1 / 16

บทที่ 7 แนะนำ ISO 17799:2005

บทที่ 7 แนะนำ ISO 17799:2005. Outline. การบริหารความมั่นคงปลอดภัยของสารสนเทศ คืออะไร ISO 17799-2005 PDCA (Plan-Do-Check-Act). 7.1 การบริหารความมั่นคงปลอดภัยของสารสนเทศ คืออะไร.

pandora-gilmore
Download Presentation

บทที่ 7 แนะนำ ISO 17799:2005

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. บทที่ 7 แนะนำ ISO 17799:2005 PanidaPanichkul

  2. Outline • การบริหารความมั่นคงปลอดภัยของสารสนเทศ คืออะไร • ISO 17799-2005 • PDCA (Plan-Do-Check-Act) Panida Panichkul

  3. 7.1 การบริหารความมั่นคงปลอดภัยของสารสนเทศ คืออะไร • การบริหารความมั่นคงปลอดภัยของสารสนเทศ (Information Security Management: ISM) คือ กระบวนการกำหนดมาตรการป้องกันและรักษาความมั่นคงปลอดภัยของสารสนเทศ และทรัพย์สินทางด้านไอทีขององค์กร [wikipedia.org: Available: June 2011] • องค์กรจำเป็นต้องมีระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศที่มีประสิทธิภาพ โดยองค์กรสามารถนำมาตรฐานของหน่วยงานต่าง ๆ ที่ได้กำหนดไว้เพื่อให้องค์กรนำมาใช้เป็นกรอบการดำเนินงาน • มาตรฐานที่จำเป็นสำหรับการบริหารความมั่นคงปลอดภัยของสารสนเทศ มีหลายมาตรฐาน แต่ที่นิยมใช้ ได้แก่ ISO/IEC 17799 และ ISO27001 • *บางครั้งเรียก ISM ว่า “การจัดการความมั่นคงปลอดภัยของสารสนเทศ” Panida Panichkul 3

  4. 7.2 ISO/IEC17799-2005 • ISO/IEC17799 เป็นมาตรฐานการจัดการความมั่นคงปลอดภัยของสารสนเทศ ที่กำหนดขึ้นโดย British Standard Institute ของประเทศอังกฤษ แต่เดิมใช้ชื่อมาตรฐานว่า “BS7799” จากนั้นในปี ค.ศ. 2000 ได้ถูกนำไปดัดแปลงโดยองค์กรมาตรฐานสากล (International Organization for Standard: ISO) และคณะกรรมาธิการระหว่างประเทศว่าด้วยมาตรฐานสาขาอิเล็กทรอเทคนิกส์ (International Electrotechnical Commission: IEC)” จึงได้เปลี่ยนชื่อใหม่เป็น ISO/IEC17799 Panida Panichkul 4

  5. มาตรฐาน ISO/IEC17799 ได้ให้แนวทางในการจัดการความมั่นคงปลอดภัยของสารสนเทศอย่างเป็นระบบ แก่ผู้ที่รับผิดชอบด้านความมั่นคงปลอดภัยภายในองค์กร และเนื่องจากมาตรฐานชนิดนี้เป็นมาตรฐานสากล จึงสามารถใช้ติดต่อหรือประสานงานระหว่างองค์กรที่ใช้มาตรฐานเดียวกันได้ อีกทั้งยังเป็นมาตรฐานที่สามารถใช้ร่วมกับมาตรฐาน ISO901 และ ISO14001 ที่องค์กรมีอยู่แล้วได้ • ISO/IEC17799 ดัดแปลงจาก BS7799 2 ฉบับ โดย BS7799 (ISO/IEC17799) ฉบับที่ 1 มีเนื้อหาครอบคลุมทุกด้านของงานการจัดการความมั่นคงปลอดภัยของสารสนเทศ ประกอบไปด้วยหัวข้อการควบคุมความมั่นคงปลอดภัยทั้งหมด 127 จัดเป็น 10 หมวดหลัก ดังนี้ Panida Panichkul 5

  6. ISO/IEC17799 • Security Policyนโยบายความมั่นคงปลอดภัยของสารสนเทศ • Security Infrastructure หรือ Organization of Information Security โครงสร้างทางด้านความมั่นคงปลอดภัยของสารสนเทศสำหรับองค์กร • Asset Classification and Control การจำแนกทรัพย์สินและการควบคุม • Personnel Securityความมั่นคงปลอดภัยของบุคคล ได้แก่ความมั่นคงปลอดภัยของบุคลากรในองค์กร • Physical and Environmental Security ความมั่นคงปลอดภัยทางด้านสภาพแวดล้อมและกายภาพ • Communications and Operations Managementการจัดการการติดต่อสื่อสารและการดำเนินงาน • System Access Controlการควบคุมการเข้าถึงระบบ Panida Panichkul 6

  7. System Development and Maintenance การพัฒนาและบำรุงรักษาระบบ • Business Continuity Planning การวางแผนดำเนินธุรกิจอย่างต่อเนื่องในสถานการณ์คับขัน • Compliance การยอมรับและปฏิบัติตามข้อกำหนดของกฎหมาย Panida Panichkul 7

  8. Panida Panichkul 8

  9. ส่วน ฉบับที่ 2 ได้ให้คำแนะนำที่เน้นวิธีการดำเนินงานตามฉบับที่ 1 และอธิบายถึงวิธีการจัดทำ “ระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ (Information Security Management System: ISMS)” ไว้ด้วย โดยมีกระบวนการจัดทำเป็นวงจร เรียกว่า “วงจร PDCA (Plan-Do-Check-Action)” ดังรูป Panida Panichkul 9

  10. Panida Panichkul 10

  11. Plan คือ ขั้นตอนของการวางแผนจัดตั้ง (Establish) ระบบ ISMS ประกอบไปด้วยกิจกรรมย่อย ดังนี้ • กำหนดขอบเขตของระบบ ISMS • กำหนดนโยบายของระบบ ISMS • กำหนดแนวทางการประเมินความเสี่ยง • ระบุความเสี่ยง • ประเมินความเสี่ยง • ระบุและประเมินวิธีการลดความเสี่ยง • เลือกวัตถุประสงค์และการควบคุม • จัดเตรียมเอกสารมาตรการการใช้งาน (Statement Of Applicability: SOA) Panida Panichkul 11

  12. Doคือ ขั้นตอนของการลงมือทำ คือพัฒนาระบบให้เกิดขึ้นและนำไปใช้งาน (Implement and Operate ISMS) ประกอบด้วยกิจกรรมย่อย ดังนี้ • จัดทำแผนการลดความเสี่ยง • นำแผนการลดความเสี่ยงไปปฏิบัติ • ใช้วิธีการควบคุมแบบต่างๆ • จัดการฝึกอบรม ให้ความรู้ และสร้างความตระหนัก • จัดการการดำเนินงาน • จัดการทรัพยากร • ดำเนินการในขั้นตอนการตรวจจับและตอบสนองต่อเหตุการณ์ไม่คาดคิดทางด้านความมั่นคงปลอดภัย Panida Panichkul 12

  13. Checkคือ ขั้นตอนของการติดตามและทบทวน (Monitor and Review) การดำเนินงานระบบ ISMS ประกอบด้วยกิจกรรมย่อย ดังนี้ • เข้าสู่กระบวนการติดตามการทำงานของระบบ ISMS • ประเมินประสิทธิผลของระบบ ISMS • ตรวจสอบระดับความเสี่ยง • จัดทำการตรวจสอบภายในของระบบ ISMS • ประเมินการบริหารจัดการระบบ ISMS • บันทึกกิจกรรมและเหตุการณ์ที่ส่งผลกระทบต่อระบบ ISMS Panida Panichkul 13

  14. Actคือ ขั้นตอนของการบำรุงรักษาและปรับปรุง (Maintain and Improve) ระบบ ISMS ประกอบด้วยกิจกรรมย่อย ดังนี้ • ปรับปรุงระบบในส่วนที่มีข้อบกพร่อง • ดำเนินการแก้ไขและป้องกัน • นำบทเรียนหรือกรณีศึกษาที่ประสบผลสำเร็จจากที่อื่นมาปรับใช้ • รายงานผลการใช้งานระบบแก่ทุกฝ่ายที่มีส่วนเกี่ยวข้อง • สร้างความมั่นใจว่าการปรับปรุงตรงตามวัตถุประสงค์ Panida Panichkul 14

  15. สำหรับมาตรฐาน ISO/IEC17799 ฉบับประเทศไทยนั้น จัดทำโดยคณะอนุกรรมการความมั่นคงในคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ให้ชื่อมาตรฐานดังกล่าวว่า “มาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์” โดยได้มีการปรับปรุงเนื้อหาให้ทันสมัยเรื่อยมา จากเวอร์ชันแรก จนปัจจุบันเป็นเวอร์ชันที่ 2.5 ประจำปี พ.ศ. 2550 และมีการเผยแพร่เพื่อใช้งานอย่างแพร่หลายในปัจจุบัน ภายในเอกสารประกอบไปด้วยรายละเอียดที่เป็นแนวทางในการดำเนินงานการจัดการความมั่นคงปลอดภัยของสารสนเทศไว้อย่างละเอียด Panida Panichkul 15

  16. Reference • พนิดา พานิชกุล, ความมั่นคงปลอดภัยของสารสนเทศ (Information Security), สำนักพิมพ์ เคทีพี, 2553. Panida Panichkul

More Related