g33: enterprise information security compliance and ...sfisaca.org/images/fc2010_presentations/g33 -...
TRANSCRIPT
G33: "Enterprise Information Security Compliance" and "Outsourcing Security
Compliance" per ISO 27001/2 Standards
Raj Patel, Oracle Corporation
������������� ����������������
���������� ������� ��������������������� ���������� ��������
������� ����!��"#�$!��� !�����%���� ��������&����������
������������ �������������������������� ����������
������'�#���������%������� ����������������
�������'����������� ������� ����������������
���������� ����������������������
�������������������
$�(����%�������
1
��)������
�������������� ���������� �����������������
����� ���������������������������� ��� ������
� ����
� ������
�������������������� � �� ���������������������� ��������������������������������������������������
Section I:
Enterprise Security Compliance
2
�����
��������������� �������
���������� ��
!������������� �����
��������"��#��
�%� �����������
$������������������ ������������������������������������%��&���������&�'�����������������������������������������$���&��������('��%�������������&��)����*������������������
� �����+�$",
3
- ������������������
. ���������
. ������
- !��������"������
- ��� �������#��$����������������� ����������" ��������������
- %��"��������" �������$���� �����
- %��"��������" �������$���" ��������������
- &'�� ���������()���� �� ���*���+
�����������%���������
-
�����������������
����
������
��
������
����������������������
�$��������������������%��&�����������������������
���/��������%��&�������������0���������1���'�������������������������2������&��%��&�����
������������������������������������������1�����������������&
�3��������&&��&�����
�"�����������)����1�������������&���������������������������������&��������
��������� ������
4
���������� ��������
�����������
��������
���
������ ���
�����������
������������
� �����+�$�4�5�6����
������������������������������������
���
���������������������
����������������� ��������
�������
�����
��
������!�"#$�%
��
������ ����%
��
� �����+�$�4�5�6����
�$�"�+��������������
5
��������
�������
���������
�!��&'�&�
���������(�)(�
���
����*+(&'�&�
��
�����&�+)�,
-�'�&�
��
����-)��&(+)&
��
����!&��
-)����&�
��
���&�+)�,
�.�)&�&��
��
� $����7����4������8
����������������� ��������
Section II:
Outsourcing Supplier Security Compliance
6
9��1�:������������
(������������'�������'����
��� �������
,��������
����������� �������� ���
/�����������������������'����;��������������������������������������%������������'����������<<<
(��������������������������������������������<
(���� ���������'������'�����;��������������!����������������
(������������'������'���������1�$��1�!�����&���
,��������
����������������
��������
#%%���+�����������,������(������������������������������)����)�����!��������������"��������������������������-����������������.)�������/������!��������������������%����������
7
������� ���������������
�������������)����)���������������+����%����������������������������������+����0������.�1�������������,��������������.)���������+������%�������+�����������(��������������������������
����������������� ��"����������� ������� =�����8�1� >���� 9��������(���������� $��������������������� $/�$���������������<<<<<<<<�����8��2)��������������2���'�����<
������� !����������"������� ����&��"����������������������� ���� � �������������"������%�,�-.//0�%����1%����������� ��������������������2���������
� ,"*������&������������������'������ � ������� ������3����� �������� ��������������#���������������������4��
� ��� �������������� ��������%�������
� 5��������������%�������� � �������������������
� ������ ������� ����������������6�5 ����
� ��� ���� &���������$�������������� ��������������������� 5�����������������1%�,�-.//02�����#�"������������� ����������$�������� ������������� ������ ��
8
�������������������������������������
�������3������4��
������
�� #,������3������ ������
������
�������� ������
��� ���������#�����7 ����������� ������ �� � �����
��
#,������#�������� �������
���?�'�����������������������?�'����������������������������?�'���@�����
��������?�����+A������ �<
�����?�����+���A������ �����
��������?�����+A������ �<
����������@��������� �����������@��������� ����������@�����������������
��������?�����+��@�������
�����8�������� ��������
������������ ����
�����?�����+���A� ��;�@�������
�����?�����+���A��@�������
9
����������
-
�� 5�� # 6#7$
������ ����������� ��� �
�����
������ ��������
��� ��� ������
���������������
��� ��� ������
�������������������#����������$$$�
�� #�4��$8
�49�$
������3�#?�'����������(�����
��6�����������#(�����%���������������B�����
��6���������������"������
��%�������
��"������������
��������(�����
� ��;#�$
� # 6#7$
����� � ����������� ��
������ ���� !��� � �
�
�����" ���� !��� � �#���� ���
�
��,9&���&:%&;�6
5���,:5!
��/������"�'���+
���������������&�
���������������'�
�
��,2����'�B&��<�"�'���
��3�#?$>,(����'�
7#$<��5� # 6#7$
��$�������������
$���&������
��>�=�$���&�����
��(���������>������)����
��� #C�,��������
���������,����
$���&�����
��>����D>�$�E$���&������
�
�� �<�=� �9���+�.
������� ������9����
�7> 4$ �4$> 4$ ���#
������������)����������+�.
��������
������������
�
���� ����������+�.
�����6����������+�.��
������������9������������������������������
�����������������������
�������������%������������9���������0���3 �� ������� ��9����������1
�����"�>&�?#@�������
4 &�#�
�$� �������6�����
�8�&#�$�6#
��<��-�����������
��<��-����������
��<��-�����
��<��-����������
��<��-�����������>������������
���<��-�����������
��<��-����������
������
�����A�<��-��0$391
������������������#������%��#� &
����������������
�$� �������6�����
�������6�����
������9�����
�������6�����
�������6�����
�������6�����
�������6�����
3 �� ������
� �� ������
10
Outsourcing
Risk Assessment
���'�"�����������������
���������������������%���F������%����������8���������������������������&����F��������F����������������������������<
!��������B��-�3�����6��)�������D������������������������������������0���������������%����������������������<
11
�������%��/�����%�6������ ��+������������06 �1!��)�� ���������������������)��������-���%� ������$���������������0 $�1 ����������������� ��%���0 � 1�3�����������������������03��1$?���0$)���������?�����(��������������0$?��1� �+���������������������0 ��1
��������������-�.�������������������������.�)���������F�� ������� ������� �����!� �������������G�������
� ����������������������������(��������(�+�� �����������G�����������������(�+�� �����������G����������������
����������������������������
������������������ ������� ������$�����&�+��
>>>>
>>>>
>>>>
>>H
HH
HH
HH
����
�5�5��&<�%�%:%�=����
�� 5�3� #9�6#$J�9�&�"8�
��������������6�$��K������������������������������ ��� �� � � � � ��� ����� � �� � � ��� � � � ��� ��
�������������������������� � �� � � � � ��� ����� � �� � � ��� � � � ��� ��
������������������� � � � ���� � � � � ��� ����� � �� � � ��� � � � ��� ��
� ����������������������5�5��=�&��$�����%���������������������������
%��5����� � � �&�� �����������'�����5���� ������ ���� ��� �������% �(���������������
>%5������ ������������ ��� ��(�����������������
�:�5���)� ���*�+�% �,�%��� ���� ��� ��(����
�%5������������������ ��� ���������������������
���������
���������� ���������������������������
01�����)��2����3��4
)�5��3������67��
!� !����������������� �������������������������������
08�9:)��2����3��4
)�5��3������67�����������������
������������������������������������
���7�$� #�6�$$#9��
������03#��4 #�?#�8����������
��������?#�8�J�"J��� 51
� ����������������������5�5��=�&��-)� �����������������������
%��5������.�����������������������������5���� ������ ���� ��� �������% �(���������������
>%5������ ������������ ��� ��(�����������������
�:�5���)� ���*�+�% �,�%��� ���� ��� ��(�����
�%5������������������ ��� ���������������������
���������
���������� ������������������������������
01�����)��2����3��4
)�5��3������67��
���������
���������� �����������������������������
01�����)��2����3��4
)�5��3������67��
!� !����������������� �������������������������������
08�9:)��2����3��4
)�5��3������67�����������������
����������������LL
LL
LL
>>>>
>>�
� ������������������������5�5��=�&��������������������������������
%��5����/������������������������������5���� ������ ���� ��� �������% �(���������������
>%5������ ������������ ��� ��(�����������������
�:�5���)� ���*�+�% �,�%��� ���� ��� ��(�����
�%5������������������ ��� ���������������������
��"���������������� �����������������������������������
0'�;)��2����3��4
)�5��3������67����������������
��"���������������� ����������������������������������
0'�;)��2����3��4
)�5��3������67����������������
��"���������������� ����������������������������������
0'�;)��2����3��4
)�5��3������67����������������
�������������'�"���������(������'�)������������
12
�������(�+��������������
(�����������������
�/(+�
�������/�����(���������
�������������'�"���������#���������������&����8����������������%�������������&���(��+
� 9���� �+������-� ���������-� �����������-� ��+���M��������-
������� ���� �� ) �) ���) �� ��������������������% � � ��,����� �����������������������������.������������ ���, ������ �'
� �0�������% ��������) ����(���%%� �.�� ����������.���, ����. �������) ���� ����� �� ��5�!�����%������'�� ����� �����������"������������ ��5�!�����%%������������� �����������"������������ ��5�!�����%%%��>����������� �����������"�����������
���%%����� ����)����%% ������. �� ���%������������� ��%�� ���� 1� �%������� ���� �� !��� �����.���)���.)������������������ ��� ����������������� �%�����������.���'
� �0��������% ��������) ����(��) �#�/������.��� ����������.������) ���� ����� �� ��5�!�����%������'�� ����� �����������"������������ ��5�!�����%%������������� �����������"������������ ��5�!�����%%%��>����������� �����������"�����������
��9$(+�
9��������$����
(���������
� �) ����� ������������ ��� ���������� �� ���) �% � %����)����)�����%��, ���� ���������,� �)���$���� ��%���(��� .�����������%,�%���� � ���������'
� ��) �������% � %������ ���� ����%%� �.���� ��������% � ��)���%%����," ���� �� �����������5���������������� ��������>������� �������� ���������������������
�������������������%���� �������������������&���<������"���%�����
�$(+�
���'��$����
(���������
� �/(������0������������2�����������������'��'�������������F��<
� ����������0������������������'��������������������������%��������������������������*�������1���������&���������������������'��D�E����'�������;���������������������%������������<�$���������������������������'��������������������������������������������������1���������/�����(����������D�/(E������0�����<
� �/(�����������������������������������'�������������������%��������������������������������������&����������������%���������<��
� G����������������������/(1�������B������&���������������&��������������������+� PTA Level I: B2���������������������%������������
� PTA Level II: B�����������������������%������������
� PTA Level III: 9�����������������������%������������
#�"�%#�����������"��������&
13
� �) �� ���������� ��� �������% ������������� ������������ .���.�� ������2� %� ������,�� ������) ���%�����&���� �'�
� �) ���� ������) ��������%�. �� ��)����� �����)�� ���� ��� ���������������� ��%� (�����) � �����%����������������%������, � ��) � �� ��� ��%� �'
� $���� ����������� ���%���������� ���� ��������
� �����%
� ��� ���$����%����) ����������� �� ���% � ��
� ��%��� ���������������%��
� ���� ��������������
� ����.
�"#�%��������"���������#�����&
� �) ����� ������������ ��� ���������� �� ���) �% � %����)����)�����%��, ���� ������������,� �)���$���� ��%���(��� .�����������%,�%���� � ���������'�
� �) �������% � %������ ���� �����.����� 2�������% � ��)����%����," ���� �� ����������� ���� � � �#�.
� ���� ������#�.
� $����.������#�.
� #��/���������
� -��3 .%�.�,% �������
� $���� ����������� ���%���������� ���� $���� ��%������� ��� ��
� �� .�������� ��� �
� ���%,�%������� ��� �
)�"�%)��������������"��������&
14
� �) ������� �����) ��+$���������� ����) ���% �,�%������,��� ������� �������%�����&���� ��(�����"������ ��)��) ��)� ��������% ���������%� �����) � ����) ������������������� ����%�,� �)���$���� ��%���(��� .�����������%,�%���(����� ���� �����) ����� ������������ ��� �'
� �) ����.���% �,�%�������.������) �%�� %�)��������)� ����� ��%�4�.(����.��) ���%%� �.����.�'� ������,,% ��5�67����� ��&� ��
� ���8�.)%��%�� %���9267����� ��&� ��
� $�������,% ��62:����� ��&� ��
� #��0%�� %���;�6����� �&� ��
� -���������,% �������������
�* "�%�����������*������ �����"��������&
Audit &
Assurance
15
������6����
���$�����+��� ����6��������.�)���������������(����+�������������%��)�� ������F�����������.�)��� ��������%����.��-�����������������������������)��������+���)���%%���+������%��)�� �����������������������������+����������������
"�������
��#%%���+��������%%������������ �������0�-�'��9�9����������!�3 �� ������!� ������� ��+����?�����1���������������������������-������������� ������������������������������������
����������������+���)�� ������� �����������������)����)�� ����������������� �������!� �����!����������!�������������)�������
16
��$�����������8�1�'�����%���������������������������������������
��,���������8�����'�����%�����������������������&���������������
���%��������������������������������������������%�������������������
��,�������������������������������������B�����
�� �����%���������������*������������������������������������'�����
"����� !�����
���������"�����
����������=�� ��� �����>
��
��������������
������
��
�������3���
�����
��
��?��������������
��
� �� ���!����"����#�$��
��������"���
��:������������2������3�����@����3�������3���:�3��9�������7?���3��7���+$�$�4����3����7
��������7����3�����3��$�
��:������������3���5���������@���������973���3���97���3���3���9�@@���������3����������$�
��:�����������3����:�����3�������3����B�3�������@�����������@�3�������3�������9�4��������:�;�:����4������3�����$�:����������4������4�B�������4���������7����������3�������9����3���7C��2�����3���B�34�����7����4��������3��47��;������������3@������43�B��;�$
��:���������3�B��;�:����5���4�@����3�������3���;��:���:�����3������������3�����;:��:�3�����3�������������B�3�������D����$
17
"��8�(���������
(�����=���������
�������������(�����
�����&�B�����&
(�����"�����
"����#�������������(��(����������������������&���������8�����������������������$����7���;�������������%���������&�0�����������������<
� �G���&����8�%����������������������������������������������������
��������������������������������������������������&�������������������������������������0���������
� ��������������������'���������������������������&����������������������&�����������%F���'��<
� "�'����0������'�����0�������'���������;�'�����;��&������������$�B�� �>����������������������������1�"�&���������� ����������0���������� 9�����8���������*���������������$����7���;����������D3(��(������E�
� ���������������������������%F���'��%�������������������8������������<�� ����'�����'��'���������������������1����������1�����������������������<��
����'������������������������������������������'��������&������������� � ��������������������������0�������������������������� �"���'��������������������
� � ���������=������������"������D= "E�� �,2��������������������0������������ � �������������������������
������������ ��������������������������� �� ������� !"��#""��� �
� ��������������<�����???????????????????????????????????????????????????????????????????
� �������!�����5����������������????????????????????????????????????????????????????????
� ���������� �������������<����?????????????????????????????????????????????????????????????
� ����������� �������������&����������"���������???????????????????????????????????????????
5 ���3��<����???????????????????????????????????????????
���������5 ���??????????????????????????????????????????? 5 �� ��� �� �5�� @ �5%!
����$�%� $&&����
�����*��(����
�����*��B���
��������B���
B����
� � � R
�� U &�+������ ���������G�������
�� H<� �%������� �������6�������
�@ H<�<�
�H H<�<�DE
�� H<�<� �������������(����
�@ H<�<�DE
�H H<�<�D%E
�7 H<�<@ $)��� �����#�������
�I H<� (�����B�&������D�����������������E�J H<�<� (��������������
���������
������� ���������G������������ �������� �������������
<�A��������������� ����
%�� ���: �����"������� 5��
����������� ��������5 ��
$�����������������������+�/�������������������%�������������������������������������� ��������$/���������������%����%�����������������������������������������������'����2������������<
(���������������������������������1������'������%F���'�������������������������������������������%���&�����������������������������&<
,������&������������9�������������������������8���������������������� �������K��%��������4�������<
,������&������������9�������������������������8���������������������� �������K��%��������4�������<
/�����������������������%����������������������� ��������B���������������������������������������<�
"���� ���'����(����������� �������������
18
�����������������������
�� ���������%��� < < <
�=�.�4����������������� ������ < < <
���� ��/. � � < <
�8���� ����� ��� ������ < < <�
��)����%���-����� �%�� ������ <� < <
�$�������������=� ������/. � � < < <
���� ���$����% < < <
�������������� ���# � %��� ����/�� � < <
����������� ����������� ��/. � � < <
����� ���$��������/. � � < <
�$���%�� ��> .%(�� .�%�������$������%� < <
�& 6 �J
������3�����#��������%�,�-.//0�%���������
���'�)�����"������������%����+,--.&
�������������������4������B��������� ���!$����#������������� �������������������"���%�,�-.//-��������1����(C+�����"����"��2�
�
� � � ����������������� ���������� ������������
������������
� ����������������������������������������������������
��������!��� ���������������� ����� �� �"���
�� ����� �#
� $"���%����� �� � ������&��"����'())*�+���,��
!�� ����� �����������,����������������#����������
� $"���������������������� ���,���������������
���� ������� ��"����,�
� $"������-������ ��"��,���������������&��� ������ �
��������"��� ��������������-�����������������������������
�������� ������� ��"����,��
����� �������������
������������ �������������������������� ����������
19
��/�������0�0 �01��������%0 &�(���2��2����'�(���������������
���������������$
������3��������2��2����'�0����������4
. �� ���������&��"���.�� ��������������"��������
/����" ��0������" ��� ����������.�
���1������.��"� ��"�� ���-������ �2������� ��� �������� ���
�����1
/�������������������� �"�����������3����������������� ��������
!�������� �����������4���&���5� �&��������6 ��������� �#
/����" ��0��� �������������������5����� ����� ������3��
��������������� ������
5��� ������"����1�������
������������ �������������������������� ����������
�� � ���������������%�����"6 ������������7
����������2������83������������0�83�������
������1����
�0�6��������"������� �����9��������
�0� ��������:���
��"������������������������������������
�������������������������
���:���������"����1�������
������������ �������������������������� ����������
20
������� ��%��������� 6��� &�.�
( � � �
9 � � H
� � �
� � � �
, H � �
4 � � �
3 � H �
! � � �
$ � � �
L � � �
: � � �
� �+������ ������ �� �� M
����A��%��7���%�������
�� ��������� 6 ������������������������J�)���-
���?�D�������������E�������
��"3�D��&��)��������$�����������������E��
�(�B�D(�����B�&�����E���
�!"�D!����"���������������E�
��!N�D��������������E����
�=��D=�����8� �������������������B�&�����E��
�( ?�D(���� ������E���
�,>�D$������������(0��������1���'��������1B�������E��
$���D$������������������$���������&�����E��
9 ��D9�������� ���������E�
�B��D ����������������1�"�&���������� �������E��������
��#,�������%�������������6������0 ���� ��������� 6 �������1
������������ �������������������������� ����������
O �� 5
�
! ( ?
�B �"3
@
? �"3
H
! ( ?
�=��# ������������;��$�����������
� ���� 6 �
��������
�������������"�0������
;�(���������������
�(�����
/8���%��
���������
������5�,2������ ����������
����G������,��&��=�/���&���������������� ����&������� ����������B�&���������������������%������������������<�������������8�����������������������������������������������(=
/�8������������%����&�������������������������������0���������<�/�8�����������%������&��������&�������&����(=���,��("/=,"�3(/,�(N�
� �
�/��������������'�����������������������������&��
/�����������������������������������0������������&<<
� �
�/���������������������������������8����������������������&
�(������%���������9��������������&���������������������������������������8����D���������8������E<��
� �
�������&��������*���������������������������&�G(B�D�����(����B&��E���0��������<��
������*������������������������'�����������������������&������������&��������&������ �������9������9�7F$��
� �
�#,�������%�7���%�������������7����
������������ �������������������������� ����������
21
Section IV:
Appendices
• ��������������2�����&���������������8�������������1������&�������������%�����������������1���&�����������%����������������<�
• ����&������������������������������������������8����������&������������K����������������������������������������������������������'��������<�
• �������������������������������%��������������&��&�'�������������������������&�����8#%����������&<�
• B�&���������������&���������1��������&������������#����������1�����������2������1�������������'��������������������&������&����������������#����������&������<�
• $�������������������������8��'�������#���'������������������������PB��/�8�Q�������������#�������������&��<�
• 3�����������������������������������#�����������������'�����1�������������������������������1���&��������������8�1���������'������������&�����������������2���������0�����<�
• G����)��(����K�����#�������������&�������%�����%�����������������
�����������������������������������������������������������<�
Compliance Management Process
22
��������� �����������:$�� ����������/���!�����$��������������%���������(����%������(������JJR���0��������&������������'���
������&���������������������������������������������������'�<
� ���� ���/�����%���#�2����(������������0�������������������������������������������������&������������������������������'����������&���������<�
� �����/���3���#?��#9������(������JJJ���0���������������������������������1������������������������������������������������������������������%�������������������������������������1��������&�����������������'������������)���������������<
� ��������/���4������$������������������B�&������(���������������������%������������������������8���������������������������&�'���������������������������D������&�'����������������E�%��������&������������<
� �����������/��� �����"�0����������������'�;9����$$�(�������%��������������������������������%�8��&���&�����������������������&���&��������%�����������������%�8����������������������&����&�����������������������������������������8��%�8����<
� �������������������������������%���/�����&���������������������������������(����������������������%���������������������������S��%�������������������������������������������������S���0���1�����'�����������2����'�S�����1�����������������1�8�������������S�8��������������&��������������S����������������������������'��������&���������������������(�S�8���������S��������������������������������������������0����������������<
� $�������������������������1�����������������������&�������1�������������������������������&�1��'��'��&�%���������������������������&�����������������������K���������������������1����������1�������������%�������������<�
� %�&���#'�(")�*�� +���,�-�+.��,���#��/�������������� ���0�#�1�&���#�(")��23,���4�����5 �����.���23������"����,��3����5���4��������������������,��/�� ���������-����2��#���-����+�������5�2����6��,�+ �������5�������-��+7����/��"�&���#���������,���-/����5�����+���5�/��.�-�������������-8�6,��,�2�9���������-��.��-�3��+����������������/��������,����5���4�����"���������2�9��� �������,��&�3�+����.���� ���.���-�������5�������0&���1������6�.������������5��,������ �������� ���.�3��������"
� �������::��!;))<�0����;:))�1�*�#,���������������������������-��-������,��2���5�2��������#���� ���.��,�����5���4���������������������2�7�����������8����,���/����5���-�����������3����������"�#,�������!�+ ������������� ��.�3������58��.���2�-�/���32������-�2����������8�3,.��������-���/����2��������� ���.8���23������8�3������������ ���.8���� ���.���5���4�����8���23 �����3�����������-�2���5�2���8��������������8���-���� ���.�3����."
� =��#�%))><?�*�#,���3 +������������2��,��=�������������� ����������-��-����-�#��,����5.��������������������@A���22��-�-���� ���.�&��������������-����������2�������.���2�"B����-�����+������ ���.�������������� ���+.���5���4����������3��������5��,���������2�������.���2�8���-�����22��-���,����,�.�+���23��.�-�������7 �������6��,���-����3���������6���>-�����-������2��������� ���.�3��5��2"�
IT Governance Compliance Req.
23
����������������� �����������:��������� �&�+)�,-�'�&��������������������PB�&�����*������������������Q���������P,�'��������Q����
��F��������������&��)������3���1���&��)�������%F���'��1�������������$��������1�?��������&�������<
� ����(�)(���/�������������������������������������������������������������������������������������8�%���&��������)��������&�������������������<��1&+�����'��������������&�1��8��������&������>�=���<
� -)��&(+)&��/������������������������������������������������������������������������&�����������������������������������%�������������������������8<�����������������������������#%�#��������������%����������������������������������0��������1������������%F���'�<�/��������������������������������������'��%��������������������<
� !��&'�&���/���9���������������%�����8��������������������������������'���������������&�������������'��������������������������������������������������������������������1�9�����������������������������������������������������������������������������������������������������������������'�������������������&�����������&��)����<
� *+(&'�&���/���3��������������������������TTT�3���������������������������������������������������%���������������������������������<�/������������������<1�%����������1���������������������������&���<
� !&��-)����&���/���3�'����������������������������������������P9����������<Q�(������������&���������'���������������&����������������������������������������������������������%�����'���������������<
� �&�+)�,�.�)&�&��E#,����� ���.��6��������#������5�3��/�-����23��.����6��,�����2��-�������,������� ���.����3����+�������"�#,���+7����/��������2���/����3��������������23�.�6��,���� ���.���C ���2����"
������������ �������������������������� ����������
Q & A
Thanks!
24
��!�"$�#�����
������� �� ���� ���/��
�� -���7��')*)
25