8311301 : information security (ความมั่นคงปลอดภัยของสารสนเทศ) Department of Informatics, Phuket Rajabhat University. THAILAND

บทที่ 4 มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับสารสนเทศ บทที่ 4 มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับสารสนเทศ Department of Informatics, Phuket Rajabhat University. THAILAND

มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับสารสนเทศ...สำคัญอย่างไร เป็นวิธีปฎิบัติที่ดีที่สุด (Best Practices) ได้ระบบ Security ที่มีประสิทธิภาพและได้ผล ยกระดับความสามารถของบุคลากรและองค์กร ส่งเสริมให้มีการทำงานร่วมกันแบบบูรณาการ สามารถกำหนดระดับความมั่นคงปลอดภัยที่ยอมรับได้

มาตรฐานความมั่นคงปลอดภัยสำหรับสารสนเทศของประเทศไทย คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์เป็นผู้กำหนดมาตรฐาน ศึกษาข้อมูลเพิ่มเติมได้ที่เว็บไซค์ www.etcommission.go.th

ภาพรวมของมาตรฐานความมั่นคงปลอดภัยสำหรับสารสนเทศของประเทศไทย 11 Security Domains 39 Control Objectives 133 Controls

มาตรฐานความมั่นคงปลอดภัยสำหรับสารสนเทศของประเทศไทย 1. Security Policy ต้องเป็นลายลักษณ์อักษร ได้รับการอนุมัติจากผู้บริหารสูงสุดขององค์กร ต้องเผยแพร่ให้พนักงานทุกคนและหน่วยงานภายนอกที่เกี่ยวข้องได้รับทราบ ต้องมีการทบทวนตามระยะเวลาที่กำหนดไว้

มาตรฐานความมั่นคงปลอดภัยสำหรับสารสนเทศของประเทศไทย 2. Organization of Information Security มีการตั้งหน่วยงานเพื่อทำหน้าที่ประสานงานและดำเนินการเกี่ยวกับ Security มีกระบวนการในการอนุมัติการใช้งานอุปกรณ์ประมวลผลสารสนเทศ กำหนดให้มีการลงนามมิให้เปิดเผยความลับขององค์กร มี Contact List ในการประสานงานกับหน่วยงานภายนอก

มาตรฐานความมั่นคงปลอดภัยสำหรับสารสนเทศของประเทศไทย 3. Asset Management มีการจำแนกข้อมูลสารสนเทศตามระดับความสำคัญ มีการควบคุมการเข้าถึงข้อมูลสารสนเทศ มีการกำหนดหน้าที่และความรับชอบในการดูแลข้อมูลสารสนเทศขององค์กร

มาตรฐานความมั่นคงปลอดภัยสำหรับสารสนเทศของประเทศไทย 4. Human Resources Security มีการให้ความรู้เรื่อง Security แก่พนักงานในองค์กร มีข้อแนะนำในการปฏิบัติงานที่ถูกต้องเหมาะสมและปลอดภัยแก่พนักงานในองค์กร มีวิธีปฏิบัติเมื่อพบเห็นความผิดปกติเกิดขึ้นกับระบบงาน มีวิธีปฏิบัติเมื่อมีการจ้างพนักงานใหม่หรือเมื่อพนักงานเก่าลาออกไป

มาตรฐานความมั่นคงปลอดภัยสำหรับสารสนเทศของประเทศไทย 5. Physical and Environment Security มีการกำหนดพื้นที่หวงห้าม มีการควบคุมการเข้า-ออกพื้นที่หวงห้าม มีการควบคุมการนำสิ่งของเข้าออก

มาตรฐานความมั่นคงปลอดภัยสำหรับสารสนเทศของประเทศไทย 6. Communication and Operations Management มีกระบวนการในการสำรองข้อมูล มีการจัดเก็บและทำลายสื่อบันทึกข้อมูลสารสนเทศอย่างเหมาะสม

มาตรฐานความมั่นคงปลอดภัยสำหรับสารสนเทศของประเทศไทย 7. Access Control มีการควบคุมการเข้าถึงข้อมูลสารสนเทศ มีการป้องกันการเข้าถึงข้อมูลสารสนเทศโดยผู้ที่ไม่ได้รับอนุญาต ไม่ว่าจะเป็นการเข้าใช้ งานจากภายในองค์กร เข้างานผ่านระบบเครือข่าย หรือการ Remote

มาตรฐานความมั่นคงปลอดภัยสำหรับสารสนเทศของประเทศไทย 8. Information System Acquisition, Development and Maintenance มีการควบคุมการพัฒนาระบบงานคอมพิวเตอร์ (Hardware + Software + Network) ตั้งแต่การจัดซื้อจัดจ้าง การติดตั้ง การนำไปใช้งาน ไปจนถึงการ บำรุงรักษา

มาตรฐานความมั่นคงปลอดภัยสำหรับสารสนเทศของประเทศไทย 9. Information Security Incident Management มีการบริหารจัดการเหตุการณ์การละเมิดความมั่นคงปลอดภัย เพื่อประโยชน์ในการ แก้ไขและป้องกันไม่ให้เหตุการณ์ดังกล่าวเกิดขึ้นซ้ำอีกในอนาคต

มาตรฐานความมั่นคงปลอดภัยสำหรับสารสนเทศของประเทศไทย 10. Business Continuity Management มีการจัดทำแผนการดำเนินงานฉุกเฉิน เพื่อให้ธุรกิจสามารถดำเนินงานต่อไปได้อย่าง ต่อเนื่อง มีวิธีปฏิบัติในการรับมือกับเหตุการณ์ต่าง ๆ ที่อาจสร้างความเสียหายแก่ระบบ

มาตรฐานความมั่นคงปลอดภัยสำหรับสารสนเทศของประเทศไทย 11. Compliance มีวิธีการปฏิบัติงานที่ถูกต้องตามกฎหมาย เช่น ลิขสิทธิ์ซอฟต์แวร์ หรือกฎระเบียบอื่น ๆ ของภาครัฐ มีวิธีปฏิบัติตามมาตรฐานทางเทคนิคด้านความมั่นคงปลอดภัยขององค์กร โดยมีการ กำกับดูแลโดยผู้บังคับบัญชา มีการตรวจประเมินระบบสารสนเทศขององค์กร เพื่อป้องกันการหยุดชะงักในการ ดำเนินงาน เช่น การจำกัดการเข้าถึงเครื่องมือที่ใช้ในการเจาะระบบต่าง ๆ เป็นต้น

แนวคิดในการบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ

Questions 