1 / 28

ก่อนจะมาเป็นมาตรฐาน   ISO/IEC 27001  และ ISO/IEC 17799

การจัดการความปลอดภัยระบบสารสนเทศ ( Information Security Management System : ISMS) ด้วย เกณฑ์ ม าตรฐาน การรักษาความมั่นคงปลอดภัย ISO/IEC 27001 และ ISO/IEC 17799.

pford
Download Presentation

ก่อนจะมาเป็นมาตรฐาน   ISO/IEC 27001  และ ISO/IEC 17799

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. การจัดการความปลอดภัยระบบสารสนเทศ (Information Security Management System : ISMS) ด้วยเกณฑ์มาตรฐานการรักษาความมั่นคงปลอดภัย ISO/IEC 27001 และ ISO/IEC 17799

  2. การจัดการความปลอดภัยระบบสารสนเทศ (Information Security Management System : ISMS) ด้วยเกณฑ์มาตรฐานการรักษาความมั่นคงปลอดภัย ISO/IEC 27001 และ ISO/IEC 17799 • ISO/IEC 27001 และ ISO/IEC 17799 เป็นกรอบ (เกณฑ์) มาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศที่ได้รับการยอมรับจากหลายประเทศและถูกนำมาประยุกต์เพื่อช่วยบริหารจัดการระบบสารสนเทศในองค์กรของประเทศต่างๆ มากขึ้น • ความเป็นมา และพัฒนาการของมาตรฐานทั้งสองในภูมิภาคเอเชียแปซิฟิกและประเทศไทย • ความแตกต่างระหว่างมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 • สรุปสาระสำคัญของมาตรฐานดังกล่าวฉบับภาษาไทย (เวอร์ชั่น 2.5) ปี 2550 ซึ่งเป็นฉบับปรังปรุงล่าสุดเพื่อเป็นคู่มือแนวทางสำหรับผู้ดูแลระบบและผู้เกี่ยวข้องในการบริหารจัดการด้านความมั่นคงปลอดภัยให้เกิดประสิทธิภาพมากยิ่งขึ้น

  3. ก่อนจะมาเป็นมาตรฐาน  ISO/IEC 27001 และ ISO/IEC 17799 มาตรฐานISO/IEC 27001 เป็นมาตรฐานหนึ่งที่เกี่ยวข้องกับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System: ISMS) ซึ่งพัฒนามาจากมาตรฐานในตระกูล ISO/IEC 27000 มาตรฐานISO/IEC 27001ได้ผ่านการปรับปรุงและนำออกเผยแพร่เมื่อเดือนตุลาคม ปี 2005 โดย  International Organization for Standardization (ISO) และ International Electrotechnical  Commission (IEC) มีชื่อเต็มคือISO/IEC 27001:2005 - Information technology -- Security techniques -- Information security management systems – Requirements

  4. ก่อนจะมาเป็นมาตรฐาน  ISO/IEC 27001 และ ISO/IEC 17799มาตรฐาน ISO/IEC 17799 เกิดจากการรวบรวมเอามาตรฐานพื้นฐาน (Baseline) ที่มีชื่อ BS 7799 ซึ่งเป็นมาตรฐานที่องค์กรอุตสาหกรรมหลายองค์กรยึดถือร่วมกันเพื่อใช้เป็นมาตรฐานอุตสาหกรรม ปี 2000 องค์กร BSI ได้ผลักดันให้ BS 7799 ได้รับโหวตให้เป็นมาตรฐานสากล และประกาศสู่สาธารณะภายใต้ชื่อมาตรฐาน “ISO/IEC 17799” และคณะทำงานได้ปรับปรุงมาตรฐานดังกล่าวต่อไป ปี 2005 จึงได้ประกาศมาตรฐาน ISO/IEC 17799 ฉบับปรับปรุงล่าสุดสู่สาธารณะ ปัจจุบัน มาตรฐาน ISO/IEC 17799 ยังคงได้รับการปรับปรุงต่อเนื่องเพื่อให้มีความเหมาะสมกับสภาพแวดล้อมของธุรกิจ BSI (British Standards Institution) เป็นองค์กรดำเนินงานทางด้านมาตรฐานการบริหารและการจัดการBSI ร่วมงานกับผู้เชี่ยวชาญในวงธุรกิจ องค์กรภาครัฐ สมาคมการค้า และกลุ่มผู้บริโภค ในการทำให้ได้มาซึ่งแนวทางปฏิบัติที่ดี

  5. การประยุกต์มาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 ในภูมิภาคเอเชียแปซิฟิก หลังจากประกาศมาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ ISO/IEC  27001 และ ISO/IEC 17799 อย่างเป็นทางการหลายประเทศได้เริ่มนำมาตรฐานทั้งสองมาประยุกต์ในองค์กรทำให้เกิดการสร้างกลุ่มความร่วมมือทั้งในระดับโลกและระดับภูมิภาค ลักษณะการร่วมมือนี้ ได้แก่ การพัฒนาด้านเทคนิคร่วมกัน การให้ความเห็นต่อประเด็นของการรักษาความมั่นคงปลอดภัย การแบ่งปันความรู้และประสบการณ์ระหว่างกัน เป็นต้นต่อมา มีการประชุมครั้งแรกในเดือนพฤศจิกายนปี 2004ณ กรุงโตเกียว ประเทศญี่ปุ่น ภายใต้ชื่อ RAISS Forum หรือ Forum of Regional Asia Information Security Standards เพื่อให้กลุ่มภูมิภาคเอเชียแปซิฟิกได้เข้ามาร่วมรับทราบข่าวสาร และรับเอามาตรฐานไปปรับใช้ต่อไปซึ่งในการประชุมครั้งนี้มีตัวแทนจากหลายประเทศเข้าร่วมประชุม อาทิ ออสเตรเลีย มาเลเซีย ไต้หวัน ญี่ปุ่น สิงคโปร์ รวมถึงประเทศไทยโดยมีศูนยประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ประเทศไทย(ThaiCERT) ซึ่งในขณะนั้นเป็นหน่วยงานหนึ่งภายใต้การดูแลของศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) ได้ส่งตัวแทนเข้าร่วมประชุมในเวทีดังกล่าวด้วย

  6. พัฒนาการมาตรฐาน  ISO/IEC 27001 และ ISO/IEC 17799 ของประเทศไทย ในเวทีความร่วมมือ RAISS ซึ่งมีตัวแทนจาก ThaiCERTเข้าร่วมการประชุมได้นำเสนอ Paper ที่ได้นำมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799เป็นแนวทางปฎิบัติงานของผู้ดูแลระบบและเครือข่าย กลุ่มผู้เข้าร่วมประชุมต่างให้ความเห็นกับ Paper นี้ว่าเป็นพัฒนาการที่สามารถนำไปใช้งานได้จริงและมีประเด็นที่ครอบคลุมมาตรฐานความปลอดภัยที่ค่อนข้างครบถ้วน ซึ่งภายหลังได้มีการพัฒนาและแปลร่างมาตรฐานฉบับภาษาไทยขึ้น และส่งมอบให้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์นำไปประกอบการพิจารณา และได้มีการปรับปรุงร่างมาตรฐานที่จัดทำขึ้น พร้อมทั้งประชาสัมพันธ์และรับฟังความคิดเห็นจากหน่วยงานที่เกี่ยวข้องและประชาชนอีกจำนวนหลายครั้ง จนมีความสมบูรณ์และเหมาะสม สำหรับมาตรฐานฉบับปรับปรุงล่าสุดคือภายใต้ชื่อ มาตรฐานการรักษาความมั่นคงปลอดภัย ในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ (เวอร์ชั่น 2.5) ประจำปี 2550

  7. ความแตกต่างระหว่างมาตรฐาน  ISO/IEC 27001 และ ISO/IEC 17799มาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 นี้เป็นมาตรฐานสากลที่เน้นด้านการรักษาความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กร และใช้เป็นมาตรฐานอ้างอิงเพื่อเป็นแนวทางในการเสริมสร้างความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กรอย่างแพร่หลาย ความแตกต่างระหว่างมาตรฐานทั้งสองอธิบายได้ดังนี้มาตรฐาน ISO/IEC 27001 กล่าวถึงข้อกำหนดในการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัย (Information Security Management : ISMS) ให้กับองค์กร เพื่อให้องค์กรสามารถบริหารจัดการทางด้านความปลอดภัยได้อย่างเหมาะสมต่อการดำเนินธุรกิจขององค์กร มาตรฐานดังกล่าวมีหัวข้อที่เกี่ยวข้องได้แก่ 1) ขอบเขต (Scope) 2) ศัพท์เทคนิคและนิยาม (Terms and definitions) 3) โครงสร้างของมาตรฐาน (Structure of this standard) 4) การประเมินความเสี่ยงและการจัดการกับความเสี่ยง ลด/ เอาออก/ ยอมรับความเสี่ยง (Risk assessment and treatment) และรักษาทรัพย์สินสารสนเทศที่มีค่า นอกจากนี้ มาตรฐาน ISO/IEC 27001 ยังประกอบด้วยไปด้วยวงจรบริหารจัดการความมั่นคงปลอดภัยตามขั้นตอน Plan-Do-Check-Act (P-C-D-A)

  8. มาตรฐาน ISO/IEC 27001(ต่อ...) แสดงวงจรบริหารจัดการความมั่นคงปลอดภัยตามขั้นตอน Plan-Do-Check-Act (P-C-D-A)

  9. แผนภาพแสดงวงจรการบริหารจัดการความมั่นคงปลอดภัยตามขั้นตอน Plan-Do-Check-Act

  10. มาตรฐาน ISO/IEC 17799 เป็นมาตรฐานที่กล่าวถึงเรื่องวิธีปฎิบัติที่จะนำไปสู่ระบบบริหารจัดการความมั่นคงปลอดภัยที่องค์กรได้จัดทำขึ้นตามข้อกำหนดในมาตรฐาน ISO/IEC 27001 รายละเอียดของมาตรฐานนี้จะบอกถึงวิธีปฏิบัติในการลดความเสี่ยงที่เกิดจากจุดอ่อนของระบบโดยแบ่งหัวข้อหลักที่เกี่ยวข้องกับระบบ และให้แนวทางว่าผู้จัดทำควรปฎิบัติอย่างไร ซึ่งผู้ใช้สามารถเพิ่มเติมมาตรการหรือใช้วิธีการที่มีความมั่นคงปลอดภัยเพียงพอและเหมาะสม ซึ่งหัวข้อสำคัญหรือ 11 โดเมนหลักในมาตรฐานดังกล่าว มีดังนี้ 1) นโยบายความมั่นคงปลอดภัยขององค์กร (Security policy) 2) โครงสร้างด้านความมั่นคงปลอดภัยสำหรับองค์กร (Organization of information security) 3) การบริหารจัดการทรัพย์สินขององค์กร (Asset management) 4) ความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร  (Human resources security)

  11. มาตรฐาน ISO/IEC 17799 (ต่อ...) 5) การสร้างความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม (Physical and environmental security)  6) การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศ (Communication and operations management) 7) การควบคุมการเข้าถึง (Access Control) 8) การจัดหา การพัฒนาและบำรุงรักษาระบบสารสนเทศ (Information systems acquisition, development and maintenance) 9) การบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยขององค์กร (Information security incident management) 10) การบริหารความต่อเนื่องในการดำเนินงานขององค์กร (Business continuity management) 11) การปฏิบัติตามข้อกำหนด (Compliance)  

  12. สรุปความแตกต่างของมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 ความแตกต่างของมาตรฐาน ISO/IEC 27001 และมาตรฐาน ISO/IEC 17799 คือ มาตรฐาน ISO/IEC 27001 จะเน้นเรื่องข้อกำหนดในการจัดทำระบบ ISMS ให้กับองค์กรตามขั้นตอน Plan-Do-Check-Act และใช้แนวทางในการประเมินความเสี่ยงมาประกอบการพิจารณาเพื่อหาวิธีการหรือมาตรการที่เหมาะสม ส่วนมาตรฐาน ISO/IEC 17799 จะเน้นเรื่องวิธีปฎิบัติที่จะนำไปสู่ระบบ ISMS ที่องค์กรได้จัดทำขึ้น ซึ่งจะต้องเป็นไปตามมาตรฐาน ISO/IEC 27001 กำหนดไว้ด้วย

  13. สาระสำคัญของมาตรฐาน  ISO/IEC 27001 และ ISO/IEC 17799 ฉบับประเทศไทย (เวอร์ชั่น 2.5) ประจำปี 2550 เป็นมาตรฐานที่เกิดจากการผนวกรวมของมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 เพื่อเป็นแนวทางสำหรับผู้ดูแลระบบและเครือข่าย โดยได้มีการพัฒนาและแปลมาตรฐานเป็นฉบับภาษาไทย รวมการปรับปรุงและพัฒนามาตรฐานอย่างต่อเนื่องจนได้มาตรฐานที่มีความสมบูรณ์และทันสมัย ซึ่งสาระสำคัญของมาตรฐานดังกล่าว แบ่งเป็น 2 ส่วนหลักคือ ส่วนที่ 1กระบวนการการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ (อ้างอิงข้อกำหนดตามมาตรฐาน ISO/IEC 27001) ส่วนที่ 2 มาตรการการจัดการด้านความมั่นคงปลอดภัยสำหรับสารสนเทศ(อ้างอิงมาตรฐาน ISO/IEC 27001 และศึกษารายละเอียดวิธีปฎิบัติทางเทคนิคจาก ISO/IEC 17799:2005)

  14. ส่วนที่ 1กระบวนการการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ (อ้างอิงข้อกำหนดตามมาตรฐาน ISO/IEC 27001) มี 4 ข้อ • ข้อ 1 ระบบบริหารจัดการความปลอดภัยสำหรับสารสนเทศ • ประกอบด้วยข้อกำหนด 2 ประการคือ ข้อกำหนดทั่วไปและ ข้อกำหนดทางด้านการจัดทำเอกสาร • ข้อกำหนดทั่วไป • องค์กรจะต้องกำหนด ลงมือปฎิบัติ ดำเนินการ เฝ้าระวัง ทบทวน บำรุง รักษาและปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัยตามที่ได้กำหนดไว้เป็นลายลักษณ์อักษร ภายในกรอบกิจกรรมการดำเนินการทางธุรกิจต่างๆ รวมทั้งความเสี่ยงที่เกี่ยวข้องแนวทางที่ใช้ในมาตรฐานฉบับนี้จะใช้กระบวนการ Plan-Do-Check-Act หรือ P-D-C-A มาประยุกต์ใช้

  15. Planคือการกำหนดนโยบาย และขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัยโดยพิจารณาถึงลักษณะของธุรกิจ องค์กร สถานที่ตั้ง ทรัพย์สิน และเทคโนโลยี พร้อมทั้งกำหนดวิธีการประเมินความเสี่ยงที่เป็นรูปธรรมขององค์กร วิเคราะห์และประเมินความเสี่ยง เลือกมาตรการด้านความปลอดภัยเพื่อจัดการกับความเสี่ยง ขอการอนุมัติเพื่อลงมือปฎิบัติสำหรับความเสี่ยงที่ยังลงเหลืออยู่ในระบบ ISMS และสุดท้ายคือ จัดทำเอกสาร SoA (Statement of Applicability) แสดงการใช้งานมาตรฐานตามที่แสดงไว้ในส่วนของมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางด้านอิเล็กทรอนิกส์ Doคือการลงมือปฎิบัติตามแผนการจัดการความเสี่ยง ซึ่งช่วยในการตรวจจับและรับมือกับเหตุการณ์ทางด้านความมั่นคงปลอดภัย พร้อมทั้งกำหนดวิธีการในการวัดความสัมฤทธิ์ผลของมาตรการที่เลือกมาใช้งาน

  16. Check คือ • การเฝ้าระวัง ตรวจสอบและทบทวนผลการดำเนินการตามระบบ ISMS อย่างสม่ำเสมอ • วัดความสัมฤทธิ์ผลของมาตรการทางด้านความมั่นคงปลอดภัย • ทบทวนผลการประเมินความเสี่ยงตามรอบระยะเวลาที่กำหนดไว้สำหรับความเสี่ยงที่เหลืออยู่และระดับความเสี่ยงที่ยอมรับได้ • ดำเนินการตรวจสอบและทบทวนระบบบริหารจัดการความมั่นคงปลอดภัย ปรับปรุงแผนทางด้านความปลอดภัยโดยนำผลของการเฝ้าระวังและทบทวนกิจกรรมต่างๆ มาพิจารณาร่วมด้วย และบันทึกการดำเนินการซึ่งอาจมีผลกระทบต่อความสัมฤทธิ์ผลหรือประสิทธิภาพของระบบบริหารจัดการความมั่นคงปลอดภัย • Actคือ บำรุงรักษาและปรับปรุงคุณภาพของระบบ ISMSรวมถึงการใช้มาตรการเชิงแก้ไข ป้องกัน และใช้บทเรียนจากประสบการณ์ทางด้านความมั่นคงปลอดภัยขององค์กรเองและองค์กรอื่น แจ้งการปรับปรุงและดำเนินการให้แก่ทุกหน่วยงานที่เกี่ยวข้อง และตรวจสอบว่าการปรับปรุงที่ทำไปแล้วนั้นบรรลุตามวัตถุประสงค์ที่กำหนดไว้หรือไม่

  17. ข้อกำหนดทางด้านการจัดทำเอกสารข้อกำหนดทางด้านการจัดทำเอกสาร • เอกสารจำเป็นต้องจัดทำ หมายถึงถึง บันทึกแสดงการตัดสินใจของผู้บริหาร ได้แก่นโยบายความมั่นคงปลอดภัย ขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัย วิธีการประเมินความเสี่ยง เป็นต้น • การบริหารจัดการเอกสาร เอกสารตามข้อกำหนดของระบบบริหารจัดการความมั่นคงปลอดภัยจะต้องได้รับการป้องกันและควบคุม ขั้นตอนการปฎิบัติที่เกี่ยวข้องกับการจัดการเอกสาร ได้แก่ อนุมัติการใช้งานเอกสารก่อนที่จะเผยแพร่ ทบทวน ปรับปรุง และอนุมัติเอกสารอีกตามความจำเป็น ระบุการเปลี่ยนแปลงและสภานภาพของเอกสารปัจจุบัน • การจัดการบันทึกข้อมูลหรือฟอร์มต่างๆ องค์กรจะต้องมีการกำหนด จัดทำและบำรุงรักษาบันทึกข้อมูลหรือฟอร์มต่างๆ เพื่อใช้เป็นหลักฐานแสดงความสอดคล้องกับข้อกำหนดและการดำเนินการของระบบบริหารจัดการความมั่นคงปลอดภัย

  18. ข้อ 2 หน้าที่ความรับผิดชอบของผู้บริหาร • ผู้บริหารจะต้องแสดงถึงการให้ความสำคัญต่อการลงมือปฎิบัติการ ดำเนินการเฝ้าระวัง ทบทวน การบำรุงรักษาและการปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัย • การสร้างความตระหนักและการเพิ่มขีดความสามารถเพื่อให้บุคลากรที่ได้รับมอบหมายหน้าที่ สามารถปฎิบัติงานได้ตามที่กำหนดในนโยบายความมั่นคงปลอดภัย • ข้อ 3 การตรวจสอบระบบบริหารจัดการความมั่นคงปลอดภัย องค์กรควรตรวจสอบตามรอบระยะเวลาที่กำหนดไว้เพื่อดูว่า วัตถุประสงค์ มาตรการ กระบวนการ และขั้นตอนปฎิบัติของระบบบริหารจัดการความมั่นคงปลอดภัยมีความสอดคล้องกับข้อกำหนดในมาตรฐานฉบับนี้และกฎหมาย ระเบียบ ข้อบังคับต่างๆ หรือไม่ รวมทั้งจัดทำรายงานผลการตรวจสอบและบันทึกข้อมูลของการตรวจสอบนั้น • ข้อ 4 การทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยโดยผู้บริหารผู้บริหารจะต้องทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยตามรอบระยะเวลาที่กำหนดไว้ (เช่นปีละ 1 ครั้ง) เพื่อให้มีการดำเนินการที่เหมาะสม พอเพียงและสัมฤทธิ์ผล การทบทวนจะต้องรวมถึงการปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัย ซึ่งลของการทบทวนจะต้องได้รับการบันทึกไว้อย่างเป็นลายลักษณ์อักษร

  19. ส่วนที่ 2 มาตรการการจัดการด้านความมั่นคงปลอดภัยสำหรับสารสนเทศ(อ้างอิงมาตรฐาน ISO/IEC 27001 และศึกษารายละเอียดวิธีปฎิบัติทางเทคนิคจาก ISO/IEC 17799:2005) ประกอบด้วยข้อกำหนด 11 ข้อ ดังนี้ • นโยบายความมั่นคงปลอดภัย (Security policy) มีผู้บริหารต้องจัดทำนโยบายความมั่นคงปลอดภัยเป็นลายลักษณ์อักษร เพื่อกำหนดทิศทางและให้การสนับสนุนการดำเนินการด้านความมั่นคงปลอดภัยสำหรับสารสนเทศขององค์กร เพื่อให้สอดคล้องกับข้อกำหนดทางธุรกิจ กฎหมาย และระเบียบปฎิบัติที่เกี่ยวข้อง รวมถึงการทบทวนนโยบายตามระยะเวลาที่กำหนดหรือเมื่อมีการเปลี่ยนแปลงที่สำคัญขององค์กร • โครงสร้างด้านความมั่นคงปลอดภัยสำหรับองค์กร (Internal • organization) กล่าวถึงบทบาทของผู้บริหารองค์กร และหัวหน้างาน • สารสนเทศ ดังนี้ • - โครงสร้างทางด้านความมั่นคงปลอดภัยภายในองค์กร • - โครงสร้างทางด้านความมั่นคงปลอดภัยที่เกี่ยวข้องกับลูกค้าหรือหน่วยงานภายนอก เพื่อบริหาร- จัดการความมั่นคงปลอดภัยสำหรับสารสนเทศและอุปกรณ์ประมวลผลสารสนเทศขององค์กรที่ถูกเข้าถึง ถูกประมวลผล หรือถูกใช้ในการติดต่อสื่อสารกับลูกค้าหรือหน่วยงานภายนอก

  20. การบริหารจัดการทรัพย์สินขององค์กร (Asset management) • กล่าวถึงบทบาทของหัวหน้างานสารสนเทศและหัวหน้างานพัสดุ • - หน้าที่ความรับผิดชอบต่อทรัพย์สินขององค์กร เพื่อป้องกันความเสียหาย • ที่อาจขึ้นได้ • การจัดหมวดหมู่สารสนเทศ เพื่อกำหนดระดับของการป้องกันสารสนเทศ • ขององค์กรอย่างเหมาะสม

  21. ความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร (Human resources • security) กล่าวถึงบทบาทของผู้บริหารสารสนเทศ หัวหน้างานสารสนเทศ • หัวหน้างานบุคคลและหัวหน้างานที่เกี่ยวข้อง ดังนี้ • การสร้างความมั่นคงปลอดภัยก่อนการจ้างงาน เพื่อให้พนักงานและผู้เกี่ยวข้องจากหน่วยงานภายนอก เข้าใจถึงบทบาทและหน้าที่ความรับผิดชอบของตน และเพื่อลดความเสี่ยงอันเกิดจากการขโมย การฉ้อโกง และการใช้อุปกรณ์ผิดวัตถุประสงค์ • การสร้างความมั่นคงปลอดภัยในระหว่างการจ้างงาน เพื่อให้พนักงานและผู้เกี่ยวข้องจากหน่วยงานภายนอกได้ตระหนักถึงภัยคุกคามและปัญหาที่เกี่ยวข้องกับความมั่นคงปลอดภัย และทำความเข้าใจกับนโยบาย เพื่อลดความเสี่ยงอันเกิดจากความผิดพลาดในการปฎิบัติหน้าที่ • การสิ้นสุดและการเปลี่ยนการจ้างงาน เพื่อให้พนักงานและผู้เกี่ยวข้องจากหน่วยงานภายนอกได้ทราบถึงหน้าที่ความรับผิดชอบและบทบาทของตน เมื่อสิ้นสุดหรือมีการเปลี่ยนการจ้างงาน

  22. การสร้างความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อมการสร้างความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม • (Physical and environmental security) กล่าวถึงบทบาทของหัวหน้างาน • สารสนเทศและหัวหน้างานอาคารในด้านต่างๆ ดังนี้ • บริเวณที่ต้องมีการรักษาความมั่นคงปลอดภัย เพื่อป้องกันการเข้าถึงทางกายภาพโดยไม่ได้รับอนุญาต การก่อให้เกิดความเสียหาย และการก่อกวนหรือแทรกแซงต่อทรัพย์สินสารสนเทศขององค์กร • ความมั่นคงปลอดภัยของอุปกรณ์ เพื่อป้องกันการสูญหาย เสียหาย ถูกขโมย หรือการถูกเปิดเผยโดยไม่ได้รับอนุญาตส่งผลให้กิจกรรมการดำเนินงานต่างๆ ขององค์กรเกิดการติดขัดหรือหยุดชะงัก • การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศขององค์กร (Communications and operations management) กล่าวถึงบทบาทของผู้บริหารองค์กร ผู้บริหารสารสนเทศ หัวหน้างานสารสนเทศ ผู้ที่เป็นเจ้าของกระบวนการทางธุรกิจและพนักงานสารสนเทศในด้านต่างๆ ดังนี้ • การกำหนดหน้าที่ความรับผิดชอบและขั้นตอนการปฎิบัติงาน เพื่อให้การดำเนินงานที่เกี่ยวข้องกับอุปกรณ์ประมวลผลสารสนเทศเป็นไปอย่างถูกต้องและปลอดภัย

  23. การบริหารจัดการการให้บริการของหน่วยงานภายนอก เพื่อจัดทำและรักษาระดับความมั่นคงปลอดภัยของการปฎิบัติหน้าที่โดยหน่วยงานภายนอกให้เป็นไปตามข้อตกลงที่จัดทำไว้ระหว่างองค์กรกับหน่วยงานภายนอก • การวางแผนและการตรวจรับทรัพยากรสารสนเทศ เพื่อลดความเสี่ยงจากความล้มเหลวของระบบ • การป้องกันโปรแกรมที่ไม่ประสงค์ดี เพื่อรักษาซอฟต์แวร์และสารสนเทศให้ปลอดภัยจากการถูกทำลายโดยซอฟต์แวร์ที่ไม่ประสงค์ดี • การสำรองข้อมูล เพื่อรักษาความถูกต้องสมบูรณ์และความพร้อมใช้ของสารสนเทศและอุปกรณ์ประมวลผลสารสนเทศ • การบริหารจัดการทางด้านความปลอดภัยสำหรับเครือข่ายขององค์กร เพื่อป้องกันสารสนเทศบนเครือข่ายและโครงสร้างพื้นฐานที่สนับสนุนการทำงานของเครือข่าย • การจัดการสื่อที่ใช้ในการบันทึกข้อมูล เพื่อป้องกันการเปิดเผย การเปลี่ยนแปลง การลบหรือทำลายทรัพย์สินสารสนเทศโดยไม่ได้รับอนุญาต และการติดขัดหรือหยุดชะงักทางธุรกิจ

  24. การแลกเปลี่ยนสารสนเทศ เพื่อรักษาความมั่นคงปลอดภัยของสารสนเทศและซอฟต์แวร์ที่มีการแลกเปลี่ยนกันภายในองค์กร และที่มีการแลกเปลี่ยนกับหน่วยงานภายนอก • การสร้างความมั่นคงปลอดภัยสำหรับบริการพาณิชย์อิเล็กทรอนิกส์ เพื่อสร้างความมั่นคงปลอดภัยสำหรับบริการพาณิชย์อิเล็กทรอนิกส์และในการใช้งาน • การเฝ้าระวังทางด้านความมั่นคงปลอดภัย เพื่อตรวจจับกิจจกรรมการประมวลผลสารสนเทศที่ไม่ได้รับอนุญาต

  25. การควบคุมการเข้าถึง (Access control) กล่าวถึงบทบาทของผู้บริหาร • สารสนเทศ หัวหน้างานสารสนเทศ ผู้ดูแลระบบและพนักงานในด้านต่างๆ • ดังนี้ • ข้อกำหนดทางธุรกิจสำหรับการควบคุมการเข้าถึงสารสนเทศ เพื่อควบคุมการเข้าถึงสารสนเทศ • การบริหารจัดการการเข้าถึงของผู้ใช้ เพื่อควบคุมการเข้าถึงเฉพาะที่ได้รับอนุญาตแล้วและป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต • หน้าที่ความรับผิดชอบของผู้ใช้งาน การเปิดเผยหรือการขโมยสารสนเทศและอุปกรณ์ประมวลผลสารสนเทศ • การควบคุมการเข้าถึงเครือข่ายที่ไม่ได้รับอนุญาต • การควบคุมการเข้าถึงระบบปฎิบัติการที่ไม่ได้รับอนุญาต • การควบคุมการเข้าถึง Application และสารสนเทศที่ไม่ได้รับอนุญาต • การควบคุมอุปกรณ์สื่อสารประเภทพกพาและการปฎิบัติงานจากภายนอกเพื่อสร้างความมั่นคงปลอดภัยให้กับอุปกรณ์และการปฎิบัติงานที่เกี่ยวข้อง

  26. 8. การจัดหา การพัฒนาและการบำรุงรักษาระบบสารสนเทศ (Information systems acquisition, development and maintenance)กล่าวถึงบทบาทของหัวหน้างานสารสนเทศ ผู้พัฒนาระบบ และผู้เป็นเจ้าของระบบในด้านต่างๆ ดังนี้ • ข้อกำหนดด้านความมั่นคงปลอดภัยสำหรับระบบสารสนเทศ เพื่อให้การจัดหาและพัฒนาระบบสารสนเทศได้พิจารณาถึงประเด็นทางด้านความมั่นคงปลอดภัยเป็นองค์ประกอบพื้นฐานที่สำคัญ • การประมวลผลสารสนเทศใน Application เพื่อป้องกันความผิดพลาดในสารสนเทศ การสูญหายของสารสนเทศ การเปล่ยนแปลงสารสนเทศโดยไม่ได้รับอนุญาต หรือการใช้งานสารสนเทศผิดวัตถุประสงค์ • มาตรการการเข้ารหัสข้อมูลเพื่อรักษาความลับของข้อมูล ยืนยันตัวตนของผู้ส่งข้อมล หรือรักษาความครบถ้วนสมบูรณ์ของข้อมูลโดยใช้วิธีการเข้ารหัสข้อมูล • การสร้างความมั่นคงปลอดภัยให้กับไฟล์ของระบบที่ให้บริการ • การสร้างความมั่นคงปลอดภัยสำหรับกระบวนการการพัฒนาระบบเพื่อรักษาความมั่นคงปลอดภัยสำหรับซอฟต์แวร์และสารสนเทศของระบบ • การจัดการช่องโหว่ในฮาร์ดแวร์และซอฟต์แวร์ เพื่อลดความเสี่ยงจากการโจมตีโดยอาศัยช่องโหว่ทางเทคนิคที่มีการเผยแพร่หรือตีพิมพ์

  27. 9. การบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยขององค์กร (Information security incident management) กล่าวถึงบทบาทของหัวหน้างานสารสนเทศ หัวหน้างานนิติกร ผู้ดูแลระบบและพนักงานในด้านต่างๆ ดังนี้ • การรายงานเหตุการณ์และจุดอ่อนที่เกี่ยวข้องกับความมั่นคงปลอดภัยของระบบสารสนเทศขององค์กร เพื่อให้มีการดำเนินการที่ถูกต้องในช่วงระยะเวลาที่เหมาะสม • การบริหารจัดการและการปรับปรุงแก้ไขต่อเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัย เพื่อให้มีวิธีการที่สอดคล้องและได้ผลในการบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสำหรับสารสนเทศขององค์กร • 10. การบริหารความต่อเนื่องในการดำเนินงานขององค์กร (Business continuity management) กล่าวถึงบทบาทของผู้บริหารสารสนเทศ และหัวหน้างานสารสนเทศ ที่เกี่ยวกับหัวข้อพื้นฐานสำหรับการบริหารความต่อเนื่องในการดำเนินงานขององค์กรเพื่อป้องกันการติดขัดหรือการหยุดชะงักของกิจกรรมต่างๆ ทางธุรกิจอันเป็นผลมาจากการล้มเหลวหรือหายนะที่มีต่อระบบสารสนเทศ และเพื่อให้สามารถกู้ระบบกลับคืนมาได้ภายในระยะเวลาที่เหมาะสม

  28. 11. การปฎิบัติตามข้อกำหนด (Compliance) กล่าวถึงบทบาทของหัวหน้างานสารสนเทศและหัวหน้างานนิติกรในด้านต่างๆ ดังนี้ • การปฏิบัติตามข้อกำหนดทางกฎหมาย ระเบียบปฏิบัติ ข้อกำหนดในสัญญา และข้อกำหนดทางด้านความมั่นคงปลอดภัยอื่นๆ • การปฎิบัติตามนโยบาย มาตรฐานความปลอดภัยและข้อกำหนดทางเทคนิค เพื่อให้ระบบเป็นตามนโยบายและมาตรฐานความมั่นคงปลอดภัยตามที่องค์กรกำหนดไว้ • การตรวจประเมินระบบสารสนเทศตามรอบระยะเวลาที่กำหนดเพื่อประสิทธิภาพสูงสุดของการทำงานระบบ และมีการแทรกแซงที่ทำให้ระบบหยุดชะงักน้อยที่สุด

More Related