290 likes | 309 Views
การจัดการความปลอดภัยระบบสารสนเทศ ( Information Security Management System : ISMS) ด้วย เกณฑ์ ม าตรฐาน การรักษาความมั่นคงปลอดภัย ISO/IEC 27001 และ ISO/IEC 17799.
E N D
การจัดการความปลอดภัยระบบสารสนเทศ (Information Security Management System : ISMS) ด้วยเกณฑ์มาตรฐานการรักษาความมั่นคงปลอดภัย ISO/IEC 27001 และ ISO/IEC 17799
การจัดการความปลอดภัยระบบสารสนเทศ (Information Security Management System : ISMS) ด้วยเกณฑ์มาตรฐานการรักษาความมั่นคงปลอดภัย ISO/IEC 27001 และ ISO/IEC 17799 • ISO/IEC 27001 และ ISO/IEC 17799 เป็นกรอบ (เกณฑ์) มาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศที่ได้รับการยอมรับจากหลายประเทศและถูกนำมาประยุกต์เพื่อช่วยบริหารจัดการระบบสารสนเทศในองค์กรของประเทศต่างๆ มากขึ้น • ความเป็นมา และพัฒนาการของมาตรฐานทั้งสองในภูมิภาคเอเชียแปซิฟิกและประเทศไทย • ความแตกต่างระหว่างมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 • สรุปสาระสำคัญของมาตรฐานดังกล่าวฉบับภาษาไทย (เวอร์ชั่น 2.5) ปี 2550 ซึ่งเป็นฉบับปรังปรุงล่าสุดเพื่อเป็นคู่มือแนวทางสำหรับผู้ดูแลระบบและผู้เกี่ยวข้องในการบริหารจัดการด้านความมั่นคงปลอดภัยให้เกิดประสิทธิภาพมากยิ่งขึ้น
ก่อนจะมาเป็นมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 มาตรฐานISO/IEC 27001 เป็นมาตรฐานหนึ่งที่เกี่ยวข้องกับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System: ISMS) ซึ่งพัฒนามาจากมาตรฐานในตระกูล ISO/IEC 27000 มาตรฐานISO/IEC 27001ได้ผ่านการปรับปรุงและนำออกเผยแพร่เมื่อเดือนตุลาคม ปี 2005 โดย International Organization for Standardization (ISO) และ International Electrotechnical Commission (IEC) มีชื่อเต็มคือISO/IEC 27001:2005 - Information technology -- Security techniques -- Information security management systems – Requirements
ก่อนจะมาเป็นมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799มาตรฐาน ISO/IEC 17799 เกิดจากการรวบรวมเอามาตรฐานพื้นฐาน (Baseline) ที่มีชื่อ BS 7799 ซึ่งเป็นมาตรฐานที่องค์กรอุตสาหกรรมหลายองค์กรยึดถือร่วมกันเพื่อใช้เป็นมาตรฐานอุตสาหกรรม ปี 2000 องค์กร BSI ได้ผลักดันให้ BS 7799 ได้รับโหวตให้เป็นมาตรฐานสากล และประกาศสู่สาธารณะภายใต้ชื่อมาตรฐาน “ISO/IEC 17799” และคณะทำงานได้ปรับปรุงมาตรฐานดังกล่าวต่อไป ปี 2005 จึงได้ประกาศมาตรฐาน ISO/IEC 17799 ฉบับปรับปรุงล่าสุดสู่สาธารณะ ปัจจุบัน มาตรฐาน ISO/IEC 17799 ยังคงได้รับการปรับปรุงต่อเนื่องเพื่อให้มีความเหมาะสมกับสภาพแวดล้อมของธุรกิจ BSI (British Standards Institution) เป็นองค์กรดำเนินงานทางด้านมาตรฐานการบริหารและการจัดการBSI ร่วมงานกับผู้เชี่ยวชาญในวงธุรกิจ องค์กรภาครัฐ สมาคมการค้า และกลุ่มผู้บริโภค ในการทำให้ได้มาซึ่งแนวทางปฏิบัติที่ดี
การประยุกต์มาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 ในภูมิภาคเอเชียแปซิฟิก หลังจากประกาศมาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ ISO/IEC 27001 และ ISO/IEC 17799 อย่างเป็นทางการหลายประเทศได้เริ่มนำมาตรฐานทั้งสองมาประยุกต์ในองค์กรทำให้เกิดการสร้างกลุ่มความร่วมมือทั้งในระดับโลกและระดับภูมิภาค ลักษณะการร่วมมือนี้ ได้แก่ การพัฒนาด้านเทคนิคร่วมกัน การให้ความเห็นต่อประเด็นของการรักษาความมั่นคงปลอดภัย การแบ่งปันความรู้และประสบการณ์ระหว่างกัน เป็นต้นต่อมา มีการประชุมครั้งแรกในเดือนพฤศจิกายนปี 2004ณ กรุงโตเกียว ประเทศญี่ปุ่น ภายใต้ชื่อ RAISS Forum หรือ Forum of Regional Asia Information Security Standards เพื่อให้กลุ่มภูมิภาคเอเชียแปซิฟิกได้เข้ามาร่วมรับทราบข่าวสาร และรับเอามาตรฐานไปปรับใช้ต่อไปซึ่งในการประชุมครั้งนี้มีตัวแทนจากหลายประเทศเข้าร่วมประชุม อาทิ ออสเตรเลีย มาเลเซีย ไต้หวัน ญี่ปุ่น สิงคโปร์ รวมถึงประเทศไทยโดยมีศูนยประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ประเทศไทย(ThaiCERT) ซึ่งในขณะนั้นเป็นหน่วยงานหนึ่งภายใต้การดูแลของศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) ได้ส่งตัวแทนเข้าร่วมประชุมในเวทีดังกล่าวด้วย
พัฒนาการมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 ของประเทศไทย ในเวทีความร่วมมือ RAISS ซึ่งมีตัวแทนจาก ThaiCERTเข้าร่วมการประชุมได้นำเสนอ Paper ที่ได้นำมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799เป็นแนวทางปฎิบัติงานของผู้ดูแลระบบและเครือข่าย กลุ่มผู้เข้าร่วมประชุมต่างให้ความเห็นกับ Paper นี้ว่าเป็นพัฒนาการที่สามารถนำไปใช้งานได้จริงและมีประเด็นที่ครอบคลุมมาตรฐานความปลอดภัยที่ค่อนข้างครบถ้วน ซึ่งภายหลังได้มีการพัฒนาและแปลร่างมาตรฐานฉบับภาษาไทยขึ้น และส่งมอบให้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์นำไปประกอบการพิจารณา และได้มีการปรับปรุงร่างมาตรฐานที่จัดทำขึ้น พร้อมทั้งประชาสัมพันธ์และรับฟังความคิดเห็นจากหน่วยงานที่เกี่ยวข้องและประชาชนอีกจำนวนหลายครั้ง จนมีความสมบูรณ์และเหมาะสม สำหรับมาตรฐานฉบับปรับปรุงล่าสุดคือภายใต้ชื่อ มาตรฐานการรักษาความมั่นคงปลอดภัย ในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ (เวอร์ชั่น 2.5) ประจำปี 2550
ความแตกต่างระหว่างมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799มาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 นี้เป็นมาตรฐานสากลที่เน้นด้านการรักษาความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กร และใช้เป็นมาตรฐานอ้างอิงเพื่อเป็นแนวทางในการเสริมสร้างความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กรอย่างแพร่หลาย ความแตกต่างระหว่างมาตรฐานทั้งสองอธิบายได้ดังนี้มาตรฐาน ISO/IEC 27001 กล่าวถึงข้อกำหนดในการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัย (Information Security Management : ISMS) ให้กับองค์กร เพื่อให้องค์กรสามารถบริหารจัดการทางด้านความปลอดภัยได้อย่างเหมาะสมต่อการดำเนินธุรกิจขององค์กร มาตรฐานดังกล่าวมีหัวข้อที่เกี่ยวข้องได้แก่ 1) ขอบเขต (Scope) 2) ศัพท์เทคนิคและนิยาม (Terms and definitions) 3) โครงสร้างของมาตรฐาน (Structure of this standard) 4) การประเมินความเสี่ยงและการจัดการกับความเสี่ยง ลด/ เอาออก/ ยอมรับความเสี่ยง (Risk assessment and treatment) และรักษาทรัพย์สินสารสนเทศที่มีค่า นอกจากนี้ มาตรฐาน ISO/IEC 27001 ยังประกอบด้วยไปด้วยวงจรบริหารจัดการความมั่นคงปลอดภัยตามขั้นตอน Plan-Do-Check-Act (P-C-D-A)
มาตรฐาน ISO/IEC 27001(ต่อ...) แสดงวงจรบริหารจัดการความมั่นคงปลอดภัยตามขั้นตอน Plan-Do-Check-Act (P-C-D-A)
แผนภาพแสดงวงจรการบริหารจัดการความมั่นคงปลอดภัยตามขั้นตอน Plan-Do-Check-Act
มาตรฐาน ISO/IEC 17799 เป็นมาตรฐานที่กล่าวถึงเรื่องวิธีปฎิบัติที่จะนำไปสู่ระบบบริหารจัดการความมั่นคงปลอดภัยที่องค์กรได้จัดทำขึ้นตามข้อกำหนดในมาตรฐาน ISO/IEC 27001 รายละเอียดของมาตรฐานนี้จะบอกถึงวิธีปฏิบัติในการลดความเสี่ยงที่เกิดจากจุดอ่อนของระบบโดยแบ่งหัวข้อหลักที่เกี่ยวข้องกับระบบ และให้แนวทางว่าผู้จัดทำควรปฎิบัติอย่างไร ซึ่งผู้ใช้สามารถเพิ่มเติมมาตรการหรือใช้วิธีการที่มีความมั่นคงปลอดภัยเพียงพอและเหมาะสม ซึ่งหัวข้อสำคัญหรือ 11 โดเมนหลักในมาตรฐานดังกล่าว มีดังนี้ 1) นโยบายความมั่นคงปลอดภัยขององค์กร (Security policy) 2) โครงสร้างด้านความมั่นคงปลอดภัยสำหรับองค์กร (Organization of information security) 3) การบริหารจัดการทรัพย์สินขององค์กร (Asset management) 4) ความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร (Human resources security)
มาตรฐาน ISO/IEC 17799 (ต่อ...) 5) การสร้างความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม (Physical and environmental security) 6) การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศ (Communication and operations management) 7) การควบคุมการเข้าถึง (Access Control) 8) การจัดหา การพัฒนาและบำรุงรักษาระบบสารสนเทศ (Information systems acquisition, development and maintenance) 9) การบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยขององค์กร (Information security incident management) 10) การบริหารความต่อเนื่องในการดำเนินงานขององค์กร (Business continuity management) 11) การปฏิบัติตามข้อกำหนด (Compliance)
สรุปความแตกต่างของมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 ความแตกต่างของมาตรฐาน ISO/IEC 27001 และมาตรฐาน ISO/IEC 17799 คือ มาตรฐาน ISO/IEC 27001 จะเน้นเรื่องข้อกำหนดในการจัดทำระบบ ISMS ให้กับองค์กรตามขั้นตอน Plan-Do-Check-Act และใช้แนวทางในการประเมินความเสี่ยงมาประกอบการพิจารณาเพื่อหาวิธีการหรือมาตรการที่เหมาะสม ส่วนมาตรฐาน ISO/IEC 17799 จะเน้นเรื่องวิธีปฎิบัติที่จะนำไปสู่ระบบ ISMS ที่องค์กรได้จัดทำขึ้น ซึ่งจะต้องเป็นไปตามมาตรฐาน ISO/IEC 27001 กำหนดไว้ด้วย
สาระสำคัญของมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 ฉบับประเทศไทย (เวอร์ชั่น 2.5) ประจำปี 2550 เป็นมาตรฐานที่เกิดจากการผนวกรวมของมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 เพื่อเป็นแนวทางสำหรับผู้ดูแลระบบและเครือข่าย โดยได้มีการพัฒนาและแปลมาตรฐานเป็นฉบับภาษาไทย รวมการปรับปรุงและพัฒนามาตรฐานอย่างต่อเนื่องจนได้มาตรฐานที่มีความสมบูรณ์และทันสมัย ซึ่งสาระสำคัญของมาตรฐานดังกล่าว แบ่งเป็น 2 ส่วนหลักคือ ส่วนที่ 1กระบวนการการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ (อ้างอิงข้อกำหนดตามมาตรฐาน ISO/IEC 27001) ส่วนที่ 2 มาตรการการจัดการด้านความมั่นคงปลอดภัยสำหรับสารสนเทศ(อ้างอิงมาตรฐาน ISO/IEC 27001 และศึกษารายละเอียดวิธีปฎิบัติทางเทคนิคจาก ISO/IEC 17799:2005)
ส่วนที่ 1กระบวนการการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ (อ้างอิงข้อกำหนดตามมาตรฐาน ISO/IEC 27001) มี 4 ข้อ • ข้อ 1 ระบบบริหารจัดการความปลอดภัยสำหรับสารสนเทศ • ประกอบด้วยข้อกำหนด 2 ประการคือ ข้อกำหนดทั่วไปและ ข้อกำหนดทางด้านการจัดทำเอกสาร • ข้อกำหนดทั่วไป • องค์กรจะต้องกำหนด ลงมือปฎิบัติ ดำเนินการ เฝ้าระวัง ทบทวน บำรุง รักษาและปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัยตามที่ได้กำหนดไว้เป็นลายลักษณ์อักษร ภายในกรอบกิจกรรมการดำเนินการทางธุรกิจต่างๆ รวมทั้งความเสี่ยงที่เกี่ยวข้องแนวทางที่ใช้ในมาตรฐานฉบับนี้จะใช้กระบวนการ Plan-Do-Check-Act หรือ P-D-C-A มาประยุกต์ใช้
Planคือการกำหนดนโยบาย และขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัยโดยพิจารณาถึงลักษณะของธุรกิจ องค์กร สถานที่ตั้ง ทรัพย์สิน และเทคโนโลยี พร้อมทั้งกำหนดวิธีการประเมินความเสี่ยงที่เป็นรูปธรรมขององค์กร วิเคราะห์และประเมินความเสี่ยง เลือกมาตรการด้านความปลอดภัยเพื่อจัดการกับความเสี่ยง ขอการอนุมัติเพื่อลงมือปฎิบัติสำหรับความเสี่ยงที่ยังลงเหลืออยู่ในระบบ ISMS และสุดท้ายคือ จัดทำเอกสาร SoA (Statement of Applicability) แสดงการใช้งานมาตรฐานตามที่แสดงไว้ในส่วนของมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางด้านอิเล็กทรอนิกส์ Doคือการลงมือปฎิบัติตามแผนการจัดการความเสี่ยง ซึ่งช่วยในการตรวจจับและรับมือกับเหตุการณ์ทางด้านความมั่นคงปลอดภัย พร้อมทั้งกำหนดวิธีการในการวัดความสัมฤทธิ์ผลของมาตรการที่เลือกมาใช้งาน
Check คือ • การเฝ้าระวัง ตรวจสอบและทบทวนผลการดำเนินการตามระบบ ISMS อย่างสม่ำเสมอ • วัดความสัมฤทธิ์ผลของมาตรการทางด้านความมั่นคงปลอดภัย • ทบทวนผลการประเมินความเสี่ยงตามรอบระยะเวลาที่กำหนดไว้สำหรับความเสี่ยงที่เหลืออยู่และระดับความเสี่ยงที่ยอมรับได้ • ดำเนินการตรวจสอบและทบทวนระบบบริหารจัดการความมั่นคงปลอดภัย ปรับปรุงแผนทางด้านความปลอดภัยโดยนำผลของการเฝ้าระวังและทบทวนกิจกรรมต่างๆ มาพิจารณาร่วมด้วย และบันทึกการดำเนินการซึ่งอาจมีผลกระทบต่อความสัมฤทธิ์ผลหรือประสิทธิภาพของระบบบริหารจัดการความมั่นคงปลอดภัย • Actคือ บำรุงรักษาและปรับปรุงคุณภาพของระบบ ISMSรวมถึงการใช้มาตรการเชิงแก้ไข ป้องกัน และใช้บทเรียนจากประสบการณ์ทางด้านความมั่นคงปลอดภัยขององค์กรเองและองค์กรอื่น แจ้งการปรับปรุงและดำเนินการให้แก่ทุกหน่วยงานที่เกี่ยวข้อง และตรวจสอบว่าการปรับปรุงที่ทำไปแล้วนั้นบรรลุตามวัตถุประสงค์ที่กำหนดไว้หรือไม่
ข้อกำหนดทางด้านการจัดทำเอกสารข้อกำหนดทางด้านการจัดทำเอกสาร • เอกสารจำเป็นต้องจัดทำ หมายถึงถึง บันทึกแสดงการตัดสินใจของผู้บริหาร ได้แก่นโยบายความมั่นคงปลอดภัย ขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัย วิธีการประเมินความเสี่ยง เป็นต้น • การบริหารจัดการเอกสาร เอกสารตามข้อกำหนดของระบบบริหารจัดการความมั่นคงปลอดภัยจะต้องได้รับการป้องกันและควบคุม ขั้นตอนการปฎิบัติที่เกี่ยวข้องกับการจัดการเอกสาร ได้แก่ อนุมัติการใช้งานเอกสารก่อนที่จะเผยแพร่ ทบทวน ปรับปรุง และอนุมัติเอกสารอีกตามความจำเป็น ระบุการเปลี่ยนแปลงและสภานภาพของเอกสารปัจจุบัน • การจัดการบันทึกข้อมูลหรือฟอร์มต่างๆ องค์กรจะต้องมีการกำหนด จัดทำและบำรุงรักษาบันทึกข้อมูลหรือฟอร์มต่างๆ เพื่อใช้เป็นหลักฐานแสดงความสอดคล้องกับข้อกำหนดและการดำเนินการของระบบบริหารจัดการความมั่นคงปลอดภัย
ข้อ 2 หน้าที่ความรับผิดชอบของผู้บริหาร • ผู้บริหารจะต้องแสดงถึงการให้ความสำคัญต่อการลงมือปฎิบัติการ ดำเนินการเฝ้าระวัง ทบทวน การบำรุงรักษาและการปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัย • การสร้างความตระหนักและการเพิ่มขีดความสามารถเพื่อให้บุคลากรที่ได้รับมอบหมายหน้าที่ สามารถปฎิบัติงานได้ตามที่กำหนดในนโยบายความมั่นคงปลอดภัย • ข้อ 3 การตรวจสอบระบบบริหารจัดการความมั่นคงปลอดภัย องค์กรควรตรวจสอบตามรอบระยะเวลาที่กำหนดไว้เพื่อดูว่า วัตถุประสงค์ มาตรการ กระบวนการ และขั้นตอนปฎิบัติของระบบบริหารจัดการความมั่นคงปลอดภัยมีความสอดคล้องกับข้อกำหนดในมาตรฐานฉบับนี้และกฎหมาย ระเบียบ ข้อบังคับต่างๆ หรือไม่ รวมทั้งจัดทำรายงานผลการตรวจสอบและบันทึกข้อมูลของการตรวจสอบนั้น • ข้อ 4 การทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยโดยผู้บริหารผู้บริหารจะต้องทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยตามรอบระยะเวลาที่กำหนดไว้ (เช่นปีละ 1 ครั้ง) เพื่อให้มีการดำเนินการที่เหมาะสม พอเพียงและสัมฤทธิ์ผล การทบทวนจะต้องรวมถึงการปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัย ซึ่งลของการทบทวนจะต้องได้รับการบันทึกไว้อย่างเป็นลายลักษณ์อักษร
ส่วนที่ 2 มาตรการการจัดการด้านความมั่นคงปลอดภัยสำหรับสารสนเทศ(อ้างอิงมาตรฐาน ISO/IEC 27001 และศึกษารายละเอียดวิธีปฎิบัติทางเทคนิคจาก ISO/IEC 17799:2005) ประกอบด้วยข้อกำหนด 11 ข้อ ดังนี้ • นโยบายความมั่นคงปลอดภัย (Security policy) มีผู้บริหารต้องจัดทำนโยบายความมั่นคงปลอดภัยเป็นลายลักษณ์อักษร เพื่อกำหนดทิศทางและให้การสนับสนุนการดำเนินการด้านความมั่นคงปลอดภัยสำหรับสารสนเทศขององค์กร เพื่อให้สอดคล้องกับข้อกำหนดทางธุรกิจ กฎหมาย และระเบียบปฎิบัติที่เกี่ยวข้อง รวมถึงการทบทวนนโยบายตามระยะเวลาที่กำหนดหรือเมื่อมีการเปลี่ยนแปลงที่สำคัญขององค์กร • โครงสร้างด้านความมั่นคงปลอดภัยสำหรับองค์กร (Internal • organization) กล่าวถึงบทบาทของผู้บริหารองค์กร และหัวหน้างาน • สารสนเทศ ดังนี้ • - โครงสร้างทางด้านความมั่นคงปลอดภัยภายในองค์กร • - โครงสร้างทางด้านความมั่นคงปลอดภัยที่เกี่ยวข้องกับลูกค้าหรือหน่วยงานภายนอก เพื่อบริหาร- จัดการความมั่นคงปลอดภัยสำหรับสารสนเทศและอุปกรณ์ประมวลผลสารสนเทศขององค์กรที่ถูกเข้าถึง ถูกประมวลผล หรือถูกใช้ในการติดต่อสื่อสารกับลูกค้าหรือหน่วยงานภายนอก
การบริหารจัดการทรัพย์สินขององค์กร (Asset management) • กล่าวถึงบทบาทของหัวหน้างานสารสนเทศและหัวหน้างานพัสดุ • - หน้าที่ความรับผิดชอบต่อทรัพย์สินขององค์กร เพื่อป้องกันความเสียหาย • ที่อาจขึ้นได้ • การจัดหมวดหมู่สารสนเทศ เพื่อกำหนดระดับของการป้องกันสารสนเทศ • ขององค์กรอย่างเหมาะสม
ความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร (Human resources • security) กล่าวถึงบทบาทของผู้บริหารสารสนเทศ หัวหน้างานสารสนเทศ • หัวหน้างานบุคคลและหัวหน้างานที่เกี่ยวข้อง ดังนี้ • การสร้างความมั่นคงปลอดภัยก่อนการจ้างงาน เพื่อให้พนักงานและผู้เกี่ยวข้องจากหน่วยงานภายนอก เข้าใจถึงบทบาทและหน้าที่ความรับผิดชอบของตน และเพื่อลดความเสี่ยงอันเกิดจากการขโมย การฉ้อโกง และการใช้อุปกรณ์ผิดวัตถุประสงค์ • การสร้างความมั่นคงปลอดภัยในระหว่างการจ้างงาน เพื่อให้พนักงานและผู้เกี่ยวข้องจากหน่วยงานภายนอกได้ตระหนักถึงภัยคุกคามและปัญหาที่เกี่ยวข้องกับความมั่นคงปลอดภัย และทำความเข้าใจกับนโยบาย เพื่อลดความเสี่ยงอันเกิดจากความผิดพลาดในการปฎิบัติหน้าที่ • การสิ้นสุดและการเปลี่ยนการจ้างงาน เพื่อให้พนักงานและผู้เกี่ยวข้องจากหน่วยงานภายนอกได้ทราบถึงหน้าที่ความรับผิดชอบและบทบาทของตน เมื่อสิ้นสุดหรือมีการเปลี่ยนการจ้างงาน
การสร้างความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อมการสร้างความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม • (Physical and environmental security) กล่าวถึงบทบาทของหัวหน้างาน • สารสนเทศและหัวหน้างานอาคารในด้านต่างๆ ดังนี้ • บริเวณที่ต้องมีการรักษาความมั่นคงปลอดภัย เพื่อป้องกันการเข้าถึงทางกายภาพโดยไม่ได้รับอนุญาต การก่อให้เกิดความเสียหาย และการก่อกวนหรือแทรกแซงต่อทรัพย์สินสารสนเทศขององค์กร • ความมั่นคงปลอดภัยของอุปกรณ์ เพื่อป้องกันการสูญหาย เสียหาย ถูกขโมย หรือการถูกเปิดเผยโดยไม่ได้รับอนุญาตส่งผลให้กิจกรรมการดำเนินงานต่างๆ ขององค์กรเกิดการติดขัดหรือหยุดชะงัก • การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศขององค์กร (Communications and operations management) กล่าวถึงบทบาทของผู้บริหารองค์กร ผู้บริหารสารสนเทศ หัวหน้างานสารสนเทศ ผู้ที่เป็นเจ้าของกระบวนการทางธุรกิจและพนักงานสารสนเทศในด้านต่างๆ ดังนี้ • การกำหนดหน้าที่ความรับผิดชอบและขั้นตอนการปฎิบัติงาน เพื่อให้การดำเนินงานที่เกี่ยวข้องกับอุปกรณ์ประมวลผลสารสนเทศเป็นไปอย่างถูกต้องและปลอดภัย
การบริหารจัดการการให้บริการของหน่วยงานภายนอก เพื่อจัดทำและรักษาระดับความมั่นคงปลอดภัยของการปฎิบัติหน้าที่โดยหน่วยงานภายนอกให้เป็นไปตามข้อตกลงที่จัดทำไว้ระหว่างองค์กรกับหน่วยงานภายนอก • การวางแผนและการตรวจรับทรัพยากรสารสนเทศ เพื่อลดความเสี่ยงจากความล้มเหลวของระบบ • การป้องกันโปรแกรมที่ไม่ประสงค์ดี เพื่อรักษาซอฟต์แวร์และสารสนเทศให้ปลอดภัยจากการถูกทำลายโดยซอฟต์แวร์ที่ไม่ประสงค์ดี • การสำรองข้อมูล เพื่อรักษาความถูกต้องสมบูรณ์และความพร้อมใช้ของสารสนเทศและอุปกรณ์ประมวลผลสารสนเทศ • การบริหารจัดการทางด้านความปลอดภัยสำหรับเครือข่ายขององค์กร เพื่อป้องกันสารสนเทศบนเครือข่ายและโครงสร้างพื้นฐานที่สนับสนุนการทำงานของเครือข่าย • การจัดการสื่อที่ใช้ในการบันทึกข้อมูล เพื่อป้องกันการเปิดเผย การเปลี่ยนแปลง การลบหรือทำลายทรัพย์สินสารสนเทศโดยไม่ได้รับอนุญาต และการติดขัดหรือหยุดชะงักทางธุรกิจ
การแลกเปลี่ยนสารสนเทศ เพื่อรักษาความมั่นคงปลอดภัยของสารสนเทศและซอฟต์แวร์ที่มีการแลกเปลี่ยนกันภายในองค์กร และที่มีการแลกเปลี่ยนกับหน่วยงานภายนอก • การสร้างความมั่นคงปลอดภัยสำหรับบริการพาณิชย์อิเล็กทรอนิกส์ เพื่อสร้างความมั่นคงปลอดภัยสำหรับบริการพาณิชย์อิเล็กทรอนิกส์และในการใช้งาน • การเฝ้าระวังทางด้านความมั่นคงปลอดภัย เพื่อตรวจจับกิจจกรรมการประมวลผลสารสนเทศที่ไม่ได้รับอนุญาต
การควบคุมการเข้าถึง (Access control) กล่าวถึงบทบาทของผู้บริหาร • สารสนเทศ หัวหน้างานสารสนเทศ ผู้ดูแลระบบและพนักงานในด้านต่างๆ • ดังนี้ • ข้อกำหนดทางธุรกิจสำหรับการควบคุมการเข้าถึงสารสนเทศ เพื่อควบคุมการเข้าถึงสารสนเทศ • การบริหารจัดการการเข้าถึงของผู้ใช้ เพื่อควบคุมการเข้าถึงเฉพาะที่ได้รับอนุญาตแล้วและป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต • หน้าที่ความรับผิดชอบของผู้ใช้งาน การเปิดเผยหรือการขโมยสารสนเทศและอุปกรณ์ประมวลผลสารสนเทศ • การควบคุมการเข้าถึงเครือข่ายที่ไม่ได้รับอนุญาต • การควบคุมการเข้าถึงระบบปฎิบัติการที่ไม่ได้รับอนุญาต • การควบคุมการเข้าถึง Application และสารสนเทศที่ไม่ได้รับอนุญาต • การควบคุมอุปกรณ์สื่อสารประเภทพกพาและการปฎิบัติงานจากภายนอกเพื่อสร้างความมั่นคงปลอดภัยให้กับอุปกรณ์และการปฎิบัติงานที่เกี่ยวข้อง
8. การจัดหา การพัฒนาและการบำรุงรักษาระบบสารสนเทศ (Information systems acquisition, development and maintenance)กล่าวถึงบทบาทของหัวหน้างานสารสนเทศ ผู้พัฒนาระบบ และผู้เป็นเจ้าของระบบในด้านต่างๆ ดังนี้ • ข้อกำหนดด้านความมั่นคงปลอดภัยสำหรับระบบสารสนเทศ เพื่อให้การจัดหาและพัฒนาระบบสารสนเทศได้พิจารณาถึงประเด็นทางด้านความมั่นคงปลอดภัยเป็นองค์ประกอบพื้นฐานที่สำคัญ • การประมวลผลสารสนเทศใน Application เพื่อป้องกันความผิดพลาดในสารสนเทศ การสูญหายของสารสนเทศ การเปล่ยนแปลงสารสนเทศโดยไม่ได้รับอนุญาต หรือการใช้งานสารสนเทศผิดวัตถุประสงค์ • มาตรการการเข้ารหัสข้อมูลเพื่อรักษาความลับของข้อมูล ยืนยันตัวตนของผู้ส่งข้อมล หรือรักษาความครบถ้วนสมบูรณ์ของข้อมูลโดยใช้วิธีการเข้ารหัสข้อมูล • การสร้างความมั่นคงปลอดภัยให้กับไฟล์ของระบบที่ให้บริการ • การสร้างความมั่นคงปลอดภัยสำหรับกระบวนการการพัฒนาระบบเพื่อรักษาความมั่นคงปลอดภัยสำหรับซอฟต์แวร์และสารสนเทศของระบบ • การจัดการช่องโหว่ในฮาร์ดแวร์และซอฟต์แวร์ เพื่อลดความเสี่ยงจากการโจมตีโดยอาศัยช่องโหว่ทางเทคนิคที่มีการเผยแพร่หรือตีพิมพ์
9. การบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยขององค์กร (Information security incident management) กล่าวถึงบทบาทของหัวหน้างานสารสนเทศ หัวหน้างานนิติกร ผู้ดูแลระบบและพนักงานในด้านต่างๆ ดังนี้ • การรายงานเหตุการณ์และจุดอ่อนที่เกี่ยวข้องกับความมั่นคงปลอดภัยของระบบสารสนเทศขององค์กร เพื่อให้มีการดำเนินการที่ถูกต้องในช่วงระยะเวลาที่เหมาะสม • การบริหารจัดการและการปรับปรุงแก้ไขต่อเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัย เพื่อให้มีวิธีการที่สอดคล้องและได้ผลในการบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสำหรับสารสนเทศขององค์กร • 10. การบริหารความต่อเนื่องในการดำเนินงานขององค์กร (Business continuity management) กล่าวถึงบทบาทของผู้บริหารสารสนเทศ และหัวหน้างานสารสนเทศ ที่เกี่ยวกับหัวข้อพื้นฐานสำหรับการบริหารความต่อเนื่องในการดำเนินงานขององค์กรเพื่อป้องกันการติดขัดหรือการหยุดชะงักของกิจกรรมต่างๆ ทางธุรกิจอันเป็นผลมาจากการล้มเหลวหรือหายนะที่มีต่อระบบสารสนเทศ และเพื่อให้สามารถกู้ระบบกลับคืนมาได้ภายในระยะเวลาที่เหมาะสม
11. การปฎิบัติตามข้อกำหนด (Compliance) กล่าวถึงบทบาทของหัวหน้างานสารสนเทศและหัวหน้างานนิติกรในด้านต่างๆ ดังนี้ • การปฏิบัติตามข้อกำหนดทางกฎหมาย ระเบียบปฏิบัติ ข้อกำหนดในสัญญา และข้อกำหนดทางด้านความมั่นคงปลอดภัยอื่นๆ • การปฎิบัติตามนโยบาย มาตรฐานความปลอดภัยและข้อกำหนดทางเทคนิค เพื่อให้ระบบเป็นตามนโยบายและมาตรฐานความมั่นคงปลอดภัยตามที่องค์กรกำหนดไว้ • การตรวจประเมินระบบสารสนเทศตามรอบระยะเวลาที่กำหนดเพื่อประสิทธิภาพสูงสุดของการทำงานระบบ และมีการแทรกแซงที่ทำให้ระบบหยุดชะงักน้อยที่สุด