CIA CISA CISSP CFE CBA CFSA CCSA - PowerPoint PPT Presentation

About This Presentation

Title:

CIA CISA CISSP CFE CBA CFSA CCSA

Description:

... – PowerPoint PPT presentation

Number of Views:135

Avg rating:3.0/5.0

Slides: 82

Provided by: bfiiaOrgi

Learn more at: http://www.bfiia.org

Category:

more less

Transcript and Presenter's Notes

Title: CIA CISA CISSP CFE CBA CFSA CCSA

1
??????????????????????????????????????????????????
???????

?????????????????????????????????????????????
??????????????? ????????????????
???????????????
? ?????????? ???? 5 ??? 12 ????????????????????
????????????? 20 ??????? 2551 1330-1630 ?.

2
????????????

????? ????????????
CIA CISA CISSP CFE CBA CFSA CCSA
???????????????????
???. ?????????????????????
??????????????????????? ????? (2528)
???????????????????? ??????????? (2533)
IIAs EIAP ??????? 7 ????? (2546)
?????????????????????? 5 ??
????????????????????????????? 19 ??
?????? ?????????????????????????????????????????
?????????????????? ???????????????????????????????
??

3
???????????????????????

????????????????????????????????????????????????
??????????????????? (General Control)
?????????????????? (Application Control)
???????????????????????????????????????
????

???????????????????????????????????????????

5
??????????????????????????

??????????????????????????????????????????
??????????????????????????????????????????????????
? ???????????????? ??????????????????????????
??????????????????????????????????????????????
????????????? ????????????????????????????????????
???
???????????????????????????????????????????????
??????????????????????????????????????????????????
????????????????

6
?????????????????????????

?????????????????????????????????????????
??????????????????????????????????????????????
????????????????????????????
????????????????????????????????
?????????????????????????? ???????????????????????
?????????
??????????????????????????????????????????????????
????

7
??????????????????????

??????????????????????????????????????????????????
??????????????????
??????????????????????? ????????????
?????????????????????
??????????????????????????????????????????????
???????????????????????????

8
??????????????????????

??????????????????????????????????????????????????
?????? ???????? ?????????????????
???????
??????
??????????????????????????????
???????

9
????????????????????

??????????????????????????????????????????????????
?????? ???????????????????? ????????????????
??????????????????
????????????????????
?????????????????
??????????????????

10
???????????????????????

??????????????????????????????????????????????????
???????????????????????????????????
??????????????????????????????????????????????????
????????????????????????????????????????????????
??????????????????????????????????????????????????
????????????????????????????????????

11
???????????????????????

??????????????????????????????????????????????????
????????????????????????????????????
??????????????????????????????????????????????????
??????????????????????????????????????????????????
?????????????????????????????????????????????????

12
???????????????????????

??????????????????????? ??????????? 2 ??????
?????????????????? (Application Control)
??????????????????? (General Control)
?????????????????????????????????????????????????
????????????????????????????????????????

??????????????????? (General Control)

14
???????????????????

??????????????????????????????????????????????????
?
????????? ???????????? ????????????????????
??????????????????????
?????????????
?????????????????????????????
?????????????????????????????????
??????????????????
?????????????? ?????? ?????????????

15
??????????????????????

??????????????????????????

16
?????????????????????

??????????????????????????????????????????????????
?
IT Strategy / Steering Committees
???????????????????????
?????????????????????????????????????
??????????????????????????????????????
????????????????????????????????
?????????????????????
?????????????????????????????????

17
?????????????????

Staff programmers should not have access to
production load libraries
Computer operators should not have access to
production source libraries
Independent Security Administrator

18
?????????????????
19
?????????

?????????????????????????????????????????
?????????????/???????
??????????????????????????????????????????????????
??
??????????????????????????????????
???????????????????????????????
?????????????????????????????????

20
???????????????

????????????????????????????
??????????????????????????????????????????????????
???????????? ?????????????????????
????????????????????????????????
??????????????????????????????????????????????????
?????
???????????????????????????????????????????
??????????????????????????????????????????????????
???????????????????

21
???????????????

??????????????????????????
?????????????????????????????????
?????????????????????????????????
?????????????????????????????????????????????????
????????????????????????????? ????????????
??????????????????????????????????????????????????
????????????????????????????????????????
??????????????????????????????????????????????????
??????????????????????????

22
???????????????

????????????????????????????????????? ?
??????????????????????????????????????????????????
??????????????????????????????????????????????????
??????????????????????????????????????????????????
???????? Business Case ???????????????????????????
?? (Feasibility Study) ????????????
???????????????????????????????????? (Technical
Feasibility) ??????????????????????????
(Financial Feasibility)

23
???????????????

????????????????????? ? ??????????????????????????
? (Impact Analysis)
?????????????????????????????????????????????????
????????????????????

24
???????????????????????????????

??????????????????????????????????????????
??????????????????????????????????????????????????
????????????
???????????????????????????????
?????????????????????????????????????????
??????????????????????????????????????????? ???
?????????????????????????????????????????? ?
???????????????????????????????????

25
???????????????????????????????

??????????????????????????????????????????????????
?????????????????????????????
????????????????????????????????????????
???????????????????????????????????
??????????????????
????????????????????????????????????????
????????????????
????????????????????????????????????
???????????????????????????????????????????

26
????????????????????????????

?????????????????????????????????????????
??????????????????????????????????????????????????
??????????????????????????????????????????????????
???
?????????????????????????????????????
?????????????????????????????????
?????????????????????????????????????????????????
?????????????????????????????????????????????????

27
??????????????????????????

???????????????????????????????????
?????????????????????????????????????????????????
???????????????????????????????????????????????
????????????????????????????? ????????????
???????????????? ????????????

28
??????????????????????????

???????????????????????????????????
??????????????????????????????????????????????????
????????
?????????????????????????????????????????????????
???????????????????????????????

A C C E S S C O N T R O L
DEVELOP MENT
PRODUCTION
29
???????????????????????????

????????????????????????????????????????
?????????????????????????????????????????????????
????????????
??????????????????????????????????????????????????
?????
??????????????????????????????????????????????????
???????????????????
?????????? Resources ?????
?????????????????????

30
???????????????????????????

????????????????????????????
???????????????????????????????????????
?????????????????????????????????????
?????????????????????????????????
??????????????????????????????
?????????????????????????????????
???????????????????????

31
????????????????????????????

???????????????????????????????
Security Baseline
????????????????????????????????????
Firewalls and Network Devices
????????????????????????????????
????????????????
??????????????????????????????????????????????????
?
??????????????????????????

32
????????????????????????????

??????????????????????????????????????????????????
?????????????
??????????????????????????????????????????????
??????????????????????????????????????????
?????????????????????????????????????????????
???????????????????????????????????
??????????????????????????? (Logical Security)
??????????????????????? ??????????????
???????????? ?????????????????????????????????
(Physical Security)

33
Information Security Classification

Security Aspect
Information System
Classification
Confidentiality
Integrity
Availability
High
Sensitivity Level
Medium
Low
34
????????????????????????????

????????????????????????????????????????????
?????????????????? ???????????????
??????????????????????
??????????????? ?????????????????????????????
??????????????????????????????????????????
??????????????????????????????????
?????????????????????? ????????????????????

35
??????????????????????

???????????????????????????????????????? (Logical
Access Controls) ?????????????????????????????????
????????????????????????
??????????????????????????????????????????????????
????????????? ? ????????????? ????????????????????
??????????????????? (Telecommunication and
Network Equipment) ???????????????????????
?????????????????????????????????????????

36
??????????????????????

?????????/????????? (Authentication)
????? / ??????????????????????????????????
?????????????? / ????????????????????
??????????? User ??????????????????? User
?????????? Default ?????????????????
????????????????????? User ID ?????
??????????????????????????????????????????????????
?????????

37
???????????????????????

??????????????????????? (Authorization)
????????????????????????
???????????????????????????????????????????????
???? ?????????? ??????????????????????? ???????
Utility ?????????????????????????????? ???????
??????????????????????????????????
?????????????????????????????????????? (Audit
Logging) ????????????????????????

38
???????????????????????

??????????????????????? (Authorization)
??????????????????????????????????????????????????
??????????????????? User ???????????????
???????????????????? User ????????????????????????
???????????????????????
?????????????????????????????????????????

39
???????????????????????

SYSTEM LEVEL

Program Command Data Files
No Access Execute Read Write Update Control
FILES
Library Directory Folder
DIRECTORY
TERMINALS
40
???????????????????????

APPLICATION LEVEL

MODULE
No Access Execute Read Write Update Control
FUNCTION
MENU
RECORD
FIELD
41
???????????????????????

DATABASE LEVEL

DATABASE
No Access Execute Read Write Update Control
TABLE
VIEW
INSTANCE
ELEMENT
42
??????????????????????????

???????????????????????????????????????????
??????????????????????????????????????????????????
????
??????????????????????????????????????????????????
?????????????????
??????????????????????????????????????????????????
?????????????????? ??????????? ???? Diskette ???

43
??????????????????????????

??????????????????????????????????????????????
??????????????????????????????????????????????????
??????????????????????
??????????????????????????????????????????????????
??????????????????????????????????????????????????
???????????????

44
??????????????????????????

??????????????????????????????????????????????????
?????????????????????????????????????? 24
????????????????????????????? ????????????????????
?????????????????????????????????????????
??????????????????????????????????????????????????
???????? ?????????????????????????????????????????
????????????????????????

45
??????????????????????????

?????????????????????????
??????????????????????????????????????????????????
????????????????????????????????????? (Business
Impact Analysis)
????????????????????????
????????????????????????
????????
???????????????????????

46
??????????????????????????

??????????????????
??????????????????????????????????????????????????
????????????????????????????????????????????????
??????????????????????????????????????????????????
????????????????????
??????????????????????????????????

?????????????????? (Application Control)

48
??????????????????

???????????????????????????????????????????
???????????????????
?????? ???????????????????????? (Input Control)
????????????????????????????? (Processing
Control) ?????????????????????????????????????????
??? (Output Control)

49
????????????????????????

??????????????????????????????????????????????????
??????????
??????????????????????????????????????????????????
??????????????? ?????????????????
???????????????????????
??????????????????????????????????????????????????
??????????? ??????????????????????????????????????
????????????????????????????????????????

50
????????????????????????

?????????????????????????????
??????????????????????????????????????????????????
??????????????????????????????????????????????????
??????????
??????????? ??????????????????????????????????????
?????????????????

51
???????????????????????????

?????????????????
???????
??????? ???? ?????? Check Digit
????????
??????????????????????
???????????????????????????? ?????????????
?????????????????????????????
??????????????????????????? ???????????????????
???? ??????????????????????????????? ???? ??????
???????????????????? ?????????????????

52
???????????????????????????

??????????????????????????????????????????????????
?????????????????????????????????????????
??????????????????????????????????????????????????
??????
??????????????????????????????????????????????????
????????????????????????????? ????????????????????
??????????????????????????????????????????????????
??????? (Control Total) ???/?????????????????????
(Record Count) ??????????? ???????????????????????
?????????????????????

53
???????????????????????????

??????????????????????????????????????????????????
???????????????????????????????????????????
???????????????????????????? (Encryption)
?????????? ???????????????? (Decryption)
??????????????????????????
??????????????????????????????????????????????????
???????? (Encryption Key) ???????????
??????????????????????????????????????????

54
??????????????????????????

??????????? ??????????????????????????????????????
?????????????????????????????????????
??????????????????????????????????????????????
????????? ????????????????? ????????????
?????????????????????????????????????????
??????????????????????????????????????????????????
???

55
??????????????????????????

????????????????
???????????? ????????????? (Control Total)
???/???? ???????????????????? (Record Count)
????????????????? ?????????????????????????????
???????????? ????????? File ??????????????????????
? ???????????????????? ???? ??????????????????????
?????????????????
???????????????? ?????????????????????????????
Console Log ?????????????????????
???????????????????????????

56
?????????????????????????

??????????????????????????????????????????????????
??????????????????????????????????????????????????
?????
??????????????????????????????????????????????????
??????????????????????????????????
??????????????????????????????????????????????????
??????????????????????
??????????????????????????????????????????????????
???????????
????????????????????? ????????????????????????????
??????????????????????????????????????????????????
???? ??????????????????????????????????????????

57
?????????????????????????

??????????????????????????????????????????????????
???????????????????????? (Report Distribution
List) ???????????????????????????????????????????
??????????????????????????????????????????????????
???????
?????????????????????????????????????????? ????
???????????????? ????????????????? ????
????????????????????????????

58
?????????????????????
1. ????????????????????????????? 2. ??????????????
??????? ???????????????????? ?????????????????????
????????? 3. ???????????? Master File (Input)
??????????????? ????? Transactions
?????????????????????????????????????????????
Master File (Output) 4. ??????????????????????????
????????? 5. ???????????????????????????????? 6. ?
????????????????????????????????? ???????????
??????????????????????????????????????????????????
59

???????????????????????????????????????

60
???????????????????

CobiT An IT Control Framework
CobiT Control Objectives for Information and
Related Technology ???????????????????????????????
???????? (ISACA)
IT Governance
Alignment with business and providing transparent
value
Top management attention
Performance measurement and continuous improvement

61
CobiT IT Control Framework

Starts from the premise that IT needs to deliver
the information that the enterprise needs to
achieve its objectives.
Promotes process focus and process ownership
Divides IT into 34 processes belonging to four
domains and provides a high level control
objective for each
Looks at fiduciary, quality and security needs of
enterprises,providing seven information criteria
that can be used to generically define what the
business requires from IT
Is supported by a set of over 300 detailed
control objectives

Plan Organize
Acquire Implement
Delivery Support
Monitor Evaluate

Effectiveness
Efficiency
Availability
Integrity
Confidentiality
Reliability
Compliance

62
CobiT IT Processes
???????????????????????
???????????????????????????????
CobiT
????????
??????????????????
??????????????????????

??????????
???????????
???????????????
??????????????????
???????????????
?????????????
???????????????

?????????????????????

???????????????
??????
??????????????????????????????
???????

????????????????????
?????????????????
63
??????????????????????
??????????????????????????????????????????????????
??????????????????????????????????????????????????
?????? 3 ????
????????????????????? (Quality Requirement) ?????? ?????? - ?????????
??????????????????????????? (Fiduciary Requirement) - ??????????????????????????????????????????? - ???????????????????????? - ????????????????????????????????????
?????????????????????????????????? (Security Requirement) - ???????????????????????? - ?????????????????? - ???????????????
64
??????????????????????

Quality Requirements
Quality
Delivery
Cost
Security Requirements
Confidentiality
Integrity
Availability
Fiduciary Requirements
(COSO Requirement)
Effectiveness and efficiency of operations
Compliance with laws and regulations
Reliability of financial reporting

Effectiveness Efficiency Confidentiality
Integrity Availability Compliance Reliability
65
??????????????????????

??????????????????????????????????????????????????
??????? ?????????????????
?????????? (Effectiveness)
??????????? (Efficiency)
??????????????? (Confidentiality)
??????????? ?????????????? (Integrity)
??????????????? (Availability)
??????????????????????????????? (Compliance)
??????????????? (Reliability)

66
????????????????????????

?????????? ???????????????????????????????????????
?????????????? ?????????? ??????? ????????
?????????????????????
??????????? ??????????????????????????????????????
?????????????? ? ????????????
??????????????? ??????????????????????????????????
??????????????????
??????????? ?????????????????? ???????????????????
?????????????????????????????????????????????

67
????????????????????????

??????????????? ?????????????????????????????????
??????? ??????????????????????????????????????????
?????????????????????? ? ?????????????
??????????????? ??????? ?????????
????????????????????????
??????????????? ??????????????????????????????????
??????????????????????????????????????????????????
???????????????????????????????????????????????
?????????????????????????????????

68
Plan Organize
PO1 ???????????????????????? PO2
???????????????????????????? PO3
???????????????????????????????????????????? PO4
?????????????????????????????????????
???????????????????????? PO5 ????????????????????
??????????????? PO6 ?????????????????????????????
????????????????????? PO7 ???????????????????????
???????????????????? PO8 ?????????????????????
PO9 ?????????????????????????????????????????????
?? PO10 ???????????????????
Domain 1 (PO) ???????????????????
69
Acquire Implement
AI1 ??????????????????????????????????? AI2
???????????????????????????? AI3
?????????????????????????????????????????????
AI4 ?????????????????????????????????????????????
?? AI5 ???????????????????????? AI6
??????????????????????????????????? AI7
????????????????????????????????
Domain 2 (AI) ???????????????????? (AI)
70
Delivery Support
DS1 ????????????????????????????????????? DS2
???????????????????????????????????????????? DS3
??????????????????????????????????????????????
DS4 ?????????????????????????????????????????????
????? DS5 ???????????????????????????????????????
??? DS6 ???????? Cost model ??????????????????
DS7 ???????????????????????????????? DS8
??????????????? incidents DS9 ???????????????????
???????????????? DS10 ???????????????????? DS11
????????????????????? DS12 ??????????????????????
??????????????????? DS13 ????????????????????????
????
Domain 3 (DS) ????????????????? (DS)
71
Monitor Evaluate
ME1 ??????????????????????????????????????????????
?? ME2 ????????????????????????????????????????
ME3 ????????????????????????????????????????
ME4 ???????????????????????????????????????????
Domain 4 (ME) ?????????????????? (ME)
72
Maturity Model
0
1
2
3
5
4
Where we are (As-Is)
Industry Best Practice
Where we want to be (To-Be)
International Standard Guidelines

0 ? Non-Existent Management processes are not
applied at all
1 ? Initial Processes are ad hoc and
disorganized
2 ? Repeatable Processes follow a regular
pattern
3 ? Defined Processes are documented and
communicated
4 ? Managed Processes are monitored and
measured
5 ? Optimized Best practices are followed and
automated

73
CobiT v.s. Other Frameworks

Organizations find it convenient to use CobiT
because CobiT relates to other frameworks, such
as ITIL, ISO 17799, CMM, and COSO.

ITIL
ISO 17799
CMM
COSO
The IT Infrastructure Library is a collection of
best practices in IT service management. It is
focused on the how of IT or service and its
processes and the central role of the user.
The Code of Practice for Information Security
Management is an international standard based on
BS 7799-1. It is presented as the best practice
for implementing information security management.
The scheme for certification of the software
quality management system to improve the
effectiveness of the quality management system
and targets customers, suppliers and assurance
professionals
The COSO Framework is an effective standard and
an accepted framework for establishing internal
controls and determining their effectiveness.
74
???????????????????
????????????????
???????????????????? ?????????? ??????????
???????????????? (Document Flowchart) ????????????
?????? (ICQ) ????????????? (Audit Program)
????????????????????? ?????????
?????????????????? ?????????????????
??????????? ?????????????????
(?.1 ?.118)
75
Risk Quadrant
Impact vs. Likelihood
100
High
???????
?????????????

Mandatory Policies
Independent confirmation of compliance

Contingency Plans
Prompt reporting of breaches and follow up

I m p a c t
50
?????

Minimum control standards
Monitoring for lapses
Sanctions

????????????????????????????????????????
0
Low
100
50
High
Likelihood
75
16/12/63
76
Risk Control Concept

??????????????????????????????????????????????????
?????????????????????????????????????????????????

??????????????????????????? (Risk Appetite)
76
16/12/63
77

????

78
????

??????????????????????????????????????????????????
??????????????????????????????????????????????????
??????????????????????????????????????????
??????????????????????????????????????????????????
??????????????????????????????????????????????????
???????????????????????????
??????????????????????? ????????????
?????????????????? (Application Control) ????
??????????????????? (General Control)
????????????????????????????????????
??????????????????????????????????????????????????
????????????????????????????????????????.

79
About ISACA

Start 1969
Global organization for information governance,
control, security and audit professionals
Over 65,000 members
175 Chapters in 70 countries worldwide
Administrate CISA CISM and CGEIT certifications
Established IT Governance Institute (ITGI) in
1998
More information about ISACA and ITGI
http//www.isaca.orghttp//www.itgi.org/

80
About CISA

Certified Information Systems Auditor
Certification for IS auditors practitioners
ISACA's cornerstone certification since 1978
Globally recognized symbol of achievement in IS
auditing, control and security excellence
Approved accreditation by US Department of
Defense
Earned by more than 55,000 professionals
worldwide
200 questions (450/800) 4 hours
Arranged 2 times a year (June - December)
555 Application Fee (Non-Member Rate)
More information about CISA http//www.isaca.org/c
isa

81
QA