establishment of information system security according to ......

การสรางความมนคงปลอดภยใหกบระบบเทคโนโลยสารสนเทศ ตามมาตรฐาน ISO27001 ขององคกรกรณศกษา

บรษท บกฟช เอนเตอรไพรส จ ากด Establishment of Information System Security

according to ISO27001 standard for organization case study Bigfish Enterprise Limited.

พรมล เกงคมพล Piramol Kengkoomphol

สารนพนธฉบบนเปนสวนหนงของการศกษา ตามหลกสตรวทยาศาสตรมหาบณฑต

สาขาวชาความมนคงทางระบบสารสนเทศ บณฑตวทยาลย มหาวทยาลยเทคโนโลยมหานคร

ปการศกษา 2555

I

หวขอสารนพนธ การสรางความมนคงปลอดภยใหกบระบบเทคโนโลยสารสนเทศ ตามมาตรฐาน ISO27001 ขององคกรกรณศกษา บรษท บกฟช เอนเตอรไพรส จ ากด

นกศกษา พรมล เกงคมพล รหสนกศกษา 5317810037 ปรญญา วทยาศาสตรมหาบณฑต ภาควชา ความมนคงทางระบบสารสนเทศ พ. ศ. 2555 อาจารยผควบคมสารนพนธ ผศ.ดร.ศภกร กงพศดาร อ.ไพบลย ปญญายทธการ

บทคดยอ

โครงงานการบรหารจดการความเสยง และการเพมความมนคงปลอดภยสารสนเทศใหกบองคกรตามมาตรฐาน ISO/IEC27001 ขององคกรกรณศกษา บรษท บกฟช เอนเตอรไพรส จ ากด จดท าขนโดยมวตถประสงคเพอศกษามาตรฐาน ISO/IEC27001 แลวน าไปประยกตใชในการวเคราะหและประเมนความเสยงใหกบองคกร เพอใหองคกรไดรบทราบถงจดออน ภยคกคาม และระดบความเสยงทองคกรมอยเพอจดท าแผนบรหารจดการความเสยงในแตละระดบใหเหมาะสมกบความพรอมขององคกร เมอจดท าแผนบรหารจดการความเสยงแลวกมข นตอนการปฏบตงานเพอลดความเสยงทมอยและวดผลการด าเนนการดวยการประเมนความเสยงซ าอกครง พบวาภายหลงจากการด าเนนการ ความเสยงทองคกรมอยไดลดนอยลง และผลลพททไดจากโครงงานนองคกรยงสามารถปรบปรงแกไขเพอน าไปใชงานตอไดในอนาคต

II

Project Title Establishment of Information Systems Security according to ISO27001 standard for organization case study: Bigfish Enterprise Limited.

Student Piramol Kengkoomphol Student ID 5317810037 Degree Master of Science Program Information System Security Year 2012 Project Advisors Asst. Prof. Supakorn Kungpisdan Paiboon Punyayuttakan

ABSTRACT

Establishment of Information Systems Security according to ISO/IEC27001 standard for Bigfish Enterprise Limited company has been researched in order to study about this standard and applied for analyzing and evaluating the company IT risks. Risk Management Plan was created to mitigate risks based on the readiness of the organization.

Implementation process according to risk management plan was done and risk level was reduced after the second round of risk assessment. In addition, result from this project has been used by the company to developing information security management within the organization.

III

กตตกรรมประกาศ

สารนพนธฉบบนเกดขนและสามารถส าเรจลลวงได เนองจากไดรบการสนบสนนและค าแนะน าเกยวกบแนวทางในการศกษาคนควาขอมลและวธการปฏบตงานจากอาจารย ผศ.ดร.ศภกร กงพสดาร ทปรกษาโครงงาน และอาจารยไพบลย ปญญายทธการ ทปรกษารวมโครงงานเปนอยางด ทางผจดท าตองขอขอบพระคณอาจารยทงสองเปนอยางสงทไดสละเวลาอนมคาในการใหค าปรกษาและถายทอดประสบการณอนเปนประโยชนตอโครงงานนมาโดยตลอด

นอกจากน ทางผจ ดท าตองขอขอบพระคณคณาจารยจากภาควชาความมนคงปลอดภยสารสนเทศ จากมหาวทยาลยเทคโนโลยมหานคร ทไดใหความรความเขาใจดานความมนคงปลอดภยสารสนเทศอนเปนประโยชนตอการศกษาคนควาและการจดท าสารนพนธ ขอขอบคณครอบครว พๆ และเพอนๆทคอยใหค าปรกษาและเปนก าลงใจใหโดยตลอด

ทส าคญเปนอยางยง สารนพนธฉบบนจะเกดขนไมไดเลย หากไมไดรบการสนบสนนจากคณะกรรมการฝายบรหารของบรษท บกฟช เอนเตอรไพรส จ ากด ไดแก คณอนพงษ นตโร คณสจนดา สรรตนเรขา และคณมนสศร จนสทธรางกร ทไดใหความส าคญกบความมนคงปลอดภยสารสนเทศ และไดพจารณาอนญาตใหน าองคกรไปเปนองคกรกรณศกษา อกทงยงใหการสนบสนนในเรองการด าเนนการในทกขนตอนอยางเตมท และขอขอบคณทางทมงานของบรษทบกฟช เอนเตอรไพรส จ ากด ทกทานทไดอ านวยความสะดวกในการปฏบตงานรวมกนมาโดยตลอด ทางผจดท าตองขอขอบพระคณทกทานเปนอยางสง มา ณ โอกาสน

พรมล เกงคมพล 15 ตลาคม 2555

IV

สารบญ

หนา บทคดยอภาษาไทย I บทคดยอภาษาองกฤษ II กตตกรรมประกาศ III สารบญ IV สารบญตาราง VI สารบญรป VII บทท 1 บทน า 1 1.1 ความเปนมาของโครงงาน 1

1.2 ปญหาและแรงจงใจ 2 1.3 วตถประสงคของโครงงาน 2 1.4 ขอบเขตของโครงงาน 3 1.5 ประโยชนทคาดวาจะไดรบจากโครงงาน 4 1.6 แผนการด าเนนงาน 4 1.7 สถาบนทใหการสนบสนน 6

บทท 2 ทฤษฎและพนฐานทเกยวของ 7 2.1 ความมนคงปลอดภยสารสนเทศ (Information Security) 7 2.2 มาตรฐานการรกษาความมนคงปลอดภยขอมล 8 2.3 การบรหารความเสยงดานเทคโนโลยสารสนเทศ 11 บทท 3 วธการด าเนนงาน 16 3.1 ขนตอนในการด าเนนการ 16 3.2 โครงสรางองคกร 18 3.3 การประเมนความเสยง 19 บทท 4 ผลการด าเนนการ 32 4.1 ผลการประเมนความเสยงกอนด าเนนโครงการ 33

V

สารบญ (ตอ) หนา 4.2 ผลการประเมนความเสยงหลงด าเนนโครงการ 71 บทท 5 สรปผลการด าเนนโครงงาน 93 เอกสารอางอง 98 ภาคผนวก 99 ภาคผนวก ก เอกสารแสดงการประยกตใชงาน (Statement Of Applicability) 99 ภาคผนวก ข เอกสารขออนญาตองคกรในการด าเนนโครงงาน 134 ภาคผนวก ค ตวอยางเอกสารนโยบายการเขารหสขอมลสารสนเทศ 135

ภาคผนวก ง ตวอยางเอกสารแนวทางปฏบตการตงคาโปรแกรม PGP Desktop เพอการ จดการจดหมายอเลกทรอนกส (PGP Desktop Email Configuration Guideline) 137

ภาคผนวก จ ตวอยางมาตรการในการบงคบใชนโยบายดานการรบสงขอมลทาง อเลกทรอนกส 140 ภาคผนวก ฉ ตวอยางมาตรการในการบงคบใชแนวทางปฏบตการตงคาโปรแกรม PGP Desktop เพอการจดการจดหมายอเลกทรอนกส 141

VI

สารบญตาราง

หนา ตารางท 1.1 ตารางการด าเนนงานโครงงาน 1 4 ตารางท 1.2 ตารางการด าเนนงานโครงงาน 2 5 ตารางท 3.1 รายการทรพยสนในหอง Data Center 16 ตารางท 3.2 แสดงตวอยางการระบภยคกคามแยกตามประเภทของทรพยสน 22 ตารางท 3.3 เกณฑการประเมนคาผลกระทบดานการเงนในเชงคณภาพ 24 ตารางท 3.4 เกณฑการประเมนผลกระทบดานชอเสยงในเชงคณภาพ 24 ตารางท 3.5 เกณฑการประเมนผลกระทบดานการหยดชะงกในการด าเนนงาน ในเชงคณภาพ 25 ตารางท 3.6 เกณฑในการประเมนคาผลกระทบของเหตการณความเสยหายหนงๆ ทมตอบรษทฯ 26 ตารางท 3.7 เกณฑในการพจารณาระดบความยากทตวคกคามจะคกคามจดออนจดบกพรองของ ทรพยสน 27 ตารางท 3.8 เกณฑในการพจารณาระดบวธการและแรงจงใจของตวคกคาม 27 ตารางท 3.8 เกณฑในการพจารณาระดบโอกาสทภยคกคามจะคกคามทรพยสนหนงๆ 28 ตารางท 3.10 เกณฑประเมนโอกาสของการเกดเหตการณความเสยหายหนงๆ 28 ตารางท 3.11 เกณฑในการประเมนระดบคาความเสยงของเหตการณ ความเสยหายหนงๆ ทมตอบรษทฯ 29 ตารางท 4.1 ตารางแสดงผลการประเมนความเสยง 33 ตารางท 4.2 ตารางสรปจ านวนความเสยง 59 ตารางท 4.3 ตารางสรปผลการด าเนนการในการบรหารจดการความเสยง 70 ตารางท 4.4 ตารางแสดงผลการประเมนความเสยงหลงด าเนนโครงงาน 91 ตารางท 4.5 ตารางสรปจ านวนความเสยงหลงด าเนนโครงงาน 92 ตารางท 5.1 ตารางสรปจ านวนความเสยงกอนและหลงด าเนนโครงงาน 93

VII

สารบญรป

หนา รปท 2.1 คณสมบตความมนคงปลอดภยของขอมล 7 รปท 2.2 แผนภาพโครงสราง Plan-Do-Check-Act Cycle 10 รปท 3.1 โครงสรางองคกร 18 รปท 5.1 แผนภาพสรปจ านวนความเสยงในแตละระดบ 94 รปท 5.2 แผนภาพสรปจ านวนความเสยงในสวนของฮารดแวร 95 รปท 5.3 แผนภาพสรปจ านวนความเสยงในสวนของซอฟตแวร 95 รปท 5.4 แผนภาพสรปจ านวนความเสยงในสวนของสารสนเทศ 96 รปท 5.5 แผนภาพสรปจ านวนความเสยงในสวนของพนกงาน 96 รปท 5.6 แผนภาพสรปจ านวนความเสยงในสวนของบรการ 97

1

บทท 1 บทน ำ

1.1 ควำมเปนมำของโครงงำน

นบตงแตอดต แตละองคกรไดใหความส าคญตอขอมลทกประเภททมความเกยวของกบ

การด าเนนธรกจขององคกร เชน ขอมลในการประกอบธรกจ ขอมลในการด าเนนการซอขาย ขอมลทเปนขอตกลง หรอสญญาตางๆระหวางองคกรกบคคาหรอลกคา เปนตน ซงขอมลเหลานถอเปนทรพยากรอนมคายง เพราะหากถกเปดเผยออกไป อาจมผลกระทบตอการด าเนนธรกจ ถกเอารดเอาเปรยบ ท าใหเสอมเสยชอเสยง หรอเกดความเสยหายอนๆตามมาได ดงนน แตละองคกรจงไดมการคดคนวธการในการปองกนขอมลส าคญๆเหลานนใหรอดพนจากภยคกคามและผไมประสงคดมาอยางตอเนอง ดวยความกาวหนาของวทยาศาสตรและเทคโนโลยในปจจบน มเทคโนโลยตางๆทสามารถอ านวยความสะดวกสบายในการด าเนนธรกจไดมากขน องคกรสามารถน าเทคโนโลยเขามาชวยควบคมคณภาพการผลต ควบคมการด าเนนการ ควบคมการบรการจดการระบบงานตางๆ เพอเพมประสทธภาพในการท างานและชวยลดตนทนในการผลตไดมาก ท าใหการตดตอสอสาร การจดเกบขอมล และแลกเปลยนขอมลโดยใชเทคโนโลยสารสนเทศไดรบความนยมสงสด ดวยสาเหตนเอง องคกรสวนใหญจงนยมจดเกบขอมลทมความส าคญตางๆในรปแบบของขอมลสารสนเทศ ซงงายตอการจดเกบ การบ ารงรกษาและการแลกเปลยนขอมล ขอมลทงหมดทเกบรวบรวมไวจะถกประมวลผลและเลอกสรรเพอน าไปใชประโยชนตามวตถประสงคและเปาหมายขององคกรใหมากทสด และมการบรหารจดการทใหความส าคญตอความพรอมใชของขอมลสารสนเทศเหลานนดวย ดงนน จากทไดกลาวถงความส าคญของขอมลสารสนเทศขางตนแลว จะสามารถวเคราะหไดวาขอมลสารสนเทศทด ควรจะตองเปนขอมลทไดรบการรกษาความมนคงปลอดภยของขอมลสารสนเทศเปนอยางด เพอไมใหผท ไมไดรบอนญาตเขาถง ใชงาน เปดเผย แกไขเปลยนแปลง ท าซ า ตรวจจบ หรอขดขวางการเขาใชงานขอมลสารสนเทศตามปกต และระบบสารสนเทศทดควรมสภาพความพรอมใชทดอยเสมอ ท าใหองคกรทมการน าเทคโนโลยสารสนเทศมาใช จ าตองมการปรบปรงและพฒนาวธการในการรกษาความปลอดภยของขอมลสารสนเทศขององคกรอยางสม าเสมอ และนอกจากเรองของเทคโนโลยทท ามาใชบรหารจดการระบบงานตางๆ และเรองความเชยวชาญเฉพาะทางของผดแลระบบแลว การวางแบบวธปฏบตในการรกษาความมนคงปลอดภยขอมลสารสนเทศกเปนสงทส าคญในการปกปองขอมลสารสนเทศขององคกรใหรอดพนจากภยคกคามและผไมประสงคดดวยเชนกน

2

กรณศกษำ

บรษทบกฟช เอนเตอรไพรส จ ากด จดตงขนเพอใหบรการทางดานการออกแบบ ตดตง ตรวจสอบใหค าปรกษา ฝกอบรม และน าเสนอสนคาและบรการดานการรกษาความมนคงปลอดภยเทคโนโลยสารสนเทศ ดวยความกาวหนาทางเทคโนโลยและความส าคญของของขอมลในยคปจจบน ท าใหบรษทฯ ไดตระหนกถงความส าคญของการรกษาความปลอดภยใหกบขอมลสารสนเทศเปนอยางมาก และเนองจากทางบรษทฯ เปนองคกรทอยในฐานะของผใหบรการดานการรกษาความมนคงปลอดภยสารสนเทศ จงตองมมาตรการรกษาความปลอดภยของขอมลสารสนเทศตางๆ ทงขององคกร และของลกคาใหมความมนคงปลอดภยสงสด เพอใหปราศจากภยคกคามและผไมหวงด

ในดานมาตรการรกษาความมนคงปลอดภยขอมลสารสนเทศ บรษทฯ ไดวางแผนจดท านโยบายการบรหารจดการดานความมนคงปลอดภยสารสนเทศโดยใชหลกเกณฑตามมาตรฐาน ISO27001โดยมวตถประสงคเพอเพมประสทธภาพในการรกษาความมนคงปลอดภยสารสนเทศ ใหกบองคกร ซงในโครงงานนผจดท าจะท าการศกษาเฉพาะในสวนของ Data Center ขององคกรซงมระบบงานทมความส าคญกบขอมลสารสนเทศขององคกรในอนดบตนๆ เชน Mail Server, Web Server และอปกรณเครอขายอนๆ โดยน ามาตรฐาน ISO27001 ทเปนมาตรฐานสากลทางดานความมนคงปลอดภยสารสนเทศ เนองจากมแนวทางในการบรหารจดการทมข นตอนและวธปฏบตทครอบคลมในทกๆดาน และทางบรษทฯ ซงมการสนบสนนใหมการน ามาตรฐาน ISO27001 มาปรบใชกบองคกรอยางจรงจงอยแลว จงไดอนญาตใหผจดท าใชองคกรเปนกรณศกษา เพอจะไดมการตรวจสอบ ปรบปรง ลดความเสยงดานความมนคงปลอดภยขององคกรใหเปนไปตามวตถประสงคทต งไว รวมไปถง การปองกนภยคกคามตางๆ ทอาจมผลกระทบอนกบธรกจองคกรหรอบคคลภายนอกทเกยวของ เชน ลกคา หรอ คคา ไดอกดวย 1.2. ปญหำและแรงจงใจ

องคกรสวนใหญจะมหองศนยขอมลตงอยภายในองคกร และมการควบคมการสอสารแลกเปลยนขอมลสารสนเทศเพอความมนคงปลอดภยของขอมล แตหากไมมการตรวจสอบความเสยงทมและจดท ามาตรการในบรหารจดการความเสยงทถกตองเหมาะสมอาจสงผลใหเกดผลกระทบตอการด าเนนธรกจและชอเสยงขององคกรได 1.3 วตถประสงคของโครงงำน

1.3.1 เพอศกษามาตรฐานความมนคงปลอดภยสารสนเทศ ISO27001 1.3.2 หาแนวทางในการแกไขปญหาและลดความเสยงดานการรกษาความปลอดภย

ของขอมลสารสนเทศในสวนของ Data Center ขององคกร

3

1.3.3 เพอใชเปนเครองมอชวยในการตดสนใจของผบรหาร ในการวางแผนดานความมนคงปลอดภยของขอมลสารสนเทศ ท าใหระบบคอมพวเตอรทเกยวของกบธรกจขององคกร สามารถด าเนนไปไดอยางตอเนองและมความมนคงปลอดภย 1.4 ขอบเขตของโครงงำน

1.4.1 ขอบเขตโครงงำน 1 - การก าหนดขอบเขตของการจดท า Information Security Management System (ISMS) หรอระบบบรหารความมนคงปลอดภยสารสนเทศ - ระบขอบเขตของการ ISMS - ก าหนดนโยบายเกยวกบ ISMS - จดท ารายการทรพยสนในสวนทเกยวของกบขอมลสารสนเทศของ Data Center (Inventory information assets)

- ระบวธการในการประเมนความเสยง (Define risk assessment method) - วธการในการประเมนความเสยง (Risk assessment method/s) - การวเคราะหและประเมนความเสยงดานความปลอดภยสารสนเทศ (Conduct

information security risk assessments) - จดท ารายงานการเพอสรปผลการประเมนความเสยง (Risk Assessment

Report) - ก าหนดแนวทางในการในการจดการความเสยง ไดแก การก าหนดมาตรการท

ใชควบคม การยอมรบความเสยง การหลกเลยงความเสยง หรอ การโอนยายความเสยงไปยงหนวยงานอนๆ

- จดท าเอกสารแสดงการประยกตใชงาน Statement of Applicability Statement of Applicability (SOA)

- สรปผลการด าเนนการของโครงงาน 1

1.4.2 ขอบเขตโครงงำน 2 - ประสานงานกบหนวยงานทเกยวของในการเสนอและจดท าแผนบรหารจดการ

ความเสยงทางดานความมนคงปลอดภยสารสนเทศ โดยระบรายละเอยดแผนด าเนนงาน ระยะเวลา ทรพยากรทตองการ ผรบผดชอบ ก าหนดการแลวเสรจ ขนตอนในการปฏบตงาน การพจารณาจดสรรเงนทน และหนาทความรบผดชอบในการด าเนนการเพอใหบรรลจดมงหมายทไดก าหนดไว - การฝกอบรมภายในองคกรเพอสรางองคความรดานความมนคงปลอดภยสารสนเทศ รวมไปถงการบรหารงานและการจดการทรพยากรของ Data Center

4

- ด าเนนการตามแผนบรหารจดการความเสยงพรอมตดตามผล และตรวจสอบเรองความเสยงทเหลออยรวมไปถงความเสยงทอยในระดบทสามารถยอมรบได

- การปรบปรงแผนความมนคงปลอดภยสารสนเทศจากสงทพบจากการเฝาทบทวนตดตามพรอมบนทกผลการด าเนนการ

- ท าการประเมนความเสยงหลงด าเนนโครงการ เพอวดประสทธผลของการจดท านโยบายดานความมนคงปลอดภยขอมลสารสนเทศของ Data Center ตามมาตรฐาน ISO27001 ตลอดโครงการ

- สรปผลการด าเนนการของโครงงาน 2

1.5 ประโยชนทคำดวำจะไดรบจำกโครงงำน 1.5.1 องคกรมการน ามาตรฐาน ISO27001มาปรบใชเพอออกนโยบายดานความมนคง

ปลอดภยสารสนเทศ 1.5.2 องคกรไดรบทราบถงความเสยงและมาตรการทใชในการแกไขเพอจะไดน าไป

ปรบปรงแกไข 1.5.3 องคกรไดรบความนาเชอถอและความไววางใจจากลกคาและคคาในดานการ

รกษาความมนคงปลอดภยสารสนเทศ 1.5.4 บคลากรขององคกรมความตระหนกถงความเสยงทอาจเกดขนและมความรความ

เขาใจดานความมนคงปลอดภยสารสนเทศมากขน 1.6 แผนกำรด ำเนนงำน โครงงำน 1 ตำรำงท 1.1 ตารางการด าเนนงานโครงงาน 1

แผนด ำเนนกำร รำยสปดำห

พฤศจกำยน ธนวำคม มกรำคม กมภำพนธ มนำคม

1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4

1. ขอการสนบสนนจากทางผบรหารในการจดท าโครงงาน

2. ศกษานโยบาย โครงสราง ระบบการท างานและก าหนดขอบเขต

5

โครงงำน 2 ตำรำงท 1.2 ตารางการด าเนนงานโครงงาน 2


เมษำยน พฤษภำคม มถนำยน กรกฎำคม สงหำคม กนยำยน 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4

1. จดท าแผนในการบรหารจดการความเสยง

2. การฝกอบรมในองคกร


พฤศจกำยน ธนวำคม มกรำคม กมภำพนธ มนำคม

1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4

3. ตรวจสอบและจดท ารายการทรพยสน

4. Risk Assessment (ประเมนความเสยงกอน)

5. จดท าแนวทางในการจดการความเสยง

6. จดท าเอกสารแสดงการประยกตใชงาน Statement of Applicability

7.สรปผลการด าเนนการโครงงาน 1

6


เมษำยน พฤษภำคม มถนำยน กรกฎำคม สงหำคม กนยำยน 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4

3. ด าเนน การตามแผนบรหารจดการความเสยง

4.ปรบปรงแผนบรหารจดการความเสยง

5.Risk Assessment (ประเมนความเสยงหลง)

6.สรปผลการด าเนนการโครงการ 2

1.7 สถำบนทใหกำรสนบสนน บรษท บกฟช เอนเตอรไพรส จ ากด อาคารเขตอตสาหกรรมซอฟแวร ชน 6 เลขท 99/29 หมท 4 ต.คลองเกลอ อ.ปากเกรด จ.นนทบร 11120 ประกอบธรกจเกยวกบการการใหค าปรกษา ออกแบบ ตดตง จดอบรมและใหบรการดานความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศใหกบองคกรตางๆโดยมบคลากรทมประสบการณและมความเชยวชาญทางดานความมนคงปลอดภยสารสนเทศเปนทปรกษาใหกบลกคาอกดวย ปจจบนบรษทบกฟช เอนเตอรไพรส จ ากด ไดเปดด าเนนธรกจนมาเปนระยะเวลา 6 ป ไดรบความไววางใจจากลกคาและคคาทเปนหนวยงานรฐบาลและหนวยงานเอกชนจ านวนมาก ซงลกคาทใชบรการจะมทงจากทงลกคาภายในประเทศและลกคาจากตางประเทศอกเปนจ านวนมาก

7

บทท 2 ทฤษฎและพนฐำนทเกยวของ

2.1 ควำมมนคงปลอดภยสำรสนเทศ (Information Security)

การรกษาความมนคงปลอดภยสารสนเทศมจดมงหมายเพอปกปองขอมล และระบบสารสนเทศขององคกรจากผทไมมสทธในการเขาถง ในการอานหรอการใชงาน การเปดเผยขอมลระบบสารสนเทศ การขดขวางการใชงานหรอการใหบรการ รวมไปถงการแกไขเปลยน แปลงขอมล และการท าส าเนาขอมลอกดวย

วธการในการรกษาความมนคงปลอดภยของแตละองคกรนนลวนมวธการทแตกตางกนออกไป ซงไมมผใดสามารถสรปไดวาวธการใดทสามารถแกปญหาเกยวกบการรกษาความมนคงปลอดภยของขอมลไดอยางครบถวนสมบรณทสด แตการทจะบอกวาขอมลนนมความมนคงปลอดภยหรอไมนน สามารถวเคราะหไดจากการรกษาคณสมบต 3 ประการขอมลสารสนเทศ ซงเปนทนยมเรยกกนวา CIA ซงไดแก ความลบของขอมล (Confidentiality) ความคงสภาพของขอมล (Integrity) และสภาพความพรอมใชของขอมล (Available) ดงนน ระบบรกษาความปลอดภยสารสนเทศทดจะตองมคณสมบตในการรกษาองคประกอบ 3 ประการนใหครบถวน

รปท 2.1 คณสมบตความมนคงปลอดภยของขอมล

ควำมลบของขอมล (Confidentiality) หมายถง การรกษาความลบของขอมลโดยจะ

อนญาตใหเขาถงและเปดเผยไดเฉพาะผทไดรบอนญาตเทานน ซงเปนการปกปองขอมลจากผทไมไดรบอนญาตโดยมกลไกทใชในการรกษาความลบ เชน กลไกการเขารหสขอมล (Cryptography หรอ Encryption) เปนกลไกในการรกษาความลบของขอมลนนๆ เพอจดขอมลใหอยในรปแบบทไมสามารถอานหรอเขาใจไดถาไมรวธการและกญแจ (Key) หรอรหสผาน (Password) ทใชในการเขารหสและถอดรหสนน ซงการรกษากญแจหรอรหสผานจะตองใชกลไกการควบคมการเขาถง (Access Control) เปนกลไกควบคมการเขาถงระบบ เพอใหพสจนทราบตวตนของผทเขามาใชงานระบบวาเปนคนทไดรบอนญาตหรอไม และทงสองกลไกน สามารถใชงานพรอมกนได หากกลไกควบคมการเขาถงท างานผดพลาดหรอลมเหลว กยงมกลไกการเขารหสขอมลรกษาความลบของขอมลนนๆได

8

ควำมคงสภำพของขอมล (Integrity) หมายถง การรกษาความถกตองสมบรณของขอมลใหมความเชอถอได ซงขอมลนนจะตองไมถกแกไขเปลยนแปลงจากแหลงทมา และแหลงทมาของขอมลนนตองเชอถอได ความคงสภาพของขอมลแบงออกเปน 2 แบบ ไดแก ความสมบรณของขอมล (Data Integrity) และความสมบรณของระบบ (System Integrity) ความสมบรณของขอมล หมายถง ขอมลสารสนเทศและโปรแกรมการใชงานขององคกรจะตองไมถกเปลยนแปลงโดยไมไดรบอนญาต ความสมบรณของระบบหมายถง ระบบจะตองไมถกแกไขเปลยนแปลงดวยประการใดๆ โดยไมไดรบอนญาต เชน การเขาถงเครอขายโดยไมไดรบอนญาต, การแกไขเปลยนแปลงหรอลบขอมลโดยไมสามารถตรวจสอบตวบคคลทเปนผกระท าการได

สภำพควำมพรอมใชของขอมล (Availability) หมายถง การรกษาระบบใหอยในสภาพทมความพรอมตอการใชงานและสามารถใหบรการไดตลอดเวลา หรอหากมชวงหยดใหบรการ เชน การหยดการใหบรการเนองจากการตรวจสอบ การเปลยนแปลง หรอการบ ารงรกษาระบบ กตองอยในชวงเวลาหรอชวงระยะเวลาตามหลกเกณฑทยอมรบได แตหากเปนการหยดใหบรการซงมสาเหตจากความลมเหลวหรอขอผดพลาดในการท างานของฮารดแวรหรอซอฟตแวร รวมไปถงการทระบบไมสามารถท างานไดเนองจากการถกโจมตตางๆ อนเปนการท าใหระบบสญเสยสภาพความพรอมใชไป กไมสามารถนบเปนสภาพความพรอมใชได เปนตน

2.2 มำตรฐำนกำรรกษำควำมมนคงปลอดภยขอมล

มำตรฐำน ISO/IEC27001 มาตรฐาน ISO/IEC27001 เปนขององคกรทมชอวา The International Organization of Standardization (ISO) และ The International ElectrotechnicalCommission (IEC) เปนมาตรฐานเกยวกบการบรหารการรกษาความมนคงปลอดภยของขอมล ซงใชเปนแนวทางในการสราง ดแลรกษา และปรบปรงระบบบรหารการรกษาความมนคงปลอดภยขอมล (Information Security Management System (ISMS) โดยแนวทางในการบรหารการรกษาความมนคงปลอดภยของขอมลนนจะมโครงสรางทเรยกวา Plan-Do-Check-Act Cycle[2] ซงประกอบไปดวยขนตอน การวางแผน (Plan) การลงมอท า (Do) การตรวจสอบ (Check) และการปรบปรงแกไข (Act) กำรวำงแผน (Plan)

การวางแผนเปนการก าหนดนโยบายความมนคงปลอดภยสารสนเทศ เปาหมาย วธการและขนตอนการด าเนนการทเกยวของกบการบรหารจดการความเสยงและเพอปรบปรงความมนคงปลอดภยสารสนเทศเพอใหเปนตามเปาหมายและนโยบายทวขององคกร

9

การวางแผนระบบบรหารความมนคงปลอดภยสารสนเทศ จะประกอบดวยขนตอนหลายขนตอนทมความส าคญ ไดแก การก าหนดขอบเขตของระบบทตองการ และมการก าหนดนโยบายความมนคงปลอดภยสารสนเทศ จากนนควรจะตองมการพจารณาระบความเสยงเพอก าหนดหลกเกณฑในการประเมนความเสยง

เมอไดหลกเกณฑในการประเมนความเสยงแลว จะตองมการด าเนนการประเมนความเสยงเพอใหเหนวาองคกรยงมความเสยงใดอยบางและท าการก าหนดแนวทางในการจดการความเสยง โดยตองมการก าหนดรายการควบคม วตถประสงคในการควบคม และมาตรการในการควบคม

เมอไดแนวทางในการจดการความเสยง คณะท างานจะตองน าเสนอเพอ ขอความเหนชอบในการอนมตในเรองของความเสยงทเหลออยโดยคณะผบรหารขององคกรและขออนมตในการด าเนนการ ISMS และจดเตรยมเอกสารแสดงการประยกตใชงาน หรอ Statement of Applicability (SOA) เพอใหเปนแนวทางการด าเนนการทชดเจนวาจะใชรายการควบคมใดในการด าเนนการบาง กำรลงมอท ำ (Do)

การลงมอท าเปนขนตอนการน านโยบายความมนคงปลอดภยสารสนเทศ การควบคม ขนตอนการด าเนนการ และการด าเนนการไปประยกตใชในทางปฏบต ในขนตอนของการลงมอท านนองคกรควรปฏบตตามขอก าหนดดงตอไปน

1. ก าหนดแผนการบรหารจดการความเสยง (Risk Treatment Plan) ทเหมาะสมกบการปฏบตงานและทรพยากร รวมไปถงการจดล าดบความส าคญของความเสยงดานความมนคงปลอดภยสารสนเทศ

2. การจดสรรเรองคาใชจายและการจดสรรต าแหนงตามความรบผดชอบและด าเนนการตามแผนจดบรหารจดการความเสยงตามบรรลวตถประสงคของแผนการทวางไว 3. การก าหนดแนวทางในการวดผลของการควบคมทไดก าหนดไว

4. การจดหลกสตรฝกอบรมดานความมนคงปลอดภยสารสนเทศขนภายในองคกร 5. การบรหารงานดานความมนคงปลอดภยสารสนเทศ 6. การจดสรรทรพยากรใหเพยงพอในการด าเนนการดานความมนคงปลอดภย

สารสนเทศ 7. ด าเนนการตามรายการควบคมอนๆ เพอใหสามารถตรวจสอบและตอบสนองตอ

เหตการณทมความเกยวกบความมนคงปลอดภยตางๆ ไดอยางมประสทธภาพ

10

กำรตรวจสอบ (Check) การประเมนและวดประสทธภาพของแนวทางปฏบตทเกยวกบนโยบายความมนคง

ปลอดภยสารสนเทศ รวมไปถงเปาหมาย ประสบการณในทางปฏบตและการรายงานผลการจดการ เพอน าไปใชในการตรวจสอบและทบทวนแนวทางปฏบตคร งตอไป

กำรปรบปรงแกไข (Act)

การด าเนนการปรบปรงระบบบรหารความมนคงปลอดภยของสารสนเทศจากการด าเนนการวเคราะหหาสาเหตของปญหาทแทจรง (Corrective Actions) และ การด าเนนการปองกนไมใหเกดปญหาซ าอก (Preventive Actions)

ในการจดท าระบบบรหารความมนคงปลอดภยของสารสนเทศใหประสบความส าเรจตามทต งเปาไว นอกจากปจจยตางๆ ทตองอาศยประสบการณและความเขาใจในขนตอนตางๆ ของผปฏบตงานแลว ยงตองอาศยความรวมมอรวมใจของทมงานและการสนบสนนจากผบรหารในทกระดบ ทงดานทรพยากร งบประมาณ และ เวลา ทงนระบบทงหมดจะตองเหมาะสมกบขนาดขององคกร และ ตรงตามวตถประสงคขององคกรดวย

รปท 2.2 แผนภาพโครงสราง Plan-Do-Check-Act Cycle[2]

นอกจากนนในสวนของ Annex A ของมาตรฐาน ISO/IEC27001 ยงไดก าหนด

วตถประสงคและรายการควบคมตางๆทเกยวของกบการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ[3] โดยแบงออกเปนหมวดหมท งสนจ านวน 11 หมวด ดงตอไปน

1. นโยบายความมนคงปลอดภยขององคกร (Security Policy) 2. โครงสรางความมนคงปลอดภยภายในองคกร (Organization of Information

Security)

11

3. การบรหารจดการทรพยสนขององคกร (Asset Management) 4. ความมนคงปลอดภยเกยวกบบคลากรในองคกร (Human Resources Security) 5. ความมนคงปลอดภยทางดานกายภาพและสงแวดลอมขององคกร (Physical and

Environmental Security) 6. การบรหารจดการดานการสอสารและการด าเนนงานของเครอขายสารสนเทศของ

องคกร (Communications and Operations Management) 7. การควบคมการเขาถงระบบสารสนเทศขององคกร (Access Control) 8. การจดหา การพฒนา และการบ ารงรกษาระบบสารสนเทศ (Information Systems

Acquisition, Development and Maintenance) 9. การบรหารจดการเหตการณท เกยวของความมนคงปลอดภยสารสนเทศ

(Information Security Incident Management) 10. การบรหารความตอเนองในการด าเนนธรกจขององคกร (Business Continuity

Management) 11. การปฏบตทสอดคลองตามขอก าหนดทางดานกฎหมาย นโยบายความมนคง

ปลอดภย มาตรฐาน ขอก าหนดทางเทคนค และการด าเนนการตรวจประเมนระบบสารสนเทศ (Compliance)

2.3 กำรบรหำรควำมเสยงดำนเทคโนโลยสำรสนเทศ[8] โดยปกต องคกรสวนใหญมกจะรอใหเกดเหตการณทท าใหเกดความเสยหายตอองคกร

นนขนกอน จงจะหนมาใหความส าคญกบการปองกน ซงอาจท าใหเกดความเสยหายมากเกนกวาจะคาดคดได ดงนน การใชมาตรการในการบรหารจดการความเสยง จะชวยลดความเสยหายดวยการเปนการจดการในเชงรก เพอเตรยมการปองกนและค านวณคาความเสยหายหรอลดคาใชจายลวงหนาได กอนทเหตการณทจะท าใหเกดความเสยหายนนเกดขนจรง

มาตรฐาน ISO27001 ไดระบถงการประเมนความเสยงเอาไวในหวขอท 4.2 เกยวกบการสรางและการบรหารจดการ ISMS (Establishing and managing the ISMS) ซงในทางปฏบตนนจะตองน าเอา ISO/IEC27005 มาใชเปนแนวทางปฏบตในดานการบรหารจดการความเสยง

กระบวนการ ในการรกษาความปลอดภยขอมลขององคกร ตามมาตรฐาน ISO/IEC27005 จะประกอบดวยขนตอนการด าเนนการจ านวน 5 ขนตอนดงตอไปน

1. การประเมนความเสยง (Risk Assessment) 2. การก าหนดนโยบาย (Policy) 3. การตดตงระบบปองกน (Implementation) 4. การฝกอบรม (Training) 5. การตรวจสอบ (Audit)

12

ควำมเสยง (Risk) ความเสยงดานความมนคงปลอดภยสารสนเทศ หมายถง ความเปนไดในการเกดภย

คกคามทสามารถโจมตผานชองโหวหรอขอบกพรองของทรพยสนหรอกลมของทรพยสนใดๆทปกปองเอาไวได แลวสามารถท าใหเกดความเสยหายกบองคกรได เหตการณทสงผลกระทบแกความมนคงปลอดภยนนอาจเกดขนภายใตสถานการณทไมแนนอนหรออาจมมลคาเปนตวเงนหรอไมกได

การทจะประเมนความเสยงไดนน เราตองทราบถงจดออน (Vulnerability) และภยคกคาม (Threat) ซงเปนองคประกอบหลกของการเกดความเสยงกอน ตองมทงสองอยางจงจะเกดเปนความเสยงได เมอความเสยงคอความเปนไปไดทอาจจะสญเสยบางสงทปกปองอย เมอใดทไมมความเสยงกไมจ าเปนตองมการรกษาความปลอดภย แตเมอใดทมความเสยง การประเมนความเสยงและการมมาตรการรกษาความปลอดภยตางๆจะชวยใหสามารถเตรยมแผนการรบมอตอเหตการณนนไดอยางทนทวงท อกทงยงสามารถค านวณความเสยหายและประเมนคาใชจายในการปองกนไดลวงหนาอกดวย

จดออนหรอชองโหว (Vulnerability)

จดออนหรอชองโหว เปนชองทางทใชในการโจมต ซงอาจมอยในระบบคอมพวเตอรและเครอขาย ทผไมหวงดสามารถใชประโยชนจากจดออนนเปนชองทางในการโจมตได แตทงน ชองโหวตางๆยอมมระดบความยากงายตอการโจมตตางกน ซงผไมหวงดอาจจะตองใชความช านาญมากขนในการโจมตจดออนทมระดบความยากตอโจมตสง หรออาจตองใชทรพยากรจ านวนมากในการโจมตในชองทางนน และหากชองโหวนนๆมผลตอขอมลทไมส าคญมากนก กถอวาเปนจดออนทมอนตรายระดบต าเชนกน

จดออนและชองโหว อาจไมไดอยในระบบคอมพวเตอรหรอเครอขายเทานน แตยงรวมถงดานทเปนทางกายภาพอนๆ ดวย เชน สถานท โครงสรางองคกร บคลากร และขอมลหรอทรพยสนอนๆทไมไดอยในรปแบบอเลกทรอนกส

ภยคกคำม (Threat)

ภยคกคาม หมายถงสงทสามารถสรางความเสยหายตอทรพยสนขององคกร ไมวาจะเปนเรองของขอมล กระบวนการท างาน และระบบตางๆขององคกร ซงภยคกคามนนอาจเกดขนตามธรรมชาตหรอจากมนษย ซงอาจจะเกดขนเพราะอบตเหตหรอโดยความตงใจกได แตไมวาจะเปนแบบใด แหลงทมาของภยคกคามทกอยางจะตองมการระบขอมลและจดหมวดหมเอาไวดวย เชน ภยคกคามทเกดจากผทไมไดรบอนญาต ภยคกคามจากความเสยหายดานกายภาพ เปนตน

ภยคกคามแบงออกเปน 3 สวนดงน

13

1. เปาหมาย (Target) ไดแก องคประกอบของความมนคงปลอดภยสารสนเทศทอาจถกโจมต อนประกอบดวย ความลบ(Confidentiality) ความคงสภาพ (Integrity) และความพรอมใช (Availability) ซงจะเปนภยคกคามตอดานใดนนขนอยกบเหตผลหรอแรงจงใจ

2. ผโจมต (Agent) คอผทกระท าการใดๆ ทสงผลใหเกดผลลพธในดานลบแกองคกร ซงตองมคณสมบตทง 3 ประการดงตอไปน

2.1 การเขาถง (Access) ผโจมตตองสามารถเขาถงเปาหมายได 2.2 ความร (Knowledge) ผโจมตตองมความรและมขอมลเกยวกบเปาหมายท

จะโจมต 2.3 แรงจงใจ (Motivation) เหตผลทจงใจผโจมตในการโจมตนน

3. เหตการณ (Event) หมายถงวธการทผโจมตสรางความเสยหายใหแกองคกร เชน การท าลายระบบ การบกรกเขาหองควบคม การแกไขขอมลส าคญ การใชบญชผใชงานเกนกวาทไดรบอนญาต ไมวาจะโดยตงใจหรอไมกตาม เปนตน กำรประเมนควำมเสยง (Risk Assessment)

การประเมนความเสยงเปนแนวทางหน งในการประเมนภยคกคามและจดออนจดบกพรองขององคกรเพอใหทราบถงระดบความเสยงทอาจเกดขนกบ ความลบ ความคงสภาพ และสภาพความพรอมใช ซงเปนองคประกอบของความมนคงปลอดภยสารสนเทศขององคกร โดยจะตองอาศยความรวมมอจากทกฝายในการด าเนนการ เพอใหการประเมนความเสยงนนเปนไปอยางมประสทธภาพ ซงขนตอนในการประเมนความเสยงมดงตอไปน

1. การก าหนดขอบเขตทจะประเมนความเสยง 2. เกบรวบรวมขอมลทจ าเปนในการน ามาประเมนความเสยง 3. วเคราะหนโยบายและระเบยบปฏบตทมอย 4. วเคราะหภยคกคามทอาจมผลกระทบความมนคงปลอดภยองคกร 5. วเคราะหจดออน จดบกพรองหรอชองโหวทองคกรมอย 6. ด าเนนการประเมนความเสยงโดยมเกณฑในการวดผลทชดเจน

กำรบรหำรควำมเสยง (Risk Management) การบรหารจดการดานตางๆ ในการวางแผนจดการองคกร การบงคบบญชา และการ

ควบคมการปฏบตงานขององคกร เพอลดผลเสยหายของความไมแนนอนทจะเกดขนกบองคกร เพอใหองคกรสามารถบรรลวตถประสงคตามทก าหนดไวได

ในการบรหารความเสยงนน จะตองมตนทน ทรพยากรและบคคล ดงนน จะตองค านงถงผลประโยชนทจะไดรบดวยวาคมคาหรอไม ในการลดความเสยงเหลานน เพราะวาความเสยงนนมการเปลยนแปลงอยตลอดเวลา

14

กำรวเครำะหควำมเสยง (Risk Analysis) ระบบบรหารความเสยง หมายถง ระบบการบรหารปจจยและกจกรรมควบคม รวมทงกระบวนการด าเนนการตาง ๆ ทจะท าใหสามารถลดมลเหตของแตละโอกาสทท าใหเกดความเสยหายลงได เพอใหระดบของความเสยงและผลกระทบทเกดขนในอนาคตอยในระดบทสามารถรบได ประเมนได ควบคมได และตรวจสอบไดอยางมระบบ โดยค านงถงการบรรลเปาหมายขององคกร

1. ประเมนความเสยง (Risk Assessment) เปนการประเมนความเสยงขององคกร วามวตถประสงคอะไร และมความเสยงอะไรบาง ทท าใหไมบรรลวตถประสงคและความเสยงนนมนยส าคญเพยงใด โดยการจดล าดบความเสยง และการหาแนวทางการควบคม (กจกรรมทปฏบต) เพอปองกน หรอลดความเสยงนนๆ มข นตอนดงน

1.1 การระบปจจยเสยง (Risk Identification) ทงนจะตองศกษาวตถประสงคและเปาหมายขององคกร ซงจะสอดคลองกบภารกจ (Mission) แบงออกเปน 2 ระดบ คอ

1.1.1 วตถประสงคระดบองคกร (Entity – Ievel Objectives) เปนวตถประสงคตามแผนกลยทธขององคกร

1.1.2 วตถประสงคระดบกจกรรม (Activity–Ievel Objectives) เปนวตถประสงคของการด าเนนงานทเฉพาะเจาะจงส าหรบแตละกจกรรมในแตละหนวยงาน ซงวตถประสงคของแตละกจกรรมนนจะตองสนบสนน และสอดคลองกบวตถประสงคในระดบองคกรดวย

1.2 การวดและประเมนความเสยง (Risk Measurement) ทงนตองศกษาวาอะไรเปนปจจยเสยงและมความเสยงอยางไร ดานการด าเนนงาน งบประมาณ กลยทธ ในการวเคราะหจะดถงสาเหต (Cause) ของการเกด วามโอกาส (Opportunity) มากนอยเพยงใด และเมอเกดแลวมผลกระทบ (Effect) มากนอยเพยงใด ซงในผลกระทบนนจะดในดานการเงน ผรบบรการบคลากร เวลา และความส าเรจ

1.3 การจดล าดบความเสยง (Risk Prioritization) เมอเทยบความเสยง เรองโอกาสและผลกระทบแลวจะตองมาจดล าดบวาความเสยงนนมนยส าคญเพยงใด โดยการจดล าดบความเสยงจากมากไปหานอย มข นตอนการวเคราะห ดงน 1.3.1 ประเมนระดบความส าคญของปจจยเสยง คอประเมณวาปจจยเสยงแตละปจจยหากเกดขนแลวมผลกระทบตอองคกรมากนอยเพยงใด

1.3.2 ประเมนความเสยงทปจจยเสยงจะเกดขน คอ พจารณาวา ปจจยเสยงทไวเรยงล าดบความส าคญไวแลวนน มโอกาสทจะเกดขน มากนอยเพยงใด

1.3.3 เลอกเทคนคการวเคราะหความเสยงทเหมาะสมโดยอาจจะ วเคราะหในรปตวเลข 2. การบรหารความเสยง (Risk Management) เมอวเคราะหและจดล าดบความเสยงทมนยส าคญและโอกาสทเกดความเสยง รวมทงวเคราะหสาเหตทท าใหเกดความเสยงและ

15

พจารณาหาวธหรอก าหนดกจกรรมการควบคมตางๆ เพอปองกนความเสยงนนๆ วธการมหลายวธ เชน หลกเลยง ยอมรบ ควบคม หรอถายโอน มความเสยงขององคกรบางอยางทผบรหารไมสามารถควบคมได เพราะมาจากภายนอกองคกร เชน ภาวะเงนเฟอท าใหคากอสรางสง ซงผบรหารไมสามารถควบคมได

16

บทท 3 วธกำรด ำเนนงำน

3.1 ขนตอนในกำรด ำเนนกำร เมอไดรบอนญาตจากบรษทบกฟช เอนเตอรไพรส จ ากด ใหใชองคกรเปนกรณศกษาแลวนน ผจดท าจงไดมการก าหนดวธการและขนตอนในการปฏบตงานดงน

3.1.1 ศกษาโครงสรางและองคประกอบขององคกร 3.1.2 จดท าแผนการประเมนความเสยงกอนการด าเนนโครงงานโดยก าหนดหลกเกณฑ

และขนตอนการด าเนนงานทชดเจน 3.1.3 ด าเนนการประเมนความเสยงกอนการด าเนนโครงงาน 3.1.4 จดท ารายงานผลการประเมนความเสยงกอนการด าเนนโครงงาน 3.1.5 ก าหนดแนวทางในการบรรเทาความเสยงแลวจดท าเอกสารประยกตใชงาน

3.1.6 ประสานงานกบหนวยงานทเกยวของในการเสนอและจดท าแผนบรหารจดการความเสยง 3.1.7 การฝกอบรมภายในองคกรเพอสรางองคความร 3.1.8 เนนการตามแผนบรหารจดการความเสยงพรอมตดตามผล และตรวจสอบเรองความเสยงทเหลออย 3.1.9 ประเมนความเสยงหลงด าเนนโครงการเพอวดประสทธผลของโครงงาน 3.1.10 สรปผลการด าเนนการบรหารจดการความเสยง

รายการทรพยสนในหอง Data Center แบงตามประเภทของทรพยสน 5 ประเภทไดดงตอไปน ตำรำงท 3.1 รายการทรพยสนในหอง Data Center

ประเภท รายละเอยด รหสทรพยสน รายการ Hardware

Network HW-001 Router และ Switch HW-002 Firewall Server Server ระบบบรการทวไป (Web, Mail) HW-003 - Mail Server HW-004 - Web Server Server ส าหรบบรหารงานทางธรกจ

HW-005

- Customer Relation Management (CRM)

HW-006 - Ticket Management

17

ประเภท รายละเอยด รหสทรพยสน รายการ

Supporting Equipment

HW-007 Video Recorder (CCTV)

HW-008 Fire Protection System HW-009 Air Conditioning (A/C) System HW-011 Humidity Control System HW-012 UPS

Software

Operating System Software

SW-001 Linux Server

Window Server

Package software

SW-002 Mail Server Software Web Server Software

Business Application

SW-003 Customer Relation Management (CRM) โปรแกรม Ticket Management

Information Digital Information

IN-001 ขอมล Email (Mail Server) IN-002 ขอมลทวไปของบรษท (Web Server) IN-003 ขอมลระบบทส าคญของลกคา (CRM) IN-004 ขอมลทวไปของลกคา (CRM)

IN-005 ขอมลการใหบรการของบรษทแกลกคา (Ticket Management)

Personal

PE-001 หวหนาแผนก PE-002 ผใชงาน PE-003 ผดแลระบบ

Services SE-001 ผใหบรการอนเตอรเนต SE-002 พนกงานท าความสะอาด SE-003 ฝายอาคารสถานทของตกเชา

18

3.2 โครงสรำงองคกร

President

(Finance & Account Division)

-Vice President-

(Human Resource & Office

Administration Division)-Vice President-

(Business Development Division)

-Vice President-

(Technology of Information Security Division)

-Vice President-

(Information Security Consulting Dept.)-Manager-

(Information Security Technical Dept.)-Manager-

(Sales Dept.)-Manager-

HR & OA Manager

Assistant Information Security Consultant Manager

Sale Manager

Information Security Consultant Manager

(HR & OA Dept.)

-Manager-

Information Security Technical Manager

(Customer Relation Management Dept.)

(Information Security Engineer)

Assistant Information Security Technical Manager

Board of Directors

Customer Relation Management

Administrator

Account Manager

รปท 3.1 โครงสรางองคกร

19

3.3 กำรประเมนควำมเสยง

เปนการค านวณโอกาสทจะเกดเหตทน าไปสความเสยหาย เพอใหทราบถงความส าคญของความเสยงทแตกตางกน และใชในการพจารณาก าหนดจดควบคมความเสยงทมนยส าคญ การประเมนความเสยงเปนกระบวนการทประกอบดวย การวเคราะห การประเมน และการจดระดบความเสยงทมผลกระทบตอการบรรลวตถประสงคของกระบวนการท างานขององคกร ซงในกรณศกษาจะท าการประเมนความเสยงตามหลกเกณฑดงตอไปน

3.3.1 หลกเกณฑทวไป หลกเกณฑในการจดล าดบความเสยงของเหตการณความเสยหายหนงๆ ตอบรษท

(Risk Evaluation Criteria) - ใหจดเรยงล าดบความเสยงของเหตการณความเสยหาย โดยพจารณาตาม

ความส าคญ ดงน ความส าคญล าดบท 1 เหตการณความเสยหายเกยวของโดยตรงกบ

ความผดตามกฎหมายของประเทศไทย หรอสญญาทบรษทฯ กระท ากบคคาหรอลกคา ความส าคญล าดบท 2 เหตการณความเสยหายกระทบโดยตรงตอ

กระบวนการหรอกจกรรมทางธรกจทมมลคาสง ความส าคญล าดบท 3 เหตการณความเสยหายทมคาผลกระทบดาน

ชอเสยงสง ความส าคญล าดบท 4 เหตการณความเสยหายทมคาผลกระทบดาน

การหยดชะงกในการด าเนนงานสง ความส าคญล าดบท 5 เหตการณความเสยหายทมคาความเสยงสง ความส าคญล าดบท 6 เหตการณความเสยหายทมคาความเสยงปาน

กลาง ความส าคญล าดบท 7 เหตการณความเสยหายทมคาความเสยงต า

- ในกรณทเหตการณความเสยหาย 2 เหตการณมความส าคญตามขอ 1) ล าดบเดยวกน ใหเรยงล าดบเหตการณความเสยหายทมระดบโอกาสสงกวาขนกอน

หลกเกณฑผลกระทบ (Impact Criteria)ใหพจารณาผลกระทบของเหตการณความ

เสยหายทระบได ดงน - ท าใหสญเสยความลบของทรพยสน (Confidentiality) - ท าใหสญเสยความครบถวนถกตองของทรพยสน (Integrity) - ท าใหสญเสยความพรอมใชของทรพยสน (Availability)

20

- ท าใหเกดผลกระทบดานการเงนของบรษทฯ (Loss of financial value) - ท าใหเกดผลกระทบดานชอเสยงของบรษทฯ (Damage of reputation) - ท าใหเกดผลกระทบดานการหยดชะงกในการด าเน นงานของบรษทฯ

(Disruption of deadlines) กอน

หลกเกณฑในการยอมรบความเสยง (Risk Acceptance Criteria) - บรษทฯ จะไมยอมรบความเสยงไมวาในระดบใด หากความเสยงนนเกยวของ

กบการละเมดตามบทบญญตแหงกฎหมายของประเทศไทย ซงรวมถงระเบยบขอบงคบอนๆ ซงมผลบงคบใชกบการด าเนนธรกจของบรษทฯ และการละเมดตามขอตกลงในสญญาทกระท ากบลกคาหรอหนวยงานภายนอกอนๆ เวนแตจะสามารถแกไขเพอยกเวนไดในภายหลง

- ในกรณทความเสยงใดอยในระดบปานกลางขนไป ใหถอวาความเสยงนนบรษทฯ ไมอาจยอมรบได เวนแตรายจายทสญเสยจากการตดตงระบบควบคมทเลอกใชสงกวารายจายจากผลกระทบทอาจเกดขนจากความเสยงนน และความเสยงดงกลาวไมขดกบหลกเกณฑในการยอมรบความเสยงตามขอ 1) ใหถอวาความเสยงดงกลาวยอมรบได

- บรษทฯ จะยอมรบความเสยงหนงๆ หากระดบความเสยงนนอยในเกณฑต า ทงนในกรณททรพยสนใดทรพยสนหนงมความเสยงอยในเกณฑต า แตมหลายความเสยง หากมความเสยงเกนกวา 3 ความเสยงขนไปถอวาทรพยสนมความเสยงทบรษทฯ ไมอาจยอมรบได เวนแตรายจายทสญเสยจากการตดตงระบบควบคมทเลอกใชสงกวารายจายจากผลกระทบทอาจเกดขนจากความเสยงนน และความเสยงดงกลาวไมขดกบหลกเกณฑในการยอมรบความเสยงตามขอ 1) ใหถอวาความเสยงดงกลาวยอมรบได

- ในกรณทมทรพยสนใดเปนทจดเกบหรอตดตงของทรพยสนอนทมความเสยงทไมสามารถยอมรบได ไมวาทรพยสนนนจะมความเสยงในระดบใดถอวาความเสยงดงกลาวไมสามารถยอมรบได เวนแตรายจายทสญเสยจากการตดตงระบบควบคมทเลอกใชสงกวารายจายจากผลกระทบทอาจเกดขนจากความเสยงนน และความเสยงดงกลาวไมขดกบหลกเกณฑในการยอมรบความเสยงตามขอ 1) ใหถอวาความเสยงดงกลาวยอมรบได

3.3.2 ขนตอนปฏบตในกำรประเมนควำมเสยงดำนเทคโนโลยสำรสนเทศ

(Information Security Risk Assessment Process) กำรประเมนควำมเสยงดำนเทคโนโลยสำรสนเทศประกอบดวยขนตอน 2 ขนตอนดงน

การวเคราะหความเสยง (Risk Analysis) - กำรระบควำมเสยง (Risk Identification)

การระบทรพยสน (Assets Identification) สามารถแบงประเภทของทรพยสนขององคกรออกเปน 5 ประเภทใหญดงตอไปน

21

สารสนเทศ (Information) สารสนเทศทอยในรปเอกสารหรอไฟลขอมลทจดเกบในฐานขอมล เอกสารระบบตางๆ คมอ เอกสารการฝกอบรม เอกสารระเบยบวธปฏบตในการด าเนนงานตางๆ เอกสารแผนความตอเนองทางธรกจ ซงมคณลกษณะดงน มความส าคญตอกจกรรมทางธรกจของบรษทฯ เกยวของกบขอมลสวนบคคลทมระบไวในกฎหมายของประเทศไทย เกยวของกบกลยทธในการด าเนนธรกจของบรษทฯ มมลคาทางตนทนสง

ซอฟตแวร (Software) ทรพยสนในรปซอฟตแวร ประกอบดวยระบบปฏบตการ

โปรแกรมประยกต โปรแกรมระบบสารสนเทศ โปรแกรมชวยในการพฒนาตางๆ (Development tools) ทเมอถกคกคามโดยภยคกคามตางๆ ในจดออนจดบกพรองของทรพยสนแลว จะท าใหกระบวนการ ระบบงาน หรอกจกรรมทางธรกจ ทอาศยทรพยสนนอยไมสามารถท าพนธกจของบรษทฯ ในสวนงานของแผนกใหลลวงไปได หรอท าใหสารสนเทศ ถกเปดเผยตอบคคลทไมไดรบอนญาต, ถกแกไขเปลยนแปลงโดยมชอบ, หรอถกท าใหเสยหายไมพรอมใชงาน

ฮารดแวร (Hardware) ทรพยสนในรปฮารดแวร ประกอบดวยเครองคอมพวเตอร อปกรณส านกงาน อปกรณสอสาร และสอบนทกขอมลทงทอยในรปอเลกทรอนกสและไมใชอเลกทรอนกส ทเมอถกคกคามโดยภยคกคามตางๆ ในจดออนจดบกพรองของทรพยสนแลว จะท าใหกระบวนการ ระบบงาน หรอกจกรรมทางธรกจ ทอาศยทรพยสนนอยไมสามารถท า พนธกจของบรษทฯ ในสวนงานของแผนกใหลลวงไปได หรอท าใหสารสนเทศถกเปดเผยตอบคคลทไมไดรบอนญาต, ถกแกไขเปลยนแปลงโดยมชอบ, หรอถกท าใหเสยหายไมพรอมใชงาน พนกงาน (Personal) พนกงานในแผนก โดยแบงตามลกษณะงานดงน หวหนาแผนก ผใชงาน หมายถง พนกงานทมหนาทซงตองเกยวของกบสารสนเทศ ผดแลระบบ หมายถง พนกงานทมหนาทในการบ ารงรกษาและถอสทธในการเขาถง

ซอฟแวรและฮารดแวรเพอการท างานในแตละวน

บรการ (Services) องคกรหรอกลมงานตางๆ ภายนอกทเกยวของในการสนบสนนการท างานภายในของบรษทฯ อนไดแก หนวยงานภายนอกทเกยวของกบกจกรรมทางธรกจของบรษทฯ และของแผนก หนวยงานภายนอกทใหบรการระบบพนฐานตางๆ ของบรษทฯ เชน หนวยงานทดแล

อาคารและสถานท เปนตน

22

การระบภยคกคาม (Threats Identification) การระบภยคกคามตางๆ โดยใชวธสมภาษณหวหนาแผนกแตละแผนก หวหนาหรอตวแทนหนวยงานทใหบรการดานอาคารและสถานท ผดแลระบบ เพอใหทราบถงภยคกคามทเคยเกดขนกบทรพยสนในอดตและรายงานการประเมนภยคกคามทจดท าขนในอดต รวมถงแนวโนมภยคกคามทไดรบการวเคราะหจากสถาบนทมชอเสยง และน าขอมลภยคกคามดงกลาวมาจดแบงเปน 2 ลกษณะ คอ ภยคกคามจากธรรมชาต (Natural Threat) และภยคกคามจากมนษย (Human Threat) โดยในกรณของภยคกคามจากมนษยนนใหระบวาภยคกคามใดเปนภยคกคามทกระท าโดยตงใจ (Deliberate) และภยคกคามทกระท าโดยไมตงใจ (Accidental) หรอทงสองประเภท และทงหมดนใหจดแบงตามประเภทของทรพยสน ดงตวอยางในตารางท 3.2

ตำรำงท 3.2 แสดงตวอยางการระบภยคกคามแยกตามประเภทของทรพยสน

ชนดของทรพยสน

ภยคกคาม ตวคกคาม แรงจงใจ วธการ

สารสนเทศ ถกดกจบระหวางการสงขอมลในเครอขาย

แฮกเกอร (ตงใจ) - ความทาทาย - เงน

ใชโปรแกรม Sniffer

ซอฟแวร การฟองรองด าเนนคดและเสยทรพยสนโดยกฎหมายลขสทธซอฟแวร

พนกงาน (ตงใจ) ประมาท ใชซอฟแวรผดกฎหมาย

ฮารดแวร เสยหายใชงานไมได

พนกงาน (ไมตงใจ)

ไมมทกษะเพยงพอในการใชงาน

ใชงานอปกรณอยางไมถกตองเหมาะสม

พนกงาน ปวย ธรรมชาต - ตดเชอ

บรการ สรรพากรฟองรอง

บคคลภายนอก (ไมตงใจ)

ไมมความรอบคอบในการท างาน

บรษทบญชค านวณผดพลาด

การระบจดออนจดบกพรอง (Vulnerabilities Identification) ระบ

จดออนจดบกพรองของทรพยสนหนงๆ โดยระบรวมกนกบภยคกคามและระบบควบคมทมและเกยวของ และระบจดออนจดบกพรองของระบบควบคมเองซงเกดจากการตดตงใชงานทไม

23

ถกตองเหมาะสม โดยใชวธการระบจดออนจดบกพรองตางๆ ตามตวอยางดงตอไปนตามความเหมาะสม เครองมอตรวจสอบจดออนจดบกพรองอตโนมต (Automated vulnerability scanning

tools) การประเมนประสทธผลของระบบควบคมทม (IT control testing and evaluation) การเจาะระบบ (Penetration testing) การตรวจสอบโคดของโปรแกรม (Code review)

การระบผลกระทบ (Consequence Identification) ระบเหตการณท

อาจเกดขนกบทรพยสนหนงๆ ของบรษทฯ ซงเปนเหตการณความเสยหายทจดออนจดบกพรองของทรพยสนหนงๆ ไดรบการคกคามจากภยคกคาม (Information security incident) และท าใหสญเสยความลบ (Confidentiality) ความครบถวนถกตอง (Integrity) และความพรอมใช (Availability) อยางใดอยางหนงหรอหลายอยางของทรพยสนไป พรอมทงระบผลกระทบของเหตการณนนๆ ทมตอบรษทฯ โดยมองผลกระทบในสามดานดงน ผลกระทบดานการเงน เชน

o สญเสยเงนเพอซอทรพยสนทดแทนหรอเพอซอมแซม o คาใชจายในการตดตงทรพยสนใหม o รายจายทสญเสยเมอทรพยสนเสยหาย

ผลกระทบดานชอเสยง เชน o ชอเสยงทเสยหายของบรษทฯ ไดรบการแพรกระจายผานทางสอสาธารณะ

ตางๆ ทงวทย โทรทศน และสอสงพมพ ทงในรปเอกสารและดจตอล o ลกคาตอวาถงชอเสยงของบรษทฯ มายงบรษทฯ โดยตรงผานทางโทรศพท

จดหมาย ทงในรปอนาลอก และดจตอล o ไดรบการต าหนจากกรรมการบรหารหรอผบรหารระดบสงของบรษทฯ

ผลกระทบดานการหยดชะงกในการด าเนนงาน เชน o กจกรรมทางธรกจของบรษทฯ ตองหยดชะงก อนเกดจากทรพยสนเสยหาย

หรอไมสามารถใชงานไดตามปรกต

- กำรประเมนคำควำมเสยง (Risk Estimation) ประเมนคาความเสยงโดยใชวธการดงน

ประเมนคาผลกระทบ (Assessment of consequence) ใหประเมนคาผลกระทบในสามดานดงน

24

การประเมนคาผลกระทบดานการเงน ใหพจารณาจากมลคาของทรพยสนในปจจบนทไดรบผลกระทบจากเหตการณความ

เสยหายหนงๆ หากทรพยสนไดรบความเสยหาย รายจายทจะตองเกดขนเพ อซอม ซอ สราง หรอพฒนาทรพยสนใหมทดแทนทรพยสนเดม รายจายทสญเสยตอวนในชวงทไมสามารถใชงานทรพยสนนนเพอการด าเนนธรกจตามปรกตได โดยสามารถเขยนเปนสมการไดดงตอไปน

ผลกระทบดานการเงน = มลคาของทรพยสนทเสยหายในปจจบน + มลคาของทรพยสนทดแทนหรอมลคาของการซอมแซมทรพยสนเดม + รายจายทสญเสยตอวน คาผลกระทบดานการเงนในเชงคณภาพสามารถก าหนดไดตามตารางท 3.3 ดงตอไปน ตำรำงท 3.3 เกณฑการประเมนคาผลกระทบดานการเงนในเชงคณภาพ

ระดบ

ผลกระทบ เกณฑ รายละเอยด

สง มากกวา

1 แสนบาท

ผลกระทบดานการเงนในระดบสง คอ กรณทมผลกระทบตอ

บรษทเปนจ านวนเงนมากกวา 1 แสนบาท

ปานกลาง 1 หมนบาท – 1

แสนบาท

ผลกระทบดานการเงนในระดบปานกลาง คอ กรณทม

ผลกระทบตอ เปนจ านวนเงนตงแต 1 หมนบาท แตไมเกน 1

แสนบาท

ต า นอยกวา

1 หมนบาท

ผลกระทบดานการเงนในระดบต า คอ กรณทมผลกระทบตอ

บรษทบกฟช เอนเตอรไพรส จ ากด เปนจ านวนเงนไมเกน 1

หมนบาท (ผลกระทบทางดานการเงน < 1 หมนบาท)

การประเมนคาผลกระทบดานชอเสยง

ใหพจารณาจากชอเสยงทสญเสยไปของบรษทฯ อนเกดจากเหตการณความเสยหายหนงๆ ของทรพยสน โดยสามารถก าหนดคาผลกระทบดานชอเสยงในเชงคณภาพไดตามตารางท 3.4 ดงตอไปน ตำรำงท 3.4 เกณฑการประเมนผลกระทบดานชอเสยงในเชงคณภาพ

ระดบ


สง มการแพรกระจาย

ผานทางสอสาธารณะตางๆ

ชอเสยงทเสยหายของบรษทฯ ไดรบการแพรกระจายผานทางสอสาธารณะตางๆ ทงวทย โทรทศน และสอสงพมพ ทงในรปเอกสารและดจตอล

25

ปานกลาง ไดรบการตอวาจากลกคาโดยตรง

ลกคาตอวาถงชอเสยงของบรษทฯ มายงบรษทฯ โดยตรงผานทางโทรศพท จดหมาย ทงในรปอนาลอก และดจตอล

ต า

ไดรบการต าหนจากกรรมการบรหารหรอผบรหารระดบสง

ชอเสยงของบรษทฯ ไดรบการต าหนจากกรรมการบรหารหรอผบรหารระดบสงของบรษทฯ

การประเมนคาผลกระทบดานการหยดชะงกในการด าเนนงาน

ใหพจารณาจ านวนชวโมงในชวงเวลาท งานของบรษทฯ หยดชะงก อนเกดจากเหตการณความเสยหายหนงๆ ทท าใหทรพยสนเสยหายหรอไมสามารถใชงานไดตามปรกต โดยสามารถก าหนดคาผลกระทบดานการหยดชะงกในการด าเนนงานเชงคณภาพไดตามตารางท 3.5 ดงตอไปน ตำรำงท 3.5 เกณฑการประเมนผลกระทบดานการหยดชะงกในการด าเนนงานในเชงคณภาพ ระดบ


สง มากกวา 1

วน เกดผลกระทบตอการด าเนนงานของแผนก หรอของบรษทฯ ท าใหไมสามารถด าเนนงานไดมากกวา 1 วน (ผลกระทบดานการหยดชะงกในการด าเนนงาน > 1 วน)

ปานกลาง

1 ชวโมง – 1 วน

เกดผลกระทบตอการด าเนนงานของแผนก หรอของบรษทฯ ท าใหไมสามารถด าเนนงานไดตงแต 1 ชวโมง แตไมเกน 1 วน (1 ชวโมง <= ผลกระทบดานการหยดชะงกในการด าเนนงาน <= 1 วน)

ต า นอยกวา 1 ชวโมง

เกดผลกระทบตอการด าเนนงานของแผนก หรอของบรษทฯ ท าใหไมสามารถด าเนนงานไดนอยกวา 1 ชวโมง (ผลกระทบดานการหยดชะงกในการด าเนนงาน < 1 ชวโมง)

จากคาผลกระทบทง 3 ดานทกลาวขางตน สามารถก าหนดเกณฑการประเมนคา

ผลกระทบของเหตการณความเสยหายหนงๆ ไดดงตารางท 3.6

26

ตำรำงท 3.6 เกณฑในการประเมนคาผลกระทบของเหตการณความเสยหายหนงๆทมตอบรษทฯ ระดบผลกระทบในดานตางๆ ระดบผลกระทบของ

เหตการณโดยรวม ดานการเงน ดานชอเสยง ดานการหยดชะงก สง สง สง สง สง สง ปานกลาง สง สง สง ต า สง สง ปานกลาง สง สง สง ปานกลาง ปานกลาง สง สง ปานกลาง ต า สง สง ต า สง สง สง ต า ปานกลาง สง สง ต า ต า สง

ปานกลาง สง สง สง ปานกลาง สง ปานกลาง สง ปานกลาง สง ต า สง ปานกลาง ปานกลาง สง สง ปานกลาง ปานกลาง ปานกลาง ปานกลาง ปานกลาง ปานกลาง ต า ปานกลาง ปานกลาง ต า สง สง ปานกลาง ต า ปานกลาง สง ปานกลาง ต า ต า ปานกลาง

ต า สง สง สง ต า สง ปานกลาง สง ต า สง ต า สง ต า ปานกลาง สง สง ต า ปานกลาง ปานกลาง ปานกลาง ต า ปานกลาง ต า ปานกลาง ต า ต า สง สง ต า ต า ปานกลาง ปานกลาง ต า ต า ต า ต า

ประเมนคาโอกาสของการเกดเหตการณความเสยหาย (Assessment

of incident likelihood) ใหประเมนโอกาสโดยพจารณาจาก 2 หลกเกณฑตอไปน ประกอบกน

27

วเคราะหระดบความยากทจดออนจดบกพรองของทรพยสนในเหตการณความเสยหายจะถกคกคาม ใหพจาณาจากตารางท 3.7 ดงน

ตำรำงท 3.7 เกณฑในการพจารณาระดบความยากทตวคกคามจะคกคามจดออนจดบกพรองของทรพยสน

ความยาก เกณฑ จดออนจดบกพรองของทรพยสนอาศยทรพยากรนอยในการคกคามใหส าเรจ แตสรางความสญเสยไดมาก

สง

จดออนจดบกพรองของทรพยสนตองอาศยทรพยากรพอสมควรในการคกคามใหส าเรจ แตสรางความสญเสยไดพอควร


จดออนจดบกพรองของทรพยสนตองอาศยทรพยากรอยางมากในการคกคามใหส าเรจ แตสรางความสญเสยไดนอย

ต า

วเคราะหระดบโอกาสทภยคกคามในเหตการณความเสยหายจะคกคามทรพยสน

ใหอาศยวธวเคราะหความสามารถ (Capacity) และแรงจงใจ (Motivation) ทภยคกคามแตละชนดจะมตอทรพยสนดงน

o ความสามารถ (Capacity) ความสามารถทตวคกคามใชในการคกคามทรพยสนในประการทจะท าใหทรพยสนไดรบความเสยหายในดานความลบ ความครบถวนถกตอง และความพรอมใช เปนเหตใหเกดผลกระทบตอบรษทฯ ทงในแงการเงน ชอเสยง และการหยดชะงกในการด าเนนงาน

o แรงจงใจ (Motivation) แรงจงใจและเหตผลทตวคกคามมในการคกคามทรพยสนในประการทจะท าใหทรพยสนไดรบความเสยหายในดานความลบ ความครบถวนถกตอง และความพรอมใช เปนเหตใหเกดผลกระทบตอบรษทฯ ทงในแงการเงน ชอเสยง และการหยดชะงกในการด าเนนงาน โดยสามารถแบงเกณฑในการพจารณาระดบวธการและแรงจงใจของตวคกคามไดตามตารางท 3.8 ดงน ตำรำงท 3.8 เกณฑในการพจารณาระดบวธการและแรงจงใจของตวคกคาม

วธการ แรงจงใจ เกณฑ ตวคกคามมความสามารถและประสบการณสงในการกระท า และมทรพยากรเพยงพอในการกระท าการ

ตวคกคามมแรงจงใจสงในการกระท าหรอเคยเกดเหตการณทตวคกคามกระท าทรพยสนของบรษทฯ บอยครง หรอมรายงานผลส ารวจจากสถาบนทมความนาเชอถอถงโอกาสทตวคกคามจะเกดขนไดอยางสง

สง

28

วธการ แรงจงใจ เกณฑ ตวคกคามมความสามารถและประสบการณปานกลางแตมทรพยากรจ ากดในการกระท าการ

ตวคกคามมแรงจงใจปานกลางหรอเคยเกดเหตการณทตวคกคามกระท ากบทรพยสนของบรษทฯ อยางนอย 1 ครง หรอมรายงานผลส ารวจจากสถาบนทมความนาเชอถอถงโอกาสทตวคกคามจะเกดขนไดปานกลาง


ตวคกคามมความสามารถและประสบการณนอยหรอไมมทรพยากรในการกระท าการ

ตวคกคามมแรงจงใจนอยหรอไมมหรอไมเคยเกดเหตการณทตวคกคามกระท ากบทรพยสนของบรษทฯ

ต า

จากเกณฑขางตน ใหพจารณาโอกาสทภยคกคามในเหตการณความเสยหายจะคกคาม

ทรพยสนหนงๆ ของบรษทฯ ดงตาราง 3.9 ตอไปน ตำรำงท 3.9 เกณฑในการพจารณาระดบโอกาสทภยคกคามจะคกคามทรพยสนหนงๆ

แรงจงใจ วธการ สง ปานกลาง ต า สง สง สง สง

ปานกลาง สง ปานกลาง ปานกลาง ต า สง ปานกลาง ต า

จากการพจารณาระดบโอกาสทงในสวนของความยากทจดออนจดบกพรองของ

ทรพยสนหนงๆ ในเหตการณความเสยหายหนงๆ จะถกคกคามจากตวคกคาม และโอกาสทภยคกคามในเหตการณความเสยหายนนจะคกคามทรพยสนขางตน ใหประเมนคาโอกาสของการเกดเหตการณความเสยหายหนงๆ ดงน ตำรำงท 3.10 เกณฑประเมนโอกาสของการเกดเหตการณความเสยหายหนงๆ

โอกาสทตวคกคามจะคกคามทรพยสน

ระดบความยากทจดออนจดบกพรองของทรพยสนจะถก

คกคาม

เกณฑ

สง สง สง สง ปานกลาง สง สง ต า สง

29

โอกาสทตวคกคามจะคกคามทรพยสน

ระดบความยากทจดออนจดบกพรองของทรพยสนจะถก

คกคาม

เกณฑ

ปานกลาง สง สง ปานกลาง ปานกลาง ปานกลาง ปานกลาง ต า ปานกลาง

ต า สง ปานกลาง ต า ปานกลาง ต า ต า ต า ต า

2.2.3 การประเมนระดบคาความเสยง (Level of risk estimation) ให

น าผลลพทของการประเมนคาผลกระทบของเหตการณความเสยหายหนงๆ รวมกบผลลพทของการประเมนโอกาสของการเกดเหตการณความเสยหายนน มาประเมนระดบคาความเสยงโดยใชเกณฑการประเมนระดบคาความเสยง ดงตารางท 3.1.11 ตำรำงท 3.11 เกณฑในการประเมนระดบคาความเสยงของเหตการณความเสยหายหนงๆ ทม ตอบรษทฯ คาการประเมนผลกระทบของ

เหตการณ (Impact) คาการประเมนโอกาสของการเกด

เหตการณ (Likelihood) ระดบคาความเสยง

(Risk) สง สง สง สง ปานกลาง สง สง ต า ปานกลาง



- กำรจดล ำดบควำมเสยง (Risk Evaluation)

ใหจดล าดบความเสยงของเหตการณความเสยหายตามหลกเกณฑในการจดล าดบความเสยง (Risk Evaluation Criteria) จากความส าคญล าดบท1 ถงความส าคญล าดบสดทาย

30

วธปฏบตตอความเสยงดานเทคโนโลยสารสนเทศ (Information Security Risk Treatment Process) ระบวธปฏบตตอความเสยงของเหตการณความเสยหายตางๆ ตามหลกเกณฑดงน

o ตดตงระบบควบคมเพอลดความเสยง (Risk reduction) ในกรณทความเสยงของเหตการณความเสยหายไมเปนไปตามหลกเกณฑในการยอมรบความเสยง ใหระบระบบควบคมเพอลดความเสยงดงกลาวใหอยในหลกเกณฑในการยอมรบความเสยงทก าหนดไว โดยอาศยมาตรฐาน ISO/IEC 27002 เปนแนวทางในการระบระบบควบคมทเกยวของ ทงนใหคณะท างานฯ ระบสงตอไปนประกอบระบบควบคมทเลอกใช

คาใชจายทตองใชเพอตดตงระบบควบคมแตละประเภท เปรยบเทยบกบคาผลกระทบของเหตการณความเสยหายนน

ระยะเวลาทใชเพอการตดตงระบบควบคม ความตองการพนฐานดานซอฟแวร ฮารดแวร เครอขาย และบคลากร

เพอใหตดตงและดแลรกษาระบบควบคม o คงความเสยงไว (Risk retention) ในกรณทความเสยงของเหตการณ

ความเสยหายเปนไปตามหลกเกณฑในการยอมรบความเสยง ใหระบหวขอทเกยวของตามหลกเกณฑในการยอมรบความเสยงประกอบ

ระบความเสยงของเหตการณความเสยหายทยอมรบได ซงไมเปนไปตามหลกเกณฑในการยอมรบความเสยงพรอมเหตผลประกอบ

จดท าแผนกจกรรมในการตดตงระบบควบคมเพอลดความเสยงของเหตการณความเสยหาย โดยจดล าดบใหเหตการณความเสยหายทมความเสยงสงด าเนนการกอน

ประกาศและชแจงรายละเอยดของแผนกจกรรมในการตดตงระบบควบคมเพอลดความเสยงของเหตการณความเสยหายใหผทเกยวของรบทราบพรอมเปดรบฟงความคดเหนตางๆ

3.3.3 กำรทบทวน ตรวจสอบ และปรบปรงควำมเสยงดำนเทคโนโลยสำรสนเทศ

การทบทวนและปรบปรงความเสยง - ด าเนนการประเมนความเสยงเพมเตมหากมการเปลยนแปลงทส าคญเกด

ขนกบทรพยสนทอยในขอบเขตทก าหนดในเอกสารการบรหารจดการความปลอดภยสารสนเทศ อาท มทรพยสนใหมเพมเตม มการปรบเปลยนมลคาทางธรกจของทรพยสนเนองจากการเปลยนแปลงความตองการทางธรกจ มภยคกคามใหมเกดขนทมโอกาสสงทจะคกคามทรพยสน พบจดออนจดบกพรองของทรพยสนใหมทงายตอการถกคกคาม เปนตน

- ด าเนนการประเมนความเสยงใหมเปนประจ าทกป ปละ 1 ครงเปนอยางนอย

31

การทบทวนและปรบปรงการบรหารจดการความเสยง - ด าเนนการทบทวนและปรบปรงการบรหารจดการความเสยงเปนประจ าทกป

ปละ 1 ครงเปนอยางนอย 3.3.4 รำยกำรควบคมควำมมนคงปลอดภย (Control Checklist) ของ IEC/ISO

27001 รายการควบคมความมนคงปลอดภย (Control Checklist) ของ IEC/ISO 27001 ทน ามาใชในการตรวจสอบในโครงงานนประกอบดวย 11 หวขอหลก (11 Security domains areas) ดงตอไปน

- นโยบายความมนคงปลอดภย (Security policy) - โครงสรางทางดานความมนคงปลอดภยส าหรบองคกร (Organization of

information security) - การบรหารจดการทรพยสนขององคกร (Asset management) - ความมนคงปลอดภยทเกยวของกบบคลากร (Human resources security) - การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม (Physical and

environmental security) - การบรหารจดการดานการสอสารและการด าเนนงานของเครอขาย

สารสนเทศขององคกร (Communications and operations management) - การควบคมการเขาถง (Access control) - การจดหา การพฒนา และการบ ารงรกษาระบบสารสนเทศ (Information

systems acquisition, development and maintenance) - การบรหารจดการเหตการณทเกยวของกบความมนคงปลอดภยขององคกร

(Information security incident management) - การบรหารความตอเนองในการด าเนนงานขององคกร (Business continuity

management) - การปฏบตตามขอก าหนด (Compliance)

32

บทท 4 ผลกำรด ำเนนกำร

ทางผจดท าไดประสานงานกบทมงานของบรษทบกฟช เอนเตอรไพรส จ ากด ในการประเมนความเสยงครงแรกกอนด าเนนการโครงการและประเมนความเสยงหลงการด าเนนการโครงการ โดยผจดท าไดรวมกบคณะท างานเรมตนจากการตรวจสอบเกยวกบรายการทรพยสน ทเกยวของ เพอท าการประเมนมลคาทรพยสน ซงจะประเมนรวมไปถงกรณทเกดภยคกคาม ซงจะท าใหมผลกระทบตอดานความลบของขอมล ความถกตองครบถวนของขอมล ความตอเนองในการใหบรการ อนจะท าใหเกดความเสยหายตอการปฏบตการ การเงน และชอเสยงขององคกร จนกระทงไดด าเนนการจดท าแผนการบรหารจดการความเสยงสงมอบใหทางคณะผบรหารไดพจารณาด าเนนการลดความเสยงหรอยอมรบความเสยง จากนนทางคณะท างานไดด าเนนการในการจดการความเสยงเฉพาะในสวนทมระดบความเสยงสงและกลาง โดยจะไดผลการด าเนนการดงขอมลทจะไดกลาวถงตอไป

ในการประเมนความเสยงทงสองครง จะใชหลกการตามวธการด าเนนการในบทท 3 เหมอนกนซงจะไดระดบความเสยงออกมา 3 ระดบ ตามขอมลในตารางท ตารางท 3.10 เกณฑในการประเมนระดบคาความเสยงของเหตการณความเสยหายหนงๆ ทมตอบรษทฯ คาการประเมนผลกระทบของ

เหตการณ (Impact) คาการประเมนโอกาสของการเกด

เหตการณ (Likelihood) ระดบคาความเสยง

(Risk) สง สง สง สง ปานกลาง สง สง ต า ปานกลาง



33

4.1 ผลกำรประเมนควำมเสยงกอนด ำเนนโครงกำร ตำรำงท 4.1 ตารางแสดงผลการประเมนความเสยงกอนด าเนนโครงงาน

1. ฮำรดแวร (Hardware)

ล ำดบ รำยกำรตรวจสอบ

ควำมเสยง ผลกระทบ

โอกำส ควำมเสยง

ตวควบคม แผนบรหำร

จดกำรควำมเสยง F O R ผล

1

อปกรณเชอมตอเครอขาย(Router, Switch)

อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง สง สง ต า สง กลาง สง -

A.9.2.4 ควรมการก าหนดระยะเวลาบ ารงรกษาอปกรณ

2

ถกเขาถงอปกรณโดยไมไดรบอนญาต

สง สง ต า สง ต า กลาง

A.9.1.2 มการควบคมการเขาออกหองศนยขอมล และแยกพนทการตดตอบคคลภายนอก

A.9.1.4 ควรมการแยกประเภทพนทส าคญเพอปองกนภยคกคามจากภายนอก

3

ระบบไมสามารถใหบรการไดเนองจากอปกรณไมมประสทธภาพเพยงพอตอการใชงาน

ต า ต า ต า ต า ต า ต า

A.10.3.1 มการตรวจสอบทรพยากรระบบรายงานไปยงผบรหารทกเดอน

34






4

อปกรณเสยหายเนองจากไฟกระชาก

กลาง กลาง กลาง กลาง กลาง กลาง

- A.9.2.1 องคกรควรตดตงอปกรณ UPS เพอปองกนกระแสไฟฟาไมแนนอน

5 อปกรณเสยหายเนองจากกระแสไฟฟาชอตจากระบบระบายน าแอร

ต า ต า ต า ต า ต า ต า มการตรวจสอบเปนประจ าทกวนท าการ

6

ไมสามารถใหบรการไดเนองจากไฟดบ


A.9.2.2 ม UPS แลว สามารถรองรบการใชงานไดประมาณ 20 นาท

7 Firewall ถกเขาถงอปกรณโดยไมไดรบอนญาต

ต า กลาง ต า กลาง ต า กลาง

A.9.1.2 มการควบคมการเขาออกหองศนยขอมล และแยกพนทการตดตอของบคคลภายนอก

A.9.1.4 ควรมการแยกประเภทพนทส าคญเพอปองกนภยคกคามจากภายนอก

35






8 ไมสามารถใหบรการไดเนองจากไฟดบ

ต า ต า ต า ต า กลาง ต า


A.9.2.2 จดหาเครองผลตกระแสไฟฟาส ารองหรอจดระบบกระแสไฟฟาจากแหลงจายหลายแหง

9

อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง

สง กลาง ต า สง ต า กลาง - A.9.2.4 ควรมการก าหนดระยะเวลาบ ารงรกษาอปกรณ

10

Mail Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง

กลาง กลาง ต า กลาง กลาง กลาง - A.9.2.4 ควรมการก าหนดระยะเวลาบ ารงรกษาอปกรณ

11

อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบ



-

36






12

ถกเขาถงโดยไมไดรบอนญาต


A.9.1.2 มการควบคมการเขาออกและแยกพนทการตดตอของบคคลภายนอก

A.9.1.4 ควรมการแยกประเภทพนทส าคญ

13

อปกรณไมสามารถใหบรการไดเนองจากทรพยากรระบบไมพอ



14 Web Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง

กลาง ต า ต า กลาง กลาง กลาง - A.9.2.4 ควรมการก าหนดระยะเวลาบ ารงรกษาอปกรณ

15



A.9.2.2 ม UPS ทสามารถรองรบการใชงานไดประมาณ 20 นาท

37






16




17

อปกรณไมสามารถใหบรการไดเนองจากทรพยากรระบบไมพอ



18 CRM Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง

กลาง ต า ต า กลาง กลาง กลาง - A.9.2.4 ควรมการก าหนดระยะเวลาบ ารงรกษาอปกรณ

19




38






20




21

ทรพยากรระบบมไมเพยงพอ



22

Ticket Management

อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง

กลาง ต า ต า กลาง กลาง กลาง - A.9.2.4 ควรมการ

ก าหนดระยะเวลาบ ารงรกษาอปกรณ

23




39






24




25

ทรพยากรระบบมไมเพยงพอ



26 CCTV System

อปกรณไมสามารถตรวจสอบผเขาถงหองศนยขอมลไดเนองจากอปกรณช ารดเสยหาย

กลาง ต า ต า กลาง กลาง กลาง -

A.9.2.4 ควรมการก าหนดระยะเวลาบ ารงรกษาและเตรยมการเปลยนอปกรณเมอใกลครบอายการใชงาน

40






27

อปกรณไมสามารถตรวจสอบผเขาถงหองศนยขอมลไดเนองจากการตดตงอปกรณไมครอบคลมพนท

สง ต า ต า สง ต า กลาง -

A.9.2.1 ควรมการจดวางอปกรณในบรเวณและปรมาณทเหมาะสม

28 Fire Protection System

อปกรณไมท างานขณะเกดเพลงไหม

สง สง กลาง สง ต า กลาง

A.9.2.4 มเจาหนาทของอาคารเชามาตรวจสอบอยางสม าเสมอ

A.9.2.4 ควรจดเกบบนทกกจกรรมการบ ารงรกษาอปกรณและสอดสองดแลการปฏบตงานนนดวย

29 Air Condition อปกรณไมท างานหรอท างานผดพลาดท าใหอณหภมรอนจนระบบไมสามารถท างานได


A.9.2.2 มระบบควบคมอณภมทงของอาคาร และภายในต Rack ดวย

41





จดกำรควำมเสยง F O R ผล 30 Humidity อปกรณไมท างานหรอ

ท างานผดพลาดท าใหเกดความชนมากท าใหอปกรณเสอมสภาพเรวกวาปกตหรอเสย


A.9.2.4 มการตรวจสอบอปกรณตรวจสอบความชนอยางสม าเสมอ

31 UPS อปกรณไมท างานเมอเกดไฟกระชากท าใหอปกรณระบบเสยหาย

สง กลาง ต า สง ต า กลาง -

A.9.2.4 ควรมการตรวจสอบการท างานของอปกรณ UPS อยางสม าเสมอ

32 อปกรณไมสามารถส ารองไฟไดเพยงพอเมอเกดไฟดบ

ต า ต า ต า ต า กลาง ต า -

ควรมกระบวนการในการประเมนระยะเวลาทอปกรณสามารถรองรบไดเพอจดหาอปกรณทสามารถรองรบการใชงานไดเพยงพอ

42

2. ซอฟตแวร (Software)






33

Operating System Software -Window -Linux

ซอฟตแวรท างานผดพลาดเนองจากโปรแกรมไมพงประสงคหรอ Hacker


A.10.4.1 มการตดตง Antivirus และupdate patch ทเกยวของกบความมนคงปลอดภยสารสนเทศ

A.10.1.1 ควรมการก าหนดขนตอนปฏบตงานอยางเปนลายลกษณอกษร A.10.1.2 ควรมการบนทกการแกไข เปลยนแปลง หรอปรบปรงระบบดวย

34

ถกเขาถงโดยไมไดรบอนญาตเนองจากการความบกพรองในกระบวนการควบคมการเขาถง เชน รหสผานสามารถคาดเดาไดโดยงาย หรอการใหสทธเกนความจ าเปน


A.11.2.4 มการทบทวนสทธการเขาถงของผใชงานทกๆ 6 เดอน หรอ ทกครงทมการเปลยนแปลง เชน การเลอนต าแหนง ยายแผนก หรอสนสดการจางงาน

A.11.1.1 ควรมการก าหนดนโยบายเกยวกบการควบคมการเขาถงระบบ A.11.3.1 ควรก าหนดนโยบายในการตงรหสผานใหสามารถคาดเดาไดยาก

43


ผลกระทบ โอกำส

ควำมเสยง



35

การถกฟองรองตามกฎหมายลขสทธซอฟตแวรเนองจากพนกงานใชซอฟตแวรละเมดลขสทธ

สง ต า สง สง ต า กลาง

A.15.1.1 มการก าหนดหนาทความรบผดชอบของบคลากรใหปฏบตตามกฎหมาย ระเบยบ ขอบง คบ หรอขอก าหนดในสญญาทองคกรตองปฏบตตาม

A.15.1.2, A.8.2.2 ควรก าหนดนโยบายส าหรบปองกนสทธและทรพยสนทางปญญารวมถงการสรางความตระหนกแกบคลากรเพอไมใหละเมดทรพยสนทางปญญาเหลานน

36

ถกเขาถงโดยไมไดรบอนญาตเนองจากผดแลระบบไมไดท าการ Logout ออกจากระบบเมอไมอยหนาจอคอมพวเตอรและไมได Lock หนาจอไว

สง ต า กลาง สง ต า กลาง

9.1.3 มการตดตงกลองวงจรปดเพอตรวจสอบการเขาถงเครองคอมพวเตอรทใชปฏบตงานแลว

A.8.2.2, , สรางความตระหนกและใหความรแกพนกงาน A.11.5.6 ควรตง session timeout เพอตด session ทเปดคางไวดวย

44





จดกำรควำมเสยง F O R ผล 37 Package

software - Web Program - Mail Program


ต า กลาง สง สง ต า กลาง

A.10.4.1 มการตดตง Antivirus และupdate patch ทเกยวของกบความมนคงปลอดภยสารสนเทศ

A.10.1.1 ควรมการก าหนดขนตอนปฏบตงานอยางเปนลายลกษณอกษร A.10.1.2 ควรมการบนทกการแกไข เปลยนแปลง หรอปรบปรงระบบ

38 ซอฟตแวรท างานผด พลาดเนองจากผใชงาน หรอ Webmaster ขาดความรความเขาใจในการใชงานซอฟตแวร


ส าหรบ Mail Server จะปฏบตงานโดยผทช านาญการและมการตรวจสอบซ าอยเสมอ

45





จดกำรควำมเสยง F O R ผล 39 การเขาถงและแกไข

เปลยนแปลงขอมลโดยไมไดรบอนญาตโดยผไมหวงดภายในองคกรเนองจากผดแลระบบไมไดท าการ Logout ออกจากระบบเมอไมอยหนาจอคอมพวเตอรและไมได Lock หนาจอไว

ต า กลาง ต า กลาง ต า กลาง -

A.8.2.2 สรางความตระหนกและใหความรแกพนกงาน A.11.5.6 ควรตง session timeout เพอตด session ทเปดคางไวดวย

40 Business Application - CRM - Ticket Management



A.10.4.1, A.10.4.2 มการปดชองโหว และupdate patch ทเกยวของกบความมนคงปลอดภยสารสนเทศ

46






41

การเขาถงโดยไมไดรบอนญาตเนองจากการตงรหสผานในการเขาถงไมปลอดภย

สง ต า กลาง สง ต า กลาง -

A.11.3.1 ควรก าหนดนโยบายในการตงรหสผานใหสามารถคาดเดาไดยาก A.8.2.2 สรางความตระหนกและใหความรแกพนกงาน

42

การเขาถงโดยไมไดรบอนญาตของผไมหวงดภายในองคกรเนองจากผดแลระบบไมไดท าการ Logout ออกจากระบบเมอไมอยหนาจอคอมพวเตอรและไมได Lock หนาจอไว

สง ต า กลาง สง ต า กลาง -

A.8.2.2 สรางความตระหนกและใหความรแกพนกงาน A.11.5.6 ควรตง session timeout เพอตด session ทเปดคางไวดวย

47

3. สำรสนเทศ (Information)






43 ขอมล Email

การเขาถงโดยไมไดรบอนญาตเนองจากการตงรหสผานทสามารถคาดเดาไดโดยงาย

สง ต า กลาง สง กลาง สง -

A.11.3.1 ควรก าหนดนโยบายในการตงรหสผานใหสามารถคาดเดาไดยาก

44

การเขาถงหรอถกน าไปเปดเผยโดยไมไดรบอนญาตเนองจากความผดพลาดในการสงขอมลทาง Email ของพนกงาน

สง ต า กลาง สง กลาง สง -

A.8.2.2 ควรสรางความตระหนกเพอใหพนกงานมความระมดระวง A.10.8.4 ก าหนดมาตรการปองกนขอความอเลกทรอนกส

48






45

ขอมลสญหายหรอเสยหายเนองจากขาดการส ารองขอมล


A.10.5.1 มการเกบขอมล Email ไวบน Mail Server และเครองของผใชงานเอง และมการ Backup Mail Server ไวอยางสม าเสมอ

46 ขอมลทวไปของบรษท



เปนขอมลสาธารณะและมแรงจงใจทจะเกดภยคกคามต า

47



มการส ารองขอมลทกครงทมการแกไขเปลยนแปลงขอมล และมการแกไขเปลยนแปลงขอมลนอยครง

49





จดกำรควำมเสยง F O R ผล 48 ขอมลถกแกไขปลยน

แปลงไมสามารถเชอถอได ต า ต า ต า ต า ต า ต า เปนขอมลสาธารณะและมแรงจงใจทจะเกดภยคกคามต า

49

ขอมลระบบทส าคญของลกคา


ต า ต า กลาง กลาง ต า กลาง

A.8.2.2 ควรสรางความตระหนกเพอใหพนกงานมความระมดระวง


50 การเขาถงหรอถกน าไปเปดเผยโดยไมไดรบอนญาตเนองจากความประมาทเลนเลออยางรายแรงของพนกงาน

ต า ต า กลาง กลาง กลาง กลาง

A.12.3.1 มนโยบายเกยวกบการเขารหสขอมลทง Hard disk (Whole Disk Encryption) และการเขารหสขอมล Email

50






51 ขอมลสญหายหรอเสยหายเนองจากขาดการส ารองขอมล

ต า กลาง ต า กลาง กลาง กลาง

- A.10.5.1 ควรมมาตรการในการส ารองขอมลส าคญของลกคาเพอใหสามารถน ามาใชงานไดทนทวงท

52 ขอมลถกแกไขเปลยนแปลงไมสามารถเชอถอได

ต า กลาง กลาง กลาง ต า กลาง


A.12.3.1 ควรมการน า Digital Signature มาประยกตใชเพอใหสามารถตรวจสอบความถกตองของขอมลและตรวจสอบผสงขอมลนนทาง Email ได

51






53

ขอมลทวไปของลกคา



เปนขอมลสาธารณะอยแลว ไมมแรงจงใจทจะท าใหเกดภยคกคามทม ผลกระทบตอองคกร

54

ขอมลสญหายหรอเสยหายเนองจากขาดการส ารองขอมล ต า ต า ต า ต า ต า ต า

ยงไมเคยเกดเหตกรณขอมลสญหายหรอเสยหายอนเปนภยคกคามทม ผลกระทบตอองคกร

55

ขอมลถกแกไขเปลยนแปลงไมสามารถเชอถอได ต า ต า ต า ต า ต า ต า


52






56

ถกน าไปเปดเผยโดยไมไดรบอนญาต



57 ขอมลการใหบรการของบรษทแกลกคา





58


ต า กลาง ต า กลาง กลาง กลาง A.10.5.1มการส ารองขอมลเปนครงคราว

A.10.5.1 ควรมมาตรการในการส ารองขอมลส าคญของลกคาเพอใหสามารถน ามา ใชงานไดอยางตอเนอง

53






59

ขอมลถกแกไขเปลยนแปลงไมสามารถเชอถอได



A.12.3.1 ควรมการน า Digital Signature มาประยกตใชเพอใหสามารถตรวจสอบความถกตองของขอมลและตรวจสอบผสงขอมลนนทาง Email ได

60


ต า ต า กลาง กลาง ต า กลาง A.6.1.5 มการท าขอตกลงไมเปดเผยความลบ


54

4. พนกงำน (Personal)






61 หวหนาแผนก

เปาหมายขององคกรไมบรรลผลเนองจากหวหนาแผนกไมสามารถบรหารจดการตามหนาททไดรบมอบหมายได

สง สง กลาง สง ต า กลาง

A.8.2.3 มการก าหนดเงอนไขการจางงานโดยระบสทธและหนาทความรบผดชอบในสวนงานนน

A.8.2.1 การประเมนประสทธภาพการท างานของหวหนาแผนกเทยบกบขอบเขตลกษณะงานทไดรบมอบหมายอยางนอยปละ 1 ครง

62

การด าเนนงานชาหรอหยดชะงกเนองจากหวหนาแผนกไมสามารถเขาปฏบตงานในเวลางานได


มการแจงทมงานในแผนกทงหมดทราบอยางเปนลายลกษณอกษรวาไดมอบหมายงานใหผใดเปนผปฏบตงานแทน

55






63

ผใชงาน

มพฤตกรรมการใชงานระบบในทางทเสยงเนองจากพนกงานขาดความร ความตระหนก

กลาง กลาง ต า กลาง ต า กลาง

A.8.2.2 มการแจงเตอนเปนครงคราวเมอพบการใชงานระบบในทางทเสยง

A.8.2.2 ควรจดอบรมเพอสรางความตระหนกและใหความรแกพนกงาน

64

การละเมดนโยบายความมนคงปลอดภยเพราะขาดการตรวจสอบและลงโทษ


A.8.2.3 มการก าหนดกระบวนการทางวนยเพอลงโทษผทละเมดนโยบายความมนคงปลอดภยสารสนเทศ

A.8.2.3 ควรมการสมตรวจสอบการปฏบตตามนโยบายดานความมนคงปลอดภยสารสนเทศเปนระยะเพอใหไดรบความรวมมอจากพนกงาน และตองมบทลงโทษกรณฝาฝน

56






65

ผดแลระบบ

ระบบสารสนเทศทใหบรการไมมความมนคงปลอดภยเนองจากผดแลระบบไมสามารถปฏบตงานไดอยางมประสทธภาพ


A.8.2.3 มการก าหนดเงอนไขการจางงานโดยระบสทธและหนาทความรบผดชอบในสวนงานนน

A.8.2.1 การประเมนประสทธภาพการท างานของหวหนาแผนกเทยบกบขอบเขตลกษณะงานทไดรบมอบหมายปละ 1 ครง

66

การละเมดนโยบายความมนคงปลอดภยสารสนเทศ


A.8.2.3 มการก าหนดกระบวนการทางวนยเพอลงโทษผทละเมดนโยบายความมนคงปลอดภยสารสนเทศ

A.8.2.3 ควรมการสมตรวจสอบการปฏบตตามนโยบายดานความมนคงปลอดภยสารสนเทศเปนระยะเพอใหไดรบความรวมมอจากพนกงาน และตองมบทลงโทษกรณฝาฝน

57

5. บรกำร (Services)





จดกำรควำมเสยง F O R ผล 67 ผใหบรการ

Internet องคกรไมสามารถใชงานอนเตอรเนตในการท าธรกจได เนองจากขอผดพลาดทางเทคนคจากผใหบรการอนเตอรเนต

กลาง ต า ต า กลาง กลาง กลาง

A.10.2.1 มการก าหนดมาตรการดานการให บรการของหนวยงานภายนอก และมการท าเอกสารขอตกลงการบรการ

ควรมการจดท าเอกสาร Service Level Agreement เพอใหไดรบการบรการทรวดเรวมากขน หรอใชบรการจากผใหบรการจากหลายท

68

พนกงานท าความสะอาด ขอมลอปกรณในหอง

Data Center ถกเปดเผย เนองจากขาดการตรวจสอบคณสมบตของพนกงานท าความสะอาด

ต า ต า กลาง กลาง กลาง กลาง

A.10.1.1, A.10.1.2 ก าหนดมาตรการดานการใหบรการของหนวยงานภายนอก และมการประเมนการใหบรการนน และมการบนทกภาพผาน CCTV กอนเขาท างาน

ตรวจสอบประวตพนกงานท าความสะอาดอยางละเอยดกอนอนญาตใหเขามาท างานในหนาทนได และตองมเจาหนาทคอยก ากบดแลการท างานในหอง Data Center

58

ล ำดบท

รำยกำรตรวจสอบ




จดกำรควำมเสยง F O R ผล 69 สงของภายในหอง Data

Center ถกขโมย เนองจากขาดการควบคมดแลการปฏบตงานของพนกงานท าความสะอาด

กลาง ต า ต า กลาง ต า กลาง -

ก าหนดมาตรการดานการใหบรการของหนวยงานภายนอก โดยใหมเจาหนาทคอยก ากบดแลการท างานในหอง Data Center ดวย

70 สงของภายในหอง Data Center เสยหายหรอบบสลายเนองจากการปฏบตงานของพนกงานท าความสะอาด กลาง ต า ต า กลาง ต า กลาง

มการตดตงกลองวงจนปดทสามารถเหนผเขาและออกหอง Data Center ไดชดเจน

A.9.1.1, A.10.1.1,A.10.1.2, A.11.3.2, A.11.3.3 ก าหนดมาตรการดานการใหบรการของหนวยงานภายนอก และมการประเมนการใหบรการ

59






71 ฝายอาคารสถานทของตกเชา

การด าเนนธรกจหยดชะงกเนองจากขอผดพลาดทางเทคนคจากฝายอาคารสถานทของตกเชาท าใหระบบไฟฟาขดของ

กลาง กลาง ต า กลาง กลาง กลาง

A.10.1.1, A.10.1.2 ก าหนดมาตรการดานการใหบรการของหนวยงานภายนอก และมการประเมนการใหบรการ

ควรมการจดท าเอกสาร Service Level Agreement เพอใหไดรบการบรการทรวดเรวมากขน หรอใชบรการจากผใหบรการจากหลายท

ตำรำงท 4.2 ตารางสรปจ านวนความเสยงกอนด าเนนโครงงาน ระดบควำมเสยง สง กลำง ต ำ รวม

จ ำนวน 3 39 29 71

60

เมอไดด าเนนการจดล าดบความเสยงและเลอกบรหารจดการความเสยงทมระดบความเสยงสงและกลางแลว ทางองคกรไดมการพจารณาเลอกมาตรการควบคมมาปรบใชในการบรหารจดการความเสยงโดยพจารณาจากความเสยงทมระดบสงและกลางโดยจะมการขออนมตจากคณะผบรหารในการด าเนนการเพอลดความเสยงซงไดผลการด าเนนการดงตารางตอไปน

ตำรำงท 4.3 ตารางสรปผลการด าเนนการในการบรหารจดการความเสยง

ล ำดบ รหสรำยกำร

ตรวจสอบประเดนควำมเสยง กอน ตวควบคม แผนลดควำมเสยง Risk Response RTP Status Completed ผรบผดชอบ ผลลพท

1 HW-001

ข

(Router

Switch)

ข ซ -

A.9.2.4

100%

2 IN-001 ข Email

ข ถ ไ ไ

ถ

ไ

-

A.11.3.1

ใ

ใ ถ

ไ

100%

ฐ

ใ

3 IN-001 ข Email

ข ถ ถ ไ

ไ ไ

ใ ข

Email ข

-

A.8.2.2

ใ

A.10.8.4

ข

100%

ฐ

ใ

ใ

4 HW-001

ข

(Router

Switch)

ถ ข ถ ไ ไ

A.9.1.2

ข ข

ข

A.9.1.4

100%

ฐ

61



5 HW-001

ข

(Router

Switch)

ไฟ

- A.9.2.1

UPS

ไฟฟ ไ

100%

UPS

6 HW-002 Firewall

ถ ข ถ ไ ไ

A.9.1.2

ข ข

ข

A.9.1.4

100%

7 HW-002 Firewall

ไ ถใ ไ

ไฟ

A.9.2.2 UPS

ถ ใ

ไ 20

A.9.2.2

ไฟฟ

ไฟฟ

100%

8 HW-002 Firewall

ข ซ

- A.9.2.4

100%

9 HW-003 Mail Server

ข ซ

- A.9.2.4

100%

10 HW-003 Mail Server

ถ ข ถ ไ ไ

A.9.1.2

ข

ข

A.9.1.4

100%

ฏ

62



11 HW-004 Web Server

ข ซ

- A.9.2.4

100%

12 HW-005 CRM Server

ข ซ

- A.9.2.4

100%

13 HW-006Ticket

Management

ข ซ

- A.9.2.4

100%

14 HW-007 CCTV System

ไ ถ

ข ถ

ข ไ

- A.9.2.4

ใ

ใ

50%

CCTV

15 HW-007 CCTV System

ไ ถ

ข ถ

ข ไ

ไ

- A.9.2.1

ใ

100%

16 HW-008Fire Protection

System

ไ ข

ไ

ข

ถ

BCP

ถ 100%

63



17 IN-003ข

ข

ข ถ ไ ไ

ถ

ไ

A.8.2.2

ใ

A.11.3.1

ใ

ใ ถ

ไ

100%

ข ใ ,

18 IN-003ข

ข

ข ถ ถ ไ

ไ ไ

ข

A.12.3.1

ข ข

Hard disk (Whole

Disk Encryption)

ข ข Email

A.8.2.2

ใ

100%

ใ

ข ข

ฯ

19 IN-003ข

ข

ข

ข

ข

- A.10.5.1

ใ ข

ข ใ

ถ ใ ไ

100%

20 IN-003ข

ข

ข ถ ไข

ไ ถ ถ ไ

A.12.3.1

ข ข

Hard disk (Whole

Disk Encryption)

ข ข Email

A.12.3.1

Digital Signature

ใ ใ

ถ

ถ ข ข

ข

Email ไ

100%

21 IN-005

ข

ใ ข

ข ถ ไ ไ

ถ

ไ

A.8.2.2

ใ

A.11.3.1

ใ

ใ ถ

ไ

100%

64



22 IN-005

ข

ใ ข

ข

ข

ข

A.10.5.1 ข

A.10.5.1

ใ ข

ข ใ

ถ ใ ไ

100%

23 IN-005

ข

ใ ข

ข ถ ไข

ไ ถ ถ ไ

A.12.3.1

ข ข

Hard disk (Whole

Disk Encryption)

ข ข Email

A.12.3.1

Digital Signature

ใ ใ

ถ

ถ ข ข

ข

Email ไ

100%

24 IN-005

ข

ใ ข

ถ ไ ไ ไ

A.6.1.5 ข

ไ

A.8.2.2

ใ

100%

ข ไ

25 PE-001

ข ไ

ไ ถ

ไ

ไ

A.8.2.3

ไข

ใ

A.8.2.1

ข

ข ข

ไ 1

100%

65



26 PE-002 ใ

ฤ ใ

ใ

ข

ใ

ใ

ใ

100%

ใ

27 PE-002 ใ

ข

A.8.2.3

A.8.2.3

ฏ

ใ ไ

100%

28 PE-003

ใ ไ

ไ ถ ฏ

ไ

A.8.2.3

ไข

ใ

A.8.2.1

ข

ข ข

ไ 1

50%

ไขใ

66



29 PE-003

A.8.2.3

A.8.2.3

ฏ

ใ ไ

100%

30 SW-001 Linux, Window

ซ ฟ

ไ

Hacker

A.10.4.1

Antivirus update

patch ข

A.10.1.1

ข

ฏ

A.10.1.2

ไข

50%

,

ข

AntiVirus

Security Patch

ข ฏ


ถ ข ถ ไ ไ

ใ

ข ถ

ถ ไ

ใ

A.11.2.4 ใ

ข ถ ข ใ ๆ 6

A.11.1.1

ข ถ

A.11.3.1

ใ

ใ ถ

ไ

100%

,

ข ใ ,

67




ถ ฟ

ฎ ข ซ ฟ

ใ

ซ ฟ ข

A.15.1.1

ข ใ ฏ

ฎ

ข ข

ใ

ฏ

A.15.1.2

ถ

ไ ใ

100%


ถ ข ถ ไ ไ

ไ ไ Logout

ไ

ไ ไ Lock ไ

- A.8.2.2, ,

ใ

A.11.5.6

session timeout

session ไ

100%

34 SW-002 Web Program,

Mail Program

ซ ฟ

ไ

Hacker

A.10.4.1

Antivirus update

patch ข

A.10.1.1

ข

ฏ

A.10.1.2

ไข

100%

68



35 SW-002Web Program,

Mail Program

ข ถ ไข

ข

ไ ไ ไ

ใ

ไ ไ

Logout

ไ

ไ ไ Lock

ไ

- A.8.2.2

ใ

A.11.5.6

session timeout

session ไ

100%

36 SW-003

CRM, Ticket

Management

ข ถ ไ ไ

ใ ข ถ ไ

- A.11.3.1

ใ

ใ ถ

ไ

A.8.2.2

ใ

100%

ข ใ

37 SW-003

CRM, Ticket

Management

ข ถ ไ ไ

ข ไ

ใ

ไ ไ

Logout

ไ

ไ ไ Lock ไ

- A.8.2.2

ใ

A.11.5.6

session timeout

session ไ

100%

69



38 HW-012 UPS

ไ

ไฟ ใ

- A.9.2.4

ข UPS

100%

39 HW-012 UPS

ไ ถ

ไฟไ ไฟ

ใ

ถ ไ

ถ ใ

ไ

100%

40 SE-001 ใ

Internet

ไ ถใ

ใ

ไ ข

ใ

10.2.2 ใ

ใ

ไ ใ

25%

แผนกบคคลและธรการ ฝายธรการก าลงหา

ขอมลจากผใหบรการ

จากผใหบรการรายอนๆ

41 SE-002

ข ใ Data

Center ถ

ข

ข

ใ ข

ใ ไ

ใ Data

Center

100%

แผนกบคคลและ

ธรการ,แผนกเทคนค

ความปลอดภย

สารสนเทศ

มเจาหนาทคอยก ากบ

ดแลการท างานในหอง

Data Center ดวย

70



42 SE-002

ข ใ Data

Center ถ ข

ข

ฏ ข

ใ ข

ใ

ใ Data

Center

100%




43 SE-002

ข ใ Data

Center

ฏ ข

ใ ข

ใ

100%

แผนกเทคนคความ

ปลอดภยสารสนเทศ




44 SE-002

ถ ข

ข

ถ ข ใ

ไฟฟ ข ข

A.10.1.1, A.10.1.2

ใ ข

ใ

100%

แผนกบคคลและธรการ เอกสารประเมนการ

ใหบรการของฝาย

อาคารสถานทของตก

เชา

71

4.2 ผลกำรประเมนควำมเสยงหลงด ำเนนโครงกำร ตำรำงท 4.4 ตารางแสดงผลการประเมนความเสยงหลงด าเนนโครงงาน

1. ฮำรดแวร (Hardware)




ตวควบคม F O R ผล

1

อปกรณเชอมตอเครอขาย(Router และSwitch)

อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารงตามก าหนดระยะเวลาการซอมบ ารง

สง สง ต า สง ต า

(กลาง) กลาง (สง)

A.9.2.4 มการก าหนดระยะเวลาในการตรวจสอบและบ ารงรกษาอปกรณระบบเครอขายและมการมอบหมายใหฝายความมนคงสารสนเทศเปนผรบผดชอบในการตรวจสอบ

2


สง สง ต า สง ต า กลาง

A.9.1.2 มการควบคมการเขาออกหองศนยขอมล และแยกพนทการตดตอของบคคลภายนอก A.9.1.4 มการแยกประเภทใหหอง Data Center เปนพนททมความส าคญ

3

ระบบไมสามารถใหบรการไดเนองจากอปกรณไมมประสทธ- ภาพเพยงพอตอการใชงาน



72





4

อปกรณเสยหายเนองจากไฟกระชาก

กลาง กลาง กลาง กลาง ต า

(กลาง) กลาง

A.9.2.1 มการเชอมตออปกรณเขากบ UPS เพอปองกนความไมแนนอนของกระแสไฟฟา

5

อปกรณเสยหายเนองจากกระแสไฟฟาชอตจากระบบระบายน าแอร ต า ต า ต า ต า ต า ต า

มการตรวจสอบเปนประจ าทกวนท าการและมการตดตงอปกรณถายโอนน าเพอท าน าออกไปทงดานนอกหองศนยขอมล โดยจะถายโอนเมอระดบน าถง ¼ ของอปกรณรบน า

6 ไมสามารถใหบรการไดเนองจากไฟดบ

ต า ต า ต า ต า ต า ต า A.9.2.2 ม UPS แลว สามารถรองรบการใชงานไดประมาณ 20 นาท

7 Firewall



A.9.1.1,A.9.1.2 A.9.1.5,A.9.1.6 มการควบคมการเขาออกหองศนยขอมล ก าหนดวธปฏบตงานในหองศนยขอมลและแยกพนทการตดตอของบคคลภายนอก

8

ไมสามารถใหบรการไดเนองจากไฟดบ ต า ต า ต า ต า กลาง ต า


73





9


สง กลาง ต า สง ต า กลาง A.9.2.4 เปลยนระบบมาตดตงบน VMware Server ซงเปนอปกรณใหมและมการก าหนดระยะเวลาบ ารงรกษาอปกรณ

10 Mail Server


กลาง กลาง ต า กลาง ต า


เปลยนระบบมาตดตงบน VMware Server และมการส ารองขอมลเพอยายไปไวเครองใหมไดทนท และมการจดท าแผนการกคนระบบแลว

11



12



A.9.1.2 มการควบคมการเขาออกและแยกพนทการตดตอของบคคลภายนอก A.9.1.4 มการแยกประเภทพนทส าคญเพอปองกนภยคกคามจากภายนอก

74





13

ทรพยากรระบบมไมเพยงพอ ต า ต า ต า ต า ต า ต า


14 Web Server

อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง กลาง ต า ต า กลาง

ต า (กลาง)

กลาง A.9.2.4 เปลยนระบบมาตดตงบน VMware Server ซงเปนอปกรณใหมและมการก าหนดระยะเวลาบ ารงรกษาอปกรณ

15


ต า ต า ต า ต า ต า ต า A.9.2.2 ม UPS ทสามารถรองรบการใชงานไดประมาณ 20 นาท

16

ถกเขาถงโดยไมไดรบอนญาต ต า ต า ต า ต า ต า ต า


17



75





18 CRM Server


กลาง ต า ต า กลาง ต า


A.9.2.4 เปลยนระบบมาตดตงบน VMware Server ซงเปนอปกรณใหมและมการก าหนดระยะเวลาบ ารงรกษาอปกรณ

19



20



21



22

Ticket Management




A.9.2.4 เปลยนระบบมาตดตงบน VMware Server ซงเปนอปกรณใหมและมการก าหนดระยะเวลาบ ารงรกษาอปกรณ

76





23



24



25



26 CCTV System

อปกรณไมสามารถตรวจสอบผเขาถงหองศนยขอมลไดเนองจากอปกรณข ารดเสยหาย



A.9.2.4 ควรมการก าหนดระยะเวลาบ ารงรกษาและเตรยมการเปลยนอปกรณเมอใกลครบอายการใชงาน

77





27

อปกรณไมสามารถตรวจสอบผเขาถงหองศนยขอมลไดเนองจากการตดตงอปกรณไมครอบคลมพนท

สง ต า ต า สง ต า กลาง

A.9.2.1 ไมม CCTV ในหองแตม CCTVภายนอกหองทสามารถตรวจสอบบคคลทอยในหอง Data Center ไดชดเจนและมการควบคมการเขาถงดวย มการยายอปกรณระบบและอปกรณส ารองชนเลกๆออกไปเกบในพนททปลอดภยภายนอก data center

28 Fire Protection System

อปกรณไมท างานขณะเกดเพลงไหม สง สง กลาง สง ต า กลาง

มเจาหนาทของอาคารเชามาตรวจสอบอยางสม าเสมอและมการท าประกนอคคภยเพอถายโอนความเสยงแลว

29 Air Condition

อปกรณไมท างานหรอท างานผดพลาดท าใหอณหภมรอนจนระบบไมสามารถท างานไดตามปกต


A.9.2.4 มระบบควบคมอณภมทงของอาคารและภายในต Rack ดวย มเจาหนาทตรวจสอบอณหภมอยอยางสม าเสมอ

78





30 Humidity

อปกรณไมท างานหรอท างานผดพลาดท าใหเกดความชนมากท าใหอปกรณในหอง Data Center เสอมสภาพเรวกวาปกตหรออปกรณเสยได


A.9.2.4 มการตรวจสอบอปกรณตรวจสอบความชนอยางสม าเสมอ

31 UPS

อปกรณไมท างานเมอเกดไฟกระชากท าใหอปกรณระบบเกดความเสยหาย

สง กลาง ต า สง ต า กลาง

A.9.2.4 มการก าหนดระยะเวลาตรวจสอบบ ารงรกษาอปกรณอยางสม าเสมอและหาก UPS เสยกสามารถเปลยนไดภายใน 1 ชวโมง

32

อปกรณไมสามารถส ารองไฟไดเพยงพอเมอเกดไฟดบ

ต า ต า ต า ต า ต า

(กลาง) ต า

(กลาง)

A.10.3.1 มกระบวนการในการประเมนความสามารถในการส ารองไฟของ UPS ทกครงทจะมการเพมอปกรณใหมเขามาใชงาน

79

2. ซอฟตแวร (Software)





33

Operating System Software -Window -Linux



A.10.4.1 มการตดตง Antivirus และupdate patch ทเกยวของกบความมนคงปลอดภยสารสนเทศ, A.10.1.1 ควรมการก าหนดขนตอนปฏบตงานอยางเปนลายลกษณอกษร A.10.1.2 ควรมการบนทกการแกไข เปลยนแปลง หรอปรบปรงระบบดวย

34

ถกเขาถงโดยไมไดรบอนญาตเนองจากการความบกพรองในกระบวนการควบคมการเขาถง เชน รหสผานสามารถคาดเดาไดโดยงาย หรอการใหสทธเกนความจ าเปน


A.11.2.4 มกระบวนการในการทบทวนสทธ การเขาถงของผใชงานทกๆ 6 เดอน หรอ ทกครงทมการเปลยนแปลง เชน การเลอนต าแหนง ยายแผนก หรอสนสดการจางงานและจะมการทบทวนสทธทกๆ 1 ป หรอเมอพนกงานยายแผนกหรอลาออก A.11.3.1 มการก าหนดนโยบายในการตงรหสผานใหสามารถคาดเดาไดยาก

80





35

การถกฟองรองตามกฎหมายลขสทธซอฟตแวรเนองจากพนกงานใชซอฟตแวรละเมดลขสทธ

กลาง (สง)

ต า กลาง (สง)


ต า กลาง

A.15.1.1,8.2.2 มการก าหนดหนาทความรบผดชอบของบคลากรใหปฏบตตามกฎหมาย ระเบยบ ขอบงคบ หรอขอก าหนดในสญญาทองคกรตองปฏบตตามและสรางความตระหนกและใชงานเฉพาะลขสทธทดลองใช (Demo License เทานน)

36

ถกเขาถงโดยไมไดรบอนญาตเนองจากผดแลระบบไมไดท าการ Logout ออกจากระบบเมอไมอยหนาจอคอมพวเตอรและไมได Lock หนาจอไว

สง ต า กลาง สง ต า กลาง

A.8.2.2, A.8.2.3, A.11.5.6 มการตง Session Timeout ใหกบระบบ รวมไปถงการสรางความตระหนกและใหความรแกพนกงานและมการตรวจสอบอยางสม าเสมอ สามารถตรวจสอบผไมหวงดนนดวย CCTV ได

37

Package software - Web Program - Mail Program


ต า กลาง สง สง ต า กลาง

A.10.4.1, A.10.4.2 มการปดชองโหว และupdate patch ทเกยวของกบความมนคงปลอดภยสารสนเทศและ disable การ run mobile code ทไมไดรบอนญาตแลว และมการตดตงระบบปองกน Spam และ IPS

81





38

ซอฟตแวรท างานผด พลาดเนองจากผใชงาน หรอ Webmaster ขาดความรความเขาใจในการใชงานซอฟตแวร


ส าหรบ Mail Server จะปฏบตงานโดยผทช านาญการและมการตรวจสอบอยเสมอ

39

การเขาถงและแกไขเปลยนแปลงขอมลโดยไมไดรบอนญาตโดยผไมหวงดภายในองคกรเนองจากผดแลระบบไมไดท าการ Logout ออกจากระบบเมอไมอยหนาจอคอมพวเตอรและไมได Lock หนาจอไว

ต า ต า



ต า ต า

(กลาง)


82





40

Business Application - CRM - Ticket Management

ซอฟตแวรท างานผดพลาดเนองจากโปรแกรมไมพงประสงคหรอ Hacker ต า ต า ต า ต า ต า ต า

A.10.4.1, A.10.4.2 มการปดชองโหว และupdate patch ทเกยวของกบความมนคงปลอดภยสารสนเทศ

41

การเขาถงโดยไมไดรบอนญาตเนองจากการตงรหสผานในการเขาถงไมปลอดภย

ต า (สง)

ต า ต า

(กลาง) ต า (สง)

ต า ต า

(กลาง)

A.11.3.1 มนโยบายในการตงรหสผานของระบบใหสามารถคาดเดาไดยาก A.8.2.2 สรางความตระหนกและใหความรแกพนกงาน

42

การเขาถงโดยไมไดรบอนญาตของผไมหวงดภายในองคกรเนองจากผดแลระบบไมไดท าการ Logout ออกจากระบบเมอไมอยหนาจอคอมพวเตอรและไมได Lock หนาจอไว

ต า (สง)

ต า ต า


ต า ต า

(กลาง)


83

3. สำรสนเทศ (Information)





43 ขอมล Email


ต า (สง)

ต า ต า



ต า (สง)

A.11.3.1 มนโยบายในการตงรหสผานของระบบใหสามารถคาดเดาไดยาก A.8.2.2 มการสรางความตระหนกใหแกพนกงาน A.10.8.1 นโยบายในการรบสงขอมลอเลกทรอนกสโดยการเขารหสขอมล Email อกชนหนง

44

การเขาถงหรอถกน าไปเปดเผยโดยไมไดรบอนญาตเนองจากความผดพลาดในการสงขอมลทาง Email ของพนกงาน


ต า กลาง กลาง(สง)

กลาง กลาง (สง)

มแนวทางปฏบตในการตงเงอนไขการสงขอมล Email ออกไปภายนอกองคกรดวยโปรแกรมเขสรหส PGP เพอลดความเสยงในการสง Email ไปยงผรบผดคน และการปดการใชงาน Auto Complete บนโปรแกรม Email Client แลว

45


ต า ต า ต า ต า ต า ต า มการเกบขอมล Email ไวทงบน Mail Server และเครองของผใชงานเอง และมการ Backup Mail Server ไวอยางสม าเสมอ

84





46 ขอมลทวไปของบรษท


ต า ต า ต า ต า ต า ต า มการก าหนดนโยบายในการตงรหสผานและสรางความตระหนกแกพนกงาน

47 ขอมลสญหายหรอเสยหายเนองจากขาดการส ารองขอมล

ต า ต า ต า ต า ต า ต า มการส ารองขอมลทกครงทมการแกไขเปลยนแปลงขอมล และมการแกไขเปลยนแปลงขอมลนอยครง

48 ขอมลถกแกไขเปลยนแปลงไมสามารถเชอถอได

ต า ต า ต า ต า ต า ต า เปนขอมลสาธารณะและมแรงจงใจทจะเกดภยคกคามต า

49

ขอมลระบบทส าคญของลกคา


ต า ต า ต า




A.8.2.2 มการสรางความตระหนกเพอใหพนกงานมความระมดระวง A.11.3.1 มนโยบายในการตงรหสผานใหสามารถคาดเดาไดยาก

50

การเขาถงหรอถกน าไปเปดเผยโดยไมไดรบอนญาตเนองจากความประมาทเลนเลออยางรายแรงของพนกงาน





(กลาง)

A.12.3.1 มระเบยบขอบงคบใหพนกงานทกคนท าการเขารหสขอมลทใชในการท างานทงหมดใน Harddisk ดวยการใช PGP Whole Disk Encryption และมการสมตรวจสอบอยางสม าเสมอ

85





51


ต า ต า



ต า(กลาง)


A.10.5.1 มการก าหนดมาตรการในการส ารองขอมลโดยจดใหม File Server ททกคนสามารถท าการส ารองขอมลไวและมการเขารหสขอมลไวดวย

52


ต า ต า





A.12.3.1 มนโยบายเกยวกบการเขารหสขอมลทง Hard disk (Whole Disk encryption) และการเขารหสขอมล Email A.12.3.1 มการน า Digital Signature มาประยกตใชเพอใหสามารถตรวจสอบความถกตองของขอมลและตรวจสอบผสง Email ได

53

ขอมลทวไปของลกคา


ต า ต า ต า ต า ต า ต า เปนขอมลสาธารณะอยแลว ไมมแรงจงใจทจะท าใหเกดภยคกคามทมผลกระทบตอองคกร

54


ต า ต า ต า ต า ต า ต า ยงไมเคยเกดเหตกรณขอมลสญหายหรอเสยหายอนเปนภยคกคามทมผลกระทบตอองคกร

86





55

ขอมลถกแกไขเปลยนแปลงไมสามารถเชอถอได ต า ต า ต า ต า ต า ต า

เปนขอมลสาธารณะอยแลว ไมมแรงจงใจทจะท าใหเกดภยคกคามทมผลกระทบตอองคกร

56

ถกน าไปเปดเผยโดยไมไดรบอนญาต ต า ต า ต า ต า ต า ต า

เปนขอมลสาธารณะอยแลว ไมมแรงจงใจทจะท าใหเกดภยคกคามทมผลกระทบตอองคกร

57

ขอมลการใหบรการของบรษทแกลกคา






A.8.2.2 มการสรางความตระหนกเพอใหพนกงานมความระมดระวง A.11.3.1 มการนโยบายในการตงรหสผานใหสามารถคาดเดาไดยาก

58


ต า ต า





A.10.5.1 มมาตรการในการส ารองขอมลส าคญของลกคาเพอใหสามารถน ามา ใชงานไดอยางตอเนอง (มการใชงาน E-Service Report ซงเขารหสตอนสง Email)

87





59


ต า ต า





A.12.3.1 มนโยบายเกยวกบการเขารหสขอมลทง Hard disk (Whole Disk encryption) และการเขารหสขอมล Email A.12.3.1 มการน า Digital Signature มาประยกตใชเพอใหสามารถตรวจสอบความถกตองของขอมลและตรวจสอบผสง Email ได

60



A.6.1.5 มการท าขอตกลงไมเปดเผยความลบ A.8.2.2 มการสรางความตระหนกเพอใหพนกงานมความระมดระวง

88

4. พนกงำน (People)





61 หวหนาแผนก

เปาหมายขององคกรไมบรรลผลเนองจากหวหนาแผนกไมสามารถบรหารจดการตามหนาททไดรบมอบหมายได

สง กลาง (สง)

กลาง สง ต า กลาง

A.8.2.3 มการก าหนดเงอนไขการจางงานโดยระบสทธและหนาทความรบผดชอบในสวนงานนน A.8.2.1 การประเมนประสทธภาพการท างานของหวหนาแผนกเทยบกบขอบเขตลกษณะงานทไดรบมอบหมายอยางนอยปละ 1 ครง

62

การด าเนนงานชาหรอหยดชะงกเนองจากหวหนาแผนกไมสามารถเขาปฏบตงานได

ต า ต า ต า ต า ต า ต า มการแจงทมงานในแผนกทงหมดทราบอยางเปนลายลกษณอกษรวาไดมอบหมายงานใหผใดเปนผปฏบตงานแทน

63

ผใชงาน

มพฤตกรรมการใชงานระบบในทางทเสยงเนองจากพนกงานขาดความร ความตระหนก

กลาง ต า

(กลาง) ต า กลาง ต า กลาง

A.8.2.2 มการแจงเตอนเปนครงคราวเมอพบการใชงานระบบในทางทเสยงเพอสรางความตระหนกและใหความรแกพนกงานและมการแจงแนวทางปฏบตในการปองกนความปลอดภยตามสถานการณนนๆ

89





64

การละเมดนโยบายความมนคงปลอดภยเพราะขาดการตรวจสอบและลงโทษ


A.8.2.3 มการก าหนดกระบวนการทางวนยและมการสมตรวจสอบการปฏบตตามนโยบายดานความมนคงปลอดภยสารสนเทศเพอลงโทษผทละเมดนโยบายความมนคงปลอดภยสารสนเทศ

65

ผดแลระบบ

ระบบสารสนเทศทใหบรการไมมความมนคงปลอดภยเนองจากผดแลระบบไมสามารถปฏบตงานไดอยางมประสทธภาพ


A.8.2.3 มการก าหนดเงอนไขการจางงานโดยระบสทธและหนาทความรบผดชอบในสวนงานนน A.8.2.1 การประเมนประสทธภาพการท างานของหวหนาแผนกเทยบกบขอบเขตลกษณะงานทไดรบมอบหมายปละ 1 ครง

66

การละเมดนโยบายความมนคงปลอดภยสารสนเทศ

กลาง ต า

(กลาง) ต า กลาง ต า กลาง

A.8.2.3 มการก าหนดกระบวนการทางวนยและมการสมตรวจสอบการปฏบตตามนโยบายดานความมนคงปลอดภยสารสนเทศเพอลงโทษผทละเมดนโยบายความมนคงปลอดภยสารสนเทศ

90

5. บรกำร (Services)





67 ผใหบรการ Internet

องคกรไมสามารถใชงานอนเตอรเนตในการท าธรกจได เพราะขอผด พลาดทางเทคนคจากผใหบรการอนเตอรเนต



A.10.2.1 มการก าหนดมาตรการดานการให บรการของหนวยงานภายนอก และมการท าเอกสารขอตกลงการบรการ 10.2.2 ก าหนดใหมการเฝาระวงและตรวจสอบระดบการใหบรการทไดรบจากผใหบรการ

68

พนกงานท าความสะอาด

ขอมลอปกรณในหอง Data Center ถกเปดเผย เนองจากขาดการตรวจสอบคณสมบตของพนกงานท าความสะอาด

ต า ต า กลาง กลาง ต า


A.10.1.1, A.10.1.2 ก าหนดมาตรการดานการใหบรการของหนวยงานภายนอก และมการประเมนการใหบรการนน และมการบนทกภาพผาน CCTV กอนเขาท างาน ตรวจสอบประวตพนกงานท าความสะอาดอยางละเอยดกอนอนญาตใหเขามาท างานในหนาทนได และตองมเจาหนาทคอยก ากบดแลการท างานในหอง Data Center

91





69

สงของถกขโมย เนองจากขาดการควบคมดแลการปฏบตงานของพนกงานท าความสะอาด





มมาตรการดานการใหบรการของหนวยงานภายนอก โดยใหมเจาหนาทคอยก ากบดแลการท างานในหอง Data Center ดวย

70

สงของภายในหอง Data Center เสยหายหรอบบสลายเนองจากการปฏบตงานของพนกงานท าความสะอาด





A.9.1.1, A.10.1.1,A.10.1.2, A.11.3.2, A.11.3.3 มการตดตงกลองวงจรปดทสามารถเหนผเขาและออกไดชดเจน มการก าหนดมาตรการดานการใหบรการของหนวยงานภายนอก และมการประเมนการใหบรการอยางสม าเสมอ มเจาหนาทคอยก ากบดแลการท างานในหอง Data Center

71 ฝายอาคารสถานทของตกเชา

การด าเนนธรกจหยดชะงกเนองจากขอผดพลาดทางเทคนคจากฝายอาคารสถานทของตกเชาท าใหระบบไฟฟาขดของ

กลาง กลาง ต า กลาง ต า


A.10.1.1, A.10.1.2 ก าหนดมาตรการดานการใหบรการของหนวยงานภายนอก และมการประเมนการใหบรการ มการจดท าเอกสาร Service Level Agreement เพอใหไดรบการบรการทรวดเรวมากขน หรอใชบรการจากผใหบรการจากหลายท

92

ตำรำงท 4.5 ตารางสรปจ านวนความเสยงหลงด าเนนโครงงาน ระดบควำมเสยง สง กลำง ต ำ รวม

จ ำนวน 0 28 43 71

93

บทท 5 สรปผลกำรด ำเนนโครงงำน

ในการด าเนนการโครงงาน ทางทมงานของบรษทบกฟชเอนเตอรไพรส จ ากด ไดใหความรวมมอเปนอยางด และไดด าเนนการส าเรจเปนตามทไดตงเปาหมายไว หลงจากทไดประเมนความเสยงในครงแรกกท าใหพบจดออนจดบกพรองคอนขางมาก ซงทางผจดท าไดรวมกบคณะท างานของบรษท บกฟช เอนเตอรไพรส จ ากด น าเสนอปญหาและรายการควบคมตามมาตรฐาน ISO27001 ทเกยวของมาปรบใชเพอลดความเสยง อนประกอบดวยรายการควบคมดงตอไปน

A.6 โครงสรางทางดานความมนคงปลอดภยส าหรบองคกร (Organization of information security) A.7 การบรหารจดการทรพยสนขององคกร (ASSET MANAGEMENT) A.8 ความมนคงปลอดภยเกยวกบบคลากร (Human Resource Security) A.9 การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม (Physical And Environmental Security) A.10 การบรหารจดการดานการสอสารและการด าเนนงานของเครอขายสารสนเทศขององคกร (Communication an Operations Management) A.11 การควบคมการเขาถง (Access Control) A.12 การจดหา การพฒนา และการบ ารงรกษาระบบสารสนเทศ (Information systems acquisition, development and maintenance) A.14 กระบวนการในการสรางความตอเนองใหกบธรกจ (Business Continuity Management) A.15 การปฏบตตามขอก าหนด (Compliance)

เมอไดเสนอรายการควบคมทจะสามารถชวยลดความเสยงทพบนนไปยงคณะผบรหารแลว คณะผบรหารกไดมค าสงอนมตและใหด าเนนการได ส าหรบรายการทไดจดท าไปนนทางผจดท าไดอธบายไวในบทท 4 แลว โดยหลงการด าเนนการโครงการตามแผนงานดงกลาวท าใหความเสยงในระดบสงและระดบกลางลดลงไดผลตามเปาหมายทวางไวดงตารางดานลางน ตำรำงท 5.1 ตารางสรปจ านวนความเสยงกอนและหลงด าเนนโครงงาน

กำรประเมนควำมเสยง สง กลำง ต ำ รวม กอน 3 39 29 71 หลง 0 28 43 71

94

เมอพจารณาในรายละเอยด จะพบวาหากขาดองคประกอบของความเสยงอนไดแก ทรพยสน จดออนจดบกพรอง และภยคกคาม เพยงอยางใดอยางหนงจะท าใหความเสยงนนหายไป ซงจะเหนไดจากการด าเนนการลดความเสยงในบทท 4 ทสามารถลดระดบของผลกระทบ หรอลดจ านวนโอกาสทจะเกดภยคกคามไดดงตอไปน

รปท 5.1 แผนภาพสรปจ านวนความเสยงในแตละระดบ

ระหวางการด าเนนการลดความเสยงตลอดโครงการไดมการจดท าและปรบปรงเอกสารนโยบายและระเบยบวธปฏบตตางๆหลายรายการเพอใหมการบงคบใชในการลดความเสยงดานความปลอดภยสารสนเทศ ยกตวอยางเชน เอกสารดงตอไปน

1. เอกสารนโยบายความมนคงปลอดภยสารสนเทศ 2. เอกสารนโยบายการบ ารงรกษาอปกรณ 3. เอกสารมาตรฐานการตงรหสผานผใชงานระบบจดหมายอเลกทรอนกส 4. เอกสารมาตรฐานการควบคมการใชงานจดหมายอเลกทรอนกส 5. บนทกการอบรมเพอสรางความตระหนกใหกบพนกงาน 6. เอกสารมาตรฐานการปองกนภยคกคามจากภายนอก 7. เอกสารนโยบายการตงรหสผานของผใชงานระบบเทคโนโลยสารสนเทศ 8. เอกสารมาตรฐานการเขารหสขอมลทมความส าคญ 9. เอกสารขอตกลงไมเปดเผยความลบทพนกงานจะตองลงลายมอชอรบทราบ 10. เอกสารขนตอนการตดตง AntiVirus และ Security Patch ของระบบปฏบตการ

อยางไรกตาม แมผลการประเมนความเสยงจะพบวาความเสยงไดลดนอยลง เมอมองไป

ถงตวควบคมทไดเลอกใช บางรายการยงไมสามารถทจะลดความเสยงทมอยไดอยางชดเจน แตกสามารถลดผลกระทบ หรอโอกาสทจะเกดภยคกคามไดตามรายละเอยดในตารางท 4.4 ตาราง

95

แสดงผลการประเมนความเสยงหลงด าเนนโครงงาน ซงสามารถสรปขอมลผลการด าเนนการในแตละสวนเปนแผนภมรปภาพไดดงตอไปน

ดานฮารดแวร (Hardware)

รปท 5.2 แผนภาพสรปจ านวนความเสยงในสวนของฮารดแวร

ดานซอฟตแวร (Software)

รปท 5.3 แผนภาพสรปจ านวนความเสยงในสวนของซอฟตแวร

96

ดานสารสนเทศ (Information)

รปท 5.4 แผนภาพสรปจ านวนความเสยงในสวนของสารสนเทศ

ดานพนกงาน (People)

รปท 5.5 แผนภาพสรปจ านวนความเสยงในสวนของพนกงาน

97

ดานบรการ (Service)

รปท 5.6 แผนภาพสรปจ านวนความเสยงในสวนของบรการ องคกรยงมความมงมนทจะขยายขอบเขตในการบรหารจดการความมนคงปลอดภย

สารสนเทศใหเพมมากขนเทาทจะสามารถท าไดเพอใหครอบคลมทงองคกร ดงนน การด าเนนโครงงานนท าใหองคกรไดเรมตนในการตรวจสอบและบรหารจดการดานความมนคงปลอดภยไปแลวหลายสวน และผลงาน เอกสาร วธการด าเนนการใดๆทไดจากการด าเนนการโครงการในครงนกสามารถน าไปใชประโยชนในการพฒนาดานการด าเนนงานดานการบรหารจดการความมนคงปลอดภยสารสนเทศตอไปไดอกดวย

98

เอกสำรอำงอง

[1] ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต, มาตรฐานการรกษาความมนคง ปลอดภย ในการประกอบธรกรรมทางอเลกทรอนกส (เวอรชน 2.5) , 2550 [2] International Standard ISO/IEC 27001, Information technology - Security techniques – Information security management systems – Requirements, 2548 [3] International Standard ISO/IEC 17799/27002, Information technology - Security techniques – Code of practice information security management, 2548 [4] International Standard ISO/IEC 27005 International Standard, Information technology - Security techniques – Information security risk management, 2551 [5] สภาวด จวหะสชน. 2548. ระบบการบรหารจดการความปลอดภยของขอมล. For Quality, August [6] ISO27k ISMS implementation and Certification process Version 3 January 2009 [7] จตชย แพงจนทร, (2550). Master in Security. (อรรณพ ขนธกล, บรรณาธการ). หนา 31 – 35. นนทบร : ไอดซฯ. [8] ศนยประสานงานการรกษาความปลอดภยคอมพวเตอรประเทศไทย ภายใตศนยเทคโนโลย อเลกทรอนกสและคอมพวเตอรแหงชาต, รางแนวทางปฏบตส าหรบการรกษาความมนคงปลอดภยสารสนเทศ , 2552, http://www.thaicert.nectec.or.th/paper/basic/procedure_ISO17799-2005.pdf

99

ภำคผนวก

ภำคผนวก ก เอกสำรแสดงกำรประยกตใชงำน (Statement Of Applicability) A.5 นโยบำยดำนควำมมนคงปลอดภย หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ

A.5.1.1 นโยบายดานความมนคงปลอดภยสารสนเทศ

สอดคลอง องคกรมนโยบายดานความมนคงปลอดภยสารสนเทศอยางเปนลายลกษณอกษร

เอกสารนโยบายดานความมนคงปลอดภยสารสนเทศและรายงานการประชมเพอจดท านโยบาย

A.5.1.2 การทบทวนนโยบายความมนคงปลอดภยสารสนเทศ

สอดคลอง มการก าหนดใหท าการทบทวนนโยบายดานความมนคงปลอดภยสารสนเทศทกๆ 1 ป

เอกสารนโยบายดานความมนคงปลอดภยสารสนเทศและรายงานการประชมเพอทบทวนนโยบาย

100

A.6 โครงสรำงทำงดำนควำมมนคงปลอดภยส ำหรบองคกร (Organization of information security) หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ

A.6.1.1 การใหความส าคญของผบรหารและการก าหนดใหมการบรหารจดการดานความมนคงปลอดภย

สอดคลอง

องคกรมการแตงตงและก าหนดบทบาทหนาทของคณะท างานอยางชดเจนโดยผานการอนมตจากคณะกรรมการผบรหาร

หนงสอแตงตงคณะกรรมการความมนคงปลอดภยสารสนเทศ

A.6.1.2 การประสานงานความมนคงปลอดภยภายในองคกร


องคกรมการจดตงทมงานเพอบรหารจดการดานความมนคงปลอดภยสารสนเทศโดยเฉพาะ

หนงสอแตงตงคณะท างานดานความมนคงปลอดภยสารสนเทศ

A.6.1.3 การก าหนดหนาทความรบผดชอบทางดานความมนคงปลอดภย


องคกรมการก าหนดใหพนกงานทกคนรกษาขอมลอนเปนความลบรวมไปถงการดแลรกษาทรพยสนสารสนเทศทอยในครอบครองและการปฏบตงานตามขอบเขตการท างานตามทแจงไวตอนรบสมคร

นโยบายความมนคงปลอดภยสารสนเทศและสญญาไมเปดเผยความลบของขอมลตลอดระยะเวลาทเปนพนกงานขององคกร และรกษาสญญาตอเปนระยะเวลา 5 ปนบจากสนสดการเปนพนกงาน

101

หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ

A.6.1.4 กระบวนการอนมต การใชงานระบบเทคโนโลยสารสนเทศ

ไมสอดคลอง

มกระบวนการตรวจสอบและอนมตการใชงานอปกรณใหมในองคกรแตไมมเอกสารในการอนมตใหใชงานอยางเปนลายลกษณอกษร

เอกสารการขออนมตการใชงานระบบสารสนเทศใหม

ควรมการจดท าเอกสารการอนมตใชงานระบบสารสนเทศใหมเพอตรวจสอบวาระบบนนใชงานรวมกบระบบปจจบนไดหรอไม

A.6.1.5 ขอตกลงการไมเปดเผยความลบ สอดคลอง

มการชแจงขอตกลงไมเปดเผยความลบส าหรบพนกงานทเขาใหมและการใชบรการหนวยงานภายนอก

เอกสารขอตกลงไมเปดเผยความลบและการสอบถามจากคสญญา

A.6.1.6 การมรายชอและขอมลส าหรบการตดตอกบหนวยงานอน


มกระบวนการในการปฏบตแตยงขาดขนตอนปฏบตส าหรบการายงานเหตการณความปลอดภยไปยงหนวยงานภายนอกทชดเจน

ตรวจสอบเอกสารและสอบถามจากพนกงาน

ควรจดท าขนตอนปฏบตส าหรบการตดตอกบหนวยงานอนเมอเกดเหตการณความปลอดภย เชน สถานดบเพลง สถานต ารวจ หรอสถานพยาบาลวาตองตดตอใคร รายงานอยางไร

102


A.6.1.7 การมรายชอและขอมลส าหรบการตดตอกบกลมทมความสนใจเปนพเศษในบางเรอง


มการแลกเปลยนและรบขาวสารจากดานความมนคงปลอดภยอยางสม าเสมอ

ตรวจสอบ Email การแจงเตอนการอพเดท Patch ของอปกรณระบบและ Email ขาวสารเกยวกบภยคกคามทางเทคโนโลยสารสนเทศจาก ISACA, Antivirus Vender, Firewall Vender

ควรมการแจงเตอนพนกงานฝายอนๆทไมใช IT เพอใหเขาใจและชวยกนปองกนความเสยง

A.6.1.8 การทบทวนดานความมนคงปลอดภยสารสนเทศโดยผตรวจสอบอสระ


มกระบวนการตรวจสอบภายในเปนครงคราวเพอท าการทบทวนตรวจสอบความมนคงปลอดภยภายในองคกร แตไมมการตรวจสอบจากผตรวจสอบจากภายนอก

ตรวจสอบจาก Version ของเอกสารสารและบนทกการแกไขเปลยนแปลงเอกสารนโยบายความมนคงปลอดภยสารสนเทศ

ควรจดใหมการประเมน จากหนวยงานภายนอก เพอใหไดค าแนะน าท หลากหลายมากขน

A.6.2.1 โครงสรางดานความมนคงปลอดภยทเกยวของกบลกคาหรอหนวยงานภายนอก


องคกรยงไมมนโยบายใหมการตรวจสอบและประเมนความเสยงขององคกรโดยหนวยงานภายนอก

ตรวจสอบขอมลการประเมนความเสยงจากหนวยงานภายนอก

ควรจดใหมการประเมน จากหนวยงานภายนอก เพอใหไดค าแนะน าท หลากหลายมากขน

103


A.6.2.2

การระบขอก าหนดส าหรบลกคาหรอผใชบรการทเกยวของกบความมนคงปลอดภยส าหรบสารสนเทศขององคกร


มการจดท ารายชอลกคาทองคกรใหบรการและมการจดท าขอตกลงการใหบรการทถกตองครบถวน

รายชอลกคาทใหบรการเทยบกบขอตกลงการใหบรการทลกคาไดรบตรงกน

A.6.2.3

การระบและจดท าขอก าหนดส าหรบหนวยงานภายนอกทเกยวของกบความมนคงปลอดภยส าหรบสารสนเทศขององคกร

สอดคลอง มการจดท ารายชอผใหบรการภายนอกเชนผใหบรการอนเตอรเนต

เอกสารขอตกลงการใหบรการของหนวยงานผใหบรการภายนอก

104

A.7 กำรบรหำรจดกำรทรพยสนขององคกร (ASSET MANAGEMENT) หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ

A.7.1.1 การจดแบงหมวดหมและจดท าบญชรายการทรพยสน

สอดคลอง มการจดท าบนทกรายการทรพยสนทกชนทซอมาใหม

เอกสารบญชรายการทรพยสน

A.7.1.2 การระบผเปนเจาของทรพยสน สอดคลอง มการระบชอแผนกผเปนเจาของทรพยสน

เอกสารบญชรายการทรพยสน

A.7.1.3 การใชงานทรพยสนทเหมาะสม ไมสอดคลอง ไมมเอกสารการควบคมการใชงานทรพยสน แตผใชงานจะไดรบค าแนะน าการใชงาน

สอบถามจากพนกงานผปฏบตงาน

เอกสารคมอการใชงานทรพยสนทถกตองใหพนกงานใหม

A.7.2.1 การจดท าแนวทางในการแบงล าดบชนของขอมล

สอดคลอง มการก าหนดมาตรการในการจดแบงล าดบชนของขอมลออกเปน 5 ระดบ

เอกสารแนวทางในการจดล าดบชนของขอมล

A.7.2.2 การจดท าปายชอบงชส าหรบทรพยสนสารสนเทศ

ไมสอดคลอง มการท าลายน าในเอกสารลบ แตไมไดมการจดท ามาตรการในการปฏบตทชดเจน

เอกสารขอมลทเปนความลบทมลายน าเขยนวา “Confidential”

ควรจดท าแนวทางในการแบงล าดบชนของขอมล

105

A.8 ควำมมนคงปลอดภยทเกยวของกบบคลำกร (HUMAN RESOURCES SECURITY) หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ

A.8.1.1 การก าหนดหนาทความรบผดชอบทางดานความมนคงปลอดภย


มการก าหนดหนาทใหกบคณะท างานและพนกงานในดานความมนคงปลอดภยสารสนเทศอยางเปนลายลกษณอกษร

เอกสารรายงานการประชมดานความมนคงปลอดภยสารสนเทศ

A.8.1.2 การตรวจสอบคณสมบตของผสมคร


มการก าหนดคณสมบตของผสมครเขาท างานโดยตองมพนฐานและประสบการณทเหมาะสมกบงาน

ขอมลการรบสมครบคลากรเขาท างานในต าแหนงวศวกร

A.8.1.3 การก าหนดเงอนไขในการปฏบตงาน

สอดคลอง องคกรมขอปฏบตใหพนกงานปฏบตตาม

เอกสารขอปฏบตของพนกงาน

A8.2.1 หนาทในการบรหารจดการทางดานความมนคงปลอดภย


มการก าหนดหนาทความรบผดชอบดานความมนคงปลอดภยสารสนเทศใหกบพนกงานใหปฏบตตามอยางเครงครด

เอกสารขอตกลงในการปฏบตงาน

106


A8.2.2 การสรางความตระหนก การใหความร และการอบรมดานความมนคงปลอดภยใหแกพนกงาน


มการชแจงมาตรการในการคมคมหรอปองกนความมนคงปลอดภยและสรางความตระหนกใหแกพนกงานอยางสม าเสมอ

เอกสารการมาตรฐานในการแลกเปลยนขอมลสารสนเทศและ Email แจงเตอนกรณพบเหตอนอาจเปนความเสยงดานความมนคงปลอดภยในการปฏบตงาน

A.8.2.3 กระบวนการทางวนยเพอลงโทษ สอดคลอง

มการตรวจสอบการละเมดความมนคงปลอดภยอยางสม าเสมอและมมาตรการตกเตอนและลงโทษทางวนย

เอกสารขอตกลงในการปฏบตงาน

A.8.3.1 การสนสดหรอการเปลยนการจางงาน


มกระบวนการในการแจงการสนสภาพความเปนพนกงานและการเนนย าผรบการวาจางถงขอตกลงตางๆ เชน ขอตกลงการไมเปดเผยความลบ

เอกสารแบบฟอรมการยายแผนกหรอลาออกของพนกงาน

A.8.3.2 การคนทรพยสนขององคกร สอดคลอง มการคนทรพยสนขององคกรเมอพนกงานยายแผนกหรอลาออก

เอกสารแบบฟอรมการยายแผนกหรอลาออกของพนกงาน และรายการการคนทรพยสน

107


A.8.3.3 การถอดถอนสทธในการเขาถง สอดคลอง

มการถอดถอนสทธหรอเปลยนแปลงสทธของพนกงานทลาออกหรอแผนกในระบบตางๆ

ตรวจสอบรายชอพนกงานทม อย เทยบกบรายชอและสทธของผใชงานระบบ

A.9 กำรสรำงควำมมนคงปลอดภยทำงกำยภำพและสงแวดลอม (PHYSICAL AND ENVIRONMENTAL SECURITY) หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ

A9.1.1 การจดท าบรเวณลอมรอบ สอดคลอง มการจดสภาพแวดลอมเพอปองกนบคคลภายนอกบกรกเขาสพนท

มการจดพนทส าหรบบคคลภายนอกทเขามาตดตองานโดยเฉพาะ

A9.1.2 การควบคมการเขา-ออก สอดคลอง มการควบคมการเขาออกดวยการแสกนลายนวมอ

เครองแสกนลายนวมอบรเวณประตทางเขาหองศนยขอมล

A9.1.3 การรกษาความมนคงปลอดภยส าหรบส านกงาน หองท างาน และทรพยสนอนๆ


มพนกงานฝายเทคโนโลยสารสนเทศเปนผคอยเฝาระวงการเขาถงหองศนยขอมล และมกลอง CCTV ด

กลอง CCTV ทมองเหนการเขาถงหองศนยขอมลไดอยางชดเจน

A9.1.4 การปองกนภยคกคามจากภายนอกและสงแวดลอม

สอดคลอง องคกรมมาตรการในการปองกนเหตเพลงไหม น าร วซม และสภาพอากาศ

มระบบควบคมอณหภมและอปกรณปองกนดบไฟกรณเกดเพลงไหม

108


A9.1.5 การปฏบตงานในพนททตองรกษาความมนคงปลอดภย


มการควบคมดแลการปฏบตงานของผใหบรการโดยบคลากรขององคกรและกลอง CCTV

ภาพจากกลอง CCTV เทยบกบรายงานการใหบรการจากผใหบรการภายนอก

A.9.2.1 การจดวางและการปองกนอปกรณ สอดคลอง

มการจดวางอปกรณระบบทงหมดไวในหองศนยขอมล และไมสามารถมองเหนหนาจอไดงายจากภายนอก

การจดวางอปกรณและการมองเหนจากภายนอก และพนกงานมการสอดสองดแลหองศนยขอมลอยเสมอ

A.9.2.2 ระบบและอปกรณสนบสนนการท างาน

สอดคลอง มระบบควบคมอณหภม ระบบกรองกระแสไฟฟา และระบบกระแสไฟฟาส ารอง

ตรวจสอบการท างานของอปกรณและรายงานการซอมบ ารง

องคกรควรมการก าหนดระยะเวลาในการตรวจสอบและซอมบ ารงอปกรณ

A.9.2.3 การเดนสายไฟ สายสอสารและสายบลอนๆ

สอดคลอง องคกรมการแยกสายสอสารและสายไฟฟาออกจากกนเพอปองกนสญญาณรบกวน

ตรวจสอบการเดนสายภายในหองศนยขอมล

A.9.2.4 การบ ารงรกษาอปกรณ ไมสอดคลอง ขาดการตรวจสอบและบ ารงรกษาอปกรณ

ตรวจสอบรายงานการซอมบ ารงไมพบขอมลในการซอมบ ารง

องคกรควรมการก าหนดระยะเวลาในการตรวจสอบและซอมบ ารงอปกรณ

A.9.2.5 การปองกนอปกรณทใชงานอยนอกส านกงาน

ไมสอดคลอง ไมมการน าอปกรณจากหองศนยขอมลออกนอกองคกร

109

หวขอท ประเดนควบคม สอดคลอง การควบคม หลกฐาน ขอเสนอแนะ

A.9.2.6 การก าจดอปกรณหรอการน าอปกรณกลบมาใชงานอกครง

สอดคลอง องคกรมแนวทางปฏบตในการก าจดและน าอปกรณกลบมาใชใหม

เอกสารการท าลายทรพยสนและวธน าทรพยสนกลบมาใชใหมของเจาของทรพยสน

ควรจดท ามาตรการในการก าจดหรอ re-use อปกรณสารสนเทศอยางชดเจน

A.9.2.7 การน าอปกรณออกนอกองคกร ไมสอดคลอง ไมมการน าอปกรณจากหองศนยขอมลออกนอกองคกร

A.10 กำรบรหำรจดกำรดำนกำรสอสำรและกำรด ำเนนงำนของเครอขำยสำรสนเทศขององคกร ( COMMUNICATIONS AND OPERATIONS MANAGEMENT) หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ

A.10.1.1 การปฏบตงานทเปนลายลกษณอกษร


ไมมการจดท าขนตอนและก าหนดผรบผดชอบในการจดท าเอกสารขนตอนปฏบตงานอยางเปนลายลกษณอกษร

ตรวจสอบเอกสารคมอการปฏบตงาน เชน วธการปฏบตงานในหองศนยขอมล การกคนระบบ การเปดปดระบบ เปนตน

A.10.1.2 การควบคมการเปลยนแปลง ปรบปรง หรอแกไขระบบ

ไมสอดคลอง ไมมการจดท าเอกสารในการขอเปลยนแปลงแกไขระบบ

ไมมเอกสารการรองขอแกไขเปลยนแปลงระบบ

A.10.1.3 การแบงหนาทความรบผดชอบ สอดคลอง มการแบงหนาทความรบผดชอบใหกบผดแลระบบโดยเฉพาะ

เอกสารการแตงตงคณะท างาน

110


A.10.1.4 การแยกระบบส าหรบการพฒนา ทดสอบ และใหบรการออกจากกน

สอดคลอง มกระบวนการในการทดสอบระบบกอนใชงานจรงทกครง

สอบถามจากพนกงานผปฏบตงานและรายงานผลการทดสอบระบบ

A.10.2.1 การใหบรการโดยหนวยงานภายนอก

สอดคลอง มการจดท าขอตกลงการใหบรการกบหนวยงานผใหบรการภายนอก

เอกสารขอตกลงการใหบรการของฝายอาคารสถานทและผใหบรการอนเตอรเนต

A.10.2.2 การตรวจสอบการใหบรการโดยหนวยงานภายนอก

สอดคลอง มการทบทวนเหตการณความมนคงปลอดภยกบผใหบรการภายนอกอยางสม าเสมอ

เอกสารรายงานเหตขดของตางๆจากผใหบรการ

A.10.2.3 การบรหารจดการการเปลยนแปลงในการใหบรการ

สอดคลอง มการทบทวนการใหบรการเพอการปรบปรงการใหบรการของผใหบรการภายนอกทกๆ 1 ป

เอกสารการประเมนผใหบรการ

A.10.3.1 การวางแผนความตองการทรพยากรสารสนเทศ

ไมสอดคลอง ไมมมาตรการวางแผนขยายทรพยากรสารสนเทศ แตมการตรวจสอบอยางสม าเสมอ

สอบถามจากพนกงานผปฏบตงาน

ควรจดท าเอกสารเพอประเมนการขยายตวของธรกจและวางแผนการขยายทรพยากรระบบใหรองรบการใชงานอยางเพยงพอ

111


A.10.3.2 การตรวจรบระบบ สอดคลอง มกระบวนการในการตรวจรบระบบเปนลายลกษณอกษร

เอกสารการซอบรการตางๆของฝายจดซอ

A.10.4.1 การปองกนโปรแกรมไมประสงคด สอดคลอง บงคบใหพนกงานทกคนตดตงซอฟตแวรปองกนไวรสกอนการใชงานระบบ

ตรวจสอบเครองคอมพวเตอรของพนกงานและการสรางความตระหนก

A.10.4.2 การปองกนโปรแกรมชนดเคลอนท

สอดคลอง สรางความตระหนกใหพนกงาน สอบถามจากพนกงาน

A.10.5.1 การส ารองขอมล ไมสอดคลอง มวธปฏบตในการส ารองขอมลแตไมมนโยบายดานการส ารองขอมลเปนลายลกษณอกษร

สอบถามจากพนกงาน

ควรจดท าใหมนโยบายใน การส ารองขอมลส าคญไว ทสวนกลางเพอปองกน ขอมลสญหาย

A.10.6.1 มาตรการทางเครอขาย สอดคลอง มการปองกนการเขาถงระบบและเงอนไขในการเขาถงจากระยะไกล

การควบคมการใชงานเครอขาย เทยบกบการปองกนขอมลสารสนเทศทสามารถถกคกคามได

A.10.6.2 ความมนคงปลอดภยส าหรบบรการเครอขาย

สอดคลอง ผใหบรการภายนอกมความรความสามารถในใหบรการเครอขาย

สญญาการใหบรการเครอขายจากผใหบรการอนเตอรเนต

112


A.10.7.1 การบรหารจดการสอบนทกขอมลทสามารถเคลอนยายได


มค าแนะน าในการเขารหสขอมลส าหรบสอบนทกขอมลทเคลอนยายไดแตไมมการบงคบใชแตพนกงานมความตระหนกดวยการไมเกบขอมลส าคญเอาไว

สมตรวจสอบสอบนทกขอมลทเคลอนยายได เชน Thumb drive and โทรศพทเคลอนทไมมการเกบขอมลลบขององคกรหรอลกคา

ควรจดท ามาตรการในการควบคมสอบนทกขอมลทเคลอนยายไดเพอเปนแนวทางส าหรบพนกงานใหม

A.10.7.2 การท าลายสอบนทกขอมลขององคกร


มแนวทางปฏบตในการก าจดสอบนทกขอมลเพอปองกนขอมลรวไหลแตยงไมมเอกสารขนตอนและวธการทชดเจน

สอบถามวธการจากพนกงาน

องคกรควรประกาศวธปฏบตทชดเจนเพอใหแนใจวาขอมลลบจะไมร วไหลเนองจากความผดพลาดของการก าจดสอบนทกขอมล

A.10.7.3 ขนตอนปฏบตส าหรบการจดการขอมลและสอบนทกขอมลสารสนเทศ


มขนตอนปฏบตเพอจดการกบการเขาถงขอมลอยางชดเจนเพอปองกนไมใหผไมสทธเขาถงได

มการก าหนดบญชรายชอผมสทธเขาถงระบบเทาทจ าเปนและมการตรวจสอบทกครงทมพนกงานเขาหรอออก

113


A.10.7.4 การสรางความมนคงปลอดภยส าหรบเอกสารระบบ


การเกบเอกสารระบบยงไมมความปลอดภยเนองจากถกเกบไวบนเครองคอมพวเตอรของกลมผดแลระบบเทานน

เอกสารระบบอยในเครองกลมผดแลระบบ และขอมลไมตรงกน

องคกรมการใชงานการเขารหสขอมลอยแลวจงควรมการเขารหสขอมลและเกบไวทสวนกลาง

A.10.8.1 นโยบายและขนตอนปฏบตส าหรบการแลกเปลยนสารสนเทศ


องคกรมนโยบายในการแลกเปลยนขอมลสารสนเทศและสรางความตระหนกเพอใหพนกงานระมดระวงการเจรจาเกยวกบขอมลอนเปนความลบ

เอกสารนโยบายการแลกเปลยนขอมลสารสนเทศและการจดใหมหองส าหรบตดตอกบบคคลภายนอกแยกตางหากจากพนทท างานโดยเฉพาะ

A.10.8.2 ขอตกลงในการแลกเปลยนสารสนเทศ


องคกรมการท าขอตกลงในการแลกเปลยนสารสนเทศกบหนวยงานภายนอก เชน Vender และ ลกคา

เอกสารขอตกลงไมเปดเผยความลบระหวางองคกรกบหนวยงานภายนอกและลกคา

A.10.8.3 การสงสอบนทกขอมลออกไปนอกองคกร

ไมสอดคลอง ไมมการน าสอบนทกขอมลใดๆในหองศนยขอมลออก

114


A.10.8.4 การสงขอความทางอเลกทรอนกส


องคกรมนโยบายในการรบสงจดหมายอเลกทรอนกสดวยการใหพนกงานทกคนใชงานการเขารหส Email ดวย PGP และก าหนด Policy ในการควบคมการสงออก Email ใหปลอดภยและเชอถอได

เอกสารนโยบายการรบสงจดหมายอเลกทรอนกส และการตดตง PGP Email Encryption บนเครองคอมพวเตอรของผใชงานระบบ Email

A.10.8.5 ระบบสารสนเทศทางธรกจทเชอมโยงกน

ไมสอดคลอง ไมมการใหบรการ

A.10.9.1 การพาณชยอเลกทรอนกส ไมสอดคลอง ไมมการใหบรการ A.10.9.2 การท าธรกรรมอเลกทรอนกส ไมสอดคลอง ไมมการใหบรการ

A.10.9.3 สารสนเทศทมการเผยแพรออกสสารธารณะ


มกระบวนการในการควบคมขอมลทประกาศลงบนเวบไซทหรอ Social Network ซงจะเปนขอมลทวไปของบรษทและขาวประชาสมพนธทวไป

Website และ facebook ของบรษท

องคกรควรมก าหนดการในการเฝาระวงเพอตรวจสอบความถกตองครบถวนของขอมลและปองกนผไมหวงดเขามาแกไขขอมล

A.10.10.1 บนทกเหตการณทเกยวของกบการใชงานสารสนเทศ

สอดคลอง มการเกบบนทกการตรวจสอบระบบ (Audit Log)

ตรวจสอบบนทกการใชงานของแตละระบบ

115


A.10.10.2 การตรวจสอบและเฝาระวงการใชงานระบบ

ไมสอดคลอง ไมมการจดท าคมอการตรวจสอบและเฝาระวง

A.10.10.3 การปองกนขอมลบนทกเหตการณ

ไมสอดคลอง ไมมการปองกนการลบบนทกการใชงานนน

ผดแลระบบสามารถลบบนทกเหตการณการเขาถงและบนทกแกไขเปลยนแปลงการตงคาระบบได

องคกรควรมนโยบายใหมการสง syslog จากระบบตางๆมาไวทเดยวกน เพอใหสามารถเชอถอได

A.10.10.4 บนทกกจกรรมการด าเนนงานของเจาหนาททเกยวของกบระบบ

สอดคลอง มการเกบ log การเขาถงและการใชงานระบบของผดแลระบบ

ทดสอบเขาถงระบบ web และ mail และตรวจสอบวาม log การเขาถงทมวน เวลา และ Process ทใชหรอไม

A.10.10.5 การบนทกเหตการณขอผดพลาด ไมสอดคลอง

จดเกบบนทกเหตการณทไมปกตทเกดขนในระบบแตไมมการตรวจสอบและวเคราะหเพอหาสาเหตของปญหา

บนทกการท างานผดพลาดของอปกรณ

ควรมการเฝาระวงและทบทวนขอมลการท างานผดพลาดและด าเนนการแกไขอยางเหมาะสม

A.10.10.6 การตงเวลาของเครองคอมพวเตอรใหตรงกน

ไมสอดคลอง ไมมการควบคมการตงเวลาบนอปกรณใหตรงกน

ตรวจสอบเวลาของระบบในหองศนยขอมลไมม synchronize จากศนยกลาง

องคกรควรตงสญญาณนาฬกาใหระบบตามเวลามาตรฐานสากลและการประทบตราเวลาในไฟลขอมลตางๆควรตรงกน

116

A.11 กำรควบคมกำรเขำถง (Access Control) หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ

A.11.1.1 นโยบายการควบคมการเขาถงระบบ


จดท าบญชผใชงานตามหนาทความรบผดชอบของผใชงานเทาทจ าเปนและแบงแยกหนาทในการบรหารจดการเพอควบคมการเขาถงระบบ

A.11.2.1 การลงทะเบยนพนกงาน สอดคลอง

มขนตอนปฏบตในการใหสทธการเขาถงระบบโดยผดแลระบบจะไมอนญาตผใชงานเขาถงระบบจนกวาจะไดรบอนมตจากหวหนาแผนกตนสงกดของผรองขอ

มการรองขอสทธในการเขาถงระบบผานทางหวหนาแผนกซงหวหนาแผนกจะเปนคนแจงผดแลระบบใหด าเนนการและมการตรวจสอบความถกตอง

ควรมแบบฟอรมรองขอสทธการเขาถงระบบเพอใหงายตอการตรวจสอบและปองกนการใหสทธเกนความจ าเปนรวมทงตองมการสอบทานบญชผใชงานเปนระยะเพอปองกนการเขาถงโดยไมไดรบอนญาต

A.11.2.2 การบรการจดการสทธการใชงานระบบ


องคกรยงไมมนโยบายในการจดเกบและบนทกขอมลการมอบหมายสทธแกผใชงานซงอาจท าใหเกดความสบสนในการใหสทธได

สอบถามสทธการเขาถงของพนกงานแตละแผนกเทยบกบตารางสทธผใชงานของระบบยงมความผดพลาดอย

องคกรควรจดท าตารางสทธของผใชงานแตละคนหรอแตละแผนกเพอเทยบกบสทธของผใชงานระบบทผใชงานไดรบ

117


A.11.2.3 การบรหารจดการรหสผานส าหรบผใชงาน


องคกรมการก าหนดใหผใชงานท าการเปลยนรหสผานของตนในการใชงานระบบครงแรกและใหผใชงานพงรกษารหสผานของตนไวเปนความลบแตไมไดมการแจงขอก าหนดนนๆใหแกพนกงานอยางเปนทางการ

ตรวจสอบนโยบายการตงรหสผานพบวาบางคนยงใชรหสผานเดมไมเคยเปลยน

องคกรควรก าหนดใหผใชงานลงนามเพอปองกนการเปดเผยรหสผานของตน

A.11.2.4 การทบทวนสทธการเขาถงของผใชงาน


องคกรไมมการทบทวนสทธของผใชงานระหวางทผใชงานยงเปนพนกงานอย เนองจากมการตรวจสอบการใหสทธในครงแรกไปแลว แตจะมการถอดถอนสทธการใชงานเมอพนกงานลาออกแลวซงกยงมโอกาสทรายชอตกหลนท าใหคนทลาออกไปแลวยงมสทธในการเขาถงระบบอย

ตรวจสอบรายชอพนกงานเปรยบเทยบกบรายชอผใชงานในระบบ

องคกรควรมกระบวนการในการทบทวนสทธการเขาถงระบบทกๆชวงระยะเวลาหนงหรอเมอมการเปลยนแปลงต าแหนง การยายแผนก หรอการสนสดการจางงาน

118


A.11.3.1 การใชรหสผาน ไมสอดคลอง

องคกรไมมมาตรฐานในการใชงานรหสผานและไมมการตรวจสอบเนองจากผดแลระบบมความรความเขาใจในการตงรหสผานทยาวและคาดเดาไดยากพอสมควรแลว

ระบบยนยอมใหมการตงรหสผานทงายตอการคาดเดาและมการใชงานบญชผใชงานรวมกนในบางระบบ

ผดแลระบบควรจดใหมกฎเกณฑในการตงรหสผานของผใชงาน เชน ตองเปนตวอกษรใหญ ตวอกษรเลก ตวเลข และอกขระพเศษ ไมนอยกวา 8 ตวอกษร และมการเปลยนรหสผานทกๆชวงระยะเวลาตามความเหมาะสมของระบบนน

A.11.3.2 การปองกนอปกรณทไมมพนกงานดแล


องคกรมนโยบายในการ Lock หนาจอ หรอ Lock out ออกจากระบบทกครงแตกยงมการตรวจพบวาเปดหนาจอทงไว แตทงนมการตดตงกลองวงจรปดซงสามารถบนทกภาพกรณผไมหวงดเขาถงอปกรณได

สมตรวจการใชงานระบบพบวาบางครงพนกงานไมอยหนาเครองแตเปด email หรอเอกสารส าคญคางไวไมลอคหนาจอ

องคกรควรมการก าหนดใหพนกงานตงคา Screen Saver บนเครองคอมพวเตอรตามความเหมาะสมและจดใหมการอบรมเพมความตระหนกในเรองน

119


A.11.3.3 นโยบายควบคมการไมทงทรพยสนสารสนเทศส าคญไวในททไมปลอดภย


ไมมนโยบายทใชบงคบในเรองน เนองจากหองศนยขอมลมการควบคมการเขาถงเปนอยางด แตกมโอกาสทจะเกดขนได

ตรวจสอบการปองกนทรพยสนในหองศนยขอมลจากการถกกขโมย การเขาถงโดยไมไดรบอนญาต การท าใหเสยหาย หรอสญหายและไมมการวางเอกสารส าคญไวบนหนาจอทสามารถมองเหนไดงาย

องคกรควรจดท านโยบายในการจดเกบขอมลหรอทรพยสนส าคญเพอลดความเสยงทมตอทรพยสนขององคกร

A.11.4.1 นโยบายการใชงานบรการเครอขาย


องคกรไมมการก าหนดขอบเขตในการเขาถงเครอขายวาสวนใดผใชงานคนไหนเขาถงไดบาง ผใชงานสามารถเชอมตอถงกนไดทงหมด

ตรวจสอบการแบง VLAN พบวาผใชงานสามารถเชอมตอถงกนไดทงหมด

องคกรควรจดท านโยบายในการเขาถงเครอขายบรการไดเฉพาะสวนทม ความเกยวของกบหนาทความรบผดชอบของพนกงานเทานน

A.11.4.2 การพสจนตวตนส าหรบผใชทอยภายนอกองคกร


ใชงาน VPN แบบ IPsec โดยมการพสจนตวตนกอนเชอมตอและมการเขารหสขอมลระหวางการรบสงขอมล ใช https และ ssh

ตรวจสอบเครองของพนกงานมการใชงาน VPN ทกเครองและไมมการบนทกรหสผานทงไว

120


A.11.4.3 การพสจนตวตนอปกรณบนเครอขาย


ในการเขาบรหารจดการอปกรณเครอขายจะมการพสจนตวตนกอนเสมอ

ทดสอบเขาถงเพอบรการจดการระบบมการถาม Username และ password ทกอปกรณ

A.11.4.4 การปองกนพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ


มการ Disable พอรตไมไดใชของระบบทส าคญเพอไมใหมการเขาถงและบรหารจดการอปกรณผานพอรตทไมมการใชงานนนได

ตรวจสอบการรายการพอรตทใชงาน เทยบกบรายการพอรตทเปดใชงานจรงใน CLI

A.11.4.5 การแบงแยกเครอขาย ไมสอดคลอง

ไมมการแบงแยกเครอขายเนองจากมปรมาณผใชงานไมมาก แตไดจดแบงหมายเลข IP ใหกบ Server และผใชงานทสามารถตรวจสอบได

ตรวจสอบการออกแบบโครงสรางระบบ

องคกรควรมการแยกเครอขายไรสายออกจากเครอขายภายในองคกรเพอลดความเสยงจากการเขาถงระบบภายในโดยผไมหวงด

A.11.4.6 การควบคมการเชอมตอทางเครอขาย


ไมมการแบงแยกเครอขายหรอการก าหนดขอบเขตรายการอปกรณทสามารถเขาถงไดของผใชงาน

ตรวจสอบการออกแบบโครงสรางระบบ

ควรมการแบงแยกเครอขายระหวางเครองใหบรการกบเครองผใชงานเพอควบคมการเขาถง

121


A.11.4.7 การควบคมการก าหนดเสนทางบนเครอขาย


มการใชงาน Firewall ในการตรวจสอบ IP Address ของผใชงานและปลายทางโดยท าหนาทเปน Gateway ในการเชอมตอไปยงเครอขายภายนอก

ตรวจสอบการควบคมการไหลของขอมลจาก Firewall ทท าหนาทเปน gateway

A.11.5.1 ขนตอนปฏบตในการเขาถงระบบอยางมนคงปลอดภย


ระบบไมมการรายงานแสดงรายละเอยดของระบบงานหรอการชวยเหลอใดๆทเปนประโยชนตอผไมหวงดจนกวาจะมการพสจนตวตนผานแลว และเมอมการ login ไมผานเกน 3 ครง จะมการก าหนดรอกอนครหนงแลว login ใหม

สมตรวจสอบการเขาถง mail server และ Web server

A.11.5.2 การระบและพสจนตวตนของผใชงาน


มการแบงแยกสทธการใชงานของ User และ admin อยางชดเจนและจะไมใช admin account ในการปฏบตงานทวไป

ตรวจสอบกจกรรมการใชงานของ admin

122


A.11.5.3 ระบบบรหารจดการรหสผาน ไมสอดคลอง ไมมการใชงานระบบน ควรตงนโยบายการก าหนด

รหสผานใหเหมาะสมกบระบบ A.11.5.4 การใชงานโปรแกรมยทลต ไมสอดคลอง ไมมการใชงานโปรแกรมน

A.11.5.5 การหมดเวลาการใชงานระบบสารสนเทศ


ระบบมการตงคา Idle Timeout เมอไมมการใชงานโดยจะก าหนดความสนของชวงเวลาตามความส าคญของระบบนน

ตรวจสอบการตงคา idle timeout

A.11.5.6 การจ ากดระยะเวลาการใชงานระบบสารสนเทศ


ระบบมการจ ากดชวงระยะเวลาการเชอมตอตอการเชอมตอ 1 ครงตามความเหมาะสมของงาน หากเกนชวงเวลาแลวตองท าการ login ใหมอกครง

ตรวจสอบการตงคา session timeout

A.11.6.1 การจ ากดการเขาถงสารสนเทศ สอดคลอง

ระบบมการควบคมการเขาถงขอมลตางๆของระบบงานและใหสทธในการเขยน ลบ หรอสงใหโปรแกรมท างานโดยก าหนดเปน user หรอ admin

Admin สามารถควบคมการใชงานของระบบทงหมดได แต user ธรรมดาไมสามารถควบคมการใชงานของ user คนอนๆได

123


A.11.6.2 การแยกระบบสารสนเทศทม ความส าคญสง


มการเกบขอมลส าคญเชนขอมลระบบของลกคาแยกตางหากซงผทจะเขาไปใชงานไดคอเจาหนาททฝายเทคนคทดแลโปรเจคนนๆเทานน

การเปดใช PGP key ในการ sign เพอเขารหส คนทเกยวของเทานนจงจะเปดได

A.11.6.3 การปองกนอปกรณสอสารประเภทพกพา

ไมสอดคลอง ไมมการใชงานอปกรณสอสารประเภทพกพาในหองศนยขอมล

A.11.6.4 การปฏบตงานจากภายนอกส านกงาน


มการใชงาน VPN แบบ IPsec โดยมการพสจนตวตนกอนเชอมตอและมการเขารหสขอมลระหวางการรบสงขอมล และหากเปนการเขามาบรหารจดการอปกรณระบบจะใช https และ ssh

ตรวจสอบเครองคอมพวเตอรของพนกงานมการใชงาน VPN ทกเครองและไมมการบนทกรหสผานทงไว พรอมทงตรวจสอบการเขาถงอปกรณ

124

A.12 กำรจดหำ กำรพฒนำ และกำรบ ำรงรกษำระบบสำรสนเทศ (Information systems acquisition, development and maintenance)


A.12.1.1 การวเคราะหและการระบขอก าหนดดานความมนคงปลอดภย


องคกรมกระบวนการในการตรวจสอบและทดสอบเพอประเมนซอฟตแวรทตองการจดหามาใชงาน

รายงานการทดสอบอปกรณหรอซอฟตแวร

A.12.2.1 การตรวจสอบขอมลน าเขา ไมสอดคลอง ไมมการเขยนโปรแกรมเอง

A.12.2.2 การตรวจสอบขอมลทอยระหวางการประมวลผล

ไมสอดคลอง ไมมการเขยนโปรแกรมเอง

A.12.2.3 การตรวจสอบความถกตองของขอมล

ไมสอดคลอง ไมมการเขยนโปรแกรมเอง

A.12.2.4 การตรวจสอบขอมลน าเขา ไมสอดคลอง ไมมการเขยนโปรแกรมเอง

A.12.3.1 นโยบายการใชงานการเขารหสขอมล


มการใชมาตรการในการเขารหสขอมลเพอปองกนขอมลทเปนความลบและมการใชลายมอชอดจทลเพอตรวจสอบความถตองของขอมลและผจดสงขอมล

สมตรวจสอบ email ของพนกงานวามการเขารหสขอมลและลงลายมอชอดจทลหรอไม

125


A.12.3.2 การบรหารจดการกญแจเขารหสขอมล


การใชงานการเขารหสขอมลมมาตรการในการเกบกญแจและเปลยนกญแจในกรณทกญแจสญหายหรอถกเปดเผยโดยไมไดรบอนญาต

ตรวจสอบวธการในการจดเกบ key และยกเลก key ของผใชงาน

A.12.4.1 การควบคมการตดตงซอฟตแวรลงไปยงระบบทใหบรการ


ไมมการขออนมตอยางเปนลายลกษณอกษรแตผทจะสามารถตดตงซอฟทแวรไดคอผดแลระบบเทานน

ไมมเอกสารขออนมตการตดตงซอฟตแวร

องคกรควรจดใหมเอกสารการรองขอตดตงซอฟตแวรพรอมแผนการ Roll back ลงไปในระบบทใหบรการเพอใหงายตอการตรวจสอบและปองกนความเสยหายหรอการหยดชะงกของระบบงาน

A.12.4.2 การปองกนขอมลทใชส าหรบการทดสอบ

ไมสอดคลอง ไมมการใชขอมลจรงในการทดสอบระบบ

A.12.4.3 การควบคมการเขาถงซอรสโคด ไมสอดคลอง ไมมการเขยนโปรแกรม

126


A.12.5.1 ขนตอนปฏบตส าหรบการควบคมเปลยนแปลงหรอแกไขระบบ

ไมสอดคลอง ไมมการจดท าเอกสารการรองของเปลยนแปลงแกไขระบบงาน

ตรวจสอบเอกสารเกยวกบการรองขอแกไขเปลยนแปลงระบบงาน

องคกรควรก าหนดขนตอนปฏบตทตองมการขออนมตพรอมผลการประเมนความเสยงและระบรายละเอยดในการแกไขระบบเพอใหตรวจสอบภายหลงได

A.12.5.2 การทบทวนการท างานของระบบงานภายหลงจากทเปลยนแปลงระบบปฏบตการ

ไมสอดคลอง มการตรวจสอบผลการแกไขเปลยนแปลงของระบบงานโดยการทดสอบจากผทเกยวของ

ไมมรายงานการขอแกไขเปลยนแปลงระบบงานและไมมมาตรการในการอพเดทเอกสารระบบทเกยวของใหเปนขอมลลาสด

องคกรควรมการทบทวนการท างานของระบบงานและเกบผลไวเปนรายงานเพอการปรบปรงระบบงานตอไป

A.12.5.3 การจ ากดการเปลยนแปลงแกไขตอซอฟทแวรทมาจากผผลต

ไมสอดคลอง ไมมการน าซอฟตแวรมาแกไขเปลยนแปลงซอฟตแวรแพคเกตเพอใชงาน

A.12.5.4 การปองกนการรวไหลของสารสนเทศ


มการตรวจสอบระบบสอสารตางๆเพอปองกนการสงขอมลอนเปนความลบผานสอตางๆและใชงานซอฟตแวรทมความเชอถอไดในการสอสาร

มการเฝาระวงและตรวจสอบกจกรรมการใชงานของผใชงานในระบบ

127


A.12.5.5 การพฒนาซอฟตแวรโดยหนวยงานภายนอก

ไมสอดคลอง ไมมการใชบรการการพฒนา โปรแกรมจากหนวยงานอน

A.12.5.6 มาตรการควบคมชองโหวทางเทคนค


มการตรวจสอบชองโหวของอปกรณระบบเปนครงคราวเพอตรวจสอบจดออนขอบกพรองของระบบ

รายงานผลการตรวจสอบชองโหวของระบบ

A.13 กำรบรหำรจดกำรณเหตกำรณทเกยวของกบควำมมนคงปลอดภยขององคกร (Information Security Incident Management)


A.13.1.1 การรายงานเหตการณทเกยวกบความมนคงปลอดภย


มการก าหนดวธปฏบตเมอพบเหตการณทเกยวกบความมนคงปลอดภยและมขอมลตดตอหนวยงานภายนอกทท าหนาทในการรบแจงเหตการณทเกดขน

ตรวจสอบวธปฏบตและขอมลหนวยงานภายนอกทรบแจงเหตการณดานความมนคงปลอดภย เชน ISP และฝายอาคารสถานทของตกเชา

128


A.13.1.2

การรายงานจดออนทเกยวของกบความมนคงปลอดภยขององคกร


เมอมการตรวจพบจดออนทเกยวของกบความมนคงปลอดภย ใหพนกงานแจงไปยงเจาหนาทฝายความมนคงปลอดภยสารสนเทศ และมการก าหนดใหหนวยงานภายนอกทรบแจงเหตท ารายการจดบกพรองนนไปยงผเกยวของใหทราบ

เอกสารรายงานขอผดพลาดหรอเหตดานความมนคงปลอดภยจากทาง ISP หรอฝายอาคารสถานท

A.13.2.1

หนาทความรบผดชอบและขนตอนปฏบต


องคกรไมมข นตอนปฏบตส าหรบการรบมอกบเหตการณความมนคงปลอดภยทชดเจนวาจะตองจดการกบเหตการณตางๆอยางไร

ตรวจสอบขนตอนปฏบตเพอรบมอกบเหตการณดานความมนคงปลอดภยทเกดขน

องคกรควรจดใหมการจดการกบเหตการณตางๆ เชน ระบบไมสามารถใหบรการได ระบบลมเหลว การแพรระบาดของไวรส การเปดเผยขอมลความลบ และควรมการวางแผนเพอด าเนนการเชงปองกนส าหรบเหตการณทมความเสยงวามโอกาสจะเกดขน

129


A.13.2.2

การเรยนรเหตการณทเกยวของกบความมนคงปลอดภย


องคกรมการจดเกบเหตการณดานความมนคงปลอดภยทเกดขนแตไมมการถายถอดความรจากเหตการณเหลานนอยางจรงจง อาจท าใหเสยเวลาในการแกปญหาใหมอกครง

ตรวจสอบขอมลเหตการณดานความมนคงปลอดภยทเกดขนในอดต

ควรจดท าเปนรายงานเหตการณความมนคงปลอดภยทผท เกยวของสามารถเขาไปศกษาวการแกปญหายอนหลงไดเพอปองกนการเกดซ าหรอแกปญหาไดเรวขน

A.13.2.3

การเกบรวบรวมหลกฐาน


องคกรมกระบวนการในการจดท าขนตอนปฏบตส าหรบการเกบรวบรวมหลกฐานบนทกกจกรรมตางๆของผใชงานในระบบ

ตรวจสอบวธการในการเกบหลกฐานของผดแลระบบ

130

A.14 กระบวนกำรในกำรสรำงควำมตอเนองใหกบธรกจ (Business Continuity Management)


A.14.1.1 กระบวนการในการสรางความตอเนองใหธรกจ

ไมสอดคลอง ยงไมมนโยบายในการสรางความตอเนองใหกบธรกจอยางจรงจง

A.14.1.2 กระประเมนความเสยงในการสรางความตอเนองใหกบธรกจ


A.14.1.3 การจดท าและใชงานแผนสรางความตอเนองใหธรกจ


A.14.1.4 การก าหนดกรอบส าหรบการวางแผนเพอสรางความตอเนองใหกบธรกจ


A.14.1.5 การทดสอบและปรบปรงแผนสรางความตอเนองใหกบธรกจ


131

A.15 กำรปฏบตตำมขอก ำหนด (Compliance)


A.15.1.1 การระบขอก าหนดตางๆทมผลทางกฎหมาย

สอดคลอง องคกรมการระบกฎหมาย ระเบยบ ขอบงคบ ขอก าหนดในสญญาตางๆทองคกรตองปฏบตตามและใหพนกงานทกคนปฏบตดวย

เอกสารขอปฏบตของพนกงาน

A.15.1.2 การปองกนสทธและทรพยสนทางปญญา

สอดคลอง องคกรมการจดซอซอฟตแวรระบบจากแหลงทเชอถอไดและมการควบคมการใชซอฟตแวรทจดซอมาไวใชงาน

ตรวจสอบลขสทธของซอฟตแวรทใชงาน

A.15.1.3 การปองกนขอมลส าคญทเกยวของกนองคกร

สอดคลอง มการจดเกบขอมลตามระยะเวลาทกฎหมาย ระเบยบขอบงคบ ทองคกรตองปฏบตตามไดระบไว เชน พรบ.วาดวยกรท าธรกรรมทางอเลกทรอนกส, พระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร เปนตน

ตรวจสอบการเกบบนทกการใชงานยอนหลง 90 วน

132


A.15.1.4 การปองกนขอมลสวนตว ไมสอดคลอง ไมมการเกบหรอรบสงขอมลสวนตวบนระบบในหองศนยขอมล

A.15.1.5 การปองกนการใชงานอปกรณประมวลผลสารสนเทศผดวตถประสงค

ไมสอดคลอง องคกรยงไมมนโยบายในการปองกนการใชงานอปกรณประมวลสารสนเทศผดวตถประสงค

A.15.1.6 การใชงานมาตรการการเขารหสขอมลตามขอก าหนด

สอดคลอง องคกรมการน าการเขารหสขอมลมาใชและมกาพจารณาขอจ ากดตางๆของวธการเขารหสนนๆเพอใหเหมาะสมกบการใชงานงานและสอดคลองกบกฎหมาย

เอกสารนโยบายในการแลกเปลยนขอมลสารสนเทศ

A.15.2.1 การปฏบตตามนโยบายและมาตรฐานความมนคงปลอดภย

สอดคลอง มกระบวนการในการตรวจสอบการปฏบตตามนโยบายเพอทบทวนผลการด าเนนการและก าหนดหนทางแกไขเปนครงคราว

สอบถามจากพนกงานเกยวกบการปฏบตตามกฎหมายขององคกร

ควรมการจดท าเอกสารผลการตรวจสอบเพอสรปปญหาทพบในและครง เพอจะไดหาวธแกปญหาใหครบถวนถกตอง

133


A.15.2.2 การตรวจสอบปฏบตตามมาตรฐานทางเทคนคขององคกร


องคกรมนโยบายในการประเมนความเสยงทมการก าหนดใหท าการทดสอบโจมตระบบหรอหาชองโหวเพอประเมนจดออนจดบกพรองของระบบเปนครงคราว

เอกสารผลการตรวจสอบการโจมตระบบและการวเคราะหชองโหวของระบบ

A.15.3.1 มาตรการการตรวจประเมนระบบสารสนเทศ


องคกรมการก าหนดใหมบคคลากรทท าหนาทเปนผตรวจสอบระบบบรหารจดการความมนคงปลอดภยโดยเฉพาะ

เอกสารแตงตงผตรวจสอบระบบบรหารจดการความมนคงปลอดภยทก าหนดหนาทความรบผดชอบและขอบเขตในการท างานทชดเจน

A.15.3.2 การปองกนเครองมอส าหรบตรวจประเมนสารสนเทศ


องคกรมการปองกนเครองมอทใชตรวจสอบ เชน อปกรณตรวจสอบชองโหวของระบบ ถกเกบไวอยางมดชดและมการลอคกญแจไวเปนอยางด ผเกบรกษากญแจคอหวหนาแผนกทปรกษาความมนคงปลอดภยสารสนเทศ

ตรวจสอบวธการเกบรกษาอปกรณตรวจประเมนสารสนเทศ

134

ภาคผนวก ข เอกสารขออนญาตองคกรในการด าเนนโครงงาน

135

ภาคผนวก ค ตวอยางเอกสารนโยบายการเขารหสขอมลสารสนเทศ

137

ภาคผนวก ง ตวอยางเอกสารแนวทางปฏบตการตงคาโปรแกรม PGP Desktop เพอการจดการจดหมายอเลกทรอนกส (PGP Desktop Email Configuration Guideline)

140

ภาคผนวก จ ตวอยางมาตรการในการบงคบใชนโยบายดานการรบสงขอมลทางอเลกทรอนกส

141

ภาคผนวก ฉ ตวอยางมาตรการในการบงคบใชแนวทางปฏบตการตงคาโปรแกรม PGP Desktop เพอการจดการจดหมายอเลกทรอนกส (PGP Desktop Email Configuration Guideline)

establishment of information system security according to ......

Documents