การบริหารจัดการความเสี่ยง ธรรมาภิบาล และ แนวนโยบายและแนวปฏิบัติ ในการรักษาความมั่นคงปลอดภัยของสารสนเทศ ดร.ชาลี วรกุลพิพัฒน์ CISSP, CISA, PMP, ISO/IEC.

Slides:



Advertisements
งานนำเสนอที่คล้ายกัน
การติดตามและ ประเมินผลโครงการ
Advertisements

บทที่ 3 การบริหารพนักงานขาย
ความก้าวหน้าในการจัดทำแผนการกระจายอำนาจ ให้แก่องค์กรปกครองส่วนท้องถิ่น และแผนปฏิบัติการกำหนดขั้นตอนการกระจายอำนาจ ให้แก่องค์กรปกครองส่วนท้องถิ่น (ฉบับที่
จัดทำโดย น. ส. ดวงกมล งามอยู่เจริญ เลขที่ 8 น. ส. ณัชชา เชื้อตา เลขที่ 6 เตรียมบริหารธุรกิจปี 1.
คำถามตามเกณฑ์ PMQA:105คำถาม หมวด1 12คำถาม.
เครื่องชี้วัดคุณภาพ วัตถุประสงค์: เพื่อให้ผู้เรียน
ข้อสรุปจากวีดีทัศน์ “ผีปู่แสะย่าแสะ” 1. การมีส่วนร่วมของชุมชน 2
การติดตามประเมินผล และรายงาน.
เอกสารการบรรยายเรื่อง
ดร. มานะ นิมิตรมงคล เลขาธิการ องค์กรต่อต้านคอร์รัปชันฯ 8 พฤษภาคม 2558
ประชุมจัดทำแผนปฏิบัติการ เพื่อพัฒนาบริการกลุ่มวัยรุ่น ปี 2558 วันที่ 15 มิถุนายน 2558 ณ ห้องประชุมสหกรณ์ออมทรัพย์สาธารณสุขจังหวัดเชียงใหม่ จำกัด.
การประเมินผลโครงการ คปสอ.คลองใหญ่.
นโยบายด้านโรคติดต่อ ศ. คลินิกเกียรติคุณ นพ. ปิยะสกล สกลสัตยาทร รัฐมนตรีว่าการกระทรวงสาธารณสุข.
นางวราพันธ์ ลังกาวงศ์ ผู้อำนวยการกลุ่มนโยบายและแผน.
ความคืบหน้า การจัดทำฐานข้อมูลด้าน ความมั่นคง ระเบียบวาระ ที่ ๓. ๑.
ผลการดำเนินงาน ปีงบ ๒๕๕๘ ( ร่าง ) แผนปฏิบัติการฯ ปี งบ ๒๕๕๙ กลุ่มงานบริหารทั่วไป สำนักงานสาธารณสุข จังหวัดตราด.
ความรู้ทั่วไปเกี่ยวกับระบบ คุณภาพ ความรู้ทั่วไปเกี่ยวกับระบบ คุณภาพ.
วิสัยทัศน์ ประเด็น ยุทธศาสตร์ สิ่งสำคัญที่ต้องทำ ให้บรรลุ เพื่อตอบสนอง วิสัยทัศน์ เป้าประสง ค์ หลัก ประสิทธิภ าพ ผลสำเร็จ สูงสุดของ องค์กรซึ่ง ประชาชน.
มอบนโยบายการบริหารราชการให้กับหัวหน้าสถานีตำรวจ วันอังคารที่ 2 ๑ มิ. ย.59 เวลา น. สำนักงานตำรวจแห่งชาติ
ระเบียบคณะกรรมการพลังงานปรมาณูเพื่อสันติว่าด้วยวิธีการรักษาความมั่นคงปลอดภัยของวัสดุนิวเคลียร์และสถานประกอบการทางนิวเคลียร์พ.ศ วันที่ประกาศในราชกิจจานุเบกษา.
๕ เรื่องเด่นในร่างรัฐธรรมนูญ
บทที่ 3 องค์ประกอบของการสัมมนา
สถาบันวิจัยและพัฒนา มหาวิทยาลัยราชภัฏสวนสุนันทา
ระบบมาตรฐานการพัฒนาชุมชน ผอ.กลุ่มงานมาตรฐานการพัฒนาชุมชน
ระบบ ISO 9001:2015 สำหรับธุรกิจบริหารจัดการเรือ
มาตรฐานระบบการบริหารงานคุณภาพ
นำเสนอโดยนางสาวีระวรรณ แซ่โง้ว และนายพรพิทักษ์ ศรีจันทร์
อยู่ระหว่างดำเนินการ
Presentation การจัดการข้อร้องเรียนในธุรกิจบริการ Customer Complaint Management for Service.
บทที่ 8 การควบคุมโครงการ
งาน Road Map ศูนย์เรียนรู้การเพิ่มประสิทธิภาพการผลิตสินค้าเกษตรปี 2560
One Point Lesson (OPL).....บทเรียนประเด็นเดียว
แพทย์หญิงวันทนีย์ วัฒนะ ผู้อำนวยการสำนักอนามัย
วิธีการกรอกแบบเสนอโครงการในไฟล์ Power point นี้
ให้องค์กรปกครองส่วนท้องถิ่น
ณ ห้องประชุม พธ.ทร.(๒) วันที่ ๑๗ สิงหาคม ๒๕๕๘ เวลา ๐๙๓๐
วาระที่ 3.4 แนวทางการปฏิบัติงานโครงการตามนโยบาย กระทรวงเกษตรและสหกรณ์
กิจกรรมการแลกเปลี่ยนเรียนรู้ งานบริหารและธุรการ คณะบริหารธุรกิจ
แนวทางการจัดทำรายงาน
การบริหารงานประชาสัมพันธ์ของจังหวัด : การประชาสัมพันธ์และการจัดการสื่อ
ฝ่ายการดำเนินงานในโรงแรม
การบริหารความเสี่ยงและ การวางระบบการควบคุมภายใน ของคณะวิทยาศาสตร์
แนวทางการบริหารการจัดเก็บ ข้อมูลเพื่อการพัฒนาชุมชน ปี 2561
กำหนดกรอบระยะเวลาการขึ้นทะเบียนปี2556/57 1. ข้าว
EB9 หน่วยงานของท่านมีการดำเนินการเพื่อป้องกันผลประโยชน์ทับซ้อนในหน่วยงานอย่างไร (1) มีการวิเคราะห์ความเสี่ยงเกี่ยวกับการปฏิบัติงานที่อาจเกิดผลประโยชน์ทับซ้อน.
การบริหารโครงการซอฟต์แวร์
KMA หมวด 6 การจัดการกระบวนการ.
ตัวชี้วัด : ระดับความสำเร็จขององค์กรปกครอง
วาระการประชุมคณะกรรมการกำกับดูแลองค์การที่ดี สถาบันวิจัยวิทยาศาสตร์สาธารณสุข ครั้งที่ ๑/๒๕๖๐ วันพฤหัสบดีที่ ๓ พฤศจิกายน ๒๕๕๙ เวลา ๐๙.๓๐ – ๑๒.๐๐ ณ.
ณ ห้องประชุมกำธร สุวรรณกิจ
ข้อสังเกตโดยรวมของผลงานที่ได้คะแนน ระดับดีมาก - ดี
ปี 2560 ปฏิทินการประเมินคุณธรรมและความโปร่งใส
สาเหตุที่ต้องมีพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
ความคืบหน้าการจ้างลูกจ้างชั่วคราว เป็นพนักงานกระทรวงสาธารณสุข (พกส.)
ระเบียบสำนักนายกรัฐมนตรี
รายวิชา การบริหารการศึกษา
มุ่งเน้น การประเมินระดับการดำเนินงาน “หน่วยงานคุณธรรม”
ชัยพฤกษ์รัตนาธิเบศร์ - วงแหวน
กรมมีผลการปฏิบัติงานที่ดี เกษตรกรได้รับประโยชน์
การจัดการความรู้ สำนักชลประทานที่ 15
เล่าเรื่องอย่างผู้นำ Coaching by story
โดย หัวหน้างานบริหารทั่วไป
บทที่ 15 การติดตั้งระบบและการทบทวนระบบงาน.
นพ.อภิศักดิ์ วิทยานุกูลลักษณ์ รพ.ธัญญารักษ์เชียงใหม่ กรมการแพทย์
การจัดการภาครัฐ และภาคเอกชน Public and private management
การบริหารความเสี่ยง (Enterprise Risk Management)
แนวทางการดำเนินงานประเมินความเสี่ยงบุคลากรในโรงพยาบาล
MTRD 427 Radiation rotection - RSO
การวิเคราะห์ศักยภาพองค์กรกองแผนงาน โดย SWOT Analysis
กระดาษทำการ (หลักการและภาคปฏิบัติ)
ใบสำเนางานนำเสนอ:

การบริหารจัดการความเสี่ยง ธรรมาภิบาล และ แนวนโยบายและแนวปฏิบัติ ในการรักษาความมั่นคงปลอดภัยของสารสนเทศ ดร.ชาลี วรกุลพิพัฒน์ CISSP, CISA, PMP, ISO/IEC 27001 Lead Auditor หัวหน้าห้องปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ Chalee.vorakulpipat@nectec.or.th 1 1 1

วัตถุประสงค์หลักของ security คือ? ปกป้องสินทรัพย์ (Asset) ขององค์กร 2 2 2

Security Management Risk management Policies Procedures Standards Guidelines Information classification Security organization Security education 3 3 3

4

ความรับผิดชอบต่อ Security ผู้บริหาร? ทุกคน? 5 5 5

การดำเนินการด้าน Security วิธี Top Down 6 6 6

Security Controls Technical Administrative controls controls Physical 7 7 7

ใครคือเจ้าของข้อมูลในระบบคอมพิวเตอร์? เจ้าหน้าที่ IT? ผู้บริหาร? หัวหน้าฝ่ายต่างๆ? ทุกคน? 8 8 8

เรามี Security เพื่อให้ข้อมูลเกิด CIA Confidentiality Availability Information Security Integrity CIA Again! 9 9 9

คำสำคัญ Security ภัยคุกคาม (Threat) ช่องโหว่ จุดอ่อน (Vulnerability) ความเสียหายที่เกิดขึ้น ช่องโหว่ จุดอ่อน (Vulnerability) เปิดช่องให้ภัยคุกคามเข้ามา ความเสี่ยง (Risk) โอกาสที่จะเกิด 10 10 10

ความเชื่อผิดๆ Security Through Obscurity คิดว่าทำ (ง่ายๆ) แบบนี้ ก็ไม่เป็นไรแล้ว 11 11 11

Confusion and Security From: Shon Harris, CISSP All-in-One Exam Guide 12 12 12

มาตรฐาน Security ตระกูล ISO/IEC 27000 ISO/IEC 27001 Control ISO/IEC 27002 Code of practice ISO/IEC 27004 Measurement ISO/IEC 27005 Risk management ISO/IEC 27006 Certification process ISO/IEC 27799 Personal health information 13 13 13

Security Governance ความเข้าใจใน security ในมุมมองผู้บริหาร สำคัญหรือไม่ ความรับผิดชอบของใคร บริหารจัดการความเสี่ยง ระดับพนักงานปฏิบัติตามกฎ ระเบียบ นโยบาย วิเคราะห์ผลกระทบของกฎ ระเบียบ นโยบาย ก่อนนำไปใช้จริง ทบทวน แก้ไขอย่างสม่ำเสมอ ไม่ใช่ผิดซ้ำซาก 14 14 14

Security Program Plan and organize (วางแผน) Implement (พัฒนา) Operate and maintain (ปฏิบัติ) Monitor and evaluate (ประเมิน) 15 15 15

ความเสี่ยงอาจเกิดมาจาก… ระบบน้ำ ไฟ สาธารณูปโภคเสียหาย ความผิดพลาดของคน อุปกรณ์ทำงานผิดพลาด การบุกรุกทั้งจากภายนอกและภายใน การใช้ข้อมูลอย่างผิดๆ ข้อมูลหาย โปรแกรมผิดพลาด 16 16 16

ความเสี่ยงอาจเกิดมาจาก… ระบบน้ำ ไฟ สาธารณูปโภคเสียหาย ความผิดพลาดของคน อุปกรณ์ทำงานผิดพลาด การบุกรุกทั้งจากภายนอกและภายใน การใช้ข้อมูลอย่างผิดๆ ข้อมูลหาย โปรแกรมผิดพลาด 17 17 17

การวิเคราะห์ความเสี่ยง (Risk Analysis) เมื่อคิดจะริเริ่ม security program จะต้อง วิเคราะห์ความเสี่ยง เป็นอันดับแรก สินทรัพย์มีอะไรบ้าง มีค่ามากน้อยแค่ไหน จุดอ่อน ช่องโหว่ ภัยคุกคามที่อาจเกิดขึ้นมีอะไรบ้าง โอกาสที่จะเกิด (กี่ครั้ง/วัน,เดือน,ปี) ผลกระทบทางธุรกิจเป็นอย่างไร วิเคราะห์ว่าคุ้มหรือไม่! ระหว่าง ความเสียหายที่เกิด vs เงินลงทุนที่จ่ายไปกับ security Cost/benefit analysis! 18 18 18

ขั้นตอนการวิเคราะห์ความเสี่ยง กำหนด “ค่า” ของสินทรัพย์ มีค่าต่อองค์กรเท่าไหร่, ให้กำไรเท่าไหร่, ค่าซ่อมแซมให้กลับสู่สภาพเดิม, องค์กรเสียหายเท่าไหร่ถ้าสินทรัพย์นั้นเสียหาย ฯลฯ คำนวณค่าความเสียหายต่อภัยคุกคาม 1 อย่าง Single Loss Expectancy (SLE) ต่อสินทรัพย์ ต่อภัยคุกคาม 1 อย่าง วิเคราะห์ภัยคุกคาม คำนวณโอกาสเกิดต่อปี Annualized Rate of Occurrence (ARO) หาค่าความสูญเสียต่อปี คำนวณความสูญเสียต่อปี Annualized Loss Expectancy (ALE) ลงมือจัดการความเสี่ยง –reduce, transfer, avoid, accept 19 19 19

การวิเคราะห์ความเสี่ยงแบบ Quantitative Asset value x exposure factor (EF) = SLE SLE x Annualized Rate of Occurrence (ARO) = Annualized Loss Expectancy (ALE) 20 20 20

การยอมรับความเสี่ยง ค่า ALE จะบอกความสูญเสียต่อปีถ้าไม่มี security ใช้วิเคราะห์ว่าเงินที่ลงทุนสำหรับ security นั้นคุ้มกันหรือไม่ สามารถเทียบกับ ALE ถ้าองค์กรยอมรับความเสี่ยง ค่าลงทุน security > ค่าความสูญเสีย องค์กรสามารถอยู่รอดได้แม้ว่าจะเกิดความสูญเสีย 21 21 21

ผลลัพธ์จากการวิเคราะห์ความ มูลค่าของสินทรัพย์ ภัยคุกคามทั้งหมดที่อาจเกิด โอกาสที่จะเกิดภัยคุกคามนั้นๆ ความสูญเสียต่อปีต่อภัยคุกคาม วิธีการรับมือ ป้องกัน (safeguard) ที่เหมาะสม 22 22 22

ความเสี่ยงที่หลงเหลือ (Residual risk) ต่อให้ลงทุนกับ safeguard มากแค่ไหน ก็ไม่สามารถกำจัดความเสี่ยงได้หมด ยังคงเหลือความเสี่ยงอยู่ (residual risk) การวิเคราะห์ว่า safeguard ที่เลือกใช้นั้นคุ้มค่าหรือไม่ ให้วิเคราะห์ร่วมกับ residual risk ด้วย Residual risk เทียบได้กับค่า ALE ใหม่หลังจากที่องค์กรมี safeguard ALE ก่อนมี safeguard – ALE หลังมี safeguard – ค่าใช้จ่ายต่อปีของ safeguard = มูลค่าที่ safeguard คืนให้กับองค์กร 23 23 23

มูลค่าการลงทุน safeguard ไม่ใช่มีแค่ค่าโปรแกรม (เช่น anti virus) เท่านั้น ค่า maintenance ค่าทดสอบระบบ ค่า update ค่าแรง ค่าเสียเวลาในการ monitoring ค่าปรับปรุงสถานที่ สภาพแวดล้อมอื่นๆ และอื่นๆ อีกมากมาย 24 24 24

สรุปขั้นตอนการวิเคราะห์ความเสี่ยง From: Shon Harris, CISSP All-in-One Exam Guide 25 25 25

จัดการกับความเสี่ยงอย่างไร Risk avoidance ไม่รับ/ปฏิเสธความเสี่ยง Risk mitigation ลดความเสี่ยง Accept the risk ยอมรับได้ Transfer the risk ถ่ายเทความเสี่ยงให้บุคคลที่สาม เช่น บริษัทประกัน 26 26 26

Policy, standard, guideline, procedure ระดับบนสุด, กว้างๆ, ไม่เจาะจงเทคนิคเฉพาะ เพื่อถ่ายทอดความต้องการของผู้บริหารได้ยังทุกคนขององค์กร Standard (มาตรฐาน) กฎ ระเบียบ ข้อบังคับ อิงตามนโยบาย Guideline (แนวปฏิบัติ) คำแนะนำว่าจะต้องทำอย่างไรบ้าง อธิบายเพิ่มเติมจากนโยบาย Procedure (ขั้นตอน) ขั้นตอน Step-by-step อย่างละเอียดสำหรับงานเฉพาะ 27 27 27

Policy, standard, guideline, procedure From: Shon Harris, CISSP All-in-One Exam Guide 28 28 28

การแยกประเภทข้อมูล (Classification) แบ่งแยกตามความสำคัญ ชั้นความลับ ผู้ที่สามารถแบ่งแยกประเภทข้อมูลได้คือ เจ้าของข้อมูล เท่านั้น ไม่ใช่เจ้าหน้าที่ IT ไม่ใช่ผู้บริหาร ไม่ใช่ใครก็ได้ แล้วใครคือเจ้าของข้อมูล? เจ้าของข้อมูลคือผู้ที่รู้ดีที่สุดว่า เอกสารใด ข้อมูลใด ที่ตนเองรับผิดชอบ มีความสำคัญ ความลับในระดับใด ดังนั้น เจ้าของข้อมูลคือ หัวหน้าของฝ่ายนั้นๆ (functional manager / business unit manager) 29 29 29

ใครเป็นผู้บริหาร security ใครรับผิดชอบระหว่าง CEO หรือ CIO? ปัจจุบัน หลายหน่วยงานมีตำแหน่ง CSO (Chief Security Officer) เข้าใจความเสี่ยงที่อาจเกิดขององค์กร เชื่อมโยง business และ security ได้ มี security แต่ธุรกิจต้องไม่สะดุด! บริหารจัดการ security program บางหน่วยงานใช้ตำแหน่งว่า CISO (Chief Information Security Officer) ต่างจาก CSO ตรงที่ CISO เน้น security ที่เป็นเรื่อง IT โดยเฉพาะเลย ขณะที่ CSO จะดูแล security ทั่วๆ ไป 30 30 30

CEO – CIO – CSO (CISO) CIO CEO CSO 31 31 31

วิธีการลดความเสี่ยงโดยทั่วไป แยกหน้าที่ (Separation of duties) ไม่ให้งานสำคัญยิ่งยวดถูกจัดการโดยตัวคนเดียว ให้มีข้อตกลงการไม่เปิดเผยข้อมูล (Nondisclosure agreement) สำหรับพนักงานเข้าใหม่ช่วงเซ็นสัญญา สำหรับหน่วยงานภายนอกที่ร่วมงานกัน ตรวจประวัติพนักงานเข้าใหม่หรือหน่วยงานภายนอกที่จะร่วมงานกัน ตรวจภูมิหลังทุกอย่าง 32 32 32

วิธีการลดความเสี่ยงโดยทั่วไป เวียนหน้าที่ (Rotation of duties) บังคับพักร้อน (Mandatory vacation) 33 33 33

วิธีการลดความเสี่ยงโดยทั่วไป เมื่อพนักงานไม่ได้ทำงานให้องค์กรแล้ว ให้ออกจากองค์กรทันที คืนบัตรประจำตัว กุญแจ และสมบัติขององค์กรอื่นๆ Username และ password ต้องถูก disable ทันที สิทธิการเข้าถึง facility ต่างๆ ถูก disable ทันที คิดว่าโหดร้ายหรือไม่??? 34 34 34

การฝึกอบรม ฝึกอบรมเรื่องความตระหนัก “Security awareness training” การประเมินผลการฝึกอบรม แบบสอบถาม ที่สำคัญกว่าคือ ดูว่าปริมาณการแจ้งเหตุ (security incidents) มีเพิ่มขึ้นหรือไม่ – เทียบก่อนและหลังฝึกอบรม ไม่ใช่ไปดูว่าระบบถูก hack น้อยลงหรือไม่ หรือติดไวรัสน้อยลงหรือไม่... 35 35 35

แนวนโยบายและแนวปฏิบัติ ประเมินตนเอง ตรวจสอบภายใน หรือ จ้างผู้ตรวจสอบจากภายนอก ดำเนินการตามแนวของกระทรวง ICT หรือ มาตรฐานสากล ISO/IEC 27001 หลายหน่วยงานเน้นไปที่ Data Center พิจารณาว่ามีความสำคัญที่สุดเนื่องจากเก็บข้อมูลสำคัญขององค์กร กำหนด scope ที่ชัดเจนกว่า เน้นความมั่นคงปลอดภัยด้านกายภาพ (Physical) 36 36 36

แบบประเมินของกระทรวงสาธารณสุข 37 37 37

แบบประเมินของกระทรวงสาธารณสุข 38 38 38

แบบประเมินของกระทรวงสาธารณสุข 39 39 39

ขอบคุณครับ