ดาวน์โหลดงานนำเสนอ
งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ
1
อาจารย์อภิพงศ์ ปิงยศ apipong.ping@gmail.com
บทที่ 2 : มาตรฐานการรักษาความปลอดภัยข้อมูล สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์ ปิงยศ
2
Outline มาตรฐาน BS 7799 อุปสรรคของงานด้านความมั่งคงของ สารสนเทศ
BS หรือ ISO/IEC 17799 BS หรือ ISO 27001 BS อุปสรรคของงานด้านความมั่งคงของ สารสนเทศ
3
มาตรฐาน BS 7799 เป็นแม่แบบของมาตรฐานการรักษาความ ปลอดภัยที่ได้รับความนิยมมากที่สุด เป็นมาตรฐานที่มีลิขสิทธิ์ องค์กรใด ต้องการใบรับรองมาตรฐานจะต้องจ่ายค่า ดำเนินการทั้งหมด ในประเทศไทยมีบริษัทตัวแทนที่ทำหน้าที่ รับรองมาตรฐานนี้อยู่ ** ปกติจะใช้การจ้างบริษัท Outsource เป็นที่ปรึกษา และช่วยดำเนินการบางส่วน
4
มาตรฐาน BS 7799 [ต่อ] มีจุดมุ่งหมายเพื่อพัฒนามาตรฐานความ ปลอดภัยในองค์กร และระเบียบปฏิบัติที่ มีประสิทธิภาพ เพื่อสร้างความ น่าเชื่อถือให้กับองค์กร
![มาตรฐาน BS 7799 [ต่อ] มีจุดมุ่งหมายเพื่อพัฒนามาตรฐานความ ปลอดภัยในองค์กร และระเบียบปฏิบัติที่ มีประสิทธิภาพ เพื่อสร้างความ น่าเชื่อถือให้กับองค์กร.](http://slideplayer.in.th/slide/16835699/97/images/4/%E0%B8%A1%E0%B8%B2%E0%B8%95%E0%B8%A3%E0%B8%90%E0%B8%B2%E0%B8%99+BS+7799+%5B%E0%B8%95%E0%B9%88%E0%B8%AD%5D+%E0%B8%A1%E0%B8%B5%E0%B8%88%E0%B8%B8%E0%B8%94%E0%B8%A1%E0%B8%B8%E0%B9%88%E0%B8%87%E0%B8%AB%E0%B8%A1%E0%B8%B2%E0%B8%A2%E0%B9%80%E0%B8%9E%E0%B8%B7%E0%B9%88%E0%B8%AD%E0%B8%9E%E0%B8%B1%E0%B8%92%E0%B8%99%E0%B8%B2%E0%B8%A1%E0%B8%B2%E0%B8%95%E0%B8%A3%E0%B8%90%E0%B8%B2%E0%B8%99%E0%B8%84%E0%B8%A7%E0%B8%B2%E0%B8%A1+%E0%B8%9B%E0%B8%A5%E0%B8%AD%E0%B8%94%E0%B8%A0%E0%B8%B1%E0%B8%A2%E0%B9%83%E0%B8%99%E0%B8%AD%E0%B8%87%E0%B8%84%E0%B9%8C%E0%B8%81%E0%B8%A3+%E0%B9%81%E0%B8%A5%E0%B8%B0%E0%B8%A3%E0%B8%B0%E0%B9%80%E0%B8%9A%E0%B8%B5%E0%B8%A2%E0%B8%9A%E0%B8%9B%E0%B8%8F%E0%B8%B4%E0%B8%9A%E0%B8%B1%E0%B8%95%E0%B8%B4%E0%B8%97%E0%B8%B5%E0%B9%88+%E0%B8%A1%E0%B8%B5%E0%B8%9B%E0%B8%A3%E0%B8%B0%E0%B8%AA%E0%B8%B4%E0%B8%97%E0%B8%98%E0%B8%B4%E0%B8%A0%E0%B8%B2%E0%B8%9E+%E0%B9%80%E0%B8%9E%E0%B8%B7%E0%B9%88%E0%B8%AD%E0%B8%AA%E0%B8%A3%E0%B9%89%E0%B8%B2%E0%B8%87%E0%B8%84%E0%B8%A7%E0%B8%B2%E0%B8%A1+%E0%B8%99%E0%B9%88%E0%B8%B2%E0%B9%80%E0%B8%8A%E0%B8%B7%E0%B9%88%E0%B8%AD%E0%B8%96%E0%B8%B7%E0%B8%AD%E0%B9%83%E0%B8%AB%E0%B9%89%E0%B8%81%E0%B8%B1%E0%B8%9A%E0%B8%AD%E0%B8%87%E0%B8%84%E0%B9%8C%E0%B8%81%E0%B8%A3..jpg "มาตรฐาน BS 7799 [ต่อ] มีจุดมุ่งหมายเพื่อพัฒนามาตรฐานความ ปลอดภัยในองค์กร และระเบียบปฏิบัติที่ มีประสิทธิภาพ เพื่อสร้างความ น่าเชื่อถือให้กับองค์กร.")
5
มาตรฐาน BS 7799 [ต่อ] ประกอบไปด้วย 2 ส่วนหลัก คือ
BS หรือ ISO/IEC 17799 BS หรือ ISO (Important!) และแนวทางปฏิบัติเพิ่มเติมอีก 1 ส่วน คือ BS7799-3
![มาตรฐาน BS 7799 [ต่อ] ประกอบไปด้วย 2 ส่วนหลัก คือ](http://slideplayer.in.th/slide/16835699/97/images/5/%E0%B8%A1%E0%B8%B2%E0%B8%95%E0%B8%A3%E0%B8%90%E0%B8%B2%E0%B8%99+BS+7799+%5B%E0%B8%95%E0%B9%88%E0%B8%AD%5D+%E0%B8%9B%E0%B8%A3%E0%B8%B0%E0%B8%81%E0%B8%AD%E0%B8%9A%E0%B9%84%E0%B8%9B%E0%B8%94%E0%B9%89%E0%B8%A7%E0%B8%A2+2+%E0%B8%AA%E0%B9%88%E0%B8%A7%E0%B8%99%E0%B8%AB%E0%B8%A5%E0%B8%B1%E0%B8%81+%E0%B8%84%E0%B8%B7%E0%B8%AD.jpg "BS หรือ ISO/IEC BS หรือ ISO (Important!) และแนวทางปฏิบัติเพิ่มเติมอีก 1 ส่วน คือ. BS")
6
มาตรฐาน BS7799-1 หรือ ISO/IEC 17799
Security Policy Organizing Information Security Asset Management Human Resources Security Physical & Environmental Security Communication & Operations Management Access Control
7
มาตรฐาน BS7799-1 หรือ ISO/IEC 17799 [ต่อ]
Information Systems Acquisition, Development and Maintenance Information Security Incident Management Business Continuity Management Compliance
![มาตรฐาน BS หรือ ISO/IEC [ต่อ]](http://slideplayer.in.th/slide/16835699/97/images/7/%E0%B8%A1%E0%B8%B2%E0%B8%95%E0%B8%A3%E0%B8%90%E0%B8%B2%E0%B8%99+BS+%E0%B8%AB%E0%B8%A3%E0%B8%B7%E0%B8%AD+ISO%2FIEC+%5B%E0%B8%95%E0%B9%88%E0%B8%AD%5D.jpg "Information Systems Acquisition, Development and Maintenance. Information Security Incident Management. Business Continuity Management. Compliance.")
8
มาตรฐาน BS หรือ ISO 27001 เป็นแนวทางในการสร้าง บริหาร ดูแล และปรับปรุง ระบบบริหารการรักษาความ ปลอดภัยข้อมูล (The Information Security Management System : ISMS) เป็นมาตรฐานที่องค์กรส่วนใหญ่ จะต้องทำให้ได้ตามมาตรฐานนี้ เพื่อ ความน่าเชื่อถือและการผ่านเกณฑ์ มาตรฐานที่หน่วยงานรัฐบาลกำหนด ปัจจุบันใช้มาตรฐาน 2013
9
ความสำคัญของ ISO 27001 ตั้งแต่ปี 2559 เป็นต้นมา รัฐบาลเริ่ม ออกประกาศให้องค์กรที่มีการทำธุรกรรม ทางอิเล็กทรอนิกส์ จำเป็นต้องได้รับการ รับรอง มาตรฐาน ISO หรือ มาตรฐานอื่นที่เกี่ยวข้อง เพื่อภาพลักษณ์และความน่าเชื่อถือ เช่น การออกประกาศให้บริษัทประกันมี การรับรองมาตรฐาน รวมถึงสถาบันทาง การเงินภายในประเทศ หรือรัฐวิสาหกิจ
10
ที่มา
13
มาตรฐาน BS7799-2 หรือ ISO 27001 [ต่อ]
PDCA รายละเอียดเพิ่มเติม
![มาตรฐาน BS หรือ ISO [ต่อ]](http://slideplayer.in.th/slide/16835699/97/images/13/%E0%B8%A1%E0%B8%B2%E0%B8%95%E0%B8%A3%E0%B8%90%E0%B8%B2%E0%B8%99+BS+%E0%B8%AB%E0%B8%A3%E0%B8%B7%E0%B8%AD+ISO+%5B%E0%B8%95%E0%B9%88%E0%B8%AD%5D.jpg "PDCA. รายละเอียดเพิ่มเติม.")
14
มาตรฐาน BS7799-2 หรือ ISO 27001 [ต่อ]
PLAN 1. กำหนดขอบเขต ISMS 2. กำหนดนโยบาย ISMS 3. กำหนดวิธีประเมินความเสี่ยง 4. ระบุความเสี่ยง 5. ประเมินความเสี่ยง 6. วิเคราะห์วิธีแก้ปัญหาความเสี่ยง 7. กำหนดมาตรการควบคุม 8. เตรียมแถลงแนวทางการประยุกต์ใช้
![มาตรฐาน BS หรือ ISO [ต่อ]](http://slideplayer.in.th/slide/16835699/97/images/14/%E0%B8%A1%E0%B8%B2%E0%B8%95%E0%B8%A3%E0%B8%90%E0%B8%B2%E0%B8%99+BS+%E0%B8%AB%E0%B8%A3%E0%B8%B7%E0%B8%AD+ISO+%5B%E0%B8%95%E0%B9%88%E0%B8%AD%5D.jpg "PLAN. 1. กำหนดขอบเขต ISMS. 2. กำหนดนโยบาย ISMS. 3. กำหนดวิธีประเมินความเสี่ยง. 4. ระบุความเสี่ยง. 5. ประเมินความเสี่ยง. 6. วิเคราะห์วิธีแก้ปัญหาความเสี่ยง. 7. กำหนดมาตรการควบคุม. 8. เตรียมแถลงแนวทางการประยุกต์ใช้")
15
มาตรฐาน BS7799-2 หรือ ISO 27001 [ต่อ]
DO 9. กำหนดแผนกำจัดความเสี่ยง 10. ปฏิบัติตามแผนลดความเสี่ยง 11. ติดตั้งระบบควบคุม 12. ฝึกอบรมพนักงานเพื่อสร้างความตื่นตัว 13. บริหารการปฏิบัติการ 14. บริหารทรัพยากร 15. กำหนดขั้นตอนการตรวจจับ และตอบโต้
![มาตรฐาน BS หรือ ISO [ต่อ]](http://slideplayer.in.th/slide/16835699/97/images/15/%E0%B8%A1%E0%B8%B2%E0%B8%95%E0%B8%A3%E0%B8%90%E0%B8%B2%E0%B8%99+BS+%E0%B8%AB%E0%B8%A3%E0%B8%B7%E0%B8%AD+ISO+%5B%E0%B8%95%E0%B9%88%E0%B8%AD%5D.jpg "DO. 9. กำหนดแผนกำจัดความเสี่ยง. 10. ปฏิบัติตามแผนลดความเสี่ยง. 11. ติดตั้งระบบควบคุม. 12. ฝึกอบรมพนักงานเพื่อสร้างความตื่นตัว. 13. บริหารการปฏิบัติการ. 14. บริหารทรัพยากร. 15. กำหนดขั้นตอนการตรวจจับ และตอบโต้")
16
มาตรฐาน BS7799-2 หรือ ISO 27001 [ต่อ]
CHECK 16. ปฏิบัติตามขั้นตอนการเฝ้าระวัง 17. ตรวจสอบว่า ISMS มีประสิทธิภาพเพียงพอหรือไม่ 18. ตรวจสอบว่าความเสี่ยงอยู่ในระดับที่ยอมรับได้หรือไม่ 19. ตรวจสอบ ISMS ภายใน 20. ตรวจสอบการบริหารงานปกติของ ISMS 21. บันทึกการปฏิบัติและเหตุการณ์ที่กระทบต่อ ISMS
![มาตรฐาน BS หรือ ISO [ต่อ]](http://slideplayer.in.th/slide/16835699/97/images/16/%E0%B8%A1%E0%B8%B2%E0%B8%95%E0%B8%A3%E0%B8%90%E0%B8%B2%E0%B8%99+BS+%E0%B8%AB%E0%B8%A3%E0%B8%B7%E0%B8%AD+ISO+%5B%E0%B8%95%E0%B9%88%E0%B8%AD%5D.jpg "CHECK. 16. ปฏิบัติตามขั้นตอนการเฝ้าระวัง. 17. ตรวจสอบว่า ISMS มีประสิทธิภาพเพียงพอหรือไม่ 18. ตรวจสอบว่าความเสี่ยงอยู่ในระดับที่ยอมรับได้หรือไม่ 19. ตรวจสอบ ISMS ภายใน. 20. ตรวจสอบการบริหารงานปกติของ ISMS. 21. บันทึกการปฏิบัติและเหตุการณ์ที่กระทบต่อ ISMS.")
17
มาตรฐาน BS7799-2 หรือ ISO 27001 [ต่อ]
ACT 22. ปรับปรุงส่วนที่มีปัญหา 23. แก้ปัญหาที่เกิด และป้องกันไม่ให้เกิดขึ้นอีก 24. ประยุกต์ใช้บทเรียนที่ได้รับ 25. เผยแพร่บทเรียนที่ได้รับ ให้แก่ผู้เกี่ยวข้อง 26. ทำให้แน่ใจว่าการปรับปรุงระบบบรรลุวัตถุประสงค์
![มาตรฐาน BS หรือ ISO [ต่อ]](http://slideplayer.in.th/slide/16835699/97/images/17/%E0%B8%A1%E0%B8%B2%E0%B8%95%E0%B8%A3%E0%B8%90%E0%B8%B2%E0%B8%99+BS+%E0%B8%AB%E0%B8%A3%E0%B8%B7%E0%B8%AD+ISO+%5B%E0%B8%95%E0%B9%88%E0%B8%AD%5D.jpg "ACT. 22. ปรับปรุงส่วนที่มีปัญหา. 23. แก้ปัญหาที่เกิด และป้องกันไม่ให้เกิดขึ้นอีก. 24. ประยุกต์ใช้บทเรียนที่ได้รับ. 25. เผยแพร่บทเรียนที่ได้รับ ให้แก่ผู้เกี่ยวข้อง. 26. ทำให้แน่ใจว่าการปรับปรุงระบบบรรลุวัตถุประสงค์")
18
มาตรฐาน BS7799-3 เป็นแนวทางในการบริหารความเสี่ยง ของการรักษาความปลอดภัยข้อมูล และ เป็นแนวทางในการทำมาตรฐาน BS7799-2 มาตรฐานนี้ต้องทำควบคู่ไปกับมาตรฐาน BS และ BS เพื่อให้ แน่ใจว่าได้ทำกระบวนการรักษาความ ปลอดภัยอย่างต่อเนื่อง
19
มาตรฐาน BS7799-3 [ต่อ] ความเสี่ยงเกี่ยวกับความปลอดภัยของข้อมูลในองค์กร
การประเมินความเสี่ยง วิธีปฏิบัติเพื่อลดความเสี่ยงและการบริหารการตัดสินใจ การดำเนินกิจกรรมเกี่ยวกับการบริหารความเสี่ยง
![มาตรฐาน BS [ต่อ] ความเสี่ยงเกี่ยวกับความปลอดภัยของข้อมูลในองค์กร](http://slideplayer.in.th/slide/16835699/97/images/19/%E0%B8%A1%E0%B8%B2%E0%B8%95%E0%B8%A3%E0%B8%90%E0%B8%B2%E0%B8%99+BS+%5B%E0%B8%95%E0%B9%88%E0%B8%AD%5D+%E0%B8%84%E0%B8%A7%E0%B8%B2%E0%B8%A1%E0%B9%80%E0%B8%AA%E0%B8%B5%E0%B9%88%E0%B8%A2%E0%B8%87%E0%B9%80%E0%B8%81%E0%B8%B5%E0%B9%88%E0%B8%A2%E0%B8%A7%E0%B8%81%E0%B8%B1%E0%B8%9A%E0%B8%84%E0%B8%A7%E0%B8%B2%E0%B8%A1%E0%B8%9B%E0%B8%A5%E0%B8%AD%E0%B8%94%E0%B8%A0%E0%B8%B1%E0%B8%A2%E0%B8%82%E0%B8%AD%E0%B8%87%E0%B8%82%E0%B9%89%E0%B8%AD%E0%B8%A1%E0%B8%B9%E0%B8%A5%E0%B9%83%E0%B8%99%E0%B8%AD%E0%B8%87%E0%B8%84%E0%B9%8C%E0%B8%81%E0%B8%A3.jpg "การประเมินความเสี่ยง. วิธีปฏิบัติเพื่อลดความเสี่ยงและการบริหารการตัดสินใจ. การดำเนินกิจกรรมเกี่ยวกับการบริหารความเสี่ยง.")
20
อุปสรรคของงานด้านความมั่งคงของสารสนเทศ
“ความมั่นคงปลอดภัย” คือ “ความไม่สะดวก” ความซับซ้อนของคอมพิวเตอร์ที่ผู้ใช้ทั่วไปไม่ทราบ ผู้ใช้ไม่ระแวดระวัง การพัฒนาซอฟต์แวร์โดยคำนึงถึงความปลอดภัยในภายหลัง
21
อุปสรรคของงานด้านความมั่งคงของสารสนเทศ [ต่อ]
แนวโน้มเทคโนโลยีสารสนเทศคือ “การแบ่งปัน” ไม่ใช่ “การป้องกัน” มีการเข้าถึงข้อมูลได้จากทุกสถานที่ ความมั่นคงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟต์แวร์และฮาร์ดแวร์เพียงอย่างเดียว มิจฉาชีพมักมีความชำนาญ ฝ่ายบริหารมักไม่ให้ความสำคัญแก่ความมั่นคงปลอดภัย
![อุปสรรคของงานด้านความมั่งคงของสารสนเทศ [ต่อ]](http://slideplayer.in.th/slide/16835699/97/images/21/%E0%B8%AD%E0%B8%B8%E0%B8%9B%E0%B8%AA%E0%B8%A3%E0%B8%A3%E0%B8%84%E0%B8%82%E0%B8%AD%E0%B8%87%E0%B8%87%E0%B8%B2%E0%B8%99%E0%B8%94%E0%B9%89%E0%B8%B2%E0%B8%99%E0%B8%84%E0%B8%A7%E0%B8%B2%E0%B8%A1%E0%B8%A1%E0%B8%B1%E0%B9%88%E0%B8%87%E0%B8%84%E0%B8%87%E0%B8%82%E0%B8%AD%E0%B8%87%E0%B8%AA%E0%B8%B2%E0%B8%A3%E0%B8%AA%E0%B8%99%E0%B9%80%E0%B8%97%E0%B8%A8+%5B%E0%B8%95%E0%B9%88%E0%B8%AD%5D.jpg "แนวโน้มเทคโนโลยีสารสนเทศคือ การแบ่งปัน ไม่ใช่ การป้องกัน มีการเข้าถึงข้อมูลได้จากทุกสถานที่ ความมั่นคงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟต์แวร์และฮาร์ดแวร์เพียงอย่างเดียว. มิจฉาชีพมักมีความชำนาญ. ฝ่ายบริหารมักไม่ให้ความสำคัญแก่ความมั่นคงปลอดภัย.")
22
LET’S CROSS THE PROBLEM
งานนำเสนอที่คล้ายกัน
