establishment of information systems security according to ......
TRANSCRIPT
การสรางความม �นคงปลอดภยใหกบระบบเทคโนโลยสารสนเทศ
ภายใตมาตรฐาน ISO"#$$% กรณศกษาบรษท
บรษท เอน.ซ.ซ. แมนเนจเมนแอนดดวลอบเมน จากด
Establishment of Information Systems Security
according to ISO"#$$% standard for organization case study
N.C.C. Management & Development Co.Ltd.,
โชตทต กมลคนธ
สารนพนธนQเปนสวนหน�งของการศกษา
หลกสตรวทยาศาสตรมหาบณฑต สาขาวชาความม �นคงทางระบบสารสนเทศ คณะวทยาการและเทคโนโลยสารสนเทศ
มหาวทยาลยเทคโนโลยมหานคร ปการศกษา 2555
การสรางความม �นคงปลอดภยใหกบระบบเทคโนโลยสารสนเทศ
ภายใตมาตรฐาน ISO"#$$% กรณศกษาบรษท
บรษท เอน.ซ.ซ. แมนเนจเมนแอนดดวลอบเมน จากด
Establishment of Information Systems Security
according to ISO"#$$% standard for organization case study
N.C.C. Management & Development Co.Ltd.,
โชตทต กมลคนธ
สารนพนธนQเปนสวนหน�งของการศกษา หลกสตรวทยาศาสตรมหาบณฑต สาขาวชาความม �นคงทางระบบสารสนเทศ
คณะวทยาการและเทคโนโลยสารสนเทศ มหาวทยาลยเทคโนโลยมหานคร
ปการศกษา 2555
I
หวขอ การสรางความม �นคงปลอดภยใหกบระบบเทคโนโลยสารสนเทศ ภายใตมาตรฐาน ISO"#$$% กรณศกษา
บรษทบรษท เอน.ซ.ซ. แมนเนจเมนแอนดดวลอบเมน จากด ชอนกศกษา นาย โชตทต กมลคนธ รหสนกศกษา 531760009 หลกสตร วทยาศาสตรมหาบณฑต สาขาความม �นคงทางระบบสารสนเทศปการศกษา 2555 อาจารยทปรกษา ผศ.ดร.ศภกร กงพศดาร อ.ไพบลย ปญญายทธการ
บทคดยอ
โครงงานการบรหารจดการความเส�ยง และการเพ�มความม �นคงปลอดภยสารสนเทศ
ใหกบองคภายใตมาตรฐาน ISO27001 และการบรหารความเส�ยงจดทาขCนโดยมวตถประสงคเพ�อจดทารางนโยบายความปลอดภยทางเทคโนโลยสารสนเทศ เพ�อเปนแนวทางในการปฏบตงาน รวมถงการวเคราะหและประเมนความเส�ยง เพ�อใหทราบถงความเส�ยง ระดบความรนแรงของชองโหว และสามารถบรหารความเส�ยงใหอยในระดบท�องคกรยอมรบไดมากท�สดและตรงจดมากท�สด ซ�งจะชวยลดผลกระทบหรอโอกาสอนเปนความเส�ยงน Cนใหลดลงได และเพ�อเปนการเพ�มประสทธภาพในการทางานของระบบเทคโนโลยสารสนเทศภายในองคกรใหมมาตรฐานเพ�มมากขCน
II
กตตกรรมประกาศ
สารนพนธนCไดพฒนาจนสาเรจลลวงไดเน�องดวยเพราะความกรณา ความชวยเหลอ และกาลงใจจากหลายคน โดยทางผจดทาขอขอบพระคณทานอาจารย ผศ.ดร.ศภกร กงพสดาร ท�เปนอาจารยท�ปรกษา และทานอาจารยไพบลย ปญญายทธการ ท�ไดสละเวลาอนมคาในการใหคาปรกษาและถายทอดประสบการณอนเปนประโยชนตอโครงงานนCมาโดยตลอด และคณาจารยทกทานของมหาวทยาลยเทคโนโลยมหานครท�ไดใหคาแนะนารวมถงความเขาใจในดานความม �นคงปลอดภยสารสนเทศ อนเปนประโยชนตอการศกษาและการจดทาสารนพนธฉบบนCจนไดผลเปนสารนพนธดงกลาว
นอกจากนCสารนพนธฉบบนCจะเกดขCนไมไดเลย หากไมไดรบความรวมมอจาก เจาหนาท�บรษท เอน.ซ.ซ. แมนเนจเมนแอนดดวลอบเมน จากด ทกทานท�กรณาสละเวลาในการทางานเพ�อใหขอมลตางๆ ประกอบในการจดทาสารนพนธนC
ขาพเจาจงกราบขอบพระคณทกๆทานท�ไดใหการสนบสนน เปนอยางสงเอาไว ณ ท�นC
โชตทต กมลคนธ ตลาคม 2555
III
สารบญ หนา
บทคดยอ I กตตกรรมประกาศ II สารบญ III สารบญ(ตอ) IV สารบญตาราง V สารบญรป VI บทท� 1 บทนา 1 1.1 ความเปนมาของโครงงาน 1 1.2 ปญหาและแรงจงใจของโครงงาน 2 1.3 วตถประสงค 3 1.4 ขอบเขตโครงงาน 3 1.5 ประโยชนท�คาดจะไดรบ 4
1.6 แผนการดาเนนงาน 5 บทท� 2 พCนฐานและทฤษฎท�เก�ยวของ 7 2.1 ความม �นคงปลอดภยของระบบสารสนเทศ 7
2.2 มาตรฐานการรกษาความม �นคงปลอดภยขอมล 8 บทท� 3 วธการดาเนนงาน 14 3.1 ข Cนตอนในการดาเนนการ 14
3.2 รายละเอยดของวธการดาเนนการ 15 3.3 รายละเอยดทรพยสน 17 3.4 การประเมนความเส�ยง 19 3.5 รายการควบคมความม �นคงปลอดภย 24
บทท� 4 ผลการดาเนนงาน 25 บทท� 5 สรปผลโครงงาน 79
IV
สารบญ (ตอ) หนา
เอกสารอางอง 84 ภาคผนวก ก. นโยบายการรกษาความปลอดภยระบบสารสนเทศ 85 ภาคผนวก ข. ภาคผนวก ข เอกสารระบการปฏบตตามหลกการควบคมทาง
ดานความม �นคงปลอดภยของมาตรฐาน ISO "#$$% 97 ภาคผนวก ค. ตวอยางแนวทางดาเนนการจดการความเส�ยงตามแนวทาง การตอบสนองตอความเส�ยง 132 ภาคผนวก ง. เอกสารขออนญาตองคกรในการดาเนนโครงงาน 145
V
สารบญ (ตาราง) หนา
ตาราง 1.1 ตารางการดาเนนงานโครงงาน 1 5 ตาราง 1.1 ตารางการดาเนนงานโครงงาน 2 6 ตาราง R.% ตารางแสดงรายการทรพยสนภายในศนยคอม 18 ตาราง 3.2,4.1 เกณฑการประเมนโอกาสในการเกด 21 ตาราง 3.3,4.2 เกณฑการประเมนคาผลกระทบดานการเงน 22 ตาราง 3.4,4.3 เกณฑการประเมนคาผลกระทบดานช�อเสยง 23 ตาราง 3.5,4.4 เกณฑการประเมนคาผลกระทบดานการดาเนนงาน 23 ตาราง 3.6,4.5 ตารางระดบของความเส�ยง 24 ตารางท� 4.6 ตารางสรปผลความเส�ยงรอบแรก 51 ตารางท� 4.7 ตารางสรปการบรหารจดการความเส�ยง 52 ตารางท� 4.8 ตารางสรปจานวนความเส�ยงหลงการประเมนรอบสอง 79
VI
สารบญ (รป) หนา
รปท� 2.1 รปกระบวนการ PDCA 9 รปท� 2.2 แผนภาพการแผนการประเมนความเส�ยง 12 รปท� 2.2 ข Cนตอนการปฏบตงานโครงการ 14 รปท� 5.1 กราฟสรปจานวนความเส�ยงในการประเมนกอนดาเนนโครงการ 79 รปท� 5.2 กราฟสรปจานวนความเส�ยงในการประเมนหลงดาเนนโครงการ 80 รปท� 5.3 กราฟเปรยบเทยบผลการประเมนหลงดาเนนการจดการความเส�ยง 81
1
บทท� �
บทนา
1.1 ความเปนมาในการเสนอโครงงาน
การดาเนนธรกจในปจจบนไดมการนากลยทธตางๆ มาใช เพ อใหไดเปรยบคแขงขนในการทาธรกจ ไมวาจะเปนดานการพฒนาศกยภาพ รวมถงการปรบเปล ยนกระบวนการบรหารจดการใหมความชดเจนโปรงใส สามารถตรวจสอบได ตลอดจนปฎบตตามกฎระเบยบขอบงคบของกฎหมายเพ อสรางภาพลกษณท ดและความนาเช อถอใหกบองคกร แตกลยทธขององคกรจะประสบความสาเรจ และมประสทธภาพท ดไดน 4น ตวสนบสนนท สาคญคอ เทคโนโลยสารสนเทศขององคกร จงกลาวไดวา ระบบสารสนเทศ เขามามบทบาทกบการทาธรกจขององคกรเปนอยางมาก
ประโยชนท ไดรบจากเทคโนโลยสารสนเทศ เปนท ทราบกนดขององคกร วาชวย
ทาใหองคกรพฒนาข4นในหลายๆ ดานและชวยใหกาวทนธรกจ แตเน องจากการปล ยนแปลงทางดานเทคโนโลยสารสนเทศท มความกาวหนาอยางมากและรวดเรว ทาใหระบบสารสนเทศย งมความเส ยงตอการลวงละเมดหรอภยคกคามมากข4น ท 4งจากผไมประสงคดภายนอก และจากผใชงานภานในท 4งโดยต 4งใจและไมต 4งใจ ซ งอาจสงผลใหเกดความเสยหายตอการดาเนนงาน ช อเสยงและภาพลกษณ ขององคก รได เชน คอมพวเตอรตดไวรสหรอโปรแกรมไมพงประสงค ทาใหระบบคอมพวเตอรหยดชะงก ไมสามารถใหบรการได หรอแฮกเกอรเขามายดครองเคร องคอมพวเตอรแลวนาขอมลสาคญภายในออกไปเผยแพรรวมถงโจมตระบบภายนอกซ ง การลวงละเมดในลกษณะน4อาจทาใหผดแลระบบไมรวาเคร องคอมพวเตอรท ตนดแลอย กลายเปนเคร องมอท ใชในการลวงละเมดระบบสารสนเทศของผอ น เปนตน
ดงน 4น เพ อใหม นใจวาองคกรจะสามารถดแลระบบสารสนเทศไดอยางมประสทธภาพ
และเพ มความม งคงปลอดภนในการใชงานระบบคอมพวเตอร จงควรมนโยบายรกษาความม นคงปลอดภยระบบสารสนเทศขององคกร ใชในกระบวนการบรหารจดการ โดยมองคประกอบหลกอย 3 ประการ คอ
1.การรกษาความลบของขอมล (Confidentiality) คอการทาใหม นใจวามเฉพาะผท มสทธ J หรอไดรบอนญาตเทาน 4น ท สามารถเขาถงขอมลได
2.การรกษาความถกตองของขอมล (Integrity) คอมกลไกการตรวจสอบสทธ J ในการอนญาตใหเปล ยนแปลงหรอแกไขขอมลได
3.ความพรอมใช (Availability) หมายถง การทาใหระบบสารสนเทศสามารถตอบสนองความตองการของผใชงานท มสทธ Jเขาถงระบบไดตามตองก
2
1.2 ปญหาและแรงจงใจ ปญหาท ทาใหองคกรสวนใหญ ยงไมมมาตรฐานสาหรบใชเปนแนวทางในการปฎบตใน
การรกษาความม นคงปลอดภยระบบสารสนเทศขององคกร อนเปนสาเหตใหเกดชองโหวและ ภยคกคาม สามารถสรปไดดงน4
1.2.1 ผบรหารระดบสงไมใหการสนบสนน เพราะขาดความเขาใจในเร องการรกษา
ความม นคงปลอดภยระบบสารสนเทศ ทาใหไมตระหนกถงผลของความเสยหายท จะเกดข4นจากภยคกคาม และไมใหความสาคญ หรอใหความสาคญนอยกวาเร องอ นๆ
1.2.2 ผบรหารหนวยงานระบบสารสนเทศขาดความรความเขาใจ หรอไมมการนาเอาแนวทางการปฎบต ของมาตราฐานสากลทางดานความม นคงปลอดภย มาเลอกประยกตใชกบองคกร เพ อใหครอบคลมความเส ยงท จะเกดข4นใหไดมากท สด สวนใหญจะกาหนดมาตรการหรอแนวทางการปฎบตหลงจากมเหตการณเกดข4นแลว
1.2.3 ความกาวหนาทางเทคโนโลยสารสนเทศท เกดข4นอยางรวดเรว ทาใหมาตรการดานความม นคงปลอดภยท ใชอยปจจบนไมทนสมย เน องจากไมมการทบทวนใหทนตอเหตการณอยเสมอ
1.2.4 บคลากรในหนวยงานสารสนเทศมจานวนจากด ทาใหผบรหารของหนวยงานตองใหความสาคญกบงานท ตองทาประจาวน หรองานแกปญหาเฉพาะหนากอน
1.2.5 ขาดผเช ยวชาญทางดานการรกษาความม นคงปลอดภยสารสนเทศ 1.2.6 ขาดการประเมนถงชองโหว และภยคกคาม ทาใหไมตระหนกถงความเส ยง
และผลกระทบจากความเส ยงท จะเกดข4น 1.2.7 ผใชงานระบบสารสนเทศและผท เก ยวของ ไมไดรบการฝกอบรม ใหเรยนร
วธการปฎบต และตระหนกถงผลกระทบของความเสยหาย ในดานการรกษาความม นคงปลอดภย
ดงน 4น การท จะจดทาองคกรใหมมาตรฐานในดานการรกษาความม นคงปลอดภย
โดยการจดทานโยบายรกษาความม นคงปลอดภยระบบสารสนเทศ และนาไปปฎบตใหประสบความสาเรจไดดวยดน 4น ควรจะตองมการใหความรความเขาใจในเร องการรกษาความม นคงปลอดภย และตระหนกถงผลกระทบจากความเสยหายท จะเกดข4นจากความเส ยง แกผบรหารทกระดบช 4น และบคลากรขององคกร รวมท 4งบคคลภายนอกผท เก ยวของกบระบบสารสนเทศ เพ อใหการดาเนนงานประสบความสาเรจไปไดดวยด
3
1.3 วตถประสงคของโครงงาน 1.3.1 เพ อศกษามาตรฐานความม นคงปลอดภยสารสนเทศ ISO27001 1.3.2 จดทานโยบายในการใชเทคโนโลยสารสนเทศขององคกร 1.3.3 ประเมนความเส ยง ในการใชงานเทคโนโลยสารสนเทศ ขององคกรกรณศกษา 1.3.4 ทาใหองคกรทราบถงความเส ยงท จะเกดภายในองคกร จากการวดผลโดยใช มาตรฐาน ISO27001 1.3.5 พฒนาแนวทางการรกษาความม นคงปลอดภยตามมาตรฐาน ISO27001มาประยกตใชงานในองคกรกรณศกษา 1.3.6 เพ อใชเปนเคร องมอชวยในการตดสนใจของผบรหาร ในการวางแผนดานความม นคงปลอดภยของขอมลสารสนเทศ ทาใหระบบสารสนเทศท เก ยวของกบธรกจขององคกร สามารถดาเนนไปไดอยางตอเน องและมความม นคงปลอดภย เพ มมากข4น
1.4 ขอบเขตโครงงาน �.).� ขอบเขตของโครงงาน �
- ใหความรความเขาใจในการจดทาระบบแกผบรหารและจดต 4งคณะกรรมความม นคงปลอดภยทางสารสนเทศในองคกร
- กาหนดขอบเขตของการจดทา Information Security Management System (ISMS) หรอระบบบรหารความม นคงปลอดภยสารสนเทศโดยเปนการกาหนดในภาพรวมท 4งหมดและทาการประชมเพ อใหความรความเขาใจในการจดทาโครงงาน
- จดทารายการทรพยสนในสวนท เก ยวของกบขอมลสารสนเทศของ องคกร(Inventory information assets) โดยเลอกจดทาในหองศนยขอมล
- ระบวธการในการประเมนความเส ยง (Define risk assessment method) - การวเคราะหและประเมนความเส ยงดานความปลอดภยสารสนเทศ
(Conduct information security risk assessments) - จดทารายงานการเพ อสรปผลการประเมนความเส ยง (Risk Assessment
Report) - จดทาเอกสารแสดงการประยกตใชงาน Statement of Applicability (SOA)
4
�.).* ขอบเขตของโครงงาน *
- การฝกอบรมภายในองคกรเพ อสรางองคความรดานความม นคงปลอดภย สารสนเทศ รวมไปถงการบรหารงานและการจดการทรพยากรของ หองศนยขอมล
- ประสานงานกบสวนท มความเก ยวของและเสนอวธการจดการความเส ยงทางความม นคงปลอดภยสารสนเทศ โดยระบถงวธการดาเนนงาน ระยะเวลา ผรบผดชอบข 4นตอนในการปฏบตงาน และหนาท ความรบผดชอบในการดาเนนการเพ อใหบรรลจดมงหมายท ต 4งไว
- ดาเนนการตามแผนบรหารจดการความเส ยงพรอมตดตามผล และตรวจสอบเร องความเส ยงท เหลออยรวมไปถงความเส ยงท อยในระดบท สามารถยอมรบได
- การปรบปรงแผนความม นคงปลอดภยสารสนเทศจากส งท พบจากการเฝาทบทวนตดตามพรอมบนทกผลการดาเนนการ
- ทาการประเมนความเส ยงหลงดาเนนโครงการ เพ อวดประสทธผลของการจดทานโยบายดานความม นคงปลอดภยขอมลสารสนเทศของ หองศนยขอมล
- สรปผลการดาเนนการของโครงงาน 2
1.5 ประโยชนท�คาดวาจะไดรบจากโครงงาน 1.5.1 องคกรมการนามาตรฐาน ISO27001มาปรบใช ตามความเหมาะสมและ ม
นโยบายดานความม นคงปลอดภยสารสนเทศในสวนท มความจาเปน 1.5.2 องคกรไดรบทราบถงความเส ยงและมาตรการท ใชในการแกไขเพ อจะไดนาไป
ปรบปรงแกไขตอไป 1.5.3 ผบรหารขององคกรทราบถงความเส ยงท อาจเกดข4นและพนกงานท มสวน
เก ยวของกบการใชเทคโนโลยสารสนเทศ มความรความเขาใจดานความม นคงปลอดภยสารสนเทศมากข4น
5
1.6 แผนการดาเนนงาน
โครงงาน 1
ตาราง 1.1 ตารางการดาเนนงานโครงงาน 1
แผนดาเนนการ รายสปดาห
พฤศจกายน ธนวาคม มกราคม กมภาพนธ มนาคม
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
1. ขอการสนบสนนจากทางผบรหารในการจดทาโครงงาน
2. ศกษานโยบาย โครงสราง ระบบการทางานและกาหนดขอบเขต
3. ตรวจสอบและจดทารายการทรพยสน
4. Risk Assessment (ประเมนความเส ยงกอน)
5. จดทาแนวทางในการจดการความเส ยง
6. จดทาเอกสารแสดงการประยกตใชงาน Statement of Applicability
7.สรปผลการดาเนนการโครงงาน 1
6
โครงงาน 2 ตารางท� 1.2 ตารางการดาเนนงานโครงงาน 2
แผนดาเนนการ รายสปดาห
พฤศจกายน ธนวาคม มกราคม กมภาพนธ มนาคม
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
1. จดทาแผนในการบรหารจดการความเส ยง
2. การฝกอบรมในองคกร
3. ดาเนน การตามแผนบรหารจดการความเส ยง
4.ปรบปรงแผนบรหารจดการความเส ยง
5.Risk Assessment (ประเมนความเส ยงหลง)
7.สรปผลการดาเนนการโครงงาน 2
7
บทท� 2
ทฤษฎท�เก�ยวของ 2.1 ความม �นคงปลอดภยของระบบสารสนเทศ
การรกษาความม นคงปลอดภยสารสนเทศมจดประสงคหลกเพอปกปองขอมล และระบบสารสนเทศขององคกรจากผไมประสงคดทตองการขอมลแตอาจเปนผทไมมสทธในการเขาถง ในการอานหรอการใชงานขอมลระบบสารสนเทศ รวมถงตองการขดขวางการใชงานหรอการใหบรการ และการแกไขเปลยนแปลงขอมล และการทาสาเนาขอมลอกดวย
การรกษาความม นคงปลอดภยดานระบบสารสนเทศ ประกอบดวยการรกษาคณคาพ1นฐาน 3 ประการ นยมเรยกส 1นๆวา CIA[4] ไดแก การรกษาความลบ (Confidentiality) ความสมบรณ (Integrity) และความพรอมใชงาน (Availability)
การรกษาความลบ (Confidentiality) หมายถง การรกษาความลบของขอมลโดยจะ
อนญาตใหเขาถงและเปดเผยไดเฉพาะผทไดรบอนญาตเทาน 1น ซงเปนการปกปองขอมลจากผทไมไดรบอนญาตโดยมกลไกทใชในการรกษาความลบ เชน กลไกการเขารหสขอมล
ความสมบรณ (Integrity) ของขอมลสารสนเทศ คอความถกตองและความครบถวน
โดยความสมบรณม O องคประกอบคอ ความสมบรณของขอมล (Data Integrity) และความสมบรณของระบบ(System Integrity) ความสมบรณของขอมลหมายถง สารสนเทศและโปรแกรมการใชงานไมมการเปลยนแปลโดยไมไดรบอนญาต ความสมบรณของระบบหมายถงการทระบบไมมการเปลยนแปลงใดๆโดยไมไดรบอนญาต มความถกตองความลมเหลวดานความสมบรณน1ไดแก การเขาถงเครอขายไดโดยไมไดรบอนญาต, การแกไขเปลยนแปลงหรอลบขอมลโดยไมสามารถตรวจสอบไดวาใครทา
ความพรอมใชงาน (Availability) หมายถงระบบอยในสภาพพรอมทใหบรการ
ตลอดเวลา แมระบบจะมชวงการหยดใหบรการตามกาหนดการ (Planned Downtime) กสามารถยอมรบได เชน การหยดใหบรการเพอปรบปรงหรอเปลยนแปลงระบบ แตไมนบการหยดใหบรการโดยไมมการวางแผนลวงหนา (Unplanned Downtime) อนเปนผลมาจากความลมเหลวขององคประกอบใดๆในระบบ
2.2 มาตรฐานการรกษาความม �นคงปลอดภยขอมล
การรกษาความม นคงปลอดภยขอมลในปจจบนน1มแมแบบของการบรหารความปลอดภยหลายแบบซงข1นกบผใหบรการทแตกตางกนไป แตมาตรฐานทไดรบความนยมทสด และไดถกกาหนดใหเปนมาตรฐานนานาชาตคอ BS 7799 ซงเปนขององคกรทมชอวา
8
The International Organization of standardization (ISO) และ The International Electrotechnical Commission (IEC) ซงประกอบดวย หลกการทสาคญ 2 สวนคอ
- BS7799-1 ซงตอมาไดเปลยนเปนมาตรฐาน ISO/IEC 17799 : Information Technology – Code of Practice for Information Security Management
- BS7799-2 ซงตอมาไดเปลยนเปนมาตรฐาน ISO 27001 : Information Security Management : Specification with Guidance for Use
BS 7799-1 (ISO/IEC17799) เปนมาตรฐานทกลาวถงวธปฏบตในการการประเมนและจดการความเสยง รวมไปถงการเปนแนวทางในการควบคมตามมาตรฐาน ISO/IEC 27001 ซงเน1อหาของขอกาหนดน 1นจะไดกลาวถงการบรหารจดการระบบความม นคงปลอดภยสารสนเทศ สวนของรายการควบคมและวตถประสงคของการควบคมอกดวย ท 1งน1 BS7799-1 ไดบอกถงวธปฏบตในการลดความเสยงของระบบโดยแบงออกเปนหมวดหมจานวน 11 หมวดหลก
BS 7799-2 (ISO/IEC27001) เปนมาตรฐานเกยวกบการบรหารการรกษาความม นคงปลอดภยของขอมล ซงใชเปนแนวทางในการสราง ดแลรกษา และปรบปรงระบบบรหารการรกษาความม นคงปลอดภยขอมล (Information Security Management System (ISMS)) โดยแนวทางในการบรหารการรกษาความม นคงปลอดภยของขอมลน 1นจะมโครงสรางทเรยกวา Plan-Do-Check-Act Cycle[2] ซงประกอบไปดวยข 1นตอน การวางแผน (Plan) การลงมอทา (Do) การตรวจสอบ (Check) และการปรบปรงแกไข (Act)
ซงมกระบวนการตามรป
รป 2.1 กระบวนการ PDCA
9
โดยกระบวนการ ISMS มการปฏบตงานในรปแบบ วางแผน – ปฏบต– ตรวจสอบ – ปรบปรงแกไข (Plan – Do – Check – Act (PDCA)) ดงน1
n) การวางแผน (Plan) คอ การวางแผนดาเนนการตามกระบวนการ ISMS ข 1นตอนแรก
องคกรตองระบขอบเขต และนโยบายในการสรางความม นคงปลอดภยขององคกร และทาการประเมนความเสยงตามขอบเขต และนโยบายทไดระบไว เพอใหสามารถระบความเสยงทมอย และพจารณาแนวทางในการจดการความเสยงน 1น รวมท 1งระบความเสยงทหลงเหลอ ใหอยในระดบทองคกรยอมรบได
O) การปฏบต (Do) คอ การดาเนนการจดการกบความเสยงตามแนวทางจดการความเสยงทไดจากข 1นตอนแรก ระบวธการพจารณาประสทธภาพของแนวทางจดการความเสยง และสรางความตระหนกในการปฏบตตามแนวทางจดการความเสยง เพอใหแนวทางจดการความเสยงดาเนนไปอยางมประสทธภาพ
o) การตรวจสอบ (Check) คอ การเฝาระวงแนวทางจดการความเสยงทไดดาเนนการไป และทบทวนประสทธภาพของแนวทางจดการความเสยงตามแนวทางทไดระบไว รวมถงดาเนนการประเมนความเสยงซ1า และตรวจสอบกระบวนการตามระยะเวลาทเหมาะสม โดยใหสอดคลองกบการเปลยนแปลงทสาคญของสารสนเทศ หรอการเปลยนแปลงขององคกร
q) การปรบปรงแกไข (Act) คอ การพฒนากระบวนการ ISMS ตามผลประเมนความเสยง และการตดตามผลทได ขอกาหนดทางดานเอกสาร เอกสารใน ISMS จะประกอบดวย
1. เอกสารแสดงนโยบาย ISMS และวตถประสงค 2. ขอบเขตของ ISMS 3. วธการปฏบตงาน และการควบคมเพอสนบสนนตอ ISMS 4. คาอธบายเกยวกบวธการประเมนความเสยง 5. รายงานการประเมนความเสยง 6. แผนการจดการความเสยง 7. เอกสารวธการปฏบตงานทจาเปนสาหรบองคกร เพอใหม นใจไดถงความมประสทธผลในการวางแผน การดาเนนการ และการควบคมกระบวนการความม นคงปลอดภยสารสนเทศ และอธบายถงแนวทางในการวด ความมประสทธผลของการควบคม 8. บนทกทจาเปนสาหรบมาตรฐาน 9. เอกสาร Statement of Applicability
10
การควบคมเอกสารและบนทก เอกสารทกาหนดโดย ISMS จะตองไดรบการปกปองดแลและควบคม ท 1งน1จะตองมการ
จดทาเอกสารระเบยบการ ปฏบตงานสาหรบการควบคมเอกสาร โดยระบถง
1. การอนมตเอกสารกอนนาไปใชงาน 2. การทบทวน และปรบปรงเอกสารใหทนสมย รวมถงมการอนมตชา 3. การดแลการเปลยนแปลง และสถานะลาสดของเอกสาร 4. การดแลใหเอกสารฉบบทเกยวของ อย ณ จดใชงาน 5. เอกสารจะตองสามารถอาน และทาความเขาใจไดงาย 6. การดแลใหเอกสารพรอมสาหรบผทตองการใชงาน 7. การระบอยางชดเจนถงเอกสารจากภายนอกทมการนามาใชงาน 8. การควบคมการแจกจายเอกสาร 9. การปองกนการใชงานเอกสารทยกเลกแลว 10. การช1บงอยางเหมาะสมกรณมการนาเอกสารทยกเลกแลวกลบมาใชงาน
ความรบผดชอบของฝายบรหาร
ผบรหารระดบสงขององคกร จะตองแสดงใหเหนถงความมงม นตอการจดทาการนาไปปฏบตการปฏบตการ การเฝาตดตาม การทบทวน การบารงรกษา และการปรบปรง ISMS โดยการ
1. จดทานโยบาย ISMS 2. การดแลใหมการจดทาวตถประสงคของ ISMS 3. การกาหนดบทบาท หนาทความรบผดชอบสาหรบการดแลความม นคงปลอดภยสารสนเทศ 4. การสอสารถงความสาคญของการดาเนนการตามนโยบาย และวตถประสงคความม นคงปลอดภยสารสนเทศ 5. การจดใหมทรพยากรอยางเพยงพอ สาหรบการจดทา การนาไปปฏบต การดาเนนงาน การเฝาตดตาม การทบทวน การดแลรกษา และการปรบปรง ISMS 6. การตดสนใจเกยวกบเกณฑการยอมรบ และระดบของความเสยงทสามารถยอมรบได 7. การดแลใหมการตรวจประเมนภายใน (Internal ISMS audit) 8. การดาเนนการทบทวนโดยฝายบรหาร
2.3 การบรหารจดการความเส�ยง (Risk Management) [5] องคกรในปจจบนมกไมคอยมความเขาใจในเรองการบรหารจดการความเสยงจงอาจกอเปนความเสยหาย แลวจงหาแนวทางในการปองกนปญหา ดงน 1นการใชมาตรการในการบรหาร
11
จดการความเสยง จะชวยลดความเสยหายของเหตการณทจะทาใหเกดความเสยหายน 1นจะเกดข1นจรง โดยมาตรฐาน ISO27001 ไดระบถงการประเมนความเสยงเกยวกบการสรางและการบรหารจดการ ISMS (Establishing and managing the ISMS) ซงในทางปฏบตจะตองนาเอา ISO/IEC27005 เปนแนวทางปฏบตในดานการบรหารจดการความเสยงทเกดข1นโดยระบไดเปน
ความเสยง (Risk) คอ เหตการณทสงผลกระทบแกความม นคงปลอดภยน 1นอาจเกดข1นภายใตสถานการณทไมแนนอนหรออาจมมลคาเปนตวเงนหรอไมกไดหรอปญหาใดๆ แตเมอเกดข1นแลวมผลกระทบในทางลบ หรอสรางความเสยหายได โดยการวดจากความรนแรงของผลกระทบทเกดจากปญหา (Impact) และโอกาสทจะเกดปญหา (Likelihood)
ความเสยงทางดานความม นคงปลอดภยของสารสนเทศ (Information security risk) คอ การทภยคกคาม (Threat) สามารถใชชองโหว (Vulnerability)เปนชองทางทใชในการโจมตซงอาจมอยในระบบคอมพวเตอรและเครอขายทผไมหวงดสามารถใชประโยชนจากจดออนน1เปนชองทางในการโจมตได แตท 1งน1 ชองโหวตางๆยอมมระดบความยากงายตอการโจมต โดยสรางปญหาทางดานความม นคงปลอดภย หรอสรางความเสยหายแกทรพยสนขององคกรได การประเมนความเสยง[5] (Risk Assessment) การประเมนความเสยงเปนแนวทางหนงในการประเมนภยคกคามและจดออนจดบกพรองขององคกร เพอใหทราบถงระดบความเสยงทอาจเกดข1นกบ ความลบ ความคงสภาพและสภาพความพรอมใชซงเปนองคประกอบของความม นคงปลอดภยสารสนเทศขององคกร ซงจะตองอาศยความรวมมอจากทกฝายในการดาเนนการเพอใหการประเมนความเสยงน 1นเปนไปอยางมประสทธภาพ ซงประกอบดวย การกาหนดขอบเขต การเกบรวบรวมขอมล วเคราะหนโยบายและระเบยบปฏบต การวเคราะหภยคกคาม การวเคราะหจดออน จดบกพรองหรอชองโหว
รป 2.2 แผนภาพการแผนการประเมนความเสยง
ทมา http://www.scan-associates.net/services_risk.htm
12
2.4 การวเคราะหความเส�ยง(Risk Analysis) [5] ระบบบรหารความเสยง หมายถง ระบบการบรหารปจจยและกจกรรมควบคม รวมท 1งกระบวนการดาเนนการตาง ๆ ทจะทาใหสามารถลดมลเหตของแตละโอกาสททาใหเกดความเสยหายลงได เพอใหระดบของความเสยงและผลกระทบทเกดข1นในอนาคตอยในระดบทสามารถรบได ประเมนได ควบคมได และตรวจสอบไดอยางมระบบ โดยคานงถงการบรรลเปาหมายขององคกร
1. ประเมนความเสยง (Risk Assessment) เปนการประเมนความเสยงขององคกร วามวตถประสงคอะไร และมความเสยงอะไรบาง ททาใหไมบรรลวตถประสงคและความเสยงน 1นมนยสาคญเพยงใด โดยการจดลาดบความเสยง และการหาแนวทางการควบคม (กจกรรมทปฏบต) เพอปองกน หรอลดความเสยงน 1นๆ มข 1นตอนดงน1
1.1 การระบปจจยเสยง (Risk Identification) ท 1งน1จะตองศกษาวตถประสงคและเปาหมายขององคกร ซงจะสอดคลองกบภารกจ (Mission) แบงออกเปน O ระดบ คอ
1.1.1 วตถประสงคระดบองคกร (Entity – Level Objectives) เปนวตถประสงคตามแผนกลยทธขององคกร หรอแผนปฏบตราชการ q ป (พ.ศ. O}q~ – 2551) 1.1.2 วตถประสงคระดบกจกรรม (Activity–Ievel Objectives) เปนวตถประสงคของการดาเนนงานทเฉพาะเจาะจงสาหรบแตละกจกรรมในแตละหนวยงาน ซงวตถประสงคของแตละกจกรรมน 1นจะตองสนบสนน และสอดคลองกบวตถประสงคในระดบองคกรดวย
1.2 การวดและประเมนความเสยง (Risk Measurement) ท 1งน1ตองศกษาวาอะไรเปนปจจยเสยงและมความเสยงอยางไร ดานการดาเนนงาน งบประมาณ กลยทธ ในการวเคราะหจะดถงสาเหต (Cause) ของการเกด วามโอกาส (Opportunity) มากนอยเพยงใด และเมอเกดแลวมผลกระทบ (Effect) มากนอยเพยงใด ซงในผลกระทบน 1นจะดในดานการเงน ผรบบรการบคลากร เวลา และความสาเรจ
1.3 การจดลาดบความเสยง (Risk Prioritization) เมอเทยบความเสยง เรองโอกาสและผลกระทบแลวจะตองมาจดลาดบวาความเสยงน 1นมนยสาคญเพยงใด โดยการจดลาดบความเสยงจากมากไปหานอย มข 1นตอนการวเคราะห ดงน1
1.3.1 ประเมนระดบความสาคญของปจจยเสยง คอประเมนวาปจจยเสยงแตละปจจยหากเกดข1นแลวมผลกระทบตอองคกรมากนอยเพยงใด 1.3.2 ประเมนความเสยงทปจจยเสยงจะเกดข1น คอ พจารณาวา ปจจยเสยงทไวเรยงลาดบความสาคญไวแลวน 1น มโอกาสทจะเกดข1น มากนอยเพยงใด
13
1.3.3 เลอกเทคนคการวเคราะหความเสยงทเหมาะสมโดยอาจจะวเคราะหในรปตวเลข
2. การบรหารความเสยง (Risk Management) เมอวเคราะหและจดลาดบความเสยงทมนยสาคญและโอกาสทเกดความเสยง รวมท 1งวเคราะหสาเหตททาใหเกดความเสยงและพจารณาหาวธหรอกาหนดกจกรรมการควบคมตางๆ เพอปองกนความเสยงน 1นๆ วธการมหลายวธ เชน หลกเลยง ยอมรบ ควบคม หรอถายโอน มความเสยงขององคกรบางอยางทผบรหารไมสามารถควบคมได เพราะมาจากภายนอกองคกร เชน ภาวะเงนเฟอทาใหคากอสรางสง ซงผบรหารไมสามารถควบคมได
14
บทท� 3 วธการดาเนนงาน
3.1 ข �นตอนในการดาเนนการ
หลงจากหวขอในการทารายงานแลวไดทาการปรกษากบทางบรษท และเม�อไดรบอนญาตจากทางบรษทและหวหนางานแลว ทางผจดทาไดมการนาเอามาตรฐาน ISO/IEC 27001 (Information security management systems) ซ�งระบถงขอปฏบตท�ควรดาเนนการเพ�อใหไดมาซ�งความม �นคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ มาประยกตใชในการประเมนความเส�ยง และจดทาแนวทางปฏบตดานความม �นคงปลอดภย กบบรษท โดยมข LนตอนในการดาเนนงานดงนL
รปท� 3.1 ข Lนตอนการปฏบตงานโครงการ
ศกษาคนควางานวจยตางๆ และศกษาทฤษฏท�เก�ยวของ
ศกษาองคกร และเร�มจดทานโยบายเทคโนโลยสารสนเทศเพ�อนาเสนอ
กาหนดขอบเขตในการจดการดานความม�นคงปลอดภยในการใชงาน
และทาการจเทคโนโลยสารสนเทศ และเกณฑในการบรหารความเส�ยง
ประเมนความเส�ยงในการใชงานเทคโนโลยสารสนเทศตามของเขต
สรปผลการประเมนความเส�ยง และกาหนดแนวทางจดการความเส�ยง
จดทาแนวทางปฎบตดานความม�นคงปลอดภย ตามแนวทางจดการ
ความเส�ยง
ประเมนความเส�ยงในการใชงานเทคโนโลยสารสนเทศ หลงจดการความเส�ยง
15
3.2 รายละเอยดของวธการดาเนนการ
รายละเอยดของข Lนตอนการดาเนนงานแตละข Lนตอน ดงนL 3.2.1 ศกษางานวจยและมาตรฐานตางๆ ท�เก�ยวเน�องกบงานวจย รวมถงทาความเขาใจ
มาตรฐาน และทฤษฎท�เก�ยวของ เพ�อกาหนดแนวทางการดาเนนโครงการตามทฤษฎ และมาตรฐานเร�องการประเมนความเส�ยงและเร�องแนวทางในการใชงานเทคโนโลยสารสนเทศในองคกร
3.2.2 ศกษาระบบสารสนเทศในองค ซ�งการศกษาองคกรและระบบสารสนเทศในองคกร
โดยศกษาจากขอมลพLนฐานขององคกร และความคดเหนของผบรหารองคกร ดวยวธการสมภาษณ เพ�อใหผศกษาทราบถงความตองการ ในเร�องความม �นคงปลอดภยในการใชงานสารสนเทศ และใชเปนขอมลในการกาหนดขอบเขตการดแลดานความม �นคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ และเกณฑในการบรหารความเส�ยง
3.2.3 กาหนดขอบเขตการดแลดานความม �นคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ และเกณฑในการบรหารความเส�ยง การกาหนดขอบเขตการดแลดานความม �นคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ และเกณฑในการบรหารความเส�ยง โดยกาหนดตามความตองการ ความม �นคงปลอดภยในการใชงานสารสนเทศ ท�ไดจากการศกษาองคกร เพ�อใหองคกรสามารถจากดขอบเขตท�สาคญ ในการดแลดานความม �นคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ และกาหนดเกณฑในการบรหารความเส�ยงท�จาเปนตามความตองการดาเนนการจดทา ISMS policy และทาการจดเรยงอปกรณท�จะทาการประเมนความเส�ยง
3.2.4 ประเมนความเส�ยงในการใชงานเทคโนโลยสารสนเทศ การประเมนความเส�ยง
โดยการระบความเส�ยง ประเมนระดบความเส�ยง และจดลาดบความเส�ยงตามเกณฑในการบรหารความเส�ยง เพ�อใหองคกรสามารถทราบถงความเส�ยง รวมถงวางแผนจดการความเส�ยงท�จาเปน และคมคาตอการจดการได ซ�งผศกษาไดเลอกใชวธการระบความเส�ยง โดยการ การเปรยบเทยบกบมาตรฐาน หรอวธปฏบตท�ด
3.2.5 กาหนดแนวทางในการจดการความเส�ยง ตดตามผลจากการประเมนความเส�ยง โดยการกาหนดโดยพจารณาตาม หลกการควบคมความม �นคงปลอดภยตามมาตรฐาน ISO 27001 และวธจดการความเส�ยง โดยพจารณาตามแนวทางจดการความเส�ยงท�เหมาะสมตามองคกร และความคมคาของการจดการความเส�ยง
16
3.2.6 จดทาแนวทางปฏบตดานความม �นคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศ การจดทาแนวทางปฏบตดานความม �นคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศตามแนวทางจดการความเส�ยงท�กาหนดไว โดยการระบการปฏบตงานท�องคกรตองทา ตามแนวทางการจดการความเส�ยงและหลกการควบคมทางดานความม �นคงปลอดภยของมาตรฐาน ISO/IEC 27001 ซ�งผศกษาจะจดทาในรปแบบวธการ (Procedure) ผสมผสานกบแนวปฏบตท�ด (Guideline) เพ�อใหมวธการปฏบตท�เขากบการดาเนนงานขององคกรกรณศกษา และงายตอการนาไปปฏบตจรง
3.2.7 ประเมนความเส�ยง ในการใชงานเทคโนโลยสารสนเทศขององคกรกรณศกษาหลงจากการจดการความเส�ยง เพ�อประเมนรวมถงตดตามการปฏบตงานวาหลงจดทาตามแผนจดการความเส�ยงและการทาแนวทางปฏบตแลว ทาใหความเส�ยงท�เกดในการใชงานเทคโนโลยสารสนเทศขององคกรลดลงหรอมการจดการท�ดและมกระบวนการปองกนท�เปนระบบมากขLนและความเส�ยงลดลงหรอไม
17
3.3 รายการทรพยสนในหองศนยขอมลองคกรกรณศกษา แบงตามประเภทขอทรพยสน 5 ประเภทไดดงตอไปน� ตาราง 3.1 ตารางแสดงรายการทรพยสนภายในศนยคอม
ประเภท รายละเอยด รายการ Hardware Network Firewall (MAD0529-1105)
Rounter (MAD0529-1108) Switch Zone IT (MAD0529-10010) Switch Zone Offices (MAD0529-10011) Server Server ระบบปฎบตการ (MAD0530-1110) -Active Directory -Antivirus (MAD0530-1090) Log-Server (MAD0530-1112) Server ระบบใหบรการ (MAD0530-1120) -Mail Server -Intranet Server Server ระบบการจองพLนท� (MAD0530-1103) Equipment UPS (MAD0540-1345) Air Conditioning (A/C) Fire Protection CCTV (กลองวงจรปด) (MAD0540-1213)
ประเภท รายละเอยด รายการ Software Operating System Windows Server
Linux Package software โปรแกรมจดการพLนท� Web Server Software Mail Server Software
18
ตาราง 3.1 ตารางแสดงรายการทรพยสนภายในศนยคอม (ตอ) ประเภท รายละเอยด รายการ Information Digital Information
-Mail Server ขอมลในระบบอเมลของบรษท -Webserver (intranet-ขอมลภายในบรษท) -โปรแกรมจดการพLนท� ขอมลเก�ยวกบการจองพLนท�รวมถงขอมลใน
การจด Event ตางๆ -ขอมลท �วไปบรษท เอกสารของทางแผนก IT
ประเภท รายละเอยด รายการ Personal หวหนาแผน
ผใชงานท �วไป ผดแลระบบ
Services ผใหบรการ Internet ฝายดแลพLนท�
19
3.4 การประเมนความเส�ยง เปนการประเมนระดบความเส�ยงจากเหตการณตางๆ ท�มผลกระทบตอองคกรโดย
ความเส�ยงน Lนคานวณไดจากความรนแรงของผลกระทบและโอกาสท�จะเกดขLน โดยการประเมนความเส�ยง เปนกระบวนการท�ประกอบดวย การวเคราะห การประเมน
และการจดระดบความเส�ยงท�มผลกระทบตอการบรรลวตถประสงคของกระบวนการทางานขององคกร ซ�งในกรณศกษาจะทาการประเมนความเส�ยงตามหลกเกณฑดงตอไปนL
3.4.1 หลกเกณฑท �วไป หลกเกณฑผลกระทบ (Impact Criteria)ใหพจารณาผลกระทบของเหตการณความ
เสยหายท�ระบได ดงนL - ทาใหสญเสยความลบของทรพยสน - ทาใหสญเสยความครบถวนถกตองของทรพยสน - ทาใหสญเสยความพรอมใชของทรพยสน - ทาใหเกดผลกระทบดานการเงนของบรษทฯ - ทาใหเกดผลกระทบดานช�อเสยงของบรษทฯ ข Lนตอนปฏบตในการประเมนความเส�ยงดานเทคโนโลยสารสนเทศ (Information
Security Risk Assessment Process) การประเมนความเส�ยงดานเทคโนโลยสารสนเทศประกอบดวยข LนตอนดงนL
3.4.2 การระบความเส�ยง การระบทรพยสน (Assets Identification) สามารถแบงประเภทของทรพยสนของ
องคกรออกเปน 5 ประเภทใหญดงตอไปนL สารสนเทศ (Information) โดยสารสนเทศอาจอยในหลายรปแบบท Lงขอมลท�
เปน เอกสารตางๆ เชนขอมลทางบญชตาง ท Lงขอมลท�เปนในรปแบบไฟลตางๆ เชนเอกสารของทางแผนกบคคล เปนตนซ�งเปนขอมลท�มความสาคญตอบรษทหรออาจเปนขอมลท�มผลทางกฎหมายซ�งขอมลดงกลาวตองเปนความลบ หรอเขาถงไดเฉพาะผท�เก�ยวของ ซอฟตแวร (Software) ทรพยสนในรปซอฟตแวร ประกอบดวยระบบปฏบตการ โปรแกรมประยกต โปรแกรมระบบสารสนเทศ โปรแกรมชวยในการพฒนาตางๆ (Development tools) ซ�งเม�อเกดความเสยหายแลวอาจทาใหงานหยดชะงกหรอไมสามารถดาเนนไดอยางตอเน�อง ฮารดแวร (Hardware) ทรพยสนในรปฮารดแวร ประกอบดวยเคร�องคอมพวเตอร อปกรณสานกงาน อปกรณส�อสารตาง รวมถง ส�อในการจดเกบขอมลตางๆ ซ�งหากเกดความเสยหายขLนจะ ทาใหองคกร หรอระบบงานท�เก�ยวของหยดชะงก หรอถาขอมลถกเปดเผยไปสภายนอกแลวทาใหเกดความเสยหายตอองคกร
20
พนกงาน (Personal) พนกงานสวนงานตางท�เก�ยวของ เชน หวหนาแผนก หมายถงผควบคมดแลในสวนงานน Lนๆ ผใชงาน หมายถง พนกงานท�มหนาท�เก�ยวของกบการใชงานสารสนเทศ ผดแลระบบ หมายถง พนกงานท�มหนาท�ดแลระบบสารสเทศ
การกาหนดเกณฑการประเมนความเส�ยง การกาหนดเกณฑการประเมนความเส�ยง ไดแก ระดบโอกาสท�จะเกดความเสยหาย (Likelihood) ระดบความรนแรงของผลกระทบ (Impact) และระดบของความเส�ยง (Degree of Risk) โดยคณะทางานบรหารความเส�ยงระดบกรมไดกาหนดเกณฑการประเมนความเส�ยงขององคกร
ตารางเกณฑในการประเมนความรนแรงของโอกาส
เกณฑท�ใชในการประเมนระดบโอกาสการเกดแบงเปน 5 ระดบท�มความเก�ยวของคอ
ตาราง 3.2 เกณฑการประเมนโอกาสในการเกด
ระดบ คาอธบาย
สงมาก (5) มโอกาสเกดขLนเปนประจา เชน เกดขLนทกวน เปนตน
สง (4) มโอกาสเกดขLนสง/บอย เชน เกดขLนทกสปดาห เปนตน
ปานกลาง (3) มโอกาสเกดขLนบางคร Lง เชน เกดขLนทกเดอน เปนตน
นอย (2) มโอกาสเกดขLนนอย เชน เกดขLนทกป เปนตน
นอยท�สด (1) ไมเคยเกดขLน/แทบไมมโอกาสเกดขLน
21
ตารางเกณฑในการประเมนความรนแรงของผลกระทบ
เกณฑท�ใชในการประเมนระดบของผลกระทบแบงเปน 5 ระดบคอ (1)นอยสด (2)นอย (3)ปานกลาง (4)สง (5)สงสด โดยยดผลกระทบหลก 3 ดานคอ ดานการเงน ดานภาพพจน ดานการปฎบตงาน
โดยในการเลอกคานวณผลกระทบ จะเลอกผลกระทบในดานท�มระดบผลกระทบมากท�สดมาใชในการคานวณเพ�อประเมนความเส�ยง
การประเมนคาผลกระทบดานการเงน พจารณาจากมลคาของทรพยสนในปจจบนท�ไดรบผลกระทบจากเหตการณความเสยหายหน�งๆ
คาผลกระทบดานการเงนในเชงคณภาพสามารถกาหนดไดตามตาราง ตาราง 3.3 เกณฑการประเมนคาผลกระทบดานการเงน
ดานการเงน (F) ระดบผลกระทบ คาอธบาย สงมาก (5) มผลกระทบตอความอยรอดของบรษท หรอเสยหายในวงเงน
มากกวา 1 ลานบาท สง (4) มผลกระทบระดบรนแรง กอใหเกดความเสยหายมา หรอ
เสยหายในวงเงนไมเกน 5 แสนบาท ปานกลาง (3) มผลกระทบปานกลาง กอใหเกดความเสยหายพอควรหรอ
เสยหายในวงเงนไมเกน 1 แสนบาท นอย (2) มผลกระทบบางแตไมรนแรง กอใหเกดความเสยหายนอย
หรอเสยหายในวงเงนไมเกน 5 หม�นบาท
นอยท�สด (1) ไมมผลกระทบตอการดาเนนธรกจหรอไมเสยหายดานการเงน
22
การประเมนคาผลกระทบดานช�อเสยง ใหพจารณาจากช�อเสยงท�สญเสยไปของบรษทฯ อนเกดจากเหตการณความเสยหายหน�งๆ ของทรพยสน โดยสามารถการกาหนดคาผลกระทบดานช�อเสยงในเชงคณภาพไดตามตารางท�
ตาราง 3.4 เกณฑการประเมนคาผลกระทบดานช�อเสยง
ดานภาพพจนช�อเสยง (R) ระดบผลกระทบ คาอธบาย สงมาก (5) กระทบช�อเสยงของบรษทอยางรนแรง ทาใหเกดการตอตานอยาง
รนแรงจากสาธารณะ เชน การประทวง สง (4) กระทบช�อเสยงของบรษทมาก ทาใหเกดความไมพอใจจาก
สาธารณะ เชน การแสดงความเหนคดคานผานส�อตางๆ
ปานกลาง (3) กระทบช�อเสยงของบรษทปานกลาง ทาใหเกดความไมพอใจจากสาธารณะ เชน การเขยนวจารณ
นอย (2) กระทบช�อเสยงของบรษทนอย นอยท�สด (1) กระทบช�อเสยงของบรษทนอยมากหรอไมกระทบ
การประเมนคาผลกระทบดานการหยดชะงกในการดาเนนงานใหพจารณาจานวนช �วโมง
ในชวงเวลาท�งานของบรษทฯ หยดชะงก อนเกดจากเหตการณความเสยหายหน�งๆ ท�ทาใหทรพยสนเสยหายหรอไมสามารถใชงานไดตามปรกต โดยสามารถกาหนดคาผลกระทบดานการหยดชะงกในการดาเนนงานเชงคณภาพไดตามตาราง
ตาราง 3.5 เกณฑการประเมนคาผลกระทบดานการดาเนนงาน
ดานการปฏบตการ (O) ระดบผลกระทบ คาอธบาย สงมาก (5) กระทบตอการปฏบตงานท �วท Lงบรษท สง (4) กระทบตอการปฏบตงานท �วท Lงฝาย/แผนก ปานกลาง (3) กระทบตอการปฏบตงานท �วท Lงทม นอย (2) กระทบตอการปฏบตงานของผใชงานรายบคคล นอยท�สด (1) ไมมผลกระทบตอการปฏบตงาน
23
การประเมนโอกาสและผลกระทบของความเส�ยง วเคราะหระดบความเส�ยง ในการประเมน จะใชกลกการและวธการตามท�กลาวมาในบทท� 3 โดยใชเกณฑการ
ประเมนความเส�ยงได โดยการคดคาของระดบความเส�ยงจะคดไดดงนL ระดบความเส�ยง(Risk Value)= ระดบโอกาสท�เกด (likelihood) × ระดบของผลกระทบ
(Impact)
การนาความเส�ยงและปจจยเส�ยงท�ระบไวมาประเมนโอกาสท�จะเกดความเสยหาย Likelihood และประเมนระดบความรนแรงของผลกระทบ Impact ตามเกณฑการประเมนความเส�ยงขององคกร เพ�อใหเหนถงระดบของความเส�ยง Degree of Risk
โดยมการกาหนดเกณฑความเสยงเปนระดบท�แตกตางกน ซ�งไดกาหนดเกณฑระดบความเส�ยงไว 3 ระดบ ไดแก ต�า กลาง สง ดงนL ระดบความเส�ยง 1 – 8 ต�า (Low) ระดบความเส�ยง 9 – 16 กลาง (Medium) ระดบความเส�ยง 17 – 25 สง (High) โดยไดเปนตารางดงนL ตาราง 3.6 ตารางระดบของความเส�ยง ข �นตอนในการวเคราะหหาวธการในการควบคมความเส�ยง (Control Analysis)
หลงจากไดทาการรวบรวมขอมลและศกษาขอมลเก�ยวกบระบบ ตลอดจนสามารถระบ ภยคกคามและชองโหวตางๆ ของระบบไดแลว ข Lนตอนตอไปคอวเคราะหวธการหรอแนวทางใน การควบคมความเส�ยงท�บรษท
Risk Value Likelihood Very Low
Low Medium High Very High
Impa
ct
นอยท�สด (1) 1 2 3 4 5 นอย (2) 2 4 6 8 10
ปานกลาง (3) 3 6 9 12 15 สง (4) 4 8 12 16 20
สงมาก (5) 5 10 15 20 25
24
3.5 รายการควบคมความม �นคงปลอดภย (Control Checklist) ของ IEC/ISO 27001 รายการควบคมความม �นคงปลอดภย (Control Checklist) ของ IEC/ISO 27001 ท�นามาใชในโครงนLประกอบดวย 11 หวขอหลก (11 Security domains areas) ต Lงแตขอ A.5 – A.15 1. นโยบายความม �นคงปลอดภย (A.5 Security policy)
2. โครงสรางทางดานความม �นคงปลอดภยสาหรบองคกร (A.6 Organization of information security)
3.การบรหารจดการทรพยสนขององคกร (A.7 Asset management) 4.ความม �นคงปลอดภยท�เก�ยวของกบบคลากร (A.8 Human resources security)
5. การสรางความม �นคงปลอดภยทางกายภาพและส�งแวดลอม (A.9 Physical and environmental security)
6.การบรหารจดการดานการส�อสารและการดาเนนงานของเครอขายสารสนเทศขององคกร (A.10 Communications and operations management)
7. การควบคมการเขาถง (A.11 Access control) 8. การจดหา การพฒนา และการบารงรกษาระบบสารสนเทศ (A.12 Information
systems acquisition, development and maintenance) 9. การบรหารจดการเหตการณท�เก�ยวของกบความม �นคงปลอดภยขององคกร (A.13
Information security incident management) 10. การบรหารความตอเน�องในการดาเนนงานขององคกร (A.14 Business continuity
management) 11. การปฏบตตามขอกาหนด (A.15 Compliance) 3.6 สรปทายบท
จากการศกษาและจดทาการดาเนนงานดานตางแลว ทาใหทราบถงข Lนตอนกระบวนการจดทาท�จะนาความรมาประยกตใช เพ�อใหโครงงานบรรลตามแผนงานรวมถงจดประสงคท�วางไวคอเร�อง
เร�องนโยบายรกษาความปลอดภยเทคโนโลยสารสนเทศ ทาใหเราทราบถงวธการนามาตรฐาน ISO27001/17799 มาประยกตใชเพ�อจดทานโยบาย เพ�อเปนมาตรฐาน นาไปใชกบองคกรเพ�อใหเกดประโยชนสงสด ในการรายงานผลการประเมนความเส�ยงเพ�อใหองคกรไดรบทราบถงความเส�ยงท�ประสพอยแลวดาเนนการปองกน
25
บทท� 4 ผลการดาเนนการ
4.1 บทนา
ทางผจดทาโครงงานไดนาเสนอผลการดาเนนการตามแผน การดาเนนการโครงงานและข �นตอนท�กาหนดไวในข �นตนโดย ระบการประเมนในสวนของหอง data server ภายในองคกรเปนสาคญ 4.2 รายละเอยดการพฒนา
ในการศกษาองคกรและระบบสารสนเทศน �นพบวาในระบบสารสนเทศขององคกรตวอยางน �น ในใหความสาคญตอความม �นคงปลอดภยทางสารสนเทศเพ�มมากข�น แตยงไมมการบนทกสวนของนโยบาย สารสนเทศเปนลายอกษร ผศกษาจงไดทาการเสนอการเขยนนโยบายสารสนเทศอยางส �น เพ�องายตอความเขาใจรวมกน และใหมการนานโยบายไปพฒนาตอเพ�อกาหนดใหสอดคลองกบการปฏบต จงไดออกมาเปนขอสรปนโยบายดงตวอยางดานลาง
โดยทางทมผจดทาโครงงานไดรวมกบคณะกรรมการความม �นคงทางสารสนเทศไดรวมกนกาหนดนโยบาย ISMS Policy (นโยบายดานความม �นคงปลอดภยสารสนเทศ)
**เอกสารภาคผนวก ก. นโยบายการรกษาความปลอดภยระบบสารสนเทศ และไดทาการจดเรยงทะเบยนทรพยสนท�นามาประเมนความเส�ยงตามรายละเอยดบทท� 3
โดยนโยบายดงกลาวไดร บการรบรองโดยคณะกรรมการความม �นคงปลอดภย
สารสนเทศ อนประกอบดวย 1. คณะกรรมการความปลอดภยทางสารสนเทศ 2. ประธานกรรมการความปลอดภยทางสารสนเทศ 3. คณะทางาน
จากการสรปและสอบถามขอมล ปญหาดานความม �นคงปลอดภยทางสารสนเทศ ท �งท�
เคยเกดข�นในอดต หรอความเสยหายท�เกดข�นน �น สามารถกาหนดเปนเกณฑการบรหารความเส�ยง และการการประเมนระดบความเส�ยงท�ไดจากความสมพนธ โดยใชผลรวมระหวาง ความรนแรงของผลกระทบ และโอกาสท�จะเกดปญหา โดยสรปไดตามตาราง 4.1
26
ในการประเมน จะใชกลกการและวธการตามท�กลาวมาในบทท� 3 โดยใชเกณฑการประเมนความเส�ยงได โดยการคดคาของระดบความเส�ยงจะคดไดดงน�
ระดบความเส�ยง(Risk Value)= ระดบโอกาสท�เกด (likelihood) × ระดบของผลกระทบ
(Impact)
โดยไดเกณฑระดบความเส�ยงไว 3 ระดบ ไดแก ต�า ปานกลาง สง และสงมาก ดงน�
โดยใชเกณฑการประเมนผลกระทบ 3 ดานเปนสาคญอนไดแก ดานการเงน ดานภาพพจนช�อเสยง ดานความพรอมใชงานเปนหลกตามเกณฑดานลาง และ มเกณฑ ในการเกดเหตการณเปนหาระดบดงขอมลตารางดานลาง โดยในการเลอกคานวณผลกระทบจะเลอกผลกระทบในดานท�มระดบผลกระทบมากท�สดมาใชในการคานวณเพ�อประเมนความเส�ยง
ตาราง 4.1 เกณฑการประเมนโอกาสในการเกด
ระดบ คาอธบาย
สงมาก (5) มโอกาสเกดข�นเปนประจา เชน เกดข�นทกวน เปนตน
สง (4) มโอกาสเกดข�นสง/บอย เชน เกดข�นทกสปดาห เปนตน
ปานกลาง (3) มโอกาสเกดข�นบางคร �ง เชน เกดข�นทกเดอน เปนตน
นอย (2) มโอกาสเกดข�นนอย เชน เกดข�นทกป เปนตน
นอยท�สด (1) ไมเคยเกดข�น/แทบไมมโอกาสเกดข�น
27
ตาราง 4.2 เกณฑการประเมนคาผลกระทบดานการเงน
ดานการเงน (F) ระดบผลกระทบ คาอธบาย สงมาก (5) มผลกระทบตอความอยรอดของบรษท หรอเสยหายใน
วงเงนมากกวา 1 ลานบาท สง (4) มผลกระทบระดบรนแรง กอใหเกดความเสยหายมา
หรอเสยหายในวงเงนไมเกน 5 แสนบาท ปานกลาง (3) มผลกระทบปานกลาง กอใหเกดความเสยหายพอควร
หรอเสยหายในวงเงนไมเกน 1 แสนบาท นอย (2) มผลกระทบบางแตไมรนแรง กอใหเกดความเสยหาย
นอย หรอเสยหายในวงเงนไมเกน 5 หม�นบาท
นอยท�สด (1) ไมมผลกระทบตอการดาเนนธรกจหรอไมเสยหายดานการเงน
ตาราง 4.3 เกณฑการประเมนคาผลกระทบดานช�อเสยง
ดานภาพพจนช�อเสยง (R)
ระดบผลกระทบ คาอธบาย
สงมาก (5) กระทบช�อเสยงของบรษทอยางรนแรง ทาใหเกดการตอตานอยางรนแรงจากสาธารณะ เชน การประทวง
สง (4) กระทบช�อเสยงของบรษทมาก ทาใหเกดความไมพอใจจากสาธารณะ เชน การแสดงความเหนคดคานผานส�อตางๆ
ปานกลาง (3) กระทบช�อเสยงของบรษทปานกลาง ทาใหเกดความไมพอใจจากสาธารณะ เชน การเขยนวจารณ
นอย (2) กระทบช�อเสยงของบรษทนอย
นอยท�สด (1) กระทบช�อเสยงของบรษทนอยมากหรอไมกระทบ
28
ตาราง 4.4 เกณฑการประเมนคาผลกระทบดานการดาเนนงาน
ดานการปฏบตการ (O)
ระดบผลกระทบ คาอธบาย
สงมาก (5) กระทบตอการปฏบตงานท �วท �งบรษท
สง (4) กระทบตอการปฏบตงานท �วท �งฝาย/แผนก
ปานกลาง (3) กระทบตอการปฏบตงานท �วท �งทม
นอย (2) กระทบตอการปฏบตงานของผใชงานรายบคคล
นอยท�สด (1) ไมมผลกระทบตอการปฏบตงาน
ระดบความเส�ยง 1 – 8 ต�า (Low) ระดบความเส�ยง 9 – 16 กลาง (Medium) ระดบความเส�ยง 17 – 25 สง (High) ตาราง 4.5 ตารางเกณฑการประเมนความเส�ยง
Risk Value Likelihood Very Low
Low Medium High Very High
Impa
ct
นอยท�สด (1) 1 2 3 4 5 นอย (2) 2 4 6 8 10
ปานกลาง (3) 3 6 9 12 15 สง (4) 4 8 12 16 20
สงมาก (5) 5 10 15 20 25
29
4.3 ผลการประเมนความเส�ยง (รอบ 1)
1. ฮารดแวร (Hardware) ตาราง 4.1 ตารางแสดงผลการประเมนความเส�ยงกอนดาเนนโครงงาน
ลาดบ รายการตรวจสอบ
ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง
ตวควบคม
แผนการจดการความเส�ยง F O R
1. Firewall และ Router
ถกเขาถงโดยไมไดรบอนญาต เน�องจากเขยน Policy ผด
1 5 1 1 5
อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง
3 5 1 2 10 A.9.2.4
-มการบารงรกษาโดยผใหบรการภายนอก และมการตรวจสอบการดแลรกษาตามระยะเวลาท�กาหนด
อปกรณถกเขาถงและแกไขคาอปกรณโดยไมไดรบอนญาต
3 5 1 2 10 A.9.1.2 A.jj.k.j
-แยกพ�นท�รวมถงการเขาออกบรเวณหองคอมพวเตอร -อปกรณในต Rack ควรมการ Lock ต - มการกาหนดหนาจอ login กอนมการเขาถงอปกรณ
30
ลาดบ รายการตรวจสอบ
ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง
ตวควบคม
แผนการจดการความเส�ยง F O R
2. อปกรณเช�อมตอเครอขาย Switch Zone IT
การทางานภายในองคกรชา เน�องจากประสทธภาพของอปกรณไมเพยงพอ
2 5 1 1 5 *เปนอปกรณเพ�งมการเปล�ยนทดแทนของเดม
อปกรณถกเขาถงและแกไขคาอปกรณโดยไมไดรบอนญาต
2 5 1 2 10 A.9.1.2 A.jj.k.j
-แยกพ�นท�รวมถงการเขาออกบรเวณหองคอมพวเตอร - มการกาหนดหนาจอ login กอนมการเขาถงอปกรณ
อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง
2 5 1 2 10 A.9.2.4
-จดเกบบนทกในการทา MA และมการตรวจสอบการดแลรกษาตามระยะเวลาท�กาหนด -ควรมอปกรณใชงานทดแทน
อปกรณเสยหายเน�องจากไฟกระชาก
2 5 1 3 15 A.9.2.1
-องคกรควรมอปกรณปองกนจากระบบไฟฟากรณเกดไฟฟากระชาก
31
ลาดบ รายการตรวจสอบ
ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง
ตวควบคม
แผนการจดการความเส�ยง F O R
3. อปกรณเช�อมตอเครอขาย Switch Zone Offices
การทางานภายในองคกรชา เน�องจากประสทธภาพของอปกรณไมเพยงพอ
1 5 1 3 15 A.9.2.4
-เน�องจากอปกรณมการใชงานมานานควร มการตรวจสอบการดแลรกษาตามระยะเวลาท�กาหนด
อปกรณถกเขาถงและแกไขคาอปกรณโดยไมไดรบอนญาต
1 4 1 3 12 A.9.1.2 A.jj.k.j
-แยกพ�นท�รวมถงการเขาออกบรเวณหองคอมพวเตอร -มการกาหนดหนาจอ login กอนมการเขาถงอปกรณ
อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง
1 4 1 3 12 A.9.2.4
-จดเกบบนทกในการทา MA และมการตรวจสอบการดแลรกษาตามระยะเวลาท�กาหนด -ควรมอปกรณใชงานทดแทน
อปกรณเสยหายเน�องจากไฟกระชาก
1 4 1 3 12 A.9.2.1
-องคกรควรมอปกรณปองกนจากระบบไฟฟากรณเกดไฟฟากระชาก
32
- ลาดบ รายการ
ตรวจสอบ ความเส�ยง ผลกระทบ โอกาส คา
ความเส�ยง
ตวควบคม
แผนการจดการความเส�ยง F O R
4. Server Active Directory
อปกรณชารดเสยหายเน�องจากขาดการซอมบารง 1 5 1 2 10 A.9.2.4
-มการบารงรกษาโดยผใหบรการภายนอก และมการตรวจสอบการดแลรกษาตามระยะเวลาท�กาหนด
Server ถกเขาถงและแกไขคาโดยไมไดรบอนญาต 1 5 1 2 10 A.9.1.2 A.jj.k.j
-แยกพ�นท�รวมถงการเขาออกบรเวณหองคอมพวเตอร -มการกาหนดหนาจอ login กอนมการเขาถงเคร�อง
เคร�องไมสามารถใหบรการไดเน�องจากไฟฟาดบ
1 5 1 1 5 A.s.t.t ม UPS ท�สามารถรองรบการใชงาน
ทรพยากรระบบมไมเพยงพอ 1 5 1 1 5 A.jv.w.j -มการตรวจสอบอยเปนประจาทกเดอน
33
ลาดบ รายการ
ตรวจสอบ ความเส�ยง ผลกระทบ โอกาส คา
ความเส�ยง
ตวควบคม
แผนการจดการความเส�ยง F O R
5. Server Antivirus
อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง
1 5 1 2 10 A.9.2.4
-มการบารงรกษาโดยผใหบรการภายนอก และมการตรวจสอบการดแลรกษาตามระยะเวลาท�กาหนด
อปกรณถกเขาถงและแกไขคาอปกรณโดยไมไดรบอนญาต
1 1 1 2 2
อปกรณไมสามารถใหบรการไดเน�องจากไฟฟาดบ
1 2 1 1 2 A.s.t.t ม UPS ท�สามารถรองรบการใชงาน
ทรพยากรระบบมไมเพยงพอ 1 2 1 1 2 A.jv.w.j -มการตรวจสอบอยเปนประจาทกเดอน
34
ลาดบ รายการ
ตรวจสอบ ความเส�ยง ผลกระทบ โอกาส คา
ความเส�ยง
ตวควบคม
แผนการจดการความเส�ยง F O R
6. Server Log อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง
1 5 2 2 10 A.9.2.4
-มการบารงรกษาโดยผใหบรการภายนอก และมการตรวจสอบการดแลรกษาตามระยะเวลาท�กาหนด
อปกรณถกเขาถงและแกไขคาอปกรณโดยไมไดรบอนญาต
5 5 4 2 10 A.9.1.2 A.jj.k.j
-แยกพ�นท�รวมถงการเขาออกบรเวณหองคอมพวเตอร -มการกาหนดหนาจอ login กอนมการเขาถงเคร�อง
อปกรณไมสามารถใหบรการไดเน�องจากไฟฟาดบ
1 5 1 1 5 A.s.t.t ม UPS ท�สามารถรองรบการใชงาน
ทรพยากรระบบมไมเพยงพอ 3 4 1 2 8 A.10.3.1 - มการตรวจสอบอยเปนประจาทกเดอน -เน�องจากมความเก�ยวของกบ พรบ. ทางกฎหมายจงตองใหความสาคญ
35
ลาดบ รายการ
ตรวจสอบ ความเส�ยง ผลกระทบ โอกาส คา
ความเส�ยง
ตวควบคม
แผนการจดการความเส�ยง F O R
7. Mail Server อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง
1 5 2 3 15 A.9.2.4
-มการบารงรกษาโดยผใหบรการภายนอก และมการตรวจสอบการดแลรกษาตามระยะเวลาท�กาหนด
อปกรณถกเขาถงและแกไขคาอปกรณโดยไมไดรบอนญาต
5 5 4 2 10 A.9.1.2 A.jj.k.j
-แยกพ�นท�รวมถงการเขาออกบรเวณหองคอมพวเตอร -มการกาหนดหนาจอ login กอนมการเขาถงเคร�อง
อปกรณไมสามารถใหบรการไดเน�องจากไฟฟาดบ
1 5 1 1 5 A.s.t.t ม UPS ท�สามารถรองรบการใชงาน
ทรพยากรระบบมไมเพยงพอ 1 4 1 1 4 A.jv.w.j -มการตรวจสอบอยเปนประจาทกเดอน
36
ลาดบ รายการ
ตรวจสอบ ความเส�ยง ผลกระทบ โอกาส คา
ความเส�ยง
ตวควบคม
แผนการจดการความเส�ยง F O R
8. Intranet Server
อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง
1 5 1 3 15 A.9.2.4
-มการบารงรกษาโดยผใหบรการภายนอก และมการตรวจสอบการดแลรกษาตามระยะเวลาท�กาหนด
อปกรณถกเขาถงและแกไขคาอปกรณโดยไมไดรบอนญาต
2 5 1 2 10 A.9.1.2 A.jj.k.j
-แยกพ�นท�รวมถงการเขาออกบรเวณหองคอมพวเตอร -มการกาหนดหนาจอ login กอนมการเขาถงเคร�อง
อปกรณไมสามารถใหบรการไดเน�องจากไฟฟาดบ
1 5 1 1 5 A.s.t.t ม UPS ท�สามารถรองรบการใชงาน
ทรพยากรระบบมไมเพยงพอ 1 4 1 5 20 A.jv.w.j -มการตรวจสอบอยเปนประจาทกวนเน�องจากมการอพเอกสารระบบ มอก. รวมถงเอกสารตางๆทกวน
37
ลาดบ รายการ
ตรวจสอบ ความเส�ยง ผลกระทบ โอกาส คา
ความเส�ยง
ตวควบคม
แผนการจดการความเส�ยง F O R
9. Server - ระบบจดการพ�นท�
อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง
1 5 1 3 15 A.9.2.4
-มการบารงรกษาโดยผใหบรการภายนอก และมการตรวจสอบการดแลรกษาตามระยะเวลาท�กาหนด
อปกรณถกเขาถงและแกไขคาอปกรณโดยไมไดรบอนญาต
5 5 3 4 20 A.9.1.1 A.9.1.2 A.9.1.5 A.9.1.6 A.jj.k.j
-แยกพ�นท�รวมถงการเขาออกบรเวณหองคอมพวเตอร -ควบคมการเขาออกเฉพาะผม สวนเก�ยวของ -มการกาหนดหนาจอ login กอนมการเขาถงเคร�อง -นาเคร�องมาต �งในหอง Server
อปกรณไมสามารถใหบรการไดเน�องจากไฟฟาดบ
1 5 - 1 5 A.s.t.t ม UPS ท�สามารถรองรบการใชงาน
ทรพยากรระบบมไมเพยงพอ 1 4 - 1 4 A.10.3.1 -มการตรวจสอบอยเปนประจาทกเดอน -ไฟล data มขนาดเลก
38
ลาดบ รายการตรวจสอบ
ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง
ตวควบคม
แผนการจดการความเส�ยง F O R
10. UPS For Server
อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง
2 5 1 3 15 A.9.2.4
-จดเกบบนทกในการทา MA และมการตรวจสอบการดแลรกษาตามระยะเวลาท�กาหนด
อปกรณไมสามารถกบเกบกระแสไฟไดเม�อเกดไฟฟาขดของ
2 5 1 2 10 A.s.t.z -มการเปล�ยนแบตเตอร�ตามวงรอบการทางาน
11. CCTV System
อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง
1 3 1 1 3 -อปกรณเพ�งทาการตดต �ง
อปกรณตดต �งไมครอบคลมพ�นท�ทาใหไมสามารถเหนพ�นท�ไดอยางชดเจน
2 3 1 4 12 A.9.1.1
-ควรมการตดต �งใหครอบคลมพ�นท�
12. Air Condition (A/C)
อปกรณไมทางานหรอทางานผดพลาดทาใหอณหภมรอนจนระบบไมสามารถทางานไดตามปกต
1 2 1 2 4
13. Fire Protection System
อปกรณทางานผดพลาดและไมสามารถใชงานได 5 5 3 3 15 A.9.1.1
-ควรมการตดต �งใหครอบคลมพ�นท�
39
2. การประเมนความเส�ยงซอฟตแวร Software ลาดบ รายการ
ตรวจสอบ ความเส�ยง ผลกระทบ โอกาส คา
ความเส�ยง
ตวควบคม
แผนการจดการความเส�ยง F O R
14. Operating System Software Window, Linux
ระบบถกเขาถงโดยไมไดรบอนญาตเน�องจากผดแลระบบไมไดทาการ Logout ออกจากระบบท�ใชงานอย
3 5 1 3 15 A.8.2.2 A.8.2.3 A.11.5.6
-สรางวนยและความตระหนกในการปฏบตงาน -ควรมบทลงโทษกรณไมปฎบตตาม -ควรต �งให log out อตโนมตกรณไมมการใชงาน
การถกฟองรองตามกฎหมายลขสทธ |ซอฟตแวรเน�องจากพนกงานใชซอฟตแวรละเมดลขสทธ |
3 5 5 3 15 A.15.1.1 A.8.2.2
- มการสรางความตระหนกรวมถงใหความรเพ�มเตมในการใชงานซอฟตแวรตางไมใหมการใชงานท�ละเมดลขสทธ |
โปรแกรมทางานผดพลาดเน�องจากไมได update patch
1 5 1 1 5 A.10.4.1 A.10.4.2
-ควรมการ Update Patch ท�เก�ยวของกบ Security
40
ลาดบ รายการตรวจสอบ
ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง
ตวควบคม
แผนการจดการความเส�ยง F O R
15. Package Software โปรแกรมจดการพ�นท�
ระบบถกเขาถงโดยไมไดรบอนญาตเน�องจากผดแลระบบไมไดทาการ Logout ออกจากระบบท�ใชงานอย
3 5 1 3 15 A.8.2.2 A.8.2.3 A.11.5.6
-สรางวนยและความตระหนกในการปฏบตงาน -ควรมบทลงโทษกรณไมปฎบตตาม -ควรต �งให log out อตโนมตกรณไมมการใชงาน -ใหความรในการปฎบตเพ�มเตม
ซอฟตแวรทางานผดพลาดเน�องจากโปรแกรมไมพงประสงคหรอ Hacker
3 5 1 3 15 A.10.4.1 -ควรมการ Update Patch ท�มความสาคญหรอเก�ยวของกบความปลอดภยทางสาสนเทศ
โปรแกรมใหผลลพธไมถกตองเน�องจากโปรแกรมทางานผดพลาด
1 5 1 1 5
41
ลาดบ รายการตรวจสอบ
ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง
ตวควบคม
แผนการจดการความเส�ยง F O R
16. Package Software - Program Web Server
ระบบถกเขาถงโดยไมไดรบอนญาตเน�องจากผดแลระบบไมไดทาการ Logout ออกจากระบบท�ใชงานอย
2 5 2 3 15 A.8.2.2 A.8.2.3 A.11.5.6
-สรางวนยและความตระหนกในการปฏบตงาน -ควรมบทลงโทษกรณไมปฎบตตาม -ควรต �งให log out อตโนมตกรณไมมการใชงาน
ซอฟตแวรใหผลลพธไมถกตองเน�องจากโปรแกรมทางานผดพลาด
2 4 2 3 12 A.10.4.1 A.10.4.2
-ควรมการ Update Patch ท�มความสาคญหรอเก�ยวของกบความปลอดภยทางสาสนเทศ - ไมใหมการ Run Scrip หรอ Mobile Code โดยไมไดรบการพจารณากอน
โปรแกรมทางานผดพลาดเน�องจากไมได update patch
2 5 1 1 5 A.10.4.1 A.10.4.2
-ควรมการ Update Patch ท�มความสาคญ
42
ลาดบ รายการตรวจสอบ
ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง
ตวควบคม
แผนการจดการความเส�ยง F O R
ซอฟตแวรทางานผด พลาดเน�องจากผใชงาน หรอ Webmaster ขาดความรความเขาใจในการใชงานซอฟตแวร
1 2 1 1 2
43
ลาดบ รายการตรวจสอบ
ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง
ตวควบคม
แผนการจดการความเส�ยง F O R
17. Package Software - Program Mail
ระบบถกเขาถงโดยไมไดรบอนญาตเน�องจากผดแลระบบไมไดทาการ Logout ออกจากระบบท�ใชงานอย
3 5 1 2 10 A.8.2.2 A.8.2.3 A.11.5.6
-สรางวนยและความตระหนกในการปฏบตงาน -ควรมบทลงโทษกรณไมปฎบตตาม -ควรต �งให log out อตโนมตกรณไมมการใชงาน
ขอมลภายในบรษทฯ ในเมลเซรฟเวอรถกเขาถงโดยไมไดรบอนญาตไมมการทบทวนทะเบยนผใชงานเมลเซรฟเวอร
3 5 4 1 5 -มการทบทวนผใชงานเมลเซรฟเวอรตามเอกสารพนกงานเขาออก
โปรแกรมทางานผดพลาดเน�องจากไมได update patch หรอ เกดจากความผดพลาดของโปรแกรม
3 5 4 5 25 A.10.4.1 A.10.4.2
-ควรมการ Update Patch เพ�อแกไขปญหาในการใชงาน
44
3. การประเมนความเส�ยงขอมล Information ลาดบ รายการ
ตรวจสอบ ความเส�ยง ผลกระทบ โอกาส คา
ความเส�ยง
ตวควบคม
แผนการจดการความเส�ยง F O R
18. ขอมล Email, WebServer
การเขาถงโดยไมไดรบอนญาตเน�องจากการต �งรหสผานท�สามารถคาดเดาไดโดยงาย
2 5 1 3 15 A.11.1.1 A.11.2.1
- ควรมการควบคมการเขาถงหรอกาหดวธการต �งรหสผานท�ยากตอการคาดเดา
การแฮกหรอขอมลอเมลถกนาไปเปดเผยหรอเผยแพรโดยไมไดรบอนญาตจากความผดพลาดในการสงหรอจงใจ
2 1 4 3 12 A.8.2.2 A.10.8.1 A.10.8.2 A.10.8.4
-ควรมการสรางความตระหนก ใหพนกงานและมกาหนดนโยบายพรอมบทลงโทษในการลงโทษเม�อมการฝาฝน หรออกระทาโดยไตรตรอง
ขอมลสญหายเน�องจากไมมการสารองขอมล 2 2 1 1 2 -มการสารองขอมลลงเทป Backup ทกวน
45
ลาดบ รายการตรวจสอบ
ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง
ตวควบคม
แผนการจดการความเส�ยง F O R
19. ขอมลโปรแกรมจดการพNนท�
ขอมลสญหายหรอเสยหายเน�องจากขาดการสารองขอมล
2 5 1 1 5 A.jv.k.j -มการสารองขอมลลงเทป Backup ทกวน
ขอมลถกแกไขเปล�ยนแปลงไมสามารถเช�อถอได
2 5 1 3 15
A.11 -ควรมการควบคมการเขาถงขอมล รวมถงการกาหนดสทธการเขาถงแตละโมดล
ขอมลถกเปดเผยไปยงนอกองคกรเน�องขาดกลไกในการควบคมและกากบดแล
2 5 1 1 5 A.8.2.2 - ควรสรางความตระหนกเพ�อใหพนกงานมความระมดระวง
46
ลาดบ รายการตรวจสอบ
ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง
ตวควบคม
แผนการจดการความเส�ยง F O R
ขอมลเอกสารท �วไป ของทางแผนก IT
เอกสารหายเน�องจากไมมการเกบใหมดชดเชนในต 2 3 1 4 12 A.7.2.1 A.jv.�.z
-ควรมการจดช �นเอกสารและแยกประเภทเอกสารเปนตๆ - ไมควรมการเกบเอกสารสาคญตางๆไวบนโตะ
ขอมลถกแกไขเปล�ยนแปลงไมสามารถเช�อถอได
2 5 1 3 15
A.11.2.2 -ควรมการควบคมการเขาถงขอมล รวมถงการกาหนดสทธการเขาถงแตละประเภทเอกสารเชนงบประมาณเปนตน
ขอมลถกเปดเผยไปยงนอกองคกรเน�องขาดกลไกในการควบคมและกากบดแล
2 5 1 1 5 A.8.2.2 - ควรสรางความตระหนกเพ�อใหพนกงานมความระมดระวง
47
4. ประเมนความเส�ยง บคคล Personal ลาดบ รายการ
ตรวจสอบ ความเส�ยง ผลกระทบ โอกาส คา
ความเส�ยง
ตวควบคม
แผนการจดการความเส�ยง F O R
20. หวหนาแผนก การทางานไมราบร�นหรอเกดมขอผดพลาดจนทาใหงานของบรษทไมสามารถดาเนนการตอได
1 4 1 1 4
ผลงานไมไดตามเปาหมายขององคกรท�วางไวและหวหนาแผนกไมสามารถจดการไดตามท�ไดรบมอบหมาย
2 5 4 3 15 A.8.2.1 -มการประเมนประสทธภาพการทางานของหวหนาแผนก ปละ 1 คร �ง และมการรายงานผลการทางานทกเดอน
21. ผใชงาน
มการใชงานท�ลอแหลมและขาดความตระหนกในการใชงานเทคโนโลยสารสนเทศ
1 3 1 3 9 A.8.2.2 A.8.2.3
-สรางความตระหนกและใหความรแกพนกงานพรอมท �งมบทลงโทษกรณฝาฝน
การละเมดนโยบายความม �นคงปลอดภยเพราะขาดการตรวจสอบและลงโทษ
1 3 2 3 9 A.8.2.2 A.8.2.3
-สรางความตระหนกและใหความรแกพนกงานพรอมท �งมบทลงโทษกรณฝาฝน
48
ลาดบ รายการตรวจสอบ
ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง
ตวควบคม
แผนการจดการความเส�ยง F O R
22. ผดแลระบบ
ระบบสารสนเทศทางานไดอยางไมมประสทธภาพและระบบไมมความปลอดภยเน�องจากไมมทกษะในการปฏบตงานเน�องจากไมไดศกษาเพ�มเตมเฉพาะดาน
2 4 1 3 12 A.8.2.1 -มการประเมนประสทธภาพการทางานของหวหนาแผนก ปละ 1 คร �ง และมการรายงานผลการทางานทกเดอน
การละเมดนโยบายความม �นคงปลอดภยสารสนเทศ
2 5 1 3 15 A.8.2.3
-กาหนดบทลงโทษกรณไมปฎบตตาม
49
5. การประเมนความเส�ยงผใหบรการ Service
ลาดบ รายการตรวจสอบ
ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง
ตวควบคม
แผนการจดการความเส�ยง F O R
23. ผใหบรการ Internet
ผใหบรการไมสามรถใหบรการ internet ไดทาใหภายในองคกรไมสามารถดาเนนการตอไดและธรกจหยดชะงก
3 3 2 2 6 A.10.1.1 A.10.1.2 A.10.2.1
-กาหนดมาตรการดานการใหบรการของหนวยงานภายนอกและมการประเมนผลการใหบรการ -ใหมการใชงาน link สารองกรณผใหบรการไมสามารถใหบรการได
24. ฝายอาคารสถานท�ของตกเชา
การดาเนนธรกจหยดชะงกเน�องจากฝายอาคารสถานท�ของตกทาใหระบบไฟฟาขดของ
3 5 1 3 15 A.10.1.1 A.10.1.2
-กาหนดมาตรการดานการใหบรการของหนวยงานภายนอกและมการประเมนผลการใหบรการ
50
ตารางสรปจานวนความเส�ยงท�พบ
ตารางท� 4.6 ตารางสรปผลความเส�ยงรอบแรก
ระดบความเส�ยงท�พบ ระดบสง ระดบกลาง ระดบต�า รวมผล
จานวน 3 40 28 71
51
4.4 สรปนโยบายท�องคกรไดเลอกจดทา เม�อไดดาเนนการจดลาดบความเส�ยงและเลอกบรหารจดการความเส�ยงท�มระดบความเส�ยงสงและกลางแลว ทางองคกรไดมการพจารณาเลอกมาตรการ
ควบคมมาปรบใชในการบรหารจดการความเส�ยงโดยพจารณาจากความเส�ยงท�มระดบสงและกลางโดยจะมการขออนมตจากคณะผบรหารในการดาเนนการเพ�อลดความเส�ยงซ�งไดผลการดาเนนการดงตารางตอไปน�
ตาราง 4.7 ตารางสรปการบรหารจดการความเส�ยง
ลาดบ ประเภท รายการตรวจสอบ ประเดนความเส�ยงระดบความเส�ยง ตวควบคม แผนลดความเส�ยง Risk Response RTP Status
Completed
Sta. ผรบผดชอบ ผลลพท
1 HW. Intranet Server
ระบบไมสามารถใหบรการไดเน�องจากทรพยากรระบบมไมเพยงพอเพราะ มการ
อพเดทขอมล ระบบ มอก.จานวนมาก สง
A.10.3.1 การวางแผนความตองการทรพยากรสารสนเทศ ลดความเส �ยง เสรจส�น 100
ฝาย เทคโนโลย
สารสนเทศ
เพ�มพ�นท�ขอมล พรอมท �งมการ Monitor Server และเพ�ม Scrip ในการแจงเตอนใหสง Email กรณ
ทรพยากรไมเพยงพอ
2 HW.
Server-ระบบจดการพ�นท�
Server อาจเขาถงไดจากผไมหว �งดโดยไมไดรบอนญาตและอาจทาใหอปกรณเสยหาย สง
A.9.1.2 แยกพ�นท�รวมถงการเขาออกบรเวณหอง
คอมพวเตอรA.9.1.1 การจดวางและการ
ปองกนอปกรณ ลดความเส �ยง เสรจส�น 100
ฝาย เทคโนโลย
สารสนเทศนาเคร�อง Server ออกมาจากจดท�มความเส�ยงมาไวใน
หองคอมพวเตอร
3 SW
Solfware- Program Mail
โปรแกรมทางานผดพลาดเน�องจากไมได update patch หรอ เกดจากความผดพลาดของ
โปรแกรม สง
A.10.4.1 A.10.4.2 หาแนวทางในการจดการความ
เส�ยงท�เก�ยวของและทาการ
อพเดทแพท ลดความเส �ยง เสรจส�น 100
ฝาย เทคโนโลย
สารสนเทศ
มการ Update Patch เพ�อแกไขปญหาและลดขอผดพลาดในการใชงาน
สรปท�มาของปญหาพรอมแนวทางแกไข
4 HW. Firewall และ Router
อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง กลาง
A.9.2.4 ควรมการบารงรกษาใหอปกรณพรอมใชงานอยาง
สม�าเสมอ ลดความเส �ยง เสรจส�น 100
ฝาย เทคโนโลย
สารสนเทศเอกสารนในการจดการบารงรกษาอปกรณ \ สญญา
การใหบรการ
5 HW. Firewall และ Router อปกรณถกเขาถงโดยไมไดรบอนญาต กลาง
A.9.1.2 มการควบคมการเขา-ออก ศนยคอมพวเตอร
แยกพ�นท�การตดตอจาก
บคคลภายนอก
A.9.1.4 มการเลอกพ�นท�ในการจดเกบระบบสารสนเทศท�
ปลอดภยท�มปองกนตอภย
คกคามตางๆ ลดความเส �ยง เสรจส�น 100
ฝาย เทคโนโลย
สารสนเทศมการจดเกบอปกรณในท�เหมาะสมยากตอการเขาถง
โดยไมไดรบอนญาต
52
ลาดบ ประเภท รายการตรวจสอบ ประเดนความเส�ยงระดบความเส�ยง ตวควบคม แผนลดความเส�ยง Risk Response RTP Status
Completed
Sta. ผรบผดชอบ ผลลพท
6 HW.
อปกรณเช�อมตอเครอขาย Switch
Zone IT อปกรณถกเขาถงโดยไมไดรบอนญาต กลาง
A.9.1.2 มการควบคมการเขา-ออก ศนยคอมพวเตอร
แยกพ�นท�การตดตอจาก
บคคลภายนอก
A.9.1.4 มการเลอกพ�นท�ในการจดเกบระบบสารสนเทศท�
ปลอดภยท�มปองกนตอภย
คกคามตางๆ ลดความเส�ยง เสรจส �น 100
ฝาย เทคโนโลย
สารสนเทศมการจดเกบอปกรณในท�เหมาะสมยากตอการเขาถง
โดยไมไดรบอนญาต
7 HW.
อปกรณเช�อมตอเครอขาย Switch
Zone ITอปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง กลาง
A.9.2.4 ควรมการบารงรกษาใหอปกรณพรอมใชงานอยาง
สม�าเสมอ ลดความเส�ยง เสรจส �น 100
ฝาย เทคโนโลย
สารสนเทศเอกสารนในการจดการบารงรกษาอปกรณ \ สญญา
การใหบรการ
8 HW.
อปกรณเช�อมตอเครอขาย Switch
Zone IT อปกรณเสยหายเน�องจากไฟกระชาก กลาง
A.9.2.1 องคกรควรตดต �ง Ups เพ�มเตมเพ�อปองกนไฟ
กระชาก ลดความเส�ยง เสรจส �น 100
ฝาย เทคโนโลย
สารสนเทศตดต �ง Ups เพ�มเตมและใชงานกระแสไฟฟาจาก Ups
ทดแทนของเดม
9 HW.
อปกรณเช�อมตอเครอขาย Switch
Zone Officesการทางานภายในองคกรชา เน�องจากประสทธภาพของอปกรณไมเพยงพอ กลาง
มการตรวจเชตอปกรณท�ม การใชงานเกนหาปเปน
ประจาและมการเตรยม
แผนการเปล �ยนอปกรณ
A.9.2.4 การบารงรกษาอปกรณ รวมถงการจดหา
อปกรณใหอยในสภาพพรอม
ใชงาน ลดความเส�ยง เสรจส �น 60
ฝาย เทคโนโลย
สารสนเทศดาเนนการเสนอเร�องใหจดซ�ออปกรณทดแทนใน
ปงบประมาณหนา
10 HW.
อปกรณเช�อมตอเครอขาย Switch
Zone Officesอปกรณถกเขาถงและแกไขคาอปกรณโดย
ไมไดรบอนญาต กลาง
A.9.1.2 มการควบคมการเขา-ออก แยกพ�นท�การ
ตดตอจากบคคลภายนอก
A.9.1.4 มการเลอกพ�นท�ในการจดเกบระบบสารสนเทศท�
ปลอดภยท�มปองกนตอภย
คกคามตางๆ ลดความเส�ยง เสรจส �น 100
ฝาย เทคโนโลย
สารสนเทศมการจดเกบอปกรณในท�เหมาะสมยากตอการเขาถง
โดยไมไดรบอนญาต
11 HW.
อปกรณเช�อมตอเครอขาย Switch
Zone Officesอปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง กลาง
A.9.2.4 ควรมการบารงรกษาใหอปกรณพรอมใชงานอยาง
สม�าเสมอ ลดความเส�ยง ดาเนนการ 50
ฝาย เทคโนโลย
สารสนเทศเอกสารนในการจดการบารงรกษาอปกรณ \ สญญา
การใหบรการ
12 HW.
อปกรณเช�อมตอเครอขาย Switch
Zone Offices อปกรณเสยหายเน�องจากไฟกระชาก กลาง
A.9.2.1 องคกรควรตดต �ง Ups เพ�มเตมเพ�อปองกนไฟ
กระชาก ลดความเส�ยง ดาเนนการ 50
ฝาย เทคโนโลย
สารสนเทศตดต �ง Ups เพ�มเตมและใชงานกระแสไฟฟาจาก Ups
ทดแทนของเดม
53
ลาดบ ประเภท รายการตรวจสอบ ประเดนความเส�ยงระดบความเส�ยง ตวควบคม แผนลดความเส�ยง Risk Response RTP Status
Completed
Sta. ผรบผดชอบ ผลลพท
13 HW.
Server Active Directory
อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง กลาง
A.9.2.4 ควรมการบารงรกษาใหอปกรณพรอมใชงานอยาง
สม�าเสมอ ลดความเส�ยง เสรจส �น 100
ฝาย เทคโนโลย
สารสนเทศเอกสารนในการจดการบารงรกษาอปกรณ \ สญญา
การใหบรการ
14 HW.
Server Active Directory
อปกรณถกเขาถงและแกไขคาอปกรณโดยไมไดรบอนญาต กลาง
A.9.1.2 มการควบคมการเขา-ออก ศนยคอมพวเตอร
แยกพ�นท�การตดตอจาก
บคคลภายนอก
A.9.1.4 มการเลอกพ�นท�ในการจดเกบระบบสารสนเทศท�
ปลอดภยท�มปองกนตอภย
คกคามตางๆ ลดความเส�ยง เสรจส �น 100
ฝาย เทคโนโลย
สารสนเทศมการจดเกบอปกรณในท�เหมาะสมยากตอการเขาถง
โดยไมไดรบอนญาต และมการแยกการเขาถง
15 HW. Server Antivirus
อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง กลาง
A.9.2.4 ควรมการบารงรกษาใหอปกรณพรอมใชงานอยาง
สม�าเสมอ ลดความเส�ยง ดาเนนการ 60
ฝาย เทคโนโลย
สารสนเทศ
เอกสารนในการจดการบารงรกษาอปกรณ \ สญญาการใหบรการ
**รอดาเนนการยายเปน VMware
16 HW. Server Log
อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง กลาง
A.9.2.4 ควรมการบารงรกษาใหอปกรณพรอมใชงานอยาง
สม�าเสมอ ลดความเส�ยง เสรจส �น 50
ฝาย เทคโนโลย
สารสนเทศ
เอกสารนในการจดการบารงรกษาอปกรณ \ สญญาการใหบรการ
**รอทาเร�องจดซ�อทดแทน
17 HW. Server Log
อปกรณถกเขาถงและแกไขคาอปกรณโดยไมไดรบอนญาต กลาง
A.9.1.2 มการควบคมการเขา-ออก ศนยคอมพวเตอร
แยกพ�นท�การตดตอจาก
บคคลภายนอก
A.9.1.4 มการเลอกพ�นท�ในการจดเกบระบบสารสนเทศท�
ปลอดภยท�มปองกนตอภย
คกคามตางๆ ลดความเส�ยง เสรจส �น 100
ฝาย เทคโนโลย
สารสนเทศมการจดเกบอปกรณในท�เหมาะสมยากตอการเขาถง
โดยไมไดรบอนญาต
18 HW. Mail Server
อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง กลาง
A.9.2.4 ควรมการบารงรกษาใหอปกรณพรอมใชงานอยาง
สม�าเสมอ ลดความเส�ยง เสรจส �น 100
ฝาย เทคโนโลย
สารสนเทศเอกสารนในการจดการบารงรกษาอปกรณ \ สญญา
การใหบรการ
19 HW. Mail Server
อปกรณถกเขาถงและแกไขคาอปกรณโดยไมไดรบอนญาต กลาง
A.9.1.2 มการควบคมการเขา-ออก ศนยคอมพวเตอร
แยกพ�นท�การตดตอจาก
บคคลภายนอก
A.9.1.4 มการเลอกพ�นท�ในการจดเกบระบบสารสนเทศท�
ปลอดภยท�มปองกนตอภย
คกคามตางๆ ลดความเส�ยง เสรจส �น 100
ฝาย เทคโนโลย
สารสนเทศมการจดเกบอปกรณในท�เหมาะสมยากตอการเขาถง
โดยไมไดรบอนญาต
20 HW. Intranet Server
อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง กลาง
A.9.2.4 ควรมการบารงรกษาใหอปกรณพรอมใชงานอยาง
สม�าเสมอ ลดความเส�ยง เสรจส �น 100
ฝาย เทคโนโลย
สารสนเทศเอกสารนในการจดการบารงรกษาอปกรณ \ สญญา
การใหบรการ
54
ลาดบ ประเภท รายการตรวจสอบ ประเดนความเส�ยงระดบความเส�ยง ตวควบคม แผนลดความเส�ยง Risk Response RTP Status
Completed
Sta. ผรบผดชอบ ผลลพท
21 HW. Intranet Server
อปกรณถกเขาถงและแกไขคาอปกรณโดยไมไดรบอนญาต กลาง
A.9.1.2 มการควบคมการเขา-ออก ศนยคอมพวเตอร
แยกพ�นท�การตดตอจาก
บคคลภายนอก
A.9.1.4 มการเลอกพ�นท�ในการจดเกบระบบสารสนเทศท�
ปลอดภยท�มปองกนตอภย
คกคามตางๆ ลดความเส�ยง เสรจส�น 100
ฝาย เทคโนโลย
สารสนเทศมการจดเกบอปกรณในท�เหมาะสมยากตอการเขาถง
โดยไมไดรบอนญาต
22 HW.
Server-ระบบจดการพ�นท�
อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง กลาง
A.9.2.4 ควรมการบารงรกษาใหอปกรณพรอมใชงานอยาง
สม�าเสมอ ลดความเส�ยง เสรจส�น 100
ฝาย เทคโนโลย
สารสนเทศเอกสารนในการจดการบารงรกษาอปกรณ \ สญญา
การใหบรการ
23 HW. UPS For Server
อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง กลาง
A.9.2.4 ควรมการบารงรกษาใหอปกรณพรอมใชงานอยาง
สม�าเสมอ ลดความเส�ยง เสรจส�น 100
ฝาย เทคโนโลย
สารสนเทศเอกสารนในการจดการบารงรกษาอปกรณ \ สญญา
การใหบรการ
24 HW. UPS For Server
อปกรณไมสามารถกบเกบกระแสไฟไดเม �อเกดไฟฟาขดของ กลาง
A.9.2.4 ควรมการตรวจเชตแบตเตอร�อยางสม�าเสมอ
ยอมรบความเส �ยง เสรจส�น 100
ฝาย เทคโนโลย
สารสนเทศ
25 HW. CCTV System
อปกรณตดต �งไมครอบคลมพ�นท�ทาใหไมสามารถเหนพ�นท�ไดอยางชดเจน กลาง
A.9.2.1 ควรมการตดต �งใหครอบคลมพ�นท�และอยใน
บรเวณท�เหมาะสมในการเผา
ตดตามยอมรบความ
เส �ยง ดาเนนการ 60
ฝาย เทคโนโลย
สารสนเทศกาลงดาเนนการตดต �งอปกรณเพ�มเตมเพ�อให
ครอบคลมพ�นท�ในการทางน
26 HW.
Fire Protection System
อปกรณทางานผดพลาดและไมสามารถใชงานได ขณะเกดเหตเพลงไหม กลาง
ใหฝายอาคารสถานท�เขามาตรวจสอบเปนประจา
A.9.2.1 ตองมการตรวจเชตและทดสอบระบบเพ�อความ
พรอมในการใชงานยามเกด
สถานการณ ลดความเส�ยง เสรจส�น 100
ฝาย อาคารสถานท� ฝายอาคารสถานท�มการตรวจเชคเปนประจาทกเดอน
27 SW.
Operating System Software
Window,Linux
ผดแลระบบไมไดทาการ Logout ออกจาก
ระบบท�ใชงานอย
กลาง
A.11.2.4 มการทบทวนสทธการเขาถงและมการเปล �ยน
รหสผานทก ๆ6 เดอนและม
การเพ�มการจากดสทธของ
A.8.2.2 A.8.2.3 -สรางวนยและความตระหนกในการ
ปฏบตงาน
A.11.5.6 ควรต �งให log out ยอมรบความ
เส �ยง เสรจส�น 100
ฝาย เทคโนโลย
สารสนเทศ
ต �งเวลาใหมการ Logout อตโนมตเม �อไมไดใชงาน รวมถงสรางวนยในการใชงานเคร�อง server ใหมการ
logout ทกคร �งหลงการใชงานทกคร �งและใหมการ
เปล �ยน paaword ในระบบท�สาคญทกหน�งป
55
ลาดบ ประเภท รายการตรวจสอบ ประเดนความเส�ยงระดบความเส�ยง ตวควบคม แผนลดความเส�ยง Risk Response RTP Status
Completed
Sta. ผรบผดชอบ ผลลพท
28 SW.
Operating System Software
Window,Linux
การถกฟองรองตามกฎหมายลขสทธ |ซอฟตแวรเน�องจากพนกงานใชซอฟตแวรละเมดลขสทธ |
กลาง
A.15.1.1 แจงใหพนกงานทราบถงความผดจากการ
ละเมดลขสทธ |
A.8.2.2 A.8.2.3 -สรางวนยและความตระหนกในการ
ปฏบตงาน และมการระบถง
โทษอยางชดเจน ลดความเส�ยง ดาเนนการ 70
ฝาย เทคโนโลย
สารสนเทศพนกงานมความเขาใจมากข�นในการเลอกใชงาน
โปรแกรมตางๆ
29 SW.
Package Softwareโปรแกรมจดการพ�นท�
ผดแลระบบไมไดทาการ Logout ออกจาก
ระบบท�ใชงานอย
กลาง
A.8.2.2 -สรางวนยและความตระหนกในการปฏบตงาน
A.11.5.6 ควรต �งให log out
อตโนมตกรณไมมการใชงานยอมรบความ
เส�ยง เสรจส �น 100
ฝาย เทคโนโลย
สารสนเทศ
ต �งเวลาใหมการ Logout อตโนมตเม �อไมไดใชงาน รวมถงสรางวนยในการใชงานเคร�อง server ใหมการ
logout ทกคร �งหลงการใชงานทกคร �ง
30 SW.
Package Softwareโปรแกรมจดการพ�นท�
ซอฟตแวรทางานผดพลาดเน�องจากโปรแกรมไมพงประสงคหรอ Hacker
กลาง
A.10.4.1 ควรมการ Update Patch ท�เก�ยวของกบ
Security
A.10.4.1 ควรมการ Update Patch ท�มความสาคญหรอ
เก�ยวของกบความปลอดภย
ทางสาสนเทศ ลดความเส�ยง เสรจส �น 100
ฝาย เทคโนโลย
สารสนเทศ
เน�องจากเปนระบบเกบดาตาเบสแบบเกา จงไมสามารถอพเดท patch ใหม เๆพ �มเตมไดจงไดทาการ
Backup ขอมลไวทกวน
ไมใหมการ Run Scrip หรอโปรแกรมตาง โดยไมไดรบ
31 SW.
Package Software - Program Web
Server
ผดแลระบบไมไดทาการ Logout ออกจาก
ระบบท�ใชงานอย
กลาง
A.8.2.2 -สรางวนยและความตระหนกในการปฏบตงาน
A.11.5.6 ควรต �งให log out
อตโนมตกรณไมมการใชงานยอมรบความ
เส�ยง เสรจส �น 100
ฝาย เทคโนโลย
สารสนเทศ
ต �งเวลาใหมการ Logout อตโนมตเม �อไมไดใชงาน รวมถงสรางวนยในการใชงานเคร�อง server ใหมการ
logout ทกคร �งหลงการใชงานทกคร �ง
32 SW.
Package Software - Program Web
Server
ซอฟตแวรใหผลลพธไมถกตองเน�องจากโปรแกรมทางานผดพลาดหรอโดนโจมต
กลาง
A.10.4.1 ควรมการ Update Patch ท�เก�ยวของกบ
Security
A.10.4.1 ควรมการ Update Patch ท�มความสาคญหรอ
เก�ยวของกบความปลอดภย
ทางสาสนเทศ ลดความเส�ยง ดาเนนการ 50
ฝาย เทคโนโลย
สารสนเทศ
เน�องจากเปนระบบปฎบตการ Linux เดมท�ใชงานอย ในการอพเดท patch ใหม เๆพ �มเตมตองมการทดสอบ
ในเคร�อง Test กอนอพเดท
33 SW.
Package Software - Program Mail
ผดแลระบบไมไดทาการ Logout ออกจาก
ระบบท�ใชงานอย
กลาง
A.8.2.2 -สรางวนยและความตระหนกในการปฏบตงาน
A.11.5.6 ควรต �งให log out
อตโนมตกรณไมมการใชงานยอมรบความ
เส�ยง เสรจส �น 100
ฝาย เทคโนโลย
สารสนเทศมการเพ�มการจดเกบ log Access ในการเขาถงแลวลด
เวลา Time Out ของระบบเม �อไมมการใชงาน
34 Info.
ขอมล Email,WebServer
การเขาถงโดยไมไดรบอนญาตเน�องจากการต �งรหสผานท�สามารถคาดเดาไดโดยงายและไม
ปลอดภย กลาง
A.11.2.4 มการทบทวนสทธ
การเขาถงและมการเปล�ยน
รหสผานทก ๆ6 เดอนและม
การเพ�มการจากดสทธของ
user เปนรายบคคล
การเขาถงระบบ
A.11.3.1 ควรกาหนดใหมการ
ต �งรหสผานใหยากตอการคาด
เดา ยอมรบความเส�ยง เสรจส �น 100
ฝาย เทคโนโลย
สารสนเทศ
นโยบายในการกาหนดการต �งรหสผานใหยากตอการคาดเดา
และผใชตองพงระวงรกษาขอมลของตนเอง
56
ลาดบ ประเภท รายการตรวจสอบ ประเดนความเส�ยงระดบความเส�ยง ตวควบคม แผนลดความเส�ยง Risk Response RTP Status
Completed
Sta. ผรบผดชอบ ผลลพท
35 Info.
ขอมล Email,WebServer
การแฮกหรอขอมลอเมลถกนาไปเปดเผยหรอเผยแพรโดยไมไดรบอนญาตจากความ
ผดพลาดในการสงหรอจงใจ กลาง
A.8.2.2 A.10.8.1 A.10.8.2 -สรางวนยและความ
ตระหนกในการปฏบตงาน
พรอมบทลงโทษในการลงโทษ
เม �อมการฝาฝน
หรออกระทาโดยไตรตรอง
ลดความเส �ยง เสรจส�น 100
ฝาย เทคโนโลย
สารสนเทศ
นโยบายในการควบคมการใชงานเทคโนโลยสารสนเทศและมบทลงโทษกรณนาขอมลภายในไป
เผยแพร
36 Info.
ขอมลโปรแกรมจดการพ�นท� ขอมลถกแกไขเปล�ยนแปลงไมสามารถเช�อถอได กลาง
A.11 มการควบคมการเขาถงขอมล รวมถงการกาหนดสทธ
การเขาถงถายโอน
ความเส�ยง เสรจส�น 100
ฝาย เทคโนโลย
สารสนเทศ
มการควบคมการเขาถงขอมล รวมถงการกาหนดสทธการเขาถงแตละโมดล เพ�อจากดไมใหมการเขาใชงาน
เกนความจาเปน และเปนการปองกนขอมลความลบ
ของบรษทร �วไหลซ�งอาจจะกอใหเกดความเสยหายกบ
37 Info.
ขอมลเอกสารท �วไป ของทางแผนก IT
เอกสารหายเน�องจากไมมการเกบใหมดชดเชนในต กลาง
A.8.2.2 -สรางวนยและความตระหนกในการปฏบตงาน
ยอมรบความเส�ยง ดาเนนการ 70
ฝาย เทคโนโลย
สารสนเทศ
มการเพ�มตในการจดเกบเอกสารและเรยงเอกสารเปนหมวดหม
เพ �มระเบยนเอกสารใหจดเจนและงานยตอการสบคน
38 Info.
ขอมลเอกสารท �วไป ของทางแผนก IT ขอมลถกแกไขเปล�ยนแปลงไมสามารถเช�อถอได กลาง
A.8.2.2 -สรางวนยและความตระหนกในการปฏบตงาน
ยอมรบความเส�ยง ดาเนนการ 70
ฝาย เทคโนโลย
สารสนเทศ
มการเพ�มตในการจดเกบเอกสารและเรยงเอกสารเปนหมวดหม
เพ �มระเบยนเอกสารใหจดเจนและงานยตอการสบคน
39 People หวหนาแผนก
ผลงานไมไดตามเปาหมายขององคกรท�วางไวและหวหนาแผนกไมสามารถจดการไดตามท�
ไดรบมอบหมาย กลาง
A.8.2.1 -มการประเมนประสทธภาพการทางานของ
หวหนาแผนก
ปละ 1 คร �ง และมการ ลดความเส �ยง ดาเนนการ 70
ฝาย เทคโนโลย
สารสนเทศ
40 People ผใชงาน
มการใชงานท�ลอแหลมและขาดความตระหนกในการใชงานเทคโนโลยสารสนเทศ กลาง
A.8.2.2 -สรางวนยและความตระหนกในการ
ปฏบตงาน
มการอบรมรวมถงสรางความตระหนกในการใชงาน
เทคโนโลยสารสนเทศในองคกร ลดความเส �ยง เสรจส�น 100
ฝาย เทคโนโลย
สารสนเทศการใหความรเพ �มเตมกรณพบผใชงานท�มปญหาในการ
ใชงาน
41 People ผใชงาน
การละเมดนโยบายความม �นคงปลอดภยเพราะขาดการตรวจสอบและลงโทษ กลาง
A.8.2.3 มการกาหนด กระบวนการลงโทษในกรณ
ฝาฝ�น หรอละเมดละเลยตอ
นโยบาย
A.8.2.3 เพ�มการสมการตรวจสอบการใชงาน ตาม
นโยบายเทคโนโลย
สารสนเทศตามระยะเวลา ลดความเส �ยง เสรจส�น 100
ฝาย เทคโนโลย
สารสนเทศ เอกสารนโยบายความม �นคงปลอดภยทางสารสนเทศ
57
ลาดบ ประเภท รายการตรวจสอบ ประเดนความเส�ยงระดบความเส�ยง ตวควบคม แผนลดความเส�ยง Risk Response RTP Status
Completed
Sta. ผรบผดชอบ ผลลพท
42 People ผดแลระบบ
ระบบสารสนเทศทางานไดอยางไมม ประสทธภาพและระบบไมมความปลอดภย
เน�องจากไมมทกษะในการปฏบตงานเน�องจาก
ไมไดศกษาเพ�มเตมเฉพาะดาน กลาง
มการคอยหม �นอบรมหรอทบทวนความรอยเสมอ
เพ�อใหทนตอเหตการณอย
เสมอ
A.8.2.1 -มการประเมนประสทธภาพการทางานของ
ผดแลระบบ
ปละ 1 คร �ง และมการ ลดความเส�ยง ดาเนนการ 60
ฝาย เทคโนโลย
สารสนเทศ มการสงพนกงานไปอบรมภายนอก
43 People ผดแลระบบ
การละเมดนโยบายความม �นคงปลอดภยสารสนเทศ กลาง
A.8.2.2 -สรางวนยและความตระหนกในการปฏบตงาน ลดความเส�ยง ดาเนนการ 100
ฝาย เทคโนโลย
สารสนเทศ มบทลงโทษกรณไมปฎบตตาม
44 SERVICES
ฝายอาคารสถานท�ของตกเชา
การดาเนนธรกจหยดชะงกเน�องจากฝายอาคารสถานท�ของตกทาใหระบบไฟฟาขดของ กลาง
A.10.1.1 กาหนดมาตรการดานการใหบรการของ
หนวยงานภายนอกและมการ
ประเมนผลการใหบรการ ลดความเส�ยง ดาเนนการ 100
ฝาย อาคารสถานท�
ทางฝายดแลอาคารและสถานท�มการกาหนดระยะเวลาในการเขามาตรวจเชคเปนประจา
58
4.5 ผลการประเมนความเส�ยงหลงดาเนนโครงการ
1. ฮารดแวร (Hardware)
ลาดบ รายการตรวจสอบ
ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง
ตวควบคม F O R
1. Firewall และ Router
ถกเขาถงโดยไมไดรบอนญาต เน�องจากเขยน Policy ผด
1 5 1 1 5 มการตรวจทานกอนนา policy มาใชงานจรง
อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง
3 3 (5)
1 1(2) 3 A.9.2.4 มการกาหนดระยะเวลาในการตรวจสอบและบารงรกษาอปกรณระบบเครอขายและมการมอบหมายใหฝายความม �นคงสารสนเทศเปนผรบผดชอบในการตรวจสอบ ในการเขามา
ดาเนนการของผใหบรการภายนอก ** มการปรบเปล�ยนอปกรณใหม
อปกรณถกเขาถงและแกไขคาอปกรณโดยไมไดรบอนญาต
3 5 1 1(2) 5
A.9.1.2 มการควบคมการเขา-ออก ศนยคอมพวเตอร แยกพ�นท�การตดตอจาก
บคคลภายนอกตดต �งระบบ Key Card เพ�มเตม A.9.1.4 มการเลอกพ�นท�ในการจดเกบระบบ
สารสนเทศท�ปลอดภยท�มปองกนตอภยคกคาม
59
ลาดบ รายการตรวจสอบ
ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง
ตวควบคม F O R
2. อปกรณเช�อมตอเครอขาย Switch Zone IT
การทางานภายในองคกรชา เน�องจากประสทธภาพของอปกรณไมเพยงพอ
2 5 1 1 5 ***เปนอปกรณเพ�งมการเปล�ยนทดแทนของเดม
อปกรณถกเขาถงและแกไขคาอปกรณโดยไมไดรบอนญาต
2 5 1 1(2) 5 A.9.1.2 มการควบคมการเขา-ออก ศนยคอมพวเตอร แยกพ�นท�การตดตอจากบคคลภายนอกตดต �งระบบ Key Card เพ�มเตม A.9.1.4 มการเลอกพ�นท�ในการจดเกบระบบสารสนเทศท�ปลอดภยท�มปองกนตอภยคกคามตางๆ
อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง
2 5 1 1(2) 5 A.9.2.4 มการกาหนดระยะเวลาในการตรวจสอบและบารงรกษาอปกรณระบบเครอขายและมการมอบหมายใหฝายความม �นคงสารสนเทศเปนผรบผดชอบในการตรวจสอบ ในการเขามาดาเนนการของผใหบรการภายนอก
อปกรณเสยหายเน�องจากไฟกระชาก
2 5 1 1(3) 5 A.9.2.1 ตดต �ง Ups เพ�มเตมและใชไฟจาก Upsแทนการใชกระแสไฟตรงเพ�อปองกนไฟกระชากซ�งอาจทาใหอปกรณเสยหาย
60
ลาดบ รายการตรวจสอบ
ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง
ตวควบคม F O R
3. อปกรณเช�อมตอเครอขาย Switch
Zone Offices
การทางานภายในองคกรชา เน�องจากประสทธภาพของอปกรณไมเพยงพอ
1 5 1 1(3) 5 A.9.2.4 เน�องจากอปกรณมการใชงานมานานควร มการตรวจสอบการดแลรกษาตามระยะเวลาท�กาหนด และเสนอทาเร�องในการจดซ�ออปกรณใหมทดแทนของเดม
อปกรณถกเขาถงและแกไขคาอปกรณโดยไมไดรบอนญาต
1 5 1 1(3) 5 A.9.1.2 มการควบคมการเขา-ออก โดยทาการยายอปกรณไวในท�มดชดยากตอการเขาถง A.9.1.4 มการเลอกพ�นท�ในการจดเกบระบบสารสนเทศท�ปลอดภยท�มปองกนตอภยคกคาม
อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง
1 4 1 3 12 A.9.2.4 มการกาหนดระยะเวลาในการตรวจสอบและบารงรกษาอปกรณระบบเครอขายและมการมอบหมายใหฝายความม �นคงสารสนเทศเปนผรบผดชอบในการตรวจสอบ ในการเขามาดาเนนการของผใหบรการภายนอก
อปกรณเสยหายเน�องจากไฟกระชาก
1 4 1 3 12 A.9.2.1 ตดต �ง Ups เพ�มเตมและใชไฟจาก Upsแทนการใชกระแสไฟตรงเพ�อปองกนไฟกระชากซ�งอาจทาใหอปกรณเสยหาย
61
ลาดบ รายการตรวจสอบ
ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง
ตวควบคม F O R
4. Server Active Directory
อปกรณชารดเสยหายเน�องจากขาดการซอมบารง 1 5 1 1(2) 5 A.9.2.4 มการกาหนดระยะเวลาในการตรวจสอบและบารงรกษาอปกรณระบบเครอขายและมการมอบหมายใหฝายความม �นคงสารสนเทศเปนผรบผดชอบในการตรวจสอบ ในการเขามาดาเนนการของผใหบรการภายนอก
Server ถกเขาถงและแกไขคาโดยไมไดรบอนญาต 1 5 1 1(2) 5 A.9.1.2 มการควบคมการเขา-ออก โดยทาการยายอปกรณไวในท�มดชดยากตอการเขาถง A.9.1.4 มการเลอกพ�นท�ในการจดเกบระบบสารสนเทศท�ปลอดภยท�มปองกนตอภยคกคาม A.jj.k.jมการกาหนดหนาจอ login กอนมการเขาถงเคร�อง Server
เคร�องไมสามารถใหบรการไดเน�องจากไฟฟาดบ
1 5 1 1 5 A.s.t.t ม UPS ท�สามารถรองรบการใชงานกรณไฟฟาดบ
ทรพยากรระบบมไมเพยงพอ 1 5 1 1 5 A.10.3.1 มการตรวจสอบทรพยากรระบบพรอมท �งต �งใหมการเตอนและรายงานไปยงผบรหารทกเดอน
62
ลาดบ รายการตรวจสอบ
ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง
ตวควบคม F O R
5. Server Antivirus
อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง
1 5 1 2 10 A.9.2.4 มการกาหนดระยะเวลาในการตรวจสอบและบารงรกษาอปกรณระบบเครอขายและมการมอบหมายใหฝายความม �นคงสารสนเทศเปนผรบผดชอบในการตรวจสอบ **รอดาเนนการยายเปน (VMware)
อปกรณถกเขาถงและแกไขคาอปกรณโดยไมไดรบอนญาต
1 1 1 1(2) 1 A.9.1.2 มการควบคมการเขา-ออก โดยทาการยายอปกรณไวในท�มดชดยากตอการเขาถง A.9.1.4 มการเลอกพ�นท�ในการจดเกบระบบสารสนเทศท�ปลอดภยท�มปองกนตอภยคกคาม A.jj.k.jมการกาหนดหนาจอ login กอนมการเขาถงเคร�อง Server
อปกรณไมสามารถใหบรการไดเน�องจากไฟฟาดบ
1 2 1 1 2 A.s.t.t ม UPS ท�สามารถรองรบการใชงานกรณไฟฟาดบ
ทรพยากรระบบมไมเพยงพอ 1 2 1 1 2 A.10.3.1 มการตรวจสอบทรพยากรระบบพรอมท �งต �งใหมการเตอนและรายงานไปยงผบรหารทกเดอน
63
ลาดบ รายการตรวจสอบ
ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง
ตวควบคม F O R
6. Server Log อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง
1 5 2 2 10 A.9.2.4 มการกาหนดระยะเวลาในการตรวจสอบและบารงรกษาอปกรณระบบเครอขายและมการมอบหมายใหฝายความม �นคงสารสนเทศเปนผรบผดชอบในการตรวจสอบ ในการเขามาดาเนนการของผใหบรการภายนอก
อปกรณถกเขาถงและแกไขคาอปกรณโดยไมไดรบอนญาต
5 5 4 1(2) 5 A.9.1.2 มการควบคมการเขา-ออก โดยทาการยายอปกรณไวในท�มดชดยากตอการเขาถง A.9.1.4 มการเลอกพ�นท�ในการจดเกบระบบสารสนเทศท�ปลอดภยท�มปองกนตอภยคกคาม A.11.5.1มการกาหนดหนาจอ login กอนมการเขาถงเคร�อง Server
อปกรณไมสามารถใหบรการไดเน�องจากไฟฟาดบ
1 5 1 1 5 A.9.2.2 ม UPS ท�สามารถรองรบการใชงานกรณไฟฟาดบ
ทรพยากรระบบมไมเพยงพอ 3 4 1 2 8 A.10.3.1 มการตรวจสอบทรพยากรระบบพรอมท �งต �งใหมการเตอนและรายงานไปยงผบรหารทกเดอน
64
ลาดบ รายการตรวจสอบ
ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง
ตวควบคม F O R
7. Mail Server อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง
1 5 2 1(3) 5 A.9.2.4 มการกาหนดระยะเวลาในการตรวจสอบและบารงรกษาอปกรณระบบเครอขายและมการมอบหมายใหฝายความม �นคงสารสนเทศเปนผรบผดชอบในการตรวจสอบ physical เปน Virtual Server (VMware)
อปกรณถกเขาถงและแกไขคาอปกรณโดยไมไดรบอนญาต
5 5 4 1(2) 5 A.9.1.2 มการควบคมการเขา-ออก โดยทาการยายอปกรณไวในท�มดชดยากตอการเขาถง A.9.1.4 มการเลอกพ�นท�ในการจดเกบระบบสารสนเทศท�ปลอดภยท�มปองกนตอภยคกคาม A.11.5.1มการกาหนดหนาจอ login กอนมการเขาถงเคร�อง Server
อปกรณไมสามารถใหบรการไดเน�องจากไฟฟาดบ
1 5 1 1 5 A.9.2.2 ม UPS ท�สามารถรองรบการใชงานกรณไฟฟาดบ
ทรพยากรระบบมไมเพยงพอ 1 4 1 1 4 A.10.3.1 มการตรวจสอบทรพยากรระบบพรอมท �งต �งใหมการเตอนและรายงานไปยงผบรหารทกเดอน
65
ลาดบ รายการตรวจสอบ
ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง
ตวควบคม F O R
8. Intranet Server
อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง
1 5 1 1(3) 5 A.9.2.4 มการกาหนดระยะเวลาในการตรวจสอบและบารงรกษาอปกรณระบบเครอขายและมการมอบหมายใหฝายความม �นคงสารสนเทศเปนผรบผดชอบในการตรวจสอบ ในการเขามาดาเนนการของผใหบรการภายนอก
อปกรณถกเขาถงและแกไขคาอปกรณโดยไมไดรบอนญาต
2 5 1 1(2) 5 A.9.1.2 มการควบคมการเขา-ออก โดยทาการยายอปกรณไวในท�มดชดยากตอการเขาถง A.9.1.4 มการเลอกพ�นท�ในการจดเกบระบบสารสนเทศท�ปลอดภยท�มปองกนตอภยคกคาม A.11.5.1มการกาหนดหนาจอ login กอนมการเขาถงเคร�อง Server
อปกรณไมสามารถใหบรการไดเน�องจากไฟฟาดบ
1 5 1 1 5 A.9.2.2 ม UPS ท�สามารถรองรบการใชงานกรณไฟฟาดบ
ทรพยากรระบบมไมเพยงพอ 1 5 1 2(5) 10 A.10.3.1 ดาเนนการเพ�มพ�นท�ในการใชงานในระบบรวมถงมการประชมการวางแผนความตองการในการใชงานทรพยากรสารสนเทศใหมความพอเหมาะตามความตองการ
66
ลาดบ รายการตรวจสอบ
ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง
ตวควบคม F O R
9. Server - ระบบจดการ
พ�นท�
อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง
1 3 (5)
1 1(3) 3 A.9.2.4 มการกาหนดระยะเวลาในการตรวจสอบและบารงรกษาอปกรณระบบเครอขายและมการมอบหมายใหฝายความม �นคงสารสนเทศเปนผรบผดชอบในการตรวจสอบ
อปกรณถกเขาถงและแกไขคาอปกรณโดยไมไดรบอนญาต
5 5 3 1(4) 5 A.9.1.2 มการควบคมการเขา-ออก โดยทาการยายอปกรณไวในท�มดชดยากตอการเขาถง A.9.1.4 มการเลอกพ�นท�ในการจดเกบระบบสารสนเทศท�ปลอดภยท�มปองกนตอภยคกคาม A.11.5.1มการกาหนดหนาจอ login กอนมการเขาถงเคร�อง Server
อปกรณไมสามารถใหบรการไดเน�องจากไฟฟาดบ
1 5 1 1 5 A.9.2.2 ม UPS ท�สามารถรองรบการใชงานกรณไฟฟาดบ
ทรพยากรระบบมไมเพยงพอ 1 4 1 1 4 A.10.3.1 มการตรวจสอบทรพยากรระบบพรอมท �งต �งใหมการเตอนและรายงานไปยงผบรหารทกเดอน
67
ลาดบ รายการตรวจสอบ
ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง
ตวควบคม F O R
10. UPS For Server
อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง
2 5 1 1(3) 5 A.9.2.4 มการตรวจสอบอปกรณตรวจสอบแบตเตอร�และแรงดนไฟจากผใหบรการทก 3 เดอน
อปกรณไมสามารถกบเกบกระแสไฟไดเม�อเกดไฟฟาขดของ
2 5 1 2 10 A.9.2.4 มการกาหนดระยะเวลาตรวจสอบบารงรกษาอปกรณอยางสม�าเสมอและหาก UPS เสยกสามารถเปล�ยนไดภายใน 24 ช �วโมง
11. CCTV System
อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง
1 3 1 1 3 **อปกรณเพ�งทาการตดต �ง A.9.2.4 ควรมการกาหนดระยะเวลาบารงรกษา
อปกรณตดต �งไมครอบคลมพ�นท�ทาใหไมสามารถเหนพ�นท�ไดอยางชดเจน
2 3 1 4 12 A.9.2.1 การตดต �งใหครอบคลมพ�นท� โดยทาการจดซ�อและตดกลอง cctv เพ�มเตมใหครอบคลมพ�นท�และสามารถมองเหนภายในไดอยางชดเจน
12. Air Condition (A/C)
อปกรณไมทางานหรอทางานผดพลาดทาใหอณหภมรอนจนระบบไมสามารถทางานไดตามปกต
1 2 1 2 4 A.9.2.4 มระบบควบคมอณหภมท �งของอาคารและ มเจาหนาฝายอาคาร ท�ตรวจสอบอณหภมอยอยางสม�าเสมอ
13. Fire Protection System
อปกรณทางานผดพลาดและไมสามารถใชงานได 3 (5)
3 (5)
3 3 9 A.9.2.4 มเจาหนาท�ของอาคาร ตรวจสอบอยางสม�าเสมอ
68
2. การประเมนความเส�ยงซอฟตแวร Software
ลาดบ รายการ
ตรวจสอบ ความเส�ยง ผลกระทบ โอกาส คา
ความเส�ยง
ตวควบคม F O R
14. Operating System Software Window,
Linux
ระบบถกเขาถงโดยไมไดรบอนญาตเน�องจากผดแลระบบไมไดทาการ Logout ออกจากระบบท�ใชงานอย
3 5 1 3 15 A.8.2.2, A.8.2.3, A.11.5.6 มการต �ง Session Timeout ใหกบระบบ รวมไปถงการสรางความตระหนกและใหความรแกพนกงานและมการตรวจสอบอยางสม�าเสมอ และใหมการเปล�ยน password ในระบบท�สาคญทกหน�งป
การถกฟองรองตามกฎหมายลขสทธ |ซอฟตแวรเน�องจากพนกงานใชซอฟตแวรละเมดลขสทธ |
3 3 (5)
3 (5)
3 9 A.15.1.1,A.8.2.2 มการกาหนดหนาท�ความรบผดชอบของบคลากรใหปฏบตตามกฎหมาย ระเบยบ ขอบงคบ สรางความตระหนกและใชงานเฉพาะลขสทธ |ซอฟตแวรและไมใชซอฟตแวรท�ละเมดลขสทธ |
โปรแกรมทางานผดพลาดเน�องจากไมได update patch
1 5 1 1 5 A.10.4.1 มการตดต �ง Antivirus และupdate patch ท�เก�ยวของกบความม �นคงปลอดภยสารสนเทศ, A.10.1.1 ควรมการกาหนดข �นตอนในการอพเดทหรอท�กระทาเปนลายลกษณอกษร
69
ลาดบ รายการ
ตรวจสอบ ความเส�ยง ผลกระทบ โอกาส คา
ความเส�ยง
ตวควบคม F O R
15. Package Software โปรแกรม
จดการพ�นท�
ระบบถกเขาถงโดยไมไดรบอนญาตเน�องจากผดแลระบบไมไดทาการ Logout ออกจากระบบท�ใชงานอย
3 5 1 3 15 A.�.t.t, A.�.t.w มการต �ง Session Timeout ใหกบระบบ รวมไปถงการสรางความตระหนกและใหความรแกพนกงานและมการตรวจสอบ
อยางสม�าเสมอ A.jj.k.� มการเปล�ยน password ในระบบท�สาคญทกหน�งป
ซอฟตแวรทางานผดพลาดเน�องจากโปรแกรมไมพงประสงคหรอ Hacker
3 3 (5)
1 3 9 A.10.4.1, A.10.4.2 มการปดชองโหว และupdate patch ท�เก�ยวของกบความม �นคง
ปลอดภยสารสนเทศ เทาท�รองรบได
โปรแกรมใหผลลพธไมถกตองเน�องจากโปรแกรมทางานผดพลาด
1 5 1 1 5 เน�องจากโปรแกรมเปนระบบเกาจงไมสามารถอพเดทหรอแกไขขอผดพลาดได จงเนนการ Backup ขอมลไวเพ�อปองกนขอผดพลาด
70
ลาดบ รายการ
ตรวจสอบ ความเส�ยง ผลกระทบ โอกาส คา
ความเส�ยง
ตวควบคม F O R
16. Package Software - Program Web Server
ระบบถกเขาถงโดยไมไดรบอนญาตเน�องจากผดแลระบบไมไดทาการ Logout ออกจากระบบท�ใชงานอย
2 5 2 3 15 A.8.2.2, A.8.2.3 มการต �ง Session Timeout ใหกบระบบ รวมไปถงการสรางความตระหนกและใหความรแกพนกงานและมการตรวจสอบอยางสม�าเสมอ A.11.5.6 มการเปล�ยน password ในระบบท�สาคญทกหน�งป
ซอฟตแวรใหผลลพธไมถกตองเน�องจากโปรแกรมทางานผดพลาดหรอโดนโจมต
2 4 2 3 12 A.10.4.1 มการตดตามการอพเดทตางๆของ package ไมวาจะเปน patch update หรอ Ver. Update เพ�อลดขอผดพลาดในการใชงาน
โปรแกรมทางานผดพลาดเน�องจากไมได update patch
2 5 1 1 5 A.10.4.1, A.10.4.2 มการปดชองโหว และupdate patch ท�เก�ยวของกบความม �นคงปลอดภยสารสนเทศ
71
ลาดบ รายการตรวจสอบ
ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง
ตวควบคม F O R
17. Package Software - Program Mail
ระบบถกเขาถงโดยไมไดรบอนญาตเน�องจากผดแลระบบไมไดทาการ Logout ออกจากระบบท�ใชงานอย
3 5 1 3 15 A.8.2.2, A.8.2.3 มการต �ง Session Timeout ใหกบระบบ รวมไปถงการสรางความตระหนกและใหความรแกพนกงานและมการตรวจสอบอยางสม�าเสมอ A.11.5.6 มการเปล�ยน password ในระบบท�สาคญทกหน�งป
ขอมลภายในบรษทฯ ในเมลเซรฟเวอรถกเขาถงโดยไมไดรบอนญาตไมมการทบทวนทะเบยนผใชงานเมลเซรฟเวอร
3 5 4 1 5 ขอมล Email ถกจดเกบภายในเคร�อง Client ทาใหผใชงานตองตระหนกในการดแลรกษาขอมลของตนเอง
โปรแกรมทางานผดพลาดเน�องจากไมได update patch หรอ เกดจากความผดพลาดของโปรแกรม
3 3 (5)
4 3(5) 9 A.jv.z.j A.jv.z.2 มการ update patch ท�เก�ยวของเพ�อแกไขปญหาท�เกดข�นและหาแนวทางในการแกไขปญหาโดยสอบถามกบทางผเก�ยวของหรอผใหบรการ A.jv.j.j มการกาหนดข �นตอนในการอพเดทหรอท�กระทาเปนลายลกษณอกษร
72
3. การประเมนความเส�ยงขอมล Information ลาดบ รายการ
ตรวจสอบ ความเส�ยง ผลกระทบ โอกาส คา
ความเส�ยง
ตวควบคม F O R
18. ขอมล Email, WebServer
การเขาถงโดยไมไดรบอนญาตเน�องจากการต �งรหสผานท�สามารถคาดเดาไดโดยงายหรอไมไดลอกหนาจอขณะเปดเมลท�งไว
5 1 1 2(3) 10 A.11.3.1 มนโยบายในการต �งรหสผานของระบบใหสามารถคาดเดาไดยาก A.8.2.2 มการสรางความตระหนกใหแกพนกงาน
การแฮก หรอขอมลอเมลถกนาไปเปดเผยหรอเผยแพรโดยไมไดรบอนญาตจากความผดพลาดในการสงหรอจงใจ
2 1 4 2(3) 8 A.8.2.2 A.10.8.1 A.10.8.2 A.10.8.4 มมาตรการในการควบคมหรอปองกนและสรางความตระหนกใหแกพนกงานอยางสม�าเสมอ และมขอบงคบในการนาขอมลความลบขององคกรไปเผยแพร และมบทลงโทษสาหรบผฝาฝนนาขอมลออกไปเผยแพรภายนอกอยางเครงครด
ขอมลสญหายเน�องจากไมมการสารองขอมล 2 2 1 1 2 มการเกบขอมล Email ไวท �งบน Mail Server
และเคร�องของผใชงานเอง และมการ Backup Mail Server ไวอยางสม�าเสมอ
73
ลาดบ รายการ
ตรวจสอบ ความเส�ยง ผลกระทบ โอกาส คา
ความเส�ยง
ตวควบคม F O R
19. ขอมลโปรแกรม
จดการพ�นท�
ขอมลสญหายหรอเสยหายเน�องจากขาดการสารองขอมล
2 5 1 1 5 A.jv.k.j มการสารองขอมลลงเทป Backup ทกวนเปนประจา และมการบนทกขอมลการ Backup เปนลายอกษรเสมอ
ขอมลถกแกไขเปล�ยนแปลงไมสามารถเช�อถอได
2 5 1 3 15
A.11 มการควบคมการเขาถงขอมล รวมถงการกาหนดสทธการเขาถงแตละโมดล เพ�อจากดไมใหมการเขาใชงานเกนความจาเปน และเปนการปองกนขอมลความลบของบรษทร �วไหลซ�งอาจจะกอใหเกดความเสยหายกบบรษทได
ขอมลถกเปดเผยไปยงนอกองคกรเน�องขาดกลไกในการควบคมและกากบดแล
2 5 1 1 5 A.8.2.2 A.10.8.1 A.10.8.2 A.10.8.4 มมาตรการในการควบคมหรอปองกนและสรางความตระหนกใหแกพนกงานอยางสม�าเสมอ และมขอบงคบในการนาขอมลความลบขององคกรไปเผยแพร และมบทลงโทษสาหรบผฝาฝนนาขอมลออกไปเผยแพรภายนอกอยางเครงครด
74
ลาดบ รายการ
ตรวจสอบ ความเส�ยง ผลกระทบ โอกาส คา
ความเส�ยง
ตวควบคม F O R
ขอมลเอกสารท �วไป ของทาง
แผนก IT
เอกสารหายเน�องจากไมมการเกบใหมดชดเชนในต 2 3 1 4 12 A.7.2.2-ควรมการจดช �นเอกสารและแยกประเภทเอกสารเปนตๆ A.jv.�.zไมควรมการเกบเอกสารสาคญตางๆไวบนโตะ
ขอมลถกแกไขเปล�ยนแปลงไมสามารถเช�อถอได
2 5 1 3 15
A.11.2.2 -ควรมการควบคมการเขาถงขอมล รวมถงการกาหนดสทธการเขาถงแตละประเภทเอกสารเชนงบประมาณเปนตน
ขอมลถกเปดเผยไปยงนอกองคกรเน�องขาดกลไกในการควบคมและกากบดแล
2 5 1 1 5 A.8.2.2 A.10.8.1 A.10.8.2 A.10.8.4 มมาตรการในการควบคมหรอปองกนและสรางความตระหนกใหแกพนกงานอยางสม�าเสมอ และมขอบงคบในการนาขอมลความลบขององคกรไปเผยแพรท �งในทางเอกสารและอเมล และมบทลงโทษสาหรบผฝาฝนนาขอมลออกไปเผยแพรภายนอกอยางเครงครด
75
4.ประเมนความเส�ยง บคคล Personal
ลาดบ รายการตรวจสอบ
ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง
ตวควบคม F O R
20. หวหนาแผนก การทางานไมราบร�นหรอเกดมขอผดพลาดจนทาใหงานของบรษทไมสามารถดาเนนการตอได
1 4 1 1 4
ผลงานไมไดตามเปาหมายขององคกรท�วางไวและหวหนาแผนกไมสามารถจดการไดตามท�ไดรบ
มอบหมาย
2 5 4 1(3) 5 A.8.2.1 -มการประเมนประสทธภาพการทางานของหวหนาแผนก ปละ 1 คร �ง และมการรายงานผลการทางานทกเดอน
21. ผใชงาน
มการใชงานท�ลอแหลมและขาดความตระหนกในการใชงานเทคโนโลยสารสนเทศ
1 3 1 2(3) 6 A.8.2.2 A.8.2.3 สรางความตระหนกและใหความรแกพนกงานพรอมท �งมบทลงโทษกรณฝาฝน
การละเมดนโยบายความม �นคงปลอดภยเพราะขาดการตรวจสอบและลงโทษ
1 3 2 2(3) 6 A.8.2.2 A.8.2.3 สรางความตระหนกและใหความรแกพนกงานพรอมท �งมบทลงโทษกรณฝาฝน
76
ลาดบ รายการตรวจสอบ
ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง
ตวควบคม F O R
22. ผดแลระบบ
ระบบสารสนเทศทางานไดอยางไมมประสทธภาพและระบบไมมความปลอดภยเน�องจากไมมทกษะในการปฏบตงานเน�องจากไมไดศกษาเพ�มเตมเฉพาะดาน
2 4 1 1(3) 4 A.8.2.1 มการประเมนประสทธภาพการทางานของหวหนาแผนก ปละ 1 คร �ง และมการรายงานผลการทางานทกเดอน
การละเมดนโยบายความม �นคงปลอดภยสารสนเทศ
2 5 1 2(3) 10 A.8.2.3 กาหนดบทลงโทษกรณไมปฎบตตาม
77
5.การประเมนความเส�ยงผใหบรการ Service
ลาดบ รายการตรวจสอบ
ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง
ตวควบคม F O R
23. ผใหบรการ Internet
ผใหบรการไมสามรถใหบรการ internet ไดทาใหภายในองคกรไมสามารถดาเนนการตอไดและธรกจ
หยดชะงก
3 3 2 2 6 A.10.1.1 A.10.1.2 A.10.2.1 กาหนดมาตรการดานการใหบรการของหนวยงานภายนอกและม
การประเมนผลการใหบรการ -ใหมการใชงาน link สารองกรณผใหบรการไม
สามารถใหบรการได
24. ฝายอาคารสถานท�ของตก
เชา
การดาเนนธรกจหยดชะงกเน�องจากฝายอาคารสถานท�ของตกทาใหระบบไฟฟาขดของ
3 5 1 1(3) 5 A.10.1.1 A.10.1.2 กาหนดมาตรการดานการใหบรการของหนวยงานภายนอกและมการ
ประเมนผล
78
ตารางสรปจานวนความเส�ยงท�พบ (หลงการประเมนความเส�ยงรอบสอง)
ตารางท� 4.8 ตารางสรปจานวนความเส�ยงหลงการประเมนรอบสอง
ระดบความเส ยงท พบ ระดบสง ระดบกลาง ระดบต า รวมผล
จานวน 0 19 52 71
79
บทท� 5 สรปผลโครงงาน
โครงงานน�เปนงานสรางความม �นคงปลอดภยดานเทคโนโลยสารสนเทศตามกรอบมาตรฐาน ISO 27001/17799 โดยวเคราะหจากปญหาท�เกดข�นจรงภายในองคกร กรณศกษารวมท �งทาการบรหารจดการความเส�ยงเพ�อปองกนความเส�ยงท�อาจจะเกดข�นกบองคกรไดหรอทาใหความเส�ยงท�เกดข�นลดนอยลง 5.1 ผลการประเมนความเส�ยง
เม�อประเมนความเส�ยงกอนดาเนนการบรหารจดการความเส�ยงคร �งแรกแลวพบวาองคกรยงมจดออนจดบกพรองท�เปนความเส�ยงสงซ�งเม�อมการจดลาดบความเส�ยงแลวจะตองปฏบตตามแผนการบรหารจดการความเส�ยงดวยการจดใหมการควบคมแกความเส�ยงระดบสงและกลางกอนตามแผนการจดลาดบความเส�ยง ซ�งจะสามารถสรปไดตามรายการดงตอไปน�
ระดบความเส�ยง
ท�พบ ระดบสง ระดบกลาง ระดบต�า รวมผล
จานวน 3 40 28 71
รปท� 5.1 กราฟสรปจานวนความเส�ยงในการประเมนกอนดาเนนโครงการ
ระดบความเส ยง
สง
กลาง
ต า
80
5.2 ผลการประเมนความเส�ยงรอบสอง (หลงการจดการความเส�ยง)
หลงจากการประเมนรอบสองพบวาองคกรมแนวโนมท�ดข �นโดย เปรยบเทยบความเส�ยงกอนและหลงดาเนนโครงงาน ประเดนความเส�ยงในหลายหวขอไดรบการบรหารจดการใหมความเส�ยงลดลงซ�งอยในระดบต�า
ระดบความเส�ยงท�พบ
ระดบสง ระดบกลาง ระดบต�า รวมผล
จานวน 0 19 52 71
รปท� 5.2 กราฟสรปจานวนความเส�ยงในการประเมนหลงดาเนนโครงการ
ระดบสง
ระดบกลาง
ระดบต า
81
รปท� 5.3 กราฟเปรยบเทยบผลการประเมนหลงดาเนนการจดการความเส�ยง
สรปการดาเนนการหลงประเมนความเส�ยงโดยไดมการดาเนนการตามประเภทความเส�ยงท �ง 5 ประเภทอนไดแก
1. ทางดาน Hardware ไดมการดาเนนการตอสญญาบารงรกษาอปกรณตางครบถวนตามความสาคญของอปกรณ และมการปรบเปล�ยนอปกรณตางท�อยในสภาพท�พรอมใชงานและมการยายอปกรณท�มความสาคญตอการใชงานของระบบใหอยในท�ๆมความปลอดภยตอระบบเทคโนโลยสารสนเทศ
2. ทางดาน Software ไดมการเนนการอพเกรดเวอรช �นนของการใชงานใหรองรบการใชงานใหมและมการเพ�มการตดต �ง Patch Security เพ�มเตมเพ�อลดความเส�ยงในการใชงาน
3. ทางดาน Information ไดมการเพ�มเตมความปลอดภยในการใชงานขอมลเพ�มมากข�นเชนมการบงคบในการใหมการเปล�ยน Password ทกๆ 60 วน และมการเกบขอมลท�มความสาคญในท�ๆ มความปลอดภย
4. ทางดาน Personal ไดมการเพ�มเตมองคความรของผปฏบตงานโดยไดมการไปอบรมความรภายนอกเพ�มเตมเก�ยวกบเร�องการรกษาความม �นคงปลอดภยทางสารสนเทศ
5. ดาน Service มการกวดขนการปฏบตงานของผใหบรการอาคารเชนใหมการตรวจระบบปรบอากาศ รวมถงระบบแอเปนประจาเพ�อลดความเส�ยงทางดานการใชงาน
6. นโยบายความม �นคงปลอดภยขององคกรในโครงงานไดมการทบทวนเพ�อจดทาและปรบปรงนโยบายความม �นคงปลอดภยเพ�อใหระบบเครอขายขององคกรมความปลอดภยมากย�งข�นและเพ�มประสทธภาพในการทางานของระบบเครอขายสารสนเทศ
0
10
20
30
40
50
60
จานวน
82
โดยสรปจากผลการประเมนความความเส�ยงท�พบทาใหเราทราบถงสถานะความเส�ยงท�เกดข�นกบทางองคกรศกษา วายงคงมความเส�ยงอยนะระดบปลานกลางท �งเร�องของนโยบายความม �นคงปลอดภยในระบบสารสนเทศ และ การบรหารจดการความเส�ยงในมมตางๆ ทาใหเราทราบถงปญหาท�กอใหเกดความเส�ยง ทาใหเราสามารถหาวธการปองกนความเส�ยงท�อาจจะเกดข�นได หรอลดความเส�ยงใหเหลอนอยท�สดหรอไมมความเส�ยงเลย
ท �งน�มการนาเสนอความเส�ยงเพ�อใหองคกรสามารถเลอกควบคมความเส�ยงโดยมการรานโยบายการรกษาความม �นคงปลอดภยของระบบเทคโนโลยสารสนเทศซ�งองคกรไดนานโยบายท�รางไปประกาศใชงาน 5.3 ขอเสนอแนะ
เน�องจากเทคโนโลยท�พฒนาอยตลอดเวลา ฉะน �นนโยบายการรกษาความปลอดภยของเทคโนโลยสารสนเทศ และการบรหารจดการความเส�ยง จงมความจาเปนท�จะตองมรการทบทวน นโยบายและแผนงานตางๆ อยางสม�าเสมอเพ�อใหเหมาะสมกบเหมาะสมตอการงานใชงานและสภาวะการปจจบน
84
เอกสารอางอง
[1] ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต, มาตรฐานการรกษาความม %นคง
ปลอดภย ในการประกอบธรกรรมทางอเลกทรอนกส ( เวอรช %น 2.5 ) , 2550
[2] International Standard ISO/IEC 27001 First edition 2005-10-15
[3] ISO27k ISMS implementation and Certification process Version 3 January 2009
[4] จตชย แพงจนทร, Master in Security, 2550
[5] ศนยประสานงานการรกษาความปลอดภยคอมพวเตอรประเทศไทย ภายใตศนยเทคโนโลย
อเลกทรอนกสและคอมพวเตอรแหงชาต,รางแนวทางปฏบตสาหรบการรกษาความม %นคง
ปลอดภยสารสนเทศ,2552,
http://www.thaicert.nectec.or.th/paper/basic/procedure_ISO17799-2005.pdf
85
ภาคผนวก ก.
นโยบายดานความม �นคงปลอดภยสารสนเทศ
บรษท N.C.C. Mangement & Development Co.Ltd.,
(ฉบบ 1.0)
86
สารบญ
เร�อง หนา
สารบญ..................................................................................................................................... 86 วตถประสงค ............................................................................................................................. 87 นยาม ....................................................................................................................................... 87 Security Policy ...................................................................................................................... 88
87
วตถประสงค เพ�อสรางนโยบายในการบรหารความม �นคงปลอดภยทางดานเทคโนโลยสารสนเทศ
นยาม ผบรหาร หมายถง กรรมการผจดการบรษท ทาหนาท�ในการจดบรหารจดการดานความ
ม �นคงปลอดภยสารสนเทศ โดยมหนาท�ในการบรหารจดการดานความม �นคงปลอดภยท�
เก�ยวของกบการดาเนนงานใน ISMS (Information Security Management System) ของ
บรษท
หวหนาทมระดบสง หมายถง ผดารงตาแหนง HR Manager และ Engineering
Manager ของบรษท
Manager ทมตางๆ คอ Manger HR, Management
พนกงาน หมายถง พนกงาน บรษท
ทมผปฏบตงาน หมายถง พนกงาน สวนตางๆของบรษท
ผใหบรการภายนอก หมายถง ผใหบรการดานเทคโนโลยสารสนเทศของบรษท
Human Resource Officer หมายถง พนกงานฝายบคคลท�ทาหนาท�ในการจดการ
บคลากรภายในบรษท
ตวแทนประสานงานทมผปฏบตงาน คอผท�ทาหนาประสานงานระหวางทมงานและ
ผจดทา Security Policy เม�อเปล�ยนแปลง Security Policy ตวแทนประสานงานทมผปฏบตงาน
ตองทาหนาท� เชน แจงใหทมผปฏบตงานทกทานไดรบทราบและช\แจงทาความเขาใจ Security
Policy
Facility หมายถง แอร, เคร�อง UPS, เคร�อง Generation, อปกรณควบคมความช\น,
เคร�องจดน\า, เคร�องตรวจจบควนไฟ
88
A.1 Security Policy (การทบทวนโดยผบรหาร) 1. ผบรหาร และหวหนาทมระดบสง รวมจดต \ง Security Policy ข\นใหสอดคลองตามความ
ตองการทางธรกจ, กฎหมายและกฎระเบยบของบรษท
2. ผบรหาร ประกาศใชงาน Security Policy ใชงานภายในบรษท
3. พนกงานและผท�เก�ยวของปฏบตตาม Security Policy พรอมท \งเซนตรบทราบและ
ปฏบตตาม Security Policy อยางเปนทางการ
4. ผบรหาร และหวหนาทมระดบสง ดาเนนการสอบทาน ทบทวน และปรบปรง Security
Policy ตามรอบระยะเวลาหรอเม�อมการเปล�ยนแปลงโครงสรางบรษท ท�เปนสาระสาคญ
ตอการดาเนนงานท�มผลตอบรษท โดยพจารณาจาก
• ผลจากการรายงานตรวจสอบภายใน ( Internal Audit)
• ผลจาการปฏบตงานของพนกงาน
• ผลจากการจดทาแผนขอใหแกไขหรอปองกน
A.2 Organization of information security (ภาพรวมของบรษทในการสรางความม <นคงปลอดภย)
1. ผบรหาร และ หวหนาทมระดบสง ใหการสนบสนนกจกรรมดานความม �นคงปลอดภยให
บรษท เชน
• ใหงบประมาณสนบสนนเม�อมการปรบเปล�ยนดานความม �นคงปลอดภยภายใน
บรษท
• สนบสนนใหมการปฏบตงานใหเปนไปตามเปาหมายดานความม �นคงปลอดภย
• จดใหมการทบทวน Security Policy ตามรอบระยะเวลาหรอเม�อมการเปล�ยนแปลง
โครงสรางบรษท ท�เปนสาระสาคญตอการดาเนนงานท�มผลตอบรษท
• กาหนดบทบาทหนาท�ท�เก�ยวของกบความม �นคงปลอดภยดานระบบสารสนเทศใน
การปฏบตงาน
89
2. ทมผปฏบตงาน สงตวแทนการประสานงานดานความม �นคงปลอดภยเพ�อใหเขารวมการ
บรหารจดการความม �นคงรวมกบ ผบรหาร และ หวหนาทมระดบสง
3. HR Manager กาหนดบทบาทหนาท�ดานความม �นคงปลอดภยใหทมผปฏบตงานเขาไป
ใน Job description (JD) โดยมการเซนตรบทราบ Job description และ AUP
(Acceptance User Policy) กอนการปฏบตงาน
4. หามพนกงานนาอปกรณสวนตว ประเภท External Harddisk, โนตบค, Handhall
(iphon) หรอ คอมพวเตอรสวนบคคล ท�ไมตดต \งโปรแกรมปองกนไวรส (Anti-virus) เขา
มาเช�อมตอเขาระบบในบรษท
5. ผใหบรการภายนอกตองลงนามในสญญา NDA เม�อประเมนความเส�ยงผใหบรการ
ภายนอกแลวอยในเกณฑความเส�ยงกลางและสง กอนเร�มปฏบตงาน
A.3 Asset Management (การจดการทรพยสนสารสนเทศ) 1. Admin Manager จดทาบญชทรพยสนสารสนเทศตามเอกสาร Standard
Organization ของบรษท
2. ทรพยสนตางๆ ตองมการเขยนเง�อนไขการใชงานดวย (AUP: Acceptable use policy)
ผรบผดชอบ/เจาของสารสนเทศ จะตองปฏบตตามเง�อนไขของทรพยสนน \น (อเมล
ดงกลาวเปนอเมลของบรษทหามนาไปใชงานสวนตวเปนอนขาด หามตดต \ง Software
ท�ไมไดรบอนญาตลงในเคร�องคอมพวเตอรหรอโนตบกของบรษท)
3. เจาของขอมลผรบผดชอบ/เจาของสารสนเทศ ตองกาหนดจดการขอมลสารสนเทศตาม
เอกสาร Standard Organization ของบรษท
A.4 Human Resource (การจดการบรหารบคลากร) 1. HR Manager จดทา Job description ของตามตาแหนงท�ท�ตองการรบสมครงาน โดย
สอบถามความตองการในตาแหนงงานน \นกบหวหนาทมผปฏบตงาน
2. กอนการจางงานพนกงาน
2.1. พนกงานใหมตองสงรายละเอยดดงตอไปน\ใหกบ HR Officer
• ขอมลประวตการทางาน
90
• ขอมลประวตการศกษา
• ขอมลประวตอาชญากรรม
2.2. พนกงานใหม ตองลงนามในสญญาการจางงานกบ HR Officer
3. ระหวางการจางงาน
3.1. HR Manager จดการอบรมใหกบพนกงานใหม ดงน\
• อบรม Security Awareness ซ�งเก�ยวกบพฤตกรรมในการทางานดานความ
ม �นคงปลอดภย เชน ตดบตรพนกงานเม�อเขาทางานท�บรษท, หามตดต \ง
Software ดวยตนเอง เปนตน
• อบรม Security Policy ในสวนท�เก�ยวของกบตน
• อบรมการปฏบตงานตาม Job description หากการปฏบตงานดงกลาวตองใช
ผเช�ยวชาญท�ชานาญในการปฏบตงานอาจจางผใหบรการภายนอกเฉพาะดาน
เขาจดการอบรมใหกบพนกงานบรษท ได
3.2. เม�อพนกงานไมปฏบตตาม Security Policy และกอใหเกดความเสยหายหรออาจ
เกดความเสยหายกบบรษท HR Manager แจงใหหวหนาทมผปฏบตงานกรณ
ละเมดเง�อนไขมบทลงโทษตามเอกสาร Standard Organization ของบรษท
4. เม�อยกเลกการจางงาน
4.1. หวหนาทมผปฏบตงาน รบทราบการเปล�ยนแปลง การถอดถอน การโยกยาย หรอ
การลาออก ของพนกงานในสวนงานท�ดแลรบผดชอบ
4.2. หวหนาทมผปฏบตงาน แจงให HR Manager ไดรบทราบ
4.3. HR Manager กาหนดสถานะใหมใหพนกงาน เชน เปล�ยนแปลง ถอดถอน โยกยาย
หรอลาออก เปนตน ลงในระบบงานบคคล กรณลาออกตองมการลงนามใบลาออก
4.4. พนกงานตองคนทรพยสนของบรษท ใหกบ HR Manager ท�อยในการครอบครอง
91
4.5. ในกรณลาออก พนกงานตองคนสทธการเขาถงระบบ (Username และ Password)
ท�ไดรบในตาแหนงท�ปฏบตงาน ภายในวนท�ผลการอนมต
4.6. ในกรณเปล�ยนแปลง ถอดถอน โยกยาย หวหนาทมผปฏบตงานใหสทธการเขาถง
ระบบกบพนกงานอยางเหมาะสมกบตาแหนงท�ปฏบตงานใหม
A.5 Physical Security (การรกษาความม <นคงปลอดภยทางกายภาพและ Facility) 1. เม�อมผมาตดตองานกบบรษท เจาหนาท�อาคารหรอ รปภ. ตองแจงใหบรษท ทราบ
รายละเอยดผเขาตดตอโดยแลกบตรกอนเขาตกของบรษท และรอในพ\นท�ท�จดเตรยม
สาหรบผตดตองานจากภายนอกบรษท
2. Technician Engineering แบงพ\นท�บรษท และมการควบคมการเขาถงอยางม �นคง
ปลอดภยตามเอกสาร Standard Organization ของบรษท
3. Technician Engineering จดพ\นท�สงมอบงานใหอยในพ\นท� Public Area หากตองเขา
ตดต \งอปกรณในพ\นท� Secure Area ตองทมผปฏบตงานตดตามการตดต \งจนกระท �งแลว
เสรจและออกจาก Secure Area
4. พนกงานตองลงช�อกอนเขาปฏบตงานในพ\นท�บรษทและตดบตรพนกงานกอนเขา
ปฏบตงานนอกตก
5. ผบรหาร กาหนดใหมระบบ Facility เพ�อรองรบหองคอมพวเตอร และซอมบารงอปกรณ
ตามรอบระยะเวลา
6. Technician Engineering จดใหมการขออนญาตเขาถงพ\นท�, จดวาง Rack ใหม �นคง, ปด
LOG Rack ในหองคอมพวเตอร เปนตน
7. Human Resource Officer เฝาผมาตดตอท�เขา-ออก พ\นท�สานกงานและ Human Re-
source Officer เซนตรบรองการเขา-ออกของผมาตดตอ เพ�อนาไปยนใหกบ เจาหนาท�
อาคารหรอ รปภ. กอนออกจากตก
8. พนกงานหรอผท�เขาถงพ\นท�ท�สาคญตองปฏบตตามนโยบายดานความม �นคงปลอดภย
เม�อเขาถงโซนพ\นท�สาคญ ตามเอกสาร Standard Organization ของบรษท
9. พนกงานตองซอมหนไฟปละ y คร \ง รวมกบฝายอาคารสถานท�
92
A.6 Communication and Operations management 1. หวหนาทมผปฏบตงานตองจดทาเอกสารประกอบการปฏบตงาน (System Document)
ของ Facility หรอ Application ท�สาคญ
2. Technical Engineering ตองดาเนนการตอเคร�องท�ใหบรการและเคร�องท�พฒนาดงน\
2.1ตองแยกเคร�องพฒนาระบบออกจากเคร�องใหบรการ ทาง Physical หรอทาง Logical
(Visual Machine)
2.2ตองไมสามารถใช User name ในเคร�องพฒนาระบบกบเคร�องใหบรการ
3. System Administrator (Capacity Management) ตองหาเคร�องมอ (Software Monitoring)
ในการ Monitoring CUP, Hard disk และ Memory ของระบบโดยทมผปฏบตงาน และ
วเคราะหทรพยากรเทยบกบการเจรญเตบโตของธรกจของบรษทฯ ยอนหลง เพ�อสามารถ
ทาแผนขยายทรพยากร (Capacity Planning ดจากการใชงานเกนระดบท�ผบรหารยอมรบ
หรอไม เชน Memory ถกใชไปแลว 90% ของทรพยากรท \งหมด) ท�มอยใหเพยงพอกบการ
เตบโตในปตอไป
4. Mobile code และ Malicious Code
4.1. พนกงานตองปฏบตดงน\
• หาม Run โปรแกรม Mobile code (เชน Control ActiveX และ Java Script)
• หามพนกงานตดต \งโปรแกรมดวยตนเอง
• ตองอบรม Security Awareness Training
• อพเดทโปรแกรมปองกนไวรสอยางสม�าเสมอ
4.2. Technician Engineering ตองรวบรวมขาวสารเร�อง Virus Update และแจงให
พนกงานไดรบทราบ และจดทา White list ของเวบไซตท�สามารถประมวลผล Mo-
bile code ได
5. Technical Engineering ตองกาหนดใหสารองขอมลอยางนอยตองมรายละเอยดดงน\
5.1. ตองกาหนดขอมลท�ตองมการสารอง
93
5.2. กาหนดวธการสารองขอมล (Full Difference Inclement)
5.3. การสารองขอมลตองทาให Permission ของไฟลเหมอนไฟลตนฉบบ
5.4. เกบขอมลสารองไปไวนอกสถานท�
6. System Administrator ตองกาหนดการปองกนทางเครอขายใหมความม �นคงปลอดภย
ดงตอไปน\ (ตามเอกสาร Standard Organization ของบรษท)
6.1. ควบคมการทางานจากระยะไกล
6.2. เฝาระวง Network Performance ของบรษท
6.3. จดเกบและวเคราะห Log ของอปกรณเครอขาย
6.4. กาหนดวธการปลอดภยในการสงผานขอมลท�แลกเปล�ยน
7. พนกงานท�ไดรบการอนญาตใหใชงานอปกรณของบรษทไปใชยงนอกสถานท�ตอง
ระมดระวงการใชงานอปกรณใหโปรดภยเสมอนเปนทรพยสนของตนเอง (เชน NB หาม
วางไวกระบะหลงรถ เปนตน)
8. พนกงานการใชงานอเมลตองใหเปนไปตามกฎหมาย และหามนา Email Account ของ
บรษทไปใชในกจกรรมสวนตวของพนกงาน
9. พนกงานหามนาขอมลทางบรษทไปเปดเผยใหคนภายนอกทราบ
10. System Administrator ตองตรวจสอบขอมลวาเปนขอมลระดบช \นเผยแพรไดของบรษท
พรอมท \งประกาศนโยบายการเขาถงขอมลหรอนาไปใชงานของบรษทใหผท�เขาถงหนา
เวบไดทราบ
11. System Administrator ตองมการบรหารจดการ Log ของบรษท
94
A.7 Access Control 1. พนกงาน รองขอการจดทาบญชผเขาถงระบบตอง
1.1. หวหนาทมระดบสง จดทาทะเบยนการเขาถงใหพนกงานบรษทฯ
1.2. หวหนาทมระดบสง กาหนดสทธการเขาถงระบบกบพนกงานตามสทธท�สามารถ
ปฏบตงานได (Need to Known) และตาม Job description
2. หวหนาทมผปฏบตงาน ขออนมตจาก ผบรหาร หรอหวหนาทมระดบสง ตามสทธท�
กาหนดใหตามบญชผเขาถงระบบ
3. หวหนาทมผปฏบตงาน การต \งคาการเขาถงระบบตามท�ขออนมตใหพนกงานน \นๆ
4. หวหนาทมผปฏบตงาน สอบทานการเขาถงของพนกงานตามบญชผเขาถงระบบ (Pre
Audit Review) ปละ 1 คร \ง หรอเม�อมการเปล�ยนแปลงโครงสรางสาคญในการ
บรหารงานในบรษท หากพบพนกงานไมไดรบสทธในการเขาถงแลว ใหระงบสทธการ
เขาถงระบบของพนกงานน \นกอน และขอรองขอการถอดถอนไปยงทนท ผบรหาร หรอ
หวหนาทมระดบสง
A.8 Information Security Incident Management 1. พนกงานเม�อพบ Security Incident ข\นตองแจงเหตการณไปยง IT HelpDesk โดยโทร
3681 และแจงอเมล [email protected] โดยเหตการณ Security Incident ยกตวอยางดงน\
• ตดไวรส
• ตรวจพบการ Hack จากภายนอก
• มการLOGอนเวลาท�ผดปกต
• มการเดารหสผานท�หนาเวบ
• การไมปฏบตตามนโยบายของบรษท
2. Admin Officer ตองมการตรวจสอบLOGและวเคราะหเหตการณท�เกดข\นโดยการใช
Tool Admin Officer ตรวจสอบหนา Input validation ของหนาเวบไซต
3. พนกงานท�เก�ยวของดาน IT ตองฝกซอมในการรบเม�อกบเหตการณ Security Incident
(Penetration Testing หรอ Vulnerability Scan โดยผใหบรการภายนอก ซ�ง Admin Of-
ficer อาจทราบเหตการณไดโดยการจดทาการแจงเตอนการเขาถงโดยไมไดรบอนญาต
ได ) ปละ 2 คร \ง
95
A.9 Business Continuity Management 1. หวหนาสวนงาน Audit และหวหนาสวนงาน Technical Engineering ตองประเมนความ
เส�ยงรวมกบ Special Consultant ตอเหตการณท�สามารถเกดข\น 5 ประเภทตอบรษทดงน\
• เหตการณธรรมชาต เชน ไฟไหม, น\าทวม เปนตน
• เหตการณกอการราย เชน การวางระเบด เปนตน
• เหตการณโรคระบาด เชน ไขหวดนก เปนตน
• เหตการณจากมนษย เชน การชมนม ตาง ๆ (เชน การประทวง) เปนตน
เพ�อดวาเหตการณดงกลาวขางตนมผลกระทบและโอกาสเกดตอบรษทหรอไม ลงไปใน
แผนการสรางความตอเน�องทางธรกจของบรษท (BCP Plan)
2. Special Consultant จดทา BCP Plan โดยเลอกเหตการณท�มความเส�ยงสงใหจดทา
กอน โดยแผน BCP Plan มรายละเอยดตามเอกสาร Standard Organization
• BCP Plan กาหนดเหตการณความเส�ยงท�เกด
• วเคราะหเหตการณท�สามารถเกดข\นกบ Business ได
• กาหนด Critical Business Function (CBF) ใครตองไปอยท� DR กอน
• กาหนด Minimum (อปกรณพ\นฐานท�สามารถใชท� DR เพ�อใหธรกจ
ดาเนนการตอเน�องไปได)
• ควรทา BCP เปนรปแบบของ Service ตาม ITIL ถาเก�ยวของกบ Service
ไหนกใหหยบเลมของ Service น \นมาใชงาน
• เลอกวาจะทาไซตสารองประเภทใด Cold Warm Hot (ซ�งตองมการเซนต
Service Agreement รวมกนในการใชงาน)
• กาหนดการ Call tree
96
A.10 Compliance 1. Admin Office ตองจดเกบ LOGตาม พรบ. การเกบ LOG 90 วน
2. พนกงาน หามใชซอฟตแวรท�ผดลขสทธ � และในการอบรมสรางความตระหนกประจาปตองม
เน\อหาเก�ยวกบการกระทาผดเร�องการใชซอฟตแวรผดลขสทธ �ดวย
3. Admin Office สอบทานทกๆ 6 เดอนวามการใชงานซอฟตแวรท�มลขสทธ �หรอไม (Tech-
nical Compliance Checking)
4. บรษทตองจดเกบขอมลสารสนเทศหรอเกบขอมลทางบญชเปนระยะเวลา 10 ป หรอเกบ
LOGการเขาถงขอมลจากไฟลเซรฟเวอรกลางเปนระยะเวลา 90 วน
5. Manger HR ใหพนกงานสญญารกษาความลบ NDA (อางองจากเอกสาร Standard Or-
ganization) ทกคน สวนงาน Audit ตรวจเชครายละเอยดสญญาวาเปนไปตามท�ลงนามไว
หรอไม
6. พนกงานท �วไปตองรบทราบการหลกการปฏบตงานท �วไปภายในบรษทหรอมการลงนาม
เอกสาร AUP (อางองจากเอกสาร Standard Organization) กอนเขาปฏบตงาน และ
ปฏบตตาม AUP ท�ไดลงนาม รบทราบและปฏบตตาม
7. ขอมลอเมลของพนกงานถอวาเปนสมบตของบรษทใชเฉพาะการดาเนนงานของบรษท
เทาน \น ไมอนญาตใหนาไปใชงานสวนตว
97
ภาคผนวก ข.
เอกสารระบการปฏบตตามหลกการควบคมทางดานความม�นคงปลอดภยของมาตรฐาน ISO 27001
98
5. นโยบายความม นคงปลอดภย (Security policy)
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
5.1 นโยบายความม นคงปลอดภยสาหรบสารสนเทศ (Information security policy) A.5.1.1
เอกสารนโยบายความม �นคงปลอดภยท�เปนลายลกษณอกษร
√
เร�มใหมการจดทานโยบาย และแนวทางปฏบตในการรกษาความม �นคงปลอดภยสารสนเทศเปนลายลกษณอกษร
A.5.1.2
การทบทวนนโยบายความม �นคงปลอดภย
√ หลงจากจดทานโยบายวางแผนใหมการทบทวนทกป
99
A.6 โครงสรางทางดานความม นคงปลอดภยสาหรบองคกร (Organization of information security)
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
6.1 โครงสรางทางดานความม นคงปลอดภยภายในองคกร (Internal organization) A.6.1.1
การใหความสาคญของผบรหารและการกาหนดใหมการบรหารจดการดานความม �นคงปลอดภย
√
เร�มใหความสาคญและใหการสนบสนนตอการบรหารจดการทางดานความม �นคงปลอดภย
A.6.1.2
การประสานงานความม �นคงปลอดภยภายในองคกร √
กาหนดหนาท�ความรบผดชอบเพ�อประสานงานหรอรวมมอกนในการสรางความม �นคงปลอดภยและจดต 7งทมงานเพ�อเปนผประสานงานดานความม �นคงปลอดภย
A.6.1.3
การกาหนดหนาท�ความรบผดชอบทางดานความม �นคงปลอดภย
√
มกาหนดหนาท�ความรบผดชอบของพนกงานในการดาเนนงานทางดานความม �นคงปลอดภยสาหรบสารสนเทศขององคกร
100
-
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
6.1 โครงสรางทางดานความม นคงปลอดภยภายในองคกร (Internal organization) A.6.1.4
กระบวนการในการอนมตการใชงานอปกรณประมวลผลสารสนเทศ
√
มกระบวนการตรวจสอบและอนมตการใชงานอปกรณใหมในองคกรแตไมมเอกสารในการอนมตใหใชงานอยางเปนลายลกษณอกษร/ เอกสารขออนมตการใชงานสารสนเทศ
A.6.1.5
การลงนามมใหเปดเผยความลบขององคกร √
มการช7แจงขอตกลงไมเปดเผยความลบสาหรบพนกงานท�เขาใหมและการใชบรการหนวยงานภายนอก / ตองมการจดทาเอกสารไมเปดเผยความลบอยเดม
A.6.1.6
การมรายช�อและขอมลสาหรบการตดตอกบหนวยงานอ�น
√
ผบรหาร ตองมรายช�อและขอมลสาหรบตดตอกบหนวยงานอ�นๆ เชน สานกงานตารวจแหงชาต ผใหบรการอนเทอรเนต ตางๆกรณเกดปญหาในระบบ
101
-
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
6.1 โครงสรางทางดานความม นคงปลอดภยภายในองคกร (Internal organization) A.6.1.7
การมรายช�อและขอมลสาหรบการตดตอกบกลมท�มความสนใจเปนพเศษในบางเร�อง
√
มการแลกเปล�ยนและรบขาวสารจากดานความม �นคงปลอดภยทางสารสนเทศอยางสม�าเสมอ / เอกสารหรอ email การแจงอพเดทหรอ ขาวเก�ยวกบความปลอดภยทางสารสนเทศ
A.6.1.8
การทบทวนดานความม �นคงปลอดภยสารสนเทศโดยผตรวจสอบอสระ
√
มกระบวนการตรวจสอบภายในบางเพ�อทบทวนตรวจสอบความม �นคงปลอดภยภายในองคกร แตไมมการตรวจสอบจากผตรวจสอบจากภายนอก
102
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
6.2 โครงสรางทางดานความม นคงปลอดภยท เก ยวของกบลกคาหรอหนวยงานภายนอก (External parties) A.6.2.1
การประเมนความเส�ยงของการเขาถงสารสนเทศโดยหนวยงานภายนอก
√
องคกรยงไมมนโยบายใหมการตรวจสอบและประเมนความเส�ยงขององคกรโดยหนวยงานภายนอก
A.6.2.2
การระบขอกาหนดสาหรบลกคาหรอผใชบรการท�เก�ยวของกบความม �นคงปลอดภยสาหรบสารสนเทศขององคกร
√
มการจดทารายช�อผใชงานบรการและมการจดทาขอตกลงการใหบรการท�ถกตองครบถวน /เอกสารายละเอยดการใหบรการ
A.6.2.3
การระบและจดทาขอกาหนดสาหรบหนวยงานภายนอกท�เก�ยวของกบความม �นคงปลอดภยสาหรบสารสนเทศขององคกร
√
มการจดทารายช�อผใหบรการตางๆ เชน ผใหบรการ internet ผใหบรการดแลตางๆ /เอกสารขอตกลงสญญา
103
A7. การบรหารจดการทรพยสนขององคกร (Asset management)
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
7.1 หนาท ความรบผดชอบตอทรพยสนขององคกร (Responsibility for assets) A.7.1.1
การจดแบงหมดหมและจดทาบญชรายการทรพยสน
√
มการจดทาบนทกรายการทรพยสนทกช7นท�ซ7อมาใหม /เอกสารบญชทรพยสน
A.7.1.2
การระบผเปนเจาของทรพยสน
√
มการระบผดแลทรพยสน หรอแผนกท�เปนผดแลทรพยสน / มการตด Label ลงบนทรพยสน
A.7.1.3
การระบและจดทาขอกาหนดสาหรบหนวยงานภายนอกท�เก�ยวของกบความม �นคงปลอดภยสาหรบสารสนเทศขององคกร
√
มการจดทารายช�อผใหบรการตางๆ เชน ผใหบรการ internet ผใหบรการดแลตางๆ /เอกสารขอตกลง
-
104
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
7.2 การจดหมวดหมสารสนเทศ (Information classification) A.7.2.1
การจดทาแนวทางในการแบงลาดบช 7นของขอมล
√
ยอมรบความเส�ยง แตมการวางแผนจะจดทา ในป ตอไป
A.7.2.2
การจดทาปายช�อบงช7สาหรบทรพยสนสารสนเทศ
√
มการระบผดแลทรพยสน หรอแผนกท�เปนผดแลทรพยสนและหาท�จดเกบเปนสดสวน / มการตด Label ลงบนทรพยสน
105
A.8. ความม �นคงปลอดภยท�เก�ยวของกบบคลากร (Human resources security)-
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
8.1 การสรางความม นคงปลอดภยกอนการจางงาน (Prior to employment) A.8.1.1
การกาหนดหนาท�ความรบผดชอบทางดานความม �นคงปลอดภย
√
เร�มมการกาหนดหนาท�ใหกบคณะทางานและพนกงานในดานความม �นคงปลอดภยสารสนเทศอยางเปนลายลกษณอกษร / เอกสารรายงานการประชม
A.8.1.2
การตรวจสอบคณสมบตของผสมคร
√ มการกาหนดคณสมบตของผสมครเขาทางานโดยตองมพ7นฐานและประสบการณท�เหมาะสม
A.8.1.3
การใชงานทรพยสนท�เหมาะสม √
ตองมการกาหนด การอนญาตใชงานกบผเก�ยวของกบสารสนเทศอยางเหมาะสมเพ�อปองกนความเสยหายอนเกดจากความรเทา ไมถงการหรอไมมความรในการใชงาน
-
106
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
8.2 การสรางความม นคงปลอดภยในระหวางการจางงาน (During employment) A.8.2.1
หนาท�ในการบรหารจดการทางดานความม �นคงปลอดภย
√
เร�มมการกากบดแลใหพนกงานใหความสาคญในการรกษาความม �นคงปลอดภยในการใชงานระบบสารสนเทศ
A.8.2.2
การสรางความตระหนก การใหความร และการอบรมดานความม �นคงปลอดภยใหแกพนกงาน
√
มการสรางความตระหนกในการการสรางความม �นคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ /เร�มทาการอบรม
A.8.2.3
กระบวนการทางวนยเพ�อลงโทษ
√ มการเพ�มกฎในการละเมดความม �นคงปลอดภยอยางสม�าเสมอและมมาตรการตกเตอนและลงโทษทางวนย
-
107
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
8.3 การสNนสดหรอการเปล ยนการจางงาน (Termination or change of employment) A.8.3.1
การส7นสดหรอการเปล�ยนการจางงาน
√
มกระบวนการในการแจงการส7นสภาพความเปนพนกงาน / แบบฟอรมการลาออก
A.8.3.2
การคนทรพยสนขององคกร
√
พนกงานท�ส7นสดการจางงานคนทรพยสนขององคกร เม�อส7นสดการจางงาน / แบบฟอรมการคนทรพยสน
A.8.3.3
การถอดถอนสทธในการเขาถง
√
กาหนดหนาท�ความรบผดชอบในการการถอดถอนสทธในการเขาถงสารสนเทศและทรพยสนสารสนเทศใหผท�ดแลทรพยสน ท�เก�ยวของ / แบบฟอรมการลาออก
108
A.9. การสรางความม �นคงปลอดภยทางกายภาพและส�งแวดลอม (Physical and environmental security)
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
9.1 บรเวณท ตองมการรกษาความม นคงปลอดภย (Secure areas) A.9.1.1
การจดทาบรเวณลอมรอบ
√
มการเลอกพ7นท�ในการจดเกบระบบสารสนเทศท�ปลอดภย มบรเวณลอมรอบ, ประตทางเขาออก และพนกงานรกษาความปลอดภย
A.9.1.2
การนามาประยกตใชการเขา-ออก ศนยคอมพวเตอร แยกพ7นท�การตดตอจากบคคลภายนอก
√
มการนามาประยกตใชการเขาออกดวยบตร มการตรวจสอบการเขาออก
A.9.1.3
การรกษาความม �นคงปลอดภยสาหรบสานกงาน หองทางาน และทรพยสนอ�นๆ
√ มการจดสรรพ7นท�ในการจดเกบระบบสารสนเทศใหมความปลอดภย
A.9.1.4
การปองกนภยคกคามจากภายนอกและส�งแวดลอม √
มการเลอกพ7นท�ในการจดเกบระบบสารสนเทศท�ปลอดภยท�มปองกนตอภยคกคามตางๆ
109
A.9.1.5
การปฏบตงานในพ7นท�ท�ตองรกษาความม �นคงปลอดภย √
มแนวทางปฏบตงานสาหรบพ7นท�ในการจดเกบระบบสารสนเทศแยกออกจาสวนอ�น
A.9.1.6
การจดบรเวณสาหรบการเขาถง หรอการสงมอบผลตภณฑโดยบคคลภายนอก
√
มการจดบรเวณสาหรบการเขาถง หรอการสงมอบโดยบคคลภายนอก
-
110
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
9.2 ความม �นคงปลอดภยของอปกรณ (Equipment security) A.9.2.1
การจดวางและการปองกนอปกรณ
√
มการเลอกพ7นท�ในการจดเกบระบบสารสนเทศท�ปลอดภย มบรเวณลอมรอบ, ประตทางเขาออก และพนกงานรกษาความปลอดภย ,มอปกรณปองกนไฟกระชาก
A.9.2.2
ระบบและอปกรณสนบสนนการทางาน
√ มการเลอกพ7นท�ในการจดเกบระบบสารสนเทศโดยมระบบและอปกรณสนบสนนตางๆ
A.9.2.3
การเดนสายไฟ สายส�อสาร และสายเคเบ7ลอ�นๆ √
มการเลอกพ7นท�ในการจดเกบระบบสารสนเทศท�มมาตรฐานท 7งในเดนสายไฟและอปกรณสายสญญาณ
A.9.2.4 การบารงรกษาอปกรณ
√
มการบารงรกษาใหอปกรณพรอมใชงานอยางสม�าเสมอ \ สญญาการใหบรการ
A.9.2.5 การปองกนอปกรณท�ใชงานอยนอกสานกงาน
√ ไมมอนญาตใหนาอปกรณสารสนเทศขององคกรออกนอกสถานท�ยกเวนมเหตจาเปนซ�งตองไดการรบรองกอน
111
A.9.2.6 การกาจดอปกรณหรอการนาอปกรณกลบมาใชงานอกคร 7ง
√ องคกรมแนวทางปฏบตในการกาจดและนาอปกรณกลบมาใชใหม
A.9.2.7
การนาอปกรณออกนอกองคกร √
องคกรมแนวทางการจดการนาทรพยสนออกภายนอก \ เอกสารนาทรพยสนออกภายนอก
112
A.10. การบรหารจดการดานการส�อสารและการดาเนนงานของเครอขายสารสนเทศขององคกร (Communications and operations management)
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
10.1 การกาหนดหนาท�ความรบผดชอบและข 7นตอนการปฏบตงาน (Operational procedures and responsibilities) 10.1.1
ข 7นตอนการปฏบตงานท�เปนลายลกษณอกษร
√
เร�มจดทาข 7นตอนปฏบตงานอยในระบบสารสนเทศ \ มคมอดานการปฏบตงาน
10.1.2 การนามาประยกตใชการเปล�ยนแปลง ปรบปรง หรอแกไขระบบหรออปกรณ
√ การเปล�ยนแปลงระบบสารสนเทศจะกระทาไดเม�อมการแจงผดแลระบบแลวเทาน 7น \ จดทาอกสารขอการเปล�ยนแปลง
10.1.3 การแบงหนาท�ความรบผดชอบ √
แบงแยกหนาท�ความรบผดชอบ และแบงสทธในการเขาถงระบบ
10.1.4 การแยกระบบสาหรบการพฒนา ทดสอบ และใหบรการออกจากกน
√
มกระบวนการในการทดสอบระบบกอนใชงานจรงทกคร 7ง \ มในการทดสอบใน server ทดสอบ กอนนาไปใชงานจรง
113
-
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
10.2 การบรหารจดการการใหบรการของหนวยงานภายนอก (Third party service delivery management) 10.2.1 การใหบรการโดยหนวยงาน
ภายนอก
√
มการจดทาขอตกลงการใหบรการกบหนวยงานผใหบรการภายนอก
10.2.2 การตรวจสอบการใหบรการโดยหนวยงานภายนอก √
มการทบทวนเหตการณความม �นคงปลอดภยกบผใหบรการภายนอกอยางสม�าเสมอ \ เอกสารการใหบรการจากหนวยงานภายนอก
10.2.3 การบรหารจดการการเปล�ยนแปลงในการใหบรการ
√ มการทบทวนการใหบรการเพ�อการปรบปรงการใหบรการของผใหบรการภายนอกทกๆ 1 ป
-
114
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
10.3 การวางแผนและการตรวจรบทรพยากรสารสนเทศ (System planning and acceptance) 10.3.1 การวางแผนความตองการ
ทรพยากรสารสนเทศ √
วางแผนความตองการทรพยากรสารสน จากแนวโนมการใชงานระบบสารสนเทศ
10.3.2 การตรวจสอบการใหบรการโดยหนวยงานภายนอก
√ ตรวจรบระบบตามการใชงานท�ไดออกแบบไว กอนนามาใชจรง
10.4 การปองกนโปรแกรมท�ไมประสงคด (Protection against malicious and mobile code) 10.4.1 การปองกนโปรแกรมท�ไม
ประสงคด √ เคร�องท�ใชงานทกเคร�องตองมซอฟตแวรปองกนไวกอนการใชงานระบบ และมการอพเดทอยเสมอ
10.4.2 การปองกนโปรแกรมชนดเคล�อนท�
√ มการสรางความตระหนกแกพนกงาน และใหความรในการใชงานโดยไม Run โปรแกรมท�ไมเหมาะสม และหม �นตรวจเชคการอพเดท Patch ท�เก�ยวของกบ Security อยางสม�าเสมอ
-
115
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
10.5 การสารองขอมล (Back-up) 10.5.1 การสารองขอมล (Information
back-up) √
มวธปฏบตในการสารองขอมลและเร�มจดทานโยบายดานการสารองขอมลเปนลายลกษณอกษร
10.6 การบรหารจดการทางดานความม �นคงปลอดภยสาหรบเครอขายขององคกร (Network security management) 10.6.1 มาตรการทางเครอขาย
√
มการบรหารและจดการเครอขายเพ�อปองกนภยคกคามตางๆ
10.6.2 ความม �นคงปลอดภยสาหรบบรการเครอขาย
√ มการกาหนดคณสมบตทางดานความม �นคงปลอดภยระดบการใหบรการ และขอกาหนดในการบรหารจดการสาหรบบรการเครอขาย
10.7 การจดการส�อท�ใชในการบนทกขอมล (Media handling) 10.7.1 การบรหารจดการส�อบนทก
ขอมลท�สามารถเคล�อนยายได √ มคาแนะนาในการเขารหสขอมลสาหรบส�อบนทกขอมลท�เคล�อนยายไดแตไมมการบงคบใชแตพนกงานมความตระหนกดวยการไมเกบขอมลสาคญเอาไว
10.7.2 การทาลายส�อบนทกขอมลขององคกร
√ มแนวทางปฏบตในการกาจดส�อบนทกขอมลเพ�อปองกนขอมลร �วไหล
116
10.7.3
ข 7นตอนปฏบตสาหรบการจดการขอมลและส�อบนทกขอมลสารสนเทศ
√ มข 7นตอนปฏบตเพ�อจดการกบการเขาถงขอมลอยางชดเจนเพ�อปองกนไมใหผไมสทธเขาถงได
10.7.4
การสรางความม �นคงปลอดภยสาหรบเอกสารระบบ
√ การเกบเอกสารระบบยงไมมความปลอดภยเน�องจากถกเกบไวบนเคร�องคอมพวเตอรของกลมผดแลระบบเทาน 7น
-
117
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
10.8 การแลกเปล ยนสารสนเทศ (Exchange of information) 10.8.1 นโยบายและข 7นตอนปฏบตสา
หรบการแลกเปล�ยนสารสนเทศ
√
เร�มจดทาข 7นตอนปฏบตงานอยในระบบสารสนเทศ \ มคมอดานการปฏบตงาน
10.8.2 ขอตกลงในการแลกเปล�ยนสารสนเทศ
√ การเปล�ยนแปลงระบบสารสนเทศจะกระทาไดเม�อมการแจงผดแลระบบแลวเทาน 7น \ จดทาอกสารขอการเปล�ยนแปลง
10.8.3 การสงส�อบนทกขอมลออกไปนอกองคกร √
แบงแยกหนาท�ความรบผดชอบ และแบงสทธในการเขาถงระบบ
10.8.4 การสงขอความทางอเลกทรอนกส
√
มกระบวนการในการทดสอบระบบกอนใชงานจรงทกคร 7ง \ มในการทดสอบใน server ทดสอบ กอนนาไปใชงานจรง
10.8.5 ระบบสารสนเทศทางธรกจท�เช�อมโยงกน
√
118
-
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
10.9 การสรางความม นคงปลอดภยสาหรบบรการพาณชยอเลกทรอนกส (Electronic commerce services) 10.9.1 การพาณชยอเลกทรอนกส
√
ไมมเช�อมโยงระบบกบระบบสารสนเทศท�อ�น
10.9.2 การทาธรกรรมออนไลน √
ไมมเช�อมโยงระบบกบระบบสารสนเทศท�อ�น
10.9.3 สารสนเทศท�มการเผยแพรออกสสาธารณะ
√ มการตรวจสอบขอมลกอนเผยแพรออกสสาธารณะ
-
119
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
10.10 การเฝาระวงทางดานความม นคงปลอดภย (Monitoring) 10.10.1
การบนทกเหตการณท�เก�ยวของกบการใชงานสารสนเทศ
√
จดเกบขอมลบนทกเหตการณในการเขาใชงานระบบ
10.10.2
การตรวจสอบการใชงานระบบ
√ ตรวจสอบความพรอมใชงานระบบสารสนเทศ
10.10.3 การปองกนขอมลบนทกเหตการณ
√ ยอมรบความเส�ยง แตมการวางแผนจะจดทาในปตอไป
10.10.4
บนทกกจกรรมการดาเนนงานของเจาหนาท�ท�เก�ยวของกบระบบ
√
บนทกกจกรรมการดาเนนงานของผดแลระบบ ในการใชงาน
10.10.5
การบนทกเหตการณขอผดพลาด
√ มแผนจดทานโยบาย และแนวทางปฏบตในการบนทก และวเคราะหเพ�อแกไขปญหา
10.10.6 การต 7งเวลาของเคร�องคอมพวเตอรใหตรงกน
√ มการต 7งเวลาเคร�องใหตรงกน โดยการสอดคลอง Sync เวลากบ nap server
120
A.11. การควบคมการเขาถง (Access control)-
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
11.1 ขอกาหนดทางธรกจสาหรบการควบคมการเขาถงสารสนเทศ (Business requirements for access control) 11.1.1
นโยบายการควบคมการเขาถงระบบ
√
ควบคมการเขาถงระบบสารสนเทศ ตามความจาเปนในการสอดคลอง งาน
11.2 การบรหารจดการการเขาถงของผใช (User access management) 11.2.1
การลงทะเบยนพนกงาน √
การขอสทธ และยกเลกสทธในระบบสารสนเทศผานผบรหารของพนกงานไปยงผบรหารท�ดแลระบบสารสนเทศน 7นๆ
11.2.2
การบรการจดการสทธการใชงานระบบ
√ องคกรมนโยบายในการจดเกบและบนทกขอมลและการเขาถงระบบจาแนกตามสทธของผใชงาน
11.2.3
การบรหารจดการรหสผานสาหรบผใชงาน
√ มแผนการจดทานโยบาย และแนวทางปฏบตในการบรหารจดการรหสผาน ซ�งรวมถงการบรหารจดการรหสผานสาหรบผใชงาน
11.2.4
การทบทวนสทธการเขาถงของผใชงาน
√ มการทบทวนสทธของผใชงานระหวางท�ผใชงานยงเปนพนกงานอย
121
-
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
A.11.3 หนาท ความรบผดชอบของผใชงาน (User responsibilities) 11.3.1
การใชรหสผาน
√
มควบคมการเขาถงระบบสารสนเทศ ตามความจาเปนในการใชงานและมการ Generate User จากระบบ
11.3.2
การปองกนอปกรณท�ไมมพนกงานดแล
√
องคกรไมมการ lock หนาจอขณะไมไดใชงาน โดย User ตองบรหารจดการตวเอง โดยการ Lock หนาจอ หรอ Log Out ขณะไมไดใชงาน แตถาเปนเคร�อง Server จะมการ ต 7งเวลาในการ Logout
11.3.3
นโยบายควบคมการไมท7งทรพยสนสารสนเทศสาคญไวในท�ท�ไมปลอดภย
√ ไมมนโยบายน7เน�องจาก มขอบงคบการใชงานอยแลว
11.4.1
นโยบายการใชงานบรการเครอขาย
√ องคกรไมมการกาหนดขอบเขตในการเขาถงเครอขายวาสวนใดผใชงานคนไหนเขาถงไดบาง ผใชงานสามารถเช�อมตอถงกนไดท 7งหมด
11.4.2
การพสจนตวตนสาหรบผใชท�อยภายนอกองคกร
√ ใชงาน VPN แบบ IPsec โดยมการพสจนตวตนกอนเช�อมตอและมการเขารหสขอมลระหวางการรบสงขอมล สอดคลอง https และ SSH
122
-
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
A.11.4 การควบคมการเขาถงเครอขาย (Network access control) 11.4.3
การพสจนตวตนอปกรณบนเครอขาย
√
ในการเขาบรหารจดการอปกรณเครอขายจะมการพสจนตวตนกอนเสมอ
11.4.4
การปองกนพอรตท�ใชสาหรบตรวจสอบและปรบแตงระบบ
√ มการ Disable พอรตไมไดใชของระบบท�สาคญเพ�อไมใหมการเขาถง
11.4.5
การแบงแยกเครอขาย
√ เน�องจากมการแบงการใชงาน ระหวาง internet และ intranet ภายใน
11.4.6
การควบคมการเช�อมตอทางเครอขาย
√ มการกาหนดขอบเขตรายการอปกรณท�สามารถเขาถงไดของผใชงาน
11.4.7
การควบคมการกาหนดเสนทางบนเครอขาย
√ ในการเขาบรหารจดการอปกรณเครอขายจะมการพสจนตวตนกอนเสมอ
-
123
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
A.11.5 การควบคมการเขาถงระบบปฏบตการ (Operating system access control) 11.5.1
ข 7นตอนปฏบตในการเขาถงระบบอยางม �นคงปลอดภย
√
ระบบไมมการรายงานแสดงรายละเอยดของระบบงานหรอการชวยเหลอใดๆท�เปนประโยชนตอผไมหวงดจนกวาจะมการพสจนตวตนผานแลว และเม�อมการ login ไมผานเกน 3 คร 7ง จะตดใหรอ login ใหม
11.5.2
การระบและพสจนตวตนของผใชงาน
√ มการแบงแยกสทธการใชงานของ User และ admin อยางชดเจนและจะไมสอดคลอง admin account ในการปฏบตงานท �วไป
11.5.3
ระบบบรหารจดการรหสผาน √
มกากาหนดโปรแกรมสาหรบ Generate Password ท�จะใชงานในระบบเพ�อความปลอดภยและมมาตรฐานเด�ยวกน
11.5.4
การใชงานโปรแกรมยทลต
√ กอนใหใชงานโปรแกรมตางๆตองไดรบการเหนชอบจากฝายสารสนเทศกอนใชงาน
11.5.5
การหมดเวลาการใชงานระบบสารสนเทศ
√ ระบบมการต 7งคา Idle Timeout เม�อไมมการใชงาน
11.5.6
การจากดระยะเวลาการใชงานระบบสารสนเทศ
√ ระบบจากดชวงเวลาการเขาถงตามความเหมาะสมหรอหากไมไดใชงานระบบจะตดออกจากการใชงาน
124
-
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฎบต
ไมนามาใช หมายเหต
A.11.6 การควบคมการเขาถงแอพพลเคชนและสารสนเทศ (Application and information access control) 11.6.1
การจากดการเขาถงสารสนเทศ
√
ระบบมการควบคมการเขาถงขอมลและฟงช �นตางๆของระบบงานตามสทธของ user หรอ admin
11.6.2
การแยกระบบสารสนเทศท�มความสาคญสง
√ มการเกบขอมลสาคญเชนขอมลระบบของลกคาแยกตางหากซ�งผท�จะเขาไปใชงาน
11.6.3
การปองกนอปกรณส�อสารประเภทพกพา
√
ไมมการใชงานอปกรณส�อสารประเภทพกพาในหองศนยขอมล
11.6.4
การปฏบตงานจากภายนอกสานกงาน
√ มการใชงาน VPN แบบ IPsec โดยมการพสจนตวตนกอนเช�อมตอและมการใชงาน https กอนการเขาใชงาน
125
A.12. การจดหา การพฒนา และการบารงรกษาระบบสารสนเทศ (Information systems acquisition, development and maintenance)
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
A.12.1 ขอกาหนดดานความม นคงปลอดภยสาหรบระบบสารสนเทศ (Security requirements of information systems) 12.1.1
การวเคราะหและการระบขอกาหนดดานความม �นคงปลอดภย
√
องคกรมกระบวนการในการตรวจสอบและทดสอบเพ�อประเมนซอฟตแวรท�ตองการจดหามาใชงาน
A.12.2 การประมวลผลสารสนเทศในแอพพลเคช น (Correct processing in applications) 12.2.1
การตรวจสอบขอมลนาเขา √
มแผนการจดทานโยบาย และแนวทางปฏบตในการระบขอกาหนดทางดานความม �นคงปลอดภย ซ�งรวมถงการตรวจสอบขอมลนาเขา
12.2.2
การตรวจสอบขอมลท�อยระหวางการประมวลผล
√ ไมมการตรวจสอบขอมลท�อยระหวางการประมวลผล
12.2.3
การตรวจสอบความถกตองของขอมล
√ มแผนการจดทานโยบาย และแนวทางปฏบตในการระบขอกาหนดทางดานความม �นคงปลอดภย ซ�งรวมถงการตรวจสอบขอมลนาออก
11.2.4
การตรวจสอบขอมลนาออก
√ มแผนการจดทานโยบาย และแนวทางปฏบตในการระบขอกาหนดทางดานความม �นคงปลอดภย ซ�งรวมถงการตรวจสอบขอมลนาออก
126
-
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
A.12.3 มาตรการการเขารหสขอมล (Cryptographic controls) 12.3.1
นโยบายการใชงานการเขารหสขอมล
√
ไมมการเลอกใชการเขารหสท�ปลอดภย
12.3.2 การบรหารจดการกญแจเขารหสขอมล
√
ไมมการใชงานเขารหสขอมล
A.12.4 การสรางความม นคงปลอดภยใหกบไฟลของระบบท ใหบรการ (Security of system files) 12.4.1
การควบคมการตดต 7งซอฟตแวรลงไปยงระบบท�ใหบรการ
√ การตดต 7งซอฟตแวรตางๆ ลงไปยงระบบท�ใหบรการ
12.4.2
การปองกนขอมลท�ใชสาหรบการทดสอบ
√ มการปองกนขอมลสาหรบทดสอบโดยลบท7งเม�อทดสอบเสรจ
12.4.3
การควบคมการเขาถง ซอรสโคดสาหรบระบบ
√ การเขาถงซอรสโคด ตองแจงสวนงานท�เปนผดแลระบบ
127
-
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
A.12.5 การสรางความม นคงปลอดภยสาหรบกระบวนการในการพฒนา ระบบและกระบวนการสนบสนน (Security in development and support processes) 12.5.1
ข 7นตอนปฏบตสาหรบควบคมการเปล�ยนแปลงหรอแกไขระบบ
√
การเปล�ยนแปลงระบบสารสนเทศจะกระทาไดเม�อมการแจงท�ผดแลระบบแลวเทาน 7น โดยไมมเปนรายอกษรแตกาลงละจะเตรยมจดทาเปนรายลกษร
12.5.2
การทบทวนการทางานของระบบงานภายหลงจากท�เปล�ยนแปลงระบบปฏบตการ
√ มการตรวจสอบผลการแกไขเปล�ยนแปลงของระบบงานโดยการทดสอบจากผท�เก�ยวของ
12.5.3
การจากดการเปล�ยนแปลงแกไขตอซอฟทแวรท�มาจากผผลต
√ ไมมการนาซอฟตแวรมาแกไขเปล�ยนแปลงซอฟตแวรแพคเกตเพ�อใชงาน
12.5.4
การปองกนการร �วไหลของสารสนเทศ
√ ควบคมการเขาถงขอมลท 7ง Logical และกายภาพ
12.5.5
การพฒนาซอฟตแวรโดยหนวยงานภายนอก
√ มแผนการจดทานโยบาย และแนวทางปฏบตในการควบคมและตรวจสอบการพฒนาจากหนวยงานภายนอก
128
A.13. การบรหารจดการเหตการณท�เก�ยวของกบความม �นคงปลอดภยขององคกร (Information security incident management)
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
A.13.1 การรายงานเหตการณและจดออนท เก ยวของกบความม นคงปลอดภย A.13.2 การบรหารจดการและการปรบปรงแกไขตอเหตการณท เก ยวของกบความม นคงปลอดภย 13.1.1
การรายงานเหตการณท�เก�ยวของกบความม �นคงปลอดภย
√
รายงานเหตการณท�เก�ยวของกบความม �นคงปลอดภยไปยง ผดแลระบบสารสนเทศ
13.1.2
การรายงานจดออนท�เก�ยวของกบความม �นคงปลอดภยขององคกร
√ เม�อมการตรวจพบจดออนท�เก�ยวของกบความม �นคงปลอดภย ใหพนกงานแจงไปยงเจาหนาท�ฝายความม �นคงปลอดภยสารสนเทศ
13.2.1
หนาท�ความรบผดชอบและข 7นตอนปฏบต
√ มการจดเกบหลกฐานท�เก�ยวของ ในกรณผดตอหลกกฎหมายเชนการจดเกบ Log การใชงานตาม พรบ.
13.2.2
การเรยนรเหตการณท�เก�ยวของกบความม �นคงปลอดภย
√ องคกรมการจดเกบเหตการณดานความม �นคงปลอดภยท�เกดข7นและหาแนวทางแกไข
13.2.3
การเกบรวบรวมหลกฐาน
√ องคกรมกระบวนการในการจดทาข 7นตอนปฏบตสาหรบการเกบรวบรวมหลกฐานบนทกกจกรรมตางๆของผใชงานในระบบ
129
A.14. การบรหารความตอเน�องในการดาเนนงานขององคกร (Business continuity management)
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
A.14.1 หวขอพNนฐานสาหรบการบรหารความตอเน องในการดาเนนงานขององคกร (Information security aspects of business continuity management) 14.1.1
กระบวนการในการสรางความตอเน�องใหกบธรกจ ปลอดภย
√
มแผนการจดทานโยบาย และแนวทางปฏบตในสรางความตอเน�องใหกบธรกจ
14.1.2
กระประเมนความเส�ยงในการสรางความตอเน�องใหกบธรกจ
√ ยงไมมนโยบายในการสรางความตอเน�องใหกบธรกจอยางจรงจง
14.1.3
การจดทาและใชงานแผนสรางความตอเน�องใหธรกจ
√ ยงไมมนโยบายในการสรางความตอเน�องใหกบธรกจอยางจรงจงมแตการเตรยมจดทาเพ�อรองรบภยท�อาจเกดข7น
14.1.4
การกาหนดกรอบสาหรบการวางแผนเพ�อสรางความตอเน�องใหกบธรกจ
√ ยงไมมนโยบายในการสรางความตอเน�องใหกบธรกจอยางจรงจง
14.1.5
การทดสอบและปรบปรงแผนสรางความตอเน�องใหกบธรกจ
√ มการทดสอบแผนการกคนระบบอยางเตมรปแบบแตยงไมมการกาหนดเปนรายอกษร
130
A.15 การปฏบตตามขอกาหนด (Compliance)
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
A.15.1 การปฏบตตามขอกาหนดทางกฎหมาย (Compliance with legal requirements) 15.1.1
การระบขอกาหนดตางๆท�มผลทางกฎหมาย
√
องคกรมการระบกฎหมาย ระเบยบ ขอบงคบ ขอกาหนดในสญญาตางๆท�องคกรตองปฏบตตามและใหพนกงานทกคนปฏบตดวย
15.1.2
การปองกนสทธและทรพยสนทางปญญา
√ องคกรมการจดซ7อซอฟตแวรระบบจากแหลงท�เช�อถอไดและมการควบคมการใชซอฟตแวรท�จดซ7อมาไวใชงาน
15.1.3
การปองกนขอมลสาคญท�เก�ยวของกนองคกร
√ องคกรมการจดเกบขอมลและระยะเวลาในการเกบขอมลตามท�กฎหมาย ระเบยบขอบงคบ ท�องคกรตองปฏบตตามไดระบไว เชน พรบ.
15.1.4
การปองกนขอมลสวนตว
√ ไมมการเกบขอมลในระบบ
15.1.5
การปองกนการใชงานอปกรณประมวลผลสารสนเทศผดวตถประสงค
√ ไมมนโยบายการปองกนการใชงานอปกรณสารสนเทศ
131
-
ลาดบ ประเดนควบคม นามาใช
แกไขความเส�ยง
นามาใช ตามหลกปฏบต
ไมนามาใช หมายเหต
A.15.1 การปฏบตตามขอกาหนดทางกฎหมาย (Compliance with legal requirements) 15.1.6
การใชงานมาตรการการเขารหสขอมลตามขอกาหนด
√
องคกรมการนาการเขารหสขอมลมาสอดคลอง
15.2.1
การปฏบตตามนโยบายและมาตรฐานความม �นคงปลอดภย
√ มกระบวนการในการตรวจสอบการปฏบตตามนโยบายเพ�อทบทวนผลการดาเนนการ
15.2.2
การตรวจสอบปฏบตตามมาตรฐานทางเทคนคขององคกร
√
15.3.1
มาตรการการตรวจประเมนระบบสารสนเทศ
√
องคกรมนโยบายจดต 7งบคคลากรในการดแล ตรวจสอบระบบบรหารจดการความม �นคงปลอดภยโดยเฉพาะ
15.3.2
การปองกนเคร�องมอสาหรบตรวจประเมนสารสนเทศ
√ องคกรยงไมมเคร�องมอท�ใชตรวจสอบชองโหวของระบบ
132
ภาคผนวก ค ตวอยางแนวทางดาเนนการจดการความเส�ยงตามแนวทางการตอบสนองตอ
ความเส�ยง
133
ตวอยางแนวทางดาเนนการจดการความเส�ยงตามแนวทางการตอบสนองตอความเส�ยง
1. ทาการตดต งระบบควบคมการเขา-ออกหองเซรฟเวอร เพ อลดความเส ยงตอการ
เสยหายของขอมลและระบบสารสนเทศของบรษท
รปท� a.1 แสดงอปกรณควบคมการเขา-ออกหองเซรฟเวอร
134
2. ทาการตดต งยาย Server ท มความเส ยงสงและมความสาคญตอระบบงานไปยง ศนยคอมพวเตอรเพ อความปลอดภยและความเสยหายอนกอใหเกดกบระบบ
รปท� a.2 แสดงอปกรณเซรฟเวอรจากท ต งเดมมาไวภายในศนยคอมพวเตอร
135
3 ทาการเพ มต Rack ในโซน Offices ตางๆ เพ อใหอปกรณยากตอการเขาถงโดยไมไดรบอนญาตและเพ มความปลอดภยตอระบบสารสนเทศในองคกร
รปท� a.3 แสดงการเพ มต Rack เพ อเพ มความปลอดภยในระบบสารสนเทศ
136
4. ทาการจดระบบ Network ภายในหองเคร องใหม เพ อความเปนระเบยบเรยบรอย และงายตอการจดการ
รปท� a.4 แสดงการจดระบบ Network ภายในหองเคร องใหม
137
5. ทาการจดซ ออปกรณสารองไฟฟาเพ มข น เพ อใหเพยงพอกบการใชงานและลดความเส ยงตอการเสยหายของระบบ และทาการตอ MA ระบบพรอมเปล ยน แบตเตอร เปนประจาทกสองป
รปท� a.5 แสดงการเพ มอปกรณสารองไฟเพ มเตม
138
6. ทาการจดซ อและเตรยมตดต ง กลองวงจรปดเพ มเตมเพ อใหคลอบคลมพ นท ในการใชงานและสามารถดแลพ นท ไดอยางท วถง
รปท� a.6 แสดงการเพ มอปกรณกลองวงจรปดเพ มเตม
139
7. จดทาการวางแผนปรบเปล ยนอปกรณเครอขายท มอายการใชงานเกน 5 ป เพ อ ลดความเส ยงท อปกรณเครอขายน นชารด และสงผลความเสยหายตอระบบเครอขาย (Switch Zone Offices)
รปท� a.7 แสดงอปกรณตางๆท รอเปล ยนทดแทนของเดม
140
8. จดการวางแผนใหความรการแนะนาถง การใชงานสารสนเทศอยางปลอดภยแกพนกงานในองคกรเพ อสรางความตระหนกในการใชงานเทคโนโลยสารสนเทศ
รปท� a.8 แสดงการ ใหความรเก ยวกบการใชงานเทคโนโลยสารสนเทศอยางปลอดภย
141
9. มการเร มยาย Server จาก Physical ไปเปน VMware เพ อเพ มประสทธภาพในการทางาน
รปท� a.9 แสดงการยายอปกรณ Server จาก Physical เปน VMware
142
10. ต งคาระบบใหรหสผานของผใชงานมวนหมดอาย โดยใหเปล ยนรหสผานทก 72 วน
รปท� a.10 ต งคาวนหมดอายของ Password
143
11. ทาการเพ มการ Backup Daily ไวเปนประจาทกวนและมการสารองขอมลสาคญตางๆไวบนเทปและนาไปเกบภายนอกบรษท
รปท� a.11 แสดงการ Backup ขอมลสาคญตางลงเทป
144
12. ดาเนนการตอ MA อปกรณตางๆภายในศนยคอมพวเตอร เพ อใหอปกรณตางมความพรอมในการทางาน
รปท� a.11 แสดงการผใหบรการภายนอกเขามาทาการตรวจเชคอปกรณ UPS
145
ภาคผนวก ง. เอกสารขออนญาตองคกรในการดาเนนโครงงาน
146
เอกสารขออนญาตองคกรในการดาเนนโครงงาน