นำเสนอโดยนางสาวีระวรรณ แซ่โง้ว และนายพรพิทักษ์ ศรีจันทร์ มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ ตามวิธีการแบบปลอดภัยในระดับกลาง ข้อ 9 นำเสนอโดยนางสาวีระวรรณ แซ่โง้ว และนายพรพิทักษ์ ศรีจันทร์

อ้างอิงจาก T-NET ข้อ 13 = ISO A.17 บัญชีแนบท้ายประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555 มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ ตามวิธีการแบบปลอดภัย พ.ศ. 2555 มาตรฐาน ISO/IEC 27001 ข้อ 9. การบริหารจัดการด้านการบริการหรือการดำเนินงานของหน่วยงานหรือองค์กรเพื่อให้มีความต่อเนื่อง อ้างอิงจาก T-NET ข้อ 13 = ISO A.17

A5. นโยบายความมั่นคงปลอดภัยสารสนเทศ (Information Security Policy) iSO 27001:2013 มี 14 Domain 133 ข้อ (เดิม ISO 27001:2005 มี 11 Domain 114 ข้อ) A5. นโยบายความมั่นคงปลอดภัยสารสนเทศ (Information Security Policy) A6. โครงสร้างความมั่นคงปลอดภัยสารสนเทศ (organization of Information Security) A7. ความมั่นคงปลอดภัยสําหรับบุคลากร (Human Resource Security) A8. การบริหารจัดการทรัพย์สิน (Asset Management) A9. การควบคุมการเข้าถึง (Access Control) A10. การเข้ารหัสข้อมูล (Cryptography) A11. ความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม (Physical and environmental Security) A12. ความมั่นคงปลอดภัยสําหรับการดําเนินการ (Operations Security) A13. ความมั่นคงปลอดภัยสําหรับการสื่อสารข้อมูล (Communications security) A14. การจัดหา การพัฒนา และการบํารุงรักษาระบบ (System acquisition, development and maintenance) A15. ความสัมพันธ์กับผู้ขาย ผู้ให้บริการภายนอก (Supplier relationships) A16. การบริหารจัดการเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศ (Information Security Incident Management) A17. ประเด็นด้านความมั่นคงปลอดภัยสารสนเทศของการบริหารจัดการเพื่อสร้างความต่อเนื่องทางธุรกิจ (Information security aspects of business continuity management) A18. ความสอดคล้อง (Compliance) ที่มา : http://www.club27001.com/2014/02/ISO-27001-2013-Controls-requirement.html http://www.isotoyou.com/index.php/article/447-iso27001-dis-what-change.html http://patanakul.blogspot.com/2014/05/control-iso270012005-2013.html

ISO/IEC 27001:2005 ISO/IEC 27001:2013 132 “shall” statements (section 4-8) Annexure A 125 “shall” statements (section 4-10) Annexure A 11 clauses 14 clauses 39 categories 35 categories 133 controls 114 controls A.5 Security Policy Information security policies A.6 Organizational of Information Security Organization of information security A.8 Human Resource Security A.7 Human resource security Asset Management Asset management A.11 Access Control A.9 Access control A.10 Cryptography Physical and Environmental Security Physical and environmental security Communications and Operations Management A.12 Operations security A.13 Communications security Information Systems Acquisition, Development, and Maintenance A.14 System acquisition, development and maintenance A.15 Supplier relationships Information Security Incident Management A.16 Information security incident management Business Continuity Management A.17 Information security aspects of business continuity management Compliance A.18 ที่มา : http://www.club27001.com/2014/02/ISO-27001-2013-Controls-requirement.html http://www.isotoyou.com/index.php/article/447-iso27001-dis-what-change.html http://patanakul.blogspot.com/2014/05/control-iso270012005-2013.html

บัญชีแนบท้ายประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555 มาตรฐานการรักษาความมั่นคงปลอดภัย ของระบบสารสนเทศ ตามวิธีการแบบปลอดภัย พ.ศ. 2555 มาตรฐาน ISO/IEC 27001 แนวทางการปรับใช้ในองค์กร 9.การบริหารจัดการด้านการบริการหรือการดำเนินงานของหน่วยงานหรือองค์กรเพื่อให้มีความต่อเนื่อง (Information security aspects of business continuity management อ้างอิงจาก T-NET ข้อ 12 = ISO A.17) (9.1) จัดให้มีข้อกำหนดเกี่ยวกับความมั่นคงปลอดภัยด้านสารสนเทศที่จำเป็น โดยกำหนดให้เป็นส่วนหนึ่งของชั้นตอนการบริหารจัดการเพื่อการดำเนินงานอย่างต่อเนื่องในภาวะฉุกเฉิน A.16.1.1 Responsibilities and procedures A.17.1.1 Planning information security continuity - ร่างแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย - แผนบริหารความต่อเนื่อง - แผนบริหารความเสี่ยง

บัญชีแนบท้ายประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555 มาตรฐานการรักษาความมั่นคงปลอดภัย ของระบบสารสนเทศ ตามวิธีการแบบปลอดภัย พ.ศ. 2555 มาตรฐาน ISO/IEC 27001 แนวทางการปรับใช้ในองค์กร (9.2) กำหนดให้มีกรอบงานหลักสำหรับการพัฒนาแผนการบริหารจัดการเพื่อการดำเนินงานอย่างต่อเนื่องในภาวะฉุกเฉิน เพื่อให้การพัฒนาแผนต่างๆ เป็นไปในทิศทางเดียวกัน รวมทั้งสอดคล้องกับข้อกำหนดด้านความมั่นคงปลอดภัย ตลอดจนมีการจัดลำดับก่อนหลังในการทดสอบและการดูแล A.16.1.1 Responsibilities and procedures A.17.1.1 Planning information security continuity - กำหนดหน้าที่ความรับผิดชอบ - กำหนดขั้นตอนการปฏิบัติ - จัดทำลำดับเหตุการณ์ - Internal Audit

บัญชีแนบท้ายประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555 มาตรฐานการรักษาความมั่นคงปลอดภัย ของระบบสารสนเทศ ตามวิธีการแบบปลอดภัย พ.ศ. 2555 มาตรฐาน ISO/IEC 27001 แนวทางการปรับใช้ในองค์กร (9.3) ให้มีการทดสอบและปรับปรุงแผนการบริหารจัดการเพื่อการดำเนินงานอย่างต่อเนื่องในภาวะฉุกเฉินอย่างสม่ำเสมอ เพื่อให้มั่นใจว่าแผนดังกล่าวเป็นปัจจุบันและมีประสิทธิผลอยู่เสมอ A.17.1.2 Implementing information security continuity A.17.1.3 Verify, review and evaluate information security continuity - Action Plan สำรองและกู้คืนข้อมูลสารสนเทศ