มาตรฐานความปลอดภัยด้านเทคโนโลยีสารสนเทศ
บทบาทของไอทีทั้งในภาคธุรกิจ และภาคอุตสาหกรรมล้วนแต่มีบทบาทสำคัญมากขึ้น หากแต่องค์กรหลายๆองค์กรยังขาดการควบคุมหรืออาจจะไม่ได้ใส่ใจถึงความเสี่ยงที่อาจจะเกิดขึ้นในอนาคต อย่างเช่นการโจรกรรมข้อมูล การนำข้อมูลไปเผยแพร่แก่คู่แข่ง มาตรฐาน ISO/IEC 27001 (Information Security Management System:ISMS)เป็นมาตรฐานที่ใช้ในการจัดการความปลอดภัยของข้อมูลสารสนเทศต่างๆที่ใช้ภายในองค์กร พร้อมควบคุมความเสี่ยงที่เกิดขึ้นและวางแนวทางแก้ไข ข้อมูลที่เป็นสินทรัพย์ขององค์กรเป็นอย่างไร ข้อมูลที่เป็นสินทรัพย์ในความหมายของสารสนเทศ เป็นได้ทั้ง Hardware, Software application, สิ่งพิมพ์, เอกสาร, สื่ออิเล็กทรอนิกส์ รวมไปถึงตัวบุคคล ซึ่งสินทรัพย์เหล่านี้มีความสำคัญต่อองค์กรต้องจัดการระมัดระวังป้องกันความเสียหายที่อาจเกิดขึ้น ทั้งนี้ข้อมูลต่างๆ ในองค์กรจะเป็นสินทรัพย์ทางธุรกิจมากน้อยเพียงใดก็ขึ้นอยู่กับการที่องค์กรประเมินว่าข้อมูลนั้นจะมีความเสี่ยงต่อองค์กรหรือไม่ หากข้อมูลสูญหายหรือข้อมูลตกอยู่ในมือของคู่แข่ง นอกจากนี้ข้อมูลทางสารสนเทศอาจจะเป็นข้อมูลด้านการออกแบบของลูกค้า ข้อมูลเกี่ยวกับวัตถุดิบในกระบวนการผลิต ข้อมูลขั้นตอนการผลิต รายชื่อลูกค้า ข้อมูลเหล่านี้มีการจัดเก็บไว้ที่ใด และที่ที่จัดเก็บมีความปลอดภัยหรือไม่ มีใครที่สามารถสืบค้นข้อมูลได้บ้าง องค์กรมีมาตรฐานและหลักปฏิบัติในการป้องกันและควบคุมข้อมูลหรือไม่ ก่อนจะมาเป็นมาตรฐาน ISO/IEC 27001 มาตรฐาน ISO/IEC 27001 เป็นมาตรฐานหนึ่งที่พัฒนามาจากมาตรฐานในตระกูล ISO/IEC 27000 ซึ่งเกี่ยวข้องกับระบบบริหารจัดการความมั่นคงปลอดภัย (Information Security Management System: ISMS) ได้ผ่านการปรับปรุงและนำออกเผยแพร่เมื่อเดือนตุลาคม ปี 2005 ส่วนชื่อเต็มคือ ISO/IEC 27001:2005 - Information technology -- Security techniques -- Information security management systems Requirements แต่ชื่อที่ใช้โดยทั่วไปที่เรารู้จักกันดีคือ ISO 27001 มาเลเซีย ไต้หวัน ญี่ปุ่น สิงคโปร์ รวมถึงประเทศไทยก็เข้าร่วมเป็นหนึ่งในฐานะสมาชิกในภูมิภาคเอเชียแปซิฟิกด้วย โดยมีศูนยประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ประเทศไทย(ThaiCERT) ซึ่งเป็นหน่วยงานหนึ่งภายใต้การดูแลของศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) ได้ส่งตัวแทนเข้าร่วมประชุมในเวทีดังกล่าวด้วย พัฒนาการมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 ของประเทศไทย หลังจากที่ประเทศไทยได้มีการประกาศใช้พระราชบัญญัติว่าด้วยการประกอบธุรกรรมทางอิเล็กทรอนิกส์เมื่อปี พ.ศ. 2544 และมีการแต่งตั้งคณะกรรรมการทางอิเล็กทรอนิกส์ขึ้นเพื่อทำหน้าที่หลัก 5 ประการด้วยกัน และหนึ่งในหน้าที่นั้น ได้แก่ การเสนอแนะนโยบายและมาตรการด้านความมั่นคงให้เกิดความเชื่อมั่นและปลอดภัยในระบบคอมพิวเตอร์หรือเครือข่ายของประเทศไทยในการประกอบธุรกรรมอิเล็กทรอนิกส์ โดยได้มอบหมายให้ศูนย์ประสานงานการรักษาความมั่นคงปลอดภัยคอมพิวเตอร์ประเทศไทย (ThaiCERT) ในฐานะที่เป็นหน่วยงานวิจัยและพัฒนาด้านความมั่นคงปลอดภัยระบบคอมพิวเตอร์และเครือข่ายข้อมูลสารสนเทศ อีกทั้งยังได้ศึกษาวิจัยและพัฒนาทางด้านมาตรฐานความมั่นคงปลอดภัยด้วย นอกจากนี้ ในเวทีความร่วมมือ RAISS ประเทศไทยในฐานะหนึ่งในประเทศสมาชิก ได้มอบหมายให้ตัวแทนจาก ThaiCERT ได้เข้าร่วมการประชุมและผลจากการร่วมงานกันทำให้คณะทำงานได้นำเสนอ Paper เพื่อเป็นแนวทางใช้งานของเจ้าหน้าที่ที่มีหน้าที่ดูแลระบบและเครือข่ายให้เป็นแนวทางที่ปฎิบัติงานประจำวันได้อย่างมั่นคงปลอดภัย โดยได้นำมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 มาผนวกเป็นแนวทางหรือคู่มือปฎิบัติงานประจำวันของผู้ดูแลระบบและเครือข่าย ซึ่งหลังจากได้มีการเสนอ Paper ให้กับเวทีดังกล่าว กลุ่มผู้เข้าร่วมประชุมต่างให้ความเห็นกับ Paper นี้ว่าเป็นพัฒนาการที่สามารถนำไปใช้งานได้จริงและมีประเด็นที่ครอบคลุมมาตรฐานความปลอดภัยที่ค่อนข้างครบถ้วน ซึ่งภายหลังได้มีการพัฒนาและแปลร่างมาตรฐานฉบับภาษาไทยขึ้น และส่งมอบให้คณะอนุกรรมการด้านความมั่นคง ภายใต้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์นำไปประกอบการพิจารณาเป็นแนวทางศึกษา ก่อนที่จะจัดทำร่างมาตรฐานรักษาความมั่นคงปลอดภัยที่เกี่ยวข้องกับการประกอบธุรกรรมทางอิเล็กทรอนิกส์ออกมาเผยแพร่ โดยได้มีการดำเนินการปรับปรุงแก้ไขร่างมาตรฐานที่จัดทำขึ้นและได้นำร่างมาตรฐานดังกล่าวประชาสัมพันธ์และรับฟังความคิดเห็นจากหน่วยงานที่เกี่ยวข้องและประชาชนอีกจำนวนหลายครั้ง รวมถึงได้มีการปรับปรุงร่างมาตรฐานดังกล่าวจนมีความสมบูรณ์และทันสมัย สำหรับมาตรฐานฉบับปรับปรุงล่าสุดภายใต้ชื่อ มาตรฐานการรักษาความมั่นคงปลอดภัย ในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ (เวอร์ชั่น 2.5) ประจำปี 2550 ขึ้น หลักการของ ISO 27001 เป็นอย่างไร หลักการของมาตรฐาน ISO/IEC 27001 หรือ ISMS จะยึดรูปแบบของวงจร PDCA (Plan-Do-Check-Act) โดย ISMS นี้มีวัตถุประสงค์เพื่อการรักษาไว้ซึ่งความลับ (Condentiality) เพื่อให้แน่ใจว่าข้อมูลต่างๆ เข้าถึงได้เฉพาะผู้มีสิทธิ์ที่จะเข้าเท่านั้น ความถูกต้องครบถ้วน (Integrity) เพื่อให้ได้ข้อมูลที่สมบูรณ์ครบถ้วน และความพร้อมใช้งาน (Available) ทำให้แน่ใจว่าผู้ที่มีสิทธิ์เข้าถึงข้อมูล สามารถเข้าถึงได้เมื่อมีความต้องการ และด้วยระบบ ISMS ใช้โครงสร้าง PDCA ซึ่งเป็นโครงสร้างเดียวกับระบบบริหารสากลที่ใช้กันทั่วโลก และหากองค์กรมีการประยุกต์ใช้ระบบการจัดการอย่าง ISO 9001,ISO14001 จะสามารถต่อยอดระบบ ISO/IEC 27001ได้ง่ายมากขึ้น อีกทั้งด้วยโครงสร้าง PDCA จะทำให้ระบบมีการปรับปรุงอย่างต่อเนื่องตลอดเวลา มาตรฐาน ISO/IEC 27001 เป็นมาตรฐานการจัดการข้อมูลที่มีความสำคัญเพื่อให้ธุรกิจดำเนินไปอย่างต่อเนื่อง ซึ่งข้อกำหนดต่างๆกำหนดขึ้นโดยองค์กรที่มีชื่อเสียงและมีความน่าเชื่อถือระหว่างประเทศ คือ ISO (The International Organization for Standardization) และ IEC (The International Electrotechnical Commission) การประยุกต์ใช้ ISMS จะช่วยให้กิจกรรมทางธุรกิจต่อเนื่องไม่สะดุด, ช่วยป้องกันกระวนการทางธุรกิจจากภัยร้ายแรงต่างๆเช่น แผ่นดินไหว, วาตภัย, อุทกภัย ฯลฯ และ ความเสียหายของระบบข้อมูล โดยครอบคลุม ทุกกลุ่มอุตสาหกรรมและทุกกลุ่มธุรกิจ ทำไมผู้บริหารจึงให้ความสนใจกับมาตรฐาน ISO/IEC27001 หลายปีที่ผ่านมา ผู้บริการในหลายๆ องค์กรเกิดความสนใจ ที่จะนำเอาเทคโนโลยีสารสนเทศ เข้ามาใช้ในธุรกิจ เพื่อเพิ่มขีด ความสามารถ ในการแข่งขัน และ โอกาสสู่ธุรกิจใหม่ๆ ซึ่งก็มีส่วนที่ประสบความสำเร็จ ตามจุดมุ่งหมายบ้าง หรือไม่ประสบความสำเร็จเท่าที่ควรบ้าง โดยที่ความสำเร็จของการนำเอาเทคโนโลยีสารสนเทศมาใช้งานในธุรกิจนั้น ก็มักจะขึ้นอยู่กับการที่สามารถนำเอาเทคโนโลยีสารสนเทศเข้ามาสนับสนุนขบวนการทางธุรกิจได้อย่างเต็มที่ องค์กรต่างๆได้ก้าวเข้าสู่ยุคที่ธุรกิจต่างๆขององค์กรต้องอาศัย เทคโนโลยีสารสนเทศเป็นเครื่องมือหลักในการดำเนินการ ความสำคัญอันหนึ่งที่ทุกองค์กรต้องตระหนักถึง คือ ความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ซึ่งหากไม่มีการจัดการ เรื่องความมั่นคงปลอดภัย ของระบบสารสนเทศที่เพียงพอ ก็อาจเป็นสาเหตุที่ทำให้ธุรกิจขององค์กรมีตวามเสี่ยงเกิดขึ้นได้ จากการที่รายการและขบวนการทางธุรกิจต่างๆ ขององค์กรได้ถูกเปลี่ยนรูปแบบการดำเนินงานจากระบบที่อาศัยคนทั้งหมดเป็นแบบที่ต้องอาศัยเทคโนโลยีสารสนเทศเข้ามาเกี่ยวข้อง ข้อมูลของการดำเนินงานได้ถูกส่งต่อ , ประมวลผล และ จัดเก็บในรูปแบบของสื่อต่างๆ ของเทคโนโลยีสารสนเทศ ผู้ให้บริการทางด้านเทคโนโลยีเหล่านั้นมาใช้เพื่อความมั่นคง ปลอดภัยของระบบ สารสนเทศอย่างหลากหลายซึ่งโดยมากก็จะเป็นเทคโนโลยีที่มีราคาค่อนข้างสูง ซึ่งการลงทุนเพื่อความมั่นคง ปลอดภัย ของระบบสารสนเทศ ผู้บริหารขององค์กร ต้องพิจารณาความเหมาะสม ในการพิจารณาความเหมาะสมว่าการควบคุมที่จำเป็นจะต้องมีนั้นเพียงพอและเหมาะสมเพียงใดต่อการดำเนินธุรกิจ และมี กระบวนการอย่างไร ในการจัดการกับ เหตุการณ์ต่างๆ ที่ทำให้ความเสียหายทางธุรกิจจากการสูญเสียความมั่นคงปลอดภัยของระบบเป็นมาตรฐานสากลที่ กล่าวถึงมาตรฐานของระบบบริหารจัดการเพื่อความมั่นคงปลอดภัยของข้อมูล โดยจุดประสงค์ของมาตรฐานนี้เพื่อจะทำให้องค์กร สามารถบริหารจัดการทางด้านความปลอดภัยได้อย่างมีระบบ และเพียงพอเหมาะสมต่อการดำเนินธุรกิจขององค์กร การเตรียมความพร้อมก่อนการตรวจประเมิน ISO/IEC 27001 ISO/IEC 27001 เป็นมาตรฐานสากลเกี่ยวกับระบบบริหารจัดการเพื่อความปลอดภัยของข้อมูล โดยจุดประสงค์ของมาตรฐานนี้เพื่อจะทำให้องค์กรบริหารจัดการด้านความปลอดภัยได้อย่างมีระบบ และเพียงพอเหมาะสมต่อการดำเนินธุรกิจขององค์กร โดยเริ่มแรกองค์กรต้องทำการวิเคราะห์ความเสี่ยงจากระบบภัยคุกคาม และจุดอ่อนต่างๆในระบบจากนั้นจึงวิเคราะห์และเลือกแนวทางการควบคุมและป้องกันสารสนเทศต่างๆอย่างเหมาะสมและพอเพียง โดยในตัวมาตรฐานก็จะมีแนวทางที่เรียกว่า Code of Practice ให้ใช้งานเพื่อควบคุมความเสี่ยงต่างๆ ขณะเดียวกันมาตรฐานนี้ก็ยังกำหนดให้องค์กรจะต้องควบคุมดูแลระบบการรักษาความมั่นคง ปลอดภัย และกลไกในการพัฒนาอย่างต่อเนื่องด้วย สำหรับแนวทางการประยุกต์ใช้มาตรฐานนี้ ก่อนอื่นต้องเตรียมความพร้อมในการศึกษาทำความเข้าใจกับตัวมาตรฐานเสียก่อนว่ามีเนื้อหาอย่างไรบ้าง อาจจะเริ่มต้นด้วยการฝึกอบรมเพื่อทราบข้อกำหนดในแต่ละหัวข้อ หลังจากในแต่ละขั้นตอนให้นำหลัก PDCA เข้ามาใช้ โดยมีรายละเอียดดังนี้ PLAN : วางแผนการจัดทำระบบ ISMS เริ่มจากการกำหนด Scope ส่วนงานที่เกี่ยวข้องเพื่อกำหนดขอบเขตว่าอะไรที่องค์กรจะต้องปรับปรุงกระบวนการบ้าง จากนั้นจัดตั้งทีมงานเพื่อเป็นกลไกสำคัญในการขับเคลื่อนโครงการให้สำเร็จ โดยตั้งเป็นคณะกรรมการขึ้นมา 1ชุด ประกอบด้วยผู้บริหารและเจ้าหน้าที่จากขอบเขตงานที่เกี่ยวข้อง พร้อมทั้งกำหนดหน้าที่ความรับผิดชอบ และส่งทีมงานไปฝึกอบรมเพื่อเรียนรุ้เกี่ยวกับมาตรฐานและแนวทางประยุกต์ใช้ พร้อมจัดทำเอกสารในรูปแบบ Statement of Applicable (SOA) เพื่อเตรียมตรวจสอบกระบวนการ ISMS อีกด้วย DO: การประยุกต์ใช้ในการดำเนินระบบ ในขั้นตอนนี้จะเป็นการกำหนดนโยบายความปลอดภัยสารสนเทศขององค์กร (ISMS Policy) พร้อมทั้งจัดทำแผนบริการจัดการความเสี่ยง (Risk Management) โดยกำหนดว่าอะไรคือสินทรัพย์ทางสารสนเทศที่จะต้องควบคุมบ้าง และทำการประเมินความเสี่ยง วิเคราะห์และหาแนวทางแก้ไขความเสี่ยงเหล่านี้อาจจะเกิดขึ้น จัดทำมาตรการความปลอดภัยทางสารสนเทศต่างๆ ตามข้อกำหนดมาตรฐาน ISO 27001 (Control objectives) จัดอบรมพนักงานในองค์กรทุกคนให้ทราบถึงนโยบายความปลอดภัยที่ได้กำหนดขึ้น พร้อมทั้งควบคุมพนักงานทุกคนให้ปฏิบัติตามนโยบายและมาตรการรักษาความปลอดภัย รวมทั้งสร้างจิตสำนึกคุณภาพเพื่อให้พนักงานไม่รู้สึกว่าถูกบังคับและอยากปฏิบัติด้วยความเต็มใจ Check : เฝ้าระวังและตรวจสอบ เมื่อทุกอย่างพร้อมแล้ว ก็ทำการตรวจประเมินภายในโดยทีมงานขององค์กรเอง เพื่อให้ทราบว่ายังมีส่วนตรงไหนที่บกพร่องและต้องทำการแก้ไขอยู่บ้าง หลังจากนั้นผู้บริหารจะต้องทบทวนแผนบริหารความปลอดภัยของสารสนเทศก่อนการเตรียมเข้ารับการตรวจประเมินจริงจากผู้ตรวจประเมินมืออาชีพ Act : รักษาและปรับปรุงระบบอย่างต่อเนื่อง เมื่อทราบปัญหาและข้อบกพร่องจากการตรวจประเมินภายใน องค์กรควรดำเนินการปรับปรุงระบบบริหารความปลอดภัยด้านสารสนเทศตามสิ่งที่ได้ตรวจพบ รวมทั้งทำการวิเคราะห์ปัญหาว่าสาเหตุที่แท้จริงมาจากอะไร (Corrective Action) และดำเนินการป้องกันไม่ให้ปัญหาเกิดขึ้นอีก (Preventive Actions) การดำเนินงานตามมาตรฐาน ISO/IEC27001:2005 ISO/IEC27001:2005 หรือ ISMS หรือ Information Security Management System เป็นระบบการจัดการความปลอดภัย ของข้อมูล เพื่อ Confidentiality ให้แน่ใจว่าข้อมูลต่างๆ สามารถเข้าถึงได้เฉพาะ ผู้ที่มี สิทธิที่จะเข้าเท่านั้น Integrity ป้องกัน ให้ ข้อมูล มี ความถูกต้อง และความสมบูรณ์ Availability แน่ใจว่า ผู้ที่มี สิทธิ ในการเข้าถึงข้อมูล สามารถเข้าถึงได้เมื่อมีต้องการ ข้อกำหนดตามมาตรฐาน ISO/IEC 27001 ฉบับประเทศไทย (เวอร์ชั่น 2.5) ประจำปี 2550 ส่วนที่ 1 กระบวนการการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ (อ้างอิงข้อกำหนดตามมาตรฐาน ISO/IEC 27001) ข้อ 1 ระบบบริหารจัดการความปลอดภัยสำหรับสารสนเทศ สรุปรายละเอียดที่สำคัญได้ดังต่อไปนี้ ข้อกำหนดทั่วไป 1.1 องค์กรจะต้องกำหนด ลงมือปฏิบัติ ดำเนินการ เฝ้าระวัง ทบทวน บำรุง รักษาและปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัยตามที่ได้กำหนดไว้เป็นลายลักษณ์อักษร ภายในกรอบกิจกรรมการดำเนินการทางธุรกิจต่างๆ รวมทั้งความเสี่ยงที่เกี่ยวข้อง แนวทางที่ใช้ในมาตรฐานฉบับนี้จะใช้กระบวนการ Plan-Do-Check-Act หรือ P-D-C-A มาประยุกต์ใช้ตามแสดงในภาพที่ 1
ภาพที่ 1 แผนภาพแสดงวงจรการบริหารจัดการความมั่นคงปลอดภัยตามขั้นตอน Plan-Do-Check-Act 1.2 กำหนดและบริหารจัดการ ระบบบริหารจัดการความมั่นคงปลอดภัย 1.2.1 กำหนดระบบบริหารจัดการความมั่นคงปลอดภัย (Plan) โดยองค์กรควรกำหนดขอบเขตของระบบ บริหารจัดการความมั่นคงปลอดภัยและกำหนดนโยบายความมั่นคงปลอดภัย และยังต้องกำหนดวิธีการประเมินความเสี่ยงที่เป็นรูปธรรมขององค์กร กำหนดแนวการดำเนินงานของระบบความเสี่ยง และ จัดทำเอกสาร SoA (Statement of Applicability) แสดงการใช้งานมาตรฐานตามที่แสดงไว้ในส่วนของมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางด้านอิเล็กทรอนิกส์ 1.2.2 ลงมือปฏิบัติและดำเนินการระบบบริหารจัดการความมั่นคงปลอดภัย (Do) โดยองค์กรควรจัดทำ แผนการจัดการความเสี่ยง ลงมือปฏิบัติตามแผนการจัดการความเสี่ยงและตามมาตรฐานที่เลือกไว้ กำหนดวิธีการในการวัดความสัมฤทธิ์ผลของมาตรการที่เลือกมาใช้งาน จัดทำและลงมือปฏิบัติตามแผนการอบรมและสร้างความตระหนัก บริหารจัดการดำเนินงานและบริหารทรัพยากรสำหรับระบบบริหารจัดการความมั่นคงปลอดภัย รวมถึงจัดทำและลงมือปฏิบัติตามขั้นตอนปฏิบัติและมาตรการอื่นๆ ซึ่งช่วยในการตรวจจับและรับมือกับเหตุการณ์ทางด้านความมั่นคงปลอดภัย 1.2.3 เฝ้าระวังและทบทวนระบบบริหารจัดการความมั่นคงปลอดภัย (Check) โดยองค์กรควรลงมือปฏิบัติ ตามขั้นตอนปฏิบัติและมาตรการอื่นๆ สำหรับการเฝ้าระวังและทบทวน ดำเนินการทบทวนความสัมฤทธิ์ผลของระบบบริหารจัดการความมั่นคงปลอดภัยอย่างสม่ำเสมอ วัดความสัมฤทธิ์ผลของมาตรการทางด้านความมั่นคงปลอดภัย ทบทวนผลการประเมินความเสี่ยงตามรอบระยะเวลาที่กำหนดไว้กับระดับความเสี่ยงที่เหลืออยู่และระดับความเสี่ยงที่ยอมรับ 1.2.4 บำรุงรักษาและปรับปรุงระบบบริหารจัดการด้านความมั่นคงปลอดภัย (Act) โดยองค์กรควร ปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัยตามที่ระบุไว้ รวมถึงการใช้มาตรการเชิงแก้ไข ป้องกัน และใช้บทเรียนจากประสบการณ์ทางด้านความมั่นคงปลอดภัยขององค์กรเองและองค์กรอื่น แจ้งการปรับปรุงและดำเนินการให้แก่ทุกหน่วยงานที่เกี่ยวข้อง และตรวจสอบว่าการปรับปรุงที่ทำไปแล้วนั้นบรรลุตามวัตถุประสงค์ที่กำหนดไว้หรือไม่ 1.3 ข้อกำหนดทางด้านการจัดทำเอกสาร 1.3.1 ความต้องการทั่วไป เอกสารที่จำเป็นต้องจัดทำจะรวมถึงบันทึกแสดงการตัดสินใจของผู้บริหาร ได้แก่ นโยบายความมั่นคงปลอดภัย ขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัย วิธีการประเมินความเสี่ยง เป็นต้น 1.3.2 การบริหารจัดการเอกสาร ซึ่งเอกสารตามข้อกำหนดของระบบบริหารจัดการความมั่นคงปลอดภัย จะต้องได้รับการป้องกันและควบคุม 1.3.3 บริหารจัดการบันทึกข้อมูลหรือฟอร์มต่างๆ องค์กรจะต้องมีการกำหนด จัดทำและบำรุงรักษาบันทึก ข้อมูลหรือฟอร์มต่างๆ เพื่อใช้เป็นหลักฐานแสดงความสอดคล้องกับข้อกำหนดและการดำเนินการที่มีประสิทธิภาพของระบบบริหารจัดการความมั่นคงปลอดภัย ข้อ 2 หน้าที่ความรับผิดชอบของผู้บริหาร 2.1 การให้ความสำคัญในการบริหารจัดการ โดยผู้บริหารจะต้องแสดงถึงการให้ความสำคัญต่อการกำหนดการลงมือปฏิบัติการ ดำเนินการ เฝ้าระวัง การทบทวน การบำรุงรักษาและการปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัย 2.2 การบริหารจัดการทรัพยากรที่จำเป็นและการอบรม การสร้างความตระหนักและการเพิ่มขีดความสามารถเพื่อให้บุคลากรทั้งหมดที่ได้รับมอบหมายหน้าที่สามารถปฏิบัติงานได้ตามที่กำหนดไว้ในนโยบายความมั่นคงปลอดภัย ข้อ 3 การตรวจสอบภายในระบบบริหารจัดการความมั่นคงปลอดภัย องค์กรควรดำเนินการตรวจสอบภายในตามรอบระยะเวลาที่กำหนดไว้เพื่อตรวจสอบว่า วัตถุประสงค์ มาตรการ กระบวนการ และขั้นตอนปฏิบัติของระบบบริหารจัดการความมั่นคงปลอดภัยมีความสอดคล้องกับข้อกำหนดในมาตรฐานฉบับนี้และกฎหมาย ระเบียบ ข้อบังคับต่างๆ รวมถึงสอดคล้องกับข้อกำหนดด้านความมั่นคงปลอดภัย และได้รับการลงมือปฏิบัติและบำรุงรักษาอย่างสัมฤทธิ์ผลและเป็นไปตามที่คาดหมายไว้ นอกจากนี้ องค์กรจะต้องวางแผนตรวจสอบภายในโดยพิจารณาถึงสถานภาพและความสำคัญของกระบวนการและส่วนต่างๆ ที่จะได้รับการตรวจสอบและผลการตรวจสอบในครั้งที่ผ่านมา รวมถึงองค์กรจะต้องระบุหน้าที่ความรับผิดชอบและข้อกำหนดต่างๆ ในการวางแผนและดำเนินการตรวจสอบ จัดทำรายงานผลการตรวจสอบและบันทึกข้อมูลของการตรวจสอบนั้น ข้อ 4 การทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยโดยผู้บริหาร ผู้บริหารจะต้องทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยตามรอบระยะเวลาที่กำหนดไว้ (เช่นปีละ 1 ครั้ง) เพื่อให้มีการดำเนินการที่เหมาะสม พอเพียงและสัมฤทธิ์ผล การทบทวนจะต้องรวมถึงการปรับปรุงหรือเปลี่ยนแปลงระบบบริหารจัดการความมั่นคงปลอดภัย ซึ่งหมายรวมถึงนโยบายความมั่นคงปลอดภัยและวัตถุประสงค์ทางด้านความปลอดภัย ผลของการทบทวนจะต้องได้รับการบันทึกไว้อย่างเป็นลายลักษณ์อักษรและบันทึกข้อมูลที่เกี่ยวข้องกับการทบทวนจะต้องได้รับการบำรุงรักษาไว้ ส่วนที่ 2 มาตรการการจัดการด้านความมั่นคงปลอดภัยสำหรับสารสนเทศ (อ้างอิงมาตรฐาน ISO/IEC 27001 Annex A และศึกษารายละเอียดวิธีปฏิบัติทางเทคนิคจาก ISO/IEC 17799:2005) ข้อ 1 นโยบายความมั่นคงปลอดภัย (Security policy) 1.1 นโยบายความมั่นคงปลอดภัยสำหรับสารสนเทศ ซึ่งมีวัตถุประสงค์เพื่อกำหนดทิศทางและให้การสนับสนุนการดำเนินการด้านความมั่นคงปลอดภัยสำหรับสารสนเทศขององค์กร เพื่อให้เป็นไปตามหรือสอดคล้องกับข้อกำหนดทางธุรกิจ กฎหมายและระเบียบปฏิบัติที่เกี่ยวข้อง ข้อ 2 โครงสร้างทางด้านความมั่นคงปลอดภัยสำหรับองค์กร 2.1 โครงสร้างทางด้านความมั่นคงปลอดภัยภายในองค์กร 2.2 โครงสร้างทางด้านความมั่นคงปลอดภัยสำหรับลูกค้าและหน่วยงานภายนอกองค์กรภายในองค์กร ข้อ 3 การบริหารจัดการทรัพย์สินขององค์กร (Asset management) โดยได้กล่าวถึงบทบาทของหัวหน้างานสารสนเทศและหัวหน้างานพัสดุในด้านต่างๆ ดังต่อไปนี้ 3.1 หน้าที่ความรับผิดชอบต่อทรัพย์สินขององค์กร เพื่อป้องกันทรัพย์สินขององค์กรจากความเสียหายที่อาจขึ้นได้ 3.2 การจัดหมวดหมู่สารสนเทศ เพื่อกำหนดระดับของการป้องกันสารสนเทศขององค์กรอย่างเหมาะสม ข้อ 4 ความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร (Human resources security) 4.1 การสร้างความมั่นคงปลอดภัยก่อนการจ้างงาน เพื่อให้พนักงานและผู้เกี่ยวข้องจากหน่วยงานภายนอก เข้าใจถึงบทบาทและหน้าที่ความรับผิดชอบของตน และเพื่อลดความเสี่ยงอันเกิดจากการขโมย การฉ้อโกง และการใช้อุปกรณ์ผิดวัตถุประสงค์ 4.2 การสร้างความมั่นคงปลอดภัยในระหว่างการจ้างงาน เพื่อให้พนักงานและผู้เกี่ยวข้องจากหน่วยงานภายนอกได้ตระหนักถึงภัยคุกคามและปัญหาที่เกี่ยวข้องกับความมั่นคงปลอดภัย หน้าที่ความรับผิดชอบและทำความเข้าใจกับนโยบาย เพื่อลดความเสี่ยงอันเกิดจากความผิดพลาดในการปฏิบัติหน้าที่ 4.3 การสิ้นสุดและการเปลี่ยนการจ้างงาน เพื่อให้พนักงานและผู้เกี่ยวข้องจากหน่วยงานภายนอกได้ทราบถึงหน้าที่ความรับผิดชอบและบทบาทของตน เมื่อสิ้นสุดการจ้างงานหรือมีการเปลี่ยนการจ้างงาน ข้อ 5 การสร้างความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม (Physical and environmental security) 5.1 บริเวณที่ต้องมีการรักษาความมั่นคงปลอดภัย เพื่อป้องกันการเข้าถึงทางกายภาพโดยไม่ได้รับอนุญาต การก่อให้เกิดความเสียหาย และการก่อกวนหรือแทรกแซงต่อทรัพย์สินสารสนเทศขององค์กร 5.2 ความมั่นคงปลอดภัยของอุปกรณ์ เพื่อป้องกันการสูญหาย การเกิดความเสียหาย การถูกขโมย หรือการถูกเปิดเผยโดยไม่ได้รับอนุญาตของทรัพย์สินขององค์กร และทำให้กิจกรรมการดำเนินงานต่างๆ ขององค์กรเกิดการติดขัดหรือหยุดชะงัก ข้อ 6 การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศขององค์กร (Communications and operations management) 6.1 การกำหนดหน้าที่ความรับผิดชอบและขั้นตอนการปฏิบัติงาน เพื่อให้การดำเนินงานที่เกี่ยวข้องกับอุปกรณ์ประมวลผลสารสนเทศเป็นไปอย่างถูกต้องและปลอดภัย 6.2 การบริหารจัดการการให้บริการของหน่วยงานภายนอก เพื่อจัดทำและรักษาระดับความมั่นคงปลอดภัยของการปฎิบัติหน้าที่โดยหน่วยงานภายนอกให้เป็นไปตามข้อตกลงที่จัดทำไว้ระหว่างองค์กรกับหน่วยงานภายนอก 6.3 การวางแผนและการตรวจรับทรัพยากรสารสนเทศ เพื่อลดความเสี่ยงจากความล้มเหลวของระบบ 6.4 การป้องกันโปรแกรมที่ไม่ประสงค์ดี เพื่อรักษาซอฟต์แวร์และสารสนเทศให้ปลอดภัยจากการถูกทำลายโดยซอฟต์แวร์ที่ไม่ประสงค์ดี 6.5 การสำรองข้อมูล เพื่อรักษาความถูกต้องสมบูรณ์และความพร้อมใช้ของสารสนเทศและอุปกรณ์ประมวลผลสารสนเทศ 6.6การบริหารจัดการทางด้านความปลอดภัยสำหรับเครือข่ายขององค์กร เพื่อป้องกันสารสนเทศบนเครือข่ายและโครงสร้างพื้นฐานที่สนับสนุนการทำงานของเครือข่าย 6.7 การจัดการสื่อที่ใช้ในการบันทึกข้อมูล เพื่อป้องกันการเปิดเผย การเปลี่ยนแปลงแก้ไข การลบหรือทำลายทรัพย์สินสารสนเทศโดยไม่ได้รับอนุญาต และการติดขัดหรือหยุดชะงักทางธุรกิจ 6.8 การแลกเปลี่ยนสารสนเทศ เพื่อรักษาความมั่นคงปลอดภัยของสารสนเทศและซอฟต์แวร์ที่มีการแลกเปลี่ยนกันภายในองค์กร และที่มีการแลกเปลี่ยนกับหน่วยงานภายนอก 6.9 การสร้างความมั่นคงปลอดภัยสำหรับบริการพาณิชย์อิเล็กทรอนิกส์ เพื่อสร้างความมั่นคงปลอดภัยสำหรับบริการพาณิชย์อิเล็กทรอนิกส์และในการใช้งาน 6.10 การเฝ้าระวังทางด้านความมั่นคงปลอดภัย เพื่อตรวจจับกิจกรรมการประมวลผลสารสนเทศที่ไม่ได้รับอนุญาต ข้อ 7 การควบคุมการเข้าถึง (Access control) 7.1 ข้อกำหนดทางธุรกิจสำหรับการควบคุมการเข้าถึงสารสนเทศ 7.2 การบริหารจัดการการเข้าถึงของผู้ใช้ 7.3 หน้าที่ความรับผิดชอบของผู้ใช้งาน 7.4 การควบคุมการเข้าถึงเครือข่ายที่ไม่ได้รับอนุญาต 7.5 การควบคุมการเข้าถึงระบบปฎิบัติการที่ไม่ได้รับอนุญาต 7.6 การควบคุมการเข้าถึง Application และสารสนเทศที่ไม่ได้รับอนุญาต 7.7 การควบคุมอุปกรณ์สื่อสารประเภทพกพาและการปฎิบัติงานจากภายนอกเพื่อสร้างความมั่นคงปลอดภัยให้กับอุปกรณ์และการปฎิบัติงานที่เกี่ยวข้อง ข้อ 8 การจัดหา การพัฒนาและการบำรุงรักษาระบบสารสนเทศ (Information systems acquisition, development and maintenance) 8.1 ข้อกำหนดด้านความมั่นคงปลอดภัยสำหรับสารสนเทศ 8.2 การประมวลผลสารสนเทศในแอพลิเคชั่น 8.3 มาตรการการเข้ารหัสข้อมูล เพื่อรักษาความลับของข้อมูล ยืนยันตัวตนของผู้ส่งข้อมล หรือรักษาความถูกต้องสมบูรณ์ของข้อมูลโดยใช้วิธีการทางการเข้ารหัสข้อมูล 8.4 การสร้างความมั่นคงปลอดภัยให้กับไฟล์ของระบบที่ให้บริการ 8.5 การสร้างความมั่นคงปลอดภัยสำหรับกระบวนการในการพัฒนาระบบและกระบวนการสนับสนุน เพื่อรักษาความมั่นคงปลอดภัยสำหรับซอฟต์แวร์และสารสนเทศของระบบ 8.6 การบริหารจัดการช่องโหว่ในฮาร์ดแวร์และซอฟต์แวร์ เพื่อลดความเสี่ยงจากการโจมตีโดยอาศัยช่องโหว่ทางเทคนิคที่มี8.7 การเผยแพร่หรือตีพิมพ์ในสถานที่ต่างๆ ข้อ 9 การบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยขององค์กร (Information security incident management) 9.1 การรายงานเหตุการณ์และจุดอ่อนที่เกี่ยวข้องกับความมั่นคงปลอดภัย 9.2 การบริหารจัดการและการปรับปรุงแก้ไขต่อเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัย ข้อ 10 การบริหารความต่อเนื่องในการดำเนินงานขององค์กร (Business continuity management) ข้อ 11 การปฎิบัติตามข้อกำหนด (Compliance) 11.1 การปฏิบัติตามข้อกำหนดทางกฎหมาย 11.2 การปฎิบัติตามนโยบาย มาตรฐานความปลอดภัยและข้อกำหนดทางเทคนิค เพื่อให้ระบบเป็นตามนโยบายและมาตรฐานความมั่นคงปลอดภัยตามที่องค์กรกำหนดไว้ 11.3 การตรวจประเมินระบบสารสนเทศ เพื่อตรวจประเมินระบบสารสนเทศให้ได้ประสิทธิภาพสูงสุดและมีการแทรกแซงหรือทำให้หยุดชะงักต่อกระบวนการทางธุรกิจน้อยที่สุด
Free TextEditor
ภาพที่ 2 รูปแบบของระบบ ISMS
Create Date : 24 สิงหาคม 2553 |
Last Update : 25 สิงหาคม 2553 8:53:18 น. |
|
0 comments
|
Counter : 6670 Pageviews. |
|
|