การจัดหาหรือจัดให้มีการพัฒนา และการบํารุงรักษาระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย.

Slides:



Advertisements
งานนำเสนอที่คล้ายกัน
วงจรพัฒนาระบบ (System Development Life Cycle)
Advertisements

การเลือกใช้ซอฟท์แวร์ในงาน สารสนเทศ และแนวโน้มของ การพัฒนาซอฟท์แวร์ใน อนาคต การออกแบบและพัฒนา ซอฟท์แวร์ บทที่ 10.
ซอฟต์แวร์พัฒนาระบบฐานข้อมูล บทที่ 9 การเลือกใช้ซอฟท์แวร์ในงานสารสนเทศ และแนวโน้มของการพัฒนาซอฟท์แวร์ในอนาคต ปริญญา น้อยดอนไพร สาขาวิชาวิทยาการคอมพิวเตอร์
เนื้อหา The Multi-faceted Working การนำ Software ในงานต่าง ๆ
Chapter 1 ระบบฐานข้อมูล (Database System)
Chapter 2 Software Process.
MIS: Pichai Takkabutr EAU การเติบโตของ ICT ส่งผลกระทบต่อ Organizational SECTORS 3 Sectors World Economy :- Real Sectors :- Hard Goods VS. Upstream.
Software Testing  - ช่วยกำจัด และลดข้อบกพร่องที่จะก่อให้เกิดปัญหาลงให้มากที่สุดที่จำทำได้ (ตามเวลาที่มี) - ช่วยลดความเสี่ยง เพิ่มความมั่นใจ และน่าเชื่อถือ.
Seminar in Information Knowledge and Technology Management ดร. ปรัชญนันท์ นิลสุข
Chapter 1 Introduction to Software Engineering – Software Engineering Chaichan Kusoljittakorn 1.
ACCESS Control.
Virtual Learning Environment
Business System Analysis and Design (BC401)
BC424 Information Technology 1 บทที่ 7 การพัฒนาระบบ สารสนเทศ (Information System Development)
1 คต ๔๔๑ สรุปการจัดการ โครงการซอฟต์แวร์ คต ๔๔๑ สรุปการจัดการ โครงการซอฟต์แวร์ Royal Thai Air Force Academy : RTAFA Royal Thai Air Force Academy : RTAFA.
อาจารย์ วิทูร ธรรมธัชอารี. เนื้อหาในการเรียน  เครื่องมือในการออกแบบและพัฒนาระบบ บัญชีด้วยคอมพิวเตอร์  ความรู้เบื้องต้นเกี่ยวกับฐานข้อมูล  การวางระบบบัญชีด้วยคอมพิวเตอร์
กำหนดการเปิดใช้ ระบบทะเบียนและประมวลผล การศึกษา และระบบประเมินการศึกษา สถาบัน พระบรมราชชนก.
ลักษณะงานของวิศวกร ซอฟต์แวร์ ● วิเคราะห์และจัดทำความ ต้องการซอฟต์แวร์ ● ออกแบบซอฟต์แวร์ ● พัฒนาซอฟต์แวร์ ● ทดสอบซอฟต์แวร์ ● บำรุงรักษาซอฟต์แวร์ ● จัดการองค์ประกอบ.
บทที่ 1 ความรู้เบื้องต้นเกี่ยวกับระบบและการวิเคราะห์ระบบ
บทที่ 2 ความรู้เบื้องต้นเกี่ยวกับเทคโนโลยีสารสนเทศ และระบบสารสนเทศ
สำนักงานอัตโนมัติ (Office Automation)
Information Systems Development
การจัดองค์กรและกำหนดงานในภาวะฉุกเฉิน
Crowded Cloud e-services: Trust and Security
TCP/IP Protocol นำเสนอโดย นส.จารุณี จีนชาวนา
Database Planning, Design, and Administration
Human resources management
Thai Quality Software (TQS)
ระบบจำแนกตำแหน่งและค่าตอบแทนใหม่
บทที่ 13 กลยุทธ์การทดสอบซอฟต์แวร์ (TESTING STRATEGIES)
นำเสนอโดยนางสาวีระวรรณ แซ่โง้ว และนายพรพิทักษ์ ศรีจันทร์
บทที่ 5 แบบจำลองกระบวนการ
Road to the Future - Future is Now
2 การพัฒนาระบบสารสนเทศ (Information System Development)
การปฐมนิเทศนักศึกษาชั้นปีที่ ๔ และสูงกว่า
Information System Development
การสร้างเว็บไซด์อีคอมเมิร์ซ
นำเสนอโดยนายอนุสรณ์ โชติชื่น และนายสมศักดิ์ พัดพรม
บทที่ 10 การนำระบบไปใช้/การบำรุงรักษาระบบ
การบริหารความปลอดภัยสารสนเทศ
บทที่ 6 วิศวกรรมระบบ (System Engineering)
ระบบสารสนเทศ (Information System)
Software Evolution แบบจำลองกระบวนการพัฒนา/ผลิตซอฟต์แวร์ (Process Model) แบบจำลองใช้สำหรับชี้นำถึงกิจกรรมหลัก (key Activities) ในการพัฒนาซอฟต์แวร์ ด้วยการกำหนดรายละเอียดหรือข้อบัญญัติไว้ในแต่ละกิจกรรมในแต่ละขั้นตอนที่มีลำดับขั้นตอนการพัฒนาที่ชัดเจน.
IT Project Management 05 IT Quality Management.
บรรยายภาษาไทยโดย ผศ.วิชัย บุญเจือ
(ร่าง) พระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ....
ระดับความเข้มแข็งและขีดความสามารถขององค์การ
แนวทางขับเคลื่อนการดำเนินงาน 4 ศูนย์เรียนรู้
การจัดการระบบฐานข้อมูล
บทที่ 9 การออกแบบระบบ และการออกแบบยูสเซอร์อินเตอร์เฟช
การประกวดสิ่งประดิษฐ์ ของคนรุ่นใหม่
Chapter 9 กฎหมายพาณิชย์ธุรกรรมทางอิเล็กทรอนิกส Edit
Development Strategies
การพัฒนาระบบสารสนเทศ
การออกแบบบทเรียนคอมพิวเตอร์
มิติทางสังคมและจริยธรรมสำหรับนักเทคโนโลยีสารสนเทศ
การพัฒนาและติดตั้งระบบ
การจัดการความปลอดภัยระบบสารสนเทศ (Information Security Management System : ISMS) ด้วย เกณฑ์มาตรฐานการรักษาความมั่นคงปลอดภัย ISO/IEC และ ISO/IEC
Network Security : Introduction
ใบความรู้ที่ 2 เรื่อง ความหมายและประเภทของโครงงานคอมพิวเตอร์
วิชา วิศวกรรมซอฟต์แวร์ (Software Engineering)
การพัฒนาระบบสารสนเทศ (Information System Development)
ประกาศสำนักงานคณะกรรมการอาหารและยา เรื่อง หน่วยงานเอกชนที่ทำการตรวจวิเคราะห์วัตถุอันตรายเพื่อการขึ้นทะเบียน พ.ศ ประกาศในราชกิจจานุเบกษาวันที่
อาจารย์อภิพงศ์ ปิงยศ บทที่ 2 : มาตรฐานการรักษาความปลอดภัยข้อมูล สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์ ปิงยศ
บทที่ 3 กระบวนการผลิตซอฟต์แวร์ (Software Process)
[ บทที่ 3 ] ระบบสารสนเทศ.
สิ่งสนับสนุน (ห้องต่าง ๆ เครื่องมืออุปกรณ์ สิ่งอำนวยความสะดวก)
กลยุทธ์การทดสอบซอฟต์แวร์ วิศวกรรมซอฟต์แวร์ (Software Engineering)
Introduction to Structured System Analysis and Design
ระบบสารสนเทศทางธุรกิจ
ใบสำเนางานนำเสนอ:

การจัดหาหรือจัดให้มีการพัฒนา และการบํารุงรักษาระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. ๒๕๕๕ ข้อที่ ๘

มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับพื้นฐาน ๘.๑ ในการจัดทําข้อกําหนดขั้นต่ําของระบบสารสนเทศใหม่ หรือการปรับปรุงระบบสารสนเทศเดิม ให้มี การระบุข้อกําหนดด้านการควบคุมความมั่นคงปลอดภัยด้านสารสนเทศไว้ด้วย ๘.๒ ให้ดูแล ควบคุม ติดตามตรวจสอบการทํางานในการจ้างช่วงพัฒนาซอฟต์แวร์

มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับกลาง (๖ ข้อ ) ๘.๑ ให้มีการตรวจสอบ (Validate) ข้อมูลใด ๆ ที่จะรับเข้าสู่แอพพลิเคชั่นก่อนเสมอ เพื่อให้มั่นใจได้ว่า ข้อมูลมีความถูกต้องและมีรูปแบบเหมาะสม ๘.๒ ให้มีการตรวจสอบ (Validate) ข้อมูลใด ๆ อันเป็นผลจากการประมวลผลของแอพพลิเคชั่น เพื่อให้ มั่นใจได้ว่า ข้อมูลที่ได้จากการประมวลผลถูกต้องเหมาะสม

มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับกลาง (๖ ข้อ ) ๘.๓ จัดให้มีแนวทางการบริหารจัดการกุญแจ (Key) เพื่อรองรับการใช้งานเทคนิคที่เกี่ยวข้องกับการ เข้ารหัสลับของหน่วยงาน ๘.๔ ให้เลือกชุดข้อมูลสารสนเทศที่จะนําไปใช้เพื่อการทดสอบในระบบสารสนเทศอย่างระมัดระวัง รวมทั้ง มี แนวทางควบคุมและป้องกันข้อมูลรั่วไหล

มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับกลาง (๖ ข้อ ) ๘.๕ ให้มีการจํากัดการเข้าถึงซอร์สโค้ด (Source code) ของโปรแกรม ๘.๖ หากมีการเปลี่ยนแปลงใด ๆ ในระบบปฏิบัติการคอมพิวเตอร์ ให้มีการตรวจสอบทบทวนการทํางาน ของโปรแกรมที่มีความสําคัญ และทดสอบการใช้งานเพื่อให้มั่นใจว่าผลของการเปลี่ยนแปลงดังกล่าว จะไม่ ส่งผล กระทบใด ๆ ต่อความมั่นคงปลอดภัยของระบบสารสนเทศและการให้บริการของหน่วยงาน

มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับเคร่งครัด (๘ ข้อ ) การรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับเคร่งครัด ให้ปฏิบัติ ตามมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยใน ระดับพื้นฐานและ ระดับกลาง และต้องปฏิบัติเพิ่มเติม ระดับพื้นฐาน ๒ ข้อ + ระดับกลาง ๖ ข้อ + ระดับเคร่งครัด ๘ ข้อ รวมเป็น ๑๖ ข้อ

มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับเคร่งครัด (๘ ข้อ ) ๖.๑ ให้มีการตรวจสอบ (Validate) การทํางานของแอพพลิเคชั่นเพื่อตรวจหาข้อผิดพลาดของข้อมูลที่ อาจ เกิดจากการทํางานหรือการประมวลผลที่ผิดพลาด ๖.๒ ให้มีข้อกําหนดขั้นต่ําสําหรับการรักษาความถูกต้องแท้จริง (Authenticity) และความถูกต้อง ครบถ้วน (Integrity) ของข้อมูลในแอพพลิเคชั่น รวมทั้งมีการระบุและปฏิบัติตามวิธีการป้องกันที่ เหมาะสม ๖.๓ จัดให้มีนโยบายในการใช้งานเทคนิคที่เกี่ยวข้องกับการเข้ารหัสลับ

มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับเคร่งครัด (๘ ข้อ ) ๖.๔ กําหนดให้มีขั้นตอนการปฏิบัติงานเพื่อควบคุมการติดตั้งซอฟต์แวร์บนระบบสารสนเทศที่ให้บริการ ๖.๕ ให้มีการควบคุมการเปลี่ยนแปลงต่าง ๆ ในการพัฒนาระบบสารสนเทศ โดยมีขั้นตอนการควบคุมที่ เป็น ทางการ ๖.๗ ให้จํากัดการเปลี่ยนแปลงใด ๆ ต่อซอฟต์แวร์ที่ใช้งาน (Software package) โดยให้ เปลี่ยนแปลง เฉพาะเท่าที่จําเป็น และควบคุมทุก ๆ การเปลี่ยนแปลงอย่างเข้มงวด ๖.๘ มีมาตรการป้องกันเพื่อลดโอกาสที่เกิดการรั่วไหลของข้อมูลสารสนเทศ

มาตรฐาน ISO/IEC 27001 : 2013 ข้อที่ 10 มาตรฐาน ISO/IEC 27001 : 2013 ข้อที่ 10. การจัดหา การพัฒนา และการบำรุงรักษาระบบ (System acquisition,development and maintenance) ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. ๒๕๕๕ ข้อ 8 การจัดหาหรือจัดให้มีการพัฒนา และการบํารุงรักษาระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ

มาตรฐาน ISO/IEC 27001 : 2013 ข้อกำหนดหลักที่ต้องปฏิบัติตามในการ ขอการรับรองตามมาตรฐาน ISO/IEC 27001 : 2013 ข้อที่ 10 การจัดหา การพัฒนา และการ บำรุงรักษาระบบ (System acquisition, development and maintenance) ประเด็นสำคัญ: ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Manangement System, ISMS)

ข้อที่ 10. การจัดหา การพัฒนา และการบำรุงรักษาระบบ (System acquisition,development and maintenance) 10.1 ความต้องการด้านความมั่นคง ปลอดภัยของระบบ (Security requirements of information systems) วัตถุประสงค์ : เพื่อให้ความมั่นคงปลอดภัยสารสนเทศเป็นองค์ประกอบสำคัญหนึ่งของระบบตลอดวงจรชีวิตของการพัฒนาระบบ ซึ่งรวมถึงความต้องการด้านระบบที่มีการให้บริการผ่านเครือข่ายสาธารณะด้วย

ข้อที่ 10. การจัดหา การพัฒนา และการบำรุงรักษาระบบ (System acquisition,development and maintenance) 10.2 ความมั่นคงปลอดภัยสำหรับ กระบวนการพัฒนาและสนับสนุน (Security in development and support processes) วัตถุประสงค์ : เพื่อให้ความมั่นคงปลอดภัยสารสนเทศมีการออกแบบและดำเนินการตลอดวงจรชีวิตของการพัฒนาระบบ

10.3 ข้อมูลสำหรับการทดสอบ(Test Data) ข้อที่ 10. การจัดหา การพัฒนา และการบำรุงรักษาระบบ (System acquisition,development and maintenance) 10.3 ข้อมูลสำหรับการทดสอบ(Test Data) วัตถุประสงค์ : เพื่อให้มีการป้องกันข้อมูลที่นำมาใช้ในการทดสอบ

10.1 ความต้องการด้านความมั่นคงปลอดภัยของระบบ (Security requirements of information systems) 10.1.1 การวิเคราะห์และการกำหนด ความต้องการด้านความมั่นคงปลอดภัย สารสนเทศ (information security requirements analysis and specification) ต้องมีการรวมเข้ากับความต้องการสำหรับ ระบบใหม่หรือการปรับปรุงระบบที่มีอยู่แล้ว

10.1 ความต้องการด้านความมั่นคงปลอดภัยของระบบ (Security requirements of information systems) 10.1.2 ความมั่นคงปลอดภัยของบริการ สารสนเทศบนเครือข่ายสาธารณะ (Security application services on public networks) ต้องได้รับการป้องกันจากการฉ้อโกง การ โต้เถียง และการเปิดเผยและการ เปลี่ยนแปลงสารสนเทศโดยไม่ได้รับอนุญาต

10.1 ความต้องการด้านความมั่นคงปลอดภัยของระบบ (Security requirements of information systems) 10.1.3 การป้องกันธุรกรรมของบริการ สารสนเทศ (Protecting application services transactions) ต้องได้รับการป้องกันจากการรับส่งข้อมูลที่ ไม่สมบูรณ์ การส่งข้อมูลผิดเส้นทาง การ เปิดเผยข้อมูลและการเปลี่ยนแปลงข้อความ การส่งข้อมูลซ้ำโดยไม่ได้รับอนุญาต

10.2 ความมั่นคงปลอดภัยสำหรับกระบวนการพัฒนาและสนับสนุน (Security in development and support processes) 10.2.1 นโยบายการพัฒนาระบบให้มีความมั่นคง ปลอดภัย (Security development policy) 10.2.2 ขั้นตอนปฏิบัติสำหรับควบคุมการ เปลี่ยนแปลงระบบ (System Change control procedures) 10.2.3 การทบทวนทางเทคนิคต่อระบบ หลังการ เปลี่ยนแปลงโครงสร้างพื้นฐานระบบ (Technical review of applications after operating platform changes ต้องได้รับการกำหนด ควบคุมการปฏิบัติ ตาม ทดสอบและทบทวน ตามที่กำหนด เพื่อให้มั่นใจว่ามีความมั่นคงปลอดภัยต่อ ระบบและองค์การ

10.2 ความมั่นคงปลอดภัยสำหรับกระบวนการพัฒนาและสนับสนุน (Security in development and support processes) 10.2.4 การจำกัดการเปลี่ยนแปลงซอฟต์แวร์สำเร็จรูป (Restrictions on changes to software packages) 10.2.5 หลักการวิศวกรรมระบบด้านความมั่นคง ปลอดภัย (Secure system engineering principles) 10.2.6 สภาพแวดล้อมการพัฒนาระบบที่มีความ มั่นคงปลอดภัย (Secure development environment) ต้องได้รับการกำหนดเป็นลายลักษณ์อักษรและ ควบคุมการปฏิบัติอย่างรัดกุม จำกัดการ เปลี่ยนแปลงเท่าที่จำเป็น ปรับปรุงอย่างต่อเนื่อง เพื่อให้มั่นใจว่ามีความมั่นคงปลอดภัยต่อระบบ และองค์การ

10.2 ความมั่นคงปลอดภัยสำหรับกระบวนการพัฒนาและสนับสนุน (Security in development and support processes) 10.2.7 การจ้างหน่วยงานภายนอกพัฒนาระบบ (Outsourced development) 10.2.8 การทดสอบด้านความมั่นคงปลอดภัยของ ระบบ (System secure testing) 10.2.9 การทดสอบเพื่อรองรับระบบ(System acceptance testing) ต้องมีการกำกับดูแล เฝ้าระวัง และติดตามกิจกรรม การพัฒนาระบบอย่างต่อเนื่อง มีการทดสอบ คุณสมบัติของระบบในระหว่างที่ระบบอยู่ในช่วง พัฒนา ต้องมีแผนการทดสอบและเกณฑ์ที่เกี่ยวข้อง เพื่อรับรองระบบทั้งที่ปรับปรุงและพัฒนาใหม่ เพื่อให้ มั่นใจว่ามีความมั่นคงปลอดภัยต่อระบบและองค์การ

10.3 ข้อมูลสำหรับการทดสอบ(Test Data) 10.3.1 การป้องกันข้อมูลสำหรับการ ทดสอบ (Protection of test data) วัตถุประสงค์ : เพื่อให้มีการป้องกันข้อมูลที่นำมาใช้ในการทดสอบ ต้องมีการคัดเลือกอย่างระมัดระวัง มีการป้องกันและควบคุมการนำมาใช้งาน