Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
สรปมาตรฐาน ISO 27001:2013
โดย ศรพร เชยวสมทร
Paramount Consultant Co.,Ltd.
ชอมาตรฐาน ISO 27001:2013
Information Security Management System
ระบบการบรหารจดการความมนคงปลอดภยของสารสนเทศ
นยามของความมนคงปลอดภยของสารสนเทศConfidentiality การรกษาความลบ
คณสมบตวาขอมลจะไมถกเผยแพรหรอเปดเผย ใหบคคล กจการ หรอ กระบวนการทไมไดรบอนญาต
Integrity ความครบถวนถกตองคณสมบตของการปกปองความถกตองและ
ครบถวนของทรพยสนAvailability ความพรอมใช
คณสมบตของการเปนทสามารถเขาถงและใชงานไดตามความตองการ โดยกจการทไดรบอนญาต
วธการจดเกบขอมลใหปลอดภย
สงทเกยวของและตองจดการเพอรองรบ ISO 27001
Hardware
Software
Information
Business Process / Services
People
จะท าระบบ ISO27001 ไดอยางไร
• ศกษาขอก าหนด
• จดหลกสตรฝกอบรม
• ตงทมงานในการท าระบบ สรางแผนโครงการ
• ก าหนดขอบขายกจกรรมและอาณาบรเวณ
• จดท ารายการกจกรรม และทรพยสนสารสนเทศ
• ประเมนความเสยง (CIA) จาก
• มลคาความเสยหาย
• ภยคกคาม
• จดออน
• ความรนแรง
• โอกาสเกด
• จดท า / ก าหนดมาตรการควบคมความเสยง จาก Annex A
• ยอมรบความเสยง
• ควบคมความเสยง
• ถายโอนความเสยง
• หลกเลยงความเสยง
• จดท า Statement of Applicability
• ปฏบตตามมาตร การควบคมความเสยง
• ก าหนดตวชวด ใหครบ รอบดาน
• วดผลตามตวชวด
• ท า Internal Audit และ Management Review
เมอครบ 1 รอบ PDCA องคกรพรอมแลวส าหรบการตรวจรบรอง
กระบวนการในการขอการรบรอง ISO 27001
• ตดตอบรษททใหการรบรอง (Certify Body)
• ตรวจ Stage 1 (ตรวจสอบเอกสาร = ISO 27001)
• ตรวจ Stage 2 (ตรวจสอบเอกสาร = หลกฐานการด าเนนงาน >> ไดรบการรบรอง ISO 27001)
• ใบรบรองมอาย 3 ป
• ระหวางการไดการรบรอง มการสมตรวจเปนระยะ ๆ (อยางนอยปละครง จนกระทงใบรบรองหมดอาย)
ประโยชนของการบรหารจดการความมนคงปลอดภยของสารสนเทศ
• ดแลขอมลตามคณคาความส าคญของขอมลทมตอองคกร
• ดแลขอมลตามระดบความเสยง• ตอบสนองตอความตองการของผมสวน
ไดสวนเสย • ดแลขอมลใหสนบสนนความตอเนองใน
การด าเนนธรกจในสถานะการณฉกเฉน• สงเสรมภาพลกษณขององคกร
• สามารถวดผลความส าเรจของวธการควบคมความมนคงปลอดภยของสารสนเทศ
• รถงผลตอบแทนในการลงทนดาน IT• สรางความเชอมนใหผบรหาร ลกคา และ
พนกงาน• มนใจในดานความสอดคลองตอกฎหมาย• ฯลฯ
กจกรรมทด าเนนการแลว
กจกรรมทตองด าเนนการตอ
• สรางกจกรรมกระตนความรความเขาใจ
• สรางกจกรรม / ท าความเขาใจทมงาน
• ศกษาดงานท Data Center ทใหญทสดในประเทศ
• ประชมใหความรเพอสรางความตระหนก
• อนมตการใชแนวทางปฏบตงานทไดจดท าขน
• จดพมพเอกสารเพอเปนแนวทางในการปฏบต
กจกรรมจะด าเนนการตอเพอใหการรบรอง
• ปฏบตตามแนวทางปฏบต
• ตดตามผล KPI
• จดท า Internal Audit
• แกไขปญหา หลงจาก การท า Internal Audit
• ท าการประชมทบทวนฝายบรหาร
• ตรวจประเมนเพอขอการรบรอง