ดาวน์โหลดงานนำเสนอ
งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ
1
การจัดการความปลอดภัยระบบสารสนเทศ (Information Security Management System : ISMS) ด้วย เกณฑ์มาตรฐานการรักษาความมั่นคงปลอดภัย ISO/IEC และ ISO/IEC 17799
2
การจัดการความปลอดภัยระบบสารสนเทศ (Information Security Management System : ISMS) ด้วย เกณฑ์มาตรฐานการรักษาความมั่นคงปลอดภัย ISO/IEC และ ISO/IEC 17799 ISO/IEC และ ISO/IEC เป็นกรอบ (เกณฑ์) มาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศที่ได้รับการยอมรับจากหลายประเทศและถูกนำมาประยุกต์เพื่อช่วยบริหารจัดการระบบสารสนเทศในองค์กรของประเทศต่างๆ มากขึ้น ความเป็นมา และพัฒนาการของมาตรฐานทั้งสองในภูมิภาคเอเชียแปซิฟิกและประเทศไทย ความแตกต่างระหว่างมาตรฐาน ISO/IEC และ ISO/IEC 17799 สรุปสาระสำคัญของมาตรฐานดังกล่าวฉบับภาษาไทย (เวอร์ชั่น 2.5) ปี 2550 ซึ่งเป็นฉบับปรังปรุงล่าสุดเพื่อเป็นคู่มือแนวทางสำหรับผู้ดูแลระบบและผู้เกี่ยวข้องในการบริหารจัดการด้านความมั่นคงปลอดภัยให้เกิดประสิทธิภาพมากยิ่งขึ้น
3
ก่อนจะมาเป็นมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799
มาตรฐาน ISO/IEC เป็นมาตรฐานหนึ่งที่เกี่ยวข้องกับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System: ISMS) ซึ่งพัฒนามาจากมาตรฐานในตระกูล ISO/IEC 27000 มาตรฐาน ISO/IEC 27001ได้ผ่านการปรับปรุงและนำออกเผยแพร่เมื่อเดือนตุลาคม ปี 2005 โดย International Organization for Standardization (ISO) และ International Electrotechnical Commission (IEC) มีชื่อเต็มคือ ISO/IEC 27001: Information technology -- Security techniques -- Information security management systems – Requirements
4
ก่อนจะมาเป็นมาตรฐาน ISO/IEC 27001 และ ISO/IEC มาตรฐาน ISO/IEC เกิดจากการรวบรวมเอามาตรฐานพื้นฐาน (Baseline) ที่มีชื่อ BS 7799 ซึ่งเป็นมาตรฐานที่องค์กรอุตสาหกรรมหลายองค์กรยึดถือร่วมกันเพื่อใช้เป็นมาตรฐานอุตสาหกรรม ปี 2000 องค์กร BSI ได้ผลักดันให้ BS 7799 ได้รับโหวตให้เป็นมาตรฐานสากล และประกาศสู่สาธารณะภายใต้ชื่อมาตรฐาน “ISO/IEC 17799” และคณะทำงานได้ปรับปรุงมาตรฐานดังกล่าวต่อไป ปี 2005 จึงได้ประกาศมาตรฐาน ISO/IEC ฉบับปรับปรุงล่าสุดสู่สาธารณะ ปัจจุบัน มาตรฐาน ISO/IEC ยังคงได้รับการปรับปรุงต่อเนื่องเพื่อให้มีความเหมาะสมกับสภาพแวดล้อมของธุรกิจ BSI (British Standards Institution) เป็นองค์กรดำเนินงานทางด้านมาตรฐานการบริหารและการจัดการ BSI ร่วมงานกับผู้เชี่ยวชาญในวงธุรกิจ องค์กรภาครัฐ สมาคมการค้า และกลุ่มผู้บริโภค ในการทำให้ได้มาซึ่งแนวทางปฏิบัติที่ดี
5
การประยุกต์มาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 ในภูมิภาคเอเชียแปซิฟิก
หลังจากประกาศมาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ ISO/IEC และ ISO/IEC อย่างเป็นทางการ หลายประเทศได้เริ่มนำมาตรฐานทั้งสองมาประยุกต์ในองค์กรทำให้เกิดการสร้างกลุ่มความร่วมมือทั้งในระดับโลกและระดับภูมิภาค ลักษณะการร่วมมือนี้ ได้แก่ การพัฒนาด้านเทคนิคร่วมกัน การให้ความเห็นต่อประเด็นของการรักษาความมั่นคงปลอดภัย การแบ่งปันความรู้และประสบการณ์ระหว่างกัน เป็นต้น ต่อมา มีการประชุมครั้งแรกในเดือนพฤศจิกายนปี 2004 ณ กรุงโตเกียว ประเทศญี่ปุ่น ภายใต้ชื่อ RAISS Forum หรือ Forum of Regional Asia Information Security Standards เพื่อให้กลุ่มภูมิภาคเอเชียแปซิฟิกได้เข้ามาร่วมรับทราบข่าวสาร และรับเอามาตรฐานไปปรับใช้ต่อไป ซึ่งในการประชุมครั้งนี้มีตัวแทนจากหลายประเทศเข้าร่วมประชุม อาทิ ออสเตรเลีย มาเลเซีย ไต้หวัน ญี่ปุ่น สิงคโปร์ รวมถึงประเทศไทย โดยมีศูนยประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ประเทศไทย(ThaiCERT) ซึ่งในขณะนั้นเป็นหน่วยงานหนึ่งภายใต้การดูแลของศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) ได้ส่งตัวแทนเข้าร่วมประชุมในเวทีดังกล่าวด้วย
6
พัฒนาการมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 ของประเทศไทย
ในเวทีความร่วมมือ RAISS ซึ่งมีตัวแทนจาก ThaiCERT เข้าร่วมการประชุม ได้นำเสนอ Paper ที่ได้นำมาตรฐาน ISO/IEC และ ISO/IEC เป็นแนวทางปฎิบัติงานของผู้ดูแลระบบและเครือข่าย กลุ่มผู้เข้าร่วมประชุมต่างให้ความเห็นกับ Paper นี้ว่าเป็นพัฒนาการที่สามารถนำไปใช้งานได้จริงและมีประเด็นที่ครอบคลุมมาตรฐานความปลอดภัยที่ค่อนข้างครบถ้วน ซึ่งภายหลังได้มีการพัฒนาและแปลร่างมาตรฐานฉบับภาษาไทยขึ้น และส่งมอบให้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์นำไปประกอบการพิจารณา และได้มีการปรับปรุงร่างมาตรฐานที่จัดทำขึ้น พร้อมทั้งประชาสัมพันธ์และรับฟังความคิดเห็นจากหน่วยงานที่เกี่ยวข้องและประชาชนอีกจำนวนหลายครั้ง จนมีความสมบูรณ์และเหมาะสม สำหรับมาตรฐานฉบับปรับปรุงล่าสุดคือภายใต้ชื่อ มาตรฐานการรักษาความมั่นคงปลอดภัย ในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ (เวอร์ชั่น 2.5) ประจำปี 2550
7
ความแตกต่างระหว่างมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799
ความแตกต่างระหว่างมาตรฐาน ISO/IEC 27001 และ ISO/IEC มาตรฐาน ISO/IEC และ ISO/IEC นี้เป็นมาตรฐานสากลที่เน้นด้านการรักษาความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กร และใช้เป็นมาตรฐานอ้างอิงเพื่อเป็นแนวทางในการเสริมสร้างความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กรอย่างแพร่หลาย ความแตกต่างระหว่างมาตรฐานทั้งสองอธิบายได้ดังนี้ มาตรฐาน ISO/IEC 27001 กล่าวถึงข้อกำหนดในการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัย (Information Security Management : ISMS) ให้กับองค์กร เพื่อให้องค์กรสามารถบริหารจัดการทางด้านความปลอดภัยได้อย่างเหมาะสมต่อการดำเนินธุรกิจขององค์กร มาตรฐานดังกล่าวมีหัวข้อที่เกี่ยวข้องได้แก่ 1) ขอบเขต (Scope) 2) ศัพท์เทคนิคและนิยาม (Terms and definitions) 3) โครงสร้างของมาตรฐาน (Structure of this standard) 4) การประเมินความเสี่ยงและการจัดการกับความเสี่ยง ลด/ เอาออก/ ยอมรับความเสี่ยง (Risk assessment and treatment) และรักษาทรัพย์สินสารสนเทศที่มีค่า นอกจากนี้ มาตรฐาน ISO/IEC ยังประกอบด้วยไปด้วยวงจรบริหารจัดการความมั่นคงปลอดภัยตามขั้นตอน Plan-Do-Check-Act (P-C-D-A)
8
มาตรฐาน ISO/IEC 27001 (ต่อ...) แสดงวงจรบริหารจัดการความมั่นคงปลอดภัยตามขั้นตอน Plan-Do-Check-Act (P-C-D-A)
9
แผนภาพแสดงวงจรการบริหารจัดการความมั่นคงปลอดภัยตามขั้นตอน
Plan-Do-Check-Act
10
มาตรฐาน ISO/IEC 17799 เป็นมาตรฐานที่กล่าวถึงเรื่องวิธีปฎิบัติที่จะนำไปสู่ระบบบริหารจัดการความมั่นคงปลอดภัยที่องค์กรได้จัดทำขึ้นตามข้อกำหนดในมาตรฐาน ISO/IEC 27001 รายละเอียดของมาตรฐานนี้จะบอกถึงวิธีปฏิบัติในการลดความเสี่ยงที่เกิดจากจุดอ่อนของระบบโดยแบ่งหัวข้อหลักที่เกี่ยวข้องกับระบบ และให้แนวทางว่าผู้จัดทำควรปฎิบัติอย่างไร ซึ่งผู้ใช้สามารถเพิ่มเติมมาตรการหรือใช้วิธีการที่มีความมั่นคงปลอดภัยเพียงพอและเหมาะสม ซึ่งหัวข้อสำคัญหรือ 11 โดเมนหลักในมาตรฐานดังกล่าว มีดังนี้ 1) นโยบายความมั่นคงปลอดภัยขององค์กร (Security policy) 2) โครงสร้างด้านความมั่นคงปลอดภัยสำหรับองค์กร (Organization of information security) 3) การบริหารจัดการทรัพย์สินขององค์กร (Asset management) 4) ความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร (Human resources security)
11
มาตรฐาน ISO/IEC 17799 (ต่อ...) 5) การสร้างความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม (Physical and environmental security) 6) การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศ (Communication and operations management) 7) การควบคุมการเข้าถึง (Access Control) 8) การจัดหา การพัฒนาและบำรุงรักษาระบบสารสนเทศ (Information systems acquisition, development and maintenance) 9) การบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยขององค์กร (Information security incident management) 10) การบริหารความต่อเนื่องในการดำเนินงานขององค์กร (Business continuity management) 11) การปฏิบัติตามข้อกำหนด (Compliance)
12
สรุปความแตกต่างของมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799
ความแตกต่างของมาตรฐาน ISO/IEC และมาตรฐาน ISO/IEC คือ มาตรฐาน ISO/IEC จะเน้นเรื่องข้อกำหนดในการจัดทำระบบ ISMS ให้กับองค์กรตามขั้นตอน Plan-Do-Check-Act และใช้แนวทางในการประเมินความเสี่ยงมาประกอบการพิจารณาเพื่อหาวิธีการหรือมาตรการที่เหมาะสม ส่วนมาตรฐาน ISO/IEC จะเน้นเรื่องวิธีปฎิบัติที่จะนำไปสู่ระบบ ISMS ที่องค์กรได้จัดทำขึ้น ซึ่งจะต้องเป็นไปตามมาตรฐาน ISO/IEC กำหนดไว้ด้วย
13
สาระสำคัญของมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 ฉบับประเทศไทย (เวอร์ชั่น 2.5) ประจำปี 2550
14
ส่วนที่ 1 กระบวนการการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ (อ้างอิงข้อกำหนดตามมาตรฐาน ISO/IEC 27001) มี 4 ข้อ ข้อ 1 ระบบบริหารจัดการความปลอดภัยสำหรับสารสนเทศ ประกอบด้วยข้อกำหนด 2 ประการคือ ข้อกำหนดทั่วไป และ ข้อกำหนดทางด้านการจัดทำเอกสาร ข้อกำหนดทั่วไป องค์กรจะต้องกำหนด ลงมือปฎิบัติ ดำเนินการ เฝ้าระวัง ทบทวน บำรุง รักษาและปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัยตามที่ได้กำหนดไว้เป็นลายลักษณ์อักษร ภายในกรอบกิจกรรมการดำเนินการทางธุรกิจต่างๆ รวมทั้งความเสี่ยงที่เกี่ยวข้อง แนวทางที่ใช้ในมาตรฐานฉบับนี้จะใช้กระบวนการ Plan-Do-Check-Act หรือ P-D-C-A มาประยุกต์ใช้
15
Plan คือการกำหนดนโยบาย และขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัยโดยพิจารณาถึงลักษณะของธุรกิจ องค์กร สถานที่ตั้ง ทรัพย์สิน และเทคโนโลยี พร้อมทั้งกำหนดวิธีการประเมินความเสี่ยงที่เป็นรูปธรรมขององค์กร วิเคราะห์และประเมินความเสี่ยง เลือกมาตรการด้านความปลอดภัยเพื่อจัดการกับความเสี่ยง ขอการอนุมัติเพื่อลงมือปฎิบัติสำหรับความเสี่ยงที่ยังลงเหลืออยู่ในระบบ ISMS และสุดท้ายคือ จัดทำเอกสาร SoA (Statement of Applicability) แสดงการใช้งานมาตรฐานตามที่แสดงไว้ในส่วนของมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางด้านอิเล็กทรอนิกส์ Do คือการลงมือปฎิบัติตามแผนการจัดการความเสี่ยง ซึ่งช่วยในการตรวจจับและรับมือกับเหตุการณ์ทางด้านความมั่นคงปลอดภัย พร้อมทั้งกำหนดวิธีการในการวัดความสัมฤทธิ์ผลของมาตรการที่เลือกมาใช้งาน
16
Check คือ การเฝ้าระวัง ตรวจสอบและทบทวนผลการดำเนินการตามระบบ ISMS อย่างสม่ำเสมอ วัดความสัมฤทธิ์ผลของมาตรการทางด้านความมั่นคงปลอดภัย ทบทวนผลการประเมินความเสี่ยงตามรอบระยะเวลาที่กำหนดไว้สำหรับความเสี่ยงที่เหลืออยู่และระดับความเสี่ยงที่ยอมรับได้ ดำเนินการตรวจสอบและทบทวนระบบบริหารจัดการความมั่นคงปลอดภัย ปรับปรุงแผนทางด้านความปลอดภัยโดยนำผลของการเฝ้าระวังและทบทวนกิจกรรมต่างๆ มาพิจารณาร่วมด้วย และบันทึกการดำเนินการซึ่งอาจมีผลกระทบต่อความสัมฤทธิ์ผลหรือประสิทธิภาพของระบบบริหารจัดการความมั่นคงปลอดภัย Act คือ บำรุงรักษาและปรับปรุงคุณภาพของระบบ ISMS รวมถึงการใช้มาตรการเชิงแก้ไข ป้องกัน และใช้บทเรียนจากประสบการณ์ทางด้านความมั่นคงปลอดภัยขององค์กรเองและองค์กรอื่น แจ้งการปรับปรุงและดำเนินการให้แก่ทุกหน่วยงานที่เกี่ยวข้อง และตรวจสอบว่าการปรับปรุงที่ทำไปแล้วนั้นบรรลุตามวัตถุประสงค์ที่กำหนดไว้หรือไม่
17
ข้อกำหนดทางด้านการจัดทำเอกสาร
เอกสารจำเป็นต้องจัดทำ หมายถึงถึง บันทึกแสดงการตัดสินใจของผู้บริหาร ได้แก่ นโยบายความมั่นคงปลอดภัย ขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัย วิธีการประเมินความเสี่ยง เป็นต้น การบริหารจัดการเอกสาร เอกสารตามข้อกำหนดของระบบบริหารจัดการความมั่นคงปลอดภัยจะต้องได้รับการป้องกันและควบคุม ขั้นตอนการปฎิบัติที่เกี่ยวข้องกับการจัดการเอกสาร ได้แก่ อนุมัติการใช้งานเอกสารก่อนที่จะเผยแพร่ ทบทวน ปรับปรุง และอนุมัติเอกสารอีกตามความจำเป็น ระบุการเปลี่ยนแปลงและสภานภาพของเอกสารปัจจุบัน การจัดการบันทึกข้อมูลหรือฟอร์มต่างๆ องค์กรจะต้องมีการกำหนด จัดทำและบำรุงรักษาบันทึกข้อมูลหรือฟอร์มต่างๆ เพื่อใช้เป็นหลักฐานแสดงความสอดคล้องกับข้อกำหนดและการดำเนินการของระบบบริหารจัดการความมั่นคงปลอดภัย
18
ข้อ 2 หน้าที่ความรับผิดชอบของผู้บริหาร
ผู้บริหารจะต้องแสดงถึงการให้ความสำคัญต่อการลงมือปฎิบัติการ ดำเนินการเฝ้าระวัง ทบทวน การบำรุงรักษาและการปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัย การสร้างความตระหนักและการเพิ่มขีดความสามารถเพื่อให้บุคลากรที่ได้รับมอบหมายหน้าที่ สามารถปฎิบัติงานได้ตามที่กำหนดในนโยบายความมั่นคงปลอดภัย ข้อ 3 การตรวจสอบระบบบริหารจัดการความมั่นคงปลอดภัย องค์กรควรตรวจสอบตามรอบระยะเวลาที่กำหนดไว้เพื่อดูว่า วัตถุประสงค์ มาตรการ กระบวนการ และขั้นตอนปฎิบัติของระบบบริหารจัดการความมั่นคงปลอดภัยมีความสอดคล้องกับข้อกำหนดในมาตรฐานฉบับนี้และกฎหมาย ระเบียบ ข้อบังคับต่างๆ หรือไม่ รวมทั้งจัดทำรายงานผลการตรวจสอบและบันทึกข้อมูลของการตรวจสอบนั้น ข้อ 4 การทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยโดยผู้บริหาร ผู้บริหารจะต้องทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยตามรอบระยะเวลาที่กำหนดไว้ (เช่นปีละ 1 ครั้ง) เพื่อให้มีการดำเนินการที่เหมาะสม พอเพียงและสัมฤทธิ์ผล การทบทวนจะต้องรวมถึงการปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัย ซึ่งลของการทบทวนจะต้องได้รับการบันทึกไว้อย่างเป็นลายลักษณ์อักษร
19
ส่วนที่ 2 มาตรการการจัดการด้านความมั่นคงปลอดภัยสำหรับสารสนเทศ (อ้างอิงมาตรฐาน ISO/IEC และศึกษารายละเอียดวิธีปฎิบัติทางเทคนิคจาก ISO/IEC 17799:2005) ประกอบด้วยข้อกำหนด 11 ข้อ ดังนี้ นโยบายความมั่นคงปลอดภัย (Security policy) มีผู้บริหารต้องจัดทำนโยบายความมั่นคงปลอดภัยเป็นลายลักษณ์อักษร เพื่อกำหนดทิศทางและให้การสนับสนุนการดำเนินการด้านความมั่นคงปลอดภัยสำหรับสารสนเทศขององค์กร เพื่อให้สอดคล้องกับข้อกำหนดทางธุรกิจ กฎหมาย และระเบียบปฎิบัติที่เกี่ยวข้อง รวมถึงการทบทวนนโยบายตามระยะเวลาที่กำหนดหรือเมื่อมีการเปลี่ยนแปลงที่สำคัญขององค์กร โครงสร้างด้านความมั่นคงปลอดภัยสำหรับองค์กร (Internal organization) กล่าวถึงบทบาทของผู้บริหารองค์กร และหัวหน้างาน สารสนเทศ ดังนี้ - โครงสร้างทางด้านความมั่นคงปลอดภัยภายในองค์กร - โครงสร้างทางด้านความมั่นคงปลอดภัยที่เกี่ยวข้องกับลูกค้าหรือหน่วยงานภายนอก เพื่อบริหาร- จัดการความมั่นคงปลอดภัยสำหรับสารสนเทศและอุปกรณ์ประมวลผลสารสนเทศขององค์กรที่ถูกเข้าถึง ถูกประมวลผล หรือถูกใช้ในการติดต่อสื่อสารกับลูกค้าหรือหน่วยงานภายนอก
20
การบริหารจัดการทรัพย์สินขององค์กร (Asset management)
กล่าวถึงบทบาทของหัวหน้างานสารสนเทศและหัวหน้างานพัสดุ - หน้าที่ความรับผิดชอบต่อทรัพย์สินขององค์กร เพื่อป้องกันความเสียหาย ที่อาจขึ้นได้ การจัดหมวดหมู่สารสนเทศ เพื่อกำหนดระดับของการป้องกันสารสนเทศ ขององค์กรอย่างเหมาะสม
21
ความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร (Human resources
security) กล่าวถึงบทบาทของผู้บริหารสารสนเทศ หัวหน้างานสารสนเทศ หัวหน้างานบุคคลและหัวหน้างานที่เกี่ยวข้อง ดังนี้ การสร้างความมั่นคงปลอดภัยก่อนการจ้างงาน เพื่อให้พนักงานและผู้เกี่ยวข้องจากหน่วยงานภายนอก เข้าใจถึงบทบาทและหน้าที่ความรับผิดชอบของตน และเพื่อลดความเสี่ยงอันเกิดจากการขโมย การฉ้อโกง และการใช้อุปกรณ์ผิดวัตถุประสงค์ การสร้างความมั่นคงปลอดภัยในระหว่างการจ้างงาน เพื่อให้พนักงานและผู้เกี่ยวข้องจากหน่วยงานภายนอกได้ตระหนักถึงภัยคุกคามและปัญหาที่เกี่ยวข้องกับความมั่นคงปลอดภัย และทำความเข้าใจกับนโยบาย เพื่อลดความเสี่ยงอันเกิดจากความผิดพลาดในการปฎิบัติหน้าที่ การสิ้นสุดและการเปลี่ยนการจ้างงาน เพื่อให้พนักงานและผู้เกี่ยวข้องจากหน่วยงานภายนอกได้ทราบถึงหน้าที่ความรับผิดชอบและบทบาทของตน เมื่อสิ้นสุดหรือมีการเปลี่ยนการจ้างงาน
22
การสร้างความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม
(Physical and environmental security) กล่าวถึงบทบาทของหัวหน้างาน สารสนเทศและหัวหน้างานอาคารในด้านต่างๆ ดังนี้ บริเวณที่ต้องมีการรักษาความมั่นคงปลอดภัย เพื่อป้องกันการเข้าถึงทางกายภาพโดยไม่ได้รับอนุญาต การก่อให้เกิดความเสียหาย และการก่อกวนหรือแทรกแซงต่อทรัพย์สินสารสนเทศขององค์กร ความมั่นคงปลอดภัยของอุปกรณ์ เพื่อป้องกันการสูญหาย เสียหาย ถูกขโมย หรือการถูกเปิดเผยโดยไม่ได้รับอนุญาต ส่งผลให้กิจกรรมการดำเนินงานต่างๆ ขององค์กรเกิดการติดขัดหรือหยุดชะงัก การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศขององค์กร (Communications and operations management) กล่าวถึงบทบาทของผู้บริหารองค์กร ผู้บริหารสารสนเทศ หัวหน้างานสารสนเทศ ผู้ที่เป็นเจ้าของกระบวนการทางธุรกิจและพนักงานสารสนเทศในด้านต่างๆ ดังนี้ การกำหนดหน้าที่ความรับผิดชอบและขั้นตอนการปฎิบัติงาน เพื่อให้การดำเนินงานที่เกี่ยวข้องกับอุปกรณ์ประมวลผลสารสนเทศเป็นไปอย่างถูกต้องและปลอดภัย
23
การบริหารจัดการการให้บริการของหน่วยงานภายนอก เพื่อจัดทำและรักษาระดับความมั่นคงปลอดภัยของการปฎิบัติหน้าที่โดยหน่วยงานภายนอกให้เป็นไปตามข้อตกลงที่จัดทำไว้ระหว่างองค์กรกับหน่วยงานภายนอก การวางแผนและการตรวจรับทรัพยากรสารสนเทศ เพื่อลดความเสี่ยงจากความล้มเหลวของระบบ การป้องกันโปรแกรมที่ไม่ประสงค์ดี เพื่อรักษาซอฟต์แวร์และสารสนเทศให้ปลอดภัยจากการถูกทำลายโดยซอฟต์แวร์ที่ไม่ประสงค์ดี การสำรองข้อมูล เพื่อรักษาความถูกต้องสมบูรณ์และความพร้อมใช้ของสารสนเทศและอุปกรณ์ประมวลผลสารสนเทศ การบริหารจัดการทางด้านความปลอดภัยสำหรับเครือข่ายขององค์กร เพื่อป้องกันสารสนเทศบนเครือข่ายและโครงสร้างพื้นฐานที่สนับสนุนการทำงานของเครือข่าย การจัดการสื่อที่ใช้ในการบันทึกข้อมูล เพื่อป้องกันการเปิดเผย การเปลี่ยนแปลง การลบหรือทำลายทรัพย์สินสารสนเทศโดยไม่ได้รับอนุญาต และการติดขัดหรือหยุดชะงักทางธุรกิจ
24
การแลกเปลี่ยนสารสนเทศ เพื่อรักษาความมั่นคงปลอดภัยของสารสนเทศและซอฟต์แวร์ที่มีการแลกเปลี่ยนกันภายในองค์กร และที่มีการแลกเปลี่ยนกับหน่วยงานภายนอก การสร้างความมั่นคงปลอดภัยสำหรับบริการพาณิชย์อิเล็กทรอนิกส์ เพื่อสร้างความมั่นคงปลอดภัยสำหรับบริการพาณิชย์อิเล็กทรอนิกส์และในการใช้งาน การเฝ้าระวังทางด้านความมั่นคงปลอดภัย เพื่อตรวจจับกิจจกรรมการประมวลผลสารสนเทศที่ไม่ได้รับอนุญาต
25
การควบคุมการเข้าถึง (Access control) กล่าวถึงบทบาทของผู้บริหาร
สารสนเทศ หัวหน้างานสารสนเทศ ผู้ดูแลระบบและพนักงานในด้านต่างๆ ดังนี้ ข้อกำหนดทางธุรกิจสำหรับการควบคุมการเข้าถึงสารสนเทศ เพื่อควบคุมการเข้าถึงสารสนเทศ การบริหารจัดการการเข้าถึงของผู้ใช้ เพื่อควบคุมการเข้าถึงเฉพาะที่ได้รับอนุญาตแล้วและป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต หน้าที่ความรับผิดชอบของผู้ใช้งาน การเปิดเผยหรือการขโมยสารสนเทศและอุปกรณ์ประมวลผลสารสนเทศ การควบคุมการเข้าถึงเครือข่ายที่ไม่ได้รับอนุญาต การควบคุมการเข้าถึงระบบปฎิบัติการที่ไม่ได้รับอนุญาต การควบคุมการเข้าถึง Application และสารสนเทศที่ไม่ได้รับอนุญาต การควบคุมอุปกรณ์สื่อสารประเภทพกพาและการปฎิบัติงานจากภายนอกเพื่อสร้างความมั่นคงปลอดภัยให้กับอุปกรณ์และการปฎิบัติงานที่เกี่ยวข้อง
26
8. การจัดหา การพัฒนาและการบำรุงรักษาระบบสารสนเทศ (Information systems acquisition, development and maintenance) กล่าวถึงบทบาทของหัวหน้างานสารสนเทศ ผู้พัฒนาระบบ และผู้เป็นเจ้าของระบบในด้านต่างๆ ดังนี้ ข้อกำหนดด้านความมั่นคงปลอดภัยสำหรับระบบสารสนเทศ เพื่อให้การจัดหาและพัฒนาระบบสารสนเทศได้พิจารณาถึงประเด็นทางด้านความมั่นคงปลอดภัยเป็นองค์ประกอบพื้นฐานที่สำคัญ การประมวลผลสารสนเทศใน Application เพื่อป้องกันความผิดพลาดในสารสนเทศ การสูญหายของสารสนเทศ การเปล่ยนแปลงสารสนเทศโดยไม่ได้รับอนุญาต หรือการใช้งานสารสนเทศผิดวัตถุประสงค์ มาตรการการเข้ารหัสข้อมูลเพื่อรักษาความลับของข้อมูล ยืนยันตัวตนของผู้ส่งข้อมล หรือรักษาความครบถ้วนสมบูรณ์ของข้อมูลโดยใช้วิธีการเข้ารหัสข้อมูล การสร้างความมั่นคงปลอดภัยให้กับไฟล์ของระบบที่ให้บริการ การสร้างความมั่นคงปลอดภัยสำหรับกระบวนการการพัฒนาระบบเพื่อรักษาความมั่นคงปลอดภัยสำหรับซอฟต์แวร์และสารสนเทศของระบบ การจัดการช่องโหว่ในฮาร์ดแวร์และซอฟต์แวร์ เพื่อลดความเสี่ยงจากการโจมตีโดยอาศัยช่องโหว่ทางเทคนิคที่มีการเผยแพร่หรือตีพิมพ์
27
9. การบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยขององค์กร (Information security incident management) กล่าวถึงบทบาทของหัวหน้างานสารสนเทศ หัวหน้างานนิติกร ผู้ดูแลระบบและพนักงานในด้านต่างๆ ดังนี้ การรายงานเหตุการณ์และจุดอ่อนที่เกี่ยวข้องกับความมั่นคงปลอดภัยของระบบสารสนเทศขององค์กร เพื่อให้มีการดำเนินการที่ถูกต้องในช่วงระยะเวลาที่เหมาะสม การบริหารจัดการและการปรับปรุงแก้ไขต่อเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัย เพื่อให้มีวิธีการที่สอดคล้องและได้ผลในการบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสำหรับสารสนเทศขององค์กร 10. การบริหารความต่อเนื่องในการดำเนินงานขององค์กร (Business continuity management) กล่าวถึงบทบาทของผู้บริหารสารสนเทศ และหัวหน้างานสารสนเทศ ที่เกี่ยวกับหัวข้อพื้นฐานสำหรับการบริหารความต่อเนื่องในการดำเนินงานขององค์กร เพื่อป้องกันการติดขัดหรือการหยุดชะงักของกิจกรรมต่างๆ ทางธุรกิจอันเป็นผลมาจากการล้มเหลวหรือหายนะที่มีต่อระบบสารสนเทศ และเพื่อให้สามารถกู้ระบบกลับคืนมาได้ภายในระยะเวลาที่เหมาะสม
28
11. การปฎิบัติตามข้อกำหนด (Compliance) กล่าวถึงบทบาทของหัวหน้างานสารสนเทศและหัวหน้างานนิติกร ในด้านต่างๆ ดังนี้ การปฏิบัติตามข้อกำหนดทางกฎหมาย ระเบียบปฏิบัติ ข้อกำหนดในสัญญา และข้อกำหนดทางด้านความมั่นคงปลอดภัยอื่นๆ การปฎิบัติตามนโยบาย มาตรฐานความปลอดภัยและข้อกำหนดทางเทคนิค เพื่อให้ระบบเป็นตามนโยบายและมาตรฐานความมั่นคงปลอดภัยตามที่องค์กรกำหนดไว้ การตรวจประเมินระบบสารสนเทศตามรอบระยะเวลาที่กำหนดเพื่อประสิทธิภาพสูงสุดของการทำงานระบบ และมีการแทรกแซงที่ทำให้ระบบหยุดชะงักน้อยที่สุด
งานนำเสนอที่คล้ายกัน
