

Infrastructure Security / Cyber Threat Management

• The existing Company A network structure is flat and does not utilize a multi-tiered environment. The current network infrastructure potentially exposes Company A resources to external tampering and exploitation.

• Configurations for databases have limited security, and unsupported databases exist in Company A’s environment, which increases the risk of breaches.Company A’s environment, which increases the risk of breaches.

• Company A’s security monitoring solution does not provide a broad set of information on advanced persistent threats. This increases Company A’s risk exposure to cyber threats.

Enterprise Resilience• A secondary datacenter and related operational processes do not exist. In the event of a

disaster, this may result in loss of critical business capabilities.• A Business Continuity Plan (BCP) for IS does not exist.

Data Protection• Standards and processes for protecting sensitive data may not meet privacy requirements

(e.g., use, sharing, control and retention, cross-border data flow). This increases Company A’s risk of unauthorized access to sensitive data.

Identity & Access Management

• Periodic reviews and recertification of user access is performed on a limited and manual basis, which may lead to orphaned accounts and excessive access.

Third Party Risk Management

• Formal, enterprise-wide third party risk management strategy and approach does not exist.• Third party assessments are not conducted proactively or for every third party engagement,

which may lead to third parties inadequately securing Company A assets.• There is no central third party inventory to support risk management of critical third parties.

Infrastructure Security – hiện trạng và khuyến nghị

Description Key Observations Implications Recommendations

Protection of networks and the supporting infrastructure

• The existing Company A network structure is flat and does not utilize a multi-tiered environment

• Configurations for databases have limited security and unsupported databases exist in Company A’s environment

• Company A’s security monitoring

• Current network infrastructure exposes Company A resources to external tampering and exploitation

• Unsecure database configurations increase the risk of breaches

• Incomplete security management configurations increases Company A’s risk exposure to cyber threats

• Implement a tiered internal network• Enhance database security review

processes to track and remediate vulnerabilities timely or implement mitigating controls when remediation is not possible

• Enhance security monitoring capabilities to provide real-time

Sử dụng khung ITRM làm cơ sở, quan sát các điểm quan trọng, ý nghĩa và khuyến nghị tương ứng chomỗi thành phần ITRM.

Infrastructure

Security

Physical &

Environmental


Mgmt.

Identity


Development

Lifecycle

Data Protection

Third Party Risk

Mgmt.

Enterprise


Compliance

Mgmt.

IT Operations

• Company A’s security monitoring solution does not provide a broad set of information on advanced persistent threats

• DHCP IP addresses can be obtained by plugging a device into an Ethernet port

• Guest wireless access lacks content filtering controls and provides full access to the Internet

• Rule of least privilege is not enforced at the server and database level (e.g., users with administrative privileges)

• Although security violations are monitored, they are not reviewed consistently and timely

• Insecure protocols (e.g., FTP) are used for internal data transfer

A’s risk exposure to cyber threats• Having excessive ports enabled

increases the risk of unrestricted and unauthorized access to the network

• Company A guest wireless users may use Internet access inappropriately and subject Company A to security risks

• Administrative accounts provide little accountability, allowing for a higher chance of system compromise and exposure of confidential data

• Lack of timely responses to security violations can increase the risk of damage due to security breaches

• Insecure protocols increase the risk of sensitive data being compromised during transmission

capabilities to provide real-time analysis of security alerts and logs generated by critical network hardware and applications

• Disable public / non-essential Ethernet ports

• Implement content filtering capabilities to control Internet content being provided to guest users

• As part of the IAM program, periodic access reporting and auditing should be conducted on administrative level application accounts

• Enhance security violation review policy for timely review of security notifications

• Enable use of secure protocols for data transfer

C&RM priority recommendations


Prevent unauthorized physical access, damage, and interference to the organization’s premises and information

• N/A – Out of scope (IS does not support Physical & Environmental Security at Company A. This is area is supported by a different group.)




Physical & Environmental Security – hiện trạng và khuyến nghị

Infrastructure

Security

Physical &

Environmental


Mgmt.

Identity


Development

Lifecycle

Data Protection

Third Party Risk

Mgmt.

Enterprise


Compliance

Mgmt.

IT Operations



Discovering, defining and managing threats and vulnerabilities within information systems and the computing infrastructure

• Issues discovered as part of vulnerability assessments, penetration tests, security monitoring are not remediated timely

• Third party software is not patched as consistently as Microsoft patches

• Lack of timely responses to known vulnerabilities can increase the risk of security breaches

• Unpatched software increases the risk of exploitation of known vulnerabilities

• Lack of an enterprise threat intelligence / threat model leads to

• Enhance vulnerability assessment, penetration test, security monitoring processes for timely review and remediation of high risk security vulnerabilities

• Enhance third party patching processes to track and remediate known vulnerabilities timely or


Cyber Threat Management – hiện trạng và khuyến nghị

Infrastructure

Security

Physical &

Environmental


Mgmt.

Identity


Development

Lifecycle

Data Protection

Third Party Risk

Mgmt.

Enterprise


Compliance

Mgmt.

IT Operations

patches• Standardized threat intelligence /

threat modeling process is not utilized consistently across the organization

• Brand monitoring of external websites is not routinely performed

• Capability to perform in house computer or network forensics is limited

intelligence / threat model leads to an incomplete threat landscape and inability to properly assign risk values and determine risk responses

• Lack of continuous brand monitoring can lead to reputational damage due to references made to Company A’s trademarks, products, etc.

� Lack of in-house forensic specialists may result in limited ability to support legal / compliance matters

known vulnerabilities timely or implement mitigating controls when remediation is not possible

• Implement a threat model strategy that can identify threats, assess the probability of potential harm and determine countermeasures to mitigate the risk

• Implement an organizational brand monitoring strategy incorporating research on pending trademark registration applications, domain name acquisitions, social media usage, and entity filings

• Consider creating an in-house cyber forensics team to manage the examination of digital media in accordance with legal / compliance requirements in the event of an investigation




Access to information, information processing facilities, and business processes controlled on the basis of business and security requirements

• Periodic reviews and recertification of user access is performed on a limited and manual basis

• A standards-based user provisioning solution is not utilized to automate provisioning to Company A applications

• Lack of periodic reviews and recertification may lead to orphaned accounts and excessive access

• Lack of an IAM governance and framework can lead to users having excessive entitlements (i.e., administrative, privileged, non-privileged) that are not required as

• Establish process for periodic access reporting and auditing

• Leverage the core IAM capabilities coming out of Parent A and Company A’s Integration and Externalization program to govern and manage activities such as provisioning, lifecycle management,

Identity & Access Management – hiện trạng và khuyến nghị

Infrastructure

Security

Physical &

Environmental


Mgmt.

Identity


Development

Lifecycle

Data Protection

Third Party Risk

Mgmt.

Enterprise


Compliance

Mgmt.

IT Operations

Company A applications• Process to manage the role

lifecycle, access recertifications, etc. is limited

• Management of privileged accounts (i.e., tracking, removal) is not performed consistently throughout the organization

• Company A currently does not have a password management mechanism

• Company A currently has little to no processes or solutions for access reporting and auditing

• Formal Role Based Access Control (RBAC) does not exist; closest example of RBAC in Company A’s environment is AD security groups that provide access

• No governed or structured federation taking place at Company A

privileged) that are not required as part of their job function

• Inconsistent processes utilized to create identities and grant access to required applications, systems, and platforms

• Untimely granting of access to applications, systems, and platforms

• Increase in reliance on help desk and other support functions

• Requirement to manage and administer identities and access rights for non-Company A resources

• Inconsistent management and oversight of privileged accounts

provisioning, lifecycle management, RBAC, single sign-on (SSO), self-service, etc.



Integrate security as a critical component into organizations software development, integration, and maintenance processes

• IS is not typically involved in each stage of the software design process

• Security guidelines / requirements around the development of software applications are limited

• Accounts with administrative application access are not

• Lack of IS involvement may expose software to security gaps

• Lack of security guidelines / requirements can result in products being development without the appropriate security controls in place

• Excessive / unmanaged

• Enhance the SDLC framework to better include IS participation in solution design prior to implementation

• Enhance security guidelines to reflect lifecycle of development, review, approval and deployment of new products / solutions


Secure Development Lifecycle – hiện trạng và khuyến nghị

Infrastructure

Security

Physical &

Environmental


Mgmt.

Identity


Development

Lifecycle

Data Protection

Third Party Risk

Mgmt.

Enterprise


Compliance

Mgmt.

IT Operations

application access are not reviewed, approved or attested by the IS team

• Testing systems against security requirements prior to production release is not consistently done across the organization

• Excessive / unmanaged administrative accounts provide little accountability, allowing for a higher chance of system compromise and exposure of confidential data

• Security vulnerabilities may not be tested and mitigated prior to production release

new products / solutions• As part of the IAM program, periodic

access reporting and auditing should be conducted on administrative level application accounts

• Security testing should be performed on systems prior to production release



Helps organizations identify and manage risks and opportunities associated with information management and data protection

• Practices for protecting sensitive data may not meet privacy requirements (e.g., use, sharing, control and retention, cross-border data flow)

• Process around data classification is not followed consistently throughout the organization

• Lack of privacy requirements increases the organization’s risk to protect the data from unauthorized access

• Security controls to protect the data from unauthorized access may not be implemented on data incorrectly classified

• Rationalize data privacy requirements and formulate approach to manage Company A’s sensitive data

• Implement an enterprise-wide data classification standard and approach

• Leverage Parent A’s record management policy to back data up


Data Protection – hiện trạng và khuyến nghị

Infrastructure

Security

Physical &

Environmental


Mgmt.

Identity


Development

Lifecycle

Data Protection

Third Party Risk

Mgmt.

Enterprise


Compliance

Mgmt.

IT Operations

throughout the organization• Company A leverages Parent A’s

Record Management policy, but does not actively follow the data retention and data destruction processes

• Process and controls around Data Loss Prevention (DLP) do not exist

• Process and controls around data lifecycle analysis do not exist

• Process and controls around data encryption and obfuscation (e.g., database) are limited

classified• Lack of records management may

limit the organization’s ability to classify, store, use, share and destroy data

• Lack of a DLP solution can increase the risk of a data breach due to limited monitoring, detecting & blocking data while in-use, in-motion and at-rest

• If not properly managed, appropriate protection and usage controls to protect the data may not be implemented

• Data that is not properly encrypted increases the risk of it being viewed by unauthorized individuals

management policy to back data up for historical purposes and removed / destroyed for decommissioned devices / media in accordance with record management policy

• Implement an enterprise-wide DLP solution to detect and prevent unauthorized attempts to copy or move sensitive data

• Prioritize business processes and implement protection and usage controls against private / sensitive data

• Implement a data encryption framework that encrypts private / sensitive data



To maintain the security of the organization’s information and information processing facilities that are accessed or managed by external parties

• Formal, enterprise-wide third party risk management strategy and approach does not exist

• Structured risk management of the third party lifecycle at Company A is limited from a security perspective (evaluate & select, contract & on-board, manage &

� Lack of formal third party risk management and oversight may prevent Company A from identifying critical vendors and third parties essential to business operations

� Limited third party assessments may lead to vendors and third parties inadequately securing

� Implement an enterprise-wide third party risk management strategy and approach

� Develop a third-party risk management framework and processes, including a third-party risk assessment questionnaire

� Develop and maintain an inventory


Third Party Risk Management – hiện trạng và khuyến nghị

Infrastructure

Security

Physical &

Environmental


Mgmt.

Identity


Development

Lifecycle

Data Protection

Third Party Risk

Mgmt.

Enterprise


Compliance

Mgmt.

IT Operations

contract & on-board, manage & monitor, terminate & off-board)

• Company A requires a third party questionnaire to be completed before a third party is engaged, however, this is only completed for known third party engagements to IS; there may be other third party engagements where this questionnaire is not completed

• A centralized third party inventory does not exist

parties inadequately securing Company A sensitive assets

� Lack of a third party inventory may prevent Company A from properly managing critical vendors and third parties

� Develop and maintain an inventory of existing third parties and corresponding risk ratings

� Perform proactive third party risk assessments (based on risk-levels) and confirm third party capabilities meet security requirements

� For GxP compliance, establish and execute vendor management capabilities



Business-owned, business-driven process that establishes a fit-for-purpose strategic and operational framework that proactively improves an organization’s resilience against the disruption of its

• A secondary datacenter and related processes to operationalize do not exist

• Mature enterprise resilience program does not exist (e.g., limited formal escalation and crisis management processes, data resiliency, simulation testing)

• Lack of a secondary datacenter may result in loss of critical business capabilities in the event of a disaster

• Critical business processes may not be recovered timely in the event business continuity plans are invoked

• IS may not be operational within

• Implement a secondary data center providing resiliency for critical systems and data

• Re-evaluate the enterprise resilience program to include:• Business impact analysis,

including recovery time objectives (RTO) and recovery point


Enterprise Resilience – hiện trạng và khuyến nghị

Infrastructure

Security

Physical &

Environmental


Mgmt.

Identity


Development

Lifecycle

Data Protection

Third Party Risk

Mgmt.

Enterprise


Compliance

Mgmt.

IT Operations

against the disruption of its ability to achieve its key objectives

resiliency, simulation testing)• Business Continuity Plan (BCP)

for IS does not exist

• IS may not be operational within expected timeframes in the event of a disaster

(RTO) and recovery point objectives (RPO) are reviewed and attested by the business

• Critical business processes are tested on an end-to-end basis.

• Broader cross-business scenarios such as a large scale cyber attack or large scale vendor site outage are considered

• Establish and implement a business continuity plan for IS



Services that address an organization’s business security requirements and supporting strategies and architectures for establishing an enterprise level security and risk management program

• Company A’s agency readiness capabilities related to GxP are not fully established (e.g., compliance practices, computer system validation, vendor management, compliant handling)

• Formal risk management office does not exist

• Lack of mature agency readiness capabilities may subject Company A to non-compliance with the FDA

• Lack of an independent risk management office may cause difficulties enforcing compliance to risk management policies

• Lack of a risk management policy

• Establish and implement an IS Quality Program for GxP Compliance (compliance practices, computer system validation, vendor management, personnel requirements, compliant handling)

• Validate GxP systems and remediate as required


IT Risk & Compliance Management – hiện trạng và khuyến nghị

Infrastructure

Security

Physical &

Environmental


Mgmt.

Identity


Development

Lifecycle

Data Protection

Third Party Risk

Mgmt.

Enterprise


Compliance

Mgmt.

IT Operations

management program does not exist• Official risk management policy

does not exist; currently under the IS policy

• Proactive corrective action tracking and remediation process is not performed consistently across the organization

• Risk Management is not typically involved in development of processes and suitable controls managed by other teams

• Formal education, training, and awareness associated with business operations and risk management / information security is minimal

• Lack of a risk management policy may prevent disparate groups from understanding what standards should be utilized; potentially leading to inconsistencies across the organization

• Lack of timely responses to identified issues (e.g., process / control deficiencies) may increase the risk of process or system compromise

• Lack of risk management involvement may result in processes and controls not being developed in accordance with risk management standards

• Lack of formal training may prevent Company A resources from understanding the current risk landscape and their roles and responsibilities

remediate as required• Develop a risk management office to

formalize a risk management framework including defining roles and responsibilities, policies, standards, and procedures:• Implement an in house-

assessment strategy prioritizing action items for known issues (e.g., risk & control assessments, internal / external audits)

• Expand the risk management role to include oversight and administration of new policies, standards, controls, etc.

• Develop formal training and awareness education program for employees and third parties that access Company A data and applications



To provide a management system, including policies and a framework to enable the effective management and implementation of IT services

• A formal and structured approach to manage service level agreements (SLA) software releases, testing / validation and changes in production is limited

• A standardized capacity planning process is not utilized consistently across the organization

• Lack of SLAs, release management capabilities, testing / validation, managing changes in production may lead to end users experiencing confusion and difficulties with systems, outages impacting productivity, and security vulnerabilities

• Enhance the use of SLAs; enhance release management and testing / validation capabilities; and enhance management of changes in the production environment

• Implement a capacity management strategy and approach to evaluate if capacity meets current and future


IT Operations – hiện trạng và khuyến nghị

Infrastructure

Security

Physical &

Environmental


Mgmt.

Identity


Development

Lifecycle

Data Protection

Third Party Risk

Mgmt.

Enterprise


Compliance

Mgmt.

IT Operations

across the organization vulnerabilities• Lack of adequate capacity planning

may lead to service disruptions due to infrastructure components not meeting the needs of the business

capacity meets current and future business requirements

*Note: No prioritized recommendations for this area.


Strategy & Roadmap

Level 0 – C&RM “I Can” capabilitiesKiến nghị cho các thành phần của chiến lược và lộ trình giúp kích hoạt mô hình C&RM.

ITRM Component

Recommended Initiatives “I Can”


• Establish and Implement IS Quality

Program for GxP Compliance

• Identify, Validate, and Remediate GxP

Systems

• I can have formal processes and guidance as it relates to GxP

• I can determine that vendors have appropriate quality systems and controls

in place

• I can have up-to-date relevant personnel records (e.g., training

requirements, job descriptions)

• I can measure quantitative risk of systems within the environment

• I can leverage a common methodology for system validation and

remediation

• I can identify GxP systems and their validation state

• I can restrict access to sensitive layers in Company A’s network (e.g., data Infrastructure Security / Cyber Threat Management

• Establish Network Tier Segmentation

• Enhance Database Security

• Enhance Securing Monitoring

• I can restrict access to sensitive layers in Company A’s network (e.g., data

tier, backup tier)

• I can further secure databases by applying required safeguards and

measures

• I can analyze and identify trends related to network security threats

Enterprise Resilience

• Establish Secondary Datacenter and

Operationalize

• Establish IS BCP

• I can implement appropriate disaster recovery measures that align with the

recovery time objectives (RTOs) and recovery point objectives (RPOs) of

the business

• I can resume normal IS operations within appropriate timeframes

Data Protection

• Rationalize Data Privacy

Requirements and Formulate

Approach

• I can determine what controls are required to be compliant with privacy

requirements

• I can identify where sensitive data is


• Establish Process for Recurring

Access Certification

• I can understand who has access to what systems

• I can regularly review user access reports and certify system access


• Establish Third Party Risk

Management Program

• I can have formal processes and guidance when managing third party risks

• I can manage third party risks via assessments stored in a central inventory

Level 1 – C&RM capability timeline

Tóm tắt khả năng và đặt các khả năng trên lộ trình thời gian.

Year 1 Year 2 Year 3

Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4

IT Risk &

Compliance

Management

Infrastructure

Security / Cyber

IS Quality Program established

Capability for system validation & remediation ready

Company A network tier segmentation in place & related activities ongoing

Database security approach rolled outSecurity / Cyber

Threat

Management

Enterprise

Resiliency

Data Protection

Identity & Access

Management

Third Party Risk

Management

Database security approach rolled out

Enhanced security monitoring ready

Datacenter established & operationalized

IS BCP published & in place

Data privacy requirements rationalized & approach executed

Access recertification process applied in Company A environment

Third Party Risk Management Program established and operationalized

Level 2 – C&RM roadmap

Based on discussions and current state analysis, the following roadmap is recommended to address C&RM priority areas.

Roll-Out

Build

IS Program Dependency

Plan

Vision

Design


Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4

IT Risk &

Compliance

Management

Infrastructure

IS Quality Program for GxP Compliance

System Validation & Remediation

Network Tier SegmentationInfrastructure

Security / Cyber

Threat

Management

Enterprise

Resiliency

Data Protection

Identity & Access

Management

Third Party Risk

Management

Database Security

Security Monitoring

Secondary Datacenter

IS BCP


Parent A IAM Strategy

Company A Externalized IAM Strategy / IAM Governance

Data Privacy Requirements

Notes on C&RM roadmap:1) Beyond the Roll-Out phase, ongoing activities (e.g., updates, maintenance, business as usual) are required for each roadmap initiative

IM&E Data Classification

Third Party Risk Management Program

Level 3 – Key activities for each C&RM capability


Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4

IT Risk &

Compliance

Management

IS Quality Program for GxP Compliance

Roll-Out

Build


Plan

Vision

Design

Define governance model

Design quantitative risk methods, vendor assessment, personnel approach

Build program, vendor / personnel / quantitative risk approachesRollout quantitative risk / vendor / personnel processesManagement

Infrastructure

Security / Cyber

Threat

Management

System Validation & Remediation

Complete transfer to business as usualprocesses

Plan system validation / remediation approach

Develop validation / remediation analysis and risk rating methods

Establish centralized system registry

Execute system validation & remediation

Network Tier Segmentation

Review infrastructure / network tier requirements

Design target state infrastructure / network

Initiate infrastructure / network tier activities

Continue activities to tier network / infrastructure

Define infrastructure / network tier strategy

Develop migration / production test schedule



Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4

Infrastructure

Security / Cyber

Threat

Management

Roll-Out

Build


Plan

Vision

Design

Database Security

Develop database security plan

Design approach for implementing enhanced security

Implement security configurations and database updates

Rollout configurations and database updates

Security Monitoring

Review security monitoring strategy and requirements

Enterprise

Resiliency

Review security monitoring strategy and requirements

Select security monitoring vendor

Identify and prioritize endpoints

Implement security solution and customize

Complete transfer to business as usual

Secondary Datacenter

Determine disaster recovery capabilities and requirements

Prioritize systems that require recovery

Establish disaster recovery infrastructure

Continue to incorporate prioritized systems in disaster recovery capabilities

IS BCP

Define business continuity requirements

Identify recovery approach options by scenario

Develop scenario-based IS recovery playbooks

Test recovery approach



Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4

Data Protection

Roll-Out

Build


Plan

Vision

Design


Define data privacy strategy

Identify compliance gaps to privacy and legal requirements and design approach

Develop enterprise data and asset inventory

Execute approach for data privacy compliance

Rationalize data privacy and legal requirements

Identity & Access

Management

Third Party Risk

Management


Deploy access certification process and solution

Operationalize access certification and continue to integrate systems

Coordinate with existing IAM activities to assess access review / certification capabilities

Define access review / certification processes and guidelines

Third Party Risk Management Program

Define third party risk management strategy

Define third party risk lifecycle, risk rating, and assessment processes

Build third party risk inventory

Execute assessments and third party risk management processes

Establish third party risk oversight structure

Supporting MaterialsSupporting Materials

Glossary of Key Terms

Glossary of key termsTerm Definition

Access Reporting / Auditing

This functionality allows comparison of user access activity (aggregated from various systems) with user

rights and presents access policy exceptions and violations on a report or a dashboard so that the

enterprise can take remediation measures to maintain compliance.

Business Continuity Plan (BCP) Plan for continuing operations in the event of impacted operations.

Control Objectives for

Information and Related

Technology (COBIT)

Framework created by ISACA for IT management and governance. It is a supporting toolset to bridge the

gap between control requirements, technical issues and business risks.

COBIT 5 Process Capability

Model

Process capability is defined on a six point scale from 0 to 5. This scale represents increasing capability

of the implemented process, from not achieving the process purpose through meeting current and

projected business goals.

Data PrivacyProcess / methodology to manage and maintain private data via risk assessments, remediation plans,

monitoring progress, management reporting, responsibilities within the organization, etc.monitoring progress, management reporting, responsibilities within the organization, etc.

Good x Practices (GxP)Quality guidelines to determine whether a product is safe and meets its intended use. Guides quality

manufacturing in regulated industries including food, drugs, medical devices and cosmetics.

Least Privilege

Practice of limiting access to the minimal level that will allow normal functioning. This principle translates

to giving people the lowest level of user rights that they can have and still do their jobs. The principle is

also applied to things other than people, including programs and processes.

Network Tier Segmentation Logical separation of network layers (e.g., web, application, database).

Recovery Point Objective (RPO)Point in time where data must be recovered after a business interruption; for example, the end of

previous day's processing.

Recovery Time Objective (RTO)The period of time in which systems, applications, or functions must be recovered after a business

interruption.

Role Based Access Control

(RBAC)

It is a method of enforcing controlled access to an enterprise’s systems and data based on a person’s

role in the business. It is a way of determining whether every person gets access to only what is needed

by that person to do perform their duties.

Security Incident & Event

Monitoring (SIEM)

Technology that provides real-time monitoring and analysis of security alerts generated by network

hardware and applications.

Project Tear SheetsProject Tear Sheets

Level 4 – IS Quality Program for GxP Compliance

� Establish governance for GxP compliance with policies, standards, work instructions, processes that support agency readiness capabilities and system compliance requirements

� Develop a quantitative GxP compliance assessment to evaluate applicable, regulated systems in Company A’s environment� Develop a vendor compliance assessment to assess Company A’s vendors for GxP compliance� For Company A personnel, determine job description requirements and appropriate training has been performed

Project Objectives

1. Define governance model2. Agency readiness, system / vendor / personnel compliance req’s

defined3. Design approach for IS Quality program (assessment, execution)4. Develop quantitative system compliance and vendor assessments5. Develop system validation / remediation processes6. Execute vendor assessments for GxP compliance7. Assess job descriptions and execute training on required

Project Activities

• Governance model established• Policies and procedures aligned with FDA regulatory requirements• Developed readiness criteria to meet FDA requirements• Program approach designed and communicated – funding obtained• System validation assessment / remediation process defined• Vendor assessment for GxP compliance executed• Personnel trained on job requirements, training is documented• Transferred to business as usual for maintaining compliance

Project Outcomes

� Project Leader � Project Manager � GxP Specialist � Business Analyst

� Business Owners� System Owners� IS Teams

� Compliance / Security

� IS is the overall owner and approver of process and procedures, including computer system validation and computer system maintenance

� Quantitative risk assessment are tailored to current GxP regulations� Company A IS is ultimately responsible for compliance determination� There is alignment between IS and the business on GxP activities

7. Assess job descriptions and execute training on required processes

8. Complete transfer to business as usual process

� Vendors are contractually obligated to meet Company A’s quality and regulatory compliance requirements

� For GxP vendor assessments, there may be linkages to the Third Party Risk Management program that should be coordinated

� Job descriptions for applicable Company A personnel exist and can be leveraged for personnel compliance activities

Dependencies

Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3

• Transferred to business as usual for maintaining compliance

Budget Request

Deliv

era

ble

s

Assumptions

Mile

sto

nes

Project Timeline

� 6 months to establish (Q3 2013); execution duration varies

Resource Cost: ~$425KExecution costs may vary

Resources Key Stakeholders

1

Program Approach Design

23

IS Quality Program In Place

Program Governance

4

67 8

5

Vendor Assessment and Personnel Activities In Execution

Level 4 – System Validation & Remediation

� Establish a recurring process to validate and remediate systems for GxP compliance� Utilize a centralized system registry for systems that manage sensitive, GxP data� Develop risk ranking and system classification guidelines

Project Objectives

1. Identify systems that manage sensitive, GxP data2. Perform compliance analysis to determine regulatory risk rating3. Utilize centralized system registry (database exists)4. Develop and socialize validation / remediation plan based on risk

rating5. Perform validation gap assessment (first on high risk systems)6. Begin remediation efforts for systems to be validated and Part 11

compliant

Project Activities

• Regulated systems identified (e.g., location, business owner)• Systems classified by risk• System registry operational• Validation / remediation plan socialized• Areas of non-compliance identified• Systems remediated to be Part 11 compliant• Transferred to business as usual for ongoing validation / remediation

Project Outcomes

� Project Leader� Project Manager � GxP Specialist � Business Analyst



� Priority of system validation will be based on risk rating� There is alignment between IS and the business on GxP activities

compliant7. Complete transfer to business as usual process

� A structured IS Quality governance model exists� System registry will leverage existing CMDB database� Remediation efforts for systems will not fully be known until validation

gap assessments are completed; also, these assessments cannot be performed until systems have been risk rated

Dependencies

Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3

Budget Request

Deliv

era

ble

s

Assumptions

Mile

sto

nes

Project Timeline

Validation / Remediation Plan

Validation and Remediation In Execution

Risk Rating Model and Registry In Place




2

43

5

1

6 7

Level 4 – Network Tier Segmentation

� Create tiers or separation of layers within Company A’s infrastructure / network (e.g., application tier, database tier)� Enhance security of Company A’s infrastructure / network via tiers to limit exposure of unauthorized users / access

Project Objectives

1. Define infrastructure / network tier strategy and requirements2. Develop migration and production test schedule3. Design target state infrastructure / network4. Execute design of tiered infrastructure / network5. Pilot: Test systems and databases in tiered infrastructure / network6. Complete transition of systems onto tiered infrastructure / network

Project Activities

• Strategy and requirements defined• Migration schedule finalized• Target state infrastructure / network architecture established• Tiered infrastructure / network in place• System and data testing complete and issues remediated• Environment fully tiered

Project Outcomes


� Project Leader � Project Manager� Enterprise Architecture � Systems Analyst � Systems Engineer


� Compliance / Security� Infrastructure� Operations

� Project scope ends after successful pilot and transfer to business as usual

� Ongoing deployment is managed by operations team� Any downtime will be agreed to (alignment between IS and the

business)

� Systems and databases ready for tier activities� Ongoing tuning and maintenance (e.g., firewalls, network

components) required

Dependencies

� 7 months to establish (Q3 2013); migration to tiers varies


Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3

Budget Request

Deliv

era

ble

s

Assumptions

Mile

sto

nes

Project Timeline

1

Tier Strategy and Requirements

3 4

Tier Activities In Execution

56

2

Tier Target State Design

Level 4 – Database Security

� Secure databases by applying required safeguards and measures� Enhance database security review processes to track and remediate vulnerabilities timely or implement mitigating controls when

remediation is not possible� Enhance database security to mitigate the risk of unauthorized access, use, disclosure and modification of data

Project Objectives

1. Develop and socialize security remediation plan2. Identify database security gaps3. Develop approach for legacy databases that cannot be remediated

via updates or patches4. Pilot: Sample set of databases (more current, legacy, size, etc.)5. Execute database security remediation plan and establish ongoing

maintenance

Project Activities

• Database security gaps identified • Remediation plan for database security established• Secure approach for legacy databases developed• Pilots executed and validated• Database security rolled-out and ongoing maintenance in place

Project Outcomes

Resource Cost: ~$325KRollout / maintenance costs varies

� Project Leader� Project Manager � Systems Analyst � DB Security Specialist

� Business Owners� System / Database Owners� IS Teams


� Project scope ends after successful pilot and transfer to business as usual

� Ongoing deployment is managed by operations team� There is alignment between IS and the business on database

security activities

� Databases ready for security activities� Infrastructure / network tier segmentation has been completed and is

in place

Dependencies

� 4 months to establish (Q3 2013); security rollout varies


Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3

Budget Request

Deliv

era

ble

s

Assumptions

Mile

sto

nes

Project Timeline

3

Database Security Remediation Plan

5

Database Security In Execution

12

4

Database Security Gap Analysis

Level 4 – Security Monitoring

� Enhance security monitoring capabilities to provide real-time analysis of security alerts and logs generated by critical networkhardware and applications

� Assess existing vendor and potential new vendors to help enhance security monitoring; select vendor

Project Objectives

1. Define security monitoring strategy and requirements2. Identify and assess security monitoring vendors; select vendor3. Identify and prioritize endpoints where monitoring is required4. Implement security solution and customize (tune) endpoints5. Pilot: Test monitoring, alerts, logs, etc. and validate test results6. Complete transfer to business as usual process

Project Activities

• Strategy and requirements defined • Vendor selected and contractual relationship established• Inventory of required endpoints and risk profiles• Security monitoring solution deployed; configurations and updates

implemented• Events / incident testing complete and issues remediated• Process transferred to security team for ongoing monitoring and

support

Project Outcomes

Resource Cost: ~$375KVendor/ongoing activities not included

� Project Lead� Project Manager� Enterprise Architecture � System Analyst� System Engineer� Security Specialist

� System Owners and Teams� IS Teams


� Security vendor will provide configuration requirements and settings� There is alignment between IS and stakeholders on security

monitoring activities

� Alignment with Parent A on vendor and security monitoring solution� Infrastructure / network tier segmentation has been completed and is

in place� Configuration settings have been applied and “tuned” for critical

network devices

Dependencies

� 11 months to establish (Q1 2014 - transfer to business as usual)


Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3

support

Budget Request

Deliv

era

ble

s

Assumptions

Mile

sto

nes

Project Timeline

1

Strategy and Requirements

2

Security Monitoring Solution Implemented

34

56

Vendor Selected and Security Monitoring Design

Level 4 – Secondary Datacenter

� Implement a secondary data center providing resiliency for critical systems and data� Implement appropriate disaster recovery measures that align with the recovery time objectives (RTOs) and recovery point

objectives (RPOs) of the business� Test and validate end-to-end recovery of critical business processes

Project Objectives

1. Determine disaster recovery (DR) capabilities and requirements2. Select secondary datacenter3. Prioritize systems requiring recovery for business critical

processes4. Develop and enhance end-to-end disaster recovery approach for

recovery of business critical systems5. Build disaster recovery infrastructure

Project Activities

• Disaster recovery capabilities and requirements established• Secondary datacenter selected and contractual relationship

established• Inventory of target systems and prioritization • Alignment of resiliency solution with appropriate businesses through

evaluation of business impacts, interdependencies, RTOs, and RPOs

Project Outcomes

Resource Cost: ~$475KVendor/ongoing activities not included

� Project Lead � Project Manager � Enterprise Architecture � Business Analyst � Systems Analyst



� A formal business continuity model exists� DR vendor will provide support on developing governance model and

processes� There is alignment between IS and business on DR activities

5. Build disaster recovery infrastructure6. Pilot: Recovery of critical business functions7. Establish disaster recovery capabilities for in scope systems

� Business critical system have been identified, prioritized, and agreed upon

� RTOs and RPOs have been established for each critical system and have been approved by the business

Dependencies

� 9 months to establish (Q4 2013 – transfer to business as usual)


Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3

RPOs• Infrastructure in place for timely recovery of critical business

operations• Successful recovery of critical business operations• Disaster recovery capabilities established for in scope systems

Budget Request

Deliv

era

ble

s

Assumptions

Mile

sto

nes

Project Timeline

1

DR Capabilities and Requirements / Datacenter Selected

23

DR Infrastructure Established

456

7

Critical System Inventory and Solution Design

DR Capabilities Established

Level 4 – IS BCP

� Develop and operationalize a business continuity plan for IS� Build capability to resume normal IS operations within appropriate timeframes

Project Objectives

1. Define business continuity requirements for IS2. Design and socialize governance procedures3. Identify recovery approach options by scenario (e.g., unavailability

of primary work area) and time of day (e.g., start of day, end of day)

4. Develop detailed scenario-based IS recovery playbooks based on recovery approach

Project Activities

• IS business continuity requirements defined• Governance documentation published• IS recovery approach developed• Detailed recovery playbooks (e.g., communication protocols,

procedures) published • Recovery approach successfully tested• Transferred to business as usual for business continuity plan

Project Outcomes

Resource Cost: ~$150KMaintenance costs not included

� Project Lead� Project Manager � Business Analyst � Systems Analyst

� System Owners� IS Teams


� There are existing business continuity models to leverage� There is alignment between IS and stakeholders on BCP activities

recovery approach5. Test recovery approach for most likely scenarios6. Complete transfer to business as usual process

� Critical systems and applications for IS recovery have been identified� IS team are ready and able to participate in testing process

Dependencies

� 7 months to establish (Q4 2013 – transfer to business as usual)


Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3

• Transferred to business as usual for business continuity plan maintenance

Budget Request

Deliv

era

ble

s

Assumptions

Mile

sto

nes

Project Timeline

1

IS BCP Requirements

234

56

BCP Approach Tested and Validated

BCP Procedures and Playbook

Level 4 – Data Privacy Requirements

� Rationalize data privacy requirements and formulate approach to manage Company A’s sensitive data� Develop a dynamic system inventory providing details on systems that contain sensitive data

Project Objectives

1. Define data privacy strategy2. Identify data privacy and legal requirements3. Identify data flow for systems that manage sensitive data and

areas where controls should be enhanced4. Identify compliance gaps to privacy and legal requirements5. Develop an enterprise data and asset inventory for sensitive data

instances (e.g., server location, data type, data location)6. Develop and execute approach for data privacy compliance

Project Activities

• Data privacy strategy defined• Data privacy and legal requirements identified• Data flow analysis and privacy controls assessment complete• Data privacy gaps identified• System management inventory established• Approach for data privacy requirements rationalized• Remediation of compliance gaps

Project Outcomes

Budget RequestProject Timeline


� Project Lead� Project Manager� Business Analyst� Data Privacy SME

� Data Privacy� Business Owners� System / Data Owners� IS Teams

� Compliance / Security� Operations

� Legal council attests to privacy regulations and legal obligations� Compliance posture will be reassessed upon changes to privacy or

legal requirements� There is alignment between Data Privacy group, IS and business

stakeholders on data privacy activities

� Information Management and Exploitation (IM&E) data classification has been established

� System inventory with details on privacy compliance will need to be supported by robust technology

Dependencies



Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3

Budget Request

Deliv

era

ble

s

Assumptions

Mile

sto

nes

Project Timeline

2

Data Privacy Strategy

34

56

1


Data Privacy Inventory

Data Privacy Compliance in Execution

Level 4 – Access Certification

� Develop an enterprise-wide approach to review / certify user access privileges and entitlements� Develop an automated tool to assist in the periodic review / certification of user access privileges and entitlements� Integrate with Company A / Parent A access management and review / certification activities

Project Objectives

1. Coordinate with the IAM team to assess access review / certification capabilities

2. Define access review / certification processes and guidelines3. Develop access review / certification approach4. Develop or leverage a solution to automate access review /

certification5. Pilot: Access review / certification solution with sample set of

systems

Project Activities

• Access review / certification capabilities assessed• Access review / certification processes and guidelines published• Access review / certification approach established• Automated review / certification tool developed and piloted• Continued system integration with access review / certification

solution and transfer to business as usual process

Project Outcomes

Resource Cost: ~$325KProduct/ongoing activities not included

� Project Lead � Project Manager � Business Analyst � System Analyst � System Engineer



� Quest system (currently in place) may be leveraged� Integration with overall Parent A/Company A IAM activities

(governance, identity lifecycle management, provisioning, role based access control)

� There is alignment between IS and business on access review / certification activities

systems 6. Continue to integrate systems into access review / certification

solution

� Impact of overall Parent A/Company A IAM strategy to Company A Externalized IAM and Compliance & Risk Management

� Parent A/Company A access review / certification solution

Dependencies

� 9 months to establish (Q1 2014); integration duration varies


Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3

Budget Request

Deliv

era

ble

s

Assumptions

Mile

sto

nes

Project Timeline

1

23

4

5

6Review / Certification Capabilities Assessed

Review / Certification Processes, Guidelines, Approach

Review / Certification Solution Established

Level 4 – Third Party Risk Management Program

� Implement an enterprise-wide third party risk management program� Establish and perform proactive third party risk assessments (based on risk-levels) and confirm third party capabilities meet

security requirements� Develop and maintain an inventory of existing third parties and corresponding risk ratings

Project Objectives

1. Define third party risk management strategy2. Develop third party risk oversight structure with roles &

responsibilities3. Define third party risk lifecycle (evaluate & select, contract & on-

board, manage & monitor, terminate & off-board), risk rating, and assessment processes

4. Build central inventory of third parties with associated risk rating5. Conduct assessments and rollout third party risk management

Project Activities

• Third party risk management strategy defined• Oversight for third party risk management established• Processes for third party risk lifecycle, risk rating, and assessments

defined• Utilization of third party inventory to manage risk• Proactive assessments performed for all third party engagements

and any issues are reviewed and addressed• Transferred to business as usual for ongoing third party risk

Project Outcomes

Resource Cost: ~$200KOngoing costs may vary

� Project Lead � Project Manager � Business Analyst

� Business Owners� System / Data Owners� IS Teams


� IS will have the authority to enforce third party engagements being subject to third party risk management program

� There is alignment between IS and business on third party risk management activities

5. Conduct assessments and rollout third party risk management processes

6. Complete transfer to business as usual process

� For third party assessments, there may be linkages to the GxP vendor assessment activities that should be considered

� Central inventory of third parties may be enabled with technology / tool; if so, inventory would be dependent on the build of this technology / tool

Dependencies

� 6 months to establish (Q4 2013); rollout duration varies


Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3

• Transferred to business as usual for ongoing third party risk management

Budget Request

Deliv

era

ble

s

Assumptions

Mile

sto

nes

Project Timeline

2

Third Party Risk Management Strategy

345

6

1

Third Party Risk Oversight and Processes

Third Party Risk Inventory

Third Party Risk Management Ongoing

ITRM Framework Definitions

ITRM framework definitions

Protection of networks and the supporting infrastructure

Antivirus & MalwarePrevention, timely detection, and removal of malware, including but not limited to computer viruses, computer worms, Trojan horses, spyware and adware.

Intrusion Detection Monitor network and / or system activities for malicious activities or policy violations.


Control access to a company network by integrating with user authentication, validating devices, verifying the device’s compliance with security policy, and remediating devices before permitting access to the network.

Network / Application Firewall

Restrict access to or from a private network to prevent unauthorized access to hosts, services and applications. Detect and block web application attacks based on current threats and exploits.

Infrastructure Security

Proxy / Content Filtering

Implement content-filtering web proxy server for administrative control over the content that may be relayed through network egress points.

Remote Access Implement controls and mechanisms to restrict access to authorized users from remote locations.

Security MonitoringMonitor security events and information from a wide variety of sources, including third-party devices and hosts.


Implement information security controls to protect sensitive data traveling over private networks or the Internet, whether wired or wireless.

Wireless Security Prevent unauthorized access or damage to wireless networks and systems accessed from them.

Database SecurityImplement information security controls to protect databases and stored data against compromises of their confidentiality, integrity and availability.

ITRM framework definitions (continued)

Prevent unauthorized physical access, damage, and interference to the organization’s premises and information


Defining secure areas to be protected by appropriate controls allowing access only to authorized personnel.

External & Environmental

Threats

Protection against damage from fire, flood, earthquake, explosion, civil unrest, and other forms of natural or man-made disaster.


Defining and maintaining appropriate contacts with relevant authorities to contact during emergencies.


Policies and procedures to prevent unauthorized disclosure, modification, removal or destruction of assets.

Physical & Environmental Security

Handling

Equipment Security Implement appropriate physical controls to protect infrastructure from theft, damage and compromise.


Discovering, defining and managing threats and vulnerabilities within information systems and the computing infrastructure

Brand MonitoringAnalysis of Internet sites to determine if the company’s brand is being improperly represented or used for fraudulent purposes.


Gathering, retaining, analyzing and preserving the integrity of computer and network related data to support investigations for a variety of reasons such as fraud, computer crime or theft of intellectual property.


Implement and maintain secure configurations on operating systems including the removal of non-essential software, restricting file access permissions, securely configuring services and disabling or restricting system level accounts.

Patch ManagementAcquiring, testing, and installation of system changes to address software flaws, including the removal or mitigation of security vulnerabilities.

Cyber Threat Management

mitigation of security vulnerabilities.

Penetration TestingEvaluating the security of a computer system or network by simulating an attack from malicious outsiders (who do not have an authorized means of accessing the organization's systems) and insiders (who have some level of authorized access).

Threat IntelligenceImplement processes and mechanisms to mine internal log information and correlate with external intelligence to facilitate improved risk response and make informed decisions related to security measures.

Threat ModelingAnalysis of threats against the organization’s valuable assets to identify weaknesses and opportunities to improve the security and prevent damage.


Identifying, quantifying, prioritizing, tracking and remediating the vulnerabilities in a system , reducing the risks resulting from exploitation of published technical vulnerabilities.


Access to information, information processing facilities, and business processes controlled on the basis of business and security requirements

FederationEnables access to internal systems for business partners and vendors without creating their identities (based on virtual trust model).

Access GovernanceInvolves creation of Enterprise roles, processes to manage the role lifecycle, access re-certifications & remediation and Segregation of Duties polices & other business rules.

Access Reporting / Audit

Provides Integrated Reporting around current user access (who has access to what) and centralized audit (approvals, key user operations).


Provides the ability to connect and integrate with end systems to complement Account Management, Access Management, Privilege Management, Password Management and Federation.



Complements User Account Management with Privileged Account Management by streamlining request, assignment and revocation of passwords.

Access ManagementManagement of fine-grain authorization for targets via centralized policy store, with policy administration, decision, information and enforcement.


Provisioning/de-provisioning, involves management of user identities across systems (user-id) and coarse grain privileges and including password self-service.


Integrate security as a critical component into organizations software development, integration, and maintenance processes

Security / Risk Requirements

Define explicit system security / risk requirements including functional, technical and user access requirements.

Security Design / Architecture

Defining security related aspects of the technical, operations and application architecture including such areas as user authentication, authorization, data segregation, data protection, logging and monitoring, secure interfaces between components and user provisioning mechanisms.

Application Role Design / Access

Privileges

Design access privileges and associated templates to enable access to specific application functions and data, restricting access to those individuals who are permitted while enforcing appropriate segregation of duties.

Secure Coding Establish and implement guidelines for secure application coding to reduce the potential of vulnerabilities

Secure Development Lifecycle


Establish and implement guidelines for secure application coding to reduce the potential of vulnerabilities resulting from coding errors.

Secure BuildConstruct applications and supporting infrastructure leveraging the security / risk requirements as well as industry demonstrated security practices; Configure access privileges and provision access to enable users to perform required business functions.

Security TestingTest system against security requirements including 1) proper functioning of user access rights to enable users to perform required business functions while appropriately restricting access to data and 2) identification and mitigation of system security vulnerabilities.

Roll-out & Go-liveReleasing the new application / system in the production environment after completing stages of the secure system development lifecycle, including support and resolution of system access issues.


Coordination, implementation, administration of user access privileges including maintenance of and enhancements to user access profiles and provisioning of user access.


Helps organizations identify and manage risks and opportunities associated with information management and data protection

Data Retention &

Destruction

Storing data for backup and historical purposes, and enabling retired devices and media to have their contents securely removed, destroyed, or overwritten.

Data Loss PreventionIdentify, monitor, and protect data in use, data in motion and data at rest through content inspection and contextual security analysis within a centralized management framework.

Data Encryption &

Obfuscation

Convert data from an understandable form to a non-understandable form to reduce the potential of access by unauthorized users.

Breach Notification &

Management

Provide notification of a data or privacy breach to affected individuals, regulatory authorities, covered entities and media.

Data Protection

Management

Data Lifecycle AnalysisPrioritize business processes and document the flow of sensitive data through those business processes while identifying protection and usage controls (lifecycle includes data collection / creation, storage, use, transfer and destruction).

Data Classification &

InventoryInformation is classified in terms of its value, legal requirements, sensitivity, and criticality to the organization.


To maintain the security of the organization’s information and information processing facilities that are accessed or managed by external parties


Regularly assess the risks to the organization’s information and information processing facilities accessible or managed by third parties.

Third Party Governance

Define third-party agreements and contracts to enable access, process, or manage the third-party organization’s information or information processing facilities meet requirements.


(Regulatory, SLA)

Regularly assess third parties to determine compliance with organizational security policies and meet predefined SLA’s.


Develop procedures to manage and remediate information security risks posed by third parties and exceptions to organizational security policies.


Exception exceptions to organizational security policies.


Define third-party agreements related to incident response in event of a security breach or restoration of services in event of an outage.


Business-owned, business-driven process that establishes a fit-for-purpose strategic and operational framework that proactively improves an organization’s resilience against the disruption of its ability to achieve its key objectives

Escalation andCrisis Management

An escalation process is used to escalate problems and issues – to determine if a disaster should be “declared”. A declaration will be performed by an executive crisis management team. This declaration will be performed based on predefined criteria and procedures.

MaintenanceThe strategies and plans should be dynamic and updated regularly to remain current with system enhancements and changing business requirements. This recovery maintenance should be integrated into the change management system and process.


Testing the strategy and plans identifies gaps within the recovery strategy and plans. It enables organizations to recover within the agreed upon recovery objectives. It provides a metric that will be integrated into the governance program. It also serves to train individuals within the organization.

Enterprise Resilience

Exercisingintegrated into the governance program. It also serves to train individuals within the organization.


The recovery plans and procedures should contain detailed guidance and procedures for restoring a data center, system, network or application. The procedures should be integrated with the problem management or business continuity plan development system.

Recovery StrategiesRecovery strategies should be developed for data centers, computer rooms and applications. The recovery strategy should enable the applications and systems to be recovered within the recovery objectives that were agreed upon with the business functions and risk steering committee.


The BIA helps to identify and prioritize critical IT systems and components. The BIA should be aligned with the business processes and their Maximum Tolerable Downtime (MTD). The primary objective from the BIA is to derive a Recovery Point Objective (RPO) and a Recovery Time Objective (RTO).

Data BackupA foundational element is that production data and storage should have frequent, scheduled backups, taken offsite. For highly critical data that storage should be mirrored or replicated to a secondary location. The data backup solution must align with the RPO.


Services that address an organization’s business security requirements and supporting strategies and architectures for establishing an enterprise level security and risk management program


Relevant statutory, regulatory, and contractual requirements and the organization’s approach to meet these requirements are explicitly defined, documented, and kept up to date.


Rationalized requirements and controls integrated from multiple industry standards, frameworks and policies.


Risk assessments to identify, quantify, and prioritize risks against criteria for risk acceptance and objectives relevant to the organization.


Management of guiding principles used to set direction in an organization.



Steps that management takes to track, manage and remove the causes of an existing non-conformity or risks.


Practice of investigating, resolving and handling exception occurrences.


To provide a management system, including policies and a framework to enable the effective management and implementation of IT services

Asset Management Define a broad asset inventory and assign appropriate owners.


Define Service Level Agreements (SLA) to respond to service requests. Define processes to summarize the appropriate level of validation and testing is performed before making any changes in the production environment.

Release ManagementDefine processes to effectively manage software releases or any other changes in the production environment.


Define processes to review and manage changes to configurations and systems consistently with the appropriate level of validation and approvals.

IT Operations

Capacity Management

Define processes to enable IT capacity to meet current and future business requirements effectively.

Incident & Problem Management

Define processes to restore business as soon as possible or to respond to service requests.

To be Continue….

Thank you !Thank you !

Documents

Xay dung he thong an ninh thong tin cho doanh nghiep nghiem sy thang