Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203 This is an electronic version of the print textbook. Due to electronic rights restrictions, some third party content may be suppressed. Editorial review has deemed that any suppressed content does not materially affect the overall learning experience. The publisher reserves the right to remove content from this title at any time if subsequent rights restrictions require it. For valuable information on pricing, previous editions, changes to current editions, and alternate formats, please visit www.cengage.com/highered to search by ISBN, author, title, or keyword for materials in your areas of interest. Important notice: Media content referenced within the product description or the product text may not be available in the eBook version. Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203 Management of Information Security Fifth Edition Michael Whitman, Ph.D., CISM, CISSP Herbert Mattord, Ph.D., CISM, CISSP Kennesaw State University Australia•Brazil•Mexico•Singapore•UnitedKingdom•UnitedStates Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203 ManagementofInformationSecurity, ©2017,2014,2010CengageLearning FifthEdition ALLRIGHTSRESERVED.Nopartofthisworkcoveredbythecopyright MichaelE.WhitmanandHerbertJ.Mattord hereinmaybereproducedordistributedinanyformorbyanymeans, exceptaspermittedbyU.S.copyrightlaw,withoutthepriorwritten SVP,GMSkills&GlobalProductManagement: permissionofthecopyrightowner. DawnGerrain ProductDirector:KathleenMcMahon SOURCEFORILLUSTRATIONS:Copyright©CengageLearning. ProductTeamManager:KristinMcNary Allscreenshots,unlessotherwisenoted,areusedwithpermissionfrom AssociateProductManager:AmySavino MicrosoftCorporation.Microsoft®isaregisteredtrademarkofthe MicrosoftCorporation. SeniorDirector,Development:Marah Bellegarde Forproductinformationandtechnologyassistance,contactusat ProductDevelopmentManager:Leigh CengageLearningCustomer&SalesSupport,1-800-354-9706 Hefferon Forpermissiontousematerialfromthistextorproduct, ManagingContentDeveloper:EmmaNewsom submitallrequestsonlineatwww.cengage.com/permissions. SeniorContentDeveloper:NataliePashoukos Furtherpermissionsquestionscanbee-mailedto ProductAssistant:AbigailPufpaff [email protected]. VicePresident,MarketingServices:Jennifer AnnBaker LibraryofCongressControlNumber:2016932028 MarketingCoordinator:CassieCloutier ISBN:978-1-305-50125-6 SeniorProductionDirector:WendyTroeger ProductionDirector:PattyStephan CengageLearning 20ChannelCenterStreet SeniorContentProjectManager:Brooke Boston,MA02210 Greenhouse USA ManagingArtDirector:JackPendleton SoftwareDevelopmentManager:Pavan CengageLearningisaleadingproviderofcustomizedlearningsolutions Ethakota withemployeesresidinginnearly40differentcountriesandsalesinmore than125countriesaroundtheworld.Findyourlocalrepresentativeat CoverImage(s):iStockPhoto.com/4X-image www.cengage.com. CengageLearningproductsarerepresentedinCanadaby NelsonEducation,Ltd. TolearnmoreaboutCengageLearning,visitwww.cengage.com. Purchaseanyofourproductsatyourlocalcollegestoreoratourpreferred onlinestorewww.cengagebrain.com. NoticetotheReader Publisherdoesnotwarrantorguaranteeanyoftheproductsdescribedhereinorperformany independentanalysisinconnectionwithanyoftheproductinformationcontainedherein.Pub- lisherdoesnotassume,andexpresslydisclaims,anyobligationtoobtainandincludeinformation otherthanthatprovidedtoitbythemanufacturer.Thereaderisexpresslywarnedtoconsiderand adoptallsafetyprecautionsthatmightbeindicatedbytheactivitiesdescribedhereinandtoavoid allpotentialhazards.Byfollowingtheinstructionscontainedherein,thereaderwillinglyassumes allrisksinconnectionwithsuchinstructions.Thepublishermakesnorepresentationsorwarranties ofanykind,includingbutnotlimitedto,thewarrantiesoffitnessforparticularpurposeormer- chantability,norareanysuchrepresentationsimpliedwithrespecttothematerialsetforthherein, andthepublishertakesnoresponsibilitywithrespecttosuchmaterial.Thepublishershallnotbe liableforanyspecial,consequential,orexemplarydamagesresulting,inwholeorpart,fromthe readers’useof,orrelianceupon,thismaterial. Printed in the United States of America Print Number: 01 Print Year: 2016 Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203 Brief Contents PREFACE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii CHAPTER 1 Introductionto theManagementof InformationSecurity... .. ... ... .. ... ... .. ... ... .. ... .. 1 CHAPTER 2 Compliance:LawandEthics.. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... . 51 CHAPTER 3 GovernanceandStrategicPlanningforSecurity .. ... .. ... .. ... ... .. ... ... .. ... ... .. ... . 97 CHAPTER 4 InformationSecurityPolicy .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... 139 CHAPTER 5 DevelopingtheSecurityProgram. .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... 181 CHAPTER 6 RiskManagement:Identifying andAssessingRisk. ... .. ... .. ... ... .. ... ... .. ... ... .. ... 249 CHAPTER 7 RiskManagement:ControllingRisk . ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... 287 CHAPTER 8 SecurityManagementModels ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... 323 CHAPTER 9 SecurityManagementPractices .. .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... 363 CHAPTER 10 PlanningforContingencies .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... 397 CHAPTER 11 PersonnelandSecurity. ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... 469 CHAPTER 12 ProtectionMechanisms ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... 521 APPENDIX... ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... 583 GLOSSARY .. ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... 625 INDEX. .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... 637 iii Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203 Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203 Table of Contents PREFACE. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... xiii CHAPTER 1 Introductionto theManagementof InformationSecurity... .. ... ... .. ... ... .. ... ... .. ... .. 1 IntroductiontoSecurity ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... 2 CNSSSecurityModel. .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... 5 TheValueofInformationandtheC.I.A.Triad .. ... .. ... .. ... ... .. ... ... .. ... ... .. ... 6 KeyConceptsofInformationSecurity:ThreatsandAttacks . ... .. ... .. ... ... .. ... ... .. ... ... 9 The12CategoriesofThreats. .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 11 WhatIsManagement?. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... 35 BehavioralTypesofLeaders . .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 36 ManagementCharacteristics . .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 36 Governance. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 39 SolvingProblems. ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 40 PrinciplesofInformationSecurityManagement . ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... 41 Planning. .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 42 Policy... .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 43 Programs .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 43 Protection.. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 43 People .. .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 44 Projects.. .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 44 ChapterSummary.. .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... 45 ReviewQuestions.. .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... 46 Exercises.. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... 47 ClosingCase .. ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... 48 DiscussionQuestions. .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 48 EthicalDecisionMaking. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 48 Endnotes.. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... 49 CHAPTER 2 Compliance:LawandEthics.. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... . 51 InfoSecandtheLaw .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... 52 TypesofLaw... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 53 RelevantU.S.Laws.. .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 54 InternationalLawsandLegalBodies . ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 71 StateandLocalRegulations.. .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 72 PolicyVersusLaw... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 75 EthicsinInfoSec .. .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... 75 EthicsandEducation. .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 80 DeterringUnethicalandIllegalBehavior.. .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 82 ProfessionalOrganizationsandTheirCodesofConduct ... ... .. ... .. ... ... .. ... ... .. ... ... 83 AssociationforComputingMachinery(ACM)... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 83 InternationalInformationSystemsSecurityCertificationConsortium,Inc.(ISC)2 .. ... .. ... ... .. .. 83 SANS... .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 84 InformationSystemsAuditandControlAssociation(ISACA) . .. ... ... .. ... ... .. ... ... .. .. 85 InformationSystemsSecurityAssociation(ISSA).. ... .. ... .. ... ... .. ... ... .. ... ... .. .. 86 v Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203 vi TableofContents OrganizationalLiabilityandtheNeedforCounsel . .. ... ... .. ... ... .. ... ... .. ... .. ... ... . 86 KeyLawEnforcementAgencies . .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 87 ChapterSummary. .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... . 90 ReviewQuestions. .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... . 90 Exercises.. .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... . 91 ClosingCase . ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... . 92 DiscussionQuestions.. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 92 EthicalDecisionMaking... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 92 Endnotes.. .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... . 92 CHAPTER 3 GovernanceandStrategicPlanning forSecurity . ... .. ... ... .. ... ... .. ... .. ... ... .. ... .. 97 TheRoleofPlanning. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... . 99 PrecursorstoPlanning . ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 100 StrategicPlanning. .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... 102 CreatingaStrategicPlan... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 104 PlanningLevels. ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 104 PlanningandtheCISO. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 105 InformationSecurityGovernance . ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... 107 TheITGIApproachtoInformationSecurityGovernance ... ... .. ... .. ... ... .. ... ... .. ... 108 NCSPIndustryFrameworkforInformationSecurityGovernance. .. ... .. ... ... .. ... ... .. ... 110 CERTGoverningforEnterpriseSecurityImplementation ... ... .. ... .. ... ... .. ... ... .. ... 112 ISO/IEC27014:2013GovernanceofInformationSecurity .. ... .. ... .. ... ... .. ... ... .. ... 114 SecurityConvergence.. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 116 PlanningforInformationSecurityImplementation . .. ... ... .. ... ... .. ... ... .. ... .. ... ... 118 IntroductiontotheSecuritySystemsDevelopmentLifeCycle. ... .. ... .. ... ... .. ... ... .. ... 123 ChapterSummary. .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... 133 ReviewQuestions. .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... 134 Exercises.. .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... 135 ClosingCase . ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... 135 DiscussionQuestions.. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 136 EthicalDecisionMaking... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 136 Endnotes.. .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... 136 CHAPTER 4 Information SecurityPolicy . ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... .. ... . 139 WhyPolicy?.. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... 140 Policy,Standards,andPractices . .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 144 EnterpriseInformationSecurityPolicy . ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... 145 IntegratinganOrganization’sMissionandObjectivesintotheEISP . ... .. ... ... .. ... ... .. ... 146 EISPElements . ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 146 ExampleEISPElements ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 147 Issue-SpecificSecurityPolicy .. .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... 151 ElementsoftheISSP .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 152 ImplementingtheISSP . ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 154 System-SpecificSecurityPolicy. .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... 157 ManagerialGuidanceSysSPs... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 157 TechnicalSpecificationSysSPs .. .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 158 Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203 TableofContents vii GuidelinesforEffectivePolicyDevelopmentandImplementation . .. ... .. ... ... .. ... ... .. ... .. 162 DevelopingInformationSecurityPolicy .. .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 163 PolicyDistribution .. .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 163 PolicyReading.. ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 163 PolicyComprehension .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 164 PolicyCompliance... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 165 PolicyEnforcement .. .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 165 PolicyDevelopmentandImplementationUsingtheSecSDLC.. .. ... ... .. ... ... .. ... ... .. .. 166 AutomatedTools ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 170 OtherApproachestoInformationSecurityPolicyDevelopment .. ... ... .. ... ... .. ... ... .. .. 171 SP800-18,Rev.1:GuideforDevelopingSecurityPlansforFederalInformationSystems.. ... ... .. .. 173 AFinalNoteonPolicy. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. 175 ChapterSummary.. .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. 175 ReviewQuestions.. .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. 176 Exercises.. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. 177 ClosingCase .. ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. 178 DiscussionQuestions. .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 178 EthicalDecisionMaking. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 178 Endnotes.. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. 178 CHAPTER 5 DevelopingtheSecurityProgram. .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... 181 OrganizingforSecurity. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. 182 SecurityinLargeOrganizations . ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 187 SecurityinMedium-SizedOrganizations.. .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 189 SecurityinSmallOrganizations . ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 191 PlacingInformationSecurityWithinanOrganization .. ... ... .. ... .. ... ... .. ... ... .. ... .. 192 ComponentsoftheSecurityProgram... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. 202 InformationSecurityRolesandTitles .. .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. 205 ChiefInformationSecurityOfficer... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 206 ConvergenceandtheRiseoftheTrueCSO.. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 206 SecurityManagers... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 207 SecurityAdministratorsandAnalysts. ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 208 SecurityTechnicians . .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 208 SecurityStaffersandWatchstanders.. ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 209 SecurityConsultants . .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 209 SecurityOfficersandInvestigators... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 209 HelpDeskPersonnel . .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 209 ImplementingSecurityEducation,Training,andAwarenessPrograms... .. ... ... .. ... ... .. ... .. 210 SecurityEducation... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 211 SecurityTraining. ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 214 TrainingTechniques . .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 216 SecurityAwareness .. .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 220 ProjectManagementinInformationSecurity... ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. 228 ProjectsVersusProcesses ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 228 PMBOKKnowledgeAreas .. .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 231 ProjectManagementTools .. .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. .. 238 ChapterSummary.. .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. 244 ReviewQuestions.. .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. 245 Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203 viii TableofContents Exercises.. .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... 246 ClosingCase . ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... 246 DiscussionQuestions.. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 246 EthicalDecisionMaking... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 247 Endnotes.. .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... 247 CHAPTER 6 RiskManagement:Identifying andAssessing Risk... .. ... ... .. ... ... .. ... .. ... ... .. ... . 249 IntroductiontoRiskManagement. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... 250 KnowingYourself.. .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 251 KnowingtheEnemy .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 251 AccountabilityforRiskManagement... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 252 RiskIdentification. .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... 253 IdentificationandPrioritizationofInformationAssets .. ... ... .. ... .. ... ... .. ... ... .. ... 254 ThreatAssessment.. .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 263 TheTVAWorksheet .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 270 RiskAssessmentandRiskAppetite... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... 273 AssessingRisk . ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 273 Likelihood. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 274 AssessingPotentialImpactonAssetValue(Consequences) .. ... .. ... .. ... ... .. ... ... .. ... 274 PercentageofRiskMitigatedbyCurrentControls .. .. ... ... .. ... .. ... ... .. ... ... .. ... 275 Uncertainty ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 275 RiskDetermination. .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 275 LikelihoodandConsequences .. .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 277 DocumentingtheResultsofRiskAssessment... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 278 RiskAppetite.. ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 280 ChapterSummary. .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... 281 ReviewQuestions. .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... 282 Exercises.. .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... 283 ClosingCase . ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... 284 DiscussionQuestions.. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 284 EthicalDecisionMaking... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 284 Endnotes.. .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... 285 CHAPTER 7 RiskManagement:Controlling Risk . .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... .. ... . 287 IntroductiontoRiskControl.. .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... 288 RiskControlStrategies. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 289 Defense. .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 289 Transference .. ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 290 Mitigation. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 292 Acceptance ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 292 Termination... ... .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 294 ManagingRisk... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... 294 FeasibilityandCost–BenefitAnalysis... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 297 OtherMethodsofEstablishingFeasibility.. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 303 AlternativestoFeasibilityAnalysis . ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 305 RecommendedRiskControlPractices . ... .. ... .. ... ... .. ... ... .. ... ... .. ... .. ... ... 307 QualitativeandHybridMeasures.. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 308 DelphiTechnique .. .. ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 308 TheOCTAVEMethods ... ... .. ... .. ... ... .. ... ... .. ... .. ... ... .. ... ... .. ... 309 Copyright 2017 Cengage Learning. All Rights Reserved. May not be copied, scanned, or duplicated, in whole or in part. WCN 02-200-203