ISO 27001:2013 Establishment of Information Systems ... การสร้างความ... · Establishment of Information Systems Security for Email Hosting according to ISO

การสรางความมนคงปลอดภยใหกบระบบอเมลโฮสตง

ตามแนวทาง ISO 27001:2013

กรณศกษาบรษท เอนทท คอมมวนเคชนส (ประเทศไทย)

Establishment of Information Systems Security for Email Hosting

according to ISO 27001:2013 for organization

Case study NTT Communications(Thailand) Co.,Ltd.

ปรชญา รจนสรกล

Pratchaya Rudjanisoragun

สารนพนธนเปนสวนหนงของการศกษา

หลกสตรวทยาศาสตรมหาบณฑต สาขาวชาความมนคงทางระบบสารสนเทศ

คณะวทยาการและเทคโนโลยสารสนเทศ

มหาวทยาลยเทคโนโลยมหานคร

ปการศกษา 2557

I

หวขอ การสรางความมนคงปลอดภยใหกบระบบอเมลโฮสตง ตามแนวทาง ISO 27001:2013 กรณศกษา บรษท เอนทท คอมมวนเคชนส (ประเทศไทย) จ ากด

ชอนกศกษา นาย ปรชญา รจนสรกล รหสนกศกษา 5617810010 หลกสตร วทยาศาสตรมหาบณฑต สาขาความมนคงทางระบบสารสนเทศ ปการศกษา 2557 อาจารยทปรกษา ผศ.ดร.วรพล ลลาเกยรตสกล

บทคดยอ

โครงงาน “การสรางความมนคงปลอดภยใหกบระบบอเมลโฮสตงตามแนวทาง ISO

27001:2013” กรณศกษา บรษท เอนทท คอมมวนเคชนส (ประเทศไทย) จ ากด จดท าขนเพอศกษาและน าเอาแนวทางของมาตรฐานมาประยกตใชภายในองคกร เพอใหเกดความนาเชอถอในการใหบรการรวมถงเปนการพฒนาการใหบรการใหมความมนคงปลอดภยมากขน

II

กตตกรรมประกาศ

สารนพนธฉบบนเกดขนและส าเรจลลวงไดเนองจากการไดรบการสนบสนนและแนะน าเกยวกบการศกษาคนควาและปฏบตงานจาก ผศ.ดร.วรพล ลลาเกยรตสกล ทปรกษาโครงงานเปนอยางด ผจดท าตองขอขอบพระคณอาจารยทไดสละเวลาอนมคาในการใหค าปรกษาและถายทอดประสบการณอนเปนประโยชนตอโครงงานนมาโดยตลอด

และนอกจากน ผจดท าตองขอขอบพระคณอาจารยพเศษ ดร.บรรจง หะรงษ ทไดใหค าแนะน าอนเปนประโยชนตอการศกษาคนควา และปฏบตงานในโครงงานน รวมถงขอบคณครอบครวและเพอนทคอยเปนทปรกษาและใหก าลงใจมาโดยตลอด

ทส าคญอยางยงคอการไดรบการสนบสนนจาก คณอซาโอะ มยาซาก ทไดอนญาตใหน าระบบอเมลโฮสตงมาจดท าเปนกรณศกษา ทางผจดท าตองขอขอบคณทกทานเปนอยางสงมา ณ โอกาสน

ปรชญา รจนสรกล 1 ธนวาคม 2557

III

สารบญ หนา

บทคดยอ I กตตกรรมประกาศ II สารบญ III สารบญรป V สารบญตาราง VI บทท 1 บทน า 1 1.1 หลกการและเหตผล 1 1.2 ปญหาและแนวทางแกปญหา 1 1.3 วตถประสงคของโครงงาน 2 1.4 ขอบเขตของโครงงาน 2 1.5 ประโยชนทคาดวาจะไดรบ 2 1.6 แผนการด าเนนงานโครงการ 3 บทท 2 พนฐานและทฤษฎทเกยวของ 6 2.1 ความมนคงปลอดภยขอมลสารสนเทศ (Information Security) 6 2.2 องคประกอบหลกของความมนคงปลอดภยขอมลสารสนเทศ 6 2.3 มาตรฐานการรกษาความมนคงปลอดภยสารสนเทศ

(ISO/IEC 27001 – Information Security Management) 7 2.4 ขนตอนในการบรหารจดการความเสยง

(ISO/IEC 31000:2009 – Risk Management Process) 8 บทท 3 การด าเนนงาน 11 3.1 ขนตอนในการการด าเนนงาน 11 3.2 รายการทรพยสนทเกยวของ 11 3.3 โครงสรางองคกร (Organization chart) 13 3.4 ก าหนดระดบผลกระทบ (Impact) 13 3.5 การก าหนดโอกาสในการเกด (Likelihood) 15 3.6 การจดระดบความเสยง (Risk evaluation) 15 3.7 การจดการความเสยง (Risk Treatment) 16 3.8 การประเมนความเสยงหลงการจดการความเสยง 16 บทท 4 ผลการด าเนนงาน 17

IV

สารบญ (ตอ) หนา

4.1 บทน า 17

4.2 ผลการประเมนความเสยง 18 4.3 แผนการจดการความเสยง 36 4.4 ผลการประเมนความเสยงหลงด าเนนการ 54 บทท 5 สรปผลการด าเนนงาน 90 5.1 สรปผลในการด าเนนงานและปญหาทพบ 112 เอกสารอางอง 113 ภาคผนวก ก ก-1

V

สารบญรป หนา

รปท 2.1 ตวอยางแสดงความสมพนธของ C-I-A 7 รปท 3.1 แผนผงโครงสรางองคกร 13 รปท 5.1 สรปจ านวนความเสยงโดยรวม 90 รปท 5.2 สรปจ านวนความเสยงประเภท Hardware 91 รปท 5.3 สรปจ านวนความเสยงประเภท Software 91 รปท 5.4 สรปจ านวนความเสยงประเภท Information 92 รปท 5.5 สรปจ านวนความเสยงประเภท Personal 92 รปท 5.6 สรปจ านวนความเสยงประเภท Service 93 รปท ก.1 ตวอยางเอกสารยนยนความเขาใจรวมกนภายในทม ก-2 รปท ก.2 ตวอยางเอกสารยนยนความเขาใจรวมกนระหวางทม ก-3 รปท ก.3 ตวอยางเอกสารยนยนความเขาใจรวมกนระหวางบรษทและลกคา 1 ก-4 รปท ก.4 ตวอยางเอกสารยนยนความเขาใจรวมกนระหวางบรษทและลกคา 2 ก-5 รปท ก.5 ตวอยางเอกสารคมอการจดการกบทรพยสนและการตดตอกบภายนอก 1 ก-6 รปท ก.6 ตวอยางเอกสารคมอการจดการกบทรพยสนและการตดตอกบภายนอก 2 ก-7 รปท ก.7 ตวอยางเอกสารการควบคมการเปลยนแปลง 1 ก-8 รปท ก.8 ตวอยางเอกสารการควบคมการเปลยนแปลง 2 ก-9 รปท ก.9 ตวอยางเอกสารการควบคมการเปลยนแปลง 3 ก-9 รปท ก.10 ตวอยางเอกสารการควบคมการเปลยนแปลง 4 ก-10 รปท ก.11 ตวอยางการตดตามขาวสารความปลอดภยกบหนวยงานภายนอก 1 ก-11 รปท ก.12 ตวอยางการตดตามขาวสารความปลอดภยกบหนวยงานภายนอก 2 ก-12 รปท ก.13 ตวอยางการอบรมเพอใหความรอยางตอเนองเปนประจ า ก-13

VI

สารบญตาราง หนา

ตารางท 1.1 แผนการด าเนนโครงงาน 1 3 ตารางท 1.2 แผนการด าเนนโครงงาน 2 4 ตารางท 3.1 รายการทรพยสน 11 ตารางท 3.2 ผลกระทบดานการเงน 13 ตารางท 3.3 ผลกระทบดานชอเสยง 14 ตารางท 3.4 ผลกระทบตอการใหบรการ 14 ตารางท 3.5 ผลกระทบตอกฎหมาย 15 ตารางท 3.6 โอกาสในการเกด 15 ตารางท 3.7 เกณฑการประเมนระดบความเสยง 16 ตารางท 3.8 ระดบความเสยงและความสมพนธของผลกระทบและโอกาสเกด 16 ตารางท 4.1 ตารางการประเมนความเสยง 18 ตารางท 4.2 สรปความเสยงรวมกอนการด าเนนโครงงาน 35 ตารางท 4.3 สรปความเสยง Hardware กอนการด าเนนโครงงาน 35 ตารางท 4.4 สรปความเสยง Software กอนการด าเนนโครงงาน 35 ตารางท 4.5 สรปความเสยง Information กอนการด าเนนโครงงาน 35 ตารางท 4.6 สรปความเสยง Personal กอนการด าเนนโครงงาน 35 ตารางท 4.7 สรปความเสยง Service กอนการด าเนนโครงงาน 35 ตารางท 4.8 ตารางการจดการความเสยง 36 ตารางท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ 54 ตารางท 4.10 สรปความเสยงรวมหลงการด าเนนโครงงาน 89 ตารางท 4.11 สรปความเสยง Hardware หลงการด าเนนโครงงาน 89 ตารางท 4.12 สรปความเสยง Software หลงการด าเนนโครงงาน 89 ตารางท 4.13 สรปความเสยง Information หลงการด าเนนโครงงาน 89 ตารางท 4.14 สรปความเสยง Personal หลงการด าเนนโครงงาน 89 ตารางท 4.15 สรปความเสยง Service หลงการด าเนนโครงงาน 89 ตารางท 5.1 Statement Of Applicability : SOA 94

1

บทท 1 บทน ำ

1.1 หลกกำรและเหตผล

ปจจบนระบบเทคโนโลยสารสนเทศไดเปนสวนประกอบหนงทส าคญในแทบทกธรกจ โดยหากบรษทใดสามารถน าเอาเทคโนโลยสารสนเทศมาประยกตใชไดเกดประโยชนไดสงกวาคแขง ยอมท าใหเกดความความไดเปรยบในการด าเนนธรกจเปนอยางมาก กลบกนหากองคกรใดไมมนโยบายเกยวกบความมนคงปลอดภยส าหรบการจดการความเสยงทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ กจะเปนเหตท าใหเกดผลกระทบในการด าเนนธรกจแกองคกรนนๆ ดงนน การจดท านโยบายดานความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศทมความรดกมและเปนมาตรฐาน จงเปนเรองทควรใหความสาคญ และควรมการก าหนดนโยบายความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศทเปนมาตรฐานสากล

มาตรฐาน ISO/IEC 27001 เปนขอก าหนดในการจดท าระบบบรหารจดการความมนคงปลอดภย ใหกบองคกร โดยมวตถประสงคในการก าหนดมาตรฐานเพอใหองคกรสามารถบรหารจดการทางดานความมนคงปลอดภยไดอยางมระบบ และเพยงพอเหมาะสมตอการดาเนนธรกจ โดยมการน าขนตอน Plan-Do-Check-Act (PDCA) และน ามาตรฐาน ISO/IEC 31000 มาเปนแนวทางในการประเมนความเสยงมาประกอบการพจารณา เพอหาวธการหรอมาตรการทเหมาะสม 1.2 ปญหำและแนวทำงแกปญหำ

ปจจบน บรษท เอนทท คอมมวนเคชนส (ประเทศไทย) จ ากด มการด าเนนธรกจการใหบรการเกยวกบเทคโนโลยสารสนเทศมากมาย โดยหนงในการใหบรการคอ การใหบรการดานระบบอเมลโฮสตง โดยในปจจบนไดมการการจดท าขนตอนบรหารจดการความมนคงปลอดภย เพอน ามาใชในการบรหารจดการระบบอเมลโฮสตงอยแลวขององคกรอยแลว เพยงแตมไดมการน าเอาแนวทางการจดท าระบบบรหารจดการดานความมนคงปลอดภยทเปนมาตรฐานสากลมาใชเปนสวนหนงของการจดท านโยบาย

ดงนนเพอปองกนปญหาดานความมนคงปลอดภยทอาจเกดขนกบระบบอเมลโฮสตง ทงในดาน ภยธรรมชาต ความผดพลาดทเกดจากขนตอนการด าเนนงาน หรอบคคล ทางผจดท าจงมแนวคดในการน าเอามาตรฐาน ISO/IEC 27001 มาเปนสวนหนงในแผนการจดท าระบบบรหารจดการดานความมนคงปลอดภย เพอทจะท าใหแนวทางในการบรหารจดการทออกมานน ปลอดภย เปนทยอมรบและไดมาตรฐานสากล

2

1.3 วตถประสงคของโครงงำน 1.3.1 น ามาตรฐาน ISO/IEC 27001 มาใชเปนสวนหนงในการจดการพฒนาระบบ

บรหารจดการดานความมนคงปลอดภยใหแกระบบอเมลโฮสตง อนเปนส วนหนงในการใหบรการขององคกรเพอใหมความเปนสากล

1.3.2 เพอจดการกบความเสยงจากภยคกคามดานความมนคงปลอดภยทางดานเทคโนโลยสารสนเทศเพอมใหเกดผลกระทบกบผใชบรการทใชงานระบบอเมลโฮสตงขององคกร 1.4 ขอบเขตของโครงงำน

1.4.1 ขอบเขตของโครงงาน 1 1.4.1.1 ก าหนดขอบเขตของโครงงาน 1.4.1.2 ศกษาแนวทางการด าเนนการดานความมนคงสารสนเทศตาม

มาตรฐาน ISO/IEC 27001, ISO/IEC 31000 1.4.1.3 ขอรบการอนมตในการด าเนนงานจากผบรหาร 1.4.1.4 ก าหนดนโยบายความมนคงปลอดภยทางดานเทคโนโลยสารสนเทศ

ใหแกระบบอเมลโฮสตง 1.4.1.5 ออกแบบแผนและแนวทางในการประเมนความเสยงทจะใชในการ

จดการระบบอเมลโฮสตง 1.4.1.6 วเคราะหและประเมนความเสยงระบบความมนคงปลอดภยทางดาน

เทคโนโลยสารสนเทศใหแกระบบอเมลโฮสตง 1.4.1.7 จดท ารายงานผลลพธทไดจากการประเมนความเสยง

1.4.2 ขอบเขตของโครงงาน 2 1.4.2.1 จดท าแผน, แนวทางในการปฏบต เพอจดการกบความเสยงทตรวจพบ 1.4.2.2 น าเสนอแผน และแนวทางในการปฏบตใหแกหนวยงานและบคคลท

เกยวของ 1.4.2.3 ด าเนนการตามแผนทไดมการออกแบบไว 1.4.2.4 ท าการตดตามผลการด าเนนงานและปรบปรงเพอใหเกดประสทธภาพ

สงสด 1.5 ประโยชนทคำดวำจะไดรบ

1.5.1 จดท านโยบายความมนคงปลอดภยทางดานเทคโนโลยสารสนเทศทเปน มาตรฐานสากล

1.5.2 มการจดการความเสยงทกระทบตอความมนคงปลอดภยทางดานเทคโนโลยสารสนเทศใหไดมากทสด

3

1.5.3 เพมประสทธภาพในการใหบรการของระบบอเมลโฮสตงอนเปนหนงในธรกจขององคกรใหมศกยภาพในการแขงขน 1.6 แผนกำรด ำเนนงำนโครงงำน

1.6.1 แผนการด าเนนโครงงาน 1 ตามตารางท 1,1

ตำรำงท 1.1 แผนการด าเนนโครงงาน 1 แผนการด าเนน งานรายสปดาห

ม.ค. เม.ย. พ.ค. ม.ย. ก.ค. 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4

1. ก าหนดขอบเขตของโครงงาน

2. ศกษาแนวทางการด าเนนการดานความมนคงสารสนเทศตามมาตรฐาน ISO/ETC 27001

3. ขอรบการอนมตในการด าเนนงานจากผบรหาร

4. ก าหนดนโยบายความมนคงปลอดภยทางดานเทคโนโลยสารสนเทศใหแกระบบอเมลโฮสตง

5. ออกแบบแผนและแนวทาง ในการประเมนความเสยงทจะใชในการจดการระบบอเมลโฮสตง

4

ตำรำงท 1.1 แผนการด าเนนโครงงาน 1 (ตอ) แผนการด าเนน งานรายสปดาห

ม.ค. เม.ย. พ.ค. ม.ย. ก.ค. 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4

6. วเคราะหและประเมนความเสยงระบบความมนคงปลอดภยทางดานเทคโนโลยสารสนเทศใหแกระบบอเมลโฮสตง

7. จดท ารายงานผลลพธทไดจากการประเมนความเสยง

8. สรปผลการด าเนนโครงการ1

1.6.2 แผนการด าเนนโครงงาน 2 ตามตารางท 1.2

ตำรำงท 1.2 แผนการด าเนนโครงงาน 2

แผนการด าเนน งานรายสปดาห

ส.ค. ก.ย. ต.ค. พ.ย. ธ.ค. 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4

1. จดท าแผน, แนวทางในการปฏบต เพอจดการกบความเสยงทตรวจพบ

2. น าเสนอแผน และแนวทางในการปฏบตใหแกหนวยงานและบคคลทเกยวของ

5

ตำรำงท 1.2 แผนการด าเนนโครงงาน 2 (ตอ) แผนการด าเนนงานรายสปดาห

ส.ค. ก.ย. ต.ค. พ.ย. ธ.ค. 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4

3. ด าเนนการตามแผนทไดมการออกแบบไว

4. ท าการตดตามผลการด าเนนงานและปรบปรงเพอ ใหเกดประสทธ ภาพสงสด

5. สรปผลการด าเนนโครงการ 2

6

บทท 2 พนฐำนและทฤษฎทเกยวของ

2.1 ควำมมนคงปลอดภยขอมลสำรสนเทศ (Information Security)[1] ความมนคงปลอดภยขอมลสารสนเทศคอแนวทางการปฏบต โดยมวตถประสงคเพอปองกนขอมลจากการเขาถง, น าไปใชประโยชน, เปดเผย และ เปลยนแปลงแกไข โดยไมไดรบอนญาต โดยน ามาซงความสญเสยทงในแง ทรพยสน ชอเสยง รวมถงโอกาสทางธรกจ ดงนนทกองคกรจงควรตระหนกถงความจ าเปนในการปกปองขอมลเหลานใหมความปลอดภย โดยในปจจบนไดมองคกรมากมาย พยายามน าเสนอมาตรฐานตางๆ เพอใชในการจดการขอมลใหมความปลอดภยและมมาตรฐาน 2.2 องคประกอบหลกของควำมมนคงปลอดภยขอมลสำรสนเทศ ในการพฒนาความมนคงปลอดภยขอมลสารสนเทศนนมสงทจ าเปนและตองน ามาประกอบการพจารณาและจ าแนกวาขอมลตางๆมความปลอดภยหรอไมโดยจะนยมเรยกสนๆวา C-I-A โดยแตละตวอกษรจะแทนถงคณสมบตทสารสนเทศทมความปลอดภยจ าเปนตองมดงตอไปน

2.2.1 การรกษาความลบ (Confidentiality) คอการพดถงการรกษาความลบขอมลเพอเปนการท าใหมนใจวาขอมลตางๆมการปกปองจากผทไมประสงคดตอขอมลนนๆใหไมสามารถเขาถงได โดยอาศยเทคนคและวธการตางๆในการจดการสทธ (Authorization) ของผใชงานใหมความถกตองและเหมาะสมกบความรบผดชอบของแตละบคคล

2.2.2 ความถกตองสมบรณ (Integrity) คอการพดถงการดแลตรวจสอบความถกตองสมบรณของขอมล เพอเปนการท าใหมนใจวาขอมลทน ามาใชนน มความถกตองครบถวน มไดถกเปลยนแปลงแกไข โดยจ าเปนตองมกระบวนการทจะน ามาใชตรวจสอบและยนยนวาขอมลทมอยนนไดถกแกไขหรอไม (Detect)

2.2.3 ความพรอมใช (Availability) คอการพดถง การดแลรกษาและท าใหมนใจวาขอมลตางๆอยในสภาพพรอมใช สามารถเรยกใชหรอเขาถงไดตามทไดมการวางแผนไว โดยจ าเปนตองมการท าความเขาใจถงความจ าเปน และก าหนดระดบความพรอมใช เนองจากแตละขอมลมความจ าเปนในการเขาถงทแตกตางกน เชนบางขอมลอาจจ าเปนตองมความพรอมใชตลอดเวลา แตบางขอมลอาจมความจ าเปนตองเขาถงแคบางชวงเวลา ดตวอยางตามรปท 2.1

7

รปท 2.1 ตวอยางแสดงความสมพนธของ C-I-A 2.3 มำตรฐำนกำรรกษำควำมมนคงปลอดภยสำรสนเทศ (ISO/IEC 27001 – Information Security Management) [2] ISO/IEC 27001:2013 เปนมาตรฐานทใชในการควบคมหรอจดการกบความเสยงทอาจเกดขนกบขอมลหรอระบบทมความเกยวของกบขอมล Information Security Management System (ISMS) โดยแตละองคกรจะตองน ามาตรการตางๆทมกลาวถงใน ISO/IEC 27001:2013 มาใชในการลดหรอก าจด ความเสยงทอาจเกดขนกบขอมลหรอระบบสารสนเทศ โดยหลกการทนยมน ามาใชในการออกแบบและพฒนา ISO/IEC 27001:2013 นน จะนยมน าเอาหลกการของ PDCA มาใชอนประกอบไปดวย วางแผน Plan - ด าเนนการ Do - เฝาระวงและตรวจสอบ Check - ปรบปรง Act มาใชในการด าเนนการดงน

2.3.1 วางแผน ประกอบไปดวยขนตอนดงตอไปน ก าหนด scope และ ขอบเขตการจดท าระบบ ISMS ก าหนด ISMS Policy ก าหนด รปแบบการประเมนความเสยง ก าหนดความเสยง วเคราะห และ ประเมนความเสยง ก าหนดและประเมน วธการเพอลดความเสยง เลอกการควบคม เพอลดความเสยง เหนชอบความเสยงทเหลออยโดย management เหนชอบและประยกตใช ระบบ โดย management จดท า Statement of Applicable(SOA)

2.3.2 ด าเนนการ ประกอบไปดวยขนตอนดงตอไปน

8

ก าหนดแผนการลดความเสยง ด าเนนการตามแผนลดความเสยง ด าเนนการ ตามการควบคมทเลอก ก าหนดการวดประสทธภาพของระบบการควบคม จดท ารายการฝกอบรม จดการการประยกตใชระบบ ประยกตใช ระเบยบปฎบตงาน

2.3.3 เฝาระวงและตรวจสอบ ประกอบไปดวยขนตอนดงตอไปน จดท า ระเบยบปฏบตการ เฝาระวงและตรวจสอบระบบ ISMS ทบทวนประสทธภาพของ ระบบอยางสม าเสมอ วดประสทธภาพการควบคมในการปฏบตตามขอก าหนด ทบทวน การประเมนความเสยงตามแผนความเสยงทเหลอระบบการ

ประเมนความเสยง และการเปลยนแปลงตางๆ ตามรอบเวลาทก าหนด ด าเนนการ ตรวจตดตามภายในระบบISMS ด าเนนการ จดท า management review ปรบปรง security plan ใหทนสมย บนทกการการท างานและหลกฐานทมผลตอประสทธภาพและประสทธผล

ของระบบ 2.3.4 ปรบปรง ประกอบไปดวยขนตอนดงตอไปน

ด าเนนการ corrective action และ preventive action สอสาร วธการและการปรบปรงตางๆ ใหกบผทเกยวของตางๆ แนใจวา วธการทปรบปรงขน บรรลจดประสงคทวางไว

2.4 ขนตอนในกำรบรหำรจดกำรควำมเสยง (ISO/IEC 31000:2009 – Risk Management Process) [3]

ISO/IEC 31000:2009 เปนมาตรฐานทจะพดถงขนตอนในการจดการกบความเสยงทอาจเกดหรอเคยเกดขนมาแลวโดยน ามาใชรวมกนกบมาตรฐาน ISO/IEC 27001:2013 เพอลด, จ ากด หรอท าใหอยในระดบทยอมรบได

ความเสยง (Risk) หมายถง โอกาส หรอ ความไมแนนอน โดยอาจเกดหรอไมเกดขนกได แตหากเกดแลวจะสงผลกระทบ (impact) ไมวาจะโดยตรงหรอโดยออมกบระบบหรอขอมล สารสนเทศขององคกร ดงนนแตละองคกรณจงจ าเปนตองมขนตอนในการบรหารจดการความเสยง ซง ISO/IEC 31000:2009 ไดมการก าหนดขนตอนในการจดการความเสยงดงตอไปน

9

2.4.1 การก าหนดสภาพแวดลอม (Establishing the Context) คอการก าหนดปจจยภายในและภายนอกเพอน าไปสการบรหารความเสยงรวมถงการก าหนดขอบเขตและเกณฑความเสยงส าหรบนโยบาบบรหารความเสยง

2.4.1.1 บรบทภายใน (internal context) หมายถง สภาพแวดลอมภายในทมผลตอการบรรลวตถประสงคขององคกร โดยบรบทภายใน สามารถประกอบดวย.

การก ากบดแล โครงสรางองคกร บทบาท และภาระรบผดชอบ กลยทธเพอใหบรรลตามนโยบายและวตถประสงคทก าหนดไว ขดความสามารถดานทรพยากรและความร (เชน เงนทน เวลา คน

การด าเนนการ ระบบและเทคโนโลย) ระบบสารสนเทศ การรบสงสารสนเทศ และการด าเนนการ

ตดสนใจ (ทงทเปนทางการและไมเปนทางการ) ความสมพนธกบผมสวนไดเสยภายในองคกร มมมองของผมสวน

ไดเสยภายในองคกรและคณคาขององคกรทมตอผมสวนไดเสยภายในองคกร วฒนธรรมองคกร มาตรฐานแนวทางและรปแบบการด าเนนการทรบมาใชในองคกร ระเบยบแบบแผนและความผกพนทางพนธะสญญา

2.4.1.2 บรบทภายนอก (external context) หมายถง สภาพแวดลอมภายนอกทมผลตอการบรรลวตถประสงคขององคกร โดยบรบทภายนอก สามารถประกอบดวย

สงคม วฒนธรรม การเมอง กฎหมาย ขอบงคบ การเงน เทคโนโลย เศรษฐกจ ลกษณะขององคกรและสภาพการแขงขนทางธรกจ ทงในระดบโลก ระดบชาต ระดบภมภาค หรอระดบทองถน

ตวขบเคลอนทส าคญและแนวโนมทจะมผลกระทบตอวตถประสงคขององคกร

ความสมพนธกบผมสวนไดเสยภายนอกองคกร มมมองของผมสวนไดเสยภายนอกองคกรและคณคาขององคกรทมตอผมสวนไดเสยภายนอกองคกร

2.4.2 การคนหาเสยง (Risk Identification) เปนการระบความเสยงตางๆทอาจเกดขนโดยอาศยหลกการของ 5W1H ดงตอไปน

What อะไรคอความเสยง Where ความเสยงจะเกดขนทไหน When เมอไรถงจะเกด Why เหตใดถงเกด How เกดไดอยางไร

10

2.4.3 การวเคราะหความเสยง (Risk Analysis) เปนการวเคราะหเพอก าหนดระดบความเสยงของแตละองคกร

2.4.4 การประเมนความเสยง (Risk Evaluation) การประเมนความเสยงคอการน าเอาภยคกคาม (Vulnerability), ความเสยง (Threat) และโอกาสทจะเกด (Likelihood) มาใชรวมกนเพอประเมนหาระดบความส าคญของแตละความเสยง เพอน าขอมลของแตละความเสยงไปบรหารจดการตอไป

2.4.5 การจดการความเสยง (Risk Treatment) จะกลาวถงการน าเอามาตรการตางๆมาจดการความเสยงทมใหอยในระดบทองคกรสามารถยอมรบได อนประกอบดวย 4 หลกการดงตอไปน

2.4.5.1 การลดความเสยง (Risk Reduction) คอ ความพยายามในการหามาตรการมาใชในการลดความเสยงใหมาอยในระดบทองคกรสามารถยอมรบได

2.4.5.2 การยอมรบความเสยง (Risk Acceptance) คอ การพจารณายอมรบความเสยงทมอย อนเนองมาจากหลายปจจย เชน ขาดงบประมานในการด าเนนการเพอจดการกบความเสยง, ความเสยงนนมผลกบธรกจในวงจ ากดและอาจไมคมกบคาใชจายในการด าเนนการเพอจดการความเสยงนนๆ

2.4.5.3 การหลกเลยงความเสยง (Risk Avoidance) คอ การหลกเลยงความเสยงโดยการยกเลกกระบวนการท างาน หรอทรพยสน ทกอใหเกดความเสยงขน

2.4.5.4 การโอนความเสยง (Risk Transfer) คอ การพจารณาถายโอนความเสยงไปใหหนวยงานหรอผใหบรการภายนอกเขามาดแลแทน

11

บทท 3 กำรด ำเนนงำน

3.1 ขนตอนในกำรด ำเนนงำน เมอไดรบอนญาตจากทางบรษทและหนวยงานทเกยวของ รวมถงอาจารยทปรกษาใหสามารถด าเนนโครงงานไดแลวนน ผจดท าจงไดมการก าหนดวธการและขนตอนปฏบตทใชในการปฏบตงานดงตอไปน 3.1.1 ศกษาโครงสรางองคประกอบรวมถงระบบเทคโนโลยสารสนเทศขององคกร

หลกการและทฤษฎตามบทท 2 เอกสารมาตรฐาน ISO 27001:2013

3.1.2 ก าหนดขอบเขตโครงงาน หารอกบอาจารยและผบรหารในบรษทเพอก าหนดขอบเขต

3.1.3 ก าหนดนโยบายและแผนในการด าเนนโครงงาน จดท าล าดบและขนตอนการปฎบตรวมถงระยะเวลาทคาดวาตองใชในการ

ด าเนนงาน 3.1.4 ท าการประเมนความเสยงตามขอบแขตทก าหนด

จดท ารายการทรพยสนทเกยวของ ท าการประเมนความเสยงตามทฤษฎทไดมการศกษา

3.1.5 ก าหนดแนวทางการจดการความเสยงตามมาตรฐาน ISO/IEC 27001:2013 น าเอามาตรฐาน ISO/IEC 27001:2013 ทไดศกษามาใชในการจดการ,ลด

และโอนยายความเสยงท าการประเมนความเสยงซ าเพอตรวจวดผลหลงการจดการความเสยง 3.1.6 สรปผลการด าเนนโครงงาน

3.2 รำยกำรทรพยสนทเกยวของ

รายการทรพยสนตามตารางท 3.1 ตำรำงท 3.1 รายการทรพยสน

ล าดบ ประเภททรพยสน รหสทรพยสน รายการทรพยสน 1 Hardware MH-HW-MT001 MTA Server 2 Hardware MH-HW-DB001 Database Server 3 Hardware MH-HW-WM001 Webmail Server 4 Hardware MH-HW-MB001 Mailbox Server

ตำรำงท 3.1 รายการทรพยสน (ตอ)

12

ล าดบ ประเภททรพยสน รหสทรพยสน รายการทรพยสน 5 Hardware MH-HW-SW001 Switch 6 Hardware MH-HW-LB001 Load balance server 7 Hardware MH-HW-BU001 Backup Server 8 Hardware MH-HW-LO001 Log Server 9 Hardware MH-HW-DN001 DNS Server 10 Software MH-SW-MS001 Mail service Application 11 Software MH-SW-DB001 Database Application 12 Software MH-SW-WS001 Web Service Application 13 Software MH-SW-OS001 Operating system(Linux) 14 Software MH-SW-BK001 Backup Management Application 15 Software MH-SW-LO001 Log Management Application 16 Software MH-SW-RM001 Remote Application 17 Software MH-SW-DN001 DNS Application 18 Information MH-IN001 E-Mail Data 19 Information MH-IN002 Username/Password 20 Information MH-IN003 User profile setting 21 Information MH-IN004 Log data 22 Information MH-IN005 Application Configurations 23 Personal MH-P001 Service Owner 24 Personal MH-P002 Service Manager 25 Personal MH-P003 Admin 26 Personal MH-P004 User 27 Service MH-SV001 Building and Facilities Provider 28 Service MH-SV002 Internet Service Provider

13

3.3 โครงสรำงองคกร (Organization chart) บรษท เอนทท คอมมวนเคชนส (ประเทศไทย) จ ากด มโครงสรางองคกรตามรปท 3.1

รปท 3.1 แผนผงโครงสรางองคกร 3.4 ก ำหนดระดบผลกระทบ (Impact)

3.4.1 ผลกระทบดานการเงน จะพจารณามลคาทไดรบผลกระทบตอสนทรพยรวมถงการเสยโอกาสทางการคาและการแขงขนตามตารางท 3.2

ตำรำงท 3.2 ผลกระทบดานการเงน ระดบผลกระทบ ระดบคะแนน รายละเอยด

สงมาก 5 ผลกระทบสงมาก มมลคาความเสยหายมากกวา 1 ลานบาท

สง 4 ผลกระทบสง มมลคาความเสยหายมากกวา 5 แสนบาท

ปานกลาง 3 ผลกระทบปานกลาง มมลคาความเสยหายมากกวา 2 แสนบาท

ประธาน

รองประธาน

ฝายกจการภายใน/ทรพยากรมนษย

ฝายขาย พเศษ

ฝายขาย

ฝายขายกจการตางประเทศ

ฝายวศวกรตดตง

ฝายวศวกรปฏบตการ/บ ารงรกษา

ฝายวางแผนธรกจ/จดซอ

14

ตำรำงท 3.2 ผลกระทบดานการเงน (ตอ) ระดบผลกระทบ ระดบคะแนน รายละเอยด

ต า 2 ผลกระทบต ามมลคาความเสยหายมากกวา 5 หมนบาท

ต ามาก 1 ผลกระทบต ามาก มมลคาความเสยหายต ากวา 5 หมนบาท

3.4.2 ผลกระทบดานชอเสยงจะพจารณาจากชอเสยงทไดรบผลกระทบตอสนทรพยตาม

ตารางท 3.3 ตำรำงท 3.3 ผลกระทบดานชอเสยง

ระดบผลกระทบ ระดบคะแนน รายละเอยด สงมาก 5 กระทบตอชอเสยงและความนาเชอถออยางมากท าให

เกดการตอตานตอสาธารณะ เชน ชมนมประทวง สง 4 กระทบตอชอเสยงและความนาเชอถออยางมากท าให

เกดการคดคานจากสอสาธารณะเชน มการเผยแพรทางอนเตอรเนตหรอหนาหนงสอพมพ

ปานกลาง 3 กระทบตอชอเสยงและความนาเชอถอปานกลางท าใหเกดการวจารณจากสอสาธารณะเชน มการเผยแพรทางอนเตอรเนตหรอหนาหนงสอพมพ

ต า 2 กระทบตอชอเสยงและความนาเชอถอต าเชนการรองเรยนหรอแนะน าผานโทรศพหรออเมล

ต ามาก 1 กระทบตอชอเสยงและความนาเชอถอต ามากหรอไมกระทบ

3.4.3 ผลกระทบตอการใหบรการ จะพจารณาจากการด าเนนงานทไดรบผลกระทบตอ

สนทรพยตามตารางท 3.4 ตำรำงท 3.4 ผลกระทบตอการใหบรการ

ระดบผลกระทบ ระดบคะแนน รายละเอยด สงมาก 5 กระทบตอการใหบรการมากกวา 1 ชวโมง สง 4 กระทบตอการใหบรการมากกวา 30 นาท

ปานกลาง 3 กระทบตอการใหบรการมากกวา 10 นาท

ต า 2 กระทบตอการใหบรการมากกวา 5 นาท

ต ามาก 1 กระทบตอการใหบรการต ากวา 5 นาท

15

3.4.4 ผลกระทบตอกฎหมาย จะพจารณาจากล าดบความส าคญของกฎหมายหรอ ขอก าหนดรวมถงขอสญญาทไดรบผลกระทบตอสนทรพยตามตารางท 3.5

ตำรำงท 3.5 ผลกระทบตอกฎหมาย ระดบผลกระทบ ระดบคะแนน รายละเอยด สงมาก 5 มความเกยวของกบกฎหมายในแตละประเทศ สง 4 มความเกยวของกบสญญากบคคา หรอ ลกคา

ปานกลาง 3 มความเกยวของกบขอบงคบทองถน หรอขอตกลงทวไป

ต า 2 มความเกยวของกบความคาดหวงของบคลากร

ต ามาก 1 ไมมความเกยวของกบกฎหมายหรอขอตกลงใดๆ

3.5 กำรก ำหนดโอกำสในกำรเกด (Likelihood)

โอกาสในการเกดผลกระทบ เชงปรมาน คอ สถตจ านวนการเกดเหตการณในอดต, เชงคณภาพ คอ ลกษณะหรอแนวทางการปฎบต ตามตารางท 3.6

ตำรำงท 3.6 โอกาสในการเกด สงมาก (5) สง (4) ปานกลาง (3) นอย(2) นอยทสด(1) มโอกาสเกดไดทกวน

เกดขนทก เดอน

เกดขนทกป เกดขน 2 ป /ครง

ไมเคยเกดขน

ไมมการใหความรและไมมการจดท าขอปฏบต

มการใหความรและ/หรอมการจดท าขอปฏบตแกผใชและเจาหนาทใหม

มการใหความรและ/หรอมการจดท าขอปฏบตแกผใชและเจาหนาททกทกป

มการใหความรและ/หรอมการจดท า และปรบปรงขอปฏบตแกผใชและเจาหนาททกทกป

มการใหความรและ/หรอมการจดท า และปรบปรงขอปฏบตแกผใชและเจาหนาททกทก 6 เดอน

3.6 กำรจดระดบควำมเสยง (Risk evaluation) 3.6.1 การจดระดบความเสยงโดยการค านวนจากสมการดงน

ระดบความเสยง (Risk value) = ระดบโอกาสเกด (Likelihood) x ระดบผลกระทบ (Impact) 3.6.2 โดยมการก าหนด ”เกณฑการประเมนระดบความเสยง” รวมถง ”ระดบความเสยงและความสมพนธของผลกระทบและโอกาสเกด” ตามตารางท 3.7 และตารางท 3.8 ตามล าดบ

16

ตำรำงท 3.7 เกณฑการประเมนระดบความเสยง ระดบความเสยง ความหมาย 1-3 ความเสยงต ามาก 4-8 ความเสยงต า 9-15 ความเสยงปานกลาง 16-25 ความเสยงสง

ตำรำงท 3.8 ระดบความเสยงและความสมพนธของผลกระทบและโอกาสเกด

Risk value Likelihood factor นอยทสด (1) นอย (2) ปานกลาง (3) สง (4) สงมาก (5)

Impa

ct fac

tor

นอยทสด (1) 1 2 3 4 5 นอย (2) 2 4 6 8 10 ปานกลาง (3) 3 6 9 12 15 สง (4) 4 8 12 16 20 สงมาก (5) 5 10 15 20 25

3.7 กำรจดกำรควำมเสยง (Risk Treatment)

3.7.1 การลดความเสยง (Risk Reduction) คอ ความพยายามในการหามาตรการมาใชในการลดความเสยงใหมาอยในระดบทองคกรสามารถยอมรบได

3.7.2 การยอมรบความเสยง (Risk Acceptance) คอ การพจารณายอมรบความเสยงทมอย อนเนองมาจากหลายปจจย เชน ขาดงบประมาณในการด าเนนการเพอจดการกบความเสยง, ความเสยงนนมผลกบธรกจในวงจ ากดและอาจไมคมกบคาใชจายในการด าเนนการเพอจดการความเสยงนนๆ

3.7.3 การหลกเลยงความเสยง (Risk Avoidance) คอ การหลกเลยงความเสยงโดยการยกเลกกระบวนการท างาน หรอทรพยสน ทกอใหเกดความเสยงขน

3.7.4 การโอนความเสยง (Risk Transfer) คอ การพจารณาถายโอนความเสยงไปใหหนวยงานหรอผใหบรการภายนอกเขามาดแลแทน 3.8 กำรประเมนควำมเสยงหลงกำรจดกำรควำมเสยง

การประเมนความเสยงหลงการจดการความเสยง เพอตรวจสอบผลการจดการความเสยงทไดด าเนนการตามแนวทางจดการความเสยงแลว เพอเปนการยนยนวาความเสยงของระบบเทคโนโลยสารสนเทศขององคกรมระดบของความเสยงลดลงมาหรอมการบรหารจดการทด และความเสยงลดลงตามทองคการยอมรบไดหรอไม

17

บทท 4 ผลกำรด ำเนนงำน

4.1 บทน ำ ผจดท าโครงงานไดน าขอมลทรพยสนตางๆทไดมการรวบรวมไวเพอน ามาใชในการประเมนความเสยงรวมถงตดตามผลการด าเนนงานเมอสนสดโครงการ เพอวดผลส าเรจจากการด าเนนโครงการ โดยจะเรมจากการประเมนความเสยงโดยอาศยขอมลตางๆทมการระบไวในบทท 3 มาใชในการประเมนความเสยง และเมอไดรายการความเสยงทมโอกาสเกดกบระบบมาแลวกจะน ามาวเคราะหเพอเลอกหามาตรการตางๆทมการระบไวใน ISO/IEC 27001:2013 มาใชเพอท าการจดการกบความเสยงทม และเมอท าการจดการความเสยงทมทงหมดแลวกจะท าการประเมนความเสยงอกครงเพอวดผลความส าเรจหลงการด าเนนการ โดยหากตรวจพบความเสยงทยงคงหลงเหลออยกจะท าการคดเลอกมาตรการเพอน ามาใชในการจดการความเสยงซ าอกครงเพอใหแนใจวา ความเสยงทมทงหมดนนถกจดการหรอถกลดระดบจนอยในระดบทสามารถยอมรบได

18

4.2 ผลกำรประเมนควำมเสยง ผลการประเมนความเสยงกอนการด าเนนการควบคมความเสยงตามตารางท 4.1

ตำรำงท 4.1 ตารางการประเมนความเสยง ล าดบ ประเภท รายการ

ตรวจสอบ ความเสยง F O R C โอกาส ระดบความ

เสยง 1 Hardware MTA Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง 5 5 2 4 5 สง

2 Hardware MTA Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก

1 2 2 4 1 ต ามาก

3 Hardware MTA Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ

1 1 3 2 5 กลาง

4 Hardware MTA Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ

1 5 3 4 5 สง

5 Hardware MTA Server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ

2 5 2 2 5 กลาง

6 Hardware MTA Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด 5 5 3 4 1 ต า 7 Hardware Database

Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง 3 5 2 4 5 สง

8 Hardware Database Server

อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก

1 2 2 4 1 ต ามาก

19

ตำรำงท 4.1 ตารางการประเมนความเสยง (ตอ) ล าดบ ประเภท รายการ


เสยง 9 Hardware Database

Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ

1 1 3 2 5 กลาง


อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ

1 5 3 4 5 สง


อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ

2 5 2 2 5 กลาง


อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด 3 5 3 4 1 ต ามาก

13 Hardware Webmail Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง 3 5 2 4 5 สง 14 Hardware Webmail Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟ

กระชาก 1 2 2 4 1 ต ามาก

15 Hardware Webmail Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ

1 1 3 2 5 กลาง

16 Hardware Webmail Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ

1 5 3 4 5 สง

17 Hardware Webmail Server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ

2 5 2 2 5 กลาง

18 Hardware Webmail Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด 3 5 3 4 1 ต า 19 Hardware Mailbox Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง 4 5 2 4 5 สง

20

ตำรำงท 4.1 ตารางการประเมนความเสยง (ตอ)

ล าดบ ประเภท รายการตรวจสอบ

ความเสยง F O R C โอกาส ร ะ ดบ ค ว า มเสยง

20 Hardware Mailbox Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก

1 2 2 4 1 ต ามาก

21 Hardware Mailbox Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ

1 1 3 2 5 กลาง

22 Hardware Mailbox Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ

1 5 3 4 5 สง

23 Hardware Mailbox Server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ

2 5 2 2 5 กลาง

24 Hardware Mailbox Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด 4 5 3 4 1 ต า 25 Hardware Switch อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง 2 5 2 4 5 สง 26 Hardware Switch อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟ


27 Hardware Switch ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ

1 1 3 2 5 กลาง

28 Hardware Switch อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ

1 5 3 4 5 สง

29 Hardware Switch อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากร ระบบไมเพยงพอ

2 5 2 2 5 กลาง

21



ความเสยง F O R C โอกาส ระดบความเสยง

30 Hardware Switch อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด 2 5 3 4 1 ต า 31 Hardware Load balance

server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง 5 5 2 4 5 สง

32 Hardware Load balance server


1 2 2 4 1 ต ามาก


ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ

1 1 3 2 5 กลาง



1 5 3 4 5 สง



5 5 2 2 5 สง


อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด 5 5 3 4 1 ต า

37 Hardware Backup Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง 2 5 2 2 5 กลาง 38 Hardware Backup Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟ


22




39 Hardware Backup Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ

1 1 3 2 5 กลาง

40 Hardware Backup Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ

1 5 3 2 5 กลาง

41 Hardware Backup Server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ

2 5 2 2 5 กลาง

42 Hardware Backup Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด 2 5 3 4 1 ต า 43 Hardware Log Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง 2 5 2 2 5 กลาง

44 Hardware Log Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก

1 2 2 2 1 ต ามาก

45 Hardware Log Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ

1 1 3 2 5 กลาง

46 Hardware Log Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ

1 5 3 2 5 กลาง

47 Hardware Log Server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ

2 5 2 2 5 กลาง

48 Hardware Log Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด 2 5 3 4 1 ต า 49 Hardware DNS Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง 3 5 2 4 5 สง

23




50 Hardware DNS Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก

1 2 2 4 1 ต ามาก

51 Hardware DNS Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ

1 1 3 2 5 กลาง

52 Hardware DNS Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ

1 5 3 4 5 สง

53 Hardware DNS Server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ

2 5 2 2 5 กลาง

54 Hardware DNS Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด 3 5 3 4 1 ต า 55 Software Mail service

Application ระบบถกเขาถงโดยไมมสทธเนองจากผดแลระบบไมไดท าการLogout

1 5 3 2 5 กลาง

56 Software Mail service Application

ระบบหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ

1 5 3 4 5 สง


ระบบหยดหรอไมสามารถใหบรการไดเตมประสทธภาพเนองจากการโจมตจาก DDOS Attack

1 5 2 4 4 กลาง


ระบบถกเขาถงเนองจากรหสผานงายตอการคาดเดา 1 5 2 2 5 กลาง

24





ระบบถกเขาถงเนองจากถกดกจบรหสผาน 1 5 2 2 1 ต ามาก


ระบบท างานผดพลาด หรอท างานชาลงเนองจากมโคด ไมประสงคด

1 5 3 4 1 ต ามาก


ระบบหยดใหบรการเน องจากมการเปลยนแปลงการตงคา /ปรบปรงระบบ

1 5 2 4 4 กลาง


ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต 1 5 1 2 4 กลาง

63 Software Database Application

ระบบถกเขาถงโดยไมมสทธเนองจากผดแลระบบไมไดท าการLogout

1 5 3 2 5 กลาง



1 5 3 4 5 สง


ระบบถกเขาถงเนองจากรหสผานงายตอการคาดเดา 1 5 3 4 5 สง



25






1 5 3 4 1 ต ามาก



1 5 2 4 5 กลาง



70 Software Web Service Application


1 5 3 4 5 สง



1 5 2 4 4 กลาง



1 5 3 4 1 ต ามาก



1 5 2 4 5 กลาง



26




75 Software Operating system(Linux)


1 5 3 4 5 สง



1 5 3 4 5 สง


ระบบถกเขาถงเนองจากรหสผานคาดเดาไดงาย 1 5 3 4 5 สง




ระบบท างานผดพลาด หรอท างานชาลงเน องจากมโคดไมประสงคด

1 5 3 4 1 ต ามาก



1 5 2 4 5 กลาง



82 Software Backup Management Application


1 5 3 4 5 สง

27





ระบบท างานผดพลาด หรอท างานชาลงเน องจากมโคดไมประสงคด

1 5 3 4 1 ต ามาก



1 5 2 4 5 กลาง



86 Software Log Management Application


1 5 3 4 5 สง



1 5 3 4 1 ต ามาก

28






1 5 2 4 5 กลาง



90 Software Remote Application


1 5 3 4 5 สง



1 5 3 2 1 ต ามาก



1 5 1 2 5 กลาง



94 Software DNS Application


1 5 3 4 5 สง

29






1 5 3 4 1 ต ามาก



1 5 2 4 5 กลาง



98 Information E-Mail Data ขอมลถกเขาถงจากผทไมมสทธ 1 1 3 4 1 ต ามาก

99 Information E-Mail Data ขอมลถกแกไขจากผทไมมสทธ 1 5 3 4 1 ต ามาก

100 Information E-Mail Data ขอมลถกลกลอบท าส าเนาและน าไปเผยแพร 1 1 3 4 1 ต ามาก

101 Information E-Mail Data ขอมลสญหายจากการไมส ารองขอมล 1 5 3 4 1 ต ามาก

102 Information E-Mail Data ขอมลรวไหลเนองจากตดคางในสอบนทกทเลกใชหรอน ามาใชไหม

1 1 3 4 4 กลาง

103 Information E-Mail Data ขอมลรวไหลระหวางการรบสง 1 1 3 4 1 ต ามาก

104 Information Username/Password

ขอมลถกเขาถงจากผทไมมสทธ 1 1 3 4 1 ต ามาก


ขอมลถกแกไขจากผทไมมสทธ 1 5 3 4 1 ต ามาก

30





ขอมลถกลกลอบท าส าเนาและน าไปเผยแพร 1 1 3 4 1 ต ามาก


ขอมลสญหายจากการไมส ารองขอมล 1 5 3 4 1 ต ามาก


ขอมลรวไหลเนองจากตดคางในสอบนทกทเลกใชหรอน ามาใชไหม

1 1 3 4 4 กลาง


ขอมลรวไหลระหวางการรบสง 1 1 3 4 1 ต ามาก

110 Information User profile setting

ขอมลถกเขาถงจากผทไมมสทธ 1 1 3 4 1 ต ามาก






ขอมลสญหายจากการไมส ารองขอมล 1 5 3 4 1 ต ามาก

31






1 1 3 4 4 กลาง



116 Information Log data ขอมลถกเขาถงจากผทไมมสทธ 1 1 3 4 1 ต ามาก

117 Information Log data ขอมลถกแกไขจากผทไมมสทธ 1 5 3 4 1 ต ามาก

118 Information Log data ขอมลถกลกลอบท าส าเนาและน าไปเผยแพร 1 1 3 4 1 ต ามาก

119 Information Log data ขอมลสญหายจากการไมส ารองขอมล 1 5 3 4 1 ต ามาก

120 Information Log data ขอมลรวไหลเนองจากตดคางในสอบนทกทเลกใชหรอน ามาใชไหม

1 1 3 4 4 กลาง

121 Information Log data ขอมลรวไหลระหวางการรบสง 1 1 3 4 1 ต ามาก 122 Information Application

Configurations ขอมลถกเขาถงจากผทไมมสทธ 1 1 1 2 1 ต ามาก

123 Information Application Configurations




32





ขอมลสญหายจากการไมส ารองขอมล 1 5 2 2 3 ต า



1 1 3 2 4 ต า



128 Personal Service Owner ไมใหความรวมมอในการสรางความมนคงปลอดภยสารสนเทศ 1 1 1 2 1 ต ามาก

129 Personal Service Owner ละเมดนโยบายความมนคงสารสนเทศ เนองจากละเลยหรอจงใจ

1 1 1 2 3 ต ามาก

130 Personal Service Owner ขาดความรหรอทกษะในเทคโนโลยทเกยวของท าใหการรกษาความมนคงปลอดภยเปนเรองยาก

1 1 1 2 2 ต ามาก

131 Personal Service Manager

ไมใหความรวมมอในการสรางความมนคงปลอดภยสารสนเทศ 1 1 1 2 1 ต ามาก


ละเมดนโยบายความมนคงสารสนเทศ เนองจากละเลยหรอจงใจ

1 1 1 2 3 ต า


ขาดความรหรอทกษะในเทคโนโลยทเกยวของท าใหการรกษาความมนคงปลอดภยเปนเรองยาก

1 1 1 2 2 ต ามาก

33




134 Personal Admin ไมใหความรวมมอในการสรางความมนคงปลอดภยสารสนเทศ 1 1 1 2 5 ต า 135 Personal Admin ละเมดนโยบายความมนคงสารสนเทศ เนองจากละเลยหรอจง

ใจ 1 1 1 4 5 กลาง

136 Personal Admin ขาดความรหรอทกษะในเทคโนโลยทเกยวของท าใหการรกษาความมนคงปลอดภยเปนเรองยาก

1 1 1 2 4 ต า

137 Personal User ขาดความเขาใจของความส าคญในการรกษาความมนคงปลอดภยท าใหการรกษาความปลอดภยเปนเรองยาก

1 1 1 4 4 ต า

138 Personal User ละเมดนโยบายความมนคงสารสนเทศ เนองจากละเลยหรอจงใจ

1 1 1 4 4 ต า

139 Personal User ขาดความรหรอทกษะในเทคโนโลยทเกยวของท าใหการรกษาความมนคงปลอดภยเปนเรองยาก

1 1 1 4 4 ต า

140 Service Building and Facilities Provider

การใหบรการหยดชะงกเนองจากอคคภย 1 5 3 4 1 ต ามาก


การใหบรการหยดชะงกเนองจากอทกภย 1 5 3 4 1 ต ามาก

34





การใหบรการหยดชะงกเนองจากพาย 1 5 3 4 1 ต ามาก


การใหบรการหยดชะงกเนองจากระบบไฟฟาขดของ 1 5 3 4 2 ต า


การใหบรการหยดชะงกเนองจากการชมนมประทวง 1 5 3 4 1 ต ามาก


การใหบรการหยดชะงกเนองจากบคคลภายนอกสามารถเขาถงโดยไมไดรบอนญาต

1 5 3 4 1 ต ามาก

146 Service Internet Service Provider

การใหบรการหยดชะงกเนองจากผใหบรการอนเทอรเนตไมสามารถบรการไดเนองจากสายขาด

1 5 3 4 1 ต ามาก

35

สรปจ านวนความเสยงกอนการด าเนนโครงงานแบงตามประเภท ความเสยงโดยรวม,ความเสยง Hardware, ความเสยง Software, ความเสยง Information, ความเสยง Personal, ความเสยง Service ตามตารางท 4.2, ตารางท 4.3, ตารางท 4.4, ตารางท 4.5, ตารางท 4.6, ตารางท 4.7 ตามล าดบ

ตำรำงท 4.2 สรปความเสยงรวมกอนการด าเนนโครงงาน ระดบความเสยง สง ปานกลาง ต า ต ามาก รวม จ านวน 26 47 19 54 146

ตำรำงท 4.3 สรปความเสยง Hardware กอนการด าเนนโครงงาน ระดบความเสยง สง ปานกลาง ต า ต ามาก รวม จ านวน 15 21 9 9 54

ตำรำงท 4.4 สรปความเสยง Software กอนการด าเนนโครงงาน ระดบความเสยง สง ปานกลาง ต า ต ามาก รวม จ านวน 11 21 0 11 43

ตำรำงท 4.5 สรปความเสยง Information กอนการด าเนนโครงงาน ระดบความเสยง สง ปานกลาง ต า ต ามาก รวม จ านวน 0 4 2 24 30

ตำรำงท 4.6 สรปความเสยง Personal กอนการด าเนนโครงงาน ระดบความเสยง สง ปานกลาง ต า ต ามาก รวม จ านวน 0 1 7 4 12

ตำรำงท 4.7 สรปความเสยง Service กอนการด าเนนโครงงาน

ระดบความเสยง สง ปานกลาง ต า ต ามาก รวม จ านวน 0 0 1 6 7

36

4.3 แผนกำรจดกำรควำมเสยง แผนการควบคมความเสยงโดยการประยกตใชตวควบคมตามมาตรฐาน ISO/IEC 27001 ตามตารางท 4.8

ตำรำงท 4.8 ตารางการจดการความเสยง ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม

1 Hardware MTA Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง สง ด าเนนการ A.11.2.4 Equipment maintenance


ต ามาก ด าเนนการ A.11.2.2 Supporting utilities


กลาง ด าเนนการ A.9.4.1 Information access restriction


สง ด าเนนการ A.9.4.1 Information access restriction


กลาง ด าเนนการ A.12.1.3 Capacity management

6 Hardware MTA Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด

ต า ด าเนนการ A.11.2.1 Equipment siting and protection

7 Hardware Database Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง สง ด าเนนการ A.11.2.4 Equipment maintenance

37

ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม

8 Hardware Database Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก


9 Hardware Database Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ


10 Hardware Database Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ


11 Hardware Database Server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ


12 Hardware Database Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด

ต ามาก ด าเนนการ A.11.2.1 Equipment siting and protection

13 Hardware Webmail Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง สง ด าเนนการ A.11.2.4 Equipment maintenance

14 Hardware Webmail Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก




16 Hardware Webmail Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและปลยนแปลงการตงคาจากผไมมสทธ


38

ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม 17 Hardware Webmail Server อปกรณไมสามารถใหบรการไดเตมทเนองจาก

ทรพยากรระบบไมเพยงพอ กลาง ด าเนนการ A.12.1.3 Capacity

management

18 Hardware Webmail Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด


19 Hardware Mailbox Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง สง ด าเนนการ A.11.2.4 Equipment maintenance









24 Hardware Mailbox Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด


25 Hardware Switch อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง สง ด าเนนการ A.11.2.4 Equipment maintenance

39

ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม 26 Hardware Switch อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบ

หรอไฟตก-ไฟกระชาก ต ามาก ด าเนนการ A.11.2.2 Supporting

utilities 27 Hardware Switch ขอมลการตงคาของอปกรณรวไหลเนองจากถก

เขาถงการตงคาจากผไมมสทธ กลาง ด าเนนการ A.9.4.1 Information

access restriction 28 Hardware Switch อปกรณหยดหรอไมสามารถท างานไดเตม

ประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ


29 Hardware Switch อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ


30 Hardware Switch อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด



อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง สง ด าเนนการ A.11.2.4 Equipment maintenance








อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและปลยนแปลงการตงคาจากผไมมสทธ


40

ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม 35 Hardware Load balance

server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ

สง ด าเนนการ A.12.1.3 Capacity management


อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด


37 Hardware Backup Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง กลาง ด าเนนการ A.11.2.4 Equipment maintenance

38 Hardware Backup Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก




40 Hardware Backup Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและปลยนแปลงการตงคาจากผไมมสทธ




42 Hardware Backup Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด


43 Hardware Log Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง กลาง ด าเนนการ A.11.2.4 Equipment maintenance

41

ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม 44 Hardware Log Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบ

หรอไฟตก-ไฟกระชาก ต ามาก ด าเนนการ A.11.2.2 Supporting

utilities 45 Hardware Log Server ขอมลการตงคาของอปกรณรวไหลเนองจากถก

เขาถงการตงคาจากผไมมสทธ กลาง ด าเนนการ A.9.4.1 Information

access restriction 46 Hardware Log Server อปกรณหยดหรอไมสามารถท างานไดเตม

ประสทธภาพเนองจากถกเขาถงและปลยนแปลงการตงคาจากผไมมสทธ




48 Hardware Log Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด


49 Hardware DNS Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง สง ด าเนนการ A.11.2.4 Equipment maintenance





52 Hardware DNS Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและปลยนแปลงการตงคาจากผไมมสทธ


42

ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม 53 Hardware DNS Server อปกรณไมสามารถใหบรการไดเตมทเนองจาก

ทรพยากรระบบไมเพยงพอ กลาง ด าเนนการ A.12.1.3 Capacity

management 54 Hardware DNS Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผ

ไมประสงคด ต า ด าเนนการ A.11.2.1 Equipment

siting and protection 55 Software Mail service

Application ระบบถกเขาถงโดยไมมสทธเนองจากผดแลระบบไมไดท าการLogout

กลาง ด าเนนการ A.9.4.2 Secure log-on procedures



สง ด าเนนการ A.12.6.1 Management of technical vulnerabilities





ระบบถกเขาถงเนองจากรหสผานงายตอการคาดเดา

กลาง ด าเนนการ A.9.4.3 Password management system


ระบบถกเขาถงเนองจากถกดกจบรหสผาน ต ามาก ด าเนนการ A.13.1.1 Network controls

43

ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม 60 Software Mail service

Application ระบบท างานผดพลาดหรอท างานชาลงเนองจากมโคดไมประสงคด

ต ามาก ด าเนนการ A.9.4.5 Access control to program source code


ระบบหยดใหบรการเนองจากมการเปลยนแปลงการตงคา/ปรบปรงระบบ

กลาง ด าเนนการ A.12.1.2 Change management


ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต กลาง ด าเนนการ A.12.1.2 Change management



กลาง ด าเนนการ A.9.4.2 Secure log-on procedures






สง ด าเนนการ A.9.4.3 Password management system



44

ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม 67 Software Database

Application ระบบท างานผดพลาดหรอท างานชาลงเนองจากมโคดไมประสงคด











ระบบหยดหรอไมสามารถใหบรการไดเตมประสทธภาพเนองจากการโจมตจากDDOS Attack



ระบบท างานผดพลาด หรอท างานชาลงเนองจากมโคดไมประสงคด

ต ามาก ด าเนนการ A.9.4.4 Use of privileged utility programs A.9.4.5 Access control to program source code

45

ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม 73 Software Web Service

Application ระบบหยดใหบรการเนองจากมการเปลยนแปลงการตงคา/ปรบปรงระบบ






สง ด าเนนการ A.9.4.2 Secure log-on procedures





ระบบถกเขาถงเนองจากรหสผานคาดเดา ไดงาย

สง ด าเนนการ A.9.4.3 Password management system






46

ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม 80 Software Operating

system(Linux) ระบบหยดใหบรการเนองจากมการเปลยนแปลงการตงคา/ปรบปรงระบบ





ระบบหยดหรอไมสามารถท างานไดเตมประสทธ ภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ











ระบบหยดหรอไมสามารถท างานไดเตมประสทธ ภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ


47

ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม 87 Software Log

Management Application












ระบบท างานผดพลาดหรอท างานชาลงเนองจากมโคดไมประสงคด







48

ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการ

ตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม





ระบบท างานผดพลาดหรอท างานชาลงเนองจากมโคดไมประสงคด







98 Information E-Mail Data ขอมลถกเขาถงจากผทไมมสทธ ต ามาก ด าเนนการ A.9.4.1 Information access restriction

99 Information E-Mail Data ขอมลถกแกไขจากผทไมมสทธ ต ามาก ด าเนนการ A.9.4.1 Information access restriction

100 Information E-Mail Data ขอมลถกลกลอบท าส าเนาและน าไปเผยแพร ต ามาก ด าเนนการ A.9.4.1 Information access restriction

101 Information E-Mail Data ขอมลสญหายจากการไมส ารองขอมล ต ามาก ด าเนนการ A.12.3.1 Information backup

49



102 Information E-Mail Data ขอมลรวไหลเนองจากตดคางในสอบนทกทเลกใชหรอน ามาใชไหม

กลาง ด าเนนการ A.11.2.7 Secure disposal or reuse of equipment

103 Information E-Mail Data ขอมลรวไหลระหวางการรบสง ต ามาก ด าเนนการ A.13.1.1 Network controls 104 Information Username/Pas

sword ขอมลถกเขาถงจากผทไมมสทธ ต ามาก ด าเนนการ A.9.4.1 Information access

restriction A.10.1.1 Policy on the use of cryptographic controls


ขอมลถกแกไขจากผทไมมสทธ ต ามาก ด าเนนการ A.9.4.1 Information access restriction A.10.1.1 Policy on the use of cryptographic controls


ขอมลถกลกลอบท าส าเนาและน าไปเผยแพร

ต ามาก ด าเนนการ A.9.4.1 Information access restriction


ขอมลสญหายจากการไมส ารองขอมล ต ามาก ด าเนนการ A.12.3.1 Information backup





ขอมลรวไหลระหวางการรบสง ต ามาก ด าเนนการ A.13.1.1 Network controls

50

ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม 110 Information User profile setting ขอมลถกเขาถงจากผทไมมสทธ ต ามาก ด าเนนการ A.9.4.1 Information

access restriction 111 Information User profile setting ขอมลถกแกไขจากผทไมมสทธ ต ามาก ด าเนนการ A.9.4.1 Information

access restriction 112 Information User profile setting ขอมลถกลกลอบท าส าเนาและน าไป

เผยแพร ต ามาก ด าเนนการ A.9.4.1 Information

access restriction 113 Information User profile setting ขอมลสญหายจากการไมส ารองขอมล ต ามาก ด าเนนการ A.12.3.1 Information

backup 114 Information User profile setting ขอมลรวไหลเนองจากตดคางในสอ

บนทกทเลกใชหรอน ามาใชไหม กลาง ด าเนนการ A.11.2.7 Secure disposal

or reuse of equipment 115 Information User profile setting ขอมลรวไหลระหวางการรบสง ต ามาก ด าเนนการ A.13.1.1 Network

controls 116 Information Log data ขอมลถกเขาถงจากผทไมมสทธ ต ามาก ด าเนนการ A.9.4.1 Information

access restriction 117 Information Log data ขอมลถกแกไขจากผทไมมสทธ ต ามาก ด าเนนการ A.9.4.1 Information

access restriction 118 Information Log data ขอมลถกลกลอบท าส าเนาและน าไป

เผยแพร ต ามาก ด าเนนการ A.9.4.1 Information

access restriction 119 Information Log data ขอมลสญหายจากการไมส ารองขอมล ต ามาก ด าเนนการ A.12.3.1 Information

backup

51



120 Information Log data ขอมลรวไหลเนองจากตดคางในสอบนทกทเลกใชหรอน ามาใชไหม


121 Information Log data ขอมลรวไหลระหวางการรบสง ต ามาก ด าเนนการ A.13.1.1Network controls 122 Information Application

Configurations ขอมลถกเขาถงจากผทไมมสทธ ต ามาก ด าเนนการ A.9.4.1 Information

access restriction 123 Information Application

Configurations ขอมลถกแกไขจากผทไมมสทธ ต ามาก ด าเนนการ A.9.4.1 Information


Configurations ขอมลถกลกลอบท าส าเนาและน าไปเผยแพร ต ามาก ด าเนนการ A.9.4.1 Information


Configurations ขอมลสญหายจากการไมส ารองขอมล ต า ด าเนนการ A.12.3.1 Information

backup 126 Information Application

Configurations ขอมลรวไหลเนองจากตดคางในสอบนทกทเลกใชหรอน ามาใชไหม

ต า ด าเนนการ A.11.2.7 Secure disposal or reuse of equipment


ขอมลรวไหลระหวางการรบสง ต ามาก ด าเนนการ A.13.1.1 Network controls

128 Personal Service Owner ไมใหความรวมมอในการสรางความมนคงปลอดภยสารสนเทศ

ต ามาก ด าเนนการ A.7.2.3 Disciplinary process



52

ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม 130 Personal Service Owner ขาดความรหรอทกษะในเทคโนโลยท

เกยวของท าใหการรกษาความมนคงปลอดภยเปนเรองยาก

ต ามาก ด าเนนการ A.7.2.2 Information security awareness, education and training

131 Personal Service Manager ไมใหความรวมมอในการสรางความมนคงปลอดภยสารสนเทศ


132 Personal Service Manager ละเมดนโยบายความมนคงสารสนเทศเนองจากละเลยหรอจงใจ

ต า ด าเนนการ A.7.2.3 Disciplinary process

133 Personal Service Manager ขาดความรหรอทกษะในเทคโนโลยทเกยวของท าใหการรกษาความมนคงปลอดภยเปนเรองยาก

ต ามาก ด าเนนการ A.7.2.2 Information security awareness, education and training

134 Personal Admin ไมใหความรวมมอในการสรางความมนคงปลอดภยสารสนเทศ


135 Personal Admin ละเมดนโยบายความมนคงสารสนเทศเนองจากละเลยหรอจงใจ

กลาง ด าเนนการ A.7.2.3 Disciplinary process


ต า ด าเนนการ A.7.2.2 Information security awareness, education and training

53

ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบ

ความเสยง สถานะ ตวควบคม


ต า ด าเนนการ A.7.2.2 Information security awareness, education and training A.7.2.3 Disciplinary process

138 Personal User ละเมดนโยบายความมนคงสารสนเทศเนองจากละเลยหรอจงใจ



ต า ด าเนนการ A.7.2.2 Information security awareness, education and training


การใหบรการหยดชะงกเนองจากอคคภย ต ามาก ด าเนนการ A.15.2.1 Monitoring and review of supplier services


การใหบรการหยดชะงกเนองจากอทกภย ต ามาก ด าเนนการ A.15.2.1 Monitoring and review of supplier services


การใหบรการหยดชะงกเนองจากพาย ต ามาก ด าเนนการ A.15.2.1 Monitoring and review of supplier services


การใหบรการหยดชะงกเนองจากระบบไฟฟาขดของ

ต า ด าเนนการ A.15.2.1 Monitoring and review of supplier services


การใหบรการหยดชะงกเนองจากการชมนมประทวง

ต ามาก ด าเนนการ A.15.2.1 Monitoring and review of supplier services

54

ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม 145 Service Building and Facilities

Provider การใหบรการหยดชะงกเนองจากบคคลภายนอกสามารถเขาถงโดยไมไดรบอนญาต



การ ใหบ รก า รหย ดชะ งก เ น อ ง จ ากผใหบรการอนเทอรเนตไมสามารถบรการไดเนองจากสายขาด


4.4 ผลกำรประเมนควำมเสยงหลงด ำเนนกำร ผลการประเมนความเสยงหลงการด าเนนการควบคมความเสยงตามตารางท 4.9

ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ


ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ

1 Hardware MTA Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง

5 5 2 4 1 ต า (A.11.2.4) ก าหนดใหมการจดท าเอกสารเพอใชในการตรวจสอบความพรอมใชของอปกรณรวมถงแผนการบ ารงรกษา

55

ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ)




1 2 2 4 1 ต ามาก (A.11.2.2) ก าหนดใหมการออกแบบตดตงระบบจากแหลงจายไฟมากกวา 1 แหลง


1 1 3 2 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง




2 5 2 2 1 ต ามาก (A.12.1.3) ก าหนดใหมการตดตามเพอตรวจสอบประสทธภาพในการใหบรการของระบบ

56




6 Hardware MTA Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด

5 5 3 4 1 ต า (A.11.2.1) ก าหนดใหมข นตอนควบคมการเขาถงโดยการขออนญาตเพอปองกนการเขาถงโดยไมจ าเปน


อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง








57


ล าดบ ประเภท รายการตรวจสอบ ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ 10 Hardware Database

Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ








13 Hardware Webmail Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง


58


ล าดบ ประเภท รายการตรวจสอบ ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ 14 Hardware Webmail Server อปกรณไมสามารถใหบรการ

ไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก




16 Hardware Webmail Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ


17 Hardware Webmail Server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ


59


ล าดบ ประเภท รายการตรวจสอบ ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ 18 Hardware Webmail Server อปกรณถกท าลายหรอ

เสยหายดานกายภาพโดยผไมประสงคด


19 Hardware Mailbox Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง






60

ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ) ล าดบ ประเภท รายการ

ตรวจสอบ ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ





24 Hardware Mailbox Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด


25 Hardware Switch อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง

2 5 2 4 1 ต ามาก (A.11.2.4) ก าหนดใหมการจดท าเอกสารเพอใชในการตรวจสอบความพรอมใชของอปกรณรวมถงแผนการบ ารงรกษา

61



เสยง แผนการจดการ

26 Hardware Switch อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก


27 Hardware Switch ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ


28 Hardware Switch อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ


29 Hardware Switch อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากร ระบบไมเพยงพอ


30 Hardware Switch อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด

2 5 3 4 1 ต า (A.11.2.1) ก าหนดขนตอนควบคมการเขาถงโดยการขออนญาตเพอปองกนการเขาถงโดยไมจ าเปน

62





อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง











63


ล าดบ ประเภท รายการตรวจสอบ ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ 35 Hardware Load balance

server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ

5 5 2 2 1 ต า (A.12.1.3) ก าหนดใหมการตดตามเพอตรวจสอบประสทธภาพในการใหบรการของระบบ




37 Hardware Backup Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง


38 Hardware Backup Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก


64






40 Hardware Backup Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ




42 Hardware Backup Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด


65




43

Hardware Log Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง


44 Hardware Log Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก


45 Hardware Log Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ


46 Hardware Log Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ


66






48 Hardware Log Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด


49 Hardware DNS Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง




67






52 Hardware DNS Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ


53 Hardware DNS Server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ


54 Hardware DNS Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด



ระบบถกเขาถงโดยไมมสทธ เนองจากผดแลระบบไมไดท าการLogout

1 5 3 2 1 ต ามาก (A.9.4.2) ก าหนดใหมการจ ากดเวลาในการเขาถงระบบ

68






1 5 3 4 1 ต ามาก (A.12.6.1) ก าหนดใหมข นตอนรวมถงบคคลทคอยตดตามตรวจสอบชองโหวของระบบสม าเสมอ






1 5 2 2 1 ต ามาก (A.9.4.3) ก าหนดหลกเกณฑในการตงรหสผานใหมความปลอดภย


ระบบถกเขาถงเนองจากถกดกจบรหสผาน

1 5 2 2 1 ต ามาก (A.13.1.1) ก าหนดใหมข นตอนในการตรวจสอบความผดปกตทเกดขนในระบบเครอขายรวมถงเกบบนทกความเปลยนแปลงทเกดขนภายในระบบ

69






1 5 3 4 1 ต ามาก (A.9.4.5) ก าหนดใหมการก าหนสทธในการเขาถง รวมถงขนตอนในการตรวจสอบความเปลยนแปลง



1 5 2 4 1 ต ามาก (A.12.1.2) ก าหนดใหมข นตอนในการขอเปลยนแปลงระบบ


ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต



ระบบถกเขาถงโดยไมมสทธ เนองจากผดแลระบบไมไดท าการ Logout





70
















71




69

Software Database Application












72










ระบบถกเขาถงโดยไมมสทธ เนองจากผดแลระบบไมไดท าการLogout






ระบบถกเขาถงเนองจากรหสผานคาดเดาไดงาย


73




78

Software Operating system(Linux)












74
















75




86

Software Log Management Application












76
















77
















98 Information E-Mail Data ขอมลถกเขาถงจากผทไมมสทธ


78



99 Information E-Mail Data ขอมลถกแกไขจากผทไมมสทธ


100 Information E-Mail Data ขอมลถกลกลอบท าส าเนาและน าไปเผยแพร


101 Information E-Mail Data ขอมลสญหายจากการไมส ารองขอมล

1 5 3 4 1 ต ามาก (A.12.3.1) ก าหนดใหมการตรวจวามการส ารองขอมลในทกสวนทจ าเปนอยางสม าเสมอ

102 Information E-Mail Data ขอมลรวไหลเนองจากตดคางในสอบนทกทเลกใชหรอน ามาใชใหม

1 1 3 4 1 ต ามาก (A.11.2.7) จดท าคมอในการจดการกบอปกรณเกบขอมลตางๆทเลกใช

103 Information E-Mail Data ขอมลรวไหลระหวางการรบสง 1 1 3 4 1 ต ามาก (A.13.1.1) ก าหนดใหมข นตอนในการตรวจสอบความผดปกตทเกดขนในระบบเครอขายรวมถงเกบบนทกความเปลยนแปลงทเกดขนภายในระบบ

79




ขอมลถกเขาถงจากผทไมมสทธ

1 1 3 4 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง A.10.1.1 Policy on the use of cryptographic controls


ขอมลถกแกไขจากผทไมมสทธ

1 5 3 4 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง A.10.1.1 Policy on the use of cryptographic controls





ขอมลสญหายจากการไมส ารองขอมล


80





ขอมลรวไหลเนองจากตดคางในสอบนทกทเลกใชหรอน ามาใชใหม



ขอมลรวไหลระหวางการรบสง 1 1 3 4 1 ต ามาก (A.13.1.1) ก าหนดใหมข นตอนในการตรวจสอบความผดปกตทเกดขนในระบบเครอขายรวมถงเกบบนทกความเปลยนแปลงทเกดขนภายในระบบ










81











116 Information Log data ขอมลถกเขาถงจากผทไมมสทธ


117 Information Log data ขอมลถกแกไขจากผทไมมสทธ


82



118 Information Log data ขอมลถกลกลอบท าส าเนาและน าไปเผยแพร


119 Information Log data ขอมลสญหายจากการไมส ารองขอมล


120 Information Log data ขอมลรวไหลเนองจากตดคางในสอบนทกทเลกใชหรอน ามาใชใหม


121 Information Log data ขอมลรวไหลระหวางการรบสง 1 1 3 4 1 ต ามาก (A.13.1.1) ก าหนดใหมข นตอนในการตรวจสอบความผดปกตทเกดขนในระบบเครอขายรวมถงเกบบนทกความเปลยนแปลงทเกดขนภายในระบบ




83

















84




แผนการจดการ

128 Personal Service Owner ไมใหความรวมมอในการสรางความมนคงปลอดภยสารสนเทศ

1 1 1 2 1 ต ามาก (A.7.2.3) จดท าเอกสารเพอใชในการก าหนดบทบาทหนาทความรบผดชอบ



130 Personal Service Owner ขาดความรหรอทกษะในเทคโนโลยทเกยวของท าใหการรกษาความมนคงปลอดภยเปนเรองยาก

1 1 1 2 1 ต ามาก (A.7.2.2) จดอบรมเพอใหผเกยวของเกดความเขาใจและตระหนกเกยวกบความปลอดภย


ไมใหความรวมมอในการสรางความมนคงปลอดภยสารสนเทศ



ละเมดนโยบายความมนคงสารสนเทศ เนองจากละเลยหรอจงใจ


85





ขาดความรหรอทกษะในเทคโนโลยทเกยวของท าใหการรกษาความมนคงปลอดภยเปนเรองยาก


134 Personal Admin ไมใหความรวมมอในการสรางความมนคงปลอดภยสารสนเทศ


135 Personal Admin ละเมดนโยบายความมนคงสารสนเทศ เนองจากละเลยหรอจงใจ




86






1 1 1 4 1 ต ามาก (A.7.2.2) จดอบรมเพอใหผเกยวของเกดความเขาใจและตระหนกเกยวกบความปลอดภย (A.7.2.3) จดท าเอกสารเพอใชในการก าหนดบทบาทหนาทความรบผดชอบ

138 Personal User ละเมดนโยบายความมนคงสารสนเทศ เนองจากละเลยหรอจงใจ





การใหบรการหยดชะงกเนองจากอคคภย

1 5 3 4 1 ต ามาก (A.15.2.1) ก าหนดใหมการตรวจประสทธภาพของระบบของผใหบรการเปนประจ าทกเดอน

87






การใหบรการหยดชะงกเนองจากอทกภย



การใหบรการหยดชะงกเนองจากพาย



การใหบรการหยดชะงกเนองจากระบบไฟฟาขดของ



การใหบรการหยดชะงกเนองจากการชมนมประทวง





88













89

สรปจ านวนความเสยงหลงการด าเนนโครงงานแบงตามประเภท ความเสยงโดยรวม,ความเสยง Hardware, ความเสยง Software, ความเสยง Information, ความเสยง Personal, ความเสยง Service ตามตารางท 4.10, ตารางท 4.11, ตารางท 4.12, ตารางท 4.13, ตารางท 4.14, ตารางท 4.15 ตามล าดบ

ตำรำงท 4.10 สรปความเสยงรวมหลงการด าเนนโครงงาน ระดบความเสยง สง ปานกลาง ต า ต ามาก รวม จ านวน 0 0 16 130 146

ตำรำงท 4.11 สรปความเสยง Hardware หลงการด าเนนโครงงาน ระดบความเสยง สง ปานกลาง ต า ต ามาก รวม จ านวน 0 0 16 38 54

ตำรำงท 4.12 สรปความเสยง Software หลงการด าเนนโครงงาน ระดบความเสยง สง ปานกลาง ต า ต ามาก รวม จ านวน 0 0 0 43 43

ตำรำงท 4.13 สรปความเสยง Information หลงการด าเนนโครงงาน ระดบความเสยง สง ปานกลาง ต า ต ามาก รวม จ านวน 0 0 0 30 30

ตำรำงท 4.14 สรปความเสยง Personal หลงการด าเนนโครงงาน ระดบความเสยง สง ปานกลาง ต า ต ามาก รวม จ านวน 0 0 0 12 12

ตำรำงท 4.15 สรปความเสยง Service หลงการด าเนนโครงงาน

ระดบความเสยง สง ปานกลาง ต า ต ามาก รวม จ านวน 0 0 0 7 7

90

บทท 5 สรปผลกำรด ำเนนงำน

สรปจ านวนความเสยงเปรยบเทยบกอนและหลงการด าเนนโครงงานแบงตามประเภท ความ

เสยงโดยรวม,ความเสยง Hardware, ความเสยง Software, ความเสยง Information, ความเสยง Personal, ความเสยง Service ตามตารางท 5.1, ตารางท 5.2, ตารางท 5.3, ตารางท 5.4, ตารางท 5.5, ตารางท 5.6 ตามล าดบ

รปท 5.1 สรปจ านวนความเสยงโดยรวม

91

รปท 5.2 สรปจ านวนความเสยงประเภท Hardware

รปท 5.3 สรปจ านวนความเสยงประเภท Software

92

รปท 5.4 สรปจ านวนความเสยงประเภท Information

รปท 5.5 สรปจ านวนความเสยงประเภท Personal

93

รปท 5.6 สรปจ านวนความเสยงประเภท Service

94

สรปรายการควบคมความเสยงทเลอกใชตามตารางท 5.1 ตำรำงท 5.1 Statement Of Applicability : SOA

หวขอ หวเรอง การใชงาน การประยกตใช A.5 Information security policies A.5.1 Management direction for information security A.5.1.1 Policies for information

security X มการจดท านโยบายเพอใชเปนแนวทางในการด าเนนการเพอจดการความเสยง โดยไดมการขอ

อนมตจากฝายบรหารเพอใหมผลบงคบใชโดยทวถง A.5.1.2 Review of the policies

for information security X มการทบทวนปรบปรงนโยบายใหมความทนสมยและเหมาะสมตอเทคโนโลยรวมถงเปาหมายใน

การด าเนนธรกจใหเหมาะสมกบองคกร A.6 Organization of information security A.6.1 Internal organization A.6.1.1 Information security

roles and responsibilities X มการแบงแยกหนาทความรบผดชอบใหชดเจน

A.6.1.2 Segregation of duties X ท าการแกไขหรอปรบเปลยนในสวนของหนาทๆ มการท างานทบซอนกนเพอปองกนโอกาสเกดปญหา เชน การแกไขโดยมไดรบสทธ

A.6.1.3 Contact with authorities X ฝายเทคโนโลยสารสนเทศ จดท าขอมลการตดตอสอสารทงภายในและภายนอก เชน หนวยงานภาครฐ, คคา, คณะผบรหาร และมการปรบปรงขอมลอยางสม าเสมอเพอใหสะดวกเวลาปฏบตงาน

A.6.1.4 Contact with special interest groups

X ฝายความมนคงทางเทคโนโลยสารสนเทศเทคโนโลยสารสนเทศมการตดตอกบหนวยงานและกลมคนทมความเชยวชาญดานความมนคงทางสารสนเทศทงภายในและภายนอกเพอท าใหมนใจวาขอมลมความทนสมย

A.6.1.5 Information security in project management

X ควรมการน าเอาหวขอเกยวกบความมนคงปลอดภยทางดานสารสนเทศมาเปนสวนหนงในการพฒนาโครงการทกโครงการ

95

ตำรำงท 5.1 Statement Of Applicability : SOA (ตอ) หวขอ หวเรอง การใชงาน การประยกตใช A.6.2 Mobile devices and teleworking 6.2.1 Mobile device policy - จดท านโยบายและมาตรการสนบสนนการรกษาความปลอดภยจะตองถกน ามาใชในการจดการ

ความเสยงส าหรบอปกรณเคลอนท A.6.2.2 Teleworking X ก าหนดนโยบาย แผนงาน และขนตอนปฏบตส าหรบบคลากรทจ าเปนตองปฏบตงานขององคกร

จากภายนอกส านกงาน A.7 Human resource security A.7.1 Prior to employment A.7.1.1 Screening X ตองท าการตรวจสอบคณสมบตของผสมครโดยละเอยด เชน ตรวจสอบจากจดหมาย รบรอง ประวต

การท างาน วฒ การศกษา บคคล หรอบร ษ ททสามารถอางองได การผานการอบรมเปนตน และจะตองพจารณากฎหมาย ระเบยบ จรยธรรม ชนความลบของทรพยสนสารสนเทศ และระดบความเสยงในการเขาถงประกอบการคดเลอกดวย

A.7.1.2 Terms and conditions of employment

X ตองก าหนดเงอนไขการจางงานทงกรณ การจางงานเปนพนกงาน การวาจางในลกษณะของสญญาและการวาจางหนวยงานภายนอก ซงรวมถงหนาทความรบผดชอบทางดาน ความมนคงปลอดภยส าหรบสารสนเทศ และบคลากรทจะได รบการวาจางดงกลาวจะตอง เหนชอบและลงนามในเงอนไขการจางงานนนดวย

A.7.2 During employment A.7.2.1 Management

responsibilities X ผบรหารองคกรตองก าหนดใหพนกงานทไดรบการวาจางตามสญญา

การ จางงานและผทมาปฏบต หนาทจากหนวยงานภายนอกปฏบตตามมาตรการการรกษา ความมนคงปลอดภย ตามนโยบายและขนตอนปฏบตทางดานความมนคงปลอดภย ขององคกร

96

ตำรำงท 5.1 Statement Of Applicability : SOA (ตอ) หวขอ หวเรอง การใชงาน การประยกตใช A.7.2.2 Information security

awareness, education and training

X ตองก าหนดให พนกงานทไดรบการวาจางตามสญญาการจางงาน และผทมาปฏบตหนาท จากหนวยงานภายนอกไดรบการอบรมเพอสรางความตระหนกและเสรมสรางความรทางดานความมนคงปลอดภยอยางสม าเสมอ การอบรมควรครอบคลมถงนโยบายและขนตอนปฏบต ส าหรบการรกษาความมนคงปลอดภยขององคกรตามลกษณะงานทพนกงานตองรบผดชอบดวย

A.7.2.3 Disciplinary process X ผบรหารองคกรจดใหมกระบวนการทางวนยเพอลงโทษพนกงาน ทฝาฝนหรอละเมดนโยบาย หรอระเบยบปฏบตทางด านความมนคงปลอดภยขององคกร

A.7.3 Termination and change of employment A.7.3.1 Termination or change

of employment responsibilities

X หวหนางานบคคลตองก าหนดหนาทความรบผดชอบส าหรบผทองคกรเลกการจางงานหรอองคกรเปลยนลกษณะการจางงาน และก าหนดใหปฏบตตามหนาทดงกลาว

A.8 Asset management A.8.1 Responsibility for assets A.8.1.1 Inventory of assets X หวหนางานพสดและจดท าและปรบปรงแกไขบญชทรพยสนทมความส าคญตอองคกรใหถกตองอย

เสมอ A.8.1.2 Ownership of assets X หวหนางานพสดและจดใหมการระบผเปนเจาของสารสนเทศและทรพยสนทเกยวของกบการ

ประมวลผลสารสนเทศตามทก าหนดไวในบญชทรพยสน A.8.1.3 Acceptable use of

assets X หวหนางานพสดและหวหนางานสารสนเทศจะจดท ากฎระเบยบหรอหลกเกณฑอยางเปนลาย

ลกษณอกษรส าหรบการใชงานสารสนเทศและทรพยสนทเกยวของกบการประมวลผลสารสนเทศอยางเหมาะสม เพอปองกนความเสยหายตอทรพยสนเหลานน เชน อนเกดจากการขาดความระมดระวง การขาดการดแลและเอาใจใสเปนตน

97

ตำรำงท 5.1 Statement Of Applicability : SOA (ตอ) หวขอ หวเรอง การใชงาน การประยกตใช A.8.1.4 Return of assets X หวหนางานบคคลและหวหนางานพสดตองก าหนดใหผทองคกรสนสดการจางงานหรอเปลยน

ลกษณะการจางงานคนทรพยสนขององคกรทอยในความครอบครองของตน A.8.2 Information classification A.8.2.1 Classification of

information X หวหนางานสารสนเทศจะจดใหมกระบวนการในการจดหมวดหมของทรพยสนสารสนเทศตาม

ระดบชนความลบ คณคา ขอก าหนดทางกฎหมายและระดบความส าคญทมตอองคกร ทงนเพอจะไดหาวธการในการปองกนไดอยางเหมาะสม

A.8.2.2 Labeling of information X หวหนางานสารสนเทศจะจดใหมข นตอนปฏบตในการจดท าปายชอและการจดการทรพยสนสารสนเทศตามทไดจดหมวดหมไวแลว

A.8.2.3 Handling of assets X มการพฒนาขนตอนในการจดการสนทรพยขององคกร A.8.3 Media handling A.8.3.1 Management of

removable media X ก าหนดขนตอนปฏบตส าหรบบรหารจดการสอบนทกขอมลทสามารถเคลอนยายได

A.8.3.2 Disposal of media X ก าหนดขนตอนปฏบตส าหรบการท าลายสอบนทกขอมลทไมมความจ าเปนตองใชงานอกตอไปแลว การท าลายตองเปนไปอยางมนคงและปลอดภย

A.8.3.3 Physical media transfer X มการปองกนสอบนทกขอมล จากการเขาถงโดยไมไดรบอนญาตการใชงานผดวตถประสงค และการท าใหขอมลเกดความเสยหายในระหวางทสงขอมลนนออกไปนอกองคกร

A.9 Access control A.9.1 Business requirements of access control

98

ตำรำงท 5.1 Statement Of Applicability : SOA (ตอ) หวขอ หวเรอง การใชงาน การประยกตใช A.9.1.1 Access control policy X ก าหนดใหมการจดท านโยบายควบคมการเขาถงอยางเปนลายลกษณอกษรและปรบปรงตาม

ระยะเวลาทก าหนดไวการจดท านโยบายนจะพจารณาจากความตองการทางธรกจและทางดานความมนคงปลอดภยในการเขาถงทรพยสนสารสนเทศ

A.9.1.2 Access to networks and network services

X มการก าหนดสทธในการเขาถงระบบเครอขายและบรการตางๆส าหรบผใชแตละบคคล

A.9.2 User access management A.9.2.1 User registration and

deregistration X ตองก าหนดใหมข นตอนปฏบตอยางเปนทางการส าหรบการลงทะเบยนพนกงานใหมเพอให มสทธ

ตางๆ ในการใชงานตามความจ าเปนรวมทงขนตอนปฏบตส าหรบการยกเลกสทธการใชงานเชนเมอลาออกไปหรอเปลยนต าแหนงงานภายในองคกรเปนตน

A.9.2.2 User access provisioning X ตองก าหนดใหมข นตอนการก าหนดหรอเพกถอนสทธการเขาถงส าหรบผใชส าหรบบรการทงหมด A.9.2.3 Management of

privileged access rights X การจดสรรและการใหสทธในการเขาถงบรการทมความส าคญจะถก จ ากด และควบคม

A.9.2.4 Management of secret authentication information of users

X มการบรหารจดการขอมลทใชในการพสจนตวตน

A.9.2.5 Review of user access rights

X จดใหมกระบวนการทบทวนสทธการเขาถงของผใชงานระบบ

A.9.2.6 Removal or adjustment of access rights

X มขนตอนการจดการสทธในการเขาถงของพนกงานและบคคลภายนอกโดยการลบออกเมอมการเลกจางหรอการปรบเมอมการเปลยนแปลง.

99

ตำรำงท 5.1 Statement Of Applicability : SOA (ตอ) หวขอ หวเรอง การใชงาน การประยกตใช

A.9.3 User responsibilities A.9.3.1 Use of secret

authentication information

X ผใชตองมการปฏบตตามขนตอนการพสจนตวตนตามทไดมการก าหนดไว

A.9.4 System and application access control A.9.4.1 Information access

restriction X มการจ ากดสทธการเขาถงขอมล ใหสอดคลองกบนโยบายการควบคมการเขาถง

A.9.4.2 Secure log-on procedures

X ผดแลระบบจดใหมข นตอนปฏบตทมความมนคงปลอดภยส าหรบการเขาถงหรอการเขาใชงานระบบปฏบตการ

A.9.4.3 Password management system

X ผดแลระบบจดท าหรอจดใหมระบบบรหารจดการรหสผานทมการควบคมการก าหนดรหสผานทม คณภาพ

A.9.4.4 Use of privileged utility programs

X ผดแลระบบตองจ ากดและควบคมการใชงานโปรแกรมประเภทยทลต เพอปองกนการละเมดหรอหลกเลยงมาตรการความมนคงปลอดภยทได ก าหนดไวหรอมอยแลว

A.9.4.5 Access control to program source code

X ตองจ ากดการเขาถงซอรสโคดส าหรบระบบทใหบรการทงนเพอปองกนการเปลยนแปลงทอาจเกดขนโดยไมไดรบอนญาตหรอโดยไมไดเจตนา

A.10 Cryptography A.10.1 Cryptographic controls A.10.1.1 Policy on the use of

cryptographic controls X ก าหนดให มนโยบายควบคมการใชงานการเขารหสขอมลและใหมผลบงคบใชงานภายในองคกร

100


A.10.1.2 Key management X ก าหนดใหมการบรหารจดการส าหรบกญแจทใชในการเขาหรอถอดรหสขอมล โดยกญแจเหลานจะใชงานรวมกบเทคนคการเขารหสขอมลทก าหนดเปนมาตรฐานขององคกร

A.11 Physical and environmental security A.11.1 Secure areas A.11.1.1 Physical security

perimeter X มการ จดท าประตทางเขา-ออกทมการควบคมตงโตะท าการของ รปภ.บรเวณทางเขา-ออกของ

ส านกงาน A.11.1.2 Physical entry controls X จดใหมการควบคมการเขา-ออกในบรเวณหรอพนททตองการรกษาความปลอดภย และอนญาตให

ผานเขาออกไดเฉพาะผทไดรบอนญาตแลวเทานน A.11.1.3 Securing offices, room

and facilities X มจดหาตดตงอปกรณทเกยวของกบความปลอดภยในพนทส านกงานหองพกและสงอ านวยความ

สะดวกตามความเหมาะสม A.11.1.4 Protecting against

external and environmental threats

X จดใหมการสรางความมนคงปลอดภยทางกายภาพตอส านกงานหองท างานและทรพยสนอนๆ

A.11.1.5 Working in secure areas

X จดใหมการปองกนทางกายภาพและแนวทางส าหรบการปฏบตงานในพนททตองรกษาความมนคงปลอดภย

A.11.1.6 Delivery and loading areas

X จดบรเวณส าหรบการเขาถงหรอการสงมอบผลตภณฑโดยบคคลภายนอกเพอปองกนการเขาถงทรพยสนสารสนเทศขององคกรโดยไมไดรบอนญาต และถาเปนไปได ควรจดเปนบรเวณแยกออกมาตางหาก

A.11.2 Equipment

101


A.11.2.1 Equipment siting and protection

X มการจดท าแนวทางในการจดวางและปองกนอปกรณของส านกงานเพอลดความเสยงจากภยคกคามทางดานสงแวดลอมและอนตรายตางๆ รวมทงความเสยงในการเขาถงอปกรณโดยไมไดรบอนญาต

A.11.2.2 Supporting utilities X ก าหนดใหมกลไกการปองกนการลมเหลวของระบบและอปกรณสนบสนนตางๆ ไดแก ระบบกระแสไฟฟา ระบบน าประปา ระบบควบคมอณหภม ระบบระบายอากาศ ระบบปรบอากาศ ระบบกระแสไฟฟาส ารองระบบสายสอสารส ารอง เปนตน

A.11.2.3 Cabling security X ก าหนดใหการเดนสายไฟฟา สายสอสาร และสายเคเบลอนๆ ไดรบการปองกนจากการเขาถงโดยไมไดรบอนญาต การท าใหเกดอปสรรคตอสายสญญาณ หรอการท าใหสายสญญาณเหลานนเสยหาย

A.11.2.4 Equipment maintenance

X ก าหนดให มการบ ารงรกษาอปกรณตางๆ อยางสม าเสมอเพอใหอปกรณท างานไดอยางตอเนองและอยในสภาพทมความสมบรณตอการใชงาน

A.11.2.5 Removal of assets X ตองมการอนมตกอนน าอปกรณขอมลหรอซอฟตแวรออกจากสถานท A.11.2.6 Security of equipment

and assets off-premises

X ก าหนดให ม การปองกนอปกรณ ตางๆ ทใชงานอยนอกส านกงานเพอไมใหเกดความเสยหายตออปกรณเหลานน การปองกนใหพจารณาจากความเสยงตางๆ ทมตออปกรณเหลานน

A.11.2.7 Secure disposal or reuse of equipment

X ตองตรวจสอบอปกรณทมส อบนทกขอมลเพอดวาขอมลส าคญและซอฟตแวรลขสทธทเกบอยในสอบนทกดงกล าวไดถกลบทงหรอถกบนทกทบกอนทจะทงอปกรณดงกลาวไป ทงนเพอเปนการปองกนขอมลดงกลาวหากมการน าอปกรณกลบมาใชงานอกครง

A.11.2.8 Unattended user equipment

X พนกงานตองมวธเพอปองกนไมใหผไมมสทธสามารถเขาถงอปกรณทไมมพนกงานดแล

102


A.11.2.9 Clear desk and clear screen policy

X จดท านโยบายเพอควบคมไมใหมการปลอยใหทรพยสนสารสนเทศท ส าคญ เชน เอกสาร สอบนทกขอมล อยในสถานททไมปลอดภย เชน สามารถเขาถงไดทางกายภาพ อยในบรเวณทเปนทสาธารณะหรอพบเหนไดงาย เปนตน

A.12 Operations security A.12.1 Operational procedures and responsibilities A.12.1.1 Documented operating

procedures X จดท าคมอขนตอนการปฏบตงาน ปรบปรงตามระยะเวลาอนสมควร และแจกจายให กบผท

เกยวของ A.12.1.2 Change management X ก าหนดใหมการควบคมการปลยนแปลงปรบปรงหรอแกไขระบบหรออปกรณประมวลผลสารสนเทศ A.12.1.3 Capacity management X มการวางแผนเพอก าหนดความตองการทรพยากรสารสนเทศเพมเตมในอนาคตเพอใหระบบม

ประสทธภาพทเหมาะสมและเพยงพอตอการใชงาน A.12.1.4 Separation of

development, testing and operational environments

X จดใหมการแยกระบบส าหรบการพฒนาการทดสอบ และการใหบรการจรงออกจากกน เพอลดความเสยงในการเขาถงหรอเปลยนแปลงแกไขตอระบบส าหรบการใหบรการจรงโดยไมไดรบอนญาตสภาพแวดลอมในการด าเนนงาน

A.12.2 Protection from malware A.12.2.1 Controls against

malware X มการจดท าขนตอนการปฏบตเพอใชในการตรวจจบ, กคนรวมถงปองกนมลแวร รวมถงการสราง

ความตนรใหแกผใช A.12.3 Backup A.12.3.1 Information backup X จดใหมการส ารองและทดสอบขอมลทส ารองเกบไวอยางสม าเสมอ และใหเปนไปตามนโยบายการ

ส ารองขอมลขององคกร

103


A.12.4 Logging and monitoring A.12.4.1 Event logging X ก าหนดใหท าการบนทกกจกรรมการใชงานของผใช การปฏเสธการใหบรการของระบบ และ

เหตการณตางๆ ทเกยวของกบความมนคงปลอดภยอยางสม าเสมอตามระยะเวลาทก าหนดไว A.12.4.2 Protection of log

information X ก าหนดใหมมาตรการปองกนขอมลบนทกกจกรรมหรอเหตการณตางๆ ทเกยวของกบการใชงาน

สารสนเทศ เพอปองกนการเปลยนแปลงหรอการแกไขโดยไมไดรบอนญาต A.12.4.3 Administrator and

operator logs X ก าหนดใหมการบนทกกจกรรมการด าเนนงานของผดแลระบบหรอเจาหนาททเกยวของกบระบบ

อนๆ A.12.4.4 Clock synchronization X ผดแลระบบตองตงเวลาของเครองคอมพวเตอร ทกเครองในส านกงานให ตรงกนโดยอางองจาก

แหลงเวลาทถกตองเพอชวยในการตรวจสอบชวงเวลาหากเครองคอมพวเตอรขององคกรถกบกรก A.12.5 Control of operational software A.12.5.1 Installation of software

on operational systems X จดใหมข นตอนปฏบตเพอควบคมการตดตงซอฟตแวรตางๆ ลงไปยงระบบทใหบรการ ทงนเพอลด

ความเสยงทจะท าใหระบบใหบรการนนเกดความเสยหายท างานผดปกตหรอไมสามารถใชงานได A.12.6 Technical vulnerability management A.12.6.1 Management of

technical vulnerabilities X ก าหนดใหมการตดตามขอมลขาวสารทเกยวของกบชองโหวในระบบตางๆ ทใชงาน ประเมนความ

เสยงของชองโหวเหลานนรวมทงก าหนดมาตรการรองรบเพอลดความเสยงดงกลาว A.12.6.2 Restrictions on

software installation -

A.12.7 Information system audit considerations

104


A.12.7.1 Information systems audit controls

X ระบขอก าหนดและกจกรรมทเกยวของกบการตรวจประเมนระบบสารสนเทศขององคกรเพอใหมผลกระทบนอยทสดตอกระบวนการทางธรกจ เชน การหยดชะงกของกระบวนการทางธรกจในระหวางทท าการตรวจประเมน

A.13 Communications security A.13.1 Network Security Management A.13.1.1 Network controls X ผดแลระบบตองบรหารและจดการเครอขาย ก าหนดมาตรการเพอปองกนภยคกคามตางๆ ทาง

เครอขาย และดแลรกษาความมนคงปลอดภยส าหรบระบบและแอปพลเคชนทใชงานเครอขาย รวมทงสารสนเทศตางๆ ทสงผานทางเครอขาย

A.13.1.2 Security of network services

X ก าหนดคณสมบตทางดานความมนคงปลอดภยระดบการให บรการ และขอก าหนดในการบรหารจดการส าหรบบรการเครอขายทงหมดทองคกรใชบรการอย และตองก าหนดไวในขอตกลงในการใหบรการเครอขายโดยทบรการเครอขายเหลานอาจจะเปนบรการเครอขายภายในขององคกรเองหรอบรการทไดรบจากหนวยงานภายนอก

A.13.1.3 Segregation in networks

X ผดแลระบบตองท าการแบงแยกเครอขายตามกลมของบรการสารสนเทศทใชงานกลมของผใชและกลมของระบบสารสนเทศ

A.13.2 Information transfer A.13.2.1 Information transfer

policies and procedures X มการก าหนดนโยบายขนตอนและการควบคมเพอปองกนการถายโอนขอมลผานการตดตอสอสาร

ทกประเภทอยางเปนทางการ A.13.2.2 Agreements on

information transfer -

A.13.2.3 Electronic messaging X ก าหนดมาตรการในการปองกนสารสนเทศทมการสงผานทางขอความอเลกทรอนกส

105


A.13.2.4 Confidentiality or nondisclosure agreements

X จดใหมการลงนามในขอตกลงระหวางพนกงานกบองคกรวาจะไมเปดเผยความลบขององคกร(โดยการลงนามนจะเปนสวนหนงของการสญญาวาจางพนกงานนน) รวมทงเงอนไขหรอขอก าหนดตางๆ ทเกยวของกบการไมเปดเผยความลบจะตองไดรบการปรบปรงอยางสม าเสมอเพอใหสอดคลองกบความตองการขององคกร

A.14 System acquisition, development and maintenance A.14.1 Security requirements of information systems A.14.1.1 Information security

requirements analysis and specification

X วเคราะหและระบขอก าหนดทางดานความมนคงปลอดภยส าหรบระบบสารสนเทศใหมหรอระบบทปรบปรงจากระบบทมอยแลว

A.14.1.2 Securing application services on public networks

X ก าหนดใหมการปองกนความถกตองและความสมบรณของขอมลและระบบทสามารถเขาถงจากภายนอก

A.14.1.3 Protecting application services transactions

X ก าหนดมาตรการส าหรบการปองกนสารสนเทศทรบ-สงทเกยวของกบการท าธรกรรมออนไลน ทงนเพอปองกนไมใหเกดความไมสมบรณของสารสนเทศทรบ-สง สารสนเทศถกสงไปผดเสนทางบนเครอขายการเปลยนแปลงสารสนเทศโดยไมไดรบอนญาตการเปดเผยสารสนเทศโดยไมไดรบอนญาตหรอการท าส าเนาสารสนเทศโดยไมไดรบอนญาต

A.14.2 Security in development and support processes A.14.2.1 Secure development

policy X มการจดท านโยบายทใชก ากบการพฒนาโปรแกรมส าหรบภายในองคกร

106


A.14.2.2 System change control procedures

X ก าหนดขนตอนปฏบตอยางเปนทางการส าหรบควบคมการเปลยนแปลงหรอแกไขระบบสารสนเทศทงนเพอลดความเสยงทจะท าใหระบบเกดความเสยหาย ท างานผดปกตหรอไมสามารถใชงานได

A.14.2.3 Technical review of applications after operating platform changes

X ผดแลระบบตองท าการตรวจสอบทางเทคนคภายหลงจากทเปลยนแปลงระบบปฏบตการเพอดวาแอปพลเคชนทท างานอยบนระบบปฏบตการนน ท างานผดปกตไมสามารถใชงานไดหรอมปญหาทางดานความมนคงปลอดภยเกดขนหรอไม

A.14.2.4 Restrictions on changes to software packages

-

A.14.2.5 Secure system engineering principles

X มการจดท าหลกการส าหรบความปลอดภยในระบบวศวกรรมและมการบงคบคบใชรวมถงการตดตามและปรบปรงเพอใหแนวาระบบมความทนสมย

A.14.2.6 Secure developments environment

X องคกรตองมการก าหนดวางแผนจดการสภาพแวดลอมในการพฒนาระบบตางๆใหมความปลอดภย

A.14.2.7 Outsourced development

-

A.14.2.8 System security development

X จดท าขนตอนและกระบวนการในการตรวจสอบระบบทก าลงพฒนาเพอใหแนใจวาระบบมความปลอดภย

A.14.2.9 System acceptance testing

X จดใหมเกณฑในการตรวจรบระบบสารสนเทศใหมทปรบปรงเพมเตม หรอทเปนรนใหม รวมทงตองด าเนนการทดสอบกอนทน ามาใชงาน

A.14.3 Test data -

107

ตำรำงท 5.1 Statement Of Applicability : SOA (ตอ) หวขอ หวเรอง การใชงาน การประยกตใช A.14.3.1 Protection of test data X ผพฒนาระบบตองหลกเลยงการใชขอมลจรงทใชงานอยบนระบบใหบรการส าหรบท าการทดสอบ

ระบบหากมความจ าเปนตองใชตองก าหนดใหมการปองกนและควบคมการใชงานเชน ควรลบทงบางสวนของขอมลทเปนความลบขอมลสวนตว หรอ ขอมลส าคญ

A.15 Supplier relationships A.15.1 Information security in supplier relationships A.15.1.1 Information security

policy for supplier relationships

X ตองก าหนดใหมการจดท านโยบายควบคมการเขาถงขอมลของหนวยงานภายนอกอยางเปนลายลกษณ อกษร และปรบปรงตามระยะเวลาทก าหนดไว

A.15.1.2 Addressing security within supplier agreements

X ระบและจดท าขอก าหนดหรอขอตกลงทเกยวของกบความมนคงปลอดภยส าหรบสารสนเทศระหวางองคกรและหนวยงานภายนอกเมอมความจ าเปนตองใหหนวยงานนนเขาถงสารสนเทศหรออปกรณประมวลผลสารสนเทศขององคกร กอนทจะอนญาตใหสามารถเขาถงได

A.15.1.3 Information and communication technology supply chain

X ระบและจดท าขอก าหนดหรอขอตกลงทเกยวของกบความมนคงปลอดภยส าหรบสารสนเทศระหวางองคกรและหนวยงานภายนอก

A.15.2 Supplier relationships A.15.2.1 Monitoring and review

of supplier services X มการตดตามและประเมนผลการใหบรการรวมถงคณภาพของการใหบรการอยางสม าเสมอ

A.15.2.2 Managing changes to supplier services

X มการประเมนรวมถงการมสวนรวมในการออกมาตรการควบคมการเปลยนแปลงตางๆและออกขอก าหนดส าหรบการจดการผใหบรการภายนอกใหมการจดการความเสยงทอาจเกดขนกบธรกจ

108


A.16 Information security incident management A.16.1 Management of information security incidents and improvements A.16.1.1 Responsibilities and

procedures X ก าหนดหนาทความรบผดชอบและขนตอนปฏบตเพอรบมอกบเหตการณทเกยวของกบความมนคง

ปลอดภยของระบบและขนตอนดงกลาวตองมความรวดเรวไดผลและมความเปนระบบระเบยบ A.16.1.2 Reporting information

security events X มการจดวางชองทางในการแจงปญหาเกยวกบความปลอดภยเพอใหแนใจวาปญหาตางๆจะไดรบ

การแกไขโดยภายในเวลาทเหมาะสม A.16.1.3 Reporting information

security weaknesses X มการออกมาตรการและแนวทางปฏบตรวมถงชองทางในการตดตอสอสารเพอท าใหแนใจวาผใชจะ

สามารถท าการแจงปญหาเกยวกบความปลอดภยตางๆทถกพบ A.16.1.4 Assessment of and

decision on information security events

X มการควบคมและประเมนเหตการณตางๆทเกยวของกบความปลอดภยเพอใหแนใจวาปญหาตางๆมการรบรจากฝายทเกยวของ

A.16.1.5 Response to information security incidents

X ก าหนดหนาทความรบผดชอบและขนตอนปฏบตเพอรบมอกบเหตการณทเกยวของกบความมนคงปลอดภยขององคกร และขนตอนดงกลาวตองมความรวดเรว ไดผล และมความเปนระบบระเบยบทด

A.16.1.6 Learning from information security incidents

X ตองบนทกเหตการณละเมดความมนคงปลอดภยโดยอยางนอยจะตองพจารณาถงประเภทของเหตการณ ปรมาณทเกดขน และคาใชจายเกดขนจากความเสยหาย เพอจะไดเรยนรจากเหตการณทเกดขนแลว และเตรยมการปองกนทจ าเปนไวลวงหนา

A.16.1.7 Collection of evidence X ตองรวบรวมและจดเกบหลกฐานตามกฎหรอหลกเกณฑส าหรบการเกบหลกฐานอางองในกระบวนการทางศาลทเกยวของเมอพบวาเหตการณทเกดขนนนมความเกยวของกบการด าเนนการทางกฎหมายแพงหรออาญา

109


A.17 Information security aspects of business continuity management A.17.1 Information security continuity(Management system) A.17.1.1 Planning information

security continuity(Plan) X มการก าหนดความตองการเกยวกบความพรอมใชของระบบและขอมลตางทจ าเปนตอการด าเนน

ธรกจ A.17.1.2 Implementing

information security continuity(Implement)

X มการจดท าขนตอน แนวทางปฏบต รวมถงเอกสารเพอใชในการจดการระบบตางใหมความพรอมใช

A.17.1.3 Verify, review and evaluate information security continuity (Verify)

X มการตรวจสอบทบทวนและประเมนผลความพรอมใชของระบบและขอมลอยางสม าเสมอ

A.17.2 Redundancies A.17.2.1 Availability of

information processing facilities

X มการจดท าระบบส ารองเพอท าใหมนใจวาขอมลรวมถงระบบการใหบรการตางๆมความพรอมใช

A.18 Compliance A.18.1 Compliance with legal and contractual requirements

110


A.18.1.1 Identifications of applicable legislation and contractual requirements

-

A.18.1.2 Intellectual property rights

-

A.18.1.3 Protection of records X ก าหนดใหมการปองกนขอมลทเกยวของกบขอก าหนดทางกฎหมายและระเบยบปฏบตขอก าหนดทปรากฏในสญญาและขอก าหนดทางธรกจากการสญหาย การถกท าลายใหเสยหาย และการปลอมแปลง

A.18.1.4 Privacy and protection of protection of personally identifiable information

X ตองก าหนดใหมการปองกนขอมลสวนตวตามทระบหรอก าหนดไวในกฎหมาย ระเบยบปฏบต และขอสญญาทเกยวของ

A.18.1.5 Regulation of cryptographic controls

X ก าหนดใหใชมาตรการการเขารหสขอมลโดยยดถอตามระเบยบปฏบตขององคกร

A.18.2 Information security reviews A.18.2.1 Independent review of

information security X ก าหนดใหมการตรวจสอบการบรหารจดการการด าเนนงานและการปฏบตทเกยวของกบความ

มนคงปลอดภยโดยผตรวจสอบภายนอกทกป

111


A.18.2.2 Compliance with security policies and standards

X ก าหนดใหผบงคบบญชาคอยก ากบ ดแล และควบคมการปฏบตงานของผทอยใตการบงคบบญชาของตน ใหปฏบตตามขนตอนปฏบตทางดานความมนคงปลอดภยตามหนาทความรบผดชอบของตน ทงนเพอใหการปฏบตเปนไปตามนโยบายและมาตรฐานความมนคงปลอดภยขององคกร

A.18.2.3 Technical compliance review

X ก าหนดใหมการตรวจสอบระบบสารสนเทศอยางสม าเสมอเพอควบคมใหเปนไปตามมาตรฐานความมนคงปลอดภยทางเทคนคขององคกร

112

5.1 สรปผลในกำรด ำเนนงำนและปญหำทพบ หลงจากเสรจสนการด าเนนการประเมนและควบคมความเสยงในครงน ทางผจดท าไดรวบรวมปญหาทพบระหวางการด าเนนการ เชนตวแปรหรอระดบความเสยงในแตละประเภท รวมถงวธการอนใหไดมาซงระดบของความเสยง ยงไมครอบคลมในทกสวนของการด าเนนงานทงหมด

ทางผจดท าจงเลงเหนวาควรมการปรบปรงกระบวนการตางๆ เพอน าไปใชในการจดการความเสยงครงตอไปโดยอาศย แนวคดและวธการในการด าเนนการครงนเปนแมแบบในการด าเนนการครงถดไป

113

เอกสำรอำงอง [1] International Standard ISO/IEC 27001 Second Edition, 2013 ,Published in Switzerland, E-mail [email protected], www.iso.org [2] International Standard ISO/IEC 27002 Second Edition, 2013 ,Published in Switzerland, E-mail [email protected], www.iso.org [3] International Standard ISO/IEC 31000 First Edition, 2009

ก-1

ภาคผนวก ก

ตวอยางหลกฐานในการด าเนนงาน

ก-2

รปท ก.1 ตวอยางเอกสารยนยนความเขาใจรวมกนภายในทม

ก-3

รปท ก.2 ตวอยางเอกสารยนยนความเขาใจรวมกนระหวางทม

ก-4

รปท ก.3 ตวอยางเอกสารยนยนความเขาใจรวมกนระหวางบรษทและลกคา 1

ก-5

รปท ก.4 ตวอยางเอกสารยนยนความเขาใจรวมกนระหวางบรษทและลกคา 2

ก-6

รปท ก.5 ตวอยางเอกสารคมอการจดการกบทรพยสนและการตดตอกบภายนอก 1

ก-7

รปท ก.6 ตวอยางเอกสารคมอการจดการกบทรพยสนและการตดตอกบภายนอก 2

ก-8

รปท ก.7 ตวอยางเอกสารการควบคมการเปลยนแปลง 1

ก-9



ก-10


ก-11

รปท ก.11 ตวอยางการตดตามขาวสารความปลอดภยกบหนวยงานภายนอก 1

ก-12

รปท ก.12 ตวอยางการตดตามขาวสารความปลอดภยกบหนวยงานภายนอก 2

ก-13

รปท ก.13 ตวอยางการอบรมเพอใหความรอยางตอเนองเปนประจ า

Documents

ISO 27001:2013 Establishment of Information Systems ... การสร้างความ... · Establishment of Information Systems Security for Email Hosting according to ISO