การตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศ

Slides:



Advertisements
งานนำเสนอที่คล้ายกัน
ชุมชนของเรา ชุมชนอบอุ่น MANAGEMENT BY P.PROPERTY MANAGEMENT.CO,LTD
Advertisements

สถานการณ์และการเตรียมความพร้อม การป้องกันอุบัติเหตุทางถนน
( นางเอื้อมพร วงศ์สวัสดิ์กุล ) ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศ.
นโยบายการดำเนินงาน รัฐมนตรีว่าการกระทรวงสาธารณสุข ศ. นพ. รัชตะ รัชตะนาวิน และ รัฐมนตรีช่วยว่าการกระทรวงสาธารณสุข นพ. สมศักดิ์ ชุณหรัศมิ์
ยุทธศาสตร์ การจัดสรร งบประมาณ ยุทธศาสตร์การพัฒนาคนและสังคมที่มีคุณภาพ
การจัดการองค์ความรู้ ( KM )
ความก้าวหน้าในการจัดทำแผนการกระจายอำนาจ ให้แก่องค์กรปกครองส่วนท้องถิ่น และแผนปฏิบัติการกำหนดขั้นตอนการกระจายอำนาจ ให้แก่องค์กรปกครองส่วนท้องถิ่น (ฉบับที่
 เครือข่ายคอมพิวเตอร์  การที่ระบบเครือข่ายมีบทบาทและ ความสำคัญเพิ่มขึ้น เพราะไมโครคอมพิวเตอร์ได้รับ การใช้งานอย่างแพร่หลาย จึงเกิดความต้องการที่จะ.
สรุปประเด็นคุณภาพหน่วยงาน ในการเยี่ยมสำรวจภายใน
การดำเนินงานด้าน เทคโนโลยีสารสนเทศ และ คอมพิวเตอร์ ปีงบประมาณ 2551 กองบำรุงพันธุ์สัตว์
นางเอื้อมพร วงศ์ สวัสดิ์กุล ผู้อำนวยการศูนย์เทคโนโลยี สารสนเทศ.
กลุ่มบริหารงานทั่วไป
การประเมินผลโครงการ คปสอ.คลองใหญ่.
การรักษาความปลอดภัยข้อมูลขั้นพื้นฐาน
นโยบายด้านโรคติดต่อ ศ. คลินิกเกียรติคุณ นพ. ปิยะสกล สกลสัตยาทร รัฐมนตรีว่าการกระทรวงสาธารณสุข.
วิทยาเขตมีบริการอะไรให้บ้าง การบริการ บัญชีผู้ใช้และรหัสผ่าน สำหรับใช้งาน Internet สามารถ ติดต่อขอ บัญชีผู้ใช้และรหัสผ่าน (Password) ด้วย ตนเอง บัตรประจำตัวพนักงาน.
ผลการดำเนินงาน ปีงบ ๒๕๕๘ ( ร่าง ) แผนปฏิบัติการฯ ปี งบ ๒๕๕๙ กลุ่มงานบริหารทั่วไป สำนักงานสาธารณสุข จังหวัดตราด.
ท่าเรือแหลมฉบังก่อสร้างศูนย์ป้องกันและบรรเทาสาธารณภัยฯ หนังสือขอส่งงวด งาน.
ทิศทางการนำระบบบริหาร จัดการคลังข้อสอบ และการทดสอบมาตรฐานฝีมือ แรงงาน ด้วยระบบอิเล็กทรอนิกส์สู่หน่วย ปฏิบัติ โดย วรรณี โกมลกวิน ผู้อำนวยการกลุ่มงานกำหนด.
บทที่ 3 นักวิเคราะห์ระบบและการ วิเคราะห์ระบบ. 1. นักวิเคราะห์ระบบ (System Analysis) 1.1 ความหมายของนักวิเคราะห์ระบบ นักวิเคราะห์ระบบ (System Analysis:
ประเภทของ CRM. OPERATIONAL CRM เป็น CRM ที่ให้การสนับสนุนแก่กระบวนการธุรกิจ ที่เป็น “FRONT OFFICE” ต่างๆ อาทิ การขาย การตลาด และการ ให้บริการ SALES FORCE.
การจัดกิจกรรมการ เรียนรู้แบบการทำ โครงงานคอมพิวเตอร์ การจัดกิจกรรมการ เรียนรู้แบบการทำ โครงงานคอมพิวเตอร์ ครูชาญณรงค์ ปานเลิศ โรงเรียนพระบางวิทยา ครูชาญณรงค์
การจัดทำหลักสูตร พัฒนาหัวหน้างาน เพื่อรองรับประชาคม เศรษฐกิจอาเซียน.
ระเบียบคณะกรรมการพลังงานปรมาณูเพื่อสันติว่าด้วยวิธีการรักษาความมั่นคงปลอดภัยของวัสดุนิวเคลียร์และสถานประกอบการทางนิวเคลียร์พ.ศ วันที่ประกาศในราชกิจจานุเบกษา.
ชุมชนปลอดภัย.
การบริหารจัดการงบค่าเสื่อม ปี 2561
การจัดหาพัสดุในส่วนของรายจ่ายลงทุนในภาพรวม ข้อมูล ณ 31 กรกฎาคม 2560
ระบบมาตรฐานการพัฒนาชุมชน ผอ.กลุ่มงานมาตรฐานการพัฒนาชุมชน
หน่วยที่ 1 ข้อมูลทางการตลาด. สาระการเรียนรู้ 1. ความหมายของข้อมูลทางการตลาด 2. ความสำคัญของข้อมูลทางการตลาด 3. ประโยชน์ของข้อมูลทางการตลาด 4. ข้อจำกัดในการหาข้อมูลทาง.
การพัฒนาคุณภาพชีวิตในการทำงาน (Quality of Work Life)
ระบบ ISO 9001:2015 สำหรับธุรกิจบริหารจัดการเรือ
นำเสนอโดยนางสาวีระวรรณ แซ่โง้ว และนายพรพิทักษ์ ศรีจันทร์
การรักษาความปลอดภัยด้านกายภาพ สถานที่
การจัดหาพัสดุในส่วนของรายจ่ายลงทุนในภาพรวม ประจำเดือนมิถุนายน 2561
ระบบรักษาความปลอดภัย
Presentation การจัดการข้อร้องเรียนในธุรกิจบริการ Customer Complaint Management for Service.
การประเมินมาตรฐาน งานระบาดวิทยา ปี 2549
แนวทางการปฏิบัติงานตามข้อสั่งการ ของกระทรวงเกษตรและสหกรณ์
บทที่ 8 การควบคุมโครงการ
ข้อกำหนด/มาตรฐาน ด้านสุขาภิบาลอาหาร
การรักษาความปลอดภัยฐานข้อมูลและการสำรองข้อมูล
โดย นายทรงเกียรติ ตาตะยานนท์ ผู้อำนวยการส่วนจัดการงบประมาณ
กรณีศึกษา : นักเรียน ระดับ ปวช.2 สาขาวิชาการบัญชี
การติดตามผลการดำเนินงานตามแผนปฏิบัติราชการ ประจำปีงบประมาณ ๒๕๖๐
ณ ห้องประชุม พธ.ทร.(๒) วันที่ ๑๗ สิงหาคม ๒๕๕๘ เวลา ๐๙๓๐
กรมตรวจบัญชีสหกรณ์.
การบริหารงานประชาสัมพันธ์ของจังหวัด : การประชาสัมพันธ์และการจัดการสื่อ
หน่วยการเรียนรู้ที่ 6 ผู้ปฏิบัติ : ทีมสนับสนุน
KMA หมวด 6 การจัดการกระบวนการ.
วาระที่ ผลการประชุมเชิงปฏิบัติการ เรื่อง การเตรียมความพร้อมบุคลากร สำนักแผนงานและโครงการพิเศษเพื่อสนับสนุนการปฏิบัติงาน ของหน่วยงานในพื้นที่
ณ ห้องประชุมกำธร สุวรรณกิจ
Internet Technology and Security System
สาเหตุที่ต้องมีพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
ระบบบริหารข้อมูลอุปกรณ์คอมพิวเตอร์และเครือข่าย (ITAM)
ความคืบหน้าการจ้างลูกจ้างชั่วคราว เป็นพนักงานกระทรวงสาธารณสุข (พกส.)
ภัยคุกคาม ที่เกิดขึ้นในระบบสารสนเทศ
SMS News Distribute Service
บทที่ 4 หลักทฤษฎีและปฏิบัติการธุรกิจ ผศ.ญาลดา พรประเสริฐ
กฎกระทรวง ความปลอดภัยทางรังสี พ.ศ.2561
หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ ของผู้ให้บริการ
การวางแผนกำลังการผลิต
Supply Chain Management
การบริหารจัดการระบบสารสนเทศ (ระบบงานสารบรรณอิเล็กทรอนิกส์)
การจัดการความรู้ สำนักชลประทานที่ 15
ระบบสำนักงานอัตโนมัติ (Office Automation : OA)
การประเมินผลโครงการ บทที่ 9 ผศ.ญาลดา พรประเสริฐ yalada.
บทที่ 15 การติดตั้งระบบและการทบทวนระบบงาน.
แนวทางการดำเนินงานประเมินความเสี่ยงบุคลากรในโรงพยาบาล
MTRD 427 Radiation rotection - RSO
กระดาษทำการ (หลักการและภาคปฏิบัติ)
ใบสำเนางานนำเสนอ:

การตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศ หมวดที่ 3 การตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศ

สำรวจและจัดลำดับความสำคัญของความเสี่ยง แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับพื้นฐาน ระดับกลาง และระดับเคร่งครัด ISO 27001:2013 แก้อะไรในแนวปฏิบัติ ส่วนที่ ๑ การตรวจสอบและประเมินความเสี่ยง ตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศหรือสถานการณ์ด้านความมั่นคงปลอดภัยที่ไม่พึงประสงค์หรือไม่อาจคาดคิดได้ ที่อาจเกิดขึ้นกับระบบเทคโนโลยีสารสนเทศ ตรวจสอบโดยผู้บริหารเทคโนโลยีสารสนเทศระดับกอง (DIO) อย่างน้อยปีละ ๑ ครั้ง เพื่อให้หน่วยงานได้ทราบถึงระดับความเสี่ยงและระดับความมั่นคงปลอดภัยสารสนเทศ โดยมีแนวทางในตรวจสอบและประเมินความเสี่ยงที่ต้องคำนึงถึง ดังนี้ ข้อ ๑. จัดลำดับความสำคัญของความเสี่ยง สำรวจและจัดลำดับความสำคัญของความเสี่ยง ข้อ ๒. ค้นหาวิธีการดำเนินการเพื่อลดความเสี่ยง - ข้อ ๓. ศึกษาข้อดีข้อเสียของวิธีการดำเนินการเพื่อลดความเสี่ยง ข้อ ๔. สรุปผลข้อเสนอแนะและแนวทางแก้ไขเพื่อลดความเสี่ยงที่ตรวจสอบได้ ข้อ ๕. มีการตรวจสอบและประเมินความเสี่ยงและให้จัดทำรายงานพร้อมข้อเสนอแนะ

แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ แก้ไขเป็น ส่วนที่ 2 ความเสี่ยงที่อาจเป็นอันตรายต่อระบบเทคโนโลยีสารสนเทศ จากการติดตามตรวจสอบความเสี่ยงต่าง ๆ รวมถึงเหตุการณ์ด้านความมั่นคงปลอดภัยในระบบเทคโนโลยีสารสนเทศ สามารถแยกเป็นภัยต่าง ๆ ได้ ๕ ประเภท ดังนี้ ประเภทที่ ๑ ภัยที่เกิดจากเจ้าหน้าที่หรือบุคลากรของหน่วยงาน (Human Error) เช่น เจ้าหน้าที่หรือบุคลากรของหน่วยงานขาดความรู้ความเข้าใจในเครื่องมืออุปกรณ์คอมพิวเตอร์ ทั้งด้าน Hardware และ Software ซึ่งอาจทำให้ระบบเทคโนโลยีสารสนเทศเสียหาย ใช้งานไม่ได้ เกิดการชะงักงัน หรือหยุดทำงาน และส่งผลให้ ไม่สามารถใช้งานระบบเทคโนโลยีสารสนเทศได้อย่างเต็มประสิทธิภาพ ได้กำหนดแนวทางการดำเนินการเบื้องต้นเพื่อลดปัญหาความเสี่ยงที่จะเกิดขึ้นกับระบบเทคโนโลยีสารสนเทศโดย ประชาสัมพันธ์หลักสูตรอบรมหรือสื่อมัลติมีเดียการศึกษาด้วยตนเอง (e-learning) แก่เจ้าหน้าที่ของหน่วยงาน ให้มีความรู้ความเข้าใจในด้าน Hardware และ Software เบื้องต้น เพื่อลดความเสี่ยงด้าน Human error ให้น้อยที่สุด ทำให้เจ้าหน้าที่มีความรู้ความเข้าใจการใช้และบริหารจัดการเครื่องมืออุปกรณ์ทางด้านสารสนเทศ ทั้งทางด้าน Hardware และ Software ได้มีประสิทธิภาพยิ่งขึ้น ทำให้ความเสี่ยงที่เกิดจาก Human error ลดน้อยลง ประเภทที่ ๑ ภัยที่เกิดจากเจ้าหน้าที่หรือบุคลากรของหน่วยงาน (Human Error) เช่น เจ้าหน้าที่หรือบุคลากรของหน่วยงานขาดความรู้ความเข้าใจ และความตระหนัก ในการใช้เครื่องมืออุปกรณ์คอมพิวเตอร์ ทั้งด้าน Hardware และ Software ซึ่งอาจทำให้ระบบเทคโนโลยีสารสนเทศเสียหาย ใช้งานไม่ได้ เกิดการชะงักงัน หรือหยุดทำงาน และส่งผลให้ ไม่สามารถใช้งานระบบเทคโนโลยีสารสนเทศได้อย่างเต็มประสิทธิภาพ ได้กำหนดแนวทางการดำเนินการเบื้องต้นเพื่อลดปัญหาความเสี่ยงที่จะเกิดขึ้นกับระบบเทคโนโลยีสารสนเทศโดย ประชาสัมพันธ์หลักสูตรอบรมหรือสื่อมัลติมีเดียการศึกษาด้วยตนเอง (e-learning) แก่เจ้าหน้าที่ของหน่วยงาน ให้มีความรู้ความเข้าใจในด้าน กฎหมายคอมพิวเตอร์ Hardware และ Software เบื้องต้น เพื่อลดความเสี่ยงด้าน Human error ให้น้อยที่สุด ทำให้เจ้าหน้าที่มีความรู้ความเข้าใจการใช้และบริหารจัดการเครื่องมืออุปกรณ์ทางด้านสารสนเทศ ทั้งทางด้าน Hardware และ Software ได้มีประสิทธิภาพยิ่งขึ้น ทำให้ความเสี่ยงที่เกิดจาก Human error ลดน้อยลง

แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ แก้ไขเป็น ISO 27001:2013 แก้อะไรในแนวปฏิบัติ ประเภทที่ ๒ ภัยที่เกิดจาก Software ที่สร้างความเสียหายให้แก่เครื่องคอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์ประกอบด้วย ไวรัสคอมพิวเตอร์ (Computer Virus), หนอนอินเตอร์เน็ต (Internet Worm), ม้าโทรจัน (Trojan Horse), และข่าวไวรัสหลอกลวง (Hoax) พวก Software เหล่านี้อาจรบกวนการทำงาน และก่อให้เกิดความเสียหายให้แก่ระบบเทคโนโลยีสารสนเทศ ถึงขั้นทำให้ระบบเครือข่ายคอมพิวเตอร์ใช้งานไม่ได้ ได้กำหนดแนวทางปฏิบัติเพื่อเตรียมรับสถานการณ์ภัยจาก Software ดังนี้ (๑) ติดตั้ง Firewall ที่เครื่องคอมพิวเตอร์แม่ข่าย ทำหน้าที่ในการกำหนดสิทธิ์การเข้าใช้งานเครื่องคอมพิวเตอร์แม่ข่าย และป้องกันการบุกรุกจากภายนอก (๒) ติดตั้งซอฟต์แวร์ Anti virus ดักจับไวรัสที่เข้ามาในระบบเครือข่าย และสามารถตรวจสอบได้ว่ามีไวรัสชนิดใดเข้ามาทำความเสียหายกับระบบเครือข่ายคอมพิวเตอร์ ประเภทที่ ๒ ภัยที่เกิดจาก Software ที่สร้างความเสียหายให้แก่เครื่องคอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์ประกอบด้วย ไวรัสคอมพิวเตอร์ (Computer Virus), หนอนอินเตอร์เน็ต (Internet Worm), ม้าโทรจัน (Trojan Horse), ransomware และข่าวไวรัสหลอกลวง (Hoax) พวก Software เหล่านี้อาจรบกวนการทำงาน และก่อให้เกิดความเสียหายให้แก่ระบบเทคโนโลยีสารสนเทศ ถึงขั้นทำให้ระบบเครือข่ายคอมพิวเตอร์ใช้งานไม่ได้ ได้กำหนดแนวทางปฏิบัติเพื่อเตรียมรับสถานการณ์ภัยจาก Software ดังนี้

แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ แก้ไขเป็น ISO 27001:2013 แก้อะไรในแนวปฏิบัติ ประเภทที่ ๓ ภัยจากไฟไหม้ หรือ ระบบไฟฟ้า จัดเป็นภัยร้ายแรงที่ทำความเสียหายให้แก่ระบบเทคโนโลยีสารสนเทศ ได้กำหนดแนวทางปฏิบัติเพื่อเตรียมรับสถานการณ์ ดังนี้ (๑) ติดตั้งอุปกรณ์สำรองไฟฟ้า (UPS) เพื่อควบคุมการจ่ายกระแสไฟฟ้าให้กับระบบเครื่องแม่ข่าย (Server) ในกรณีเกิดกระแสไฟฟ้าขัดข้อง ระบบเครือข่ายคอมพิวเตอร์จะสามารถให้บริการได้ในระยะเวลาที่สามารถจัดเก็บและสำรองข้อมูลไว้อย่างปลอดภัย (๒) ควรติดตั้งอุปกรณ์ตรวจจับควัน กรณีที่เกิดเหตุการณ์กระแสไฟฟ้าขัดข้องหรือมีควันไฟเกิดขึ้นภายในห้องควบคุมระบบเครือข่าย อุปกรณ์ดังกล่าวจะส่งสัญญาณแจ้งเตือนที่หน่วยรักษาความปลอดภัยเพื่อทราบ และรีบเข้ามาระงับเหตุฉุกเฉินอย่างทันท่วงที ซึ่งมีการตรวจสอบความพร้อมของอุปกรณ์อย่างสม่ำเสมอ (๓) ควรติดตั้งอุปกรณ์ดับเพลิงชนิดก๊าซ ที่ห้องควบคุมระบบคอมพิวเตอร์เพื่อไว้ใช้ในกรณีเหตุฉุกเฉิน (ไฟไหม้) โดยมีการตรวจสอบความพร้อมของอุปกรณ์และทดลองใช้งานโดยสม่ำเสมอ (๓) ต้องติดตั้งอุปกรณ์ดับเพลิงชนิดก๊าซ ที่ห้องควบคุมระบบคอมพิวเตอร์เพื่อไว้ใช้ในกรณีเหตุฉุกเฉิน (ไฟไหม้) โดยมีการตรวจสอบความพร้อมของอุปกรณ์และทดลองใช้งานโดยสม่ำเสมอ

แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ แก้ไขเป็น ISO 27001:2013 แก้อะไรในแนวปฏิบัติ ประเภทที่ ๔ ภัยจากน้ำท่วม (อุทกภัย) ความเสี่ยงต่อความเสียหายจากน้ำท่วม จัดเป็นภัยร้ายแรงที่ทำความเสียหายให้แก่ระบบเทคโนโลยีสารสนเทศ ได้กำหนดแนวทางปฏิบัติเพื่อเตรียมรับสถานการณ์ ดังนี้ (๑) เฝ้าระวังภัยอันเกิดจากน้ำท่วมโดยติดตามจากพยากรณ์อากาศของกรมอุตุนิยมวิทยาตลอดเวลา (๒) ดำเนินการตัดระบบไฟฟ้าในห้องควบคุม โดยปิดเบรคเกอร์เครื่องปรับอากาศ เพื่อป้องกันเครื่องควบคุมเสียหาย และป้องกันภัยจากไฟฟ้า (๓) เจ้าหน้าที่ช่วยกันเคลื่อนย้ายเครื่องคอมพิวเตอร์แม่ข่าย และอุปกรณ์เครือข่ายไว้ในที่สูง (๔) กรณีน้ำลดลงเรียบร้อยแล้วให้ช่างไฟฟ้าตรวจสอบระบบไฟฟ้าในห้องควบคุมเครือข่ายว่า สามารถใช้งานได้ปกติหรือไม่ และเตรียมความพร้อมห้องควบคุมระบบเครือข่ายสำหรับติดตั้งเครื่องคอมพิวเตอร์ แม่ข่ายและอุปกรณ์เครือข่าย (๕) ทำการติดตั้งเครื่องคอมพิวเตอร์แม่ข่ายและอุปกรณ์เครือข่าย พร้อมทั้งทดสอบการใช้งานของเครื่องคอมพิวเตอร์แม่ข่ายแต่ละเครื่องว่าสามารถให้บริการได้ตามปกติหรือไม่ ตรวจสอบระบบ Network ว่า สามารถเชื่อมต่อและให้บริการกับเครื่องคอมพิวเตอร์ลูกข่ายได้หรือไม่ (๖) เมื่อตรวจสอบแล้วว่าเครื่องคอมพิวเตอร์แม่ข่ายและระบบเครือข่ายสามารถให้บริการข้อมูลได้เรียบร้อยแล้ว แจ้งให้หน่วยงานที่เกี่ยวข้องทราบ เพื่อเข้ามาใช้บริการได้ตามปกติ -

แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ แก้ไขเป็น ISO 27001:2013 แก้อะไรในแนวปฏิบัติ ประเภทที่ ๕ ภัยทางด้านการพัฒนา software และฐานข้อมูล ที่ไม่ตรงตามมาตรฐาน ใช้ระบบเทคโนโลยีที่ล้าสมัยทั้งด้าน Hardware และ software ส่งผลต่อความเสี่ยงในการถูกโจมตีจากผู้ไม่ประสงค์ดี ได้กำหนดแนวทางปฏิบัติเพื่อเตรียมรับสถานการณ์ ดังนี้ ๑. ให้จัดแผนทดแทนอุปกรณ์คอมพิวเตอร์ที่ล้าสมัย มีการใช้งานเกิน ๕ ปี ตามมติคณะรัฐมนตรีว่าด้วยการจัดหา (ใช้คำเดียวกับที่แก้ไขนโยบาย) ๒. จัดทำแผนการปรับปรุงระบบงานสารสนเทศที่ใช้เทคโนโลยีที่ล้าสมัย มีความเสี่ยงต่อการถูกโจมตีจากผู้ไม่ประสงค์ดี ๓. ให้ผู้ดูแลระบบติดตามข่าวสารการให้การสนับสนุนทางเทคนิคจากเจ้าของผลิตภัณฑ์ software ที่เกี่ยวข้อง และดำเนินการจัดหาทดแทนเมื่อมีความล้าสมัย เจ้าของผลิตภัณฑ์ประกาศไม่ให้การสนับสนุนทางด้านเทคนิค