establishment of information system security according to ......
TRANSCRIPT
การสรางความมนคงปลอดภยใหกบระบบเทคโนโลยสารสนเทศ ตามมาตรฐาน ISO27001 ขององคกรกรณศกษา
บรษท บกฟช เอนเตอรไพรส จ ากด Establishment of Information System Security
according to ISO27001 standard for organization case study Bigfish Enterprise Limited.
พรมล เกงคมพล Piramol Kengkoomphol
สารนพนธฉบบนเปนสวนหนงของการศกษา ตามหลกสตรวทยาศาสตรมหาบณฑต
สาขาวชาความมนคงทางระบบสารสนเทศ บณฑตวทยาลย มหาวทยาลยเทคโนโลยมหานคร
ปการศกษา 2555
I
หวขอสารนพนธ การสรางความมนคงปลอดภยใหกบระบบเทคโนโลยสารสนเทศ ตามมาตรฐาน ISO27001 ขององคกรกรณศกษา บรษท บกฟช เอนเตอรไพรส จ ากด
นกศกษา พรมล เกงคมพล รหสนกศกษา 5317810037 ปรญญา วทยาศาสตรมหาบณฑต ภาควชา ความมนคงทางระบบสารสนเทศ พ. ศ. 2555 อาจารยผควบคมสารนพนธ ผศ.ดร.ศภกร กงพศดาร อ.ไพบลย ปญญายทธการ
บทคดยอ
โครงงานการบรหารจดการความเสยง และการเพมความมนคงปลอดภยสารสนเทศใหกบองคกรตามมาตรฐาน ISO/IEC27001 ขององคกรกรณศกษา บรษท บกฟช เอนเตอรไพรส จ ากด จดท าขนโดยมวตถประสงคเพอศกษามาตรฐาน ISO/IEC27001 แลวน าไปประยกตใชในการวเคราะหและประเมนความเสยงใหกบองคกร เพอใหองคกรไดรบทราบถงจดออน ภยคกคาม และระดบความเสยงทองคกรมอยเพอจดท าแผนบรหารจดการความเสยงในแตละระดบใหเหมาะสมกบความพรอมขององคกร เมอจดท าแผนบรหารจดการความเสยงแลวกมข นตอนการปฏบตงานเพอลดความเสยงทมอยและวดผลการด าเนนการดวยการประเมนความเสยงซ าอกครง พบวาภายหลงจากการด าเนนการ ความเสยงทองคกรมอยไดลดนอยลง และผลลพททไดจากโครงงานนองคกรยงสามารถปรบปรงแกไขเพอน าไปใชงานตอไดในอนาคต
II
Project Title Establishment of Information Systems Security according to ISO27001 standard for organization case study: Bigfish Enterprise Limited.
Student Piramol Kengkoomphol Student ID 5317810037 Degree Master of Science Program Information System Security Year 2012 Project Advisors Asst. Prof. Supakorn Kungpisdan Paiboon Punyayuttakan
ABSTRACT
Establishment of Information Systems Security according to ISO/IEC27001 standard for Bigfish Enterprise Limited company has been researched in order to study about this standard and applied for analyzing and evaluating the company IT risks. Risk Management Plan was created to mitigate risks based on the readiness of the organization.
Implementation process according to risk management plan was done and risk level was reduced after the second round of risk assessment. In addition, result from this project has been used by the company to developing information security management within the organization.
III
กตตกรรมประกาศ
สารนพนธฉบบนเกดขนและสามารถส าเรจลลวงได เนองจากไดรบการสนบสนนและค าแนะน าเกยวกบแนวทางในการศกษาคนควาขอมลและวธการปฏบตงานจากอาจารย ผศ.ดร.ศภกร กงพสดาร ทปรกษาโครงงาน และอาจารยไพบลย ปญญายทธการ ทปรกษารวมโครงงานเปนอยางด ทางผจดท าตองขอขอบพระคณอาจารยทงสองเปนอยางสงทไดสละเวลาอนมคาในการใหค าปรกษาและถายทอดประสบการณอนเปนประโยชนตอโครงงานนมาโดยตลอด
นอกจากน ทางผจ ดท าตองขอขอบพระคณคณาจารยจากภาควชาความมนคงปลอดภยสารสนเทศ จากมหาวทยาลยเทคโนโลยมหานคร ทไดใหความรความเขาใจดานความมนคงปลอดภยสารสนเทศอนเปนประโยชนตอการศกษาคนควาและการจดท าสารนพนธ ขอขอบคณครอบครว พๆ และเพอนๆทคอยใหค าปรกษาและเปนก าลงใจใหโดยตลอด
ทส าคญเปนอยางยง สารนพนธฉบบนจะเกดขนไมไดเลย หากไมไดรบการสนบสนนจากคณะกรรมการฝายบรหารของบรษท บกฟช เอนเตอรไพรส จ ากด ไดแก คณอนพงษ นตโร คณสจนดา สรรตนเรขา และคณมนสศร จนสทธรางกร ทไดใหความส าคญกบความมนคงปลอดภยสารสนเทศ และไดพจารณาอนญาตใหน าองคกรไปเปนองคกรกรณศกษา อกทงยงใหการสนบสนนในเรองการด าเนนการในทกขนตอนอยางเตมท และขอขอบคณทางทมงานของบรษทบกฟช เอนเตอรไพรส จ ากด ทกทานทไดอ านวยความสะดวกในการปฏบตงานรวมกนมาโดยตลอด ทางผจดท าตองขอขอบพระคณทกทานเปนอยางสง มา ณ โอกาสน
พรมล เกงคมพล 15 ตลาคม 2555
IV
สารบญ
หนา บทคดยอภาษาไทย I บทคดยอภาษาองกฤษ II กตตกรรมประกาศ III สารบญ IV สารบญตาราง VI สารบญรป VII บทท 1 บทน า 1 1.1 ความเปนมาของโครงงาน 1
1.2 ปญหาและแรงจงใจ 2 1.3 วตถประสงคของโครงงาน 2 1.4 ขอบเขตของโครงงาน 3 1.5 ประโยชนทคาดวาจะไดรบจากโครงงาน 4 1.6 แผนการด าเนนงาน 4 1.7 สถาบนทใหการสนบสนน 6
บทท 2 ทฤษฎและพนฐานทเกยวของ 7 2.1 ความมนคงปลอดภยสารสนเทศ (Information Security) 7 2.2 มาตรฐานการรกษาความมนคงปลอดภยขอมล 8 2.3 การบรหารความเสยงดานเทคโนโลยสารสนเทศ 11 บทท 3 วธการด าเนนงาน 16 3.1 ขนตอนในการด าเนนการ 16 3.2 โครงสรางองคกร 18 3.3 การประเมนความเสยง 19 บทท 4 ผลการด าเนนการ 32 4.1 ผลการประเมนความเสยงกอนด าเนนโครงการ 33
V
สารบญ (ตอ) หนา 4.2 ผลการประเมนความเสยงหลงด าเนนโครงการ 71 บทท 5 สรปผลการด าเนนโครงงาน 93 เอกสารอางอง 98 ภาคผนวก 99 ภาคผนวก ก เอกสารแสดงการประยกตใชงาน (Statement Of Applicability) 99 ภาคผนวก ข เอกสารขออนญาตองคกรในการด าเนนโครงงาน 134 ภาคผนวก ค ตวอยางเอกสารนโยบายการเขารหสขอมลสารสนเทศ 135
ภาคผนวก ง ตวอยางเอกสารแนวทางปฏบตการตงคาโปรแกรม PGP Desktop เพอการ จดการจดหมายอเลกทรอนกส (PGP Desktop Email Configuration Guideline) 137
ภาคผนวก จ ตวอยางมาตรการในการบงคบใชนโยบายดานการรบสงขอมลทาง อเลกทรอนกส 140 ภาคผนวก ฉ ตวอยางมาตรการในการบงคบใชแนวทางปฏบตการตงคาโปรแกรม PGP Desktop เพอการจดการจดหมายอเลกทรอนกส 141
VI
สารบญตาราง
หนา ตารางท 1.1 ตารางการด าเนนงานโครงงาน 1 4 ตารางท 1.2 ตารางการด าเนนงานโครงงาน 2 5 ตารางท 3.1 รายการทรพยสนในหอง Data Center 16 ตารางท 3.2 แสดงตวอยางการระบภยคกคามแยกตามประเภทของทรพยสน 22 ตารางท 3.3 เกณฑการประเมนคาผลกระทบดานการเงนในเชงคณภาพ 24 ตารางท 3.4 เกณฑการประเมนผลกระทบดานชอเสยงในเชงคณภาพ 24 ตารางท 3.5 เกณฑการประเมนผลกระทบดานการหยดชะงกในการด าเนนงาน ในเชงคณภาพ 25 ตารางท 3.6 เกณฑในการประเมนคาผลกระทบของเหตการณความเสยหายหนงๆ ทมตอบรษทฯ 26 ตารางท 3.7 เกณฑในการพจารณาระดบความยากทตวคกคามจะคกคามจดออนจดบกพรองของ ทรพยสน 27 ตารางท 3.8 เกณฑในการพจารณาระดบวธการและแรงจงใจของตวคกคาม 27 ตารางท 3.8 เกณฑในการพจารณาระดบโอกาสทภยคกคามจะคกคามทรพยสนหนงๆ 28 ตารางท 3.10 เกณฑประเมนโอกาสของการเกดเหตการณความเสยหายหนงๆ 28 ตารางท 3.11 เกณฑในการประเมนระดบคาความเสยงของเหตการณ ความเสยหายหนงๆ ทมตอบรษทฯ 29 ตารางท 4.1 ตารางแสดงผลการประเมนความเสยง 33 ตารางท 4.2 ตารางสรปจ านวนความเสยง 59 ตารางท 4.3 ตารางสรปผลการด าเนนการในการบรหารจดการความเสยง 70 ตารางท 4.4 ตารางแสดงผลการประเมนความเสยงหลงด าเนนโครงงาน 91 ตารางท 4.5 ตารางสรปจ านวนความเสยงหลงด าเนนโครงงาน 92 ตารางท 5.1 ตารางสรปจ านวนความเสยงกอนและหลงด าเนนโครงงาน 93
VII
สารบญรป
หนา รปท 2.1 คณสมบตความมนคงปลอดภยของขอมล 7 รปท 2.2 แผนภาพโครงสราง Plan-Do-Check-Act Cycle 10 รปท 3.1 โครงสรางองคกร 18 รปท 5.1 แผนภาพสรปจ านวนความเสยงในแตละระดบ 94 รปท 5.2 แผนภาพสรปจ านวนความเสยงในสวนของฮารดแวร 95 รปท 5.3 แผนภาพสรปจ านวนความเสยงในสวนของซอฟตแวร 95 รปท 5.4 แผนภาพสรปจ านวนความเสยงในสวนของสารสนเทศ 96 รปท 5.5 แผนภาพสรปจ านวนความเสยงในสวนของพนกงาน 96 รปท 5.6 แผนภาพสรปจ านวนความเสยงในสวนของบรการ 97
1
บทท 1 บทน ำ
1.1 ควำมเปนมำของโครงงำน
นบตงแตอดต แตละองคกรไดใหความส าคญตอขอมลทกประเภททมความเกยวของกบ
การด าเนนธรกจขององคกร เชน ขอมลในการประกอบธรกจ ขอมลในการด าเนนการซอขาย ขอมลทเปนขอตกลง หรอสญญาตางๆระหวางองคกรกบคคาหรอลกคา เปนตน ซงขอมลเหลานถอเปนทรพยากรอนมคายง เพราะหากถกเปดเผยออกไป อาจมผลกระทบตอการด าเนนธรกจ ถกเอารดเอาเปรยบ ท าใหเสอมเสยชอเสยง หรอเกดความเสยหายอนๆตามมาได ดงนน แตละองคกรจงไดมการคดคนวธการในการปองกนขอมลส าคญๆเหลานนใหรอดพนจากภยคกคามและผไมประสงคดมาอยางตอเนอง ดวยความกาวหนาของวทยาศาสตรและเทคโนโลยในปจจบน มเทคโนโลยตางๆทสามารถอ านวยความสะดวกสบายในการด าเนนธรกจไดมากขน องคกรสามารถน าเทคโนโลยเขามาชวยควบคมคณภาพการผลต ควบคมการด าเนนการ ควบคมการบรการจดการระบบงานตางๆ เพอเพมประสทธภาพในการท างานและชวยลดตนทนในการผลตไดมาก ท าใหการตดตอสอสาร การจดเกบขอมล และแลกเปลยนขอมลโดยใชเทคโนโลยสารสนเทศไดรบความนยมสงสด ดวยสาเหตนเอง องคกรสวนใหญจงนยมจดเกบขอมลทมความส าคญตางๆในรปแบบของขอมลสารสนเทศ ซงงายตอการจดเกบ การบ ารงรกษาและการแลกเปลยนขอมล ขอมลทงหมดทเกบรวบรวมไวจะถกประมวลผลและเลอกสรรเพอน าไปใชประโยชนตามวตถประสงคและเปาหมายขององคกรใหมากทสด และมการบรหารจดการทใหความส าคญตอความพรอมใชของขอมลสารสนเทศเหลานนดวย ดงนน จากทไดกลาวถงความส าคญของขอมลสารสนเทศขางตนแลว จะสามารถวเคราะหไดวาขอมลสารสนเทศทด ควรจะตองเปนขอมลทไดรบการรกษาความมนคงปลอดภยของขอมลสารสนเทศเปนอยางด เพอไมใหผท ไมไดรบอนญาตเขาถง ใชงาน เปดเผย แกไขเปลยนแปลง ท าซ า ตรวจจบ หรอขดขวางการเขาใชงานขอมลสารสนเทศตามปกต และระบบสารสนเทศทดควรมสภาพความพรอมใชทดอยเสมอ ท าใหองคกรทมการน าเทคโนโลยสารสนเทศมาใช จ าตองมการปรบปรงและพฒนาวธการในการรกษาความปลอดภยของขอมลสารสนเทศขององคกรอยางสม าเสมอ และนอกจากเรองของเทคโนโลยทท ามาใชบรหารจดการระบบงานตางๆ และเรองความเชยวชาญเฉพาะทางของผดแลระบบแลว การวางแบบวธปฏบตในการรกษาความมนคงปลอดภยขอมลสารสนเทศกเปนสงทส าคญในการปกปองขอมลสารสนเทศขององคกรใหรอดพนจากภยคกคามและผไมประสงคดดวยเชนกน
2
กรณศกษำ
บรษทบกฟช เอนเตอรไพรส จ ากด จดตงขนเพอใหบรการทางดานการออกแบบ ตดตง ตรวจสอบใหค าปรกษา ฝกอบรม และน าเสนอสนคาและบรการดานการรกษาความมนคงปลอดภยเทคโนโลยสารสนเทศ ดวยความกาวหนาทางเทคโนโลยและความส าคญของของขอมลในยคปจจบน ท าใหบรษทฯ ไดตระหนกถงความส าคญของการรกษาความปลอดภยใหกบขอมลสารสนเทศเปนอยางมาก และเนองจากทางบรษทฯ เปนองคกรทอยในฐานะของผใหบรการดานการรกษาความมนคงปลอดภยสารสนเทศ จงตองมมาตรการรกษาความปลอดภยของขอมลสารสนเทศตางๆ ทงขององคกร และของลกคาใหมความมนคงปลอดภยสงสด เพอใหปราศจากภยคกคามและผไมหวงด
ในดานมาตรการรกษาความมนคงปลอดภยขอมลสารสนเทศ บรษทฯ ไดวางแผนจดท านโยบายการบรหารจดการดานความมนคงปลอดภยสารสนเทศโดยใชหลกเกณฑตามมาตรฐาน ISO27001โดยมวตถประสงคเพอเพมประสทธภาพในการรกษาความมนคงปลอดภยสารสนเทศ ใหกบองคกร ซงในโครงงานนผจดท าจะท าการศกษาเฉพาะในสวนของ Data Center ขององคกรซงมระบบงานทมความส าคญกบขอมลสารสนเทศขององคกรในอนดบตนๆ เชน Mail Server, Web Server และอปกรณเครอขายอนๆ โดยน ามาตรฐาน ISO27001 ทเปนมาตรฐานสากลทางดานความมนคงปลอดภยสารสนเทศ เนองจากมแนวทางในการบรหารจดการทมข นตอนและวธปฏบตทครอบคลมในทกๆดาน และทางบรษทฯ ซงมการสนบสนนใหมการน ามาตรฐาน ISO27001 มาปรบใชกบองคกรอยางจรงจงอยแลว จงไดอนญาตใหผจดท าใชองคกรเปนกรณศกษา เพอจะไดมการตรวจสอบ ปรบปรง ลดความเสยงดานความมนคงปลอดภยขององคกรใหเปนไปตามวตถประสงคทต งไว รวมไปถง การปองกนภยคกคามตางๆ ทอาจมผลกระทบอนกบธรกจองคกรหรอบคคลภายนอกทเกยวของ เชน ลกคา หรอ คคา ไดอกดวย 1.2. ปญหำและแรงจงใจ
องคกรสวนใหญจะมหองศนยขอมลตงอยภายในองคกร และมการควบคมการสอสารแลกเปลยนขอมลสารสนเทศเพอความมนคงปลอดภยของขอมล แตหากไมมการตรวจสอบความเสยงทมและจดท ามาตรการในบรหารจดการความเสยงทถกตองเหมาะสมอาจสงผลใหเกดผลกระทบตอการด าเนนธรกจและชอเสยงขององคกรได 1.3 วตถประสงคของโครงงำน
1.3.1 เพอศกษามาตรฐานความมนคงปลอดภยสารสนเทศ ISO27001 1.3.2 หาแนวทางในการแกไขปญหาและลดความเสยงดานการรกษาความปลอดภย
ของขอมลสารสนเทศในสวนของ Data Center ขององคกร
3
1.3.3 เพอใชเปนเครองมอชวยในการตดสนใจของผบรหาร ในการวางแผนดานความมนคงปลอดภยของขอมลสารสนเทศ ท าใหระบบคอมพวเตอรทเกยวของกบธรกจขององคกร สามารถด าเนนไปไดอยางตอเนองและมความมนคงปลอดภย 1.4 ขอบเขตของโครงงำน
1.4.1 ขอบเขตโครงงำน 1 - การก าหนดขอบเขตของการจดท า Information Security Management System (ISMS) หรอระบบบรหารความมนคงปลอดภยสารสนเทศ - ระบขอบเขตของการ ISMS - ก าหนดนโยบายเกยวกบ ISMS - จดท ารายการทรพยสนในสวนทเกยวของกบขอมลสารสนเทศของ Data Center (Inventory information assets)
- ระบวธการในการประเมนความเสยง (Define risk assessment method) - วธการในการประเมนความเสยง (Risk assessment method/s) - การวเคราะหและประเมนความเสยงดานความปลอดภยสารสนเทศ (Conduct
information security risk assessments) - จดท ารายงานการเพอสรปผลการประเมนความเสยง (Risk Assessment
Report) - ก าหนดแนวทางในการในการจดการความเสยง ไดแก การก าหนดมาตรการท
ใชควบคม การยอมรบความเสยง การหลกเลยงความเสยง หรอ การโอนยายความเสยงไปยงหนวยงานอนๆ
- จดท าเอกสารแสดงการประยกตใชงาน Statement of Applicability Statement of Applicability (SOA)
- สรปผลการด าเนนการของโครงงาน 1
1.4.2 ขอบเขตโครงงำน 2 - ประสานงานกบหนวยงานทเกยวของในการเสนอและจดท าแผนบรหารจดการ
ความเสยงทางดานความมนคงปลอดภยสารสนเทศ โดยระบรายละเอยดแผนด าเนนงาน ระยะเวลา ทรพยากรทตองการ ผรบผดชอบ ก าหนดการแลวเสรจ ขนตอนในการปฏบตงาน การพจารณาจดสรรเงนทน และหนาทความรบผดชอบในการด าเนนการเพอใหบรรลจดมงหมายทไดก าหนดไว - การฝกอบรมภายในองคกรเพอสรางองคความรดานความมนคงปลอดภยสารสนเทศ รวมไปถงการบรหารงานและการจดการทรพยากรของ Data Center
4
- ด าเนนการตามแผนบรหารจดการความเสยงพรอมตดตามผล และตรวจสอบเรองความเสยงทเหลออยรวมไปถงความเสยงทอยในระดบทสามารถยอมรบได
- การปรบปรงแผนความมนคงปลอดภยสารสนเทศจากสงทพบจากการเฝาทบทวนตดตามพรอมบนทกผลการด าเนนการ
- ท าการประเมนความเสยงหลงด าเนนโครงการ เพอวดประสทธผลของการจดท านโยบายดานความมนคงปลอดภยขอมลสารสนเทศของ Data Center ตามมาตรฐาน ISO27001 ตลอดโครงการ
- สรปผลการด าเนนการของโครงงาน 2
1.5 ประโยชนทคำดวำจะไดรบจำกโครงงำน 1.5.1 องคกรมการน ามาตรฐาน ISO27001มาปรบใชเพอออกนโยบายดานความมนคง
ปลอดภยสารสนเทศ 1.5.2 องคกรไดรบทราบถงความเสยงและมาตรการทใชในการแกไขเพอจะไดน าไป
ปรบปรงแกไข 1.5.3 องคกรไดรบความนาเชอถอและความไววางใจจากลกคาและคคาในดานการ
รกษาความมนคงปลอดภยสารสนเทศ 1.5.4 บคลากรขององคกรมความตระหนกถงความเสยงทอาจเกดขนและมความรความ
เขาใจดานความมนคงปลอดภยสารสนเทศมากขน 1.6 แผนกำรด ำเนนงำน โครงงำน 1 ตำรำงท 1.1 ตารางการด าเนนงานโครงงาน 1
แผนด ำเนนกำร รำยสปดำห
พฤศจกำยน ธนวำคม มกรำคม กมภำพนธ มนำคม
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
1. ขอการสนบสนนจากทางผบรหารในการจดท าโครงงาน
2. ศกษานโยบาย โครงสราง ระบบการท างานและก าหนดขอบเขต
5
โครงงำน 2 ตำรำงท 1.2 ตารางการด าเนนงานโครงงาน 2
แผนด ำเนนกำร รำยสปดำห
เมษำยน พฤษภำคม มถนำยน กรกฎำคม สงหำคม กนยำยน 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
1. จดท าแผนในการบรหารจดการความเสยง
2. การฝกอบรมในองคกร
แผนด ำเนนกำร รำยสปดำห
พฤศจกำยน ธนวำคม มกรำคม กมภำพนธ มนำคม
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
3. ตรวจสอบและจดท ารายการทรพยสน
4. Risk Assessment (ประเมนความเสยงกอน)
5. จดท าแนวทางในการจดการความเสยง
6. จดท าเอกสารแสดงการประยกตใชงาน Statement of Applicability
7.สรปผลการด าเนนการโครงงาน 1
6
แผนด ำเนนกำร รำยสปดำห
เมษำยน พฤษภำคม มถนำยน กรกฎำคม สงหำคม กนยำยน 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
3. ด าเนน การตามแผนบรหารจดการความเสยง
4.ปรบปรงแผนบรหารจดการความเสยง
5.Risk Assessment (ประเมนความเสยงหลง)
6.สรปผลการด าเนนการโครงการ 2
1.7 สถำบนทใหกำรสนบสนน บรษท บกฟช เอนเตอรไพรส จ ากด อาคารเขตอตสาหกรรมซอฟแวร ชน 6 เลขท 99/29 หมท 4 ต.คลองเกลอ อ.ปากเกรด จ.นนทบร 11120 ประกอบธรกจเกยวกบการการใหค าปรกษา ออกแบบ ตดตง จดอบรมและใหบรการดานความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศใหกบองคกรตางๆโดยมบคลากรทมประสบการณและมความเชยวชาญทางดานความมนคงปลอดภยสารสนเทศเปนทปรกษาใหกบลกคาอกดวย ปจจบนบรษทบกฟช เอนเตอรไพรส จ ากด ไดเปดด าเนนธรกจนมาเปนระยะเวลา 6 ป ไดรบความไววางใจจากลกคาและคคาทเปนหนวยงานรฐบาลและหนวยงานเอกชนจ านวนมาก ซงลกคาทใชบรการจะมทงจากทงลกคาภายในประเทศและลกคาจากตางประเทศอกเปนจ านวนมาก
7
บทท 2 ทฤษฎและพนฐำนทเกยวของ
2.1 ควำมมนคงปลอดภยสำรสนเทศ (Information Security)
การรกษาความมนคงปลอดภยสารสนเทศมจดมงหมายเพอปกปองขอมล และระบบสารสนเทศขององคกรจากผทไมมสทธในการเขาถง ในการอานหรอการใชงาน การเปดเผยขอมลระบบสารสนเทศ การขดขวางการใชงานหรอการใหบรการ รวมไปถงการแกไขเปลยน แปลงขอมล และการท าส าเนาขอมลอกดวย
วธการในการรกษาความมนคงปลอดภยของแตละองคกรนนลวนมวธการทแตกตางกนออกไป ซงไมมผใดสามารถสรปไดวาวธการใดทสามารถแกปญหาเกยวกบการรกษาความมนคงปลอดภยของขอมลไดอยางครบถวนสมบรณทสด แตการทจะบอกวาขอมลนนมความมนคงปลอดภยหรอไมนน สามารถวเคราะหไดจากการรกษาคณสมบต 3 ประการขอมลสารสนเทศ ซงเปนทนยมเรยกกนวา CIA ซงไดแก ความลบของขอมล (Confidentiality) ความคงสภาพของขอมล (Integrity) และสภาพความพรอมใชของขอมล (Available) ดงนน ระบบรกษาความปลอดภยสารสนเทศทดจะตองมคณสมบตในการรกษาองคประกอบ 3 ประการนใหครบถวน
รปท 2.1 คณสมบตความมนคงปลอดภยของขอมล
ควำมลบของขอมล (Confidentiality) หมายถง การรกษาความลบของขอมลโดยจะ
อนญาตใหเขาถงและเปดเผยไดเฉพาะผทไดรบอนญาตเทานน ซงเปนการปกปองขอมลจากผทไมไดรบอนญาตโดยมกลไกทใชในการรกษาความลบ เชน กลไกการเขารหสขอมล (Cryptography หรอ Encryption) เปนกลไกในการรกษาความลบของขอมลนนๆ เพอจดขอมลใหอยในรปแบบทไมสามารถอานหรอเขาใจไดถาไมรวธการและกญแจ (Key) หรอรหสผาน (Password) ทใชในการเขารหสและถอดรหสนน ซงการรกษากญแจหรอรหสผานจะตองใชกลไกการควบคมการเขาถง (Access Control) เปนกลไกควบคมการเขาถงระบบ เพอใหพสจนทราบตวตนของผทเขามาใชงานระบบวาเปนคนทไดรบอนญาตหรอไม และทงสองกลไกน สามารถใชงานพรอมกนได หากกลไกควบคมการเขาถงท างานผดพลาดหรอลมเหลว กยงมกลไกการเขารหสขอมลรกษาความลบของขอมลนนๆได
8
ควำมคงสภำพของขอมล (Integrity) หมายถง การรกษาความถกตองสมบรณของขอมลใหมความเชอถอได ซงขอมลนนจะตองไมถกแกไขเปลยนแปลงจากแหลงทมา และแหลงทมาของขอมลนนตองเชอถอได ความคงสภาพของขอมลแบงออกเปน 2 แบบ ไดแก ความสมบรณของขอมล (Data Integrity) และความสมบรณของระบบ (System Integrity) ความสมบรณของขอมล หมายถง ขอมลสารสนเทศและโปรแกรมการใชงานขององคกรจะตองไมถกเปลยนแปลงโดยไมไดรบอนญาต ความสมบรณของระบบหมายถง ระบบจะตองไมถกแกไขเปลยนแปลงดวยประการใดๆ โดยไมไดรบอนญาต เชน การเขาถงเครอขายโดยไมไดรบอนญาต, การแกไขเปลยนแปลงหรอลบขอมลโดยไมสามารถตรวจสอบตวบคคลทเปนผกระท าการได
สภำพควำมพรอมใชของขอมล (Availability) หมายถง การรกษาระบบใหอยในสภาพทมความพรอมตอการใชงานและสามารถใหบรการไดตลอดเวลา หรอหากมชวงหยดใหบรการ เชน การหยดการใหบรการเนองจากการตรวจสอบ การเปลยนแปลง หรอการบ ารงรกษาระบบ กตองอยในชวงเวลาหรอชวงระยะเวลาตามหลกเกณฑทยอมรบได แตหากเปนการหยดใหบรการซงมสาเหตจากความลมเหลวหรอขอผดพลาดในการท างานของฮารดแวรหรอซอฟตแวร รวมไปถงการทระบบไมสามารถท างานไดเนองจากการถกโจมตตางๆ อนเปนการท าใหระบบสญเสยสภาพความพรอมใชไป กไมสามารถนบเปนสภาพความพรอมใชได เปนตน
2.2 มำตรฐำนกำรรกษำควำมมนคงปลอดภยขอมล
มำตรฐำน ISO/IEC27001 มาตรฐาน ISO/IEC27001 เปนขององคกรทมชอวา The International Organization of Standardization (ISO) และ The International ElectrotechnicalCommission (IEC) เปนมาตรฐานเกยวกบการบรหารการรกษาความมนคงปลอดภยของขอมล ซงใชเปนแนวทางในการสราง ดแลรกษา และปรบปรงระบบบรหารการรกษาความมนคงปลอดภยขอมล (Information Security Management System (ISMS) โดยแนวทางในการบรหารการรกษาความมนคงปลอดภยของขอมลนนจะมโครงสรางทเรยกวา Plan-Do-Check-Act Cycle[2] ซงประกอบไปดวยขนตอน การวางแผน (Plan) การลงมอท า (Do) การตรวจสอบ (Check) และการปรบปรงแกไข (Act) กำรวำงแผน (Plan)
การวางแผนเปนการก าหนดนโยบายความมนคงปลอดภยสารสนเทศ เปาหมาย วธการและขนตอนการด าเนนการทเกยวของกบการบรหารจดการความเสยงและเพอปรบปรงความมนคงปลอดภยสารสนเทศเพอใหเปนตามเปาหมายและนโยบายทวขององคกร
9
การวางแผนระบบบรหารความมนคงปลอดภยสารสนเทศ จะประกอบดวยขนตอนหลายขนตอนทมความส าคญ ไดแก การก าหนดขอบเขตของระบบทตองการ และมการก าหนดนโยบายความมนคงปลอดภยสารสนเทศ จากนนควรจะตองมการพจารณาระบความเสยงเพอก าหนดหลกเกณฑในการประเมนความเสยง
เมอไดหลกเกณฑในการประเมนความเสยงแลว จะตองมการด าเนนการประเมนความเสยงเพอใหเหนวาองคกรยงมความเสยงใดอยบางและท าการก าหนดแนวทางในการจดการความเสยง โดยตองมการก าหนดรายการควบคม วตถประสงคในการควบคม และมาตรการในการควบคม
เมอไดแนวทางในการจดการความเสยง คณะท างานจะตองน าเสนอเพอ ขอความเหนชอบในการอนมตในเรองของความเสยงทเหลออยโดยคณะผบรหารขององคกรและขออนมตในการด าเนนการ ISMS และจดเตรยมเอกสารแสดงการประยกตใชงาน หรอ Statement of Applicability (SOA) เพอใหเปนแนวทางการด าเนนการทชดเจนวาจะใชรายการควบคมใดในการด าเนนการบาง กำรลงมอท ำ (Do)
การลงมอท าเปนขนตอนการน านโยบายความมนคงปลอดภยสารสนเทศ การควบคม ขนตอนการด าเนนการ และการด าเนนการไปประยกตใชในทางปฏบต ในขนตอนของการลงมอท านนองคกรควรปฏบตตามขอก าหนดดงตอไปน
1. ก าหนดแผนการบรหารจดการความเสยง (Risk Treatment Plan) ทเหมาะสมกบการปฏบตงานและทรพยากร รวมไปถงการจดล าดบความส าคญของความเสยงดานความมนคงปลอดภยสารสนเทศ
2. การจดสรรเรองคาใชจายและการจดสรรต าแหนงตามความรบผดชอบและด าเนนการตามแผนจดบรหารจดการความเสยงตามบรรลวตถประสงคของแผนการทวางไว 3. การก าหนดแนวทางในการวดผลของการควบคมทไดก าหนดไว
4. การจดหลกสตรฝกอบรมดานความมนคงปลอดภยสารสนเทศขนภายในองคกร 5. การบรหารงานดานความมนคงปลอดภยสารสนเทศ 6. การจดสรรทรพยากรใหเพยงพอในการด าเนนการดานความมนคงปลอดภย
สารสนเทศ 7. ด าเนนการตามรายการควบคมอนๆ เพอใหสามารถตรวจสอบและตอบสนองตอ
เหตการณทมความเกยวกบความมนคงปลอดภยตางๆ ไดอยางมประสทธภาพ
10
กำรตรวจสอบ (Check) การประเมนและวดประสทธภาพของแนวทางปฏบตทเกยวกบนโยบายความมนคง
ปลอดภยสารสนเทศ รวมไปถงเปาหมาย ประสบการณในทางปฏบตและการรายงานผลการจดการ เพอน าไปใชในการตรวจสอบและทบทวนแนวทางปฏบตคร งตอไป
กำรปรบปรงแกไข (Act)
การด าเนนการปรบปรงระบบบรหารความมนคงปลอดภยของสารสนเทศจากการด าเนนการวเคราะหหาสาเหตของปญหาทแทจรง (Corrective Actions) และ การด าเนนการปองกนไมใหเกดปญหาซ าอก (Preventive Actions)
ในการจดท าระบบบรหารความมนคงปลอดภยของสารสนเทศใหประสบความส าเรจตามทต งเปาไว นอกจากปจจยตางๆ ทตองอาศยประสบการณและความเขาใจในขนตอนตางๆ ของผปฏบตงานแลว ยงตองอาศยความรวมมอรวมใจของทมงานและการสนบสนนจากผบรหารในทกระดบ ทงดานทรพยากร งบประมาณ และ เวลา ทงนระบบทงหมดจะตองเหมาะสมกบขนาดขององคกร และ ตรงตามวตถประสงคขององคกรดวย
รปท 2.2 แผนภาพโครงสราง Plan-Do-Check-Act Cycle[2]
นอกจากนนในสวนของ Annex A ของมาตรฐาน ISO/IEC27001 ยงไดก าหนด
วตถประสงคและรายการควบคมตางๆทเกยวของกบการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ[3] โดยแบงออกเปนหมวดหมท งสนจ านวน 11 หมวด ดงตอไปน
1. นโยบายความมนคงปลอดภยขององคกร (Security Policy) 2. โครงสรางความมนคงปลอดภยภายในองคกร (Organization of Information
Security)
11
3. การบรหารจดการทรพยสนขององคกร (Asset Management) 4. ความมนคงปลอดภยเกยวกบบคลากรในองคกร (Human Resources Security) 5. ความมนคงปลอดภยทางดานกายภาพและสงแวดลอมขององคกร (Physical and
Environmental Security) 6. การบรหารจดการดานการสอสารและการด าเนนงานของเครอขายสารสนเทศของ
องคกร (Communications and Operations Management) 7. การควบคมการเขาถงระบบสารสนเทศขององคกร (Access Control) 8. การจดหา การพฒนา และการบ ารงรกษาระบบสารสนเทศ (Information Systems
Acquisition, Development and Maintenance) 9. การบรหารจดการเหตการณท เกยวของความมนคงปลอดภยสารสนเทศ
(Information Security Incident Management) 10. การบรหารความตอเนองในการด าเนนธรกจขององคกร (Business Continuity
Management) 11. การปฏบตทสอดคลองตามขอก าหนดทางดานกฎหมาย นโยบายความมนคง
ปลอดภย มาตรฐาน ขอก าหนดทางเทคนค และการด าเนนการตรวจประเมนระบบสารสนเทศ (Compliance)
2.3 กำรบรหำรควำมเสยงดำนเทคโนโลยสำรสนเทศ[8] โดยปกต องคกรสวนใหญมกจะรอใหเกดเหตการณทท าใหเกดความเสยหายตอองคกร
นนขนกอน จงจะหนมาใหความส าคญกบการปองกน ซงอาจท าใหเกดความเสยหายมากเกนกวาจะคาดคดได ดงนน การใชมาตรการในการบรหารจดการความเสยง จะชวยลดความเสยหายดวยการเปนการจดการในเชงรก เพอเตรยมการปองกนและค านวณคาความเสยหายหรอลดคาใชจายลวงหนาได กอนทเหตการณทจะท าใหเกดความเสยหายนนเกดขนจรง
มาตรฐาน ISO27001 ไดระบถงการประเมนความเสยงเอาไวในหวขอท 4.2 เกยวกบการสรางและการบรหารจดการ ISMS (Establishing and managing the ISMS) ซงในทางปฏบตนนจะตองน าเอา ISO/IEC27005 มาใชเปนแนวทางปฏบตในดานการบรหารจดการความเสยง
กระบวนการ ในการรกษาความปลอดภยขอมลขององคกร ตามมาตรฐาน ISO/IEC27005 จะประกอบดวยขนตอนการด าเนนการจ านวน 5 ขนตอนดงตอไปน
1. การประเมนความเสยง (Risk Assessment) 2. การก าหนดนโยบาย (Policy) 3. การตดตงระบบปองกน (Implementation) 4. การฝกอบรม (Training) 5. การตรวจสอบ (Audit)
12
ควำมเสยง (Risk) ความเสยงดานความมนคงปลอดภยสารสนเทศ หมายถง ความเปนไดในการเกดภย
คกคามทสามารถโจมตผานชองโหวหรอขอบกพรองของทรพยสนหรอกลมของทรพยสนใดๆทปกปองเอาไวได แลวสามารถท าใหเกดความเสยหายกบองคกรได เหตการณทสงผลกระทบแกความมนคงปลอดภยนนอาจเกดขนภายใตสถานการณทไมแนนอนหรออาจมมลคาเปนตวเงนหรอไมกได
การทจะประเมนความเสยงไดนน เราตองทราบถงจดออน (Vulnerability) และภยคกคาม (Threat) ซงเปนองคประกอบหลกของการเกดความเสยงกอน ตองมทงสองอยางจงจะเกดเปนความเสยงได เมอความเสยงคอความเปนไปไดทอาจจะสญเสยบางสงทปกปองอย เมอใดทไมมความเสยงกไมจ าเปนตองมการรกษาความปลอดภย แตเมอใดทมความเสยง การประเมนความเสยงและการมมาตรการรกษาความปลอดภยตางๆจะชวยใหสามารถเตรยมแผนการรบมอตอเหตการณนนไดอยางทนทวงท อกทงยงสามารถค านวณความเสยหายและประเมนคาใชจายในการปองกนไดลวงหนาอกดวย
จดออนหรอชองโหว (Vulnerability)
จดออนหรอชองโหว เปนชองทางทใชในการโจมต ซงอาจมอยในระบบคอมพวเตอรและเครอขาย ทผไมหวงดสามารถใชประโยชนจากจดออนนเปนชองทางในการโจมตได แตทงน ชองโหวตางๆยอมมระดบความยากงายตอการโจมตตางกน ซงผไมหวงดอาจจะตองใชความช านาญมากขนในการโจมตจดออนทมระดบความยากตอโจมตสง หรออาจตองใชทรพยากรจ านวนมากในการโจมตในชองทางนน และหากชองโหวนนๆมผลตอขอมลทไมส าคญมากนก กถอวาเปนจดออนทมอนตรายระดบต าเชนกน
จดออนและชองโหว อาจไมไดอยในระบบคอมพวเตอรหรอเครอขายเทานน แตยงรวมถงดานทเปนทางกายภาพอนๆ ดวย เชน สถานท โครงสรางองคกร บคลากร และขอมลหรอทรพยสนอนๆทไมไดอยในรปแบบอเลกทรอนกส
ภยคกคำม (Threat)
ภยคกคาม หมายถงสงทสามารถสรางความเสยหายตอทรพยสนขององคกร ไมวาจะเปนเรองของขอมล กระบวนการท างาน และระบบตางๆขององคกร ซงภยคกคามนนอาจเกดขนตามธรรมชาตหรอจากมนษย ซงอาจจะเกดขนเพราะอบตเหตหรอโดยความตงใจกได แตไมวาจะเปนแบบใด แหลงทมาของภยคกคามทกอยางจะตองมการระบขอมลและจดหมวดหมเอาไวดวย เชน ภยคกคามทเกดจากผทไมไดรบอนญาต ภยคกคามจากความเสยหายดานกายภาพ เปนตน
ภยคกคามแบงออกเปน 3 สวนดงน
13
1. เปาหมาย (Target) ไดแก องคประกอบของความมนคงปลอดภยสารสนเทศทอาจถกโจมต อนประกอบดวย ความลบ(Confidentiality) ความคงสภาพ (Integrity) และความพรอมใช (Availability) ซงจะเปนภยคกคามตอดานใดนนขนอยกบเหตผลหรอแรงจงใจ
2. ผโจมต (Agent) คอผทกระท าการใดๆ ทสงผลใหเกดผลลพธในดานลบแกองคกร ซงตองมคณสมบตทง 3 ประการดงตอไปน
2.1 การเขาถง (Access) ผโจมตตองสามารถเขาถงเปาหมายได 2.2 ความร (Knowledge) ผโจมตตองมความรและมขอมลเกยวกบเปาหมายท
จะโจมต 2.3 แรงจงใจ (Motivation) เหตผลทจงใจผโจมตในการโจมตนน
3. เหตการณ (Event) หมายถงวธการทผโจมตสรางความเสยหายใหแกองคกร เชน การท าลายระบบ การบกรกเขาหองควบคม การแกไขขอมลส าคญ การใชบญชผใชงานเกนกวาทไดรบอนญาต ไมวาจะโดยตงใจหรอไมกตาม เปนตน กำรประเมนควำมเสยง (Risk Assessment)
การประเมนความเสยงเปนแนวทางหน งในการประเมนภยคกคามและจดออนจดบกพรองขององคกรเพอใหทราบถงระดบความเสยงทอาจเกดขนกบ ความลบ ความคงสภาพ และสภาพความพรอมใช ซงเปนองคประกอบของความมนคงปลอดภยสารสนเทศขององคกร โดยจะตองอาศยความรวมมอจากทกฝายในการด าเนนการ เพอใหการประเมนความเสยงนนเปนไปอยางมประสทธภาพ ซงขนตอนในการประเมนความเสยงมดงตอไปน
1. การก าหนดขอบเขตทจะประเมนความเสยง 2. เกบรวบรวมขอมลทจ าเปนในการน ามาประเมนความเสยง 3. วเคราะหนโยบายและระเบยบปฏบตทมอย 4. วเคราะหภยคกคามทอาจมผลกระทบความมนคงปลอดภยองคกร 5. วเคราะหจดออน จดบกพรองหรอชองโหวทองคกรมอย 6. ด าเนนการประเมนความเสยงโดยมเกณฑในการวดผลทชดเจน
กำรบรหำรควำมเสยง (Risk Management) การบรหารจดการดานตางๆ ในการวางแผนจดการองคกร การบงคบบญชา และการ
ควบคมการปฏบตงานขององคกร เพอลดผลเสยหายของความไมแนนอนทจะเกดขนกบองคกร เพอใหองคกรสามารถบรรลวตถประสงคตามทก าหนดไวได
ในการบรหารความเสยงนน จะตองมตนทน ทรพยากรและบคคล ดงนน จะตองค านงถงผลประโยชนทจะไดรบดวยวาคมคาหรอไม ในการลดความเสยงเหลานน เพราะวาความเสยงนนมการเปลยนแปลงอยตลอดเวลา
14
กำรวเครำะหควำมเสยง (Risk Analysis) ระบบบรหารความเสยง หมายถง ระบบการบรหารปจจยและกจกรรมควบคม รวมทงกระบวนการด าเนนการตาง ๆ ทจะท าใหสามารถลดมลเหตของแตละโอกาสทท าใหเกดความเสยหายลงได เพอใหระดบของความเสยงและผลกระทบทเกดขนในอนาคตอยในระดบทสามารถรบได ประเมนได ควบคมได และตรวจสอบไดอยางมระบบ โดยค านงถงการบรรลเปาหมายขององคกร
1. ประเมนความเสยง (Risk Assessment) เปนการประเมนความเสยงขององคกร วามวตถประสงคอะไร และมความเสยงอะไรบาง ทท าใหไมบรรลวตถประสงคและความเสยงนนมนยส าคญเพยงใด โดยการจดล าดบความเสยง และการหาแนวทางการควบคม (กจกรรมทปฏบต) เพอปองกน หรอลดความเสยงนนๆ มข นตอนดงน
1.1 การระบปจจยเสยง (Risk Identification) ทงนจะตองศกษาวตถประสงคและเปาหมายขององคกร ซงจะสอดคลองกบภารกจ (Mission) แบงออกเปน 2 ระดบ คอ
1.1.1 วตถประสงคระดบองคกร (Entity – Ievel Objectives) เปนวตถประสงคตามแผนกลยทธขององคกร
1.1.2 วตถประสงคระดบกจกรรม (Activity–Ievel Objectives) เปนวตถประสงคของการด าเนนงานทเฉพาะเจาะจงส าหรบแตละกจกรรมในแตละหนวยงาน ซงวตถประสงคของแตละกจกรรมนนจะตองสนบสนน และสอดคลองกบวตถประสงคในระดบองคกรดวย
1.2 การวดและประเมนความเสยง (Risk Measurement) ทงนตองศกษาวาอะไรเปนปจจยเสยงและมความเสยงอยางไร ดานการด าเนนงาน งบประมาณ กลยทธ ในการวเคราะหจะดถงสาเหต (Cause) ของการเกด วามโอกาส (Opportunity) มากนอยเพยงใด และเมอเกดแลวมผลกระทบ (Effect) มากนอยเพยงใด ซงในผลกระทบนนจะดในดานการเงน ผรบบรการบคลากร เวลา และความส าเรจ
1.3 การจดล าดบความเสยง (Risk Prioritization) เมอเทยบความเสยง เรองโอกาสและผลกระทบแลวจะตองมาจดล าดบวาความเสยงนนมนยส าคญเพยงใด โดยการจดล าดบความเสยงจากมากไปหานอย มข นตอนการวเคราะห ดงน 1.3.1 ประเมนระดบความส าคญของปจจยเสยง คอประเมณวาปจจยเสยงแตละปจจยหากเกดขนแลวมผลกระทบตอองคกรมากนอยเพยงใด
1.3.2 ประเมนความเสยงทปจจยเสยงจะเกดขน คอ พจารณาวา ปจจยเสยงทไวเรยงล าดบความส าคญไวแลวนน มโอกาสทจะเกดขน มากนอยเพยงใด
1.3.3 เลอกเทคนคการวเคราะหความเสยงทเหมาะสมโดยอาจจะ วเคราะหในรปตวเลข 2. การบรหารความเสยง (Risk Management) เมอวเคราะหและจดล าดบความเสยงทมนยส าคญและโอกาสทเกดความเสยง รวมทงวเคราะหสาเหตทท าใหเกดความเสยงและ
15
พจารณาหาวธหรอก าหนดกจกรรมการควบคมตางๆ เพอปองกนความเสยงนนๆ วธการมหลายวธ เชน หลกเลยง ยอมรบ ควบคม หรอถายโอน มความเสยงขององคกรบางอยางทผบรหารไมสามารถควบคมได เพราะมาจากภายนอกองคกร เชน ภาวะเงนเฟอท าใหคากอสรางสง ซงผบรหารไมสามารถควบคมได
16
บทท 3 วธกำรด ำเนนงำน
3.1 ขนตอนในกำรด ำเนนกำร เมอไดรบอนญาตจากบรษทบกฟช เอนเตอรไพรส จ ากด ใหใชองคกรเปนกรณศกษาแลวนน ผจดท าจงไดมการก าหนดวธการและขนตอนในการปฏบตงานดงน
3.1.1 ศกษาโครงสรางและองคประกอบขององคกร 3.1.2 จดท าแผนการประเมนความเสยงกอนการด าเนนโครงงานโดยก าหนดหลกเกณฑ
และขนตอนการด าเนนงานทชดเจน 3.1.3 ด าเนนการประเมนความเสยงกอนการด าเนนโครงงาน 3.1.4 จดท ารายงานผลการประเมนความเสยงกอนการด าเนนโครงงาน 3.1.5 ก าหนดแนวทางในการบรรเทาความเสยงแลวจดท าเอกสารประยกตใชงาน
3.1.6 ประสานงานกบหนวยงานทเกยวของในการเสนอและจดท าแผนบรหารจดการความเสยง 3.1.7 การฝกอบรมภายในองคกรเพอสรางองคความร 3.1.8 เนนการตามแผนบรหารจดการความเสยงพรอมตดตามผล และตรวจสอบเรองความเสยงทเหลออย 3.1.9 ประเมนความเสยงหลงด าเนนโครงการเพอวดประสทธผลของโครงงาน 3.1.10 สรปผลการด าเนนการบรหารจดการความเสยง
รายการทรพยสนในหอง Data Center แบงตามประเภทของทรพยสน 5 ประเภทไดดงตอไปน ตำรำงท 3.1 รายการทรพยสนในหอง Data Center
ประเภท รายละเอยด รหสทรพยสน รายการ Hardware
Network HW-001 Router และ Switch HW-002 Firewall Server Server ระบบบรการทวไป (Web, Mail) HW-003 - Mail Server HW-004 - Web Server Server ส าหรบบรหารงานทางธรกจ
HW-005
- Customer Relation Management (CRM)
HW-006 - Ticket Management
17
ประเภท รายละเอยด รหสทรพยสน รายการ
Supporting Equipment
HW-007 Video Recorder (CCTV)
HW-008 Fire Protection System HW-009 Air Conditioning (A/C) System HW-011 Humidity Control System HW-012 UPS
Software
Operating System Software
SW-001 Linux Server
Window Server
Package software
SW-002 Mail Server Software Web Server Software
Business Application
SW-003 Customer Relation Management (CRM) โปรแกรม Ticket Management
Information Digital Information
IN-001 ขอมล Email (Mail Server) IN-002 ขอมลทวไปของบรษท (Web Server) IN-003 ขอมลระบบทส าคญของลกคา (CRM) IN-004 ขอมลทวไปของลกคา (CRM)
IN-005 ขอมลการใหบรการของบรษทแกลกคา (Ticket Management)
Personal
PE-001 หวหนาแผนก PE-002 ผใชงาน PE-003 ผดแลระบบ
Services SE-001 ผใหบรการอนเตอรเนต SE-002 พนกงานท าความสะอาด SE-003 ฝายอาคารสถานทของตกเชา
18
3.2 โครงสรำงองคกร
President
(Finance & Account Division)
-Vice President-
(Human Resource & Office
Administration Division)-Vice President-
(Business Development Division)
-Vice President-
(Technology of Information Security Division)
-Vice President-
(Information Security Consulting Dept.)-Manager-
(Information Security Technical Dept.)-Manager-
(Sales Dept.)-Manager-
HR & OA Manager
Assistant Information Security Consultant Manager
Sale Manager
Information Security Consultant Manager
(HR & OA Dept.)
-Manager-
Information Security Technical Manager
(Customer Relation Management Dept.)
(Information Security Engineer)
Assistant Information Security Technical Manager
Board of Directors
Customer Relation Management
Administrator
Account Manager
รปท 3.1 โครงสรางองคกร
19
3.3 กำรประเมนควำมเสยง
เปนการค านวณโอกาสทจะเกดเหตทน าไปสความเสยหาย เพอใหทราบถงความส าคญของความเสยงทแตกตางกน และใชในการพจารณาก าหนดจดควบคมความเสยงทมนยส าคญ การประเมนความเสยงเปนกระบวนการทประกอบดวย การวเคราะห การประเมน และการจดระดบความเสยงทมผลกระทบตอการบรรลวตถประสงคของกระบวนการท างานขององคกร ซงในกรณศกษาจะท าการประเมนความเสยงตามหลกเกณฑดงตอไปน
3.3.1 หลกเกณฑทวไป หลกเกณฑในการจดล าดบความเสยงของเหตการณความเสยหายหนงๆ ตอบรษท
(Risk Evaluation Criteria) - ใหจดเรยงล าดบความเสยงของเหตการณความเสยหาย โดยพจารณาตาม
ความส าคญ ดงน ความส าคญล าดบท 1 เหตการณความเสยหายเกยวของโดยตรงกบ
ความผดตามกฎหมายของประเทศไทย หรอสญญาทบรษทฯ กระท ากบคคาหรอลกคา ความส าคญล าดบท 2 เหตการณความเสยหายกระทบโดยตรงตอ
กระบวนการหรอกจกรรมทางธรกจทมมลคาสง ความส าคญล าดบท 3 เหตการณความเสยหายทมคาผลกระทบดาน
ชอเสยงสง ความส าคญล าดบท 4 เหตการณความเสยหายทมคาผลกระทบดาน
การหยดชะงกในการด าเนนงานสง ความส าคญล าดบท 5 เหตการณความเสยหายทมคาความเสยงสง ความส าคญล าดบท 6 เหตการณความเสยหายทมคาความเสยงปาน
กลาง ความส าคญล าดบท 7 เหตการณความเสยหายทมคาความเสยงต า
- ในกรณทเหตการณความเสยหาย 2 เหตการณมความส าคญตามขอ 1) ล าดบเดยวกน ใหเรยงล าดบเหตการณความเสยหายทมระดบโอกาสสงกวาขนกอน
หลกเกณฑผลกระทบ (Impact Criteria)ใหพจารณาผลกระทบของเหตการณความ
เสยหายทระบได ดงน - ท าใหสญเสยความลบของทรพยสน (Confidentiality) - ท าใหสญเสยความครบถวนถกตองของทรพยสน (Integrity) - ท าใหสญเสยความพรอมใชของทรพยสน (Availability)
20
- ท าใหเกดผลกระทบดานการเงนของบรษทฯ (Loss of financial value) - ท าใหเกดผลกระทบดานชอเสยงของบรษทฯ (Damage of reputation) - ท าใหเกดผลกระทบดานการหยดชะงกในการด าเน นงานของบรษทฯ
(Disruption of deadlines) กอน
หลกเกณฑในการยอมรบความเสยง (Risk Acceptance Criteria) - บรษทฯ จะไมยอมรบความเสยงไมวาในระดบใด หากความเสยงนนเกยวของ
กบการละเมดตามบทบญญตแหงกฎหมายของประเทศไทย ซงรวมถงระเบยบขอบงคบอนๆ ซงมผลบงคบใชกบการด าเนนธรกจของบรษทฯ และการละเมดตามขอตกลงในสญญาทกระท ากบลกคาหรอหนวยงานภายนอกอนๆ เวนแตจะสามารถแกไขเพอยกเวนไดในภายหลง
- ในกรณทความเสยงใดอยในระดบปานกลางขนไป ใหถอวาความเสยงนนบรษทฯ ไมอาจยอมรบได เวนแตรายจายทสญเสยจากการตดตงระบบควบคมทเลอกใชสงกวารายจายจากผลกระทบทอาจเกดขนจากความเสยงนน และความเสยงดงกลาวไมขดกบหลกเกณฑในการยอมรบความเสยงตามขอ 1) ใหถอวาความเสยงดงกลาวยอมรบได
- บรษทฯ จะยอมรบความเสยงหนงๆ หากระดบความเสยงนนอยในเกณฑต า ทงนในกรณททรพยสนใดทรพยสนหนงมความเสยงอยในเกณฑต า แตมหลายความเสยง หากมความเสยงเกนกวา 3 ความเสยงขนไปถอวาทรพยสนมความเสยงทบรษทฯ ไมอาจยอมรบได เวนแตรายจายทสญเสยจากการตดตงระบบควบคมทเลอกใชสงกวารายจายจากผลกระทบทอาจเกดขนจากความเสยงนน และความเสยงดงกลาวไมขดกบหลกเกณฑในการยอมรบความเสยงตามขอ 1) ใหถอวาความเสยงดงกลาวยอมรบได
- ในกรณทมทรพยสนใดเปนทจดเกบหรอตดตงของทรพยสนอนทมความเสยงทไมสามารถยอมรบได ไมวาทรพยสนนนจะมความเสยงในระดบใดถอวาความเสยงดงกลาวไมสามารถยอมรบได เวนแตรายจายทสญเสยจากการตดตงระบบควบคมทเลอกใชสงกวารายจายจากผลกระทบทอาจเกดขนจากความเสยงนน และความเสยงดงกลาวไมขดกบหลกเกณฑในการยอมรบความเสยงตามขอ 1) ใหถอวาความเสยงดงกลาวยอมรบได
3.3.2 ขนตอนปฏบตในกำรประเมนควำมเสยงดำนเทคโนโลยสำรสนเทศ
(Information Security Risk Assessment Process) กำรประเมนควำมเสยงดำนเทคโนโลยสำรสนเทศประกอบดวยขนตอน 2 ขนตอนดงน
การวเคราะหความเสยง (Risk Analysis) - กำรระบควำมเสยง (Risk Identification)
การระบทรพยสน (Assets Identification) สามารถแบงประเภทของทรพยสนขององคกรออกเปน 5 ประเภทใหญดงตอไปน
21
สารสนเทศ (Information) สารสนเทศทอยในรปเอกสารหรอไฟลขอมลทจดเกบในฐานขอมล เอกสารระบบตางๆ คมอ เอกสารการฝกอบรม เอกสารระเบยบวธปฏบตในการด าเนนงานตางๆ เอกสารแผนความตอเนองทางธรกจ ซงมคณลกษณะดงน มความส าคญตอกจกรรมทางธรกจของบรษทฯ เกยวของกบขอมลสวนบคคลทมระบไวในกฎหมายของประเทศไทย เกยวของกบกลยทธในการด าเนนธรกจของบรษทฯ มมลคาทางตนทนสง
ซอฟตแวร (Software) ทรพยสนในรปซอฟตแวร ประกอบดวยระบบปฏบตการ
โปรแกรมประยกต โปรแกรมระบบสารสนเทศ โปรแกรมชวยในการพฒนาตางๆ (Development tools) ทเมอถกคกคามโดยภยคกคามตางๆ ในจดออนจดบกพรองของทรพยสนแลว จะท าใหกระบวนการ ระบบงาน หรอกจกรรมทางธรกจ ทอาศยทรพยสนนอยไมสามารถท าพนธกจของบรษทฯ ในสวนงานของแผนกใหลลวงไปได หรอท าใหสารสนเทศ ถกเปดเผยตอบคคลทไมไดรบอนญาต, ถกแกไขเปลยนแปลงโดยมชอบ, หรอถกท าใหเสยหายไมพรอมใชงาน
ฮารดแวร (Hardware) ทรพยสนในรปฮารดแวร ประกอบดวยเครองคอมพวเตอร อปกรณส านกงาน อปกรณสอสาร และสอบนทกขอมลทงทอยในรปอเลกทรอนกสและไมใชอเลกทรอนกส ทเมอถกคกคามโดยภยคกคามตางๆ ในจดออนจดบกพรองของทรพยสนแลว จะท าใหกระบวนการ ระบบงาน หรอกจกรรมทางธรกจ ทอาศยทรพยสนนอยไมสามารถท า พนธกจของบรษทฯ ในสวนงานของแผนกใหลลวงไปได หรอท าใหสารสนเทศถกเปดเผยตอบคคลทไมไดรบอนญาต, ถกแกไขเปลยนแปลงโดยมชอบ, หรอถกท าใหเสยหายไมพรอมใชงาน พนกงาน (Personal) พนกงานในแผนก โดยแบงตามลกษณะงานดงน หวหนาแผนก ผใชงาน หมายถง พนกงานทมหนาทซงตองเกยวของกบสารสนเทศ ผดแลระบบ หมายถง พนกงานทมหนาทในการบ ารงรกษาและถอสทธในการเขาถง
ซอฟแวรและฮารดแวรเพอการท างานในแตละวน
บรการ (Services) องคกรหรอกลมงานตางๆ ภายนอกทเกยวของในการสนบสนนการท างานภายในของบรษทฯ อนไดแก หนวยงานภายนอกทเกยวของกบกจกรรมทางธรกจของบรษทฯ และของแผนก หนวยงานภายนอกทใหบรการระบบพนฐานตางๆ ของบรษทฯ เชน หนวยงานทดแล
อาคารและสถานท เปนตน
22
การระบภยคกคาม (Threats Identification) การระบภยคกคามตางๆ โดยใชวธสมภาษณหวหนาแผนกแตละแผนก หวหนาหรอตวแทนหนวยงานทใหบรการดานอาคารและสถานท ผดแลระบบ เพอใหทราบถงภยคกคามทเคยเกดขนกบทรพยสนในอดตและรายงานการประเมนภยคกคามทจดท าขนในอดต รวมถงแนวโนมภยคกคามทไดรบการวเคราะหจากสถาบนทมชอเสยง และน าขอมลภยคกคามดงกลาวมาจดแบงเปน 2 ลกษณะ คอ ภยคกคามจากธรรมชาต (Natural Threat) และภยคกคามจากมนษย (Human Threat) โดยในกรณของภยคกคามจากมนษยนนใหระบวาภยคกคามใดเปนภยคกคามทกระท าโดยตงใจ (Deliberate) และภยคกคามทกระท าโดยไมตงใจ (Accidental) หรอทงสองประเภท และทงหมดนใหจดแบงตามประเภทของทรพยสน ดงตวอยางในตารางท 3.2
ตำรำงท 3.2 แสดงตวอยางการระบภยคกคามแยกตามประเภทของทรพยสน
ชนดของทรพยสน
ภยคกคาม ตวคกคาม แรงจงใจ วธการ
สารสนเทศ ถกดกจบระหวางการสงขอมลในเครอขาย
แฮกเกอร (ตงใจ) - ความทาทาย - เงน
ใชโปรแกรม Sniffer
ซอฟแวร การฟองรองด าเนนคดและเสยทรพยสนโดยกฎหมายลขสทธซอฟแวร
พนกงาน (ตงใจ) ประมาท ใชซอฟแวรผดกฎหมาย
ฮารดแวร เสยหายใชงานไมได
พนกงาน (ไมตงใจ)
ไมมทกษะเพยงพอในการใชงาน
ใชงานอปกรณอยางไมถกตองเหมาะสม
พนกงาน ปวย ธรรมชาต - ตดเชอ
บรการ สรรพากรฟองรอง
บคคลภายนอก (ไมตงใจ)
ไมมความรอบคอบในการท างาน
บรษทบญชค านวณผดพลาด
การระบจดออนจดบกพรอง (Vulnerabilities Identification) ระบ
จดออนจดบกพรองของทรพยสนหนงๆ โดยระบรวมกนกบภยคกคามและระบบควบคมทมและเกยวของ และระบจดออนจดบกพรองของระบบควบคมเองซงเกดจากการตดตงใชงานทไม
23
ถกตองเหมาะสม โดยใชวธการระบจดออนจดบกพรองตางๆ ตามตวอยางดงตอไปนตามความเหมาะสม เครองมอตรวจสอบจดออนจดบกพรองอตโนมต (Automated vulnerability scanning
tools) การประเมนประสทธผลของระบบควบคมทม (IT control testing and evaluation) การเจาะระบบ (Penetration testing) การตรวจสอบโคดของโปรแกรม (Code review)
การระบผลกระทบ (Consequence Identification) ระบเหตการณท
อาจเกดขนกบทรพยสนหนงๆ ของบรษทฯ ซงเปนเหตการณความเสยหายทจดออนจดบกพรองของทรพยสนหนงๆ ไดรบการคกคามจากภยคกคาม (Information security incident) และท าใหสญเสยความลบ (Confidentiality) ความครบถวนถกตอง (Integrity) และความพรอมใช (Availability) อยางใดอยางหนงหรอหลายอยางของทรพยสนไป พรอมทงระบผลกระทบของเหตการณนนๆ ทมตอบรษทฯ โดยมองผลกระทบในสามดานดงน ผลกระทบดานการเงน เชน
o สญเสยเงนเพอซอทรพยสนทดแทนหรอเพอซอมแซม o คาใชจายในการตดตงทรพยสนใหม o รายจายทสญเสยเมอทรพยสนเสยหาย
ผลกระทบดานชอเสยง เชน o ชอเสยงทเสยหายของบรษทฯ ไดรบการแพรกระจายผานทางสอสาธารณะ
ตางๆ ทงวทย โทรทศน และสอสงพมพ ทงในรปเอกสารและดจตอล o ลกคาตอวาถงชอเสยงของบรษทฯ มายงบรษทฯ โดยตรงผานทางโทรศพท
จดหมาย ทงในรปอนาลอก และดจตอล o ไดรบการต าหนจากกรรมการบรหารหรอผบรหารระดบสงของบรษทฯ
ผลกระทบดานการหยดชะงกในการด าเนนงาน เชน o กจกรรมทางธรกจของบรษทฯ ตองหยดชะงก อนเกดจากทรพยสนเสยหาย
หรอไมสามารถใชงานไดตามปรกต
- กำรประเมนคำควำมเสยง (Risk Estimation) ประเมนคาความเสยงโดยใชวธการดงน
ประเมนคาผลกระทบ (Assessment of consequence) ใหประเมนคาผลกระทบในสามดานดงน
24
การประเมนคาผลกระทบดานการเงน ใหพจารณาจากมลคาของทรพยสนในปจจบนทไดรบผลกระทบจากเหตการณความ
เสยหายหนงๆ หากทรพยสนไดรบความเสยหาย รายจายทจะตองเกดขนเพ อซอม ซอ สราง หรอพฒนาทรพยสนใหมทดแทนทรพยสนเดม รายจายทสญเสยตอวนในชวงทไมสามารถใชงานทรพยสนนนเพอการด าเนนธรกจตามปรกตได โดยสามารถเขยนเปนสมการไดดงตอไปน
ผลกระทบดานการเงน = มลคาของทรพยสนทเสยหายในปจจบน + มลคาของทรพยสนทดแทนหรอมลคาของการซอมแซมทรพยสนเดม + รายจายทสญเสยตอวน คาผลกระทบดานการเงนในเชงคณภาพสามารถก าหนดไดตามตารางท 3.3 ดงตอไปน ตำรำงท 3.3 เกณฑการประเมนคาผลกระทบดานการเงนในเชงคณภาพ
ระดบ
ผลกระทบ เกณฑ รายละเอยด
สง มากกวา
1 แสนบาท
ผลกระทบดานการเงนในระดบสง คอ กรณทมผลกระทบตอ
บรษทเปนจ านวนเงนมากกวา 1 แสนบาท
ปานกลาง 1 หมนบาท – 1
แสนบาท
ผลกระทบดานการเงนในระดบปานกลาง คอ กรณทม
ผลกระทบตอ เปนจ านวนเงนตงแต 1 หมนบาท แตไมเกน 1
แสนบาท
ต า นอยกวา
1 หมนบาท
ผลกระทบดานการเงนในระดบต า คอ กรณทมผลกระทบตอ
บรษทบกฟช เอนเตอรไพรส จ ากด เปนจ านวนเงนไมเกน 1
หมนบาท (ผลกระทบทางดานการเงน < 1 หมนบาท)
การประเมนคาผลกระทบดานชอเสยง
ใหพจารณาจากชอเสยงทสญเสยไปของบรษทฯ อนเกดจากเหตการณความเสยหายหนงๆ ของทรพยสน โดยสามารถก าหนดคาผลกระทบดานชอเสยงในเชงคณภาพไดตามตารางท 3.4 ดงตอไปน ตำรำงท 3.4 เกณฑการประเมนผลกระทบดานชอเสยงในเชงคณภาพ
ระดบ
ผลกระทบ เกณฑ รายละเอยด
สง มการแพรกระจาย
ผานทางสอสาธารณะตางๆ
ชอเสยงทเสยหายของบรษทฯ ไดรบการแพรกระจายผานทางสอสาธารณะตางๆ ทงวทย โทรทศน และสอสงพมพ ทงในรปเอกสารและดจตอล
25
ปานกลาง ไดรบการตอวาจากลกคาโดยตรง
ลกคาตอวาถงชอเสยงของบรษทฯ มายงบรษทฯ โดยตรงผานทางโทรศพท จดหมาย ทงในรปอนาลอก และดจตอล
ต า
ไดรบการต าหนจากกรรมการบรหารหรอผบรหารระดบสง
ชอเสยงของบรษทฯ ไดรบการต าหนจากกรรมการบรหารหรอผบรหารระดบสงของบรษทฯ
การประเมนคาผลกระทบดานการหยดชะงกในการด าเนนงาน
ใหพจารณาจ านวนชวโมงในชวงเวลาท งานของบรษทฯ หยดชะงก อนเกดจากเหตการณความเสยหายหนงๆ ทท าใหทรพยสนเสยหายหรอไมสามารถใชงานไดตามปรกต โดยสามารถก าหนดคาผลกระทบดานการหยดชะงกในการด าเนนงานเชงคณภาพไดตามตารางท 3.5 ดงตอไปน ตำรำงท 3.5 เกณฑการประเมนผลกระทบดานการหยดชะงกในการด าเนนงานในเชงคณภาพ ระดบ
ผลกระทบ เกณฑ รายละเอยด
สง มากกวา 1
วน เกดผลกระทบตอการด าเนนงานของแผนก หรอของบรษทฯ ท าใหไมสามารถด าเนนงานไดมากกวา 1 วน (ผลกระทบดานการหยดชะงกในการด าเนนงาน > 1 วน)
ปานกลาง
1 ชวโมง – 1 วน
เกดผลกระทบตอการด าเนนงานของแผนก หรอของบรษทฯ ท าใหไมสามารถด าเนนงานไดตงแต 1 ชวโมง แตไมเกน 1 วน (1 ชวโมง <= ผลกระทบดานการหยดชะงกในการด าเนนงาน <= 1 วน)
ต า นอยกวา 1 ชวโมง
เกดผลกระทบตอการด าเนนงานของแผนก หรอของบรษทฯ ท าใหไมสามารถด าเนนงานไดนอยกวา 1 ชวโมง (ผลกระทบดานการหยดชะงกในการด าเนนงาน < 1 ชวโมง)
จากคาผลกระทบทง 3 ดานทกลาวขางตน สามารถก าหนดเกณฑการประเมนคา
ผลกระทบของเหตการณความเสยหายหนงๆ ไดดงตารางท 3.6
26
ตำรำงท 3.6 เกณฑในการประเมนคาผลกระทบของเหตการณความเสยหายหนงๆทมตอบรษทฯ ระดบผลกระทบในดานตางๆ ระดบผลกระทบของ
เหตการณโดยรวม ดานการเงน ดานชอเสยง ดานการหยดชะงก สง สง สง สง สง สง ปานกลาง สง สง สง ต า สง สง ปานกลาง สง สง สง ปานกลาง ปานกลาง สง สง ปานกลาง ต า สง สง ต า สง สง สง ต า ปานกลาง สง สง ต า ต า สง
ปานกลาง สง สง สง ปานกลาง สง ปานกลาง สง ปานกลาง สง ต า สง ปานกลาง ปานกลาง สง สง ปานกลาง ปานกลาง ปานกลาง ปานกลาง ปานกลาง ปานกลาง ต า ปานกลาง ปานกลาง ต า สง สง ปานกลาง ต า ปานกลาง สง ปานกลาง ต า ต า ปานกลาง
ต า สง สง สง ต า สง ปานกลาง สง ต า สง ต า สง ต า ปานกลาง สง สง ต า ปานกลาง ปานกลาง ปานกลาง ต า ปานกลาง ต า ปานกลาง ต า ต า สง สง ต า ต า ปานกลาง ปานกลาง ต า ต า ต า ต า
ประเมนคาโอกาสของการเกดเหตการณความเสยหาย (Assessment
of incident likelihood) ใหประเมนโอกาสโดยพจารณาจาก 2 หลกเกณฑตอไปน ประกอบกน
27
วเคราะหระดบความยากทจดออนจดบกพรองของทรพยสนในเหตการณความเสยหายจะถกคกคาม ใหพจาณาจากตารางท 3.7 ดงน
ตำรำงท 3.7 เกณฑในการพจารณาระดบความยากทตวคกคามจะคกคามจดออนจดบกพรองของทรพยสน
ความยาก เกณฑ จดออนจดบกพรองของทรพยสนอาศยทรพยากรนอยในการคกคามใหส าเรจ แตสรางความสญเสยไดมาก
สง
จดออนจดบกพรองของทรพยสนตองอาศยทรพยากรพอสมควรในการคกคามใหส าเรจ แตสรางความสญเสยไดพอควร
ปานกลาง
จดออนจดบกพรองของทรพยสนตองอาศยทรพยากรอยางมากในการคกคามใหส าเรจ แตสรางความสญเสยไดนอย
ต า
วเคราะหระดบโอกาสทภยคกคามในเหตการณความเสยหายจะคกคามทรพยสน
ใหอาศยวธวเคราะหความสามารถ (Capacity) และแรงจงใจ (Motivation) ทภยคกคามแตละชนดจะมตอทรพยสนดงน
o ความสามารถ (Capacity) ความสามารถทตวคกคามใชในการคกคามทรพยสนในประการทจะท าใหทรพยสนไดรบความเสยหายในดานความลบ ความครบถวนถกตอง และความพรอมใช เปนเหตใหเกดผลกระทบตอบรษทฯ ทงในแงการเงน ชอเสยง และการหยดชะงกในการด าเนนงาน
o แรงจงใจ (Motivation) แรงจงใจและเหตผลทตวคกคามมในการคกคามทรพยสนในประการทจะท าใหทรพยสนไดรบความเสยหายในดานความลบ ความครบถวนถกตอง และความพรอมใช เปนเหตใหเกดผลกระทบตอบรษทฯ ทงในแงการเงน ชอเสยง และการหยดชะงกในการด าเนนงาน โดยสามารถแบงเกณฑในการพจารณาระดบวธการและแรงจงใจของตวคกคามไดตามตารางท 3.8 ดงน ตำรำงท 3.8 เกณฑในการพจารณาระดบวธการและแรงจงใจของตวคกคาม
วธการ แรงจงใจ เกณฑ ตวคกคามมความสามารถและประสบการณสงในการกระท า และมทรพยากรเพยงพอในการกระท าการ
ตวคกคามมแรงจงใจสงในการกระท าหรอเคยเกดเหตการณทตวคกคามกระท าทรพยสนของบรษทฯ บอยครง หรอมรายงานผลส ารวจจากสถาบนทมความนาเชอถอถงโอกาสทตวคกคามจะเกดขนไดอยางสง
สง
28
วธการ แรงจงใจ เกณฑ ตวคกคามมความสามารถและประสบการณปานกลางแตมทรพยากรจ ากดในการกระท าการ
ตวคกคามมแรงจงใจปานกลางหรอเคยเกดเหตการณทตวคกคามกระท ากบทรพยสนของบรษทฯ อยางนอย 1 ครง หรอมรายงานผลส ารวจจากสถาบนทมความนาเชอถอถงโอกาสทตวคกคามจะเกดขนไดปานกลาง
ปานกลาง
ตวคกคามมความสามารถและประสบการณนอยหรอไมมทรพยากรในการกระท าการ
ตวคกคามมแรงจงใจนอยหรอไมมหรอไมเคยเกดเหตการณทตวคกคามกระท ากบทรพยสนของบรษทฯ
ต า
จากเกณฑขางตน ใหพจารณาโอกาสทภยคกคามในเหตการณความเสยหายจะคกคาม
ทรพยสนหนงๆ ของบรษทฯ ดงตาราง 3.9 ตอไปน ตำรำงท 3.9 เกณฑในการพจารณาระดบโอกาสทภยคกคามจะคกคามทรพยสนหนงๆ
แรงจงใจ วธการ สง ปานกลาง ต า สง สง สง สง
ปานกลาง สง ปานกลาง ปานกลาง ต า สง ปานกลาง ต า
จากการพจารณาระดบโอกาสทงในสวนของความยากทจดออนจดบกพรองของ
ทรพยสนหนงๆ ในเหตการณความเสยหายหนงๆ จะถกคกคามจากตวคกคาม และโอกาสทภยคกคามในเหตการณความเสยหายนนจะคกคามทรพยสนขางตน ใหประเมนคาโอกาสของการเกดเหตการณความเสยหายหนงๆ ดงน ตำรำงท 3.10 เกณฑประเมนโอกาสของการเกดเหตการณความเสยหายหนงๆ
โอกาสทตวคกคามจะคกคามทรพยสน
ระดบความยากทจดออนจดบกพรองของทรพยสนจะถก
คกคาม
เกณฑ
สง สง สง สง ปานกลาง สง สง ต า สง
29
โอกาสทตวคกคามจะคกคามทรพยสน
ระดบความยากทจดออนจดบกพรองของทรพยสนจะถก
คกคาม
เกณฑ
ปานกลาง สง สง ปานกลาง ปานกลาง ปานกลาง ปานกลาง ต า ปานกลาง
ต า สง ปานกลาง ต า ปานกลาง ต า ต า ต า ต า
2.2.3 การประเมนระดบคาความเสยง (Level of risk estimation) ให
น าผลลพทของการประเมนคาผลกระทบของเหตการณความเสยหายหนงๆ รวมกบผลลพทของการประเมนโอกาสของการเกดเหตการณความเสยหายนน มาประเมนระดบคาความเสยงโดยใชเกณฑการประเมนระดบคาความเสยง ดงตารางท 3.1.11 ตำรำงท 3.11 เกณฑในการประเมนระดบคาความเสยงของเหตการณความเสยหายหนงๆ ทม ตอบรษทฯ คาการประเมนผลกระทบของ
เหตการณ (Impact) คาการประเมนโอกาสของการเกด
เหตการณ (Likelihood) ระดบคาความเสยง
(Risk) สง สง สง สง ปานกลาง สง สง ต า ปานกลาง
ปานกลาง สง สง ปานกลาง ปานกลาง ปานกลาง ปานกลาง ต า ปานกลาง
ต า สง ปานกลาง ต า ปานกลาง ต า ต า ต า ต า
- กำรจดล ำดบควำมเสยง (Risk Evaluation)
ใหจดล าดบความเสยงของเหตการณความเสยหายตามหลกเกณฑในการจดล าดบความเสยง (Risk Evaluation Criteria) จากความส าคญล าดบท1 ถงความส าคญล าดบสดทาย
30
วธปฏบตตอความเสยงดานเทคโนโลยสารสนเทศ (Information Security Risk Treatment Process) ระบวธปฏบตตอความเสยงของเหตการณความเสยหายตางๆ ตามหลกเกณฑดงน
o ตดตงระบบควบคมเพอลดความเสยง (Risk reduction) ในกรณทความเสยงของเหตการณความเสยหายไมเปนไปตามหลกเกณฑในการยอมรบความเสยง ใหระบระบบควบคมเพอลดความเสยงดงกลาวใหอยในหลกเกณฑในการยอมรบความเสยงทก าหนดไว โดยอาศยมาตรฐาน ISO/IEC 27002 เปนแนวทางในการระบระบบควบคมทเกยวของ ทงนใหคณะท างานฯ ระบสงตอไปนประกอบระบบควบคมทเลอกใช
คาใชจายทตองใชเพอตดตงระบบควบคมแตละประเภท เปรยบเทยบกบคาผลกระทบของเหตการณความเสยหายนน
ระยะเวลาทใชเพอการตดตงระบบควบคม ความตองการพนฐานดานซอฟแวร ฮารดแวร เครอขาย และบคลากร
เพอใหตดตงและดแลรกษาระบบควบคม o คงความเสยงไว (Risk retention) ในกรณทความเสยงของเหตการณ
ความเสยหายเปนไปตามหลกเกณฑในการยอมรบความเสยง ใหระบหวขอทเกยวของตามหลกเกณฑในการยอมรบความเสยงประกอบ
ระบความเสยงของเหตการณความเสยหายทยอมรบได ซงไมเปนไปตามหลกเกณฑในการยอมรบความเสยงพรอมเหตผลประกอบ
จดท าแผนกจกรรมในการตดตงระบบควบคมเพอลดความเสยงของเหตการณความเสยหาย โดยจดล าดบใหเหตการณความเสยหายทมความเสยงสงด าเนนการกอน
ประกาศและชแจงรายละเอยดของแผนกจกรรมในการตดตงระบบควบคมเพอลดความเสยงของเหตการณความเสยหายใหผทเกยวของรบทราบพรอมเปดรบฟงความคดเหนตางๆ
3.3.3 กำรทบทวน ตรวจสอบ และปรบปรงควำมเสยงดำนเทคโนโลยสำรสนเทศ
การทบทวนและปรบปรงความเสยง - ด าเนนการประเมนความเสยงเพมเตมหากมการเปลยนแปลงทส าคญเกด
ขนกบทรพยสนทอยในขอบเขตทก าหนดในเอกสารการบรหารจดการความปลอดภยสารสนเทศ อาท มทรพยสนใหมเพมเตม มการปรบเปลยนมลคาทางธรกจของทรพยสนเนองจากการเปลยนแปลงความตองการทางธรกจ มภยคกคามใหมเกดขนทมโอกาสสงทจะคกคามทรพยสน พบจดออนจดบกพรองของทรพยสนใหมทงายตอการถกคกคาม เปนตน
- ด าเนนการประเมนความเสยงใหมเปนประจ าทกป ปละ 1 ครงเปนอยางนอย
31
การทบทวนและปรบปรงการบรหารจดการความเสยง - ด าเนนการทบทวนและปรบปรงการบรหารจดการความเสยงเปนประจ าทกป
ปละ 1 ครงเปนอยางนอย 3.3.4 รำยกำรควบคมควำมมนคงปลอดภย (Control Checklist) ของ IEC/ISO
27001 รายการควบคมความมนคงปลอดภย (Control Checklist) ของ IEC/ISO 27001 ทน ามาใชในการตรวจสอบในโครงงานนประกอบดวย 11 หวขอหลก (11 Security domains areas) ดงตอไปน
- นโยบายความมนคงปลอดภย (Security policy) - โครงสรางทางดานความมนคงปลอดภยส าหรบองคกร (Organization of
information security) - การบรหารจดการทรพยสนขององคกร (Asset management) - ความมนคงปลอดภยทเกยวของกบบคลากร (Human resources security) - การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม (Physical and
environmental security) - การบรหารจดการดานการสอสารและการด าเนนงานของเครอขาย
สารสนเทศขององคกร (Communications and operations management) - การควบคมการเขาถง (Access control) - การจดหา การพฒนา และการบ ารงรกษาระบบสารสนเทศ (Information
systems acquisition, development and maintenance) - การบรหารจดการเหตการณทเกยวของกบความมนคงปลอดภยขององคกร
(Information security incident management) - การบรหารความตอเนองในการด าเนนงานขององคกร (Business continuity
management) - การปฏบตตามขอก าหนด (Compliance)
32
บทท 4 ผลกำรด ำเนนกำร
ทางผจดท าไดประสานงานกบทมงานของบรษทบกฟช เอนเตอรไพรส จ ากด ในการประเมนความเสยงครงแรกกอนด าเนนการโครงการและประเมนความเสยงหลงการด าเนนการโครงการ โดยผจดท าไดรวมกบคณะท างานเรมตนจากการตรวจสอบเกยวกบรายการทรพยสน ทเกยวของ เพอท าการประเมนมลคาทรพยสน ซงจะประเมนรวมไปถงกรณทเกดภยคกคาม ซงจะท าใหมผลกระทบตอดานความลบของขอมล ความถกตองครบถวนของขอมล ความตอเนองในการใหบรการ อนจะท าใหเกดความเสยหายตอการปฏบตการ การเงน และชอเสยงขององคกร จนกระทงไดด าเนนการจดท าแผนการบรหารจดการความเสยงสงมอบใหทางคณะผบรหารไดพจารณาด าเนนการลดความเสยงหรอยอมรบความเสยง จากนนทางคณะท างานไดด าเนนการในการจดการความเสยงเฉพาะในสวนทมระดบความเสยงสงและกลาง โดยจะไดผลการด าเนนการดงขอมลทจะไดกลาวถงตอไป
ในการประเมนความเสยงทงสองครง จะใชหลกการตามวธการด าเนนการในบทท 3 เหมอนกนซงจะไดระดบความเสยงออกมา 3 ระดบ ตามขอมลในตารางท ตารางท 3.10 เกณฑในการประเมนระดบคาความเสยงของเหตการณความเสยหายหนงๆ ทมตอบรษทฯ คาการประเมนผลกระทบของ
เหตการณ (Impact) คาการประเมนโอกาสของการเกด
เหตการณ (Likelihood) ระดบคาความเสยง
(Risk) สง สง สง สง ปานกลาง สง สง ต า ปานกลาง
ปานกลาง สง สง ปานกลาง ปานกลาง ปานกลาง ปานกลาง ต า ปานกลาง
ต า สง ปานกลาง ต า ปานกลาง ต า ต า ต า ต า
33
4.1 ผลกำรประเมนควำมเสยงกอนด ำเนนโครงกำร ตำรำงท 4.1 ตารางแสดงผลการประเมนความเสยงกอนด าเนนโครงงาน
1. ฮำรดแวร (Hardware)
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล
1
อปกรณเชอมตอเครอขาย(Router, Switch)
อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง สง สง ต า สง กลาง สง -
A.9.2.4 ควรมการก าหนดระยะเวลาบ ารงรกษาอปกรณ
2
ถกเขาถงอปกรณโดยไมไดรบอนญาต
สง สง ต า สง ต า กลาง
A.9.1.2 มการควบคมการเขาออกหองศนยขอมล และแยกพนทการตดตอบคคลภายนอก
A.9.1.4 ควรมการแยกประเภทพนทส าคญเพอปองกนภยคกคามจากภายนอก
3
ระบบไมสามารถใหบรการไดเนองจากอปกรณไมมประสทธภาพเพยงพอตอการใชงาน
ต า ต า ต า ต า ต า ต า
A.10.3.1 มการตรวจสอบทรพยากรระบบรายงานไปยงผบรหารทกเดอน
34
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล
4
อปกรณเสยหายเนองจากไฟกระชาก
กลาง กลาง กลาง กลาง กลาง กลาง
- A.9.2.1 องคกรควรตดตงอปกรณ UPS เพอปองกนกระแสไฟฟาไมแนนอน
5 อปกรณเสยหายเนองจากกระแสไฟฟาชอตจากระบบระบายน าแอร
ต า ต า ต า ต า ต า ต า มการตรวจสอบเปนประจ าทกวนท าการ
6
ไมสามารถใหบรการไดเนองจากไฟดบ
ต า ต า ต า ต า ต า ต า
A.9.2.2 ม UPS แลว สามารถรองรบการใชงานไดประมาณ 20 นาท
7 Firewall ถกเขาถงอปกรณโดยไมไดรบอนญาต
ต า กลาง ต า กลาง ต า กลาง
A.9.1.2 มการควบคมการเขาออกหองศนยขอมล และแยกพนทการตดตอของบคคลภายนอก
A.9.1.4 ควรมการแยกประเภทพนทส าคญเพอปองกนภยคกคามจากภายนอก
35
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล
8 ไมสามารถใหบรการไดเนองจากไฟดบ
ต า ต า ต า ต า กลาง ต า
A.9.2.2 ม UPS แลว สามารถรองรบการใชงานไดประมาณ 20 นาท
A.9.2.2 จดหาเครองผลตกระแสไฟฟาส ารองหรอจดระบบกระแสไฟฟาจากแหลงจายหลายแหง
9
อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง
สง กลาง ต า สง ต า กลาง - A.9.2.4 ควรมการก าหนดระยะเวลาบ ารงรกษาอปกรณ
10
Mail Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง
กลาง กลาง ต า กลาง กลาง กลาง - A.9.2.4 ควรมการก าหนดระยะเวลาบ ารงรกษาอปกรณ
11
อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบ
ต า ต า ต า ต า ต า ต า
A.9.2.2 ม UPS แลว สามารถรองรบการใชงานไดประมาณ 20 นาท
-
36
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล
12
ถกเขาถงโดยไมไดรบอนญาต
ต า กลาง ต า กลาง ต า กลาง
A.9.1.2 มการควบคมการเขาออกและแยกพนทการตดตอของบคคลภายนอก
A.9.1.4 ควรมการแยกประเภทพนทส าคญ
13
อปกรณไมสามารถใหบรการไดเนองจากทรพยากรระบบไมพอ
ต า ต า ต า ต า ต า ต า
A.10.3.1 มการตรวจสอบทรพยากรระบบรายงานไปยงผบรหารทกเดอน
14 Web Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง
กลาง ต า ต า กลาง กลาง กลาง - A.9.2.4 ควรมการก าหนดระยะเวลาบ ารงรกษาอปกรณ
15
อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบ
ต า ต า ต า ต า ต า ต า
A.9.2.2 ม UPS ทสามารถรองรบการใชงานไดประมาณ 20 นาท
37
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล
16
ถกเขาถงโดยไมไดรบอนญาต
ต า ต า ต า ต า ต า ต า
A.9.1.2 มการควบคมการเขาออกและแยกพนทการตดตอของบคคลภายนอก
17
อปกรณไมสามารถใหบรการไดเนองจากทรพยากรระบบไมพอ
ต า ต า ต า ต า ต า ต า
A.10.3.1 มการตรวจสอบทรพยากรระบบรายงานไปยงผบรหารทกเดอน
18 CRM Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง
กลาง ต า ต า กลาง กลาง กลาง - A.9.2.4 ควรมการก าหนดระยะเวลาบ ารงรกษาอปกรณ
19
อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบ
ต า ต า ต า ต า ต า ต า
A.9.2.2 ม UPS แลว สามารถรองรบการใชงานไดประมาณ 20 นาท
38
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล
20
ถกเขาถงโดยไมไดรบอนญาต
ต า ต า ต า ต า ต า ต า
A.9.1.2 มการควบคมการเขาออกและแยกพนทการตดตอของบคคลภายนอก
21
ทรพยากรระบบมไมเพยงพอ
ต า ต า ต า ต า ต า ต า
A.10.3.1 มการตรวจสอบทรพยากรระบบรายงานไปยงผบรหารทกเดอน
22
Ticket Management
อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง
กลาง ต า ต า กลาง กลาง กลาง - A.9.2.4 ควรมการ
ก าหนดระยะเวลาบ ารงรกษาอปกรณ
23
อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบ
ต า ต า ต า ต า ต า ต า
A.9.2.2 ม UPS แลว สามารถรองรบการใชงานไดประมาณ 20 นาท
39
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล
24
ถกเขาถงโดยไมไดรบอนญาต
ต า ต า ต า ต า ต า ต า
A.9.1.2 มการควบคมการเขาออกหองศนยขอมล และแยกพนทการตดตอของบคคลภายนอก
25
ทรพยากรระบบมไมเพยงพอ
ต า ต า ต า ต า ต า ต า
A.10.3.1 มการตรวจสอบทรพยากรระบบรายงานไปยงผบรหารทกเดอน
26 CCTV System
อปกรณไมสามารถตรวจสอบผเขาถงหองศนยขอมลไดเนองจากอปกรณช ารดเสยหาย
กลาง ต า ต า กลาง กลาง กลาง -
A.9.2.4 ควรมการก าหนดระยะเวลาบ ารงรกษาและเตรยมการเปลยนอปกรณเมอใกลครบอายการใชงาน
40
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล
27
อปกรณไมสามารถตรวจสอบผเขาถงหองศนยขอมลไดเนองจากการตดตงอปกรณไมครอบคลมพนท
สง ต า ต า สง ต า กลาง -
A.9.2.1 ควรมการจดวางอปกรณในบรเวณและปรมาณทเหมาะสม
28 Fire Protection System
อปกรณไมท างานขณะเกดเพลงไหม
สง สง กลาง สง ต า กลาง
A.9.2.4 มเจาหนาทของอาคารเชามาตรวจสอบอยางสม าเสมอ
A.9.2.4 ควรจดเกบบนทกกจกรรมการบ ารงรกษาอปกรณและสอดสองดแลการปฏบตงานนนดวย
29 Air Condition อปกรณไมท างานหรอท างานผดพลาดท าใหอณหภมรอนจนระบบไมสามารถท างานได
ต า ต า ต า ต า ต า ต า
A.9.2.2 มระบบควบคมอณภมทงของอาคาร และภายในต Rack ดวย
41
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล 30 Humidity อปกรณไมท างานหรอ
ท างานผดพลาดท าใหเกดความชนมากท าใหอปกรณเสอมสภาพเรวกวาปกตหรอเสย
ต า ต า ต า ต า ต า ต า
A.9.2.4 มการตรวจสอบอปกรณตรวจสอบความชนอยางสม าเสมอ
31 UPS อปกรณไมท างานเมอเกดไฟกระชากท าใหอปกรณระบบเสยหาย
สง กลาง ต า สง ต า กลาง -
A.9.2.4 ควรมการตรวจสอบการท างานของอปกรณ UPS อยางสม าเสมอ
32 อปกรณไมสามารถส ารองไฟไดเพยงพอเมอเกดไฟดบ
ต า ต า ต า ต า กลาง ต า -
ควรมกระบวนการในการประเมนระยะเวลาทอปกรณสามารถรองรบไดเพอจดหาอปกรณทสามารถรองรบการใชงานไดเพยงพอ
42
2. ซอฟตแวร (Software)
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล
33
Operating System Software -Window -Linux
ซอฟตแวรท างานผดพลาดเนองจากโปรแกรมไมพงประสงคหรอ Hacker
ต า กลาง ต า กลาง ต า กลาง
A.10.4.1 มการตดตง Antivirus และupdate patch ทเกยวของกบความมนคงปลอดภยสารสนเทศ
A.10.1.1 ควรมการก าหนดขนตอนปฏบตงานอยางเปนลายลกษณอกษร A.10.1.2 ควรมการบนทกการแกไข เปลยนแปลง หรอปรบปรงระบบดวย
34
ถกเขาถงโดยไมไดรบอนญาตเนองจากการความบกพรองในกระบวนการควบคมการเขาถง เชน รหสผานสามารถคาดเดาไดโดยงาย หรอการใหสทธเกนความจ าเปน
ต า กลาง ต า กลาง ต า กลาง
A.11.2.4 มการทบทวนสทธการเขาถงของผใชงานทกๆ 6 เดอน หรอ ทกครงทมการเปลยนแปลง เชน การเลอนต าแหนง ยายแผนก หรอสนสดการจางงาน
A.11.1.1 ควรมการก าหนดนโยบายเกยวกบการควบคมการเขาถงระบบ A.11.3.1 ควรก าหนดนโยบายในการตงรหสผานใหสามารถคาดเดาไดยาก
43
ล ำดบ รำยกำรตรวจสอบ
ผลกระทบ โอกำส
ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล
35
การถกฟองรองตามกฎหมายลขสทธซอฟตแวรเนองจากพนกงานใชซอฟตแวรละเมดลขสทธ
สง ต า สง สง ต า กลาง
A.15.1.1 มการก าหนดหนาทความรบผดชอบของบคลากรใหปฏบตตามกฎหมาย ระเบยบ ขอบง คบ หรอขอก าหนดในสญญาทองคกรตองปฏบตตาม
A.15.1.2, A.8.2.2 ควรก าหนดนโยบายส าหรบปองกนสทธและทรพยสนทางปญญารวมถงการสรางความตระหนกแกบคลากรเพอไมใหละเมดทรพยสนทางปญญาเหลานน
36
ถกเขาถงโดยไมไดรบอนญาตเนองจากผดแลระบบไมไดท าการ Logout ออกจากระบบเมอไมอยหนาจอคอมพวเตอรและไมได Lock หนาจอไว
สง ต า กลาง สง ต า กลาง
9.1.3 มการตดตงกลองวงจรปดเพอตรวจสอบการเขาถงเครองคอมพวเตอรทใชปฏบตงานแลว
A.8.2.2, , สรางความตระหนกและใหความรแกพนกงาน A.11.5.6 ควรตง session timeout เพอตด session ทเปดคางไวดวย
44
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล 37 Package
software - Web Program - Mail Program
ซอฟตแวรท างานผดพลาดเนองจากโปรแกรมไมพงประสงคหรอ Hacker
ต า กลาง สง สง ต า กลาง
A.10.4.1 มการตดตง Antivirus และupdate patch ทเกยวของกบความมนคงปลอดภยสารสนเทศ
A.10.1.1 ควรมการก าหนดขนตอนปฏบตงานอยางเปนลายลกษณอกษร A.10.1.2 ควรมการบนทกการแกไข เปลยนแปลง หรอปรบปรงระบบ
38 ซอฟตแวรท างานผด พลาดเนองจากผใชงาน หรอ Webmaster ขาดความรความเขาใจในการใชงานซอฟตแวร
ต า ต า ต า ต า ต า ต า
ส าหรบ Mail Server จะปฏบตงานโดยผทช านาญการและมการตรวจสอบซ าอยเสมอ
45
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล 39 การเขาถงและแกไข
เปลยนแปลงขอมลโดยไมไดรบอนญาตโดยผไมหวงดภายในองคกรเนองจากผดแลระบบไมไดท าการ Logout ออกจากระบบเมอไมอยหนาจอคอมพวเตอรและไมได Lock หนาจอไว
ต า กลาง ต า กลาง ต า กลาง -
A.8.2.2 สรางความตระหนกและใหความรแกพนกงาน A.11.5.6 ควรตง session timeout เพอตด session ทเปดคางไวดวย
40 Business Application - CRM - Ticket Management
ซอฟตแวรท างานผดพลาดเนองจากโปรแกรมไมพงประสงคหรอ Hacker
ต า ต า ต า ต า ต า ต า
A.10.4.1, A.10.4.2 มการปดชองโหว และupdate patch ทเกยวของกบความมนคงปลอดภยสารสนเทศ
46
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล
41
การเขาถงโดยไมไดรบอนญาตเนองจากการตงรหสผานในการเขาถงไมปลอดภย
สง ต า กลาง สง ต า กลาง -
A.11.3.1 ควรก าหนดนโยบายในการตงรหสผานใหสามารถคาดเดาไดยาก A.8.2.2 สรางความตระหนกและใหความรแกพนกงาน
42
การเขาถงโดยไมไดรบอนญาตของผไมหวงดภายในองคกรเนองจากผดแลระบบไมไดท าการ Logout ออกจากระบบเมอไมอยหนาจอคอมพวเตอรและไมได Lock หนาจอไว
สง ต า กลาง สง ต า กลาง -
A.8.2.2 สรางความตระหนกและใหความรแกพนกงาน A.11.5.6 ควรตง session timeout เพอตด session ทเปดคางไวดวย
47
3. สำรสนเทศ (Information)
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล
43 ขอมล Email
การเขาถงโดยไมไดรบอนญาตเนองจากการตงรหสผานทสามารถคาดเดาไดโดยงาย
สง ต า กลาง สง กลาง สง -
A.11.3.1 ควรก าหนดนโยบายในการตงรหสผานใหสามารถคาดเดาไดยาก
44
การเขาถงหรอถกน าไปเปดเผยโดยไมไดรบอนญาตเนองจากความผดพลาดในการสงขอมลทาง Email ของพนกงาน
สง ต า กลาง สง กลาง สง -
A.8.2.2 ควรสรางความตระหนกเพอใหพนกงานมความระมดระวง A.10.8.4 ก าหนดมาตรการปองกนขอความอเลกทรอนกส
48
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล
45
ขอมลสญหายหรอเสยหายเนองจากขาดการส ารองขอมล
ต า ต า ต า ต า ต า ต า
A.10.5.1 มการเกบขอมล Email ไวบน Mail Server และเครองของผใชงานเอง และมการ Backup Mail Server ไวอยางสม าเสมอ
46 ขอมลทวไปของบรษท
การเขาถงโดยไมไดรบอนญาตเนองจากการตงรหสผานทสามารถคาดเดาไดโดยงาย
ต า ต า ต า ต า ต า ต า
เปนขอมลสาธารณะและมแรงจงใจทจะเกดภยคกคามต า
47
ขอมลสญหายหรอเสยหายเนองจากขาดการส ารองขอมล
ต า ต า ต า ต า ต า ต า
มการส ารองขอมลทกครงทมการแกไขเปลยนแปลงขอมล และมการแกไขเปลยนแปลงขอมลนอยครง
49
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล 48 ขอมลถกแกไขปลยน
แปลงไมสามารถเชอถอได ต า ต า ต า ต า ต า ต า เปนขอมลสาธารณะและมแรงจงใจทจะเกดภยคกคามต า
49
ขอมลระบบทส าคญของลกคา
การเขาถงโดยไมไดรบอนญาตเนองจากการตงรหสผานทสามารถคาดเดาไดโดยงาย
ต า ต า กลาง กลาง ต า กลาง
A.8.2.2 ควรสรางความตระหนกเพอใหพนกงานมความระมดระวง
A.11.3.1 ควรก าหนดนโยบายในการตงรหสผานใหสามารถคาดเดาไดยาก
50 การเขาถงหรอถกน าไปเปดเผยโดยไมไดรบอนญาตเนองจากความประมาทเลนเลออยางรายแรงของพนกงาน
ต า ต า กลาง กลาง กลาง กลาง
A.12.3.1 มนโยบายเกยวกบการเขารหสขอมลทง Hard disk (Whole Disk Encryption) และการเขารหสขอมล Email
50
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล
51 ขอมลสญหายหรอเสยหายเนองจากขาดการส ารองขอมล
ต า กลาง ต า กลาง กลาง กลาง
- A.10.5.1 ควรมมาตรการในการส ารองขอมลส าคญของลกคาเพอใหสามารถน ามาใชงานไดทนทวงท
52 ขอมลถกแกไขเปลยนแปลงไมสามารถเชอถอได
ต า กลาง กลาง กลาง ต า กลาง
A.12.3.1 มนโยบายเกยวกบการเขารหสขอมลทง Hard disk (Whole Disk Encryption) และการเขารหสขอมล Email
A.12.3.1 ควรมการน า Digital Signature มาประยกตใชเพอใหสามารถตรวจสอบความถกตองของขอมลและตรวจสอบผสงขอมลนนทาง Email ได
51
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล
53
ขอมลทวไปของลกคา
การเขาถงโดยไมไดรบอนญาตเนองจากการตงรหสผานทสามารถคาดเดาไดโดยงาย
ต า ต า ต า ต า ต า ต า
เปนขอมลสาธารณะอยแลว ไมมแรงจงใจทจะท าใหเกดภยคกคามทม ผลกระทบตอองคกร
54
ขอมลสญหายหรอเสยหายเนองจากขาดการส ารองขอมล ต า ต า ต า ต า ต า ต า
ยงไมเคยเกดเหตกรณขอมลสญหายหรอเสยหายอนเปนภยคกคามทม ผลกระทบตอองคกร
55
ขอมลถกแกไขเปลยนแปลงไมสามารถเชอถอได ต า ต า ต า ต า ต า ต า
เปนขอมลสาธารณะอยแลว ไมมแรงจงใจทจะท าใหเกดภยคกคามทม ผลกระทบตอองคกร
52
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล
56
ถกน าไปเปดเผยโดยไมไดรบอนญาต
ต า ต า ต า ต า ต า ต า
เปนขอมลสาธารณะอยแลว ไมมแรงจงใจทจะท าใหเกดภยคกคามทม ผลกระทบตอองคกร
57 ขอมลการใหบรการของบรษทแกลกคา
การเขาถงโดยไมไดรบอนญาตเนองจากการตงรหสผานทสามารถคาดเดาไดโดยงาย
ต า ต า กลาง กลาง ต า กลาง
A.8.2.2 ควรสรางความตระหนกเพอใหพนกงานมความระมดระวง
A.11.3.1 ควรก าหนดนโยบายในการตงรหสผานใหสามารถคาดเดาไดยาก
58
ขอมลสญหายหรอเสยหายเนองจากขาดการส ารองขอมล
ต า กลาง ต า กลาง กลาง กลาง A.10.5.1มการส ารองขอมลเปนครงคราว
A.10.5.1 ควรมมาตรการในการส ารองขอมลส าคญของลกคาเพอใหสามารถน ามา ใชงานไดอยางตอเนอง
53
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล
59
ขอมลถกแกไขเปลยนแปลงไมสามารถเชอถอได
ต า กลาง ต า กลาง ต า กลาง
A.12.3.1 มนโยบายเกยวกบการเขารหสขอมลทง Hard disk (Whole Disk Encryption) และการเขารหสขอมล Email
A.12.3.1 ควรมการน า Digital Signature มาประยกตใชเพอใหสามารถตรวจสอบความถกตองของขอมลและตรวจสอบผสงขอมลนนทาง Email ได
60
ถกน าไปเปดเผยโดยไมไดรบอนญาต
ต า ต า กลาง กลาง ต า กลาง A.6.1.5 มการท าขอตกลงไมเปดเผยความลบ
A.8.2.2 ควรสรางความตระหนกเพอใหพนกงานมความระมดระวง
54
4. พนกงำน (Personal)
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล
61 หวหนาแผนก
เปาหมายขององคกรไมบรรลผลเนองจากหวหนาแผนกไมสามารถบรหารจดการตามหนาททไดรบมอบหมายได
สง สง กลาง สง ต า กลาง
A.8.2.3 มการก าหนดเงอนไขการจางงานโดยระบสทธและหนาทความรบผดชอบในสวนงานนน
A.8.2.1 การประเมนประสทธภาพการท างานของหวหนาแผนกเทยบกบขอบเขตลกษณะงานทไดรบมอบหมายอยางนอยปละ 1 ครง
62
การด าเนนงานชาหรอหยดชะงกเนองจากหวหนาแผนกไมสามารถเขาปฏบตงานในเวลางานได
ต า ต า ต า ต า ต า ต า
มการแจงทมงานในแผนกทงหมดทราบอยางเปนลายลกษณอกษรวาไดมอบหมายงานใหผใดเปนผปฏบตงานแทน
55
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล
63
ผใชงาน
มพฤตกรรมการใชงานระบบในทางทเสยงเนองจากพนกงานขาดความร ความตระหนก
กลาง กลาง ต า กลาง ต า กลาง
A.8.2.2 มการแจงเตอนเปนครงคราวเมอพบการใชงานระบบในทางทเสยง
A.8.2.2 ควรจดอบรมเพอสรางความตระหนกและใหความรแกพนกงาน
64
การละเมดนโยบายความมนคงปลอดภยเพราะขาดการตรวจสอบและลงโทษ
กลาง กลาง ต า กลาง ต า กลาง
A.8.2.3 มการก าหนดกระบวนการทางวนยเพอลงโทษผทละเมดนโยบายความมนคงปลอดภยสารสนเทศ
A.8.2.3 ควรมการสมตรวจสอบการปฏบตตามนโยบายดานความมนคงปลอดภยสารสนเทศเปนระยะเพอใหไดรบความรวมมอจากพนกงาน และตองมบทลงโทษกรณฝาฝน
56
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล
65
ผดแลระบบ
ระบบสารสนเทศทใหบรการไมมความมนคงปลอดภยเนองจากผดแลระบบไมสามารถปฏบตงานไดอยางมประสทธภาพ
กลาง กลาง ต า กลาง ต า กลาง
A.8.2.3 มการก าหนดเงอนไขการจางงานโดยระบสทธและหนาทความรบผดชอบในสวนงานนน
A.8.2.1 การประเมนประสทธภาพการท างานของหวหนาแผนกเทยบกบขอบเขตลกษณะงานทไดรบมอบหมายปละ 1 ครง
66
การละเมดนโยบายความมนคงปลอดภยสารสนเทศ
กลาง กลาง ต า กลาง ต า กลาง
A.8.2.3 มการก าหนดกระบวนการทางวนยเพอลงโทษผทละเมดนโยบายความมนคงปลอดภยสารสนเทศ
A.8.2.3 ควรมการสมตรวจสอบการปฏบตตามนโยบายดานความมนคงปลอดภยสารสนเทศเปนระยะเพอใหไดรบความรวมมอจากพนกงาน และตองมบทลงโทษกรณฝาฝน
57
5. บรกำร (Services)
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล 67 ผใหบรการ
Internet องคกรไมสามารถใชงานอนเตอรเนตในการท าธรกจได เนองจากขอผดพลาดทางเทคนคจากผใหบรการอนเตอรเนต
กลาง ต า ต า กลาง กลาง กลาง
A.10.2.1 มการก าหนดมาตรการดานการให บรการของหนวยงานภายนอก และมการท าเอกสารขอตกลงการบรการ
ควรมการจดท าเอกสาร Service Level Agreement เพอใหไดรบการบรการทรวดเรวมากขน หรอใชบรการจากผใหบรการจากหลายท
68
พนกงานท าความสะอาด ขอมลอปกรณในหอง
Data Center ถกเปดเผย เนองจากขาดการตรวจสอบคณสมบตของพนกงานท าความสะอาด
ต า ต า กลาง กลาง กลาง กลาง
A.10.1.1, A.10.1.2 ก าหนดมาตรการดานการใหบรการของหนวยงานภายนอก และมการประเมนการใหบรการนน และมการบนทกภาพผาน CCTV กอนเขาท างาน
ตรวจสอบประวตพนกงานท าความสะอาดอยางละเอยดกอนอนญาตใหเขามาท างานในหนาทนได และตองมเจาหนาทคอยก ากบดแลการท างานในหอง Data Center
58
ล ำดบท
รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล 69 สงของภายในหอง Data
Center ถกขโมย เนองจากขาดการควบคมดแลการปฏบตงานของพนกงานท าความสะอาด
กลาง ต า ต า กลาง ต า กลาง -
ก าหนดมาตรการดานการใหบรการของหนวยงานภายนอก โดยใหมเจาหนาทคอยก ากบดแลการท างานในหอง Data Center ดวย
70 สงของภายในหอง Data Center เสยหายหรอบบสลายเนองจากการปฏบตงานของพนกงานท าความสะอาด กลาง ต า ต า กลาง ต า กลาง
มการตดตงกลองวงจนปดทสามารถเหนผเขาและออกหอง Data Center ไดชดเจน
A.9.1.1, A.10.1.1,A.10.1.2, A.11.3.2, A.11.3.3 ก าหนดมาตรการดานการใหบรการของหนวยงานภายนอก และมการประเมนการใหบรการ
59
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม แผนบรหำร
จดกำรควำมเสยง F O R ผล
71 ฝายอาคารสถานทของตกเชา
การด าเนนธรกจหยดชะงกเนองจากขอผดพลาดทางเทคนคจากฝายอาคารสถานทของตกเชาท าใหระบบไฟฟาขดของ
กลาง กลาง ต า กลาง กลาง กลาง
A.10.1.1, A.10.1.2 ก าหนดมาตรการดานการใหบรการของหนวยงานภายนอก และมการประเมนการใหบรการ
ควรมการจดท าเอกสาร Service Level Agreement เพอใหไดรบการบรการทรวดเรวมากขน หรอใชบรการจากผใหบรการจากหลายท
ตำรำงท 4.2 ตารางสรปจ านวนความเสยงกอนด าเนนโครงงาน ระดบควำมเสยง สง กลำง ต ำ รวม
จ ำนวน 3 39 29 71
60
เมอไดด าเนนการจดล าดบความเสยงและเลอกบรหารจดการความเสยงทมระดบความเสยงสงและกลางแลว ทางองคกรไดมการพจารณาเลอกมาตรการควบคมมาปรบใชในการบรหารจดการความเสยงโดยพจารณาจากความเสยงทมระดบสงและกลางโดยจะมการขออนมตจากคณะผบรหารในการด าเนนการเพอลดความเสยงซงไดผลการด าเนนการดงตารางตอไปน
ตำรำงท 4.3 ตารางสรปผลการด าเนนการในการบรหารจดการความเสยง
ล ำดบ รหสรำยกำร
ตรวจสอบประเดนควำมเสยง กอน ตวควบคม แผนลดควำมเสยง Risk Response RTP Status Completed ผรบผดชอบ ผลลพท
1 HW-001
ข
(Router
Switch)
ข ซ -
A.9.2.4
100%
2 IN-001 ข Email
ข ถ ไ ไ
ถ
ไ
-
A.11.3.1
ใ
ใ ถ
ไ
100%
ฐ
ใ
3 IN-001 ข Email
ข ถ ถ ไ
ไ ไ
ใ ข
Email ข
-
A.8.2.2
ใ
A.10.8.4
ข
100%
ฐ
ใ
ใ
4 HW-001
ข
(Router
Switch)
ถ ข ถ ไ ไ
A.9.1.2
ข ข
ข
A.9.1.4
100%
ฐ
61
ล ำดบ รหสรำยกำร
ตรวจสอบประเดนควำมเสยง กอน ตวควบคม แผนลดควำมเสยง Risk Response RTP Status Completed ผรบผดชอบ ผลลพท
5 HW-001
ข
(Router
Switch)
ไฟ
- A.9.2.1
UPS
ไฟฟ ไ
100%
UPS
6 HW-002 Firewall
ถ ข ถ ไ ไ
A.9.1.2
ข ข
ข
A.9.1.4
100%
7 HW-002 Firewall
ไ ถใ ไ
ไฟ
A.9.2.2 UPS
ถ ใ
ไ 20
A.9.2.2
ไฟฟ
ไฟฟ
100%
8 HW-002 Firewall
ข ซ
- A.9.2.4
100%
9 HW-003 Mail Server
ข ซ
- A.9.2.4
100%
10 HW-003 Mail Server
ถ ข ถ ไ ไ
A.9.1.2
ข
ข
A.9.1.4
100%
ฏ
62
ล ำดบ รหสรำยกำร
ตรวจสอบประเดนควำมเสยง กอน ตวควบคม แผนลดควำมเสยง Risk Response RTP Status Completed ผรบผดชอบ ผลลพท
11 HW-004 Web Server
ข ซ
- A.9.2.4
100%
12 HW-005 CRM Server
ข ซ
- A.9.2.4
100%
13 HW-006Ticket
Management
ข ซ
- A.9.2.4
100%
14 HW-007 CCTV System
ไ ถ
ข ถ
ข ไ
- A.9.2.4
ใ
ใ
50%
CCTV
15 HW-007 CCTV System
ไ ถ
ข ถ
ข ไ
ไ
- A.9.2.1
ใ
100%
16 HW-008Fire Protection
System
ไ ข
ไ
ข
ถ
BCP
ถ 100%
63
ล ำดบ รหสรำยกำร
ตรวจสอบประเดนควำมเสยง กอน ตวควบคม แผนลดควำมเสยง Risk Response RTP Status Completed ผรบผดชอบ ผลลพท
17 IN-003ข
ข
ข ถ ไ ไ
ถ
ไ
A.8.2.2
ใ
A.11.3.1
ใ
ใ ถ
ไ
100%
ข ใ ,
18 IN-003ข
ข
ข ถ ถ ไ
ไ ไ
ข
A.12.3.1
ข ข
Hard disk (Whole
Disk Encryption)
ข ข Email
A.8.2.2
ใ
100%
ใ
ข ข
ฯ
19 IN-003ข
ข
ข
ข
ข
- A.10.5.1
ใ ข
ข ใ
ถ ใ ไ
100%
20 IN-003ข
ข
ข ถ ไข
ไ ถ ถ ไ
A.12.3.1
ข ข
Hard disk (Whole
Disk Encryption)
ข ข Email
A.12.3.1
Digital Signature
ใ ใ
ถ
ถ ข ข
ข
Email ไ
100%
21 IN-005
ข
ใ ข
ข ถ ไ ไ
ถ
ไ
A.8.2.2
ใ
A.11.3.1
ใ
ใ ถ
ไ
100%
64
ล ำดบ รหสรำยกำร
ตรวจสอบประเดนควำมเสยง กอน ตวควบคม แผนลดควำมเสยง Risk Response RTP Status Completed ผรบผดชอบ ผลลพท
22 IN-005
ข
ใ ข
ข
ข
ข
A.10.5.1 ข
A.10.5.1
ใ ข
ข ใ
ถ ใ ไ
100%
23 IN-005
ข
ใ ข
ข ถ ไข
ไ ถ ถ ไ
A.12.3.1
ข ข
Hard disk (Whole
Disk Encryption)
ข ข Email
A.12.3.1
Digital Signature
ใ ใ
ถ
ถ ข ข
ข
Email ไ
100%
24 IN-005
ข
ใ ข
ถ ไ ไ ไ
A.6.1.5 ข
ไ
A.8.2.2
ใ
100%
ข ไ
25 PE-001
ข ไ
ไ ถ
ไ
ไ
A.8.2.3
ไข
ใ
A.8.2.1
ข
ข ข
ไ 1
100%
65
ล ำดบ รหสรำยกำร
ตรวจสอบประเดนควำมเสยง กอน ตวควบคม แผนลดควำมเสยง Risk Response RTP Status Completed ผรบผดชอบ ผลลพท
26 PE-002 ใ
ฤ ใ
ใ
ข
ใ
ใ
ใ
100%
ใ
27 PE-002 ใ
ข
A.8.2.3
A.8.2.3
ฏ
ใ ไ
100%
28 PE-003
ใ ไ
ไ ถ ฏ
ไ
A.8.2.3
ไข
ใ
A.8.2.1
ข
ข ข
ไ 1
50%
ไขใ
66
ล ำดบ รหสรำยกำร
ตรวจสอบประเดนควำมเสยง กอน ตวควบคม แผนลดควำมเสยง Risk Response RTP Status Completed ผรบผดชอบ ผลลพท
29 PE-003
A.8.2.3
A.8.2.3
ฏ
ใ ไ
100%
30 SW-001 Linux, Window
ซ ฟ
ไ
Hacker
A.10.4.1
Antivirus update
patch ข
A.10.1.1
ข
ฏ
A.10.1.2
ไข
50%
,
ข
AntiVirus
Security Patch
ข ฏ
31 SW-001 Linux, Window
ถ ข ถ ไ ไ
ใ
ข ถ
ถ ไ
ใ
A.11.2.4 ใ
ข ถ ข ใ ๆ 6
A.11.1.1
ข ถ
A.11.3.1
ใ
ใ ถ
ไ
100%
,
ข ใ ,
67
ล ำดบ รหสรำยกำร
ตรวจสอบประเดนควำมเสยง กอน ตวควบคม แผนลดควำมเสยง Risk Response RTP Status Completed ผรบผดชอบ ผลลพท
32 SW-001 Linux, Window
ถ ฟ
ฎ ข ซ ฟ
ใ
ซ ฟ ข
A.15.1.1
ข ใ ฏ
ฎ
ข ข
ใ
ฏ
A.15.1.2
ถ
ไ ใ
100%
33 SW-001 Linux, Window
ถ ข ถ ไ ไ
ไ ไ Logout
ไ
ไ ไ Lock ไ
- A.8.2.2, ,
ใ
A.11.5.6
session timeout
session ไ
100%
34 SW-002 Web Program,
Mail Program
ซ ฟ
ไ
Hacker
A.10.4.1
Antivirus update
patch ข
A.10.1.1
ข
ฏ
A.10.1.2
ไข
100%
68
ล ำดบ รหสรำยกำร
ตรวจสอบประเดนควำมเสยง กอน ตวควบคม แผนลดควำมเสยง Risk Response RTP Status Completed ผรบผดชอบ ผลลพท
35 SW-002Web Program,
Mail Program
ข ถ ไข
ข
ไ ไ ไ
ใ
ไ ไ
Logout
ไ
ไ ไ Lock
ไ
- A.8.2.2
ใ
A.11.5.6
session timeout
session ไ
100%
36 SW-003
CRM, Ticket
Management
ข ถ ไ ไ
ใ ข ถ ไ
- A.11.3.1
ใ
ใ ถ
ไ
A.8.2.2
ใ
100%
ข ใ
37 SW-003
CRM, Ticket
Management
ข ถ ไ ไ
ข ไ
ใ
ไ ไ
Logout
ไ
ไ ไ Lock ไ
- A.8.2.2
ใ
A.11.5.6
session timeout
session ไ
100%
69
ล ำดบ รหสรำยกำร
ตรวจสอบประเดนควำมเสยง กอน ตวควบคม แผนลดควำมเสยง Risk Response RTP Status Completed ผรบผดชอบ ผลลพท
38 HW-012 UPS
ไ
ไฟ ใ
- A.9.2.4
ข UPS
100%
39 HW-012 UPS
ไ ถ
ไฟไ ไฟ
ใ
ถ ไ
ถ ใ
ไ
100%
40 SE-001 ใ
Internet
ไ ถใ
ใ
ไ ข
ใ
10.2.2 ใ
ใ
ไ ใ
25%
แผนกบคคลและธรการ ฝายธรการก าลงหา
ขอมลจากผใหบรการ
จากผใหบรการรายอนๆ
41 SE-002
ข ใ Data
Center ถ
ข
ข
ใ ข
ใ ไ
ใ Data
Center
100%
แผนกบคคลและ
ธรการ,แผนกเทคนค
ความปลอดภย
สารสนเทศ
มเจาหนาทคอยก ากบ
ดแลการท างานในหอง
Data Center ดวย
70
ล ำดบ รหสรำยกำร
ตรวจสอบประเดนควำมเสยง กอน ตวควบคม แผนลดควำมเสยง Risk Response RTP Status Completed ผรบผดชอบ ผลลพท
42 SE-002
ข ใ Data
Center ถ ข
ข
ฏ ข
ใ ข
ใ
ใ Data
Center
100%
มเจาหนาทคอยก ากบ
ดแลการท างานในหอง
Data Center ดวย
43 SE-002
ข ใ Data
Center
ฏ ข
ใ ข
ใ
100%
แผนกเทคนคความ
ปลอดภยสารสนเทศ
มเจาหนาทคอยก ากบ
ดแลการท างานในหอง
Data Center ดวย
44 SE-002
ถ ข
ข
ถ ข ใ
ไฟฟ ข ข
A.10.1.1, A.10.1.2
ใ ข
ใ
100%
แผนกบคคลและธรการ เอกสารประเมนการ
ใหบรการของฝาย
อาคารสถานทของตก
เชา
71
4.2 ผลกำรประเมนควำมเสยงหลงด ำเนนโครงกำร ตำรำงท 4.4 ตารางแสดงผลการประเมนความเสยงหลงด าเนนโครงงาน
1. ฮำรดแวร (Hardware)
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม F O R ผล
1
อปกรณเชอมตอเครอขาย(Router และSwitch)
อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารงตามก าหนดระยะเวลาการซอมบ ารง
สง สง ต า สง ต า
(กลาง) กลาง (สง)
A.9.2.4 มการก าหนดระยะเวลาในการตรวจสอบและบ ารงรกษาอปกรณระบบเครอขายและมการมอบหมายใหฝายความมนคงสารสนเทศเปนผรบผดชอบในการตรวจสอบ
2
ถกเขาถงอปกรณโดยไมไดรบอนญาต
สง สง ต า สง ต า กลาง
A.9.1.2 มการควบคมการเขาออกหองศนยขอมล และแยกพนทการตดตอของบคคลภายนอก A.9.1.4 มการแยกประเภทใหหอง Data Center เปนพนททมความส าคญ
3
ระบบไมสามารถใหบรการไดเนองจากอปกรณไมมประสทธ- ภาพเพยงพอตอการใชงาน
ต า ต า ต า ต า ต า ต า
A.10.3.1 มการตรวจสอบทรพยากรระบบรายงานไปยงผบรหารทกเดอน
72
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม F O R ผล
4
อปกรณเสยหายเนองจากไฟกระชาก
กลาง กลาง กลาง กลาง ต า
(กลาง) กลาง
A.9.2.1 มการเชอมตออปกรณเขากบ UPS เพอปองกนความไมแนนอนของกระแสไฟฟา
5
อปกรณเสยหายเนองจากกระแสไฟฟาชอตจากระบบระบายน าแอร ต า ต า ต า ต า ต า ต า
มการตรวจสอบเปนประจ าทกวนท าการและมการตดตงอปกรณถายโอนน าเพอท าน าออกไปทงดานนอกหองศนยขอมล โดยจะถายโอนเมอระดบน าถง ¼ ของอปกรณรบน า
6 ไมสามารถใหบรการไดเนองจากไฟดบ
ต า ต า ต า ต า ต า ต า A.9.2.2 ม UPS แลว สามารถรองรบการใชงานไดประมาณ 20 นาท
7 Firewall
ถกเขาถงอปกรณโดยไมไดรบอนญาต
ต า กลาง ต า กลาง ต า กลาง
A.9.1.1,A.9.1.2 A.9.1.5,A.9.1.6 มการควบคมการเขาออกหองศนยขอมล ก าหนดวธปฏบตงานในหองศนยขอมลและแยกพนทการตดตอของบคคลภายนอก
8
ไมสามารถใหบรการไดเนองจากไฟดบ ต า ต า ต า ต า กลาง ต า
A.9.2.2 ม UPS แลว สามารถรองรบการใชงานไดประมาณ 20 นาท
73
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม F O R ผล
9
อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารงตามก าหนดระยะเวลาการซอมบ ารง
สง กลาง ต า สง ต า กลาง A.9.2.4 เปลยนระบบมาตดตงบน VMware Server ซงเปนอปกรณใหมและมการก าหนดระยะเวลาบ ารงรกษาอปกรณ
10 Mail Server
อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารงตามก าหนดระยะเวลาการซอมบ ารง
กลาง กลาง ต า กลาง ต า
(กลาง) กลาง
เปลยนระบบมาตดตงบน VMware Server และมการส ารองขอมลเพอยายไปไวเครองใหมไดทนท และมการจดท าแผนการกคนระบบแลว
11
อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบ
ต า ต า ต า ต า ต า ต า A.9.2.2 ม UPS แลว สามารถรองรบการใชงานไดประมาณ 20 นาท
12
ถกเขาถงโดยไมไดรบอนญาต
ต า กลาง ต า กลาง ต า กลาง
A.9.1.2 มการควบคมการเขาออกและแยกพนทการตดตอของบคคลภายนอก A.9.1.4 มการแยกประเภทพนทส าคญเพอปองกนภยคกคามจากภายนอก
74
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม F O R ผล
13
ทรพยากรระบบมไมเพยงพอ ต า ต า ต า ต า ต า ต า
A.10.3.1 มการตรวจสอบทรพยากรระบบรายงานไปยงผบรหารทกเดอน
14 Web Server
อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง กลาง ต า ต า กลาง
ต า (กลาง)
กลาง A.9.2.4 เปลยนระบบมาตดตงบน VMware Server ซงเปนอปกรณใหมและมการก าหนดระยะเวลาบ ารงรกษาอปกรณ
15
อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบ
ต า ต า ต า ต า ต า ต า A.9.2.2 ม UPS ทสามารถรองรบการใชงานไดประมาณ 20 นาท
16
ถกเขาถงโดยไมไดรบอนญาต ต า ต า ต า ต า ต า ต า
A.9.1.2 มการควบคมการเขาออกและแยกพนทการตดตอของบคคลภายนอก
17
ทรพยากรระบบมไมเพยงพอ ต า ต า ต า ต า ต า ต า
A.10.3.1 มการตรวจสอบทรพยากรระบบรายงานไปยงผบรหารทกเดอน
75
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม F O R ผล
18 CRM Server
อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารงตามก าหนดระยะเวลาการซอมบ ารง
กลาง ต า ต า กลาง ต า
(กลาง) กลาง
A.9.2.4 เปลยนระบบมาตดตงบน VMware Server ซงเปนอปกรณใหมและมการก าหนดระยะเวลาบ ารงรกษาอปกรณ
19
อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบ
ต า ต า ต า ต า ต า ต า A.9.2.2 ม UPS แลว สามารถรองรบการใชงานไดประมาณ 20 นาท
20
ถกเขาถงโดยไมไดรบอนญาต ต า ต า ต า ต า ต า ต า
A.9.1.2 มการควบคมการเขาออกและแยกพนทการตดตอของบคคลภายนอก
21
ทรพยากรระบบมไมเพยงพอ ต า ต า ต า ต า ต า ต า
A.10.3.1 มการตรวจสอบทรพยากรระบบรายงานไปยงผบรหารทกเดอน
22
Ticket Management
อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารงตามก าหนดระยะเวลาการซอมบ ารง
กลาง ต า ต า กลาง ต า
(กลาง) กลาง
A.9.2.4 เปลยนระบบมาตดตงบน VMware Server ซงเปนอปกรณใหมและมการก าหนดระยะเวลาบ ารงรกษาอปกรณ
76
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม F O R ผล
23
อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบ
ต า ต า ต า ต า ต า ต า A.9.2.2 ม UPS แลว สามารถรองรบการใชงานไดประมาณ 20 นาท
24
ถกเขาถงโดยไมไดรบอนญาต ต า ต า ต า ต า ต า ต า
A.9.1.2 มการควบคมการเขาออกหองศนยขอมล และแยกพนทการตดตอของบคคลภายนอก
25
ทรพยากรระบบมไมเพยงพอ ต า ต า ต า ต า ต า ต า
A.10.3.1 มการตรวจสอบทรพยากรระบบรายงานไปยงผบรหารทกเดอน
26 CCTV System
อปกรณไมสามารถตรวจสอบผเขาถงหองศนยขอมลไดเนองจากอปกรณข ารดเสยหาย
กลาง ต า ต า กลาง ต า
(กลาง) กลาง
A.9.2.4 ควรมการก าหนดระยะเวลาบ ารงรกษาและเตรยมการเปลยนอปกรณเมอใกลครบอายการใชงาน
77
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม F O R ผล
27
อปกรณไมสามารถตรวจสอบผเขาถงหองศนยขอมลไดเนองจากการตดตงอปกรณไมครอบคลมพนท
สง ต า ต า สง ต า กลาง
A.9.2.1 ไมม CCTV ในหองแตม CCTVภายนอกหองทสามารถตรวจสอบบคคลทอยในหอง Data Center ไดชดเจนและมการควบคมการเขาถงดวย มการยายอปกรณระบบและอปกรณส ารองชนเลกๆออกไปเกบในพนททปลอดภยภายนอก data center
28 Fire Protection System
อปกรณไมท างานขณะเกดเพลงไหม สง สง กลาง สง ต า กลาง
มเจาหนาทของอาคารเชามาตรวจสอบอยางสม าเสมอและมการท าประกนอคคภยเพอถายโอนความเสยงแลว
29 Air Condition
อปกรณไมท างานหรอท างานผดพลาดท าใหอณหภมรอนจนระบบไมสามารถท างานไดตามปกต
ต า ต า ต า ต า ต า ต า
A.9.2.4 มระบบควบคมอณภมทงของอาคารและภายในต Rack ดวย มเจาหนาทตรวจสอบอณหภมอยอยางสม าเสมอ
78
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม F O R ผล
30 Humidity
อปกรณไมท างานหรอท างานผดพลาดท าใหเกดความชนมากท าใหอปกรณในหอง Data Center เสอมสภาพเรวกวาปกตหรออปกรณเสยได
ต า ต า ต า ต า ต า ต า
A.9.2.4 มการตรวจสอบอปกรณตรวจสอบความชนอยางสม าเสมอ
31 UPS
อปกรณไมท างานเมอเกดไฟกระชากท าใหอปกรณระบบเกดความเสยหาย
สง กลาง ต า สง ต า กลาง
A.9.2.4 มการก าหนดระยะเวลาตรวจสอบบ ารงรกษาอปกรณอยางสม าเสมอและหาก UPS เสยกสามารถเปลยนไดภายใน 1 ชวโมง
32
อปกรณไมสามารถส ารองไฟไดเพยงพอเมอเกดไฟดบ
ต า ต า ต า ต า ต า
(กลาง) ต า
(กลาง)
A.10.3.1 มกระบวนการในการประเมนความสามารถในการส ารองไฟของ UPS ทกครงทจะมการเพมอปกรณใหมเขามาใชงาน
79
2. ซอฟตแวร (Software)
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม F O R ผล
33
Operating System Software -Window -Linux
ซอฟตแวรท างานผดพลาดเนองจากโปรแกรมไมพงประสงคหรอ Hacker
ต า กลาง ต า กลาง ต า กลาง
A.10.4.1 มการตดตง Antivirus และupdate patch ทเกยวของกบความมนคงปลอดภยสารสนเทศ, A.10.1.1 ควรมการก าหนดขนตอนปฏบตงานอยางเปนลายลกษณอกษร A.10.1.2 ควรมการบนทกการแกไข เปลยนแปลง หรอปรบปรงระบบดวย
34
ถกเขาถงโดยไมไดรบอนญาตเนองจากการความบกพรองในกระบวนการควบคมการเขาถง เชน รหสผานสามารถคาดเดาไดโดยงาย หรอการใหสทธเกนความจ าเปน
ต า กลาง ต า กลาง ต า กลาง
A.11.2.4 มกระบวนการในการทบทวนสทธ การเขาถงของผใชงานทกๆ 6 เดอน หรอ ทกครงทมการเปลยนแปลง เชน การเลอนต าแหนง ยายแผนก หรอสนสดการจางงานและจะมการทบทวนสทธทกๆ 1 ป หรอเมอพนกงานยายแผนกหรอลาออก A.11.3.1 มการก าหนดนโยบายในการตงรหสผานใหสามารถคาดเดาไดยาก
80
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม F O R ผล
35
การถกฟองรองตามกฎหมายลขสทธซอฟตแวรเนองจากพนกงานใชซอฟตแวรละเมดลขสทธ
กลาง (สง)
ต า กลาง (สง)
กลาง (สง)
ต า กลาง
A.15.1.1,8.2.2 มการก าหนดหนาทความรบผดชอบของบคลากรใหปฏบตตามกฎหมาย ระเบยบ ขอบงคบ หรอขอก าหนดในสญญาทองคกรตองปฏบตตามและสรางความตระหนกและใชงานเฉพาะลขสทธทดลองใช (Demo License เทานน)
36
ถกเขาถงโดยไมไดรบอนญาตเนองจากผดแลระบบไมไดท าการ Logout ออกจากระบบเมอไมอยหนาจอคอมพวเตอรและไมได Lock หนาจอไว
สง ต า กลาง สง ต า กลาง
A.8.2.2, A.8.2.3, A.11.5.6 มการตง Session Timeout ใหกบระบบ รวมไปถงการสรางความตระหนกและใหความรแกพนกงานและมการตรวจสอบอยางสม าเสมอ สามารถตรวจสอบผไมหวงดนนดวย CCTV ได
37
Package software - Web Program - Mail Program
ซอฟตแวรท างานผดพลาดเนองจากโปรแกรมไมพงประสงคหรอ Hacker
ต า กลาง สง สง ต า กลาง
A.10.4.1, A.10.4.2 มการปดชองโหว และupdate patch ทเกยวของกบความมนคงปลอดภยสารสนเทศและ disable การ run mobile code ทไมไดรบอนญาตแลว และมการตดตงระบบปองกน Spam และ IPS
81
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม F O R ผล
38
ซอฟตแวรท างานผด พลาดเนองจากผใชงาน หรอ Webmaster ขาดความรความเขาใจในการใชงานซอฟตแวร
ต า ต า ต า ต า ต า ต า
ส าหรบ Mail Server จะปฏบตงานโดยผทช านาญการและมการตรวจสอบอยเสมอ
39
การเขาถงและแกไขเปลยนแปลงขอมลโดยไมไดรบอนญาตโดยผไมหวงดภายในองคกรเนองจากผดแลระบบไมไดท าการ Logout ออกจากระบบเมอไมอยหนาจอคอมพวเตอรและไมได Lock หนาจอไว
ต า ต า
(กลาง) ต า
ต า (กลาง)
ต า ต า
(กลาง)
A.8.2.2, A.8.2.3, A.11.5.6 มการตง Session Timeout ใหกบระบบ รวมไปถงการสรางความตระหนกและใหความรแกพนกงานและมการตรวจสอบอยางสม าเสมอ สามารถตรวจสอบผไมหวงดนนดวย CCTV ได
82
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม F O R ผล
40
Business Application - CRM - Ticket Management
ซอฟตแวรท างานผดพลาดเนองจากโปรแกรมไมพงประสงคหรอ Hacker ต า ต า ต า ต า ต า ต า
A.10.4.1, A.10.4.2 มการปดชองโหว และupdate patch ทเกยวของกบความมนคงปลอดภยสารสนเทศ
41
การเขาถงโดยไมไดรบอนญาตเนองจากการตงรหสผานในการเขาถงไมปลอดภย
ต า (สง)
ต า ต า
(กลาง) ต า (สง)
ต า ต า
(กลาง)
A.11.3.1 มนโยบายในการตงรหสผานของระบบใหสามารถคาดเดาไดยาก A.8.2.2 สรางความตระหนกและใหความรแกพนกงาน
42
การเขาถงโดยไมไดรบอนญาตของผไมหวงดภายในองคกรเนองจากผดแลระบบไมไดท าการ Logout ออกจากระบบเมอไมอยหนาจอคอมพวเตอรและไมได Lock หนาจอไว
ต า (สง)
ต า ต า
(กลาง) ต า (สง)
ต า ต า
(กลาง)
A.8.2.2, A.8.2.3, A.11.5.6 มการตง Session Timeout ใหกบระบบ รวมไปถงการสรางความตระหนกและใหความรแกพนกงานและมการตรวจสอบอยางสม าเสมอ สามารถตรวจสอบผไมหวงดนนดวย CCTV ได
83
3. สำรสนเทศ (Information)
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม F O R ผล
43 ขอมล Email
การเขาถงโดยไมไดรบอนญาตเนองจากการตงรหสผานทสามารถคาดเดาไดโดยงาย
ต า (สง)
ต า ต า
(กลาง) ต า (สง)
ต า (กลาง)
ต า (สง)
A.11.3.1 มนโยบายในการตงรหสผานของระบบใหสามารถคาดเดาไดยาก A.8.2.2 มการสรางความตระหนกใหแกพนกงาน A.10.8.1 นโยบายในการรบสงขอมลอเลกทรอนกสโดยการเขารหสขอมล Email อกชนหนง
44
การเขาถงหรอถกน าไปเปดเผยโดยไมไดรบอนญาตเนองจากความผดพลาดในการสงขอมลทาง Email ของพนกงาน
กลาง (สง)
ต า กลาง กลาง(สง)
กลาง กลาง (สง)
มแนวทางปฏบตในการตงเงอนไขการสงขอมล Email ออกไปภายนอกองคกรดวยโปรแกรมเขสรหส PGP เพอลดความเสยงในการสง Email ไปยงผรบผดคน และการปดการใชงาน Auto Complete บนโปรแกรม Email Client แลว
45
ขอมลสญหายหรอเสยหายเนองจากขาดการส ารองขอมล
ต า ต า ต า ต า ต า ต า มการเกบขอมล Email ไวทงบน Mail Server และเครองของผใชงานเอง และมการ Backup Mail Server ไวอยางสม าเสมอ
84
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม F O R ผล
46 ขอมลทวไปของบรษท
การเขาถงโดยไมไดรบอนญาตเนองจากการตงรหสผานทสามารถคาดเดาไดโดยงาย
ต า ต า ต า ต า ต า ต า มการก าหนดนโยบายในการตงรหสผานและสรางความตระหนกแกพนกงาน
47 ขอมลสญหายหรอเสยหายเนองจากขาดการส ารองขอมล
ต า ต า ต า ต า ต า ต า มการส ารองขอมลทกครงทมการแกไขเปลยนแปลงขอมล และมการแกไขเปลยนแปลงขอมลนอยครง
48 ขอมลถกแกไขเปลยนแปลงไมสามารถเชอถอได
ต า ต า ต า ต า ต า ต า เปนขอมลสาธารณะและมแรงจงใจทจะเกดภยคกคามต า
49
ขอมลระบบทส าคญของลกคา
การเขาถงโดยไมไดรบอนญาตเนองจากการตงรหสผานทสามารถคาดเดาไดโดยงาย
ต า ต า ต า
(กลาง) ต า
(กลาง) ต า
ต า (กลาง)
A.8.2.2 มการสรางความตระหนกเพอใหพนกงานมความระมดระวง A.11.3.1 มนโยบายในการตงรหสผานใหสามารถคาดเดาไดยาก
50
การเขาถงหรอถกน าไปเปดเผยโดยไมไดรบอนญาตเนองจากความประมาทเลนเลออยางรายแรงของพนกงาน
ต า ต า ต า
(กลาง) ต า
(กลาง) ต า
(กลาง) ต า
(กลาง)
A.12.3.1 มระเบยบขอบงคบใหพนกงานทกคนท าการเขารหสขอมลทใชในการท างานทงหมดใน Harddisk ดวยการใช PGP Whole Disk Encryption และมการสมตรวจสอบอยางสม าเสมอ
85
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม F O R ผล
51
ขอมลสญหายหรอเสยหายเนองจากขาดการส ารองขอมล
ต า ต า
(กลาง) ต า
ต า (กลาง)
ต า(กลาง)
ต า (กลาง)
A.10.5.1 มการก าหนดมาตรการในการส ารองขอมลโดยจดใหม File Server ททกคนสามารถท าการส ารองขอมลไวและมการเขารหสขอมลไวดวย
52
ขอมลถกแกไขเปลยนแปลงไมสามารถเชอถอได
ต า ต า
(กลาง) ต า
(กลาง) ต า
(กลาง) ต า
ต า (กลาง)
A.12.3.1 มนโยบายเกยวกบการเขารหสขอมลทง Hard disk (Whole Disk encryption) และการเขารหสขอมล Email A.12.3.1 มการน า Digital Signature มาประยกตใชเพอใหสามารถตรวจสอบความถกตองของขอมลและตรวจสอบผสง Email ได
53
ขอมลทวไปของลกคา
การเขาถงโดยไมไดรบอนญาตเนองจากการตงรหสผานทสามารถคาดเดาไดโดยงาย
ต า ต า ต า ต า ต า ต า เปนขอมลสาธารณะอยแลว ไมมแรงจงใจทจะท าใหเกดภยคกคามทมผลกระทบตอองคกร
54
ขอมลสญหายหรอเสยหายเนองจากขาดการส ารองขอมล
ต า ต า ต า ต า ต า ต า ยงไมเคยเกดเหตกรณขอมลสญหายหรอเสยหายอนเปนภยคกคามทมผลกระทบตอองคกร
86
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม F O R ผล
55
ขอมลถกแกไขเปลยนแปลงไมสามารถเชอถอได ต า ต า ต า ต า ต า ต า
เปนขอมลสาธารณะอยแลว ไมมแรงจงใจทจะท าใหเกดภยคกคามทมผลกระทบตอองคกร
56
ถกน าไปเปดเผยโดยไมไดรบอนญาต ต า ต า ต า ต า ต า ต า
เปนขอมลสาธารณะอยแลว ไมมแรงจงใจทจะท าใหเกดภยคกคามทมผลกระทบตอองคกร
57
ขอมลการใหบรการของบรษทแกลกคา
การเขาถงโดยไมไดรบอนญาตเนองจากการตงรหสผานทสามารถคาดเดาไดโดยงาย
ต า ต า ต า
(กลาง) ต า
(กลาง) ต า
ต า (กลาง)
A.8.2.2 มการสรางความตระหนกเพอใหพนกงานมความระมดระวง A.11.3.1 มการนโยบายในการตงรหสผานใหสามารถคาดเดาไดยาก
58
ขอมลสญหายหรอเสยหายเนองจากขาดการส ารองขอมล
ต า ต า
(กลาง) ต า
ต า (กลาง)
ต า (กลาง)
ต า (กลาง)
A.10.5.1 มมาตรการในการส ารองขอมลส าคญของลกคาเพอใหสามารถน ามา ใชงานไดอยางตอเนอง (มการใชงาน E-Service Report ซงเขารหสตอนสง Email)
87
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม F O R ผล
59
ขอมลถกแกไขเปลยนแปลงไมสามารถเชอถอได
ต า ต า
(กลาง) ต า
ต า (กลาง)
ต า (กลาง)
ต า (กลาง)
A.12.3.1 มนโยบายเกยวกบการเขารหสขอมลทง Hard disk (Whole Disk encryption) และการเขารหสขอมล Email A.12.3.1 มการน า Digital Signature มาประยกตใชเพอใหสามารถตรวจสอบความถกตองของขอมลและตรวจสอบผสง Email ได
60
ถกน าไปเปดเผยโดยไมไดรบอนญาต
ต า ต า กลาง กลาง ต า กลาง
A.6.1.5 มการท าขอตกลงไมเปดเผยความลบ A.8.2.2 มการสรางความตระหนกเพอใหพนกงานมความระมดระวง
88
4. พนกงำน (People)
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม F O R ผล
61 หวหนาแผนก
เปาหมายขององคกรไมบรรลผลเนองจากหวหนาแผนกไมสามารถบรหารจดการตามหนาททไดรบมอบหมายได
สง กลาง (สง)
กลาง สง ต า กลาง
A.8.2.3 มการก าหนดเงอนไขการจางงานโดยระบสทธและหนาทความรบผดชอบในสวนงานนน A.8.2.1 การประเมนประสทธภาพการท างานของหวหนาแผนกเทยบกบขอบเขตลกษณะงานทไดรบมอบหมายอยางนอยปละ 1 ครง
62
การด าเนนงานชาหรอหยดชะงกเนองจากหวหนาแผนกไมสามารถเขาปฏบตงานได
ต า ต า ต า ต า ต า ต า มการแจงทมงานในแผนกทงหมดทราบอยางเปนลายลกษณอกษรวาไดมอบหมายงานใหผใดเปนผปฏบตงานแทน
63
ผใชงาน
มพฤตกรรมการใชงานระบบในทางทเสยงเนองจากพนกงานขาดความร ความตระหนก
กลาง ต า
(กลาง) ต า กลาง ต า กลาง
A.8.2.2 มการแจงเตอนเปนครงคราวเมอพบการใชงานระบบในทางทเสยงเพอสรางความตระหนกและใหความรแกพนกงานและมการแจงแนวทางปฏบตในการปองกนความปลอดภยตามสถานการณนนๆ
89
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม F O R ผล
64
การละเมดนโยบายความมนคงปลอดภยเพราะขาดการตรวจสอบและลงโทษ
กลาง กลาง ต า กลาง ต า กลาง
A.8.2.3 มการก าหนดกระบวนการทางวนยและมการสมตรวจสอบการปฏบตตามนโยบายดานความมนคงปลอดภยสารสนเทศเพอลงโทษผทละเมดนโยบายความมนคงปลอดภยสารสนเทศ
65
ผดแลระบบ
ระบบสารสนเทศทใหบรการไมมความมนคงปลอดภยเนองจากผดแลระบบไมสามารถปฏบตงานไดอยางมประสทธภาพ
กลาง กลาง ต า กลาง ต า กลาง
A.8.2.3 มการก าหนดเงอนไขการจางงานโดยระบสทธและหนาทความรบผดชอบในสวนงานนน A.8.2.1 การประเมนประสทธภาพการท างานของหวหนาแผนกเทยบกบขอบเขตลกษณะงานทไดรบมอบหมายปละ 1 ครง
66
การละเมดนโยบายความมนคงปลอดภยสารสนเทศ
กลาง ต า
(กลาง) ต า กลาง ต า กลาง
A.8.2.3 มการก าหนดกระบวนการทางวนยและมการสมตรวจสอบการปฏบตตามนโยบายดานความมนคงปลอดภยสารสนเทศเพอลงโทษผทละเมดนโยบายความมนคงปลอดภยสารสนเทศ
90
5. บรกำร (Services)
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม F O R ผล
67 ผใหบรการ Internet
องคกรไมสามารถใชงานอนเตอรเนตในการท าธรกจได เพราะขอผด พลาดทางเทคนคจากผใหบรการอนเตอรเนต
กลาง ต า ต า กลาง ต า
(กลาง) กลาง
A.10.2.1 มการก าหนดมาตรการดานการให บรการของหนวยงานภายนอก และมการท าเอกสารขอตกลงการบรการ 10.2.2 ก าหนดใหมการเฝาระวงและตรวจสอบระดบการใหบรการทไดรบจากผใหบรการ
68
พนกงานท าความสะอาด
ขอมลอปกรณในหอง Data Center ถกเปดเผย เนองจากขาดการตรวจสอบคณสมบตของพนกงานท าความสะอาด
ต า ต า กลาง กลาง ต า
(กลาง) กลาง
A.10.1.1, A.10.1.2 ก าหนดมาตรการดานการใหบรการของหนวยงานภายนอก และมการประเมนการใหบรการนน และมการบนทกภาพผาน CCTV กอนเขาท างาน ตรวจสอบประวตพนกงานท าความสะอาดอยางละเอยดกอนอนญาตใหเขามาท างานในหนาทนได และตองมเจาหนาทคอยก ากบดแลการท างานในหอง Data Center
91
ล ำดบ รำยกำรตรวจสอบ
ควำมเสยง ผลกระทบ
โอกำส ควำมเสยง
ตวควบคม F O R ผล
69
สงของถกขโมย เนองจากขาดการควบคมดแลการปฏบตงานของพนกงานท าความสะอาด
ต า (กลาง)
ต า ต า ต า
(กลาง) ต า
ต า (กลาง)
มมาตรการดานการใหบรการของหนวยงานภายนอก โดยใหมเจาหนาทคอยก ากบดแลการท างานในหอง Data Center ดวย
70
สงของภายในหอง Data Center เสยหายหรอบบสลายเนองจากการปฏบตงานของพนกงานท าความสะอาด
ต า (กลาง)
ต า ต า ต า
(กลาง) ต า
ต า (กลาง)
A.9.1.1, A.10.1.1,A.10.1.2, A.11.3.2, A.11.3.3 มการตดตงกลองวงจรปดทสามารถเหนผเขาและออกไดชดเจน มการก าหนดมาตรการดานการใหบรการของหนวยงานภายนอก และมการประเมนการใหบรการอยางสม าเสมอ มเจาหนาทคอยก ากบดแลการท างานในหอง Data Center
71 ฝายอาคารสถานทของตกเชา
การด าเนนธรกจหยดชะงกเนองจากขอผดพลาดทางเทคนคจากฝายอาคารสถานทของตกเชาท าใหระบบไฟฟาขดของ
กลาง กลาง ต า กลาง ต า
(กลาง) กลาง
A.10.1.1, A.10.1.2 ก าหนดมาตรการดานการใหบรการของหนวยงานภายนอก และมการประเมนการใหบรการ มการจดท าเอกสาร Service Level Agreement เพอใหไดรบการบรการทรวดเรวมากขน หรอใชบรการจากผใหบรการจากหลายท
92
ตำรำงท 4.5 ตารางสรปจ านวนความเสยงหลงด าเนนโครงงาน ระดบควำมเสยง สง กลำง ต ำ รวม
จ ำนวน 0 28 43 71
93
บทท 5 สรปผลกำรด ำเนนโครงงำน
ในการด าเนนการโครงงาน ทางทมงานของบรษทบกฟชเอนเตอรไพรส จ ากด ไดใหความรวมมอเปนอยางด และไดด าเนนการส าเรจเปนตามทไดตงเปาหมายไว หลงจากทไดประเมนความเสยงในครงแรกกท าใหพบจดออนจดบกพรองคอนขางมาก ซงทางผจดท าไดรวมกบคณะท างานของบรษท บกฟช เอนเตอรไพรส จ ากด น าเสนอปญหาและรายการควบคมตามมาตรฐาน ISO27001 ทเกยวของมาปรบใชเพอลดความเสยง อนประกอบดวยรายการควบคมดงตอไปน
A.6 โครงสรางทางดานความมนคงปลอดภยส าหรบองคกร (Organization of information security) A.7 การบรหารจดการทรพยสนขององคกร (ASSET MANAGEMENT) A.8 ความมนคงปลอดภยเกยวกบบคลากร (Human Resource Security) A.9 การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม (Physical And Environmental Security) A.10 การบรหารจดการดานการสอสารและการด าเนนงานของเครอขายสารสนเทศขององคกร (Communication an Operations Management) A.11 การควบคมการเขาถง (Access Control) A.12 การจดหา การพฒนา และการบ ารงรกษาระบบสารสนเทศ (Information systems acquisition, development and maintenance) A.14 กระบวนการในการสรางความตอเนองใหกบธรกจ (Business Continuity Management) A.15 การปฏบตตามขอก าหนด (Compliance)
เมอไดเสนอรายการควบคมทจะสามารถชวยลดความเสยงทพบนนไปยงคณะผบรหารแลว คณะผบรหารกไดมค าสงอนมตและใหด าเนนการได ส าหรบรายการทไดจดท าไปนนทางผจดท าไดอธบายไวในบทท 4 แลว โดยหลงการด าเนนการโครงการตามแผนงานดงกลาวท าใหความเสยงในระดบสงและระดบกลางลดลงไดผลตามเปาหมายทวางไวดงตารางดานลางน ตำรำงท 5.1 ตารางสรปจ านวนความเสยงกอนและหลงด าเนนโครงงาน
กำรประเมนควำมเสยง สง กลำง ต ำ รวม กอน 3 39 29 71 หลง 0 28 43 71
94
เมอพจารณาในรายละเอยด จะพบวาหากขาดองคประกอบของความเสยงอนไดแก ทรพยสน จดออนจดบกพรอง และภยคกคาม เพยงอยางใดอยางหนงจะท าใหความเสยงนนหายไป ซงจะเหนไดจากการด าเนนการลดความเสยงในบทท 4 ทสามารถลดระดบของผลกระทบ หรอลดจ านวนโอกาสทจะเกดภยคกคามไดดงตอไปน
รปท 5.1 แผนภาพสรปจ านวนความเสยงในแตละระดบ
ระหวางการด าเนนการลดความเสยงตลอดโครงการไดมการจดท าและปรบปรงเอกสารนโยบายและระเบยบวธปฏบตตางๆหลายรายการเพอใหมการบงคบใชในการลดความเสยงดานความปลอดภยสารสนเทศ ยกตวอยางเชน เอกสารดงตอไปน
1. เอกสารนโยบายความมนคงปลอดภยสารสนเทศ 2. เอกสารนโยบายการบ ารงรกษาอปกรณ 3. เอกสารมาตรฐานการตงรหสผานผใชงานระบบจดหมายอเลกทรอนกส 4. เอกสารมาตรฐานการควบคมการใชงานจดหมายอเลกทรอนกส 5. บนทกการอบรมเพอสรางความตระหนกใหกบพนกงาน 6. เอกสารมาตรฐานการปองกนภยคกคามจากภายนอก 7. เอกสารนโยบายการตงรหสผานของผใชงานระบบเทคโนโลยสารสนเทศ 8. เอกสารมาตรฐานการเขารหสขอมลทมความส าคญ 9. เอกสารขอตกลงไมเปดเผยความลบทพนกงานจะตองลงลายมอชอรบทราบ 10. เอกสารขนตอนการตดตง AntiVirus และ Security Patch ของระบบปฏบตการ
อยางไรกตาม แมผลการประเมนความเสยงจะพบวาความเสยงไดลดนอยลง เมอมองไป
ถงตวควบคมทไดเลอกใช บางรายการยงไมสามารถทจะลดความเสยงทมอยไดอยางชดเจน แตกสามารถลดผลกระทบ หรอโอกาสทจะเกดภยคกคามไดตามรายละเอยดในตารางท 4.4 ตาราง
95
แสดงผลการประเมนความเสยงหลงด าเนนโครงงาน ซงสามารถสรปขอมลผลการด าเนนการในแตละสวนเปนแผนภมรปภาพไดดงตอไปน
ดานฮารดแวร (Hardware)
รปท 5.2 แผนภาพสรปจ านวนความเสยงในสวนของฮารดแวร
ดานซอฟตแวร (Software)
รปท 5.3 แผนภาพสรปจ านวนความเสยงในสวนของซอฟตแวร
96
ดานสารสนเทศ (Information)
รปท 5.4 แผนภาพสรปจ านวนความเสยงในสวนของสารสนเทศ
ดานพนกงาน (People)
รปท 5.5 แผนภาพสรปจ านวนความเสยงในสวนของพนกงาน
97
ดานบรการ (Service)
รปท 5.6 แผนภาพสรปจ านวนความเสยงในสวนของบรการ องคกรยงมความมงมนทจะขยายขอบเขตในการบรหารจดการความมนคงปลอดภย
สารสนเทศใหเพมมากขนเทาทจะสามารถท าไดเพอใหครอบคลมทงองคกร ดงนน การด าเนนโครงงานนท าใหองคกรไดเรมตนในการตรวจสอบและบรหารจดการดานความมนคงปลอดภยไปแลวหลายสวน และผลงาน เอกสาร วธการด าเนนการใดๆทไดจากการด าเนนการโครงการในครงนกสามารถน าไปใชประโยชนในการพฒนาดานการด าเนนงานดานการบรหารจดการความมนคงปลอดภยสารสนเทศตอไปไดอกดวย
98
เอกสำรอำงอง
[1] ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต, มาตรฐานการรกษาความมนคง ปลอดภย ในการประกอบธรกรรมทางอเลกทรอนกส (เวอรชน 2.5) , 2550 [2] International Standard ISO/IEC 27001, Information technology - Security techniques – Information security management systems – Requirements, 2548 [3] International Standard ISO/IEC 17799/27002, Information technology - Security techniques – Code of practice information security management, 2548 [4] International Standard ISO/IEC 27005 International Standard, Information technology - Security techniques – Information security risk management, 2551 [5] สภาวด จวหะสชน. 2548. ระบบการบรหารจดการความปลอดภยของขอมล. For Quality, August [6] ISO27k ISMS implementation and Certification process Version 3 January 2009 [7] จตชย แพงจนทร, (2550). Master in Security. (อรรณพ ขนธกล, บรรณาธการ). หนา 31 – 35. นนทบร : ไอดซฯ. [8] ศนยประสานงานการรกษาความปลอดภยคอมพวเตอรประเทศไทย ภายใตศนยเทคโนโลย อเลกทรอนกสและคอมพวเตอรแหงชาต, รางแนวทางปฏบตส าหรบการรกษาความมนคงปลอดภยสารสนเทศ , 2552, http://www.thaicert.nectec.or.th/paper/basic/procedure_ISO17799-2005.pdf
99
ภำคผนวก
ภำคผนวก ก เอกสำรแสดงกำรประยกตใชงำน (Statement Of Applicability) A.5 นโยบำยดำนควำมมนคงปลอดภย หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.5.1.1 นโยบายดานความมนคงปลอดภยสารสนเทศ
สอดคลอง องคกรมนโยบายดานความมนคงปลอดภยสารสนเทศอยางเปนลายลกษณอกษร
เอกสารนโยบายดานความมนคงปลอดภยสารสนเทศและรายงานการประชมเพอจดท านโยบาย
A.5.1.2 การทบทวนนโยบายความมนคงปลอดภยสารสนเทศ
สอดคลอง มการก าหนดใหท าการทบทวนนโยบายดานความมนคงปลอดภยสารสนเทศทกๆ 1 ป
เอกสารนโยบายดานความมนคงปลอดภยสารสนเทศและรายงานการประชมเพอทบทวนนโยบาย
100
A.6 โครงสรำงทำงดำนควำมมนคงปลอดภยส ำหรบองคกร (Organization of information security) หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.6.1.1 การใหความส าคญของผบรหารและการก าหนดใหมการบรหารจดการดานความมนคงปลอดภย
สอดคลอง
องคกรมการแตงตงและก าหนดบทบาทหนาทของคณะท างานอยางชดเจนโดยผานการอนมตจากคณะกรรมการผบรหาร
หนงสอแตงตงคณะกรรมการความมนคงปลอดภยสารสนเทศ
A.6.1.2 การประสานงานความมนคงปลอดภยภายในองคกร
สอดคลอง
องคกรมการจดตงทมงานเพอบรหารจดการดานความมนคงปลอดภยสารสนเทศโดยเฉพาะ
หนงสอแตงตงคณะท างานดานความมนคงปลอดภยสารสนเทศ
A.6.1.3 การก าหนดหนาทความรบผดชอบทางดานความมนคงปลอดภย
สอดคลอง
องคกรมการก าหนดใหพนกงานทกคนรกษาขอมลอนเปนความลบรวมไปถงการดแลรกษาทรพยสนสารสนเทศทอยในครอบครองและการปฏบตงานตามขอบเขตการท างานตามทแจงไวตอนรบสมคร
นโยบายความมนคงปลอดภยสารสนเทศและสญญาไมเปดเผยความลบของขอมลตลอดระยะเวลาทเปนพนกงานขององคกร และรกษาสญญาตอเปนระยะเวลา 5 ปนบจากสนสดการเปนพนกงาน
101
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.6.1.4 กระบวนการอนมต การใชงานระบบเทคโนโลยสารสนเทศ
ไมสอดคลอง
มกระบวนการตรวจสอบและอนมตการใชงานอปกรณใหมในองคกรแตไมมเอกสารในการอนมตใหใชงานอยางเปนลายลกษณอกษร
เอกสารการขออนมตการใชงานระบบสารสนเทศใหม
ควรมการจดท าเอกสารการอนมตใชงานระบบสารสนเทศใหมเพอตรวจสอบวาระบบนนใชงานรวมกบระบบปจจบนไดหรอไม
A.6.1.5 ขอตกลงการไมเปดเผยความลบ สอดคลอง
มการชแจงขอตกลงไมเปดเผยความลบส าหรบพนกงานทเขาใหมและการใชบรการหนวยงานภายนอก
เอกสารขอตกลงไมเปดเผยความลบและการสอบถามจากคสญญา
A.6.1.6 การมรายชอและขอมลส าหรบการตดตอกบหนวยงานอน
สอดคลอง
มกระบวนการในการปฏบตแตยงขาดขนตอนปฏบตส าหรบการายงานเหตการณความปลอดภยไปยงหนวยงานภายนอกทชดเจน
ตรวจสอบเอกสารและสอบถามจากพนกงาน
ควรจดท าขนตอนปฏบตส าหรบการตดตอกบหนวยงานอนเมอเกดเหตการณความปลอดภย เชน สถานดบเพลง สถานต ารวจ หรอสถานพยาบาลวาตองตดตอใคร รายงานอยางไร
102
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.6.1.7 การมรายชอและขอมลส าหรบการตดตอกบกลมทมความสนใจเปนพเศษในบางเรอง
สอดคลอง
มการแลกเปลยนและรบขาวสารจากดานความมนคงปลอดภยอยางสม าเสมอ
ตรวจสอบ Email การแจงเตอนการอพเดท Patch ของอปกรณระบบและ Email ขาวสารเกยวกบภยคกคามทางเทคโนโลยสารสนเทศจาก ISACA, Antivirus Vender, Firewall Vender
ควรมการแจงเตอนพนกงานฝายอนๆทไมใช IT เพอใหเขาใจและชวยกนปองกนความเสยง
A.6.1.8 การทบทวนดานความมนคงปลอดภยสารสนเทศโดยผตรวจสอบอสระ
ไมสอดคลอง
มกระบวนการตรวจสอบภายในเปนครงคราวเพอท าการทบทวนตรวจสอบความมนคงปลอดภยภายในองคกร แตไมมการตรวจสอบจากผตรวจสอบจากภายนอก
ตรวจสอบจาก Version ของเอกสารสารและบนทกการแกไขเปลยนแปลงเอกสารนโยบายความมนคงปลอดภยสารสนเทศ
ควรจดใหมการประเมน จากหนวยงานภายนอก เพอใหไดค าแนะน าท หลากหลายมากขน
A.6.2.1 โครงสรางดานความมนคงปลอดภยทเกยวของกบลกคาหรอหนวยงานภายนอก
ไมสอดคลอง
องคกรยงไมมนโยบายใหมการตรวจสอบและประเมนความเสยงขององคกรโดยหนวยงานภายนอก
ตรวจสอบขอมลการประเมนความเสยงจากหนวยงานภายนอก
ควรจดใหมการประเมน จากหนวยงานภายนอก เพอใหไดค าแนะน าท หลากหลายมากขน
103
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.6.2.2
การระบขอก าหนดส าหรบลกคาหรอผใชบรการทเกยวของกบความมนคงปลอดภยส าหรบสารสนเทศขององคกร
สอดคลอง
มการจดท ารายชอลกคาทองคกรใหบรการและมการจดท าขอตกลงการใหบรการทถกตองครบถวน
รายชอลกคาทใหบรการเทยบกบขอตกลงการใหบรการทลกคาไดรบตรงกน
A.6.2.3
การระบและจดท าขอก าหนดส าหรบหนวยงานภายนอกทเกยวของกบความมนคงปลอดภยส าหรบสารสนเทศขององคกร
สอดคลอง มการจดท ารายชอผใหบรการภายนอกเชนผใหบรการอนเตอรเนต
เอกสารขอตกลงการใหบรการของหนวยงานผใหบรการภายนอก
104
A.7 กำรบรหำรจดกำรทรพยสนขององคกร (ASSET MANAGEMENT) หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.7.1.1 การจดแบงหมวดหมและจดท าบญชรายการทรพยสน
สอดคลอง มการจดท าบนทกรายการทรพยสนทกชนทซอมาใหม
เอกสารบญชรายการทรพยสน
A.7.1.2 การระบผเปนเจาของทรพยสน สอดคลอง มการระบชอแผนกผเปนเจาของทรพยสน
เอกสารบญชรายการทรพยสน
A.7.1.3 การใชงานทรพยสนทเหมาะสม ไมสอดคลอง ไมมเอกสารการควบคมการใชงานทรพยสน แตผใชงานจะไดรบค าแนะน าการใชงาน
สอบถามจากพนกงานผปฏบตงาน
เอกสารคมอการใชงานทรพยสนทถกตองใหพนกงานใหม
A.7.2.1 การจดท าแนวทางในการแบงล าดบชนของขอมล
สอดคลอง มการก าหนดมาตรการในการจดแบงล าดบชนของขอมลออกเปน 5 ระดบ
เอกสารแนวทางในการจดล าดบชนของขอมล
A.7.2.2 การจดท าปายชอบงชส าหรบทรพยสนสารสนเทศ
ไมสอดคลอง มการท าลายน าในเอกสารลบ แตไมไดมการจดท ามาตรการในการปฏบตทชดเจน
เอกสารขอมลทเปนความลบทมลายน าเขยนวา “Confidential”
ควรจดท าแนวทางในการแบงล าดบชนของขอมล
105
A.8 ควำมมนคงปลอดภยทเกยวของกบบคลำกร (HUMAN RESOURCES SECURITY) หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.8.1.1 การก าหนดหนาทความรบผดชอบทางดานความมนคงปลอดภย
สอดคลอง
มการก าหนดหนาทใหกบคณะท างานและพนกงานในดานความมนคงปลอดภยสารสนเทศอยางเปนลายลกษณอกษร
เอกสารรายงานการประชมดานความมนคงปลอดภยสารสนเทศ
A.8.1.2 การตรวจสอบคณสมบตของผสมคร
สอดคลอง
มการก าหนดคณสมบตของผสมครเขาท างานโดยตองมพนฐานและประสบการณทเหมาะสมกบงาน
ขอมลการรบสมครบคลากรเขาท างานในต าแหนงวศวกร
A.8.1.3 การก าหนดเงอนไขในการปฏบตงาน
สอดคลอง องคกรมขอปฏบตใหพนกงานปฏบตตาม
เอกสารขอปฏบตของพนกงาน
A8.2.1 หนาทในการบรหารจดการทางดานความมนคงปลอดภย
สอดคลอง
มการก าหนดหนาทความรบผดชอบดานความมนคงปลอดภยสารสนเทศใหกบพนกงานใหปฏบตตามอยางเครงครด
เอกสารขอตกลงในการปฏบตงาน
106
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A8.2.2 การสรางความตระหนก การใหความร และการอบรมดานความมนคงปลอดภยใหแกพนกงาน
สอดคลอง
มการชแจงมาตรการในการคมคมหรอปองกนความมนคงปลอดภยและสรางความตระหนกใหแกพนกงานอยางสม าเสมอ
เอกสารการมาตรฐานในการแลกเปลยนขอมลสารสนเทศและ Email แจงเตอนกรณพบเหตอนอาจเปนความเสยงดานความมนคงปลอดภยในการปฏบตงาน
A.8.2.3 กระบวนการทางวนยเพอลงโทษ สอดคลอง
มการตรวจสอบการละเมดความมนคงปลอดภยอยางสม าเสมอและมมาตรการตกเตอนและลงโทษทางวนย
เอกสารขอตกลงในการปฏบตงาน
A.8.3.1 การสนสดหรอการเปลยนการจางงาน
สอดคลอง
มกระบวนการในการแจงการสนสภาพความเปนพนกงานและการเนนย าผรบการวาจางถงขอตกลงตางๆ เชน ขอตกลงการไมเปดเผยความลบ
เอกสารแบบฟอรมการยายแผนกหรอลาออกของพนกงาน
A.8.3.2 การคนทรพยสนขององคกร สอดคลอง มการคนทรพยสนขององคกรเมอพนกงานยายแผนกหรอลาออก
เอกสารแบบฟอรมการยายแผนกหรอลาออกของพนกงาน และรายการการคนทรพยสน
107
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.8.3.3 การถอดถอนสทธในการเขาถง สอดคลอง
มการถอดถอนสทธหรอเปลยนแปลงสทธของพนกงานทลาออกหรอแผนกในระบบตางๆ
ตรวจสอบรายชอพนกงานทม อย เทยบกบรายชอและสทธของผใชงานระบบ
A.9 กำรสรำงควำมมนคงปลอดภยทำงกำยภำพและสงแวดลอม (PHYSICAL AND ENVIRONMENTAL SECURITY) หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A9.1.1 การจดท าบรเวณลอมรอบ สอดคลอง มการจดสภาพแวดลอมเพอปองกนบคคลภายนอกบกรกเขาสพนท
มการจดพนทส าหรบบคคลภายนอกทเขามาตดตองานโดยเฉพาะ
A9.1.2 การควบคมการเขา-ออก สอดคลอง มการควบคมการเขาออกดวยการแสกนลายนวมอ
เครองแสกนลายนวมอบรเวณประตทางเขาหองศนยขอมล
A9.1.3 การรกษาความมนคงปลอดภยส าหรบส านกงาน หองท างาน และทรพยสนอนๆ
สอดคลอง
มพนกงานฝายเทคโนโลยสารสนเทศเปนผคอยเฝาระวงการเขาถงหองศนยขอมล และมกลอง CCTV ด
กลอง CCTV ทมองเหนการเขาถงหองศนยขอมลไดอยางชดเจน
A9.1.4 การปองกนภยคกคามจากภายนอกและสงแวดลอม
สอดคลอง องคกรมมาตรการในการปองกนเหตเพลงไหม น าร วซม และสภาพอากาศ
มระบบควบคมอณหภมและอปกรณปองกนดบไฟกรณเกดเพลงไหม
108
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A9.1.5 การปฏบตงานในพนททตองรกษาความมนคงปลอดภย
สอดคลอง
มการควบคมดแลการปฏบตงานของผใหบรการโดยบคลากรขององคกรและกลอง CCTV
ภาพจากกลอง CCTV เทยบกบรายงานการใหบรการจากผใหบรการภายนอก
A.9.2.1 การจดวางและการปองกนอปกรณ สอดคลอง
มการจดวางอปกรณระบบทงหมดไวในหองศนยขอมล และไมสามารถมองเหนหนาจอไดงายจากภายนอก
การจดวางอปกรณและการมองเหนจากภายนอก และพนกงานมการสอดสองดแลหองศนยขอมลอยเสมอ
A.9.2.2 ระบบและอปกรณสนบสนนการท างาน
สอดคลอง มระบบควบคมอณหภม ระบบกรองกระแสไฟฟา และระบบกระแสไฟฟาส ารอง
ตรวจสอบการท างานของอปกรณและรายงานการซอมบ ารง
องคกรควรมการก าหนดระยะเวลาในการตรวจสอบและซอมบ ารงอปกรณ
A.9.2.3 การเดนสายไฟ สายสอสารและสายบลอนๆ
สอดคลอง องคกรมการแยกสายสอสารและสายไฟฟาออกจากกนเพอปองกนสญญาณรบกวน
ตรวจสอบการเดนสายภายในหองศนยขอมล
A.9.2.4 การบ ารงรกษาอปกรณ ไมสอดคลอง ขาดการตรวจสอบและบ ารงรกษาอปกรณ
ตรวจสอบรายงานการซอมบ ารงไมพบขอมลในการซอมบ ารง
องคกรควรมการก าหนดระยะเวลาในการตรวจสอบและซอมบ ารงอปกรณ
A.9.2.5 การปองกนอปกรณทใชงานอยนอกส านกงาน
ไมสอดคลอง ไมมการน าอปกรณจากหองศนยขอมลออกนอกองคกร
109
หวขอท ประเดนควบคม สอดคลอง การควบคม หลกฐาน ขอเสนอแนะ
A.9.2.6 การก าจดอปกรณหรอการน าอปกรณกลบมาใชงานอกครง
สอดคลอง องคกรมแนวทางปฏบตในการก าจดและน าอปกรณกลบมาใชใหม
เอกสารการท าลายทรพยสนและวธน าทรพยสนกลบมาใชใหมของเจาของทรพยสน
ควรจดท ามาตรการในการก าจดหรอ re-use อปกรณสารสนเทศอยางชดเจน
A.9.2.7 การน าอปกรณออกนอกองคกร ไมสอดคลอง ไมมการน าอปกรณจากหองศนยขอมลออกนอกองคกร
A.10 กำรบรหำรจดกำรดำนกำรสอสำรและกำรด ำเนนงำนของเครอขำยสำรสนเทศขององคกร ( COMMUNICATIONS AND OPERATIONS MANAGEMENT) หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.10.1.1 การปฏบตงานทเปนลายลกษณอกษร
ไมสอดคลอง
ไมมการจดท าขนตอนและก าหนดผรบผดชอบในการจดท าเอกสารขนตอนปฏบตงานอยางเปนลายลกษณอกษร
ตรวจสอบเอกสารคมอการปฏบตงาน เชน วธการปฏบตงานในหองศนยขอมล การกคนระบบ การเปดปดระบบ เปนตน
A.10.1.2 การควบคมการเปลยนแปลง ปรบปรง หรอแกไขระบบ
ไมสอดคลอง ไมมการจดท าเอกสารในการขอเปลยนแปลงแกไขระบบ
ไมมเอกสารการรองขอแกไขเปลยนแปลงระบบ
A.10.1.3 การแบงหนาทความรบผดชอบ สอดคลอง มการแบงหนาทความรบผดชอบใหกบผดแลระบบโดยเฉพาะ
เอกสารการแตงตงคณะท างาน
110
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.10.1.4 การแยกระบบส าหรบการพฒนา ทดสอบ และใหบรการออกจากกน
สอดคลอง มกระบวนการในการทดสอบระบบกอนใชงานจรงทกครง
สอบถามจากพนกงานผปฏบตงานและรายงานผลการทดสอบระบบ
A.10.2.1 การใหบรการโดยหนวยงานภายนอก
สอดคลอง มการจดท าขอตกลงการใหบรการกบหนวยงานผใหบรการภายนอก
เอกสารขอตกลงการใหบรการของฝายอาคารสถานทและผใหบรการอนเตอรเนต
A.10.2.2 การตรวจสอบการใหบรการโดยหนวยงานภายนอก
สอดคลอง มการทบทวนเหตการณความมนคงปลอดภยกบผใหบรการภายนอกอยางสม าเสมอ
เอกสารรายงานเหตขดของตางๆจากผใหบรการ
A.10.2.3 การบรหารจดการการเปลยนแปลงในการใหบรการ
สอดคลอง มการทบทวนการใหบรการเพอการปรบปรงการใหบรการของผใหบรการภายนอกทกๆ 1 ป
เอกสารการประเมนผใหบรการ
A.10.3.1 การวางแผนความตองการทรพยากรสารสนเทศ
ไมสอดคลอง ไมมมาตรการวางแผนขยายทรพยากรสารสนเทศ แตมการตรวจสอบอยางสม าเสมอ
สอบถามจากพนกงานผปฏบตงาน
ควรจดท าเอกสารเพอประเมนการขยายตวของธรกจและวางแผนการขยายทรพยากรระบบใหรองรบการใชงานอยางเพยงพอ
111
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.10.3.2 การตรวจรบระบบ สอดคลอง มกระบวนการในการตรวจรบระบบเปนลายลกษณอกษร
เอกสารการซอบรการตางๆของฝายจดซอ
A.10.4.1 การปองกนโปรแกรมไมประสงคด สอดคลอง บงคบใหพนกงานทกคนตดตงซอฟตแวรปองกนไวรสกอนการใชงานระบบ
ตรวจสอบเครองคอมพวเตอรของพนกงานและการสรางความตระหนก
A.10.4.2 การปองกนโปรแกรมชนดเคลอนท
สอดคลอง สรางความตระหนกใหพนกงาน สอบถามจากพนกงาน
A.10.5.1 การส ารองขอมล ไมสอดคลอง มวธปฏบตในการส ารองขอมลแตไมมนโยบายดานการส ารองขอมลเปนลายลกษณอกษร
สอบถามจากพนกงาน
ควรจดท าใหมนโยบายใน การส ารองขอมลส าคญไว ทสวนกลางเพอปองกน ขอมลสญหาย
A.10.6.1 มาตรการทางเครอขาย สอดคลอง มการปองกนการเขาถงระบบและเงอนไขในการเขาถงจากระยะไกล
การควบคมการใชงานเครอขาย เทยบกบการปองกนขอมลสารสนเทศทสามารถถกคกคามได
A.10.6.2 ความมนคงปลอดภยส าหรบบรการเครอขาย
สอดคลอง ผใหบรการภายนอกมความรความสามารถในใหบรการเครอขาย
สญญาการใหบรการเครอขายจากผใหบรการอนเตอรเนต
112
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.10.7.1 การบรหารจดการสอบนทกขอมลทสามารถเคลอนยายได
ไมสอดคลอง
มค าแนะน าในการเขารหสขอมลส าหรบสอบนทกขอมลทเคลอนยายไดแตไมมการบงคบใชแตพนกงานมความตระหนกดวยการไมเกบขอมลส าคญเอาไว
สมตรวจสอบสอบนทกขอมลทเคลอนยายได เชน Thumb drive and โทรศพทเคลอนทไมมการเกบขอมลลบขององคกรหรอลกคา
ควรจดท ามาตรการในการควบคมสอบนทกขอมลทเคลอนยายไดเพอเปนแนวทางส าหรบพนกงานใหม
A.10.7.2 การท าลายสอบนทกขอมลขององคกร
สอดคลอง
มแนวทางปฏบตในการก าจดสอบนทกขอมลเพอปองกนขอมลรวไหลแตยงไมมเอกสารขนตอนและวธการทชดเจน
สอบถามวธการจากพนกงาน
องคกรควรประกาศวธปฏบตทชดเจนเพอใหแนใจวาขอมลลบจะไมร วไหลเนองจากความผดพลาดของการก าจดสอบนทกขอมล
A.10.7.3 ขนตอนปฏบตส าหรบการจดการขอมลและสอบนทกขอมลสารสนเทศ
สอดคลอง
มขนตอนปฏบตเพอจดการกบการเขาถงขอมลอยางชดเจนเพอปองกนไมใหผไมสทธเขาถงได
มการก าหนดบญชรายชอผมสทธเขาถงระบบเทาทจ าเปนและมการตรวจสอบทกครงทมพนกงานเขาหรอออก
113
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.10.7.4 การสรางความมนคงปลอดภยส าหรบเอกสารระบบ
ไมสอดคลอง
การเกบเอกสารระบบยงไมมความปลอดภยเนองจากถกเกบไวบนเครองคอมพวเตอรของกลมผดแลระบบเทานน
เอกสารระบบอยในเครองกลมผดแลระบบ และขอมลไมตรงกน
องคกรมการใชงานการเขารหสขอมลอยแลวจงควรมการเขารหสขอมลและเกบไวทสวนกลาง
A.10.8.1 นโยบายและขนตอนปฏบตส าหรบการแลกเปลยนสารสนเทศ
สอดคลอง
องคกรมนโยบายในการแลกเปลยนขอมลสารสนเทศและสรางความตระหนกเพอใหพนกงานระมดระวงการเจรจาเกยวกบขอมลอนเปนความลบ
เอกสารนโยบายการแลกเปลยนขอมลสารสนเทศและการจดใหมหองส าหรบตดตอกบบคคลภายนอกแยกตางหากจากพนทท างานโดยเฉพาะ
A.10.8.2 ขอตกลงในการแลกเปลยนสารสนเทศ
สอดคลอง
องคกรมการท าขอตกลงในการแลกเปลยนสารสนเทศกบหนวยงานภายนอก เชน Vender และ ลกคา
เอกสารขอตกลงไมเปดเผยความลบระหวางองคกรกบหนวยงานภายนอกและลกคา
A.10.8.3 การสงสอบนทกขอมลออกไปนอกองคกร
ไมสอดคลอง ไมมการน าสอบนทกขอมลใดๆในหองศนยขอมลออก
114
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.10.8.4 การสงขอความทางอเลกทรอนกส
สอดคลอง
องคกรมนโยบายในการรบสงจดหมายอเลกทรอนกสดวยการใหพนกงานทกคนใชงานการเขารหส Email ดวย PGP และก าหนด Policy ในการควบคมการสงออก Email ใหปลอดภยและเชอถอได
เอกสารนโยบายการรบสงจดหมายอเลกทรอนกส และการตดตง PGP Email Encryption บนเครองคอมพวเตอรของผใชงานระบบ Email
A.10.8.5 ระบบสารสนเทศทางธรกจทเชอมโยงกน
ไมสอดคลอง ไมมการใหบรการ
A.10.9.1 การพาณชยอเลกทรอนกส ไมสอดคลอง ไมมการใหบรการ A.10.9.2 การท าธรกรรมอเลกทรอนกส ไมสอดคลอง ไมมการใหบรการ
A.10.9.3 สารสนเทศทมการเผยแพรออกสสารธารณะ
สอดคลอง
มกระบวนการในการควบคมขอมลทประกาศลงบนเวบไซทหรอ Social Network ซงจะเปนขอมลทวไปของบรษทและขาวประชาสมพนธทวไป
Website และ facebook ของบรษท
องคกรควรมก าหนดการในการเฝาระวงเพอตรวจสอบความถกตองครบถวนของขอมลและปองกนผไมหวงดเขามาแกไขขอมล
A.10.10.1 บนทกเหตการณทเกยวของกบการใชงานสารสนเทศ
สอดคลอง มการเกบบนทกการตรวจสอบระบบ (Audit Log)
ตรวจสอบบนทกการใชงานของแตละระบบ
115
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.10.10.2 การตรวจสอบและเฝาระวงการใชงานระบบ
ไมสอดคลอง ไมมการจดท าคมอการตรวจสอบและเฝาระวง
A.10.10.3 การปองกนขอมลบนทกเหตการณ
ไมสอดคลอง ไมมการปองกนการลบบนทกการใชงานนน
ผดแลระบบสามารถลบบนทกเหตการณการเขาถงและบนทกแกไขเปลยนแปลงการตงคาระบบได
องคกรควรมนโยบายใหมการสง syslog จากระบบตางๆมาไวทเดยวกน เพอใหสามารถเชอถอได
A.10.10.4 บนทกกจกรรมการด าเนนงานของเจาหนาททเกยวของกบระบบ
สอดคลอง มการเกบ log การเขาถงและการใชงานระบบของผดแลระบบ
ทดสอบเขาถงระบบ web และ mail และตรวจสอบวาม log การเขาถงทมวน เวลา และ Process ทใชหรอไม
A.10.10.5 การบนทกเหตการณขอผดพลาด ไมสอดคลอง
จดเกบบนทกเหตการณทไมปกตทเกดขนในระบบแตไมมการตรวจสอบและวเคราะหเพอหาสาเหตของปญหา
บนทกการท างานผดพลาดของอปกรณ
ควรมการเฝาระวงและทบทวนขอมลการท างานผดพลาดและด าเนนการแกไขอยางเหมาะสม
A.10.10.6 การตงเวลาของเครองคอมพวเตอรใหตรงกน
ไมสอดคลอง ไมมการควบคมการตงเวลาบนอปกรณใหตรงกน
ตรวจสอบเวลาของระบบในหองศนยขอมลไมม synchronize จากศนยกลาง
องคกรควรตงสญญาณนาฬกาใหระบบตามเวลามาตรฐานสากลและการประทบตราเวลาในไฟลขอมลตางๆควรตรงกน
116
A.11 กำรควบคมกำรเขำถง (Access Control) หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.11.1.1 นโยบายการควบคมการเขาถงระบบ
สอดคลอง
จดท าบญชผใชงานตามหนาทความรบผดชอบของผใชงานเทาทจ าเปนและแบงแยกหนาทในการบรหารจดการเพอควบคมการเขาถงระบบ
A.11.2.1 การลงทะเบยนพนกงาน สอดคลอง
มขนตอนปฏบตในการใหสทธการเขาถงระบบโดยผดแลระบบจะไมอนญาตผใชงานเขาถงระบบจนกวาจะไดรบอนมตจากหวหนาแผนกตนสงกดของผรองขอ
มการรองขอสทธในการเขาถงระบบผานทางหวหนาแผนกซงหวหนาแผนกจะเปนคนแจงผดแลระบบใหด าเนนการและมการตรวจสอบความถกตอง
ควรมแบบฟอรมรองขอสทธการเขาถงระบบเพอใหงายตอการตรวจสอบและปองกนการใหสทธเกนความจ าเปนรวมทงตองมการสอบทานบญชผใชงานเปนระยะเพอปองกนการเขาถงโดยไมไดรบอนญาต
A.11.2.2 การบรการจดการสทธการใชงานระบบ
ไมสอดคลอง
องคกรยงไมมนโยบายในการจดเกบและบนทกขอมลการมอบหมายสทธแกผใชงานซงอาจท าใหเกดความสบสนในการใหสทธได
สอบถามสทธการเขาถงของพนกงานแตละแผนกเทยบกบตารางสทธผใชงานของระบบยงมความผดพลาดอย
องคกรควรจดท าตารางสทธของผใชงานแตละคนหรอแตละแผนกเพอเทยบกบสทธของผใชงานระบบทผใชงานไดรบ
117
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.11.2.3 การบรหารจดการรหสผานส าหรบผใชงาน
ไมสอดคลอง
องคกรมการก าหนดใหผใชงานท าการเปลยนรหสผานของตนในการใชงานระบบครงแรกและใหผใชงานพงรกษารหสผานของตนไวเปนความลบแตไมไดมการแจงขอก าหนดนนๆใหแกพนกงานอยางเปนทางการ
ตรวจสอบนโยบายการตงรหสผานพบวาบางคนยงใชรหสผานเดมไมเคยเปลยน
องคกรควรก าหนดใหผใชงานลงนามเพอปองกนการเปดเผยรหสผานของตน
A.11.2.4 การทบทวนสทธการเขาถงของผใชงาน
ไมสอดคลอง
องคกรไมมการทบทวนสทธของผใชงานระหวางทผใชงานยงเปนพนกงานอย เนองจากมการตรวจสอบการใหสทธในครงแรกไปแลว แตจะมการถอดถอนสทธการใชงานเมอพนกงานลาออกแลวซงกยงมโอกาสทรายชอตกหลนท าใหคนทลาออกไปแลวยงมสทธในการเขาถงระบบอย
ตรวจสอบรายชอพนกงานเปรยบเทยบกบรายชอผใชงานในระบบ
องคกรควรมกระบวนการในการทบทวนสทธการเขาถงระบบทกๆชวงระยะเวลาหนงหรอเมอมการเปลยนแปลงต าแหนง การยายแผนก หรอการสนสดการจางงาน
118
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.11.3.1 การใชรหสผาน ไมสอดคลอง
องคกรไมมมาตรฐานในการใชงานรหสผานและไมมการตรวจสอบเนองจากผดแลระบบมความรความเขาใจในการตงรหสผานทยาวและคาดเดาไดยากพอสมควรแลว
ระบบยนยอมใหมการตงรหสผานทงายตอการคาดเดาและมการใชงานบญชผใชงานรวมกนในบางระบบ
ผดแลระบบควรจดใหมกฎเกณฑในการตงรหสผานของผใชงาน เชน ตองเปนตวอกษรใหญ ตวอกษรเลก ตวเลข และอกขระพเศษ ไมนอยกวา 8 ตวอกษร และมการเปลยนรหสผานทกๆชวงระยะเวลาตามความเหมาะสมของระบบนน
A.11.3.2 การปองกนอปกรณทไมมพนกงานดแล
ไมสอดคลอง
องคกรมนโยบายในการ Lock หนาจอ หรอ Lock out ออกจากระบบทกครงแตกยงมการตรวจพบวาเปดหนาจอทงไว แตทงนมการตดตงกลองวงจรปดซงสามารถบนทกภาพกรณผไมหวงดเขาถงอปกรณได
สมตรวจการใชงานระบบพบวาบางครงพนกงานไมอยหนาเครองแตเปด email หรอเอกสารส าคญคางไวไมลอคหนาจอ
องคกรควรมการก าหนดใหพนกงานตงคา Screen Saver บนเครองคอมพวเตอรตามความเหมาะสมและจดใหมการอบรมเพมความตระหนกในเรองน
119
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.11.3.3 นโยบายควบคมการไมทงทรพยสนสารสนเทศส าคญไวในททไมปลอดภย
ไมสอดคลอง
ไมมนโยบายทใชบงคบในเรองน เนองจากหองศนยขอมลมการควบคมการเขาถงเปนอยางด แตกมโอกาสทจะเกดขนได
ตรวจสอบการปองกนทรพยสนในหองศนยขอมลจากการถกกขโมย การเขาถงโดยไมไดรบอนญาต การท าใหเสยหาย หรอสญหายและไมมการวางเอกสารส าคญไวบนหนาจอทสามารถมองเหนไดงาย
องคกรควรจดท านโยบายในการจดเกบขอมลหรอทรพยสนส าคญเพอลดความเสยงทมตอทรพยสนขององคกร
A.11.4.1 นโยบายการใชงานบรการเครอขาย
ไมสอดคลอง
องคกรไมมการก าหนดขอบเขตในการเขาถงเครอขายวาสวนใดผใชงานคนไหนเขาถงไดบาง ผใชงานสามารถเชอมตอถงกนไดทงหมด
ตรวจสอบการแบง VLAN พบวาผใชงานสามารถเชอมตอถงกนไดทงหมด
องคกรควรจดท านโยบายในการเขาถงเครอขายบรการไดเฉพาะสวนทม ความเกยวของกบหนาทความรบผดชอบของพนกงานเทานน
A.11.4.2 การพสจนตวตนส าหรบผใชทอยภายนอกองคกร
สอดคลอง
ใชงาน VPN แบบ IPsec โดยมการพสจนตวตนกอนเชอมตอและมการเขารหสขอมลระหวางการรบสงขอมล ใช https และ ssh
ตรวจสอบเครองของพนกงานมการใชงาน VPN ทกเครองและไมมการบนทกรหสผานทงไว
120
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.11.4.3 การพสจนตวตนอปกรณบนเครอขาย
สอดคลอง
ในการเขาบรหารจดการอปกรณเครอขายจะมการพสจนตวตนกอนเสมอ
ทดสอบเขาถงเพอบรการจดการระบบมการถาม Username และ password ทกอปกรณ
A.11.4.4 การปองกนพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ
สอดคลอง
มการ Disable พอรตไมไดใชของระบบทส าคญเพอไมใหมการเขาถงและบรหารจดการอปกรณผานพอรตทไมมการใชงานนนได
ตรวจสอบการรายการพอรตทใชงาน เทยบกบรายการพอรตทเปดใชงานจรงใน CLI
A.11.4.5 การแบงแยกเครอขาย ไมสอดคลอง
ไมมการแบงแยกเครอขายเนองจากมปรมาณผใชงานไมมาก แตไดจดแบงหมายเลข IP ใหกบ Server และผใชงานทสามารถตรวจสอบได
ตรวจสอบการออกแบบโครงสรางระบบ
องคกรควรมการแยกเครอขายไรสายออกจากเครอขายภายในองคกรเพอลดความเสยงจากการเขาถงระบบภายในโดยผไมหวงด
A.11.4.6 การควบคมการเชอมตอทางเครอขาย
ไมสอดคลอง
ไมมการแบงแยกเครอขายหรอการก าหนดขอบเขตรายการอปกรณทสามารถเขาถงไดของผใชงาน
ตรวจสอบการออกแบบโครงสรางระบบ
ควรมการแบงแยกเครอขายระหวางเครองใหบรการกบเครองผใชงานเพอควบคมการเขาถง
121
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.11.4.7 การควบคมการก าหนดเสนทางบนเครอขาย
สอดคลอง
มการใชงาน Firewall ในการตรวจสอบ IP Address ของผใชงานและปลายทางโดยท าหนาทเปน Gateway ในการเชอมตอไปยงเครอขายภายนอก
ตรวจสอบการควบคมการไหลของขอมลจาก Firewall ทท าหนาทเปน gateway
A.11.5.1 ขนตอนปฏบตในการเขาถงระบบอยางมนคงปลอดภย
สอดคลอง
ระบบไมมการรายงานแสดงรายละเอยดของระบบงานหรอการชวยเหลอใดๆทเปนประโยชนตอผไมหวงดจนกวาจะมการพสจนตวตนผานแลว และเมอมการ login ไมผานเกน 3 ครง จะมการก าหนดรอกอนครหนงแลว login ใหม
สมตรวจสอบการเขาถง mail server และ Web server
A.11.5.2 การระบและพสจนตวตนของผใชงาน
สอดคลอง
มการแบงแยกสทธการใชงานของ User และ admin อยางชดเจนและจะไมใช admin account ในการปฏบตงานทวไป
ตรวจสอบกจกรรมการใชงานของ admin
122
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.11.5.3 ระบบบรหารจดการรหสผาน ไมสอดคลอง ไมมการใชงานระบบน ควรตงนโยบายการก าหนด
รหสผานใหเหมาะสมกบระบบ A.11.5.4 การใชงานโปรแกรมยทลต ไมสอดคลอง ไมมการใชงานโปรแกรมน
A.11.5.5 การหมดเวลาการใชงานระบบสารสนเทศ
สอดคลอง
ระบบมการตงคา Idle Timeout เมอไมมการใชงานโดยจะก าหนดความสนของชวงเวลาตามความส าคญของระบบนน
ตรวจสอบการตงคา idle timeout
A.11.5.6 การจ ากดระยะเวลาการใชงานระบบสารสนเทศ
สอดคลอง
ระบบมการจ ากดชวงระยะเวลาการเชอมตอตอการเชอมตอ 1 ครงตามความเหมาะสมของงาน หากเกนชวงเวลาแลวตองท าการ login ใหมอกครง
ตรวจสอบการตงคา session timeout
A.11.6.1 การจ ากดการเขาถงสารสนเทศ สอดคลอง
ระบบมการควบคมการเขาถงขอมลตางๆของระบบงานและใหสทธในการเขยน ลบ หรอสงใหโปรแกรมท างานโดยก าหนดเปน user หรอ admin
Admin สามารถควบคมการใชงานของระบบทงหมดได แต user ธรรมดาไมสามารถควบคมการใชงานของ user คนอนๆได
123
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.11.6.2 การแยกระบบสารสนเทศทม ความส าคญสง
สอดคลอง
มการเกบขอมลส าคญเชนขอมลระบบของลกคาแยกตางหากซงผทจะเขาไปใชงานไดคอเจาหนาททฝายเทคนคทดแลโปรเจคนนๆเทานน
การเปดใช PGP key ในการ sign เพอเขารหส คนทเกยวของเทานนจงจะเปดได
A.11.6.3 การปองกนอปกรณสอสารประเภทพกพา
ไมสอดคลอง ไมมการใชงานอปกรณสอสารประเภทพกพาในหองศนยขอมล
A.11.6.4 การปฏบตงานจากภายนอกส านกงาน
สอดคลอง
มการใชงาน VPN แบบ IPsec โดยมการพสจนตวตนกอนเชอมตอและมการเขารหสขอมลระหวางการรบสงขอมล และหากเปนการเขามาบรหารจดการอปกรณระบบจะใช https และ ssh
ตรวจสอบเครองคอมพวเตอรของพนกงานมการใชงาน VPN ทกเครองและไมมการบนทกรหสผานทงไว พรอมทงตรวจสอบการเขาถงอปกรณ
124
A.12 กำรจดหำ กำรพฒนำ และกำรบ ำรงรกษำระบบสำรสนเทศ (Information systems acquisition, development and maintenance)
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.12.1.1 การวเคราะหและการระบขอก าหนดดานความมนคงปลอดภย
สอดคลอง
องคกรมกระบวนการในการตรวจสอบและทดสอบเพอประเมนซอฟตแวรทตองการจดหามาใชงาน
รายงานการทดสอบอปกรณหรอซอฟตแวร
A.12.2.1 การตรวจสอบขอมลน าเขา ไมสอดคลอง ไมมการเขยนโปรแกรมเอง
A.12.2.2 การตรวจสอบขอมลทอยระหวางการประมวลผล
ไมสอดคลอง ไมมการเขยนโปรแกรมเอง
A.12.2.3 การตรวจสอบความถกตองของขอมล
ไมสอดคลอง ไมมการเขยนโปรแกรมเอง
A.12.2.4 การตรวจสอบขอมลน าเขา ไมสอดคลอง ไมมการเขยนโปรแกรมเอง
A.12.3.1 นโยบายการใชงานการเขารหสขอมล
สอดคลอง
มการใชมาตรการในการเขารหสขอมลเพอปองกนขอมลทเปนความลบและมการใชลายมอชอดจทลเพอตรวจสอบความถตองของขอมลและผจดสงขอมล
สมตรวจสอบ email ของพนกงานวามการเขารหสขอมลและลงลายมอชอดจทลหรอไม
125
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.12.3.2 การบรหารจดการกญแจเขารหสขอมล
สอดคลอง
การใชงานการเขารหสขอมลมมาตรการในการเกบกญแจและเปลยนกญแจในกรณทกญแจสญหายหรอถกเปดเผยโดยไมไดรบอนญาต
ตรวจสอบวธการในการจดเกบ key และยกเลก key ของผใชงาน
A.12.4.1 การควบคมการตดตงซอฟตแวรลงไปยงระบบทใหบรการ
ไมสอดคลอง
ไมมการขออนมตอยางเปนลายลกษณอกษรแตผทจะสามารถตดตงซอฟทแวรไดคอผดแลระบบเทานน
ไมมเอกสารขออนมตการตดตงซอฟตแวร
องคกรควรจดใหมเอกสารการรองขอตดตงซอฟตแวรพรอมแผนการ Roll back ลงไปในระบบทใหบรการเพอใหงายตอการตรวจสอบและปองกนความเสยหายหรอการหยดชะงกของระบบงาน
A.12.4.2 การปองกนขอมลทใชส าหรบการทดสอบ
ไมสอดคลอง ไมมการใชขอมลจรงในการทดสอบระบบ
A.12.4.3 การควบคมการเขาถงซอรสโคด ไมสอดคลอง ไมมการเขยนโปรแกรม
126
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.12.5.1 ขนตอนปฏบตส าหรบการควบคมเปลยนแปลงหรอแกไขระบบ
ไมสอดคลอง ไมมการจดท าเอกสารการรองของเปลยนแปลงแกไขระบบงาน
ตรวจสอบเอกสารเกยวกบการรองขอแกไขเปลยนแปลงระบบงาน
องคกรควรก าหนดขนตอนปฏบตทตองมการขออนมตพรอมผลการประเมนความเสยงและระบรายละเอยดในการแกไขระบบเพอใหตรวจสอบภายหลงได
A.12.5.2 การทบทวนการท างานของระบบงานภายหลงจากทเปลยนแปลงระบบปฏบตการ
ไมสอดคลอง มการตรวจสอบผลการแกไขเปลยนแปลงของระบบงานโดยการทดสอบจากผทเกยวของ
ไมมรายงานการขอแกไขเปลยนแปลงระบบงานและไมมมาตรการในการอพเดทเอกสารระบบทเกยวของใหเปนขอมลลาสด
องคกรควรมการทบทวนการท างานของระบบงานและเกบผลไวเปนรายงานเพอการปรบปรงระบบงานตอไป
A.12.5.3 การจ ากดการเปลยนแปลงแกไขตอซอฟทแวรทมาจากผผลต
ไมสอดคลอง ไมมการน าซอฟตแวรมาแกไขเปลยนแปลงซอฟตแวรแพคเกตเพอใชงาน
A.12.5.4 การปองกนการรวไหลของสารสนเทศ
สอดคลอง
มการตรวจสอบระบบสอสารตางๆเพอปองกนการสงขอมลอนเปนความลบผานสอตางๆและใชงานซอฟตแวรทมความเชอถอไดในการสอสาร
มการเฝาระวงและตรวจสอบกจกรรมการใชงานของผใชงานในระบบ
127
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.12.5.5 การพฒนาซอฟตแวรโดยหนวยงานภายนอก
ไมสอดคลอง ไมมการใชบรการการพฒนา โปรแกรมจากหนวยงานอน
A.12.5.6 มาตรการควบคมชองโหวทางเทคนค
สอดคลอง
มการตรวจสอบชองโหวของอปกรณระบบเปนครงคราวเพอตรวจสอบจดออนขอบกพรองของระบบ
รายงานผลการตรวจสอบชองโหวของระบบ
A.13 กำรบรหำรจดกำรณเหตกำรณทเกยวของกบควำมมนคงปลอดภยขององคกร (Information Security Incident Management)
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.13.1.1 การรายงานเหตการณทเกยวกบความมนคงปลอดภย
สอดคลอง
มการก าหนดวธปฏบตเมอพบเหตการณทเกยวกบความมนคงปลอดภยและมขอมลตดตอหนวยงานภายนอกทท าหนาทในการรบแจงเหตการณทเกดขน
ตรวจสอบวธปฏบตและขอมลหนวยงานภายนอกทรบแจงเหตการณดานความมนคงปลอดภย เชน ISP และฝายอาคารสถานทของตกเชา
128
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.13.1.2
การรายงานจดออนทเกยวของกบความมนคงปลอดภยขององคกร
สอดคลอง
เมอมการตรวจพบจดออนทเกยวของกบความมนคงปลอดภย ใหพนกงานแจงไปยงเจาหนาทฝายความมนคงปลอดภยสารสนเทศ และมการก าหนดใหหนวยงานภายนอกทรบแจงเหตท ารายการจดบกพรองนนไปยงผเกยวของใหทราบ
เอกสารรายงานขอผดพลาดหรอเหตดานความมนคงปลอดภยจากทาง ISP หรอฝายอาคารสถานท
A.13.2.1
หนาทความรบผดชอบและขนตอนปฏบต
ไมสอดคลอง
องคกรไมมข นตอนปฏบตส าหรบการรบมอกบเหตการณความมนคงปลอดภยทชดเจนวาจะตองจดการกบเหตการณตางๆอยางไร
ตรวจสอบขนตอนปฏบตเพอรบมอกบเหตการณดานความมนคงปลอดภยทเกดขน
องคกรควรจดใหมการจดการกบเหตการณตางๆ เชน ระบบไมสามารถใหบรการได ระบบลมเหลว การแพรระบาดของไวรส การเปดเผยขอมลความลบ และควรมการวางแผนเพอด าเนนการเชงปองกนส าหรบเหตการณทมความเสยงวามโอกาสจะเกดขน
129
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.13.2.2
การเรยนรเหตการณทเกยวของกบความมนคงปลอดภย
ไมสอดคลอง
องคกรมการจดเกบเหตการณดานความมนคงปลอดภยทเกดขนแตไมมการถายถอดความรจากเหตการณเหลานนอยางจรงจง อาจท าใหเสยเวลาในการแกปญหาใหมอกครง
ตรวจสอบขอมลเหตการณดานความมนคงปลอดภยทเกดขนในอดต
ควรจดท าเปนรายงานเหตการณความมนคงปลอดภยทผท เกยวของสามารถเขาไปศกษาวการแกปญหายอนหลงไดเพอปองกนการเกดซ าหรอแกปญหาไดเรวขน
A.13.2.3
การเกบรวบรวมหลกฐาน
สอดคลอง
องคกรมกระบวนการในการจดท าขนตอนปฏบตส าหรบการเกบรวบรวมหลกฐานบนทกกจกรรมตางๆของผใชงานในระบบ
ตรวจสอบวธการในการเกบหลกฐานของผดแลระบบ
130
A.14 กระบวนกำรในกำรสรำงควำมตอเนองใหกบธรกจ (Business Continuity Management)
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.14.1.1 กระบวนการในการสรางความตอเนองใหธรกจ
ไมสอดคลอง ยงไมมนโยบายในการสรางความตอเนองใหกบธรกจอยางจรงจง
A.14.1.2 กระประเมนความเสยงในการสรางความตอเนองใหกบธรกจ
ไมสอดคลอง ยงไมมนโยบายในการสรางความตอเนองใหกบธรกจอยางจรงจง
A.14.1.3 การจดท าและใชงานแผนสรางความตอเนองใหธรกจ
ไมสอดคลอง ยงไมมนโยบายในการสรางความตอเนองใหกบธรกจอยางจรงจง
A.14.1.4 การก าหนดกรอบส าหรบการวางแผนเพอสรางความตอเนองใหกบธรกจ
ไมสอดคลอง ยงไมมนโยบายในการสรางความตอเนองใหกบธรกจอยางจรงจง
A.14.1.5 การทดสอบและปรบปรงแผนสรางความตอเนองใหกบธรกจ
ไมสอดคลอง ยงไมมนโยบายในการสรางความตอเนองใหกบธรกจอยางจรงจง
131
A.15 กำรปฏบตตำมขอก ำหนด (Compliance)
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.15.1.1 การระบขอก าหนดตางๆทมผลทางกฎหมาย
สอดคลอง องคกรมการระบกฎหมาย ระเบยบ ขอบงคบ ขอก าหนดในสญญาตางๆทองคกรตองปฏบตตามและใหพนกงานทกคนปฏบตดวย
เอกสารขอปฏบตของพนกงาน
A.15.1.2 การปองกนสทธและทรพยสนทางปญญา
สอดคลอง องคกรมการจดซอซอฟตแวรระบบจากแหลงทเชอถอไดและมการควบคมการใชซอฟตแวรทจดซอมาไวใชงาน
ตรวจสอบลขสทธของซอฟตแวรทใชงาน
A.15.1.3 การปองกนขอมลส าคญทเกยวของกนองคกร
สอดคลอง มการจดเกบขอมลตามระยะเวลาทกฎหมาย ระเบยบขอบงคบ ทองคกรตองปฏบตตามไดระบไว เชน พรบ.วาดวยกรท าธรกรรมทางอเลกทรอนกส, พระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร เปนตน
ตรวจสอบการเกบบนทกการใชงานยอนหลง 90 วน
132
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.15.1.4 การปองกนขอมลสวนตว ไมสอดคลอง ไมมการเกบหรอรบสงขอมลสวนตวบนระบบในหองศนยขอมล
A.15.1.5 การปองกนการใชงานอปกรณประมวลผลสารสนเทศผดวตถประสงค
ไมสอดคลอง องคกรยงไมมนโยบายในการปองกนการใชงานอปกรณประมวลสารสนเทศผดวตถประสงค
A.15.1.6 การใชงานมาตรการการเขารหสขอมลตามขอก าหนด
สอดคลอง องคกรมการน าการเขารหสขอมลมาใชและมกาพจารณาขอจ ากดตางๆของวธการเขารหสนนๆเพอใหเหมาะสมกบการใชงานงานและสอดคลองกบกฎหมาย
เอกสารนโยบายในการแลกเปลยนขอมลสารสนเทศ
A.15.2.1 การปฏบตตามนโยบายและมาตรฐานความมนคงปลอดภย
สอดคลอง มกระบวนการในการตรวจสอบการปฏบตตามนโยบายเพอทบทวนผลการด าเนนการและก าหนดหนทางแกไขเปนครงคราว
สอบถามจากพนกงานเกยวกบการปฏบตตามกฎหมายขององคกร
ควรมการจดท าเอกสารผลการตรวจสอบเพอสรปปญหาทพบในและครง เพอจะไดหาวธแกปญหาใหครบถวนถกตอง
133
หวขอท ประเดนควบคม สอดคลอง กำรควบคม หลกฐำน ขอเสนอแนะ
A.15.2.2 การตรวจสอบปฏบตตามมาตรฐานทางเทคนคขององคกร
สอดคลอง
องคกรมนโยบายในการประเมนความเสยงทมการก าหนดใหท าการทดสอบโจมตระบบหรอหาชองโหวเพอประเมนจดออนจดบกพรองของระบบเปนครงคราว
เอกสารผลการตรวจสอบการโจมตระบบและการวเคราะหชองโหวของระบบ
A.15.3.1 มาตรการการตรวจประเมนระบบสารสนเทศ
สอดคลอง
องคกรมการก าหนดใหมบคคลากรทท าหนาทเปนผตรวจสอบระบบบรหารจดการความมนคงปลอดภยโดยเฉพาะ
เอกสารแตงตงผตรวจสอบระบบบรหารจดการความมนคงปลอดภยทก าหนดหนาทความรบผดชอบและขอบเขตในการท างานทชดเจน
A.15.3.2 การปองกนเครองมอส าหรบตรวจประเมนสารสนเทศ
สอดคลอง
องคกรมการปองกนเครองมอทใชตรวจสอบ เชน อปกรณตรวจสอบชองโหวของระบบ ถกเกบไวอยางมดชดและมการลอคกญแจไวเปนอยางด ผเกบรกษากญแจคอหวหนาแผนกทปรกษาความมนคงปลอดภยสารสนเทศ
ตรวจสอบวธการเกบรกษาอปกรณตรวจประเมนสารสนเทศ
134
ภาคผนวก ข เอกสารขออนญาตองคกรในการด าเนนโครงงาน
135
ภาคผนวก ค ตวอยางเอกสารนโยบายการเขารหสขอมลสารสนเทศ
136
137
ภาคผนวก ง ตวอยางเอกสารแนวทางปฏบตการตงคาโปรแกรม PGP Desktop เพอการจดการจดหมายอเลกทรอนกส (PGP Desktop Email Configuration Guideline)
138
139
140
ภาคผนวก จ ตวอยางมาตรการในการบงคบใชนโยบายดานการรบสงขอมลทางอเลกทรอนกส
141
ภาคผนวก ฉ ตวอยางมาตรการในการบงคบใชแนวทางปฏบตการตงคาโปรแกรม PGP Desktop เพอการจดการจดหมายอเลกทรอนกส (PGP Desktop Email Configuration Guideline)