Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
การสรางความมนคงปลอดภยใหกบระบบอเมลโฮสตง
ตามแนวทาง ISO 27001:2013
กรณศกษาบรษท เอนทท คอมมวนเคชนส (ประเทศไทย)
Establishment of Information Systems Security for Email Hosting
according to ISO 27001:2013 for organization
Case study NTT Communications(Thailand) Co.,Ltd.
ปรชญา รจนสรกล
Pratchaya Rudjanisoragun
สารนพนธนเปนสวนหนงของการศกษา
หลกสตรวทยาศาสตรมหาบณฑต สาขาวชาความมนคงทางระบบสารสนเทศ
คณะวทยาการและเทคโนโลยสารสนเทศ
มหาวทยาลยเทคโนโลยมหานคร
ปการศกษา 2557
I
หวขอ การสรางความมนคงปลอดภยใหกบระบบอเมลโฮสตง ตามแนวทาง ISO 27001:2013 กรณศกษา บรษท เอนทท คอมมวนเคชนส (ประเทศไทย) จ ากด
ชอนกศกษา นาย ปรชญา รจนสรกล รหสนกศกษา 5617810010 หลกสตร วทยาศาสตรมหาบณฑต สาขาความมนคงทางระบบสารสนเทศ ปการศกษา 2557 อาจารยทปรกษา ผศ.ดร.วรพล ลลาเกยรตสกล
บทคดยอ
โครงงาน “การสรางความมนคงปลอดภยใหกบระบบอเมลโฮสตงตามแนวทาง ISO
27001:2013” กรณศกษา บรษท เอนทท คอมมวนเคชนส (ประเทศไทย) จ ากด จดท าขนเพอศกษาและน าเอาแนวทางของมาตรฐานมาประยกตใชภายในองคกร เพอใหเกดความนาเชอถอในการใหบรการรวมถงเปนการพฒนาการใหบรการใหมความมนคงปลอดภยมากขน
II
กตตกรรมประกาศ
สารนพนธฉบบนเกดขนและส าเรจลลวงไดเนองจากการไดรบการสนบสนนและแนะน าเกยวกบการศกษาคนควาและปฏบตงานจาก ผศ.ดร.วรพล ลลาเกยรตสกล ทปรกษาโครงงานเปนอยางด ผจดท าตองขอขอบพระคณอาจารยทไดสละเวลาอนมคาในการใหค าปรกษาและถายทอดประสบการณอนเปนประโยชนตอโครงงานนมาโดยตลอด
และนอกจากน ผจดท าตองขอขอบพระคณอาจารยพเศษ ดร.บรรจง หะรงษ ทไดใหค าแนะน าอนเปนประโยชนตอการศกษาคนควา และปฏบตงานในโครงงานน รวมถงขอบคณครอบครวและเพอนทคอยเปนทปรกษาและใหก าลงใจมาโดยตลอด
ทส าคญอยางยงคอการไดรบการสนบสนนจาก คณอซาโอะ มยาซาก ทไดอนญาตใหน าระบบอเมลโฮสตงมาจดท าเปนกรณศกษา ทางผจดท าตองขอขอบคณทกทานเปนอยางสงมา ณ โอกาสน
ปรชญา รจนสรกล 1 ธนวาคม 2557
III
สารบญ หนา
บทคดยอ I กตตกรรมประกาศ II สารบญ III สารบญรป V สารบญตาราง VI บทท 1 บทน า 1 1.1 หลกการและเหตผล 1 1.2 ปญหาและแนวทางแกปญหา 1 1.3 วตถประสงคของโครงงาน 2 1.4 ขอบเขตของโครงงาน 2 1.5 ประโยชนทคาดวาจะไดรบ 2 1.6 แผนการด าเนนงานโครงการ 3 บทท 2 พนฐานและทฤษฎทเกยวของ 6 2.1 ความมนคงปลอดภยขอมลสารสนเทศ (Information Security) 6 2.2 องคประกอบหลกของความมนคงปลอดภยขอมลสารสนเทศ 6 2.3 มาตรฐานการรกษาความมนคงปลอดภยสารสนเทศ
(ISO/IEC 27001 – Information Security Management) 7 2.4 ขนตอนในการบรหารจดการความเสยง
(ISO/IEC 31000:2009 – Risk Management Process) 8 บทท 3 การด าเนนงาน 11 3.1 ขนตอนในการการด าเนนงาน 11 3.2 รายการทรพยสนทเกยวของ 11 3.3 โครงสรางองคกร (Organization chart) 13 3.4 ก าหนดระดบผลกระทบ (Impact) 13 3.5 การก าหนดโอกาสในการเกด (Likelihood) 15 3.6 การจดระดบความเสยง (Risk evaluation) 15 3.7 การจดการความเสยง (Risk Treatment) 16 3.8 การประเมนความเสยงหลงการจดการความเสยง 16 บทท 4 ผลการด าเนนงาน 17
IV
สารบญ (ตอ) หนา
4.1 บทน า 17
4.2 ผลการประเมนความเสยง 18 4.3 แผนการจดการความเสยง 36 4.4 ผลการประเมนความเสยงหลงด าเนนการ 54 บทท 5 สรปผลการด าเนนงาน 90 5.1 สรปผลในการด าเนนงานและปญหาทพบ 112 เอกสารอางอง 113 ภาคผนวก ก ก-1
V
สารบญรป หนา
รปท 2.1 ตวอยางแสดงความสมพนธของ C-I-A 7 รปท 3.1 แผนผงโครงสรางองคกร 13 รปท 5.1 สรปจ านวนความเสยงโดยรวม 90 รปท 5.2 สรปจ านวนความเสยงประเภท Hardware 91 รปท 5.3 สรปจ านวนความเสยงประเภท Software 91 รปท 5.4 สรปจ านวนความเสยงประเภท Information 92 รปท 5.5 สรปจ านวนความเสยงประเภท Personal 92 รปท 5.6 สรปจ านวนความเสยงประเภท Service 93 รปท ก.1 ตวอยางเอกสารยนยนความเขาใจรวมกนภายในทม ก-2 รปท ก.2 ตวอยางเอกสารยนยนความเขาใจรวมกนระหวางทม ก-3 รปท ก.3 ตวอยางเอกสารยนยนความเขาใจรวมกนระหวางบรษทและลกคา 1 ก-4 รปท ก.4 ตวอยางเอกสารยนยนความเขาใจรวมกนระหวางบรษทและลกคา 2 ก-5 รปท ก.5 ตวอยางเอกสารคมอการจดการกบทรพยสนและการตดตอกบภายนอก 1 ก-6 รปท ก.6 ตวอยางเอกสารคมอการจดการกบทรพยสนและการตดตอกบภายนอก 2 ก-7 รปท ก.7 ตวอยางเอกสารการควบคมการเปลยนแปลง 1 ก-8 รปท ก.8 ตวอยางเอกสารการควบคมการเปลยนแปลง 2 ก-9 รปท ก.9 ตวอยางเอกสารการควบคมการเปลยนแปลง 3 ก-9 รปท ก.10 ตวอยางเอกสารการควบคมการเปลยนแปลง 4 ก-10 รปท ก.11 ตวอยางการตดตามขาวสารความปลอดภยกบหนวยงานภายนอก 1 ก-11 รปท ก.12 ตวอยางการตดตามขาวสารความปลอดภยกบหนวยงานภายนอก 2 ก-12 รปท ก.13 ตวอยางการอบรมเพอใหความรอยางตอเนองเปนประจ า ก-13
VI
สารบญตาราง หนา
ตารางท 1.1 แผนการด าเนนโครงงาน 1 3 ตารางท 1.2 แผนการด าเนนโครงงาน 2 4 ตารางท 3.1 รายการทรพยสน 11 ตารางท 3.2 ผลกระทบดานการเงน 13 ตารางท 3.3 ผลกระทบดานชอเสยง 14 ตารางท 3.4 ผลกระทบตอการใหบรการ 14 ตารางท 3.5 ผลกระทบตอกฎหมาย 15 ตารางท 3.6 โอกาสในการเกด 15 ตารางท 3.7 เกณฑการประเมนระดบความเสยง 16 ตารางท 3.8 ระดบความเสยงและความสมพนธของผลกระทบและโอกาสเกด 16 ตารางท 4.1 ตารางการประเมนความเสยง 18 ตารางท 4.2 สรปความเสยงรวมกอนการด าเนนโครงงาน 35 ตารางท 4.3 สรปความเสยง Hardware กอนการด าเนนโครงงาน 35 ตารางท 4.4 สรปความเสยง Software กอนการด าเนนโครงงาน 35 ตารางท 4.5 สรปความเสยง Information กอนการด าเนนโครงงาน 35 ตารางท 4.6 สรปความเสยง Personal กอนการด าเนนโครงงาน 35 ตารางท 4.7 สรปความเสยง Service กอนการด าเนนโครงงาน 35 ตารางท 4.8 ตารางการจดการความเสยง 36 ตารางท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ 54 ตารางท 4.10 สรปความเสยงรวมหลงการด าเนนโครงงาน 89 ตารางท 4.11 สรปความเสยง Hardware หลงการด าเนนโครงงาน 89 ตารางท 4.12 สรปความเสยง Software หลงการด าเนนโครงงาน 89 ตารางท 4.13 สรปความเสยง Information หลงการด าเนนโครงงาน 89 ตารางท 4.14 สรปความเสยง Personal หลงการด าเนนโครงงาน 89 ตารางท 4.15 สรปความเสยง Service หลงการด าเนนโครงงาน 89 ตารางท 5.1 Statement Of Applicability : SOA 94
1
บทท 1 บทน ำ
1.1 หลกกำรและเหตผล
ปจจบนระบบเทคโนโลยสารสนเทศไดเปนสวนประกอบหนงทส าคญในแทบทกธรกจ โดยหากบรษทใดสามารถน าเอาเทคโนโลยสารสนเทศมาประยกตใชไดเกดประโยชนไดสงกวาคแขง ยอมท าใหเกดความความไดเปรยบในการด าเนนธรกจเปนอยางมาก กลบกนหากองคกรใดไมมนโยบายเกยวกบความมนคงปลอดภยส าหรบการจดการความเสยงทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ กจะเปนเหตท าใหเกดผลกระทบในการด าเนนธรกจแกองคกรนนๆ ดงนน การจดท านโยบายดานความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศทมความรดกมและเปนมาตรฐาน จงเปนเรองทควรใหความสาคญ และควรมการก าหนดนโยบายความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศทเปนมาตรฐานสากล
มาตรฐาน ISO/IEC 27001 เปนขอก าหนดในการจดท าระบบบรหารจดการความมนคงปลอดภย ใหกบองคกร โดยมวตถประสงคในการก าหนดมาตรฐานเพอใหองคกรสามารถบรหารจดการทางดานความมนคงปลอดภยไดอยางมระบบ และเพยงพอเหมาะสมตอการดาเนนธรกจ โดยมการน าขนตอน Plan-Do-Check-Act (PDCA) และน ามาตรฐาน ISO/IEC 31000 มาเปนแนวทางในการประเมนความเสยงมาประกอบการพจารณา เพอหาวธการหรอมาตรการทเหมาะสม 1.2 ปญหำและแนวทำงแกปญหำ
ปจจบน บรษท เอนทท คอมมวนเคชนส (ประเทศไทย) จ ากด มการด าเนนธรกจการใหบรการเกยวกบเทคโนโลยสารสนเทศมากมาย โดยหนงในการใหบรการคอ การใหบรการดานระบบอเมลโฮสตง โดยในปจจบนไดมการการจดท าขนตอนบรหารจดการความมนคงปลอดภย เพอน ามาใชในการบรหารจดการระบบอเมลโฮสตงอยแลวขององคกรอยแลว เพยงแตมไดมการน าเอาแนวทางการจดท าระบบบรหารจดการดานความมนคงปลอดภยทเปนมาตรฐานสากลมาใชเปนสวนหนงของการจดท านโยบาย
ดงนนเพอปองกนปญหาดานความมนคงปลอดภยทอาจเกดขนกบระบบอเมลโฮสตง ทงในดาน ภยธรรมชาต ความผดพลาดทเกดจากขนตอนการด าเนนงาน หรอบคคล ทางผจดท าจงมแนวคดในการน าเอามาตรฐาน ISO/IEC 27001 มาเปนสวนหนงในแผนการจดท าระบบบรหารจดการดานความมนคงปลอดภย เพอทจะท าใหแนวทางในการบรหารจดการทออกมานน ปลอดภย เปนทยอมรบและไดมาตรฐานสากล
2
1.3 วตถประสงคของโครงงำน 1.3.1 น ามาตรฐาน ISO/IEC 27001 มาใชเปนสวนหนงในการจดการพฒนาระบบ
บรหารจดการดานความมนคงปลอดภยใหแกระบบอเมลโฮสตง อนเปนส วนหนงในการใหบรการขององคกรเพอใหมความเปนสากล
1.3.2 เพอจดการกบความเสยงจากภยคกคามดานความมนคงปลอดภยทางดานเทคโนโลยสารสนเทศเพอมใหเกดผลกระทบกบผใชบรการทใชงานระบบอเมลโฮสตงขององคกร 1.4 ขอบเขตของโครงงำน
1.4.1 ขอบเขตของโครงงาน 1 1.4.1.1 ก าหนดขอบเขตของโครงงาน 1.4.1.2 ศกษาแนวทางการด าเนนการดานความมนคงสารสนเทศตาม
มาตรฐาน ISO/IEC 27001, ISO/IEC 31000 1.4.1.3 ขอรบการอนมตในการด าเนนงานจากผบรหาร 1.4.1.4 ก าหนดนโยบายความมนคงปลอดภยทางดานเทคโนโลยสารสนเทศ
ใหแกระบบอเมลโฮสตง 1.4.1.5 ออกแบบแผนและแนวทางในการประเมนความเสยงทจะใชในการ
จดการระบบอเมลโฮสตง 1.4.1.6 วเคราะหและประเมนความเสยงระบบความมนคงปลอดภยทางดาน
เทคโนโลยสารสนเทศใหแกระบบอเมลโฮสตง 1.4.1.7 จดท ารายงานผลลพธทไดจากการประเมนความเสยง
1.4.2 ขอบเขตของโครงงาน 2 1.4.2.1 จดท าแผน, แนวทางในการปฏบต เพอจดการกบความเสยงทตรวจพบ 1.4.2.2 น าเสนอแผน และแนวทางในการปฏบตใหแกหนวยงานและบคคลท
เกยวของ 1.4.2.3 ด าเนนการตามแผนทไดมการออกแบบไว 1.4.2.4 ท าการตดตามผลการด าเนนงานและปรบปรงเพอใหเกดประสทธภาพ
สงสด 1.5 ประโยชนทคำดวำจะไดรบ
1.5.1 จดท านโยบายความมนคงปลอดภยทางดานเทคโนโลยสารสนเทศทเปน มาตรฐานสากล
1.5.2 มการจดการความเสยงทกระทบตอความมนคงปลอดภยทางดานเทคโนโลยสารสนเทศใหไดมากทสด
3
1.5.3 เพมประสทธภาพในการใหบรการของระบบอเมลโฮสตงอนเปนหนงในธรกจขององคกรใหมศกยภาพในการแขงขน 1.6 แผนกำรด ำเนนงำนโครงงำน
1.6.1 แผนการด าเนนโครงงาน 1 ตามตารางท 1,1
ตำรำงท 1.1 แผนการด าเนนโครงงาน 1 แผนการด าเนน งานรายสปดาห
ม.ค. เม.ย. พ.ค. ม.ย. ก.ค. 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
1. ก าหนดขอบเขตของโครงงาน
2. ศกษาแนวทางการด าเนนการดานความมนคงสารสนเทศตามมาตรฐาน ISO/ETC 27001
3. ขอรบการอนมตในการด าเนนงานจากผบรหาร
4. ก าหนดนโยบายความมนคงปลอดภยทางดานเทคโนโลยสารสนเทศใหแกระบบอเมลโฮสตง
5. ออกแบบแผนและแนวทาง ในการประเมนความเสยงทจะใชในการจดการระบบอเมลโฮสตง
4
ตำรำงท 1.1 แผนการด าเนนโครงงาน 1 (ตอ) แผนการด าเนน งานรายสปดาห
ม.ค. เม.ย. พ.ค. ม.ย. ก.ค. 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
6. วเคราะหและประเมนความเสยงระบบความมนคงปลอดภยทางดานเทคโนโลยสารสนเทศใหแกระบบอเมลโฮสตง
7. จดท ารายงานผลลพธทไดจากการประเมนความเสยง
8. สรปผลการด าเนนโครงการ1
1.6.2 แผนการด าเนนโครงงาน 2 ตามตารางท 1.2
ตำรำงท 1.2 แผนการด าเนนโครงงาน 2
แผนการด าเนน งานรายสปดาห
ส.ค. ก.ย. ต.ค. พ.ย. ธ.ค. 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
1. จดท าแผน, แนวทางในการปฏบต เพอจดการกบความเสยงทตรวจพบ
2. น าเสนอแผน และแนวทางในการปฏบตใหแกหนวยงานและบคคลทเกยวของ
5
ตำรำงท 1.2 แผนการด าเนนโครงงาน 2 (ตอ) แผนการด าเนนงานรายสปดาห
ส.ค. ก.ย. ต.ค. พ.ย. ธ.ค. 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
3. ด าเนนการตามแผนทไดมการออกแบบไว
4. ท าการตดตามผลการด าเนนงานและปรบปรงเพอ ใหเกดประสทธ ภาพสงสด
5. สรปผลการด าเนนโครงการ 2
6
บทท 2 พนฐำนและทฤษฎทเกยวของ
2.1 ควำมมนคงปลอดภยขอมลสำรสนเทศ (Information Security)[1] ความมนคงปลอดภยขอมลสารสนเทศคอแนวทางการปฏบต โดยมวตถประสงคเพอปองกนขอมลจากการเขาถง, น าไปใชประโยชน, เปดเผย และ เปลยนแปลงแกไข โดยไมไดรบอนญาต โดยน ามาซงความสญเสยทงในแง ทรพยสน ชอเสยง รวมถงโอกาสทางธรกจ ดงนนทกองคกรจงควรตระหนกถงความจ าเปนในการปกปองขอมลเหลานใหมความปลอดภย โดยในปจจบนไดมองคกรมากมาย พยายามน าเสนอมาตรฐานตางๆ เพอใชในการจดการขอมลใหมความปลอดภยและมมาตรฐาน 2.2 องคประกอบหลกของควำมมนคงปลอดภยขอมลสำรสนเทศ ในการพฒนาความมนคงปลอดภยขอมลสารสนเทศนนมสงทจ าเปนและตองน ามาประกอบการพจารณาและจ าแนกวาขอมลตางๆมความปลอดภยหรอไมโดยจะนยมเรยกสนๆวา C-I-A โดยแตละตวอกษรจะแทนถงคณสมบตทสารสนเทศทมความปลอดภยจ าเปนตองมดงตอไปน
2.2.1 การรกษาความลบ (Confidentiality) คอการพดถงการรกษาความลบขอมลเพอเปนการท าใหมนใจวาขอมลตางๆมการปกปองจากผทไมประสงคดตอขอมลนนๆใหไมสามารถเขาถงได โดยอาศยเทคนคและวธการตางๆในการจดการสทธ (Authorization) ของผใชงานใหมความถกตองและเหมาะสมกบความรบผดชอบของแตละบคคล
2.2.2 ความถกตองสมบรณ (Integrity) คอการพดถงการดแลตรวจสอบความถกตองสมบรณของขอมล เพอเปนการท าใหมนใจวาขอมลทน ามาใชนน มความถกตองครบถวน มไดถกเปลยนแปลงแกไข โดยจ าเปนตองมกระบวนการทจะน ามาใชตรวจสอบและยนยนวาขอมลทมอยนนไดถกแกไขหรอไม (Detect)
2.2.3 ความพรอมใช (Availability) คอการพดถง การดแลรกษาและท าใหมนใจวาขอมลตางๆอยในสภาพพรอมใช สามารถเรยกใชหรอเขาถงไดตามทไดมการวางแผนไว โดยจ าเปนตองมการท าความเขาใจถงความจ าเปน และก าหนดระดบความพรอมใช เนองจากแตละขอมลมความจ าเปนในการเขาถงทแตกตางกน เชนบางขอมลอาจจ าเปนตองมความพรอมใชตลอดเวลา แตบางขอมลอาจมความจ าเปนตองเขาถงแคบางชวงเวลา ดตวอยางตามรปท 2.1
7
รปท 2.1 ตวอยางแสดงความสมพนธของ C-I-A 2.3 มำตรฐำนกำรรกษำควำมมนคงปลอดภยสำรสนเทศ (ISO/IEC 27001 – Information Security Management) [2] ISO/IEC 27001:2013 เปนมาตรฐานทใชในการควบคมหรอจดการกบความเสยงทอาจเกดขนกบขอมลหรอระบบทมความเกยวของกบขอมล Information Security Management System (ISMS) โดยแตละองคกรจะตองน ามาตรการตางๆทมกลาวถงใน ISO/IEC 27001:2013 มาใชในการลดหรอก าจด ความเสยงทอาจเกดขนกบขอมลหรอระบบสารสนเทศ โดยหลกการทนยมน ามาใชในการออกแบบและพฒนา ISO/IEC 27001:2013 นน จะนยมน าเอาหลกการของ PDCA มาใชอนประกอบไปดวย วางแผน Plan - ด าเนนการ Do - เฝาระวงและตรวจสอบ Check - ปรบปรง Act มาใชในการด าเนนการดงน
2.3.1 วางแผน ประกอบไปดวยขนตอนดงตอไปน ก าหนด scope และ ขอบเขตการจดท าระบบ ISMS ก าหนด ISMS Policy ก าหนด รปแบบการประเมนความเสยง ก าหนดความเสยง วเคราะห และ ประเมนความเสยง ก าหนดและประเมน วธการเพอลดความเสยง เลอกการควบคม เพอลดความเสยง เหนชอบความเสยงทเหลออยโดย management เหนชอบและประยกตใช ระบบ โดย management จดท า Statement of Applicable(SOA)
2.3.2 ด าเนนการ ประกอบไปดวยขนตอนดงตอไปน
8
ก าหนดแผนการลดความเสยง ด าเนนการตามแผนลดความเสยง ด าเนนการ ตามการควบคมทเลอก ก าหนดการวดประสทธภาพของระบบการควบคม จดท ารายการฝกอบรม จดการการประยกตใชระบบ ประยกตใช ระเบยบปฎบตงาน
2.3.3 เฝาระวงและตรวจสอบ ประกอบไปดวยขนตอนดงตอไปน จดท า ระเบยบปฏบตการ เฝาระวงและตรวจสอบระบบ ISMS ทบทวนประสทธภาพของ ระบบอยางสม าเสมอ วดประสทธภาพการควบคมในการปฏบตตามขอก าหนด ทบทวน การประเมนความเสยงตามแผนความเสยงทเหลอระบบการ
ประเมนความเสยง และการเปลยนแปลงตางๆ ตามรอบเวลาทก าหนด ด าเนนการ ตรวจตดตามภายในระบบISMS ด าเนนการ จดท า management review ปรบปรง security plan ใหทนสมย บนทกการการท างานและหลกฐานทมผลตอประสทธภาพและประสทธผล
ของระบบ 2.3.4 ปรบปรง ประกอบไปดวยขนตอนดงตอไปน
ด าเนนการ corrective action และ preventive action สอสาร วธการและการปรบปรงตางๆ ใหกบผทเกยวของตางๆ แนใจวา วธการทปรบปรงขน บรรลจดประสงคทวางไว
2.4 ขนตอนในกำรบรหำรจดกำรควำมเสยง (ISO/IEC 31000:2009 – Risk Management Process) [3]
ISO/IEC 31000:2009 เปนมาตรฐานทจะพดถงขนตอนในการจดการกบความเสยงทอาจเกดหรอเคยเกดขนมาแลวโดยน ามาใชรวมกนกบมาตรฐาน ISO/IEC 27001:2013 เพอลด, จ ากด หรอท าใหอยในระดบทยอมรบได
ความเสยง (Risk) หมายถง โอกาส หรอ ความไมแนนอน โดยอาจเกดหรอไมเกดขนกได แตหากเกดแลวจะสงผลกระทบ (impact) ไมวาจะโดยตรงหรอโดยออมกบระบบหรอขอมล สารสนเทศขององคกร ดงนนแตละองคกรณจงจ าเปนตองมขนตอนในการบรหารจดการความเสยง ซง ISO/IEC 31000:2009 ไดมการก าหนดขนตอนในการจดการความเสยงดงตอไปน
9
2.4.1 การก าหนดสภาพแวดลอม (Establishing the Context) คอการก าหนดปจจยภายในและภายนอกเพอน าไปสการบรหารความเสยงรวมถงการก าหนดขอบเขตและเกณฑความเสยงส าหรบนโยบาบบรหารความเสยง
2.4.1.1 บรบทภายใน (internal context) หมายถง สภาพแวดลอมภายในทมผลตอการบรรลวตถประสงคขององคกร โดยบรบทภายใน สามารถประกอบดวย.
การก ากบดแล โครงสรางองคกร บทบาท และภาระรบผดชอบ กลยทธเพอใหบรรลตามนโยบายและวตถประสงคทก าหนดไว ขดความสามารถดานทรพยากรและความร (เชน เงนทน เวลา คน
การด าเนนการ ระบบและเทคโนโลย) ระบบสารสนเทศ การรบสงสารสนเทศ และการด าเนนการ
ตดสนใจ (ทงทเปนทางการและไมเปนทางการ) ความสมพนธกบผมสวนไดเสยภายในองคกร มมมองของผมสวน
ไดเสยภายในองคกรและคณคาขององคกรทมตอผมสวนไดเสยภายในองคกร วฒนธรรมองคกร มาตรฐานแนวทางและรปแบบการด าเนนการทรบมาใชในองคกร ระเบยบแบบแผนและความผกพนทางพนธะสญญา
2.4.1.2 บรบทภายนอก (external context) หมายถง สภาพแวดลอมภายนอกทมผลตอการบรรลวตถประสงคขององคกร โดยบรบทภายนอก สามารถประกอบดวย
สงคม วฒนธรรม การเมอง กฎหมาย ขอบงคบ การเงน เทคโนโลย เศรษฐกจ ลกษณะขององคกรและสภาพการแขงขนทางธรกจ ทงในระดบโลก ระดบชาต ระดบภมภาค หรอระดบทองถน
ตวขบเคลอนทส าคญและแนวโนมทจะมผลกระทบตอวตถประสงคขององคกร
ความสมพนธกบผมสวนไดเสยภายนอกองคกร มมมองของผมสวนไดเสยภายนอกองคกรและคณคาขององคกรทมตอผมสวนไดเสยภายนอกองคกร
2.4.2 การคนหาเสยง (Risk Identification) เปนการระบความเสยงตางๆทอาจเกดขนโดยอาศยหลกการของ 5W1H ดงตอไปน
What อะไรคอความเสยง Where ความเสยงจะเกดขนทไหน When เมอไรถงจะเกด Why เหตใดถงเกด How เกดไดอยางไร
10
2.4.3 การวเคราะหความเสยง (Risk Analysis) เปนการวเคราะหเพอก าหนดระดบความเสยงของแตละองคกร
2.4.4 การประเมนความเสยง (Risk Evaluation) การประเมนความเสยงคอการน าเอาภยคกคาม (Vulnerability), ความเสยง (Threat) และโอกาสทจะเกด (Likelihood) มาใชรวมกนเพอประเมนหาระดบความส าคญของแตละความเสยง เพอน าขอมลของแตละความเสยงไปบรหารจดการตอไป
2.4.5 การจดการความเสยง (Risk Treatment) จะกลาวถงการน าเอามาตรการตางๆมาจดการความเสยงทมใหอยในระดบทองคกรสามารถยอมรบได อนประกอบดวย 4 หลกการดงตอไปน
2.4.5.1 การลดความเสยง (Risk Reduction) คอ ความพยายามในการหามาตรการมาใชในการลดความเสยงใหมาอยในระดบทองคกรสามารถยอมรบได
2.4.5.2 การยอมรบความเสยง (Risk Acceptance) คอ การพจารณายอมรบความเสยงทมอย อนเนองมาจากหลายปจจย เชน ขาดงบประมานในการด าเนนการเพอจดการกบความเสยง, ความเสยงนนมผลกบธรกจในวงจ ากดและอาจไมคมกบคาใชจายในการด าเนนการเพอจดการความเสยงนนๆ
2.4.5.3 การหลกเลยงความเสยง (Risk Avoidance) คอ การหลกเลยงความเสยงโดยการยกเลกกระบวนการท างาน หรอทรพยสน ทกอใหเกดความเสยงขน
2.4.5.4 การโอนความเสยง (Risk Transfer) คอ การพจารณาถายโอนความเสยงไปใหหนวยงานหรอผใหบรการภายนอกเขามาดแลแทน
11
บทท 3 กำรด ำเนนงำน
3.1 ขนตอนในกำรด ำเนนงำน เมอไดรบอนญาตจากทางบรษทและหนวยงานทเกยวของ รวมถงอาจารยทปรกษาใหสามารถด าเนนโครงงานไดแลวนน ผจดท าจงไดมการก าหนดวธการและขนตอนปฏบตทใชในการปฏบตงานดงตอไปน 3.1.1 ศกษาโครงสรางองคประกอบรวมถงระบบเทคโนโลยสารสนเทศขององคกร
หลกการและทฤษฎตามบทท 2 เอกสารมาตรฐาน ISO 27001:2013
3.1.2 ก าหนดขอบเขตโครงงาน หารอกบอาจารยและผบรหารในบรษทเพอก าหนดขอบเขต
3.1.3 ก าหนดนโยบายและแผนในการด าเนนโครงงาน จดท าล าดบและขนตอนการปฎบตรวมถงระยะเวลาทคาดวาตองใชในการ
ด าเนนงาน 3.1.4 ท าการประเมนความเสยงตามขอบแขตทก าหนด
จดท ารายการทรพยสนทเกยวของ ท าการประเมนความเสยงตามทฤษฎทไดมการศกษา
3.1.5 ก าหนดแนวทางการจดการความเสยงตามมาตรฐาน ISO/IEC 27001:2013 น าเอามาตรฐาน ISO/IEC 27001:2013 ทไดศกษามาใชในการจดการ,ลด
และโอนยายความเสยงท าการประเมนความเสยงซ าเพอตรวจวดผลหลงการจดการความเสยง 3.1.6 สรปผลการด าเนนโครงงาน
3.2 รำยกำรทรพยสนทเกยวของ
รายการทรพยสนตามตารางท 3.1 ตำรำงท 3.1 รายการทรพยสน
ล าดบ ประเภททรพยสน รหสทรพยสน รายการทรพยสน 1 Hardware MH-HW-MT001 MTA Server 2 Hardware MH-HW-DB001 Database Server 3 Hardware MH-HW-WM001 Webmail Server 4 Hardware MH-HW-MB001 Mailbox Server
ตำรำงท 3.1 รายการทรพยสน (ตอ)
12
ล าดบ ประเภททรพยสน รหสทรพยสน รายการทรพยสน 5 Hardware MH-HW-SW001 Switch 6 Hardware MH-HW-LB001 Load balance server 7 Hardware MH-HW-BU001 Backup Server 8 Hardware MH-HW-LO001 Log Server 9 Hardware MH-HW-DN001 DNS Server 10 Software MH-SW-MS001 Mail service Application 11 Software MH-SW-DB001 Database Application 12 Software MH-SW-WS001 Web Service Application 13 Software MH-SW-OS001 Operating system(Linux) 14 Software MH-SW-BK001 Backup Management Application 15 Software MH-SW-LO001 Log Management Application 16 Software MH-SW-RM001 Remote Application 17 Software MH-SW-DN001 DNS Application 18 Information MH-IN001 E-Mail Data 19 Information MH-IN002 Username/Password 20 Information MH-IN003 User profile setting 21 Information MH-IN004 Log data 22 Information MH-IN005 Application Configurations 23 Personal MH-P001 Service Owner 24 Personal MH-P002 Service Manager 25 Personal MH-P003 Admin 26 Personal MH-P004 User 27 Service MH-SV001 Building and Facilities Provider 28 Service MH-SV002 Internet Service Provider
13
3.3 โครงสรำงองคกร (Organization chart) บรษท เอนทท คอมมวนเคชนส (ประเทศไทย) จ ากด มโครงสรางองคกรตามรปท 3.1
รปท 3.1 แผนผงโครงสรางองคกร 3.4 ก ำหนดระดบผลกระทบ (Impact)
3.4.1 ผลกระทบดานการเงน จะพจารณามลคาทไดรบผลกระทบตอสนทรพยรวมถงการเสยโอกาสทางการคาและการแขงขนตามตารางท 3.2
ตำรำงท 3.2 ผลกระทบดานการเงน ระดบผลกระทบ ระดบคะแนน รายละเอยด
สงมาก 5 ผลกระทบสงมาก มมลคาความเสยหายมากกวา 1 ลานบาท
สง 4 ผลกระทบสง มมลคาความเสยหายมากกวา 5 แสนบาท
ปานกลาง 3 ผลกระทบปานกลาง มมลคาความเสยหายมากกวา 2 แสนบาท
ประธาน
รองประธาน
ฝายกจการภายใน/ทรพยากรมนษย
ฝายขาย พเศษ
ฝายขาย
ฝายขายกจการตางประเทศ
ฝายวศวกรตดตง
ฝายวศวกรปฏบตการ/บ ารงรกษา
ฝายวางแผนธรกจ/จดซอ
14
ตำรำงท 3.2 ผลกระทบดานการเงน (ตอ) ระดบผลกระทบ ระดบคะแนน รายละเอยด
ต า 2 ผลกระทบต ามมลคาความเสยหายมากกวา 5 หมนบาท
ต ามาก 1 ผลกระทบต ามาก มมลคาความเสยหายต ากวา 5 หมนบาท
3.4.2 ผลกระทบดานชอเสยงจะพจารณาจากชอเสยงทไดรบผลกระทบตอสนทรพยตาม
ตารางท 3.3 ตำรำงท 3.3 ผลกระทบดานชอเสยง
ระดบผลกระทบ ระดบคะแนน รายละเอยด สงมาก 5 กระทบตอชอเสยงและความนาเชอถออยางมากท าให
เกดการตอตานตอสาธารณะ เชน ชมนมประทวง สง 4 กระทบตอชอเสยงและความนาเชอถออยางมากท าให
เกดการคดคานจากสอสาธารณะเชน มการเผยแพรทางอนเตอรเนตหรอหนาหนงสอพมพ
ปานกลาง 3 กระทบตอชอเสยงและความนาเชอถอปานกลางท าใหเกดการวจารณจากสอสาธารณะเชน มการเผยแพรทางอนเตอรเนตหรอหนาหนงสอพมพ
ต า 2 กระทบตอชอเสยงและความนาเชอถอต าเชนการรองเรยนหรอแนะน าผานโทรศพหรออเมล
ต ามาก 1 กระทบตอชอเสยงและความนาเชอถอต ามากหรอไมกระทบ
3.4.3 ผลกระทบตอการใหบรการ จะพจารณาจากการด าเนนงานทไดรบผลกระทบตอ
สนทรพยตามตารางท 3.4 ตำรำงท 3.4 ผลกระทบตอการใหบรการ
ระดบผลกระทบ ระดบคะแนน รายละเอยด สงมาก 5 กระทบตอการใหบรการมากกวา 1 ชวโมง สง 4 กระทบตอการใหบรการมากกวา 30 นาท
ปานกลาง 3 กระทบตอการใหบรการมากกวา 10 นาท
ต า 2 กระทบตอการใหบรการมากกวา 5 นาท
ต ามาก 1 กระทบตอการใหบรการต ากวา 5 นาท
15
3.4.4 ผลกระทบตอกฎหมาย จะพจารณาจากล าดบความส าคญของกฎหมายหรอ ขอก าหนดรวมถงขอสญญาทไดรบผลกระทบตอสนทรพยตามตารางท 3.5
ตำรำงท 3.5 ผลกระทบตอกฎหมาย ระดบผลกระทบ ระดบคะแนน รายละเอยด สงมาก 5 มความเกยวของกบกฎหมายในแตละประเทศ สง 4 มความเกยวของกบสญญากบคคา หรอ ลกคา
ปานกลาง 3 มความเกยวของกบขอบงคบทองถน หรอขอตกลงทวไป
ต า 2 มความเกยวของกบความคาดหวงของบคลากร
ต ามาก 1 ไมมความเกยวของกบกฎหมายหรอขอตกลงใดๆ
3.5 กำรก ำหนดโอกำสในกำรเกด (Likelihood)
โอกาสในการเกดผลกระทบ เชงปรมาน คอ สถตจ านวนการเกดเหตการณในอดต, เชงคณภาพ คอ ลกษณะหรอแนวทางการปฎบต ตามตารางท 3.6
ตำรำงท 3.6 โอกาสในการเกด สงมาก (5) สง (4) ปานกลาง (3) นอย(2) นอยทสด(1) มโอกาสเกดไดทกวน
เกดขนทก เดอน
เกดขนทกป เกดขน 2 ป /ครง
ไมเคยเกดขน
ไมมการใหความรและไมมการจดท าขอปฏบต
มการใหความรและ/หรอมการจดท าขอปฏบตแกผใชและเจาหนาทใหม
มการใหความรและ/หรอมการจดท าขอปฏบตแกผใชและเจาหนาททกทกป
มการใหความรและ/หรอมการจดท า และปรบปรงขอปฏบตแกผใชและเจาหนาททกทกป
มการใหความรและ/หรอมการจดท า และปรบปรงขอปฏบตแกผใชและเจาหนาททกทก 6 เดอน
3.6 กำรจดระดบควำมเสยง (Risk evaluation) 3.6.1 การจดระดบความเสยงโดยการค านวนจากสมการดงน
ระดบความเสยง (Risk value) = ระดบโอกาสเกด (Likelihood) x ระดบผลกระทบ (Impact) 3.6.2 โดยมการก าหนด ”เกณฑการประเมนระดบความเสยง” รวมถง ”ระดบความเสยงและความสมพนธของผลกระทบและโอกาสเกด” ตามตารางท 3.7 และตารางท 3.8 ตามล าดบ
16
ตำรำงท 3.7 เกณฑการประเมนระดบความเสยง ระดบความเสยง ความหมาย 1-3 ความเสยงต ามาก 4-8 ความเสยงต า 9-15 ความเสยงปานกลาง 16-25 ความเสยงสง
ตำรำงท 3.8 ระดบความเสยงและความสมพนธของผลกระทบและโอกาสเกด
Risk value Likelihood factor นอยทสด (1) นอย (2) ปานกลาง (3) สง (4) สงมาก (5)
Impa
ct fac
tor
นอยทสด (1) 1 2 3 4 5 นอย (2) 2 4 6 8 10 ปานกลาง (3) 3 6 9 12 15 สง (4) 4 8 12 16 20 สงมาก (5) 5 10 15 20 25
3.7 กำรจดกำรควำมเสยง (Risk Treatment)
3.7.1 การลดความเสยง (Risk Reduction) คอ ความพยายามในการหามาตรการมาใชในการลดความเสยงใหมาอยในระดบทองคกรสามารถยอมรบได
3.7.2 การยอมรบความเสยง (Risk Acceptance) คอ การพจารณายอมรบความเสยงทมอย อนเนองมาจากหลายปจจย เชน ขาดงบประมาณในการด าเนนการเพอจดการกบความเสยง, ความเสยงนนมผลกบธรกจในวงจ ากดและอาจไมคมกบคาใชจายในการด าเนนการเพอจดการความเสยงนนๆ
3.7.3 การหลกเลยงความเสยง (Risk Avoidance) คอ การหลกเลยงความเสยงโดยการยกเลกกระบวนการท างาน หรอทรพยสน ทกอใหเกดความเสยงขน
3.7.4 การโอนความเสยง (Risk Transfer) คอ การพจารณาถายโอนความเสยงไปใหหนวยงานหรอผใหบรการภายนอกเขามาดแลแทน 3.8 กำรประเมนควำมเสยงหลงกำรจดกำรควำมเสยง
การประเมนความเสยงหลงการจดการความเสยง เพอตรวจสอบผลการจดการความเสยงทไดด าเนนการตามแนวทางจดการความเสยงแลว เพอเปนการยนยนวาความเสยงของระบบเทคโนโลยสารสนเทศขององคกรมระดบของความเสยงลดลงมาหรอมการบรหารจดการทด และความเสยงลดลงตามทองคการยอมรบไดหรอไม
17
บทท 4 ผลกำรด ำเนนงำน
4.1 บทน ำ ผจดท าโครงงานไดน าขอมลทรพยสนตางๆทไดมการรวบรวมไวเพอน ามาใชในการประเมนความเสยงรวมถงตดตามผลการด าเนนงานเมอสนสดโครงการ เพอวดผลส าเรจจากการด าเนนโครงการ โดยจะเรมจากการประเมนความเสยงโดยอาศยขอมลตางๆทมการระบไวในบทท 3 มาใชในการประเมนความเสยง และเมอไดรายการความเสยงทมโอกาสเกดกบระบบมาแลวกจะน ามาวเคราะหเพอเลอกหามาตรการตางๆทมการระบไวใน ISO/IEC 27001:2013 มาใชเพอท าการจดการกบความเสยงทม และเมอท าการจดการความเสยงทมทงหมดแลวกจะท าการประเมนความเสยงอกครงเพอวดผลความส าเรจหลงการด าเนนการ โดยหากตรวจพบความเสยงทยงคงหลงเหลออยกจะท าการคดเลอกมาตรการเพอน ามาใชในการจดการความเสยงซ าอกครงเพอใหแนใจวา ความเสยงทมทงหมดนนถกจดการหรอถกลดระดบจนอยในระดบทสามารถยอมรบได
18
4.2 ผลกำรประเมนควำมเสยง ผลการประเมนความเสยงกอนการด าเนนการควบคมความเสยงตามตารางท 4.1
ตำรำงท 4.1 ตารางการประเมนความเสยง ล าดบ ประเภท รายการ
ตรวจสอบ ความเสยง F O R C โอกาส ระดบความ
เสยง 1 Hardware MTA Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง 5 5 2 4 5 สง
2 Hardware MTA Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก
1 2 2 4 1 ต ามาก
3 Hardware MTA Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ
1 1 3 2 5 กลาง
4 Hardware MTA Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ
1 5 3 4 5 สง
5 Hardware MTA Server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ
2 5 2 2 5 กลาง
6 Hardware MTA Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด 5 5 3 4 1 ต า 7 Hardware Database
Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง 3 5 2 4 5 สง
8 Hardware Database Server
อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก
1 2 2 4 1 ต ามาก
19
ตำรำงท 4.1 ตารางการประเมนความเสยง (ตอ) ล าดบ ประเภท รายการ
ตรวจสอบ ความเสยง F O R C โอกาส ระดบความ
เสยง 9 Hardware Database
Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ
1 1 3 2 5 กลาง
10 Hardware Database Server
อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ
1 5 3 4 5 สง
11 Hardware Database Server
อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ
2 5 2 2 5 กลาง
12 Hardware Database Server
อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด 3 5 3 4 1 ต ามาก
13 Hardware Webmail Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง 3 5 2 4 5 สง 14 Hardware Webmail Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟ
กระชาก 1 2 2 4 1 ต ามาก
15 Hardware Webmail Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ
1 1 3 2 5 กลาง
16 Hardware Webmail Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ
1 5 3 4 5 สง
17 Hardware Webmail Server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ
2 5 2 2 5 กลาง
18 Hardware Webmail Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด 3 5 3 4 1 ต า 19 Hardware Mailbox Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง 4 5 2 4 5 สง
20
ตำรำงท 4.1 ตารางการประเมนความเสยง (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ร ะ ดบ ค ว า มเสยง
20 Hardware Mailbox Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก
1 2 2 4 1 ต ามาก
21 Hardware Mailbox Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ
1 1 3 2 5 กลาง
22 Hardware Mailbox Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ
1 5 3 4 5 สง
23 Hardware Mailbox Server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ
2 5 2 2 5 กลาง
24 Hardware Mailbox Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด 4 5 3 4 1 ต า 25 Hardware Switch อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง 2 5 2 4 5 สง 26 Hardware Switch อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟ
กระชาก 1 2 2 4 1 ต ามาก
27 Hardware Switch ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ
1 1 3 2 5 กลาง
28 Hardware Switch อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ
1 5 3 4 5 สง
29 Hardware Switch อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากร ระบบไมเพยงพอ
2 5 2 2 5 กลาง
21
ตำรำงท 4.1 ตารางการประเมนความเสยง (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง
30 Hardware Switch อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด 2 5 3 4 1 ต า 31 Hardware Load balance
server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง 5 5 2 4 5 สง
32 Hardware Load balance server
อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก
1 2 2 4 1 ต ามาก
33 Hardware Load balance server
ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ
1 1 3 2 5 กลาง
34 Hardware Load balance server
อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ
1 5 3 4 5 สง
35 Hardware Load balance server
อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ
5 5 2 2 5 สง
36 Hardware Load balance server
อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด 5 5 3 4 1 ต า
37 Hardware Backup Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง 2 5 2 2 5 กลาง 38 Hardware Backup Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟ
กระชาก 1 2 2 2 1 ต ามาก
22
ตำรำงท 4.1 ตารางการประเมนความเสยง (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง
39 Hardware Backup Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ
1 1 3 2 5 กลาง
40 Hardware Backup Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ
1 5 3 2 5 กลาง
41 Hardware Backup Server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ
2 5 2 2 5 กลาง
42 Hardware Backup Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด 2 5 3 4 1 ต า 43 Hardware Log Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง 2 5 2 2 5 กลาง
44 Hardware Log Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก
1 2 2 2 1 ต ามาก
45 Hardware Log Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ
1 1 3 2 5 กลาง
46 Hardware Log Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ
1 5 3 2 5 กลาง
47 Hardware Log Server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ
2 5 2 2 5 กลาง
48 Hardware Log Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด 2 5 3 4 1 ต า 49 Hardware DNS Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง 3 5 2 4 5 สง
23
ตำรำงท 4.1 ตารางการประเมนความเสยง (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง
50 Hardware DNS Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก
1 2 2 4 1 ต ามาก
51 Hardware DNS Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ
1 1 3 2 5 กลาง
52 Hardware DNS Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ
1 5 3 4 5 สง
53 Hardware DNS Server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ
2 5 2 2 5 กลาง
54 Hardware DNS Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด 3 5 3 4 1 ต า 55 Software Mail service
Application ระบบถกเขาถงโดยไมมสทธเนองจากผดแลระบบไมไดท าการLogout
1 5 3 2 5 กลาง
56 Software Mail service Application
ระบบหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ
1 5 3 4 5 สง
57 Software Mail service Application
ระบบหยดหรอไมสามารถใหบรการไดเตมประสทธภาพเนองจากการโจมตจาก DDOS Attack
1 5 2 4 4 กลาง
58 Software Mail service Application
ระบบถกเขาถงเนองจากรหสผานงายตอการคาดเดา 1 5 2 2 5 กลาง
24
ตำรำงท 4.1 ตารางการประเมนความเสยง (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง
59 Software Mail service Application
ระบบถกเขาถงเนองจากถกดกจบรหสผาน 1 5 2 2 1 ต ามาก
60 Software Mail service Application
ระบบท างานผดพลาด หรอท างานชาลงเนองจากมโคด ไมประสงคด
1 5 3 4 1 ต ามาก
61 Software Mail service Application
ระบบหยดใหบรการเน องจากมการเปลยนแปลงการตงคา /ปรบปรงระบบ
1 5 2 4 4 กลาง
62 Software Mail service Application
ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต 1 5 1 2 4 กลาง
63 Software Database Application
ระบบถกเขาถงโดยไมมสทธเนองจากผดแลระบบไมไดท าการLogout
1 5 3 2 5 กลาง
64 Software Database Application
ระบบหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ
1 5 3 4 5 สง
65 Software Database Application
ระบบถกเขาถงเนองจากรหสผานงายตอการคาดเดา 1 5 3 4 5 สง
66 Software Database Application
ระบบถกเขาถงเนองจากถกดกจบรหสผาน 1 5 3 4 1 ต ามาก
25
ตำรำงท 4.1 ตารางการประเมนความเสยง (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง
67 Software Database Application
ระบบท างานผดพลาด หรอท างานชาลงเนองจากมโคด ไมประสงคด
1 5 3 4 1 ต ามาก
68 Software Database Application
ระบบหยดใหบรการเน องจากมการเปลยนแปลงการตงคา /ปรบปรงระบบ
1 5 2 4 5 กลาง
69 Software Database Application
ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต 1 5 1 2 4 กลาง
70 Software Web Service Application
ระบบหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ
1 5 3 4 5 สง
71 Software Web Service Application
ระบบหยดหรอไมสามารถใหบรการไดเตมประสทธภาพเนองจากการโจมตจาก DDOS Attack
1 5 2 4 4 กลาง
72 Software Web Service Application
ระบบท างานผดพลาด หรอท างานชาลงเนองจากมโคด ไมประสงคด
1 5 3 4 1 ต ามาก
73 Software Web Service Application
ระบบหยดใหบรการเน องจากมการเปลยนแปลงการตงคา /ปรบปรงระบบ
1 5 2 4 5 กลาง
74 Software Web Service Application
ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต 1 5 1 2 4 กลาง
26
ตำรำงท 4.1 ตารางการประเมนความเสยง (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง
75 Software Operating system(Linux)
ระบบถกเขาถงโดยไมมสทธเนองจากผดแลระบบไมไดท าการLogout
1 5 3 4 5 สง
76 Software Operating system(Linux)
ระบบหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ
1 5 3 4 5 สง
77 Software Operating system(Linux)
ระบบถกเขาถงเนองจากรหสผานคาดเดาไดงาย 1 5 3 4 5 สง
78 Software Operating system(Linux)
ระบบถกเขาถงเนองจากถกดกจบรหสผาน 1 5 3 4 1 ต ามาก
79 Software Operating system(Linux)
ระบบท างานผดพลาด หรอท างานชาลงเน องจากมโคดไมประสงคด
1 5 3 4 1 ต ามาก
80 Software Operating system(Linux)
ระบบหยดใหบรการเน องจากมการเปลยนแปลงการตงคา /ปรบปรงระบบ
1 5 2 4 5 กลาง
81 Software Operating system(Linux)
ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต 1 5 1 2 4 กลาง
82 Software Backup Management Application
ระบบหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ
1 5 3 4 5 สง
27
ตำรำงท 4.1 ตารางการประเมนความเสยง (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง
83 Software Backup Management Application
ระบบท างานผดพลาด หรอท างานชาลงเน องจากมโคดไมประสงคด
1 5 3 4 1 ต ามาก
84 Software Backup Management Application
ระบบหยดใหบรการเน องจากมการเปลยนแปลงการตงคา /ปรบปรงระบบ
1 5 2 4 5 กลาง
85 Software Backup Management Application
ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต 1 5 1 2 4 กลาง
86 Software Log Management Application
ระบบหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ
1 5 3 4 5 สง
87 Software Log Management Application
ระบบท างานผดพลาด หรอท างานชาลงเนองจากมโคด ไมประสงคด
1 5 3 4 1 ต ามาก
28
ตำรำงท 4.1 ตารางการประเมนความเสยง (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง
88 Software Log Management Application
ระบบหยดใหบรการเน องจากมการเปลยนแปลงการตงคา /ปรบปรงระบบ
1 5 2 4 5 กลาง
89 Software Log Management Application
ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต 1 5 1 2 4 กลาง
90 Software Remote Application
ระบบหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ
1 5 3 4 5 สง
91 Software Remote Application
ระบบท างานผดพลาด หรอท างานชาลงเนองจากมโคด ไมประสงคด
1 5 3 2 1 ต ามาก
92 Software Remote Application
ระบบหยดใหบรการเน องจากมการเปลยนแปลงการตงคา /ปรบปรงระบบ
1 5 1 2 5 กลาง
93 Software Remote Application
ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต 1 5 1 2 4 กลาง
94 Software DNS Application
ระบบหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ
1 5 3 4 5 สง
29
ตำรำงท 4.1 ตารางการประเมนความเสยง (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง
95 Software DNS Application
ระบบท างานผดพลาด หรอท างานชาลงเนองจากมโคด ไมประสงคด
1 5 3 4 1 ต ามาก
96 Software DNS Application
ระบบหยดใหบรการเน องจากมการเปลยนแปลงการตงคา /ปรบปรงระบบ
1 5 2 4 5 กลาง
97 Software DNS Application
ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต 1 5 1 2 4 กลาง
98 Information E-Mail Data ขอมลถกเขาถงจากผทไมมสทธ 1 1 3 4 1 ต ามาก
99 Information E-Mail Data ขอมลถกแกไขจากผทไมมสทธ 1 5 3 4 1 ต ามาก
100 Information E-Mail Data ขอมลถกลกลอบท าส าเนาและน าไปเผยแพร 1 1 3 4 1 ต ามาก
101 Information E-Mail Data ขอมลสญหายจากการไมส ารองขอมล 1 5 3 4 1 ต ามาก
102 Information E-Mail Data ขอมลรวไหลเนองจากตดคางในสอบนทกทเลกใชหรอน ามาใชไหม
1 1 3 4 4 กลาง
103 Information E-Mail Data ขอมลรวไหลระหวางการรบสง 1 1 3 4 1 ต ามาก
104 Information Username/Password
ขอมลถกเขาถงจากผทไมมสทธ 1 1 3 4 1 ต ามาก
105 Information Username/Password
ขอมลถกแกไขจากผทไมมสทธ 1 5 3 4 1 ต ามาก
30
ตำรำงท 4.1 ตารางการประเมนความเสยง (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง
106 Information Username/Password
ขอมลถกลกลอบท าส าเนาและน าไปเผยแพร 1 1 3 4 1 ต ามาก
107 Information Username/Password
ขอมลสญหายจากการไมส ารองขอมล 1 5 3 4 1 ต ามาก
108 Information Username/Password
ขอมลรวไหลเนองจากตดคางในสอบนทกทเลกใชหรอน ามาใชไหม
1 1 3 4 4 กลาง
109 Information Username/Password
ขอมลรวไหลระหวางการรบสง 1 1 3 4 1 ต ามาก
110 Information User profile setting
ขอมลถกเขาถงจากผทไมมสทธ 1 1 3 4 1 ต ามาก
111 Information User profile setting
ขอมลถกแกไขจากผทไมมสทธ 1 5 3 4 1 ต ามาก
112 Information User profile setting
ขอมลถกลกลอบท าส าเนาและน าไปเผยแพร 1 1 3 4 1 ต ามาก
113 Information User profile setting
ขอมลสญหายจากการไมส ารองขอมล 1 5 3 4 1 ต ามาก
31
ตำรำงท 4.1 ตารางการประเมนความเสยง (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง
114 Information User profile setting
ขอมลรวไหลเนองจากตดคางในสอบนทกทเลกใชหรอน ามาใชไหม
1 1 3 4 4 กลาง
115 Information User profile setting
ขอมลรวไหลระหวางการรบสง 1 1 3 4 1 ต ามาก
116 Information Log data ขอมลถกเขาถงจากผทไมมสทธ 1 1 3 4 1 ต ามาก
117 Information Log data ขอมลถกแกไขจากผทไมมสทธ 1 5 3 4 1 ต ามาก
118 Information Log data ขอมลถกลกลอบท าส าเนาและน าไปเผยแพร 1 1 3 4 1 ต ามาก
119 Information Log data ขอมลสญหายจากการไมส ารองขอมล 1 5 3 4 1 ต ามาก
120 Information Log data ขอมลรวไหลเนองจากตดคางในสอบนทกทเลกใชหรอน ามาใชไหม
1 1 3 4 4 กลาง
121 Information Log data ขอมลรวไหลระหวางการรบสง 1 1 3 4 1 ต ามาก 122 Information Application
Configurations ขอมลถกเขาถงจากผทไมมสทธ 1 1 1 2 1 ต ามาก
123 Information Application Configurations
ขอมลถกแกไขจากผทไมมสทธ 1 5 3 4 1 ต ามาก
124 Information Application Configurations
ขอมลถกลกลอบท าส าเนาและน าไปเผยแพร 1 1 3 2 1 ต ามาก
32
ตำรำงท 4.1 ตารางการประเมนความเสยง (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง
125 Information Application Configurations
ขอมลสญหายจากการไมส ารองขอมล 1 5 2 2 3 ต า
126 Information Application Configurations
ขอมลรวไหลเนองจากตดคางในสอบนทกทเลกใชหรอน ามาใชไหม
1 1 3 2 4 ต า
127 Information Application Configurations
ขอมลรวไหลระหวางการรบสง 1 1 3 2 1 ต ามาก
128 Personal Service Owner ไมใหความรวมมอในการสรางความมนคงปลอดภยสารสนเทศ 1 1 1 2 1 ต ามาก
129 Personal Service Owner ละเมดนโยบายความมนคงสารสนเทศ เนองจากละเลยหรอจงใจ
1 1 1 2 3 ต ามาก
130 Personal Service Owner ขาดความรหรอทกษะในเทคโนโลยทเกยวของท าใหการรกษาความมนคงปลอดภยเปนเรองยาก
1 1 1 2 2 ต ามาก
131 Personal Service Manager
ไมใหความรวมมอในการสรางความมนคงปลอดภยสารสนเทศ 1 1 1 2 1 ต ามาก
132 Personal Service Manager
ละเมดนโยบายความมนคงสารสนเทศ เนองจากละเลยหรอจงใจ
1 1 1 2 3 ต า
133 Personal Service Manager
ขาดความรหรอทกษะในเทคโนโลยทเกยวของท าใหการรกษาความมนคงปลอดภยเปนเรองยาก
1 1 1 2 2 ต ามาก
33
ตำรำงท 4.1 ตารางการประเมนความเสยง (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง
134 Personal Admin ไมใหความรวมมอในการสรางความมนคงปลอดภยสารสนเทศ 1 1 1 2 5 ต า 135 Personal Admin ละเมดนโยบายความมนคงสารสนเทศ เนองจากละเลยหรอจง
ใจ 1 1 1 4 5 กลาง
136 Personal Admin ขาดความรหรอทกษะในเทคโนโลยทเกยวของท าใหการรกษาความมนคงปลอดภยเปนเรองยาก
1 1 1 2 4 ต า
137 Personal User ขาดความเขาใจของความส าคญในการรกษาความมนคงปลอดภยท าใหการรกษาความปลอดภยเปนเรองยาก
1 1 1 4 4 ต า
138 Personal User ละเมดนโยบายความมนคงสารสนเทศ เนองจากละเลยหรอจงใจ
1 1 1 4 4 ต า
139 Personal User ขาดความรหรอทกษะในเทคโนโลยทเกยวของท าใหการรกษาความมนคงปลอดภยเปนเรองยาก
1 1 1 4 4 ต า
140 Service Building and Facilities Provider
การใหบรการหยดชะงกเนองจากอคคภย 1 5 3 4 1 ต ามาก
141 Service Building and Facilities Provider
การใหบรการหยดชะงกเนองจากอทกภย 1 5 3 4 1 ต ามาก
34
ตำรำงท 4.1 ตารางการประเมนความเสยง (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง
142 Service Building and Facilities Provider
การใหบรการหยดชะงกเนองจากพาย 1 5 3 4 1 ต ามาก
143 Service Building and Facilities Provider
การใหบรการหยดชะงกเนองจากระบบไฟฟาขดของ 1 5 3 4 2 ต า
144 Service Building and Facilities Provider
การใหบรการหยดชะงกเนองจากการชมนมประทวง 1 5 3 4 1 ต ามาก
145 Service Building and Facilities Provider
การใหบรการหยดชะงกเนองจากบคคลภายนอกสามารถเขาถงโดยไมไดรบอนญาต
1 5 3 4 1 ต ามาก
146 Service Internet Service Provider
การใหบรการหยดชะงกเนองจากผใหบรการอนเทอรเนตไมสามารถบรการไดเนองจากสายขาด
1 5 3 4 1 ต ามาก
35
สรปจ านวนความเสยงกอนการด าเนนโครงงานแบงตามประเภท ความเสยงโดยรวม,ความเสยง Hardware, ความเสยง Software, ความเสยง Information, ความเสยง Personal, ความเสยง Service ตามตารางท 4.2, ตารางท 4.3, ตารางท 4.4, ตารางท 4.5, ตารางท 4.6, ตารางท 4.7 ตามล าดบ
ตำรำงท 4.2 สรปความเสยงรวมกอนการด าเนนโครงงาน ระดบความเสยง สง ปานกลาง ต า ต ามาก รวม จ านวน 26 47 19 54 146
ตำรำงท 4.3 สรปความเสยง Hardware กอนการด าเนนโครงงาน ระดบความเสยง สง ปานกลาง ต า ต ามาก รวม จ านวน 15 21 9 9 54
ตำรำงท 4.4 สรปความเสยง Software กอนการด าเนนโครงงาน ระดบความเสยง สง ปานกลาง ต า ต ามาก รวม จ านวน 11 21 0 11 43
ตำรำงท 4.5 สรปความเสยง Information กอนการด าเนนโครงงาน ระดบความเสยง สง ปานกลาง ต า ต ามาก รวม จ านวน 0 4 2 24 30
ตำรำงท 4.6 สรปความเสยง Personal กอนการด าเนนโครงงาน ระดบความเสยง สง ปานกลาง ต า ต ามาก รวม จ านวน 0 1 7 4 12
ตำรำงท 4.7 สรปความเสยง Service กอนการด าเนนโครงงาน
ระดบความเสยง สง ปานกลาง ต า ต ามาก รวม จ านวน 0 0 1 6 7
36
4.3 แผนกำรจดกำรควำมเสยง แผนการควบคมความเสยงโดยการประยกตใชตวควบคมตามมาตรฐาน ISO/IEC 27001 ตามตารางท 4.8
ตำรำงท 4.8 ตารางการจดการความเสยง ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม
1 Hardware MTA Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง สง ด าเนนการ A.11.2.4 Equipment maintenance
2 Hardware MTA Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก
ต ามาก ด าเนนการ A.11.2.2 Supporting utilities
3 Hardware MTA Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ
กลาง ด าเนนการ A.9.4.1 Information access restriction
4 Hardware MTA Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ
สง ด าเนนการ A.9.4.1 Information access restriction
5 Hardware MTA Server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ
กลาง ด าเนนการ A.12.1.3 Capacity management
6 Hardware MTA Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด
ต า ด าเนนการ A.11.2.1 Equipment siting and protection
7 Hardware Database Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง สง ด าเนนการ A.11.2.4 Equipment maintenance
37
ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม
8 Hardware Database Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก
ต ามาก ด าเนนการ A.11.2.2 Supporting utilities
9 Hardware Database Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ
กลาง ด าเนนการ A.9.4.1 Information access restriction
10 Hardware Database Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ
สง ด าเนนการ A.9.4.1 Information access restriction
11 Hardware Database Server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ
กลาง ด าเนนการ A.12.1.3 Capacity management
12 Hardware Database Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด
ต ามาก ด าเนนการ A.11.2.1 Equipment siting and protection
13 Hardware Webmail Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง สง ด าเนนการ A.11.2.4 Equipment maintenance
14 Hardware Webmail Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก
ต ามาก ด าเนนการ A.11.2.2 Supporting utilities
15 Hardware Webmail Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ
กลาง ด าเนนการ A.9.4.1 Information access restriction
16 Hardware Webmail Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและปลยนแปลงการตงคาจากผไมมสทธ
สง ด าเนนการ A.9.4.1 Information access restriction
38
ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม 17 Hardware Webmail Server อปกรณไมสามารถใหบรการไดเตมทเนองจาก
ทรพยากรระบบไมเพยงพอ กลาง ด าเนนการ A.12.1.3 Capacity
management
18 Hardware Webmail Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด
ต า ด าเนนการ A.11.2.1 Equipment siting and protection
19 Hardware Mailbox Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง สง ด าเนนการ A.11.2.4 Equipment maintenance
20 Hardware Mailbox Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก
ต ามาก ด าเนนการ A.11.2.2 Supporting utilities
21 Hardware Mailbox Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ
กลาง ด าเนนการ A.9.4.1 Information access restriction
22 Hardware Mailbox Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ
สง ด าเนนการ A.9.4.1 Information access restriction
23 Hardware Mailbox Server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ
กลาง ด าเนนการ A.12.1.3 Capacity management
24 Hardware Mailbox Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด
ต า ด าเนนการ A.11.2.1 Equipment siting and protection
25 Hardware Switch อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง สง ด าเนนการ A.11.2.4 Equipment maintenance
39
ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม 26 Hardware Switch อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบ
หรอไฟตก-ไฟกระชาก ต ามาก ด าเนนการ A.11.2.2 Supporting
utilities 27 Hardware Switch ขอมลการตงคาของอปกรณรวไหลเนองจากถก
เขาถงการตงคาจากผไมมสทธ กลาง ด าเนนการ A.9.4.1 Information
access restriction 28 Hardware Switch อปกรณหยดหรอไมสามารถท างานไดเตม
ประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ
สง ด าเนนการ A.9.4.1 Information access restriction
29 Hardware Switch อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ
กลาง ด าเนนการ A.12.1.3 Capacity management
30 Hardware Switch อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด
ต า ด าเนนการ A.11.2.1 Equipment siting and protection
31 Hardware Load balance server
อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง สง ด าเนนการ A.11.2.4 Equipment maintenance
32 Hardware Load balance server
อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก
ต ามาก ด าเนนการ A.11.2.2 Supporting utilities
33 Hardware Load balance server
ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ
กลาง ด าเนนการ A.9.4.1 Information access restriction
34 Hardware Load balance server
อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและปลยนแปลงการตงคาจากผไมมสทธ
สง ด าเนนการ A.9.4.1 Information access restriction
40
ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม 35 Hardware Load balance
server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ
สง ด าเนนการ A.12.1.3 Capacity management
36 Hardware Load balance server
อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด
ต า ด าเนนการ A.11.2.1 Equipment siting and protection
37 Hardware Backup Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง กลาง ด าเนนการ A.11.2.4 Equipment maintenance
38 Hardware Backup Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก
ต ามาก ด าเนนการ A.11.2.2 Supporting utilities
39 Hardware Backup Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ
กลาง ด าเนนการ A.9.4.1 Information access restriction
40 Hardware Backup Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและปลยนแปลงการตงคาจากผไมมสทธ
กลาง ด าเนนการ A.9.4.1 Information access restriction
41 Hardware Backup Server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ
กลาง ด าเนนการ A.12.1.3 Capacity management
42 Hardware Backup Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด
ต า ด าเนนการ A.11.2.1 Equipment siting and protection
43 Hardware Log Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง กลาง ด าเนนการ A.11.2.4 Equipment maintenance
41
ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม 44 Hardware Log Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบ
หรอไฟตก-ไฟกระชาก ต ามาก ด าเนนการ A.11.2.2 Supporting
utilities 45 Hardware Log Server ขอมลการตงคาของอปกรณรวไหลเนองจากถก
เขาถงการตงคาจากผไมมสทธ กลาง ด าเนนการ A.9.4.1 Information
access restriction 46 Hardware Log Server อปกรณหยดหรอไมสามารถท างานไดเตม
ประสทธภาพเนองจากถกเขาถงและปลยนแปลงการตงคาจากผไมมสทธ
กลาง ด าเนนการ A.9.4.1 Information access restriction
47 Hardware Log Server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ
กลาง ด าเนนการ A.12.1.3 Capacity management
48 Hardware Log Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด
ต า ด าเนนการ A.11.2.1 Equipment siting and protection
49 Hardware DNS Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง สง ด าเนนการ A.11.2.4 Equipment maintenance
50 Hardware DNS Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก
ต ามาก ด าเนนการ A.11.2.2 Supporting utilities
51 Hardware DNS Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ
กลาง ด าเนนการ A.9.4.1 Information access restriction
52 Hardware DNS Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและปลยนแปลงการตงคาจากผไมมสทธ
สง ด าเนนการ A.9.4.1 Information access restriction
42
ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม 53 Hardware DNS Server อปกรณไมสามารถใหบรการไดเตมทเนองจาก
ทรพยากรระบบไมเพยงพอ กลาง ด าเนนการ A.12.1.3 Capacity
management 54 Hardware DNS Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผ
ไมประสงคด ต า ด าเนนการ A.11.2.1 Equipment
siting and protection 55 Software Mail service
Application ระบบถกเขาถงโดยไมมสทธเนองจากผดแลระบบไมไดท าการLogout
กลาง ด าเนนการ A.9.4.2 Secure log-on procedures
56 Software Mail service Application
ระบบหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ
สง ด าเนนการ A.12.6.1 Management of technical vulnerabilities
57 Software Mail service Application
ระบบหยดหรอไมสามารถใหบรการไดเตมประสทธภาพเนองจากการโจมตจาก DDOS Attack
กลาง ด าเนนการ A.12.1.3 Capacity management
58 Software Mail service Application
ระบบถกเขาถงเนองจากรหสผานงายตอการคาดเดา
กลาง ด าเนนการ A.9.4.3 Password management system
59 Software Mail service Application
ระบบถกเขาถงเนองจากถกดกจบรหสผาน ต ามาก ด าเนนการ A.13.1.1 Network controls
43
ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม 60 Software Mail service
Application ระบบท างานผดพลาดหรอท างานชาลงเนองจากมโคดไมประสงคด
ต ามาก ด าเนนการ A.9.4.5 Access control to program source code
61 Software Mail service Application
ระบบหยดใหบรการเนองจากมการเปลยนแปลงการตงคา/ปรบปรงระบบ
กลาง ด าเนนการ A.12.1.2 Change management
62 Software Mail service Application
ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต กลาง ด าเนนการ A.12.1.2 Change management
63 Software Database Application
ระบบถกเขาถงโดยไมมสทธเนองจากผดแลระบบไมไดท าการLogout
กลาง ด าเนนการ A.9.4.2 Secure log-on procedures
64 Software Database Application
ระบบหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ
สง ด าเนนการ A.12.6.1 Management of technical vulnerabilities
65 Software Database Application
ระบบถกเขาถงเนองจากรหสผานงายตอการคาดเดา
สง ด าเนนการ A.9.4.3 Password management system
66 Software Database Application
ระบบถกเขาถงเนองจากถกดกจบรหสผาน ต ามาก ด าเนนการ A.13.1.1 Network controls
44
ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม 67 Software Database
Application ระบบท างานผดพลาดหรอท างานชาลงเนองจากมโคดไมประสงคด
ต ามาก ด าเนนการ A.9.4.5 Access control to program source code
68 Software Database Application
ระบบหยดใหบรการเนองจากมการเปลยนแปลงการตงคา/ปรบปรงระบบ
กลาง ด าเนนการ A.12.1.2 Change management
69 Software Database Application
ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต กลาง ด าเนนการ A.12.1.2 Change management
70 Software Web Service Application
ระบบหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ
สง ด าเนนการ A.12.6.1 Management of technical vulnerabilities
71 Software Web Service Application
ระบบหยดหรอไมสามารถใหบรการไดเตมประสทธภาพเนองจากการโจมตจากDDOS Attack
กลาง ด าเนนการ A.12.1.3 Capacity management
72 Software Web Service Application
ระบบท างานผดพลาด หรอท างานชาลงเนองจากมโคดไมประสงคด
ต ามาก ด าเนนการ A.9.4.4 Use of privileged utility programs A.9.4.5 Access control to program source code
45
ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม 73 Software Web Service
Application ระบบหยดใหบรการเนองจากมการเปลยนแปลงการตงคา/ปรบปรงระบบ
กลาง ด าเนนการ A.12.1.2 Change management
74 Software Web Service Application
ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต กลาง ด าเนนการ A.12.1.2 Change management
75 Software Operating system(Linux)
ระบบถกเขาถงโดยไมมสทธเนองจากผดแลระบบไมไดท าการLogout
สง ด าเนนการ A.9.4.2 Secure log-on procedures
76 Software Operating system(Linux)
ระบบหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ
สง ด าเนนการ A.12.6.1 Management of technical vulnerabilities
77 Software Operating system(Linux)
ระบบถกเขาถงเนองจากรหสผานคาดเดา ไดงาย
สง ด าเนนการ A.9.4.3 Password management system
78 Software Operating system(Linux)
ระบบถกเขาถงเนองจากถกดกจบรหสผาน ต ามาก ด าเนนการ A.13.1.1 Network controls
79 Software Operating system(Linux)
ระบบท างานผดพลาด หรอท างานชาลงเนองจากมโคดไมประสงคด
ต ามาก ด าเนนการ A.9.4.5 Access control to program source code
46
ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม 80 Software Operating
system(Linux) ระบบหยดใหบรการเนองจากมการเปลยนแปลงการตงคา/ปรบปรงระบบ
กลาง ด าเนนการ A.12.1.2 Change management
81 Software Operating system(Linux)
ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต กลาง ด าเนนการ A.12.1.2 Change management
82 Software Backup Management Application
ระบบหยดหรอไมสามารถท างานไดเตมประสทธ ภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ
สง ด าเนนการ A.12.6.1 Management of technical vulnerabilities
83 Software Backup Management Application
ระบบท างานผดพลาด หรอท างานชาลงเนองจากมโคดไมประสงคด
ต ามาก ด าเนนการ A.9.4.5 Access control to program source code
84 Software Backup Management Application
ระบบหยดใหบรการเนองจากมการเปลยนแปลงการตงคา/ปรบปรงระบบ
กลาง ด าเนนการ A.12.1.2 Change management
85 Software Backup Management Application
ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต กลาง ด าเนนการ A.12.1.2 Change management
86 Software Log Management Application
ระบบหยดหรอไมสามารถท างานไดเตมประสทธ ภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ
สง ด าเนนการ A.12.6.1 Management of technical vulnerabilities
47
ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม 87 Software Log
Management Application
ระบบท างานผดพลาด หรอท างานชาลงเนองจากมโคดไมประสงคด
ต ามาก ด าเนนการ A.9.4.5 Access control to program source code
88 Software Log Management Application
ระบบหยดใหบรการเนองจากมการเปลยนแปลงการตงคา/ปรบปรงระบบ
กลาง ด าเนนการ A.12.1.2 Change management
89 Software Log Management Application
ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต กลาง ด าเนนการ A.12.1.2 Change management
90 Software Remote Application
ระบบหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ
สง ด าเนนการ A.12.6.1 Management of technical vulnerabilities
91 Software Remote Application
ระบบท างานผดพลาดหรอท างานชาลงเนองจากมโคดไมประสงคด
ต ามาก ด าเนนการ A.9.4.5 Access control to program source code
92 Software Remote Application
ระบบหยดใหบรการเนองจากมการเปลยนแปลงการตงคา/ปรบปรงระบบ
กลาง ด าเนนการ A.12.1.2 Change management
93 Software Remote Application
ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต กลาง ด าเนนการ A.12.1.2 Change management
48
ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการ
ตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม
94 Software DNS Application
ระบบหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ
สง ด าเนนการ A.12.6.1 Management of technical vulnerabilities
95 Software DNS Application
ระบบท างานผดพลาดหรอท างานชาลงเนองจากมโคดไมประสงคด
ต ามาก ด าเนนการ A.9.4.5 Access control to program source code
96 Software DNS Application
ระบบหยดใหบรการเนองจากมการเปลยนแปลงการตงคา/ปรบปรงระบบ
กลาง ด าเนนการ A.12.1.2 Change management
97 Software DNS Application
ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต กลาง ด าเนนการ A.12.1.2 Change management
98 Information E-Mail Data ขอมลถกเขาถงจากผทไมมสทธ ต ามาก ด าเนนการ A.9.4.1 Information access restriction
99 Information E-Mail Data ขอมลถกแกไขจากผทไมมสทธ ต ามาก ด าเนนการ A.9.4.1 Information access restriction
100 Information E-Mail Data ขอมลถกลกลอบท าส าเนาและน าไปเผยแพร ต ามาก ด าเนนการ A.9.4.1 Information access restriction
101 Information E-Mail Data ขอมลสญหายจากการไมส ารองขอมล ต ามาก ด าเนนการ A.12.3.1 Information backup
49
ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการ
ตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม
102 Information E-Mail Data ขอมลรวไหลเนองจากตดคางในสอบนทกทเลกใชหรอน ามาใชไหม
กลาง ด าเนนการ A.11.2.7 Secure disposal or reuse of equipment
103 Information E-Mail Data ขอมลรวไหลระหวางการรบสง ต ามาก ด าเนนการ A.13.1.1 Network controls 104 Information Username/Pas
sword ขอมลถกเขาถงจากผทไมมสทธ ต ามาก ด าเนนการ A.9.4.1 Information access
restriction A.10.1.1 Policy on the use of cryptographic controls
105 Information Username/Password
ขอมลถกแกไขจากผทไมมสทธ ต ามาก ด าเนนการ A.9.4.1 Information access restriction A.10.1.1 Policy on the use of cryptographic controls
106 Information Username/Password
ขอมลถกลกลอบท าส าเนาและน าไปเผยแพร
ต ามาก ด าเนนการ A.9.4.1 Information access restriction
107 Information Username/Password
ขอมลสญหายจากการไมส ารองขอมล ต ามาก ด าเนนการ A.12.3.1 Information backup
108 Information Username/Password
ขอมลรวไหลเนองจากตดคางในสอบนทกทเลกใชหรอน ามาใชไหม
กลาง ด าเนนการ A.11.2.7 Secure disposal or reuse of equipment
109 Information Username/Password
ขอมลรวไหลระหวางการรบสง ต ามาก ด าเนนการ A.13.1.1 Network controls
50
ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม 110 Information User profile setting ขอมลถกเขาถงจากผทไมมสทธ ต ามาก ด าเนนการ A.9.4.1 Information
access restriction 111 Information User profile setting ขอมลถกแกไขจากผทไมมสทธ ต ามาก ด าเนนการ A.9.4.1 Information
access restriction 112 Information User profile setting ขอมลถกลกลอบท าส าเนาและน าไป
เผยแพร ต ามาก ด าเนนการ A.9.4.1 Information
access restriction 113 Information User profile setting ขอมลสญหายจากการไมส ารองขอมล ต ามาก ด าเนนการ A.12.3.1 Information
backup 114 Information User profile setting ขอมลรวไหลเนองจากตดคางในสอ
บนทกทเลกใชหรอน ามาใชไหม กลาง ด าเนนการ A.11.2.7 Secure disposal
or reuse of equipment 115 Information User profile setting ขอมลรวไหลระหวางการรบสง ต ามาก ด าเนนการ A.13.1.1 Network
controls 116 Information Log data ขอมลถกเขาถงจากผทไมมสทธ ต ามาก ด าเนนการ A.9.4.1 Information
access restriction 117 Information Log data ขอมลถกแกไขจากผทไมมสทธ ต ามาก ด าเนนการ A.9.4.1 Information
access restriction 118 Information Log data ขอมลถกลกลอบท าส าเนาและน าไป
เผยแพร ต ามาก ด าเนนการ A.9.4.1 Information
access restriction 119 Information Log data ขอมลสญหายจากการไมส ารองขอมล ต ามาก ด าเนนการ A.12.3.1 Information
backup
51
ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการ
ตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม
120 Information Log data ขอมลรวไหลเนองจากตดคางในสอบนทกทเลกใชหรอน ามาใชไหม
กลาง ด าเนนการ A.11.2.7 Secure disposal or reuse of equipment
121 Information Log data ขอมลรวไหลระหวางการรบสง ต ามาก ด าเนนการ A.13.1.1Network controls 122 Information Application
Configurations ขอมลถกเขาถงจากผทไมมสทธ ต ามาก ด าเนนการ A.9.4.1 Information
access restriction 123 Information Application
Configurations ขอมลถกแกไขจากผทไมมสทธ ต ามาก ด าเนนการ A.9.4.1 Information
access restriction 124 Information Application
Configurations ขอมลถกลกลอบท าส าเนาและน าไปเผยแพร ต ามาก ด าเนนการ A.9.4.1 Information
access restriction 125 Information Application
Configurations ขอมลสญหายจากการไมส ารองขอมล ต า ด าเนนการ A.12.3.1 Information
backup 126 Information Application
Configurations ขอมลรวไหลเนองจากตดคางในสอบนทกทเลกใชหรอน ามาใชไหม
ต า ด าเนนการ A.11.2.7 Secure disposal or reuse of equipment
127 Information Application Configurations
ขอมลรวไหลระหวางการรบสง ต ามาก ด าเนนการ A.13.1.1 Network controls
128 Personal Service Owner ไมใหความรวมมอในการสรางความมนคงปลอดภยสารสนเทศ
ต ามาก ด าเนนการ A.7.2.3 Disciplinary process
129 Personal Service Owner ละเมดนโยบายความมนคงสารสนเทศ เนองจากละเลยหรอจงใจ
ต ามาก ด าเนนการ A.7.2.3 Disciplinary process
52
ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม 130 Personal Service Owner ขาดความรหรอทกษะในเทคโนโลยท
เกยวของท าใหการรกษาความมนคงปลอดภยเปนเรองยาก
ต ามาก ด าเนนการ A.7.2.2 Information security awareness, education and training
131 Personal Service Manager ไมใหความรวมมอในการสรางความมนคงปลอดภยสารสนเทศ
ต ามาก ด าเนนการ A.7.2.3 Disciplinary process
132 Personal Service Manager ละเมดนโยบายความมนคงสารสนเทศเนองจากละเลยหรอจงใจ
ต า ด าเนนการ A.7.2.3 Disciplinary process
133 Personal Service Manager ขาดความรหรอทกษะในเทคโนโลยทเกยวของท าใหการรกษาความมนคงปลอดภยเปนเรองยาก
ต ามาก ด าเนนการ A.7.2.2 Information security awareness, education and training
134 Personal Admin ไมใหความรวมมอในการสรางความมนคงปลอดภยสารสนเทศ
ต า ด าเนนการ A.7.2.3 Disciplinary process
135 Personal Admin ละเมดนโยบายความมนคงสารสนเทศเนองจากละเลยหรอจงใจ
กลาง ด าเนนการ A.7.2.3 Disciplinary process
136 Personal Admin ขาดความรหรอทกษะในเทคโนโลยทเกยวของท าใหการรกษาความมนคงปลอดภยเปนเรองยาก
ต า ด าเนนการ A.7.2.2 Information security awareness, education and training
53
ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบ
ความเสยง สถานะ ตวควบคม
137 Personal User ขาดความเขาใจของความส าคญในการรกษาความมนคงปลอดภยท าใหการรกษาความปลอดภยเปนเรองยาก
ต า ด าเนนการ A.7.2.2 Information security awareness, education and training A.7.2.3 Disciplinary process
138 Personal User ละเมดนโยบายความมนคงสารสนเทศเนองจากละเลยหรอจงใจ
ต า ด าเนนการ A.7.2.3 Disciplinary process
139 Personal User ขาดความรหรอทกษะในเทคโนโลยทเกยวของท าใหการรกษาความมนคงปลอดภยเปนเรองยาก
ต า ด าเนนการ A.7.2.2 Information security awareness, education and training
140 Service Building and Facilities Provider
การใหบรการหยดชะงกเนองจากอคคภย ต ามาก ด าเนนการ A.15.2.1 Monitoring and review of supplier services
141 Service Building and Facilities Provider
การใหบรการหยดชะงกเนองจากอทกภย ต ามาก ด าเนนการ A.15.2.1 Monitoring and review of supplier services
142 Service Building and Facilities Provider
การใหบรการหยดชะงกเนองจากพาย ต ามาก ด าเนนการ A.15.2.1 Monitoring and review of supplier services
143 Service Building and Facilities Provider
การใหบรการหยดชะงกเนองจากระบบไฟฟาขดของ
ต า ด าเนนการ A.15.2.1 Monitoring and review of supplier services
144 Service Building and Facilities Provider
การใหบรการหยดชะงกเนองจากการชมนมประทวง
ต ามาก ด าเนนการ A.15.2.1 Monitoring and review of supplier services
54
ตำรำงท 4.8 ตารางการจดการความเสยง (ตอ) ล าดบ ประเภท รายการตรวจสอบ ความเสยง ระดบความเสยง สถานะ ตวควบคม 145 Service Building and Facilities
Provider การใหบรการหยดชะงกเนองจากบคคลภายนอกสามารถเขาถงโดยไมไดรบอนญาต
ต ามาก ด าเนนการ A.15.2.1 Monitoring and review of supplier services
146 Service Internet Service Provider
การ ใหบ รก า รหย ดชะ งก เ น อ ง จ ากผใหบรการอนเทอรเนตไมสามารถบรการไดเนองจากสายขาด
ต ามาก ด าเนนการ A.15.2.1 Monitoring and review of supplier services
4.4 ผลกำรประเมนควำมเสยงหลงด ำเนนกำร ผลการประเมนความเสยงหลงการด าเนนการควบคมความเสยงตามตารางท 4.9
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ
1 Hardware MTA Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง
5 5 2 4 1 ต า (A.11.2.4) ก าหนดใหมการจดท าเอกสารเพอใชในการตรวจสอบความพรอมใชของอปกรณรวมถงแผนการบ ารงรกษา
55
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ
2 Hardware MTA Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก
1 2 2 4 1 ต ามาก (A.11.2.2) ก าหนดใหมการออกแบบตดตงระบบจากแหลงจายไฟมากกวา 1 แหลง
3 Hardware MTA Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ
1 1 3 2 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
4 Hardware MTA Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ
1 5 3 4 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
5 Hardware MTA Server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ
2 5 2 2 1 ต ามาก (A.12.1.3) ก าหนดใหมการตดตามเพอตรวจสอบประสทธภาพในการใหบรการของระบบ
56
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ
6 Hardware MTA Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด
5 5 3 4 1 ต า (A.11.2.1) ก าหนดใหมข นตอนควบคมการเขาถงโดยการขออนญาตเพอปองกนการเขาถงโดยไมจ าเปน
7 Hardware Database Server
อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง
3 5 2 4 1 ต า (A.11.2.4) ก าหนดใหมการจดท าเอกสารเพอใชในการตรวจสอบความพรอมใชของอปกรณรวมถงแผนการบ ารงรกษา
8 Hardware Database Server
อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก
1 2 2 4 1 ต ามาก (A.11.2.2) ก าหนดใหมการออกแบบตดตงระบบจากแหลงจายไฟมากกวา 1 แหลง
9 Hardware Database Server
ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ
1 1 3 2 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
57
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ)
ล าดบ ประเภท รายการตรวจสอบ ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ 10 Hardware Database
Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ
1 5 3 4 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
11 Hardware Database Server
อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ
2 5 2 2 1 ต ามาก (A.12.1.3) ก าหนดใหมการตดตามเพอตรวจสอบประสทธภาพในการใหบรการของระบบ
12 Hardware Database Server
อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด
3 5 3 4 1 ต า (A.11.2.1) ก าหนดใหมข นตอนควบคมการเขาถงโดยการขออนญาตเพอปองกนการเขาถงโดยไมจ าเปน
13 Hardware Webmail Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง
3 5 2 4 1 ต า (A.11.2.4) ก าหนดใหมการจดท าเอกสารเพอใชในการตรวจสอบความพรอมใชของอปกรณรวมถงแผนการบ ารงรกษา
58
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ)
ล าดบ ประเภท รายการตรวจสอบ ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ 14 Hardware Webmail Server อปกรณไมสามารถใหบรการ
ไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก
1 2 2 4 1 ต ามาก (A.11.2.2) ก าหนดใหมการออกแบบตดตงระบบจากแหลงจายไฟมากกวา 1 แหลง
15 Hardware Webmail Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ
1 1 3 2 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
16 Hardware Webmail Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ
1 5 3 4 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
17 Hardware Webmail Server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ
2 5 2 2 1 ต ามาก (A.12.1.3) ก าหนดใหมการตดตามเพอตรวจสอบประสทธภาพในการใหบรการของระบบ
59
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ)
ล าดบ ประเภท รายการตรวจสอบ ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ 18 Hardware Webmail Server อปกรณถกท าลายหรอ
เสยหายดานกายภาพโดยผไมประสงคด
3 5 3 4 1 ต า (A.11.2.1) ก าหนดใหมข นตอนควบคมการเขาถงโดยการขออนญาตเพอปองกนการเขาถงโดยไมจ าเปน
19 Hardware Mailbox Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง
4 5 2 4 1 ต า (A.11.2.4) ก าหนดใหมการจดท าเอกสารเพอใชในการตรวจสอบความพรอมใชของอปกรณรวมถงแผนการบ ารงรกษา
20 Hardware Mailbox Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก
1 2 2 4 1 ต ามาก (A.11.2.2) ก าหนดใหมการออกแบบตดตงระบบจากแหลงจายไฟมากกวา 1 แหลง
21 Hardware Mailbox Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ
1 1 3 2 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
60
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ) ล าดบ ประเภท รายการ
ตรวจสอบ ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ
22 Hardware Mailbox Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ
1 5 3 4 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
23 Hardware Mailbox Server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ
2 5 2 2 1 ต ามาก (A.12.1.3) ก าหนดใหมการตดตามเพอตรวจสอบประสทธภาพในการใหบรการของระบบ
24 Hardware Mailbox Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด
4 5 3 4 1 ต า (A.11.2.1) ก าหนดใหมข นตอนควบคมการเขาถงโดยการขออนญาตเพอปองกนการเขาถงโดยไมจ าเปน
25 Hardware Switch อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง
2 5 2 4 1 ต ามาก (A.11.2.4) ก าหนดใหมการจดท าเอกสารเพอใชในการตรวจสอบความพรอมใชของอปกรณรวมถงแผนการบ ารงรกษา
61
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ) ล าดบ ประเภท รายการ
ตรวจสอบ ความเสยง F O R C โอกาส ระดบความ
เสยง แผนการจดการ
26 Hardware Switch อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก
1 2 2 4 1 ต ามาก (A.11.2.2) ก าหนดใหมการออกแบบตดตงระบบจากแหลงจายไฟมากกวา 1 แหลง
27 Hardware Switch ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ
1 1 3 2 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
28 Hardware Switch อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ
1 5 3 4 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
29 Hardware Switch อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากร ระบบไมเพยงพอ
2 5 2 2 1 ต ามาก (A.12.1.3) ก าหนดใหมการตดตามเพอตรวจสอบประสทธภาพในการใหบรการของระบบ
30 Hardware Switch อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด
2 5 3 4 1 ต า (A.11.2.1) ก าหนดขนตอนควบคมการเขาถงโดยการขออนญาตเพอปองกนการเขาถงโดยไมจ าเปน
62
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ
31 Hardware Load balance server
อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง
5 5 2 4 1 ต า (A.11.2.4) ก าหนดใหมการจดท าเอกสารเพอใชในการตรวจสอบความพรอมใชของอปกรณรวมถงแผนการบ ารงรกษา
32 Hardware Load balance server
อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก
1 2 2 4 1 ต ามาก (A.11.2.2) ก าหนดใหมการออกแบบตดตงระบบจากแหลงจายไฟมากกวา 1 แหลง
33 Hardware Load balance server
ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ
1 1 3 2 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
34 Hardware Load balance server
อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ
1 5 3 4 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
63
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ)
ล าดบ ประเภท รายการตรวจสอบ ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ 35 Hardware Load balance
server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ
5 5 2 2 1 ต า (A.12.1.3) ก าหนดใหมการตดตามเพอตรวจสอบประสทธภาพในการใหบรการของระบบ
36 Hardware Load balance server
อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด
5 5 3 4 1 ต า (A.11.2.1) ก าหนดใหมข นตอนควบคมการเขาถงโดยการขออนญาตเพอปองกนการเขาถงโดยไมจ าเปน
37 Hardware Backup Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง
2 5 2 2 1 ต ามาก (A.11.2.4) ก าหนดใหมการจดท าเอกสารเพอใชในการตรวจสอบความพรอมใชของอปกรณรวมถงแผนการบ ารงรกษา
38 Hardware Backup Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก
1 2 2 2 1 ต ามาก (A.11.2.2) ก าหนดใหมการออกแบบตดตงระบบจากแหลงจายไฟมากกวา 1 แหลง
64
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ
39 Hardware Backup Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ
1 1 3 2 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
40 Hardware Backup Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ
1 5 3 2 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
41 Hardware Backup Server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ
2 5 2 2 1 ต ามาก (A.12.1.3) ก าหนดใหมการตดตามเพอตรวจสอบประสทธภาพในการใหบรการของระบบ
42 Hardware Backup Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด
2 5 3 4 1 ต า (A.11.2.1) ก าหนดใหมข นตอนควบคมการเขาถงโดยการขออนญาตเพอปองกนการเขาถงโดยไมจ าเปน
65
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ
43
Hardware Log Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง
2 5 2 2 1 ต ามาก (A.11.2.4) ก าหนดใหมการจดท าเอกสารเพอใชในการตรวจสอบความพรอมใชของอปกรณรวมถงแผนการบ ารงรกษา
44 Hardware Log Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก
1 2 2 2 1 ต ามาก (A.11.2.2) ก าหนดใหมการออกแบบตดตงระบบจากแหลงจายไฟมากกวา 1 แหลง
45 Hardware Log Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ
1 1 3 2 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
46 Hardware Log Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ
1 5 3 2 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
66
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ
47 Hardware Log Server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ
2 5 2 2 1 ต ามาก (A.12.1.3) ก าหนดใหมการตดตามเพอตรวจสอบประสทธภาพในการใหบรการของระบบ
48 Hardware Log Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด
2 5 3 4 1 ต า (A.11.2.1) ก าหนดใหมข นตอนควบคมการเขาถงโดยการขออนญาตเพอปองกนการเขาถงโดยไมจ าเปน
49 Hardware DNS Server อปกรณช ารดเสยหายเนองจากขาดการซอมบ ารง
3 5 2 4 1 ต า (A.11.2.4) ก าหนดใหมการจดท าเอกสารเพอใชในการตรวจสอบความพรอมใชของอปกรณรวมถงแผนการบ ารงรกษา
50 Hardware DNS Server อปกรณไมสามารถใหบรการไดเนองจากไฟฟาดบหรอไฟตก-ไฟกระชาก
1 2 2 4 1 ต ามาก (A.11.2.2) ก าหนดใหมการออกแบบตดตงระบบจากแหลงจายไฟมากกวา 1 แหลง
67
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ) ล าดบ ประเภท รายการ
ตรวจสอบ ความเสยง F O R C โอกาส ระดบความ
เสยง แผนการจดการ
51 Hardware DNS Server ขอมลการตงคาของอปกรณรวไหลเนองจากถกเขาถงการตงคาจากผไมมสทธ
1 1 3 2 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
52 Hardware DNS Server อปกรณหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากถกเขาถงและเปลยนแปลงการตงคาจากผไมมสทธ
1 5 3 4 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
53 Hardware DNS Server อปกรณไมสามารถใหบรการไดเตมทเนองจากทรพยากรระบบไมเพยงพอ
2 5 2 2 1 ต ามาก (A.12.1.3) ก าหนดใหมการตดตามเพอตรวจสอบประสทธภาพในการใหบรการของระบบ
54 Hardware DNS Server อปกรณถกท าลายหรอเสยหายดานกายภาพโดยผไมประสงคด
3 5 3 4 1 ต า (A.11.2.1) ก าหนดใหมข นตอนควบคมการเขาถงโดยการขออนญาตเพอปองกนการเขาถงโดยไมจ าเปน
55 Software Mail service Application
ระบบถกเขาถงโดยไมมสทธ เนองจากผดแลระบบไมไดท าการLogout
1 5 3 2 1 ต ามาก (A.9.4.2) ก าหนดใหมการจ ากดเวลาในการเขาถงระบบ
68
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ) ล าดบ ประเภท รายการ
ตรวจสอบ ความเสยง F O R C โอกาส ระดบความ
เสยง แผนการจดการ
56 Software Mail service Application
ระบบหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ
1 5 3 4 1 ต ามาก (A.12.6.1) ก าหนดใหมข นตอนรวมถงบคคลทคอยตดตามตรวจสอบชองโหวของระบบสม าเสมอ
57 Software Mail service Application
ระบบหยดหรอไมสามารถใหบรการไดเตมประสทธภาพเนองจากการโจมตจาก DDOS Attack
1 5 2 4 1 ต ามาก (A.12.1.3) ก าหนดใหมการตดตามเพอตรวจสอบประสทธภาพในการใหบรการของระบบ
58 Software Mail service Application
ระบบถกเขาถงเนองจากรหสผานงายตอการคาดเดา
1 5 2 2 1 ต ามาก (A.9.4.3) ก าหนดหลกเกณฑในการตงรหสผานใหมความปลอดภย
59 Software Mail service Application
ระบบถกเขาถงเนองจากถกดกจบรหสผาน
1 5 2 2 1 ต ามาก (A.13.1.1) ก าหนดใหมข นตอนในการตรวจสอบความผดปกตทเกดขนในระบบเครอขายรวมถงเกบบนทกความเปลยนแปลงทเกดขนภายในระบบ
69
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ) ล าดบ ประเภท รายการ
ตรวจสอบ ความเสยง F O R C โอกาส ระดบความ
เสยง แผนการจดการ
60 Software Mail service Application
ระบบท างานผดพลาด หรอท างานชาลงเนองจากมโคดไมประสงคด
1 5 3 4 1 ต ามาก (A.9.4.5) ก าหนดใหมการก าหนสทธในการเขาถง รวมถงขนตอนในการตรวจสอบความเปลยนแปลง
61 Software Mail service Application
ระบบหยดใหบรการเนองจากมการเปลยนแปลงการตงคา/ปรบปรงระบบ
1 5 2 4 1 ต ามาก (A.12.1.2) ก าหนดใหมข นตอนในการขอเปลยนแปลงระบบ
62 Software Mail service Application
ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต
1 5 1 2 1 ต ามาก (A.12.1.2) ก าหนดใหมข นตอนในการขอเปลยนแปลงระบบ
63 Software Database Application
ระบบถกเขาถงโดยไมมสทธ เนองจากผดแลระบบไมไดท าการ Logout
1 5 3 2 1 ต ามาก (A.9.4.2) ก าหนดใหมการจ ากดเวลาในการเขาถงระบบ
64 Software Database Application
ระบบหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ
1 5 3 4 1 ต ามาก (A.12.6.1) ก าหนดใหมข นตอนรวมถงบคคลทคอยตดตามตรวจสอบชองโหวของระบบสม าเสมอ
70
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ
65 Software Database Application
ระบบถกเขาถงเนองจากรหสผานงายตอการคาดเดา
1 5 3 4 1 ต ามาก (A.9.4.3) ก าหนดหลกเกณฑในการตงรหสผานใหมความปลอดภย
66 Software Database Application
ระบบถกเขาถงเนองจากถกดกจบรหสผาน
1 5 3 4 1 ต ามาก (A.13.1.1) ก าหนดใหมข นตอนในการตรวจสอบความผดปกตทเกดขนในระบบเครอขายรวมถงเกบบนทกความเปลยนแปลงทเกดขนภายในระบบ
67 Software Database Application
ระบบท างานผดพลาด หรอท างานชาลงเนองจากมโคดไมประสงคด
1 5 3 4 1 ต ามาก (A.9.4.5) ก าหนดใหมการก าหนสทธในการเขาถง รวมถงขนตอนในการตรวจสอบความเปลยนแปลง
68 Software Database Application
ระบบหยดใหบรการเนองจากมการเปลยนแปลงการตงคา/ปรบปรงระบบ
1 5 2 4 1 ต ามาก (A.12.1.2) ก าหนดใหมข นตอนในการขอเปลยนแปลงระบบ
71
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ
69
Software Database Application
ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต
1 5 1 2 1 ต ามาก (A.12.1.2) ก าหนดใหมข นตอนในการขอเปลยนแปลงระบบ
70 Software Web Service Application
ระบบหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ
1 5 3 4 1 ต ามาก (A.12.6.1) ก าหนดใหมข นตอนรวมถงบคคลทคอยตดตามตรวจสอบชองโหวของระบบสม าเสมอ
71 Software Web Service Application
ระบบหยดหรอไมสามารถใหบรการไดเตมประสทธภาพเนองจากการโจมตจาก DDOS Attack
1 5 2 4 1 ต ามาก (A.12.1.3) ก าหนดใหมการตดตามเพอตรวจสอบประสทธภาพในการใหบรการของระบบ
72 Software Web Service Application
ระบบท างานผดพลาด หรอท างานชาลงเนองจากมโคด ไมประสงคด
1 5 3 4 1 ต ามาก (A.9.4.5) ก าหนดใหมการก าหนสทธในการเขาถง รวมถงขนตอนในการตรวจสอบความเปลยนแปลง
72
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ) ล าดบ ประเภท รายการ
ตรวจสอบ ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ
73 Software Web Service Application
ระบบหยดใหบรการเนองจากมการเปลยนแปลงการตงคา/ปรบปรงระบบ
1 5 2 4 1 ต ามาก (A.12.1.2) ก าหนดใหมข นตอนในการขอเปลยนแปลงระบบ
74 Software Web Service Application
ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต
1 5 1 2 1 ต ามาก (A.12.1.2) ก าหนดใหมข นตอนในการขอเปลยนแปลงระบบ
75 Software Operating system(Linux)
ระบบถกเขาถงโดยไมมสทธ เนองจากผดแลระบบไมไดท าการLogout
1 5 3 4 1 ต ามาก (A.9.4.2) ก าหนดใหมการจ ากดเวลาในการเขาถงระบบ
76 Software Operating system(Linux)
ระบบหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ
1 5 3 4 1 ต ามาก (A.12.6.1) ก าหนดใหมข นตอนรวมถงบคคลทคอยตดตามตรวจสอบชองโหวของระบบสม าเสมอ
77 Software Operating system(Linux)
ระบบถกเขาถงเนองจากรหสผานคาดเดาไดงาย
1 5 3 4 1 ต ามาก (A.9.4.3) ก าหนดหลกเกณฑในการตงรหสผานใหมความปลอดภย
73
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ
78
Software Operating system(Linux)
ระบบถกเขาถงเนองจากถกดกจบรหสผาน
1 5 3 4 1 ต ามาก (A.13.1.1) ก าหนดใหมข นตอนในการตรวจสอบความผดปกตทเกดขนในระบบเครอขายรวมถงเกบบนทกความเปลยนแปลงทเกดขนภายในระบบ
79 Software Operating system(Linux)
ระบบท างานผดพลาด หรอท างานชาลงเนองจากมโคดไมประสงคด
1 5 3 4 1 ต ามาก (A.9.4.5) ก าหนดใหมการก าหนสทธในการเขาถง รวมถงขนตอนในการตรวจสอบความเปลยนแปลง
80 Software Operating system(Linux)
ระบบหยดใหบรการเนองจากมการเปลยนแปลงการตงคา/ปรบปรงระบบ
1 5 2 4 1 ต ามาก (A.12.1.2) ก าหนดใหมข นตอนในการขอเปลยนแปลงระบบ
81 Software Operating system(Linux)
ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต
1 5 1 2 1 ต ามาก (A.12.1.2) ก าหนดใหมข นตอนในการขอเปลยนแปลงระบบ
74
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ
82 Software Backup Management Application
ระบบหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ
1 5 3 4 1 ต ามาก (A.12.6.1) ก าหนดใหมข นตอนรวมถงบคคลทคอยตดตามตรวจสอบชองโหวของระบบสม าเสมอ
83 Software Backup Management Application
ระบบท างานผดพลาด หรอท างานชาลงเนองจากมโคดไมประสงคด
1 5 3 4 1 ต ามาก (A.9.4.5) ก าหนดใหมการก าหนสทธในการเขาถง รวมถงขนตอนในการตรวจสอบความเปลยนแปลง
84 Software Backup Management Application
ระบบหยดใหบรการเนองจากมการเปลยนแปลงการตงคา/ปรบปรงระบบ
1 5 2 4 1 ต ามาก (A.12.1.2) ก าหนดใหมข นตอนในการขอเปลยนแปลงระบบ
85 Software Backup Management Application
ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต
1 5 1 2 1 ต ามาก (A.12.1.2) ก าหนดใหมข นตอนในการขอเปลยนแปลงระบบ
75
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ
86
Software Log Management Application
ระบบหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ
1 5 3 4 1 ต ามาก (A.12.6.1) ก าหนดใหมข นตอนรวมถงบคคลทคอยตดตามตรวจสอบชองโหวของระบบสม าเสมอ
87 Software Log Management Application
ระบบท างานผดพลาด หรอท างานชาลงเนองจากมโคด ไมประสงคด
1 5 3 4 1 ต ามาก (A.9.4.5) ก าหนดใหมการก าหนสทธในการเขาถง รวมถงขนตอนในการตรวจสอบความเปลยนแปลง
88 Software Log Management Application
ระบบหยดใหบรการเนองจากมการเปลยนแปลงการตงคา/ปรบปรงระบบ
1 5 2 4 1 ต ามาก (A.12.1.2) ก าหนดใหมข นตอนในการขอเปลยนแปลงระบบ
89 Software Log Management Application
ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต
1 5 1 2 1 ต ามาก (A.12.1.2) ก าหนดใหมข นตอนในการขอเปลยนแปลงระบบ
76
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ
90 Software Remote Application
ระบบหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ
1 5 3 4 1 ต ามาก (A.12.6.1) ก าหนดใหมข นตอนรวมถงบคคลทคอยตดตามตรวจสอบชองโหวของระบบสม าเสมอ
91 Software Remote Application
ระบบท างานผดพลาด หรอท างานชาลงเนองจากมโคด ไมประสงคด
1 5 3 2 1 ต ามาก (A.9.4.5) ก าหนดใหมการก าหนสทธในการเขาถง รวมถงขนตอนในการตรวจสอบความเปลยนแปลง
92 Software Remote Application
ระบบหยดใหบรการเนองจากมการเปลยนแปลงการตงคา/ปรบปรงระบบ
1 5 1 2 1 ต ามาก (A.12.1.2) ก าหนดใหมข นตอนในการขอเปลยนแปลงระบบ
93 Software Remote Application
ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต
1 5 1 2 1 ต ามาก (A.12.1.2) ก าหนดใหมข นตอนในการขอเปลยนแปลงระบบ
77
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ) ล าดบ ประเภท รายการ
ตรวจสอบ ความเสยง F O R C โอกาส ระดบความ
เสยง แผนการจดการ
94 Software DNS Application
ระบบหยดหรอไมสามารถท างานไดเตมประสทธภาพเนองจากระบบถกโจมตเพราะไมไดท าการอพเดทแพทช และHardening อยางสม าเสมอ
1 5 3 4 1 ต ามาก (A.12.6.1) ก าหนดใหมข นตอนรวมถงบคคลทคอยตดตามตรวจสอบชองโหวของระบบสม าเสมอ
95 Software DNS Application
ระบบท างานผดพลาด หรอท างานชาลงเนองจากมโคด ไมประสงคด
1 5 3 4 1 ต ามาก (A.9.4.5) ก าหนดใหมการก าหนสทธในการเขาถง รวมถงขนตอนในการตรวจสอบความเปลยนแปลง
96 Software DNS Application
ระบบหยดใหบรการเนองจากมการเปลยนแปลงการตงคา/ปรบปรงระบบ
1 5 2 4 1 ต ามาก (A.12.1.2) ก าหนดใหมข นตอนในการขอเปลยนแปลงระบบ
97 Software DNS Application
ผดแลระบบด าเนนการเกนขอบเขตทไดขออนญาต
1 5 1 2 1 ต ามาก (A.12.1.2) ก าหนดใหมข นตอนในการขอเปลยนแปลงระบบ
98 Information E-Mail Data ขอมลถกเขาถงจากผทไมมสทธ
1 1 3 4 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
78
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ) ล าดบ ประเภท รายการ
ตรวจสอบ ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ
99 Information E-Mail Data ขอมลถกแกไขจากผทไมมสทธ
1 5 3 4 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
100 Information E-Mail Data ขอมลถกลกลอบท าส าเนาและน าไปเผยแพร
1 1 3 4 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
101 Information E-Mail Data ขอมลสญหายจากการไมส ารองขอมล
1 5 3 4 1 ต ามาก (A.12.3.1) ก าหนดใหมการตรวจวามการส ารองขอมลในทกสวนทจ าเปนอยางสม าเสมอ
102 Information E-Mail Data ขอมลรวไหลเนองจากตดคางในสอบนทกทเลกใชหรอน ามาใชใหม
1 1 3 4 1 ต ามาก (A.11.2.7) จดท าคมอในการจดการกบอปกรณเกบขอมลตางๆทเลกใช
103 Information E-Mail Data ขอมลรวไหลระหวางการรบสง 1 1 3 4 1 ต ามาก (A.13.1.1) ก าหนดใหมข นตอนในการตรวจสอบความผดปกตทเกดขนในระบบเครอขายรวมถงเกบบนทกความเปลยนแปลงทเกดขนภายในระบบ
79
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ) ล าดบ ประเภท รายการ
ตรวจสอบ ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ
104 Information Username/Password
ขอมลถกเขาถงจากผทไมมสทธ
1 1 3 4 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง A.10.1.1 Policy on the use of cryptographic controls
105 Information Username/Password
ขอมลถกแกไขจากผทไมมสทธ
1 5 3 4 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง A.10.1.1 Policy on the use of cryptographic controls
106 Information Username/Password
ขอมลถกลกลอบท าส าเนาและน าไปเผยแพร
1 1 3 4 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
107 Information Username/Password
ขอมลสญหายจากการไมส ารองขอมล
1 5 3 4 1 ต ามาก (A.12.3.1) ก าหนดใหมการตรวจวามการส ารองขอมลในทกสวนทจ าเปนอยางสม าเสมอ
80
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ
108 Information Username/Password
ขอมลรวไหลเนองจากตดคางในสอบนทกทเลกใชหรอน ามาใชใหม
1 1 3 4 1 ต ามาก (A.11.2.7) จดท าคมอในการจดการกบอปกรณเกบขอมลตางๆทเลกใช
109 Information Username/Password
ขอมลรวไหลระหวางการรบสง 1 1 3 4 1 ต ามาก (A.13.1.1) ก าหนดใหมข นตอนในการตรวจสอบความผดปกตทเกดขนในระบบเครอขายรวมถงเกบบนทกความเปลยนแปลงทเกดขนภายในระบบ
110 Information User profile setting
ขอมลถกเขาถงจากผทไมมสทธ
1 1 3 4 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
111 Information User profile setting
ขอมลถกแกไขจากผทไมมสทธ
1 5 3 4 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
112 Information User profile setting
ขอมลถกลกลอบท าส าเนาและน าไปเผยแพร
1 1 3 4 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
81
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ) ล าดบ ประเภท รายการ
ตรวจสอบ ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ
113 Information User profile setting
ขอมลสญหายจากการไมส ารองขอมล
1 5 3 4 1 ต ามาก (A.12.3.1) ก าหนดใหมการตรวจวามการส ารองขอมลในทกสวนทจ าเปนอยางสม าเสมอ
114 Information User profile setting
ขอมลรวไหลเนองจากตดคางในสอบนทกทเลกใชหรอน ามาใชใหม
1 1 3 4 1 ต ามาก (A.11.2.7) จดท าคมอในการจดการกบอปกรณเกบขอมลตางๆทเลกใช
115 Information User profile setting
ขอมลรวไหลระหวางการรบสง 1 1 3 4 1 ต ามาก (A.13.1.1) ก าหนดใหมข นตอนในการตรวจสอบความผดปกตทเกดขนในระบบเครอขายรวมถงเกบบนทกความเปลยนแปลงทเกดขนภายในระบบ
116 Information Log data ขอมลถกเขาถงจากผทไมมสทธ
1 1 3 4 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
117 Information Log data ขอมลถกแกไขจากผทไมมสทธ
1 5 3 4 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
82
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ) ล าดบ ประเภท รายการ
ตรวจสอบ ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ
118 Information Log data ขอมลถกลกลอบท าส าเนาและน าไปเผยแพร
1 1 3 4 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
119 Information Log data ขอมลสญหายจากการไมส ารองขอมล
1 5 3 4 1 ต ามาก (A.12.3.1) ก าหนดใหมการตรวจวามการส ารองขอมลในทกสวนทจ าเปนอยางสม าเสมอ
120 Information Log data ขอมลรวไหลเนองจากตดคางในสอบนทกทเลกใชหรอน ามาใชใหม
1 1 3 4 1 ต ามาก (A.11.2.7) จดท าคมอในการจดการกบอปกรณเกบขอมลตางๆทเลกใช
121 Information Log data ขอมลรวไหลระหวางการรบสง 1 1 3 4 1 ต ามาก (A.13.1.1) ก าหนดใหมข นตอนในการตรวจสอบความผดปกตทเกดขนในระบบเครอขายรวมถงเกบบนทกความเปลยนแปลงทเกดขนภายในระบบ
122 Information Application Configurations
ขอมลถกเขาถงจากผทไมมสทธ
1 1 1 2 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
83
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ) ล าดบ ประเภท รายการ
ตรวจสอบ ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ
123 Information Application Configurations
ขอมลถกแกไขจากผทไมมสทธ
1 5 3 4 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
124 Information Application Configurations
ขอมลถกลกลอบท าส าเนาและน าไปเผยแพร
1 1 3 2 1 ต ามาก (A.9.4.1) ก าหนดใหมข นตอนการตรวจสอบสทธในการเขาถง
125 Information Application Configurations
ขอมลสญหายจากการไมส ารองขอมล
1 5 2 2 1 ต ามาก (A.12.3.1) ก าหนดใหมการตรวจวามการส ารองขอมลในทกสวนทจ าเปนอยางสม าเสมอ
126 Information Application Configurations
ขอมลรวไหลเนองจากตดคางในสอบนทกทเลกใชหรอน ามาใชใหม
1 1 3 2 1 ต ามาก (A.11.2.7) จดท าคมอในการจดการกบอปกรณเกบขอมลตางๆทเลกใช
127 Information Application Configurations
ขอมลรวไหลระหวางการรบสง 1 1 3 2 1 ต ามาก (A.13.1.1) ก าหนดใหมข นตอนในการตรวจสอบความผดปกตทเกดขนในระบบเครอขายรวมถงเกบบนทกความเปลยนแปลงทเกดขนภายในระบบ
84
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง
แผนการจดการ
128 Personal Service Owner ไมใหความรวมมอในการสรางความมนคงปลอดภยสารสนเทศ
1 1 1 2 1 ต ามาก (A.7.2.3) จดท าเอกสารเพอใชในการก าหนดบทบาทหนาทความรบผดชอบ
129 Personal Service Owner ละเมดนโยบายความมนคงสารสนเทศ เนองจากละเลยหรอจงใจ
1 1 1 2 1 ต ามาก (A.7.2.3) จดท าเอกสารเพอใชในการก าหนดบทบาทหนาทความรบผดชอบ
130 Personal Service Owner ขาดความรหรอทกษะในเทคโนโลยทเกยวของท าใหการรกษาความมนคงปลอดภยเปนเรองยาก
1 1 1 2 1 ต ามาก (A.7.2.2) จดอบรมเพอใหผเกยวของเกดความเขาใจและตระหนกเกยวกบความปลอดภย
131 Personal Service Manager
ไมใหความรวมมอในการสรางความมนคงปลอดภยสารสนเทศ
1 1 1 2 1 ต ามาก (A.7.2.3) จดท าเอกสารเพอใชในการก าหนดบทบาทหนาทความรบผดชอบ
132 Personal Service Manager
ละเมดนโยบายความมนคงสารสนเทศ เนองจากละเลยหรอจงใจ
1 1 1 2 1 ต ามาก (A.7.2.3) จดท าเอกสารเพอใชในการก าหนดบทบาทหนาทความรบผดชอบ
85
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ
133 Personal Service Manager
ขาดความรหรอทกษะในเทคโนโลยทเกยวของท าใหการรกษาความมนคงปลอดภยเปนเรองยาก
1 1 1 2 1 ต ามาก (A.7.2.2) จดอบรมเพอใหผเกยวของเกดความเขาใจและตระหนกเกยวกบความปลอดภย
134 Personal Admin ไมใหความรวมมอในการสรางความมนคงปลอดภยสารสนเทศ
1 1 1 2 1 ต ามาก (A.7.2.3) จดท าเอกสารเพอใชในการก าหนดบทบาทหนาทความรบผดชอบ
135 Personal Admin ละเมดนโยบายความมนคงสารสนเทศ เนองจากละเลยหรอจงใจ
1 1 1 4 1 ต ามาก (A.7.2.3) จดท าเอกสารเพอใชในการก าหนดบทบาทหนาทความรบผดชอบ
136 Personal Admin ขาดความรหรอทกษะในเทคโนโลยทเกยวของท าใหการรกษาความมนคงปลอดภยเปนเรองยาก
1 1 1 2 1 ต ามาก (A.7.2.2) จดอบรมเพอใหผเกยวของเกดความเขาใจและตระหนกเกยวกบความปลอดภย
86
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง
แผนการจดการ
137 Personal User ขาดความเขาใจของความส าคญในการรกษาความมนคงปลอดภยท าใหการรกษาความปลอดภยเปนเรองยาก
1 1 1 4 1 ต ามาก (A.7.2.2) จดอบรมเพอใหผเกยวของเกดความเขาใจและตระหนกเกยวกบความปลอดภย (A.7.2.3) จดท าเอกสารเพอใชในการก าหนดบทบาทหนาทความรบผดชอบ
138 Personal User ละเมดนโยบายความมนคงสารสนเทศ เนองจากละเลยหรอจงใจ
1 1 1 4 1 ต ามาก (A.7.2.3) จดท าเอกสารเพอใชในการก าหนดบทบาทหนาทความรบผดชอบ
139 Personal User ขาดความรหรอทกษะในเทคโนโลยทเกยวของท าใหการรกษาความมนคงปลอดภยเปนเรองยาก
1 1 1 4 1 ต ามาก (A.7.2.2) จดอบรมเพอใหผเกยวของเกดความเขาใจและตระหนกเกยวกบความปลอดภย
140 Service Building and Facilities Provider
การใหบรการหยดชะงกเนองจากอคคภย
1 5 3 4 1 ต ามาก (A.15.2.1) ก าหนดใหมการตรวจประสทธภาพของระบบของผใหบรการเปนประจ าทกเดอน
87
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง
แผนการจดการ
141 Service Building and Facilities Provider
การใหบรการหยดชะงกเนองจากอทกภย
1 5 3 4 1 ต ามาก (A.15.2.1) ก าหนดใหมการตรวจประสทธภาพของระบบของผใหบรการเปนประจ าทกเดอน
142 Service Building and Facilities Provider
การใหบรการหยดชะงกเนองจากพาย
1 5 3 4 1 ต ามาก (A.15.2.1) ก าหนดใหมการตรวจประสทธภาพของระบบของผใหบรการเปนประจ าทกเดอน
143 Service Building and Facilities Provider
การใหบรการหยดชะงกเนองจากระบบไฟฟาขดของ
1 5 3 4 1 ต ามาก (A.15.2.1) ก าหนดใหมการตรวจประสทธภาพของระบบของผใหบรการเปนประจ าทกเดอน
144 Service Building and Facilities Provider
การใหบรการหยดชะงกเนองจากการชมนมประทวง
1 5 3 4 1 ต ามาก (A.15.2.1) ก าหนดใหมการตรวจประสทธภาพของระบบของผใหบรการเปนประจ าทกเดอน
145 Service Building and Facilities Provider
การใหบรการหยดชะงกเนองจากบคคลภายนอกสามารถเขาถงโดยไมไดรบอนญาต
1 5 3 4 1 ต ามาก (A.15.2.1) ก าหนดใหมการตรวจประสทธภาพของระบบของผใหบรการเปนประจ าทกเดอน
88
ตำรำงท 4.9 ตารางการประเมนความเสยงหลงด าเนนการ (ตอ)
ล าดบ ประเภท รายการตรวจสอบ
ความเสยง F O R C โอกาส ระดบความเสยง แผนการจดการ
146 Service Internet Service Provider
การใหบรการหยดชะงกเนองจากผใหบรการอนเทอรเนตไมสามารถบรการไดเนองจากสายขาด
1 5 3 4 1 ต ามาก (A.15.2.1) ก าหนดใหมการตรวจประสทธภาพของระบบของผใหบรการเปนประจ าทกเดอน
145 Service Building and Facilities Provider
การใหบรการหยดชะงกเนองจากบคคลภายนอกสามารถเขาถงโดยไมไดรบอนญาต
1 5 3 4 1 ต ามาก (A.15.2.1) ก าหนดใหมการตรวจประสทธภาพของระบบของผใหบรการเปนประจ าทกเดอน
146 Service Internet Service Provider
การใหบรการหยดชะงกเนองจากผใหบรการอนเทอรเนตไมสามารถบรการไดเนองจากสายขาด
1 5 3 4 1 ต ามาก (A.15.2.1) ก าหนดใหมการตรวจประสทธภาพของระบบของผใหบรการเปนประจ าทกเดอน
89
สรปจ านวนความเสยงหลงการด าเนนโครงงานแบงตามประเภท ความเสยงโดยรวม,ความเสยง Hardware, ความเสยง Software, ความเสยง Information, ความเสยง Personal, ความเสยง Service ตามตารางท 4.10, ตารางท 4.11, ตารางท 4.12, ตารางท 4.13, ตารางท 4.14, ตารางท 4.15 ตามล าดบ
ตำรำงท 4.10 สรปความเสยงรวมหลงการด าเนนโครงงาน ระดบความเสยง สง ปานกลาง ต า ต ามาก รวม จ านวน 0 0 16 130 146
ตำรำงท 4.11 สรปความเสยง Hardware หลงการด าเนนโครงงาน ระดบความเสยง สง ปานกลาง ต า ต ามาก รวม จ านวน 0 0 16 38 54
ตำรำงท 4.12 สรปความเสยง Software หลงการด าเนนโครงงาน ระดบความเสยง สง ปานกลาง ต า ต ามาก รวม จ านวน 0 0 0 43 43
ตำรำงท 4.13 สรปความเสยง Information หลงการด าเนนโครงงาน ระดบความเสยง สง ปานกลาง ต า ต ามาก รวม จ านวน 0 0 0 30 30
ตำรำงท 4.14 สรปความเสยง Personal หลงการด าเนนโครงงาน ระดบความเสยง สง ปานกลาง ต า ต ามาก รวม จ านวน 0 0 0 12 12
ตำรำงท 4.15 สรปความเสยง Service หลงการด าเนนโครงงาน
ระดบความเสยง สง ปานกลาง ต า ต ามาก รวม จ านวน 0 0 0 7 7
90
บทท 5 สรปผลกำรด ำเนนงำน
สรปจ านวนความเสยงเปรยบเทยบกอนและหลงการด าเนนโครงงานแบงตามประเภท ความ
เสยงโดยรวม,ความเสยง Hardware, ความเสยง Software, ความเสยง Information, ความเสยง Personal, ความเสยง Service ตามตารางท 5.1, ตารางท 5.2, ตารางท 5.3, ตารางท 5.4, ตารางท 5.5, ตารางท 5.6 ตามล าดบ
รปท 5.1 สรปจ านวนความเสยงโดยรวม
91
รปท 5.2 สรปจ านวนความเสยงประเภท Hardware
รปท 5.3 สรปจ านวนความเสยงประเภท Software
92
รปท 5.4 สรปจ านวนความเสยงประเภท Information
รปท 5.5 สรปจ านวนความเสยงประเภท Personal
93
รปท 5.6 สรปจ านวนความเสยงประเภท Service
94
สรปรายการควบคมความเสยงทเลอกใชตามตารางท 5.1 ตำรำงท 5.1 Statement Of Applicability : SOA
หวขอ หวเรอง การใชงาน การประยกตใช A.5 Information security policies A.5.1 Management direction for information security A.5.1.1 Policies for information
security X มการจดท านโยบายเพอใชเปนแนวทางในการด าเนนการเพอจดการความเสยง โดยไดมการขอ
อนมตจากฝายบรหารเพอใหมผลบงคบใชโดยทวถง A.5.1.2 Review of the policies
for information security X มการทบทวนปรบปรงนโยบายใหมความทนสมยและเหมาะสมตอเทคโนโลยรวมถงเปาหมายใน
การด าเนนธรกจใหเหมาะสมกบองคกร A.6 Organization of information security A.6.1 Internal organization A.6.1.1 Information security
roles and responsibilities X มการแบงแยกหนาทความรบผดชอบใหชดเจน
A.6.1.2 Segregation of duties X ท าการแกไขหรอปรบเปลยนในสวนของหนาทๆ มการท างานทบซอนกนเพอปองกนโอกาสเกดปญหา เชน การแกไขโดยมไดรบสทธ
A.6.1.3 Contact with authorities X ฝายเทคโนโลยสารสนเทศ จดท าขอมลการตดตอสอสารทงภายในและภายนอก เชน หนวยงานภาครฐ, คคา, คณะผบรหาร และมการปรบปรงขอมลอยางสม าเสมอเพอใหสะดวกเวลาปฏบตงาน
A.6.1.4 Contact with special interest groups
X ฝายความมนคงทางเทคโนโลยสารสนเทศเทคโนโลยสารสนเทศมการตดตอกบหนวยงานและกลมคนทมความเชยวชาญดานความมนคงทางสารสนเทศทงภายในและภายนอกเพอท าใหมนใจวาขอมลมความทนสมย
A.6.1.5 Information security in project management
X ควรมการน าเอาหวขอเกยวกบความมนคงปลอดภยทางดานสารสนเทศมาเปนสวนหนงในการพฒนาโครงการทกโครงการ
95
ตำรำงท 5.1 Statement Of Applicability : SOA (ตอ) หวขอ หวเรอง การใชงาน การประยกตใช A.6.2 Mobile devices and teleworking 6.2.1 Mobile device policy - จดท านโยบายและมาตรการสนบสนนการรกษาความปลอดภยจะตองถกน ามาใชในการจดการ
ความเสยงส าหรบอปกรณเคลอนท A.6.2.2 Teleworking X ก าหนดนโยบาย แผนงาน และขนตอนปฏบตส าหรบบคลากรทจ าเปนตองปฏบตงานขององคกร
จากภายนอกส านกงาน A.7 Human resource security A.7.1 Prior to employment A.7.1.1 Screening X ตองท าการตรวจสอบคณสมบตของผสมครโดยละเอยด เชน ตรวจสอบจากจดหมาย รบรอง ประวต
การท างาน วฒ การศกษา บคคล หรอบร ษ ททสามารถอางองได การผานการอบรมเปนตน และจะตองพจารณากฎหมาย ระเบยบ จรยธรรม ชนความลบของทรพยสนสารสนเทศ และระดบความเสยงในการเขาถงประกอบการคดเลอกดวย
A.7.1.2 Terms and conditions of employment
X ตองก าหนดเงอนไขการจางงานทงกรณ การจางงานเปนพนกงาน การวาจางในลกษณะของสญญาและการวาจางหนวยงานภายนอก ซงรวมถงหนาทความรบผดชอบทางดาน ความมนคงปลอดภยส าหรบสารสนเทศ และบคลากรทจะได รบการวาจางดงกลาวจะตอง เหนชอบและลงนามในเงอนไขการจางงานนนดวย
A.7.2 During employment A.7.2.1 Management
responsibilities X ผบรหารองคกรตองก าหนดใหพนกงานทไดรบการวาจางตามสญญา
การ จางงานและผทมาปฏบต หนาทจากหนวยงานภายนอกปฏบตตามมาตรการการรกษา ความมนคงปลอดภย ตามนโยบายและขนตอนปฏบตทางดานความมนคงปลอดภย ขององคกร
96
ตำรำงท 5.1 Statement Of Applicability : SOA (ตอ) หวขอ หวเรอง การใชงาน การประยกตใช A.7.2.2 Information security
awareness, education and training
X ตองก าหนดให พนกงานทไดรบการวาจางตามสญญาการจางงาน และผทมาปฏบตหนาท จากหนวยงานภายนอกไดรบการอบรมเพอสรางความตระหนกและเสรมสรางความรทางดานความมนคงปลอดภยอยางสม าเสมอ การอบรมควรครอบคลมถงนโยบายและขนตอนปฏบต ส าหรบการรกษาความมนคงปลอดภยขององคกรตามลกษณะงานทพนกงานตองรบผดชอบดวย
A.7.2.3 Disciplinary process X ผบรหารองคกรจดใหมกระบวนการทางวนยเพอลงโทษพนกงาน ทฝาฝนหรอละเมดนโยบาย หรอระเบยบปฏบตทางด านความมนคงปลอดภยขององคกร
A.7.3 Termination and change of employment A.7.3.1 Termination or change
of employment responsibilities
X หวหนางานบคคลตองก าหนดหนาทความรบผดชอบส าหรบผทองคกรเลกการจางงานหรอองคกรเปลยนลกษณะการจางงาน และก าหนดใหปฏบตตามหนาทดงกลาว
A.8 Asset management A.8.1 Responsibility for assets A.8.1.1 Inventory of assets X หวหนางานพสดและจดท าและปรบปรงแกไขบญชทรพยสนทมความส าคญตอองคกรใหถกตองอย
เสมอ A.8.1.2 Ownership of assets X หวหนางานพสดและจดใหมการระบผเปนเจาของสารสนเทศและทรพยสนทเกยวของกบการ
ประมวลผลสารสนเทศตามทก าหนดไวในบญชทรพยสน A.8.1.3 Acceptable use of
assets X หวหนางานพสดและหวหนางานสารสนเทศจะจดท ากฎระเบยบหรอหลกเกณฑอยางเปนลาย
ลกษณอกษรส าหรบการใชงานสารสนเทศและทรพยสนทเกยวของกบการประมวลผลสารสนเทศอยางเหมาะสม เพอปองกนความเสยหายตอทรพยสนเหลานน เชน อนเกดจากการขาดความระมดระวง การขาดการดแลและเอาใจใสเปนตน
97
ตำรำงท 5.1 Statement Of Applicability : SOA (ตอ) หวขอ หวเรอง การใชงาน การประยกตใช A.8.1.4 Return of assets X หวหนางานบคคลและหวหนางานพสดตองก าหนดใหผทองคกรสนสดการจางงานหรอเปลยน
ลกษณะการจางงานคนทรพยสนขององคกรทอยในความครอบครองของตน A.8.2 Information classification A.8.2.1 Classification of
information X หวหนางานสารสนเทศจะจดใหมกระบวนการในการจดหมวดหมของทรพยสนสารสนเทศตาม
ระดบชนความลบ คณคา ขอก าหนดทางกฎหมายและระดบความส าคญทมตอองคกร ทงนเพอจะไดหาวธการในการปองกนไดอยางเหมาะสม
A.8.2.2 Labeling of information X หวหนางานสารสนเทศจะจดใหมข นตอนปฏบตในการจดท าปายชอและการจดการทรพยสนสารสนเทศตามทไดจดหมวดหมไวแลว
A.8.2.3 Handling of assets X มการพฒนาขนตอนในการจดการสนทรพยขององคกร A.8.3 Media handling A.8.3.1 Management of
removable media X ก าหนดขนตอนปฏบตส าหรบบรหารจดการสอบนทกขอมลทสามารถเคลอนยายได
A.8.3.2 Disposal of media X ก าหนดขนตอนปฏบตส าหรบการท าลายสอบนทกขอมลทไมมความจ าเปนตองใชงานอกตอไปแลว การท าลายตองเปนไปอยางมนคงและปลอดภย
A.8.3.3 Physical media transfer X มการปองกนสอบนทกขอมล จากการเขาถงโดยไมไดรบอนญาตการใชงานผดวตถประสงค และการท าใหขอมลเกดความเสยหายในระหวางทสงขอมลนนออกไปนอกองคกร
A.9 Access control A.9.1 Business requirements of access control
98
ตำรำงท 5.1 Statement Of Applicability : SOA (ตอ) หวขอ หวเรอง การใชงาน การประยกตใช A.9.1.1 Access control policy X ก าหนดใหมการจดท านโยบายควบคมการเขาถงอยางเปนลายลกษณอกษรและปรบปรงตาม
ระยะเวลาทก าหนดไวการจดท านโยบายนจะพจารณาจากความตองการทางธรกจและทางดานความมนคงปลอดภยในการเขาถงทรพยสนสารสนเทศ
A.9.1.2 Access to networks and network services
X มการก าหนดสทธในการเขาถงระบบเครอขายและบรการตางๆส าหรบผใชแตละบคคล
A.9.2 User access management A.9.2.1 User registration and
deregistration X ตองก าหนดใหมข นตอนปฏบตอยางเปนทางการส าหรบการลงทะเบยนพนกงานใหมเพอให มสทธ
ตางๆ ในการใชงานตามความจ าเปนรวมทงขนตอนปฏบตส าหรบการยกเลกสทธการใชงานเชนเมอลาออกไปหรอเปลยนต าแหนงงานภายในองคกรเปนตน
A.9.2.2 User access provisioning X ตองก าหนดใหมข นตอนการก าหนดหรอเพกถอนสทธการเขาถงส าหรบผใชส าหรบบรการทงหมด A.9.2.3 Management of
privileged access rights X การจดสรรและการใหสทธในการเขาถงบรการทมความส าคญจะถก จ ากด และควบคม
A.9.2.4 Management of secret authentication information of users
X มการบรหารจดการขอมลทใชในการพสจนตวตน
A.9.2.5 Review of user access rights
X จดใหมกระบวนการทบทวนสทธการเขาถงของผใชงานระบบ
A.9.2.6 Removal or adjustment of access rights
X มขนตอนการจดการสทธในการเขาถงของพนกงานและบคคลภายนอกโดยการลบออกเมอมการเลกจางหรอการปรบเมอมการเปลยนแปลง.
99
ตำรำงท 5.1 Statement Of Applicability : SOA (ตอ) หวขอ หวเรอง การใชงาน การประยกตใช
A.9.3 User responsibilities A.9.3.1 Use of secret
authentication information
X ผใชตองมการปฏบตตามขนตอนการพสจนตวตนตามทไดมการก าหนดไว
A.9.4 System and application access control A.9.4.1 Information access
restriction X มการจ ากดสทธการเขาถงขอมล ใหสอดคลองกบนโยบายการควบคมการเขาถง
A.9.4.2 Secure log-on procedures
X ผดแลระบบจดใหมข นตอนปฏบตทมความมนคงปลอดภยส าหรบการเขาถงหรอการเขาใชงานระบบปฏบตการ
A.9.4.3 Password management system
X ผดแลระบบจดท าหรอจดใหมระบบบรหารจดการรหสผานทมการควบคมการก าหนดรหสผานทม คณภาพ
A.9.4.4 Use of privileged utility programs
X ผดแลระบบตองจ ากดและควบคมการใชงานโปรแกรมประเภทยทลต เพอปองกนการละเมดหรอหลกเลยงมาตรการความมนคงปลอดภยทได ก าหนดไวหรอมอยแลว
A.9.4.5 Access control to program source code
X ตองจ ากดการเขาถงซอรสโคดส าหรบระบบทใหบรการทงนเพอปองกนการเปลยนแปลงทอาจเกดขนโดยไมไดรบอนญาตหรอโดยไมไดเจตนา
A.10 Cryptography A.10.1 Cryptographic controls A.10.1.1 Policy on the use of
cryptographic controls X ก าหนดให มนโยบายควบคมการใชงานการเขารหสขอมลและใหมผลบงคบใชงานภายในองคกร
100
ตำรำงท 5.1 Statement Of Applicability : SOA (ตอ) หวขอ หวเรอง การใชงาน การประยกตใช
A.10.1.2 Key management X ก าหนดใหมการบรหารจดการส าหรบกญแจทใชในการเขาหรอถอดรหสขอมล โดยกญแจเหลานจะใชงานรวมกบเทคนคการเขารหสขอมลทก าหนดเปนมาตรฐานขององคกร
A.11 Physical and environmental security A.11.1 Secure areas A.11.1.1 Physical security
perimeter X มการ จดท าประตทางเขา-ออกทมการควบคมตงโตะท าการของ รปภ.บรเวณทางเขา-ออกของ
ส านกงาน A.11.1.2 Physical entry controls X จดใหมการควบคมการเขา-ออกในบรเวณหรอพนททตองการรกษาความปลอดภย และอนญาตให
ผานเขาออกไดเฉพาะผทไดรบอนญาตแลวเทานน A.11.1.3 Securing offices, room
and facilities X มจดหาตดตงอปกรณทเกยวของกบความปลอดภยในพนทส านกงานหองพกและสงอ านวยความ
สะดวกตามความเหมาะสม A.11.1.4 Protecting against
external and environmental threats
X จดใหมการสรางความมนคงปลอดภยทางกายภาพตอส านกงานหองท างานและทรพยสนอนๆ
A.11.1.5 Working in secure areas
X จดใหมการปองกนทางกายภาพและแนวทางส าหรบการปฏบตงานในพนททตองรกษาความมนคงปลอดภย
A.11.1.6 Delivery and loading areas
X จดบรเวณส าหรบการเขาถงหรอการสงมอบผลตภณฑโดยบคคลภายนอกเพอปองกนการเขาถงทรพยสนสารสนเทศขององคกรโดยไมไดรบอนญาต และถาเปนไปได ควรจดเปนบรเวณแยกออกมาตางหาก
A.11.2 Equipment
101
ตำรำงท 5.1 Statement Of Applicability : SOA (ตอ) หวขอ หวเรอง การใชงาน การประยกตใช
A.11.2.1 Equipment siting and protection
X มการจดท าแนวทางในการจดวางและปองกนอปกรณของส านกงานเพอลดความเสยงจากภยคกคามทางดานสงแวดลอมและอนตรายตางๆ รวมทงความเสยงในการเขาถงอปกรณโดยไมไดรบอนญาต
A.11.2.2 Supporting utilities X ก าหนดใหมกลไกการปองกนการลมเหลวของระบบและอปกรณสนบสนนตางๆ ไดแก ระบบกระแสไฟฟา ระบบน าประปา ระบบควบคมอณหภม ระบบระบายอากาศ ระบบปรบอากาศ ระบบกระแสไฟฟาส ารองระบบสายสอสารส ารอง เปนตน
A.11.2.3 Cabling security X ก าหนดใหการเดนสายไฟฟา สายสอสาร และสายเคเบลอนๆ ไดรบการปองกนจากการเขาถงโดยไมไดรบอนญาต การท าใหเกดอปสรรคตอสายสญญาณ หรอการท าใหสายสญญาณเหลานนเสยหาย
A.11.2.4 Equipment maintenance
X ก าหนดให มการบ ารงรกษาอปกรณตางๆ อยางสม าเสมอเพอใหอปกรณท างานไดอยางตอเนองและอยในสภาพทมความสมบรณตอการใชงาน
A.11.2.5 Removal of assets X ตองมการอนมตกอนน าอปกรณขอมลหรอซอฟตแวรออกจากสถานท A.11.2.6 Security of equipment
and assets off-premises
X ก าหนดให ม การปองกนอปกรณ ตางๆ ทใชงานอยนอกส านกงานเพอไมใหเกดความเสยหายตออปกรณเหลานน การปองกนใหพจารณาจากความเสยงตางๆ ทมตออปกรณเหลานน
A.11.2.7 Secure disposal or reuse of equipment
X ตองตรวจสอบอปกรณทมส อบนทกขอมลเพอดวาขอมลส าคญและซอฟตแวรลขสทธทเกบอยในสอบนทกดงกล าวไดถกลบทงหรอถกบนทกทบกอนทจะทงอปกรณดงกลาวไป ทงนเพอเปนการปองกนขอมลดงกลาวหากมการน าอปกรณกลบมาใชงานอกครง
A.11.2.8 Unattended user equipment
X พนกงานตองมวธเพอปองกนไมใหผไมมสทธสามารถเขาถงอปกรณทไมมพนกงานดแล
102
ตำรำงท 5.1 Statement Of Applicability : SOA (ตอ) หวขอ หวเรอง การใชงาน การประยกตใช
A.11.2.9 Clear desk and clear screen policy
X จดท านโยบายเพอควบคมไมใหมการปลอยใหทรพยสนสารสนเทศท ส าคญ เชน เอกสาร สอบนทกขอมล อยในสถานททไมปลอดภย เชน สามารถเขาถงไดทางกายภาพ อยในบรเวณทเปนทสาธารณะหรอพบเหนไดงาย เปนตน
A.12 Operations security A.12.1 Operational procedures and responsibilities A.12.1.1 Documented operating
procedures X จดท าคมอขนตอนการปฏบตงาน ปรบปรงตามระยะเวลาอนสมควร และแจกจายให กบผท
เกยวของ A.12.1.2 Change management X ก าหนดใหมการควบคมการปลยนแปลงปรบปรงหรอแกไขระบบหรออปกรณประมวลผลสารสนเทศ A.12.1.3 Capacity management X มการวางแผนเพอก าหนดความตองการทรพยากรสารสนเทศเพมเตมในอนาคตเพอใหระบบม
ประสทธภาพทเหมาะสมและเพยงพอตอการใชงาน A.12.1.4 Separation of
development, testing and operational environments
X จดใหมการแยกระบบส าหรบการพฒนาการทดสอบ และการใหบรการจรงออกจากกน เพอลดความเสยงในการเขาถงหรอเปลยนแปลงแกไขตอระบบส าหรบการใหบรการจรงโดยไมไดรบอนญาตสภาพแวดลอมในการด าเนนงาน
A.12.2 Protection from malware A.12.2.1 Controls against
malware X มการจดท าขนตอนการปฏบตเพอใชในการตรวจจบ, กคนรวมถงปองกนมลแวร รวมถงการสราง
ความตนรใหแกผใช A.12.3 Backup A.12.3.1 Information backup X จดใหมการส ารองและทดสอบขอมลทส ารองเกบไวอยางสม าเสมอ และใหเปนไปตามนโยบายการ
ส ารองขอมลขององคกร
103
ตำรำงท 5.1 Statement Of Applicability : SOA (ตอ) หวขอ หวเรอง การใชงาน การประยกตใช
A.12.4 Logging and monitoring A.12.4.1 Event logging X ก าหนดใหท าการบนทกกจกรรมการใชงานของผใช การปฏเสธการใหบรการของระบบ และ
เหตการณตางๆ ทเกยวของกบความมนคงปลอดภยอยางสม าเสมอตามระยะเวลาทก าหนดไว A.12.4.2 Protection of log
information X ก าหนดใหมมาตรการปองกนขอมลบนทกกจกรรมหรอเหตการณตางๆ ทเกยวของกบการใชงาน
สารสนเทศ เพอปองกนการเปลยนแปลงหรอการแกไขโดยไมไดรบอนญาต A.12.4.3 Administrator and
operator logs X ก าหนดใหมการบนทกกจกรรมการด าเนนงานของผดแลระบบหรอเจาหนาททเกยวของกบระบบ
อนๆ A.12.4.4 Clock synchronization X ผดแลระบบตองตงเวลาของเครองคอมพวเตอร ทกเครองในส านกงานให ตรงกนโดยอางองจาก
แหลงเวลาทถกตองเพอชวยในการตรวจสอบชวงเวลาหากเครองคอมพวเตอรขององคกรถกบกรก A.12.5 Control of operational software A.12.5.1 Installation of software
on operational systems X จดใหมข นตอนปฏบตเพอควบคมการตดตงซอฟตแวรตางๆ ลงไปยงระบบทใหบรการ ทงนเพอลด
ความเสยงทจะท าใหระบบใหบรการนนเกดความเสยหายท างานผดปกตหรอไมสามารถใชงานได A.12.6 Technical vulnerability management A.12.6.1 Management of
technical vulnerabilities X ก าหนดใหมการตดตามขอมลขาวสารทเกยวของกบชองโหวในระบบตางๆ ทใชงาน ประเมนความ
เสยงของชองโหวเหลานนรวมทงก าหนดมาตรการรองรบเพอลดความเสยงดงกลาว A.12.6.2 Restrictions on
software installation -
A.12.7 Information system audit considerations
104
ตำรำงท 5.1 Statement Of Applicability : SOA (ตอ) หวขอ หวเรอง การใชงาน การประยกตใช
A.12.7.1 Information systems audit controls
X ระบขอก าหนดและกจกรรมทเกยวของกบการตรวจประเมนระบบสารสนเทศขององคกรเพอใหมผลกระทบนอยทสดตอกระบวนการทางธรกจ เชน การหยดชะงกของกระบวนการทางธรกจในระหวางทท าการตรวจประเมน
A.13 Communications security A.13.1 Network Security Management A.13.1.1 Network controls X ผดแลระบบตองบรหารและจดการเครอขาย ก าหนดมาตรการเพอปองกนภยคกคามตางๆ ทาง
เครอขาย และดแลรกษาความมนคงปลอดภยส าหรบระบบและแอปพลเคชนทใชงานเครอขาย รวมทงสารสนเทศตางๆ ทสงผานทางเครอขาย
A.13.1.2 Security of network services
X ก าหนดคณสมบตทางดานความมนคงปลอดภยระดบการให บรการ และขอก าหนดในการบรหารจดการส าหรบบรการเครอขายทงหมดทองคกรใชบรการอย และตองก าหนดไวในขอตกลงในการใหบรการเครอขายโดยทบรการเครอขายเหลานอาจจะเปนบรการเครอขายภายในขององคกรเองหรอบรการทไดรบจากหนวยงานภายนอก
A.13.1.3 Segregation in networks
X ผดแลระบบตองท าการแบงแยกเครอขายตามกลมของบรการสารสนเทศทใชงานกลมของผใชและกลมของระบบสารสนเทศ
A.13.2 Information transfer A.13.2.1 Information transfer
policies and procedures X มการก าหนดนโยบายขนตอนและการควบคมเพอปองกนการถายโอนขอมลผานการตดตอสอสาร
ทกประเภทอยางเปนทางการ A.13.2.2 Agreements on
information transfer -
A.13.2.3 Electronic messaging X ก าหนดมาตรการในการปองกนสารสนเทศทมการสงผานทางขอความอเลกทรอนกส
105
ตำรำงท 5.1 Statement Of Applicability : SOA (ตอ) หวขอ หวเรอง การใชงาน การประยกตใช
A.13.2.4 Confidentiality or nondisclosure agreements
X จดใหมการลงนามในขอตกลงระหวางพนกงานกบองคกรวาจะไมเปดเผยความลบขององคกร(โดยการลงนามนจะเปนสวนหนงของการสญญาวาจางพนกงานนน) รวมทงเงอนไขหรอขอก าหนดตางๆ ทเกยวของกบการไมเปดเผยความลบจะตองไดรบการปรบปรงอยางสม าเสมอเพอใหสอดคลองกบความตองการขององคกร
A.14 System acquisition, development and maintenance A.14.1 Security requirements of information systems A.14.1.1 Information security
requirements analysis and specification
X วเคราะหและระบขอก าหนดทางดานความมนคงปลอดภยส าหรบระบบสารสนเทศใหมหรอระบบทปรบปรงจากระบบทมอยแลว
A.14.1.2 Securing application services on public networks
X ก าหนดใหมการปองกนความถกตองและความสมบรณของขอมลและระบบทสามารถเขาถงจากภายนอก
A.14.1.3 Protecting application services transactions
X ก าหนดมาตรการส าหรบการปองกนสารสนเทศทรบ-สงทเกยวของกบการท าธรกรรมออนไลน ทงนเพอปองกนไมใหเกดความไมสมบรณของสารสนเทศทรบ-สง สารสนเทศถกสงไปผดเสนทางบนเครอขายการเปลยนแปลงสารสนเทศโดยไมไดรบอนญาตการเปดเผยสารสนเทศโดยไมไดรบอนญาตหรอการท าส าเนาสารสนเทศโดยไมไดรบอนญาต
A.14.2 Security in development and support processes A.14.2.1 Secure development
policy X มการจดท านโยบายทใชก ากบการพฒนาโปรแกรมส าหรบภายในองคกร
106
ตำรำงท 5.1 Statement Of Applicability : SOA (ตอ) หวขอ หวเรอง การใชงาน การประยกตใช
A.14.2.2 System change control procedures
X ก าหนดขนตอนปฏบตอยางเปนทางการส าหรบควบคมการเปลยนแปลงหรอแกไขระบบสารสนเทศทงนเพอลดความเสยงทจะท าใหระบบเกดความเสยหาย ท างานผดปกตหรอไมสามารถใชงานได
A.14.2.3 Technical review of applications after operating platform changes
X ผดแลระบบตองท าการตรวจสอบทางเทคนคภายหลงจากทเปลยนแปลงระบบปฏบตการเพอดวาแอปพลเคชนทท างานอยบนระบบปฏบตการนน ท างานผดปกตไมสามารถใชงานไดหรอมปญหาทางดานความมนคงปลอดภยเกดขนหรอไม
A.14.2.4 Restrictions on changes to software packages
-
A.14.2.5 Secure system engineering principles
X มการจดท าหลกการส าหรบความปลอดภยในระบบวศวกรรมและมการบงคบคบใชรวมถงการตดตามและปรบปรงเพอใหแนวาระบบมความทนสมย
A.14.2.6 Secure developments environment
X องคกรตองมการก าหนดวางแผนจดการสภาพแวดลอมในการพฒนาระบบตางๆใหมความปลอดภย
A.14.2.7 Outsourced development
-
A.14.2.8 System security development
X จดท าขนตอนและกระบวนการในการตรวจสอบระบบทก าลงพฒนาเพอใหแนใจวาระบบมความปลอดภย
A.14.2.9 System acceptance testing
X จดใหมเกณฑในการตรวจรบระบบสารสนเทศใหมทปรบปรงเพมเตม หรอทเปนรนใหม รวมทงตองด าเนนการทดสอบกอนทน ามาใชงาน
A.14.3 Test data -
107
ตำรำงท 5.1 Statement Of Applicability : SOA (ตอ) หวขอ หวเรอง การใชงาน การประยกตใช A.14.3.1 Protection of test data X ผพฒนาระบบตองหลกเลยงการใชขอมลจรงทใชงานอยบนระบบใหบรการส าหรบท าการทดสอบ
ระบบหากมความจ าเปนตองใชตองก าหนดใหมการปองกนและควบคมการใชงานเชน ควรลบทงบางสวนของขอมลทเปนความลบขอมลสวนตว หรอ ขอมลส าคญ
A.15 Supplier relationships A.15.1 Information security in supplier relationships A.15.1.1 Information security
policy for supplier relationships
X ตองก าหนดใหมการจดท านโยบายควบคมการเขาถงขอมลของหนวยงานภายนอกอยางเปนลายลกษณ อกษร และปรบปรงตามระยะเวลาทก าหนดไว
A.15.1.2 Addressing security within supplier agreements
X ระบและจดท าขอก าหนดหรอขอตกลงทเกยวของกบความมนคงปลอดภยส าหรบสารสนเทศระหวางองคกรและหนวยงานภายนอกเมอมความจ าเปนตองใหหนวยงานนนเขาถงสารสนเทศหรออปกรณประมวลผลสารสนเทศขององคกร กอนทจะอนญาตใหสามารถเขาถงได
A.15.1.3 Information and communication technology supply chain
X ระบและจดท าขอก าหนดหรอขอตกลงทเกยวของกบความมนคงปลอดภยส าหรบสารสนเทศระหวางองคกรและหนวยงานภายนอก
A.15.2 Supplier relationships A.15.2.1 Monitoring and review
of supplier services X มการตดตามและประเมนผลการใหบรการรวมถงคณภาพของการใหบรการอยางสม าเสมอ
A.15.2.2 Managing changes to supplier services
X มการประเมนรวมถงการมสวนรวมในการออกมาตรการควบคมการเปลยนแปลงตางๆและออกขอก าหนดส าหรบการจดการผใหบรการภายนอกใหมการจดการความเสยงทอาจเกดขนกบธรกจ
108
ตำรำงท 5.1 Statement Of Applicability : SOA (ตอ) หวขอ หวเรอง การใชงาน การประยกตใช
A.16 Information security incident management A.16.1 Management of information security incidents and improvements A.16.1.1 Responsibilities and
procedures X ก าหนดหนาทความรบผดชอบและขนตอนปฏบตเพอรบมอกบเหตการณทเกยวของกบความมนคง
ปลอดภยของระบบและขนตอนดงกลาวตองมความรวดเรวไดผลและมความเปนระบบระเบยบ A.16.1.2 Reporting information
security events X มการจดวางชองทางในการแจงปญหาเกยวกบความปลอดภยเพอใหแนใจวาปญหาตางๆจะไดรบ
การแกไขโดยภายในเวลาทเหมาะสม A.16.1.3 Reporting information
security weaknesses X มการออกมาตรการและแนวทางปฏบตรวมถงชองทางในการตดตอสอสารเพอท าใหแนใจวาผใชจะ
สามารถท าการแจงปญหาเกยวกบความปลอดภยตางๆทถกพบ A.16.1.4 Assessment of and
decision on information security events
X มการควบคมและประเมนเหตการณตางๆทเกยวของกบความปลอดภยเพอใหแนใจวาปญหาตางๆมการรบรจากฝายทเกยวของ
A.16.1.5 Response to information security incidents
X ก าหนดหนาทความรบผดชอบและขนตอนปฏบตเพอรบมอกบเหตการณทเกยวของกบความมนคงปลอดภยขององคกร และขนตอนดงกลาวตองมความรวดเรว ไดผล และมความเปนระบบระเบยบทด
A.16.1.6 Learning from information security incidents
X ตองบนทกเหตการณละเมดความมนคงปลอดภยโดยอยางนอยจะตองพจารณาถงประเภทของเหตการณ ปรมาณทเกดขน และคาใชจายเกดขนจากความเสยหาย เพอจะไดเรยนรจากเหตการณทเกดขนแลว และเตรยมการปองกนทจ าเปนไวลวงหนา
A.16.1.7 Collection of evidence X ตองรวบรวมและจดเกบหลกฐานตามกฎหรอหลกเกณฑส าหรบการเกบหลกฐานอางองในกระบวนการทางศาลทเกยวของเมอพบวาเหตการณทเกดขนนนมความเกยวของกบการด าเนนการทางกฎหมายแพงหรออาญา
109
ตำรำงท 5.1 Statement Of Applicability : SOA (ตอ) หวขอ หวเรอง การใชงาน การประยกตใช
A.17 Information security aspects of business continuity management A.17.1 Information security continuity(Management system) A.17.1.1 Planning information
security continuity(Plan) X มการก าหนดความตองการเกยวกบความพรอมใชของระบบและขอมลตางทจ าเปนตอการด าเนน
ธรกจ A.17.1.2 Implementing
information security continuity(Implement)
X มการจดท าขนตอน แนวทางปฏบต รวมถงเอกสารเพอใชในการจดการระบบตางใหมความพรอมใช
A.17.1.3 Verify, review and evaluate information security continuity (Verify)
X มการตรวจสอบทบทวนและประเมนผลความพรอมใชของระบบและขอมลอยางสม าเสมอ
A.17.2 Redundancies A.17.2.1 Availability of
information processing facilities
X มการจดท าระบบส ารองเพอท าใหมนใจวาขอมลรวมถงระบบการใหบรการตางๆมความพรอมใช
A.18 Compliance A.18.1 Compliance with legal and contractual requirements
110
ตำรำงท 5.1 Statement Of Applicability : SOA (ตอ) หวขอ หวเรอง การใชงาน การประยกตใช
A.18.1.1 Identifications of applicable legislation and contractual requirements
-
A.18.1.2 Intellectual property rights
-
A.18.1.3 Protection of records X ก าหนดใหมการปองกนขอมลทเกยวของกบขอก าหนดทางกฎหมายและระเบยบปฏบตขอก าหนดทปรากฏในสญญาและขอก าหนดทางธรกจากการสญหาย การถกท าลายใหเสยหาย และการปลอมแปลง
A.18.1.4 Privacy and protection of protection of personally identifiable information
X ตองก าหนดใหมการปองกนขอมลสวนตวตามทระบหรอก าหนดไวในกฎหมาย ระเบยบปฏบต และขอสญญาทเกยวของ
A.18.1.5 Regulation of cryptographic controls
X ก าหนดใหใชมาตรการการเขารหสขอมลโดยยดถอตามระเบยบปฏบตขององคกร
A.18.2 Information security reviews A.18.2.1 Independent review of
information security X ก าหนดใหมการตรวจสอบการบรหารจดการการด าเนนงานและการปฏบตทเกยวของกบความ
มนคงปลอดภยโดยผตรวจสอบภายนอกทกป
111
ตำรำงท 5.1 Statement Of Applicability : SOA (ตอ) หวขอ หวเรอง การใชงาน การประยกตใช
A.18.2.2 Compliance with security policies and standards
X ก าหนดใหผบงคบบญชาคอยก ากบ ดแล และควบคมการปฏบตงานของผทอยใตการบงคบบญชาของตน ใหปฏบตตามขนตอนปฏบตทางดานความมนคงปลอดภยตามหนาทความรบผดชอบของตน ทงนเพอใหการปฏบตเปนไปตามนโยบายและมาตรฐานความมนคงปลอดภยขององคกร
A.18.2.3 Technical compliance review
X ก าหนดใหมการตรวจสอบระบบสารสนเทศอยางสม าเสมอเพอควบคมใหเปนไปตามมาตรฐานความมนคงปลอดภยทางเทคนคขององคกร
112
5.1 สรปผลในกำรด ำเนนงำนและปญหำทพบ หลงจากเสรจสนการด าเนนการประเมนและควบคมความเสยงในครงน ทางผจดท าไดรวบรวมปญหาทพบระหวางการด าเนนการ เชนตวแปรหรอระดบความเสยงในแตละประเภท รวมถงวธการอนใหไดมาซงระดบของความเสยง ยงไมครอบคลมในทกสวนของการด าเนนงานทงหมด
ทางผจดท าจงเลงเหนวาควรมการปรบปรงกระบวนการตางๆ เพอน าไปใชในการจดการความเสยงครงตอไปโดยอาศย แนวคดและวธการในการด าเนนการครงนเปนแมแบบในการด าเนนการครงถดไป
113
เอกสำรอำงอง [1] International Standard ISO/IEC 27001 Second Edition, 2013 ,Published in Switzerland, E-mail [email protected], www.iso.org [2] International Standard ISO/IEC 27002 Second Edition, 2013 ,Published in Switzerland, E-mail [email protected], www.iso.org [3] International Standard ISO/IEC 31000 First Edition, 2009
ก-1
ภาคผนวก ก
ตวอยางหลกฐานในการด าเนนงาน
ก-2
รปท ก.1 ตวอยางเอกสารยนยนความเขาใจรวมกนภายในทม
ก-3
รปท ก.2 ตวอยางเอกสารยนยนความเขาใจรวมกนระหวางทม
ก-4
รปท ก.3 ตวอยางเอกสารยนยนความเขาใจรวมกนระหวางบรษทและลกคา 1
ก-5
รปท ก.4 ตวอยางเอกสารยนยนความเขาใจรวมกนระหวางบรษทและลกคา 2
ก-6
รปท ก.5 ตวอยางเอกสารคมอการจดการกบทรพยสนและการตดตอกบภายนอก 1
ก-7
รปท ก.6 ตวอยางเอกสารคมอการจดการกบทรพยสนและการตดตอกบภายนอก 2
ก-8
รปท ก.7 ตวอยางเอกสารการควบคมการเปลยนแปลง 1
ก-9
รปท ก.8 ตวอยางเอกสารการควบคมการเปลยนแปลง 2
รปท ก.9 ตวอยางเอกสารการควบคมการเปลยนแปลง 3
ก-10
รปท ก.10 ตวอยางเอกสารการควบคมการเปลยนแปลง 4
ก-11
รปท ก.11 ตวอยางการตดตามขาวสารความปลอดภยกบหนวยงานภายนอก 1
ก-12
รปท ก.12 ตวอยางการตดตามขาวสารความปลอดภยกบหนวยงานภายนอก 2
ก-13
รปท ก.13 ตวอยางการอบรมเพอใหความรอยางตอเนองเปนประจ า