āļāļĢāļ°āļāļĢāļ§āļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢ āļāļđāļĄāļ·āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒICT 1
āļāļđāļĄāļ·āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒICT
āļāļĢāļ°āļāļĢāļ§āļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ
āđāļĨāļ°āļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢ
8 āļāļļāļĄāļ āļēāļāļąāļāļ 2550
āļāļĢāļ°āļāļĢāļ§āļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢ āļāļđāļĄāļ·āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒICT 2
āļŠāļēāļĢāļāļąāļ
āļāļāļāđāļē ........................................................................................................................................................... 3
1. āļāļ§āļēāļĄāđāļāļāļĄāļē ........................................................................................................................... 3 2. āļ§āļąāļāļāļļāļāļĢāļ°āļŠāļāļ .......................................................................................................................... 3 3. āļāļīāļĒāļēāļĄāđāļĨāļ°āļāđāļēāļāļēāđāļāļąāļāļāļ§āļēāļĄāļāļĩāđāļŠāđāļēāļāļąāļ ............................................................................................ 4
āļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢ/āđāļāļāļāļāļīāļāļāļąāļīāļāļēāļĢāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļ...................................................................................... 5 1. āļāļāļāļēāļāđāļĨāļ°āļŦāļāļēāļāļĩāđāļŠāđāļēāļāļąāļ ....................................................................................................... 5 2. āđāļāļāļŠāļēāļĢāļāļĩāđāđāļāļĩāđāļĒāļ§āļāļāļ ................................................................................................................. 5 3. āļāļēāļĢāļāļąāļāļāļēāđāļĨāļ°āļāđāļēāļŦāļāļāļāđāļĒāļāļēāļĒāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļŊ (ICT Security Policy) .............................. 7 4. āļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ............................................................................................................. 7 5. āļāļēāļĢāļāļąāļāļāļēāđāļāļāļĢāļ°āļāļāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒ (SSP -System Security Plan) .................. 12 6. āļāļēāļĢāļāļąāļāļāļēāđāļĨāļ°āļāđāļēāđāļāļīāļāļāļēāļāļŠāđāļēāļŦāļĢāļąāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļāļīāļāļąāļāļīāļāļēāļāļāļēāļĄāļĄāļēāļāļĢāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļŊ (Security Standard Operating Procedures -SOPs) ........................................................................ 13 7. āļāļēāļĢāļāļĢāļ§āļāļŠāļāļāđāļĨāļ°āļāļēāļĢāļāļāļāđāļāļāļĢāļ°āđāļĄāļīāļāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻ .................................................... 17 8. āļāļēāļĢāļāđāļēāđāļāļāļīāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļēāļāđāļāļāļĩāļāļĩāđāļĨāļ°āļāļēāļĢāļāļąāļāļāļēāļĢāđāļŦāļāļļāļāļēāļāļāļ§āļēāļĄāļĄāļąāļāđāļāļāļāļāļāļŦāļāļ§āļĒāļāļēāļ .... 17 9. āļāļēāļĢāļāļīāļāļāļēāļĄāđāļĨāļ°āļāļĢāļ°āđāļĄāļāļīāļāļĨ .................................................................................................. 20
āđāļāļāļŠāļēāļĢāļāļēāļāļāļīāļ ............................................................................................................................................. 21
āļāļĢāļ°āļāļĢāļ§āļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢ āļāļđāļĄāļ·āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒICT 3
āļāļāļāđāļē
1. āļāļ§āļēāļĄāđāļāļāļĄāļē
āļāļđāļĄāļ·āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļŊ (āļ.āļĻ. 2549 â 2551) āļāļāļ āļāļĢāļ°āļāļĢāļ§āļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢ āđāļāļāđāļāļāļŠāļēāļĢāļāļĩāđāļāļąāļāļāđāļēāļāļķāđāļāđāļāļ·āđāļāļāļĢāļ°āļāļāļāđāļāļĢāļāļāļēāļĢāļāļąāļāļāđāļēāđāļāļāđāļĄāļāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ āļāđāļķāļāđāļāļāđāļēāļŦāļāļāđāļāļ§āļāļēāļāđāļ§āđāļāļāļāļĢāļāļāđāļĨāļ°āđāļāļāđāļāļāļāļĩāđāļāđāļēāļāļēāļāđāļāļĢāļ°āļāļąāļāļāļĨāļĒāļļāļāļ āđāļāļ·āđāļāļĒāļāļĢāļ°āļāļąāļāļĄāļēāļāļĢāļāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļāļāļĢāļ°āđāļāļĻ āđāļŦāļāļĒāļđāđāļāļĢāļ°āļāļąāļāļĄāļēāļāļĢāļāļēāļāļŠāļēāļāļĨ āđāļāļĒāļāļēāļāļāļīāļāļāļēāļāļāļĢāļāļāļĄāļēāļāļĢāļāļēāļāļŠāļēāļāļĨ ISO/IEC 27001 āļāļĩāļāļāļąāđāļāļāļāļāļāļēāļĢāļĨāļāļāļĨāļāļĢāļ°āļāļāļāļēāļāđāļŦāļāļļ āļāļĨāļāļāļāļāļāļēāļĢāļāļāļāļđāļĢāļ°āļāļāļāļĒāļēāļāļĢāļ§āļāđāļĢāđāļ§āļŦāļĨāļąāļāļāļēāļāļāļēāļĢāđāļāļĄāļāļĩāļŠāđāļīāļāļŠāļļāļāļĨāļāđāļĨāļ§ āļĢāļēāļāđāļāļāđāļĄāļāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļēāļāđāļāļāļĩāļāļĩāđāļŦāļāļāļēāļāļīāļŊ āļāļ°āļāļ§āļĒāļāļąāļāļāļąāđāļāļĢāļđāļāđāļāļāđāļĨāļ°āļĨāđāļēāļāļąāļāļāļ§āļēāļĄāļŠāđāļēāļāļąāļāđāļāļāļĢāļīāļāļāļāļāļ āļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļēāļāđāļāļāļĩāļāļĩāđāļĄāļ·āđāļāļāđāļēāļāļķāļāļāļķāļāļŠāļāļēāļāļāļēāļĢāļāļāļāļāļļāļāļąāļāđāļĨāļ°āļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĩāđāđāļāļĩāđāļĒāļ§āļāļāļāļāļąāđāļāļŦāļĨāļēāļĒ āļāļąāđāļāļāļĩāđāļāļ°āđāļāļīāļāļāļāļ āļēāļāļāļĢāļ°āļāļēāļāļ āļ āļēāļāđāļāļāļāļāđāļĨāļ°āļ āļēāļāļĢāļąāļāļāļēāļĨ āļŦāļĨāļąāļāļāļēāļāļāļĩāđāļāļĢāļ°āļāļēāļĻāđāļāđāļāļāđāļĄāļāļ āđāļĨāļ§āļāļāļāļāļēāļĢāļāļĩāđāļāļ°āļāļąāļāđāļŦāļĄāļĩāļāļĢāļāļāļāļēāļĢāļāđāļēāļāļēāļāđāļĨāļ°āđāļāļĢāļ·āđāļāļāļĄāļ·āļāļāļĩāđāļāđāļēāđāļāļāļāļĒāļēāļāļāļāđāļāļĩāļĒāļ āđāļāļ·āđāļāļāļĩāđāļāļ°āļŠāļāļąāļāļŠāļāļļāļāļāļīāļāļāļĢāļĢāļĄāļāļēāļāđ āļāļĩāđāļāļ°āđāļāļīāļāļāļķāđāļāļāļāļāđāļāļāļāļīāļāļąāļāļīāļāļēāļĢāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļāļĢāļ°āļāļąāļāļāļāļāļāļĢ āļāļāđāļ
2. āļ§āļąāļāļāļļāļāļĢāļ°āļŠāļāļ
1) āđāļāļ·āđāļāđāļāļāđāļāļ§āļāļēāļāđāļāļāļēāļĢāļāļąāļāļŠāļĢāļēāļāļāđāļĒāļāļēāļĒ āļāļļāļāļāļĢāļ°āļŠāļāļ āļāļĢāļ°āļāļ§āļāļāļēāļĢ āđāļĨāļ°āļāļąāđāļāļāļāļāļŠāđāļēāļŦāļĢāļąāļ ISMS āļāđāļķāļāļĄāļĩāļāļ§āļēāļĄāļŠāđāļēāļāļąāļāđāļāļāļāļĒāļēāļāļĒāļīāđāļāđāļāļāļēāļĢāļāļąāļāļāļēāļĢāđāļāđāļāļāļāļŦāļēāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĩāđāļāļēāļāđāļāļīāļāļāļķāđāļ āđāļĨāļ°āļĒāļąāļāļĄāļĩāļāļ§āļēāļĄāļŠāđāļēāļāļąāļāļāļāļāļēāļĢāļāļąāļāļāļēāļĻāļąāļāļĒāļ āļēāļāļāļāļāļĢāļ°āļāļāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāļāļĄāļđāļĨ āļŠāļāļāļĨāđāļŦāļāļĢāļāļāļāļāđāļĒāļāļēāļĒāđāļĨāļ°āļāļļāļāļāļĢāļ°āļŠāļāļāļŦāļĨāļąāļāļāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļāļāļāļāļāļĢ
2) āđāļāļ·āđāļāđāļāļāđāļāļ§āļāļēāļāđāļāļāļēāļĢāļāļąāļāļŠāļĢāļēāļāđāļĨāļ°āļāļēāļĢāļāļāļīāļāļąāļāļīāļāļēāļĢāļĢāļ°āļāļ ISMS āļāđāļķāļāļāļ°āđāļāļāļāļēāļĢāļ§āļēāļāļāđāļĒāļāļēāļĒ āļāļēāļĢāļāļ§āļāļāļļāļĄ āļāđāļēāļŦāļāļāļāļąāđāļāļāļāļāđāļĨāļ°āļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļĩāđāđāļŦāļĄāļēāļ°āļŠāļĄ āļāļēāļĄāļŦāļĨāļąāļāļĄāļēāļāļĢāļāļēāļāļŠāļēāļāļĨ āđāļāļĒāļŠāļēāļĄāļēāļĢāļāļĢāļīāđāļĢāđāļīāļĄāđāļāļāļēāļāļāļēāļĢāļŠāļĢāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāđāļŦāļāļąāļāļāļāļāļāļĢāđāļāļĢāļ°āļāļąāļāļāļ·āđāļāļāļēāļ āļĢāļ°āļāļąāļāļāļĨāļēāļāđāļĨāļ°āļĢāļ°āļāļāļąāļŠāļāļđāļāļēāļĄāļĨāđāļēāļāļąāļ
āļāļĢāļ°āļāļĢāļ§āļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢ āļāļđāļĄāļ·āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒICT 4
3. āļāļīāļĒāļēāļĄāđāļĨāļ°āļāđāļēāļāđāļēāļāļąāļāļāļ§āļēāļĄāļāđāļĩāļŠāđāļēāļāļąāļ āļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļēāļāđāļāļāļĩāļāļĩ āļāļĢāļ°āļāļāļāļāļ§āļĒāļāļēāļĢāļĢāļąāļāļĐāļēāļāļļāļāļāļēāļāļ·āđāļāļāļēāļ āļŠāļēāļĄāļāļĢāļ°āļāļēāļĢ āđāļ
āđāļ āļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĨāļąāļ (Confidentiality) āļāļđāļĢāļāļ āļēāļ (Integrity) āđāļĨāļ°āļāļ§āļēāļĄāļāļĢāļāļĄāđāļāļāļēāļ (Availability) āļāđāļķāļāļĄāļĩāļāđāļēāļāđāļēāļāļąāļāļāļ§āļēāļĄāļāļĩāđāļŠāđāļēāļāļąāļāļāļąāļāļāļĩāđ
âāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ (IT)â āļŦāļĄāļēāļĒāļāļķāļ āđāļāļāđāļāđāļĨāļĒāļĩāļŠāđāļēāļŦāļĢāļąāļāļāļēāļĢāļāļĢāļ°āļĄāļ§āļĨāļāļĨāļŠāļēāļĢāļŠāļāđāļāļĻ āļāđāļķāļāļāļ°āļāļĢāļāļāļāļĨāļļāļĄāļāļķāļāļāļēāļĢāļĢāļąāļāļŠāļ āđāļāļĨāļ āļāļĢāļ°āļĄāļ§āļĨāļāļĨ āđāļĨāļ°āļŠāļ·āļāļāļāļŠāļēāļĢāļŠāļāđāļāļĻ āđāļāļĒāļĄāļĩāļāļāļāļāļĢāļ°āļāļāļ 3 āļŠāļ§āļāļāļ·āļ āļāļāļĄāļāļīāļ§āđāļāļāļĢ āļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢāđāļĨāļ°āļŠāļēāļĢāļŠāļāđāļāļĻ āļāđāļķāļāļāļāļāļāļēāļĻāļąāļĒāļāļēāļĢāļāđāļēāļāļēāļāļĢāļ§āļĄāļāļąāļ
âāļāļ§āļēāļĄāļĨāļąāļ (Confidentiality)â āļāļ·āļ āļāļēāļĢāļĢāļąāļāļĢāļāļāļ§āļēāļāļ°āļĄāļĩāļāļēāļĢāđāļāđāļāļĢāļąāļāļĐāļēāļāļāļĄāļđāļĨāđāļ§āđāļāļāļāļ§āļēāļĄāļĨāļąāļāđāļĨāļ°āļāļ°āļĄāļĩāđāļāļĩāļĒāļāļāļđāļĄāļĩāļŠāļīāļāļāļīāđāļāļēāļāļąāđāļāļāļĩāđāļāļ°āļŠāļēāļĄāļēāļĢāļāđāļāļēāļāļķāļāļāļāļĄāļđāļĨāđāļŦāļĨāļēāļāļąāđāļāđāļ
âāļāļđāļĢāļāļ āļēāļ (Integrity)â āļāļ·āļāļāļēāļĢāļĢāļąāļāļĢāļāļāļ§āļēāļāļāļĄāļđāļĨāļāļ°āđāļĄāļāļđāļāļāļĢāļ°āļāđāļēāļāļēāļĢāđāļāđ āļāļąāļāļĄāļĩāļāļĨāđāļŦāđāļāļīāļāļāļēāļĢāđāļāļĨāļĩāđāļĒāļāđāļāļĨāļāļŦāļĢāļ·āļāđāļāđāļāļāļēāļāļāļđāļāđāļķāļāđāļĄāļĄāļĩāļŠāļīāļāļāļī āđāļĄāļ§āļēāļāļēāļĢāļāļĢāļ°āļāđāļēāļāļąāđāļāļāļ°āļĄāļĩāđāļāļāļāļēāļŦāļĢāļ·āļāđāļĄāļāđāļāļēāļĄ
âāļāļ§āļēāļĄāļāļĢāļāļĄāđāļāļāļēāļ (Availability)â āļāļ·āļāļāļēāļĢāļĢāļąāļāļĢāļāļāđāļāļ§āļēāļāļāļĄāļđāļĨāļŦāļĢāļ·āļāļĢāļ°āļāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļąāđāļāļŦāļĨāļēāļĒāļāļĢāļāļĄāļāļĩāđāļāļ°āđāļŦāļāļĢāļīāļāļēāļĢāđāļāđāļ§āļĨāļēāļāļĩāđāļāļāļāļāļēāļĢāđāļāļāļēāļ
âāļāļēāļĢāļāļīāļŠāļđāļāļāļāļēāļĒ (Authentication)â āļāļ·āļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāđāļĨāļ°āļāļēāļĢāļāļīāļŠāļđāļāļāļŠāļīāļāļāļīāļāļāļāļāļēāļĢāļāļāđāļāļēāđāļāļĢāļ°āļāļāļāļāļāļāļđāđāļāļāļĢāļīāļāļēāļĢāļāļēāļāļĢāļēāļĒāļāļ·āđāļāļāļđāļĄāļĩāļŠāļīāļāļāļī āļŠāđāļēāļŦāļĢāļąāļāļāļļāļāļāļĢāļāđāļāļāļĩ āļĢāļ§āļĄāļāļķāļāđāļāļāļāļĨāļīāđāļāļāļąāļāļāļąāđāļāļŦāļĨāļēāļĒ
âāļāļēāļĢāļāļīāļŠāļđāļāļāļŠāļīāļāļāđāļī (Authorization)â āļŦāļĄāļēāļĒāļāļķāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāļ§āļē āļāļļāļāļāļĨ āļāļļāļāļāļĢāļāđāļāļāļĩ āļŦāļĢāļ·āļ āđāļāļāļāļĨāļīāđāļāļāļąāļ āļāļąāđāļāđ āđāļāļĢāļąāļāļāļāļļāļāļēāļāđāļŦāļāđāļēāđāļāļīāļāļāļēāļĢāļāļĒāļēāļāļŦāļāļķāđāļāļāļĒāļēāļāđāļāļāļāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻāļŦāļĢāļ·āļāđāļĄ
âāļāļēāļĢāđāļāđāļāļŠāđāļēāļĢāļāļāļāļāļĄāļđāļĨ (Data backup)â āļŦāļĄāļēāļĒāļāļķāļ āđāļāļĢāļ°āļŦāļ§āļēāļāļāļēāļĢāđāļāđāļāļŠāđāļēāļĢāļāļ āļŠāđāļēāđāļāļēāļāļāļāļāļļāļāļāļāļĄāļđāļĨāļāļāļāļļāļāļąāļāļāļ°āļāļđāļāļŠāļĢāļēāļāļāļķāđāļāļĄāļē āđāļāļ·āđāļāļāļāļāļāļąāļāļāļēāļĢāļŠāļđāļāļŦāļēāļĒ
âāļāļēāļĢāļāļāļāļāļāļāļāļĄāļđāļĨ (Data protection)â āļŦāļĄāļēāļĒāļāļķāļāļāļēāļĢāļāļāļāļāļąāļāļāļāļĄāļđāļĨāļŠāļ§āļāļāļļāļāļāļĨāļāļāļāļēāļĢāļāļĢāļ°āļŠāļāļāļĢāļēāļĒāļāļāļāļāļļāļāļāļĨāļāļĩāđāļŠāļēāļĄ
âāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļāļāļāļāļĄāļđāļĨ (Data security)â āļŦāļĄāļēāļĒāļāļķāļ āļāļēāļĢāļāļāļāļāļąāļāļāļāļĄāļđāļĨāđāļāļāļĢāļīāļāļāļāļāļ āļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĨāļąāļ āļāļđāļĢāļāļ āļēāļ āđāļĨāļ°āļāļ§āļēāļĄāļāļĢāļāļĄāđāļāļāļēāļāļāļāļāļāļāļĄāļđāļĨ āļāđāļķāļāļŠāļēāļĄāļēāļĢāļāđāļāđāļāļ āļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļāļāļŠāļēāļĢāļŠāļāđāļāļĻāđāļ
âāļāļēāļĢāļāļĢāļ°āđāļĄāļīāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ āļŦāļĢāļ·āļāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ (Risk assessment or analysis)â āļāļāļāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻ āļŦāļĄāļēāļĒāļāļķāļ āļāļēāļĢāļāļĢāļ§āļāļŠāļāļāđāļāļāļēāļŠāļāļāļāļāļĨāļĨāļąāļāļāđāļāđ āļāļĩāđāđāļĄāļāļķāļāļāļĢāļ°āļŠāļāļ āļāļāļĢāļ°āļāļāļŊ āđāļĨāļ°āļāļĨāđāļŠāļĩāļĒāļāļĩāđāļāļēāļāļāļ°āđāļāļīāļāļāļķāđāļāļāļēāļĄāļĄāļēāđāļ
âāļāđāļĒāļāļēāļĒāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒ (Security policy)â āļŦāļĄāļēāļĒāļāļķāļāļāđāļĒāļāļēāļĒāļāļĩāđāđāļŠāļāļāđāļāļēāļŦāļĄāļēāļĒāļāļĩāđāļāļ°āļāļāļāļāļāļāļāļ āđāļĨāļ°āļāļąāđāļāļāļāļāļāļąāđāļ§āđāļāļāļāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒ āđāļāļāļĢāļīāļāļāļāļāļāļāļ§āļēāļĄāļāļāļāļāļēāļĢāļāļĒāļēāļāđāļāļāļāļēāļāļāļēāļĢāļāļāļāļāļāļāļāļĢ āļĢāļēāļĒāļĨāļ°āđāļāļĩāļĒāļāļāļāļāļ§āļīāļāļĩāļāļēāļĢāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļĄāļąāļāļāļ°āļāļāļīāļāļēāļĒāđāļĒāļāđāļ§āđāļāļĢāļēāļĒāļāļēāļāļāļēāļāļŦāļēāļ
āļāļĢāļ°āļāļĢāļ§āļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢ āļāļđāļĄāļ·āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒICT 5
āļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢ/āđāļāļāļāļāļīāļāļąāļāļīāļāļēāļĢāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļ
āđāļāļŠāļ§āļāļāļāđāļāļāļĩāđāļāļ°āđāļāļāļāļēāļĢāļāđāļēāđāļŠāļāļāļāļāļĄāļđāļĨāļāļąāđāļ§āđāļāđāļāļĩāđāļĒāļ§āļāļąāļ āļ§āļīāļāļĩāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢ āļāļēāļĢāļāļĢāļ°āļĒāļļāļāļāđāļ āđāļĨāļ° āļāļēāļĢāļāļąāļāļāđāļēāđāļāļāļŠāļēāļĢ āļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻ
1. āļāļāļāļēāļāđāļĨāļ°āļŦāļāļēāļāļĩāđāļŠāđāļēāļāļąāļ
āļāļ°āļāļāļāļĄāļĩāļāļēāļĢāļāđāļēāļŦāļāļāļāļāļāļēāļāđāļĨāļ°āļŦāļāļēāļāļĩāđāļāļāļāļāļāļāļāļĢ āđāļĨāļ°āđāļāļēāļŦāļāļēāļāļĩāđāļāļĢāļ°āļāđāļēāļ āļēāļĒāđāļāđāļāļĨāļ°āļāļāļāļāļĢ āļāļĩāđāđāļāļĩāđāļĒāļ§āļāļāļāļāļąāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļēāļāđāļāļāļĩāļāļĩ āļāļĒāļēāļāđāļāļāļāļēāļāļāļēāļĢāđāļĨāļ°āđāļāļāļĨāļēāļĒāļĨāļąāļāļĐāļāļāļąāļāļĐāļĢ āđāļāļ 1) āļŦāļāļ§āļĒāļāļēāļāļāđāļēāļāļąāļāļāļđāđāļĨāļāļēāļāļāđāļĒāļāļēāļĒāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļŊ āļĢāļ°āļāļąāļāļāļēāļāļī 2) āļāļāļāļāļĢāļāļ·āđāļāđ āļāļĩāđāđāļāļĩāđāļĒāļ§āļāļāļāđāļāļĢāļ°āļāļąāļāļāļĢāļ°āļāļĢāļ§āļ āļāļāļ§āļ āļāļĢāļĄ āđāļāļ āđāļāļāļĨāļļāļĄāļāļēāļāļāļĩāđāđāļāļĩāđāļĒāļ§āļāļąāļāđāļāļĢāļāļŠāļĢāļēāļāļāļ·āđāļ
āļāļēāļāļ§āļīāļāļĪāļ āđāļāđāļ āļāļĨāļļāļĄāđāļāļāļēāđāļĨāļ°āļāļĨāļąāļāļāļēāļ āļāļĨāļļāļĄāļāļēāļĢāđāļāļīāļ āļāļāļēāļāļēāļĢāđāļĨāļ°āļāļēāļĢāļāļĢāļ°āļāļąāļāļ āļąāļĒ āļāļĨāļļāļĄāļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢ āđāļāļĢāļāļĄāļāļēāļāļĄāđāļĨāļ°āļāļāļŠāļ āļāļĨāļļāļĄāļāļ§āļēāļĄāļŠāļāļāļŠāļļāļāļāļāļāļŠāļąāļāļāļĄ āđāļāļāļāļ
3) āļāļĩāđāļāļĢāļķāļāļĐāļē āļŦāļĢāļ·āļāļāļđāđāļāļĩāđāļĒāļ§āļāļēāļāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļŊ āļāļāļāļāļāļāļāļĢ 4) āļŦāļąāļ§āļŦāļāļēāđāļāļēāļŦāļāļēāļāļĩāđāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļĢāļ°āļāļąāļāļŦāļāļ§āļĒāļāļēāļ/āļāļāļāļāļĢ 5) āļŦāļąāļ§āļŦāļāļēāļāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļŊ āļāļāļāļāļāļāļāļĢ 6) āļāļđāļāļāļīāļāļąāļāļīāļāļēāļāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļŊ āļāļąāđāļāļŦāļĨāļēāļĒāđāļāļāļāļāļāļĢ
2. āđāļāļāļŠāļēāļĢāļāļĩāđāđāļāļĩāđāļĒāļ§āļāļāļ āđāļāļ·āđāļāđāļāđāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢ āļāļēāļĢāļŠāļĢāļēāļāđāļĨāļ°āļāļĢāļąāļāļāļĢāļļāļāđāļāļāļŠāļēāļĢāļāļĒāļēāļāđāļāļāļĢāļ°āļāļ āđāļŦāļāļąāļāļŠāļĄāļąāļĒāđāļĨāļ°
āļāđāļēāļŦāļāļāļāļđāļāļĩāđāļĄāļĩāļŦāļāļēāļāļĩāđāļĢāļąāļāļāļīāļāļāļāļāļāļĒāļēāļāđāļāļāļāļēāļāļāļēāļĢ āđāļāļāļŠāļēāļĢāļŠāđāļēāļāļąāļāļāļĩāđāļāļāļāđāļāļĢāļĩāļĒāļĄāļāļēāļĢāļāļ°āļĢāļ§āļĄāļāļķāļ 1) āļāļĢāļāļāļāļ§āļēāļĄāļāļāļāļāļēāļĢāļāļāļāđāļāļāļŠāļēāļĢāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļŊ āđāļāļāļĩāļāļĩ āļāļāļāļŦāļāļ§āļĒāļāļēāļ 2) āļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļĨāļīāļāđāļāļāļŠāļēāļĢ/āļāļđāļĄāļ·āļ 3) āļāļāļāđāļēāļŦāļāļāļāļąāļāļāļĩāđāļāļāļŠāļēāļĢ/āļāļđāļĄāļ·āļāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļ
āļĢāļēāļĒāļāļēāļĢāđāļāļāļŠāļēāļĢāļāļĩāđāļāđāļēāđāļāļ āļŦāļāļ§āļĒāļāļēāļāļāļāļāļāļąāļāļāđāļē āđāļāļ āļāđāļĒāļāļēāļĒāđāļĨāļ°āļāļēāļĢāļāļĢāļ°āđāļĄāļīāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļŊ āļāđāļķāļāļāļĢāļāļāļāļĨāļļāļĄ
āļ āļēāļĢāļāļīāļāļāļēāļāļĢāļ°āļāļāđāļāļāļĩāļāļĩ āđāļāļāļŠāļēāļĢāđāļŦāļĨāļēāļāļĩāđāļāļ°āļāļāļāļŠāļāļāļāļĨāļāļāļāļąāļāđāļāļāļŠāļēāļĢāļāļĢāļ°āļāļāļāļ āļēāļĢāļāļīāļāļŦāļĨāļąāļāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļŊ āļāļāļāļāļāļāļāļĢ āđāļāđāļ
âĒ āļāđāļĒāļāļēāļĒāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļĢāļ°āļāļąāļāļāļāļāļāļĢ
āļāļĢāļ°āļāļĢāļ§āļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢ āļāļđāļĄāļ·āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒICT 6
âĒ āļāļēāļĢāļāļĢāļ°āđāļĄāļīāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļŊ āļĢāļ°āļāļąāļāļāļāļāļāļĢ âĒ āđāļāļāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒ āļĢāļ°āļāļąāļāļāļāļāļāļĢ
āļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļĨāļīāļāđāļāļāļŠāļēāļĢ āđāļāļĢāļ°āļŦāļ§āļēāļāļāļāļīāļāļąāļāļīāļāļēāļāļāļēāļāļāđāļēāđāļāļāļāļāļāļŠāļĢāļēāļāđāļāļāļŠāļēāļĢāđāļāļīāđāļĄāđāļāļīāļĄ āļāđāļķāļāļāļ°āļĢāļ§āļĄāļāļķāļāđāļāļāļŠāļēāļĢ āļāļāđāļāļāļĩāđ âĒ āđāļāļāļŠāļēāļĢāļāļĢāļ°āļāļāļāļāļēāļĢāļāļīāļāļāļąāđāļāđāļĨāļ°āļāļĢāļ§āļāļĢāļąāļāļĢāļ°āļāļāđāļŦāļĄ âĒ āļāļēāļĢāđāļāđāļāļĢāļ§āļāļĢāļ§āļĄāđāļāļāļŠāļēāļĢāđāļāļāļŦāļĄāļ§āļāļŦāļĄāļđāļ āļēāļĒāđāļāļŦāļąāļ§āļāļāđāļāļĩāļĒāļ§ âĒ āđāļāļāļŠāļēāļĢāđāļŠāļāļāļāļāļŦāļē āļāļāļāļąāļāļāļāļāđāļāļĢāļ°āļŦāļ§āļēāļāļāļēāļĢāđāļāļāđāļĒāļāļēāļĒ âĒ āļāļēāļĢāļāļąāļāļāļēāļāđāļĒāļāļēāļĒāđāļŦāļĄ āļŠāđāļēāļŦāļĢāļąāļāđāļāļāđāļāđāļĨāļĒāļĩāļŦāļĢāļ·āļāļāļēāļĢāļāđāļēāđāļāļīāļāļāļēāļāļāļĩāđāđāļāļīāļāļāļķāđāļāļĄāļēāļ āļēāļĒāļŦāļĨāļąāļ âĒ āļāļēāļĢāļāļąāļāļāļēāļāļđāļĄāļ·āļāļāļēāļĢāļāļāļīāļāļąāļāļīāļāļēāļāđāļŦāļĄ āđāļĄāļ·āđāļāļāļāļāļāļēāļĢāļāļĢāļąāļāļāļēāļāļāļ§āļēāļĄāļĢāļđāđāļĨāļ°āļāļāļāļāļĢāļĄāđāļāļēāļŦāļāļēāļāļĩāđ
āļāļēāļĄāļāļ§āļēāļĄāļāđāļēāđāļāļ āļāļąāđāļāļāļĩāđāļāļ§āļĢāļāļ§āļāļāļļāļĄāđāļāļāļŠāļēāļĢāđāļāļĒāļāđāļēāļŦāļāļāļāļđāļĨāļāļāļēāļĄāđāļāļāļŠāļēāļĢāļŦāļĨāļąāļāđāļāļĩāđāļĒāļ§āļāļąāļ ICT security āđāļĨāļ°āđāļāļāļŠāļēāļĢāļāļĩāđ
āđāļāļāļāđāļĒāļāļēāļĒāļĢāļ°āļāļąāļāļŠāļđāļ āđāļāļāļāļđāļāļĢāļīāļŦāļēāļĢāļŠāļđāļāļŠāļļāļ āļŦāļĢāļ·āļāļĢāļ°āļāļąāļāļŦāļąāļ§āļŦāļāļēāļŦāļāļ§āļĒ āļŠāļ§āļāđāļāļāļŠāļēāļĢāļāļĩāđāđāļāļāļāļēāļāļĢāļ°āļāļāđāļŦāļŠāļēāļĄāļēāļĢāļāļāļāļļāļĄāļąāļāļīāđāļŦāđāļāđāļāđāļāļĒāļāļđāļāļĨāļīāļāđāļāļāļŠāļēāļĢāđāļāļ āđāļĨāļ°/āļŦāļĢāļ·āļāļāļđāļāļĢāļīāļŦāļēāļĢāļĢāļ°āļāļąāļāļŠāļđāļ
āļāļāļāđāļēāļŦāļāļāļāļąāļāļāļĩāļāļąāđāļāļāļ§āļēāļĄāļĨāļąāļāļāļāļāđāļāļāļŠāļēāļĢ āđāļāļāļŠāļēāļĢāđāļāļĩāđāļĒāļ§āļāļąāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļāļāļŦāļāļ§āļĒāļāļēāļāļĄāļąāļāļāļ°āļāļĢāļ°āļāļāļāļāļ§āļĒāļāļāļĄāļđāļĨāļāļĩāđāļāļēāļāļāļ
āđāļŦāđāļāļīāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļāļāļēāļĢāļāđāļēāļāļēāļ āļāļēāļĢāđāļąāļ§āđāļŦāļĨāļāļāļāđāļ āļŦāļĢāļ·āļāļĄāļĩāļāļēāļĢāļĨāļąāļāļĨāļāļāđāļāļēāļĄāļēāļāļđ āļāļāļāļāļĢāļāļķāļāļāļāļāļāļāļāļĢāļ°āđāļāļĩāļĒāļāļāļāļāđāļēāļŦāļāļāļāļąāļāļāļĩāđāļāļāļŠāļēāļĢāđāļŦāļĨāļēāļāļĩāđ
āđāļāļāļēāļĢāļāđāļēāļŦāļāļāļāļąāļāļāļĩāđāļāļāļŠāļēāļĢāļāļāļāļĢāļ°āļāļāļāļąāđāļ§āđāļ āļĄāļąāļāļāļ°āļĒāļķāļāļāļ·āļāđāļāļāļāļāļąāļāđāļāļĩāļĒāļ§āļāļąāļāļāļēāļĢāļāļąāļāļĢāļ°āļāļąāļāļāļāļāļāļąāļ§āļĢāļ°āļāļāļāļąāđāļāđāļāļ āđāļāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļāļāļĢāļ°āļāļāđāļāļĒāļĨāļ°āđāļāļĩāļĒāļāļāļēāļāļāļ°āļāļĩāđāđāļŦāļāļąāļāļĨāļāđāļāđāļāļ§āļē āļāļēāļĢāļāļąāļāļāļąāđāļāļāļ§āļēāļĄāļĨāļąāļāļāļāļāđāļāļāļŠāļēāļĢāļāļąāđāļāđ āļŠāļđāļāļāļ§āļēāļŦāļĢāļ·āļāļāđāđāļēāļāļ§āļēāļāļąāđāļāļāļāļāļĢāļ°āļāļāđāļāļ āļāļāļĄāļđāļĨāļāļēāļĢāļāļąāļāļĢāļđāļāđāļāļāļāļāļāđāļāļīāļĢāļāđāļ§āļāļĢ āļŠāđāļēāļŦāļĢāļąāļ Web server hosting āļāļāļāļŦāļāļ§āļĒāļāļēāļāđāļāļ·āđāļāđāļāļ Public website āļāļēāļāļāļ°āļāļāļāļĢāļ°āļāļļāļāđāļąāļāļ§āļē āđāļāļ āļĨāļąāļāđāļāļāļēāļ° (âSecurity-In-Confidentâ) āļŦāļĢāļ·āļ āļāļąāļāļāļēāļĢāļ§āļēāļāļŠāļēāļĒāđāļāđāļāļīāđāļĨāļŠāđāļēāļŦāļĢāļąāļāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻ âāļĨāļąāļāļĄāļēāļâ (Secret) āļāļēāļāļĢāļ°āļāļļāđāļāļ§āļēāđāļāļ âāļĨāļąāļâ (Restrict) āđāļāļāļāļ
āļāļąāļ§āļāļĒāļēāļāļāļēāļĢāļāļąāļāļāļąāđāļāļāļ§āļēāļĄāļĨāļąāļāđāļāļāļŠāļēāļĢ āđāļĄāļ·āđāļāđāļāļĩāļĒāļāļāļąāļāļĢāļ°āļāļāļāļēāļ āđāļāđāļ
āļāļēāļĢāļāļąāļāļāļąāđāļāļāļāļāļĢāļ°āļāļāļāļēāļ āļāļēāļĢāļāļąāļāļāļąāđāļāļāļāļāđāļāļāļŠāļēāļĢ āļŠāļēāļāļēāļĢāļāļ°, āđāļāļāđāļāļĒ āđāļāļāđāļāļĒ (Unclassified) āļāļāļāļ āļĨāļąāļāđāļāļāļēāļ° āļĨāļąāļ āļĨāļąāļāđāļāļāļēāļ°, āļĨāļąāļ
āļāļĢāļ°āļāļĢāļ§āļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢ āļāļđāļĄāļ·āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒICT 7
3. āļāļēāļĢāļāļąāļāļāļēāđāļĨāļ°āļāđāļēāļŦāļāļāļāđāļĒāļāļēāļĒāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļŊ (ICT Security Policy) āđāļāļāļāļēāļĢāļāļāļīāļāļēāļĒāļāđāļĒāļāļēāļĒāļāļāļ ICT Security āļĢāļ§āļĄāļāļķāļāļĄāļēāļāļĢāļāļēāļāđāļĨāļ°āļāļ§āļēāļĄāļĢāļąāļāļāļīāļāļāļāļāļāļāļāļŦāļāļ§āļĒāļāļēāļ
āđāļāļŠāļ§āļāļāļĩāđāđāļāļĩāđāļĒāļ§āļāļāļ āđāļĨāļ°āđāļāļāļāļēāļĢāļāđāļēāļŦāļāļāļāļ§āļēāļĄāļāļāļāļāļēāļĢāļāļ·āđāļāļāļēāļ āļŦāļĢāļ·āļāļāļ§āļēāļĄāļāļāļāļāļēāļĢāļāļąāđāļāļāđāđāļē āđāļĨāļ°āļāļ°āļāđāļēāđāļāļāļąāļāļāļēāđāļāļāļāļĢāļīāļŦāļēāļĢāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļāļāļŦāļāļ§āļĒāļāļēāļāļāļāđāļ
āļāļĢāļāļāļāļēāļĢāļāđāļēāļāļēāļāļāļ°āļĢāļ§āļĄāļāļķāļ 1) āļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāļ āļēāļĒāđāļ 2) āļŦāļāļēāļāļĩāđāļāļ§āļēāļĄāļĢāļąāļāļāļīāļāļāļāļāļāļāļāļāļāļāļāļĢ 3) āļāļēāļĢāļāļ§āļāļāļļāļĄāļāļēāļĢāļāđāļēāļŦāļāļāļāļēāļĢāļēāļĄāļīāđāļāļāļĢ 4) āļāļēāļĢāļāļ§āļāļāļļāļĄāļāļēāļĢāđāļāļēāļāļķāļāļĢāļ°āļāļāļŊ 5) āļāļēāļĢāļāļāđāļāļ·āđāļāļĄāđāļĨāļ°āļāļāđāļāļāđāļāļĢāļ·āļāļāļēāļĒāļāļąāļāļĢāļ°āļāļāļāļ·āđāļāđ 6) āļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļŊ āļāļēāļāļāļēāļĒāļ āļēāļāđāļĨāļ°āļāļēāļĢāļāļ§āļāļāļļāļĄāļŠāļ·āđāļāļŦāļĢāļ·āļāļāļąāļ§āļāļĨāļēāļāļāļĩāđāđāļāđāļāđāļāļāļāļĄāļđāļĨ 7) āļāļąāđāļāļāļāļāļāļļāļāđāļāļīāļāđāļĨāļ°āļāļēāļĢāļāļąāļāļāļēāļĢāđāļŦāļāļļāļāļēāļĢāļ 8) āļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļ§āļēāļĄāđāļāļĨāļĩāđāļĒāļāđāļāļĨāļ āđāļĨāļ°āļāļēāļĢāļĻāļķāļāļĐāļēāļāļāļĢāļĄ
4. āļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ āđāļāļāļāļēāļĢāđāļŠāļāļāļāđāļēāļāļāļīāļāļēāļĒāđāļāļĩāđāļĒāļ§āļāļąāļāļāļēāļĢāļāļąāļāļāļēāđāļĨāļ°āļāļēāļĢāđāļāđāļāļāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ āđāļāļ·āđāļāļāļĩāđāļāļ°āļāļąāļ
āļāļēāļĢāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĩāđāļĄāļĩāļāļĨāļāļāļĢāļ°āļāļāđāļāļāļĩāļāļĩ āđāļāļŠāļīāđāļāđāļ§āļāļĨāļāļĄāļāļĩāđāđāļāļāļāļĒāļđ āļāļēāļĄāļāļĩāđāđāļāļāđāļēāļŦāļāļāđāļ§āļāļēāļĄāļāļ§āļēāļĄāļāļāļāļāļēāļĢāļāļāļāļāđāļĒāļāļēāļĒāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļēāļāđāļāļāļĩāļāļĩ āđāļāļĒāļāđāļēāļŦāļāļāļāļąāđāļāļāļāļāļāļąāļāļāļĩāđ
âĒ āļāļąāđāļāļāļĩāđ 1 āļāđāļēāļŦāļāļāļŠāļ āļēāļ§āļ°āđāļ§āļāļĨāļāļĄ (Stage 1: Establishing the Context) âĒ āļāļąāđāļāļāļĩāđ 2 āļāļāļāļĩāđāļāļāļāļąāļĒāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ (Stage 2: Identifying the Risks) âĒ āļāļąāđāļāļāļĩāđ 3 āļ§āļīāđāļāļĢāļēāļ°āļŦāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ (Stage 3: Analysing the Risks) âĒ āļāļąāđāļāļāļĩāđ 4 āļĢāļ°āļāļļāđāļĨāļ°āļāļąāļāļĨāđāļēāļāļąāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ (Stage 4: Assessing and Prioritising Risks) âĒ āļāļąāđāļāļāļĩāđ 5 āļāļąāļāļāļēāđāļāļāļĢāļąāļāļĄāļ·āļ (Stage 5: Developing a Risk Treatment Plan)
āļāļĢāļ°āļāļĢāļ§āļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢ āļāļđāļĄāļ·āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒICT 8
āļāļąāđāļāļāđāļĩ 1 āļāđāļēāļŦāļāļāļŠāļ āļēāļ§āļ°āđāļ§āļāļĨāļāļĄ āļŦāļāļ§āļĒāļāļēāļāļāļ§āļĢāļāļ°āļāđāļēāđāļāļīāļāļāļąāđāļāļāļāļāļāļąāļāļāļāđāļāļāļĩāđ
āļĨāđāļēāļāļąāļ āļŠāļ āļēāļ§āļ°āđāļ§āļāļĨāļāļĄ āļāļĢāļ°āđāļāđāļāļŠāđāļēāļāļąāļ 1 āļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ āđāļāļĢāđāļāļāļāļđāļāđāļēāđāļāļīāļāļāļēāļ, āđāļāļēāļŦāļĄāļēāļĒāļāļāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāđāļŦāļĨāļēāļāļĩāđāļāļ·āļāļāļ°āđāļĢ
āđāļĨāļ° āļāļĢāļāļāļāļāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāļāļ·āļāļāļ°āđāļĢ 2 āļāļĨāļĒāļļāļāļ āļāļ°āđāļĢāļāļ·āļāļāļļāļāđāļāđāļāđāļĨāļ°āļāļļāļāļāļāļ, āļāļ°āđāļĢāļĄāļĩāļĨāđāļēāļāļąāļāļāļ§āļēāļĄāļŠāđāļēāļāļąāļ, āđāļāļĢāļāļ·āļāļāļđāļĄāļĩ
āļŠāļ§āļāđāļ-āđāļŠāļĩāļĒ, āļāļ°āđāļĢāļāļ·āļāļ āļąāļĒāļāļļāļāļāļēāļĄāđāļĨāļ°āđāļāļāļēāļŠ, āđāļĨāļ°āļāļ°āđāļĢāļāļ·āļāđāļĢāļāļāļĨāļąāļāļāļąāļāļāļēāļāļ āļēāļĒāļāļāļ
3 āļāļēāļĢāļāļąāļāļāļāļāļāļēāļĢ āļāļ°āđāļĢāļāļ·āļāļ§āļąāļāļāļļāļāļĢāļ°āļŠāļāļāļāļĩāđāļĢāļ°āļāļāđāļāļāļĩāļāļĩāļāļđāļāļāđāļēāļĄāļēāđāļāļāļēāļ, āļāļ°āđāļĢāđāļāļāđāļĢāļāļāļąāļāļāļēāļāļ āļēāļĒāđāļ, āļāļ°āđāļĢāđāļāļāļāļāļāļąāļĒāđāļŦāļāļāļ§āļēāļĄāļŠāđāļēāđāļĢāđāļāļāļāļāļĢāļ°āļāļāđāļāļāļĩāļāļĩ, āļĄāļĩāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļĢāļ§āļĄāļāļąāļāļŦāļāļ§āļĒāļāļēāļāļāļ·āđāļāđ āļŦāļĢāļ·āļāđāļĄ, āļĄāļĩāļāļĢāļąāļāļĒāļēāļāļĢāļāļ°āđāļĢāļāļēāļāļāļĩāđāļŠāļēāļĄāļēāļĢāļāļāđāļēāļĄāļēāđāļāđāļ āđāļĨāļ° āļĢāļ°āļāļāđāļāļāļĩāļāļĩāļŠāļēāļĄāļēāļĢāļāļāļ§āļĒāđāļŦāđāļāļēāļŦāļĄāļēāļĒāļŦāļĨāļąāļāđāļĨāļ°āļāļ§āļēāļĄāļŠāđāļēāļāļąāļāļāļāļāļāļāļāļāļĢāļāļĢāļĢāļĨāļļāļāļĨāđāļāļāļĒāļēāļāđāļĢ
4 āļ§āļīāļāļĩāļāļĢāļ°āđāļĄāļīāļāļāļĨ āđāļāļ·āđāļāļāđāļāļāļēāļĄāļāļāļŦāļĄāļēāļĒ, āļĄāļĩāļāļļāļāļŠāļĢāļĢāļāļāļ°āđāļĢāļāļēāļāđāļāļāļēāļ āļāļāļāļĢāļ°āļĄāļēāļ āļāļĢāļąāļāļĒāļēāļāļĢāļāļļāļāļāļĨ āđāļĨāļ° /āļŦāļĢāļ·āļāļāļēāļĢāļāļāļīāļāļąāļāļīāļāļēāļ , āļāļ°āđāļĢāļāļ·āļ âcosts-benefitsâ āļāļāļāļāļīāļāļāļĢāļĢāļĄ āđāļĨāļ°āļĢāļ°āļāļąāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĩāđāļĒāļāļĄāļĢāļąāļāđāļāļāļĒāļđāļāļĩāđāđāļŦāļ
5 āđāļāļĢāļāļŠāļĢāļēāļ āļĄāļĩāļāļĢāļąāļāļĒāļŠāļīāļāļāļĩāđāđāļāļĩāđāļĒāļ§āļāļāļāļāļ°āđāļĢāļāļēāļ, āļāļĢāļąāļāļĒāļŠāļīāļāđāļŦāļĨāļēāļāļĩāđāļāļđāļāđāļāđāļāļāļĒāļēāļāđāļĢ, āđāļĨāļ° āļāļ°āđāļĢāļāļ·āļāļŦāļ§āļāđāļ§āļĨāļē/āđāļāļŠ āļŦāļĢāļ·āļ āļāļāļāļāļĢāļ°āļāļāļāļāļēāļāđāļāļĢāļāļŠāļĢāļēāļāļāļāļāļāļīāļāļāļĢāļĢāļĄāđāļāđ
āļāļąāđāļāļāđāļĩ 2 āļāļāļāļĩāđāļāļāļāļąāļĒāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ
āļŦāļĨāļąāļāļāļēāļāļāđāļēāđāļāļīāļāļāļēāļĢāđāļāļāļąāđāļāļāļĩāđ 1 āđāļĢāļĩāļĒāļāļĢāļāļĒāđāļĨāļ§ āļāļ°āļāļāļāļāļāļāļĩāđāļāļāļāļąāļĒāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ āļāđāļķāļāļāļĢāļāļāļāļĨāļļāļĄāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāđāļŦāļĄāļēāļāļāļĩāđāļŠāļļāļāđāļāļēāļāļĩāđāļāļ°āļāđāļēāđāļ āļĄāļĩāļāļĢāļ°āđāļāđāļāļāļĩāđāļāļāļāļāđāļēāđāļāđāļāļĨāļ°āļāļĢāļāļĩ āđāļāđāļ āđāļāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļāļāļāļ°āđāļĢ āđāļāļīāļāļāļķāđāļāđāļāļāļĒāļēāļāđāļĢ āđāļĨāļ°āļāļĨāļāļāđāļāļ·āđāļāļāļāļāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĩāđāļāļ°āđāļāļīāļāļāļķāđāļ āļāļąāđāļāļāļāļāļāļāđāļāļāļķāļāđāļāļāļ§āļīāđāļāļĢāļēāļ°āļŦāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāđāļŦāļĨāļēāļāļĩāđ
āļāļĢāļ°āļāļĢāļ§āļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢ āļāļđāļĄāļ·āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒICT 9
āļāļąāđāļāļāđāļĩ 3 āļ§āļīāđāļāļĢāļēāļ°āļŦāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ āļāļļāļāļāļĢāļ°āļŠāļāļāļāļāļāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāļŊ āļāļ·āļāđāļāļ·āđāļāđāļĒāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĩāđāļĒāļāļĄāļĢāļąāļāđāļ āļāļāļāļĄāļēāļāļēāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĩāđāļĒāļāļĄāļĢāļąāļ
āđāļĄāđāļ āđāļĨāļ°āļāļąāļāđāļŦāļĄāļĩāļāļāļĄāļđāļĨāļāļĩāđāđāļāļĩāļĒāļāļāļāļŠāđāļēāļŦāļĢāļąāļāļāļēāļĢāļāļĢāļ°āđāļĄāļīāļāđāļĨāļ°āļāļąāļāļāļēāļĢāļāļąāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāđāļŦāļĨāļēāļāļąāđāļ āļāļēāļāļāļąāđāļāļāļķāļāļāđāļēāļĢāļēāļĒāļāļēāļĢāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĩāđāļĢāļ°āļāļļāđāļ§ āđāļĒāļāđāļāļāđāļāļĨāļ°āļāļĢāļāļĩ āđāļāļĒāļĄāļĩāļĢāļēāļĒāļĨāļ°āđāļāļĩāļĒāļāļāļēāļĄāļāļąāđāļāļāļāļ āļāļ
āđāļāļāļĩāđ
āļĨāđāļēāļāļąāļ āļāļīāļāļāļĢāļĢāļĄ 1 āļĢāļ°āļāļļāļāļĨāļāļāđāļāļ·āđāļāļāļāļāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĩāđ 2 āļĢāļ°āļāļļāļŠāļēāđāļŦāļāļļāļāļāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāđāļĨāļ°āļāļąāļāļāļķāļāđāļŦāļĨāļāļāļāļĄāļđāļĨāļŦāļĢāļ·āļāđāļĨāļāļīāļāļāļāļāļāļēāļĢāļāļāļŦāļēāđāļŦāļĨāļāļāļĩāđāļĄāļēāļāļąāđāļāđ 3 āļĢāļ°āļāļļāļĢāļ°āļāļąāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāđāļāļ āļēāļāļĢāļ§āļĄ āđāļāļĒāđāļāļāļēāļĢāļēāļāļŠāļąāļĄāļāļąāļāļ (Matrix)
āļāļąāļ§āļāļĒāļēāļāļāļĨāļāļāđāļāļ·āđāļāļāļāļāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāđāļĨāļ°āļāļēāļĢāļāļąāļāļāļĨāļļāļĄ āđāļŠāļāļāđāļāļāļēāļĢāļēāļ āđāļāļ
āļāļĨāļāļĢāļ°āļāļāļāļāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ āđāļāļāļĢāļ°āđāļāđāļāļāļēāļāđ āļāļēāļĢāļāļąāļāļĢāļ°āļāļąāļāļāđāļĩāđāļŦāļĄāļēāļ°āļŠāļĄ āļāļēāļāđāļāđāļāļŠāļēāļŦāļąāļŠ āļŦāļĢāļ·āļāđāļŠāļĩāļĒāļāļĩāļ§āļīāļ, āļŠāļđāļāđāļŠāļĩāļĒāļāļĢāļąāļāļĒāļāļąāđāļāļ§āļīāļāļĪāļ, āļāļēāļĢāļāđāļēāļāļēāļāļŦāļĨāļąāļāļāļāļāļŦāļāļ§āļĒāļāļēāļāļŦāļĢāļ·āļāļāļēāļĢāđāļŦāļāļĢāļīāļāļēāļĢāļāļāļāļāļāļąāļāļŦāļĢāļ·āļāļĨāļēāļāļēāđāļāđāļāļīāļāļāļ§āļēāļŦāļāļķāđāļāļ§āļąāļ, āļĢāļąāļāļāļāļāļāļāļāđāļēāļāļēāļĢāļŦāļĢāļ·āļāļāļ°āļāļāļāļāļĢāļąāļāđāļāļĢāļāļŠāļĢāļēāļāļāļāļāļŦāļāļ§āļĒāļāļēāļāđāļŦāļĄāļāļĒāļēāļāļāļĩāđāđāļāļāļŠāļēāļĢāļ°āļŠāđāļēāļāļąāļ
āļĢāļēāļĒāđāļĢāļ
āļāļēāļāđāļāđāļāļŠāļēāļŦāļąāļŠāļāļāļāļāđāļēāļŠāļāđāļĢāļāļāļĒāļēāļāļēāļĨ, āļāļāļāļŠāļđāļāđāļŠāļĩāļĒāļāļĢāļąāļāļĒāļŠāļīāļāļĄāļĩāļāļēāļŠāļđāļāļĄāļēāļ, āļāļēāļĢāļāđāļēāļāļēāļāļŦāļĨāļąāļāļāļāļāļŦāļāļ§āļĒāļāļēāļāļŦāļĢāļ·āļāļāļēāļĢāđāļŦāļāļĢāļīāļāļēāļĢāļāļāļāļāļāļąāļāļŦāļĢāļ·āļāļĨāļēāļāļēāđāļāđāļĄāđāļāļīāļāļāļ§āļēāļŦāļāļķāđāļāļ§āļąāļ, āļāļēāļĢāļāđāļēāļāļēāļāđāļāļĢāļ°āļāļąāļāļāļĢāļ°āļāļĢāļ§āļāļāļāļāļŦāļĒāļļāļāļāļāļąāļāļĨāļāļŦāļĢāļ·āļāļāļāļāļĢāļēāļĒāļāļēāļāđāļāļēāļāļĢāļ°āļāļĢāļ§āļ
āļŠāđāļēāļāļąāļ (Major)
āļāļēāļāđāļāđāļ āļāļāļāļāđāļēāļŠāļāđāļĢāļāļāļĒāļēāļāļēāļĨ āđāļāļāļĨāļąāļāļāļēāļāđāļ, āļāļāļāļŠāļđāļāđāļŠāļĩāļĒāļāļĢāļąāļāļĒāļŠāļīāļāļĄāļĩāļāļēāļŠāļđāļ, āļāļēāļĢāļāđāļēāļāļēāļāļŦāļĨāļąāļāļāļāļāļŦāļāļ§āļĒāļāļēāļāļŦāļĢāļ·āļāļāļēāļĢāđāļŦāļāļĢāļīāļāļēāļĢāļāļāļāļāļāļąāļāļŦāļĢāļ·āļāļĨāļēāļāļēāđāļāđāļĄāđāļāļīāļāļŦāļāļķāđāļāļāļąāđāļ§āđāļĄāļ, āļāļāļāļĄāļĩāļāļēāļĢāļāļąāļāļāļēāļĢāđāļāļĒāļāļđāļāļĢāļīāļŦāļēāļĢāļĢāļ°āļāļąāļāļŠāļđāļ
āļāļēāļāļāļĨāļēāļ (moderate)
āļāļĢāļ°āļāļĢāļ§āļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢ āļāļđāļĄāļ·āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒICT 10
āļāļĨāļāļĢāļ°āļāļāļāļāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ āđāļāļāļĢāļ°āđāļāđāļāļāļēāļāđ āļāļēāļĢāļāļąāļāļĢāļ°āļāļąāļāļāđāļĩāđāļŦāļĄāļēāļ°āļŠāļĄ āļāļēāļāđāļāđāļ āļāļāļāļāļāļĄāļāļĒāļēāļāļēāļĨāđāļāļŠāļāļēāļāļāļĩāđāđāļāļīāļāđāļŦāļāļļ, āļāļāļāļŠāļđāļāđāļŠāļĩāļĒāļāļĢāļąāļāļĒāļŠāļīāļāļĄāļĩāļāļēāļāļēāļāļāļĨāļēāļ, āļāļēāļĢāļāđāļēāļāļēāļāļŦāļĨāļąāļāļāļāļāļŦāļāļ§āļĒāļāļēāļāļŦāļĢāļ·āļāļāļēāļĢāđāļŦāļāļĢāļīāļāļēāļĢāļāļāļāļāļāļąāļāļŦāļĢāļ·āļāļĨāļēāļāļēāđāļāđāļĄāđāļāļīāļāļāļĢāļķāđāļāļāļąāđāļ§āđāļĄāļ, āļāļāļāļĄāļĩāļāļēāļĢāļāļāļāļ§āļāļāđāļĒāļāļēāļĒāđāļĨāļ°āļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļāļļāļāļąāļāđāļāļ·āđāļāļĨāļāļāļāļŦāļēāļāļĩāđ
āđāļĨāđāļāļāļāļĒ (minor)
āđāļĄāđāļāļĢāļąāļāļāļēāļāđāļāđāļ, āļŠāļđāļāđāļŠāļĩāļĒāļāļĢāļąāļāļĒāļŠāļīāļāļāđāļēāļāļ§āļāļāļāļĒ, āđāļĄāļĄāļĩāļāļĨāļāļāļāļēāļĢāļāđāļēāđāļāļīāļāļāļēāļ, āļŠāļēāļĄāļēāļĢāļāļāļąāļāļāļēāļĢāđāļāđāļāļĒāļāļĢāļ°āļāļ§āļāļāļēāļĢāđāļĨāļ°āļāđāļĒāļāļēāļĒāļāļĩāđāļĄāļĩāļāļĒāļđāđāļĨāļ§
āđāļĄāļĄāļĩāļāļĨāļāļĢāļ°āļāļ
āļāļēāļĢāļŦāļēāļŠāļēāđāļŦāļāļļāļāļĩāđāļĄāļēāļāļāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļēāļāļŠāļĢāļēāļāđāļāļāļāļĢāļ°āđāļāđāļāđāļāļāļēāļĢāļēāļāļāļąāļ§āļāļĒāļēāļāļāļāđāļāļāļĩāđ
āļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ āļāļēāđāļāļīāļ āļāļąāļāļĢāļēāļāļāļāļāļ§āļēāļĄāļāļēāļāļ°āđāļāļ āļāļēāļāļ§āļēāļāļ°āđāļāļīāļāđāļāđāļāļāļļāļāļāļĢāļāļĩ āļāļāļāļāļēāļāđāļāļāļāļ āļāļēāļāļ°āđāļāļīāļāđāļāđāļāļāļļāļāļāļĢāļāļĩ āļāļēāļāļ°āđāļāļ āļāļēāļāļāļ°āđāļāļīāļāđāļāļāļēāļāļāļĢāļąāđāļ āđāļĨāļ°āļāļēāļāļĒāļēāļāļāļĩāđāļāļ°āļāļ§āļāļāļļāļĄāđāļāļ·āđāļāļāļāļēāļāļĄāļĩāļāļīāļāļāļīāļāļĨāļāļēāļāļāļāļāļąāļĒāļ āļēāļĒāļāļāļ
āđāļāļāđāļāđāļ
āđāļāļīāļāđāļāļāļēāļāļāļĢāļąāđāļ āđāļĄāļāļēāļāļ°āđāļāļ āļāļēāļāđāļāļīāļāđāļāđāļāļāļēāļāļāļĢāļāļĩāđāļāļāļēāļ° āļĒāļēāļ
āļāļēāļĢāļāđāļēāļŦāļāļāļāļĨāļļāļĄāđāļĨāļ°āļāđāļēāļāļāļīāļāļēāļĒāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāđāļāļ·āđāļāļŠāļĢāļēāļāļāļēāļĢāļēāļāđāļāļ§āļīāđāļāļĢāļēāļ°āļŦ āļāļąāļāļāļąāļ§āļāļĒāļēāļāļāļāđāļāļāļĩāđ
āļĢāļ°āļāļąāļ āļāļ§āļēāļĄāļŦāļĄāļēāļĒ
āļāđāļēāļāļāļīāļāļēāļĒ
E Extreme āļāļāļāļāļēāļĢāļāļāļāļ§āļēāļāļĒāļēāļāļĨāļ°āđāļāļĩāļĒāļāđāļāļīāđāļĄāđāļāļīāļĄāđāļĨāļ°āļāļēāļĢāļ§āļēāļāđāļāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāļāļēāļāļāļđāļāļĢāļīāļŦāļēāļĢāļĢāļ°āļāļąāļāļŠāļđāļ
H High āļāļāļāļāļēāļĢāđāļŦāļāļđāļāļĢāļīāļŦāļēāļĢāļĢāļ°āļāļąāļāļŠāļđāļāļĢāļąāļāļāļĢāļēāļ M Moderate āļŠāļēāļĄāļēāļĢāļāļāļąāļāļāļēāļĢāđāļāđāļāļĒāļāļēāļĢāđāļāļēāļĢāļ°āļ§āļąāļāļŦāļĢāļ·āļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļāļāđāļāđāļāļāļēāļ° āđāļāļĨāļ°āļāļĢāļāļĩāđāļ L Low āļŠāļēāļĄāļēāļĢāļāļāļąāļāļāļēāļĢāđāļāđāļāļĒāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļĩāđāļāļāļīāļāļąāļāļīāļāļĢāļ°āļāđāļē
āļāļĢāļ°āļāļĢāļ§āļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢ āļāļđāļĄāļ·āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒICT 11
āļāļąāļ§āļāļĒāļēāļāļāļēāļĢāļŠāļĢāļēāļāļāļēāļĢāļēāļ (Matrix) āđāļŠāļāļāđāļāļāļąāļāļāļĩāđ
āļāļĨāļāļāđāļāļ·āđāļāļ āļāļ§āļēāļĄāļāļēāļāļ°āđāļāļ āļĢāļ°āļāļąāļāļāļ§āļēāļĄāļĢāļēāļĒāđāļĢāļ Major Moderate Minor Insignificant Almost certain E E E H H Likely E E H H M Possible E E H M L Unlikely E H M L L Rare H H M L L
āļāļąāđāļāļāđāļĩ 4 āļĢāļ°āļāļļāđāļĨāļ°āļāļąāļāļĨāđāļēāļāļąāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ
āļāļļāļāļāļĢāļ°āļŠāļāļāļāļāļāļāļēāļĢāļĢāļ°āļāļļāđāļĨāļ°āļāļąāļāļĨāđāļēāļāļąāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāđāļāļ·āđāļāļāļĩāđāļāļ°āļŦāļēāļāļ§āļēāļĄāđāļĢāļāļāļ§āļāļāļāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ āđāļāļĒāđāļāļĢāļĩāļĒāļāđāļāļĩāļĒāļāļĢāļ°āļāļąāļāļāļāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļąāļ āļĄāļēāļāļĢāļāļēāļāļāļĩāđāđāļĨāļ·āļāļāđāļ§ āđāļāļēāļŦāļĄāļēāļĒāļāļāļāļĢāļ°āļāļąāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĩāđāļāļąāđāļāđāļ§ āđāļĨāļ° āļĄāļēāļāļĢāļāļēāļĢāļāļēāļāđāļĨāļ·āļāļāļāļ·āđāļ āļāļēāļĄāļĩ
āļāļąāļ§āļāļĒāļēāļāļāļąāđāļāļāļāļāđāļāļāļēāļĢāļĢāļ°āļāļļāđāļĨāļ°āļāļąāļāļĨāđāļēāļāļąāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĩāđāđāļĨāļ·āļāļāđāļ§ āđāļĨāļ°āļŠāļĢāļēāļāļāļ°āđāļāļĩāļĒāļ āđāļŠāļāļāđāļāļāļēāļĢāļēāļāļāļāđāļāļāļĩāđ
āļĨāđāļēāļāļąāļ āļāļīāļāļāļĢāļĢāļĄ
1 āļāļąāļāļāđāļēāđāļāļāļŠāļēāļĢāđāļŠāļāļāļāļ°āđāļāļĩāļĒāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāđāļāļĨāļ°āļāļĢāļāļĩ āļāļ§āļāļāļđāļāļąāļāļĄāļēāļāļĢāļāļēāļāļāļĩāđāđāļĨāļ·āļāļāđāļ§ āđāļāļēāļŦāļĄāļēāļĒāļāļāļāļĢāļ°āļāļąāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĩāđāļāļąāđāļāđāļ§ āđāļĨāļ° āļĄāļēāļāļĢāļāļēāļĢāļāļēāļāđāļĨāļ·āļāļāļāļ·āđāļ (āļāļēāļĄāļĩ) āđāļāļ·āđāļāļŦāļēāļ§āļēāļāļ°āđāļĢāđāļāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĩāđāļĒāļāļĄāļĢāļąāļāđāļ
2 āļĢāļ°āļāļļāđāļāđāļāļĨāļ°āļāļēāļĢāļēāļāđāļĄāļ·āđāļāđāļāļĩāļĒāļāļāļąāļāļĄāļēāļāļĢāļāļēāļĢāļāļĩāđāļāļąāļāļāļķāļāđāļ§āđāļāļĨāđāļēāļāļąāļāļāļĩāđ 1 āđāļāļ·āđāļāļāļĩāđāļāļ°āļŦāļēāļ§āļēāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļąāđāļāļĒāļāļĄāļĢāļąāļāđāļāļŦāļĢāļ·āļāđāļĄ āļāļēāļĢāļąāļāđāļāđāļŦāļĨāļāļāļ°āđāļāļĩāļĒāļāđāļ§
3 āđāļāļĄāļēāļāļĢāļāļēāļĢāđāļāļĨāđāļēāļāļąāļāļāļĩāđ 1 āđāļāļ·āđāļāļāļĩāđāļāļ°āļāđāļēāļŦāļāļāļāļ§āļēāļĄāđāļĢāļāļāļ§āļ āļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĩāđāļĒāļāļĄāļĢāļąāļāđāļĄāđāļāđāļĨāļ°āļāļąāļāļāļķāļāļāļēāđāļ§
āļāļĢāļ°āļāļĢāļ§āļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢ āļāļđāļĄāļ·āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒICT 12
āļāļąāđāļāļāđāļĩ 5 āļāļąāļāļāļēāđāļāļāļĢāļąāļāļĄāļ·āļ āđāļāļāļāļēāļĢāļĢāļąāļāļĄāļ·āļāļāļąāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ (Risk Treatment Plan) āļāļ°āđāļŠāļāļāļ§āļīāļāļĩāļāļēāļĢāļāļĩāđāļāļ°āļāļĢāļ°āļĒāļļāļāļāđāļāļāļēāļĢāļāļ§āļāļāļļāļĄ
āļāļēāļĢāļĢāļąāļāļĄāļ·āļāļāļąāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĒāļēāļāđāļāļāļĢāļ°āļāļ āļāļąāđāļāļāļĩāđāđāļāļ·āđāļāļĨāļāļāļĨāļāļĢāļ°āļāļ āļĨāļāļāļ§āļēāļĄāļāļēāļāļ°āđāļāļ āđāļĨāļ°/āļŦāļĢāļ·āļāļĨāļāļāļĨāļāļāđāļāļ·āđāļāļāļāļĩāđāļāļēāļāļāļ°āđāļāļīāļāļāļķāđāļāļĄāļēāļ āļēāļĒāļŦāļĨāļąāļ
āđāļāļĒāļĄāļĩāļāļąāđāļāļāļāļāļāļ§āļĢāļāđāļēāđāļāļīāļāļāļēāļĢāļāļąāļāļāļĩāđ
āļĨāđāļēāļāļąāļ āļāļīāļāļāļĢāļĢāļĄ 1 āđāļāļĩāļĒāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĩāđāļĢāļ°āļāļļāđāļ§āļ§āļēāđāļāļāļāļĢāļāļĩāļāļĩāđāļĒāļāļĄāļĢāļąāļāđāļĄāđāļ āļāļēāļāļāļ°āđāļāļĩāļĒāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļēāļĄāļĨāđāļēāļāļąāļāļāļ§āļēāļĄāļŠāđāļēāļāļąāļ 2 āļāļąāļāļāļķāļāļāļēāļĢāļāļ§āļāļāļļāļĄāļāļĩāđāđāļŦāļĄāļēāļ°āļŠāļĄāļŠāđāļēāļŦāļĢāļąāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāđāļāļĨāļ°āļāļĢāļāļĩāļāļāļāļēāļĢāļēāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ āļāļēāļāļĄāļĩāđāļāļĄāļēāļāļāļ§āļē
āļŦāļāļķāđāļāļ§āļīāļāļĩ 3 āļ§āļīāđāļāļĢāļēāļ°āļŦ Cost/benefit āđāļĨāļ§āļāļąāļāļāļķāļāļāļĨāļ§āļē āļĒāļāļĄāļĢāļąāļāđāļāļŦāļĢāļ·āļāđāļĄāđāļāļŠāđāļēāļŦāļĢāļąāļāļ§āļīāļāļĩāļāļ§āļāļāļļāļĄāđāļāļĨāļ°āļ§āļīāļāļĩ 4 āļāđāļēāļāļ§āļāļāļĨāļāļĢāļ°āļāļāļāļēāļāđāļāļĩāļĒāļ āļāļēāļĄāļĩ āļāļēāļāļāļēāļĢāļāļ§āļāļāļļāļĄāļāļĩāđāļĒāļāļĄāļĢāļąāļāđāļ 5 āļāļąāļāļāļķāļāļāļĨāļāļēāļāļāļ 4 āđāļāļāļ°āđāļāļĩāļĒāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ 6 āļāļąāļāļāļķāļāļāļēāļĢāļāļ§āļāļāļļāļĄāļāļĩāđāļĒāļāļĄāļĢāļąāļāđāļāđāļāļāļ°āđāļāļĩāļĒāļāļāļēāļĢāļāļ§āļāļāļļāļĄ āļāļēāļāļāļąāđāļāļāļķāļāļāļąāļāļāļēāđāļāļāļŊ āđāļāļĒāļāļēāļĢāļāđāļēāļŦāļāļ
āļāļ§āļēāļĄāļĢāļąāļāļāļīāļāļāļāļ āļāļēāļĢāļēāļāļāļēāļĢāļāđāļēāļāļēāļāđāļĨāļ°āļ§āļīāļāļĩāļāļēāļĢāđāļāļēāļĢāļ°āļ§āļąāļāļŠāđāļēāļŦāļĢāļąāļāļāļēāļĢāļāđāļēāđāļāđāļāļāļāđāļ
5. āļāļēāļĢāļāļąāļāļāļēāđāļāļāļĢāļ°āļāļāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒ (SSP -System Security Plan) āđāļāļāļĢāļ°āļāļāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļ°āđāļāļāđāļāļāļŠāļēāļĢ āļāđāļķāļāđāļŠāļāļāļ§āļīāļāļĩāļāļēāļĢāļāđāļēāļāđāļĒāļāļēāļĒ ICT Security
āđāļāđāļ āđāļĨāļ°āđāļŠāļāļāļāļĨāļāļĩāđāđāļāļāļēāļāđāļāļāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ āļāļāļāļāļēāļāļāļĩāđāļĒāļąāļāļāļ°āđāļŠāļāļāļŠāļāļēāļāļāļĒāļāļĢāļĢāļĄāļāļāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļŊ āđāļāļĢāļ°āļāļąāļāļŠāļđāļāđāļĨāļ°āđāļāļāļāđāļĒāļāļēāļĒāļāļĩāđāļāļāļāļāđāļē
āļ§āļąāļāļāļļāļāļĢāļ°āļŠāļāļāļāļāļāđāļāļāļĢāļ°āļāļāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāđāđāļāļ·āđāļāļāļĩāđāļāļ°āđāļŠāļāļāđāļŦāđāļŦāđāļāđāļāļ§āļē āļāļ°āļāđāļēāđāļāļīāļāļāļēāļĢāļāļēāļĄāļāđāļĒāļāļēāļĒāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļŊ āđāļĨāļ°āļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāđāļāļāļĒāļēāļāđāļĢ āļāļēāļāļīāļāļēāļĢāļāļēāļĢāļ§āļĄāļāļąāļāļāļąāļāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļāļŦāļāļ§āļĒāļāļēāļāļāļąāđāļāđ
āđāļāļāļēāļĢāļāļąāļāļāļēāđāļĨāļ°āļāđāļēāļĢāļļāļāļĢāļąāļāļĐāļēāđāļāļāļŊ āļāļāļāļĄāļāļāļŦāļĄāļēāļĒāđāļŦāļĄāļĩāļāļđāļāļąāļāļāļēāļĢāļĢāļ°āļāļāļĢāļąāļāļāļīāļāļāļāļāļāļēāļāļāļĩāđāđāļāļĒāļāļĢāļ āđāļāļĢāļ°āļāļąāļāļŠāļđāļāļāļķāđāļāđāļ āđāļāļāđāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāļāļķāđāļāļāļēāļāļāļĢāļ°āļāļāļāđāļāļāļ§āļĒāđāļāļāļŊ āļŦāļĨāļēāļĒāđāļāļ āļāļēāļāļāđāļēāđāļāļāļāļāļāļĄāļĩāļāļĩāđāļāļĢāļķāļāļĐāļēāļŦāļĢāļ·āļāļāļđāđāļāļĩāđāļĒāļ§āļāļēāļāļāļĢāļ°āļāđāļēāļŦāļāļ§āļĒāļāļēāļāļāļ°āđāļāļāļāļđāļĢāļąāļāļāļīāļāļāļāļāđāļāļĢāļ°āļāļąāļāļāļāļāļāļĢāļāļāđāļ
āļāļąāļ§āļāļĒāļēāļāļāļāļāļāļđāļāļĩāđāļĄāļĩāļŠāļ§āļāđāļ-āļŠāļ§āļāđāļŠāļĩāļĒāļāļĩāđāđāļāļĩāđāļĒāļ§āļāļāļāđāļāļāļēāļĢāļāđāļēāļŦāļāļāđāļāļāļŊ āļāļ°āļĢāļ§āļĄāļāļķāļāļāļąāļ§āđāļāļāđāļāļŠāļ§āļāļāļēāļāđ āļāļēāļāļī āđāļāļ 1) āđāļāļĢāļāļāļēāļĢ āļāļēāļāļāļ°āđāļāļāļāļđāļĢāļąāļāļāļēāļāļāđāđāļ 2) āđāļāļēāļāļāļāļŠāļēāļĢāļŠāļāđāļāļĻāļāļąāđāļāļŦāļĨāļēāļĒāļāļĩāđāļāļāļāļāļēāļĢāļāļĢāļīāļāļēāļĢāļāļēāļāļĢāļ°āļāļ 3) āļāļđāđāļāļāļēāļāđ āļāļĩāđāļāļ°āļāļāļāļāļķāđāļāļāļēāļāļēāļĢāļāļąāļāļāļēāļāļ§āļēāļĄāļŠāļēāļĄāļēāļĢāļāđāļāļāļēāļĢāđāļŦāļāļĢāļīāļāļēāļĢāļāļāļāļĢāļ°āļāļ
āļāļĢāļ°āļāļĢāļ§āļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢ āļāļđāļĄāļ·āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒICT 13
4) āļāļđāđāļāļĢāļąāļāļĄāļāļāļŦāļĄāļēāļĒāđāļŦāļāļĢāļ§āļāļŠāļāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāļĢāļ°āļāļ 5) āļŠāļ§āļāļāļēāļāļ§āļēāļāđāļāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāļŠāļēāļĢāļŠāļāđāļāļĻ 6) āļāļđāļāļĩāđāđāļāļĢāļąāļāļĄāļāļāļŦāļĄāļēāļĒāđāļŦāļāļĢāļ°āđāļĄāļīāļāđāļĨāļ°āļāļāļāđāļāļĢāļąāļāļĢāļāļ (āļāļēāļĄāļĩ) 7) āļŠāļ§āļāļāļāļāļāļēāļĢāļāļąāļāļāļēāļĢāđāļāļĢāļāļŠāļĢāļēāļāļāļ·āđāļāļāļēāļ (āđāļāļ āļāļēāļāļēāļĢ āđāļĨāļ°/āļŦāļĢāļ·āļāđāļāļĢāļāļŠāļĢāļēāļāļāļ·āđāļāļāļēāļāļāļāļāđāļāļĢāļ·āļāļāļēāļĒ)
6. āļāļēāļĢāļāļąāļāļāļēāđāļĨāļ°āļāđāļēāđāļāļīāļāļāļēāļāļŠāđāļēāļŦāļĢāļąāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļāļīāļāļąāļāļīāļāļēāļāļāļēāļĄāļĄāļēāļāļĢāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļŊ (Security Standard Operating Procedures -SOPs)
āļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļāļīāļāļąāļāļīāļāļēāļāļāļēāļĄāļĄāļēāļāļĢāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļŊ āļāļ·āļāļāļēāļĢāļāđāļēāļŦāļāļāļŦāļāļēāļāļĩāđāļāļāļāļāļđāđāļāļāļąāđāļāļŦāļĄāļ āļĢāļ§āļĄāļāļķāļāļāļđāļāļĢāļīāļŦāļēāļĢāđāļĨāļ°āļĢāļ°āļāļąāļāļŦāļąāļ§āļŦāļāļēāļŦāļāļ§āļĒāļāļēāļ āļāļĩāđāđāļāļĩāđāļĒāļ§āļāļąāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļēāļāđ āļāļĩāđāļāđāļēāđāļāļāđāļāļāļēāļĢāļĢāļąāļāļāļĢāļ°āļāļąāļāļ§āļēāļĢāļ°āļāļāđāļāļāļĩāļāļĩāļāļ°āļŠāļēāļĄāļēāļĢāļāļāđāļēāđāļāļīāļāļāļēāļāđāļāļāļĒāļēāļāļāļĨāļāļāļ āļąāļĒ
āļāļāļāļēāļāļāļāļāđāļāļēāļŦāļāļēāļāļĩāđāļāļĩāđāļāļ°āļāļāļāļāđāļēāļŦāļāļāđāļāļāļĢāļ°āļāļ§āļāļāļēāļĢ āļāļ°āļĢāļ§āļĄāļāļķāļ âĒ āļāļĩāđāļāļĢāļķāļāļĐāļē/āļāļđāđāļāļĩāđāļĒāļ§āļāļēāļāļāļĢāļ°āļāđāļēāļŦāļāļ§āļĒāļāļēāļ (ITSA) âĒ System Manager âĒ System Administrator âĒ āļāļđāđāļāļāļąāđāļ§āđāļ
āļāļđāļāļąāļāļāļēāļĢāļĢāļ°āļāļāļāļ§āļĢāļāļ°āļāđāļēāđāļāļīāļāļāļēāļĢāļŠāļĢāļēāļāļāļ§āļēāļĄāđāļāļ·āđāļāļĄāļąāđāļāđāļŦāđāļāļ§āļē SOPs āļāļ°āđāļāļĢāļąāļāļāļēāļĢāļāđāļēāļĢāļļāļāļĢāļąāļāļĐāļēāđāļĨāļ°āļāļĢāļąāļāļāļĢāļļāļāđāļŦāļāļąāļāļŠāļĄāļąāļĒ āđāļāđāļ āļāļēāļĢāđāļāļĢāļĩāļĒāļĄāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļ§āļēāļĄāđāļāļĨāļĩāđāļĒāļāđāļāļĨāļ āđāļĨāļ°āļāļēāļĢāļāļąāļāļāļēāļĢāļēāļāđāļ§āļĨāļēāļŠāđāļēāļŦāļĢāļąāļāļāļēāļĢāļāļāļāļ§āļāđāļāļāļŊ
āļāļąāļ§āļāļĒāļēāļāļĢāļēāļĒāļĨāļ°āđāļāļĩāļĒāļāļāļēāļĢāļāļąāļāļāđāļēāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļāļīāļāļąāļāļīāļāļēāļāļāļēāļĄāļĄāļēāļāļĢāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļŊ (SOPs) āđāļāđāļāļĨāļ°āļĢāļ°āļāļąāļ āđāļŠāļāļāđāļ§āđāļāļāļēāļĢāļēāļāļāļāđāļāļāļĩāđ
āļāļĢāļ°āļāļĢāļ§āļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢ āļāļđāļĄāļ·āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒICT 14
1) āļāļĩāđāļāļĢāļķāļāļĐāļē/āļāļđāđāļāļĩāđāļĒāļ§āļāļēāļāļāļĢāļ°āļāđāļēāļŦāļāļ§āļĒāļāļēāļ (ITSA) āļāļēāļĢāļēāļāļāļāđāļāļāļĩāđāļāļ°āđāļŠāļāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļąāđāļāļāļāļāļĩāđāļāļ§āļĢāļĢāļ°āļāļļāđāļ§āđāļ ITSAâs SOPs
āļŦāļąāļ§āļāļ āļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļĩāđāļāļ§āļĢāļĢāļ°āļāļļāđāļ§ āļāļēāļĢāđāļŦāļāļ§āļēāļĄāļĢāļđāļāļđāđāļ āđāļāļāļāļēāļĢāđāļāļ°āļāđāļēāļāļđāđāļāđāļŦāļĄ āđāļāļ·āđāļāļāļĩāđāļāļ°āđāļāļāļēāļāđāļāļāļĒāļēāļāļāļđāļāļāļāļāļāļēāļĄāļāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļ
āļāļĨāļāļāļ āļąāļĒ Audit logs āļāļīāļāļēāļĢāļāļēāļāļāļāļ§āļ system audit trail & manual logs āđāļāļĒāđāļāļāļēāļ°āļāļĩāđāđāļāļĩāđāļĒāļ§āļāļąāļāļāļđ
āđāļāļāļĩāđāđāļāļĢāļąāļāļŠāļīāļāļāļīāļāļīāđāļĻāļĐ System integrity audit âĒ āļāļĢāļ§āļāļāļēāļ user accounts, system parameters, & access controls āđāļāļ·āđāļ
āļāļĢāļ§āļāļŠāļāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒ âĒ āļāļĢāļ§āļāļŠāļāļāļāļđāļĢāļāļ āļēāļāļāļāļ System software âĒ āļāļāļŠāļāļ access controls ïŋ― āļāļĢāļ§āļāļŠāļāļāļāļļāļāļāļĢāļāđāļĨāļ°āļāļēāļĢāļ§āļēāļāđāļāđāļāļīāđāļĨ
āļāļēāļĢāļĢāļąāļāļŠāļāļāļāļĄāļđāļĨ âĒ āļāļąāļāļāļēāļĢāļāļąāđāļāļāļāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāļāļēāļĢāđāļĒāļāļĒāļēāļĒāļāļāļĄāļđāļĨāļāļāļŠāļ·āđāļāļāļĩāđāđāļāļĨāļ·āđāļāļāļĒāļēāļĒāđāļ āđāļāļĒāđāļāļāļēāļ°āđāļāļŠāļ§āļāļāļĩāđāļāļāļāļŠāļāļāļāļāđāļāļāļāļāļāļĩāđāļāļąāđāļāļāļĢāļ°āļāđāļē
ïŋ―āļāļąāļāļāļēāļĢāļāļąāđāļāļāļāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāļŠāļ·āđāļāļāļĩāđāļāđāļēāđāļāļēāļĄāļē āđāļāļ·āđāļāđāļāļēāļĢāļ°āļ§āļąāļāđāļ§āļĢāļąāļŠāđāļĨāļ°āļāļāļāļāđāļ§āļĢāļāļĩāđāđāļĄāļāļķāļāļāļĢāļ°āļŠāļāļ
āļāļēāļĢāđāļāđāļāļāļĢāļąāļāļĒāļŠāļīāļāđāļāļāļĩ āļāļēāļĢāļāđāļēāđāļāļĢāļ·āđāļāļāļŦāļĄāļēāļĒ āļĨāļāļāļ°āđāļāļĩāļĒāļ āđāļĨāļ°āđāļāđāļāļĢāļ§āļāļĢāļ§āļĄāļāļĢāļąāļāļĒāļŠāļīāļ āļĢāļ§āļĄāļāļķāļāļŠāļ·āđāļāļāļĩāđāđāļāļĨāļ·āđāļāļāļĒāļēāļĒāđāļ
āđāļŦāļāļļāļāļēāļĢāļāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļŊ āļāļēāļĢāļĢāļēāļĒāļāļēāļāđāļĨāļ°āļāļąāļāļāļēāļĢāđāļŦāļāļļāļŊ
āļāļĢāļ°āļāļĢāļ§āļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢ āļāļđāļĄāļ·āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒICT 15
2) System Manager SOPs āļāļēāļĢāļēāļāļāļāđāļāļāļĩāđāļāļ°āđāļŠāļāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļąāđāļāļāļāļāļĩāđāļāļ§āļĢāļĢāļ°āļāļļāđāļ§āđāļ System Managerâs SOPs
āļŦāļąāļ§āļāļ āļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļĩāđāļāļ§āļĢāļĢāļ°āļāļļāđāļ§ System maintenance āļāļēāļĢāļāļąāļāļāļēāļĢāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļŊāđāļĨāļ°āļāļēāļĢāļāđāļēāļāļēāļāļāļąāđāļ§āđāļāļāļāļāļĢāļ°āļāļāļāļĢāļ°āļāđāļēāļ§āļąāļ
āļāļąāđāļāļāļēāļāļŪāļēāļĢāļāđāļ§āļĢāđāļĨāļ°āļāļāļāļāđāļ§āļĢ āļĢāļ§āļĄāļāļķāļ âĒ āļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĢāļ°āļŦāļāļąāļāļāļāļ software vulnerabilities âĒ āļāļēāļĢāļāļāļŠāļāļāđāļĨāļ°āļāļīāļāļāļąāđāļ software patched/updates âĒ āļāļēāļĢāļāļīāļāļāļąāđāļ hardening techniques āļāļĩāđāđāļŦāļĄāļēāļ°āļŠāļĄ ïŋ―āļāļēāļĢāļāļąāļāđāļāļ anti-virus software
āļāļēāļĢāļĒāļēāļĒāļŪāļēāļĢāļāđāļ§āļĢāļāļĩāđāđāļĨāļīāļāđāļāļāļāļāđāļāļāļēāļāļĢāļ°āļāļ
āļāļēāļĢāļāļąāļāļāļēāļĢāļāļēāļĢāļāđāļēāļāļąāļāļāļļāļāļāļĢāļāļāļĩāđāđāļĨāļīāļāđāļāđāļĨāļ§ āļĢāļ§āļĄāļāļķāļāļŠāļ·āđāļāļāļĩāđāđāļāļāļąāļāļāļķāļāļāļāļĄāļđāļĨ
āļāļēāļĢāļāļąāļāļāļēāļĢāļāļąāļāļāļĩāļāļđāđāļ āļāļēāļĢāđāļŦāļŠāļīāļāļāļīāļāļđāđāļāļāļēāļāļĢāļ°āļāļāļāļĩāđāđāļāļēāļĄāļēāđāļŦāļĄ Configuration control āļāļēāļĢāļāļāļļāļĄāļąāļāļīāđāļĨāļ°āļāļēāļĢāļĒāļāļĄāđāļŦāđāļāđāļ system software āļŦāļĢāļ·āļ configuration Access control āļāļēāļĢāđāļŦāļŠāļīāļāļāļīāļāļēāļĢāđāļāļēāļāļķāļāđāļāļāļāļĨāļīāđāļāļāļąāđāļāđāļĨāļ°āļāļāļĄāļđāļĨ System backup and recovery āļāļēāļĢāļāļāļāļ·āļāļĢāļ°āļāļāļāļēāļāļāļ§āļēāļĄāļĨāļĄāđāļŦāļĨāļ§ (recovering from system failures)
3) System Administrator SOPs āļāļēāļĢāļēāļāļāļāđāļāļāļĩāđāļāļ°āđāļŠāļāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļąāđāļāļāļāļāļĩāđāļāļ§āļĢāļĢāļ°āļāļļāđāļ§āđāļ System Administratorâs SOPs
āļŦāļąāļ§āļāļ āļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļĩāđāļāļ§āļĢāļĢāļ°āļāļļāđāļ§ System closedown āļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļāļāđāļ§āļĨāļēāļāđāļēāļāļēāļĢ āļāļēāļĢāļāļ§āļāļāļļāļĄāļāļēāļĢāđāļāļēāļāļķāļ āļāļēāļĢāļāđāļēāđāļāļīāļāļāļēāļĢāđāļŦāļŠāļīāļāļāļīāļāļēāļĢāđāļāļēāļāļķāļāđāļāļāļāļĨāļīāđāļāļāļąāđāļāđāļĨāļ°āļāļāļĄāļđāļĨ āļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāļāļąāļāļāļĩāļāļđāđāļāļāļēāļ āļāļēāļĢāđāļāļīāđāļĄāđāļĨāļ°āļĒāļāđāļĨāļīāļāļĢāļēāļĒāļāļ·āđāļāļāļđāđāļāļāļēāļāļĢāļ°āļāļ, āļāļēāļĢāđāļŦāļŠāļīāļāļāļīāļāļīāđāļĻāļĐ, Cleaning up
directories & files āđāļĄāļ·āđāļāļāļđāđāļāļāļāļāđāļāļāļēāļāļĢāļ°āļāļāđāļĨāļ§ System backup and recovery āļāļēāļĢāļŠāđāļēāļĢāļāļāļāļāļĄāļđāļĨ āļĢāļ§āļĄāļāļķāļ audit logs, āļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļŊ āļāļāļ backup
tapes, recovering from system failures
āļāļĢāļ°āļāļĢāļ§āļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢ āļāļđāļĄāļ·āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒICT 16
4) System Users SOPs āļāļēāļĢāļēāļāļāļāđāļāļāļĩāđāļāļ°āđāļŠāļāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļąāđāļāļāļāļāļĩāđāļāļ§āļĢāļĢāļ°āļāļļāđāļ§āđāļ System Userâs SOPs
āļŦāļąāļ§āļāļ āļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļĩāđāļāļ§āļĢāļĢāļ°āļāļļāđāļ§ āļāļāļāļēāļāđāļĨāļ°āļŦāļāļēāļāļĩāđ āđāļāļĢāļĢāļąāļāļāļīāļāļāļāļāđāļāļŠāļ§āļāđāļŦāļāļāļāļāļĄāļēāļāļĢāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļŊ āļāļēāļĢāđāļāļ·āļāļ āđāļāđāļ āļāļīāļāļāļĢāļĢāļĄāļāļāļāļāļđāđāļāļāļēāļāļāļđāļāļāļĢāļ§āļāļŠāļāļ āđāļĨāļ° āļāļđāđāļāļāļēāļāļāļ°āļāļāļāļĢāļąāļāļāļīāļāļāļāļ
āļāļāļāļēāļĢāļāļĢāļ°āļāđāļēāļāļĩāđāđāļāļīāļāļāļķāđāļāđāļāļĢāļ°āļāļāļŊ āļāļēāļŠāđāļ§āļīāļĢāļ āđāļāļ§āļāļēāļāđāļāļāļēāļĢāđāļĨāļ·āļāļāđāļĨāļ°āļāļēāļĢāļāļāļāļāļąāļāļāļēāļŠāđāļ§āļīāļĢāļ āļŠāđāļīāļāļāļĩāđāļāļāļāļĢāļđ āđāļāļ§āļāļēāļāļāļĩāđāļāļ°āļāđāļēāļŦāļāļāđāļāļāļĢāļ°āđāļāļĩāļĒāļāđāļāļŠāļīāđāļāļāļĩāđāļāļāļāļĢāļđāđāļāļĢāļ°āļāļ Security incidents āļĢāļēāļĒāļāļēāļĢāļŠāļīāđāļāļāļĩāđāļāļāļāļāđāļē āļŦāļēāļāđāļāļīāļāđāļŦāļāļļāļŊ āļāļĩāđāļāļēāļŠāļāļŠāļąāļĒāļŦāļĢāļ·āļāļāļĩāđāđāļāļīāļāļāļĢāļīāļ Classification āļĢāļ°āļāļąāļāļŠāļđāļāļŠāļļāļāļāļāļ Classified material āļāđāļķāļāļĒāļāļĄāđāļŦāļāļĢāļ°āļĄāļ§āļĨāļāļĨāđāļāļāļāļĢāļ°āļāļ āļāļēāļĢāļāļāļāđāļāļāļēāļāļĢāļ°āļāļāļāļąāđāļ§āļāļāļ° (Temporary absence)
āļ§āļīāļāļĩāļāļēāļĢāļāļĩāđāļāļđāļāļāļāļāđāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļŊ āđāļĄāļ·āđāļāļāļ°āļĨāļļāļāļāļāļāđāļāļāļēāļāļāļāļĄāļāļīāļ§āđāļāļāļĢāļāđāļąāļ§āļāļāļ°
āđāļĄāļ·āđāļāđāļĨāļīāļāļāļēāļ āļ§āļīāļāļĩāļāļēāļĢāļāļĩāđāļāļđāļāļāļāļāđāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļŊ āđāļĄāļ·āđāļāđāļĨāļīāļāļāļēāļ Media control āļāļĢāļ°āļāļ§āļāļāļēāļĢāļŠāđāļēāļŦāļĢāļąāļāļāļēāļĢāļāļ§āļāļāļļāļĄāđāļĨāļ°āļāđāļēāļāļąāļāļĄāļĩāđāļāļĩāļĒ Hardcopy āļāļĢāļ°āļāļ§āļāļāļēāļĢāļŠāđāļēāļŦāļĢāļąāļāļāđāļēāđāļāļĢāļ·āđāļāļāļŦāļĄāļēāļĒ āđāļāđāļāļĢāļąāļāļĐāļēāļŦāļĢāļ·āļāļāđāļēāļāļąāļāđāļāļāļŠāļēāļĢ
(hardcopy) Visitors āļāļēāļĢāļāļāļāļāļąāļāļāļđāļĄāļēāđāļĒāļ·āļāļāđāļĄāđāļŦāđāļāļēāļĄāļēāļāļđāļāļāļĄāļđāļĨāđāļ āļāļēāļĢāļāđāļēāļĢāļļāļāļĢāļąāļāļĐāļē āļĢāļēāļĒāļāļēāļĢāļŠāļīāđāļāļāļĩāđāļāļāļāļāđāļē āļŠāđāļēāļŦāļĢāļąāļ hardware & software maintenance
āļĢāļ°āđāļāļĩāļĒāļāļāļāļāļąāļāļāļąāļāļŠāđāļēāļŦāļĢāļąāļāļāļđāđāļāļāđāļąāļ§āđāļ āļŦāļāļ§āļĒāļāļēāļāļāļāļāļāļąāļāđāļŦāļĄāļĩāđāļāļ§āļāļēāļāļŦāļĢāļ·āļāļāđāļēāđāļāļ°āļāđāļēāļŠāđāļēāļŦāļĢāļąāļāļāļđāđāļāļāļąāđāļ§āđāļ āđāļāļĒāļĢāļ°āļāļļāļāļ§āļēāļĄāļĢāļąāļāļāļīāļāļāļāļāļāļĩāđāđāļāļĩāđāļĒāļ§
āļāļąāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļŊ āđāļĨāļ°āļāļĨāļāļĩāđāļāļ°āļāļēāļĄāļĄāļēāļāļēāđāļĄāļāļāļīāļāļąāļāļīāļāļēāļĄāļĢāļ°āđāļāļĩāļĒāļ āļāđāļēāđāļāļ°āļāđāļēāļāļāļāļŦāļāļ§āļĒāļāļēāļāļāļ§āļĢāļāļ°āļāļĢāļ°āļāļāļāļāļ§āļĒ âĒ āļāđāļēāļāļąāļāļāļēāļĢāđāļāļēāļāļķāļāļāļāļĄāļđāļĨ āļŠāļēāļĢāļŠāļāđāļāļĻ āđāļĨāļ°āļāļāļāļāđāļ§āļĢāļāļĩāđāļāļđāđāļāļĄāļĩāļŠāļīāļāļāļīāđāļĨāļ°āđāļāļāļŠāļīāđāļāļāļĩāđāļāļāļāļĢāļđ âĒ āļĢāļēāļĒāļāļēāļāđāļŦāļāļļāļāļēāļĢāļāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļ āļ āļąāļĒāļāļļāļāļāļēāļĄ āđāļĨāļ°āļāļāļāđāļŦāļ§āļāļąāđāļāļŦāļĄāļāļāļĩāđāđāļāļīāļāļāļķāđāļāļāļąāļāļāļĩāļāļĩāđāļāļ āļāļ
āļāļđāļĢāļąāļāļāļīāļāļāļāļāđāļāļĒāļāļĢāļ âĒ āļāļāļāļāļąāļāļāļēāļĢāļāļīāļŠāļđāļāļāļāļąāļ§āļāļāļāļĩāđāđāļāļĢāļąāļāļĄāļāļ âĒ āđāļŦāļāļ§āļēāļĄāļĄāļąāđāļāđāļāđāļāļ§āļē system media & system output āđāļāļĢāļąāļāļāļēāļĢāļāļąāļāļāļąāđāļāļāļ§āļēāļĄāļĨāļąāļ āđāļāļāđāļēāđāļāļĢāļ·āđāļāļ
āļŦāļĄāļēāļĒ āļāļ§āļāļāļļāļĄ āđāļāđāļāļĢāļąāļāļĐāļēāđāļĨāļ°āļāđāļēāļāļąāļāļāļĒāļēāļāļāļđāļāļāļāļ âĒ āļāļāļāļāļāđāļāļāļĢāļĄāļīāļāļāļĨāļāļēāļāļāļēāļĢāđāļāļēāļāļķāļāļāļāļāļāļđāļāļĩāđāđāļĄāđāļāļĩāđāļĒāļ§āļāļāļ
āļāļĢāļ°āļāļĢāļ§āļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢ āļāļđāļĄāļ·āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒICT 17
āļāļāļāļāļēāļāļāļĩāđāļāļ§āļĢāļĄāļĩāļāđāļēāđāļāļ·āļāļāđāļāđāļĢāļ·āđāļāļāļāļēāļāđ āļāļĩāđāđāļĄāļāļ§āļĢāļāđāļē āļāļąāļāļāļāđāļāļāļĩāđ âĒ āļāļēāļĢāļāđāļēāđāļāļēāļāļāļ malicious code āļĄāļēāļŠāļđāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻ âĒ āļāļēāļĢāļāļāļāļ§āļēāļĄāđāļŠāļĩāļĒāļŦāļēāļĒāļāļēāļāļāļēāļĒāļ āļēāļāļāļāļĢāļ°āļāļ âĒ āļāļēāļĢāļāđāļēāļĄāļēāđāļāļŦāļĢāļ·āļāđāļ unauthorized software, firmware, hardware āđāļāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻ âĒ āļāļēāļĢāļāļēāļāļŠāļīāļāļāļīāļāļēāļĢāđāļāļēāļāļķāļāļŠāļēāļĢāļŠāļāđāļāļĻāđāļāļāļāļđāļāđāļ·āļ âĒ āļāļ§āļēāļĄāļāļĒāļēāļĒāļēāļĄāđāļāļēāļāļķāļāļāļāļĄāļđāļĨāļāļĩāđāđāļĄāļĄāļĩāļŠāļīāļāļāļī âĒ āļāļēāļĢāđāļĒāļāļĒāļēāļĒāļāļļāļāļāļĢāļāđāļāļĢāļ°āļāļāļŊ āđāļāļĒāđāļĄāđāļāļĢāļąāļāļāļāļļāļāļēāļ
7. āļāļēāļĢāļāļĢāļ§āļāļŠāļāļāđāļĨāļ°āļāļēāļĢāļāļāļāđāļāļāļĢāļ°āđāļĄāļīāļāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻ āļĄāļĩāļ§āļąāļāļāļļāļāļĢāļ°āļŠāļāļāļāļĩāđāļāļ°āđāļŠāļāļāļāļāļĄāļđāļĨāđāļāļĩāđāļĒāļ§āļāļąāļāļ§āļīāļāļĩāļāļēāļĢāļĢāļąāļāļĢāļāļāđāļĨāļ°āļāļēāļĢāļāļāļāđāļāļĢāļąāļāļĢāļāļ āļāļ§āļēāļĄāļĄāļąāđāļāļāļ
āļāļĨāļāļāļ āļąāļĒāļāļāļāļĢāļ°āļāļāđāļāļāļĩāļāļĩ āļāļąāđāļāļāļĩāđāđāļāļ·āđāļāļŠāļĢāļēāļāļāļ§āļēāļĄāđāļ§āļ§āļēāļāđāļāđāļŦāļāļąāļāļāļēāļĒāļāļĢāļīāļŦāļēāļĢāļāļāļāļŦāļāļ§āļĒāļāļēāļāđāļĨāļ°āđāļāļēāļāļāļāļāļāļĄāļđāļĨ āļāļēāļĄāļāļĩāđāļāđāļēāļŦāļāļāđāļ§āđāļāđāļāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļŊāļāļāļāļĢāļ°āļāļāļāļēāļ (āļāļ°āđāļāļāļŦāļāļēāļāļĩāđāļāļāļāļŦāļāļ§āļĒāļāļēāļāđāļŦāļĄāļāļĩāđāļāļ°āļāđāļēāđāļāļīāļāļāļēāļĢāļāļāđāļ āļŦāļĨāļąāļāļāļēāļāļāļāļļāļĄāļąāļāļīāđāļāđāļāļāđāļĄāļāļāļŊ āđāļĨāļ§)
8. āļāļēāļĢāļāđāļēāđāļāļīāļāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļēāļāđāļāļāļĩāļāļĩāđāļĨāļ°āļāļēāļĢāļāļąāļāļāļēāļĢāđāļŦāļāļļāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļāļāļŦāļāļ§āļĒāļāļēāļ
āļāļēāļĢāļāđāļēāđāļāļīāļāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļēāļāđāļāļāļĩāļāļĩāđāļāļāļāļēāļāļāļĩāđāļāļāļāļāđāļēāļāļĒāļēāļāļāļāđāļāļ·āđāļāļ āļāđāļķāļāļāļĢāļ°āļāļāļāļāļ§āļĒāļāļąāđāļāļāļāļāđāļĨāļ°āļ§āļīāļāļĩāļāļēāļĢāļāļĩāđāļāļ°āļāļāļāļāļąāļāđāļŦāļĨāļāļāļāļĄāļđāļĨāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļĢāļ°āļāļāļāļēāļāļāļąāđāļāļŦāļĄāļ āđāļāđāļ Confidentiality, Integrity, Availability āļĢāļ§āļĄāļāļķāļ Authentication āđāļĨāļ° Access control
āļŦāļāļ§āļĒāļāļēāļāļāļ§āļĢāļĢāļ°āļāļļāļāļāļāļēāļāđāļĨāļ°āļŦāļāļēāļāļĩāđāđāļāļāļēāļĢāļāđāļēāļĢāļļāļāļĢāļąāļāļĐāļē ICT Security āļāļĒāļēāļāļāļąāļāđāļāļ āđāļĨāļ° āļāļąāļāđāļŦāļĄāļĩāļāļĢāļąāļāļĒāļēāļāļĢāļāļĒāļēāļāļāļāđāļāļĩāļĒāļāļāļĩāđāļāļ°āļāļāļīāļāļąāļāļīāļŦāļāļēāļāļĩāđāļāļēāļĄāļ āļēāļĢāļāļīāļāļāļĩāđāđāļāļĩāđāļĒāļ§āļāļāļ āđāļāđāļ āļāļēāļĢāļāļąāļāļāļēāļĢāļāļ§āļēāļĄāđāļāļĨāļĩāđāļĒāļāđāļāļĨāļ āļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļąāļāļāļēāļĢāļāļĩāđāđāļāļīāļāļāļķāđāļ āļāļēāļĢāļāļąāļāļāļąāļāđāļŦāļāļļāļāļēāļĢāļāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļŊ āđāļĨāļ°āļāļēāļĢāļāļąāļāļāļēāļĢāđāļāļŠāļ§āļāļāļĩāđāđāļāļĩāđāļĒāļ§āļāļāļ āļāļēāļĢāļĢāļēāļĒāļāļēāļāļāļĩāđāļāļāļāļŠāļāļāļāļāđāļāļāļāļāļŦāļāļ§āļĒāļāļēāļāđāļĄāļ·āđāļāļāļĢāļ°āļŠāļāđāļŦāļāļļāļŊ āđāļĨāļ°āļāļēāļĢāļ§āļēāļāđāļāļāđāļāļāļāļāđāļŦāļāļļāļāļēāļĢāļ āđāļĄāļ·āđāļāđāļāļīāļāļāļķāđāļāļĄāļēāđāļĨāļ§ 1) āļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāļāļ§āļēāļĄāđāļāļĨāļĩāđāļĒāļāđāļāļĨāļ
āļāļ§āļēāļĄāļāļāļāļāļēāļĢāļāļĩāđāļāļ°āđāļāļĨāļĩāđāļĒāļāđāļāļĨāļ āļĢāļ°āļāļļāđāļāļŦāļĨāļēāļĒāļ§āļīāļāļĩ āđāļāļ âĒ āļāļēāļĢāđāļāļāđāļŠāļĩāļĒāļŦāļĢāļ·āļāļāļ§āļēāļĄāļāļāļāļāļēāļĢāļāļĢāļąāļāļāļĢāļļāļāļĢāļ°āļāļāļāļēāļāļāļēāļāļāļđāđāļ âĒ āļāļđāļāđāļēāļŦāļāļēāļĒāļāļļāļāļāļĢāļāđāļāļāļāļēāļĢāļāļąāļāđāļāļĢāļāļāļāļāļāđāļ§āļĢāļŦāļĢāļ·āļāļŪāļēāļĢāļāđāļ§āļĢ âĒ āļāļ§āļēāļĄāļāļēāļ§āļŦāļāļēāđāļāđāļāļāđāļāđāļĨāļĒāļĩ âĒ āļāļēāļĢāļāđāļēāđāļāļīāļāļāļēāļāļāļāļāļĢāļ°āļāļāđāļŦāļĄ āļāđāļķāļāļāļāļāđāļāļĨāļĩāđāļĒāļāļĢāļ°āļāļāđāļāļīāļĄ āđāļĨāļ° âĒ āļāļēāļĢāļĢāļ°āļāļļāļŦāļāļēāļāļĩāđāđāļŦāļĄāļāļĩāđāļāļāļāļāļēāļĢāļāļĢāļąāļāļāļĢāļļāļāļĢāļ°āļāļāļŦāļĢāļ·āļāļāļąāļāļŦāļēāļĢāļ°āļāļāđāļŦāļĄ
āļāļĢāļ°āļāļĢāļ§āļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢ āļāļđāļĄāļ·āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒICT 18
āļāļąāļāļāļąāđāļāļŦāļāļ§āļĒāļāļēāļāļāđāļēāđāļāļāļāļāļāļāđāļēāđāļāļīāļāļāļēāļĢ āļāļāđāļāļāļĩāđ āđāļŦāđāļāļīāļāļāļ§āļēāļĄāļĄāļąāđāļāđāļāļ§āļē âĒ āļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļąāļāļāļēāļĢāļāļ§āļēāļĄāđāļāļĨāļĩāđāļĒāļāđāļāļĨāļāđāļāļĢāļ°āļāļļāđāļ§āđāļĨāļ§āđāļāđāļāļāļŠāļēāļĢāļŠāđāļēāļāļąāļāļāļāļ ICT Security
āđāļĨāļ°āļāļ°āđāļāļĢāļąāļāļāļēāļĢāļāļāļīāļāļąāļāļīāļāļēāļĄ âĒ āļāļāđāļŠāļāļāļāļĩāđāļāļ°āđāļāļĨāļĩāđāļĒāļāđāļāļĢāļąāļāļāļāļļāļĄāļąāļāļīāđāļĨāļ§ āđāļāļĒāđāļāļēāļŦāļāļēāļāļĩāđ âĒ āļāļēāļĢāđāļāļĨāļĩāđāļĒāļāđāļāļĨāļāđāļāđ āļāļĩāđāļāļēāļāļĄāļĩāļāļĨāļāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļŊ āļāļ°āļāļāļāđāļŠāļāļāļāļāļāļāļļāļĄāļąāļāļīāļāļāļ
āđāļŠāļĄāļ âĒ āđāļāļāļŠāļēāļĢāļāļĩāđāđāļāļĩāđāļĒāļ§āļāļāļāļāļąāļāļĢāļ°āļāļāļāļ°āđāļāļĢāļąāļāļāļēāļĢāļāļĢāļąāļāļāļĢāļļāļāđāļŦāļāļąāļāļŠāļĄāļąāļĒ āđāļāļ·āđāļāđāļŠāļāļāđāļŦāđāļŦāđāļāļāļķāļāļŠāļ§āļāļāļĩāđ
āđāļāļĨāļĩāđāļĒāļāđāļ 2) āļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāļŊ (Change management process)
āļāļēāļĢāđāļāļĨāļĩāđāļĒāļāđāļāļĨāļāļŠāļīāđāļāđāļ§āļāļĨāļāļĄāļāļāļāļĢāļ°āļāļāļāļ°āļāļāļāļĢāļ§āļĄāļāļķāļ âĒ āļāļēāļĢāļāļąāļāđāļāļĢāļ System hardware âĒ āļāļēāļĢāļāļąāļāđāļāļĢāļ System or application software âĒ āļāļēāļĢāđāļāļīāđāļĄāļāļāđāļāļāļāļĢāļāļĩāļāļīāđāļĻāļĐ ïŋ― āļāļēāļĢāđāļāļĨāļĩāđāļĒāļāđāļāļĨāļāļāļĩāđāļĄāļĩāļŠāļēāļĢāļ°āļŠāđāļēāļāļąāļ āđāļāļŠāļ§āļ system access controls
3) āļāļēāļĢāļāļąāļāļāļąāļ Security Incidents āļāļīāļĒāļēāļĄāļāļāļ Security incident āļāļ·āļ āđāļŦāļāļļāļāļēāļĢāļ āļāđāļķāļāļĄāļĩāļāļĨāļāļĢāļ°āļāļāļāļ Confidentiality, Integrity āļŦāļĢāļ·āļ
Availability āļāļāļāļĢāļ°āļāļ āļāļĩāđ āđāļāļīāļāļāļēāļ āļāļēāļĢāļāļĢāļ°āļāđāļēāļāļāļ unauthorized access, disclosure, modification, misuse, damage, loss āļŦāļĢāļ·āļ destruction
āļŦāļāļ§āļĒāļāļēāļāļāļāļāļāļąāļāļāļē āļāđāļēāđāļāļīāļāļāļēāļāđāļĨāļ°āļĢāļąāļāļĐāļēāđāļāļĢāļ·āđāļāļāļĄāļ·āļāđāļĨāļ°āļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļĩāđāđāļāļĄāļēāļāļēāļ āļāļēāļĢāļĢāļ°āļāļļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ āļāļēāļĢāļāļđāļāļ·āļāļāļēāļāļāļĨāļāļēāļĢāļāļąāļāļāļąāļāđāļŦāļāļļāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļŊ āļāļĢāļ°āļāļāļāļāļ§āļĒ
âĒ Countermeasures against malicious code âĒ Intrusion detection strategies âĒ Audit analysis âĒ System integrity checking âĒ Vulnerability assessments āļāļāļāļāļēāļāļāļĩāđāļ āļąāļĒāļāļļāļāļāļēāļĄāļāļĩāđāļāļ°āđāļāļāđāļŦāļāļļāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļĄāļąāļāļāļ°āļāļđāļāļāļāđāļāļĒāļāļāļąāļāļāļēāļ āļĄāļēāļāļāļ§āļēāļāļĩāđāļāļ°āļāļāđāļāļĒ
software tools āļāļąāļāļāļąāđāļāļāļēāļĢāļāļāļāļāļĢāļĄāđāļāļēāļŦāļāļēāļāļĩāđāđāļĨāļ°āļāļāļąāļāļāļēāļāļāļĒāļēāļāļāļāđāļāļ·āđāļāļāđāļĨāļ°āļĄāļĩāļāļ§āļēāļĄāļāļĢāļ°āļŦāļāļąāļāđāļāļāļāļŦāļēāļāļĩāđāļāļ°āļāļ§āļĒāļāļĢāļĢāđāļāļēāļ āļąāļĒāđāļāļāļĒāļēāļāļāļĩ
āđāļāļĢāļ·āđāļāļāļĄāļ·āļāļāļĩāđāđāļāļāļąāļāļāļąāļ āđāļāļāļāļāļāļāđāļ§āļĢāļĄāļĩāļŦāļĨāļēāļĒāļāļāļīāļ āđāļāļ Network and Host Intrusion Detection Systems, System Integrity Verification, Log Analysis, Intrusion Repulsion āđāļāļāļāļ
āļāļĢāļ°āļāļĢāļ§āļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢ āļāļđāļĄāļ·āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒICT 19
4) āļāļēāļĢāļāļąāļāļāļēāļĢ Security Incidents āļŦāļāļ§āļĒāļāļēāļāļāļāļāļāļąāļāļāđāļēāļŦāļāļēāļāļĩāđāļāļ§āļēāļĄāļĢāļąāļāļāļīāļāļāļāļāļāļāđāļŦāļāļļāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļŊ āļāļĒāļēāļāļĨāļ°āđāļāļĩāļĒāļāļĢāļ§āļĄāļāļķāļ
āļāļĢāļ°āļāļ§āļāļāļēāļĢāļŠāđāļēāļŦāļĢāļąāļāļĢāļ°āļāļāļāļāļāļŦāļāļ§āļĒāļāļēāļāđāļāļĨāļ°āļĢāļ°āļāļ āđāļāļāļēāļĢāđāļāļĄāļēāļāļĢāļāļēāļāđāļāļŦāļāļ§āļĒāļāļēāļ āļāļ§āļĢāļāđāļēāđāļāļīāļāļāļēāļĢ âĒ āļŠāļāļąāļāļŠāļāļļāļāļāļāļąāļāļāļēāļāđāļŦāļāļąāļāļāļķāļāđāļĨāļ°āļĢāļēāļĒāļāļēāļāļāļāļŠāļąāļāđāļāļāļāļĩāđāđāļāļīāļ āļŦāļĢāļ·āļāļŠāļāļŠāļąāļĒāļ§āļēāļāļ°āđāļāļāļāļļāļāļāļāļ
āļŦāļĢāļ·āļāļ āļąāļĒāļāļļāļāļāļēāļĄ āļāļāļĢāļ°āļāļāļŦāļĢāļ·āļāļāļĢāļīāļāļēāļĢ âĒ āļāļąāļāļāđāļēāđāļĨāļ°āļāļīāļāļāļēāļĄāļāļĢāļ°āļāļ§āļāļāļēāļĢāļŠāđāļēāļŦāļĢāļąāļāļĢāļēāļĒāļāļēāļ Software malfunctions âĒ āļāđāļēāđāļāļīāļāļāļąāļāļāđāļēāļĢāļ°āļāļāļāļēāļāđāļāļŦāļāļ§āļĒāļāļēāļ āđāļāļ·āđāļāļāļąāļāļāļĢāļ°āđāļ āļ āļāļĢāļīāļĄāļēāļ āđāļĨāļ°āļāļāļāļļāļāļāļāļāđāļŦāļāļļāđāļĨāļ°
āļāļēāļāļēāļĢāđāļŠāļĩāļĒāļāļĩāđāļāļ°āļāļāļāļāļĢāļ°āđāļĄāļīāļāđāļĨāļ°āđāļāļēāļāļđ âĒ āļĢāļąāļāļĄāļ·āļāļāļąāļāļāļēāļĢāļĨāļ°āđāļĄāļīāļāļāđāļĒāļāļēāļĒāļāļāļāļāļĢāļāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāđāļāļāļāļāļāļĢ āļāļēāļĢāļāļąāļāļāļķāļāđāļŦāļāļļāļāļēāļĢāļāļāļ§āļĢāļāđāļēāđāļāļīāļāļāļēāļĢāļāļĒāļēāļāđāļāļāļĢāļđāļāļāļĢāļĢāļĄ āļāļąāļāļāļķāļāđāļŦāļĨāļēāļāļĩāđāļāļ§āļĢāđāļāļāļ§āļīāļāļĩāļāļēāļĢāđāļĨāļ°āļāļ§āļēāļĄāļāļĩāđ
āļāļāļāļāļēāļĢāđāļāļīāļāđāļŦāļāļļāļŊ āđāļĨāļ°āļāļēāļĢāļĨāļ°āđāļĄāļīāļ āđāļāļ·āđāļāļāļĩāđāļāļ°āļāđāļēāđāļāļīāļāļĄāļēāļāļĢāļāļēāļĢāđāļāđāļāļāļāđāļ āļĢāļēāļĒāļāļēāļāļāļĩāđāļāļąāļāļāļķāļāļāļāļĄāļđāļĨāļāļ§āļĢāļāļĢāļ°āļāļāļāļāļ§āļĒ
âĒ āļ§āļąāļ/āđāļ§āļĨāļēāļāļĩāđāđāļāļīāļāđāļŦāļāļļ âĒ āļ§āļąāļ/āđāļ§āļĨāļēāļāļĩāđāļāļāļāļāđāļŦāļāļļ âĒ āļāđāļēāļāļāļīāļāļēāļĒāļāļāļāđāļŦāļāļļ āļĢāļ§āļĄāļāļķāļāļāļļāļāļāļĨāđāļĨāļ°āļāđāļēāđāļŦāļāļāļāļĩāđāđāļāļĩāđāļĒāļ§āļāļāļ âĒ āļāļīāļāļāļĢāļĢāļĄāļāļĩāđāđāļāđāļāđāļāļ·āđāļāļĢāļąāļāļĄāļ·āļāđāļŦāļāļļ âĒ āđāļāļĢāļēāļĒāļāļēāļāđāļŦāļāļļāđāļŦāđāļāļĢāļāļĢāļēāļāđāļĨāļ§ āđāļĨāļ° ïŋ― āđāļāļāļŠāļēāļĢāļāļēāļāļāļīāļ
5) āļāļēāļĢāļĢāļēāļĒāļāļēāļāđāļŦāļāļļāļŊ āļāļāļāđāļāļāļāļāļāļāļāļāļĢ āļāļēāļĢāļĢāļēāļĒāļāļēāļ Security incidents āļāļąāļāđāļŦāļĄāļĩāļ§āļīāļāļĩāļāļēāļĢāđāļāļ·āđāļāļāļĩāđāļāļ°āļ§āļąāļāļŦāļĢāļ·āļāļāļĢāļ°āđāļĄāļīāļāļāļ§āļēāļĄāđāļŠāļĩāļĒāļŦāļēāļĒāļĢāļ§āļĄ āđāļĨāļ°
āļāđāļēāđāļāļīāļāļāļēāļĢāđāļāđāļāļāļąāđāļāļāļ āļāļĢāļāļāļāļĨāļļāļĄāļŦāļāļ§āļĒāļĢāļēāļāļāļēāļĢāļāļąāđāļāļŦāļĄāļ āļĢāļēāļĒāļāļēāļāđāļŦāļāļļāļŊāđāļāļāđāļāļĢāļ·āđāļāļāļĄāļ·āļāļāļ·āđāļāļāļēāļāļŠāđāļēāļŦāļĢāļąāļāļĢāļ°āļāļļāđāļāļ§āđāļāļĄāđāļāļāļēāļĢāđāļāļīāļāđāļŦāļāļļāļāļēāļĢāļ āđāļĨāļ°āđāļāļ·āđāļāļāļĩāđāļāļ°āļāļąāļāļāļēāļāđāļĒāļāļēāļĒāđāļŦāļĄ āļāļĢāļ°āļāļ§āļāļāļēāļĢ āđāļāļāļāļīāļāđāļĨāļ°āļĄāļēāļāļĢāļāļēāļĢāļāļāļāļāļĢāļĄāđāļāļīāļāļāļāļāļāļąāļ 6) āđāļāļāļāļāļāđāļāđāļŦāļāļļāļāļēāļĢāļ (Incident Response Plan)
āļŦāļāļ§āļĒāļāļēāļāđāļāļĨāļ°āļŦāļāļ§āļĒāļāļāļāļāļąāļāļāļē Incident Response Plan āļāđāļķāļāļāļĒāļēāļāļāļāļĒ āļāļāļāļāļĢāļāļāļāļĨāļļāļĄ âĒ āđāļāļ§āļāļēāļāļāļ§āļēāļāđ āļ§āļēāđāļŦāļāļļāđāļāļīāļāđāļāļāļĒāļēāļāđāļĢ âĒ āļāļēāļĢāļāļāļāļāļĢāļĄāļāļąāđāļāļāđāđāļēāļāļāļāļāļđāđāļāđāļĨāļ°āļāļđāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāļĢāļ°āļāļ âĒ āđāļāļēāļ āļēāļāļāļĩāđāļĢāļąāļāļāļīāļāļāļāļāđāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāđāļŦāļāļļāļāļēāļĢāļ âĒ āļāļąāđāļāļāļāļāļāļĩāđāļāđāļēāđāļāļāđāļāļ·āđāļāļĢāļąāļāļāļĢāļ°āļāļąāļāļāļđāļĢāļāļ āļēāļāļāļāļāļāļāļĄāļđāļĨāđāļāļ§āļēāļŠāļāļąāļāļŠāļāļļāļ âcompromiseâ âĒ āļāļąāđāļāļāļāļāļāļĩāđāļāđāļēāđāļāļāđāļāļ·āđāļāļĢāļąāļāļāļĢāļ°āļāļąāļāļ§āļēāļĢāļ°āļāļāļāļēāļāļāļĩāđāļŠāđāļēāļāļąāļāļĒāļīāđāļāļĒāļąāļāļāļāļāđāļēāđāļāļīāļāđāļāđāļāļāļĒāļēāļāļāļāđāļāļ·āđāļāļ
āļāļĢāļ°āļāļĢāļ§āļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢ āļāļđāļĄāļ·āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒICT 20
âĒ āļ§āļīāļāļĩāļāļēāļĢāļĢāļēāļĒāļāļēāļāđāļŦāļāļļāļāļēāļĢāļāļāļĒāļēāļāđāļāļāļāļēāļāļāļēāļĢ
9. āļāļēāļĢāļāļīāļāļāļēāļĄāđāļĨāļ°āļāļĢāļ°āđāļĄāļīāļāļāļĨ āļĄāļĩāļ§āļąāļāļāļļāļāļĢāļ°āļŠāļāļāđāļāļ·āđāļ âĒ āļĢāļ°āļāļļāļāļēāļĢāđāļāļĨāļĩāđāļĒāļāđāļāļĨāļāļāļēāļāļāļēāļĢāļāđāļēāđāļāļīāļāļāļēāļāļāļāļāļāļāļāļāļĢāļāļĩāđāļāļ°āļāļāļāđāļāļīāļāļāļķāđāļ āđāļĨāļ°āļāļēāļĢāļāļīāļāļāļēāļĄāđāļĨāļ°
āļāļĢāļ°āđāļĄāļīāļāļāļĨ âĒ āļĢāļ°āļāļļāļāļēāļĢāđāļāļĨāļĩāđāļĒāļāđāļāļĨāļāļāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĩāđāļāļ°āļāļāļāļāļīāļāļāļēāļĄāđāļĨāļ°āļāļĢāļ°āđāļĄāļīāļāļāļĨāļāļĨ âĒ āļāļĢāļ°āđāļĄāļīāļāļāļĢāļ°āļŠāļīāļāļāļīāļāļĨāļāļāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļŊ āđāļĨāļ°āļĢāļ°āļāļļāļāļĢāļ°āđāļāđāļāļāļĩāđāļāļāļāļāļēāļĢāļāļĢāļąāļ
āļāļĢāļļāļāļāļāđāļ āļāļēāļĢāļāļīāļāļāļēāļĄāđāļĨāļ°āļāļĢāļ°āđāļĄāļīāļāļāļēāļ Security āļāļ§āļĢāļĄāļĩāļāļ·āđāļāļāļēāļāļāļāļāļāļĄāļđāļĨ āļāđāļķāļāļāļ° āļĨāļ°āđāļāļĩāļĒāļ āļāļąāļāļŠāļĄāļąāļĒ āđāļĨāļ°āđāļāļ·āđāļ
āļāļ·āļāđāļ āļāļēāļĢāļĢāļ§āļāļĢāļ§āļĄāļŠāļēāļĢāļŠāļāđāļāļĻāļāļĩāđāđāļāļāļāļāļāļļāļāļąāļāđāļāļ·āđāļāļāļēāļĢāļāļāļāļ§āļāđāļāļāļŊ āļāļ§āļĢāļāļĢāļāļāļāļĨāļļāļĄ āļŠāļ§āļāļāļēāļāļāļāđāļāļāļĩāđ âĒ āļāļ§āļēāļĄāđāļĢāļāļāļ§āļāļāļāļāļŦāļāļ§āļĒāļāļēāļ âĒ āļāļ§āļēāļĄāļāļāļāļāļēāļĢāļāļēāļāļāļēāļĢāļāđāļēāđāļāļīāļāļāļēāļāļāļĢāļ°āļāđāļē âĒ āļāļāļĄāļđāļĨāļāļĩāđāđāļāļĩāđāļĒāļ§āļāļąāļāļ āļąāļĒāļāļļāļāļāļēāļĄ âĒ āđāļāļāļēāļŠāļāļĩāđāļāļ°āđāļāļīāļāđāļĨāļ°āļāļĨāļāļĩāđāļāļēāļĄāļĄāļē āđāļāđāļāļāļĩāđāļāļ°āļāļĢāļ°āļĄāļēāļāļāļēāļĢāđāļ âĒ āļāļĨāļŠāļąāļĄāļĪāļāļāļīāđāļāļāļāļ§āļīāļāļĩāļāļēāļĢāļāļāļāļēāļāļāļĩāđāđāļāļāļĒāļđāđāļĨāļ§ âĒ āļāļēāļĢāļāļāļāđāļāļāđāļ·āļāđ āļāļĩāđāđāļāļāđāļāđāļ āđāļĨāļ° âĒ āļ§āļīāļāļĩāļāļāļīāļāļąāļāļīāļāļĩāđāļāļĩāļāļĩāđāļŠāļļāļ (Best practice)
āļāļĢāļ°āļāļĢāļ§āļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢ āļāļđāļĄāļ·āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒICT 21
āđāļāļāļŠāļēāļĢāļāļēāļāļāļīāļ
1. ACSI 33, Australian Government, Information and Communications Technology Security Manual, 31 March 2006
2. Information Security Guideline for NSW Government, June 2003 3. NIST SP800-53 Recommended Security Controls for Federal Information Systems 4. NIST SP800-53A, Guide for Assessing the Security Controls in Federal Information Systems 5. FIPS-199 Standards for Security Categorization of Federal Information and Information Systems 6. FIPS-200 Minimum Security Requirements for Federal Information and Information Systems 7. ISO/IEC 27001 ISMS33