การบริหารความปลอดภัยสารสนเทศ 235034 Security in Computer Systems and Networks การบริหารความปลอดภัยสารสนเทศ Lec. Sanchai Yeewiyom School of Information and Communication Technology University of Phayao 1

Objective ศึกษาการบริหารความเสี่ยงสารสนเทศ ศึกษากระบวนการการรักษาความปลอดภัยสารสนเทศ 2

การบริหารความเสี่ยงสารสนเทศ (Information Risk Management) Risk = Threats x Vulnerability ความเสี่ยง (Risk) : ความเป็นไปได้ที่อาจสูญเสียสิ่งที่ปกป้องอยู่ Threats : ภัยคุกคาม Vulnerability : ช่องโหว่ หรือ จุดอ่อน

Vulnerability : ช่องโหว่ หรือ จุดอ่อน หมายถึง ช่องทางที่อาจใช้สำหรับการโจมตี มีหลายระดับ ขึ้นกับความยากง่าย และระดับความชำนาญทางด้านเทคนิค ไม่ได้มีเฉพาะกับระบบคอมพิวเตอร์และเครือข่าย แต่รวมถึงทางกายภาพ พนักงาน และข้อมูลที่ไม่ได้อยู่ในระบบ

Threats : ภัยคุกคาม หมายถึง สิ่งที่อาจเกิดขึ้นและมีอันตรายต่อทรัพย์สินขององค์กร ประกอบด้วยองค์ประกอบ 3 ส่วน คือ เป้าหมาย (Target) ผู้โจมตี (Agent) เหตุการณ์ (Event)

เป้าหมาย (Target) มุ่งโจมตีองค์ประกอบด้านต่างๆ ของการรักษาความปลอดภัย ความลับ (Confidentiality) ความคงสภาพ (Integrity) ความพร้อมใช้งาน (Availability)

ผู้โจมตี (Agent) ผู้ที่กระทำการใด ๆ ที่ก่อให้เกิดผลทางด้านลบกับองค์กร ต้องมีคุณสมบัติ ดังนี้ การเข้าถึง (Access) ผู้โจมตีต้องสามารถเข้าถึงเป้าหมายได้ องค์ประกอบที่สำคัญคือ โอกาส ความรู้ (Knowledge) ความรู้หรือข้อมูลเกี่ยวกับเป้าหมายที่ผู้โจมตีทราบ เช่น IP Address, Port Number แรงจูงใจ (Motivation) เหตุผลที่มีในการโจมตี สามารถบอกถึงเป้าหมายหลักได้ อาจเกิดจาก ความท้าทาย ความอยากได้ ความตั้งใจ

ผู้โจมตี (Agent) อาจเป็นบุคคลต่อไปนี้ พนักงานปัจจุบัน สามารถเข้าถึงระบบ มีความรู้เกี่ยวกับระบบ พนักงานเก่า คุ้นเคยกับระบบ ระบบที่หละหลวมอาจยังไม่ยกเลิกสิทธิ์พนักงานที่ออกไปแล้ว Hacker มีแรงจูงใจที่จะทำอันตรายระบบ ศัตรู คู่แข่ง มีความต้องการรู้ข้อมูลขององค์กร กรณีอื่น ๆ เช่น ผู้ก่อการร้าย ลูกค้า ภัยธรรมชาติ

เหตุการณ์ (Event) หมายถึง วิธีการที่ผู้โจมตีใช้ในการทำอันตรายต่อองค์กร เช่น การใช้บัญชีผู้ใช้ในทางที่ผิด หรือเกินกว่าที่ได้รับอนุญาต การแก้ไขข้อมูลที่มีความสำคัญทั้งที่ตั้งใจและไม่ตั้งใจ เจาะเข้าระบบโดยไม่ได้รับอนุญาต ทำลายระบบโดยไม่ตั้งใจ รบกวนการสื่อสารข้อมูล บุกรุกเข้าห้องควบคุมโดยไม่ได้รับอนุญาต Etc.

การบริหารความเสี่ยง (Risk Management) ตามกลไกของ ISO/IEC 27001 ประกอบด้วย 2 ส่วน คือ การประเมินความเสี่ยง (Risk Assessment) การรักษาความเสี่ยง (Risk Treatment)

การประเมินความเสี่ยง (Risk Assessment) ประเมินระดับของความเสี่ยงทั้งหมดที่มีต่อข้อมูลและทรัพย์สินต่าง ๆ ขององค์กร ความเสี่ยงที่เกินระดับที่ยอมรับได้ ต้องนำไปดำเนินการควบคุมและแก้ไข ผลการประเมินแสดงได้ทั้งในรูป Quantitative เช่น จำนวนเงิน หรือในรูป Qualitative เช่น ความเสียหายต่อชื่อเสียง โอกาสทางธุรกิจ เหล่านี้แสดงผลเป็น มาก ปานกลาง น้อย เป็นต้น ระดับของความเสี่ยง พิจารณาจาก ความน่าจะเป็น (Probability) และ ความรุนแรง (Severity)

การรักษาความเสี่ยง (Risk Treatment) ทางเลือกในการควบคุมและแก้ไขความเสี่ยง มี 4 ทาง การลดความเสี่ยง (Risk Reduction) : หาวิธีควบคุมแก้ไขความเสี่ยงให้ลดลงมาอยู่ในระดับที่ยอมรับได้ การยอมรับความเสี่ยง (Risk Acceptance) : ใช้ในกรณีที่พบว่าการควบคุมแก้ไขความเสี่ยง ไม่เหมาะสม ไม่สามารถทำได้ในทางปฏิบัติ หรือไม่คุ้มค่า การหลีกเลี่ยงความเสี่ยง (Risk Avoidance) : โดยการยกเลิกกระบวนการทำงาน หรือทรัพย์สินที่ก่อให้เกิดความเสี่ยง มักใช้วิธีนี้เมื่อใช้วิธีอื่นแล้วไม่คุ้ม การโอนย้ายความเสี่ยง (Risk Transfer) : โอนให้ผู้อื่นรับผิดชอบแทน เช่น บริษัทประกันภัย

มาตรการควบคุมและแก้ไขความเสี่ยง แบ่งออกเป็น 3 ประเภท มาตรการควบคุมทางด้านกายภาพ มาตรการควบคุมทางด้านเทคนิค มาตรการควบคุมทางด้านธุรการ

มาตรการควบคุมทางด้านกายภาพ เป็นการจัดให้มีสภาพแวดล้อมทางกายภาพที่เหมาะสม เช่น จัดให้มีระบบควบคุมการเข้า-ออกสถานที่ที่สำคัญ (Access Control) การจัดแบ่งพื้นที่สำคัญ เช่น แยก Data Center ออกจากพื้นที่ปฏิบัติงานปกติ การจัดระเบียบสาย Cable ต่าง ๆ ให้เรียบร้อย

มาตรการควบคุมทางด้านเทคนิค เป็นการใช้ Software หรือ Hardware มาช่วยควบคุมดูแลความปลอดภัย เช่น การเข้ารหัสข้อมูล (Encryption) การใช้ Antivirus Software การใช้ Firewall ควบคุม Traffic ของเครือข่าย การใช้ระบบตรวจจับและป้องกันการบุกรุก (IDS, IPS)

มาตรการควบคุมทางด้านธุรการ การจัดให้มี นโยบาย ระเบียบ วิธีการปฏิบัติงาน มีการฝึกอบรมที่เหมาะสมกับบุคลากรที่เกี่ยวข้อง รวมถึงบุคคลภายนอกที่ร่วมงาน

กระบวนการรักษาความปลอดภัยสารสนเทศ (Information Security Process) ควรใช้วิธีการเชิงรุกเพื่อบริหารความเสี่ยง การใช้วิธีเชิงรับอาจเกิดความเสียหายมากกว่า เนื่องจากไม่ได้เตรียมการล่วงหน้า ไม่ทราบถึงสิ่งที่อาจจะเกิดขึ้น ประกอบด้วย 5 ขั้นตอน คือ การประเมินความเสี่ยง (Risk Assessment) กำหนดนโยบาย (Policy) การติดตั้งระบบป้องกัน (Implementation) การฝึกอบรม (Training) การตรวจสอบ (Audit) 18

กระบวนการรักษาความปลอดภัยสารสนเทศ

1. การประเมินความเสี่ยง (Risk Assessment) เป็นขั้นตอนที่สำคัญในการวางแนวทางการป้องกันและรักษาความปลอดภัยให้กับองค์กร เพื่อประเมินว่า เราจะปกป้องอะไร ใคร หรือ อะไร ที่เป็นภัยคุกคาม จุดอ่อน หรือช่องโหว่ ความเสียหายที่เกิดขึ้นเมื่อถูกโจมตี มากน้อยเท่าใด องค์กรมีทรัพย์สินอะไร มูลค่าเท่าไร วิธีการป้องกันและแก้ไขช่องโหว่ หรือจุดอ่อนเป็นอย่างไร

การประเมินความเสี่ยง จุดมุ่งหมาย เพื่อประเมินค่าทรัพย์สินประเภทข้อมูล เพื่อประเมินความเสี่ยงภัยต่อความปลอดภัยขององค์กร เพื่อตรวจสอบและค้นหาจุดอ่อน ช่องโหว่ เพื่อแนะนำวิธีปฏิบัติต่อข้อมูลเพื่อลดความเสี่ยง เพื่อใช้เป็นข้อมูลในการวางรากฐานระบบรักษาความปลอดภัย สิ่งที่ได้จากการประเมิน คือ ข้อแนะนำเกี่ยวกับวิธีการป้องกันรักษาความปลอดภัยที่ดีที่สุด

ขั้นตอนการประเมินความเสี่ยง กำหนดขอบเขต เก็บรวบรวมข้อมูล วิเคราะห์นโยบายและระเบียบปฏิบัติ วิเคราะห์ภัยคุกคาม วิเคราะห์จุดอ่อนหรือช่องโหว่ ประเมินสถานการณ์

กำหนดขอบเขต เป็นขั้นตอนที่สำคัญที่สุด กำหนดว่าจะทำอะไร ไม่ทำอะไร อะไรที่จะปกป้อง สำคัญอย่างไร ปกป้องแค่ไหน ระบบ หรือ Application ใดที่ต้องถูกประเมิน

เก็บรวบรวมข้อมูล พิจารณาเก็บรวบรวม นโยบาย และระเบียบปฏิบัติ ที่ใช้อยู่ในปัจจุบัน โดยใช้วิธีการต่าง ๆ ตัวอย่างข้อมูลที่รวบรวม ประเภทและ Version ของ OS สถานที่ติดตั้งระบบ Service ที่ให้บริการ การสแกน Port ที่เปิด Etc. ศึกษาข้อมูลเกี่ยวกับจุดอ่อน หรือช่องโหว่ของระบบต่างๆ เพิ่มเติม

วิเคราะห์นโยบายและระเบียบปฏิบัติ ดูว่านโยบายและระเบียบปฏิบัติขององค์กรจัดอยู่ในระดับใดของมาตรฐาน (ISO17799:BS7799, ISO/IEC 27001 เป็นต้น) ส่วนใดที่ไม่ได้มาตรฐานต้องวิเคราะห์ว่าจำเป็นต้องทำให้เป็นไปตามมาตรฐานหรือไม่

วิเคราะห์ภัยคุกคาม (Threat Analysis) ระบุถึงภัยคุกคามที่อาจเกิดขึ้น ประเมินถึงระดับความรุนแรงนำมาจัดลำดับ เพื่อวางแนวทางในการบริหารจัดการ

ACM

วิเคราะห์จุดอ่อนหรือช่องโหว่ (Vulnerability Analysis) เพื่อเป็นการทดสอบสถานภาพขององค์กรว่าเสี่ยงต่อการถูกโจมตีหรือถูกทำลายแค่ไหน การทดสอบการรักษาความปลอดภัย ใช้เครื่องมือช่วย เช่น Nessus, GFI LANGuard, Retina, SAINT ซึ่งให้ข้อมูลได้พอสมควร แต่ต้องอาศัยความรู้ความชำนาญของผู้วิเคราะห์มาเสริม มีการทดสอบการเจาะระบบ จากทั้งภายในและภายนอกองค์กร นำผลที่ได้มาจัดระดับความเสี่ยง เพื่อจัดความสำคัญการป้องกันและแก้ไข

ระดับความรุนแรงของจุดอ่อนหรือช่องโหว่

การประเมินความเสี่ยงขององค์กร แบ่งออกเป็น 3 ระดับ การวิเคราะห์ความเสี่ยงในระดับระบบ (System-Level Vulnerability Assessment) การวิเคราะห์ความเสี่ยงในระดับเครือข่าย (Network-Level Risk Assessment) การวิเคราะห์ความเสี่ยงในระดับองค์กร (Organization-Wide Risk Assessment)

การประเมินความเสี่ยงขององค์กร การวิเคราะห์ความเสี่ยงในระดับระบบ (System-Level Vulnerability Assessment) : ประเมินหาจุดอ่อนของคอมพิวเตอร์แต่ละเครื่องในองค์กร และตรวจสอบว่าระบบสามารถแก้ไขให้เป็นไปตามนโยบายความปลอดภัยได้หรือไม่ การวิเคราะห์ความเสี่ยงในระดับเครือข่าย (Network-Level Risk Assessment) : ประเมินความเสี่ยงของระบบคอมพิวเตอร์และเครือข่ายขององค์กร รวมถึงระบบการจัดการข้อมูลขององค์กร

การประเมินความเสี่ยงขององค์กร การวิเคราะห์ความเสี่ยงในระดับองค์กร (Organization-Wide Risk Assessment) : ประเมินความเสี่ยงของทั้งองค์กรเพื่อระบุถึงภัยต่าง ๆ ทั้งในมุมของการปฏิบัติ และการจัดการข้อมูล

การประเมินความเสี่ยงขององค์กร เก็บรวบรวมข้อมูลจาก พนักงาน เอกสาร และสิ่งต่างๆ ที่เกิดขึ้นจริง ใช้วิธี วิเคราะห์จากเอกสาร สัมภาษณ์ สำรวจ สิ่งที่ควรตรวจสอบ ได้แก่ การสำรวจเครือข่าย การรักษาความปลอดภัยทางด้านกายภาพ นโยบายและระเบียบปฏิบัติ คำเตือนและข้อควรระวัง การตื่นตัว

การประเมินความเสี่ยงขององค์กร สิ่งที่ควรตรวจสอบ (ต่อ) ได้แก่ พนักงาน ปริมาณงาน ขวัญและกำลังใจ การปฏิบัติตามนโยบายและระเบียบปฏิบัติ ธุรกิจ

การสำรวจเครือข่าย ตรวจดูผังระบบเครือข่ายเพื่อเก็บรวบรวมข้อมูล ประเภทและจำนวนของระบบต่าง ๆ ที่ใช้ในเครือข่าย ระบบปฏิบัติการที่ใช้ Topology Link ที่เชื่อมต่ออินเทอร์เน็ต การใช้งานและการให้บริการอินเทอร์เน็ต Etc.

การสำรวจเครือข่าย สำรวจกลไกการรักษาความปลอดภัยระบบเครือข่าย การควบคุมการเข้าถึง กฎของ Firewall ระบบการพิสูจน์ตัวตนในการ Remote Access การเข้ารหัสข้อมูล การป้องกัน Virus Etc.

การรักษาความปลอดภัยทางด้านกายภาพ ตรวจสอบระบบควบคุมการเข้าออก พิจารณา ประเภทของระบบป้องกัน ใครเป็นผู้ที่สามารถเปิดประตูได้ นอกจาก Data Center แล้วยังมีจุดใดที่มีความสำคัญอีก การรักษาความปลอดภัยทางด้านกายภาพยังรวมถึง ระบบไฟฟ้า หลัก / สำรอง ระบบควบคุมสภาวะแวดล้อม ระบบป้องกันอัคคีภัย

นโยบายและระเบียบปฏิบัติ รวบรวมข้อมูล เช่น นโยบายการรักษาความปลอดภัย แผนฟื้นฟูหลังเกิดภัยอันตราย นโยบายการสำรองข้อมูล คู่มือการปฏิบัติงาน ผังองค์กร พิจารณาความสมเหตุผล ความเหมาะสม ความสมบูรณ์ และความทันสมัย

แผนการฟื้นฟู กำหนดขึ้นเพื่อใช้ในการกู้คืนระบบเมื่อเกิดภัยอันตราย องค์ประกอบหลัก คือ การสำรองระบบ (System Backup) และแผนกู้คืนระบบ (Recovery Plan) พิจารณา วิธีการสำรองข้อมูล ขั้นตอน อุปกรณ์ ช่วงเวลา ปัญหาที่เกิด พิจารณา Recovery Plan ขั้นตอน ผู้รับผิดชอบ การทดสอบและผลการทดสอบ

การตื่นตัว วัดระดับความตื่นตัวของพนักงานระดับปฏิบัติการ การปฏิบัติตามนโยบายและระเบียบปฏิบัติ วัดระดับความตื่นตัวของผู้ดูแลระบบ

พนักงาน การขาดความรู้ความชำนาญ หรือรู้มากเกินไป ทั้งในส่วนของ ผู้ดูแลระบบ ผู้ใช้งานระบบ ผู้ตรวจสอบระบบ

ปริมาณงาน เมื่อปริมาณงานมีมาก มักจะละเลยเรื่องความปลอดภัย เช่น ไม่มีเวลาตรวจสอบ Log File ไม่มีเวลาในการให้ความรู้ หรือการอบรมเรื่องความปลอดภัย มุ่งเน้นรายได้มากกว่าความปลอดภัย

ขวัญและกำลังใจ ผู้บริหารควรให้ความสำคัญกับความปลอดภัย ควรมีการสื่อสารระหว่างผู้บริหารกับพนักงานผู้ปฏิบัติ รับฟังปัญหาอุปสรรคต่าง ๆ

การปฏิบัติตามนโยบายและระเบียบปฏิบัติ ประเมินสิ่งที่เกิดขึ้นจริง เปรียบเทียบกับนโยบายการรักษาความปลอดภัยที่ได้วางไว้ ปฏิบัติตามหรือไม่ ? ปฏิบัติได้หรือไม่ ? เพราะอะไร ?

ธุรกิจ ประเมินความเสียหายกับธุรกิจขององค์กรหากเกิดถูกโจมตี หรือบุกรุก ทั้งในแง่ ตัวเงิน ชื่อเสียง ความน่าเชื่อถือ โอกาสทางธุรกิจ ประเมินว่าระบบใดหรือส่วนใดของเครือข่ายมีความสำคัญต่อองค์กรมากน้อยแค่ไหน

ผลการประเมิน ทำการวิเคราะห์เพื่อสรุปเป็นรายงานเกี่ยวกับ ภัยต่าง ๆ ความเสียหาย การป้องกัน เรียงลำดับอันตรายจากมากไปน้อย สุดท้าย ทำการพัฒนานโยบาย และแผนการรักษาความปลอดภัย ให้เหมาะสมและสอดคล้องกับความเป็นจริง

2. นโยบาย (Policy) ควรมีนโยบายเกี่ยวกับ นโยบายข้อมูล (Information Policy) : กำหนดว่าข้อมูลใดมีความสำคัญ ซึ่งต้องระบุถึง การจัดเก็บ การถ่ายโอน การทำลาย นโยบายการรักษาความปลอดภัย (Security Policy) : กำหนดเทคนิควิธีการป้องกันทางด้านคอมพิวเตอร์ นโยบายการใช้งาน (Usage Policy) : กำหนดการใช้งานอย่างถูกต้องและเหมาะสมสำหรับผู้ใช้แต่ละกลุ่ม นโยบายการสำรอง (Backup Policy) : กำหนดความจำเป็นในการสำรองระบบคอมพิวเตอร์

นโยบาย (Policy) ระเบียบปฏิบัติเกี่ยวกับการบริหารจัดการบัญชีผู้ใช้ (Account Management Procedure) : กำหนดขั้นตอนการ เพิ่ม ลบ แก้ไข บัญชีผู้ใช้ ระเบียบปฏิบัติเมื่อเกิดเหตุการณ์ (Incident Handling Procedure) : กำหนดจุดมุ่งหมายและขั้นตอนเกี่ยวกับการจัดการเหตุการณ์ต่างๆ ที่เกิดขึ้นกับข้อมูล แผนฟื้นฟูหลังภัยร้ายแรง (Disaster Recovery Plan) : กำหนดแผนฟื้นฟู หรือแผนกู้คืน หลังจากเกิดภัยอันตราย

นโยบาย ควรมีการจัดลำดับความสำคัญของนโยบาย ตามระดับของความเสี่ยง นโยบายที่ควรกำหนดก่อน คือ นโยบายข้อมูล เพื่อแสดงให้เห็นถึงความสำคัญของข้อมูลในองค์กร อาจพัฒนานโยบายหลาย ๆ อันพร้อมกันได้ หากใช้บุคลากรคนละกลุ่ม อาจเริ่มพัฒนาจากนโยบายเล็ก ๆ ก่อน กรณีที่มีนโยบายอยู่แล้วจะใช้วิธีการปรับปรุงนโยบายที่มีอยู่เดิม

3. การออกแบบและติดตั้ง ระบบรักษาความปลอดภัย ระบบรายงานการรักษาความปลอดภัย ระบบพิสูจน์ทราบตัวตน การรักษาความปลอดภัยในการใช้งานอินเทอร์เน็ต ระบบตรวจจับและป้องกันการบุกรุก การเข้ารหัสข้อมูล การรักษาความปลอดภัยด้านกายภาพ คณะทำงาน

ระบบรายงานการรักษาความปลอดภัย เป็นกลไกช่วยให้ผู้ดูแลระบบทราบถึงการปฏิบัติตามนโยบายของพนักงาน และติดตามสถานภาพเกี่ยวกับจุดอ่อน โดย เฝ้าระวังการใช้งานระบบ เช่น Monitor การใช้งานอินเทอร์เน็ต เก็บ Log การทำงานที่ฝ่าฝืน สแกนช่องโหว่ของระบบ โดยใช้เครื่องมือเพื่อจัดทำรายงานเพื่อหาทางแก้ไข ตรวจสอบเป็นประจำทุกระบบ รวมถึงติดตามข้อมูลข่าวสารจากแหล่งต่าง ๆ การปฏิบัติตามนโยบาย อาจใช้เครื่องมือแบบอัตโนมัติที่มีแพร่หลาย หรืออาจใช้แบบ Manual โดยดูจาก Log

ระบบพิสูจน์ทราบตัวตน (Authentication System) ใช้ตรวจสอบเพื่อเข้าใช้งาน ตรวจสอบการเข้าสถานที่ต้องห้าม อาจใช้ รหัสผ่าน Smart Card หรือ Biometrics

การรักษาความปลอดภัยในการใช้งานอินเทอร์เน็ต โดยปกติใช้ Firewall ร่วมกับ Virtual Private Network (VPN) ต้องมีการวางตำแหน่งที่ถูกต้องของอุปกรณ์ Firewall และอาจมีการรบกวนการทำงานของผู้ใช้ทั่วไป VPN ช่วยป้องกันความลับของข้อมูลด้วยการเข้ารหัส

ระบบตรวจจับและป้องกันการบุกรุก Intrusion Detection System (IDS) ช่วยตรวจจับการบุกรุกเครือข่าย ตรวจสอบการพยายามเข้าบริเวณต้องห้าม หรือเข้ามาโดยผิดปกติ

การเข้ารหัสข้อมูล ใช้ปกป้องความลับ มีสิ่งที่ต้องพิจาณา คือ Algorithms การเลือกใช้อันใดขึ้นกับวัตถุประสงค์ในการใช้งาน นอกจากนั้น ควรเลือกอันที่ผ่านการทดสอบและเป็นที่ยอมรับในเรื่องประสิทธิภาพ การบริหารคีย์ (Key Management) การเข้ารหัสแบบ Point-to-Point โดยปกติจะใช้วิธี Private Key Encryption และจะต้องมีการอัพเดต Key เป็นประจำ ส่วน Public Key Encryption จะมีความยุ่งยากในการแจกจ่าย Public Key และ Digital Certificate

การรักษาความปลอดภัยด้านกายภาพ Close-Circuit Television (CCTV) กุญแจ อุปกรณ์แทนกุญแจ เช่น Key Card, Biometrics ระเบียบปฏิบัติ เช่น ติดบัตรประจำตัว อุปกรณ์สำรองไฟ ระบบควบคุมเพลิงไหม้ ระบบควบคุมอุณหภูมิ

คณะทำงาน อบรมพนักงาน พนักงานต้องมีความชำนาญ สร้างสำนึกความรับผิดชอบ

4. การฝึกอบรม เป็นการแจ้งข้อมูลที่จำเป็นแก่บุคลากรขององค์กร อาจใช้วิธี ประชุม ประชาสัมพันธ์ผ่านสื่อ เช่น วารสาร ประกาศ e-mail บุคลากรที่ต้องได้รับการฝึกอบรม ได้แก่ พนักงาน ผู้ดูแลระบบ Developer ผู้บริหาร ฝ่ายรักษาความปลอดภัย

5. การตรวจสอบ (Audit) เป็นการตรวจสอบว่ามีการฝ่าฝืนนโยบายและระเบียบปฏิบัติหรือไม่ โดยตรวจสอบ การตรวจสอบการปฏิบัติตามนโยบาย การประเมินโครงการใหม่ การตรวจสอบการเจาะระบบ (Penetration Test)

การตรวจสอบการปฏิบัติตามนโยบาย Policy Adherence Audit ทำเพื่อตรวจสอบว่าองค์กรมีระดับความปลอดภัยตามที่คาดหวังหรือไม่ อาจใช้ผู้ตรวจสอบภายในหรือจากภายนอก ตรวจสอบทุกส่วนไม่เฉพาะแต่ระบบคอมพิวเตอร์ ตรวจสอบปีละครั้ง

การประเมินโครงการใหม่ ควรมีการตรวจสอบระบบใหม่ทุกครั้งก่อนที่จะมีการติดตั้งหรือพัฒนา

การตรวจสอบการเจาะระบบ (Penetration Test) เพื่อตรวจสอบหาจุดอ่อนหรือช่องโหว่ มักทดสอบกับระบบที่ความเสี่ยงสูง ควรมีการวางแผนอย่างละเอียดรอบคอบ และแจ้งล่วงหน้าก่อนทดสอบ ทดสอบทั้งในเชิง กายภาพ ระบบ และ Social Engineering