1 / 21

รูปแบบประเมินความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศสำหรับ มหาวิทยาลัยราชภัฏ

รูปแบบประเมินความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศสำหรับ มหาวิทยาลัยราชภัฏ A Security Evaluation Model of Information Technology for Rajabhat University นายจุมพฏ กาญจนกำธร ผศ.ดร.ปานใจ ธารทัศนวงศ์ รศ.ดร. สมบัติ ทีฆทรัพย์ ผศ.ดร. บุญมี กวินเสกสรรค์. ความเป็นมาและความสำคัญของปัญหา.

hafwen
Download Presentation

รูปแบบประเมินความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศสำหรับ มหาวิทยาลัยราชภัฏ

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. รูปแบบประเมินความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศสำหรับ มหาวิทยาลัยราชภัฏ A Security Evaluation Model of InformationTechnology for Rajabhat University นายจุมพฏ กาญจนกำธรผศ.ดร.ปานใจ ธารทัศนวงศ์ รศ.ดร. สมบัติ ทีฆทรัพย์ ผศ.ดร. บุญมี กวินเสกสรรค์

  2. ความเป็นมาและความสำคัญของปัญหาความเป็นมาและความสำคัญของปัญหา • ระบบเทคโนโลยีสารสนเทศเข้ามามีบทบาทสำคัญอย่างยิ่งในการบริหารจัดการและการเรียนรู้ • มีการนำระบบเทคโนโลยีสารสนเทศมาใช้ในสถาบันการศึกษา เพื่อการบริหารงาน การเรียนการสอน การทำวิจัย กันอย่างแพร่หลาย

  3. ความเป็นมาและความสำคัญของปัญหาความเป็นมาและความสำคัญของปัญหา • ภัยคุกคามและความเสี่ยงต่าง ๆ มีมากขึ้นและรุนแรงมากขึ้นและมีผลเสียหายร้ายแรงต่อระบบเทคโนโลยีสารสนเทศมากยิ่งขึ้น

  4. วัตถุประสงค์ของการวิจัยวัตถุประสงค์ของการวิจัย • เพื่อศึกษา สถานะสภาพและความคิดเห็นต่อความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศสำหรับมหาวิทยาลัยราชภัฏ • เพื่อพัฒนา รูปแบบประเมินความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศสำหรับมหาวิทยาลัย ราชภัฏ

  5. การวิจัยครั้งนี้ มีประโยชน์ในการพัฒนาใช้รูปแบบการประเมินความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศสำหรับมหาวิทยาลัยราชภัฏได้ด้วยตัวเอง

  6. ผลที่ได้รับ1. เพิ่มประสิทธิภาพความมั่นคงปลอดภัยของระบบเทคโนโลยี สารสนเทศได้มากขึ้น 2. ผู้บริหารสถานศึกษาสามารถบริหารจัดการด้านบุคลากร ด้านกระบวนการ และด้านเทคโนโลยีสารสนเทศได้อย่าง มีประสิทธิภาพ3. สามารถบริหารงบประมาณเพื่อให้เกิดประโยชน์สูงสุด เป็นผลดีต่อสถาบันการศึกษาของประเทศไทย 4. สามารถนำไปประยุกต์ใช้ได้กับสถาบันการศึกษาอื่นๆ ได้

  7. ข้อมูลป้อนเข้า 1. นโยบาย 2. งบประมาณ 3. สิ่งแวดล้อม 4. บุคคลกร 5. พฤติกรรมผู้ใช้ กรอบแนวคิดของการวิจัย กระบวนการ สร้างรูปแบบประเมินความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ กรอบที่ใช้อ้างอิง มาตรฐาน ISO/IEC 27001 ความมั่นคงปลอดภัยในระบบเทคโนโลยีสารสนเทศและการสื่อสาร ผลลัพธ์ รูปแบบประเมินความมั่นคงปลอดภัยของระบบเทคโนโลยี สารสนเทศสำหรับมหาวิทยาลัยราชภัฏ

  8. การบริหารจัดการความมั่นคงปลอดภัยสำหรับเทคโนโลยีสารสนเทศ องค์กรจะต้องกำหนดการลงมือปฏิบัติอย่างเป็นรูปธรรมโดยใช้มาตรฐานกระบวนการ Plan-Do-Check-Act(PDCA)

  9. ผลเสียหายที่เกิดขึ้นต่อทรัพย์สินของหน่วยงาน ประกอบด้วย • ความลับของข้อมูลและสารสนเทศ • ความถูกต้องสมบูรณ์ของข้อมูล • ความพร้อมใช้งานของระบบสารสนเทศ

  10. ในปัจจุบันมีการนำระบบประเมินการจัดการความมั่นคงปลอดภัยแบบสากลตาม มาตรฐาน ISO 27001ซึ่งประเทศในแถบภูมิภาคเอเชียแปซิฟิกหลาย ๆ ประเทศ ได้แก่ ประเทศสิงค์โปร์ ญี่ปุ่น ออสเตรเลีย ไต้หวัน เกาหลีใต้ มีการร่วมมือกันเพื่อพัฒนาเป็นแนวทางพัฒนาเพื่อให้เกิดความมั่นคง ที่มา :ThaiCERT, NECTEC, พัฒนาการมาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศในภูมิภาคเอเชียแปซิฟิก, 2549, http://lanta.giti.nectec.or.th/nectec/images/pdf/techtrends/69/secure69.pdf

  11. มาตรฐาน ISO 27001 ประกอบด้วย 1. นโยบายความมั่นคงปลอดภัย 2. โครงสร้างความมั่นคงปลอดภัยขององค์กร 3. การบริหารจัดการทรัพย์สินขององค์กร 4. ความมั่นคงปลอดภัยที่เกี่ยวกับบุคลากร 5. การสร้างความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม 6. การบริหารจัดการด้านการสื่อสาร และการดำเนินงานเครือข่ายสารสนเทศขององค์กร 7. การควบคุมการเข้าถึง 8. การจัดหา การพัฒนา และบำรุงระบบสารสนเทศ 9. บริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยขององค์กร 10. บริหารความต่อเนื่องในการดำเนินงานขององค์กร 11. การปฏิบัติตามข้อกำหนด (ที่มา: อ้างอิงข้อกำหนดตามมาตรฐาน ISO/IEC 27001)

  12. ประเทศไทยมีการเริ่มนำเอามาตรฐาน ISO 27001มาใช้ในบางหน่วยงานที่มีความพร้อมแต่เนื่องจากมีความยุ่งยากซับซ้อนและเสียค่าใช้จ่ายสูงมาก ซึ่งสถาบันการศึกษาส่วนใหญ่รวมทั้งมหาวิทยาลัยราชภัฏเอง ไม่สามารถทำได้รวมทั้งการขาดแคลนบุคคลกรที่มีความรู้ความเชี่ยวชาญด้านนี้ • ระบบมีขอบเขตที่กว้างมาก การนำมาใช้สถาบันการศึกษาอาจต้องมีการปรับเปลี่ยนอย่างมากและต้องใช้งบประมาณจำนวนมาก

  13. ดังนั้น การศึกษาวิจัยเพื่อพัฒนา รูปแบบประเมินความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศสำหรับมหาวิทยาลัยราชภัฏ จะเป็นเครื่องมือสำคัญในการประเมินความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ จะเป็นประโยชน์อย่างยิ่งสำหรับสถาบันการศึกษาต่อไป

  14. อุปกรณ์และวิธีการดำเนินการวิจัยอุปกรณ์และวิธีการดำเนินการวิจัย การวิจัยนี้ ใช้วิธีวิจัยเชิงปริมาณและเชิงคุณภาพ ผู้วิจัยได้เก็บข้อมูลเชิงลึกด้านนโยบายการบริหารระบบเทคโนโลยีสารสนเทศ เพื่อทราบสถานะภาพและความคิดเห็นต่อความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศสำหรับมหาวิทยาลัยราชภัฏ

  15. ประชากรและกลุ่มตัวอย่างประกอบด้วย • ผู้บริหารมหาวิทยาลัยราชภัฏ • ผู้บริหารสำนักเทคโนโลยีสารสนเทศมหาวิทยาลัยราชภัฏ • เจ้าหน้าที่ด้านเทคโนโลยีสารสนเทศมหาวิทยาลัยราชภัฏ • ผู้ใช้งาน เจ้าหน้าที่และนักศึกษามหาวิทยาลัยราชภัฏ

  16. เครื่องมือเป็นแบบสัมภาษณ์เชิงลึก • นำข้อมูลที่ได้มารวบรวมและสังเคราะห์ • และพัฒนารูปแบบประเมินความมั่นคงของระบบเทคโนโลยีสารสนเทศสำหรับมหาวิทยาลัยราชภัฏและนำไปให้ผู้เชี่ยวชาญจำนวน 7 คน พิจารณาตรวจสอบคุณภาพโดยใช้ค่าดัชนีความสอดคล้องระหว่างข้อคำถามกับลักษณะพฤติกรรม และนำรูปแบบประเมินความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ไปทดสอบการใช้งานและนำผลที่ได้รับมาปรับปรุง

  17. ผลจากการศึกษา • สถานะสภาพและความคิดเห็นต่อความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศสำหรับมหาวิทยาลัยราชภัฏพบว่า มหาวิทยาลัยราชภัฏ ในแต่ละปีได้รับงบประมาณน้อย ในขณะที่ต้องดูแลรับผิดชอบจัดการศึกษาให้แก่นิสิตและนักศึกษา ตลอดจนให้บริการทางวิชาการแก่ประชาชนเป็นจำนวนมาก ขาดบุคลากรทางด้านผู้ดูแลระบบเทคโนโลยีสารสนเทศ จากการที่ได้รับงบประมาณน้อยจึงทำให้การดูแลความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศไม่ค่อยมีประสิทธิภาพมากนัก มักมีปัญหาด้านการให้บริการแก่ผู้ใช้งาน

  18. จากการศึกษาได้พัฒนา รูปแบบประเมินความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศสำหรับมหาวิทยาลัยราชภัฏประกอบด้วย 8 เรื่อง ดังนี้1) นโยบายความมั่นคงปลอดภัยสำหรับเทคโนโลยีสารสนเทศ 2) โครงสร้างความมั่นคงปลอดภัยขององค์กร 3) ความมั่นคงปลอดภัยที่เกี่ยวกับบุคลากร 4) การบริหารจัดการด้านการสื่อสารและการดำเนินการ ของเครือข่ายสารสนเทศขององค์กร 5) การควบคุมการเข้าถึง 6) การจัดหา การพัฒนา และบำรุงระบบเทคโนโลยีสารสนเทศ 7) การบริหารความต่อเนื่องในการดำเนินงานขององค์กร 8) การปฏิบัติตามข้อกำหนด

  19. บทสรุป • จากการทราบสถานะสภาพและความคิดเห็นต่อความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศสำหรับมหาวิทยาลัยราชภัฏ สามารถนำไปสู่การพัฒนารูปแบบประเมินความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศสำหรับมหาวิทยาลัยราชภัฏหรือองค์กรของตนเองได้ • ผลประโยชน์ที่ได้รับในด้านการบริหารจัดการทรัพย์กรสามารถทำได้คล่องตัวขึ้น แม้งบประมาณที่ได้รับไม่มากพอหรือขาดบุคลกรมืออาชีพ เพราะระบบนี้สามารถนำมาศึกษาและใช้ในองค์กรตนเองได้ง่ายและประหยัดงบประมาณเมื่อเทียบกับการต้องลงทุนจ้างผู้เชี่ยวชาญจากภายนอกด้วยงบประมาณที่สูง

  20. รูปแบบที่พัฒนาขึ้นยังสามารถใช้กับสถาบันอุดมศึกษาอื่นได้ด้วยอันจะเป็นประโยชน์อย่างกว้างขวางในการป้องกันระบบเทคโนโลยีสารสนเทศและการสื่อสารสำหรับหลาย ๆ สถาบันต่อไป งานที่จะพัฒนาต่อไป • ตรวจสอบรูปแบบ • ทดลองใช้งาน • ปรับปรุงให้สามารถใช้งานได้กว้างขวางต่อไป

  21. จบการนำเสนอ ขอบคุณครับ

More Related