7 iso 17799 2005 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
บทที่ 7 แนะนำ ISO 17799:2005 PowerPoint Presentation
Download Presentation
บทที่ 7 แนะนำ ISO 17799:2005

Loading in 2 Seconds...

play fullscreen
1 / 16

บทที่ 7 แนะนำ ISO 17799:2005 - PowerPoint PPT Presentation


  • 211 Views
  • Uploaded on

บทที่ 7 แนะนำ ISO 17799:2005. Outline. การบริหารความมั่นคงปลอดภัยของสารสนเทศ คืออะไร ISO 17799-2005 PDCA (Plan-Do-Check-Act). 7.1 การบริหารความมั่นคงปลอดภัยของสารสนเทศ คืออะไร.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'บทที่ 7 แนะนำ ISO 17799:2005' - pandora-gilmore


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
outline
Outline
  • การบริหารความมั่นคงปลอดภัยของสารสนเทศ คืออะไร
  • ISO 17799-2005
  • PDCA (Plan-Do-Check-Act)

Panida Panichkul

slide3
7.1 การบริหารความมั่นคงปลอดภัยของสารสนเทศ คืออะไร
  • การบริหารความมั่นคงปลอดภัยของสารสนเทศ (Information Security Management: ISM) คือ กระบวนการกำหนดมาตรการป้องกันและรักษาความมั่นคงปลอดภัยของสารสนเทศ และทรัพย์สินทางด้านไอทีขององค์กร [wikipedia.org: Available: June 2011]
  • องค์กรจำเป็นต้องมีระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศที่มีประสิทธิภาพ โดยองค์กรสามารถนำมาตรฐานของหน่วยงานต่าง ๆ ที่ได้กำหนดไว้เพื่อให้องค์กรนำมาใช้เป็นกรอบการดำเนินงาน
  • มาตรฐานที่จำเป็นสำหรับการบริหารความมั่นคงปลอดภัยของสารสนเทศ มีหลายมาตรฐาน แต่ที่นิยมใช้ ได้แก่ ISO/IEC 17799 และ ISO27001
  • *บางครั้งเรียก ISM ว่า “การจัดการความมั่นคงปลอดภัยของสารสนเทศ”

Panida Panichkul

3

7 2 iso iec17799 2005
7.2 ISO/IEC17799-2005
  • ISO/IEC17799 เป็นมาตรฐานการจัดการความมั่นคงปลอดภัยของสารสนเทศ ที่กำหนดขึ้นโดย British Standard Institute ของประเทศอังกฤษ แต่เดิมใช้ชื่อมาตรฐานว่า “BS7799” จากนั้นในปี ค.ศ. 2000 ได้ถูกนำไปดัดแปลงโดยองค์กรมาตรฐานสากล (International Organization for Standard: ISO) และคณะกรรมาธิการระหว่างประเทศว่าด้วยมาตรฐานสาขาอิเล็กทรอเทคนิกส์ (International Electrotechnical Commission: IEC)” จึงได้เปลี่ยนชื่อใหม่เป็น ISO/IEC17799

Panida Panichkul

4

slide5

มาตรฐาน ISO/IEC17799 ได้ให้แนวทางในการจัดการความมั่นคงปลอดภัยของสารสนเทศอย่างเป็นระบบ แก่ผู้ที่รับผิดชอบด้านความมั่นคงปลอดภัยภายในองค์กร และเนื่องจากมาตรฐานชนิดนี้เป็นมาตรฐานสากล จึงสามารถใช้ติดต่อหรือประสานงานระหว่างองค์กรที่ใช้มาตรฐานเดียวกันได้ อีกทั้งยังเป็นมาตรฐานที่สามารถใช้ร่วมกับมาตรฐาน ISO901 และ ISO14001 ที่องค์กรมีอยู่แล้วได้

  • ISO/IEC17799 ดัดแปลงจาก BS7799 2 ฉบับ โดย BS7799 (ISO/IEC17799) ฉบับที่ 1 มีเนื้อหาครอบคลุมทุกด้านของงานการจัดการความมั่นคงปลอดภัยของสารสนเทศ ประกอบไปด้วยหัวข้อการควบคุมความมั่นคงปลอดภัยทั้งหมด 127 จัดเป็น 10 หมวดหลัก ดังนี้

Panida Panichkul

5

iso iec17799
ISO/IEC17799
  • Security Policyนโยบายความมั่นคงปลอดภัยของสารสนเทศ
  • Security Infrastructure หรือ Organization of Information Security โครงสร้างทางด้านความมั่นคงปลอดภัยของสารสนเทศสำหรับองค์กร
  • Asset Classification and Control การจำแนกทรัพย์สินและการควบคุม
  • Personnel Securityความมั่นคงปลอดภัยของบุคคล ได้แก่ความมั่นคงปลอดภัยของบุคลากรในองค์กร
  • Physical and Environmental Security ความมั่นคงปลอดภัยทางด้านสภาพแวดล้อมและกายภาพ
  • Communications and Operations Managementการจัดการการติดต่อสื่อสารและการดำเนินงาน
  • System Access Controlการควบคุมการเข้าถึงระบบ

Panida Panichkul

6

slide7

System Development and Maintenance การพัฒนาและบำรุงรักษาระบบ

  • Business Continuity Planning การวางแผนดำเนินธุรกิจอย่างต่อเนื่องในสถานการณ์คับขัน
  • Compliance การยอมรับและปฏิบัติตามข้อกำหนดของกฎหมาย

Panida Panichkul

7

slide9

ส่วน ฉบับที่ 2 ได้ให้คำแนะนำที่เน้นวิธีการดำเนินงานตามฉบับที่ 1 และอธิบายถึงวิธีการจัดทำ “ระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ (Information Security Management System: ISMS)” ไว้ด้วย โดยมีกระบวนการจัดทำเป็นวงจร เรียกว่า “วงจร PDCA (Plan-Do-Check-Action)” ดังรูป

Panida Panichkul

9

slide11

Plan คือ ขั้นตอนของการวางแผนจัดตั้ง (Establish) ระบบ ISMS ประกอบไปด้วยกิจกรรมย่อย ดังนี้

    • กำหนดขอบเขตของระบบ ISMS
    • กำหนดนโยบายของระบบ ISMS
    • กำหนดแนวทางการประเมินความเสี่ยง
    • ระบุความเสี่ยง
    • ประเมินความเสี่ยง
    • ระบุและประเมินวิธีการลดความเสี่ยง
    • เลือกวัตถุประสงค์และการควบคุม
    • จัดเตรียมเอกสารมาตรการการใช้งาน (Statement Of Applicability: SOA)

Panida Panichkul

11

slide12

Doคือ ขั้นตอนของการลงมือทำ คือพัฒนาระบบให้เกิดขึ้นและนำไปใช้งาน (Implement and Operate ISMS) ประกอบด้วยกิจกรรมย่อย ดังนี้

    • จัดทำแผนการลดความเสี่ยง
    • นำแผนการลดความเสี่ยงไปปฏิบัติ
    • ใช้วิธีการควบคุมแบบต่างๆ
    • จัดการฝึกอบรม ให้ความรู้ และสร้างความตระหนัก
    • จัดการการดำเนินงาน
    • จัดการทรัพยากร
    • ดำเนินการในขั้นตอนการตรวจจับและตอบสนองต่อเหตุการณ์ไม่คาดคิดทางด้านความมั่นคงปลอดภัย

Panida Panichkul

12

slide13

Checkคือ ขั้นตอนของการติดตามและทบทวน (Monitor and Review) การดำเนินงานระบบ ISMS ประกอบด้วยกิจกรรมย่อย ดังนี้

    • เข้าสู่กระบวนการติดตามการทำงานของระบบ ISMS
    • ประเมินประสิทธิผลของระบบ ISMS
    • ตรวจสอบระดับความเสี่ยง
    • จัดทำการตรวจสอบภายในของระบบ ISMS
    • ประเมินการบริหารจัดการระบบ ISMS
    • บันทึกกิจกรรมและเหตุการณ์ที่ส่งผลกระทบต่อระบบ ISMS

Panida Panichkul

13

slide14

Actคือ ขั้นตอนของการบำรุงรักษาและปรับปรุง (Maintain and Improve) ระบบ ISMS ประกอบด้วยกิจกรรมย่อย ดังนี้

    • ปรับปรุงระบบในส่วนที่มีข้อบกพร่อง
    • ดำเนินการแก้ไขและป้องกัน
    • นำบทเรียนหรือกรณีศึกษาที่ประสบผลสำเร็จจากที่อื่นมาปรับใช้
    • รายงานผลการใช้งานระบบแก่ทุกฝ่ายที่มีส่วนเกี่ยวข้อง
    • สร้างความมั่นใจว่าการปรับปรุงตรงตามวัตถุประสงค์

Panida Panichkul

14

slide15

สำหรับมาตรฐาน ISO/IEC17799 ฉบับประเทศไทยนั้น จัดทำโดยคณะอนุกรรมการความมั่นคงในคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ให้ชื่อมาตรฐานดังกล่าวว่า “มาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์” โดยได้มีการปรับปรุงเนื้อหาให้ทันสมัยเรื่อยมา จากเวอร์ชันแรก จนปัจจุบันเป็นเวอร์ชันที่ 2.5 ประจำปี พ.ศ. 2550 และมีการเผยแพร่เพื่อใช้งานอย่างแพร่หลายในปัจจุบัน ภายในเอกสารประกอบไปด้วยรายละเอียดที่เป็นแนวทางในการดำเนินงานการจัดการความมั่นคงปลอดภัยของสารสนเทศไว้อย่างละเอียด

Panida Panichkul

15

reference
Reference
  • พนิดา พานิชกุล, ความมั่นคงปลอดภัยของสารสนเทศ (Information Security), สำนักพิมพ์ เคทีพี, 2553.

Panida Panichkul