งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

อาจารย์อภิพงศ์ ปิงยศ apipong.ping@gmail.com บทที่ 2 : มาตรฐานการรักษาความปลอดภัยข้อมูล สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์ ปิงยศ apipong.ping@gmail.com.

งานนำเสนอที่คล้ายกัน


งานนำเสนอเรื่อง: "อาจารย์อภิพงศ์ ปิงยศ apipong.ping@gmail.com บทที่ 2 : มาตรฐานการรักษาความปลอดภัยข้อมูล สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์ ปิงยศ apipong.ping@gmail.com."— ใบสำเนางานนำเสนอ:

1 อาจารย์อภิพงศ์ ปิงยศ apipong.ping@gmail.com
บทที่ 2 : มาตรฐานการรักษาความปลอดภัยข้อมูล สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์ ปิงยศ

2 Outline มาตรฐาน BS 7799 อุปสรรคของงานด้านความมั่งคงของ สารสนเทศ
BS หรือ ISO/IEC 17799 BS หรือ ISO 27001 BS อุปสรรคของงานด้านความมั่งคงของ สารสนเทศ

3 มาตรฐาน BS 7799 เป็นแม่แบบของมาตรฐานการรักษาความ ปลอดภัยที่ได้รับความนิยมมากที่สุด เป็นมาตรฐานที่มีลิขสิทธิ์ องค์กรใด ต้องการใบรับรองมาตรฐานจะต้องจ่ายค่า ดำเนินการทั้งหมด ในประเทศไทยมีบริษัทตัวแทนที่ทำหน้าที่ รับรองมาตรฐานนี้อยู่ ** ปกติจะใช้การจ้างบริษัท Outsource เป็นที่ปรึกษา และช่วยดำเนินการบางส่วน

4 มาตรฐาน BS 7799 [ต่อ] มีจุดมุ่งหมายเพื่อพัฒนามาตรฐานความ ปลอดภัยในองค์กร และระเบียบปฏิบัติที่ มีประสิทธิภาพ เพื่อสร้างความ น่าเชื่อถือให้กับองค์กร

5 มาตรฐาน BS 7799 [ต่อ] ประกอบไปด้วย 2 ส่วนหลัก คือ
BS หรือ ISO/IEC 17799 BS หรือ ISO (Important!) และแนวทางปฏิบัติเพิ่มเติมอีก 1 ส่วน คือ BS7799-3

6 มาตรฐาน BS7799-1 หรือ ISO/IEC 17799
Security Policy Organizing Information Security Asset Management Human Resources Security Physical & Environmental Security Communication & Operations Management Access Control

7 มาตรฐาน BS7799-1 หรือ ISO/IEC 17799 [ต่อ]
Information Systems Acquisition, Development and Maintenance Information Security Incident Management Business Continuity Management Compliance

8 มาตรฐาน BS หรือ ISO 27001 เป็นแนวทางในการสร้าง บริหาร ดูแล และปรับปรุง ระบบบริหารการรักษาความ ปลอดภัยข้อมูล (The Information Security Management System : ISMS) เป็นมาตรฐานที่องค์กรส่วนใหญ่ จะต้องทำให้ได้ตามมาตรฐานนี้ เพื่อ ความน่าเชื่อถือและการผ่านเกณฑ์ มาตรฐานที่หน่วยงานรัฐบาลกำหนด ปัจจุบันใช้มาตรฐาน 2013

9 ความสำคัญของ ISO 27001 ตั้งแต่ปี 2559 เป็นต้นมา รัฐบาลเริ่ม ออกประกาศให้องค์กรที่มีการทำธุรกรรม ทางอิเล็กทรอนิกส์ จำเป็นต้องได้รับการ รับรอง มาตรฐาน ISO หรือ มาตรฐานอื่นที่เกี่ยวข้อง เพื่อภาพลักษณ์และความน่าเชื่อถือ เช่น การออกประกาศให้บริษัทประกันมี การรับรองมาตรฐาน รวมถึงสถาบันทาง การเงินภายในประเทศ หรือรัฐวิสาหกิจ

10 ที่มา

11

12

13 มาตรฐาน BS7799-2 หรือ ISO 27001 [ต่อ]
PDCA รายละเอียดเพิ่มเติม

14 มาตรฐาน BS7799-2 หรือ ISO 27001 [ต่อ]
PLAN 1. กำหนดขอบเขต ISMS 2. กำหนดนโยบาย ISMS 3. กำหนดวิธีประเมินความเสี่ยง 4. ระบุความเสี่ยง 5. ประเมินความเสี่ยง 6. วิเคราะห์วิธีแก้ปัญหาความเสี่ยง 7. กำหนดมาตรการควบคุม 8. เตรียมแถลงแนวทางการประยุกต์ใช้

15 มาตรฐาน BS7799-2 หรือ ISO 27001 [ต่อ]
DO 9. กำหนดแผนกำจัดความเสี่ยง 10. ปฏิบัติตามแผนลดความเสี่ยง 11. ติดตั้งระบบควบคุม 12. ฝึกอบรมพนักงานเพื่อสร้างความตื่นตัว 13. บริหารการปฏิบัติการ 14. บริหารทรัพยากร 15. กำหนดขั้นตอนการตรวจจับ และตอบโต้

16 มาตรฐาน BS7799-2 หรือ ISO 27001 [ต่อ]
CHECK 16. ปฏิบัติตามขั้นตอนการเฝ้าระวัง 17. ตรวจสอบว่า ISMS มีประสิทธิภาพเพียงพอหรือไม่ 18. ตรวจสอบว่าความเสี่ยงอยู่ในระดับที่ยอมรับได้หรือไม่ 19. ตรวจสอบ ISMS ภายใน 20. ตรวจสอบการบริหารงานปกติของ ISMS 21. บันทึกการปฏิบัติและเหตุการณ์ที่กระทบต่อ ISMS

17 มาตรฐาน BS7799-2 หรือ ISO 27001 [ต่อ]
ACT 22. ปรับปรุงส่วนที่มีปัญหา 23. แก้ปัญหาที่เกิด และป้องกันไม่ให้เกิดขึ้นอีก 24. ประยุกต์ใช้บทเรียนที่ได้รับ 25. เผยแพร่บทเรียนที่ได้รับ ให้แก่ผู้เกี่ยวข้อง 26. ทำให้แน่ใจว่าการปรับปรุงระบบบรรลุวัตถุประสงค์

18 มาตรฐาน BS7799-3 เป็นแนวทางในการบริหารความเสี่ยง ของการรักษาความปลอดภัยข้อมูล และ เป็นแนวทางในการทำมาตรฐาน BS7799-2 มาตรฐานนี้ต้องทำควบคู่ไปกับมาตรฐาน BS และ BS เพื่อให้ แน่ใจว่าได้ทำกระบวนการรักษาความ ปลอดภัยอย่างต่อเนื่อง

19 มาตรฐาน BS7799-3 [ต่อ] ความเสี่ยงเกี่ยวกับความปลอดภัยของข้อมูลในองค์กร
การประเมินความเสี่ยง วิธีปฏิบัติเพื่อลดความเสี่ยงและการบริหารการตัดสินใจ การดำเนินกิจกรรมเกี่ยวกับการบริหารความเสี่ยง

20 อุปสรรคของงานด้านความมั่งคงของสารสนเทศ
“ความมั่นคงปลอดภัย” คือ “ความไม่สะดวก” ความซับซ้อนของคอมพิวเตอร์ที่ผู้ใช้ทั่วไปไม่ทราบ ผู้ใช้ไม่ระแวดระวัง การพัฒนาซอฟต์แวร์โดยคำนึงถึงความปลอดภัยในภายหลัง

21 อุปสรรคของงานด้านความมั่งคงของสารสนเทศ [ต่อ]
แนวโน้มเทคโนโลยีสารสนเทศคือ “การแบ่งปัน” ไม่ใช่ “การป้องกัน” มีการเข้าถึงข้อมูลได้จากทุกสถานที่ ความมั่นคงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟต์แวร์และฮาร์ดแวร์เพียงอย่างเดียว มิจฉาชีพมักมีความชำนาญ ฝ่ายบริหารมักไม่ให้ความสำคัญแก่ความมั่นคงปลอดภัย

22 LET’S CROSS THE PROBLEM


ดาวน์โหลด ppt อาจารย์อภิพงศ์ ปิงยศ apipong.ping@gmail.com บทที่ 2 : มาตรฐานการรักษาความปลอดภัยข้อมูล สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์ ปิงยศ apipong.ping@gmail.com.

งานนำเสนอที่คล้ายกัน


Ads by Google