
<div dir="ltr">Hi all<div>I was also unable to write in changes into the document.</div><div><br></div><div>Here are my suggestions.  I'm basing these on Eric's bullet points.</div><div><br></div><div>


<ul type="disc" style="margin-bottom:0in;font-size:12.8px;margin-top:0in"><li class="MsoNormal" style="margin-left:15px"><span style="font-size:11pt;font-family:calibri">Universal resolvability: Can identifiers be uniquely resolved and consumed?<u></u><u></u></span></li></ul><ul type="disc" style="margin-bottom:0in;margin-top:0in"><ul type="disc" style="margin-bottom:0in;margin-top:0in"><li class="MsoNormal" style="font-size:12.8px;margin-left:15px"><span style="font-size:11pt;font-family:calibri">Alternate root<u></u><u></u></span></li><li class="MsoNormal" style="font-size:12.8px;margin-left:15px"><span style="font-size:11pt;font-family:calibri">Name collisions (status and remediations)</span></li><li class="MsoNormal" style="margin-left:15px"><font face="calibri"><span style="font-size:14.6667px">Universal resolvability and the internet of things</span></font></li><li class="MsoNormal" style="margin-left:15px"><font face="calibri"><span style="font-size:14.6667px">IPv6 / CGN complexity (query the role of ICANN on this?)</span></font></li></ul><li class="MsoNormal" style="margin-left:15px"><font face="calibri"><span style="font-size:14.6667px">Headline and not-so-headline threats and exploits </span></font></li><ul><ul><li><font face="calibri"><span style="font-size:14.6667px">DDoS</span></font></li></ul></ul><li><font face="calibri"><span style="font-size:14.6667px">Improving the security of unique identifiers</span></font></li><ul><ul><li><font face="calibri"><span style="font-size:14.6667px">DNSSec (progress, Key roll over)</span></font></li></ul></ul></ul></div><div><ul type="disc" style="margin-bottom:0in;margin-top:0in"><li class="MsoNormal" style="margin-left:15px"><span style="font-size:11pt;font-family:calibri">Universal acceptance: Can identifiers be consumed by clients<u></u><u></u></span><ul type="disc" style="margin-bottom:0in;margin-top:0in"><li class="MsoNormal" style="font-size:12.8px;margin-left:15px"><span style="font-size:11pt;font-family:calibri">IDNs and new gTLDs</span></li><li class="MsoNormal" style="font-size:12.8px;margin-left:15px"><span style="font-size:11pt;font-family:calibri">Platforms, approaches, and status</span></li></ul></li><li class="MsoNormal" style="margin-left:15px"><span style="font-size:11pt;font-family:calibri">Measures and metrics<u></u><u></u></span><ul type="disc" style="margin-bottom:0in;margin-top:0in"><li class="MsoNormal" style="margin-left:15px;font-size:12.8px"><span style="font-size:11pt;font-family:calibri">How can the community measure the status of ‘S’, ‘S’, and ‘R’?</span></li><li class="MsoNormal" style="margin-left:15px;font-size:12.8px"><span style="font-size:11pt;font-family:calibri">What are, and how can the community measure the relevant abuses for ICANN identifiers?</span></li><li class="MsoNormal" style="margin-left:15px"><font face="calibri"><span style="font-size:14.6667px">The evidence base: DNS health index and abuse data.  What the evidence tells us; access to information (risks and benefits)</span></font></li></ul></li><li class="MsoNormal" style="font-size:12.8px;margin-left:15px"><span style="font-size:11pt;font-family:calibri">ICANN's internal security, stability and resiliency operations:</span></li><ul><ul><li class="MsoNormal" style="font-size:12.8px;margin-left:15px"><span style="font-size:11pt;font-family:calibri">Allocation of resources and priority within the organisation</span></li><li class="MsoNormal" style="margin-left:15px"><p class="gmail-p1">Outreach and public information role (training, vulnerability disclosure, system attack mitigation etc)</p></li><li class="MsoNormal" style="margin-left:15px"><p class="gmail-p1">Risk management, compliance with relevant frameworks.</p></li></ul></ul><li class="MsoNormal" style="font-size:12.8px;margin-left:15px"><span style="font-size:11pt;font-family:calibri">White-hat operations<u></u><u></u></span><ul type="disc" style="margin-bottom:0in;margin-top:0in"><li class="MsoNormal" style="margin-left:15px"><span style="font-size:11pt;font-family:calibri">What are the white-hat operations that are taken in ICANN space that may need exceptional handling (gratis for registering sink-holes, etc.)<u></u><u></u></span></li></ul></li></ul><p class="MsoNormal" style="font-size:12.8px"><span style="font-size:11pt;font-family:calibri"><u></u> </span></p><p class="gmail-p1"><br></p></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, May 15, 2017 at 7:12 AM, Osterweil, Eric via Ssr2-review <span dir="ltr"><<a href="mailto:ssr2-review@icann.org" target="_blank">ssr2-review@icann.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div bgcolor="white" lang="EN-US" link="blue" vlink="purple">

<div class="m_5443853216607104454WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">My changes are also not being saved in the doc.  Here is my list (it’s a little rough because I retyped in a hurry after realizing that it didn’t get saved the first time).<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><u></u> <u></u></span></p>

<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:Calibri">Eric</span></b><span style="font-size:11.0pt;font-family:Calibri"><u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">(second try)<u></u><u></u></span></p>

<ul style="margin-top:0in" type="disc">

<li class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">Universal resolvability: Can identifiers be uniquely resolved and consumed?<u></u><u></u></span></li></ul>

<ul style="margin-top:0in" type="disc">

<ul style="margin-top:0in" type="disc">

<li class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">Alternate root<u></u><u></u></span></li><li class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">Name collisions (status and remediations)<u></u><u></u></span></li></ul>

<li class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">Universal acceptance: Can identifiers be consumed by clients<u></u><u></u></span>

<ul style="margin-top:0in" type="disc">

<li class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">Platforms, approaches, and status<u></u><u></u></span></li></ul>

</li><li class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">Measures and metrics<u></u><u></u></span>

<ul style="margin-top:0in" type="disc">

<li class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">How can the community measure the status of ‘S’, ‘S’, and ‘R’?<u></u><u></u></span></li><li class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">What are, and how can the community measure the relevant abuses for ICANN identifiers?<u></u><u></u></span></li></ul>

</li><li class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">White-hat operations<u></u><u></u></span>

<ul style="margin-top:0in" type="disc">

<li class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">What are the white-hat operations that are taken in ICANN space that may need exceptional handling (gratis for registering sink-holes, etc.)<u></u><u></u></span></li></ul>

</li></ul>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">Eric<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><u></u> <u></u></span></p>

<div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-family:Calibri;color:black">From: </span>

</b><span style="font-family:Calibri;color:black"><<a href="mailto:ssr2-review-bounces@icann.org" target="_blank">ssr2-review-bounces@icann.org</a><wbr>> on behalf of ALAIN AINA <<a href="mailto:aalain@trstech.net" target="_blank">aalain@trstech.net</a>><br>

<b>Date: </b>Monday, May 15, 2017 at 7:24 AM<br>

<b>To: </b>SSR2 <<a href="mailto:ssr2-review@icann.org" target="_blank">ssr2-review@icann.org</a>><br>

<b>Subject: </b>[EXTERNAL] Re: [Ssr2-review] SSR2 Google Drive and Google Doc for Input<u></u><u></u></span></p>

</div><div><div class="h5">

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">Hello,<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<p class="MsoNormal">I also have some issues accessing and editing the document, see below :

<u></u><u></u></p>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">Possible focus area.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">======<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">- Complete the assessment of the implementation of SSR1 recommendations, the impact of the implementation, how the post implementation is being managed and what implications for the SSR2 review.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:8.5pt">- Scope of ICANN’s SSR responsibilities:  action zone, influence zone, coordination zone<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:8.5pt"><u></u> <u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:8.5pt">*ICANN  SSR responsibility  for the coordination of the global unique Identifiers<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:8.5pt">*ICANN operational role<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:8.5pt">*ICANN influence role (TLD operators, registrars ….), <u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:8.5pt">*ICANN coordination role( IETF,  RIRs  Root zone operators ,technical community<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:8.5pt"><u></u> <u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:8.5pt">-  Effectiveness of ICANN’s SSR framework, SSR Plan and  its implementation <u></u><u></u></span></p>

</div>

</div>

<div>

<p class="MsoNormal"><span style="font-size:8.5pt"><u></u> <u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:8.5pt"> *Security framework<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:8.5pt">* Contingence planning<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:8.5pt">*security framework robustness for a rapid  evolving security environment <u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:8.5pt"><u></u> <u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:8.5pt">=========<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<p class="MsoNormal">On 14 May 2017, at 17:28, Boban Krsic <<a href="mailto:krsic@denic.de" target="_blank">krsic@denic.de</a>> wrote:<u></u><u></u></p>

</div>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<div>

<p class="MsoNormal">Dear All,<br>

<br>

Given that I could not access the Google Drive folder, please find my<br>

homework in accordance to James proposal below ;-)<br>

<br>

-----<br>

<br>

Focus on Sub-Team Number 2 - ICANN’ Internal Security Processes<span style="font-family:PMingLiU"><br>

<br>

</span>The sub team will be responsible for reviewing the completeness and<span style="font-family:PMingLiU"><br>

</span>effectiveness of ICANNs internal security processes and the<br>

effectiveness of the ICANN security framework<br>

<br>

Due to ICANN’s orientation to ISO/IEC 27001 I would recommend to provide<span style="font-family:PMingLiU"><br>

</span>a gap-analysis to the normative requirements of the management part and<span style="font-family:PMingLiU"><br>

</span>Annex A of the ISO standard based on the SoA (Scope).<span style="font-family:PMingLiU"><br>

<br>

</span>- Perform interviews and review descriptions and evidence of:<br>

<br>

* ISMS Scope<br>

* Information security policy<br>

* Information risk assessment and risk treatment processes<br>

* Information security objectives<br>

* Information security roles and responsibilities<br>

* ISMS internal audit program and results of conducted audits<br>

* Operational planning and control documents<br>

* Evidence of top management reviews of the ISMS<br>

<br>

Various others from the Annex A like rules for acceptable use of assets,<br>

access control policy, operating procedures, confidentiality or<br>

non-disclosure agreements, secure system engineering principles,<br>

information security policy for supplier relationships, etc.<br>

<br>

- Categorize and prioritize the outcome of the analysis<br>

<br>

- Develop a short-, medium- and long-term schedule to implement<br>

different controls in accordance to the requirements<br>

<br>

- Define a set of metrics to measure the effectiveness of the<br>

implementation<br>

<br>

With the goal to achieve a high level of maturity and to pass a<br>

successful certification process concerning ICANNs ISMS.<br>

<br>

Best,<br>

<br>

- Boban.<br>

<br>

<br>

<br>

Am 14.05.17 um 17:08 schrieb Karen Mulberry:<br>

<br>

<u></u><u></u></p>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal" style="margin-bottom:12.0pt">Dear SSR2 Review Team,<br>

<br>

Per the discussion this afternoon on next steps, I have created a Google Drive for the SSR2 Review Team to place their collaborative materials.<br>

<br>

Here is the link to the Folder where I have created a Google Doc for you to add your areas of interest or topics for tomorrow’s planning discussion.<span style="font-family:PMingLiU"><br>

</span><a href="https://drive.google.com/drive/folders/0B_IP1b20BSBUcndyOFVpbEZKbTQ?usp=sharing" target="_blank">https://drive.google.com/<wbr>drive/folders/0B_<wbr>IP1b20BSBUcndyOFVpbEZKbTQ?usp=<wbr>sharing</a><br>

<br>

Sincerely,<br>

<br>

Karen Mulberry<br>

Director, Multistakeholder Strategy and Strategic Initiatives (MSSI)<br>

ICANN<br>

12025 Waterfront Dr., Suite 300<br>

Los Angeles, CA 90094<br>

Phone: <a href="tel:(424)%20353-9745" value="+14243539745" target="_blank">+1 424 353 9745</a><br>

<br>

<br>

<br>

______________________________<wbr>_________________<br>

Ssr2-review mailing list<br>

<a href="mailto:Ssr2-review@icann.org" target="_blank">Ssr2-review@icann.org</a><br>

<a href="https://mm.icann.org/mailman/listinfo/ssr2-review" target="_blank">https://mm.icann.org/mailman/<wbr>listinfo/ssr2-review</a><u></u><u></u></p>

</blockquote>

<p class="MsoNormal"><br>

<br>

-- <br>

<br>

Boban Kršić<span style="font-family:PMingLiU"><br>

</span>Chief Information Security Officer<span style="font-family:PMingLiU"><br>

<br>

</span>DENIC eG, Kaiserstraße 75-77, 60329 Frankfurt am Main, GERMANY<span style="font-family:PMingLiU"><br>

<br>

</span>E-Mail: <a href="mailto:krsic@denic.de" target="_blank">krsic@denic.de</a>, Fon: <a href="tel:+49%2069%2027235120" value="+496927235120" target="_blank">+49 69 272 35-120</a>, Fax: -248<br>

Mobil: <a href="tel:+49%20172%206761671" value="+491726761671" target="_blank">+49 172 67 61 671</a><br>

<a href="https://www.denic.de" target="_blank">https://www.denic.de</a><br>

<br>

X.509 Key-ID: 00A54FCB79884413A4<br>

Fingerprint: 9D37 F593 AF9A D766 FAB4 8B88 D49A 2716<br>

<br>

PGP Key-ID: 0x43C89BA9<br>

Fingerprint: B974 E725 FEF7 CB3A E452 BEE0 5B80 73E9 43C8 9BA9<br>

<br>

Angaben nach § 25a Absatz 1 GenG:<span style="font-family:PMingLiU"><br>

</span>DENIC eG (Sitz: Frankfurt am Main)<span style="font-family:PMingLiU"><br>

</span>Vorstand: Helga Krüger, Martin Küchenthal, Andreas Musielak, Dr. Jörg<span style="font-family:PMingLiU"><br>

</span>Schweiger<span style="font-family:PMingLiU"><br>

</span>Vorsitzender des Aufsichtsrats: Thomas Keller<br>

Eingetragen unter Nr. 770 im Genossenschaftsregister, Amtsgericht<br>

Frankfurt am Main<br>

______________________________<wbr>_________________<br>

Ssr2-review mailing list<br>

<a href="mailto:Ssr2-review@icann.org" target="_blank">Ssr2-review@icann.org</a><br>

<a href="https://mm.icann.org/mailman/listinfo/ssr2-review" target="_blank">https://mm.icann.org/mailman/<wbr>listinfo/ssr2-review</a><u></u><u></u></p>

</div>

</div>

</blockquote>

</div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

</div></div></div>

</div>


<br>______________________________<wbr>_________________<br>

Ssr2-review mailing list<br>

<a href="mailto:Ssr2-review@icann.org">Ssr2-review@icann.org</a><br>

<a href="https://mm.icann.org/mailman/listinfo/ssr2-review" rel="noreferrer" target="_blank">https://mm.icann.org/mailman/<wbr>listinfo/ssr2-review</a><br>

<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><p style="margin:0px;font-weight:bold"><font face="arial, helvetica, sans-serif">Emily Taylor</font></p><p style="margin-bottom:1.5em;margin-top:0px"><font face="arial, helvetica, sans-serif"><font color="#ed1c24">CEO, Oxford Information Labs<br></font></font><i><font face="arial, helvetica, sans-serif" color="#000000" style="font-size:12.8px">Associate Fellow, Chatham House; </font><span style="font-size:12.8px;color:rgb(0,0,0);font-family:arial,helvetica,sans-serif">Editor, Journal of Cyber Policy</span></i></p><p style="font-size:12.8px;margin-bottom:60px"><font face="arial, helvetica, sans-serif"><a value="+447799766676"><b><font color="#ff0000">PLEASE NOTE MY NEW EMAIL ADDRESS AND CONTACTS AS OF 1 JANUARY 2017<br></font></b></a></font><span style="font-size:12.8px;font-family:arial,helvetica,sans-serif"><font color="#ff0000"><b><br></b></font>Magdalen Centre, Oxford OX4 4GA </span><span style="font-size:12.8px;font-family:arial,helvetica,sans-serif;color:rgb(237,28,36)">| T:</span><span style="font-size:12.8px;font-family:arial,helvetica,sans-serif"> 01865 582885 <br></span><span style="font-size:12.8px;font-family:arial,helvetica,sans-serif;color:rgb(237,28,36)">E:</span><span style="font-size:12.8px;font-family:arial,helvetica,sans-serif"> </span><a href="mailto:emily.taylor@oxil.co.uk" style="font-size:12.8px;font-family:arial,helvetica,sans-serif;color:rgb(17,85,204)" target="_blank">emily.taylor@oxil.co.uk</a><span style="font-size:12.8px;font-family:arial,helvetica,sans-serif"> </span><span style="font-size:12.8px;font-family:arial,helvetica,sans-serif;color:rgb(237,28,36)">| D:</span><span style="font-size:12.8px;font-family:arial,helvetica,sans-serif"> 01865 582811 </span><span style="font-size:12.8px;font-family:arial,helvetica,sans-serif;color:rgb(237,28,36)">| M:</span><span style="font-size:12.8px;font-family:arial,helvetica,sans-serif"> </span><a value="+447799766676" style="font-size:12.8px;font-family:arial,helvetica,sans-serif"><font color="#1155cc">+44 7540 049322</font></a></p><p style="margin-bottom:60px"><img src="https://s3-eu-west-1.amazonaws.com/static.oxil/oxil_logo-150x.png" width="96" height="56" style="font-family:"Times New Roman";font-size:medium"><span style="font-family:"Times New Roman";font-size:medium">         </span><a href="http://explore.tandfonline.com/cfp/pgas/rcyb-cfp-2017" style="font-size:12.8px" target="_blank"><img src="https://docs.google.com/a/oxil.co.uk/uc?id=0B7sS_6djDxsHNm92d21jM21HMDQ&export=download" width="420" height="63" alt=""></a><font face="arial, helvetica, sans-serif"><a value="+447799766676"><br></a></font></p><p style="font-size:small;color:rgb(170,170,170);font-family:arial,helvetica,san-serif">Registered office: 37 Market Square, Witney, Oxfordshire OX28 6RE. Registered in England and Wales No. 4520925. VAT No. 799526263<br><br>.<br><br></p></div></div></div></div></div></div></div></div></div></div></div>

</div>