++..@..My LiTtLe PlAnEt..@..++
Group Blog
 
<<
มีนาคม 2552
 
1234567
891011121314
15161718192021
22232425262728
293031 
 
15 มีนาคม 2552
 
All Blogs
 
ระบบมาตรฐานด้านความปลอดภัยของข้อมูล ISO 27001

Blog นี้ เป็นส่วนหนึ่งของวิชาการจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management : ITM633)
ภาคเรียนที่ 2 ปีการศึกษา 2551

ระบบมาตรฐานด้านความปลอดภัยของข้อมูล ISO 27001


ISO/IEC 27001:2005 (Information Security Management System: ISMS)

ISO/IEC 27001:2005 (Information Security Management System: ISMS) เป็นมาตรฐานการจัดการข้อมูลที่มีความสำคัญเพื่อให้ธุรกิจดำเนินไปอย่างต่อเนื่อง ซึ่งข้อกำหนดต่างๆกำหนดขึ้นโดยองค์กรที่มีชื่อเสียงและมีความน่าเชื่อถือระหว่างประเทศ คือ ISO (The International Organization for Standardization) และ IEC (The International Electrotechnical Commission) การประยุกต์ใช้ ISMS จะช่วยให้กิจกรรมทางธุรกิจต่อเนื่องไม่สะดุด, ช่วยป้องกันกระวนการทางธุรกิจจากภัยร้ายแรงต่างๆเช่น แผ่นดินไหว, วาตภัย, อุทกภัย ฯลฯ และ ความเสียหายของระบบข้อมูล โดยครอบคุม ทุกกลุ่มอุตสาหกรรมและทุกกลุ่มธุรกิจ

มาตรฐานนี้เป็นมาตรฐานสากลที่มุ่งเน้นด้านการรักษาความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กร และใช้เป็นมาตรฐานอ้างอิงเพื่อเป็นแนวทางในการเสริมสร้างความมั่นคงปลอดภัย ให้กับระบบสารสนเทศขององค์กรอย่างแพร่หลาย

ก่อนจะมาเป็นมาตรฐานสากลนี้ มาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799:2005 ได้รับการแก้ไขปรับปรุงมาจากมาตรฐานเดืมที่ชื่อว่า BS 7799-1 และ ISO/IEC 17799 : 2000 ตามลำดับ เนื้อหาของมาตรฐาน ISO 27001 : 2005 จะเกี่ยวข้องกับการจัดตั้งและปฏิบัติใช้งาน “ระบบบริหารความมั่นคงของข้อมูล” ขึ้นในองค์กร ซึ่งในแนวคิดของมาตรฐานส่วนนี้จะเป็นแนวทางสำคัญเนื้อหาของมาตรฐาน ISO 27001 : 2005 แบ่งออกเป็น 8 ส่วนดังนี้
1.ขอบเขต (Scope)
2.มาตรฐานอ้างอิง (Normative reference)
3.คำจำกัดความและนิยาม (Term and definitions)
4.ระบบบริหารความมั่นคงของข้อมูล (Information security management system)
5. หน้าที่ ความรับผิดชอบของฝ่ายบริหาร (Management responsibility)
6.การตรวจประเมินการบริหารความมั่งคงของข้อมูลภายใน (Internal ISMS audit)
7.การทบทวนการบริหารความมั่นคงของข้อมูล (Management review of the ISMS)
8.การปรับปรุงการบริหารความมั่นคงของข้อมูล (ISMS improvement)

ความแตกต่างระหว่างมาตรฐาน ISO/IEC27001 กับ ISO/IEC17799-2005 สามารถอธิบายโดยย่อได้ดังนี้
1.ขอบเขต (Scope)
2.ศัพท์เทคนิคและนิยาม (Terms and definitions)
3.โครงสร้างของมาตรฐาน (Structure of this standard)
4.การประเมินความเสี่ยงและการจัดการกับความเสี่ยง / ลด / โอนย้าย / ยอมรับความเสี่ยง (Risk assessment and treatment)

สำหรับมาตรฐาน ISO/IEC 17799-2005 ว่าด้วยเรื่องของวิธีปฏิบัติที่จะนำไปสู่ระบบบริหาร จัดการความมั่นคงปลอดภัยที่องค์กรได้จัดทำขึ้น ซึ่งจะต้องเป็นไปตามข้อกำหนดในมาตรฐาน ISO/IEC27001 รายละเอียดของมาตรฐานนี้จะบอกถึงวิธีปฏิบัติในการลดความเสี่ยงที่เกิดจากจุดอ่อนของระบบโดยแบ่งเป็นหัวข้อหลักที่เกี่ยวข้องกับระบบ และให้แนวทางว่าผู้จัดทำควรปฏิบัติอย่างไร ซึ่งผู้ใช้สามารถเพิ่มเติมมาตรการหรือใช้วิธีการที่มีความมั่นคงปลอดภัยเพียงพอ หรือเหมาะสมตามที่องค์กระได้ประเมินไว้

หลักการของการออกแบบโครงสร้างระบบ ISO/IEC27001:2005 เป็นระบบพลวัตร (Dynamic System)ซึ่งอ้างอิง รูปแบบ PDCA Model (Plan Do Check Action) ซึ่งเป็นโครงสร้างเดียวกับ ระบบ การบริหารที่เป็นสากลที่ใช้กันทั่วโลก เช่น ระบบการจัดการคุณภาพ (ISO 9001:2000), ระบบการจัดการสิ่งแวดล้อม (ISO14001:2004), ระบบการจัดการคุณภาพสำหรับอุตสาหกรรมรถยนต์ (ISO/TS 16949), ระบบการจัดการจัดการคุณภาพสำหรับอตสาหกรรมอาหาร (ISO 21001) ฯลฯ ซึ่งองค์ที่มีการประยุกต์ระบบการจัดการต่างๆนี้แล้ว จะสามารถต่อยอดระบบ ISO/IEC27001:2005 ได้เร็วและง่ายขึ้น แต่สำหรับ องค์กรที่ยังไม่มีระบบการจัดการใดๆ ก็ใช่ว่าจะประยุกต์ใช้ยากเพราะ ระบบ มีการเขียนที่เข้าใจง่ายและแบ่งหมวดให้ง่ายต่อความเข้าใจตาม PDCA อยู่แล้วเพียงแต่ต้องทำความเข้าใจกับระบบให้มากขึ้น

ISO/IEC27001:2005 หรือ Information Security Management System (ISMS) เป็นระบบการจัดการความปลอดภัยของข้อมูล เพื่อให้ระบบข้อมูลสารสนเทศขององค์กรมีคุณสมบัติในด้านต่างๆดังต่อไปนี้
• Confidentiality เพื่อให้มั่นใจได้ว่าข้อมูลต่างๆ สามารถเข้าถึงได้เฉพาะ ผู้ที่มี สิทธิที่จะเข้าเท่านั้น
• Integrity เพื่อให้มั่นใจได้ว่า ข้อมูลมีความถูกต้องครบถ้วนสมบูรณ์ โดยไม่ได้ถูกเปลี่ยนแปลงหรือแก้ไข จากผู้ไม่ได้รับอนุญาติ
• Availability เพื่อให้มั่นใจได้ว่าข้อมูลพร้อมที่จะใช้งานอยู่เสมอ โดยผู้ที่มีสิทธิในการเข้าถึงข้อมูลสามารถเข้าถึงได้ทุกเมื่อ หากต้องการ

ระบบ ISMS เป็นระบบ Dynamic system ที่ใช้โครงสร้าง PDCA ดังนั้น ระบบจะมีการหมุนเพื่อปรับปรุงอย่างต่อเนื่องอยู่ตลอดเวลามี่ที่สิ้นสุด โดยโครงสร้างของข้อกำหนด จะถูกแบ่งตาม PDCA ดังนี้

Plan - การจัดทำระบบ ISMS
Establish ISMS
a) กำหนด scope และ ขอบเขตการจัดทำระบบ ISMS
b) กำหนด ISMS Policy
c) กำหนด รูปแบบการประเมินความเสี่ยง
d) กำหนดความเสี่ยง
e) วิเคราะห์ และ ประเมินความเสี่ยง
f) กำหนดและประเมิน วิธีการเพื่อลดความเสี่ยง
g) เลือกการควบคุม เพื่อลดความเสี่ยง
h) เห็นชอบความเสี่ยงที่เหลืออยู่โดย management
I) เห็นชอบและประยุกต์ใช้ ระบบ โดย management
J) จัดทำ Statement of Applicable(SOA)

Do - ประยุกต์ใช้และดำเนินการ ระบบ ISMS
Implement and Operate the ISMS
a) กำหนดแผนการลดความเสี่ยง
b) ดำเนินการตามแผนลดความเสี่ยง
c) ดำเนินการ ตามการควบคุมที่เลือกตาม 4.2.1g
d) กำหนดการวัดประสิทธิภาพของระบบการควบคุม
e) จัดทำรายการฝึกอบรม
f) จัดการการประยุกต์ใช้ระบบ
g) ประยุกต์ใช้ ระเบียบปฎิบัติงาน

Check - เฝ้าระวังและตรวจสอบระบบ ISMS
Monitor and review ISMS
a) จัดทำ ระเบียบปฏิบัติการ เฝ้าระวังและตรวจสอบระบบ ISMS
b) ทบทวนประสิทธิภาพของ ระบบอย่างสม่ำเสมอ
c) วัดประสิทธิภาพการควบคุมในการปฏิบัติตามข้อกำหนด
d) ทบทวน การประเมินความเสี่ยงตามแผน ความเสี่ยงที่เหลือ ระบบการประเมินความเสี่ยง และการเปลี่ยนแปลงต่างๆ ตามรอบเวลาที่กำหนด
e) ดำเนินการ ตรวจติดตามภายในระบบISMS
f) ดำเนินการ จัดทำ management review
g) ปรับปรุง security plan ให้ทันสมัย
h) บนทึกการการทำงานและหลักฐานที่มีผลต่อประสิทธิภาพและประสิทธิผลของระบบ

Action - รักษาและปรับปรุง ระบบ ISMS
Maintain and improve the ISMS
a) ดำเนินการ corrective action และ preventive action
b) สื่อสาร วิธีการและการปรับปรุงต่างๆ ให้กับผู้ที่เกี่ยข้องต่างๆ
c) แน่ใจว่า วิธีการที่ปรับปรุงขึ้น บรรลุจุดประสงค์ที่วางไว้

นอกจากนี้ บางข้อกำหนดในระบบ ISMS ถูกแยกมากล่าวเพื่อชี้แจงรายละเอียดดังนี้
4.3 Document control
4.3.1 General
4.3.2 Control of Document
4.3.3 Control of Record

5. Management Responsibility
5.1 Management Commitment
5.2 Resource management

6 Internal Audit

7 Management Review
7.1 General
7.2 Review Input
7.3 Review Out put

8 ISMS Improvement
8.1 Continual Improvement
8.2 Corrective action
8.3 Preventive action

สำหรับระบบ ISO/IEC 17799:2005 เป็นกรอบด้านการควบคุมระบบ ความปลอดภัยข้อมูล ซึ่งแบ่งออกเป็น11 การควบคุมหลักดังนี้

1. Security policy - นโยบายความมั่นคงปลอดภัยขององค์กร
2. Organization Information Security - โครงสร้างความมั่นคงปลอดภัยขององค์กร
3. Asset Management - การจัดหมวดหมู่และการควบคุมทรัพย์สินขององค์กร
4. Human Resource Security - มาตรฐานของบุคลากรเพื่อสร้างความมั่นคงปลอดภัยให้กับองค์กร
5. Physical and environment security - ความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อมขององค์กร
6. Communications and operations management - การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศขององค์กร
7. Access control - การควบคุมการเข้าถึงระบบสารสนเทศขององค์กร
8. Information systems acquisition, development and maintenance - การพัฒนาและดูแลระบบสารสนเทศ
9. Information security incident management - การบริหารจัดการเหตุการณ์ละเมิดความมั่นคงปลอดภัย
10. Business continuity management - การบริหารความต่อเนื่องในการดำเนินงานขององค์กร
11. Compliance - การปฏิบัติตามข้อกำหนดทางด้านกฏหมายและบทลงโทษของการละเมิดนโยบาย

โดยระบบ ISO/IEC 27001:2005 มีการแนะนำให้ประยุกต์ ข้อกำหนดของ ISO/IEC17799:2005 มาใช้ในการควบคุมและจัดการเกี่ยวกับความเสี่ยงที่เกิดขึ้น (ตามข้อกำหนด 4.2.1g ของ ISO/IEC 27001:2005) และ หากองค์กรจะไม่เลือกประยุกต์และ/หรือใช้บางส่วน ข้อกำหนดของ ISO/IEC17799:2005 สามารถกระทำได้แต่ต้องมีการอธิบายสาเหตุของการไม่เลือกประยุกต์ใช้ให้ชัดเจนไว้ใน SOA (ตามข้อกำหนด 4.2.1j ของ ISO/IEC 27001:2005)

โดยสรุปแล้วระบบการจัดการความปลอดภัยข้อมูล ISO/IEC 27001:200หรือ ISMS เป็นระบบdynamic systemที่มีการประยุกต์หลักการ PDCA Cycle ที่สามารถประยุกต์ใช้ได้กับทุกธุรกิจ เพื่อให้ระบบข้อมูลขององค์กร มี Confidentiality ให้แน่ใจว่าข้อมูลต่างๆ สามารถเข้าถึงได้เฉพาะ ผู้ที่มี สิทธิที่จะเข้าเท่านั้น, มี Integrity ป้องกัน ให้ ข้อมูล มี ความถูกต้อง และความสมบูรณ์ และ Availability แน่ใจว่า ผู้ที่มี สิทธิ ในการเข้าถึงข้อมูล สามารถเข้าถึงได้เมื่อมีความต้องการ โดยระบบ การจัดการ ISMS นั้น จะเป็นระบบการจัดการภายใต้ความสี่ยงที่ยอมรับได้ ไม่ใช่ให้ระบบไม่มีความเสี่ยงเลยหรือไม่เกิดปัญหาเลย ทำให้เกิดประสิทธิภาพในการใช้ ทรัพยากรในการลงทุนสำหรับการจัดการความปลอดภัยของข้อมูลอย่างมีประสิทธภาพ โดยส่วนใหญ่จะมีการใช้ร่วมกับ ระบบ ISO/IEC 17799:2005 เพื่อเป็นให้เกิดประสิทธิภาพในการดำเนินงาน

อ้างอิง :
//www.tuv.com/th/_iso_27001.html
//www.thaicert.org
//groups.google.cz/group/siamhrm/msg/1744c3063074dd89?
//www.thaidigitalid.com/index.jsp?page=iso27001.jsp
//www.vrhris.com/klc/Article/HR/Manager/Computer%20Law%202550.htm

Create Date : 15 มีนาคม 2552
Last Update : 15 มีนาคม 2552 10:44:31 น. 1 comments
Counter : 10940 Pageviews.

 
องค์การความมั่นคงทางอินเทอร์เน็ต เปิดรับสมัครสมาชิก
จตุพล สระมุณี ขอเชิญชวนทุกท่านสมัครเป็นสมาชิกของ องค์การความมั่นคงทางอินเทอร์เน็ต
องค์การความมั่นคงทางอินเทอร์เน็ต ( Internet Security Bureau )
ภายใต้การกำกับดูแลของ กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
120 ม.3 ศูนย์ราชการเฉลิมพระเกียรติ ถ.แจ้งวัฒนะ แขวงทุ่งสองห้อง
เขตหลักสี่ ก.ท.ม. 10210
คณะผู้บริหาร
พลเรือตรี ดร.วิโรจน์ พิมานมาศสุริยา
ประธานองค์การ
ดร.จตุพล สระมุณี
รองประธานองค์การ
นายชญานิษฐ์ พิชิตศัตรู
หัวหน้าฝ่ายปราบปรามฯ
นายดาวพลอย สุขเจริญ
หัวหน้าฝ่ายวิชาการ
ภารกิจขององค์การความมั่นคงทางอินเทอร์เน็ต
1. สร้างความร่วมมือจากทุกภาคส่วนของสังคม
เพื่อให้เป็นเครือข่ายในการถ่ายทอดความรู้
ความเข้าใจทางด้านกฏหมายไอซีทีทั้งทางด้านทฤษฏีและปฏิบัติ
2. ช่วยเหลือสังคม คุ้มครองผู้ใช้งานอินเทอร์เน็ต
ที่ได้รับผลกระทบจากภัยในโลกไซเบอร์
3.สร้างเครือข่ายและความร่วมมือระหว่างภาครัฐ
กับภาคประชาชนผู้ใช้อินเทอร์เน็ต
4.ส่งเสริมให้ประชาชนใช้อินเทอร์เน็ตอย่างสร้างสรรค์และไม่ผิดกฏหมาย

รายละเอียด
ปัจจุบัน เทคโนโลยีสารสนเทศและการสื่อสาร เข้ามามีบทบาทสำคัญในการดำรงชีวิต
ของคนทุกเพศทุกวัย และทุกสาขาอาชีพ อีกทั้งการพัฒนาเทคโนโลยีที่เป็นไปอย่างรวดเร็ว
เช่นเดียวกับพัฒนาการของภัยคุกคามต่อความมั่นคงปลอดภัยด้านสารสนเทศที่เกิดขึ้น
โอกาสเกิดการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ก็มีอัตราเสี่ยงสูง
ทั้งที่เกิดจากความตั้งใจและไม่ตั้งใจ อันส่งผลกระทบต่อความมั่นคงของประเทศ
นับจากวันที่ 18 กรกฎาคม 2550
พระราชบัญญัติการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 มีผลบังคับใช้
ซึ่งพระราชบัญญัติฯ ฉบับดังกล่าว ได้บัญญัติโทษของการกระทำความผิด
เกี่ยวกับคอมพิวเตอร์ไว้ก็ทำให้ทุกภาคส่วนต้องเตรียมความพร้อมในการปฏิบัติตาม
เพื่อไม่ให้ตกเป็นผู้กระทำความผิด
แต่ประชาชนส่วนใหญ่ยังขาดความรู้ความเข้าใจและแนวทางการแก้ไขปัญหา
เมื่อได้รับผลกระทบหรือประสบปัญหาที่มาจากโลกไซเบอร์

ดังนั้น เพื่อประโยชน์สุขของสังคม และเพื่อเป็นการส่งเสริมให้เกิดเครือข่าย
โครงการจัดตั้งองคฺ์การความมั่นคงทางอินเทอร์เน็ต จึงได้ดำเนินการริเริ่มขึ้น
โดยมีบุคลากรจากภาครัฐ ภาคสถาบันการศึกษา และภาคประชาชน
ได้มีแนวคิดและแนวทางที่มุ่งสร้างความร่วมมือจากทุกภาคส่วนของสังคม
เพื่อให้เป็นเครือข่ายในการถ่ายทอดความรู้ทางด้านกฏหมายที่เกี่ยวกับไอซีที
ทั้งทางด้านทฤษฏีและปฏิบัติ เป็นองค์กรช่วยเหลือสังคม
คุ้มครองประชาชนผู้ใช้งานอินเทอร์เน็ตจากภัยในโลกไซเบอร์
ทางเทคนิคและทางกายภาพเพื่อลดการทำความผิดที่เกี่ยวกับอินเทอร์เน็ต
โดยจะมีกิจกรรมการรับสมัครสมาชิกซึ่งเป็น
"อาสาสมัครเฝ้าระวังภัยจากอินเทอร์เน็ต" จากผู้ใช้งานอินเทอรืเน็ต และกิจกรรมอื่น ๆ ทีเกี่ยวข้อง
เพื่อสร้างเครือข่ายและความร่วมมือระหว่างภาครัฐกับภาคประชาชนผู้ใช้อินเทอร์เน็ต
และเป็นการสร้างความมั่นคงให้กับประเทศต่อไป
ชมรมองค์การความมั่นคงทางอินเทอร์เน็ต จึงได้ดำเนินการจัดการประชุม
เมื่อวันที่ 2 พฤษภาคม 2554
มีมติให้จัดตั้ง "องค์การความมั่นคงทางอินเทอร์เน็ต" ( Internet Security Bureau )
ตามรัฐธรรมนูญแห่งราชอาณาจักรไทย พุทธศักราช 2550 หมวด 3
สิทธิและเสรีภาพของชนชาวไทย มาตรา 64 เสรีภาพในการรวมตัวกัน
เป็นองค์การช่วยเหลือประชาชนทางด้านเทคโนโลยีสารสนเทศ

ท่านใจสนใจสมัครสมาชิกหรือร่วมกิจกรรมต่างกับทางองค์การ
โปรดติดต่อ จตุพล สระมุณี(รองประธานองค์การ)
โทรศัพท์ 086-372-9239


โดย: องค์การความมั่นคงทางอินเทอร์เน็ต IP: 202.47.224.155 วันที่: 2 กุมภาพันธ์ 2556 เวลา:19:47:25 น.  

ชื่อ :
Comment :
  *ใช้ code html ตกแต่งข้อความได้เฉพาะสมาชิก
 
รหัสส่งข้อความ
กรุณายืนยันรหัสส่งข้อความ

pookio
Location :


[ดู Profile ทั้งหมด]

ให้ทิปเจ้าของ Blog [?]
ฝากข้อความหลังไมค์
Rss Feed
Smember
ผู้ติดตามบล็อก : 1 คน [?]
Google
Friends' blogs
[Add pookio's blog to your web]
Links
 

 Pantip.com | PantipMarket.com | Pantown.com | © 2004 BlogGang.com allrights reserved.