: information security (ความมั่นคงปลอดภัยของสารสนเทศ)

งานนำเสนอเรื่อง: ": information security (ความมั่นคงปลอดภัยของสารสนเทศ)"— ใบสำเนางานนำเสนอ:

1 8311301 : information security (ความมั่นคงปลอดภัยของสารสนเทศ)
Department of Informatics, Phuket Rajabhat University. THAILAND

2 บทที่ 4 มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับสารสนเทศ
บทที่ 4 มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับสารสนเทศ Department of Informatics, Phuket Rajabhat University. THAILAND

3 มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับสารสนเทศ...สำคัญอย่างไร
เป็นวิธีปฎิบัติที่ดีที่สุด (Best Practices) ได้ระบบ Security ที่มีประสิทธิภาพและได้ผล ยกระดับความสามารถของบุคลากรและองค์กร ส่งเสริมให้มีการทำงานร่วมกันแบบบูรณาการ สามารถกำหนดระดับความมั่นคงปลอดภัยที่ยอมรับได้

4 มาตรฐานความมั่นคงปลอดภัยสำหรับสารสนเทศของประเทศไทย
คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์เป็นผู้กำหนดมาตรฐาน ศึกษาข้อมูลเพิ่มเติมได้ที่เว็บไซค์

5 ภาพรวมของมาตรฐานความมั่นคงปลอดภัยสำหรับสารสนเทศของประเทศไทย
11 Security Domains 39 Control Objectives 133 Controls

6 มาตรฐานความมั่นคงปลอดภัยสำหรับสารสนเทศของประเทศไทย
1. Security Policy ต้องเป็นลายลักษณ์อักษร ได้รับการอนุมัติจากผู้บริหารสูงสุดขององค์กร ต้องเผยแพร่ให้พนักงานทุกคนและหน่วยงานภายนอกที่เกี่ยวข้องได้รับทราบ ต้องมีการทบทวนตามระยะเวลาที่กำหนดไว้

7 มาตรฐานความมั่นคงปลอดภัยสำหรับสารสนเทศของประเทศไทย
2. Organization of Information Security มีการตั้งหน่วยงานเพื่อทำหน้าที่ประสานงานและดำเนินการเกี่ยวกับ Security มีกระบวนการในการอนุมัติการใช้งานอุปกรณ์ประมวลผลสารสนเทศ กำหนดให้มีการลงนามมิให้เปิดเผยความลับขององค์กร มี Contact List ในการประสานงานกับหน่วยงานภายนอก

8 มาตรฐานความมั่นคงปลอดภัยสำหรับสารสนเทศของประเทศไทย
3. Asset Management มีการจำแนกข้อมูลสารสนเทศตามระดับความสำคัญ มีการควบคุมการเข้าถึงข้อมูลสารสนเทศ มีการกำหนดหน้าที่และความรับชอบในการดูแลข้อมูลสารสนเทศขององค์กร

9 มาตรฐานความมั่นคงปลอดภัยสำหรับสารสนเทศของประเทศไทย
4. Human Resources Security มีการให้ความรู้เรื่อง Security แก่พนักงานในองค์กร มีข้อแนะนำในการปฏิบัติงานที่ถูกต้องเหมาะสมและปลอดภัยแก่พนักงานในองค์กร มีวิธีปฏิบัติเมื่อพบเห็นความผิดปกติเกิดขึ้นกับระบบงาน มีวิธีปฏิบัติเมื่อมีการจ้างพนักงานใหม่หรือเมื่อพนักงานเก่าลาออกไป

10 มาตรฐานความมั่นคงปลอดภัยสำหรับสารสนเทศของประเทศไทย
5. Physical and Environment Security มีการกำหนดพื้นที่หวงห้าม มีการควบคุมการเข้า-ออกพื้นที่หวงห้าม มีการควบคุมการนำสิ่งของเข้าออก

11 มาตรฐานความมั่นคงปลอดภัยสำหรับสารสนเทศของประเทศไทย
6. Communication and Operations Management มีกระบวนการในการสำรองข้อมูล มีการจัดเก็บและทำลายสื่อบันทึกข้อมูลสารสนเทศอย่างเหมาะสม

12 มาตรฐานความมั่นคงปลอดภัยสำหรับสารสนเทศของประเทศไทย
7. Access Control มีการควบคุมการเข้าถึงข้อมูลสารสนเทศ มีการป้องกันการเข้าถึงข้อมูลสารสนเทศโดยผู้ที่ไม่ได้รับอนุญาต ไม่ว่าจะเป็นการเข้าใช้ งานจากภายในองค์กร เข้างานผ่านระบบเครือข่าย หรือการ Remote

13 มาตรฐานความมั่นคงปลอดภัยสำหรับสารสนเทศของประเทศไทย
8. Information System Acquisition, Development and Maintenance มีการควบคุมการพัฒนาระบบงานคอมพิวเตอร์ (Hardware + Software + Network) ตั้งแต่การจัดซื้อจัดจ้าง การติดตั้ง การนำไปใช้งาน ไปจนถึงการ บำรุงรักษา

14 มาตรฐานความมั่นคงปลอดภัยสำหรับสารสนเทศของประเทศไทย
9. Information Security Incident Management มีการบริหารจัดการเหตุการณ์การละเมิดความมั่นคงปลอดภัย เพื่อประโยชน์ในการ แก้ไขและป้องกันไม่ให้เหตุการณ์ดังกล่าวเกิดขึ้นซ้ำอีกในอนาคต

15 มาตรฐานความมั่นคงปลอดภัยสำหรับสารสนเทศของประเทศไทย
10. Business Continuity Management มีการจัดทำแผนการดำเนินงานฉุกเฉิน เพื่อให้ธุรกิจสามารถดำเนินงานต่อไปได้อย่าง ต่อเนื่อง มีวิธีปฏิบัติในการรับมือกับเหตุการณ์ต่าง ๆ ที่อาจสร้างความเสียหายแก่ระบบ

16 มาตรฐานความมั่นคงปลอดภัยสำหรับสารสนเทศของประเทศไทย
11. Compliance มีวิธีการปฏิบัติงานที่ถูกต้องตามกฎหมาย เช่น ลิขสิทธิ์ซอฟต์แวร์ หรือกฎระเบียบอื่น ๆ ของภาครัฐ มีวิธีปฏิบัติตามมาตรฐานทางเทคนิคด้านความมั่นคงปลอดภัยขององค์กร โดยมีการ กำกับดูแลโดยผู้บังคับบัญชา มีการตรวจประเมินระบบสารสนเทศขององค์กร เพื่อป้องกันการหยุดชะงักในการ ดำเนินงาน เช่น การจำกัดการเข้าถึงเครื่องมือที่ใช้ในการเจาะระบบต่าง ๆ เป็นต้น

17 แนวคิดในการบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ

18 Questions 