A Hospital Surveyor's Guide to Cybersecurity (December 19, 2020)
âĒ
1 gostouâĒ169 visualizaçÃĩes
Presented at the Surveyor Workshop, The Healthcare Accreditation Institute (Public Organization), Nonthaburi, Thailand on December 19, 2020
Recomendados
Recomendados
Mais conteÚdo relacionado
Mais procurados
Mais procurados (20)
Semelhante a A Hospital Surveyor's Guide to Cybersecurity (December 19, 2020)
Semelhante a A Hospital Surveyor's Guide to Cybersecurity (December 19, 2020) (16)
Mais de Nawanan Theera-Ampornpunt
Mais de Nawanan Theera-Ampornpunt (20)
A Hospital Surveyor's Guide to Cybersecurity (December 19, 2020)
- 1. āđāļĒāļĩāđāļĒāļĄāļŠāļģāļĢāļ§āļāļāļĒāđāļģāļāđāļĢ āļāļąāļāļāļĢāļ°āđāļāđāļ Cybersecurity SlideShare.net/Nawanan āļāļ.āļāļ§āļāļĢāļĢāļ āļāļĩāļĢāļ°āļāļąāļĄāļāļĢāļāļąāļāļāļļāđ 19 āļāļąāļāļ§āļēāļāļĄ 2563
- 2. Overview of IT Security & Privacy
- 3. Malware Threats to Information Security
- 4. Recycled Papers & Privacy
- 5. National Healthcareâs Worst Nightmare https://www.straitstimes.com/singapore/personal-info-of-15m-singhealth- patients-including-pm-lee-stolen-in-singapores-most
- 6. Ransomware Attack in Thai Hospitals https://www.facebook.com/SaraburiHospital/photos/a.255929423747 8100/4366815263392646/
- 7. Sources of the Threats ⊠Hackers ⊠Viruses & Malware ⊠Poorly-designed systems ⊠Insiders (Employees) ⊠Peopleâs ignorance & lack of knowledge ⊠Disasters & other incidents affecting information systems
- 9. Confidentiality âĒ āļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĨāļąāļāļāļāļāļāđāļāļĄāļđāļĨ Integrity âĒ āļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĢāļāļāđāļ§āļāđāļĨāļ°āļāļ§āļēāļĄ āļāļđāļāļāđāļāļāļāļāļāļāđāļāļĄāļđāļĨ âĒ āļāļĢāļēāļĻāļāļēāļāļāļēāļĢāđāļāļĨāļĩāđāļĒāļāđāļāļĨāļāđāļāđāđāļ āļāļē āđāļŦāđāļŠāļđāļāļŦāļēāļĒ āļāļēāđāļŦāđāđāļŠāļĩāļĒāļŦāļēāļĒ āļŦāļĢāļ·āļāļāļđāļ āļāļēāļĨāļēāļĒāđāļāļĒāļĄāļīāļāļāļ Availability âĒ āļāļēāļĢāļĢāļąāļāļĐāļēāļŠāļ āļēāļāļāļĢāđāļāļĄāđāļāđāļāļēāļ āļŦāļĨāļąāļāļāļēāļĢāļāļāļ Information Security
- 11. Personnel Safety Goals: SIMPLE
- 12. S: Security and Privacy of Information and Social Media S 1 Security and Privacy of Information S 2 Social Media and Communication Professionalism Personnel Safety Goals: S in SIMPLE
- 13. āđāļāļ§āļāļģāļāļāļģāļĢāļāļļāđāļĄāļāļĢāļāļ Privacy âĒ Informed consent âĒ Privacy culture âĒ User awareness building & education âĒ Organizational policy & regulations ⊠Enforcement ⊠Ongoing privacy & security assessments, monitoring, and protection
- 14. Alice Simplified Attack Scenarios Server Bob Eve/Mallory 1. âāļāđāļāļāļēāļ & āļāļĨāļēāļĒāļāļēāļâ (Users) 2. âāļĢāļ°āļŦāļ§āđāļēāļāļāļēāļâ (Network) 3. âāļāļĨāļēāļāļŦāļąāļ§āđāļâ (Servers)
- 15. Alice Simplified Attack Scenarios Server Bob - Physical access to client computer - Electronic access (password) - Tricking user into doing something (malware, phishing & social engineering) Eve/Mallory
- 16. Alice Simplified Attack Scenarios Server Bob - Intercepting (eavesdropping or âsniffingâ) data in transit - Modifying data (âMan-in-the-middleâ attacks) - âReplayâ attacks Eve/Mallory
- 17. Alice Simplified Attack Scenarios Server Bob - Unauthorized access to servers through - Physical means - User accounts & privileges - Attacks through software vulnerabilities - Attacks using protocol weaknesses - DoS / DDoS attacks Eve/Mallory
- 18. Alice Safeguarding Against Attacks Server Bob Administrative Security - Security & privacy policy - Governance of security risk management & response - Uniform enforcement of policy & monitoring - Disaster recovery planning (DRP) & Business continuity planning/management (BCP/BCM) - Legal obligations, requirements & disclaimers
- 19. Alice Safeguarding Against Attacks Server Bob Physical Security - Protecting physical access of clients & servers - Locks & chains, locked rooms, security cameras - Mobile device security - Secure storage & secure disposition of storage devices
- 20. Alice Safeguarding Against Attacks Server Bob User Security - User account management - Strong p/w policy (length, complexity, expiry, no meaning) - Principle of Least Privilege - âClear desk, clear screen policyâ - Audit trails - Education, awareness building & policy enforcement - Alerts & education about phishing & social engineering
- 21. Alice Safeguarding Against Attacks Server Bob System Security - Antivirus, antispyware, personal firewall, intrusion detection/prevention system (IDS/IPS), log files, monitoring - Updates, patches, fixes of operating system vulnerabilities & application vulnerabilities - Redundancy (avoid âSingle Point of Failureâ) - Honeypots
- 22. Alice Safeguarding Against Attacks Server Bob Software Security - Software (clients & servers) that is secure by design - Software testing against failures, bugs, invalid inputs, performance issues & attacks - Updates to patch vulnerabilities
- 23. Alice Safeguarding Against Attacks Server Bob Network Security - Access control (physical & electronic) to network devices - Use of secure network protocols if possible - Data encryption during transit if possible - Bandwidth monitoring & control
- 24. Alice Safeguarding Against Attacks Server Bob Database Security - Access control to databases & storage devices - Encryption of data stored in databases if necessary - Secure destruction of data after use - Access control to queries/reports - Security features of database management systems (DBMS) - Data backups (online vs. offline)
- 25. āļĄāļēāļāļĢāļāļēāļ Security āļāļēāļĄāļ§āļīāļāļĩāļāļēāļĢāđāļāļāļāļĨāļāļāļ āļąāļĒ āđāļāđāļĨāļ°āļĢāļ°āļāļąāļ āļŦāļĄāļ§āļ (Domain) āļĢāļ°āļāļąāļāļāļ·āđāļāļāļēāļ āļĢāļ°āļāļąāļāļāļĨāļēāļ (āđāļāļīāđāļĄāđāļāļīāļĄāļāļēāļāļĢāļ°āļāļąāļāļāļ·āđāļāļāļēāļ) āļĢāļ°āļāļąāļāļŠāļđāļ (āđāļāļīāđāļĄāđāļāļīāļĄāļāļēāļāļĢāļ°āļāļąāļāļāļĨāļēāļ) Security policy 1 āļāđāļ 1 āļāđāļ - Organization of information security 5 āļāđāļ 3 āļāđāļ 3 āļāđāļ Asset management 1 āļāđāļ 4 āļāđāļ - Human resources security 6 āļāđāļ 1 āļāđāļ 2 āļāđāļ Physical and environmental security 5 āļāđāļ 2 āļāđāļ 6 āļāđāļ Communications & operations management 18 āļāđāļ 5 āļāđāļ 9 āļāđāļ Access control 9 āļāđāļ 8 āļāđāļ 8 āļāđāļ Information systems acquisition, development and maintenance 2 āļāđāļ 6 āļāđāļ 8 āļāđāļ Information security incident management 1 āļāđāļ - 3 āļāđāļ Business continuity management 1 āļāđāļ 3 āļāđāļ 1 āļāđāļ Regulatory compliance 3 āļāđāļ 5 āļāđāļ 2 āļāđāļ āļĢāļ§āļĄ 52 āļāđāļ 38 āļāđāļ (āļĢāļ§āļĄ 90 āļāđāļ) 42 āļāđāļ (āļĢāļ§āļĄ 132 āļāđāļ)
- 26. āđāļĒāļĩāđāļĒāļĄāļŠāļēāļĢāļ§āļāļāļĒāđāļēāļāđāļĢ āļāļąāļāļāļĢāļ°āđāļāđāļ Cybersecurity āļāļģāļāļģ #1: Multiple Domains of Security (âDefense in Depthâ)
- 27. User Security
- 28. ⊠Access control ⊠Selective restriction of access to the system ⊠Role-based access control ⊠Access control based on the personâs role (rather than identity) ⊠Audit trails ⊠Logs/records that provide evidence of sequence of activities User Security
- 29. ⊠Identification ⊠Identifying who you are ⊠Usually done by user IDs or some other unique codes ⊠Authentication ⊠Confirming that you truly are who you identify ⊠Usually done by keys, PIN, passwords or biometrics ⊠Authorization ⊠Specifying/verifying how much you have access ⊠Determined based on system ownerâs policy & system configurations ⊠âPrinciple of Least Privilegeâ User Security
- 30. ⊠Multiple-Factor Authentication ⊠Two-Factor Authentication ⊠Use of multiple means (âfactorsâ) for authentication ⊠Types of Authentication Factors ⊠Something you know ⊠Password, PIN, etc. ⊠Something you have ⊠Keys, cards, tokens, devices (e.g. mobile phones) ⊠Something you are ⊠Biometrics User Security
- 31. Need for Strong Password Policy So, two informaticians walk into a bar... The bouncer says, "What's the password." One says, "Password?" The bouncer lets them in. Credits: @RossMartin & AMIA (2012)
- 32. Written Password
- 33. Recommended Password Policy ⊠Length ⊠8 characters or more (to slow down brute-force attacks) ⊠Complexity (to slow down brute-force attacks) ⊠Consists of 3 of 4 categories of characters ⊠Uppercase letters ⊠Lowercase letters ⊠Numbers ⊠Symbols (except symbols that have special uses by the system or that can be used to hack system, e.g. SQL Injection) ⊠No meaning (âDictionary Attacksâ) ⊠Not simple patterns (12345678, 11111111) (to slow down brute- force attacks & prevent dictionary attacks) ⊠Not easy to guess (birthday, family names, etc.) (to prevent unknown & known persons from guessing)Personal opinion. No legal responsibility assumed.
- 34. Recommended Password Policy ⊠Expiration (to make brute-force attacks not possible) ⊠6-8 months ⊠Decreasing over time because of increasing computerâs speed ⊠But be careful! Too short duration will force users to write passwords down ⊠Secure password storage in database or system (encrypted or store only password hashes) ⊠Secure password confirmation ⊠Secure âforget passwordâ policy ⊠Different password for each account. Create variations to help remember. If not possible, have different sets of accounts for differing security needs (e.g., bank accounts vs. social media sites) Personal opinion. No legal responsibility assumed.
- 35. Clear Desk, Clear Screen Policy http://pixabay.com/en/post-it-sticky-note-note-corner-148282/
- 36. Techniques to Remember Passwords ⊠http://www.wikihow.com/Create-a-Password-You-Can- Remember ⊠Note that some of the techniques are less secure! ⊠One easy & secure way: password mnemonic ⊠Think of a full sentence that you can remember ⊠Ideally the sentence should have 8 or more words, with numbers and symbols ⊠Use first character of each word as password ⊠Sentence: I love reading all 7 Harry Potter books! ⊠Password: Ilra7HPb! ⊠Voila! Personal opinion. No legal responsibility assumed.
- 37. Phishing Real phishing e-mail received by Speaker
- 38. ⊠Donât be too trusting of people ⊠Always be suspicious & alert ⊠An e-mail with your friendâs name & info doesnât have to come from him/her ⊠Look for signs of phishing attacks ⊠Donât open attachments unless you expect them ⊠Scan for viruses before opening attachments ⊠Donât click links in e-mail. Directly type in browser using known & trusted URLs ⊠Especially cautioned if ask for passwords, bank accounts, credit card numbers, social security numbers, etc. Ways to Protect against Phishing
- 39. Malware
- 40. ⊠Malicious software - Any code with intentional, undesirable side effects ⊠Virus ⊠Worm ⊠Trojan ⊠Spyware ⊠Logic Bomb/Time Bomb ⊠Backdoor/Trapdoor ⊠Rootkit ⊠Botnet Malware
- 41. ⊠Virus ⊠Propagating malware that requires user action to propagate ⊠Infects executable files, data files with executable contents (e.g. Macro), boot sectors ⊠Worm ⊠Self-propagating malware ⊠Trojan ⊠A legitimate program with additional, hidden functionality Malware
- 42. ⊠Spyware ⊠Trojan that spies for & steals personal information ⊠Logic Bomb/Time Bomb ⊠Malware that triggers under certain conditions ⊠Backdoor/Trapdoor ⊠A hole left behind by malware for future access Malware
- 43. ⊠Rogue Antispyware ⊠Software that tricks or forces users to pay before fixing (real or hoax) spyware detected ⊠Rootkit ⊠A stealth program designed to hide existence of certain processes or programs from detection ⊠Botnet ⊠A collection of Internet-connected computers that have been compromised (bots) which controller of the botnet can use to do something (e.g. do DDoS attacks) Malware
- 44. ⊠Installed & updated antivirus, antispyware, & personal firewall ⊠Check for known signatures ⊠Check for improper file changes (integrity failures) ⊠Check for generic patterns of malware (for unknown malware): âHeuristics scanâ ⊠Firewall: Block certain network traffic in and out ⊠Sandboxing ⊠Network monitoring & containment ⊠User education ⊠Software patches, more secure protocols Defense Against Malware
- 45. Ransomware āļĢāļ°āļāļģāļāđāļ Healthcare Top: http://www.healthcareitnews.com/news/more-half-hospitals-hit-ransomware-last-12-months Bottom: http://www.mirror.co.uk/news/uk-news/ransomware-nhs-cyber-attack-live-10409420
- 47. Cybersecurity & Patient Safety Cybersecurity & Medical Devices
- 49. ⊠Most common reason for security bugs is invalid programming assumptions that attackers will look for ⊠Weak input checking ⊠Buffer overflow ⊠Integer overflow ⊠Race condition (Time of Check / Time of Use vulnerabilities) ⊠Running programs in new environments Software Security Adapted from Nicholas Hopperâs teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271
- 50. ⊠Defense in Depth ⊠Multiple layers of security defense are placed throughout a system to provide redundancy in the event a security control fails ⊠Secure the weakest link ⊠Promote privacy ⊠Trust no one Secure Software Design Principles Saltzer & Schroeder (1975), Viega & McGraw (2000) Adapted from Nicholas Hopperâs teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271 http://en.wikipedia.org/wiki/Defense_in_depth_(computing)
- 51. ⊠Modular design ⊠Check error conditions on return values ⊠Validate inputs (whitelist vs. blacklist) ⊠Avoid infinite loops, memory leaks ⊠Check for integer overflows ⊠Language/library choices ⊠Development processes Secure Software Best Practices Adapted from Nicholas Hopperâs teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271
- 52. U.S. National Institute of Standards and Technology (NIST) Cybersecurity Framework
- 53. āđāļĒāļĩāđāļĒāļĄāļŠāļēāļĢāļ§āļāļāļĒāđāļēāļāđāļĢ āļāļąāļāļāļĢāļ°āđāļāđāļ Cybersecurity āļāļģāļāļģ #2: Not Just Protect, But Also Detect, Respond & Recover (NIST Cybersecurity Framework)
- 54. Technology ProcessPeople Balanced IT Security Management
- 55. āđāļĒāļĩāđāļĒāļĄāļŠāļēāļĢāļ§āļāļāļĒāđāļēāļāđāļĢ āļāļąāļāļāļĢāļ°āđāļāđāļ Cybersecurity āļāļģāļāļģ #3: Balancing People, Process & Technology
- 56. Cybersecurity Act & Personal Data Protection Act (PDPA) Critical Information Infrastructure (CII) Data Controllers & Data Processors
- 57. Social Media (āđāļāđāļ LINE Application) āļāļąāļ Patient Care āļāļĢāļ°āđāļāđāļāļāļĩāđāđāļāļĩāļĒāļāļāļąāļāđāļĄāđāļĢāļđāđāļāļ
- 58. āđāļĒāļĩāđāļĒāļĄāļŠāļēāļĢāļ§āļāļāļĒāđāļēāļāđāļĢ āļāļąāļāļāļĢāļ°āđāļāđāļ Cybersecurity āļāļģāļāļģ #4: Risk-Based Approach
- 60. 1.2 āļĄāļĩāļāđāļĒāļāļēāļĒāđāļĨāļ°āđāļāļ§āļāļēāļāļāļāļīāļāļąāļāļīāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļ āđāļĢāļāļāļĒāļēāļāļēāļĨ âĒ āļĄāļĩāļāļēāļĢāļāļēāļŦāļāļāļāđāļĒāļāļēāļĒ āđāļĨāļ°āđāļāļ§āļāļēāļāļāļāļīāļāļąāļāļīāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļĩāđ āļāļąāļāđāļāļ āļāļĢāļāļāļāļĨāļļāļĄāļāđāļĒāļāļēāļĒāļāđāļēāļāļāļ§āļēāļĄāļāļĢāļāļāđāļ§āļāļāļđāļāļāđāļāļāļāļāļāļāđāļāļĄāļđāļĨ āļāļ§āļēāļĄ āļāļĨāļāļāļ āļąāļĒāļāļāļāļĢāļ°āļāļ āļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĨāļąāļāļāļāļāļāļđāđāļāđāļ§āļĒ āļāļēāļĢāđāļāđāļāļŠāļēāļĢāļŠāļāđāļāļĻ āļāđāļēāļāđ āļĢāļ°āļĒāļ°āđāļ§āļĨāļēāđāļāļāļēāļĢāđāļāđāļāļāđāļāļĄāļđāļĨāļāļđāđāļāđāļ§āļĒ āļāđāļāļĄāļđāļĨāļāļīāļāđāļĨāļ°āļŠāļēāļĢāļŠāļāđāļāļĻ āļāļēāļĢ āļāļēāļĨāļēāļĒāļāđāļāļĄāļđāļĨāļāļīāļāđāļĨāļ°āļŠāļēāļĢāļŠāļāđāļāļĻāļāđāļ§āļĒāļāļ§āļēāļĄāđāļŦāļĄāļēāļ°āļŠāļĄ āđāļĨāļ°āļāđāļĒāļāļēāļĒāļāļēāļāļąāļ āļāļđāđāļĨ āļāļīāļāļāļēāļĄāļāļēāļĢāļāļēāđāļāļīāļāļāļēāļāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ âĒ āļĄāļĩāļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢāļāđāļĒāļāļēāļĒāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļāđāļĢāļāļāļĒāļēāļāļēāļĨāđāļŦāđ āļāļđāđāđāļāļĩāđāļĒāļ§āļāđāļāļāļĢāļąāļāļāļĢāļēāļāđāļĨāļ°āļāļēāđāļāļīāļāļāļēāļĢāđāļāđāļāļ§āđāļāļĩāļĒāļ§āļāļąāļ TMI HITQIF v1.1: Structure & Role
- 61. 1.2 āļĄāļĩāļāđāļĒāļāļēāļĒāđāļĨāļ°āđāļāļ§āļāļēāļāļāļāļīāļāļąāļāļīāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļ āđāļĢāļāļāļĒāļēāļāļēāļĨ âĒ āļĢāļ°āļāļąāļ 0 āļĒāļąāļāđāļĄāđāļĄāļĩāļāđāļĒāļāļēāļĒāđāļĨāļ°āđāļāļ§āļāļēāļāļāļāļīāļāļąāļāļīāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ āļāļāļāđāļĢāļāļāļĒāļēāļāļēāļĨ âĒ āļĢāļ°āļāļąāļ 1 āļĄāļĩāļāđāļĒāļāļēāļĒāđāļĨāļ°āđāļāļ§āļāļēāļāļāļāļīāļāļąāļāļīāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļ āđāļĢāļāļāļĒāļēāļāļēāļĨ āđāļāđāđāļĄāđāļāļĢāļāļāļļāļāļāđāļēāļāļāļĩāđāļŠāļēāļāļąāļ (1. āļāļ§āļēāļĄāļāļĢāļāļāđāļ§āļāļāļđāļāļāđāļāļāļāļāļ āļāđāļāļĄāļđāļĨ 2. āļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļĢāļ°āļāļ 3. āļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĨāļąāļāļāļđāđāļāđāļ§āļĒ 4. āļāļēāļĢ āđāļāđāļāļŠāļēāļĢāļŠāļāđāļāļĻ āļĢāļ°āļĒāļ°āđāļ§āļĨāļēāđāļāļāļēāļĢāđāļāđāļāļāđāļāļĄāļđāļĨ āļāļēāļĢāļāļēāļĨāļēāļĒāļāđāļāļĄāļđāļĨ 5. āļāļēāļĢ āļāļēāļāļąāļāļāļđāđāļĨ āļāļīāļāļāļēāļĄāļāļēāļĢāļāļēāđāļāļīāļāļāļēāļāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ) TMI HITQIF v1.1: Structure & Role
- 62. 1.2 āļĄāļĩāļāđāļĒāļāļēāļĒāđāļĨāļ°āđāļāļ§āļāļēāļāļāļāļīāļāļąāļāļīāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļ āđāļĢāļāļāļĒāļēāļāļēāļĨ âĒ āļĢāļ°āļāļąāļ 2 āļĄāļĩāļāđāļĒāļāļēāļĒāđāļĨāļ°āđāļāļ§āļāļēāļāļāļāļīāļāļąāļāļīāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļ āđāļĢāļāļāļĒāļēāļāļēāļĨ āļāļĢāļāļāļļāļāļāđāļēāļāļāļĩāđāļŠāļēāļāļąāļ âĒ āļĢāļ°āļāļąāļ 3 āļĄāļĩāļāđāļĒāļāļēāļĒāđāļĨāļ°āđāļāļ§āļāļēāļāļāļāļīāļāļąāļāļīāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļ āđāļĢāļāļāļĒāļēāļāļēāļĨ āļāļĢāļāļāļļāļāļāđāļēāļāļāļĩāđāļŠāļēāļāļąāļ āđāļāđāđāļĄāđāļĄāļĩāļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢāđāļŦāđāļāļđāđāđāļāļĩāđāļĒāļ§āļāđāļāļ āļĢāļąāļāļāļĢāļēāļ āđāļĨāļ°āļāļēāđāļāļīāļāļāļēāļĢāđāļāļ§āđāļāļĩāļĒāļ§āļāļąāļ âĒ āļĢāļ°āļāļąāļ 4 āļĄāļĩāļāđāļĒāļāļēāļĒāđāļĨāļ°āđāļāļ§āļāļēāļāļāļāļīāļāļąāļāļīāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļ āđāļĢāļāļāļĒāļēāļāļēāļĨ āļāļĢāļāļāļļāļāļāđāļēāļāļāļĩāđāļŠāļēāļāļąāļ āļĄāļĩāļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢāđāļŦāđāļāļđāđāđāļāļĩāđāļĒāļ§āļāđāļāļāļĢāļąāļāļāļĢāļēāļ āđāļĨāļ°āļāļēāđāļāļīāļāļāļēāļĢāđāļāļ§āđāļāļĩāļĒāļ§āļāļąāļ TMI HITQIF v1.1: Structure & Role
- 63. âPolicy & Guidelines/Work Instructions on o Data completeness & integrity o System security o Patient information privacy & confidentiality protections o Secure data storage, retention & destruction o Monitoring, evaluation & enforcement âCommunication of Policy & Guidelines IT Security & Privacy Policy Checklist
- 65. ⊠Project failures ⊠Waste investments ⊠Security breaches ⊠System crashes ⊠Failures by service providers to understand and meet customer requirements ⊠System errors or bugs Examples of IT Risks
- 66. 1.3 āļĄāļĩāļāđāļĒāļāļēāļĒāđāļĨāļ°āđāļāļ§āļāļēāļāļāļāļīāļāļąāļāļīāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļ āđāļĢāļāļāļĒāļēāļāļēāļĨ āļĄāļĩāļāļēāļĢāļāļēāļŦāļāļāļāđāļĒāļāļēāļĒ āđāļĨāļ°āđāļāļ§āļāļēāļāļāļāļīāļāļąāļāļīāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļĩāđ āļāļąāļāđāļāļ āļāļĢāļāļāļāļĨāļļāļĄāļāđāļĒāļāļēāļĒāļāđāļēāļāļāļ§āļēāļĄāļāļĢāļāļāđāļ§āļāļāļđāļāļāđāļāļāļāļāļāļāđāļāļĄāļđāļĨ āļāļ§āļēāļĄ āļāļĨāļāļāļ āļąāļĒāļāļāļāļĢāļ°āļāļ āļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĨāļąāļāļāļāļāļāļđāđāļāđāļ§āļĒ āļāļēāļĢāđāļāđāļāļŠāļēāļĢāļŠāļāđāļāļĻāļāđāļēāļāđ āļĢāļ°āļĒāļ°āđāļ§āļĨāļēāđāļāļāļēāļĢāđāļāđāļāļāđāļāļĄāļđāļĨāļāļđāđāļāđāļ§āļĒ āļāđāļāļĄāļđāļĨāļāļīāļāđāļĨāļ°āļŠāļēāļĢāļŠāļāđāļāļĻ āļāļēāļĢāļāļēāļĨāļēāļĒ āļāđāļāļĄāļđāļĨāļāļīāļāđāļĨāļ°āļŠāļēāļĢāļŠāļāđāļāļĻāļāđāļ§āļĒāļāļ§āļēāļĄāđāļŦāļĄāļēāļ°āļŠāļĄ āđāļĨāļ°āļāđāļĒāļāļēāļĒāļāļēāļāļąāļāļāļđāđāļĨ āļāļīāļāļāļēāļĄāļāļēāļĢāļāļēāđāļāļīāļāļāļēāļāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ āļĄāļĩāļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢāļāđāļĒāļāļēāļĒāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļāđāļĢāļāļāļĒāļēāļāļēāļĨāđāļŦāđ āļāļđāđāđāļāļĩāđāļĒāļ§āļāđāļāļāļĢāļąāļāļāļĢāļēāļāđāļĨāļ°āļāļēāđāļāļīāļāļāļēāļĢāđāļāđāļāļ§āđāļāļĩāļĒāļ§āļāļąāļ TMI HITQIF v1.2: Structure and Role
- 67. 1.5 āļĄāļĩāļāļēāļĢāļāļēāļŦāļāļāļĄāļēāļāļĢāļāđāļēāļāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāđāļēāļāđāļāļĩāđāļāļēāđāļāđāļ āļŠāļāļāļāļĨāđāļāļāļāļąāļāļĄāļēāļāļĢāļāļēāļāļāļāļāļāļĢāļ°āđāļāļĻāļŦāļĢāļ·āļāļĄāļēāļāļĢāļāļēāļāļŠāļēāļāļĨ āđāļāđāđāļāđ āļĄāļēāļāļĢāļāļēāļāļāđāļāļĄāļđāļĨ āļĄāļēāļāļĢāļāļēāļāļĢāļŦāļąāļŠāļāđāļāļĄāļđāļĨ (āļāļķāđāļāļĢāļ§āļĄāļāļķāļ āļĢāļŦāļąāļŠāđāļĢāļ āļĢāļŦāļąāļŠ āļāđāļēāļāļąāļ āļŠāļąāļāļĨāļąāļāļĐāļāđ āļāļąāļ§āļĒāđāļ āļāļēāļāļēāļāļąāļāļāļ§āļēāļĄ) āļĄāļēāļāļĢāļāļēāļāļāļēāļĢāļāļāļīāļāļąāļāļīāļāļēāļ āļĄāļēāļāļĢāļāļēāļāļāđāļēāļāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāđāļĨāļ°āļāļ§āļēāļĄāļĨāļąāļāļāļđāđāļāđāļ§āļĒ āļĄāļēāļāļĢāļāļēāļāļĢāļ°āļāļ āđāļāļĢāļ·āļāļāđāļēāļĒāļāļāļĄāļāļīāļ§āđāļāļāļĢāđ āļĄāļēāļāļĢāļāļēāļāļāļēāļāļāļēāļĒāļ āļēāļāđāļĨāļ°āļŠāļ āļēāļāđāļ§āļāļĨāđāļāļĄ TMI HITQIF v1.2: Structure and Role
- 68. 2.1 āļāļąāļāđāļŦāđāļĄāļĩ Data center âĒ Data center āļāļāļāđāļĢāļāļāļĒāļēāļāļēāļĨ āđāļāđāđāļāđāļāļĩāđāļāļąāđāļāļāļāļ servers āđāļĨāļ°āļāļļāļāļāļĢāļāđāļāļĩāđ āđāļāļĩāđāļĒāļ§āļāđāļāļ āđāļāđāļ āļĢāļ°āļāļāļŠāļēāļĢāļāļāļāđāļāļĄāļđāļĨ āļāļļāļāļāļĢāļāđāļŠāļēāļĢāļāļ redundant system āļĢāļ°āļāļāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒ āđāļāđāļāļāđāļ data center āļāļĩāđāļāđāļāļāļĄāļĩāļāļēāļĢāļāļąāļāļāļēāļĢ āļāļĒāđāļēāļāđāļŦāļĄāļēāļ°āļŠāļĄ āđāļāļ·āđāļāđāļŦāđāđāļāđāđāļāļ§āđāļē āļāļ°āļŠāļēāļĄāļēāļĢāļāđāļāđāļāļēāļāļĢāļ°āļāļāđāļāđāļāļĒāđāļēāļāļāļĨāļāļāļ āļąāļĒ āļāļĢāļēāļĻāļāļēāļāļāļēāļĢāļŦāļĒāļļāļ āļŦāļĢāļ·āļāļŠāļ°āļāļļāļāļāļāļāļĢāļ°āļāļ āļāļķāđāļāļāđāļāļāļāļēāļāļķāļāļāļķāļāļŠāļīāđāļāļāđāļāđāļāļāļĩāđ 1) āļŦāđāļāļ āļŠāļāļēāļāļāļĩāđ āđāļĨāļ°āļŠāļīāđāļāđāļ§āļāļĨāđāļāļĄ āļāđāļāļāļāļąāļāđāļŦāđāļĄāļĩāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒ āđāļāđāļ āļĄāļĩ āļāļēāļĢāļāļĢāļąāļāļāļēāļāļēāļĻāļāļĩāđāļāļĩ āļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļēāļāļāļļāļāļāļĨāļ āļēāļĒāļāļāļ āļāļēāļĢ āļāđāļāļāļāļąāļāļāļąāļāļāļĩāļ āļąāļĒ (āļĢāļ§āļĄāļāļķāļāļĢāļ°āļāļāļāļĢāļ§āļāļāļąāļāļāļ§āļąāļāđāļĨāļ°āļĢāļ°āļāļāđāļāļ·āļāļāļ āļąāļĒ āđāļāļĢāļ·āđāļāļāļāļąāļāđāļāļĨāļīāļ āđāļĨāļ°āļĢāļ°āļāļāļāļąāļāđāļāļĨāļīāļāļāļąāļāđāļāļĄāļąāļāļī) TMI HITQIF v1.2: Technology
- 69. 2.1 āļāļąāļāđāļŦāđāļĄāļĩ Data center 2) āļĄāļĩāļĢāļ°āļāļāļāđāļāļāļāļąāļāļāļēāļĢāđāļŠāļĩāļĒāļŦāļēāļĒāļāļāļāļāđāļāļĄāļđāļĨāđāļĨāļ°āļĢāļ°āļāļ (data integrity and fault tolerance) āļāļķāđāļāļĢāļ§āļĄāļāļķāļ UPS āđāļĨāļ°āļĢāļ°āļāļāđāļāļāđāļēāļŠāļēāļĢāļāļ, āļĢāļ°āļāļ RAID, redundant power supply āđāļĨāļ° redundant servers 3) āļĄāļĩāļĢāļ°āļāļāļŠāļēāļĢāļāļāļāđāļāļĄāļđāļĨ āļāļąāđāļāļ āļēāļĒāđāļ āđāļĨāļ°āļ āļēāļĒāļāļāļ data center 4) āļĄāļĩāļāļēāļĢāļāļąāļāļāļēāļĢ network āļāļĩāđāđāļŦāļĄāļēāļ°āļŠāļĄ TMI HITQIF v1.2: Technology
- 70. 2.3 āļāļąāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļŦāļĢāļąāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāđāļĨāļ° āļāļļāđāļĄāļāļĢāļāļāļāļ§āļēāļĄāļĨāļąāļāļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨ āđāļĨāļ°āļāļēāļĢāđāļāđāļēāļāļķāļāļāđāļāļĄāļđāļĨāļāļđāđāļāđāļ§āļĒ âĒ āļāļ§āļēāļĄāđāļāđāļāļŠāđāļ§āļāļāļąāļ§āļāļāļāļāļđāđāļāđāļ§āļĒāđāļāđāļāļŠāļīāđāļāļŠāļēāļāļąāļ āļāļķāđāļāđāļāđāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĒāđāļēāļāļŦāļāļķāđāļāļāļēāļ āļāļēāļĢāđāļāđāđāļāļāđāļāđāļĨāļĒāļĩ āļāļēāđāļāđāļāļāđāļāļāļāļąāļāļāļēāļĢāđāļŦāđāļĄāļĩāļĢāļ°āļāļāļāļĩāđāļāđāļāļāļāļąāļāļāļđāđāđāļĄāđāđāļāđāļĢāļąāļāļāļāļļāļāļēāļ āđāļāđāļēāļāļķāļāļāđāļāļĄāļđāļĨāļāļāļāļāļđāđāļāđāļ§āļĒ āļāļąāļāļāļĩāđ 1) āļĢāļ°āļāļāļĄāļĩāļāļąāļāļāļĩāļĢāļēāļĒāļāļ·āđāļāļāļđāđāđāļāđāļāļēāļ āđāļĨāļ°āļĢāļŦāļąāļŠāļāđāļēāļ (username and password) āđāļĨāļ°āļāļĨāđāļāļāļēāļĢāļĒāļ·āļāļĒāļąāļāļāļąāļ§āļāļļāļāļāļĨ 2) āļŠāļĢāđāļēāļāļĢāļ°āļāļāļāļēāļĢāđāļāđāļēāļāļķāļāļāđāļāļĄāļđāļĨāļāļđāđāļāđāļ§āļĒāđāļŦāđāļĢāļąāļāļāļļāļĄ (āđāļāļĢ āļŠāļēāļĄāļēāļĢāļāđāļāđāļēāļāļķāļ āļāđāļāļĄāļđāļĨāļŠāđāļ§āļāđāļŦāļ āļāđāļ§āļĒāļ§āļīāļāļĩāđāļ āđāļāđāļāļāđāļ) TMI HITQIF v1.2: Technology
- 71. 2.3 āļāļąāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļŦāļĢāļąāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāđāļĨāļ° āļāļļāđāļĄāļāļĢāļāļāļāļ§āļēāļĄāļĨāļąāļāļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨ āđāļĨāļ°āļāļēāļĢāđāļāđāļēāļāļķāļāļāđāļāļĄāļđāļĨāļāļđāđāļāđāļ§āļĒ 3) āļŠāļēāļĄāļēāļĢāļāļĢāļ°āļāļļāļāļąāļ§āļāļļāļāļāļĨāļāļđāđāđāļāđāļēāļāļķāļāļāđāļāļĄāļđāļĨ āļāļđāđāļāļēāļāđāļāļĄāļđāļĨāļāļđāđāļĢāļąāļāļāļĢāļīāļāļēāļĢāđāļāđāļēāļŠāļđāđ āļĢāļ°āļāļ āļāļđāđāļāļĩāđāđāļāđāđāļāļāđāļāļĄāļđāļĨ āđāļĨāļ°āļ§āļąāļāđāļ§āļĨāļēāļāļĩāđāđāļāđāļēāļāļķāļāļŦāļĢāļ·āļāļāļēāļāđāļāļĄāļđāļĨ āļāļđāđāļĢāļąāļāļāļĢāļīāļāļēāļĢāđāļāđāļēāļŠāļđāđāļĢāļ°āļāļāļŦāļĢāļ·āļāđāļāđāđāļāļāđāļāļĄāļđāļĨāđāļāđ āļĄāļĩāđāļāļāđāļāđāļĨāļĒāļĩāļāđāļēāļāļāļ§āļēāļĄ āļĄāļąāđāļāļāļāļāļāļāļĢāļ°āļāļāđāļāđāļ firewall āļĢāļ°āļāļāļāđāļāļāļāļąāļāđāļ§āļĢāļąāļŠāđāļĨāļ°āđāļāļĢāļāļąāļ āļāļēāļĢ āđāļĒāļāļĢāļ°āļāļ Internet āđāļĨāļ°āļĢāļ°āļāļāļāļēāļāđāļĢāļāļāļĒāļēāļāļēāļĨ āļāļēāļĢāļāļąāļ private network āđāļāđāļāļāđāļ TMI HITQIF v1.2: Technology
- 72. 3.1 āļĄāļĩāļāļļāļāļĨāļēāļāļĢāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļĩāđāđāļāļĩāļĒāļāļāļ āđāļāļĒāļĄāļĩāļāļēāļĢāļāļēāļŦāļāļ āļŠāļĄāļĢāļĢāļāļāļ°āļāļĩāđāļāļēāđāļāđāļāļāļāļāđāļāđāļĨāļ°āļāļēāđāļŦāļāđāļāļāļĒāđāļēāļāđāļŦāļĄāļēāļ°āļŠāļĄ āļāļąāļāđāļāđāđāļāđ 1) Chief Information officer (CIO)... 2) āļŦāļąāļ§āļŦāļāđāļēāļŦāļāđāļ§āļĒāļāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ (Head of IT unit)... 3) āļāļļāļāļĨāļēāļāļĢāļāļ·āđāļāđ... ... II. IT security personnel āļāļđāđāļāļđāđāļĨāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļāļāļĢāļ°āļāļāđāļāļāđāļāđāļĨāļĒāļĩ āļŠāļēāļĢāļŠāļāđāļāļĻ ... TMI HITQIF v1.2: People
- 73. 3.4 āļĄāļĩāļāļēāļĢāļāļąāļāļāļēāļāļđāđāđāļāđāļāļēāļāļĢāļ°āļāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ āļāļđāđāđāļāđāļāļēāļāļĢāļ°āļāļ āđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļŠāļēāļĄāļēāļĢāļāđāļāđāļāļēāļāđāļāđāļāļĒāđāļēāļāļāļđāļāļāđāļāļ āđāļĨāļ°āđāļāđāļāđāļ āļāļēāļĄāļāļĢāļīāļāļāđāļĨāļ°āļāđāļĒāļāļēāļĒāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļāļāļāļāđāļāļĢ āļāļąāđāļ āļāđāļēāļāļāļ§āļēāļĄāļāļđāļāļāđāļāļāļāļĢāļāļāđāļ§āļāļāļāļāļāđāļāļĄāļđāļĨ āļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĨāļąāļāļāļāļāļāļđāđāļāđāļ§āļĒ āđāļĨāļ°āļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļĢāļ°āļāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ āļāļēāļĢāļāļąāļāļāļēāļāļĩāđ āļĢāļ§āļĄāļāļķāļāļāļđāđāļāļĢāļīāļŦāļēāļĢāļĢāļ°āļāļąāļāļŠāļđāļāđāļĨāļ°āļāļđāđāđāļāļĩāđāļĒāļ§āļāđāļāļāđāļāđāļĢāļąāļāļāļēāļĢāļāļąāļāļāļēāđāļŦāđāđāļāđāļēāđāļ āđāļāļĩāđāļĒāļ§āļāļąāļāļŦāļĨāļąāļāļāļēāļĢāļāļąāļāļāļēāļĢāļŠāļēāļĢāļŠāļāđāļāļĻ (Principles of Information Management) āļāļĩāđāļāļēāđāļāđāļāļāđāļ§āļĒ āđāļāļĒāļĄāļļāđāļāđāļāđāļāđāļŦāđāđāļāļīāļāļ§āļąāļāļāļāļĢāļĢāļĄāļāļēāļĢāđāļāđ āļāļēāļāļŠāļēāļĢāļŠāļāđāļāļĻāļāļĩāđāļāļĩ TMI HITQIF v1.2: People
- 74. āļāļąāļāļĢāļēāļāļēāļĨāļąāļāļāļāļāļŦāļāđāļ§āļĒāļāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĢāļāļāļĒāļēāļāļēāļĨāļāļąāđāļ āļāļēāļ āļĄāļĩāļāļ§āļēāļĄāļĒāļ·āļāļŦāļĒāļļāđāļāđāļāđ āđāļāđāļāļāļēāļāļāļēāļāļāļĒāđāļēāļāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļēāļ āļāļąāļāļāđāļēāļāļāļļāļāļāļĨāļ āļēāļĒāļāļāļāļāļđāđāļĨ āđāļāđāļāđāļāļāļĄāļĩāļāļēāļĢāļāļąāļāļāļēāļĢāļāļĩāđāđāļāđāđāļāđāļāđāļ§āđāļēāļāļ° āļŠāļēāļĄāļēāļĢāļāļāļēāđāļāļīāļāļāļēāļĢāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļāđāļāļĒāđāļēāļāļĢāļēāļāļĢāļ·āđāļ āļāļĨāļāļāļ āļąāļĒ āļĢāļ§āļĄāļāļąāđāļāļāļ°āđāļĄāđāļāļĢāļ°āļāļāļāđāļāļ āļēāļĢāļāļīāļāļŦāļĨāļąāļāļāļāļāđāļĢāļāļāļĒāļēāļāļēāļĨ āđāļĨāļ° āđāļĄāđāļāļĢāļ°āļāļāļāđāļāļāļ§āļēāļĄāļĨāļąāļāļāļāļāļāļđāđāļāđāļ§āļĒ TMI HITQIF v1.2: People
- 75. 4.4 āļĄāļĩāļāļēāļĢāļāļāļāđāļāļāļĢāļ°āļāļāļāļāļāļāļāđāļāļāļ§āļēāļĄāļāļīāļāļāļĨāļēāļ (fault tolerance) āļĄāļĩāļāļēāļĢāļāļēāļĢāļļāļāļĢāļąāļāļĐāļēāļāļĒāđāļēāļāļŠāļĄāđāļēāđāļŠāļĄāļ āļĄāļĩāļāļēāļĢāļāļąāļāļāļēāļĢāđāļāļ·āđāļāđāļŦāđ āļĢāļ°āļāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļēāđāļāļīāļāļāļēāļāđāļāđāļāļĒāđāļēāļāļāđāļāđāļāļ·āđāļāļ (Availability Management) āđāļĨāļ°āļŠāļēāļĄāļēāļĢāļāļāļđāđāļāļ·āļāļĢāļ°āļāļāđāļāđāđāļĄāđāļāļ°āļĄāļĩ āđāļŦāļāļļāļāļēāļĢāļāđāđāļĄāđāļāļēāļāļāļąāļāđāļāļīāļāļāļķāđāļ (IT Service Continuity Management) āđāļāļĒāļĄāļĩāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđāđāļĨāļ°āļāļąāļāļāļēāđāļāļāļŠāļēāļĢāļāļāļāļļāļāđāļāļīāļ (Business Continuity Plan) āđāļĨāļ°āđāļāļāļāļđāđāļāļ·āļāļĢāļ°āļāļ (Disaster Recovery Plan) āļĢāļ§āļĄāļāļąāđāļāļĄāļĩāļāļēāļĢāļāļāļāļ§āļāđāļĨāļ°āļāļąāļāļāđāļāļāđāļāļāļāļĒāđāļēāļ āļŠāļĄāđāļēāđāļŠāļĄāļ TMI HITQIF v1.2: Process
- 76. 4.6 āļĄāļĩāļāļēāļĢāļāļąāļāļāļēāļĢāļāđāļāļĄāļđāļĨ āđāļŦāđāđāļāđāđāļāļ§āđāļē āļāđāļāļĄāļđāļĨāļŠāļēāļāļąāļāđāļāđāļĢāļąāļāļāļēāļĢāļāļąāļāļāļķāļ āđāļĨāļ°āļāļąāļāđāļāđāļ āđāļāļĢāļ°āļāļ āļāļĒāđāļēāļāļāļđāļāļāđāļāļāđāļĨāļ°āļāļĢāļāļāđāļ§āļ āļāļĢāļ°āļāļāļāđāļāļāđāļ§āļĒ 1) āļāļēāļĢāļāļąāļāļāļķāļ āļāļēāļāļēāļĢāļŠāļēāļāļąāļ āļāļĢāļ°āļ§āļąāļāļī āļāļĨāļāļēāļĢāļāļĢāļ§āļāļĢāđāļēāļāļāļēāļĒ āđāļĨāļ°āļāļēāļ§āļīāļāļīāļāļāļąāļĒāđāļĢāļ āđāļ āļāļąāļāļĢāļāļđāđāļāđāļ§āļĒāļāļāļ āđāļĨāļ°/āļŦāļĢāļ·āļ āđāļ§āļāļĢāļ°āđāļāļĩāļĒāļāļāļīāđāļĨāđāļāļāļĢāļāļāļīāļāļŠāđ āđāļāļĒāļāđāļāļāđāļĄāđāļāļąāļāđāļāđāļāļĢāļŦāļąāļŠ ICD āđāļāļāļāļēāļ§āļīāļāļīāļāļāļąāļĒāđāļĢāļ 2) āļāļąāļāļāļķāļāļāļĢāļ°āļ§āļąāļāļīāļāļĢāļ§āļāļĢāđāļēāļāļāļēāļĒāđāļĢāļāļĢāļąāļ āļāļąāļāļāļķāļāļāļ§āļēāļĄāļāđāļēāļ§āļŦāļāđāļē āđāļĨāļ°āļāļēāļĢāļŠāļĢāļļāļāđāļ§āļ āļĢāļ°āđāļāļĩāļĒāļāđāļĄāļ·āđāļāļŠāļīāđāļāļŠāļļāļāļāļēāļĢāļĢāļąāļāļĐāļē (Discharge Summary) āđāļāđāļāđāļĄāļāļđāđāļāđāļ§āļĒāđāļ 3) āļĢāļēāļĒāļāļēāļāļāļēāļĢāļāđāļēāļāļąāļ āđāļāļāļđāđāļāđāļ§āļĒāļāļļāļāļĢāļēāļĒāļāļĩāđāđāļāđāļĢāļąāļāļāļēāļĢāļāđāļēāļāļąāļ 4) āļāļēāļĢāđāļŦāđāļĢāļŦāļąāļŠ ICD āļāļąāđāļāļĢāļŦāļąāļŠāļāļĨāļļāđāļĄāđāļĢāļ āđāļĨāļ°āļĢāļŦāļąāļŠāļāļēāļĢāļāđāļēāļāļąāļ 5) āļāļēāļĢāļāļąāļāļāļķāļāđāļ§āļāļĢāļ°āđāļāļĩāļĒāļāđāļŦāđāļŠāļāļāļāļĨāđāļāļāļāļąāļāļĄāļēāļāļĢāļāļēāļāļāđāļāļĄāļđāļĨāļāļēāļāļāļēāļĢāđāļāļāļĒāđāļāļ·āđāļāđ TMI HITQIF v1.2: Process
- 77. āļāļēāļĢāļĄāļĩāļĢāļ°āļāļāļāļēāļĢāļāļ§āļāļāļļāļĄāļāļēāļĢāļāļēāđāļāļīāļāļāļēāļāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ āļāļ°āļāļēāđāļŦāđāđāļāđāđāļāđāļāđāļ§āđāļēāļāļēāļĢāļāļēāđāļāļīāļāļāļēāļāļāļ°āđāļāđāļāđāļāļāļēāļĄāļĢāļ°āļāļ āđāļĨāļ° āđāļāļāļāļēāļāļāļĩāđāļ§āļēāļāđāļ§āđ āļāļēāļĢāļāļ§āļāļāļļāļĄāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļ·āļāđāļāđāļāļŠāđāļ§āļ āļŦāļāļķāđāļāļāļāļāļāļēāļĢāļāļ§āļāļāļļāļĄāļ āļēāļĒāđāļāļāļāļāļŦāļāđāļ§āļĒāļāļēāļ āļāļķāđāļāļāļĢāļ°āļāļāļāļāđāļ§āļĒāļāļĨāđāļāļāļĩāđ āļŠāļēāļāļąāļāļāļąāļāļāļĩāđ TMI HITQIF v1.2: Control
- 78. 5.1 āļĄāļĩāļĢāļ°āļāļāļāļ§āļāļāļļāļĄāļāļąāđāļ§āđāļ (General control) āđāļāļ·āđāļāđāļŦāđāđāļāđāđāļāļ§āđāļē āļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻāļāļ°āļŠāļēāļĄāļēāļĢāļāđāļāđāļāļēāļāđāļāđāļāļĒāđāļēāļāļāļđāļāļāđāļāļ āļāļĨāļāļāļ āļąāļĒ āļāļēāļĢ āļāļ§āļāļāļļāļĄāļāļąāđāļ§āđāļāđāļāđāđāļāđ āļāļēāļĢāļāļ§āļāļāļļāļĄāđāļāļāļĢāļāļĩāļāđāļāđāļāļāļĩāđ 1) āļŠāļĢāđāļēāļāļ§āļąāļāļāļāļĢāļĢāļĄāļāļēāļĢāđāļāđāļāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļĩāđāļāļĨāļāļāļ āļąāļĒ āđāļĨāļ° āļŠāļāļāļāļĨāđāļāļāļāļąāļāļāļīāļĻāļāļēāļāļāļāļāļāļāļāđāļāļēāļĢ 2) āļāļēāļĢāļāļąāļāļŠāļĢāđāļēāļ/āļāđāļāđāļāļīāļĄ software āđāļŦāđāđāļāđāļāđāļāļāļĒāđāļēāļāļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļ āļĢāļ§āļĄāļāļąāđāļāļāļēāļāļąāļāļāļđāđāļĨ source code/version āļāļāļ software TMI HITQIF v1.2: Control
- 79. 3) āļĢāļ°āļāļāļāļ§āļāļāļļāļĄāļāđāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļŠāļēāļĢāļŠāļāđāļāļĻ (Information Security Management) āļĄāļĩāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļ§āļāļāļļāļĄāļāļĩāđ āļāļēāđāļŦāđāđāļāđāđāļāđāļāđāļ§āđāļē āļĢāļ°āļāļāđāļĨāļ°āļāđāļāļĄāļđāļĨāđāļāđāļĢāļąāļāļāļēāļĢāļāļāļāđāļāļāļāļēāļāļāļēāļĢāđāļāđāļēāļāļķāļ āļŦāļĢāļ·āļāđāļāļĄāļāļĩāđāļāļĒāļāļđāđāđāļĄāđāļāļĢāļ°āļŠāļāļāđāļāļĩ āļāļēāļĢāđāļāđāļāļēāļāļāļĩāđāđāļĄāđāļāļđāļāļāđāļāļāļŦāļĢāļ·āļāđāļĄāđāđāļāđāļĢāļąāļ āļāļāļļāļāļēāļ āļāļĢāļ°āļāļāļāđāļāļāđāļ§āļĒ 3.1) āļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāđāļēāļāļāļēāļĒāļ āļēāļ āđāļāđāļ āļĄāļēāļāļĢāļāļēāļĢāļāļēāļĢāđāļāđāļēāļāļāļ data center 3.2) āļāđāļēāļ software āđāļĨāļ°āļāļēāļĢāđāļāđāļāļēāļ āđāļāđāļ āļāļēāļĢāđāļĨāļ·āļāļāđāļāđ database TMI HITQIF v1.2: Control
- 80. 3.3) āļāļēāļĢāļāļ§āļāļāļļāļĄāļāļēāļĢāđāļāđāļēāļāļķāļ (Access Control) āļāļēāļĢāļāļąāļāļāļēāļĢāļāļēāļĢāđāļāđāļēāļāļķāļāļāļāļ āļāļđāđāđāļāđāļāļēāļ (User access management) āļĢāļ§āļĄāļāļķāļāļāļēāļĢāļāļēāļāļąāļāļāļĩāļĢāļēāļĒāļāļ·āđāļāļāļđāđāđāļāđāļāļēāļ āļāļēāļĢāļāļēāļŦāļāļāļŠāļīāļāļāļīāļāļđāđāđāļāđāļāļēāļ āļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĨāļąāļāļĢāļŦāļąāļŠāļāđāļēāļāļāļāļāļāļđāđāđāļāđāđāļāđāļĨāļ°āļāļļāļāļāļĨ āļĢāļ§āļĄāļāļķāļāļĒāļ·āļāļĒāļąāļāļāļąāļ§āļāļļāļāļāļĨ (Authentication) 3.4) āļāļēāļĢāļāļ§āļāļāļļāļĄāđāļŦāđāđāļāļāļēāļ°āļāļđāđāļāļĩāđāđāļāļĩāđāļĒāļ§āļāđāļāļāđāļāđāļēāļāļąāđāļāļŠāļēāļĄāļēāļĢāļāđāļāđāļēāļāļķāļāļāđāļāļĄāļđāļĨ (Business requirements of access control) 3.5) āļāļēāļĢāļāļēāļŦāļāļāļŦāļāđāļēāļāļĩāđāļāļ§āļēāļĄāļĢāļąāļāļāļīāļāļāļāļāļāļāļāļāļđāđāđāļāđāļāļēāļ (User responsibilities) 3.6) āļāļēāļĢāļāļ§āļāļāļļāļĄāļāļēāļĢāđāļāđāļēāļāļķāļāļĢāļ°āļāļ (System and application access control) TMI HITQIF v1.2: Control
- 81. 3.7) āļāļēāļĢāļāļąāļāļāļķāļāļāđāļāļĄāļđāļĨāļĨāđāļāļāđāļĨāļ°āļāļēāļĢāđāļāđāļēāļĢāļ°āļ§āļąāļ (Logging and Monitoring) 3.8) āļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāļāđāļāļāđāļŦāļ§āđāļāļēāļāđāļāļāļāļīāļ (Technical Vulnerability Management) 3.9) āļāđāļēāļāđāļāļĢāļ·āļāļāđāļēāļĒ āđāļāđāļ āļāļēāļĢāđāļāļ·āđāļāļĄāđāļĒāļ Internet āļāļēāļĢāļāđāļāļāļāļąāļāļāļēāļĢāļāļļāļāļĢāļļāļ āđāļāļĢāļ·āļāļāđāļēāļĒ 3.10) āļāļēāļĢāļāļēāļĢāļļāļāļĢāļąāļāļĐāļēāļĢāļ°āļāļāđāļāļĒāļāļļāļāļāļĨāļ āļēāļĒāļāļāļ āļĄāļĩāļĄāļēāļāļĢāļāļēāļĢāļāļ§āļāļāļļāļĄ 3.11) āļāļēāļĢāļāđāļāļāļāļąāļāđāļ§āļĢāļąāļŠāđāļāļĢāļ°āļāļāļāļāļĄāļāļīāļ§āđāļāļāļĢāđ āđāļĨāļ°āđāļāļĢāļ·āđāļāļāļĄāļ·āļāđāļāļāļĒāđ (Protection from Malware) 3.12) āļāļēāļĢāđāļāđ Social Media āđāļāļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢāļāđāļāļĄāļđāļĨāļāļđāđāļāđāļ§āļĒ TMI HITQIF v1.2: Control
- 82. 4) āļāđāļēāļ hardware/software āđāļĄāļ·āđāļāļĄāļĩāļāļēāļĢāđāļāļĨāļĩāđāļĒāļāđāļāļĨāļāļĢāļ°āļāļāļāļēāļāđāļāļīāļāļāļķāđāļāđāļāđāļ āļāļēāļĢāļĨāļāļĢāļ°āļāļāļāļēāļ āļāļēāļĢāļāļīāļāļāļąāđāļāđāļāļĢāđāļāļĢāļĄāļāļĢāļąāđāļāđāļŦāļĄāđ āļāļąāđāļāļāđāļē āļĢāļ°āļāļ(configuration) āļāļēāļĢāđāļāļīāđāļĄāļŦāļāđāļ§āļĒāļāļ§āļēāļĄāļāļēāđāļāđāļāļĢāļ·āđāļāļāļāļāļĄāļāļīāļ§āđāļāļāļĢāđ āđāļāđāļāļāđāļ 5.2 āļĄāļĩāļĢāļ°āļāļāļāļ§āļāļāļļāļĄāļāđāļ§āļĒ application (Application control) āđāļāļ·āđāļāđāļŦāđāđāļāđāđāļ āļ§āđāļē āļāđāļāļĄāļđāļĨāļŠāļēāļĢāļŠāļāđāļāļĻāļāļĩāđāļĄāļĩāļāļĒāļđāđāđāļāļĢāļ°āļāļāđāļāđāļāļāđāļāļĄāļđāļĨāļāļĩāđāļāļđāļāļāđāļāļ āļāļĢāļāļāđāļ§āļ āđāļāļ·āđāļāļāļ·āļāđāļāđ āļāļąāļāđāļ§āļĨāļē āđāļāļĒāļĄāļĩāļĢāļ°āļāļāļāļ§āļāļāļļāļĄāļāļĢāļ§āļāļŠāļāļāļāļąāļāļāļĩāđ ... 5) āļāļēāļĢāļĢāļ°āļāļļāļāļąāļ§āļāļđāđāđāļāđāļēāđāļāđāļĢāļ°āļāļ āđāļĨāļ°āļāļ§āļāļāļļāļĄāđāļŦāđāļāļđāđāļĄāļĩāļŠāļīāļāļāļīāđāļāđāļēāļāļąāđāļāļāļĩāđāđāļāđāļēāđāļāđāļāļēāļāļĢāļ°āļāļ āđāļāđāļāļēāļĄāļŠāļīāļāļāļī āļĄāļĩāļāļēāļĢāļāļąāļāļāļķāļāļāđāļāļĄāļđāļĨāļāļēāļĢāđāļāđāļēāđāļāđāļāļēāļ TMI HITQIF v1.2: Control
- 83. 5.3 āļĄāļĩāļĢāļ°āļāļāļāļĢāļīāļŦāļēāļĢāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ (IT risk management) āđāļāļāđāļēāļāļāđāļēāļāđ āļāļąāļāļāļĩāđ 1) āļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāđāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļāļāļāļĢāļąāļāļĒāļēāļāļĢāđāļāļĢāļ°āļāļāđāļāļāđāļāđāļĨāļĒāļĩ āļŠāļēāļĢāļŠāļāđāļāļĻ (hardware software network data) 2) āļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĩāđāļĢāļ°āļāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļēāļāļāļēāđāļŦāđāđāļāļīāļāļāļ§āļēāļĄāļāļāļāļĢāđāļāļāđāļ āļāļēāļĢāļāļđāđāļĨāļĢāļąāļāļĐāļēāļāļđāđāļāđāļ§āļĒ 3) āļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāđāļāļāļ§āļēāļĄāđāļāđāļāļŠāđāļ§āļāļāļąāļ§āļāļāļāļāđāļāļĄāļđāļĨāļāļđāđāļāđāļ§āļĒ 4) āļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāđāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāđāļāļĢāļāļāļēāļĢāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ (IT Project Management Failure) TMI HITQIF v1.2: Control
- 84. āļāļēāļĢāļāļēāļŦāļāļāļāļąāļ§āļāļĩāđāļ§āļąāļ āđāļĨāļ°āļ§āļąāļāļāļĨāļāļĩāđāļŠāļēāļĄāļēāļĢāļāđāļāđāđāļāļāļēāļĢāļāļīāļāļāļēāļĄāđāļāđāļēāļĢāļ°āļ§āļąāļāđāļĨāļ° āļāļĢāļ§āļāļŠāļāļāļāļēāļĢāļāļēāđāļāļīāļāļāļēāļāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļāđāļĢāļāļāļĒāļēāļāļēāļĨ āļ§āđāļē āđāļāđāļāđāļāļāļĒāđāļēāļāļāļđāļāļāđāļāļāđāļŦāļĄāļēāļ°āļŠāļĄāđāļĨāļ°āļāļĢāļĢāļĨāļ§āļąāļāļāļļāļāļĢāļ°āļŠāļāļāđ āļāļēāļĢāļ§āļąāļāđāļĨāļ°āļāļĢāļ°āđāļĄāļīāļāļāļĨ āļāļ§āļĢāļāļĢāļ°āļāļēāđāļāļāļļāļāđāļŦāļĄāļ§āļāļāļāļāļāļĢāļāļāļāļēāļĢāļāļąāļāļāļē āđāļāļ·āđāļāļĨāļāļāļēāļĢāđāļāđāļāļ§āļēāļĄāđāļŦāđāļāļāļāļ āļāļļāļāļāļĨāđāļāļāļēāļĢāļāļąāļāļŠāļīāļāđāļ āļāļēāļĢāļ§āļąāļāļāļĩāđāļŠāļēāļāļąāļ āđāļāđāđāļāđ 6.1 āļ§āļąāļāđāļĨāļ°āļāļīāļāļāļēāļĄ āļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļēāļāļēāļāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ āđāļāđāļ āļāļēāļāļ§āļāļāļĢāļąāđāļāđāļĨāļ°āļĢāļ°āļĒāļ°āđāļ§āļĨāļēāļāļĩāđāļāđāļāļāļŦāļĒāļļāļāđāļŦāđāļāļĢāļīāļāļēāļĢ (down time), āļĢāļ°āļĒāļ°āđāļ§āļĨāļēāđāļ āļāļēāļĢāđāļāđāđāļāļāļļāļāļąāļāļīāļāļēāļĢāļāđāļāđāļēāļāđ, āļāđāļēāđāļāđāļāđāļēāļĒāđāļāļāļēāļĢāļāļēāļĢāļļāļāļĢāļąāļāļĐāļēāļĢāļ°āļāļ 6.2 āļ§āļąāļāđāļĨāļ°āļāļīāļāļāļēāļĄāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ āļāļēāļĢāļāļ§āļāļāļļāļĄāļ āļēāļĒāđāļ āļāđāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāđāļĨāļ°āļāļ§āļēāļĄ āļāļĨāļāļāļ āļąāļĒāļāļāļāļĢāļ°āļāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ TMI HITQIF v1.2: Metrics
- 85. 6.3 āļ§āļąāļāđāļĨāļ°āļāļīāļāļāļēāļĄāļāļ§āļēāļĄāļāļđāļāļāđāļāļ āļāļĢāļāļāđāļ§āļ āđāļāļ·āđāļāļāļ·āļāđāļāđ āļāļąāļāđāļ§āļĨāļēāļāļāļāļāđāļāļĄāļđāļĨ āļŠāļēāļĢāļŠāļāđāļāļĻ 6.4 āļāļĢāļ§āļāļŠāļāļāļāļēāļĢāļāļāļīāļāļąāļāļīāļāļēāļĄāļāđāļĒāļāļēāļĒāđāļĨāļ°āļĢāļ°āđāļāļĩāļĒāļāļāļāļīāļāļąāļāļī 6.5 āļāļĢāļ°āđāļĄāļīāļāđāļĨāļ°āļ§āļąāļāļāļĨāļāļēāļĢāļāļēāđāļāļīāļāļāļēāļĢāļāļēāļĄāđāļāļāđāļĄāđāļāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ āļāļēāļĢāļāļąāļāļāļēāļŠāļĄāļĢāļĢāļāļāļ°āļāļļāļāļĨāļēāļāļĢ āļāļēāļĢāļāļąāļāļāļēāļāļ§āļēāļĄāļŠāļēāļĄāļēāļĢāļāļāļāļāļĢāļ°āļāļ TMI HITQIF v1.2: Metrics
- 86. āđāļĒāļĩāđāļĒāļĄāļŠāļēāļĢāļ§āļāļāļĒāđāļēāļāđāļĢ āļāļąāļāļāļĢāļ°āđāļāđāļ Cybersecurity āļāļģāļāļģ #5: Encourage āđāļŦāđ āļĢāļ. adopt āļĄāļēāļāļĢāļāļēāļāļāļĩāđāđāļāļĩāđāļĒāļ§āļāļąāļ IT Management & Security āđāļāđāļ TMI HITQIF & ISO 27001
- 87. Final Thoughts
- 88. âĒ āļ āļąāļĒāļāđāļēāļ IT Security & Privacy āđāļāđāļ Risk āļāļĩāđāļŠāļēāļāļąāļāļāļąāļāļŦāļāļķāđāļāļāļĩāđāļāđāļāļ āļĄāļĩāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢ āđāļĨāļ°āļāļ§āļĢāđāļāđāļ Risk-based Approach âĒ Security āļĄāļĩāļāļąāđāļ C, I, A āđāļĨāļ°āđāļāļĩāđāļĒāļ§āļāđāļāļāļāļąāļ Privacy âĒ Policy & Regulation āļĢāļ§āļĄāļāļąāđāļ Legal compliance āļĄāļĩāļāļ§āļēāļĄāļŠāļēāļāļąāļ âĒ NIST Cybersecurity âĒ āļāļĒāđāļēāļĨāļ·āļĄāđāļŦāđāļāļ§āļēāļĄāļŠāļēāļāļąāļāļāļąāļāļāļąāđāļ 3 āļāđāļēāļāļāļāļ IT Security āļāļĒāđāļēāļāđāļāđ āļŠāļĄāļāļļāļĨ: People, Process, Technology IT Security
- 89. How to Deal with Security
- 90. How to Deal with Security