establishment of information systems security according to ......

การสรางความม �นคงปลอดภยใหกบระบบเทคโนโลยสารสนเทศ

ภายใตมาตรฐาน ISO"#$$% กรณศกษาบรษท

บรษท เอน.ซ.ซ. แมนเนจเมนแอนดดวลอบเมน จากด

Establishment of Information Systems Security

according to ISO"#$$% standard for organization case study

N.C.C. Management & Development Co.Ltd.,

โชตทต กมลคนธ

สารนพนธนQเปนสวนหน�งของการศกษา

หลกสตรวทยาศาสตรมหาบณฑต สาขาวชาความม �นคงทางระบบสารสนเทศ คณะวทยาการและเทคโนโลยสารสนเทศ

มหาวทยาลยเทคโนโลยมหานคร ปการศกษา 2555

การสรางความม �นคงปลอดภยใหกบระบบเทคโนโลยสารสนเทศ

ภายใตมาตรฐาน ISO"#$$% กรณศกษาบรษท

บรษท เอน.ซ.ซ. แมนเนจเมนแอนดดวลอบเมน จากด

Establishment of Information Systems Security

according to ISO"#$$% standard for organization case study

N.C.C. Management & Development Co.Ltd.,

โชตทต กมลคนธ

สารนพนธนQเปนสวนหน�งของการศกษา หลกสตรวทยาศาสตรมหาบณฑต สาขาวชาความม �นคงทางระบบสารสนเทศ

คณะวทยาการและเทคโนโลยสารสนเทศ มหาวทยาลยเทคโนโลยมหานคร

ปการศกษา 2555

I

หวขอ การสรางความม �นคงปลอดภยใหกบระบบเทคโนโลยสารสนเทศ ภายใตมาตรฐาน ISO"#$$% กรณศกษา

บรษทบรษท เอน.ซ.ซ. แมนเนจเมนแอนดดวลอบเมน จากด ชอนกศกษา นาย โชตทต กมลคนธ รหสนกศกษา 531760009 หลกสตร วทยาศาสตรมหาบณฑต สาขาความม �นคงทางระบบสารสนเทศปการศกษา 2555 อาจารยทปรกษา ผศ.ดร.ศภกร กงพศดาร อ.ไพบลย ปญญายทธการ

บทคดยอ

โครงงานการบรหารจดการความเส�ยง และการเพ�มความม �นคงปลอดภยสารสนเทศ

ใหกบองคภายใตมาตรฐาน ISO27001 และการบรหารความเส�ยงจดทาขCนโดยมวตถประสงคเพ�อจดทารางนโยบายความปลอดภยทางเทคโนโลยสารสนเทศ เพ�อเปนแนวทางในการปฏบตงาน รวมถงการวเคราะหและประเมนความเส�ยง เพ�อใหทราบถงความเส�ยง ระดบความรนแรงของชองโหว และสามารถบรหารความเส�ยงใหอยในระดบท�องคกรยอมรบไดมากท�สดและตรงจดมากท�สด ซ�งจะชวยลดผลกระทบหรอโอกาสอนเปนความเส�ยงน Cนใหลดลงได และเพ�อเปนการเพ�มประสทธภาพในการทางานของระบบเทคโนโลยสารสนเทศภายในองคกรใหมมาตรฐานเพ�มมากขCน

II

กตตกรรมประกาศ

สารนพนธนCไดพฒนาจนสาเรจลลวงไดเน�องดวยเพราะความกรณา ความชวยเหลอ และกาลงใจจากหลายคน โดยทางผจดทาขอขอบพระคณทานอาจารย ผศ.ดร.ศภกร กงพสดาร ท�เปนอาจารยท�ปรกษา และทานอาจารยไพบลย ปญญายทธการ ท�ไดสละเวลาอนมคาในการใหคาปรกษาและถายทอดประสบการณอนเปนประโยชนตอโครงงานนCมาโดยตลอด และคณาจารยทกทานของมหาวทยาลยเทคโนโลยมหานครท�ไดใหคาแนะนารวมถงความเขาใจในดานความม �นคงปลอดภยสารสนเทศ อนเปนประโยชนตอการศกษาและการจดทาสารนพนธฉบบนCจนไดผลเปนสารนพนธดงกลาว

นอกจากนCสารนพนธฉบบนCจะเกดขCนไมไดเลย หากไมไดรบความรวมมอจาก เจาหนาท�บรษท เอน.ซ.ซ. แมนเนจเมนแอนดดวลอบเมน จากด ทกทานท�กรณาสละเวลาในการทางานเพ�อใหขอมลตางๆ ประกอบในการจดทาสารนพนธนC

ขาพเจาจงกราบขอบพระคณทกๆทานท�ไดใหการสนบสนน เปนอยางสงเอาไว ณ ท�นC

โชตทต กมลคนธ ตลาคม 2555

III

สารบญ หนา

บทคดยอ I กตตกรรมประกาศ II สารบญ III สารบญ(ตอ) IV สารบญตาราง V สารบญรป VI บทท� 1 บทนา 1 1.1 ความเปนมาของโครงงาน 1 1.2 ปญหาและแรงจงใจของโครงงาน 2 1.3 วตถประสงค 3 1.4 ขอบเขตโครงงาน 3 1.5 ประโยชนท�คาดจะไดรบ 4

1.6 แผนการดาเนนงาน 5 บทท� 2 พCนฐานและทฤษฎท�เก�ยวของ 7 2.1 ความม �นคงปลอดภยของระบบสารสนเทศ 7

2.2 มาตรฐานการรกษาความม �นคงปลอดภยขอมล 8 บทท� 3 วธการดาเนนงาน 14 3.1 ข Cนตอนในการดาเนนการ 14

3.2 รายละเอยดของวธการดาเนนการ 15 3.3 รายละเอยดทรพยสน 17 3.4 การประเมนความเส�ยง 19 3.5 รายการควบคมความม �นคงปลอดภย 24

บทท� 4 ผลการดาเนนงาน 25 บทท� 5 สรปผลโครงงาน 79

IV

สารบญ (ตอ) หนา

เอกสารอางอง 84 ภาคผนวก ก. นโยบายการรกษาความปลอดภยระบบสารสนเทศ 85 ภาคผนวก ข. ภาคผนวก ข เอกสารระบการปฏบตตามหลกการควบคมทาง

ดานความม �นคงปลอดภยของมาตรฐาน ISO "#$$% 97 ภาคผนวก ค. ตวอยางแนวทางดาเนนการจดการความเส�ยงตามแนวทาง การตอบสนองตอความเส�ยง 132 ภาคผนวก ง. เอกสารขออนญาตองคกรในการดาเนนโครงงาน 145

V

สารบญ (ตาราง) หนา

ตาราง 1.1 ตารางการดาเนนงานโครงงาน 1 5 ตาราง 1.1 ตารางการดาเนนงานโครงงาน 2 6 ตาราง R.% ตารางแสดงรายการทรพยสนภายในศนยคอม 18 ตาราง 3.2,4.1 เกณฑการประเมนโอกาสในการเกด 21 ตาราง 3.3,4.2 เกณฑการประเมนคาผลกระทบดานการเงน 22 ตาราง 3.4,4.3 เกณฑการประเมนคาผลกระทบดานช�อเสยง 23 ตาราง 3.5,4.4 เกณฑการประเมนคาผลกระทบดานการดาเนนงาน 23 ตาราง 3.6,4.5 ตารางระดบของความเส�ยง 24 ตารางท� 4.6 ตารางสรปผลความเส�ยงรอบแรก 51 ตารางท� 4.7 ตารางสรปการบรหารจดการความเส�ยง 52 ตารางท� 4.8 ตารางสรปจานวนความเส�ยงหลงการประเมนรอบสอง 79

VI

สารบญ (รป) หนา

รปท� 2.1 รปกระบวนการ PDCA 9 รปท� 2.2 แผนภาพการแผนการประเมนความเส�ยง 12 รปท� 2.2 ข Cนตอนการปฏบตงานโครงการ 14 รปท� 5.1 กราฟสรปจานวนความเส�ยงในการประเมนกอนดาเนนโครงการ 79 รปท� 5.2 กราฟสรปจานวนความเส�ยงในการประเมนหลงดาเนนโครงการ 80 รปท� 5.3 กราฟเปรยบเทยบผลการประเมนหลงดาเนนการจดการความเส�ยง 81

1

บทท� �

บทนา

1.1 ความเปนมาในการเสนอโครงงาน

การดาเนนธรกจในปจจบนไดมการนากลยทธตางๆ มาใช เพ อใหไดเปรยบคแขงขนในการทาธรกจ ไมวาจะเปนดานการพฒนาศกยภาพ รวมถงการปรบเปล ยนกระบวนการบรหารจดการใหมความชดเจนโปรงใส สามารถตรวจสอบได ตลอดจนปฎบตตามกฎระเบยบขอบงคบของกฎหมายเพ อสรางภาพลกษณท ดและความนาเช อถอใหกบองคกร แตกลยทธขององคกรจะประสบความสาเรจ และมประสทธภาพท ดไดน 4น ตวสนบสนนท สาคญคอ เทคโนโลยสารสนเทศขององคกร จงกลาวไดวา ระบบสารสนเทศ เขามามบทบาทกบการทาธรกจขององคกรเปนอยางมาก

ประโยชนท ไดรบจากเทคโนโลยสารสนเทศ เปนท ทราบกนดขององคกร วาชวย

ทาใหองคกรพฒนาข4นในหลายๆ ดานและชวยใหกาวทนธรกจ แตเน องจากการปล ยนแปลงทางดานเทคโนโลยสารสนเทศท มความกาวหนาอยางมากและรวดเรว ทาใหระบบสารสนเทศย งมความเส ยงตอการลวงละเมดหรอภยคกคามมากข4น ท 4งจากผไมประสงคดภายนอก และจากผใชงานภานในท 4งโดยต 4งใจและไมต 4งใจ ซ งอาจสงผลใหเกดความเสยหายตอการดาเนนงาน ช อเสยงและภาพลกษณ ขององคก รได เชน คอมพวเตอรตดไวรสหรอโปรแกรมไมพงประสงค ทาใหระบบคอมพวเตอรหยดชะงก ไมสามารถใหบรการได หรอแฮกเกอรเขามายดครองเคร องคอมพวเตอรแลวนาขอมลสาคญภายในออกไปเผยแพรรวมถงโจมตระบบภายนอกซ ง การลวงละเมดในลกษณะน4อาจทาใหผดแลระบบไมรวาเคร องคอมพวเตอรท ตนดแลอย กลายเปนเคร องมอท ใชในการลวงละเมดระบบสารสนเทศของผอ น เปนตน

ดงน 4น เพ อใหม นใจวาองคกรจะสามารถดแลระบบสารสนเทศไดอยางมประสทธภาพ

และเพ มความม งคงปลอดภนในการใชงานระบบคอมพวเตอร จงควรมนโยบายรกษาความม นคงปลอดภยระบบสารสนเทศขององคกร ใชในกระบวนการบรหารจดการ โดยมองคประกอบหลกอย 3 ประการ คอ

1.การรกษาความลบของขอมล (Confidentiality) คอการทาใหม นใจวามเฉพาะผท มสทธ J หรอไดรบอนญาตเทาน 4น ท สามารถเขาถงขอมลได

2.การรกษาความถกตองของขอมล (Integrity) คอมกลไกการตรวจสอบสทธ J ในการอนญาตใหเปล ยนแปลงหรอแกไขขอมลได

3.ความพรอมใช (Availability) หมายถง การทาใหระบบสารสนเทศสามารถตอบสนองความตองการของผใชงานท มสทธ Jเขาถงระบบไดตามตองก

2

1.2 ปญหาและแรงจงใจ ปญหาท ทาใหองคกรสวนใหญ ยงไมมมาตรฐานสาหรบใชเปนแนวทางในการปฎบตใน

การรกษาความม นคงปลอดภยระบบสารสนเทศขององคกร อนเปนสาเหตใหเกดชองโหวและ ภยคกคาม สามารถสรปไดดงน4

1.2.1 ผบรหารระดบสงไมใหการสนบสนน เพราะขาดความเขาใจในเร องการรกษา

ความม นคงปลอดภยระบบสารสนเทศ ทาใหไมตระหนกถงผลของความเสยหายท จะเกดข4นจากภยคกคาม และไมใหความสาคญ หรอใหความสาคญนอยกวาเร องอ นๆ

1.2.2 ผบรหารหนวยงานระบบสารสนเทศขาดความรความเขาใจ หรอไมมการนาเอาแนวทางการปฎบต ของมาตราฐานสากลทางดานความม นคงปลอดภย มาเลอกประยกตใชกบองคกร เพ อใหครอบคลมความเส ยงท จะเกดข4นใหไดมากท สด สวนใหญจะกาหนดมาตรการหรอแนวทางการปฎบตหลงจากมเหตการณเกดข4นแลว

1.2.3 ความกาวหนาทางเทคโนโลยสารสนเทศท เกดข4นอยางรวดเรว ทาใหมาตรการดานความม นคงปลอดภยท ใชอยปจจบนไมทนสมย เน องจากไมมการทบทวนใหทนตอเหตการณอยเสมอ

1.2.4 บคลากรในหนวยงานสารสนเทศมจานวนจากด ทาใหผบรหารของหนวยงานตองใหความสาคญกบงานท ตองทาประจาวน หรองานแกปญหาเฉพาะหนากอน

1.2.5 ขาดผเช ยวชาญทางดานการรกษาความม นคงปลอดภยสารสนเทศ 1.2.6 ขาดการประเมนถงชองโหว และภยคกคาม ทาใหไมตระหนกถงความเส ยง

และผลกระทบจากความเส ยงท จะเกดข4น 1.2.7 ผใชงานระบบสารสนเทศและผท เก ยวของ ไมไดรบการฝกอบรม ใหเรยนร

วธการปฎบต และตระหนกถงผลกระทบของความเสยหาย ในดานการรกษาความม นคงปลอดภย

ดงน 4น การท จะจดทาองคกรใหมมาตรฐานในดานการรกษาความม นคงปลอดภย

โดยการจดทานโยบายรกษาความม นคงปลอดภยระบบสารสนเทศ และนาไปปฎบตใหประสบความสาเรจไดดวยดน 4น ควรจะตองมการใหความรความเขาใจในเร องการรกษาความม นคงปลอดภย และตระหนกถงผลกระทบจากความเสยหายท จะเกดข4นจากความเส ยง แกผบรหารทกระดบช 4น และบคลากรขององคกร รวมท 4งบคคลภายนอกผท เก ยวของกบระบบสารสนเทศ เพ อใหการดาเนนงานประสบความสาเรจไปไดดวยด

3

1.3 วตถประสงคของโครงงาน 1.3.1 เพ อศกษามาตรฐานความม นคงปลอดภยสารสนเทศ ISO27001 1.3.2 จดทานโยบายในการใชเทคโนโลยสารสนเทศขององคกร 1.3.3 ประเมนความเส ยง ในการใชงานเทคโนโลยสารสนเทศ ขององคกรกรณศกษา 1.3.4 ทาใหองคกรทราบถงความเส ยงท จะเกดภายในองคกร จากการวดผลโดยใช มาตรฐาน ISO27001 1.3.5 พฒนาแนวทางการรกษาความม นคงปลอดภยตามมาตรฐาน ISO27001มาประยกตใชงานในองคกรกรณศกษา 1.3.6 เพ อใชเปนเคร องมอชวยในการตดสนใจของผบรหาร ในการวางแผนดานความม นคงปลอดภยของขอมลสารสนเทศ ทาใหระบบสารสนเทศท เก ยวของกบธรกจขององคกร สามารถดาเนนไปไดอยางตอเน องและมความม นคงปลอดภย เพ มมากข4น

1.4 ขอบเขตโครงงาน �.).� ขอบเขตของโครงงาน �

- ใหความรความเขาใจในการจดทาระบบแกผบรหารและจดต 4งคณะกรรมความม นคงปลอดภยทางสารสนเทศในองคกร

- กาหนดขอบเขตของการจดทา Information Security Management System (ISMS) หรอระบบบรหารความม นคงปลอดภยสารสนเทศโดยเปนการกาหนดในภาพรวมท 4งหมดและทาการประชมเพ อใหความรความเขาใจในการจดทาโครงงาน

- จดทารายการทรพยสนในสวนท เก ยวของกบขอมลสารสนเทศของ องคกร(Inventory information assets) โดยเลอกจดทาในหองศนยขอมล

- ระบวธการในการประเมนความเส ยง (Define risk assessment method) - การวเคราะหและประเมนความเส ยงดานความปลอดภยสารสนเทศ

(Conduct information security risk assessments) - จดทารายงานการเพ อสรปผลการประเมนความเส ยง (Risk Assessment

Report) - จดทาเอกสารแสดงการประยกตใชงาน Statement of Applicability (SOA)

4

�.).* ขอบเขตของโครงงาน *

- การฝกอบรมภายในองคกรเพ อสรางองคความรดานความม นคงปลอดภย สารสนเทศ รวมไปถงการบรหารงานและการจดการทรพยากรของ หองศนยขอมล

- ประสานงานกบสวนท มความเก ยวของและเสนอวธการจดการความเส ยงทางความม นคงปลอดภยสารสนเทศ โดยระบถงวธการดาเนนงาน ระยะเวลา ผรบผดชอบข 4นตอนในการปฏบตงาน และหนาท ความรบผดชอบในการดาเนนการเพ อใหบรรลจดมงหมายท ต 4งไว

- ดาเนนการตามแผนบรหารจดการความเส ยงพรอมตดตามผล และตรวจสอบเร องความเส ยงท เหลออยรวมไปถงความเส ยงท อยในระดบท สามารถยอมรบได

- การปรบปรงแผนความม นคงปลอดภยสารสนเทศจากส งท พบจากการเฝาทบทวนตดตามพรอมบนทกผลการดาเนนการ

- ทาการประเมนความเส ยงหลงดาเนนโครงการ เพ อวดประสทธผลของการจดทานโยบายดานความม นคงปลอดภยขอมลสารสนเทศของ หองศนยขอมล

- สรปผลการดาเนนการของโครงงาน 2

1.5 ประโยชนท�คาดวาจะไดรบจากโครงงาน 1.5.1 องคกรมการนามาตรฐาน ISO27001มาปรบใช ตามความเหมาะสมและ ม

นโยบายดานความม นคงปลอดภยสารสนเทศในสวนท มความจาเปน 1.5.2 องคกรไดรบทราบถงความเส ยงและมาตรการท ใชในการแกไขเพ อจะไดนาไป

ปรบปรงแกไขตอไป 1.5.3 ผบรหารขององคกรทราบถงความเส ยงท อาจเกดข4นและพนกงานท มสวน

เก ยวของกบการใชเทคโนโลยสารสนเทศ มความรความเขาใจดานความม นคงปลอดภยสารสนเทศมากข4น

5

1.6 แผนการดาเนนงาน

โครงงาน 1

ตาราง 1.1 ตารางการดาเนนงานโครงงาน 1

แผนดาเนนการ รายสปดาห

พฤศจกายน ธนวาคม มกราคม กมภาพนธ มนาคม

1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4

1. ขอการสนบสนนจากทางผบรหารในการจดทาโครงงาน

2. ศกษานโยบาย โครงสราง ระบบการทางานและกาหนดขอบเขต

3. ตรวจสอบและจดทารายการทรพยสน

4. Risk Assessment (ประเมนความเส ยงกอน)

5. จดทาแนวทางในการจดการความเส ยง

6. จดทาเอกสารแสดงการประยกตใชงาน Statement of Applicability

7.สรปผลการดาเนนการโครงงาน 1

6

โครงงาน 2 ตารางท� 1.2 ตารางการดาเนนงานโครงงาน 2

แผนดาเนนการ รายสปดาห

พฤศจกายน ธนวาคม มกราคม กมภาพนธ มนาคม

1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4

1. จดทาแผนในการบรหารจดการความเส ยง

2. การฝกอบรมในองคกร

3. ดาเนน การตามแผนบรหารจดการความเส ยง

4.ปรบปรงแผนบรหารจดการความเส ยง

5.Risk Assessment (ประเมนความเส ยงหลง)

7.สรปผลการดาเนนการโครงงาน 2

7

บทท� 2

ทฤษฎท�เก�ยวของ 2.1 ความม �นคงปลอดภยของระบบสารสนเทศ

การรกษาความม นคงปลอดภยสารสนเทศมจดประสงคหลกเพอปกปองขอมล และระบบสารสนเทศขององคกรจากผไมประสงคดทตองการขอมลแตอาจเปนผทไมมสทธในการเขาถง ในการอานหรอการใชงานขอมลระบบสารสนเทศ รวมถงตองการขดขวางการใชงานหรอการใหบรการ และการแกไขเปลยนแปลงขอมล และการทาสาเนาขอมลอกดวย

การรกษาความม นคงปลอดภยดานระบบสารสนเทศ ประกอบดวยการรกษาคณคาพ1นฐาน 3 ประการ นยมเรยกส 1นๆวา CIA[4] ไดแก การรกษาความลบ (Confidentiality) ความสมบรณ (Integrity) และความพรอมใชงาน (Availability)

การรกษาความลบ (Confidentiality) หมายถง การรกษาความลบของขอมลโดยจะ

อนญาตใหเขาถงและเปดเผยไดเฉพาะผทไดรบอนญาตเทาน 1น ซงเปนการปกปองขอมลจากผทไมไดรบอนญาตโดยมกลไกทใชในการรกษาความลบ เชน กลไกการเขารหสขอมล

ความสมบรณ (Integrity) ของขอมลสารสนเทศ คอความถกตองและความครบถวน

โดยความสมบรณม O องคประกอบคอ ความสมบรณของขอมล (Data Integrity) และความสมบรณของระบบ(System Integrity) ความสมบรณของขอมลหมายถง สารสนเทศและโปรแกรมการใชงานไมมการเปลยนแปลโดยไมไดรบอนญาต ความสมบรณของระบบหมายถงการทระบบไมมการเปลยนแปลงใดๆโดยไมไดรบอนญาต มความถกตองความลมเหลวดานความสมบรณน1ไดแก การเขาถงเครอขายไดโดยไมไดรบอนญาต, การแกไขเปลยนแปลงหรอลบขอมลโดยไมสามารถตรวจสอบไดวาใครทา

ความพรอมใชงาน (Availability) หมายถงระบบอยในสภาพพรอมทใหบรการ

ตลอดเวลา แมระบบจะมชวงการหยดใหบรการตามกาหนดการ (Planned Downtime) กสามารถยอมรบได เชน การหยดใหบรการเพอปรบปรงหรอเปลยนแปลงระบบ แตไมนบการหยดใหบรการโดยไมมการวางแผนลวงหนา (Unplanned Downtime) อนเปนผลมาจากความลมเหลวขององคประกอบใดๆในระบบ

2.2 มาตรฐานการรกษาความม �นคงปลอดภยขอมล

การรกษาความม นคงปลอดภยขอมลในปจจบนน1มแมแบบของการบรหารความปลอดภยหลายแบบซงข1นกบผใหบรการทแตกตางกนไป แตมาตรฐานทไดรบความนยมทสด และไดถกกาหนดใหเปนมาตรฐานนานาชาตคอ BS 7799 ซงเปนขององคกรทมชอวา

8

The International Organization of standardization (ISO) และ The International Electrotechnical Commission (IEC) ซงประกอบดวย หลกการทสาคญ 2 สวนคอ

- BS7799-1 ซงตอมาไดเปลยนเปนมาตรฐาน ISO/IEC 17799 : Information Technology – Code of Practice for Information Security Management

- BS7799-2 ซงตอมาไดเปลยนเปนมาตรฐาน ISO 27001 : Information Security Management : Specification with Guidance for Use

BS 7799-1 (ISO/IEC17799) เปนมาตรฐานทกลาวถงวธปฏบตในการการประเมนและจดการความเสยง รวมไปถงการเปนแนวทางในการควบคมตามมาตรฐาน ISO/IEC 27001 ซงเน1อหาของขอกาหนดน 1นจะไดกลาวถงการบรหารจดการระบบความม นคงปลอดภยสารสนเทศ สวนของรายการควบคมและวตถประสงคของการควบคมอกดวย ท 1งน1 BS7799-1 ไดบอกถงวธปฏบตในการลดความเสยงของระบบโดยแบงออกเปนหมวดหมจานวน 11 หมวดหลก

BS 7799-2 (ISO/IEC27001) เปนมาตรฐานเกยวกบการบรหารการรกษาความม นคงปลอดภยของขอมล ซงใชเปนแนวทางในการสราง ดแลรกษา และปรบปรงระบบบรหารการรกษาความม นคงปลอดภยขอมล (Information Security Management System (ISMS)) โดยแนวทางในการบรหารการรกษาความม นคงปลอดภยของขอมลน 1นจะมโครงสรางทเรยกวา Plan-Do-Check-Act Cycle[2] ซงประกอบไปดวยข 1นตอน การวางแผน (Plan) การลงมอทา (Do) การตรวจสอบ (Check) และการปรบปรงแกไข (Act)

ซงมกระบวนการตามรป

รป 2.1 กระบวนการ PDCA

9

โดยกระบวนการ ISMS มการปฏบตงานในรปแบบ วางแผน – ปฏบต– ตรวจสอบ – ปรบปรงแกไข (Plan – Do – Check – Act (PDCA)) ดงน1

n) การวางแผน (Plan) คอ การวางแผนดาเนนการตามกระบวนการ ISMS ข 1นตอนแรก

องคกรตองระบขอบเขต และนโยบายในการสรางความม นคงปลอดภยขององคกร และทาการประเมนความเสยงตามขอบเขต และนโยบายทไดระบไว เพอใหสามารถระบความเสยงทมอย และพจารณาแนวทางในการจดการความเสยงน 1น รวมท 1งระบความเสยงทหลงเหลอ ใหอยในระดบทองคกรยอมรบได

O) การปฏบต (Do) คอ การดาเนนการจดการกบความเสยงตามแนวทางจดการความเสยงทไดจากข 1นตอนแรก ระบวธการพจารณาประสทธภาพของแนวทางจดการความเสยง และสรางความตระหนกในการปฏบตตามแนวทางจดการความเสยง เพอใหแนวทางจดการความเสยงดาเนนไปอยางมประสทธภาพ

o) การตรวจสอบ (Check) คอ การเฝาระวงแนวทางจดการความเสยงทไดดาเนนการไป และทบทวนประสทธภาพของแนวทางจดการความเสยงตามแนวทางทไดระบไว รวมถงดาเนนการประเมนความเสยงซ1า และตรวจสอบกระบวนการตามระยะเวลาทเหมาะสม โดยใหสอดคลองกบการเปลยนแปลงทสาคญของสารสนเทศ หรอการเปลยนแปลงขององคกร

q) การปรบปรงแกไข (Act) คอ การพฒนากระบวนการ ISMS ตามผลประเมนความเสยง และการตดตามผลทได ขอกาหนดทางดานเอกสาร เอกสารใน ISMS จะประกอบดวย

1. เอกสารแสดงนโยบาย ISMS และวตถประสงค 2. ขอบเขตของ ISMS 3. วธการปฏบตงาน และการควบคมเพอสนบสนนตอ ISMS 4. คาอธบายเกยวกบวธการประเมนความเสยง 5. รายงานการประเมนความเสยง 6. แผนการจดการความเสยง 7. เอกสารวธการปฏบตงานทจาเปนสาหรบองคกร เพอใหม นใจไดถงความมประสทธผลในการวางแผน การดาเนนการ และการควบคมกระบวนการความม นคงปลอดภยสารสนเทศ และอธบายถงแนวทางในการวด ความมประสทธผลของการควบคม 8. บนทกทจาเปนสาหรบมาตรฐาน 9. เอกสาร Statement of Applicability

10

การควบคมเอกสารและบนทก เอกสารทกาหนดโดย ISMS จะตองไดรบการปกปองดแลและควบคม ท 1งน1จะตองมการ

จดทาเอกสารระเบยบการ ปฏบตงานสาหรบการควบคมเอกสาร โดยระบถง

1. การอนมตเอกสารกอนนาไปใชงาน 2. การทบทวน และปรบปรงเอกสารใหทนสมย รวมถงมการอนมตชา 3. การดแลการเปลยนแปลง และสถานะลาสดของเอกสาร 4. การดแลใหเอกสารฉบบทเกยวของ อย ณ จดใชงาน 5. เอกสารจะตองสามารถอาน และทาความเขาใจไดงาย 6. การดแลใหเอกสารพรอมสาหรบผทตองการใชงาน 7. การระบอยางชดเจนถงเอกสารจากภายนอกทมการนามาใชงาน 8. การควบคมการแจกจายเอกสาร 9. การปองกนการใชงานเอกสารทยกเลกแลว 10. การช1บงอยางเหมาะสมกรณมการนาเอกสารทยกเลกแลวกลบมาใชงาน

ความรบผดชอบของฝายบรหาร

ผบรหารระดบสงขององคกร จะตองแสดงใหเหนถงความมงม นตอการจดทาการนาไปปฏบตการปฏบตการ การเฝาตดตาม การทบทวน การบารงรกษา และการปรบปรง ISMS โดยการ

1. จดทานโยบาย ISMS 2. การดแลใหมการจดทาวตถประสงคของ ISMS 3. การกาหนดบทบาท หนาทความรบผดชอบสาหรบการดแลความม นคงปลอดภยสารสนเทศ 4. การสอสารถงความสาคญของการดาเนนการตามนโยบาย และวตถประสงคความม นคงปลอดภยสารสนเทศ 5. การจดใหมทรพยากรอยางเพยงพอ สาหรบการจดทา การนาไปปฏบต การดาเนนงาน การเฝาตดตาม การทบทวน การดแลรกษา และการปรบปรง ISMS 6. การตดสนใจเกยวกบเกณฑการยอมรบ และระดบของความเสยงทสามารถยอมรบได 7. การดแลใหมการตรวจประเมนภายใน (Internal ISMS audit) 8. การดาเนนการทบทวนโดยฝายบรหาร

2.3 การบรหารจดการความเส�ยง (Risk Management) [5] องคกรในปจจบนมกไมคอยมความเขาใจในเรองการบรหารจดการความเสยงจงอาจกอเปนความเสยหาย แลวจงหาแนวทางในการปองกนปญหา ดงน 1นการใชมาตรการในการบรหาร

11

จดการความเสยง จะชวยลดความเสยหายของเหตการณทจะทาใหเกดความเสยหายน 1นจะเกดข1นจรง โดยมาตรฐาน ISO27001 ไดระบถงการประเมนความเสยงเกยวกบการสรางและการบรหารจดการ ISMS (Establishing and managing the ISMS) ซงในทางปฏบตจะตองนาเอา ISO/IEC27005 เปนแนวทางปฏบตในดานการบรหารจดการความเสยงทเกดข1นโดยระบไดเปน

ความเสยง (Risk) คอ เหตการณทสงผลกระทบแกความม นคงปลอดภยน 1นอาจเกดข1นภายใตสถานการณทไมแนนอนหรออาจมมลคาเปนตวเงนหรอไมกไดหรอปญหาใดๆ แตเมอเกดข1นแลวมผลกระทบในทางลบ หรอสรางความเสยหายได โดยการวดจากความรนแรงของผลกระทบทเกดจากปญหา (Impact) และโอกาสทจะเกดปญหา (Likelihood)

ความเสยงทางดานความม นคงปลอดภยของสารสนเทศ (Information security risk) คอ การทภยคกคาม (Threat) สามารถใชชองโหว (Vulnerability)เปนชองทางทใชในการโจมตซงอาจมอยในระบบคอมพวเตอรและเครอขายทผไมหวงดสามารถใชประโยชนจากจดออนน1เปนชองทางในการโจมตได แตท 1งน1 ชองโหวตางๆยอมมระดบความยากงายตอการโจมต โดยสรางปญหาทางดานความม นคงปลอดภย หรอสรางความเสยหายแกทรพยสนขององคกรได การประเมนความเสยง[5] (Risk Assessment) การประเมนความเสยงเปนแนวทางหนงในการประเมนภยคกคามและจดออนจดบกพรองขององคกร เพอใหทราบถงระดบความเสยงทอาจเกดข1นกบ ความลบ ความคงสภาพและสภาพความพรอมใชซงเปนองคประกอบของความม นคงปลอดภยสารสนเทศขององคกร ซงจะตองอาศยความรวมมอจากทกฝายในการดาเนนการเพอใหการประเมนความเสยงน 1นเปนไปอยางมประสทธภาพ ซงประกอบดวย การกาหนดขอบเขต การเกบรวบรวมขอมล วเคราะหนโยบายและระเบยบปฏบต การวเคราะหภยคกคาม การวเคราะหจดออน จดบกพรองหรอชองโหว

รป 2.2 แผนภาพการแผนการประเมนความเสยง

ทมา http://www.scan-associates.net/services_risk.htm

12

2.4 การวเคราะหความเส�ยง(Risk Analysis) [5] ระบบบรหารความเสยง หมายถง ระบบการบรหารปจจยและกจกรรมควบคม รวมท 1งกระบวนการดาเนนการตาง ๆ ทจะทาใหสามารถลดมลเหตของแตละโอกาสททาใหเกดความเสยหายลงได เพอใหระดบของความเสยงและผลกระทบทเกดข1นในอนาคตอยในระดบทสามารถรบได ประเมนได ควบคมได และตรวจสอบไดอยางมระบบ โดยคานงถงการบรรลเปาหมายขององคกร

1. ประเมนความเสยง (Risk Assessment) เปนการประเมนความเสยงขององคกร วามวตถประสงคอะไร และมความเสยงอะไรบาง ททาใหไมบรรลวตถประสงคและความเสยงน 1นมนยสาคญเพยงใด โดยการจดลาดบความเสยง และการหาแนวทางการควบคม (กจกรรมทปฏบต) เพอปองกน หรอลดความเสยงน 1นๆ มข 1นตอนดงน1

1.1 การระบปจจยเสยง (Risk Identification) ท 1งน1จะตองศกษาวตถประสงคและเปาหมายขององคกร ซงจะสอดคลองกบภารกจ (Mission) แบงออกเปน O ระดบ คอ

1.1.1 วตถประสงคระดบองคกร (Entity – Level Objectives) เปนวตถประสงคตามแผนกลยทธขององคกร หรอแผนปฏบตราชการ q ป (พ.ศ. O}q~ – 2551) 1.1.2 วตถประสงคระดบกจกรรม (Activity–Ievel Objectives) เปนวตถประสงคของการดาเนนงานทเฉพาะเจาะจงสาหรบแตละกจกรรมในแตละหนวยงาน ซงวตถประสงคของแตละกจกรรมน 1นจะตองสนบสนน และสอดคลองกบวตถประสงคในระดบองคกรดวย

1.2 การวดและประเมนความเสยง (Risk Measurement) ท 1งน1ตองศกษาวาอะไรเปนปจจยเสยงและมความเสยงอยางไร ดานการดาเนนงาน งบประมาณ กลยทธ ในการวเคราะหจะดถงสาเหต (Cause) ของการเกด วามโอกาส (Opportunity) มากนอยเพยงใด และเมอเกดแลวมผลกระทบ (Effect) มากนอยเพยงใด ซงในผลกระทบน 1นจะดในดานการเงน ผรบบรการบคลากร เวลา และความสาเรจ

1.3 การจดลาดบความเสยง (Risk Prioritization) เมอเทยบความเสยง เรองโอกาสและผลกระทบแลวจะตองมาจดลาดบวาความเสยงน 1นมนยสาคญเพยงใด โดยการจดลาดบความเสยงจากมากไปหานอย มข 1นตอนการวเคราะห ดงน1

1.3.1 ประเมนระดบความสาคญของปจจยเสยง คอประเมนวาปจจยเสยงแตละปจจยหากเกดข1นแลวมผลกระทบตอองคกรมากนอยเพยงใด 1.3.2 ประเมนความเสยงทปจจยเสยงจะเกดข1น คอ พจารณาวา ปจจยเสยงทไวเรยงลาดบความสาคญไวแลวน 1น มโอกาสทจะเกดข1น มากนอยเพยงใด

13

1.3.3 เลอกเทคนคการวเคราะหความเสยงทเหมาะสมโดยอาจจะวเคราะหในรปตวเลข

2. การบรหารความเสยง (Risk Management) เมอวเคราะหและจดลาดบความเสยงทมนยสาคญและโอกาสทเกดความเสยง รวมท 1งวเคราะหสาเหตททาใหเกดความเสยงและพจารณาหาวธหรอกาหนดกจกรรมการควบคมตางๆ เพอปองกนความเสยงน 1นๆ วธการมหลายวธ เชน หลกเลยง ยอมรบ ควบคม หรอถายโอน มความเสยงขององคกรบางอยางทผบรหารไมสามารถควบคมได เพราะมาจากภายนอกองคกร เชน ภาวะเงนเฟอทาใหคากอสรางสง ซงผบรหารไมสามารถควบคมได

14

บทท� 3 วธการดาเนนงาน

3.1 ข �นตอนในการดาเนนการ

หลงจากหวขอในการทารายงานแลวไดทาการปรกษากบทางบรษท และเม�อไดรบอนญาตจากทางบรษทและหวหนางานแลว ทางผจดทาไดมการนาเอามาตรฐาน ISO/IEC 27001 (Information security management systems) ซ�งระบถงขอปฏบตท�ควรดาเนนการเพ�อใหไดมาซ�งความม �นคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ มาประยกตใชในการประเมนความเส�ยง และจดทาแนวทางปฏบตดานความม �นคงปลอดภย กบบรษท โดยมข LนตอนในการดาเนนงานดงนL

รปท� 3.1 ข Lนตอนการปฏบตงานโครงการ

ศกษาคนควางานวจยตางๆ และศกษาทฤษฏท�เก�ยวของ

ศกษาองคกร และเร�มจดทานโยบายเทคโนโลยสารสนเทศเพ�อนาเสนอ

กาหนดขอบเขตในการจดการดานความม�นคงปลอดภยในการใชงาน

และทาการจเทคโนโลยสารสนเทศ และเกณฑในการบรหารความเส�ยง

ประเมนความเส�ยงในการใชงานเทคโนโลยสารสนเทศตามของเขต

สรปผลการประเมนความเส�ยง และกาหนดแนวทางจดการความเส�ยง

จดทาแนวทางปฎบตดานความม�นคงปลอดภย ตามแนวทางจดการ

ความเส�ยง

ประเมนความเส�ยงในการใชงานเทคโนโลยสารสนเทศ หลงจดการความเส�ยง

15

3.2 รายละเอยดของวธการดาเนนการ

รายละเอยดของข Lนตอนการดาเนนงานแตละข Lนตอน ดงนL 3.2.1 ศกษางานวจยและมาตรฐานตางๆ ท�เก�ยวเน�องกบงานวจย รวมถงทาความเขาใจ

มาตรฐาน และทฤษฎท�เก�ยวของ เพ�อกาหนดแนวทางการดาเนนโครงการตามทฤษฎ และมาตรฐานเร�องการประเมนความเส�ยงและเร�องแนวทางในการใชงานเทคโนโลยสารสนเทศในองคกร

3.2.2 ศกษาระบบสารสนเทศในองค ซ�งการศกษาองคกรและระบบสารสนเทศในองคกร

โดยศกษาจากขอมลพLนฐานขององคกร และความคดเหนของผบรหารองคกร ดวยวธการสมภาษณ เพ�อใหผศกษาทราบถงความตองการ ในเร�องความม �นคงปลอดภยในการใชงานสารสนเทศ และใชเปนขอมลในการกาหนดขอบเขตการดแลดานความม �นคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ และเกณฑในการบรหารความเส�ยง

3.2.3 กาหนดขอบเขตการดแลดานความม �นคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ และเกณฑในการบรหารความเส�ยง การกาหนดขอบเขตการดแลดานความม �นคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ และเกณฑในการบรหารความเส�ยง โดยกาหนดตามความตองการ ความม �นคงปลอดภยในการใชงานสารสนเทศ ท�ไดจากการศกษาองคกร เพ�อใหองคกรสามารถจากดขอบเขตท�สาคญ ในการดแลดานความม �นคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ และกาหนดเกณฑในการบรหารความเส�ยงท�จาเปนตามความตองการดาเนนการจดทา ISMS policy และทาการจดเรยงอปกรณท�จะทาการประเมนความเส�ยง

3.2.4 ประเมนความเส�ยงในการใชงานเทคโนโลยสารสนเทศ การประเมนความเส�ยง

โดยการระบความเส�ยง ประเมนระดบความเส�ยง และจดลาดบความเส�ยงตามเกณฑในการบรหารความเส�ยง เพ�อใหองคกรสามารถทราบถงความเส�ยง รวมถงวางแผนจดการความเส�ยงท�จาเปน และคมคาตอการจดการได ซ�งผศกษาไดเลอกใชวธการระบความเส�ยง โดยการ การเปรยบเทยบกบมาตรฐาน หรอวธปฏบตท�ด

3.2.5 กาหนดแนวทางในการจดการความเส�ยง ตดตามผลจากการประเมนความเส�ยง โดยการกาหนดโดยพจารณาตาม หลกการควบคมความม �นคงปลอดภยตามมาตรฐาน ISO 27001 และวธจดการความเส�ยง โดยพจารณาตามแนวทางจดการความเส�ยงท�เหมาะสมตามองคกร และความคมคาของการจดการความเส�ยง

16

3.2.6 จดทาแนวทางปฏบตดานความม �นคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศ การจดทาแนวทางปฏบตดานความม �นคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศตามแนวทางจดการความเส�ยงท�กาหนดไว โดยการระบการปฏบตงานท�องคกรตองทา ตามแนวทางการจดการความเส�ยงและหลกการควบคมทางดานความม �นคงปลอดภยของมาตรฐาน ISO/IEC 27001 ซ�งผศกษาจะจดทาในรปแบบวธการ (Procedure) ผสมผสานกบแนวปฏบตท�ด (Guideline) เพ�อใหมวธการปฏบตท�เขากบการดาเนนงานขององคกรกรณศกษา และงายตอการนาไปปฏบตจรง

3.2.7 ประเมนความเส�ยง ในการใชงานเทคโนโลยสารสนเทศขององคกรกรณศกษาหลงจากการจดการความเส�ยง เพ�อประเมนรวมถงตดตามการปฏบตงานวาหลงจดทาตามแผนจดการความเส�ยงและการทาแนวทางปฏบตแลว ทาใหความเส�ยงท�เกดในการใชงานเทคโนโลยสารสนเทศขององคกรลดลงหรอมการจดการท�ดและมกระบวนการปองกนท�เปนระบบมากขLนและความเส�ยงลดลงหรอไม

17

3.3 รายการทรพยสนในหองศนยขอมลองคกรกรณศกษา แบงตามประเภทขอทรพยสน 5 ประเภทไดดงตอไปน� ตาราง 3.1 ตารางแสดงรายการทรพยสนภายในศนยคอม

ประเภท รายละเอยด รายการ Hardware Network Firewall (MAD0529-1105)

Rounter (MAD0529-1108) Switch Zone IT (MAD0529-10010) Switch Zone Offices (MAD0529-10011) Server Server ระบบปฎบตการ (MAD0530-1110) -Active Directory -Antivirus (MAD0530-1090) Log-Server (MAD0530-1112) Server ระบบใหบรการ (MAD0530-1120) -Mail Server -Intranet Server Server ระบบการจองพLนท� (MAD0530-1103) Equipment UPS (MAD0540-1345) Air Conditioning (A/C) Fire Protection CCTV (กลองวงจรปด) (MAD0540-1213)

ประเภท รายละเอยด รายการ Software Operating System Windows Server

Linux Package software โปรแกรมจดการพLนท� Web Server Software Mail Server Software

18

ตาราง 3.1 ตารางแสดงรายการทรพยสนภายในศนยคอม (ตอ) ประเภท รายละเอยด รายการ Information Digital Information

-Mail Server ขอมลในระบบอเมลของบรษท -Webserver (intranet-ขอมลภายในบรษท) -โปรแกรมจดการพLนท� ขอมลเก�ยวกบการจองพLนท�รวมถงขอมลใน

การจด Event ตางๆ -ขอมลท �วไปบรษท เอกสารของทางแผนก IT

ประเภท รายละเอยด รายการ Personal หวหนาแผน

ผใชงานท �วไป ผดแลระบบ

Services ผใหบรการ Internet ฝายดแลพLนท�

19

3.4 การประเมนความเส�ยง เปนการประเมนระดบความเส�ยงจากเหตการณตางๆ ท�มผลกระทบตอองคกรโดย

ความเส�ยงน Lนคานวณไดจากความรนแรงของผลกระทบและโอกาสท�จะเกดขLน โดยการประเมนความเส�ยง เปนกระบวนการท�ประกอบดวย การวเคราะห การประเมน

และการจดระดบความเส�ยงท�มผลกระทบตอการบรรลวตถประสงคของกระบวนการทางานขององคกร ซ�งในกรณศกษาจะทาการประเมนความเส�ยงตามหลกเกณฑดงตอไปนL

3.4.1 หลกเกณฑท �วไป หลกเกณฑผลกระทบ (Impact Criteria)ใหพจารณาผลกระทบของเหตการณความ

เสยหายท�ระบได ดงนL - ทาใหสญเสยความลบของทรพยสน - ทาใหสญเสยความครบถวนถกตองของทรพยสน - ทาใหสญเสยความพรอมใชของทรพยสน - ทาใหเกดผลกระทบดานการเงนของบรษทฯ - ทาใหเกดผลกระทบดานช�อเสยงของบรษทฯ ข Lนตอนปฏบตในการประเมนความเส�ยงดานเทคโนโลยสารสนเทศ (Information

Security Risk Assessment Process) การประเมนความเส�ยงดานเทคโนโลยสารสนเทศประกอบดวยข LนตอนดงนL

3.4.2 การระบความเส�ยง การระบทรพยสน (Assets Identification) สามารถแบงประเภทของทรพยสนของ

องคกรออกเปน 5 ประเภทใหญดงตอไปนL สารสนเทศ (Information) โดยสารสนเทศอาจอยในหลายรปแบบท Lงขอมลท�

เปน เอกสารตางๆ เชนขอมลทางบญชตาง ท Lงขอมลท�เปนในรปแบบไฟลตางๆ เชนเอกสารของทางแผนกบคคล เปนตนซ�งเปนขอมลท�มความสาคญตอบรษทหรออาจเปนขอมลท�มผลทางกฎหมายซ�งขอมลดงกลาวตองเปนความลบ หรอเขาถงไดเฉพาะผท�เก�ยวของ ซอฟตแวร (Software) ทรพยสนในรปซอฟตแวร ประกอบดวยระบบปฏบตการ โปรแกรมประยกต โปรแกรมระบบสารสนเทศ โปรแกรมชวยในการพฒนาตางๆ (Development tools) ซ�งเม�อเกดความเสยหายแลวอาจทาใหงานหยดชะงกหรอไมสามารถดาเนนไดอยางตอเน�อง ฮารดแวร (Hardware) ทรพยสนในรปฮารดแวร ประกอบดวยเคร�องคอมพวเตอร อปกรณสานกงาน อปกรณส�อสารตาง รวมถง ส�อในการจดเกบขอมลตางๆ ซ�งหากเกดความเสยหายขLนจะ ทาใหองคกร หรอระบบงานท�เก�ยวของหยดชะงก หรอถาขอมลถกเปดเผยไปสภายนอกแลวทาใหเกดความเสยหายตอองคกร

20

พนกงาน (Personal) พนกงานสวนงานตางท�เก�ยวของ เชน หวหนาแผนก หมายถงผควบคมดแลในสวนงานน Lนๆ ผใชงาน หมายถง พนกงานท�มหนาท�เก�ยวของกบการใชงานสารสนเทศ ผดแลระบบ หมายถง พนกงานท�มหนาท�ดแลระบบสารสเทศ

การกาหนดเกณฑการประเมนความเส�ยง การกาหนดเกณฑการประเมนความเส�ยง ไดแก ระดบโอกาสท�จะเกดความเสยหาย (Likelihood) ระดบความรนแรงของผลกระทบ (Impact) และระดบของความเส�ยง (Degree of Risk) โดยคณะทางานบรหารความเส�ยงระดบกรมไดกาหนดเกณฑการประเมนความเส�ยงขององคกร

ตารางเกณฑในการประเมนความรนแรงของโอกาส

เกณฑท�ใชในการประเมนระดบโอกาสการเกดแบงเปน 5 ระดบท�มความเก�ยวของคอ

ตาราง 3.2 เกณฑการประเมนโอกาสในการเกด

ระดบ คาอธบาย

สงมาก (5) มโอกาสเกดขLนเปนประจา เชน เกดขLนทกวน เปนตน

สง (4) มโอกาสเกดขLนสง/บอย เชน เกดขLนทกสปดาห เปนตน

ปานกลาง (3) มโอกาสเกดขLนบางคร Lง เชน เกดขLนทกเดอน เปนตน

นอย (2) มโอกาสเกดขLนนอย เชน เกดขLนทกป เปนตน

นอยท�สด (1) ไมเคยเกดขLน/แทบไมมโอกาสเกดขLน

21

ตารางเกณฑในการประเมนความรนแรงของผลกระทบ

เกณฑท�ใชในการประเมนระดบของผลกระทบแบงเปน 5 ระดบคอ (1)นอยสด (2)นอย (3)ปานกลาง (4)สง (5)สงสด โดยยดผลกระทบหลก 3 ดานคอ ดานการเงน ดานภาพพจน ดานการปฎบตงาน

โดยในการเลอกคานวณผลกระทบ จะเลอกผลกระทบในดานท�มระดบผลกระทบมากท�สดมาใชในการคานวณเพ�อประเมนความเส�ยง

การประเมนคาผลกระทบดานการเงน พจารณาจากมลคาของทรพยสนในปจจบนท�ไดรบผลกระทบจากเหตการณความเสยหายหน�งๆ

คาผลกระทบดานการเงนในเชงคณภาพสามารถกาหนดไดตามตาราง ตาราง 3.3 เกณฑการประเมนคาผลกระทบดานการเงน

ดานการเงน (F) ระดบผลกระทบ คาอธบาย สงมาก (5) มผลกระทบตอความอยรอดของบรษท หรอเสยหายในวงเงน

มากกวา 1 ลานบาท สง (4) มผลกระทบระดบรนแรง กอใหเกดความเสยหายมา หรอ

เสยหายในวงเงนไมเกน 5 แสนบาท ปานกลาง (3) มผลกระทบปานกลาง กอใหเกดความเสยหายพอควรหรอ

เสยหายในวงเงนไมเกน 1 แสนบาท นอย (2) มผลกระทบบางแตไมรนแรง กอใหเกดความเสยหายนอย

หรอเสยหายในวงเงนไมเกน 5 หม�นบาท

นอยท�สด (1) ไมมผลกระทบตอการดาเนนธรกจหรอไมเสยหายดานการเงน

22

การประเมนคาผลกระทบดานช�อเสยง ใหพจารณาจากช�อเสยงท�สญเสยไปของบรษทฯ อนเกดจากเหตการณความเสยหายหน�งๆ ของทรพยสน โดยสามารถการกาหนดคาผลกระทบดานช�อเสยงในเชงคณภาพไดตามตารางท�

ตาราง 3.4 เกณฑการประเมนคาผลกระทบดานช�อเสยง

ดานภาพพจนช�อเสยง (R) ระดบผลกระทบ คาอธบาย สงมาก (5) กระทบช�อเสยงของบรษทอยางรนแรง ทาใหเกดการตอตานอยาง

รนแรงจากสาธารณะ เชน การประทวง สง (4) กระทบช�อเสยงของบรษทมาก ทาใหเกดความไมพอใจจาก

สาธารณะ เชน การแสดงความเหนคดคานผานส�อตางๆ

ปานกลาง (3) กระทบช�อเสยงของบรษทปานกลาง ทาใหเกดความไมพอใจจากสาธารณะ เชน การเขยนวจารณ

นอย (2) กระทบช�อเสยงของบรษทนอย นอยท�สด (1) กระทบช�อเสยงของบรษทนอยมากหรอไมกระทบ

การประเมนคาผลกระทบดานการหยดชะงกในการดาเนนงานใหพจารณาจานวนช �วโมง

ในชวงเวลาท�งานของบรษทฯ หยดชะงก อนเกดจากเหตการณความเสยหายหน�งๆ ท�ทาใหทรพยสนเสยหายหรอไมสามารถใชงานไดตามปรกต โดยสามารถกาหนดคาผลกระทบดานการหยดชะงกในการดาเนนงานเชงคณภาพไดตามตาราง

ตาราง 3.5 เกณฑการประเมนคาผลกระทบดานการดาเนนงาน

ดานการปฏบตการ (O) ระดบผลกระทบ คาอธบาย สงมาก (5) กระทบตอการปฏบตงานท �วท Lงบรษท สง (4) กระทบตอการปฏบตงานท �วท Lงฝาย/แผนก ปานกลาง (3) กระทบตอการปฏบตงานท �วท Lงทม นอย (2) กระทบตอการปฏบตงานของผใชงานรายบคคล นอยท�สด (1) ไมมผลกระทบตอการปฏบตงาน

23

การประเมนโอกาสและผลกระทบของความเส�ยง วเคราะหระดบความเส�ยง ในการประเมน จะใชกลกการและวธการตามท�กลาวมาในบทท� 3 โดยใชเกณฑการ

ประเมนความเส�ยงได โดยการคดคาของระดบความเส�ยงจะคดไดดงนL ระดบความเส�ยง(Risk Value)= ระดบโอกาสท�เกด (likelihood) × ระดบของผลกระทบ

(Impact)

การนาความเส�ยงและปจจยเส�ยงท�ระบไวมาประเมนโอกาสท�จะเกดความเสยหาย Likelihood และประเมนระดบความรนแรงของผลกระทบ Impact ตามเกณฑการประเมนความเส�ยงขององคกร เพ�อใหเหนถงระดบของความเส�ยง Degree of Risk

โดยมการกาหนดเกณฑความเสยงเปนระดบท�แตกตางกน ซ�งไดกาหนดเกณฑระดบความเส�ยงไว 3 ระดบ ไดแก ต�า กลาง สง ดงนL ระดบความเส�ยง 1 – 8 ต�า (Low) ระดบความเส�ยง 9 – 16 กลาง (Medium) ระดบความเส�ยง 17 – 25 สง (High) โดยไดเปนตารางดงนL ตาราง 3.6 ตารางระดบของความเส�ยง ข �นตอนในการวเคราะหหาวธการในการควบคมความเส�ยง (Control Analysis)

หลงจากไดทาการรวบรวมขอมลและศกษาขอมลเก�ยวกบระบบ ตลอดจนสามารถระบ ภยคกคามและชองโหวตางๆ ของระบบไดแลว ข Lนตอนตอไปคอวเคราะหวธการหรอแนวทางใน การควบคมความเส�ยงท�บรษท

Risk Value Likelihood Very Low

Low Medium High Very High

Impa

ct

นอยท�สด (1) 1 2 3 4 5 นอย (2) 2 4 6 8 10

ปานกลาง (3) 3 6 9 12 15 สง (4) 4 8 12 16 20

สงมาก (5) 5 10 15 20 25

24

3.5 รายการควบคมความม �นคงปลอดภย (Control Checklist) ของ IEC/ISO 27001 รายการควบคมความม �นคงปลอดภย (Control Checklist) ของ IEC/ISO 27001 ท�นามาใชในโครงนLประกอบดวย 11 หวขอหลก (11 Security domains areas) ต Lงแตขอ A.5 – A.15 1. นโยบายความม �นคงปลอดภย (A.5 Security policy)

2. โครงสรางทางดานความม �นคงปลอดภยสาหรบองคกร (A.6 Organization of information security)

3.การบรหารจดการทรพยสนขององคกร (A.7 Asset management) 4.ความม �นคงปลอดภยท�เก�ยวของกบบคลากร (A.8 Human resources security)

5. การสรางความม �นคงปลอดภยทางกายภาพและส�งแวดลอม (A.9 Physical and environmental security)

6.การบรหารจดการดานการส�อสารและการดาเนนงานของเครอขายสารสนเทศขององคกร (A.10 Communications and operations management)

7. การควบคมการเขาถง (A.11 Access control) 8. การจดหา การพฒนา และการบารงรกษาระบบสารสนเทศ (A.12 Information

systems acquisition, development and maintenance) 9. การบรหารจดการเหตการณท�เก�ยวของกบความม �นคงปลอดภยขององคกร (A.13

Information security incident management) 10. การบรหารความตอเน�องในการดาเนนงานขององคกร (A.14 Business continuity

management) 11. การปฏบตตามขอกาหนด (A.15 Compliance) 3.6 สรปทายบท

จากการศกษาและจดทาการดาเนนงานดานตางแลว ทาใหทราบถงข Lนตอนกระบวนการจดทาท�จะนาความรมาประยกตใช เพ�อใหโครงงานบรรลตามแผนงานรวมถงจดประสงคท�วางไวคอเร�อง

เร�องนโยบายรกษาความปลอดภยเทคโนโลยสารสนเทศ ทาใหเราทราบถงวธการนามาตรฐาน ISO27001/17799 มาประยกตใชเพ�อจดทานโยบาย เพ�อเปนมาตรฐาน นาไปใชกบองคกรเพ�อใหเกดประโยชนสงสด ในการรายงานผลการประเมนความเส�ยงเพ�อใหองคกรไดรบทราบถงความเส�ยงท�ประสพอยแลวดาเนนการปองกน

25

บทท� 4 ผลการดาเนนการ

4.1 บทนา

ทางผจดทาโครงงานไดนาเสนอผลการดาเนนการตามแผน การดาเนนการโครงงานและข �นตอนท�กาหนดไวในข �นตนโดย ระบการประเมนในสวนของหอง data server ภายในองคกรเปนสาคญ 4.2 รายละเอยดการพฒนา

ในการศกษาองคกรและระบบสารสนเทศน �นพบวาในระบบสารสนเทศขององคกรตวอยางน �น ในใหความสาคญตอความม �นคงปลอดภยทางสารสนเทศเพ�มมากข�น แตยงไมมการบนทกสวนของนโยบาย สารสนเทศเปนลายอกษร ผศกษาจงไดทาการเสนอการเขยนนโยบายสารสนเทศอยางส �น เพ�องายตอความเขาใจรวมกน และใหมการนานโยบายไปพฒนาตอเพ�อกาหนดใหสอดคลองกบการปฏบต จงไดออกมาเปนขอสรปนโยบายดงตวอยางดานลาง

โดยทางทมผจดทาโครงงานไดรวมกบคณะกรรมการความม �นคงทางสารสนเทศไดรวมกนกาหนดนโยบาย ISMS Policy (นโยบายดานความม �นคงปลอดภยสารสนเทศ)

**เอกสารภาคผนวก ก. นโยบายการรกษาความปลอดภยระบบสารสนเทศ และไดทาการจดเรยงทะเบยนทรพยสนท�นามาประเมนความเส�ยงตามรายละเอยดบทท� 3

โดยนโยบายดงกลาวไดร บการรบรองโดยคณะกรรมการความม �นคงปลอดภย

สารสนเทศ อนประกอบดวย 1. คณะกรรมการความปลอดภยทางสารสนเทศ 2. ประธานกรรมการความปลอดภยทางสารสนเทศ 3. คณะทางาน

จากการสรปและสอบถามขอมล ปญหาดานความม �นคงปลอดภยทางสารสนเทศ ท �งท�

เคยเกดข�นในอดต หรอความเสยหายท�เกดข�นน �น สามารถกาหนดเปนเกณฑการบรหารความเส�ยง และการการประเมนระดบความเส�ยงท�ไดจากความสมพนธ โดยใชผลรวมระหวาง ความรนแรงของผลกระทบ และโอกาสท�จะเกดปญหา โดยสรปไดตามตาราง 4.1

26

ในการประเมน จะใชกลกการและวธการตามท�กลาวมาในบทท� 3 โดยใชเกณฑการประเมนความเส�ยงได โดยการคดคาของระดบความเส�ยงจะคดไดดงน�

ระดบความเส�ยง(Risk Value)= ระดบโอกาสท�เกด (likelihood) × ระดบของผลกระทบ

(Impact)

โดยไดเกณฑระดบความเส�ยงไว 3 ระดบ ไดแก ต�า ปานกลาง สง และสงมาก ดงน�

โดยใชเกณฑการประเมนผลกระทบ 3 ดานเปนสาคญอนไดแก ดานการเงน ดานภาพพจนช�อเสยง ดานความพรอมใชงานเปนหลกตามเกณฑดานลาง และ มเกณฑ ในการเกดเหตการณเปนหาระดบดงขอมลตารางดานลาง โดยในการเลอกคานวณผลกระทบจะเลอกผลกระทบในดานท�มระดบผลกระทบมากท�สดมาใชในการคานวณเพ�อประเมนความเส�ยง

ตาราง 4.1 เกณฑการประเมนโอกาสในการเกด

ระดบ คาอธบาย

สงมาก (5) มโอกาสเกดข�นเปนประจา เชน เกดข�นทกวน เปนตน

สง (4) มโอกาสเกดข�นสง/บอย เชน เกดข�นทกสปดาห เปนตน

ปานกลาง (3) มโอกาสเกดข�นบางคร �ง เชน เกดข�นทกเดอน เปนตน

นอย (2) มโอกาสเกดข�นนอย เชน เกดข�นทกป เปนตน

นอยท�สด (1) ไมเคยเกดข�น/แทบไมมโอกาสเกดข�น

27

ตาราง 4.2 เกณฑการประเมนคาผลกระทบดานการเงน

ดานการเงน (F) ระดบผลกระทบ คาอธบาย สงมาก (5) มผลกระทบตอความอยรอดของบรษท หรอเสยหายใน

วงเงนมากกวา 1 ลานบาท สง (4) มผลกระทบระดบรนแรง กอใหเกดความเสยหายมา

หรอเสยหายในวงเงนไมเกน 5 แสนบาท ปานกลาง (3) มผลกระทบปานกลาง กอใหเกดความเสยหายพอควร

หรอเสยหายในวงเงนไมเกน 1 แสนบาท นอย (2) มผลกระทบบางแตไมรนแรง กอใหเกดความเสยหาย

นอย หรอเสยหายในวงเงนไมเกน 5 หม�นบาท

นอยท�สด (1) ไมมผลกระทบตอการดาเนนธรกจหรอไมเสยหายดานการเงน

ตาราง 4.3 เกณฑการประเมนคาผลกระทบดานช�อเสยง

ดานภาพพจนช�อเสยง (R)

ระดบผลกระทบ คาอธบาย

สงมาก (5) กระทบช�อเสยงของบรษทอยางรนแรง ทาใหเกดการตอตานอยางรนแรงจากสาธารณะ เชน การประทวง

สง (4) กระทบช�อเสยงของบรษทมาก ทาใหเกดความไมพอใจจากสาธารณะ เชน การแสดงความเหนคดคานผานส�อตางๆ

ปานกลาง (3) กระทบช�อเสยงของบรษทปานกลาง ทาใหเกดความไมพอใจจากสาธารณะ เชน การเขยนวจารณ

นอย (2) กระทบช�อเสยงของบรษทนอย

นอยท�สด (1) กระทบช�อเสยงของบรษทนอยมากหรอไมกระทบ

28

ตาราง 4.4 เกณฑการประเมนคาผลกระทบดานการดาเนนงาน

ดานการปฏบตการ (O)

ระดบผลกระทบ คาอธบาย

สงมาก (5) กระทบตอการปฏบตงานท �วท �งบรษท

สง (4) กระทบตอการปฏบตงานท �วท �งฝาย/แผนก

ปานกลาง (3) กระทบตอการปฏบตงานท �วท �งทม

นอย (2) กระทบตอการปฏบตงานของผใชงานรายบคคล

นอยท�สด (1) ไมมผลกระทบตอการปฏบตงาน

ระดบความเส�ยง 1 – 8 ต�า (Low) ระดบความเส�ยง 9 – 16 กลาง (Medium) ระดบความเส�ยง 17 – 25 สง (High) ตาราง 4.5 ตารางเกณฑการประเมนความเส�ยง

Risk Value Likelihood Very Low

Low Medium High Very High

Impa

ct

นอยท�สด (1) 1 2 3 4 5 นอย (2) 2 4 6 8 10

ปานกลาง (3) 3 6 9 12 15 สง (4) 4 8 12 16 20

สงมาก (5) 5 10 15 20 25

29

4.3 ผลการประเมนความเส�ยง (รอบ 1)

1. ฮารดแวร (Hardware) ตาราง 4.1 ตารางแสดงผลการประเมนความเส�ยงกอนดาเนนโครงงาน

ลาดบ รายการตรวจสอบ

ความเส�ยง ผลกระทบ โอกาส คาความเส�ยง

ตวควบคม

แผนการจดการความเส�ยง F O R

1. Firewall และ Router

ถกเขาถงโดยไมไดรบอนญาต เน�องจากเขยน Policy ผด

1 5 1 1 5

อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง

3 5 1 2 10 A.9.2.4

-มการบารงรกษาโดยผใหบรการภายนอก และมการตรวจสอบการดแลรกษาตามระยะเวลาท�กาหนด

อปกรณถกเขาถงและแกไขคาอปกรณโดยไมไดรบอนญาต

3 5 1 2 10 A.9.1.2 A.jj.k.j

-แยกพ�นท�รวมถงการเขาออกบรเวณหองคอมพวเตอร -อปกรณในต Rack ควรมการ Lock ต - มการกาหนดหนาจอ login กอนมการเขาถงอปกรณ

30





2. อปกรณเช�อมตอเครอขาย Switch Zone IT

การทางานภายในองคกรชา เน�องจากประสทธภาพของอปกรณไมเพยงพอ

2 5 1 1 5 *เปนอปกรณเพ�งมการเปล�ยนทดแทนของเดม


2 5 1 2 10 A.9.1.2 A.jj.k.j

-แยกพ�นท�รวมถงการเขาออกบรเวณหองคอมพวเตอร - มการกาหนดหนาจอ login กอนมการเขาถงอปกรณ


2 5 1 2 10 A.9.2.4

-จดเกบบนทกในการทา MA และมการตรวจสอบการดแลรกษาตามระยะเวลาท�กาหนด -ควรมอปกรณใชงานทดแทน

อปกรณเสยหายเน�องจากไฟกระชาก

2 5 1 3 15 A.9.2.1

-องคกรควรมอปกรณปองกนจากระบบไฟฟากรณเกดไฟฟากระชาก

31





3. อปกรณเช�อมตอเครอขาย Switch Zone Offices


1 5 1 3 15 A.9.2.4

-เน�องจากอปกรณมการใชงานมานานควร มการตรวจสอบการดแลรกษาตามระยะเวลาท�กาหนด


1 4 1 3 12 A.9.1.2 A.jj.k.j

-แยกพ�นท�รวมถงการเขาออกบรเวณหองคอมพวเตอร -มการกาหนดหนาจอ login กอนมการเขาถงอปกรณ


1 4 1 3 12 A.9.2.4

-จดเกบบนทกในการทา MA และมการตรวจสอบการดแลรกษาตามระยะเวลาท�กาหนด -ควรมอปกรณใชงานทดแทน


1 4 1 3 12 A.9.2.1

-องคกรควรมอปกรณปองกนจากระบบไฟฟากรณเกดไฟฟากระชาก

32

- ลาดบ รายการ

ตรวจสอบ ความเส�ยง ผลกระทบ โอกาส คา




4. Server Active Directory

อปกรณชารดเสยหายเน�องจากขาดการซอมบารง 1 5 1 2 10 A.9.2.4


Server ถกเขาถงและแกไขคาโดยไมไดรบอนญาต 1 5 1 2 10 A.9.1.2 A.jj.k.j

-แยกพ�นท�รวมถงการเขาออกบรเวณหองคอมพวเตอร -มการกาหนดหนาจอ login กอนมการเขาถงเคร�อง

เคร�องไมสามารถใหบรการไดเน�องจากไฟฟาดบ

1 5 1 1 5 A.s.t.t ม UPS ท�สามารถรองรบการใชงาน

ทรพยากรระบบมไมเพยงพอ 1 5 1 1 5 A.jv.w.j -มการตรวจสอบอยเปนประจาทกเดอน

33

ลาดบ รายการ





5. Server Antivirus


1 5 1 2 10 A.9.2.4



1 1 1 2 2

อปกรณไมสามารถใหบรการไดเน�องจากไฟฟาดบ



34






6. Server Log อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง

1 5 2 2 10 A.9.2.4



5 5 4 2 10 A.9.1.2 A.jj.k.j




ทรพยากรระบบมไมเพยงพอ 3 4 1 2 8 A.10.3.1 - มการตรวจสอบอยเปนประจาทกเดอน -เน�องจากมความเก�ยวของกบ พรบ. ทางกฎหมายจงตองใหความสาคญ

35






7. Mail Server อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง

1 5 2 3 15 A.9.2.4



5 5 4 2 10 A.9.1.2 A.jj.k.j





36






8. Intranet Server


1 5 1 3 15 A.9.2.4



2 5 1 2 10 A.9.1.2 A.jj.k.j




ทรพยากรระบบมไมเพยงพอ 1 4 1 5 20 A.jv.w.j -มการตรวจสอบอยเปนประจาทกวนเน�องจากมการอพเอกสารระบบ มอก. รวมถงเอกสารตางๆทกวน

37






9. Server - ระบบจดการพ�นท�


1 5 1 3 15 A.9.2.4



5 5 3 4 20 A.9.1.1 A.9.1.2 A.9.1.5 A.9.1.6 A.jj.k.j

-แยกพ�นท�รวมถงการเขาออกบรเวณหองคอมพวเตอร -ควบคมการเขาออกเฉพาะผม สวนเก�ยวของ -มการกาหนดหนาจอ login กอนมการเขาถงเคร�อง -นาเคร�องมาต �งในหอง Server


1 5 - 1 5 A.s.t.t ม UPS ท�สามารถรองรบการใชงาน

ทรพยากรระบบมไมเพยงพอ 1 4 - 1 4 A.10.3.1 -มการตรวจสอบอยเปนประจาทกเดอน -ไฟล data มขนาดเลก

38





10. UPS For Server


2 5 1 3 15 A.9.2.4

-จดเกบบนทกในการทา MA และมการตรวจสอบการดแลรกษาตามระยะเวลาท�กาหนด

อปกรณไมสามารถกบเกบกระแสไฟไดเม�อเกดไฟฟาขดของ

2 5 1 2 10 A.s.t.z -มการเปล�ยนแบตเตอร�ตามวงรอบการทางาน

11. CCTV System


1 3 1 1 3 -อปกรณเพ�งทาการตดต �ง

อปกรณตดต �งไมครอบคลมพ�นท�ทาใหไมสามารถเหนพ�นท�ไดอยางชดเจน

2 3 1 4 12 A.9.1.1

-ควรมการตดต �งใหครอบคลมพ�นท�

12. Air Condition (A/C)

อปกรณไมทางานหรอทางานผดพลาดทาใหอณหภมรอนจนระบบไมสามารถทางานไดตามปกต

1 2 1 2 4

13. Fire Protection System

อปกรณทางานผดพลาดและไมสามารถใชงานได 5 5 3 3 15 A.9.1.1

-ควรมการตดต �งใหครอบคลมพ�นท�

39

2. การประเมนความเส�ยงซอฟตแวร Software ลาดบ รายการ





14. Operating System Software Window, Linux

ระบบถกเขาถงโดยไมไดรบอนญาตเน�องจากผดแลระบบไมไดทาการ Logout ออกจากระบบท�ใชงานอย

3 5 1 3 15 A.8.2.2 A.8.2.3 A.11.5.6

-สรางวนยและความตระหนกในการปฏบตงาน -ควรมบทลงโทษกรณไมปฎบตตาม -ควรต �งให log out อตโนมตกรณไมมการใชงาน

การถกฟองรองตามกฎหมายลขสทธ |ซอฟตแวรเน�องจากพนกงานใชซอฟตแวรละเมดลขสทธ |

3 5 5 3 15 A.15.1.1 A.8.2.2

- มการสรางความตระหนกรวมถงใหความรเพ�มเตมในการใชงานซอฟตแวรตางไมใหมการใชงานท�ละเมดลขสทธ |

โปรแกรมทางานผดพลาดเน�องจากไมได update patch

1 5 1 1 5 A.10.4.1 A.10.4.2

-ควรมการ Update Patch ท�เก�ยวของกบ Security

40





15. Package Software โปรแกรมจดการพ�นท�


3 5 1 3 15 A.8.2.2 A.8.2.3 A.11.5.6

-สรางวนยและความตระหนกในการปฏบตงาน -ควรมบทลงโทษกรณไมปฎบตตาม -ควรต �งให log out อตโนมตกรณไมมการใชงาน -ใหความรในการปฎบตเพ�มเตม

ซอฟตแวรทางานผดพลาดเน�องจากโปรแกรมไมพงประสงคหรอ Hacker

3 5 1 3 15 A.10.4.1 -ควรมการ Update Patch ท�มความสาคญหรอเก�ยวของกบความปลอดภยทางสาสนเทศ

โปรแกรมใหผลลพธไมถกตองเน�องจากโปรแกรมทางานผดพลาด

1 5 1 1 5

41





16. Package Software - Program Web Server


2 5 2 3 15 A.8.2.2 A.8.2.3 A.11.5.6


ซอฟตแวรใหผลลพธไมถกตองเน�องจากโปรแกรมทางานผดพลาด

2 4 2 3 12 A.10.4.1 A.10.4.2

-ควรมการ Update Patch ท�มความสาคญหรอเก�ยวของกบความปลอดภยทางสาสนเทศ - ไมใหมการ Run Scrip หรอ Mobile Code โดยไมไดรบการพจารณากอน


2 5 1 1 5 A.10.4.1 A.10.4.2

-ควรมการ Update Patch ท�มความสาคญ

42





ซอฟตแวรทางานผด พลาดเน�องจากผใชงาน หรอ Webmaster ขาดความรความเขาใจในการใชงานซอฟตแวร

1 2 1 1 2

43





17. Package Software - Program Mail


3 5 1 2 10 A.8.2.2 A.8.2.3 A.11.5.6


ขอมลภายในบรษทฯ ในเมลเซรฟเวอรถกเขาถงโดยไมไดรบอนญาตไมมการทบทวนทะเบยนผใชงานเมลเซรฟเวอร

3 5 4 1 5 -มการทบทวนผใชงานเมลเซรฟเวอรตามเอกสารพนกงานเขาออก

โปรแกรมทางานผดพลาดเน�องจากไมได update patch หรอ เกดจากความผดพลาดของโปรแกรม

3 5 4 5 25 A.10.4.1 A.10.4.2

-ควรมการ Update Patch เพ�อแกไขปญหาในการใชงาน

44

3. การประเมนความเส�ยงขอมล Information ลาดบ รายการ





18. ขอมล Email, WebServer

การเขาถงโดยไมไดรบอนญาตเน�องจากการต �งรหสผานท�สามารถคาดเดาไดโดยงาย

2 5 1 3 15 A.11.1.1 A.11.2.1

- ควรมการควบคมการเขาถงหรอกาหดวธการต �งรหสผานท�ยากตอการคาดเดา

การแฮกหรอขอมลอเมลถกนาไปเปดเผยหรอเผยแพรโดยไมไดรบอนญาตจากความผดพลาดในการสงหรอจงใจ

2 1 4 3 12 A.8.2.2 A.10.8.1 A.10.8.2 A.10.8.4

-ควรมการสรางความตระหนก ใหพนกงานและมกาหนดนโยบายพรอมบทลงโทษในการลงโทษเม�อมการฝาฝน หรออกระทาโดยไตรตรอง

ขอมลสญหายเน�องจากไมมการสารองขอมล 2 2 1 1 2 -มการสารองขอมลลงเทป Backup ทกวน

45





19. ขอมลโปรแกรมจดการพNนท�

ขอมลสญหายหรอเสยหายเน�องจากขาดการสารองขอมล

2 5 1 1 5 A.jv.k.j -มการสารองขอมลลงเทป Backup ทกวน

ขอมลถกแกไขเปล�ยนแปลงไมสามารถเช�อถอได

2 5 1 3 15

A.11 -ควรมการควบคมการเขาถงขอมล รวมถงการกาหนดสทธการเขาถงแตละโมดล

ขอมลถกเปดเผยไปยงนอกองคกรเน�องขาดกลไกในการควบคมและกากบดแล

2 5 1 1 5 A.8.2.2 - ควรสรางความตระหนกเพ�อใหพนกงานมความระมดระวง

46





ขอมลเอกสารท �วไป ของทางแผนก IT

เอกสารหายเน�องจากไมมการเกบใหมดชดเชนในต 2 3 1 4 12 A.7.2.1 A.jv.�.z

-ควรมการจดช �นเอกสารและแยกประเภทเอกสารเปนตๆ - ไมควรมการเกบเอกสารสาคญตางๆไวบนโตะ


2 5 1 3 15

A.11.2.2 -ควรมการควบคมการเขาถงขอมล รวมถงการกาหนดสทธการเขาถงแตละประเภทเอกสารเชนงบประมาณเปนตน


2 5 1 1 5 A.8.2.2 - ควรสรางความตระหนกเพ�อใหพนกงานมความระมดระวง

47

4. ประเมนความเส�ยง บคคล Personal ลาดบ รายการ





20. หวหนาแผนก การทางานไมราบร�นหรอเกดมขอผดพลาดจนทาใหงานของบรษทไมสามารถดาเนนการตอได

1 4 1 1 4

ผลงานไมไดตามเปาหมายขององคกรท�วางไวและหวหนาแผนกไมสามารถจดการไดตามท�ไดรบมอบหมาย

2 5 4 3 15 A.8.2.1 -มการประเมนประสทธภาพการทางานของหวหนาแผนก ปละ 1 คร �ง และมการรายงานผลการทางานทกเดอน

21. ผใชงาน

มการใชงานท�ลอแหลมและขาดความตระหนกในการใชงานเทคโนโลยสารสนเทศ

1 3 1 3 9 A.8.2.2 A.8.2.3

-สรางความตระหนกและใหความรแกพนกงานพรอมท �งมบทลงโทษกรณฝาฝน

การละเมดนโยบายความม �นคงปลอดภยเพราะขาดการตรวจสอบและลงโทษ

1 3 2 3 9 A.8.2.2 A.8.2.3

-สรางความตระหนกและใหความรแกพนกงานพรอมท �งมบทลงโทษกรณฝาฝน

48





22. ผดแลระบบ

ระบบสารสนเทศทางานไดอยางไมมประสทธภาพและระบบไมมความปลอดภยเน�องจากไมมทกษะในการปฏบตงานเน�องจากไมไดศกษาเพ�มเตมเฉพาะดาน

2 4 1 3 12 A.8.2.1 -มการประเมนประสทธภาพการทางานของหวหนาแผนก ปละ 1 คร �ง และมการรายงานผลการทางานทกเดอน

การละเมดนโยบายความม �นคงปลอดภยสารสนเทศ

2 5 1 3 15 A.8.2.3

-กาหนดบทลงโทษกรณไมปฎบตตาม

49

5. การประเมนความเส�ยงผใหบรการ Service





23. ผใหบรการ Internet

ผใหบรการไมสามรถใหบรการ internet ไดทาใหภายในองคกรไมสามารถดาเนนการตอไดและธรกจหยดชะงก

3 3 2 2 6 A.10.1.1 A.10.1.2 A.10.2.1

-กาหนดมาตรการดานการใหบรการของหนวยงานภายนอกและมการประเมนผลการใหบรการ -ใหมการใชงาน link สารองกรณผใหบรการไมสามารถใหบรการได

24. ฝายอาคารสถานท�ของตกเชา

การดาเนนธรกจหยดชะงกเน�องจากฝายอาคารสถานท�ของตกทาใหระบบไฟฟาขดของ

3 5 1 3 15 A.10.1.1 A.10.1.2

-กาหนดมาตรการดานการใหบรการของหนวยงานภายนอกและมการประเมนผลการใหบรการ

50

ตารางสรปจานวนความเส�ยงท�พบ

ตารางท� 4.6 ตารางสรปผลความเส�ยงรอบแรก

ระดบความเส�ยงท�พบ ระดบสง ระดบกลาง ระดบต�า รวมผล

จานวน 3 40 28 71

51

4.4 สรปนโยบายท�องคกรไดเลอกจดทา เม�อไดดาเนนการจดลาดบความเส�ยงและเลอกบรหารจดการความเส�ยงท�มระดบความเส�ยงสงและกลางแลว ทางองคกรไดมการพจารณาเลอกมาตรการ

ควบคมมาปรบใชในการบรหารจดการความเส�ยงโดยพจารณาจากความเส�ยงท�มระดบสงและกลางโดยจะมการขออนมตจากคณะผบรหารในการดาเนนการเพ�อลดความเส�ยงซ�งไดผลการดาเนนการดงตารางตอไปน�

ตาราง 4.7 ตารางสรปการบรหารจดการความเส�ยง

ลาดบ ประเภท รายการตรวจสอบ ประเดนความเส�ยงระดบความเส�ยง ตวควบคม แผนลดความเส�ยง Risk Response RTP Status

Completed

Sta. ผรบผดชอบ ผลลพท

1 HW. Intranet Server

ระบบไมสามารถใหบรการไดเน�องจากทรพยากรระบบมไมเพยงพอเพราะ มการ

อพเดทขอมล ระบบ มอก.จานวนมาก สง

A.10.3.1 การวางแผนความตองการทรพยากรสารสนเทศ ลดความเส �ยง เสรจส�น 100

ฝาย เทคโนโลย

สารสนเทศ

เพ�มพ�นท�ขอมล พรอมท �งมการ Monitor Server และเพ�ม Scrip ในการแจงเตอนใหสง Email กรณ

ทรพยากรไมเพยงพอ

2 HW.

Server-ระบบจดการพ�นท�

Server อาจเขาถงไดจากผไมหว �งดโดยไมไดรบอนญาตและอาจทาใหอปกรณเสยหาย สง

A.9.1.2 แยกพ�นท�รวมถงการเขาออกบรเวณหอง

คอมพวเตอรA.9.1.1 การจดวางและการ

ปองกนอปกรณ ลดความเส �ยง เสรจส�น 100


สารสนเทศนาเคร�อง Server ออกมาจากจดท�มความเส�ยงมาไวใน

หองคอมพวเตอร

3 SW

Solfware- Program Mail

โปรแกรมทางานผดพลาดเน�องจากไมได update patch หรอ เกดจากความผดพลาดของ

โปรแกรม สง

A.10.4.1 A.10.4.2 หาแนวทางในการจดการความ

เส�ยงท�เก�ยวของและทาการ

อพเดทแพท ลดความเส �ยง เสรจส�น 100



มการ Update Patch เพ�อแกไขปญหาและลดขอผดพลาดในการใชงาน

สรปท�มาของปญหาพรอมแนวทางแกไข

4 HW. Firewall และ Router

อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง กลาง

A.9.2.4 ควรมการบารงรกษาใหอปกรณพรอมใชงานอยาง

สม�าเสมอ ลดความเส �ยง เสรจส�น 100


สารสนเทศเอกสารนในการจดการบารงรกษาอปกรณ \ สญญา

การใหบรการ

5 HW. Firewall และ Router อปกรณถกเขาถงโดยไมไดรบอนญาต กลาง

A.9.1.2 มการควบคมการเขา-ออก ศนยคอมพวเตอร

แยกพ�นท�การตดตอจาก

บคคลภายนอก

A.9.1.4 มการเลอกพ�นท�ในการจดเกบระบบสารสนเทศท�

ปลอดภยท�มปองกนตอภย

คกคามตางๆ ลดความเส �ยง เสรจส�น 100


สารสนเทศมการจดเกบอปกรณในท�เหมาะสมยากตอการเขาถง

โดยไมไดรบอนญาต

52


Completed


6 HW.

อปกรณเช�อมตอเครอขาย Switch

Zone IT อปกรณถกเขาถงโดยไมไดรบอนญาต กลาง






คกคามตางๆ ลดความเส�ยง เสรจส �น 100




7 HW.


Zone ITอปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง กลาง


สม�าเสมอ ลดความเส�ยง เสรจส �น 100




8 HW.


Zone IT อปกรณเสยหายเน�องจากไฟกระชาก กลาง

A.9.2.1 องคกรควรตดต �ง Ups เพ�มเตมเพ�อปองกนไฟ

กระชาก ลดความเส�ยง เสรจส �น 100


สารสนเทศตดต �ง Ups เพ�มเตมและใชงานกระแสไฟฟาจาก Ups

ทดแทนของเดม

9 HW.


Zone Officesการทางานภายในองคกรชา เน�องจากประสทธภาพของอปกรณไมเพยงพอ กลาง

มการตรวจเชตอปกรณท�ม การใชงานเกนหาปเปน

ประจาและมการเตรยม

แผนการเปล �ยนอปกรณ

A.9.2.4 การบารงรกษาอปกรณ รวมถงการจดหา

อปกรณใหอยในสภาพพรอม

ใชงาน ลดความเส�ยง เสรจส �น 60


สารสนเทศดาเนนการเสนอเร�องใหจดซ�ออปกรณทดแทนใน

ปงบประมาณหนา

10 HW.


Zone Officesอปกรณถกเขาถงและแกไขคาอปกรณโดย

ไมไดรบอนญาต กลาง

A.9.1.2 มการควบคมการเขา-ออก แยกพ�นท�การ

ตดตอจากบคคลภายนอก







11 HW.


Zone Officesอปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง กลาง


สม�าเสมอ ลดความเส�ยง ดาเนนการ 50




12 HW.


Zone Offices อปกรณเสยหายเน�องจากไฟกระชาก กลาง

A.9.2.1 องคกรควรตดต �ง Ups เพ�มเตมเพ�อปองกนไฟ

กระชาก ลดความเส�ยง ดาเนนการ 50


สารสนเทศตดต �ง Ups เพ�มเตมและใชงานกระแสไฟฟาจาก Ups

ทดแทนของเดม

53


Completed


13 HW.

Server Active Directory







14 HW.

Server Active Directory

อปกรณถกเขาถงและแกไขคาอปกรณโดยไมไดรบอนญาต กลาง









โดยไมไดรบอนญาต และมการแยกการเขาถง

15 HW. Server Antivirus



สม�าเสมอ ลดความเส�ยง ดาเนนการ 60



เอกสารนในการจดการบารงรกษาอปกรณ \ สญญาการใหบรการ

**รอดาเนนการยายเปน VMware

16 HW. Server Log






เอกสารนในการจดการบารงรกษาอปกรณ \ สญญาการใหบรการ

**รอทาเร�องจดซ�อทดแทน

17 HW. Server Log











18 HW. Mail Server







19 HW. Mail Server


















54


Completed









คกคามตางๆ ลดความเส�ยง เสรจส�น 100




22 HW.

Server-ระบบจดการพ�นท�



สม�าเสมอ ลดความเส�ยง เสรจส�น 100




23 HW. UPS For Server



สม�าเสมอ ลดความเส�ยง เสรจส�น 100




24 HW. UPS For Server

อปกรณไมสามารถกบเกบกระแสไฟไดเม �อเกดไฟฟาขดของ กลาง

A.9.2.4 ควรมการตรวจเชตแบตเตอร�อยางสม�าเสมอ

ยอมรบความเส �ยง เสรจส�น 100



25 HW. CCTV System

อปกรณตดต �งไมครอบคลมพ�นท�ทาใหไมสามารถเหนพ�นท�ไดอยางชดเจน กลาง

A.9.2.1 ควรมการตดต �งใหครอบคลมพ�นท�และอยใน

บรเวณท�เหมาะสมในการเผา

ตดตามยอมรบความ

เส �ยง ดาเนนการ 60


สารสนเทศกาลงดาเนนการตดต �งอปกรณเพ�มเตมเพ�อให

ครอบคลมพ�นท�ในการทางน

26 HW.

Fire Protection System

อปกรณทางานผดพลาดและไมสามารถใชงานได ขณะเกดเหตเพลงไหม กลาง

ใหฝายอาคารสถานท�เขามาตรวจสอบเปนประจา

A.9.2.1 ตองมการตรวจเชตและทดสอบระบบเพ�อความ

พรอมในการใชงานยามเกด

สถานการณ ลดความเส�ยง เสรจส�น 100

ฝาย อาคารสถานท� ฝายอาคารสถานท�มการตรวจเชคเปนประจาทกเดอน

27 SW.

Operating System Software

Window,Linux

ผดแลระบบไมไดทาการ Logout ออกจาก

ระบบท�ใชงานอย

กลาง

A.11.2.4 มการทบทวนสทธการเขาถงและมการเปล �ยน

รหสผานทก ๆ6 เดอนและม

การเพ�มการจากดสทธของ

A.8.2.2 A.8.2.3 -สรางวนยและความตระหนกในการ

ปฏบตงาน

A.11.5.6 ควรต �งให log out ยอมรบความ

เส �ยง เสรจส�น 100



ต �งเวลาใหมการ Logout อตโนมตเม �อไมไดใชงาน รวมถงสรางวนยในการใชงานเคร�อง server ใหมการ

logout ทกคร �งหลงการใชงานทกคร �งและใหมการ

เปล �ยน paaword ในระบบท�สาคญทกหน�งป

55


Completed


28 SW.

Operating System Software

Window,Linux


กลาง

A.15.1.1 แจงใหพนกงานทราบถงความผดจากการ

ละเมดลขสทธ |

A.8.2.2 A.8.2.3 -สรางวนยและความตระหนกในการ

ปฏบตงาน และมการระบถง

โทษอยางชดเจน ลดความเส�ยง ดาเนนการ 70


สารสนเทศพนกงานมความเขาใจมากข�นในการเลอกใชงาน

โปรแกรมตางๆ

29 SW.

Package Softwareโปรแกรมจดการพ�นท�



กลาง

A.8.2.2 -สรางวนยและความตระหนกในการปฏบตงาน

A.11.5.6 ควรต �งให log out

อตโนมตกรณไมมการใชงานยอมรบความ

เส�ยง เสรจส �น 100




logout ทกคร �งหลงการใชงานทกคร �ง

30 SW.

Package Softwareโปรแกรมจดการพ�นท�


กลาง

A.10.4.1 ควรมการ Update Patch ท�เก�ยวของกบ

Security

A.10.4.1 ควรมการ Update Patch ท�มความสาคญหรอ

เก�ยวของกบความปลอดภย

ทางสาสนเทศ ลดความเส�ยง เสรจส �น 100



เน�องจากเปนระบบเกบดาตาเบสแบบเกา จงไมสามารถอพเดท patch ใหม เๆพ �มเตมไดจงไดทาการ

Backup ขอมลไวทกวน

ไมใหมการ Run Scrip หรอโปรแกรมตาง โดยไมไดรบ

31 SW.

Package Software - Program Web

Server



กลาง








logout ทกคร �งหลงการใชงานทกคร �ง

32 SW.

Package Software - Program Web

Server

ซอฟตแวรใหผลลพธไมถกตองเน�องจากโปรแกรมทางานผดพลาดหรอโดนโจมต

กลาง

A.10.4.1 ควรมการ Update Patch ท�เก�ยวของกบ

Security

A.10.4.1 ควรมการ Update Patch ท�มความสาคญหรอ

เก�ยวของกบความปลอดภย

ทางสาสนเทศ ลดความเส�ยง ดาเนนการ 50



เน�องจากเปนระบบปฎบตการ Linux เดมท�ใชงานอย ในการอพเดท patch ใหม เๆพ �มเตมตองมการทดสอบ

ในเคร�อง Test กอนอพเดท

33 SW.

Package Software - Program Mail



กลาง






สารสนเทศมการเพ�มการจดเกบ log Access ในการเขาถงแลวลด

เวลา Time Out ของระบบเม �อไมมการใชงาน

34 Info.

ขอมล Email,WebServer

การเขาถงโดยไมไดรบอนญาตเน�องจากการต �งรหสผานท�สามารถคาดเดาไดโดยงายและไม

ปลอดภย กลาง

A.11.2.4 มการทบทวนสทธ

การเขาถงและมการเปล�ยน

รหสผานทก ๆ6 เดอนและม

การเพ�มการจากดสทธของ

user เปนรายบคคล

การเขาถงระบบ

A.11.3.1 ควรกาหนดใหมการ

ต �งรหสผานใหยากตอการคาด

เดา ยอมรบความเส�ยง เสรจส �น 100



นโยบายในการกาหนดการต �งรหสผานใหยากตอการคาดเดา

และผใชตองพงระวงรกษาขอมลของตนเอง

56


Completed


35 Info.

ขอมล Email,WebServer

การแฮกหรอขอมลอเมลถกนาไปเปดเผยหรอเผยแพรโดยไมไดรบอนญาตจากความ

ผดพลาดในการสงหรอจงใจ กลาง

A.8.2.2 A.10.8.1 A.10.8.2 -สรางวนยและความ

ตระหนกในการปฏบตงาน

พรอมบทลงโทษในการลงโทษ

เม �อมการฝาฝน

หรออกระทาโดยไตรตรอง

ลดความเส �ยง เสรจส�น 100



นโยบายในการควบคมการใชงานเทคโนโลยสารสนเทศและมบทลงโทษกรณนาขอมลภายในไป

เผยแพร

36 Info.

ขอมลโปรแกรมจดการพ�นท� ขอมลถกแกไขเปล�ยนแปลงไมสามารถเช�อถอได กลาง

A.11 มการควบคมการเขาถงขอมล รวมถงการกาหนดสทธ

การเขาถงถายโอน

ความเส�ยง เสรจส�น 100



มการควบคมการเขาถงขอมล รวมถงการกาหนดสทธการเขาถงแตละโมดล เพ�อจากดไมใหมการเขาใชงาน

เกนความจาเปน และเปนการปองกนขอมลความลบ

ของบรษทร �วไหลซ�งอาจจะกอใหเกดความเสยหายกบ

37 Info.

ขอมลเอกสารท �วไป ของทางแผนก IT

เอกสารหายเน�องจากไมมการเกบใหมดชดเชนในต กลาง


ยอมรบความเส�ยง ดาเนนการ 70



มการเพ�มตในการจดเกบเอกสารและเรยงเอกสารเปนหมวดหม

เพ �มระเบยนเอกสารใหจดเจนและงานยตอการสบคน

38 Info.

ขอมลเอกสารท �วไป ของทางแผนก IT ขอมลถกแกไขเปล�ยนแปลงไมสามารถเช�อถอได กลาง


ยอมรบความเส�ยง ดาเนนการ 70



มการเพ�มตในการจดเกบเอกสารและเรยงเอกสารเปนหมวดหม

เพ �มระเบยนเอกสารใหจดเจนและงานยตอการสบคน

39 People หวหนาแผนก

ผลงานไมไดตามเปาหมายขององคกรท�วางไวและหวหนาแผนกไมสามารถจดการไดตามท�

ไดรบมอบหมาย กลาง

A.8.2.1 -มการประเมนประสทธภาพการทางานของ

หวหนาแผนก

ปละ 1 คร �ง และมการ ลดความเส �ยง ดาเนนการ 70



40 People ผใชงาน

มการใชงานท�ลอแหลมและขาดความตระหนกในการใชงานเทคโนโลยสารสนเทศ กลาง

A.8.2.2 -สรางวนยและความตระหนกในการ

ปฏบตงาน

มการอบรมรวมถงสรางความตระหนกในการใชงาน

เทคโนโลยสารสนเทศในองคกร ลดความเส �ยง เสรจส�น 100


สารสนเทศการใหความรเพ �มเตมกรณพบผใชงานท�มปญหาในการ

ใชงาน

41 People ผใชงาน

การละเมดนโยบายความม �นคงปลอดภยเพราะขาดการตรวจสอบและลงโทษ กลาง

A.8.2.3 มการกาหนด กระบวนการลงโทษในกรณ

ฝาฝ�น หรอละเมดละเลยตอ

นโยบาย

A.8.2.3 เพ�มการสมการตรวจสอบการใชงาน ตาม

นโยบายเทคโนโลย

สารสนเทศตามระยะเวลา ลดความเส �ยง เสรจส�น 100


สารสนเทศ เอกสารนโยบายความม �นคงปลอดภยทางสารสนเทศ

57


Completed


42 People ผดแลระบบ

ระบบสารสนเทศทางานไดอยางไมม ประสทธภาพและระบบไมมความปลอดภย

เน�องจากไมมทกษะในการปฏบตงานเน�องจาก

ไมไดศกษาเพ�มเตมเฉพาะดาน กลาง

มการคอยหม �นอบรมหรอทบทวนความรอยเสมอ

เพ�อใหทนตอเหตการณอย

เสมอ

A.8.2.1 -มการประเมนประสทธภาพการทางานของ

ผดแลระบบ

ปละ 1 คร �ง และมการ ลดความเส�ยง ดาเนนการ 60


สารสนเทศ มการสงพนกงานไปอบรมภายนอก

43 People ผดแลระบบ

การละเมดนโยบายความม �นคงปลอดภยสารสนเทศ กลาง

A.8.2.2 -สรางวนยและความตระหนกในการปฏบตงาน ลดความเส�ยง ดาเนนการ 100


สารสนเทศ มบทลงโทษกรณไมปฎบตตาม

44 SERVICES

ฝายอาคารสถานท�ของตกเชา

การดาเนนธรกจหยดชะงกเน�องจากฝายอาคารสถานท�ของตกทาใหระบบไฟฟาขดของ กลาง

A.10.1.1 กาหนดมาตรการดานการใหบรการของ

หนวยงานภายนอกและมการ

ประเมนผลการใหบรการ ลดความเส�ยง ดาเนนการ 100

ฝาย อาคารสถานท�

ทางฝายดแลอาคารและสถานท�มการกาหนดระยะเวลาในการเขามาตรวจเชคเปนประจา

58

4.5 ผลการประเมนความเส�ยงหลงดาเนนโครงการ

1. ฮารดแวร (Hardware)



ตวควบคม F O R

1. Firewall และ Router

ถกเขาถงโดยไมไดรบอนญาต เน�องจากเขยน Policy ผด

1 5 1 1 5 มการตรวจทานกอนนา policy มาใชงานจรง


3 3 (5)

1 1(2) 3 A.9.2.4 มการกาหนดระยะเวลาในการตรวจสอบและบารงรกษาอปกรณระบบเครอขายและมการมอบหมายใหฝายความม �นคงสารสนเทศเปนผรบผดชอบในการตรวจสอบ ในการเขามา

ดาเนนการของผใหบรการภายนอก ** มการปรบเปล�ยนอปกรณใหม


3 5 1 1(2) 5

A.9.1.2 มการควบคมการเขา-ออก ศนยคอมพวเตอร แยกพ�นท�การตดตอจาก

บคคลภายนอกตดต �งระบบ Key Card เพ�มเตม A.9.1.4 มการเลอกพ�นท�ในการจดเกบระบบ

สารสนเทศท�ปลอดภยท�มปองกนตอภยคกคาม

59




2. อปกรณเช�อมตอเครอขาย Switch Zone IT


2 5 1 1 5 ***เปนอปกรณเพ�งมการเปล�ยนทดแทนของเดม


2 5 1 1(2) 5 A.9.1.2 มการควบคมการเขา-ออก ศนยคอมพวเตอร แยกพ�นท�การตดตอจากบคคลภายนอกตดต �งระบบ Key Card เพ�มเตม A.9.1.4 มการเลอกพ�นท�ในการจดเกบระบบสารสนเทศท�ปลอดภยท�มปองกนตอภยคกคามตางๆ


2 5 1 1(2) 5 A.9.2.4 มการกาหนดระยะเวลาในการตรวจสอบและบารงรกษาอปกรณระบบเครอขายและมการมอบหมายใหฝายความม �นคงสารสนเทศเปนผรบผดชอบในการตรวจสอบ ในการเขามาดาเนนการของผใหบรการภายนอก


2 5 1 1(3) 5 A.9.2.1 ตดต �ง Ups เพ�มเตมและใชไฟจาก Upsแทนการใชกระแสไฟตรงเพ�อปองกนไฟกระชากซ�งอาจทาใหอปกรณเสยหาย

60




3. อปกรณเช�อมตอเครอขาย Switch

Zone Offices


1 5 1 1(3) 5 A.9.2.4 เน�องจากอปกรณมการใชงานมานานควร มการตรวจสอบการดแลรกษาตามระยะเวลาท�กาหนด และเสนอทาเร�องในการจดซ�ออปกรณใหมทดแทนของเดม


1 5 1 1(3) 5 A.9.1.2 มการควบคมการเขา-ออก โดยทาการยายอปกรณไวในท�มดชดยากตอการเขาถง A.9.1.4 มการเลอกพ�นท�ในการจดเกบระบบสารสนเทศท�ปลอดภยท�มปองกนตอภยคกคาม


1 4 1 3 12 A.9.2.4 มการกาหนดระยะเวลาในการตรวจสอบและบารงรกษาอปกรณระบบเครอขายและมการมอบหมายใหฝายความม �นคงสารสนเทศเปนผรบผดชอบในการตรวจสอบ ในการเขามาดาเนนการของผใหบรการภายนอก


1 4 1 3 12 A.9.2.1 ตดต �ง Ups เพ�มเตมและใชไฟจาก Upsแทนการใชกระแสไฟตรงเพ�อปองกนไฟกระชากซ�งอาจทาใหอปกรณเสยหาย

61




4. Server Active Directory

อปกรณชารดเสยหายเน�องจากขาดการซอมบารง 1 5 1 1(2) 5 A.9.2.4 มการกาหนดระยะเวลาในการตรวจสอบและบารงรกษาอปกรณระบบเครอขายและมการมอบหมายใหฝายความม �นคงสารสนเทศเปนผรบผดชอบในการตรวจสอบ ในการเขามาดาเนนการของผใหบรการภายนอก

Server ถกเขาถงและแกไขคาโดยไมไดรบอนญาต 1 5 1 1(2) 5 A.9.1.2 มการควบคมการเขา-ออก โดยทาการยายอปกรณไวในท�มดชดยากตอการเขาถง A.9.1.4 มการเลอกพ�นท�ในการจดเกบระบบสารสนเทศท�ปลอดภยท�มปองกนตอภยคกคาม A.jj.k.jมการกาหนดหนาจอ login กอนมการเขาถงเคร�อง Server

เคร�องไมสามารถใหบรการไดเน�องจากไฟฟาดบ

1 5 1 1 5 A.s.t.t ม UPS ท�สามารถรองรบการใชงานกรณไฟฟาดบ

ทรพยากรระบบมไมเพยงพอ 1 5 1 1 5 A.10.3.1 มการตรวจสอบทรพยากรระบบพรอมท �งต �งใหมการเตอนและรายงานไปยงผบรหารทกเดอน

62




5. Server Antivirus


1 5 1 2 10 A.9.2.4 มการกาหนดระยะเวลาในการตรวจสอบและบารงรกษาอปกรณระบบเครอขายและมการมอบหมายใหฝายความม �นคงสารสนเทศเปนผรบผดชอบในการตรวจสอบ **รอดาเนนการยายเปน (VMware)


1 1 1 1(2) 1 A.9.1.2 มการควบคมการเขา-ออก โดยทาการยายอปกรณไวในท�มดชดยากตอการเขาถง A.9.1.4 มการเลอกพ�นท�ในการจดเกบระบบสารสนเทศท�ปลอดภยท�มปองกนตอภยคกคาม A.jj.k.jมการกาหนดหนาจอ login กอนมการเขาถงเคร�อง Server


1 2 1 1 2 A.s.t.t ม UPS ท�สามารถรองรบการใชงานกรณไฟฟาดบ


63




6. Server Log อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง

1 5 2 2 10 A.9.2.4 มการกาหนดระยะเวลาในการตรวจสอบและบารงรกษาอปกรณระบบเครอขายและมการมอบหมายใหฝายความม �นคงสารสนเทศเปนผรบผดชอบในการตรวจสอบ ในการเขามาดาเนนการของผใหบรการภายนอก


5 5 4 1(2) 5 A.9.1.2 มการควบคมการเขา-ออก โดยทาการยายอปกรณไวในท�มดชดยากตอการเขาถง A.9.1.4 มการเลอกพ�นท�ในการจดเกบระบบสารสนเทศท�ปลอดภยท�มปองกนตอภยคกคาม A.11.5.1มการกาหนดหนาจอ login กอนมการเขาถงเคร�อง Server


1 5 1 1 5 A.9.2.2 ม UPS ท�สามารถรองรบการใชงานกรณไฟฟาดบ


64




7. Mail Server อปกรณชารดเสยหายเน�องจากขาดการซอมบารงตามกาหนดระยะเวลาการซอมบารง

1 5 2 1(3) 5 A.9.2.4 มการกาหนดระยะเวลาในการตรวจสอบและบารงรกษาอปกรณระบบเครอขายและมการมอบหมายใหฝายความม �นคงสารสนเทศเปนผรบผดชอบในการตรวจสอบ physical เปน Virtual Server (VMware)






65




8. Intranet Server


1 5 1 1(3) 5 A.9.2.4 มการกาหนดระยะเวลาในการตรวจสอบและบารงรกษาอปกรณระบบเครอขายและมการมอบหมายใหฝายความม �นคงสารสนเทศเปนผรบผดชอบในการตรวจสอบ ในการเขามาดาเนนการของผใหบรการภายนอก





ทรพยากรระบบมไมเพยงพอ 1 5 1 2(5) 10 A.10.3.1 ดาเนนการเพ�มพ�นท�ในการใชงานในระบบรวมถงมการประชมการวางแผนความตองการในการใชงานทรพยากรสารสนเทศใหมความพอเหมาะตามความตองการ

66




9. Server - ระบบจดการ

พ�นท�


1 3 (5)

1 1(3) 3 A.9.2.4 มการกาหนดระยะเวลาในการตรวจสอบและบารงรกษาอปกรณระบบเครอขายและมการมอบหมายใหฝายความม �นคงสารสนเทศเปนผรบผดชอบในการตรวจสอบ






67




10. UPS For Server


2 5 1 1(3) 5 A.9.2.4 มการตรวจสอบอปกรณตรวจสอบแบตเตอร�และแรงดนไฟจากผใหบรการทก 3 เดอน

อปกรณไมสามารถกบเกบกระแสไฟไดเม�อเกดไฟฟาขดของ

2 5 1 2 10 A.9.2.4 มการกาหนดระยะเวลาตรวจสอบบารงรกษาอปกรณอยางสม�าเสมอและหาก UPS เสยกสามารถเปล�ยนไดภายใน 24 ช �วโมง

11. CCTV System


1 3 1 1 3 **อปกรณเพ�งทาการตดต �ง A.9.2.4 ควรมการกาหนดระยะเวลาบารงรกษา

อปกรณตดต �งไมครอบคลมพ�นท�ทาใหไมสามารถเหนพ�นท�ไดอยางชดเจน

2 3 1 4 12 A.9.2.1 การตดต �งใหครอบคลมพ�นท� โดยทาการจดซ�อและตดกลอง cctv เพ�มเตมใหครอบคลมพ�นท�และสามารถมองเหนภายในไดอยางชดเจน

12. Air Condition (A/C)

อปกรณไมทางานหรอทางานผดพลาดทาใหอณหภมรอนจนระบบไมสามารถทางานไดตามปกต

1 2 1 2 4 A.9.2.4 มระบบควบคมอณหภมท �งของอาคารและ มเจาหนาฝายอาคาร ท�ตรวจสอบอณหภมอยอยางสม�าเสมอ

13. Fire Protection System

อปกรณทางานผดพลาดและไมสามารถใชงานได 3 (5)

3 (5)

3 3 9 A.9.2.4 มเจาหนาท�ของอาคาร ตรวจสอบอยางสม�าเสมอ

68

2. การประเมนความเส�ยงซอฟตแวร Software





14. Operating System Software Window,

Linux


3 5 1 3 15 A.8.2.2, A.8.2.3, A.11.5.6 มการต �ง Session Timeout ใหกบระบบ รวมไปถงการสรางความตระหนกและใหความรแกพนกงานและมการตรวจสอบอยางสม�าเสมอ และใหมการเปล�ยน password ในระบบท�สาคญทกหน�งป


3 3 (5)

3 (5)

3 9 A.15.1.1,A.8.2.2 มการกาหนดหนาท�ความรบผดชอบของบคลากรใหปฏบตตามกฎหมาย ระเบยบ ขอบงคบ สรางความตระหนกและใชงานเฉพาะลขสทธ |ซอฟตแวรและไมใชซอฟตแวรท�ละเมดลขสทธ |


1 5 1 1 5 A.10.4.1 มการตดต �ง Antivirus และupdate patch ท�เก�ยวของกบความม �นคงปลอดภยสารสนเทศ, A.10.1.1 ควรมการกาหนดข �นตอนในการอพเดทหรอท�กระทาเปนลายลกษณอกษร

69





15. Package Software โปรแกรม

จดการพ�นท�


3 5 1 3 15 A.�.t.t, A.�.t.w มการต �ง Session Timeout ใหกบระบบ รวมไปถงการสรางความตระหนกและใหความรแกพนกงานและมการตรวจสอบ

อยางสม�าเสมอ A.jj.k.� มการเปล�ยน password ในระบบท�สาคญทกหน�งป


3 3 (5)

1 3 9 A.10.4.1, A.10.4.2 มการปดชองโหว และupdate patch ท�เก�ยวของกบความม �นคง

ปลอดภยสารสนเทศ เทาท�รองรบได

โปรแกรมใหผลลพธไมถกตองเน�องจากโปรแกรมทางานผดพลาด

1 5 1 1 5 เน�องจากโปรแกรมเปนระบบเกาจงไมสามารถอพเดทหรอแกไขขอผดพลาดได จงเนนการ Backup ขอมลไวเพ�อปองกนขอผดพลาด

70





16. Package Software - Program Web Server


2 5 2 3 15 A.8.2.2, A.8.2.3 มการต �ง Session Timeout ใหกบระบบ รวมไปถงการสรางความตระหนกและใหความรแกพนกงานและมการตรวจสอบอยางสม�าเสมอ A.11.5.6 มการเปล�ยน password ในระบบท�สาคญทกหน�งป

ซอฟตแวรใหผลลพธไมถกตองเน�องจากโปรแกรมทางานผดพลาดหรอโดนโจมต

2 4 2 3 12 A.10.4.1 มการตดตามการอพเดทตางๆของ package ไมวาจะเปน patch update หรอ Ver. Update เพ�อลดขอผดพลาดในการใชงาน


2 5 1 1 5 A.10.4.1, A.10.4.2 มการปดชองโหว และupdate patch ท�เก�ยวของกบความม �นคงปลอดภยสารสนเทศ

71




17. Package Software - Program Mail


3 5 1 3 15 A.8.2.2, A.8.2.3 มการต �ง Session Timeout ใหกบระบบ รวมไปถงการสรางความตระหนกและใหความรแกพนกงานและมการตรวจสอบอยางสม�าเสมอ A.11.5.6 มการเปล�ยน password ในระบบท�สาคญทกหน�งป

ขอมลภายในบรษทฯ ในเมลเซรฟเวอรถกเขาถงโดยไมไดรบอนญาตไมมการทบทวนทะเบยนผใชงานเมลเซรฟเวอร

3 5 4 1 5 ขอมล Email ถกจดเกบภายในเคร�อง Client ทาใหผใชงานตองตระหนกในการดแลรกษาขอมลของตนเอง

โปรแกรมทางานผดพลาดเน�องจากไมได update patch หรอ เกดจากความผดพลาดของโปรแกรม

3 3 (5)

4 3(5) 9 A.jv.z.j A.jv.z.2 มการ update patch ท�เก�ยวของเพ�อแกไขปญหาท�เกดข�นและหาแนวทางในการแกไขปญหาโดยสอบถามกบทางผเก�ยวของหรอผใหบรการ A.jv.j.j มการกาหนดข �นตอนในการอพเดทหรอท�กระทาเปนลายลกษณอกษร

72

3. การประเมนความเส�ยงขอมล Information ลาดบ รายการ




18. ขอมล Email, WebServer

การเขาถงโดยไมไดรบอนญาตเน�องจากการต �งรหสผานท�สามารถคาดเดาไดโดยงายหรอไมไดลอกหนาจอขณะเปดเมลท�งไว

5 1 1 2(3) 10 A.11.3.1 มนโยบายในการต �งรหสผานของระบบใหสามารถคาดเดาไดยาก A.8.2.2 มการสรางความตระหนกใหแกพนกงาน

การแฮก หรอขอมลอเมลถกนาไปเปดเผยหรอเผยแพรโดยไมไดรบอนญาตจากความผดพลาดในการสงหรอจงใจ

2 1 4 2(3) 8 A.8.2.2 A.10.8.1 A.10.8.2 A.10.8.4 มมาตรการในการควบคมหรอปองกนและสรางความตระหนกใหแกพนกงานอยางสม�าเสมอ และมขอบงคบในการนาขอมลความลบขององคกรไปเผยแพร และมบทลงโทษสาหรบผฝาฝนนาขอมลออกไปเผยแพรภายนอกอยางเครงครด

ขอมลสญหายเน�องจากไมมการสารองขอมล 2 2 1 1 2 มการเกบขอมล Email ไวท �งบน Mail Server

และเคร�องของผใชงานเอง และมการ Backup Mail Server ไวอยางสม�าเสมอ

73





19. ขอมลโปรแกรม

จดการพ�นท�

ขอมลสญหายหรอเสยหายเน�องจากขาดการสารองขอมล

2 5 1 1 5 A.jv.k.j มการสารองขอมลลงเทป Backup ทกวนเปนประจา และมการบนทกขอมลการ Backup เปนลายอกษรเสมอ


2 5 1 3 15

A.11 มการควบคมการเขาถงขอมล รวมถงการกาหนดสทธการเขาถงแตละโมดล เพ�อจากดไมใหมการเขาใชงานเกนความจาเปน และเปนการปองกนขอมลความลบของบรษทร �วไหลซ�งอาจจะกอใหเกดความเสยหายกบบรษทได


2 5 1 1 5 A.8.2.2 A.10.8.1 A.10.8.2 A.10.8.4 มมาตรการในการควบคมหรอปองกนและสรางความตระหนกใหแกพนกงานอยางสม�าเสมอ และมขอบงคบในการนาขอมลความลบขององคกรไปเผยแพร และมบทลงโทษสาหรบผฝาฝนนาขอมลออกไปเผยแพรภายนอกอยางเครงครด

74





ขอมลเอกสารท �วไป ของทาง

แผนก IT

เอกสารหายเน�องจากไมมการเกบใหมดชดเชนในต 2 3 1 4 12 A.7.2.2-ควรมการจดช �นเอกสารและแยกประเภทเอกสารเปนตๆ A.jv.�.zไมควรมการเกบเอกสารสาคญตางๆไวบนโตะ


2 5 1 3 15

A.11.2.2 -ควรมการควบคมการเขาถงขอมล รวมถงการกาหนดสทธการเขาถงแตละประเภทเอกสารเชนงบประมาณเปนตน


2 5 1 1 5 A.8.2.2 A.10.8.1 A.10.8.2 A.10.8.4 มมาตรการในการควบคมหรอปองกนและสรางความตระหนกใหแกพนกงานอยางสม�าเสมอ และมขอบงคบในการนาขอมลความลบขององคกรไปเผยแพรท �งในทางเอกสารและอเมล และมบทลงโทษสาหรบผฝาฝนนาขอมลออกไปเผยแพรภายนอกอยางเครงครด

75

4.ประเมนความเส�ยง บคคล Personal




20. หวหนาแผนก การทางานไมราบร�นหรอเกดมขอผดพลาดจนทาใหงานของบรษทไมสามารถดาเนนการตอได

1 4 1 1 4

ผลงานไมไดตามเปาหมายขององคกรท�วางไวและหวหนาแผนกไมสามารถจดการไดตามท�ไดรบ

มอบหมาย

2 5 4 1(3) 5 A.8.2.1 -มการประเมนประสทธภาพการทางานของหวหนาแผนก ปละ 1 คร �ง และมการรายงานผลการทางานทกเดอน

21. ผใชงาน

มการใชงานท�ลอแหลมและขาดความตระหนกในการใชงานเทคโนโลยสารสนเทศ

1 3 1 2(3) 6 A.8.2.2 A.8.2.3 สรางความตระหนกและใหความรแกพนกงานพรอมท �งมบทลงโทษกรณฝาฝน

การละเมดนโยบายความม �นคงปลอดภยเพราะขาดการตรวจสอบและลงโทษ

1 3 2 2(3) 6 A.8.2.2 A.8.2.3 สรางความตระหนกและใหความรแกพนกงานพรอมท �งมบทลงโทษกรณฝาฝน

76




22. ผดแลระบบ

ระบบสารสนเทศทางานไดอยางไมมประสทธภาพและระบบไมมความปลอดภยเน�องจากไมมทกษะในการปฏบตงานเน�องจากไมไดศกษาเพ�มเตมเฉพาะดาน

2 4 1 1(3) 4 A.8.2.1 มการประเมนประสทธภาพการทางานของหวหนาแผนก ปละ 1 คร �ง และมการรายงานผลการทางานทกเดอน

การละเมดนโยบายความม �นคงปลอดภยสารสนเทศ

2 5 1 2(3) 10 A.8.2.3 กาหนดบทลงโทษกรณไมปฎบตตาม

77

5.การประเมนความเส�ยงผใหบรการ Service




23. ผใหบรการ Internet

ผใหบรการไมสามรถใหบรการ internet ไดทาใหภายในองคกรไมสามารถดาเนนการตอไดและธรกจ

หยดชะงก

3 3 2 2 6 A.10.1.1 A.10.1.2 A.10.2.1 กาหนดมาตรการดานการใหบรการของหนวยงานภายนอกและม

การประเมนผลการใหบรการ -ใหมการใชงาน link สารองกรณผใหบรการไม

สามารถใหบรการได

24. ฝายอาคารสถานท�ของตก

เชา

การดาเนนธรกจหยดชะงกเน�องจากฝายอาคารสถานท�ของตกทาใหระบบไฟฟาขดของ

3 5 1 1(3) 5 A.10.1.1 A.10.1.2 กาหนดมาตรการดานการใหบรการของหนวยงานภายนอกและมการ

ประเมนผล

78

ตารางสรปจานวนความเส�ยงท�พบ (หลงการประเมนความเส�ยงรอบสอง)

ตารางท� 4.8 ตารางสรปจานวนความเส�ยงหลงการประเมนรอบสอง

ระดบความเส ยงท พบ ระดบสง ระดบกลาง ระดบต า รวมผล

จานวน 0 19 52 71

79

บทท� 5 สรปผลโครงงาน

โครงงานน�เปนงานสรางความม �นคงปลอดภยดานเทคโนโลยสารสนเทศตามกรอบมาตรฐาน ISO 27001/17799 โดยวเคราะหจากปญหาท�เกดข�นจรงภายในองคกร กรณศกษารวมท �งทาการบรหารจดการความเส�ยงเพ�อปองกนความเส�ยงท�อาจจะเกดข�นกบองคกรไดหรอทาใหความเส�ยงท�เกดข�นลดนอยลง 5.1 ผลการประเมนความเส�ยง

เม�อประเมนความเส�ยงกอนดาเนนการบรหารจดการความเส�ยงคร �งแรกแลวพบวาองคกรยงมจดออนจดบกพรองท�เปนความเส�ยงสงซ�งเม�อมการจดลาดบความเส�ยงแลวจะตองปฏบตตามแผนการบรหารจดการความเส�ยงดวยการจดใหมการควบคมแกความเส�ยงระดบสงและกลางกอนตามแผนการจดลาดบความเส�ยง ซ�งจะสามารถสรปไดตามรายการดงตอไปน�

ระดบความเส�ยง

ท�พบ ระดบสง ระดบกลาง ระดบต�า รวมผล

จานวน 3 40 28 71

รปท� 5.1 กราฟสรปจานวนความเส�ยงในการประเมนกอนดาเนนโครงการ

ระดบความเส ยง

สง

กลาง

ต า

80

5.2 ผลการประเมนความเส�ยงรอบสอง (หลงการจดการความเส�ยง)

หลงจากการประเมนรอบสองพบวาองคกรมแนวโนมท�ดข �นโดย เปรยบเทยบความเส�ยงกอนและหลงดาเนนโครงงาน ประเดนความเส�ยงในหลายหวขอไดรบการบรหารจดการใหมความเส�ยงลดลงซ�งอยในระดบต�า

ระดบความเส�ยงท�พบ

ระดบสง ระดบกลาง ระดบต�า รวมผล

จานวน 0 19 52 71

รปท� 5.2 กราฟสรปจานวนความเส�ยงในการประเมนหลงดาเนนโครงการ

ระดบสง

ระดบกลาง

ระดบต า

81

รปท� 5.3 กราฟเปรยบเทยบผลการประเมนหลงดาเนนการจดการความเส�ยง

สรปการดาเนนการหลงประเมนความเส�ยงโดยไดมการดาเนนการตามประเภทความเส�ยงท �ง 5 ประเภทอนไดแก

1. ทางดาน Hardware ไดมการดาเนนการตอสญญาบารงรกษาอปกรณตางครบถวนตามความสาคญของอปกรณ และมการปรบเปล�ยนอปกรณตางท�อยในสภาพท�พรอมใชงานและมการยายอปกรณท�มความสาคญตอการใชงานของระบบใหอยในท�ๆมความปลอดภยตอระบบเทคโนโลยสารสนเทศ

2. ทางดาน Software ไดมการเนนการอพเกรดเวอรช �นนของการใชงานใหรองรบการใชงานใหมและมการเพ�มการตดต �ง Patch Security เพ�มเตมเพ�อลดความเส�ยงในการใชงาน

3. ทางดาน Information ไดมการเพ�มเตมความปลอดภยในการใชงานขอมลเพ�มมากข�นเชนมการบงคบในการใหมการเปล�ยน Password ทกๆ 60 วน และมการเกบขอมลท�มความสาคญในท�ๆ มความปลอดภย

4. ทางดาน Personal ไดมการเพ�มเตมองคความรของผปฏบตงานโดยไดมการไปอบรมความรภายนอกเพ�มเตมเก�ยวกบเร�องการรกษาความม �นคงปลอดภยทางสารสนเทศ

5. ดาน Service มการกวดขนการปฏบตงานของผใหบรการอาคารเชนใหมการตรวจระบบปรบอากาศ รวมถงระบบแอเปนประจาเพ�อลดความเส�ยงทางดานการใชงาน

6. นโยบายความม �นคงปลอดภยขององคกรในโครงงานไดมการทบทวนเพ�อจดทาและปรบปรงนโยบายความม �นคงปลอดภยเพ�อใหระบบเครอขายขององคกรมความปลอดภยมากย�งข�นและเพ�มประสทธภาพในการทางานของระบบเครอขายสารสนเทศ

0

10

20

30

40

50

60

จานวน

82

โดยสรปจากผลการประเมนความความเส�ยงท�พบทาใหเราทราบถงสถานะความเส�ยงท�เกดข�นกบทางองคกรศกษา วายงคงมความเส�ยงอยนะระดบปลานกลางท �งเร�องของนโยบายความม �นคงปลอดภยในระบบสารสนเทศ และ การบรหารจดการความเส�ยงในมมตางๆ ทาใหเราทราบถงปญหาท�กอใหเกดความเส�ยง ทาใหเราสามารถหาวธการปองกนความเส�ยงท�อาจจะเกดข�นได หรอลดความเส�ยงใหเหลอนอยท�สดหรอไมมความเส�ยงเลย

ท �งน�มการนาเสนอความเส�ยงเพ�อใหองคกรสามารถเลอกควบคมความเส�ยงโดยมการรานโยบายการรกษาความม �นคงปลอดภยของระบบเทคโนโลยสารสนเทศซ�งองคกรไดนานโยบายท�รางไปประกาศใชงาน 5.3 ขอเสนอแนะ

เน�องจากเทคโนโลยท�พฒนาอยตลอดเวลา ฉะน �นนโยบายการรกษาความปลอดภยของเทคโนโลยสารสนเทศ และการบรหารจดการความเส�ยง จงมความจาเปนท�จะตองมรการทบทวน นโยบายและแผนงานตางๆ อยางสม�าเสมอเพ�อใหเหมาะสมกบเหมาะสมตอการงานใชงานและสภาวะการปจจบน

84

เอกสารอางอง

[1] ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต, มาตรฐานการรกษาความม %นคง

ปลอดภย ในการประกอบธรกรรมทางอเลกทรอนกส ( เวอรช %น 2.5 ) , 2550

[2] International Standard ISO/IEC 27001 First edition 2005-10-15

[3] ISO27k ISMS implementation and Certification process Version 3 January 2009

[4] จตชย แพงจนทร, Master in Security, 2550

[5] ศนยประสานงานการรกษาความปลอดภยคอมพวเตอรประเทศไทย ภายใตศนยเทคโนโลย

อเลกทรอนกสและคอมพวเตอรแหงชาต,รางแนวทางปฏบตสาหรบการรกษาความม %นคง

ปลอดภยสารสนเทศ,2552,

http://www.thaicert.nectec.or.th/paper/basic/procedure_ISO17799-2005.pdf

85

ภาคผนวก ก.

นโยบายดานความม �นคงปลอดภยสารสนเทศ

บรษท N.C.C. Mangement & Development Co.Ltd.,

(ฉบบ 1.0)

86

สารบญ

เร�อง หนา

สารบญ..................................................................................................................................... 86 วตถประสงค ............................................................................................................................. 87 นยาม ....................................................................................................................................... 87 Security Policy ...................................................................................................................... 88

87

วตถประสงค เพ�อสรางนโยบายในการบรหารความม �นคงปลอดภยทางดานเทคโนโลยสารสนเทศ

นยาม ผบรหาร หมายถง กรรมการผจดการบรษท ทาหนาท�ในการจดบรหารจดการดานความ

ม �นคงปลอดภยสารสนเทศ โดยมหนาท�ในการบรหารจดการดานความม �นคงปลอดภยท�

เก�ยวของกบการดาเนนงานใน ISMS (Information Security Management System) ของ

บรษท

หวหนาทมระดบสง หมายถง ผดารงตาแหนง HR Manager และ Engineering

Manager ของบรษท

Manager ทมตางๆ คอ Manger HR, Management

พนกงาน หมายถง พนกงาน บรษท

ทมผปฏบตงาน หมายถง พนกงาน สวนตางๆของบรษท

ผใหบรการภายนอก หมายถง ผใหบรการดานเทคโนโลยสารสนเทศของบรษท

Human Resource Officer หมายถง พนกงานฝายบคคลท�ทาหนาท�ในการจดการ

บคลากรภายในบรษท

ตวแทนประสานงานทมผปฏบตงาน คอผท�ทาหนาประสานงานระหวางทมงานและ

ผจดทา Security Policy เม�อเปล�ยนแปลง Security Policy ตวแทนประสานงานทมผปฏบตงาน

ตองทาหนาท� เชน แจงใหทมผปฏบตงานทกทานไดรบทราบและช\แจงทาความเขาใจ Security

Policy

Facility หมายถง แอร, เคร�อง UPS, เคร�อง Generation, อปกรณควบคมความช\น,

เคร�องจดน\า, เคร�องตรวจจบควนไฟ

88

A.1 Security Policy (การทบทวนโดยผบรหาร) 1. ผบรหาร และหวหนาทมระดบสง รวมจดต \ง Security Policy ข\นใหสอดคลองตามความ

ตองการทางธรกจ, กฎหมายและกฎระเบยบของบรษท

2. ผบรหาร ประกาศใชงาน Security Policy ใชงานภายในบรษท

3. พนกงานและผท�เก�ยวของปฏบตตาม Security Policy พรอมท \งเซนตรบทราบและ

ปฏบตตาม Security Policy อยางเปนทางการ

4. ผบรหาร และหวหนาทมระดบสง ดาเนนการสอบทาน ทบทวน และปรบปรง Security

Policy ตามรอบระยะเวลาหรอเม�อมการเปล�ยนแปลงโครงสรางบรษท ท�เปนสาระสาคญ

ตอการดาเนนงานท�มผลตอบรษท โดยพจารณาจาก

• ผลจากการรายงานตรวจสอบภายใน ( Internal Audit)

• ผลจาการปฏบตงานของพนกงาน

• ผลจากการจดทาแผนขอใหแกไขหรอปองกน

A.2 Organization of information security (ภาพรวมของบรษทในการสรางความม <นคงปลอดภย)

1. ผบรหาร และ หวหนาทมระดบสง ใหการสนบสนนกจกรรมดานความม �นคงปลอดภยให

บรษท เชน

• ใหงบประมาณสนบสนนเม�อมการปรบเปล�ยนดานความม �นคงปลอดภยภายใน

บรษท

• สนบสนนใหมการปฏบตงานใหเปนไปตามเปาหมายดานความม �นคงปลอดภย

• จดใหมการทบทวน Security Policy ตามรอบระยะเวลาหรอเม�อมการเปล�ยนแปลง

โครงสรางบรษท ท�เปนสาระสาคญตอการดาเนนงานท�มผลตอบรษท

• กาหนดบทบาทหนาท�ท�เก�ยวของกบความม �นคงปลอดภยดานระบบสารสนเทศใน

การปฏบตงาน

89

2. ทมผปฏบตงาน สงตวแทนการประสานงานดานความม �นคงปลอดภยเพ�อใหเขารวมการ

บรหารจดการความม �นคงรวมกบ ผบรหาร และ หวหนาทมระดบสง

3. HR Manager กาหนดบทบาทหนาท�ดานความม �นคงปลอดภยใหทมผปฏบตงานเขาไป

ใน Job description (JD) โดยมการเซนตรบทราบ Job description และ AUP

(Acceptance User Policy) กอนการปฏบตงาน

4. หามพนกงานนาอปกรณสวนตว ประเภท External Harddisk, โนตบค, Handhall

(iphon) หรอ คอมพวเตอรสวนบคคล ท�ไมตดต \งโปรแกรมปองกนไวรส (Anti-virus) เขา

มาเช�อมตอเขาระบบในบรษท

5. ผใหบรการภายนอกตองลงนามในสญญา NDA เม�อประเมนความเส�ยงผใหบรการ

ภายนอกแลวอยในเกณฑความเส�ยงกลางและสง กอนเร�มปฏบตงาน

A.3 Asset Management (การจดการทรพยสนสารสนเทศ) 1. Admin Manager จดทาบญชทรพยสนสารสนเทศตามเอกสาร Standard

Organization ของบรษท

2. ทรพยสนตางๆ ตองมการเขยนเง�อนไขการใชงานดวย (AUP: Acceptable use policy)

ผรบผดชอบ/เจาของสารสนเทศ จะตองปฏบตตามเง�อนไขของทรพยสนน \น (อเมล

ดงกลาวเปนอเมลของบรษทหามนาไปใชงานสวนตวเปนอนขาด หามตดต \ง Software

ท�ไมไดรบอนญาตลงในเคร�องคอมพวเตอรหรอโนตบกของบรษท)

3. เจาของขอมลผรบผดชอบ/เจาของสารสนเทศ ตองกาหนดจดการขอมลสารสนเทศตาม

เอกสาร Standard Organization ของบรษท

A.4 Human Resource (การจดการบรหารบคลากร) 1. HR Manager จดทา Job description ของตามตาแหนงท�ท�ตองการรบสมครงาน โดย

สอบถามความตองการในตาแหนงงานน \นกบหวหนาทมผปฏบตงาน

2. กอนการจางงานพนกงาน

2.1. พนกงานใหมตองสงรายละเอยดดงตอไปน\ใหกบ HR Officer

• ขอมลประวตการทางาน

90

• ขอมลประวตการศกษา

• ขอมลประวตอาชญากรรม

2.2. พนกงานใหม ตองลงนามในสญญาการจางงานกบ HR Officer

3. ระหวางการจางงาน

3.1. HR Manager จดการอบรมใหกบพนกงานใหม ดงน\

• อบรม Security Awareness ซ�งเก�ยวกบพฤตกรรมในการทางานดานความ

ม �นคงปลอดภย เชน ตดบตรพนกงานเม�อเขาทางานท�บรษท, หามตดต \ง

Software ดวยตนเอง เปนตน

• อบรม Security Policy ในสวนท�เก�ยวของกบตน

• อบรมการปฏบตงานตาม Job description หากการปฏบตงานดงกลาวตองใช

ผเช�ยวชาญท�ชานาญในการปฏบตงานอาจจางผใหบรการภายนอกเฉพาะดาน

เขาจดการอบรมใหกบพนกงานบรษท ได

3.2. เม�อพนกงานไมปฏบตตาม Security Policy และกอใหเกดความเสยหายหรออาจ

เกดความเสยหายกบบรษท HR Manager แจงใหหวหนาทมผปฏบตงานกรณ

ละเมดเง�อนไขมบทลงโทษตามเอกสาร Standard Organization ของบรษท

4. เม�อยกเลกการจางงาน

4.1. หวหนาทมผปฏบตงาน รบทราบการเปล�ยนแปลง การถอดถอน การโยกยาย หรอ

การลาออก ของพนกงานในสวนงานท�ดแลรบผดชอบ

4.2. หวหนาทมผปฏบตงาน แจงให HR Manager ไดรบทราบ

4.3. HR Manager กาหนดสถานะใหมใหพนกงาน เชน เปล�ยนแปลง ถอดถอน โยกยาย

หรอลาออก เปนตน ลงในระบบงานบคคล กรณลาออกตองมการลงนามใบลาออก

4.4. พนกงานตองคนทรพยสนของบรษท ใหกบ HR Manager ท�อยในการครอบครอง

91

4.5. ในกรณลาออก พนกงานตองคนสทธการเขาถงระบบ (Username และ Password)

ท�ไดรบในตาแหนงท�ปฏบตงาน ภายในวนท�ผลการอนมต

4.6. ในกรณเปล�ยนแปลง ถอดถอน โยกยาย หวหนาทมผปฏบตงานใหสทธการเขาถง

ระบบกบพนกงานอยางเหมาะสมกบตาแหนงท�ปฏบตงานใหม

A.5 Physical Security (การรกษาความม <นคงปลอดภยทางกายภาพและ Facility) 1. เม�อมผมาตดตองานกบบรษท เจาหนาท�อาคารหรอ รปภ. ตองแจงใหบรษท ทราบ

รายละเอยดผเขาตดตอโดยแลกบตรกอนเขาตกของบรษท และรอในพ\นท�ท�จดเตรยม

สาหรบผตดตองานจากภายนอกบรษท

2. Technician Engineering แบงพ\นท�บรษท และมการควบคมการเขาถงอยางม �นคง

ปลอดภยตามเอกสาร Standard Organization ของบรษท

3. Technician Engineering จดพ\นท�สงมอบงานใหอยในพ\นท� Public Area หากตองเขา

ตดต \งอปกรณในพ\นท� Secure Area ตองทมผปฏบตงานตดตามการตดต \งจนกระท �งแลว

เสรจและออกจาก Secure Area

4. พนกงานตองลงช�อกอนเขาปฏบตงานในพ\นท�บรษทและตดบตรพนกงานกอนเขา

ปฏบตงานนอกตก

5. ผบรหาร กาหนดใหมระบบ Facility เพ�อรองรบหองคอมพวเตอร และซอมบารงอปกรณ

ตามรอบระยะเวลา

6. Technician Engineering จดใหมการขออนญาตเขาถงพ\นท�, จดวาง Rack ใหม �นคง, ปด

LOG Rack ในหองคอมพวเตอร เปนตน

7. Human Resource Officer เฝาผมาตดตอท�เขา-ออก พ\นท�สานกงานและ Human Re-

source Officer เซนตรบรองการเขา-ออกของผมาตดตอ เพ�อนาไปยนใหกบ เจาหนาท�

อาคารหรอ รปภ. กอนออกจากตก

8. พนกงานหรอผท�เขาถงพ\นท�ท�สาคญตองปฏบตตามนโยบายดานความม �นคงปลอดภย

เม�อเขาถงโซนพ\นท�สาคญ ตามเอกสาร Standard Organization ของบรษท

9. พนกงานตองซอมหนไฟปละ y คร \ง รวมกบฝายอาคารสถานท�

92

A.6 Communication and Operations management 1. หวหนาทมผปฏบตงานตองจดทาเอกสารประกอบการปฏบตงาน (System Document)

ของ Facility หรอ Application ท�สาคญ

2. Technical Engineering ตองดาเนนการตอเคร�องท�ใหบรการและเคร�องท�พฒนาดงน\

2.1ตองแยกเคร�องพฒนาระบบออกจากเคร�องใหบรการ ทาง Physical หรอทาง Logical

(Visual Machine)

2.2ตองไมสามารถใช User name ในเคร�องพฒนาระบบกบเคร�องใหบรการ

3. System Administrator (Capacity Management) ตองหาเคร�องมอ (Software Monitoring)

ในการ Monitoring CUP, Hard disk และ Memory ของระบบโดยทมผปฏบตงาน และ

วเคราะหทรพยากรเทยบกบการเจรญเตบโตของธรกจของบรษทฯ ยอนหลง เพ�อสามารถ

ทาแผนขยายทรพยากร (Capacity Planning ดจากการใชงานเกนระดบท�ผบรหารยอมรบ

หรอไม เชน Memory ถกใชไปแลว 90% ของทรพยากรท \งหมด) ท�มอยใหเพยงพอกบการ

เตบโตในปตอไป

4. Mobile code และ Malicious Code

4.1. พนกงานตองปฏบตดงน\

• หาม Run โปรแกรม Mobile code (เชน Control ActiveX และ Java Script)

• หามพนกงานตดต \งโปรแกรมดวยตนเอง

• ตองอบรม Security Awareness Training

• อพเดทโปรแกรมปองกนไวรสอยางสม�าเสมอ

4.2. Technician Engineering ตองรวบรวมขาวสารเร�อง Virus Update และแจงให

พนกงานไดรบทราบ และจดทา White list ของเวบไซตท�สามารถประมวลผล Mo-

bile code ได

5. Technical Engineering ตองกาหนดใหสารองขอมลอยางนอยตองมรายละเอยดดงน\

5.1. ตองกาหนดขอมลท�ตองมการสารอง

93

5.2. กาหนดวธการสารองขอมล (Full Difference Inclement)

5.3. การสารองขอมลตองทาให Permission ของไฟลเหมอนไฟลตนฉบบ

5.4. เกบขอมลสารองไปไวนอกสถานท�

6. System Administrator ตองกาหนดการปองกนทางเครอขายใหมความม �นคงปลอดภย

ดงตอไปน\ (ตามเอกสาร Standard Organization ของบรษท)

6.1. ควบคมการทางานจากระยะไกล

6.2. เฝาระวง Network Performance ของบรษท

6.3. จดเกบและวเคราะห Log ของอปกรณเครอขาย

6.4. กาหนดวธการปลอดภยในการสงผานขอมลท�แลกเปล�ยน

7. พนกงานท�ไดรบการอนญาตใหใชงานอปกรณของบรษทไปใชยงนอกสถานท�ตอง

ระมดระวงการใชงานอปกรณใหโปรดภยเสมอนเปนทรพยสนของตนเอง (เชน NB หาม

วางไวกระบะหลงรถ เปนตน)

8. พนกงานการใชงานอเมลตองใหเปนไปตามกฎหมาย และหามนา Email Account ของ

บรษทไปใชในกจกรรมสวนตวของพนกงาน

9. พนกงานหามนาขอมลทางบรษทไปเปดเผยใหคนภายนอกทราบ

10. System Administrator ตองตรวจสอบขอมลวาเปนขอมลระดบช \นเผยแพรไดของบรษท

พรอมท \งประกาศนโยบายการเขาถงขอมลหรอนาไปใชงานของบรษทใหผท�เขาถงหนา

เวบไดทราบ

11. System Administrator ตองมการบรหารจดการ Log ของบรษท

94

A.7 Access Control 1. พนกงาน รองขอการจดทาบญชผเขาถงระบบตอง

1.1. หวหนาทมระดบสง จดทาทะเบยนการเขาถงใหพนกงานบรษทฯ

1.2. หวหนาทมระดบสง กาหนดสทธการเขาถงระบบกบพนกงานตามสทธท�สามารถ

ปฏบตงานได (Need to Known) และตาม Job description

2. หวหนาทมผปฏบตงาน ขออนมตจาก ผบรหาร หรอหวหนาทมระดบสง ตามสทธท�

กาหนดใหตามบญชผเขาถงระบบ

3. หวหนาทมผปฏบตงาน การต \งคาการเขาถงระบบตามท�ขออนมตใหพนกงานน \นๆ

4. หวหนาทมผปฏบตงาน สอบทานการเขาถงของพนกงานตามบญชผเขาถงระบบ (Pre

Audit Review) ปละ 1 คร \ง หรอเม�อมการเปล�ยนแปลงโครงสรางสาคญในการ

บรหารงานในบรษท หากพบพนกงานไมไดรบสทธในการเขาถงแลว ใหระงบสทธการ

เขาถงระบบของพนกงานน \นกอน และขอรองขอการถอดถอนไปยงทนท ผบรหาร หรอ

หวหนาทมระดบสง

A.8 Information Security Incident Management 1. พนกงานเม�อพบ Security Incident ข\นตองแจงเหตการณไปยง IT HelpDesk โดยโทร

3681 และแจงอเมล [email protected] โดยเหตการณ Security Incident ยกตวอยางดงน\

• ตดไวรส

• ตรวจพบการ Hack จากภายนอก

• มการLOGอนเวลาท�ผดปกต

• มการเดารหสผานท�หนาเวบ

• การไมปฏบตตามนโยบายของบรษท

2. Admin Officer ตองมการตรวจสอบLOGและวเคราะหเหตการณท�เกดข\นโดยการใช

Tool Admin Officer ตรวจสอบหนา Input validation ของหนาเวบไซต

3. พนกงานท�เก�ยวของดาน IT ตองฝกซอมในการรบเม�อกบเหตการณ Security Incident

(Penetration Testing หรอ Vulnerability Scan โดยผใหบรการภายนอก ซ�ง Admin Of-

ficer อาจทราบเหตการณไดโดยการจดทาการแจงเตอนการเขาถงโดยไมไดรบอนญาต

ได ) ปละ 2 คร \ง

95

A.9 Business Continuity Management 1. หวหนาสวนงาน Audit และหวหนาสวนงาน Technical Engineering ตองประเมนความ

เส�ยงรวมกบ Special Consultant ตอเหตการณท�สามารถเกดข\น 5 ประเภทตอบรษทดงน\

• เหตการณธรรมชาต เชน ไฟไหม, น\าทวม เปนตน

• เหตการณกอการราย เชน การวางระเบด เปนตน

• เหตการณโรคระบาด เชน ไขหวดนก เปนตน

• เหตการณจากมนษย เชน การชมนม ตาง ๆ (เชน การประทวง) เปนตน

เพ�อดวาเหตการณดงกลาวขางตนมผลกระทบและโอกาสเกดตอบรษทหรอไม ลงไปใน

แผนการสรางความตอเน�องทางธรกจของบรษท (BCP Plan)

2. Special Consultant จดทา BCP Plan โดยเลอกเหตการณท�มความเส�ยงสงใหจดทา

กอน โดยแผน BCP Plan มรายละเอยดตามเอกสาร Standard Organization

• BCP Plan กาหนดเหตการณความเส�ยงท�เกด

• วเคราะหเหตการณท�สามารถเกดข\นกบ Business ได

• กาหนด Critical Business Function (CBF) ใครตองไปอยท� DR กอน

• กาหนด Minimum (อปกรณพ\นฐานท�สามารถใชท� DR เพ�อใหธรกจ

ดาเนนการตอเน�องไปได)

• ควรทา BCP เปนรปแบบของ Service ตาม ITIL ถาเก�ยวของกบ Service

ไหนกใหหยบเลมของ Service น \นมาใชงาน

• เลอกวาจะทาไซตสารองประเภทใด Cold Warm Hot (ซ�งตองมการเซนต

Service Agreement รวมกนในการใชงาน)

• กาหนดการ Call tree

96

A.10 Compliance 1. Admin Office ตองจดเกบ LOGตาม พรบ. การเกบ LOG 90 วน

2. พนกงาน หามใชซอฟตแวรท�ผดลขสทธ � และในการอบรมสรางความตระหนกประจาปตองม

เน\อหาเก�ยวกบการกระทาผดเร�องการใชซอฟตแวรผดลขสทธ �ดวย

3. Admin Office สอบทานทกๆ 6 เดอนวามการใชงานซอฟตแวรท�มลขสทธ �หรอไม (Tech-

nical Compliance Checking)

4. บรษทตองจดเกบขอมลสารสนเทศหรอเกบขอมลทางบญชเปนระยะเวลา 10 ป หรอเกบ

LOGการเขาถงขอมลจากไฟลเซรฟเวอรกลางเปนระยะเวลา 90 วน

5. Manger HR ใหพนกงานสญญารกษาความลบ NDA (อางองจากเอกสาร Standard Or-

ganization) ทกคน สวนงาน Audit ตรวจเชครายละเอยดสญญาวาเปนไปตามท�ลงนามไว

หรอไม

6. พนกงานท �วไปตองรบทราบการหลกการปฏบตงานท �วไปภายในบรษทหรอมการลงนาม

เอกสาร AUP (อางองจากเอกสาร Standard Organization) กอนเขาปฏบตงาน และ

ปฏบตตาม AUP ท�ไดลงนาม รบทราบและปฏบตตาม

7. ขอมลอเมลของพนกงานถอวาเปนสมบตของบรษทใชเฉพาะการดาเนนงานของบรษท

เทาน \น ไมอนญาตใหนาไปใชงานสวนตว

97

ภาคผนวก ข.

เอกสารระบการปฏบตตามหลกการควบคมทางดานความม�นคงปลอดภยของมาตรฐาน ISO 27001

98

5. นโยบายความม นคงปลอดภย (Security policy)

ลาดบ ประเดนควบคม นามาใช

แกไขความเส�ยง

นามาใช ตามหลกปฏบต

ไมนามาใช หมายเหต

5.1 นโยบายความม นคงปลอดภยสาหรบสารสนเทศ (Information security policy) A.5.1.1

เอกสารนโยบายความม �นคงปลอดภยท�เปนลายลกษณอกษร

√

เร�มใหมการจดทานโยบาย และแนวทางปฏบตในการรกษาความม �นคงปลอดภยสารสนเทศเปนลายลกษณอกษร

A.5.1.2

การทบทวนนโยบายความม �นคงปลอดภย

√ หลงจากจดทานโยบายวางแผนใหมการทบทวนทกป

99

A.6 โครงสรางทางดานความม นคงปลอดภยสาหรบองคกร (Organization of information security)





6.1 โครงสรางทางดานความม นคงปลอดภยภายในองคกร (Internal organization) A.6.1.1

การใหความสาคญของผบรหารและการกาหนดใหมการบรหารจดการดานความม �นคงปลอดภย

√

เร�มใหความสาคญและใหการสนบสนนตอการบรหารจดการทางดานความม �นคงปลอดภย

A.6.1.2

การประสานงานความม �นคงปลอดภยภายในองคกร √

กาหนดหนาท�ความรบผดชอบเพ�อประสานงานหรอรวมมอกนในการสรางความม �นคงปลอดภยและจดต 7งทมงานเพ�อเปนผประสานงานดานความม �นคงปลอดภย

A.6.1.3

การกาหนดหนาท�ความรบผดชอบทางดานความม �นคงปลอดภย

√

มกาหนดหนาท�ความรบผดชอบของพนกงานในการดาเนนงานทางดานความม �นคงปลอดภยสาหรบสารสนเทศขององคกร

100

-






กระบวนการในการอนมตการใชงานอปกรณประมวลผลสารสนเทศ

√

มกระบวนการตรวจสอบและอนมตการใชงานอปกรณใหมในองคกรแตไมมเอกสารในการอนมตใหใชงานอยางเปนลายลกษณอกษร/ เอกสารขออนมตการใชงานสารสนเทศ

A.6.1.5

การลงนามมใหเปดเผยความลบขององคกร √

มการช7แจงขอตกลงไมเปดเผยความลบสาหรบพนกงานท�เขาใหมและการใชบรการหนวยงานภายนอก / ตองมการจดทาเอกสารไมเปดเผยความลบอยเดม

A.6.1.6

การมรายช�อและขอมลสาหรบการตดตอกบหนวยงานอ�น

√

ผบรหาร ตองมรายช�อและขอมลสาหรบตดตอกบหนวยงานอ�นๆ เชน สานกงานตารวจแหงชาต ผใหบรการอนเทอรเนต ตางๆกรณเกดปญหาในระบบ

101

-






การมรายช�อและขอมลสาหรบการตดตอกบกลมท�มความสนใจเปนพเศษในบางเร�อง

√

มการแลกเปล�ยนและรบขาวสารจากดานความม �นคงปลอดภยทางสารสนเทศอยางสม�าเสมอ / เอกสารหรอ email การแจงอพเดทหรอ ขาวเก�ยวกบความปลอดภยทางสารสนเทศ

A.6.1.8

การทบทวนดานความม �นคงปลอดภยสารสนเทศโดยผตรวจสอบอสระ

√

มกระบวนการตรวจสอบภายในบางเพ�อทบทวนตรวจสอบความม �นคงปลอดภยภายในองคกร แตไมมการตรวจสอบจากผตรวจสอบจากภายนอก

102





6.2 โครงสรางทางดานความม นคงปลอดภยท เก ยวของกบลกคาหรอหนวยงานภายนอก (External parties) A.6.2.1

การประเมนความเส�ยงของการเขาถงสารสนเทศโดยหนวยงานภายนอก

√

องคกรยงไมมนโยบายใหมการตรวจสอบและประเมนความเส�ยงขององคกรโดยหนวยงานภายนอก

A.6.2.2

การระบขอกาหนดสาหรบลกคาหรอผใชบรการท�เก�ยวของกบความม �นคงปลอดภยสาหรบสารสนเทศขององคกร

√

มการจดทารายช�อผใชงานบรการและมการจดทาขอตกลงการใหบรการท�ถกตองครบถวน /เอกสารายละเอยดการใหบรการ

A.6.2.3

การระบและจดทาขอกาหนดสาหรบหนวยงานภายนอกท�เก�ยวของกบความม �นคงปลอดภยสาหรบสารสนเทศขององคกร

√

มการจดทารายช�อผใหบรการตางๆ เชน ผใหบรการ internet ผใหบรการดแลตางๆ /เอกสารขอตกลงสญญา

103

A7. การบรหารจดการทรพยสนขององคกร (Asset management)





7.1 หนาท ความรบผดชอบตอทรพยสนขององคกร (Responsibility for assets) A.7.1.1

การจดแบงหมดหมและจดทาบญชรายการทรพยสน

√

มการจดทาบนทกรายการทรพยสนทกช7นท�ซ7อมาใหม /เอกสารบญชทรพยสน

A.7.1.2

การระบผเปนเจาของทรพยสน

√

มการระบผดแลทรพยสน หรอแผนกท�เปนผดแลทรพยสน / มการตด Label ลงบนทรพยสน

A.7.1.3

การระบและจดทาขอกาหนดสาหรบหนวยงานภายนอกท�เก�ยวของกบความม �นคงปลอดภยสาหรบสารสนเทศขององคกร

√

มการจดทารายช�อผใหบรการตางๆ เชน ผใหบรการ internet ผใหบรการดแลตางๆ /เอกสารขอตกลง

-

104





7.2 การจดหมวดหมสารสนเทศ (Information classification) A.7.2.1

การจดทาแนวทางในการแบงลาดบช 7นของขอมล

√

ยอมรบความเส�ยง แตมการวางแผนจะจดทา ในป ตอไป

A.7.2.2

การจดทาปายช�อบงช7สาหรบทรพยสนสารสนเทศ

√

มการระบผดแลทรพยสน หรอแผนกท�เปนผดแลทรพยสนและหาท�จดเกบเปนสดสวน / มการตด Label ลงบนทรพยสน

105

A.8. ความม �นคงปลอดภยท�เก�ยวของกบบคลากร (Human resources security)-





8.1 การสรางความม นคงปลอดภยกอนการจางงาน (Prior to employment) A.8.1.1

การกาหนดหนาท�ความรบผดชอบทางดานความม �นคงปลอดภย

√

เร�มมการกาหนดหนาท�ใหกบคณะทางานและพนกงานในดานความม �นคงปลอดภยสารสนเทศอยางเปนลายลกษณอกษร / เอกสารรายงานการประชม

A.8.1.2

การตรวจสอบคณสมบตของผสมคร

√ มการกาหนดคณสมบตของผสมครเขาทางานโดยตองมพ7นฐานและประสบการณท�เหมาะสม

A.8.1.3

การใชงานทรพยสนท�เหมาะสม √

ตองมการกาหนด การอนญาตใชงานกบผเก�ยวของกบสารสนเทศอยางเหมาะสมเพ�อปองกนความเสยหายอนเกดจากความรเทา ไมถงการหรอไมมความรในการใชงาน

-

106





8.2 การสรางความม นคงปลอดภยในระหวางการจางงาน (During employment) A.8.2.1

หนาท�ในการบรหารจดการทางดานความม �นคงปลอดภย

√

เร�มมการกากบดแลใหพนกงานใหความสาคญในการรกษาความม �นคงปลอดภยในการใชงานระบบสารสนเทศ

A.8.2.2

การสรางความตระหนก การใหความร และการอบรมดานความม �นคงปลอดภยใหแกพนกงาน

√

มการสรางความตระหนกในการการสรางความม �นคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ /เร�มทาการอบรม

A.8.2.3

กระบวนการทางวนยเพ�อลงโทษ

√ มการเพ�มกฎในการละเมดความม �นคงปลอดภยอยางสม�าเสมอและมมาตรการตกเตอนและลงโทษทางวนย

-

107





8.3 การสNนสดหรอการเปล ยนการจางงาน (Termination or change of employment) A.8.3.1

การส7นสดหรอการเปล�ยนการจางงาน

√

มกระบวนการในการแจงการส7นสภาพความเปนพนกงาน / แบบฟอรมการลาออก

A.8.3.2

การคนทรพยสนขององคกร

√

พนกงานท�ส7นสดการจางงานคนทรพยสนขององคกร เม�อส7นสดการจางงาน / แบบฟอรมการคนทรพยสน

A.8.3.3

การถอดถอนสทธในการเขาถง

√

กาหนดหนาท�ความรบผดชอบในการการถอดถอนสทธในการเขาถงสารสนเทศและทรพยสนสารสนเทศใหผท�ดแลทรพยสน ท�เก�ยวของ / แบบฟอรมการลาออก

108

A.9. การสรางความม �นคงปลอดภยทางกายภาพและส�งแวดลอม (Physical and environmental security)





9.1 บรเวณท ตองมการรกษาความม นคงปลอดภย (Secure areas) A.9.1.1

การจดทาบรเวณลอมรอบ

√

มการเลอกพ7นท�ในการจดเกบระบบสารสนเทศท�ปลอดภย มบรเวณลอมรอบ, ประตทางเขาออก และพนกงานรกษาความปลอดภย

A.9.1.2

การนามาประยกตใชการเขา-ออก ศนยคอมพวเตอร แยกพ7นท�การตดตอจากบคคลภายนอก

√

มการนามาประยกตใชการเขาออกดวยบตร มการตรวจสอบการเขาออก

A.9.1.3

การรกษาความม �นคงปลอดภยสาหรบสานกงาน หองทางาน และทรพยสนอ�นๆ

√ มการจดสรรพ7นท�ในการจดเกบระบบสารสนเทศใหมความปลอดภย

A.9.1.4

การปองกนภยคกคามจากภายนอกและส�งแวดลอม √

มการเลอกพ7นท�ในการจดเกบระบบสารสนเทศท�ปลอดภยท�มปองกนตอภยคกคามตางๆ

109

A.9.1.5

การปฏบตงานในพ7นท�ท�ตองรกษาความม �นคงปลอดภย √

มแนวทางปฏบตงานสาหรบพ7นท�ในการจดเกบระบบสารสนเทศแยกออกจาสวนอ�น

A.9.1.6

การจดบรเวณสาหรบการเขาถง หรอการสงมอบผลตภณฑโดยบคคลภายนอก

√

มการจดบรเวณสาหรบการเขาถง หรอการสงมอบโดยบคคลภายนอก

-

110





9.2 ความม �นคงปลอดภยของอปกรณ (Equipment security) A.9.2.1

การจดวางและการปองกนอปกรณ

√

มการเลอกพ7นท�ในการจดเกบระบบสารสนเทศท�ปลอดภย มบรเวณลอมรอบ, ประตทางเขาออก และพนกงานรกษาความปลอดภย ,มอปกรณปองกนไฟกระชาก

A.9.2.2

ระบบและอปกรณสนบสนนการทางาน

√ มการเลอกพ7นท�ในการจดเกบระบบสารสนเทศโดยมระบบและอปกรณสนบสนนตางๆ

A.9.2.3

การเดนสายไฟ สายส�อสาร และสายเคเบ7ลอ�นๆ √

มการเลอกพ7นท�ในการจดเกบระบบสารสนเทศท�มมาตรฐานท 7งในเดนสายไฟและอปกรณสายสญญาณ

A.9.2.4 การบารงรกษาอปกรณ

√

มการบารงรกษาใหอปกรณพรอมใชงานอยางสม�าเสมอ \ สญญาการใหบรการ

A.9.2.5 การปองกนอปกรณท�ใชงานอยนอกสานกงาน

√ ไมมอนญาตใหนาอปกรณสารสนเทศขององคกรออกนอกสถานท�ยกเวนมเหตจาเปนซ�งตองไดการรบรองกอน

111

A.9.2.6 การกาจดอปกรณหรอการนาอปกรณกลบมาใชงานอกคร 7ง

√ องคกรมแนวทางปฏบตในการกาจดและนาอปกรณกลบมาใชใหม

A.9.2.7

การนาอปกรณออกนอกองคกร √

องคกรมแนวทางการจดการนาทรพยสนออกภายนอก \ เอกสารนาทรพยสนออกภายนอก

112

A.10. การบรหารจดการดานการส�อสารและการดาเนนงานของเครอขายสารสนเทศขององคกร (Communications and operations management)





10.1 การกาหนดหนาท�ความรบผดชอบและข 7นตอนการปฏบตงาน (Operational procedures and responsibilities) 10.1.1

ข 7นตอนการปฏบตงานท�เปนลายลกษณอกษร

√

เร�มจดทาข 7นตอนปฏบตงานอยในระบบสารสนเทศ \ มคมอดานการปฏบตงาน

10.1.2 การนามาประยกตใชการเปล�ยนแปลง ปรบปรง หรอแกไขระบบหรออปกรณ

√ การเปล�ยนแปลงระบบสารสนเทศจะกระทาไดเม�อมการแจงผดแลระบบแลวเทาน 7น \ จดทาอกสารขอการเปล�ยนแปลง

10.1.3 การแบงหนาท�ความรบผดชอบ √

แบงแยกหนาท�ความรบผดชอบ และแบงสทธในการเขาถงระบบ

10.1.4 การแยกระบบสาหรบการพฒนา ทดสอบ และใหบรการออกจากกน

√

มกระบวนการในการทดสอบระบบกอนใชงานจรงทกคร 7ง \ มในการทดสอบใน server ทดสอบ กอนนาไปใชงานจรง

113

-





10.2 การบรหารจดการการใหบรการของหนวยงานภายนอก (Third party service delivery management) 10.2.1 การใหบรการโดยหนวยงาน

ภายนอก

√

มการจดทาขอตกลงการใหบรการกบหนวยงานผใหบรการภายนอก

10.2.2 การตรวจสอบการใหบรการโดยหนวยงานภายนอก √

มการทบทวนเหตการณความม �นคงปลอดภยกบผใหบรการภายนอกอยางสม�าเสมอ \ เอกสารการใหบรการจากหนวยงานภายนอก

10.2.3 การบรหารจดการการเปล�ยนแปลงในการใหบรการ

√ มการทบทวนการใหบรการเพ�อการปรบปรงการใหบรการของผใหบรการภายนอกทกๆ 1 ป

-

114





10.3 การวางแผนและการตรวจรบทรพยากรสารสนเทศ (System planning and acceptance) 10.3.1 การวางแผนความตองการ

ทรพยากรสารสนเทศ √

วางแผนความตองการทรพยากรสารสน จากแนวโนมการใชงานระบบสารสนเทศ

10.3.2 การตรวจสอบการใหบรการโดยหนวยงานภายนอก

√ ตรวจรบระบบตามการใชงานท�ไดออกแบบไว กอนนามาใชจรง

10.4 การปองกนโปรแกรมท�ไมประสงคด (Protection against malicious and mobile code) 10.4.1 การปองกนโปรแกรมท�ไม

ประสงคด √ เคร�องท�ใชงานทกเคร�องตองมซอฟตแวรปองกนไวกอนการใชงานระบบ และมการอพเดทอยเสมอ

10.4.2 การปองกนโปรแกรมชนดเคล�อนท�

√ มการสรางความตระหนกแกพนกงาน และใหความรในการใชงานโดยไม Run โปรแกรมท�ไมเหมาะสม และหม �นตรวจเชคการอพเดท Patch ท�เก�ยวของกบ Security อยางสม�าเสมอ

-

115





10.5 การสารองขอมล (Back-up) 10.5.1 การสารองขอมล (Information

back-up) √

มวธปฏบตในการสารองขอมลและเร�มจดทานโยบายดานการสารองขอมลเปนลายลกษณอกษร

10.6 การบรหารจดการทางดานความม �นคงปลอดภยสาหรบเครอขายขององคกร (Network security management) 10.6.1 มาตรการทางเครอขาย

√

มการบรหารและจดการเครอขายเพ�อปองกนภยคกคามตางๆ

10.6.2 ความม �นคงปลอดภยสาหรบบรการเครอขาย

√ มการกาหนดคณสมบตทางดานความม �นคงปลอดภยระดบการใหบรการ และขอกาหนดในการบรหารจดการสาหรบบรการเครอขาย

10.7 การจดการส�อท�ใชในการบนทกขอมล (Media handling) 10.7.1 การบรหารจดการส�อบนทก

ขอมลท�สามารถเคล�อนยายได √ มคาแนะนาในการเขารหสขอมลสาหรบส�อบนทกขอมลท�เคล�อนยายไดแตไมมการบงคบใชแตพนกงานมความตระหนกดวยการไมเกบขอมลสาคญเอาไว

10.7.2 การทาลายส�อบนทกขอมลขององคกร

√ มแนวทางปฏบตในการกาจดส�อบนทกขอมลเพ�อปองกนขอมลร �วไหล

116

10.7.3

ข 7นตอนปฏบตสาหรบการจดการขอมลและส�อบนทกขอมลสารสนเทศ

√ มข 7นตอนปฏบตเพ�อจดการกบการเขาถงขอมลอยางชดเจนเพ�อปองกนไมใหผไมสทธเขาถงได

10.7.4

การสรางความม �นคงปลอดภยสาหรบเอกสารระบบ

√ การเกบเอกสารระบบยงไมมความปลอดภยเน�องจากถกเกบไวบนเคร�องคอมพวเตอรของกลมผดแลระบบเทาน 7น

-

117





10.8 การแลกเปล ยนสารสนเทศ (Exchange of information) 10.8.1 นโยบายและข 7นตอนปฏบตสา

หรบการแลกเปล�ยนสารสนเทศ

√

เร�มจดทาข 7นตอนปฏบตงานอยในระบบสารสนเทศ \ มคมอดานการปฏบตงาน

10.8.2 ขอตกลงในการแลกเปล�ยนสารสนเทศ

√ การเปล�ยนแปลงระบบสารสนเทศจะกระทาไดเม�อมการแจงผดแลระบบแลวเทาน 7น \ จดทาอกสารขอการเปล�ยนแปลง

10.8.3 การสงส�อบนทกขอมลออกไปนอกองคกร √

แบงแยกหนาท�ความรบผดชอบ และแบงสทธในการเขาถงระบบ

10.8.4 การสงขอความทางอเลกทรอนกส

√

มกระบวนการในการทดสอบระบบกอนใชงานจรงทกคร 7ง \ มในการทดสอบใน server ทดสอบ กอนนาไปใชงานจรง

10.8.5 ระบบสารสนเทศทางธรกจท�เช�อมโยงกน

√

118

-





10.9 การสรางความม นคงปลอดภยสาหรบบรการพาณชยอเลกทรอนกส (Electronic commerce services) 10.9.1 การพาณชยอเลกทรอนกส

√

ไมมเช�อมโยงระบบกบระบบสารสนเทศท�อ�น

10.9.2 การทาธรกรรมออนไลน √

ไมมเช�อมโยงระบบกบระบบสารสนเทศท�อ�น

10.9.3 สารสนเทศท�มการเผยแพรออกสสาธารณะ

√ มการตรวจสอบขอมลกอนเผยแพรออกสสาธารณะ

-

119





10.10 การเฝาระวงทางดานความม นคงปลอดภย (Monitoring) 10.10.1

การบนทกเหตการณท�เก�ยวของกบการใชงานสารสนเทศ

√

จดเกบขอมลบนทกเหตการณในการเขาใชงานระบบ

10.10.2

การตรวจสอบการใชงานระบบ

√ ตรวจสอบความพรอมใชงานระบบสารสนเทศ

10.10.3 การปองกนขอมลบนทกเหตการณ

√ ยอมรบความเส�ยง แตมการวางแผนจะจดทาในปตอไป

10.10.4

บนทกกจกรรมการดาเนนงานของเจาหนาท�ท�เก�ยวของกบระบบ

√

บนทกกจกรรมการดาเนนงานของผดแลระบบ ในการใชงาน

10.10.5

การบนทกเหตการณขอผดพลาด

√ มแผนจดทานโยบาย และแนวทางปฏบตในการบนทก และวเคราะหเพ�อแกไขปญหา

10.10.6 การต 7งเวลาของเคร�องคอมพวเตอรใหตรงกน

√ มการต 7งเวลาเคร�องใหตรงกน โดยการสอดคลอง Sync เวลากบ nap server

120

A.11. การควบคมการเขาถง (Access control)-





11.1 ขอกาหนดทางธรกจสาหรบการควบคมการเขาถงสารสนเทศ (Business requirements for access control) 11.1.1

นโยบายการควบคมการเขาถงระบบ

√

ควบคมการเขาถงระบบสารสนเทศ ตามความจาเปนในการสอดคลอง งาน

11.2 การบรหารจดการการเขาถงของผใช (User access management) 11.2.1

การลงทะเบยนพนกงาน √

การขอสทธ และยกเลกสทธในระบบสารสนเทศผานผบรหารของพนกงานไปยงผบรหารท�ดแลระบบสารสนเทศน 7นๆ

11.2.2

การบรการจดการสทธการใชงานระบบ

√ องคกรมนโยบายในการจดเกบและบนทกขอมลและการเขาถงระบบจาแนกตามสทธของผใชงาน

11.2.3

การบรหารจดการรหสผานสาหรบผใชงาน

√ มแผนการจดทานโยบาย และแนวทางปฏบตในการบรหารจดการรหสผาน ซ�งรวมถงการบรหารจดการรหสผานสาหรบผใชงาน

11.2.4

การทบทวนสทธการเขาถงของผใชงาน

√ มการทบทวนสทธของผใชงานระหวางท�ผใชงานยงเปนพนกงานอย

121

-





A.11.3 หนาท ความรบผดชอบของผใชงาน (User responsibilities) 11.3.1

การใชรหสผาน

√

มควบคมการเขาถงระบบสารสนเทศ ตามความจาเปนในการใชงานและมการ Generate User จากระบบ

11.3.2

การปองกนอปกรณท�ไมมพนกงานดแล

√

องคกรไมมการ lock หนาจอขณะไมไดใชงาน โดย User ตองบรหารจดการตวเอง โดยการ Lock หนาจอ หรอ Log Out ขณะไมไดใชงาน แตถาเปนเคร�อง Server จะมการ ต 7งเวลาในการ Logout

11.3.3

นโยบายควบคมการไมท7งทรพยสนสารสนเทศสาคญไวในท�ท�ไมปลอดภย

√ ไมมนโยบายน7เน�องจาก มขอบงคบการใชงานอยแลว

11.4.1

นโยบายการใชงานบรการเครอขาย

√ องคกรไมมการกาหนดขอบเขตในการเขาถงเครอขายวาสวนใดผใชงานคนไหนเขาถงไดบาง ผใชงานสามารถเช�อมตอถงกนไดท 7งหมด

11.4.2

การพสจนตวตนสาหรบผใชท�อยภายนอกองคกร

√ ใชงาน VPN แบบ IPsec โดยมการพสจนตวตนกอนเช�อมตอและมการเขารหสขอมลระหวางการรบสงขอมล สอดคลอง https และ SSH

122

-





A.11.4 การควบคมการเขาถงเครอขาย (Network access control) 11.4.3

การพสจนตวตนอปกรณบนเครอขาย

√

ในการเขาบรหารจดการอปกรณเครอขายจะมการพสจนตวตนกอนเสมอ

11.4.4

การปองกนพอรตท�ใชสาหรบตรวจสอบและปรบแตงระบบ

√ มการ Disable พอรตไมไดใชของระบบท�สาคญเพ�อไมใหมการเขาถง

11.4.5

การแบงแยกเครอขาย

√ เน�องจากมการแบงการใชงาน ระหวาง internet และ intranet ภายใน

11.4.6

การควบคมการเช�อมตอทางเครอขาย

√ มการกาหนดขอบเขตรายการอปกรณท�สามารถเขาถงไดของผใชงาน

11.4.7

การควบคมการกาหนดเสนทางบนเครอขาย

√ ในการเขาบรหารจดการอปกรณเครอขายจะมการพสจนตวตนกอนเสมอ

-

123





A.11.5 การควบคมการเขาถงระบบปฏบตการ (Operating system access control) 11.5.1

ข 7นตอนปฏบตในการเขาถงระบบอยางม �นคงปลอดภย

√

ระบบไมมการรายงานแสดงรายละเอยดของระบบงานหรอการชวยเหลอใดๆท�เปนประโยชนตอผไมหวงดจนกวาจะมการพสจนตวตนผานแลว และเม�อมการ login ไมผานเกน 3 คร 7ง จะตดใหรอ login ใหม

11.5.2

การระบและพสจนตวตนของผใชงาน

√ มการแบงแยกสทธการใชงานของ User และ admin อยางชดเจนและจะไมสอดคลอง admin account ในการปฏบตงานท �วไป

11.5.3

ระบบบรหารจดการรหสผาน √

มกากาหนดโปรแกรมสาหรบ Generate Password ท�จะใชงานในระบบเพ�อความปลอดภยและมมาตรฐานเด�ยวกน

11.5.4

การใชงานโปรแกรมยทลต

√ กอนใหใชงานโปรแกรมตางๆตองไดรบการเหนชอบจากฝายสารสนเทศกอนใชงาน

11.5.5

การหมดเวลาการใชงานระบบสารสนเทศ

√ ระบบมการต 7งคา Idle Timeout เม�อไมมการใชงาน

11.5.6

การจากดระยะเวลาการใชงานระบบสารสนเทศ

√ ระบบจากดชวงเวลาการเขาถงตามความเหมาะสมหรอหากไมไดใชงานระบบจะตดออกจากการใชงาน

124

-



นามาใช ตามหลกปฎบต


A.11.6 การควบคมการเขาถงแอพพลเคชนและสารสนเทศ (Application and information access control) 11.6.1

การจากดการเขาถงสารสนเทศ

√

ระบบมการควบคมการเขาถงขอมลและฟงช �นตางๆของระบบงานตามสทธของ user หรอ admin

11.6.2

การแยกระบบสารสนเทศท�มความสาคญสง

√ มการเกบขอมลสาคญเชนขอมลระบบของลกคาแยกตางหากซ�งผท�จะเขาไปใชงาน

11.6.3

การปองกนอปกรณส�อสารประเภทพกพา

√

ไมมการใชงานอปกรณส�อสารประเภทพกพาในหองศนยขอมล

11.6.4

การปฏบตงานจากภายนอกสานกงาน

√ มการใชงาน VPN แบบ IPsec โดยมการพสจนตวตนกอนเช�อมตอและมการใชงาน https กอนการเขาใชงาน

125

A.12. การจดหา การพฒนา และการบารงรกษาระบบสารสนเทศ (Information systems acquisition, development and maintenance)





A.12.1 ขอกาหนดดานความม นคงปลอดภยสาหรบระบบสารสนเทศ (Security requirements of information systems) 12.1.1

การวเคราะหและการระบขอกาหนดดานความม �นคงปลอดภย

√

องคกรมกระบวนการในการตรวจสอบและทดสอบเพ�อประเมนซอฟตแวรท�ตองการจดหามาใชงาน

A.12.2 การประมวลผลสารสนเทศในแอพพลเคช น (Correct processing in applications) 12.2.1

การตรวจสอบขอมลนาเขา √

มแผนการจดทานโยบาย และแนวทางปฏบตในการระบขอกาหนดทางดานความม �นคงปลอดภย ซ�งรวมถงการตรวจสอบขอมลนาเขา

12.2.2

การตรวจสอบขอมลท�อยระหวางการประมวลผล

√ ไมมการตรวจสอบขอมลท�อยระหวางการประมวลผล

12.2.3

การตรวจสอบความถกตองของขอมล

√ มแผนการจดทานโยบาย และแนวทางปฏบตในการระบขอกาหนดทางดานความม �นคงปลอดภย ซ�งรวมถงการตรวจสอบขอมลนาออก

11.2.4

การตรวจสอบขอมลนาออก

√ มแผนการจดทานโยบาย และแนวทางปฏบตในการระบขอกาหนดทางดานความม �นคงปลอดภย ซ�งรวมถงการตรวจสอบขอมลนาออก

126

-





A.12.3 มาตรการการเขารหสขอมล (Cryptographic controls) 12.3.1

นโยบายการใชงานการเขารหสขอมล

√

ไมมการเลอกใชการเขารหสท�ปลอดภย

12.3.2 การบรหารจดการกญแจเขารหสขอมล

√

ไมมการใชงานเขารหสขอมล

A.12.4 การสรางความม นคงปลอดภยใหกบไฟลของระบบท ใหบรการ (Security of system files) 12.4.1

การควบคมการตดต 7งซอฟตแวรลงไปยงระบบท�ใหบรการ

√ การตดต 7งซอฟตแวรตางๆ ลงไปยงระบบท�ใหบรการ

12.4.2

การปองกนขอมลท�ใชสาหรบการทดสอบ

√ มการปองกนขอมลสาหรบทดสอบโดยลบท7งเม�อทดสอบเสรจ

12.4.3

การควบคมการเขาถง ซอรสโคดสาหรบระบบ

√ การเขาถงซอรสโคด ตองแจงสวนงานท�เปนผดแลระบบ

127

-





A.12.5 การสรางความม นคงปลอดภยสาหรบกระบวนการในการพฒนา ระบบและกระบวนการสนบสนน (Security in development and support processes) 12.5.1

ข 7นตอนปฏบตสาหรบควบคมการเปล�ยนแปลงหรอแกไขระบบ

√

การเปล�ยนแปลงระบบสารสนเทศจะกระทาไดเม�อมการแจงท�ผดแลระบบแลวเทาน 7น โดยไมมเปนรายอกษรแตกาลงละจะเตรยมจดทาเปนรายลกษร

12.5.2

การทบทวนการทางานของระบบงานภายหลงจากท�เปล�ยนแปลงระบบปฏบตการ

√ มการตรวจสอบผลการแกไขเปล�ยนแปลงของระบบงานโดยการทดสอบจากผท�เก�ยวของ

12.5.3

การจากดการเปล�ยนแปลงแกไขตอซอฟทแวรท�มาจากผผลต

√ ไมมการนาซอฟตแวรมาแกไขเปล�ยนแปลงซอฟตแวรแพคเกตเพ�อใชงาน

12.5.4

การปองกนการร �วไหลของสารสนเทศ

√ ควบคมการเขาถงขอมลท 7ง Logical และกายภาพ

12.5.5

การพฒนาซอฟตแวรโดยหนวยงานภายนอก

√ มแผนการจดทานโยบาย และแนวทางปฏบตในการควบคมและตรวจสอบการพฒนาจากหนวยงานภายนอก

128

A.13. การบรหารจดการเหตการณท�เก�ยวของกบความม �นคงปลอดภยขององคกร (Information security incident management)





A.13.1 การรายงานเหตการณและจดออนท เก ยวของกบความม นคงปลอดภย A.13.2 การบรหารจดการและการปรบปรงแกไขตอเหตการณท เก ยวของกบความม นคงปลอดภย 13.1.1

การรายงานเหตการณท�เก�ยวของกบความม �นคงปลอดภย

√

รายงานเหตการณท�เก�ยวของกบความม �นคงปลอดภยไปยง ผดแลระบบสารสนเทศ

13.1.2

การรายงานจดออนท�เก�ยวของกบความม �นคงปลอดภยขององคกร

√ เม�อมการตรวจพบจดออนท�เก�ยวของกบความม �นคงปลอดภย ใหพนกงานแจงไปยงเจาหนาท�ฝายความม �นคงปลอดภยสารสนเทศ

13.2.1

หนาท�ความรบผดชอบและข 7นตอนปฏบต

√ มการจดเกบหลกฐานท�เก�ยวของ ในกรณผดตอหลกกฎหมายเชนการจดเกบ Log การใชงานตาม พรบ.

13.2.2

การเรยนรเหตการณท�เก�ยวของกบความม �นคงปลอดภย

√ องคกรมการจดเกบเหตการณดานความม �นคงปลอดภยท�เกดข7นและหาแนวทางแกไข

13.2.3

การเกบรวบรวมหลกฐาน

√ องคกรมกระบวนการในการจดทาข 7นตอนปฏบตสาหรบการเกบรวบรวมหลกฐานบนทกกจกรรมตางๆของผใชงานในระบบ

129

A.14. การบรหารความตอเน�องในการดาเนนงานขององคกร (Business continuity management)





A.14.1 หวขอพNนฐานสาหรบการบรหารความตอเน องในการดาเนนงานขององคกร (Information security aspects of business continuity management) 14.1.1

กระบวนการในการสรางความตอเน�องใหกบธรกจ ปลอดภย

√

มแผนการจดทานโยบาย และแนวทางปฏบตในสรางความตอเน�องใหกบธรกจ

14.1.2

กระประเมนความเส�ยงในการสรางความตอเน�องใหกบธรกจ

√ ยงไมมนโยบายในการสรางความตอเน�องใหกบธรกจอยางจรงจง

14.1.3

การจดทาและใชงานแผนสรางความตอเน�องใหธรกจ

√ ยงไมมนโยบายในการสรางความตอเน�องใหกบธรกจอยางจรงจงมแตการเตรยมจดทาเพ�อรองรบภยท�อาจเกดข7น

14.1.4

การกาหนดกรอบสาหรบการวางแผนเพ�อสรางความตอเน�องใหกบธรกจ

√ ยงไมมนโยบายในการสรางความตอเน�องใหกบธรกจอยางจรงจง

14.1.5

การทดสอบและปรบปรงแผนสรางความตอเน�องใหกบธรกจ

√ มการทดสอบแผนการกคนระบบอยางเตมรปแบบแตยงไมมการกาหนดเปนรายอกษร

130

A.15 การปฏบตตามขอกาหนด (Compliance)





A.15.1 การปฏบตตามขอกาหนดทางกฎหมาย (Compliance with legal requirements) 15.1.1

การระบขอกาหนดตางๆท�มผลทางกฎหมาย

√

องคกรมการระบกฎหมาย ระเบยบ ขอบงคบ ขอกาหนดในสญญาตางๆท�องคกรตองปฏบตตามและใหพนกงานทกคนปฏบตดวย

15.1.2

การปองกนสทธและทรพยสนทางปญญา

√ องคกรมการจดซ7อซอฟตแวรระบบจากแหลงท�เช�อถอไดและมการควบคมการใชซอฟตแวรท�จดซ7อมาไวใชงาน

15.1.3

การปองกนขอมลสาคญท�เก�ยวของกนองคกร

√ องคกรมการจดเกบขอมลและระยะเวลาในการเกบขอมลตามท�กฎหมาย ระเบยบขอบงคบ ท�องคกรตองปฏบตตามไดระบไว เชน พรบ.

15.1.4

การปองกนขอมลสวนตว

√ ไมมการเกบขอมลในระบบ

15.1.5

การปองกนการใชงานอปกรณประมวลผลสารสนเทศผดวตถประสงค

√ ไมมนโยบายการปองกนการใชงานอปกรณสารสนเทศ

131

-





A.15.1 การปฏบตตามขอกาหนดทางกฎหมาย (Compliance with legal requirements) 15.1.6

การใชงานมาตรการการเขารหสขอมลตามขอกาหนด

√

องคกรมการนาการเขารหสขอมลมาสอดคลอง

15.2.1

การปฏบตตามนโยบายและมาตรฐานความม �นคงปลอดภย

√ มกระบวนการในการตรวจสอบการปฏบตตามนโยบายเพ�อทบทวนผลการดาเนนการ

15.2.2

การตรวจสอบปฏบตตามมาตรฐานทางเทคนคขององคกร

√

15.3.1

มาตรการการตรวจประเมนระบบสารสนเทศ

√

องคกรมนโยบายจดต 7งบคคลากรในการดแล ตรวจสอบระบบบรหารจดการความม �นคงปลอดภยโดยเฉพาะ

15.3.2

การปองกนเคร�องมอสาหรบตรวจประเมนสารสนเทศ

√ องคกรยงไมมเคร�องมอท�ใชตรวจสอบชองโหวของระบบ

132

ภาคผนวก ค ตวอยางแนวทางดาเนนการจดการความเส�ยงตามแนวทางการตอบสนองตอ


133

ตวอยางแนวทางดาเนนการจดการความเส�ยงตามแนวทางการตอบสนองตอความเส�ยง

1. ทาการตดต งระบบควบคมการเขา-ออกหองเซรฟเวอร เพ อลดความเส ยงตอการ

เสยหายของขอมลและระบบสารสนเทศของบรษท

รปท� a.1 แสดงอปกรณควบคมการเขา-ออกหองเซรฟเวอร

134

2. ทาการตดต งยาย Server ท มความเส ยงสงและมความสาคญตอระบบงานไปยง ศนยคอมพวเตอรเพ อความปลอดภยและความเสยหายอนกอใหเกดกบระบบ

รปท� a.2 แสดงอปกรณเซรฟเวอรจากท ต งเดมมาไวภายในศนยคอมพวเตอร

135

3 ทาการเพ มต Rack ในโซน Offices ตางๆ เพ อใหอปกรณยากตอการเขาถงโดยไมไดรบอนญาตและเพ มความปลอดภยตอระบบสารสนเทศในองคกร

รปท� a.3 แสดงการเพ มต Rack เพ อเพ มความปลอดภยในระบบสารสนเทศ

136

4. ทาการจดระบบ Network ภายในหองเคร องใหม เพ อความเปนระเบยบเรยบรอย และงายตอการจดการ

รปท� a.4 แสดงการจดระบบ Network ภายในหองเคร องใหม

137

5. ทาการจดซ ออปกรณสารองไฟฟาเพ มข น เพ อใหเพยงพอกบการใชงานและลดความเส ยงตอการเสยหายของระบบ และทาการตอ MA ระบบพรอมเปล ยน แบตเตอร เปนประจาทกสองป

รปท� a.5 แสดงการเพ มอปกรณสารองไฟเพ มเตม

138

6. ทาการจดซ อและเตรยมตดต ง กลองวงจรปดเพ มเตมเพ อใหคลอบคลมพ นท ในการใชงานและสามารถดแลพ นท ไดอยางท วถง

รปท� a.6 แสดงการเพ มอปกรณกลองวงจรปดเพ มเตม

139

7. จดทาการวางแผนปรบเปล ยนอปกรณเครอขายท มอายการใชงานเกน 5 ป เพ อ ลดความเส ยงท อปกรณเครอขายน นชารด และสงผลความเสยหายตอระบบเครอขาย (Switch Zone Offices)

รปท� a.7 แสดงอปกรณตางๆท รอเปล ยนทดแทนของเดม

140

8. จดการวางแผนใหความรการแนะนาถง การใชงานสารสนเทศอยางปลอดภยแกพนกงานในองคกรเพ อสรางความตระหนกในการใชงานเทคโนโลยสารสนเทศ

รปท� a.8 แสดงการ ใหความรเก ยวกบการใชงานเทคโนโลยสารสนเทศอยางปลอดภย

141

9. มการเร มยาย Server จาก Physical ไปเปน VMware เพ อเพ มประสทธภาพในการทางาน

รปท� a.9 แสดงการยายอปกรณ Server จาก Physical เปน VMware

142

10. ต งคาระบบใหรหสผานของผใชงานมวนหมดอาย โดยใหเปล ยนรหสผานทก 72 วน

รปท� a.10 ต งคาวนหมดอายของ Password

143

11. ทาการเพ มการ Backup Daily ไวเปนประจาทกวนและมการสารองขอมลสาคญตางๆไวบนเทปและนาไปเกบภายนอกบรษท

รปท� a.11 แสดงการ Backup ขอมลสาคญตางลงเทป

144

12. ดาเนนการตอ MA อปกรณตางๆภายในศนยคอมพวเตอร เพ อใหอปกรณตางมความพรอมในการทางาน

รปท� a.11 แสดงการผใหบรการภายนอกเขามาทาการตรวจเชคอปกรณ UPS

145

ภาคผนวก ง. เอกสารขออนญาตองคกรในการดาเนนโครงงาน

146

เอกสารขออนญาตองคกรในการดาเนนโครงงาน

establishment of information systems security according to ......

Documents