Information Security (IS) และ มาตรฐาน ISO/IEC 27001

งานนำเสนอเรื่อง: "Information Security (IS) และ มาตรฐาน ISO/IEC 27001"— ใบสำเนางานนำเสนอ:

1 Information Security (IS) และ มาตรฐาน ISO/IEC 27001
เราจะศึกษามาตรฐาน ISO ว่าคืออะไร มาตรฐานนี้จะช่วยองค์ของเราบริหารจัดการการรักษาความมั่นคงฯ (IS) อย่างมีประสิทธิภาพ ถูกต้องตามกฎ ระเบียบข้อบังคับและมีธรรมาภิบาล ได้อย่างไร และแสดงความสัมพันธ์ระหว่าง ISO และ ISO รวมถึงแนวทางการออกใบรับรองตามมาตรฐาน ISO (ISO certification) (

2 ความเป็นมา ธรรมาภิบาลและสิทธิส่วนบุคคลกับ การรักษาความมั่นคงปลอดภัย
Common Criteria (CC) TCSEC ITSEC ISO15408, Evaluation criteria for IT security Certify a Product or System ISO และ ISO 17799 BS7799 “A Code of Practice for ISM” : 1999 BS (or ISO/IEC 17799) :2000 BS : 2002 ISO/IEC 27001: 2005 Certify a Process used by an organization 30/01/63

3 ISMS (management system)
US EU 1972 ISO DoD Directive 1985 TCSEC ( Orange Book ) 1987 TNI ( Red Book) 1990 ITSEC GMITS ( ISO/IEC TR , 1998) 1996, ISO=2002 1996, ISO=1999 1995,1999 BS7799 SSE-CMM Common Criteria GMITS: Guidelines for Management of IT Security ISO/IEC MICTS (management of ICT security) 2001/2005 ISO/IEC 17799 ( code of practice) ISO/IEC 18028 (network security) 2005 ISO/IEC series ISMS (management system) 30/01/63

4 ความจำเป็นของการรักษาความมั่นคงปลอดภัยด้านไอซีที (ICT Security issues and Trends)
การพิสูจน์ตัวตน (Authentication) เพื่อให้มั่นใจว่าทั้งผู้รับและผู้ส่งเป็นตัวจริง การเข้ารหัสลับ (Cryptography) เพื่อปกป้องการรักษาความลับของข้อมูล (Confidential) ไม่ให้ถูกเปิดเผยออกไป การให้สิทธิ (Authorization) เพื่อที่จะรับประกันว่าผู้ใช้ทุกฝ่ายมีสิทธิทำธุรกรรมได้ การตรวจสอบความถูกต้อง (Integrity) เพื่อที่จะรับประกันได้ว่า การทำธุรกรรมไม่ได้ถูกเปลี่ยนแปลง หรือทำให้เสียหาย การไม่ปฏิเสธความรับผิดชอบ (Non-repudiation) เพื่อที่จะจัดให้มีหลักฐานรับรองการทำธุรกรรมแก่ผู้ใช้บริการ ทั้งสองฝ่าย การรักษาความมั่นคงปลอดภัยด้านไอซีที หมายถึงการบริการจัดการใน 3 ส่วน ได้แก่ C (Confidentiality), I (Integrity), A (Availability) ความจำเป็นของการรักษาความมั่นคงปลอดภัยด้านไอซีที (ICT Security issues and Trends) เพื่อทำให้เกิดความเชื่อมั่นในการใช้ระบบสารสนเทศและการสื่อสาร ในเบื้องต้นเราอาจพิจารณาถึงองค์ประกอบพื้นฐาน 5 ประการ ดังนี้ 30/01/63

5 Terms and definitions - from ISO/IEC 17799
Confidentiality Ensuring that information is accessible only to those authorised to have access. Integrity Safeguarding the accuracy and completeness of information and processing methods. Availability Ensuring that authorised users have access to information and associated assets when required. 30/01/63

6 Information Security Management System (ISMS)
มาตรฐาน ISO เสนอแนวทางจัดทำโครงการ ISMS ในองค์กรและระบุองค์ประกอบสำคัญในการบริหารโครงการที่จำเป็นต้องมี ได้แก่ วงจรชีวิตของการดำเนินโครงการตามแนวทางของ W. Edwards Deming คือ "Plan-Do-Check-Act (PDCA)" การจัดการความเสี่ยงและแผนการเตรียมพร้อม ต้องคำนึงถึงความต้องการเฉพาะของแต่ละองค์กร ทั้งนี้เนื่องจากวัตถุประสงค์ในการดำเนินงานและดำเนินกิจกรรมต่างๆ ของแต่ละองค์กรมีความแตกต่างกัน ดังนั้นการเผชิญกับปัญหาด้านความเสี่ยงต่อภัยจากอินเทอร์เน็ต หรือไอซีทีในการประกอบธุรกรรมจึงต่างกัน ในการดำเนินโครงการ ISMS จึงต้องเริ่มต้นด้วยการประเมินความเสี่ยงขององค์กร (Risk assessment) ก่อนเสมอ มาตรฐานการประเมินความเสี่ยงขององค์กรด้าน IS มีหลายฉบับ เช่น BS ซึ่งกำหนดแนวทางและเครื่องมือที่จำเป็น 30/01/63

7 ISO27000 Family (2006) 30/01/63 ที่มา: and

8 ISO 27000 Fundamentals and Vocabulary
มีวัตถุประสงค์เพื่อแสดง ศัพท์และนิยาม (Vocabulary and Definitions) ที่ใช้ในมาตรฐาน นั่นคือ ศัพท์บัญญัติ (Terminology) ทั้งหลายที่ใช้ในมาตรฐานการจัดการด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Management Standards- ISMS) 27000 ISO มีวัตถุประสงค์เพื่อแสดง ศัพท์และนิยาม (Vocabulary and Definitions) ที่ใช้ในมาตรฐาน นั่นคือ ศัพท์บัญญัติ (Terminology) ทั้งหลายที่ใช้ในมาตรฐานการจัดการด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Management Standards- ISMS) 30/01/63 ที่มา: and

9 ISO 27001 ISMS Requirements ISO กำหนดมาตรฐานที่จำเป็นของ ISMS ได้แก่ คุณลักษณะเฉพาะ (Specification) ซึ่งองค์กรทั้งหลายจะต้องขอรับ "ใบรับรอง" (Certificate) จากหน่วยงานภายนอก ว่าได้มี "การปฏิบัติตามข้อกำหนด (Compliance)" เหล่านี้แล้ว อย่างเป็นทางการ 27001 ISO คือ มาตรฐานที่จำเป็นของ ISMS ได้แก่ คุณลักษณะเฉพาะ (Specification) ซึ่งองค์กรทั้งหลายจะต้องขอรับ "ใบรับรอง" (Certificate) จากหน่วยงานภายนอก ว่าได้มี "การปฏิบัติตามข้อกำหนด (Compliance)" เหล่านี้แล้ว อย่างเป็นทางการ 30/01/63

10 ISO 27002 17799 Code of Practice ISO จะเป็นชื่อเรียกใหม่ของ ISO ซึ่งเดิมเรียกว่า "BS 7799 Part 1" เป็นมาตรฐานแสดง หลักปฏิบัติสำหรับ ISM (Code of practice for Information Security Management) ที่อธิบายวัตถุประสงค์ของระเบียบวิธีการควบคุมด้าน IS ทั้งหลายอย่างละเอียด และแสดงรายการวิธีปฏิบัติที่ดีที่สุด ของการควบคุมความมั่นคงปลอดภัย (Best-practice security controls) 27002 ISO จะเป็นชื่อเรียกใหม่ของ ISO ซึ่งเดิมเรียกว่า "BS 7799 Part 1" เป็นมาตรฐานแสดง หลักปฏิบัติสำหรับ ISM (Code of practice for Information Security Management) ที่อธิบายวัตถุประสงค์ของระเบียบวิธีการควบคุมด้าน IS ทั้งหลายอย่างละเอียด และแสดงรายการวิธีปฏิบัติที่ดีที่สุด ของการควบคุมความมั่นคงปลอดภัย (Best-practice security controls) 30/01/63

11 ISO 27003 ISMS Implementation Guidelines
ISO จะเป็นแนวทางประยุกต์ใช้มาตรฐาน (Implementation guide) 27003 ISO จะเป็นแนวทางประยุกต์ใช้มาตรฐาน (Implementation guide) 30/01/63

12 ISO 27004 ISM Measurements ISO จะเป็นมาตรฐานการวัด ISM เพื่อที่จะช่วยวัดประสิทธิภาพหรือประเมินผลที่เกิดจากการนำ ISMS ไปใช้ 27004 ISO จะเป็นมาตรฐานการวัด ISM เพื่อที่จะช่วยวัดประสิทธิภาพหรือประเมินผล การนำ ISMS ไปใช้ 30/01/63

13 ISO 27005 ISMS Risk Management ISO เป็นมาตรฐาน "การบริหารจัดการความเสี่ยงด้าน IS (Information Security Risk Management)" ซึ่งจะมาแทนที่มาตรฐานเดิม ได้แก่ "BS 7799 Part 3" 27005 ISO เป็นมาตรฐาน "การบริหารจัดการความเสี่ยงด้าน IS (Information Security Risk Management)" ซึ่งจะมาแทนที่มาตรฐานเดิม ได้แก่ "BS 7799 Part 3" 30/01/63

14 ISO 27006 ISMS Accreditation Guidelines ISO จะเป็นแนวทางปฏิบัติสำหรับกระบวนการ ออกใบรับรอง (Certification process) หรือการลงทะเบียน (Registration process) .ให้กับหน่วยงานที่เกี่ยวข้อง (ISMS certification/registration bodies) 27006 ISO จะเป็นแนวทางปฏิบัติสำหรับกระบวนการ ออกใบรับรอง (Certification process) หรือการลงทะเบียน (Registration process) .ให้กับหน่วยงานที่เกี่ยวข้อง (ISMS certification/registration bodies) 30/01/63

15 มาตรฐานการรักษาความมั่นคงฯ อื่นๆ
BSI IT Security Baselines จัดทำโดยองค์กรในประเทศเยอรมันนี เพื่อวางมาตรฐานด้าน IT Security (Bundesamt fur Sicherheit der Informationstechnik) ( GASSP The General Accepted System Security Principles (GASSP) เพื่อกำหนดมาตรฐานตามความต้องการของรัฐบาลสหรัฐอเมริกา โดย Computer Society Institute ( and GMITS Guidelines for the management of IT Security (GMITS) หรือ เรียกอีกชื่อหนึ่ง ว่า "ISO/IEC TR " ( COBIT The Control Objectives for IT (COBIT) ( มุ่งที่จะกำหนดกรอบการทำงานเพื่อการควบคุม ผลผลิตที่สำคัญขององค์กร อาทิ เช่น Management Guide, Control Objectives เป็นต้น เผยแพร่โดย ISACA (Internal Audit Professional Representative body) 30/01/63

16 มาตรฐานการรักษาความมั่นคงฯ อื่นๆ (2)
ITIL: Information Technology Infrastructure Library เผยแพร่โดย the Central Computer & Telecommunications Agency (CCTA) เพื่อกำหนดความรู้พื้นฐานสำหรับ การบริหารจัดการของโครงสร้างพื้นฐานด้านไอที และเพื่อการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ( NIST: the U.S. National Institute of Standards and Technology Federal Information Processing Standards: FIPS 199 (Standards for Security Categorization of Federal Information and Information Systems); FIPS 201 (Personal Identity Verification for Federal Employees and Contractors) Special Publication: SP (Feb 2005) -Recommended Security Controls for Federal Information Systems; A –Techniques and Procedures for Verifying the Effectiveness of Security Controls in Information Systems (Spring 2004) 30/01/63

17 ISO คืออะไร? เป็น “International Standard” ของ “Information Security Management (ISM)” กำหนดคุณลักษณะเฉพาะของการบริหารจัดการความมั่นคงฯ ด้านสารสนเทศ กำหนดหลักปฏิบัติของ ISM (Code of Practice for Information Security Management) เป็นหลักสำหรับ การออกใบรับรอง (Certification) โดยองค์กรภายนอก สามารถใช้เพื่อการประเมินและการออกใบรับรอง โดย “Certification Bodies” นำไปประยุกต์ใช้ได้กับหน่วยงานทุกประเภทและหลายขนาด มุ่งที่จะหวังผลในเชิงป้องกัน Information is an important asset which, like other business assets, has a value to an organisation and consequently needs to be suitably protected. The purpose of information security is to protect information from a wide range of threats in order to ensure business continuity and minimise business losses. Information can exist in many forms. It can be printed on paper, stored electronically, transmitted by post or using electronic means, shown in films, or spoken in conversation. Newspaper articles report more breaches to information security than ever before. It is now the CEO of the company that shows his/her face in the newspaper when information security breaches occur. End of September 1999 the British Newspaper “The Register” published an article showing that several banks have paid huge amount of money to blackmailing crackers during the last year. Noris Verbraucherbank, in Germany, offered a reward of approximately £4,000 to the person that could leave information on the cracker who tried to blackmail the bank for £35,000. The police in London have confirmed that at least two financial institutes have paid a total of more than £1 million to blackmailers. The Year 2000 problems have helped out in putting information security on the management table. Today E-Commerce is another strong driving force with Information Security Management System Certification being a vehicle to create trust. Re. 25… A damage to the company, how to prevent? (More people, higher pay, satisfaction?) Re. Suspected… How does companies handle the press? 30/01/63 ที่มา: and

18 กระบวนการ “P-D-C-A” Plan (establish the ISMS) – จัดทำนโยบายความมั่นคงฯ มีวัตถุประสงค์ เป้าหมาย กระบวนการและขั้นตอน ที่เกี่ยวข้องกับการบริหารความเสี่ยงและการปรับปรุงการรักษาความมั่นคงฯ สารสนเทศ ที่สอดคล้องกันกับวัตถุประสงค์และนโยบายหลักขององค์กร Do (implement and operate the ISMS) – การดำเนินการและปฏิบัติงานตามนโยบายฯ การควบคุม กระบวนการและขั้นตอนที่กำหนด Check (monitor and review the ISMS) – ประเมินผลและ ถ้าเป็นไปได้ ควรวัดผลการดำเนินการตามนโยบายความมั่นคงฯ วัตถุประสงค์และประสบการณ์ที่ได้ ทำรายงานต่อผู้บริหาร เพื่อใช้ในการทบทวนนโยบายฯ ต่อไป Act (maintain and improve the ISMS) – ปรับปรุงเชิงป้องกันและแก้ไขข้อผิดพลาดที่เกิดขึ้น ตามที่ได้รับรายงานการประเมินจากฝ่ายบริหาร เพื่อให้เกิดการปรับปรุงอย่างต่อเนื่องในระบบการบริหารจัดการฯ 30/01/63

19 กระบวนการจัดการด้านความมั่นคงปลอดภัยสารสนเทศ
นโยบายด้านความมั่นคงปลอดภัย (Security Policy) การจัดตั้งองค์กรด้านความมั่นคงปลอดภัยสารสนเทศ (Organizing Information Security) การบริหารจัดการทรัพย์สิน (Asset Management) ปัจจัยความปลอดภัยทางบุคลากร (Human Resource Security) ปัจจัยความปลอดภัยทางกายภาพและสิ่งแวดล้อม (Physical & Environment Security) การบริหารจัดการด้านการสื่อสารและการดำเนินงาน (Communications & Operation Management) การควบคุมการเข้าถือสิทธิ์ การพัฒนาและดูแลระบบสารสนเทศ (Information Systems Acquisition, Development & Maintenance) การควบคุมการเข้าถึง (Access Control) การบริหารจัดการเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศ (Information Security Incident Management) การบริหารความต่อเนื่องของการดำเนินงาน (Business Continuity Management) การปฏิบัติตามข้อกำหนดทางกฎหมายและบทลงโทษของการละเมิดนโยบายด้านความมั่นคงปลอดภัย (Compliance) 30/01/63

20 OECD "Guidelines for security and privacy"
ความตื่นตัว ความรับผิดชอบ การโต้ตอบเหตุ จริยธรรม ความเสมอภาค การประเมินความเสี่ยง การออกแบบความมั่นคงปลอดภัยและการนำไปปฏิบัติ การจัดการด้านความมั่นคงปลอดภัย การทบทวนการปฏิบัติงานตามระยะเวลา 30/01/63

21 จบการนำเสนอ 30/01/63