Kajian Enterprise Information Security Architecture sebagai cara pandang untuk Security Process Improvement (Tugas Akhir Kuliah EC-7010)

Enterprise Information Security Architecture sebagai cara pandang untuk Security Process Improvement Kajian

(Tugas Akhir Kuliah EC-7010)

April 1, 2008

  oleh: Muhamad Rachmat Gunawan NIM: 23207045 Program Magister CIO Sekolah Teknik Elektro Informatika

Contents

1 Pendahuluan

3

1.1

Latar Belakang

. . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3

1.2

Tujuan dan Metodologi Penulisan . . . . . . . . . . . . . . . . . . .

4

1.3

Sistematika Bahasan

5

. . . . . . . . . . . . . . . . . . . . . . . . . .

2 Pengkajian Enterprise Information Security Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5

2.1

Arsitektur Bisnis

2.2

Arsitektur Teknologi

. . . . . . . . . . . . . . . . . . . . . . . . . .

8

2.3

Arsitektur Data/Informasi . . . . . . . . . . . . . . . . . . . . . . .

13

3 Penutup

5

14

3.1

Kesimpulan

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

14

3.2

Saran . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

15

List of Figures 1

Security dalam perspektif baru v.s security melebur dalam masingmasing arsitektur . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4

2

Tingkatan Security Capability Maturity Model [10]

7

3

Pandangan Arsitektur Teknologi berdasarkan Service

. . . . . . . .

8

4

Contoh IP Map . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

14

. . . . . . . . .

List of Tables 1

View dari Scope dan Business Model

2

. . . . . . . . . . . . . . . . .

6

1

Pendahuluan

1.1

Latar Belakang th

Ernst & Young dalam 10 Annual Global Information Security Survey mendapat temuan berupa:

•

fokus information security makin berkembang ke arah pemenuhan tujuan bisnis

•

information security makin terintegrasi dengan risk management

•

information security masih terisolasi dari manajemen eksekutif dan proses pengambilan keputusan strategis

•

compliance menjadi pendorong utama bagi information security

•

privacy dan proteksi data telah meningkat kepentingannya sebagai pendorong bagi information security

•

organisasi bergantung kepada audit dan self-assessment untuk mengavaluasi efektivitas pengelolaan information security mereka.

Mempertimbangkan survey di atas, penulis tertarik untuk mengkaji bagaimana

security dapat masuk ke dalam Arsitektur Enterprise (EA). Dengan memasukkan security ke dalam EA, penulis berharap information security tidak lagi terisolasi dari manajemen eksekutif dan proses pengambilan keputusan strategis. Dengan integrasi EA dengan security diharapkan pula information security menjadi bagian tak terpisahkan dari risk management. Arsitektur Enterprise adalah satu analisis dan dokumentasi dari enterprise dalam kondisi sekarang dan akan datang yang menyatakan mulai dari perspektif strategi terintegrasi, bisnis, dan teknologi [5, dari Bernard, Scott A. (2005), An Introduction to enterprise Architecture, Authorhouse]. Gartner menilai bahwa pada implementasinya EA ini lebih fokus pada keselarasan antara bisnis dengan teknologi informasi, sehingga terkadang (dan bahkan seringkali) melupakan kebutuhan keamanan dan privasi [2]. Dengan alasan inilah kemudian Gartner menggagas untuk memasukkan kebutuhan keamanan dan privasi ke dalam EA, sehingga kemudian muncul terminologi Arsitektur Keamanan Informasi Enterprise (EISA = Enterprise Information Security Architecture).

Wikipedia memberkan denisi EISA

sebagai satu praktek untuk menerapkan metode yang lengkap dan terpadu untuk

menggambarkan struktur dan perilaku sekarang atau mendatang dari proses keamanan organisasi, sistem keamanan informasi, personil dan sub unit dalam organisasi, sedemikian sehingga semua itu selaras dengan tujuan inti dan arahan strategis organisasi tersebut. Gartner juga memprediksikan bahwa pemisahan antara EA dengan konsep keamanan masih akan berlangsung sampai 2011.

3

Selain itu disadari pula bahwa penatakelolaan organisasi berdasarkan EA tidak mudah. Hal ini berdampak pada EISA karena pada dasarnya EISA dibuat berdasarkan EA. Gartner menyediakan 2 model untuk mengintegrasikan security ke dalam EA. Pendekatan pertama adalah dengan membentukan perspektif baru dalam EA yaitu perspektif security. Pendekatan kedua adalah dengan meleburkan (permeate ) aspek security ke dalam setiap arsitektur yang ada dalam EA [4].

diadaptasi dari Gartner [4] Figure 1:

Security dalam perspektif baru v.s security melebur dalam masing-

masing arsitektur

Pendekatan pertama memberikan kemudahan bagi pengelola security karena dapat menampilkan sudut pandang yang utuh tentang security dalam EA. Namun demikian, cara pandang yang demikian dapat menimbulkan tumpang tindih karena EISA sendiri menyangkut teknologi, informasi, dan bisnis. Pendekatan ini akan berguna pada saat awal pembentukan EISA di mana tim EA dan tim EISA mulai bergabung. Setelah mendapatkan gambaran yang utuh, selanjutnya EISA ini dapat dileburkan ke dalam EA sehingga aspek security berada dalam setiap arsitektur dalam EA, walaupun peleburan ini sendiri akan menyulitkan cara pandang pengelola security karena bidang pandangan yang terpisah-pisah.

1.2

Tujuan dan Metodologi Penulisan

Tulisan ini ditujukan untuk mengkaji penggunaan EISA dalam perencanaan secu-

rity di dalam enterprise. Metodologi yang digunakan adalah studi literatur antara penggunaan framework Zachman [1,4,5] (selanjutnya disebut cara pandang Z), pendekatan Gartner [2,3] (selanjutnya disebut cara pandang G), dan pendekatan GITA [6] (selanjutnya disebut cara pandang F). Dari studi literatur, penulis membuat sebuah model perencanaan security dengan model Gartner sebagai framework

4

utamanya dengan didukung oleh cara pandang berdasarkan framework Zachman dan best practise dari GITA.

1.3

Sistematika Bahasan

Tulisan ini dibagi ke dalam 4 bagian.

Pembahasan pertama difokuskan kepada

cara pandang EISA dari cara pandang G yang didukung cara pandang Z. Pembahasan kedua difokuskan kepada arsitektur keamanan dalam perspektif bisnis (cara pandang G) dengan melihat baris Scope (Planer) dan Business Model (Owner) pada cara pandang Z. Pembahasan ketiga difokuskan kepada arsitektur teknologi (cara pandang G) dengan melihat best practise (cara pandang F). Pembahasan keempat difokuskan kepada arsitektur data (cara pandang G) dengan melihat best

practise (cara pandang F).

2

Pengkajian Enterprise Information Security Architecture

Gartner [3] membagi EA ke dalam 3 kategori yaitu, arsitektur bisnis, arsitektur teknologi, dan arsitektur data. GITA memasukkan arsitektur data ini ke dalam arsitektur teknologi. Namun, berdasarkan pendekatan data sebagai aset, penulis lebih cenderung untuk mengikuti pola pemisahan data dari teknologi, dan selanjutnya pola pemisahan tersebut diberlakukan dalam tulisan ini. Paragraf selanjutnya akan membahas ketiga arsitektur tersebut.

2.1

Arsitektur Bisnis

Gartner [3] mendenisikan arsitektur bisnis terdiri dari business security require-

ment, security organization, security policy, dan process security. pandang Z, denisi tersebut diperluas menjadi:

5

Dengan cara

diadaptasi dari [1] dengan memasukkan faktor-faktor dari [3] Table 1: View dari Scope dan Business Model

Penulis sengaja menambahkan pada kolom Data dan baris Scope beberapa security

requirement berdasarkan data dari Ernst & Young [9]. E&Y mengadakan survey di 2007 dan menemukan bahwa ada 3 besar pendorong utama penyelenggaraan

security dalam organisasi yaitu, compliance dengan regulasi (64%), privasi dan perlindungan data (58%), dan pemenuhan tujuan bisnis (45%).

Hasil di atas

dapat digunakan oleh organisasi untuk mendenisikan Scope (cara pandang Z) dalam arsitektur bisnisnya. Mengikuti pola pikir EA (potret organisasi hari ini dan kondisi yang diharapkan nantinya) [2] maka fokus organisasi pada arsitektur ini adalah bagaimana untuk memotret kondisi bisnis hari ini ditinjau dari cara pandang Z (seperti pada tabel 1), bagaimana kondisi yang diinginkan berdasarkan best practise dari cara pandang F, dan bagaimana cara untuk mencapai kondisi tersebut. CMMI memberikan ide bagi peningkatan kondisi tersebut.

Maturity model untuk pengelolaan security salah satunya dikeluarkan oleh SSECMM Project [10] dan menyarankan tingkatan sebagai berikut:

6

Figure 2: Tingkatan Security Capability Maturity Model [10]

Model lain diajukan oleh ISM3 Consortium [11] dengan 5 tingkatan kedewasaan yang sama seperti pada gambar 2. Hanya saja, ISM3 mengajukan lebih banyak atribut yang dapat digunakan untuk mengukur tingkat kedewasaan, dan memberikan juga arahan untuk peningkatan. Seperti halnya CMMI, ISM3 dan SSECMM bukanlah proses melainkan gambaran karakteristik yang mencirikan tingkat kedewasaan dalam pengelolaan security dalam organisasi.

Penentuan arah per-

baikan dan peningkatan kedewasaan tentunya bergantung kepada prioritas dan fokus dari organisasi bersangkutan (apakah pada compliance, privasi, proteksi data, atau lainnya). Seperti yang digagas oleh Hayashi [5], penulis pun menganjurkan untuk mulai mengimplementasikan security ini sebagai bagian dari TQM. Bila Prof. Wang (pioneer Data Quality Management ) menganjurkan Total Data

Quality Management (TDQM), aspek security pun bisa menjadi bagian dari TQM dalam Total Security Quality Management. TSQM ini memberikan cara pandang yang baik tentang proses peningkatan proses, yang terdiri dari:

•

Kaizen, fokus terhadap bagaimana bagaimana meningkatkan kualitas proses security secara terus-menerus

•

Atarimae Hinshitsu, fokus terhadap dampak tak-nampak dari sebuah proses security dan cara untuk mengatasi dampak tersebut

•

Kansei, fokus terhadap cara bagaimana pengguna security menggunakan produk security yang membawa dampak pada perbaikan produk security

•

Miryokuteki Hinshitsu, fokus terhadap bagaimana memperluas kepedulian manajemen terhadap security.

7

2.2

Arsitektur Teknologi

Dalam arsitektur teknologi, Gartner memasukkan technology security requirements,

principles [8], security patterns, security services, security bricks (atau security component ). Sementara itu, Wikipedia menganjurkan bahwa arsitektur teknologi ini terdiri dari teknologi data, jaringan, kolaborasi, aplikasi, integrasi, dan plat-

form.

Agak berbeda dari keduanya, cara pandang Z menyarankan bahwa ar-

sitektur teknologi berada pada baris ke 3 (model logical ), 4 (model sik), dan 5 (detail) dengan masing-masing ada 6 bagian yang harus diperhatikan, yaitu What (teknologi data), Where (teknologi jaringan), When (technology life cycle ), Who (organisasi, kebijakan, aturan, otorisasi, dan tanggung jawab), How (technology

implementation guide, user guide, maintenance guide ), dan Why (regulasi, budaya perusahaan, etika perusahaan).

Sebagai perbandingan, best practise yang

diberikan GITA memberikan gambaran arsitektur sebagai berikut:

Figure 3: Pandangan Arsitektur Teknologi berdasarkan Service

Penulis mencoba menggabungkan cara pandang di atas dengan cara pandang Gartner sebagai wadahnya, sebagai berikut:

8

1. Technology Security Requirement, berisi persyaratan yang menyangkut (a) Data technology security requirement, berisi persyaratan yang menyangkut i. Enkripsi ii. Integritas data iii. Signature iv. Backup v. Disaster recovery vi. Verikasi vii. Workow viii. Storage Security (Redundancy, Parallelisme, Partitioning ) (b) Network technology security requirement, berisi persyaratan yang menyangkut i. Remote Access ii. Firewall iii. IPSec iv. TLS v. Integritas jaringan vi. IDS vii. Security Domain viii. Access Control (c) Application security requirement, berisi persyaratan yang menyangkut i. Integritas aplikasi ii. Keamanan aplikasi iii. Compliance (d) Platform security requirement, berisi persyaratan yang menyangkut i. Keamanan OS ii. Keamanan Virtual OS (untuk Virtual Private Server ) 2. Layanan Security (a) Identikasi Identikasi berkaitan dengan Personel security, yaitu penggunakan teknologi atau layanan untuk menjamin keamanan dan keselamatan personal dalam bekerja.

Best practise menyarankan ada 2 prinsip yang harus

diikuti, yaitu pemisahan tanggung jawab dan least privileged.

Pen-

gelolaan personel security ini dapat dilakukan dengan User Account Management, yang melibatkan proses: i. menyediakan prosedur untuk permintaan, penerbitan, dan penutupan user account dalam siklus kegiatan karyawan/personil.

9

ii. pelacakan user dan otorisasinya iii. pengelolaan fungsi-fungsi di atas secara terus-menerus. Teknologi yang dapat digunakan di area ini meliputi: i. User-id. ii. Token iii. Biometrics iv. Smart Card Dalam implementasinya, teknologi ini harus diikuti dengan seperangkat kebijakan, diantaranya: i. Tidak boleh sharing password, token, atau smart card ii. password memiliki panjang minimal, gabungan antara huruf dan angka, mempunyai batas waktu dan batas reuse. iii. setiap orang memiliki user-id yang unik. iv. setiap informasi sensitif dalam organisasi harus melibatkan penandatanganan Non Disclosure Aggrement (NDA) (b) Autentikasi Komponen teknologi yang digunakan dalam autentikasi adalah: i. Kriptogra ii. Public Key/Private Key iii. Sertikat X.509 iv. Message Digest v. DCE/Kerberos vi. Public Key Infrastructure (PKI) vii. Digital Signature (c) Otorisasi dan Access Control Beberapa teknologi yang terlibat dalam otorisasi dan Access Control adalah: i. Hashing ii. Kriptogra iii. Remote Access iv. Firewall v. Proxy vi. Protokol Security (SSL, IKE, IPSec, S/MIME) vii. Virtual Private Network, digunakan terutama untuk mengakses sumber daya informasi dari luar.

Best practise untuk area ini melibatkan kebijakan: i. otorisasi sebisa mungkin least privilege

10

ii. dibuat penjenjangan dan segmentasi untuk otorisasi dengan hak akses yang berjenjang dan berbeda segmen iii. menggunakan open standard agar dapat diadaptasi (d) Administrasi Proses administrasi ini dilakukan untuk mempertahankan sistem dari perubahan yang terjadi di organisasi, seperti perpindahan orang, pengunduran diri, dan perekrutan. Untuk menangani ini sebaiknya: i. dibuat organisasi yang mengelola proses administrasi ini ii. proses administrasi security disederhanakan (misalnya membuat pengelolaan berdasarkan role alih-alih pengelolaan berdasarkan user) iii. dibuat security domain yang memiliki persyaratan dan kebijakan

security yang tertentu. iv. disediakan perangkat untuk pekerjaan administratif ini Teknologi yang diimplementasikan dalam area ini adalah: i. Security Domain. Security domain dapat dibuat menurut domain organisasi, domain pengguna, atau domain lokasi. Setiap security

domain memiliki kebijakan yang mungkin berbeda.

Untuk men-

jamin kebijakan ini, setiap security domain dapat dilengkapi rewall untuk interkoneksi dengan security domain lain. Teknologinya dapat berupa Virtual LAN atau VPN. ii. Administrasi Access Control iii. Certicate Authority. CA bertanggung jawab untuk mengelola sertikat dalam PKI. Keabsahan sebuah sertikat Public/Private Key dapat dilacak kepada CA yang menerbitkannya. iv. Pendidikan dan Pengembangan Kepedulian (Awareness ), yaitu praktek pengelolaan pendidikan, pelatihan, dan pengembangan kepedulian karyawan/personil dalam hal resiko security. Karyawan/personal harus memahami bahwa sumber daya informasi yang berada di organisasinya adalah berharga dan harus dilindungi dari pihak yang tidak berkepentingan atau berkepentingan merusaknya. v. Incident Management, yaitu praktek pengelolaan pelaporan insiden keamanan informasi. (e) Audit Teknologi yang terkait dalam area ini adalah: i. Perangkat Audit ii. Monitor/Filter iii. Integritas jaringan iv. Intrusion Detection v. Perlindungan dari Virus

Best practise untuk area ini adalah: 11

i. mengaudit proses bukan hanya kejadian ii. mengaudit kebijakan bukan hanya proses dan kejadian iii. menggunakan risk management untuk menentukan intensitas pengawasan terhadap suatu sumber daya informasi iv. menyusun prosedur untuk menangani suatu serangan (intrussion, virus, malfunction, dan lain-lain) v. melakukan sampling trac pada waktu-waktu tertentu vi. pengawasan email, khususnya attachment vii. membuat event log viii. audit periodik untuk menjamin sistem berjalan sesuai dengan kongurasi asalnya. 3. Security Bricks membahas lebih detail tentang elemen-elemen pembangun teknologi khususnya yang menyangkut security.

Untuk melakukan perencanaan teknologi security dalam wilayah arsitektur ini, kita perlu mempertimbangkan beberapa hal, di antaranya:

1. faktor tujuan bisnis (compliance, privacy, dan perlindungan data), karena untuk tujuan yang berbeda maka teknologi yang dipilih pun bisa berbeda baik dari segi persyaratannya maupun dari segi layanannya. 2. faktor nilai ekonomis. Pertimbangan ekonomis security mungkin tidak diukur dari revenue yang mungkin diperoleh dengan adanya investasi teknologi security ini. Salah satu pertimbangan yang dapat digunakan adalah pendekatan Return on Security Investment (ROSI), di mana ukuran Return-nya misalnya: (a) Berapa banyak resiko (kehilangan data, kebocoran data, kerusakan data, tidak comply, dan lain-lain) yang bisa dihindari dengan adanya investasi tersebut (b) Berapa banyak pendapatan yang bisa diperoleh (akibat compliance ) 3. Faktor nilai resiko. Banyak aktivitas beresiko rendah yang diamankan dengan biaya tinggi. Best practise untuk kasus ini adalah dengan mengkaji faktor resiko security untuk setiap proses bisnis yang ada dan mengaplikasikan teknologi pada proses bisnis tersebut sesuai dengan besaran resikonya. [7] 4. Faktor peningkatan proses. Produk sangat beresiko terhadap obsolence baik karena perkembangan teknologi maupun karena perkembangan pasar, begitu juga produk security.

Berinvestasi pada produk security seperti ini bisa

berdampak terhadap Total Cost of Security Ownership. Untuk menghindari TCSO yang tinggi, arsitek teknologi security harus bisa merencanakan proses peningkatan (improvement process ) dalam sebuah siklus yang cukup panjang

12

dengan dukungan yang cukup baik. Pilihan antara Buy-or-Lease atau Buy-

or-Managed bisa dijadikan pertimbangan untuk area teknologi yang cepat berubah (seperti teknologi anti virus).

2.3

Arsitektur Data/Informasi

Dalam arsitektur data/informasi, Gartner memasukkan data security requirements, klasikasi data, dan penggunakan template security. Dalam cara pandang Z, arsitektur data berada pada kolom Data meliputi Scope, Business Process, Logi-

cal Model, Physical Model, sampai kepada model detailnya.

Cara pandang ini

bertumpuk dengan pembahasan di atas sehingga tidak dibahas lagi di bagian ini. Sementara itu, Wikipedia memperinci arsitektur informasi ke dalam data, integrasi, dan aplikasi. Dalam bagian ini, penulis hanya menggunakan Gartner sebagai model arsitektur data dan informasi. Cara pandang informasi sebagai produk sangat bermanfaat dalam mengelola proses produksi data dan informasi di dalam organisasi. Dengan cara pandang ini, kita dapat menerapkan proses pengelolaan data seperti halnya proses produksi di dalam proses manufaktur. Dalam proses pengelolaan tersebut, kita dapat melakukan pengelolaan kualitas data dan informasi di mana dimensi security menjadi salah satu dimensi dari kualitas data dan informasi [12]. Proses perencanaan dilakukan melalui tahapan:

1. buatlah daftar proses produksi data dan informasi yang ada di organisasi. 2. untuk setiap proses yang ada, buatlah IP Map (information product map ). Lihat gambar 4 untuk contoh IP Map [13 p127-150] 3. untuk setiap produk data atau informasi, buatlah klasikasi berdasarkan resiko terhadap jalannya bisnis 4. untuk setiap produk data dan informasi, buatlah Quality Block sebelum produk tersebut dikeluarkan 5. dalam setiap quality block, cantumkanlah persyaratan kualitas, misalnya: (a) integritas (b) timelines (kesesuaian waktu) (c) condentiality (d) correctness (e) ease of understanding (f ) compliance

13

diambil dari [13] Figure 4: Contoh IP Map

6. untuk menghasilkan produk yang berkualitas, analisislah proses produksi tersebut dan denisikan proses keamanan yang bisa dilakukan di dalam proses produksi tersebut untuk menjamin tercapainya tujuan bisnis dari sisi

security (condentiality, integrity, privacy, data protection, dan compliance ) Seperti halnya dalam arsitektur bisnis, dalam arsitektur data pun dapat diterapkan peningkatan proses melalui model CMMI. Salah satu CMM untuk proses produksi data dan informasi adalah CALDEA dan EVAMECAL [12]. Dengan berpedoman kepada maturity model ini, arsitektur keamanan dapat membuat potret kondisi arsitektur data hari ini dan merencanakan perbaikan dan peningkatannya. Model peningkatan yang banyak dipakai adalah pendekatan PDCA dari Demming yang juga digunakan oleh EVAMECAL.

3 3.1

Penutup Kesimpulan

Setelah dilakukan pengkajian di atas, penulis menyimpulkan pandangan EISA sangat bermanfaat dalam memandang aspek security dalam organisasi karena:

14

1. terintegrasi dalam keseluruhan arsitektur di dalam EA 2. security menjadi salah satu faktor yang diperhitungkan dalam analisis resiko 3. mendukung peningkatan proses bisnis baik dalam level proses security maupun proses produksi data dan informasi 4. dapat dijadikan gambaran untuk merencanakan strategi organisasi dalam rangka mencapai tujuan bisnisnya dari segi security.

3.2

Saran

Untuk diimplementasikan di level korporasi, kajian di atas masih sangat mentah terutama pada pendenisian karakteristik maturity level.

Namun Gartner men-

yarankan bahwa untuk melakukan peleburan security ke dalam enterprise perlu ditempuh pendekatan pertama agar semua pihak yang terlibat dalam perencanaan enterprise mendapat gambaran utuh tentang EISA. Setelah semua pihak mendapat gambaran yang sama, proses selanjutnya adalah memilah-milah arsitektur tersebut untuk dimasukkan ke dalam masing-masing arsitektur yang ada dalam enterprise. Melalui pendekatan ini, diharapkan information security dapat menjadi salah satu

enabler bagi pertumbuhan korporasi.

References [1]

Ertaul, Levent; Sudarsanam, Raadika, Security Planning Using Zachman Framework for Enterprises, California State University, (no date)

[2]

Gartner,  Incorporating Security Into the Enterprise Architecture Process, Gartner, Inc., 2006

[3]

Gartner, Integrating Security Into the Enterprise Architecture Process, Gartner, Inc., 2006

[4]

Henning, Ronda R.,  Use of the Zachman Architecture for Security Engineeting, Harris Corporation, (no date)

[5]

Hayasi, Takafumi,  Schemes for Realizing Total Security in Information System, DoCS, University Aizu, (no date)

[6]

McDowell, John, An Information Technology Security Architecture for State of Arizona, Final Draft, The Arizona Department of Administration, 2001

[7]

Julia H. Allen, Jody R. Westby, Article 1: Characteristics of Eective Security Governance1, Governing for Enterprise Security (GES) Implementation

Guide, Carnegie Mellon University, 2007

15

[8]

Anonymous, Secure Your Information: Information Security Principles for Enterprise Architecture, http://www.tisn.gov.au/, Trusted Information Sharing Network, 2007

[9]

Ernst & Young, 10th Annual Global Information Security Survey, Achieving a Balance of Risk and Performance, Ernst & Young, 2007

[10] Systems

Security

Engineering

Capability

Maturity

Model

(SSE-CMM)

Project, Systems Security Engineering Capability Maturity Model (SSECMM), Model Description, version 3.0, Systems Security Engineering Capability Maturity Model (SSE-CMM) Project, 1999 [11] ISM3 Consortium, Information Security Management Marurity Model Handbook v.2.0, ISM3 Consortium, 2007 [12] Latif Al-Hakim,  Information Quality Management:

Theory and Applica-

tions , IDEA Group Publishing, 2007 [13] Yang W. Lee, Leo L. Pipino, James D. Funk, Richard Y. Wang,  Journey to Data Quality , The MIT Press, 2001

16