Ornpawee Aksornkhajitpong...โครงงานการจ ดท านโยบายความม นคงปลอดภ ยสารสนเทศ และการบร

การจดท านโยบายความมนคงปลอดภยสารสนเทศ

และการบรหารความเสยงกรณศกษาระบบสารสนเทศโรงเรยนมธยมวดดานส าโรง

Information System Security Policy and Risk Management

Case Study for MatthayomWatdansamrong School

อรปวณ อกษรขจตพงศ

Ornpawee Aksornkhajitpong

สารนพนธฉบบนเปนสวนหนงของการศกษา

หลกสตรวทยาศาสตรมหาบณฑต สาขาวชาเทคโนโลยสารสนเทศ

คณะวทยาการและเทคโนโลยสารสนเทศ

มหาวทยาลยเทคโนโลยมหานคร

ปการศกษา 2558

I

หวขอโครงงาน การจดท านโยบายความมนคงปลอดภยสารสนเทศ และการบรหาร

ความเสยง กรณศกษา ระบบสารสนเทศโรงเรยนมธยมวดดานส าโรง

Information System Security Policy and Risk Management

Case Study for Matthayom Watdansamrong School

ชอนกศกษา นางสาว อรปวณ อกษรขจตพงศ

รหสนกศกษา 5717670011

หลกสตร วทยาศาสตรมหาบณฑต สาขาเทคโนโลยสารสนเทศ

ปการศกษา 2558

อาจารยทปรกษา ผศ.ดร.พนม เพชรจตพร

ดร.บรรจง หะรงษ

บทคดยอ

โครงงานการจดท านโยบายความมนคงปลอดภยสารสนเทศ และการบรหารความเสยง

น จดท าขนโดยมวตถประสงคเพอพฒนาแนวทางนโยบายความมนคงปลอดภยสารสนเทศ เพอ

กบใชกบองคกรดานการศกษา เปนการน าเอานโยบายความมนคงปลอดภยสารสนเทศ ภายใต

มาตรฐาน ISO27001:2013 เขามาปรบใช ท าการประเมนความเสยง (Risk Assessment) และ

จดท าแผนลดความเสยงส าหรบใชในองคกร เพอใหมการจดการกบระบบงานสารสนเทศ การ

ด าเนนงานเปนไปอยางมประสทธภาพ มแบบแผน และไดรบประโยชนสงสด

II

กตตกรรมประกาศ

ผจดท ำขอขอบคณทำนผศ.ดร.พนม เพชรจตพรอาจารย และ ดร.บรรจง หะรงษทได

สละเวลาอนมคาเปนอาจารยทปรกษาโครงงานนทไดใหค าแนะน า ขอคดเหนตางๆ รวมทงไดสง

สอน ฝกฝนผจดท า รวมทงตองขอขอบคณ โรงเรยนมธยมวดดานส าโรง ทไดอนญาตใหผจดท า

ไดเขาไปศกษาขอมลของหนวยงาน เพอน าขอมลทไดมาวเคราะห จดท าแผนงาน ขอขอบคณ

คณะคณาจารยสาขาวชาเทคโนโลยสารสนเทศ มหาวทยาลยเทคโนโลยมหานคร ทกทานทได

ใหความร ค าแนะน าแกขาพเจา จนสามารถจดท าโครงงานนขนมาจนเสรจสมบรณ

อรปวณ อกษรขจตพงศ

ตลาคม 2558

III

สารบญ หนา

บทคดยอ ……………………………………………………………………………………………I

กตตกรรมประกาศ…………………………………………………….……………………………II

สารบญ……………………………………………………………………………………………..III

สารบญรป………………………………………………………………………………….………VI

สารบญตาราง…………………………………………………………………………….……….VII

บทท 1 บทน า………………………………………………………………………………………1

1.1 ปญหาและแรงจงใจ……………………………………………….……………….….1

1.2 การด าเนนการ……………………………………………………………….….…....1

1.3 วตถประสงค……………………………...………………………………………..….2

1.4 ภาพรวมของโครงงาน………………………………………………………………...2

1.5 ขอบเขต……………………………………………..……………………………......3

1.6 ประโยชนทคาดวาจะไดรบ…………………………..……………………………….4

1.7 โครงสรางของโครงงาน……………………………....………………………….…...5

บทท 2 พนฐานและทฤษฎทเกยวของ……………………………………………………………..6

2.1 ระบบบรหารจดการความมนคงปลอดภยสารสนเทศ (ISMS).……………………..6

2.2 มาตรฐาน ISO/IEC 27001:2013………………………………………………….…7

2.3 มาตรฐานการจดการความมนคงปลอดภยส าหรบสารสนเทศ………………….....12

2.4 การบรหารจดการความเสยง (Risk Management)…………………...……….….14

IV

สารบญ (ตอ)

หนา

2.5 ความมนคงปลอดภยของสารสนเทศ (Information Security)………...……….….15

2.6 พ.ร.บ.วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550…….…….….17

บทท 3 การด าเนนงาน……………………………………………………………………………19

3.1 ขนตอนในการด าเนนงาน……………………………………………….....……….19

3.2 ก าหนดขอบเขตในการดาเนนการดานความมนคงปลอดภยสารสนเทศ………….20

3.3 ขอมลทรพยสนขององคกร……………………………….……………….………...21

3.4 เกณฑการประเมน……………………………….…….……………………………24

3.5 สรปทายบท………………………………..……………….………………………..28

บทท 4 ผลการด าเนนงาน…………………………………………….……………………….....29

4.1 บทน า…………………………………………………………….………..………...29

4.2 วเคราะหปญหาขอระบบสารสนเทศในองคกรดวยผงกางปลา…………..….….....29

4.3 การประเมนความเสยงกอนการบรหารจดการความเสยง…………………………30

4.4 สรปจ านวนความเสยงกอนการบรหารจดการความเสยง………………………….55

4.5 แนวทางในการจดการความเสยงเพอลดความเสยงของระบบสารสนเทศ…….….56

4.6 การประเมนความเสยงหลงการบรหารจดการความเสยง………………………….66

4.7 สรปจ านวนความเสยงหลงการบรหารจดการความเสยง………………………….91

บทท 5 สรปผลการด าเนนงาน………………………………………..…………….……………92

5.1 สรปผลการด าเนนโครงงาน………………………………………….……………...92

V

สารบญ (ตอ)

หนา

5.2 ขอเสนอแนะ………………………………………….……………………………...………..93

เอกสารอางอง…………………………………………….……………………………………….94

ภาคผนวก ก เอกสารขออนญาตองคกรกรณศกษาในการท าวจย……………………..ก-1 – ก-2

ภาคผนวก ข เอกสารระบการปฏบตตามหลกการควบคม.……………………………ข-1 – ข-16

ทางดานความมนคงปลอดภยมาตรฐานISO/IEC27001:2013

ภาคผนวก ค เอกสารแนวทางปฏบตดานความมนคงปลอดภย……………………...ค-1 – ค121

ในการใชงานเทคโนโลยสารสนเทศ

ภาคผนวก ง เอกสารการรองขอฝายสารสนเทศ…………..………………………….....ง-1 – ง-4

ภาคผนวก จ ระเบยบวาดวยการใชงานระบบเครอขายคอมพวเตอรขององคกร……....จ-1 – จ-7

VI

สารบญรป หนา

รปท 1.1 โครงสรางการบรหาร…………………………………………………………………….3

รปท 2.1 Process-based approach………………………………………………………………7

รปท 2.2 องคประกอบของความมนคงปลอดภยของสารสนเทศ……………………………….16

รปท 2.3 ความสมพนธระหวางภยคกคาม ชองโหว และทรพยสน……………………..………17

รปท 3.1 ขนตอนการด าเนนงาน…………………………………………………………………19

รปท 3.2 Network Diagram……………………………………………………………………...21

รปท 4.1ปญหาของระบบสารสนเทศในองคกร………………………………………..…………29

รปท 5.1สรปผลการประเมนความเสยง………………………………………………….………92

VII

สารบญตาราง หนา

ตารางท 3.1 ตารางแสดงทรพยสน (Asset Inventory) …………………………………………22

ตารางท 3.2 ตารางประเมนความรนแรงของผลกระทบ(Impact) ……………………………...24

ตารางท 3.3 ตารางประเมนโอกาสทจะเกดความเสยง (Likelihood) …………………………..25

ตารางท 3.4 ระดบความเสยง (Risk Value) ……………………………………………………26

ตารางท 3.5 ตารางประเมนระดบความเสยง (Risk Assessment Matrix) ……………………27

ตารางท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง……...………30

ตารางท 4.2 ตารางสรปจ านวนความเสยงทพบ…………………………………………………55

ตารางท 4.3 แนวทางในการจดการความเสยงเพอลดความเสยงของระบบสารสนเทศ……….56

ตารางท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง………..……..66

ตารางท 4.5 ตารางสรปจานวนความเสยงทหลงเหลอ.....………………………………………91

1

บทท1

บทน ำ

1.1ปญหำและแรงจงใจ

ในปจจบนองคกรตางๆทงภาครฐและภาคเอกชน ลวนน าเอาเทคโนโลยสารสนเทศเขามาเปนเครองมอในการบรหารจดการงานทงภายใน และการตดตอสอสารกบองคกรภายนอกเพอเปนการอ านวยความสะดวก ถกตอง รวดเรว และมประสทธภาพ

โรงเรยนมธยมวดดานส าโรง ไดมการน าระบบสารสนเทศเขามาใชในการด าเนนงานภายในโรงเรยน เชน ส าหรบจดการเรยนการสอนคอมพวเตอร ระบบคอมพวเตอรส าหรบจดเกบขอมลนกเรยน เปนตน และการด าเนนงานกบองคกรภายนอก เชน ระบบจดซอจดจาง ระบบการสงเอกสารไปยงหนวยงานส านกงานคณะกรรมการการศกษาขนพนฐาน ซงระบบงานสารสนเทศของโรงเรยน ยงไมมนโยบายความมนคงปลอดภยสารสนเทศทเปนมาตรฐานเขามาก าหนดและปรบใช

ในปจจบนมภยคกคามทางเทคโนโลยสารสนเทศเกดขนไดในหลายๆชองทาง ดงนนเพอใหมความมนคงปลอดภยของระบบ จงควรน านโยบายความมนคงปลอดภยระบบสารสนเทศมาใชในการบรหารงานใหเกดเสถยรภาพ และภาพลกษณความเชอมนทดตอองคกร

ผจดท าโครงงานจงด าเนนการพฒนานโยบายความมนคงปลอดภยทางดานเทคโนโลยสารสนเทศ ตามมาตรฐาน ISO/IEC27001:2013 เพอก าหนดนโยบายความมนคงปลอดภย และประเมนความเสยงของระบบ ท าใหการด าเนนงานขององคกรเปนไปอยางมประสทธภาพสงสด

1.2กำรด ำเนนกำร

โครงงานนเปนการน านโยบายความมนคงปลอดภยเทคโนโลยสารสนเทศมาตรฐาน ISO/IEC 27001:2013 เขามาปรบใชในการจดการระบบสารสนเทศของโรงเรยนมธยมวดดานส าโรง โดยก าหนดขอบเขตดงน

1.2.1ศกษาระบบการท างานในสวนของระบบเทคโนโลยสารสนเทศ ท าการบนทกขอมล และวเคราะหความเสยงของระบบ เพอน ามาปรบปรงแกไขใหเปนไปตามมาตรฐาน

1.2.2ก าหนดนโยบายความมนคงปลอดภย อางองตามมาตรฐาน ISO/IEC 27001:2013 เพอปรบใชในหนวยงาน เพอใหเจาหนาท ผทใชงานระบบร และเขาใจอยางถกตอง

2

1.2.3ประกาศใชนโยบายความมนคงปลอดภย อางองตามมาตรฐาน ISO/IEC 27001:2013

1.3วตถประสงค

1.3.1เพอพฒนานโยบายความมนคงปลอดภยเทคโนโลยสารสนเทศใหกบองคกร โดยอางองตามมาตรฐานISO/IEC 27001:2013

1.3.2เพอประเมนความเสยง (Risk Assessment) หาขอบกพรองของระบบงานสารสนเทศทอาจเกดขนกบระบบ และสงผลตอการท างาน

1.3.3เพอใหบคลากรทตองปฏบตงานกบเทคโนโลยสารสนเทศ มความรความเขาใจ และปฏบตงานไดอยางถกตองตามนโยบายทไดจดท าขนโดยอางองตามมาตรฐาน ISO/IEC 27001:2013

1.3.4เพอใหระบบงานสารสนเทศขององคกรเปนไปตามมาตรฐานISO/IEC 27001:2013

1.3.5เพอสรางภาพลกษณทด และใหองคกรมความนาเชอถอ

1.4ภำพรวมของโครงงำน

1.4.1ภมหลงขององคกร

โรงเรยนมธยมวดดานส าโรง กอตงขนดวยความรวมมอของพระคณทานพระสมทรเมธาจารย อดตเจาอาวาสวดดานส าโรงในขณะนน เรมเปดเรยนครงแรก เมอวนท 03 กนยายน พ.ศ. 2500 สถานทตงโรงเรยน เลขท 973 หม 8 ต.ส าโรงเหนอ อ.เมอง จ.สมทรปราการ 10270. ปจจบนสงกดส านกงานเขตพนทการศกษาขนพนฐาน กระทรวงศกษาธการ เปดสอน ระดบชนมธยมศกษาตอนตน(มธยมศกษาปท1) ถงมธยมศกษาตอนปลาย(มธยมศกษาปท6) ปจจบนมจ านวนนกเรยน 1,871 คน คร 75 คน บคลากรทางการศกษา 36 คน ลกจางประจ า 6 คน จ านวนหองเรยน 56 หอง

ในปจจบนมการน าเทคโนโลยสารสนเทศเขามาใชในการด าเนนงาน และในดานการเรยนการสอน เพอเปนการเพมประสทธภาพในการด าเนนงาน ใหมความถกตอง สะดวกรวดเรว และเปนระบบทตรวจสอบได แตยงไมมการน านโยบายดานความมนคงปลอดภยของระบบสารสนเทศทเปนลายลกษณอกษรเขามาใช เปนเพยงการใชงานทวๆไปเทานน ผจดท าโครงงานไดเหนถงความส าคญของระบบสารสนเทศ จงมความสนใจอยางยงทจะด าเนนการจดท านโยบายดานความมนคงปลอดภยของระบบสารสนเทศ ส าหรบระบบงานสารสนเทศของโรงเรยนมธยมวดดานส าโรงขน เพอใหเกดเปนแผนงาน และเปนมาตรฐานส าหรบประกาศใชตอไป

3

1.4.2โครงสรางการบรหาร โรงเรยนมธยมวดดานส าโรง แบงโครงสรางการบรการออกเปนแตละฝาย ดงน

รปท 1.1 โครงสรางการบรหาร

1.5.ขอบเขต

1.5.1 ขอบเขตโครงงาน1

1.5.1.1 ศกษามาตรฐาน ISO/IEC 27001:2013 และกฎหมายทเกยวของกบเทคโนโลยสารสนเทศ

a) ระบบรหารจดการความมนคงปลอดภยสารสนเทศ (ISMS)

b) ความมนคงปลอดภยของสารสนเทศ

c) การประเมนความเสยงของสารสนเทศ (Information Security Risk Assessment)

1.5.1.2พระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ.2550

a) ศกษาระบบเทคโนโลยสารสนเทศขององคกร

b) ประเมนความเสยงของระบบสารสนเทศขององคกร

c) ก าหนดขอบเขตสวนงาน

d) ก าหนดรปแบบการประเมนความเสยง

e) วเคราะหประเมนความเสยง

1.5.1.3 ก าหนดแนวทางในการจดการความเสยงเพอลดความเสยงของระบบสารสนเทศ

4

1.5.2 ขอบเขตโครงงาน2

1.5.2.1 ประเมนความเสยงหลงจากการจดท าแผนลดความเสยงเพอรายงานความเสยงทยงหลงเหลอ

1.5.2.2 จดท าเอกสารแสดงการใชมาตรฐานตามหลกการควบคม Statement of Applicability (SOA)

1.5.2.3 จดท าสรปผลการด าเนนโครงการ

1.6ประโยชนทคำดวำจะไดรบ

1.6.1 ระบบงานสารสนเทศขององคกรเปนไปตามมาตรฐาน ISO/IEC 27001:2013

1.6.2 องคกรมแผนการจดการความเสยงทอาจเกดขนเพอเตรยมรบมอ และแกไขไดทนทวงท

1.6.3 เจาหนาท ผใชงานระบบ มความรความเขาใจ และปฏบตงานไดอยางถกตองเปนมาตรฐานเดยวกน

5

1.7โครงสรำงของโครงงำน

บทท 1 บทน า เปนการกลาวถงรายละเอยดของการท าโครงงาน กลาวถงแรงจงใจ ปญหา และวตถประสงค ภมหลงขององคกรกรณศกษา และขอบเขตของโครงงาน

บทท 2 ทฤษฏทเกยวของ กลาวถงทฤษฏระบบบรหารจดการความมนคงปลอดภยสารสนเทศ มาตรฐาน ISO/IEC 27001:2013 การบรหารจดการความเสยง และพระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550

บทท 3 การด าเนนงาน กลาวถง ขนตอนในการด าเนน ขอมลทรพยสนขององคกร และเกณฑการประเมนความเสยงตางๆ

บทท 4 ผลการด าเนนงาน กลาวถง ปญหาของระบบสารสนเทศในองคกร ทวเคราะหออกมาในรปของแผนผงกางปลา การประเมนความเสยงระบบสารสนเทศกอนการบรหารจดการความเสยง แนวทางในการจดการความเสยงเพอลดความเสยงของระบบสารสนเทศ และการประเมนความเสยงระบบสารสนเทศหลงการบรหารจดการความเสยง

บทท5 สรปผลการด าเนนงาน กลาวถง ผลสรปการประเมนความเสยงกอนและหลงด าเนนการ หลงจากทไดด าเนนงานแลว

6

บทท 2

ทฤษฏทเกยวของ

2.1 ระบบบรหำรจดกำรควำมมนคงปลอดภยสำรสนเทศ (ISMS)

ศนยเทคโนโลยสารสนเทศและการสอสาร ส านกงานปลดกระทรวงยตธรรม[1] ไดใหขอมลวา ISO/IEC 27001 (International Organization for Standardization) พฒนามาจากมาตรฐาน BS7799 British standard ทก าหนดมาตงแตป 1993 ของรฐบาลองกฤษ ในป 1995 ไดประกาศมาตรฐาน BS7799 Part 1 (Code of practice for information security management) และไดเพมมาตรฐาน BS7799 Part 2 (Specification for information security management system : ISMS)

ในป ค.ศ. 2000 มการปรบปรงมาตรฐาน BS7799 Part 1 เปน ISO/IEC 17799 : 2000 และตอมาในป ค.ศ. 2005 ไดพฒนามาตรฐาน BS7799 Part 2 เปน ISO/IEC 27001 : 2005 ในขณะเดยวกน กมการปรบปรงมาตรฐาน ISO/IEC 17799 ใหม และเปลยนเวอรชนเปน ISO/IEC 27002

ในเดอน กนยายน ค.ศ. 2013 ไดมการปรบปรงมาตรฐาน ISO/IEC 27001 : 2005 เปน ISO/IEC 27001 : 2013 และ ISO/IEC 27002 : 2013 โดยมวตถประสงคหลกเพอปรบปรงเนอหาใหสอดรบกบเทคโนโลย และการใชงานสารสนเทศในปจจบน มการแกไขเนอหาในสวนทไมชดเจน เพอเพมความยดหยนในการน าไปใชจรง รวมถงปรบโครงสรางใหเปนไปตามขอก าหนดของ Annex SL ซงเปนขอก าหนดของ ISO วาดวยโครงสราง และเนอหาทสอดคลองกน ส าหรบมาตรฐานสากลฉบบใหมๆ

Information Security Management System (ISMS) Standard หรอทรจกกนในนาม ISO27001 เปนมาตรฐานสากลทเกยวการกบบรหารจดการขอมลสารสนเทศใหมความมนคงปลอดภย เปนการจดการทงในสวนของผใชงาน สารสนเทศ กฎระเบยบตางๆ เปนตน

เนนใหความส าคญกบกระบวนการท างาน ยดหลกการเชงกระบวนการ Process-based approach มการจ าแนกกระบวนการออกเปน 3 สวน

สวนท 1 ปจจยน าเขา (Input) ตองมความถกตองเหมาะสม

สวนท 2 กระบวนการ (Process) มแผนการควบคมชดเจน

สวนท 3 ผลลพธ (Output) ไดผลลพธตามทคาดหวง และมการควบคมการเปลยนแปลงตางๆ ทอาจสงผลตอกระบวนการ

7

2.1.1 ประโยชนของ ISO/IEC 27001

2.1.1.1 ระบความเสยง และการเขาควบคมการจดการเพอลดความเสยง

2.1.1.2 น าความยดหยนเขามามบทบาทในการควบคม หรอพฒนาธรกจ

2.1.1.3 ไดรบความไววางใจจากองคกรภายนอกดานความปลอดภยของขอมล

รปท 2.1 Process-based approach

2.2 มำตรฐำน ISO/IEC 27001:2013

มาตรฐาน ISO/IEC 27001:2013 เปนมาตรฐานสากลจดท าขนเพอตอบสนองความตองการส าหรบการสรางความตอเนองของการปรบปรงระบบการจดการความปลอดภยสารสนเทศใหเปนทยอมรบในระดบสากล

ระบบการจดการความปลอดภยของสารสนเทศ คอการตดสนใจในเชงกลยทธขององคกร และการด าเนนงานระบบการจดการความปลอดภยสารสนเทศทตอบสนองความตองการ และวตถประสงคความปลอดภยขององคกร ซงปจจยเหลานมการเปลยนแปลงอยตลอดเวลา

ระบบการจดการความปลอดภยสารสนเทศจะมการเกบรกษาความลบ โดยการใชกระบวนการบรหารความเสยง และใหความมนใจไดวาความเสยงจะมการจดการอยางเหมาะสม การจดการความปลอดภยของขอมล เปนสวนหนงของกระบวนการจดการโดยรวมของโครงสรางองคกร

8

ขอก าหนดทตองปฏบตในการขอรบรองตามมาตรฐาน ISO/IEC 27001 : 2013 มดงน

2.2.1 บรบทขององคกร (Context of the organization)

2.2.1.1 การท าความเขาใจองคกร และบรบทขององคกร องคกรตองก าหนดประเดนภายนอก และภายในทเกยวของ ทสงผลกระทบตอระบบการจดการความปลอดภยสารสนเทศ

2.2.1.2 การท าความเขาใจกบความตองการ และความคาดหวงทของผเกยวของ องคกรตองก าหนด ผทเกยวของ เปนผทเกยวของกบระบบบรหารจดการความมนคงปลอดภยสารสนเทศ และความตองการทเกยวของกบการรกษาความปลอดภย

2.2.1.3 การก าหนดขอบเขตของระบบการจดการความปลอดภยสารสนเทศ องคกรตองก าหนดกรอบ และการบงคบใชการรกษาความปลอดภยของสารสนเทศ

การก าหนดขอบเขต องคกรตองพจารณาถง

a) ปญหาภายใน และปญหาภายนอกองคกร

b) ความตองการ ความคาดหวง

c) การอางองถงกจกรรมทด าเนนการโดยองคกร และผทมสวนเกยวของโดยเปนองคกรจากภายนอก

2.2.1.4 ระบบการจดการความมนคงปลอดภยสารสนเทศ องคกรตองด าเนนการรกษา และปรบรงความปลอดภยของสารสนเทศอยางตอเนอง โดยด าเนนการใหสอดคลองกบมาตรฐานISO/IEC 27001:2013น

2.2.2 ภาวะผน า (Leadership)

2.2.2.1 สภาวะของผน า (Leadership and commitment) ผบรหารระดบสงตองแสดงความเปนผน าในการด าเนนการเกยวกบระบบการจดการความปลอดภยโดย

a) ก าหนดนโยบายความปลอดภยสารสนเทศ และวตถประสงคของการรกษาความปลอดภยสารสนเทศ ใหไปในทศทางเดยวกนกบกลยทธขององคกร

b) ก าหนดความตองการของระบบการจดการความปลอดภยสารสนเทศใหสอดคลองกบกระบวนการขององคกร

c) ท าใหมทรพยากรทจ าเปนส าหรบระบบการจดการความปลอดภยสารสนเทศใชในก าด าเนนการ

9

d) แสดงใหเหนถงความส าคญของการจดการความปลอดภยสารสนเทศทมประสทธภาพ และสอดคลองกบความตองการของระบบการจดการความปลอดภยสารสนเทศ

e) แสดงใหเหนวาระบบการจดการความปลอดภยสารสนเทศบรรลวตถประสงคทตองการ

f) จดการสงเสรม สนบสนนบคลากรเพอใหเกดความสมฤทธผลของระบบบรหารจดการความมนคงปลอดภยสารสนเทศ

g) จดการสงเสรมใหมการพฒนาอยางตอเนอง

2.2.2.2 นโยบาย (Policy) ผบรหารระดบสง ตองก าหนดนโยบายความมนคงปลอดภยสารสนเทศ

2.2.2.3 บทบาทหนาทความรบผดชอบ และอ านาจหนาท (Organizational roles, responsibilities and authorities) ผบรหารระดบสงตองรบผดชอบตามบทบาททเกยวของ มการมอบหมาย และแจงใหทราบ ตองมการมอบหมายหนาทความรบผดชอบ

2.2.3 การวางแผน (Planning)

2.2.3.1 การด าเนนการจดการกบความเสยง และโอกาสทจะเกด

a) ภาพรวม เมอวางแผนระบบการจดการความปลอดภยสารสนเทศ จะตองพจารณาประเดนภายในและภายนอก ความตองการ และตองก าหนดความเสยงทจ าเปนตองจดการเพอใหระบบการจดการความปลอดภยสารสนเทศทจดท าบรรลวตถประสงค ปองกน หรอลดผลกระทบทไมพงประสงค มการปรบปรงอยางตอเนอง

2.2.3.2 การประเมนความเสยงดานความปลอดภยสารสนเทศ (Information security risk assessment) องคกรตองก าหนดขนตอนการประเมนความเสยงของสารสนเทศ ดงน

a) ก าหนดเกณฑความเสยงดานความมนคงปลอดภยสารสนเทศ รวมถงเกณฑการยอมารบความเสยง และเกณฑส าหรบประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ

b) ท าใหการประเมนความเสยงไดผลการประเมนทสอดคลองกน ถกตอง และเปรยบเทยบได

c) มการระบความเสยงการรกษาความปลอดภยสารสนเทศ

10

d) ระบความเสยงทเกยวของกบการสญเสยความลบ ความถกตอง และความพรอมใชของสารสนเทศ

e) มการวเคราะหความเสยงดานความมนคงปลอดภยสารสนเทศ เพอประเมนหาเหตผลของการเกดขนจรง ประเมนโอกาสทจะเกดขน และก าหนดระดบความเสยง

f) มการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ เปรยบเทยบผลการวเคราะหความเสยงกบเกณฑทก าหนดไวและจดล าดบความเสยงเพอการจดการทเหมาะสม

2.2.3.3 การจดการความเสยงดานความมนคงปลอดภยสารสนเทศ (Information security risk treatment) องคกรตองก าหนด และประยกตใชกระบวนการรกษาความปลอดภยสารสนเทศ โดย

a) เลอกใชวธการรกษาความปลอดภยสารสนเทศทเหมาะสม

b) ก าหนดมาตรการทจ าเปนเพอด าเนนการตามทางเลอกใหเหมาะสม

2.2.3.4 วตถประสงคของการรกษาความปลอดภยขอมล และการวางแผนงานเพอใหบรรลวตถประสงค องคกรตองก าหนดวตถประสงคการรกษาความปลอดภยสารสนเทศทเกยวของ โดยก าหนดใหสอดคลองกบนโยบาย สามารถวดได มการประเมนความเสยง และการจดการกบความเสยงอยางเหมาะสม เมอวางแผนวธการบรรลวตถประสงคดานความมนคงปลอดภยสารสนเทศแลว องคกรตองก าหนด สงทตองด าเนนการ ทรพยากรทตองใช ผรบผดชอบสนการด าเนนการ ระยะเวลาในการด าเนนการ และวธการประเมนผลการปฏบต

2.2.4 การสนบสนน (Support)

2.2.4.1 ทรพยากร (Resources) องคกรตองก าหนด ใหทรพยากรทจ าเปนส าหรบลงมอปฏบต บ ารงรกษา และการปรบปรงอยางตอเนองตอระบบบรหารจดการความมนคงปลอดภยสารสนเทศ

2.2.4.2 สมรรนะ (Competence) องคกรตองก าหนดสมรรถนะของบคลากรทท างานในองคกร ท าใหบคลากรเหลานมความสามารถ ด าเนนการตามความเหมาะสมเพอใหไดมาซงสมรรถนะทจ าเปน และท าการประเมนผลสมฤทธ และจดเกบสารสนเทศอยางเหมาะสมเปนลายลกษณอกษร

2.2.4.3 การสรางความตระหนก (Awareness) บคคลากรทท างานภายในการควบคมดแลขององคกรตองตระหนกถง นโยบายความมนคงปลอดภยสสารสนเทศขององคกร และความมสวนในความสมฤทธผลของการบรหารจดการความมนคงปลอดภยสารสนเทศ

11

2.2.4.4 การสอสารใหทราบ (Communication) องคกรตองสอสารใหทราบทงภายใน และภายนอกเกยวกบระบบบรหารจดการความมนคงปลอดภยสารสนเทศ รวมถง

2.2.4.5 สารสนเทศทเปนลายลกษณอกษร (Document information) ระบบบรการจดการความมนคงปลอดภยสารสนเทศตองรวมถงสารสนเทศทเปนลายลกษณอกษรทก าหนดโดยมาตรฐานน และสารสนเทศทเปนลายลกษณอกษรทถกก าหนดโดยองคกรเอง การปรบปรงสารสนเทศทเปนลายลกษณอกษรตองมระบบจดการบรหาร สารสนเทศตองมการควบคมการเขาถงอยางเหมาะสมส าหรบการใชงาน และตองไดรบการปองกนอยางเพยงพอ เชนจากการสญเสยความลบ การใชงานไมเหมาะสม เปนตน

2.2.5 การด าเนนการ (Operation)

2.2.5.1 การวางแผนทเกยวของกบการด าเนนการ และการควบคม (Operational planning and control) องคกรตองมการวางแผน และควบคมเพอใหสอดคลองกบความตองการดานความมนคงปลอดภยสารสนเทศ ตองมการควบคมการเปลยนแปลงทมการวางแผนไวแลวลวงหนา และทบทวนผลของการเปลยนแปลงทเกดขนอยางไมไดตงใจ

2.2.5.2 การประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (Information security risk assessment) ตองด าเนนการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศตามระยะเวลาทไดก าหนดไว หรอเมอมการเปลยนแปลงเกดขน และตองมการจดเกบสารสนเทศทเปนลายลกษณอกษร

2.2.5.3 การจดการความเสยงดานความมนคงปลอดภยสารสนเทศ (Information security risk treatment) ตองปฏบตตามแผนการจดการ และตองมการจดเกบสารสนเทศทเปนลายลกษณอกษร

2.2.6 การประเมนประสทธภาพและประสทธผล (Performance evaluation)

2.2.6.1 การตดตาม การวเคราะห และการประเมนผล ตองมการประเมนประสทธภาพ ประสทธผล และความไดผลของระบบการบรหารจดการความมนคงปลอดภยสารสนเทศ ตองมการก าหนดวาอะไรทจ าเปนในการวดผล รวมถงกระบวนการ และมาตรการดานความมนคงปลอดภยสารสนเทศ วธการในการเฝาระวง วดผล วเคราะห และประเมน เพอใหไดผลการประเมนทถกตอง

2.2.6.2 การตรวจประเมนภายในตองมการตรวจประเมนภายในตามรอบระยะเวลาทไดก าหนดไว โดยตองใหสอดคลองกบความตองการขององคกร และขอก าหนดของมาตรฐานนองคกรตองมการวางแผน ก าหนด ลงมอปฏบต และบ ารงรกษาโปรแกรมการตรวจประเมน รวมถงหนาทความรบผดชอบทไดวางแผนไว การรายงานผล ตองมการน าผลการตรวจประเมนครงกอนมาพจารณาดวย ตองมการก าหนดเกณฑการตรวจประเมนในแตละครง เลอก

12

ผตรวจประเมนทมความเปนกลาง ท ารายงานผลของการตรวจประเมนรายงานไปยงผบรหารทเกยวของ มการจดเกบสารสนเทศทเปนลายลกษณอกษรเพอใหเปนหลกฐานในการแสดงวามการตรวจ และประเมนผล

2.2.6.3 การทบทวนของผบรหาร ผบรหารระดบสงตองทบทวนระบบบรหารจดการความมนคงปลอภยสารสนเทศตามรอบระยะเวลาทก าหนดไวเพอใหมความเหมาะสมเพยงพอ และความสมฤทธผล

2.2.7 การปรบปรง (Improvement)

2.2.7.1 ความไมสอดคลองและการด าเนนการแกไข ความไมสอดคลองทเกดขน ตองตอบกลบตอความไมสอดคลองนนอยางเหมาะสม มการด าเนนการควบคม และแกไขจดการกบผลทเกดขน มการด าเนนการแกไขทจ าเปน ทบทวนความสมฤทธของการด าเนนการแกไขทไดท าไป และองคกรจะตองจดเกบสารสนเทศทเปนลายลกษณอกษรเพอใชเปนหลกฐาน

2.2.7.2 การปรบปรงอยางตอเนอง ตองมการปรบปรงความเหมาะสม เพยงพอ และความสมฤทธผลของระบบอยางตอเนอง

2.3 มำตรฐำนกำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ

หลกการควบคมทถกระบไวในมาตรฐาน ISO/IEC 27002 : 2013 ขอ A.5-A.18 รายละเอยดดงน

A.5 นโยบายความมนคงปลอดภยสารสนเทศ (Information Security Policy) เพอเปนการก าหนดทศทางการบรหารจดการและการสนบสนนวามมนคงปลอดภยสารสนเทศโดยสอดคลองกบธรกจ และกฎหมาย

A.6 โครงสรางความมนคงปลอดภยสารสนเทศ (Organization of Information Security) เปนการก าหนดกรอบของการบรหารจดการ การแบงแยกหนาทความรบผดชอบโดยไมใหขดกนตอการปฏบตงาน

A.7 ความมนคงปลอดภยส าหรบทรพยากรบคคล (Human Resource Security) เกยวกบการทใหพนกงานเขาใจในหนาทและความรบผดชอบของตนเอง เชน ตองมการคดเลอกบคลากรโดยใหสอดคลองกบกฎหมาย การท าขอตกลงในการขางงานตองมการจดท าใหเปนลายลกษณอกษร

13

A.8 การบรหารจดการทรพยสน (Asset management) เปนการระบทรพยสนขององคกร และก าหนดหนาทความรบผดชอบในการปองกนทรพยสนอยางเหมาะสม การระบผถอครองทรพยสนตองมการจดท า และปรบปรงขอมลใหทนสมยอยเสมอ

A.9 การควบคมการเขาถง (Access control) เปนการจดการควบคมการเขาถงของสารสนเทศในองคกร การเขาถงเครอขาย และระบบเครอขาย การบรหารจดการสทธผใชงาน เปนตน

A.10 การเขารหสขอมล (Cryptography) เพอเปนการปองกนความลบ การเปลยนแปลงของขอมลสารสนเทศอยางเหมาะสม

A.11ความมนคงปลอดภยทางกายภาพและสภาวะแวดลอม (Physical and environmental security) เพอปองกนการเขาถงทางกายภาพโดยไมไดรบอนญาต ความเสยหาย การแทรกแซงตอระบบสารสนเทศ เชน ตองมการก าหนดขอบเขตบรเวณพนททตองด าเนนการรกษาความปลอดภย ทประกอบไปดวยอปกรณสารสนเทศทมความส าคญ

A.12 ความมนคงปลอดภยส าหรบการด าเนนงาน (Operations security) เปนมาตรการเพอใหการด าเนนงานเปนไปอยางเหมาะสม และถกตอง ตองมการจดท าขนตอนการปฏบตงานใหเปนลายลกษณอกษร และผทจ าเปนตองใชงานสามารถเขาถงขอมลได

A.13 ความมนคงปลอดภยส าหรบการสอสารขอมล (Communications security) เกยวกบการปองกนสารสนเทศในเครอขาย และอปกรณประมวลผลสารสนเทศใหมความมนคงปลอดภย เชน การถายโอนสารสนเทศ ทงภายในและภายนอกองคกร

A.14 การจดหา การพฒนา และการบ ารงรกษาระบบ (System acquisition, development and maintenance) เพอใหสารสนเทศเปนองคประกอบทส าคญ รวมถงความตองการดานระบบ ทมการใหบรการผานเครอขาย

A.15 ความสมพนธกบผใหบรการภายนอก (Supplier relationships) เพอเปนการปองกนทรพยสนขององคกรจากผใหบรการภายนอก ตองมการก าหนด ตกลง และจดท าเปนลายลกษณอกษร

A.16 การบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ (Information security incident management) เพอใหมวธการทสอดคลองและไดผล ส าหรบการบรหารจดการ ตองมการก าหนดใหมการตอบสนองอยางรวดเรว มการรายงานจดออนของสารสนเทศอยางรวดเรวเพอท าการประเมนและตดสนใจตอสถานการณความมนคงปลอดภยสารสนเทศ

A.17 ประเดนดานความมนคงปลอดภยสารสนเทศของการบรหารจดการเพอสรางความตอเนองทางธรกจ (Information security aspects of business continuity management) เปน

14

การก าหนดความตองการดานความมนคงปลอดภย ในดานสถานการณความเสยหายทเกดขน เชน ในชวยทเกดวกฤต หรอภยพบต รวมถงมการทบทวน ตรวจสอบความตอเนองดานความมนคงปลอดภยสารสนเทศ

A.18 ความสอดคลอง (Compliance) เพอหลกเลยงขอผกพนทางกฎหมาย ขอบงคบ หรอสญญาจางทเกยวของกบความมนคงปลอดภยสารสนเทศ เชน ตองระบกฎหมายลงในสญญาจางทเกยวของ ตองมการระบอยางชดเจนเปนลายลกษณอกษร

2.4 กำรบรหำรจดกำรควำมเสยง (Risk Management)

ความเสยง (Risk) คอเหตการณหรอปญหาใดๆ ทเกดขนท าใหเกดผลกระทบ หรอสภาวะทตองเผชญกบสถานการณอนไมพงประสงค โดยการวดจากความรนแรงของผลกระทบ(Impact) และโอกาสทจะเกดปญหา (likelihood)

ปจจยเสยง (Risk Factor) คอสาเหตของความเสยงทสงผลกระทบใหไมสามารถบรรลวตถประสงคทตงไวได

การประเมนความเสยง (Risk Assessment) คอกระบวนการวเคราะหความเสยง จดล าดบโดยประเมนจากโอกาสทจะเกด (Likelihood) กบผลกระทบ (Impact) เมอท าการประเมนแลวจะท าใหทราบถงระดบความเสยง (Degree of Risk) คอ สงมาก สง ปานกลาง ต า

การบรหารความเสยง (Risk Management) คอกระบวนการทใชในการบรหารจดการ ทสงผลใหโอกาสทจะเกดความเสยงลดลง สงผลใหความเสยงอยในระดบทองคกรยอมรบไดสามารถสรปได 4 แนวทางหลกคอ การควบคมปองกน การควบคมเพอใหตรวจสอบ การควบคมโดยการชแนะ และการควบคมเพอการแกไข

2.4.1 ความเสยงดานเทคโนโลยสารสนเทศ ความเสยงดานเทคโนโลยสารสนเทศสามารถแบงออกเปน 4 ประเภท ดงน

2.4.1.1 ความเสยงดานกายภาพและสงแวดลอม ความเสยงทเกดจากลกษณะทางกายภาพและสงแวดลอมทงโดยเจตนาและไมเจตนา เชน วาตภย อทกภย เปนตน

2.4.1.2 ความเสยงดานบคลากร ความเสยงทเกดจากบคลากร คณะท างานทเกยวของกบการด าเนนการดานเทคโนโลยสารสนเทศ ตลอดจนบคลากรจากภายนอกทเกยวของ

2.4.1.3 ความเสยงดานอปกรณเทคโนโลยสารสนเทศ ความเสยงทเกดจากความผดพลาดของชองโหว หรอภยคกคามทเกดขนจากอปกรณ เชน การตดตงอปกรณในพนทไมเหมาะสม

15

2.4.1.4 ความเสยงดานโปรแกรมคอมพวเตอร ความเสยงทเกดจากระบบงานโปรแกรมตางๆ เชนการใชโปรแกรมทไมถกลขสทธ หรอการเปลยนแปลงค าสงคอมพวเตอร

2.4.1.5 ความเสยงดานระบบเครอขาย ความเสยงทเกดขนกบระบบเครอขายขององคกรทงระบบอนทราเนต อนเตอรเนต รวมถงปญหาทมพนฐานมาจากปญหาพนฐานของโพรโตคอล TCP/IP ดวย

2.4.1.6 ความเสยงดานขอมล ความเสยงทเกดจากระบบฐานขอมลตางๆเกดความเสยหาย ถกท าลาย ความเสยงทเกดจากการบกรก การโจรกรรมขอมลทส าคญ

2.4.2 กระบวนการบรหารความเสยงของระบบสารสนเทศ

2.4.2.1 ระบความเสยงและผลกระทบทมผลกระทบตอระบบขอมลสารสนเทศ

2.4.2.2 ประเมนถงโอกาสทจะเกดขนของความเสยง และความรนแรงของผลกระทบ

2.4.2.3 วางแผนโดยก าหนดมาตรการควบคมความเสยงเพอใหสามารถบรรลเปาหมายทก าหนดไวในแผนการ

2.4.2.4 การตดตามขอมลเพอทราบความเสยง และตดตามในระยะยาว

2.4.2.5 การตดตาม ก ากบ และตรวจสอบ ควรมการตรวจสอบการท างานของเจาหนาททไดรบมอบหมาย โดยมหลกฐานเปนเอกสารทเปนลายลกษณอกษรประกอบการปฏบตหนาท

2.5 ควำมมนคงปลอดภยของสำรสนเทศ (Information Security)

ปจจบนสารสนเทศเปนองคประกอบทส าคญส าหรบการด าเนนงานตางๆ องคกรจงจ าเปนตองมมาตรการส าหรบดแล ปองกนสารสนเทศใหมความมนคงปลอดภย ในปจจบนเทคโนโลย สารสนเทศมความกาวหนามากขนกวาเมอกอน นนกหมายถงมภยคกคามกมการพฒนามากขนดวยเชนกน หากสารสนเทศเกดความเสยหายนนหมายถงความเสยหายทงรายได และชอเสยงขององคกร

ความเสยหายของสารสนเทศเกดไดหลายทาง ทงจากผไมประสงคด ภยธรรมชาต หรอแมกระทงความไมตงใจจากผปฏบตงานเอง ดงนนองคกรจงตองมมาตรการมาปองกนความเสยหายของสารสนเทศ และมแผนรบมอหากเกดภยคกคามหรอความเสยหายกบสารสนเทศ

2.5.1 องคประกอบของความมนคงปลอดภยของสารสนเทศ

16

รปท 2.2 องคประกอบของความมนคงปลอดภยของสารสนเทศ

ความลบ (Confidentiality) การรกษาความลบของทรพยสนเปนองคประกอบทส าคญอยางยงตอการรกษาความปลอดภยของสารสนเทศ มหลกการส าคญกคอ ตองมนใจไดวาผมสทธ หรอไดรบการอนญาตเทานนทจะสามารถเขาถงได ระบบความปลอดภยทมประสทธภาพนน ตองมการตรวจสอบสทธกอนการเขาถง เพอเปนการยนยนวาผทรองขอนนมสทธเขาถงสารสนเทศนนได ทใชกนทวไปอยางแพรหลายคอการใชรหสผานในการพสจนตวตน รวมทงมการใชมาตรการทางเทคนค เชน การเขารหสขอมล (Encryption) เพอเพมความปลอดภยเพมขนไปอกขน

ความถกตองสมบรณ (Integrity) มาตรการควบคมความปลอดภยของสารสนเทศ จ าเปนตองการการตรวจสอบสทธ หรอการกระท าใดๆกตามทสงผลใหขอมลมความถกตองสมบรณ

ความพรอมใชงาน (Availability) การท าใหสารสนเทศนนสามารถตอบสนองตอผใชงานไดทนทในขณะทผมสทธใชงานตองการเขาถงสารสนเทศ

2.5.2 ภยคกคาม และชองโหว (Threat and vulnerability)

ภยคกคาม (Threat) คอ วตถ สงของ ตวบคคล หรอสงอนได ทเปนตวการท าอนตรายตอทรพยสน มทงเกดขนโดยเจตนา เชน เกดจากการกระท าของมนษย (Espionage or Trespass) และเกดขนโดยไมเจตนา เชน เกดจากภยธรรมชาต (Force of Nature) หรอจากผใชงานเอง (Human Error) ภยคกคามตางลวนเปนความเสยงของสารสนเทศทงสน

2.5.2.1 ประเภทของภยคกคาม

a) การเปดเผย (Disclosure) การเขาถงโดยไมไดรบอนญาต

b) การหลอกลวง (Deception) การใหขอมลเปนเทจ

17

c) การขดขวาง (Disruption) การท าลายขอมล การตดกระบวนการสอสาร

d) การควบคมระบบ (Usurpation) การเขาจดการระบบโดยทไมมสทธ

ชองโหว (Vulnerability) จดออนทถกภยคกความใชเปนชองทางในการโจมตท าใหเกดความเสยหาย ภยคกคามจะไดประโยชนจากชองโหวตางๆ โจมตระบบคอมพวเตอรจนเกดความเสยหายกบสารสนเทศ

รปท 2.3 ความสมพนธระหวางภยคกคาม ชองโหว และทรพยสน

2.6 พระรำชบญญตวำดวยกำรกระท ำควำมผดเกยวกบคอมพวเตอร พ.ศ. 2550

วชศกด[3] ไดใหความรเกยวกบ พระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550 ไดประกาศใชในวนท 19 กรกฎาคม 2550 สรปใจความส าคญๆไดดงน

มาตรา 5 กลาวถงเรองของการเขาถงโดยมชอบซงระบบคอมพวเตอรทมมาตรการปองกนการเขาถงโดยเฉพาะและมาตรการนน มไดมไวส าหรบตน

มาตรา 6 กลาวถงเรองของการลวงรถงมาตรการปองกนการเขาถงระบบคอมพวเตอรทผอนจดท าขน ถาน ามาตรการดงกลาวไปเปดเผยโดยมชอบ ในประการทนาจะเกดความเสยหายแกผอน

มาตรา 7 กลาวถงการเขาถงโดยมชอบซงขอมลคอมพวเตอรทมมาตรการปองกนการเขาถงโดยเฉพาะและมาตรการนนมไดมไวส าหรบตน

18

มาตรา 8 กลาวถงการกระท าดวยประการใดโดยมชอบดวยวธการทางอเลกทรอนกสเพอดกรบไวซงขอมลคอมพวเตอรของผอนทอยระหวางการสงในระบบคอมพวเตอร และขอมลคอมพวเตอรนนมไดมไวเพอประโยชนสาธารณะ

มาตรา 9 กลาวถงการท าใหเสยหาย ท าลาย แกไข เปลยนแปลง หรอเพมเตมไมวาทงหมดหรอบางสวน ซงขอมลคอมพวเตอรของผอนโดยมชอบ

มาตรา 10 กลาวถงการกระท าดวยประการใดโดยมชอบ เพอใหการท างานของระบบคอมพวเตอรของผอนถกระงบ ชะลอ ขดขวาง หรอรบกวนจนไมสามารถท างานตามปกตไดตองระวางโทษจ าคกไมเกนหาป หรอปรบไมเกนหนงแสนบาท หรอทงจ าทงปรบ

มาตรา 11 กลาวถงการสงขอมลคอมพวเตอรหรอจดหมายอเลกทรอนกสแกบคคลอนโดยปกปดหรอปลอมแปลงแหลงทมาของการสง

มาตรา 12 กลาวถงการกระท าความผดตามมาตรา 9 หรอมาตรา 10 กลาวถงการกอใหเกดความเสยหายแกประชาชน และการกระท าโดยประการทนาจะเกดความเสยหายตอขอมลคอมพวเตอร

มาตรา 13 กลาวถงการจ าหนายหรอเผยแพรชดค าสงทจดท าขนโดยเฉพาะเพอน าไปใชเปนเครองมอในการกระท าความผด

มาตรา 14 กลาวถงการน าเขาสระบบคอมพวเตอรซงเปนขอมลปลอมไมวาทงหมดหรอบางสวน ทนาจะเกดความเสยหายแกผอนหรอประชาชน การน าเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรอนเปน การน าเขาขอมลทมลกษณะอนลามก

มาตรา 15 กลาวถงการจงใจสนบสนนหรอยนยอมใหมการกระท าความผดตามมาตรา 14

มาตรา 16 กลาวถงการน าเขาสระบบคอมพวเตอรทภาพนนเปนภาพทเกดจากการสรางขน ตดตอ เตม หรอดดแปลง

19

บทท 3

กำรด ำเนนงำน

ในบทนจะเปนการกลาวถงวธการในการด าเนนโครงงานตามวตถประสงคทไดตงไว เพอใหการด าเนนโครงงานเปนไปตามแบบแผน และเกดประสทธภาพสงสด

3.1 ขนตอนในกำรด ำเนนงำน

ผจดท าไดน าเอามาตรฐาน ISO/IEC27001:2013 เขามาปรบใชกบองคกร โดยน าหลกการควบคมความปลอดภย และการประเมนความเสยง เขามาประยกตใช โดยมขนตอนการด าเนนงาน ดงน

รปท 3.1 ขนตอนการด าเนนงาน

3.1.1 ศกษามาตรฐาน ISO/IEC 27001:2013 และกฎหมายทเกยวของกบเทคโนโลยสารสนเทศ

20

การศกษาทฤษฏ และกฎหมายทเกยวของ เพอเปนการน าแนวทางในการด าเนนงาน

ตามทฤษฏทไดศกษามาปรบใชกบโครงงานทไดจดท าขน

3.1.2 ศกษาองคกร และระบบเทคโนโลยสารสนเทศขององคกร

การศกษาองคกร และระบบเทคโนโลยสารสนเทศขององคกร เปนการศกษาขอมลดวยวธการสมภาษณจากผด าเนนการในแตละหนวยงานภายในทเกยวของ และศกษาจากเอกสารทองคไดจดท าไว เพอใชเปนขอมลในการจดท าโครงงาน

3.1.3 ประเมนความเสยงระบบสารสนเทศขององคกร

การประเมนความเสยง เปนการประเมนความเสยงตามหวขอControl A.5-A18 โดยประเมนตามสถานการทเปนอยในปจจบน เพอใหองคกรทราบถงระดบความเสยงทมเพอน าผลทไดไปจดท าแผนลดความเสยงตอไป

3.1.4 ก าหนดแนวทางในการจดการความเสยง เพอลดความเสยงของระบบสารสนเทศ

ก าหนดแนวทางในการจดการความเสยง เปนการพจารณาตามหลกความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001 โดยพจารณาแนวทางจดการความเสยงตามความเหมาะสม

3.1.5 ประเมนความเสยงหลงจากจดท าแผนลดความเสยง

การประเมนความเสยงหลงจากจดท าแผนลดความเสยง เพอเปนการประเมนความเสยงอกครงหลงจากทไดจดการกบความเสยงแลว ท าใหทราบวาหลงจากจดการกบความเสยงแลว ความเสยงเหลานนลดลง หรออยในระดบทยอมรบได

3.1.6 จดท าเอกสาร Statement of Applicability (SOA)

การจดท าเอกสาร Statement of Applicability (SOA) เพอแสดงการใชงานมาตรฐานตามทแสดงไวในสวนของมาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางดานอเลกทรอนกส

3.1.7 จดท าสรปผลการด าเนนโครงการ

การจดท าสรปผลการด าเนนโครงการ เปนการสรปผลของการด าเนนโครงการทงหมด วาสามารถบรรลผล และวตถประสงคทไดก าหนดไวหรอไม

3.2 ก ำหนดขอบเขตในกำรด ำเนนกำรดำนควำมมนคงปลอดภยสำรสนเทศ

21

ขอบเขตของระบบงานทผจดท าน ามาจดท านโยบาย ครอบคลมในสวนของระบบ Data Center ทใหบรการเทคโนโลยสารสนเทศทงหมดขององคกร

รปท 3.2 Network Diagram

3.3 ขอมลทรพยสนขององคกร

ทรพยสนขององคกร แบงออกเปน 4 ประเภทดงน

1.ฮารดแวร (Hardware) ประกอบไปดวย กลมของอปกรณ เชน จอภาพ เครองพมพเอกสาร เมาส

2.ซอรฟแวร (Software) ชดค าสง หรอโปรแกรมทใชสงงานใหคอมพวเตอรท างาน

3.บคคล (Personal) เจาหนาททเกยวของกบระบบงานสารสนเทศ เชน เจาหนาทดแลระบบ

4.การบรการ (Service) ผใหบรการเกยวกบระบบงานสารสนเทศ เชน ผใหบรการอนเตอรเนต

5.ขอมลสารสนเทศ (Information) ขอมลทตางๆถกเกบไว เชน ขอมลทางการเงน ขอมลนกเรยน ขอมลผลสมฤทธทางการศกษา

22

ตำรำงท 3.1 ตารางแสดงทรพยสน (Asset Inventory)

Asset Category Asset Number Asset Detail Asset Location

Hardware

DS056/2013 Router : Cisco 800 Series Routers

Data Center

DS042/2012 Switch : Cisco ME 2600X Series Switches

Data Center


Data Center


Data Center


Data Center

DS023/2013 Firewall : Corecasys enterprise 7910

Data Center

DS010/2012 Switch SCM Administrative Office

DS011/2012 Switch SCM Finance Office

DS012/2012 Switch SCM Principal’s room1

DS013/2012 Switch SCM Principal’s room2

DS055/2012 Switch DLink Computer Room1

DS056/2012 Switch DLink Computer Room2

23

ตำรำงท 3.1 ตารางแสดงทรพยสน (Asset Inventory) (ตอ)

Asset Category Asset Number Asset Detail Asset Location

Hardware DS046/2012 UPS Data Center DS004/2013 Finger Scan Discipline office

DS068/2012 Air condition1 Data Center DS023/2013 Air condition2 Data Center Software DS071/2012 Linux Data Center Information DS005/2013 Finger Scan Data Principal’s room1

Personal DS0126 System Admin Network DS0203 System Admin Service DB003/2010 Internet 3BB Data Center DB004/2011 Internet TOT Data Center

24

3.4 เกณฑกำรประเมน

ตำรำงท 3.2 ตารางประเมนความรนแรงของผลกระทบ (Impact)

ระดบควำมรนแรง คะแนน ผลกระทบ ควำมหมำย

สงมาก 4

การเงน (F) • มผลกระทบตงแต 5 ลานบาทขนไป ปฏบตการ (O) • มผลกระทบตอการปฏบตงานทวทงองคกร กฎหมาย(C) • ขดตอกฎหมายหรอพระราชบญญต ชอเสยง (R) • ชอเสยงขององคกร ไดรบการแพรกระจายผานทางสอสาธารณะตางๆ

สง 3

การเงน (F) • มผลกระทบตงแต 1 ลานบาท แตไมเกน 5 ลานบาท ปฏบตการ (O) • มผลกระทบตอการปฏบตงานทงหนวยงาน กฎหมาย(C) • ขดตอระเบยบขององคกร ชอเสยง (R) • กระทบชอเสยงขององคกรสง สงผลใหเกดความไมพอใจจากสาธารณะ

ปานกลาง 2

การเงน (F) • มผลกระทบตงแต 1แสนบาทขนไป แตไมเกน 1ลานบาท ปฏบตการ (O) • มผลกระทบตอการปฏบตงานทงฝายหรอ หองปฏบตการ กฎหมาย(C) • ขดตอขอปฏบตขององคกร ชอเสยง (R) • ถกตอวาหรอต าหนจากองคกรอนหรอจากบคคลภายนอก

ต า 1

การเงน (F) • มผลกระทบต าไมเกน 1 แสนบาท ปฏบตการ (O) • ไมมผลกระทบตอการปฏบตงาน กฎหมาย(C) • ไมกระทบตอกฎหมาย พระราชบญญต และระเบยบขอบงคบขององคกร ชอเสยง (R) • กระทบชอเสยงขององคกรนอยมากหรอไมกระทบเลย

25

ตำรำงท 3.3 ตารางประเมนโอกาสทจะเกดความเสยง (Likelihood)

โอกาสเกด คะแนน ความถทสามารถเกดความเสยงขนได

คอนขางแนนอน 4 มโอกาสเกดขนไดบอย และสรางความเสยหายตอระบบท าใหเกดการหยดชะงกของกระบวนการท างาน เชน เกดขนไดทกวน

นาจะเกด 3 มโอกาสทเกดขนไดคอนขางบอย สงผลกระทบไมมาก ไมเกน1ชวโมง เชน เกดขนได 1-2 ครง/สปดาห

เปนไปไดทจะเกด 2 มโอกาสเกดขนนานๆครงๆ สงผลกระทบใหเกดความลาชาในการท างาน เชน เกดขน 1-2ครง/เดอน

ยากทจะเกด 1 มโอกาสเกดขนได แตนอยมาก เชน อาจเกดขนได 1 ครง/ป

ก าหนดระดบคาความเสยง โดยน าเอา ระดบโอกาสทจะเกด คณกบระดบผลกระทบ ระดบความเสยง (Risk Value) = ระดบโอกาสทจะเกด (Likelihood) x ระดบของผลกระทบ (Impact) โดยมการก าหนดเกณฑของคาความเสยงเปนระดบทแตกตางกนไว 4 ระดบ ดงน

• ระดบความเสยง 1-3 ต า (Low)

• ระดบความเสยง 4-8ปานกลาง (Medium)

• ระดบความเสยง 9-12สง (High)

• ระดบความเสยง 13-16สงมาก (Very High)

26

ตำรำงท 3.4 ระดบความเสยง (Risk Value)

ระดบควำมเสยง คะแนน ค ำอธบำย

ต า (Low) 1-3 เปนความเสยงทองคกรยอมรบได แตตองมการตดตามควบคมอยเพอใหมนใจวาหากเกดขน สามารถควบคมได

ปานกลาง (Medium) 4-8 เปนระดบความเสยงทองคกรพอสามารถยอมรบไดแตจะตองใชความพยายามทจะลดความเสยง

สง (High) 9-12 เปนระดบทองคกรไมสามารถยอมรบได ตองจดการความเสยงนนเพอไมใหเกดผลกระทบกบงาน

13-16สงมาก (Very High) 13-16 เปนระดบทองคกรไมสามารถยอมรบได ตองจดการความเสยงนนอยางเรงดวนเพอไมใหเกดผลกระทบกบงาน

27

ตำรำงท 3.5 ตารางประเมนระดบความเสยง (Risk Assessment Matrix)

Risk Assessment Matrix

โอกาสทจะเกดความเสยง Likelihood

ยากทจะเกด เปนไปไดทจะเกด นาจะเกด คอนขางแนนอน

1 2 3 4

ผลกระทบ (Impact 1:1)

สงมาก 4 4



สง 16

สงมาก

สง 3 3

ต า 6


สง 12

สง


2 ต า

4 ปานกลาง



นอย 1 1

ต า 2

ต า 3

ต า 4

ปานกลาง

28

3.5 สรปทำยบท

การจดท านโยบายความมนคงปลอดภยสารสนเทศ และประเมนความเสยง เรมตนโดยการเกบขอมลโดยการสอบถามจากผปฏบตงานในสวนงานตางๆทเกยวของ จดท าตารางประเมนความรนแรงของผลกระทบ (Impact) โอกาสทจะเกดความเสยง (Likelihood) ก าหนดระดบความเสยง (Risk Value) และตารางประเมนระดบความเสยง (Risk Assessment Matrix) ท าการสรปขอมลโครงสรางและองคประกอบตางๆ ท าใหทราบวาระบบสารสนเทศ ทใชงานอยในปจจบนมความเสยง หรอชองโหวอยางไรบาง และอยในระดบใด เพอน าผลการประเมนทไดมารางเปนนโยบายรกษาความมนคงปลอดภยสารสนเทศทเหมาะสมกบองคกร และน าไปประกาศใชตอไปเพอใหเกดประสทธภาพสงสด

29

บทท4

ผลกำรด ำเนนงำน

4.1 บทน ำ

ในบทนจะกลาวถงการประเมนความเสยง(Risk Assessment) โดยน าขอมลมาจากการสมภาษณผปฏบตงานทเกยวของ และเหตการณทเคยเกดขนมาแลว ท าการประเมนโดยประเมนไปตามหวขอของ ISO27001:2013 เรมตงแต A.5 – A.18 ตามทไดกลาวไปแลวในบทท3 วเคราะหโอกาส ผลกระทบ ระดบความเสยง ตามทไดกลาวไปแลวในหวขอท 3.5 เกณฑการประเมน

4.2 วเครำะหปญหำของระบบสำรสนเทศในองคกรดวยผงกำงปลำ (Fish Bone Diagram)

รปท 4.1 ปญหาของระบบสารสนเทศในองคกร

30

4.3 กำรประเมนควำมเสยงระบบสำรสนเทศกอนกำรบรหำรจดกำรควำมเสยง

ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง

1. A.5 นโยบายความมนคงปลอดภยสารสนเทศ (Information Security Policy) 1.1 ทศทางการบรหารจดการความมนคงปลอดภยสารสนเทศ ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง

1.1.1 การจดท านโยบายส าหรบความมนคงปลอดภยสารสนเทศตองมการจดท าเปนลายลกษณอกษร

ไมมการจดท านโยบายส าหรบความมนคงปลอดภยสารสนเทศเปนลายลกษณอกษร มเพยงการประกาศใช พรบ.คอมพวเตอร พ.ศ.2551เทานน

4 4 16 สงมาก

1.1.2 ทบทวนนโยบายคตามรอบระยะเวลาทก าหนด

ไมมการทบทวนเนองจากยงไมมนโยบายประกาศใช


2. A.6 โครงสรางความมนคงปลอดภยสารสนเทศ (Organization of Information) 2.1 โครงสรางภายในองคกร 2.1.1 ตองมการก าหนดความ

รบผดชอบดานความมนคงปลอดภยสารสนเทศ

ยงไมไดมการก าหนดอยางเปนทางการและยงไมมเอกสารขอมลเปนลายลกษณอกษร


2.1.2 ตองแยกหนาทงาน ทจะท าใหเกดการขดตอการปฏบตงานออกจากกน เพอลดโอกาสทจะเกดขน

เกดการละเมดในการเขาใชงานระบบสารสนเทศ


31

ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง (ตอ)

ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง

2.1.3 ตองรกษาไวซงการตดตอกบผเกยวของเพอใหสามารถตดตอไดอยางตอเนอง

ไมมการก าหนดผตดตอโดยตรง 4 4 16 สงมาก

2.1.4 ตองรกษาไวซงการตดตอกบกลมความเชยวชาญดานความมนคงปลอดภยสารสนเทศ

ยงมขอมลส าหรบตดตอกบผทเกยวของ แตตดตอเฉพาะเมอเกดปญหา

1 2 2 ต า

2.1.5 การบรหารโครงการไมวาประเภทใดตองระบความมนคงปลอดภยสารสนเทศของโครงการนน

ไมมการระบความมนคงปลอดภยสารสนเทศของโครงการ


2.2 อปกรณคอมพวเตอรแบบพกพา และการปฏบตงานจากระยะไกล 2.2.1 การใชงานอปกรณคอมพวเตอร

แบบพกพา ตองมมาตรการสนบสนน

ไมมมาตรการส าหรบจดการอปกรณคอมพวเตอรแบบพกพา

3 4 12 สง

32



2.2.2 ตองมมาตรการสนบสนนการเขาถง การประมวลผล หรอการจดเกบ

ไมมมาตรการส าหรบจดการเขาถง การประมวลผล หรอการจดเกบ


3. A.7 ความมนคงปลอดภยส าหรบทรพยากรบคคล (Human Resource Security) 3.1 กอนการจางงาน 3.1.1 ตองมการตรวจสอบภมหลงของ

ผสมครงานโดยใหสอดคลองกบกฎหมาย

ผเกยวของหลกเลยงไมปฏบตตามกฎ 4 3 12 สง

3.1.2 ขอตกในและเงอนไขในสญญาจางตองกลาวถงหนาทรบผดชอบดานความมนคงปลอดภยสารสนเทศของพนกงาน

ผถกวาจางละเลยไมปฏบตตาม 4 3 12 สง

3.2 ระหวางการจางงาน 3.2.1 ตองก าหนดใหผท าสญญาจาง

รกษาความมนคงปลอดภยสารสนเทศ

ยงไมมการก าหนดในสญญาจาง 3 3 9 สง

33



3.2.2 พนกงานตองไดรบการฝกอบรมดานความมนคงปลอดภยสารสนเทศ

ไมมการจดอบรมอยางตอเนอง 4 3 12 สง

3.2.3 ตองมการก าหนดกระบวนการทางวนยอยางเปนทางการ

ไมมก าหนดกระบวนการลงโทษทางวนยอยางเปนลายลกษณอกษร


3.3 การสนสดหรอการเปลยนการจางงาน 3.3.1 การถอนสทธในการเขาถงเมอม

การสนสด หรอเปลยนการจางงาน

เจาหนาทละเลยไมปฏบตตามกฎระเบยบ


4. A.8 การบรหารจดการทรพยสน (Asset Management) 4.1 หนาทความรบผดชอบตอทรพยสน 4.1.1 ตองมการจดท าทะเบยน

ทรพยสน และปรบปรงใหทนสมย

มการจดท าทะเบยนทรพยสนแตไมมการปรงปรงขอมลใหทนสมย


4.1.2 ทรพยสนในทะเบยนตองมผถอครอง

เจาหนาทไมใหความส าคญในการระบผถอครอง


34



4.1.3 การใชงานทรพยสนตองมการระบ จดท าเปนลายลกษณอกษร

ไมมการจดท าเปนลายลกษณอกษร 4 3 12 สง

4.1.4 ตองมการคนทรพยสนเมอสนสดการจางงาน

เจาหนาทละเลยในการตรวจสอบ 3 4 12 สง

4.2 การจดชนความลบของสารสนเทศ 4.2.1 การจดชนความลบโดย

พจารณาดานกฎหมาย คณคาระดบความส าคญ หากถกเปดเผยโดยไมไดรบอนญาต

เจาหนาทไมด าเนนการจดท าใหถกตอง

3 4 12 สง

4.2.2 การจดท าปายชอ และการจดการทรพยสนสารสนเทศ

เจาหนาทละเลยในการปฏบตงาน 4 4 16 สงมาก

4.2.3 การจดการทรพยสนตองมการจดท า และปฏบตตาม


4.3 การจดการสอบนทกขอมล 4.3.1 ตองมการบรหารจดการสอ

บนทกขอมลทถอดแยกได ยงไมมการบรหารจดการ 4 4 16 สงมาก

35



4.3.2 การท าลายสอบนทกขอมล ตองมการท าลายทงอยางปลอดภย

ไมมการตรวจสอบการท าลายสอบนทกขอมล


4.3.3 ตองมการปองกนสอบนทกขอมลทอาจถกเขาถงอยางไมไดรบอนญาต

ไมมการปองกนสอบนทกขอมล 4 4 16 สงมาก

5. A9. การควบคมการเขาถง (Access Control) 5.1 ความตองการทางธรกจส าหรบการควบคมการเขาถง 5.1.1 ตองมการควบคมการเขาถง และ

จดท าเปนลายลกษณอกษร เจาหนาทละเลยในการปฏบตงาน 4 4 16 สงมาก

5.1.2 ตองมการควบคมการเขาถง เครอขายและบรการตามทตนไดรบอนมตเทานน


5.2 การบรหารจดการการเขาถงของผใชงาน 5.2.1 การถอนสทธการใชงานตองม

กระบวนการอยางเปนทางการ เจาหนาทละเลยในการปฏบตงาน 4 4 16 สงมาก

5.2.2 การจดการสทธการเขาถงทกระบบทงหมดตองมการจดการ

เจาหนาทไมด าเนนการจดท าใหถกตอง


36



5.2.3 ตองมการจดการสทธการเขาถงตามระดบสทธ

ไมมการจดการสทธการเขาถงตามระดบสทธ


5.2.4 ตองมการจดการขอมลการพสจนตวตนของผใชงาน

เจาหนาทไมจดการท าขอมลใหเปนไปตามแนวทางทถกตอง


5.2.5 การทบทวนสทธการเขาถงตามรอบเวลา


5.2.6 การถอดถอนหรอปรบปรงการเขาถงตองไดรบการถอดถอนเมอสนสดการท างาน


5.3 หนาทความรบผดชอบของผใชงาน 5.3.1 ขอมลในการพสจนตวตนตอง

เกบเปนความลบ ผปฏบตงานบอกขอมลการพสจนตวตนกบคนอน


5.4 การควบคมการเขาถงระบบ 5.4.1 ตองมการจ ากดการเขาถง

สารสนเทศ และฟงกชนในระบบงาน

เจาหนาทไมมการจ ากดและควบคมอยางใกลชด


37



5.4.2 ตองมการก าหนดการเขาระบบทมความมนคงปลอดภย

ผปฏบตงานบอกขอมลการพสจนตวตนกบคนอน


5.4.3 ตองมการจดการรหสผานทปฏสมพนธกบผใชงาน

ไมมการจดสงรหสผานอยางเปนระบบ


5.4.4 ตองมการจ ากดการใชงานโปรแกรมอรรถประโยชน

ไมมการจ ากดการใชงานโปรแกรมอรรถประโยชน


5.4.5 ตองมการจ ากดการเขาถงซอรสโคดของโปรแกรม

ผทมสทธเทานน ทจะสามารถเขาถงซอรสโคดของโปรแกรมได

4 1 4 ปานกลาง

6. A10. การเขารหสขอมล (Cryptography) 6.1 มาตรการเขารหสขอมล 6.1.1 ตองมนโยบายการใชมาตรการ

การเขารหสขอมล ไมมการเขารหสขอมล 4 4 16 สงมาก

6.1.2 ตองมการปองกน มอายการใชงานของกญแจ

ไมมการเขารหสขอมล 4 4 16 สงมาก

7. A.11 ความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical and environmental Security) 7.1 พนททตองการการรกษาความมนคงปลอดภย 7.1.1 ตองมการก าหนดขอบเขต

โดยรอบทางกายภาพ มการก าหนดขอบเขตทางกายภาพ แตยงไมมความปลอดภยเทาทควร

4 3 12 สง

38



7.1.2 ตองมการควบคมการเขาออกทางกายภาพ

ไมมการก าหนดการควบคมการเขาออก


7.1.3 ตองมการรกษาความมนคงปลอดภยทางกายภาพของส านกงาน

มการรกษาความปลอดภยขอบเขตทางกายภาพ แตยงไมมความปลอดภยเทาทควร

4 3 12 สง

7.1.4 ตองมการปองกนตอภยคกคามจากภายนอกและสภาพแวดลอม

ไมมการปองกนตอภยคกคามทเหมาะสม

4 3 12 สง

7.1.5 ตองมการจดท าขนตอนปฏบตส าหรบการปฏบตงานในพนท

ยงไมมการจดท า 4 4 16 สงมาก

7.1.6 ตองมจดหรอบรเวณส าหรบการรบสงสงของ

มการก าหนดบรเวณส าหรบรบสงสงของ

1 2 2 ต า

7.2 อปกรณ 7.2.1 ตองมการจดตงอปกรณปองกน

เพอลดความเสยงจากภยคกคาม และอนตรายดานสภาพแวดลอม

ไมมการก าหนดขอบเขตใหเปนสดสวนเพอปองกนการเขาถงโดยไมไดรบอนญาต


7.2.2 อปกรณตองไดรบการปองกนจากการลมเหลวของกระแสไฟฟา

มการใชงาน UPS ส าหรบส ารองกระแสไฟชวคราว


39



7.2.3 การเดนสายไฟตองมการปองกนจากการขดขวางการท างาน หรอการท าใหเสยหาย

การเดนสายไฟยงไมเปนระเบยบเทาทควร


7.2.4 ตองมการบ ารงรกษาอปกรณอยางถกตองเพอใหมสภาพพรอมใชงาน

ไมมการก าหนดการบ ารงรกษาอปกรณ


7.2.5 อปกรณ สารสนเทศ หรอซอฟแวร ตองไมมการน าออกนอกส านกงาน

ไมมการควบคม 4 4 16 สงมาก

7.2.6 ทรพยสนทใชงานอยนอกส านกงานตองมการรกษาความมนคงปลอดภย

ไมมการควบคม 4 4 16 สงมาก

7.2.7 การท าลายหรอก าจดอปกรณ ตองมใบอนญาตลบทง หรอเขยนทบ

ไมมการตรวจสอบกอนลบหรอก าจดอปกรณ


7.2.8 อปกรณททงไวโดยไมมผดแลตองมการปองกนอยางเหมาะสม

ไมมการปองกนอปกรณทเหมาะสม เมอไมไดมการใชงาน

3 4 12 สง

40



7.2.9 โตะท างานตองปราศจากเอกสารส าคญ เพอปองกนการเขาถงทางกายภาพตอเอกสารและขอมลส าคญขององคกร

ไมมการควบคมปองกน 4 4 16 สงมาก

8. A.12 ความมนคงปลอดภยส าหรบการด าเนนงาน (Operations Security) 8.1 ขนตอนการปฏบตงานและหนาทความรบผดชอบ 8.1.1 ขนตอนในการปฏบตงานตอง

จดท าเปนลายลกษณอกษร ยงไมมการจดท าขนตอนการปฏบตงานทเปนลายลกษณอกษร

3 4 12 สง

8.1.2 การเปลยนแปลงตออปกรณประมวลผลสารสนเทศและระบบ ตองมการควบคมการด าเนนการ

ไมมการควบคมปองกน 4 4 16 สงมาก

8.1.3 การใชทรพยากรของระบบตองมการตดตาม ปรบปรง และคาดการณความตองการเพมเตมในอนาคต

ไมมการตดตาม ปรบปรง และคาดการณลวงหนา


8.1.4 สภาพแวดลอมส าหรบการพฒนา การทดสอบ และการใหบรการ ตองมการจดท าแยกกนเพอลดความเสยง

การพฒนาเปนหนาทของผใหบรการ ทางองคกรไมไดพฒนา และทดสอบเอง

1 1 1 ต า

41



8.2 การปองกนโปรแกรมไมประสงคด 8.2.1 มาตรการตรวจหา ปองกน และ

การกคนจากโปรแกรมไมประสงคด ตองมการด าเนนการอยาเหมาะสม

ยงไมมการปองกน 4 4 16 สงมาก

8.3 การส ารองขอมล 8.3.1 ตองมการด าเนนการส ารองขอมล

สารสนเทศ ซอฟตแวร และอมเมจของระบบไว และมการท าสอบความพรอมใชงาน

ไมมการส ารองขอมลใดๆทงสน 4 4 16 สงมาก

8.4 การบนทกขอมลลอก(Event Logging) และการเฝาระวง 8.4.1 ตองมการบนทกขอมลลอกแสดง

เหตการณบนทกกจกรรมของผใชงาน

ยงไมมการบนทกกจกรรมของผใชงาน


8.4.2 อปกรณบนทกขอมลลอกตองไดรบการปองกนจากการเปลยนแปลงแกไข

ยงไมมการปองกนการบนทกกจกรรมของผใชงาน


42



8.4.3 ขอมลลอกกจกรรมของผดแลระบบตองมการบนทกไว และตองมการปองกนทบทวนอยางสม าเสมอ

ยงไมมการบนทกกจกรรมของผดแลระบบ


8.4.4 ตองตงนาฬกาของระบบทเกยวของทงหมดในองคกรใหตรงและถกตอง

ตงใหกบอพเดตกบอนเตอรเนต 1 1 1 ต า

8.5 การควบคมการตดตงซอฟตแวร 8.5.1 การตดตงซอฟตแวรบนระบบ

ตองมการควบคม ไมมการควบคมการตดตงซอฟตแวร 4 4 16 สงมาก

8.6 การบรหารจดการชองโหวทางเทคนค 8.6.1 ตองมการตดตามขอมลชอง

โหวทางเทคนค ตองมการประเมนและมมาตรการทเหมาะสมเพอจดการ

ไมมการตดตามและประเมนผล 4 4 16 สงมาก

8.6.2 ตองมกฎเกณฑควบคมการตดตงซอฟตแวร

ไมมการควบคมการตดตงซอฟตแวร 4 4 16 สงมาก

43



8.7 สงทตองพจารณาในการตรวจประเมนระบบ 8.7.1 การตรวจประเมนระบบ

ใหบรการตองมการวางแผนและตกลงรวมกนเพอลดโอกาสการหยดชะงกตอกระบวนการท างาน

ไมมการตรวจประเมนระบบเลย หากตดปญหามกจะแกไขไปตามสถานการณ


9. A.13 ความมนคงปลอดภยส าหรบการสอสารขอมล (Communications security) 9.1 การบรหารจดการความมนคงปลอดภยของเครอขาย 9.1.1 เครอขายตองมการบรหาร

ควบคมเพอปองกนสารสนเทศระบบตางๆ

ม Firewall 3 1 3 ต า

9.1.2 ความตองการในสวนของผบรหาร ตองมการระบรวมไวในขอตกลงการใหบรการเครอขาย

ขอตกลงในการใหบรการเครอขาย ผใหบรการเปนผจดการ

3 1 3 ต า

9.1.3 กลมของการบรการสารสนเทศผใชงาน และระบบตองมการจดแบงเครอขายตามกลม

มการจดกลมของการใหบรการโดยแบงเปนกลมของเจาหนาท และกลมของนกเรยน


44



9.2 การถายโอนสารสนเทศ (Information transfer) 9.2.1 การปองกนสารสนเทศทมการ

ถายโอนขอมลใหมความมนคงปลอดภย

ยงไมมการปองกน 3 3 9 สง

9.2.2 ตองมการระบขอตกลงส าหรบการโอนถายสารสนเทศกบองคกรภายนอก

ยงไมมการระบขอตกลงระหวางการโอนถายขอมล


9.2.3 การสงขอความทางอเลกทรอนกสตองไดรบการปองกนอยางเหมาะสม


9.2.4 การไมเปดเผยความลบขององคกรการปองกนสารสนเทศตองมการทบทวนและจดท าเปนลายลกษณอกษร

ยงไมมการจดท าเปนลายลกษณอกษร 4 4 16 สงมาก

10. A.14 การจดหา การพฒนา และการบ ารงรกษาระบบ (System acquisition, development and maintenance) 10.1 ความตองการดานความมนคงปลอดภยของระบบ

45



10.1.1 ความมนคงปลอดภยสารสนเทศตองรวมเขากบความตองการส าหรบระบบใหม หรอการปรบปรงทมอยแลว

ยงไมมการจดการความมนคงปลอดภยส าหรบระบบทมอย


10.1.2 การบรการสารสนเทศทมการสงผานเครอขายสาธารณะตองไดรบการปองกนจากการฉอโกง การโตเถยง และการเปดเผยโดยไมไดรบอนญาต


10.1.3 สารสนเทศทเกยวกบธรกรรมตองไดรบการปองกนจากการรบสงขอมลทไมสมบรณ การสงขอมลผดเสนทาง การเปลยนแปลงขอความโดยไมไดรบอนญาต การเปดเผยโดยไมไดรบอนญาต


10.2 ความมนคงปลอดภยส าหรบกระบวนการพฒนา และสนบสนน

46



10.2.1 ตองมการก าหนดกฎเกณฑส าหรบการพฒนาซอฟตแวรขององคกร

มการท าขอตกลงกบผใหบรการจากภายนอกเปนลายลกษณอกษร

3 1 3 ต า

10.2.2 ตองไมอนญาตใหมการเปลยนแปลงซอฟตแวรส าเรจรป จดการเปลยนแปลงเทาทจ าเปน และตองมการควบคมอยางรดกม

ไมมการตรวจสอบและควบคม 4 4 16 สงมาก

10.2.3 เมอมการเปลยนแปลงโครงสรางพนฐานของระบบทส าคญตองมการทบทวนและทดสอบ

ไมมการทบทวนและทดสอบอยางเปนระบบ


10.2.4 ตองจ ากดการเปลยนแปลงตอซอฟตแวรส าเรจรป ตองมการควบคมอยางรดกม

ไมมการจ ากด และควบคมเทาทควรจะเปน


10.2.5 หลกการวศวกรรมระบบตองมการจดท าเปนลายลกษณอกษร ปรบปรงอยางตอเนอง

ไมมการจดท าเปนลายลกษณอกษร 4 4 16 สงมาก

47



10.2.6 ตองจดท า และปองกนอยางเหมาะสมตอสภาพแวดลอมของการพฒนาระบบทมความมนคงปลอดภย

การพฒนาระบบเปนสวนงานของผใหบรการ

1 1 1 ต า

10.2.7 ตองก ากบดแล เฝาระวง และตดตามกจกรรมการพฒนาระบบทจางหนวยงานภายนอก

มการตดตามการพฒนาอยางตอเนองแตไมไดท าเปนลายลกษณอกษร


10.2.8 ตองมการทดสอบคณสมบตดานความมนคงปลอดภยในระหวางทระบบอยในชวงการพฒนา

ไมมการท าสอบระบบทอยในชวงการพฒนา

2 1 2 ต า

10.2.9 ตองมการจดท าแผนการทดสอบเพอรบรองระบบส าหรบระบบใหม และระบบทปรบปรง

ทผานมาไมมการจ าท าแผน 2 1 2 ต า

10.3 ขอมลส าหรบการทดสอบระบบ (Test data)

48



10.3.1 ขอมลส าหรบการทดสอบตองมการคดเลอกอยางระมดระวง มการปองกนและควบคม

3 1 3 ต า

11. A.15 ความสมพนธกบผใหบรการภายนอก (Supplier relationships) 11.1.1 การเขาถงทรพยสนขององคกร

จากผใหบรการภายนอกตองมการก าหนดและจดท าเปนลายลกษณอกษร

ไมมการก าหนดรปแบบ และเอกสารทเปนลายลกษณอกษร


11.1.2 การก าหนดและตกลง ในเรองการเขาถงการประมวลผล การจดเกบ การสอสารและการใหบรการกบผใหบรการภายนอก

ยงไมมการจดท าขอก าหนด 4 4 16 สงมาก

11.1.3 ตองมการระบความเสยงอนเกดจากการใหบรการ และการสอสารโดยผใหบรการภายนอก

ไมมการระบความเสยงจากผใหบรการภายนอก

4 3 12 สง

11.2 การบบรหารจดการการใหบรการโดยผใหบรการภายนอก

49



11.2.1 การตดตามและทบทวนบรการของผใหบรการภายนอก

ไมมการตดตามและทบทวนจากเกดปญหาจงมการทบทวนในแตละครง


11.2.2 การเปลยนแปลงผใหบรการภายนอก ตองมการบรหารจดการและตองทบทวนการประเมนความเสยงใหม

ทผานมายงไมมการประเมนความเสยง


12. A.16 การบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ (Information Security Incident Management) 12.1.1 ตองมการก าหนดหนาทความ

รบผดชอบและขนตอนการบรหารจดการเพอใหมการตอบสนองอยางรวดเรวไดผล

มการก าหนดหนาท แตยงไมมการก าหนดขนตอนการบรหารจดการ

4 3 12 สง

12.1.2 ตองมการรายงานสถานการณความมนคงปลอดภยสารสนเทศผานทางชองทางการบรหารทเหมาะสม

ไมมการรายงาน 4 3 12 สง

12.1.3 ตองมการสงเกตและรายงานจดออนของระบบหรอบรการทพบ หรอทสงสย

ไมมการรายงาน 4 4 16 สงมาก

50



12.1.4 ตองมการประเมนความมนคงและตดสนวาสถานการณนนเปนเหตการณความมนคงปลอดภยสารสนเทศหรอไม

ไมมการประเมนความเสยง หากเกดเหตการณขนกแกไขไปตามสถานการณ


12.1.5 เหตการณความมนคงปลอดภยสารสนเทศตองไดรบจดการกบปญหาตามทไดจดท าไวเปนลายลกษณอกษร

ยงไมมการจดท าเปนลายลกษณอกษรหากเกดเหตการณขนกแกไขไปตามสถานการณ


12.1.6 ความรทไดรบจากการวเคราะห และแกไขเหตการณความมนคงปลอดภยสารสนเทศตองถกน ามาให เพอลดผลกระทบของเหตการณในอนาคต

มการน าความรจากการแกไขปญหาในครงกอนมาใชแกไขปญหาทเกดขนในปจจบน แตยงไมมการวางแผนในอนาคต


12.1.7 ตองมการรวบรวม จดหา และการจดเกบสารสนเทศซงสามารถใชเปนหลกฐาน

ยงไมมการรวบรวมเอกสารเกยวกบระบบสารสนเทศ


51



13. A.17 ประเดนดานความมนคงปลอดภยสารสนเทศของการบรหารจดการเพอสรางความตอเนองทางธรกจ (Information security aspects of business continuity management) 13.1.1 ตองก าหนดความตองการดาน

ความมนคงปลอดภยสารสนเทศและสถานการณความเสยหายทเกดขน

ยงไมมการก าหนด 4 3 12 สง

13.1.2 องคกรตองจดท าขนตอนปฏบต มาตรการทเปนลายลกษณอกษร เพอใหมความตอเนองดานความมนคงปลอดภยสารสนเทศ

ยงไมมการจดท าขนตอนปฏบตทเปนลายลกษณอกษร

4 3 12 สง

13.1.3 องคกรตองมการตรวจสอบมาตรฐานตามรอบระยะเวลาทก าหนดไวเพอใหมนใจวามาตรการเหลานนยงถกตองและไดผลเมอมสถานการณความเสยหายเกดขน

ไมมการตรวจสอบ เนองจากยงไมมการน าเอานโยบายสารสนเทศเขามาปรบใช


52



13.2 การเตรยมการอปกรณประมวลผลส ารอง (Redundancies) 13.2.1 อปกรณประมวลผลตองเตรยม

ไวอยางเพยงพอเพอใหตรงตามความตองการ

ไมมการเตรยมอปกรณส ารอง 3 3 9 สง

14. A.18 ความสอดคลอง (Compliance) 14.1 ความสอดคลองกบความตองการดานกฎหมายและในสญญาจาง

14.1.1 การระบกฎหมายและความตองการในสญญาจางทเกยวของ

ไมมการระบ 4 4 16 สงมาก

14.1.2 สทธในทรพยสนทางปญญาตองมความสอดคลองกบความตองการทางกฎหมาย ระเบยบขอบงคบและสญญาจาง

ไมมการระบในสญญาจาง 4 4 16 สงมาก

14.1.3 ขอมลขององคกรตองไดรบการปกปองจาการสญหาย การถกท าลาย การปลอมแปลงและเขาถงโดยไมไดรบอนญาต

ไมมการเกบรกษา ปกปอง จากากรสญหาย ถกท าลาย การปลอมแปลงและการเขาถงโดยไมไดรบอนญาต

4 3 12 สง

53



14.1.4 ความเปนสวนตวและการปองกนขอมลสวนบคคลตองมการด าเนนการใหสอดคลองกบกฎหมายและระเบยบขอบงคบ

มการประกาศใช พ.ร.บ.คอมพวเตอร 3 3 9 สง

14.1.5 การเขารหสขอมลตองมการใชใหสอดคลองกบขอตกลง กฎหมาย และระเบยบขอบงคบทเกยวของ

ยงไมมมาตรการการเขารหสขอมลใชในองคกร


14.2 การทบทวนความมนคงปลอดภยสารสนเทศ 14.2.1 วธการในการบรหารจดการ

ความมนคงปลอดภยสารสนเทศ ตองมการทบทวนตามรอบระยะเวลา

ไมมการทบทวนมาตรการ เนองจากยงไมมระบบระเบยบทน ามาควบคมการท างานระบบสารสนเทศ


14.2.2 ตองมการทบทวนความสอดคลองของการปฏบตทอยภายใตความรบผดชอบของตนเอง โดยเทยบกบนโยบาย มาตรฐานทเกยวของ



54



14.2.3 ความสอดคลองทางเทคนคตองมการทบทวนอยางสม าเสมอ เพอพจารณาความสอดคลองกบนโยบาย และมาตรฐานดานความมนคงปลอดภยสารสนเทศขององคกร



55

4.4 สรปจ ำนวนควำมเสยงกอนกำรบรหำรจดกำรควำมเสยง

จากการประเมนความเสยงจากตวควบคมโดยอางองตามมาตรฐาน ISO27001:2013 ตามหวขอ A.5 – A.8 สามารถสรปการประเมนแบงตามระดบความเสยงไดดงน

ตำรำงท 4.2 ตารางสรปจ านวนความเสยงทพบ

ล าดบ ระดบความเสยง คะแนน จ านวน

1 สงมาก 13-16 77

2 สง 9-12 21

3 ปานกลาง 4-8 5

4 ต า 1-3 11

56

4.5 แนวทำงในกำรจดกำรควำมเสยงเพอลดควำมเสยงของระบบสำรสนเทศ

ตำรำงท 4.3 แนวทางในการจดการความเสยงเพอลดความเสยงของระบบสารสนเทศ

ล าดบ แนวทางจดการความเสยง ระดบความเสยง 1. ความเสยง

ไมมการก าหนดหนาทความรบผดชอบดานความมนคงปลอดภยสารสนเทศอยางเปนทางการ

สงมาก

แนวทางจดการความเสยง ก าหนดหนาทความรบผดชอบใหกบผทเกยวของโดยจดท าเปนเอกสารอยางเปนลายลกษณอกษร และแจงใหทราบโดยทวกน หลกการควบคม A.6.1.1 บทบาทและหนาทความรบผดชอบดานความมนคงปลอดภยสารสนเทศ (Information security roles and responsibilities)

2. ความเสยง การใชงานอปกรณคอมพวเตอรแบบพกพา ไมมมาตรการสนบสนนการเขาถง กระประมวลผล หรอการจดเกบ

สงมาก

แนวทางจดการความเสยง จดท านโยบายสนบสนนส าหรบการใชงานอปกรณคอมพวเตอรแบบพกพา มการจดท าเอกสารเกบขอมลการเขาถงระบบ หรอเนตเวรคจากการใชงานผานคอมพวเตอรแบบพกพา หลกการควบคม A.6.2.1 นโยบายส าหรบอปกรณคอมพวเตอรแบบพกพา (Mobile device pokicy) A.6.2.2 อปกรณคอมพวเตอรแบบพกพา และการปฏบตงานจากระยะไกล (Mobile devices and teleworking)

3. ความเสยง ไมมการท าขอตกลงในสญญาจางงานเกยวกบเงอนไขดานความมนคงปลอดภยสารสนเทศ และไมมการตรวจสอบภมหลงของผสมครทสอดคลองกบกฎหมาย

สง

57

ตำรำงท 4.3 แนวทางในการจดการความเสยงเพอลดความเสยงของระบบสารสนเทศ (ตอ)

ล าดบ แนวทางจดการความเสยง ระดบความเสยง แนวทางจดการความเสยง

ใหระบขอตกลง เงอนไขดานความมนคงปลอดภยสารสนเทศลงในสญญาจางงานดวย

หลกการควบคม 3.1.2 ขอตกลงและเงอนไขการรจางงาน (Terms and conditions of employment) 3.2.1 หนาทความรบผดชอบของผบรหาร (Management responsibilities) 3.2.3 กระบวนการทางวนย (Disciplinary process) 5.3.1 การใชขอมลการพสจนตวตนซงเปนขอมลลบ (Use secret authentication information) 14.1.1 การระบกฎหมายและความตองการในสญญาจางทเกยวของ (Identification of applicable legislation and contractual requirements) ความเสยง ไมมนโยบายการควบคมการเขาถงสารสนเทศทจดท าอยางเปนลายลกษณอกษร

แนวทางจดการความเสยง จดท านโยบายควบคมการเขาถงอยางเปนลายลกษณอกษร

สงมาก

หลกการควบคม A.9.1.1 นโยบายควบคมการเขาถง (Access control policy) ความเสยง การถอนสทธการเขาถงหลงจากสนสดการจางงาน หรอเปลยนแปลงหนาท ไมมการปฏบตอยางถกตอง

4. แนวทางจดการความเสยง เมอมการสนสดการจางงาน เจาหนาททเกยวของตองมการถอนสทธ การเขาถงทนท และมการจดท าเอกสารเพอเปนหลกฐาน

สงมาก

58


ล าดบ แนวทางจดการความเสยง ระดบความเสยง หลกการควบคม

3.3.1 การสนสดหรอการเปลยนหนาทความรบผดชอบของการจางงาน (Termination or change of employment responsibilities)

5. ความเสยง ไมมการจดท าทะเบยนผถอครองทรพยสนอยางเปนลายลกษณอกษรทสามารถตรวจสอบได

สงมาก

แนวทางจดการความเสยง ใหมการจดท าทะเบยนทรพยสนทเปนลายลกษณอกษรและสามารถตรวจสอบได หลกการควบคม 4.1.1 บญชทรพยสน (Inventory of assets) 4.1.2 ผถอครอบทรพยสน ( Ownership of assets) 4.1.3 การใชทรพยสนอยางเหมาะสม (Acceptable use of assets) 4.1.4 การคนทรพยสน (Return of assets)

6. ความเสยง ความลบของสารสนเทศไมมมาตรการควบคมปองกนการถกเปดเผย หรอเปลยนแปลงโดยไมไดรบอนญาต

สงมาก

แนวทางจดการความเสยง จดท าเอกสารควบคมการเขาถงสารสนเทศโดยตองไดรบอนญาตจากผมอ านาจ หลกการควบคม 4.2.2 การบงชสารสนเทศ (Labeling of information) 4.2.3 การจดการทรพยสน (Handling of assets)

59



สอบนทกขอมลไมมมาตรการ การบรหารจดการอยางถกตอง อาจท าใหขอมลทส าคญถกเขาถงโดยไมไดรบอนญาต หรอขอมลถกท าลาย

สงมาก

แนวทางจดการความเสยง ท าการควบคมการเขาถงสอบนทกขอมล การเขาถง การเปลยนแปลง การขนยาย การลบหรอการท าลายสารสนเทศทจดเกบบนสอ หลกการควบคม 4.3.1 การบรหารจดการสอบนทกขอมลทถอดแยกได (Management of removable media) 4.3.2 การท าลายสอบนทกขอมล (Disposal of media) 4.3.3 การขนยายสอบนทกขอมล (Physical media transfer) 7.2.7 ความมนคงปลอดภยส าหรบการจดก าจด หรอการน าอปกรณไปใชงานอยางอน (Secure disposal or re-use of equipment) 14.1.3 การปองกนขอมล (Protection of records)

8. ความเสยง อปกรณสารสนเทศถกเขาถงไดโดยผทไมมสทธ โดยไมมมาตรการรองรบการใชงาน

สงมาก

แนวทางจดการความเสยง มการก าหนดสทธการเขาถงและจดท าเปนลายลกษณอกษร มการทบทวนสทธ มการพสจนตวตนของผใชงาน หลกการควบคม 5.1.2 การลงทะเบยนและการถอดถอนสทธผใชงาน (User registration and deregistration) 5.4.1 การจ ากดการเขาถงสารสนเทศ (Information access restriction)

60



ไมมการควบคมการเขาออกทางกายภาพ ท าใหผทไมไดรบอนญาตเขาไปในพนทส าคญ

สง

แนวทางจดการความเสยง จดการควบคมการเขาออกพนทส าคญ และจดท าบนทกการเขาออกเปนลายลกษณอกษรทสามารถตรวจสอบได หลกการควบคม 7.1.1 ขอบเขตหรอบรเวณโดยรอบทางกายภาพ (Physical security perimeter) 7.1.2 การควบคมการเขาออกทางกายภาพ (Physical entry controls)

10. ความเสยง อปกรณตางๆไมถกปองกนตอการเสยหาย การขโมย หรอการหยดชะงกตอการด าเนนงาน

สงมาก

แนวทางจดการความเสยง ปองกนการขโมยอปกรณตามความเหมาะสมของอปกรณแตละชนด มการจดท าบนทกการน าอปกรณออกไปใชภายนอกส านกงาน เอกสารทเกยวของ หลกการควบคม 7.2.1 การจดตงและปองกนอปกรณ (Equipment setting and protection) 7.2.5 การน าทรพยสนขององคกรออกนอกส านกงาน (Removal of assets)

11. ความเสยง อปกรณสารสนเทศไมไดรบการบ ารงรกษาใหมสภาพพรอมใชงาน

สงมาก

แนวทางจดการความเสยง จดน ามาตรการก าหนดรอบระยะเวลาการบ ารงรกษาอปกรณสารสนเทศใหมความพรอมใชงานอยเสมอ

61


ล าดบ แนวทางจดการความเสยง ระดบความเสยง หลกการควบคม

7.2.4 การบ ารงรกษาอปกรณ (Equipment maintenance)

12. ความเสยง ไมมการปองกนการเขาถงอปกรณททงไวบนโตะท างาน ท าใหผอนเขาถงขอมลทส าคญได

สงมาก

แนวทางจดการความเสยง จดท าโนบายควบคมการท างาน หลกการควบคม 7.2.8 อปกรณของผใชงานททงไวโดยไมมผดแล (Unattended user equipment) 7.2.9 นโยบายโตะท างานปลอดเอกสารส าคญและนโยบายปองกนหนาจอคอมพวเตอร (Clear desk and clear screen policy)

13. ความเสยง ไมมการควบคมการเปลยนแปลง การตดตาม การปรบปรงอปกรณประมวลผลสารสนเทศ

สงมาก

แนวทางจดการความเสยง จดท ามาตรการควบคมการเปลยนแปลงอปกรณประมวลผล และจดท าเปนลายลกษณอกษร หลกการควบคม 8.1.1 ขนตอนในการปฏบตงานตองจดท าเปนลายลกษณอกษร (Documented operating procedures) 8.1.3 การบรหารจดการขดความสามารถของระบบ (Capacity management)

62



ความเสยงจากโปรแกรมไมประสงคด สงมาก

แนวทางจดการความเสยง ตดตงโปรแกรมสแกนไวรส และท าการปรบปรง (update) อยางสม าเสมอ เพอปองกนโปรแกรมาไมประสงคด หลกการควบคม 8.2.1 มาตรการปองกนโปรแกรมไมประสงคด (Controls against malware)

15. ความเสยง ไมมการส ารองเขอมลสารสนเทศภายในองคกร

สงมาก

แนวทางจดการความเสยง จดท าระบบการส ารองขอมล เพอใหพรอมใชงานอยเสมอ เอกสารทเกยวของ หลกการควบคม 8.3.1 การส ารองขอมล (Information backup)

16. ความเสยง ไมมการบนทกลอก (Event Logging) การใชงานของผใชงาน และกจกรรมของผดแลระบบ

สงมาก

แนวทางจดการความเสยง จดท าระบบบนทกลอกการใชงานของผใชงาน และผดแลระบบ หลกการควบคม 8.4.1 บนทกขอมลลอกแสดงเหตการณ (Event Logging) 8.4.3 ขอมลลอกกจกรรมของผดแลระบบ และเจาหนาทปฏบตการระบบ (Administrator and operator logs)

63



ไมมการควบคมการตดตงซอฟตแวรบนระบบ สงมาก

แนวทางจดการความเสยง จดท านโยบายควบคมการตดตงซอฟตแวร

หลกการควบคม A.12.5.1 การตดตงซอฟตแวรบนระบบใหบรการ (Installation of software on operational systems) 8.6.2 การจ ากดการตดตงซอฟแวร (Restriction on software installation)

18. ความเสยง การโอนถายสารสนเทศไมมการปองกนอยางเหมาะสม

สงมาก

แนวทางจดการความเสยง ระบขอตกลงส าหรบการโอนถายสารสนเทศ หลกการควบคม A.13.2.1 นโยบายและขนตอนปฏบต และมาตรการส าหรบการถายโอนสารสนเทศ (Information transfer policies and procedures) A.13.2.2 ขอตกลงส าหรบการถายโอนสารสนเทศ (Agreements on information transfer) A.13.2.4 ขอตกลงการรกษาความลบหรอการไมเปดเผยความลบ (Confidentiality or non-disclosure agreements)

19. ความเสยง การท าธรกรรมของสารสนเทศ ไมมการปองกนจากการเปลยนแปลงขอมล การเปดเผยขอมล โดยไมไดรบอนญาต

สงมาก

แนวทางจดการความเสยง จดท ามาตรการจดการโดยก าหนดสทธการเขาถงการท าธรกรรม หลกการควบคม 10.1.2 ความมนคงปลอดภยของบรการสารสนเทศบนเครอขายสาธารณะ (Securing application services on public networks) 10.1.3 การปองกนธรกรรมของบรการสารสนเทศ

64



ไมมขอก าหนด และมาตรการส าหรบการจดหา การพฒนา และการบ ารงรกษาระบบ

สงมาก

แนวทางจดการความเสยง จดท าขอก าหนด และมาตรการส าหรบการจดหา การพฒนา และการบ ารงรกษาระบบอยางเปนลายลกษณอกษร หลกการควบคม A.14.1.1 การวเคราะหและก าหนดความตองการดานความมนคงปลอดภยสารสนเทศ (Information security requirements analysis and specification) A.14.2.1 นโยบายการพฒนาระบบใหมความมนคงปลอดภย (Secure development policy) A.14.2.2 ขนตอนปฏบตส าหรบควบคมการเปลยนแปลงระบบ (System Change control procedures) A.14.2.4 การจ ากดการเปลยนแปลงซอฟตแวรส าเรจรป (Restriction on changes to software packages)

21. ความเสยง ไมมนโยบายการเขาถงทรพยสนขององคกรจากผใหบรการภายนอก ทจ าท าเปนลายลกษณอกษร

สงมาก

แนวทางจดการความเสยง จดท านโยบายการเขาถงทรพยสนอยางเปนลายลกษณอกษร และมการบนทกการเขาถงทรพยสน เพอสามารถตรวจสอบได หลกการควบคม A.15.1.1 นโยบายความมนคงปลอดภยสารสนเทศดานความสมพนธกบผใหบรการภายนอก (Information security policy for supplier relationships) A.15.1.2 การระบความมนคงปลอดภยในขอตกลงการใหบรการของผใหบรการภายนอก (Addressing security within supplier agreements)

65



ไมมการรายงานสถานการณความมนคงปลอดภยสารสนเทศทเหมาะสม

สงมาก

แนวทางจดการความเสยง เจาหนาทผเกยวของตองจดท ารายงานสถานการณความมนคงปลอดภยสารสนเทศรายงานใหผบงคบบญชาทราบ หลกการควบคม A.16.1.2 การรายงานสถานการณความมนคงปลอดภยสารสนเทศ (Reporting information security events) A.16.1.3 การรายงานจดออนความมนคงปลอดภยสารสนเทศ (Reporting information security weaknesses)

23. ความเสยง องคกรไมมมาตรการดานความมนคงปลอดภยสารสนเทศประกาศใชอยางเปนลายลกษณอกษร

สง

แนวทางจดการความเสยง จดท ามาตรการดานความมนคงปลอดภยสารสนเทศใชในองคกร และมการตรวจสอบตามรอบระยะเวลาทก าหนด หลกการควบคม A.17.1.1 การวางแผนความตอเนองดานความมนคงปลอดภยสารสนเทศ (Planning information security continuity) A.17.1.2 การปฏบตเพอเตรยมการสรางความตอเนองดานความมนคงปลอดภยสารสนเทศ (Implementing information security continuity) A.17.1.3 การตรวจสอบ การทบทวน และการประเมนความตอเนองดานความนคงปลอดภยสารสนเทศ (Verify, review and evaluate information security continuity)

66

4.6 กำรประเมนควำมเสยงระบบสำรสนเทศหลงกำรบรหำรจดกำรควำมเสยง

ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง

1. A.5 นโยบายความมนคงปลอดภยสารสนเทศ (Information Security Policy) 1.1 ทศทางการบรหารจดการความมนคงปลอดภยสารสนเทศ ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง

1.1.1 การจดท านโยบายส าหรบความมนคงปลอดภยสารสนเทศตองมการจดท าเปนลายลกษณอกษร

จดท านโยบายส าหรบความมนคงปลอดภยสารสนเทศเปนลายลกษณอกษร

3 1 3 ต า

1.1.2 ทบทวนนโยบายตามรอบระยะเวลาทก าหนด

มรอบการทบทวนตามระยะเวลาทก าหนด

3 1 3 ต า

2. A.6 โครงสรางความมนคงปลอดภยสารสนเทศ (Organization of Information) 2.1 โครงสรางภายในองคกร 2.1.1 ตองมการก าหนดความ

รบผดชอบดานความมนคงปลอดภยสารสนเทศ

การก าหนดความรบผดชอบอยางเปนทางการและจดท าเอกสารเปนลายลกษณอกษร

2 1 2 ต า

2.1.2 ตองแยกหนาทงานทจะท าใหเกดการขดตอการปฏบตงานออกจากกน เพอลดโอกาสทจะเกดขน

แยกหนาทงานแตละหนาทอยางชดเจน

1 2 2 ต า

67

ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง (ตอ)


2.1.3 ตองรกษาไวซงการตดตอกบผเกยวของเพอใหสามารถตดตอไดอยางตอเนอง

มการจดท าContact List 1 2 2 ต า

2.1.4 ตองรกษาไวซงการตดตอกบกลมความเชยวชาญดานความมนคงปลอดภยสารสนเทศ

ยงมขอมลส าหรบตดตอกบผทเกยวของ แตตดตอเฉพาะเมอเกดปญหา

1 2 2 ต า

2.1.5 การบรหารโครงการไมวาประเภทใดตองระบความมนคงปลอดภยสารสนเทศของโครงการนน

จดท านโยบายควบคม 1 1 1 ต า

2.2 อปกรณคอมพวเตอรแบบพกพา และการปฏบตงานจากระยะไกล 2.2.1 การใชงานอปกรณคอมพวเตอร

แบบพกพาตองมมาตรการสนบสนน

มนโยบายควบคม 2 1 2 ต า

2.2.2 ตองมมาตรการสนบสนนการเขาถง การประมวลผล หรอการจดเกบ

ไมอนญาตใหใชงานระบบจากสถานทหนงเชอมตอเขามาภายในโรงเรยน

1 1 1 ต า

68



3. A.7 ความมนคงปลอดภยส าหรบทรพยากรบคคล (Human Resource Security) 3.1 กอนการจางงาน 3.1.1 ตองมการตรวจสอบภมหลงของ

ผสมครงานโดยใหสอดคลองกบกฎหมาย

จดท านโยบายและมาตรการควบคม 2 1 2 ต า

3.1.2 ขอตกในและเงอนไขในสญญาจางตองกลาวถงหนาทรบผดชอบดานความมนคงปลอดภยสารสนเทศของพนกงาน


3.2 ระหวางการจางงาน 3.2.1 ตองก าหนดใหผท าสญญาจาง

รกษาความมนคงปลอดภยสารสนเทศ


3.2.2 พนกงานตองไดรบการฝกอบรมดานความมนคงปลอดภยสารสนเทศ

ปจจบนยงไมมการอบรม แตไดจดท านโยบายมาตการ วางแพลนในการจดฝกอบรม

2 1 2 ต า

69



3.2.3 ตองมการก าหนดกระบวนการทางวนยอยางเปนทางการ


3.3 การสนสดหรอการเปลยนการจางงาน 3.3.1 การถอนสทธในการเขาถงเมอม

การสนสด หรอเปลยนการจางงาน


4. A.8 การบรหารจดการทรพยสน (Asset Management) 4.1 หนาทความรบผดชอบตอทรพยสน 4.1.1 ตองมการจดท าทะเบยน

ทรพยสน และปรบปรงใหทนสมย

มการจดท าทะเบยนทรพยสนและใหมการปรงปรงขอมลใหทนสมยอยเสมอ

2 1 1 ต า

4.1.2 ทรพยสนในทะเบยนตองมผถอครอง

จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร

2 1 1 ต า

4.1.3 การใชงานทรพยสนตองมการระบ จดท าเปนลายลกษณอกษร


2 1 1 ต า

4.1.4 ตองมการคนทรพยสนเมอสนสดการจางงาน


2 1 1 ต า

70



4.2 การจดชนความลบของสารสนเทศ 4.2.1 การจดชนความลบโดย

พจารณาดานกฎหมาย คณคาระดบความส าคญ หากถกเปดเผยโดยไมไดรบอนญาต


3 1 3 ต า

4.2.2 การจดท าปายชอ และการจดการทรพยสนสารสนเทศ


2 1 2 ต า

4.2.3 การจดการทรพยสนตองมการจดท า และปฏบตตาม


2 1 2 ต า

4.3 การจดการสอบนทกขอมล 4.3.1 ตองมการบรหารจดการสอ

บนทกขอมลทถอดแยกได จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร

3 1 3 ต า

4.3.2 การท าลายสอบนทกขอมล ตองมการท าลายทงอยางปลอดภย


3 1 3 ต า

4.3.3 ตองมการปองกนสอบนทกขอมลทอาจถกเขาถงอยางไมไดรบอนญาต


3 1 3 ต า

71



5. A9. การควบคมการเขาถง (Access Control) 5.1 ความตองการทางธรกจส าหรบการควบคมการเขาถง 5.1.1 ตองมการควบคมการเขาถง และ

จดท าเปนลายลกษณอกษร จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร

3 1 3 ต า

5.1.2 ตองมการควบคมการเขาถง เครอขายและบรการตามทตนไดรบอนมตเทานน


3 1 3 ต า

5.2 การบรหารจดการการเขาถงของผใชงาน 5.2.1 การถอนสทธการใชงานตองม

กระบวนการอยางเปนทางการ จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร

3 1 3 ต า

5.2.2 การจดการสทธการเขาถงทกระบบทงหมดตองมการจดการ


3 1 3 ต า

5.2.3 ตองมการจดการสทธการเขาถงตามระดบสทธ


3 1 3 ต า

5.2.4 ตองมการจดการขอมลการพสจนตวตนของผใชงาน


3 1 3 ต า

72



5.2.5 การทบทวนสทธการเขาถงตามรอบเวลา


3 1 3 ต า

5.2.6 การถอดถอนหรอปรบปรงการเขาถงตองไดรบการถอดถอนเมอสนสดการท างาน


3 1 3 ต า

5.3 หนาทความรบผดชอบของผใชงาน 5.3.1 ขอมลในการพสจนตวตนตอง

เกบเปนความลบ จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร

2 1 2 ต า

5.4 การควบคมการเขาถงระบบ 5.4.1 ตองมการจ ากดการเขาถง

สารสนเทศ และฟงกชนในระบบงาน


2 1 2 ต า

5.4.2 ตองมการก าหนดการเขาระบบทมความมนคงปลอดภย


2 1 2 ต า

5.4.3 ตองมการจดการรหสผานทปฏสมพนธกบผใชงาน


2 1 2 ต า

5.4.4 ตองมการจ ากดการใชงานโปรแกรมอรรถประโยชน


2 1 2 ต า

73



5.4.5 ตองมการจ ากดการเขาถงซอรสโคดของโปรแกรม

การเขาถงซอรสโคดของโปรแกรมเปนสทธของVendor โดยมสญญาจางงานควบคม


6. A10. การเขารหสขอมล (Cryptography) 6.1 มาตรการเขารหสขอมล 6.1.1 ตองมนโยบายการใชมาตรการ

การเขารหสขอมล จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร

3 1 3 ต า

6.1.2 ตองมการปองกน มอายการใชงานของกญแจ

ไมมการเขารหสขอมล 3 1 3 ต า

7. A.11 ความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical and environmental Security) 7.1 พนททตองการการรกษาความมนคงปลอดภย 7.1.1 ตองมการก าหนดขอบเขต

โดยรอบทางกายภาพ จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร

3 1 3 ต า

7.1.2 ตองมการควบคมการเขาออกทางกายภาพ


3 1 3 ต า

7.1.3 ตองมการรกษาความมนคงปลอดภยทางกายภาพของส านกงาน


3 1 3 ต า

74



7.1.4 ตองมการปองกนตอภยคกคามจากภายนอกและสภาพแวดลอม


3 1 3 ต า

7.1.5 ตองมการจดท าขนตอนปฏบตส าหรบการปฏบตงานในพนท


3 1 3 ต า

7.1.6 ตองมจดหรอบรเวณส าหรบการรบสงสงของ


3 1 3 ต า

7.2 อปกรณ 7.2.1 ตองมการจดตงอปกรณปองกน

เพอลดความเสยงจากภยคกคาม และอนตรายดานสภาพแวดลอม


3 1 3 ต า

7.2.2 อปกรณตองไดรบการปองกนจากการลมเหลวของกระแสไฟฟา


2 1 2 ต า

7.2.3 การเดนสายไฟตองมการปองกนจากการขดขวางการท างาน หรอการท าใหเสยหาย


2 1 2 ต า

7.2.4 ตองมการบ ารงรกษาอปกรณอยางถกตองเพอใหมสภาพพรอมใชงาน


2 1 2 ต า

75



7.2.5 อปกรณ สารสนเทศ หรอซอฟแวร ตองไมมการน าออกนอกส านกงาน


2 1 2 ต า

7.2.6 ทรพยสนทใชงานอยนอกส านกงานตองมการรกษาความมนคงปลอดภย


2 1 2 ต า

7.2.7 การท าลายหรอก าจดอปกรณ ตองมใบอนญาตลบทง หรอเขยนทบ


3 1 3 ต า

7.2.8 อปกรณททงไวโดยไมมผดแลตองมการปองกนอยางเหมาะสม


3 1 3 ต า

7.2.9 โตะท างานตองปราศจากเอกสารส าคญ เพอปองกนการเขาถงทางกายภาพตอเอกสารและขอมลส าคญขององคกร


3 1 3 ต า

76



8. A.12 ความมนคงปลอดภยส าหรบการด าเนนงาน (Operations Security) 8.1 ขนตอนการปฏบตงานและหนาทความรบผดชอบ 8.1.1 ขนตอนในการปฏบตงานตอง

จดท าเปนลายลกษณอกษร จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร

2 1 2 ต า

8.1.2 การเปลยนแปลงตออปกรณประมวลผลสารสนเทศและระบบ ตองมการควบคมการด าเนนการ


3 1 3 ต า

8.1.3 การใชทรพยากรของระบบตองมการตดตาม ปรบปรง และคาดการณความตองการเพมเตมในอนาคต


2 1 2 ต า

8.1.4 สภาพแวดลอมส าหรบการพฒนา การทดสอบ และการใหบรการ ตองมการจดท าแยกกนเพอลดความเสยง

การพฒนาเปนหนาทของผใหบรการ ทางองคกรไมไดพฒนา และทดสอบเอง

1 1 1 ต า

77



8.2 การปองกนโปรแกรมไมประสงคด 8.2.1 มาตรการตรวจหา ปองกน และ

การกคนจากโปรแกรมไมประสงคด ตองมการด าเนนการอยาเหมาะสม


3 1 3 ต า

8.3 การส ารองขอมล 8.3.1 ตองมการด าเนนการส ารองขอมล

สารสนเทศ ซอฟตแวร และอมเมจของระบบไว และมการท าสอบความพรอมใชงาน


3 1 3 ต า

8.4 การบนทกขอมลลอก(Event Logging) และการเฝาระวง 8.4.1 ตองมการบนทกขอมลลอกแสดง

เหตการณบนทกกจกรรมของผใชงาน

เปนหนาทของVendor ในการบนทกลอกแสดงเหตการณกจกรรม

3 1 3 ต า

8.4.2 อปกรณบนทกขอมลลอกตองไดรบการปองกนจากการเปลยนแปลงแกไข

เปนหนาทของVendor ในการจดการ 3 1 3 ต า

78



8.4.3 ขอมลลอกกจกรรมของผดแลระบบตองมการบนทกไว และตองมการปองกนทบทวนอยางสม าเสมอ

เปนหนาทของVendor ในการจดการ 3 1 3 ต า

8.4.4 ตองตงนาฬกาของระบบทเกยวของทงหมดในองคกรใหตรงและถกตอง

ตงใหกบอพเดตกบอนเตอรเนต 1 1 1 ต า

8.5 การควบคมการตดตงซอฟตแวร 8.5.1 การตดตงซอฟตแวรบนระบบ

ตองมการควบคม จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร

1 2 2 ต า

8.6 การบรหารจดการชองโหวทางเทคนค 8.6.1 ตองมการตดตามขอมลชอง

โหวทางเทคนค ตองมการประเมนและมมาตรการทเหมาะสมเพอจดการ


2 1 2 ต า

8.6.2 ตองมกฎเกณฑควบคมการตดตงซอฟตแวร


1 2 2 ต า

79



8.7 สงทตองพจารณาในการตรวจประเมนระบบ 8.7.1 การตรวจประเมนระบบ

ใหบรการตองมการวางแผนและตกลงรวมกนเพอลดโอกาสการหยดชะงกตอกระบวนการท างาน


3 1 3 ต า

9. A.13 ความมนคงปลอดภยส าหรบการสอสารขอมล (Communications security) 9.1 การบรหารจดการความมนคงปลอดภยของเครอขาย 9.1.1 เครอขายตองมการบรหาร

ควบคมเพอปองกนสารสนเทศระบบตางๆ


3 1 3 ต า

9.1.2 ความตองการในสวนของผบรหาร ตองมการระบรวมไวในขอตกลงการใหบรการเครอขาย


2 1 2 ต า

9.1.3 กลมของการบรการสารสนเทศผใชงาน และระบบตองมการจดแบงเครอขายตามกลม


2 1 2 ต า

80



9.2 การถายโอนสารสนเทศ (Information transfer) 9.2.1 การปองกนสารสนเทศทมการ

ถายโอนขอมลใหมความมนคงปลอดภย


2 1 2 ต า

9.2.2 ตองมการระบขอตกลงส าหรบการโอนถายสารสนเทศกบองคกรภายนอก


2 1 2 ต า

9.2.3 การสงขอความทางอเลกทรอนกสตองไดรบการปองกนอยางเหมาะสม


2 1 2 ต า

9.2.4 การไมเปดเผยความลบขององคกรการปองกนสารสนเทศตองมการทบทวนและจดท าเปนลายลกษณอกษร


3 1 3 ต า

10. A.14 การจดหา การพฒนา และการบ ารงรกษาระบบ (System acquisition, development and maintenance) 10.1 ความตองการดานความมนคงปลอดภยของระบบ

81



10.1.1 ความมนคงปลอดภยสารสนเทศตองรวมเขากบความตองการส าหรบระบบใหม หรอการปรบปรงทมอยแลว


2 1 2 ต า

10.1.2 การบรการสารสนเทศทมการสงผานเครอขายสาธารณะตองไดรบการปองกนจากการฉอโกง การโตเถยง และการเปดเผยโดยไมไดรบอนญาต


2 1 2 ต า

10.1.3 สารสนเทศทเกยวกบธรกรรมตองไดรบการปองกนจากการรบสงขอมลทไมสมบรณ การสงขอมลผดเสนทาง การเปลยนแปลงขอความโดยไมไดรบอนญาต การเปดเผยโดยไมไดรบอนญาต


2 1 2 ต า

10.2 ความมนคงปลอดภยส าหรบกระบวนการพฒนา และสนบสนน

82



10.2.1 ตองมการก าหนดกฎเกณฑส าหรบการพฒนาซอฟตแวรขององคกร


1 1 1 ต า

10.2.2 ตองไมอนญาตใหมการเปลยนแปลงซอฟตแวรส าเรจรป จดการเปลยนแปลงเทาทจ าเปน และตองมการควบคมอยางรดกม



10.2.3 เมอมการเปลยนแปลงโครงสรางพนฐานของระบบทส าคญตองมการทบทวนและทดสอบ


3 1 3 ต า

10.2.4 ตองจ ากดการเปลยนแปลงตอซอฟตแวรส าเรจรป ตองมการควบคมอยางรดกม


2 1 2 ต า

10.2.5 หลกการวศวกรรมระบบตองมการจดท าเปนลายลกษณอกษร ปรบปรงอยางตอเนอง

ไมมการจดท า 3 1 3 ต า

83



10.2.6 ตองจดท า และปองกนอยางเหมาะสมตอสภาพแวดลอมของการพฒนาระบบทมความมนคงปลอดภย

การพฒนาระบบเปนสวนงานของผใหบรการ (Vendor)

1 1 1 ต า

10.2.7 ตองก ากบดแล เฝาระวง และตดตามกจกรรมการพฒนาระบบทจางหนวยงานภายนอก


3 1 3 ต า

10.2.8 ตองมการทดสอบคณสมบตดานความมนคงปลอดภยในระหวางทระบบอยในชวงการพฒนา


1 1 1 ต า

10.2.9 ตองมการจดท าแผนการทดสอบเพอรบรองระบบส าหรบระบบใหม และระบบทปรบปรง


1 1 1 ต า

10.3 ขอมลส าหรบการทดสอบระบบ (Test data)

84



10.3.1 ขอมลส าหรบการทดสอบตองมการคดเลอกอยางระมดระวง มการปองกนและควบคม



11. A.15 ความสมพนธกบผใหบรการภายนอก (Supplier relationships) 11.1.1 การเขาถงทรพยสนขององคกร

จากผใหบรการภายนอกตองมการก าหนดและจดท าเปนลายลกษณอกษร


3 1 3 ต า

11.1.2 การก าหนดและตกลง ในเรองการเขาถงการประมวลผล การจดเกบ การสอสารและการใหบรการกบผใหบรการภายนอก


3 1 3 ต า

11.1.3 ตองมการระบความเสยงอนเกดจากการใหบรการ และการสอสารโดยผใหบรการภายนอก


3 1 3 ต า

11.2 การบบรหารจดการการใหบรการโดยผใหบรการภายนอก

85



11.2.1 การตดตามและทบทวนบรการของผใหบรการภายนอก


3 1 3 ต า

11.2.2 การเปลยนแปลงผใหบรการภายนอก ตองมการบรหารจดการและตองทบทวนการประเมนความเสยงใหม


3 1 3 ต า

12. A.16 การบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ (Information Security Incident Management) 12.1.1 ตองมการก าหนดหนาทความ

รบผดชอบและขนตอนการบรหารจดการเพอใหมการตอบสนองอยางรวดเรวไดผล


3 1 3 ต า

12.1.2 ตองมการรายงานสถานการณความมนคงปลอดภยสารสนเทศผานทางชองทางการบรหารทเหมาะสม


3 1 3 ต า

12.1.3 ตองมการสงเกตและรายงานจดออนของระบบหรอบรการทพบ หรอทสงสย


3 1 3 ต า

86



12.1.4 ตองมการประเมนความมนคงและตดสนวาสถานการณนนเปนเหตการณความมนคงปลอดภยสารสนเทศหรอไม


2 1 2 ต า

12.1.5 เหตการณความมนคงปลอดภยสารสนเทศตองไดรบจดการกบปญหาตามทไดจดท าไวเปนลายลกษณอกษร


3 1 3 ต า

12.1.6 ความรทไดรบจากการวเคราะห และแกไขเหตการณความมนคงปลอดภยสารสนเทศตองถกน ามาให เพอลดผลกระทบของเหตการณในอนาคต

มการน าความรจากการแกไขปญหาในครงกอนมาใชแกไขปญหาทเกดขนในปจจบน และมการวางแผนในอนาคต จดท าเปนลายลกษณอกษร

3 1 3 ต า

12.1.7 ตองมการรวบรวม จดหา และการจดเกบสารสนเทศซงสามารถใชเปนหลกฐาน

มการจดท าเปนเอกสารทเปนลายลกษณอกษร

2 1 2 ต า

87



13. A.17 ประเดนดานความมนคงปลอดภยสารสนเทศของการบรหารจดการเพอสรางความตอเนองทางธรกจ (Information security aspects of business continuity management) 13.1.1 ตองก าหนดความตองการดาน

ความมนคงปลอดภยสารสนเทศและสถานการณความเสยหายทเกดขน


2 1 2 ต า

13.1.2 องคกรตองจดท าขนตอนปฏบต มาตรการทเปนลายลกษณอกษร เพอใหมความตอเนองดานความมนคงปลอดภยสารสนเทศ


2 1 2 ต า

13.1.3 องคกรตองมการตรวจสอบมาตรฐานตามรอบระยะเวลาทก าหนดไวเพอใหมนใจวามาตรการเหลานนยงถกตองและไดผลเมอมสถานการณความเสยหายเกดขน


2 1 2 ต า

88



13.2 การเตรยมการอปกรณประมวลผลส ารอง (Redundancies) 13.2.1 อปกรณประมวลผลตองเตรยม

ไวอยางเพยงพอเพอใหตรงตามความตองการ


2 1 2 ต า

14. A.18 ความสอดคลอง (Compliance) 14.1 ความสอดคลองกบความตองการดานกฎหมายและในสญญาจาง

14.1.1 การระบกฎหมายและความตองการในสญญาจางทเกยวของ


1 1 1 ต า

14.1.2 สทธในทรพยสนทางปญญาตองมความสอดคลองกบความตองการทางกฎหมาย ระเบยบขอบงคบและสญญาจาง


2 1 2 ต า

14.1.3 ขอมลขององคกรตองไดรบการปกปองจาการสญหาย การถกท าลาย การปลอมแปลงและเขาถงโดยไมไดรบอนญาต


3 1 3 ต า

89



14.1.4 ความเปนสวนตวและการปองกนขอมลสวนบคคลตองมการด าเนนการใหสอดคลองกบกฎหมายและระเบยบขอบงคบ


1 1 1 ต า

14.1.5 การเขารหสขอมลตองมการใชใหสอดคลองกบขอตกลง กฎหมาย และระเบยบขอบงคบทเกยวของ


2 1 2 ต า

14.2 การทบทวนความมนคงปลอดภยสารสนเทศ 14.2.1 วธการในการบรหารจดการ

ความมนคงปลอดภยสารสนเทศ ตองมการทบทวนตามรอบระยะเวลา


3 1 3 ต า

14.2.2 ตองมการทบทวนความสอดคลองของการปฏบตทอยภายใตความรบผดชอบของตนเอง โดยเทยบกบนโยบาย มาตรฐานทเกยวของ


3 1 3 ต า

90



14.2.3 ความสอดคลองทางเทคนคตองมการทบทวนอยางสม าเสมอ เพอพจารณาความสอดคลองกบนโยบาย และมาตรฐานดานความมนคงปลอดภยสารสนเทศขององคกร


3 1 3 ต า

91

4.7 สรปจ ำนวนควำมเสยงหลงกำรบรหำรจดกำรควำมเสยง

จากการประเมนความเสยงจากตวควบคมโดยอางองตามมาตรฐาน ISO27001:2013 ตามหวขอ A.5 – A.8 สามารถสรปการประเมนแบงตามระดบความเสยงไดดงน

ตำรำงท 4.5 ตารางสรปจ านวนความเสยงทหลงเหลอ

ล าดบ ระดบความเสยง คะแนน จ านวน

1 สงมาก 13-16 0 2 สง 9-12 0 3 ปานกลาง 4-8 5 4 ต า 1-3 109

92

บทท 5

สรปผลกำรด ำเนนงำน

5.1สรปผลกำรด ำเนนโครงงำน

จากการด าเนนโครงงานไดมการเกบรวบรวมขอมลปญหาตางๆของระบบสารสนเทศขององคกร และประเมนความเสยงของระบบโดยการสอบถามจากผปฏบตงานและผเกยวของท าใหทราบวาระบบสารสนเทศในองคกรมระดบความเสยงอยทสงมากเปนสวนใหญ หลงจากทไดประเมนความเสยงแลว จงไดจดท าแผนลดความเสยง โดยการก าหนดนโยบายขนมาใชภายในองคกร เพอเปนกรอบในการปฏบตงาน และหลงจากทไดมแผนปฏบตงานแลว จะเหนไดวาความเสยงอยในเกณฑทนองลงโดยสามารถสรปผลการประเมนความเสยงไดดงน

0

20

40

60

80

100

120

รปท 5.1 ผลการประเมนความเสยง

93

5.2 ขอเสนอแนะ

ระบบสารสนเทศไดมการพฒนาใหกาวหนาอยางรวดเรวอยตลอดเวลา ดงนนจงควรมการทวนสอบนโยบายตามระยะเวลาทก าหนด ปรบปรงนโยบายทใช เพอใหนโยบายมความเหมาะสมกบสถานการณทเปลยนไป ไมเกดชองโหว เหมาะสมกบสภาวะปจจบน และรองรบการเตมโตในอนาคตขององคกร

94

เอกสำรอำงอง

[1] ศนยเทคโนโลยสารสนเทศและการสอสาร ส านกงานปลดกระทรวงยตธรรม.ISO/IEC27001 ระบบบรหารจดการความมนคงปลอดภยสารสนเทศ.[Online].Available

http://issuu.com/umapornkongmeng/docs/iso27001

[2] ปรญญ เสรพงศ,"โครงสรางมาตรฐานISO/IEC 27001",หนาท19,ISO27001 Introduction to Information Security Management Syetem,ชนรดา อนเทยง,กรงเทพฯ:บรษท อมรนทรพรนตงแอนดพบลชชง จ ากด(มหาชน), 2551.

[3]วชศกด. พระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550. [Online].Available http://law.longdo.com/law/572

[4]บรษท ท-เนต จ ากด.มาตรฐานISO/IEC27001:2013.[Online].Available http://www.tnetsecurity.com/content_audit/27001-2013.pdf

[5] Information technology - Security techniques-Information-Code of practive for information security controls:2013[Online].Available http://www.iso27001security.com/html/27001.html

http://law.longdo.com/law/572

http://www.tnetsecurity.com/content_audit/27001-2013.pdf

ก-1

ภาคผนวก ก

เอกสารขออนญาตองคกรกรณศกษาในการท าวจย

ก-2

ข-1

ภาคผนวก ข

เอกสารระบการปฏบตตามหลกการควบคมทางดานความมนคงปลอดภย

ของมาตรฐาน ISO/IEC 27001:2013

ข-2

เอกสารระบการปฏบตตามหลกการควบคมดานความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001 (Statement of Applicability)

ล าดบ หวขอ การบรหารจดการ

น ามาใช เอกสาร A.5 นโยบายความมนคงปลอดภยสารสนเทศ (Information security policies) 5.1 นโยบายความมนคงปลอดภยสารสนเทศ (Information Security Policy)

1. 5.1.1 นโยบายส าหรบความมนคงปลอดภยสารสนเทศ (Policies for information security)

DSIT05-01

2. 5.1.2 การทบทวนนโยบายส าหรบการบรหารจดการความมนคงปลอดภยสารสนเทศ (Review of the policies for information security)

DSIT06-01

A.6 โครงสรางความมนคงปลอดภยสารสนเทศ(Organization of information security) 6.1 โครงสรางภายในองคกร (Internal organization)

3. 6.1.1 บทบาทและหนาทความรบผดชอบดานความมนคงปลอดภยสารสนเทศ (Information security roles and responsibilities)

DSIT06-01

4. 6.1.2 การแบงแยกหนาทความรบผดชอบ (Segregation of duties)

DSIT06-01

5. 6.1.3 การตดตอกบหนวยงานผมอ านาจ (Contact with authorities)

DSIT06-01

6. 6.1.4 การตดตอกบกลมทมความสนใจเปนพเศษในเรองเดยวกน (Contact with special interest groups)

DSIT06-01

7. 6.1.5 ความมนคงปลอดภยสารสนเทศกบการบรหารจดการโครงการ (Information security in project management)

การจดท าโครงการตางๆผใหบรการเปนผรบผดชอบในสวนน

ข-3



น ามาใช เอกสาร 6.2 อปกรณคอมพวเตอรแบบพกพา และการปฏบตงานจากระยะไกล (Mobile devices and teleworking)

8. 6.2.1 นโยบายส าหรบอปกรณคอมพวเตอรแบบพกพา (Mobile device policy)

DSIT08-01

9. 6.2.2 การปฏบตงานจากระยะไกล (Teleworking)

ไมอนญาตใหมการปฏบตงานจากภายนอก รวมถงการเชอมตอจากภายนอกเขามาใชระบบภายใน

A.7 ความมนคงปลอดภยส าหรบทรพยากรบคคล (Human resource security) 7.1 กอนการจางงาน (Prior to employment)

10. 7.1.1 การคดเลอก (Screening) DSIT07-01 11. 7.1.2 ขอตกลงและเงอนไขในการจางงาน

(Terms and conditions of employment) DSIT07-01

7.2 ระหวางการจางงาน (During employment) 12. 7.2.1 หนาทความรบผดชอบของผบรหาร

(Management responsibilities) DSIT07-01

13. 7.2.2 การสรางความตระหนก การใหความร และการฝกอบรมดานความมนคงปลอดภยสารสนเทศ (Information security awareness, education and training)

DSIT05-01

14. 7.2.3 กระบวนการทางวนย (Disciplinary process)

DSIT07-01

7.3 การสนสดหรอการเปลยนการจางงาน (Termination and change of employment) 15. 7.3.1 การสนสดหรอการเปลยนหนาท

ความรบผดชอบของการจางงาน (Termination or change of employment responsibilities)

DSIT07-01

ข-4



น ามาใช เอกสาร A.8 การบรหารจดการทรพยสน (Asset management) 8.1 หนาทความรบผดชอบตอทรพยสน(Responsibility for assets)

16. 8.1.1 บญชทรพยสน (Inventory of asset) DSIT08-01

17. 8.1.2 ผถอครองทรพยสน (Ownership of assets)

DSIT08-01

18. 8.1.3 การใชทรพยสนอยางเหมาะสม (Acceptable use of assets)

DSIT08-01

19. 8.1.4 การคนทรพยสน (Return of assets)

DSIT08-01 DSIT08-02F

8.2 การจดชนความลบของสารสนเทศ (Information classification) 20. 8.2.1 ชนความลบของสารสนเทศ

(Classification of information) DSIT08-02P

21. 8.2.2 การบงชสารสนเทศ (Labeling of information)

DSIT08-02P

22. 8.2.3 การจดการทรพยสน (Handling of assets)

DSIT08-02P

8.3 การจดการสอบนทกขอมล (Media Handling) 23. 8.3.1 การบรหารจดการสอบนทกขอมลท

ถอดแยกได (Management of removable media)

DSIT08-03

24. 8.3.2 การท าลายสอบนทกขอมล (Disposal of media)

DSIT08-03

25. 8.3.3 การขนยายสอบนทกขอมล (Physical media transfer)

DSIT08-03

ข-5



น ามาใช เอกสาร A.9 การควบคมการเขาถง (Access Control) 9.1 ความตองการทางธรกจส าหรบการควบคมการเขาถง (Business requirement of access control)

26. 9.1.1 นโยบายควบคมการเขาถง (Access control policy)

DSIT09-03P

27. 9.1.2 การเขาถงเครอขายและการบรการเครอขาย (Access to networks and network services)

มแผนด าเนนการจดท าเพมเตมในสวนของการรองขอใชงานWi-fiภายใน

9.2 การบรหารจดการการเขาถงของผใชงาน (User access management) 28. 9.2.1 การลงทะเบยนและถอดถอนสทธ

ผใชงาน (User registration and deregistration)

DSIT09-01P

29. 9.2.2 การจดการสทธการเขาถงของผใชงาน (User access provisioning)

DSIT09-01P

30. 9.2.3 การบรหารจดการสทธการเขาถงตามระดบสทธ (Management of privileged access right)

DSIT09-01P

31. 9.2.4 การบรหารจดการขอมลความลบส าหรบการพสจนตวจนของผใชงาน (management of secret authentication information of users)

DSIT09-01P

32. 9.2.5 การทบทวนสทธการรเขาถงของผใชงาน (Review of user access rights)

DSIT09-01

33. 9.2.6 การถอดถอนหรอปรบปรงสทธการเขาถง (Removal or adjustment of access rights)

DSIT09-01

ข-6



น ามาใช เอกสาร 9.3 หนาทความรบผดชอบของผใชงาน (User responsibilities)

34. 9.3.1 การใชขอมลการพสจนตวตนซงเปนขอมลลบ (User of secret authentication information)

DSIT09-02

9.4 การควบคมการเขาถงระบบ (System and application access control) 35. 9.4.1 การจ ากดการเขาถงสารสนเทศ

(Information access restriction) DSIT09-04P

36. 9.4.2 ขนตอนปฏบตส าหรบการลอกอนเขาระบบทมความมนคงปลอดภย (Secure log-on procedures)

DSIT09-04P

37. 9.4.3 ระบบบรหารจดการรหสผาน (Password management system)

DSIT09-04P

38. 9.4.4 การใชโปรแกรมอรรถประโยน (Use of privileged utility programs)

DSIT09-04P

39. 9.4.5 การควบคมการเขาถงซอรสโคดของโปรแกรม (Access control to program source code)

ใหบรการเปนผด าเนนการ

A.10 การเขารหสขอมล (Cryptography) 10.1 มาตรการเขารหสขอมล (Cryptographic controls)

40. 10.1.1 นโยบายการใชมาตรการเขารหสขอมล (Policy on the use of cryptographic controls)

DSIT10-01

41. 10.1.2 การบรหารจดการกญแจ (Key management)

DSIT10-01

ข-7



น ามาใช เอกสาร A.11 ความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical and environmental Security) 11.1 พนททตองการการรกษาความมนคงปลอดภย (Secure areas)

42. 11.1.1 ขอบเขตหรอบรเวณโดยรอบทางกายภาพ (Physical security perimeter)

DSIT11-01 DSIT11-02

43. 11.1.2 การควบคมการเขาออกทางกายภาพ (Physical entry controls)

DSIT11-01 DSIT11-02

44. 11.1.3 การรกษาความมนคงปลอดภยส าหรบส าหนกงานหองท างาน และอปกรณ (Securing office, room and facilities)

DSIT11-01 DSIT11-02

45. 11.1.4 การปองกนตอภยคกคามจากภายนอก และสภาพแวดลอม (Protecting against external end environmental theats

DSIT11-01 DSIT11-01P DSIT11-02

46. 11.1.5 การปฏบตงานในพนททตองการการรกษาความมนคงปลอดภย (Working in secure areas)

DSIT11-02P

47. 11.1.6 พนทส าหรบรบสงสงของ (Delivery and loading areas)

DSIT11-01 DSIT11-02

11.2 อปกรณ (Equipment) 48. 11.2.1 การจดตงและปองกนอปกรณ

(Equipment sitting and protection) DSIT11-03

49. 11.2.2 ระบบและอปกรณสนบสนนการท างาน (Supporting utilities)

DSIT11-03

50. 11.2.3 ความมนคงปลอดภยของการเดนสายสญญาณและสายสอสาร (Cabling security

DSIT11-03

ข-8



น ามาใช เอกสาร 51. 11.2.4 การบ ารงรกษาอปกรณ Equipment

maintenance) DSIT11-03

DSIT11-03P 52. 11.2.5 การน าทรพยสนขององคกรออก

จากส านกงาน (Removal of assets) DSIT11-03

53. 11.2.6 ความมนคงปลอดภยของอปกรณและทรพยสนทใชงานอยภายนอกส านกงาน (Security of equipment and assets off-premises)

DSIT11-03

54. 11.2.7 ความมนคงปลอดภยส าหรบการก าจดหรอท าลายอปกรณ หรอการน าอปกรณไปใชงานอยางอน (Secure disposal or re-use of equipment)

DSIT11-03

55. 11.2.8 อปกรณของผใชงานททงไวโดยไมมผดแล (Unattended user equipment)

DSIT11-04

56. 11.2.9 นโยบายโตะท างานปลอดเอกสารส าคญและนโยบายการปองกนหนาจอคอมพวเตอร (Clear desk and clear screen policy)

DSIT11-04

A.12 ความมนคงปลอดภยส าหรบการด าเนนงาน (Operations Security) 12.1 ขนตอนการปฏบตงานและหนาทความรบผดชอบ (Operational Procedures and Responsibilities)

57. 12.1.1 ขนตอนการปฏบตงานทเปนลายลกษณอกษร (Documented operating procedures)

DSIT12-01P

58. 12.1.2 การบรหารจดการการเปลยนแปลง (Change management)

DSIT12-01P

59. 12.1.3 การบรหารจดการขดความสามารถของระบบ (Capacity management)

DSIT12-01P

ข-9



น ามาใช เอกสาร 60. 12.1.4 การแยกสภาพแวดลอมส าหรบการ

พฒนา การทดสอบ และการใหบรการออกจากกน (Separation of development, testing and operational environments)

การพฒนาระบบเปนสวนของผใหบรการเปนผด าเนนการ

12.2 การปองกนโปรแกรมไมประสงคด (Protection from Malware) 61. 12.2.1 มาตรการปองกนโปรแกรมไม

ประสงคด (Control against malware) DSIT12-02P

12.3 การส ารองขอมล (Backup) 62. 12.3.1 การส ารองขอมล (Information

backup) DSIT09-02

12.4 การบนทกขอมลลอกและการเฝาระวง (Logging and Monitoring) 63. 12.4.1 การบนทกขอมลลอกแสดง

เหตการณ (Event Logging) ลอกแสดงขอมลการ

ใชโปรแกรมผใหบรการเปนผด าเนนการ

64. 12.4.2 การปองกนขอมลลอก (Protection of log information)

ผใหบรการเปนผด าเนนการ

65. 12.4.3 ขอมลลอกกจกรรมของผดแลระบบและเจาหนาทปฏบตการระบบ (Administrator and operator logs)


66. 12.4.4 การตงนาฬกาใหถกตอง (Clock Synchronization)

12.5 การควบคมการตดตงซอฟตแวร (Control of operational software) 67. 12.5.1 การตดตงซอฟตแวรบนระบบ

ใหบรการ (Installation of software on operational systems

DSIT12-04

12.6 การบรหารจดการชองโหวทางเทคนค (Technical Vulnerability Management)

ข-10



น ามาใช เอกสาร 68. 12.6.1 การบรหารจดการชองโหวทาง

เทคนค (Management of technical vulnerabilities)

DSIT12-03

69. 12.6.2 การจ ากดการตดตงซอฟตแวร (Restrictions on software installation)

DSIT12-03

12.7 สงทตองพจารณาในการตรวจประเมนระบบ (Information Systems Audit Considerations)

70. 12.7.1 มาตรการการตรวจประเมนระบบ (Information System audit controls)

ยงไมมการจดท าแผนตรวจประเมนระบบ แตมแผนวาจะจดท าขนภายหลง

A.13 ความมนคงหลอดภยส าหรบการสอสารขอมล (Communications security) 13.1 การบรหารจดการความมนคงปลอดภยของเครอขาย (Network Security Management)

71. 13.1.1 มาตรการเครอขาย (Network controls)

DSIT13-01

72. 13.1.2 ความมนคงปลอดภยส าหรบบรการเครอขาย (Security of network services)

DSIT13-01

73. 13.1.3 การแบงแยกเครอขาย (Segregation in networks)

DSIT13-01

13.2 การถายโอนสารสนเทศ (Information transfer) 74. 13.2.1 นโยบายและขนตอนปฏบตส าหรบ

การถายโอนสารสนเทศ (Information transfer policies and procedures)

DSIT13-02

75. 13.2.2 ขอตกลงส าหรบการถายโอนสารสนเทศ (Agreements on information transfer)

DSIT13-02

76. 13.2.3 การสงขอความทางอเลกทรอนกส (Electronic messaging)

DSIT13-02

ข-11



น ามาใช เอกสาร 77. 13.2.4 ขอตกลงการรกษาความลบหรอการ

ไมเปดเผยความลบ (Confidentiality or non-disclosure agreements)

DSIT13-02

A.14 การจดหา การพฒนา และการบ ารงรกษาระบบ (System acquisittion, development and maintenance) 14.1 ความตองการดานความมนคงปลอดภยของระบบ (Security requirements of information systems)

78. 14.1.1 การวเคราะหและก าหนดความตองการดานความมนคงปลอดภยสารสนเทศ (Information security requirements analysis and specification)

DSIT14-01

79. 14.1.2 ความมนคงปลอดภยของบรการสารสนเทศบนเครอขายสารธารณะ (Securing application services on public networks)

DSIT14-01

80. 14.1.3 การปองกนธรกรรมของบรการสารสนเทศ (Protecting application services transactions)

DSIT14-01

14.2 ความมนคงปลอดภยส าหรบกระบวนการพฒนาและสนบสนน (Security in development and support processes)

81. 14.2.1 นโยบายการพฒนาระบบใหมความมนคงปลอดถย (Secure development policy)

DSIT14-02

82. 14.2.2 ขนตอนก)บตส าหรบควบคมการเปลยนแปลงระบบ (System Change control procedures)

DSIT14-02

83. 14.2.3 การทบทวนทางเทคนคตอระบบหลงจากเปลยนแปลงโครงสรางพนฐานของ ระบบ

DSIT14-02

ข-12



น ามาใช เอกสาร 84. 14.2.4 การจ ากดการเปลยนแปลง

ซอฟตแวรส าเรจรป (Restrictions on changes to software packages)

DSIT07-01

85. 14.2.5 หลกการวศวะกรรมระบบดานความมนคงปลอดภย (Secure system engineering principles)


86. 14.2.6 สภาพแวดลอมของการพฒนาระบบทมความมนคงปลอดภย (Secure development environment)

ไมมการพฒนาระบบเอง

87. 14.2.7 การจางหนวยงานภายนอกพฒนาระบบ (Outsourced development)

DSIT15

88. 14.2.8 การทดสอบดานความมนคงปลอดภยของระบบ (System security testing)

DSIT14-02

89. 14.2.9 การทดสอบเพอรบรองระบบ (System acceptance testing)

DSIT14-02

14.3 ขอมลส าหรบการทดสอบ (Test data) 90. 14.3.1 การปองกนขอมลส าหรบการ

ทดสอบ (Protection of test data) DSIT14-02

A.15 ความสมพนธกบผใหบรการภายนอก (Supplier relationships) 15.1 ความมนคงปลอดภยสารสนเทศกบความสมพนธกบผใหบรการภายนอก (Information security in supplier relationship)

91. 15.1.1 นโยบายความมนคงปลอดภยสารสนเทศดานความสมพนธกบผใหบรการภายนอก (Information security policy for supplier relationships)

DSIT16-02

ข-13



น ามาใช เอกสาร 92. 15.1.2 การระบความมนคงปลอดภยใน

ขอตกลงการใหบรการของผใหบรการภายนอก (Addressing security within supplier agreements)

DSIT16-02

93. 15.1.3 หวงโซการใหบรการเทคโนโลยสารสนเทศและการสอสารโดยผใหบรการภายนอก (Information and communication technology supply chain)

DSIT16-02

15.2 การบรหารจดการการใหบรการโดยผใหบรการภายนอก (Supplier service delivery management)

94. 15.2.1 การตดตามและทบทวนบรการของผใหบรการภายนอก (monitoring and review of supplier services)

DSIT16-02

95. 15.2.2 การบรหารจดการการเปลยนแปลงบรการของผใหบรการภายนอก (managing changes to supplier services)

DSIT16-02

A.16 การบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ (Information Security Incident Management) 16.1 การบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศและการปรบปรง (Management of information security incidents and improvements)

96. 16.1.1 หนาทความรบผดชอบและขนตอนการปฏบต (Responsibilities and procedures )

DSIT16-01P

97. 16.1.2 การรายงานสถานการณความมนคงปลอดภยสารสนเทศ (Reporting information security events)

DSIT16-01

ข-14



น ามาใช เอกสาร 98. 16.1.3 การรายงานจดออนทางความมนคง

สารสนเทศ (Reporting information security weaknesses)

DSIT16-01

99. 16.1.4 การประเมนและตดสนใจตอสถานการณความมนคงปลอดภยสารสนเทศ (Assessment of and decision on information security events)

DSIT16-01

100. 16.1.5 การตอบสนองตอเหตกาณความมนคงปลอดภยสารสนเทศ (Response to information security incidents)

DSIT16-01P

101. 16.1.6 การเรยนรจากเหตการณความมนคงปลอดภยสารสนเทศ (Learning form information security incidents)

DSIT16-01P

102. 16.1.7 การเกบรวบรวมหลกฐาน (Collection of evidence)

DSIT16-01P

A.17 ประเดนความมนคงปลอดภยสารสนเทศของการบรหารจดการเพอสรางความตอเนองทางธรกจ (Information security aspects of business continuity management ) 17.1 ความตอเนองดานความมนคงปลอดภยสารสนเทศ (Information security continuity) 103. 17.1.1 การวางแผนความตอเนองดาน

ความมนคงปลอดภยสารสนเทศ (Planning information security continuity)

DSIT17

104. 17.1.2 การปฏบตเพอเตรยมการสรางความตอเนองดานความมนคงปลอดภยสารสนเทศ (Implementing information security continuity)

DSIT17-07 DSIT17-08

ข-15



น ามาใช เอกสาร 105. 17.1.3 การตรวจสอบ การทบทวน และการ

ประเมนความตอเนองดานความมนคงปลอดภยสารสนเทศ (Verify, review and evaluate information security continuity)

DSIT17

17.2 การเตรยมการอปกรณประมวลผลส ารอง (Refundancies) 106. 17.2.1 สภาพความพรอมใชของอปกรณ

ประมวลผลสารสนเทศ (Availability of information processing facilities)

DSIT17-01

A.18 ความสอดคลอง (Compliance) 18.1 ความสอดคลองกบความตองการดานกฎหมายและในสญญาจาง (Compliance with legal and contractual requirements) 107. 18.1.1 การระบกฎหมายและความตองการ

ในสญญาจางทเกยวของ (Identification of applicable legislation and contractual requirements)

DSIT18

108. 18.1.2 สทธในทรพยสนทางปญญา (Intellectual property rights)

DSIT18-01

109. 18.1.3 การปองกนขอมล (Protection of records)

DSIT18-01

110. 18.1.4 ความเปนสวนตวและการปองกนขอมลสวนบคคล (Privacy and protection of personal identifiable information)

DSIT18-01

111. 18.1.5 ระเบยบขอบงคบส าหรบมาตรการเขารหสขอมล (Refutation of cryptographic controls)

DSIT18-01

ข-16



น ามาใช เอกสาร 18.2 การทบทวนความมนคงปลอดภยสารสนเทศ (Information security reviews) 112. 18.2.1 การทบทวนอยางอสระดานความ

มนคงปลอดภยสารสนเทศ (Independent review of information security)

DSIT15-02

113. 18.2.2 ความสอดคลองกบนโยบายและมาตรฐานดานความมนคงปลอดภย (Compliance with security policies and standards)

DSIT15-02

114. 18.2.3 การทบทวนความสอดคลองทางเทคนค (Technical compliance review)

DSIT15-02

ค-1

ภาคผนวก ค

เอกสารแนวทางปฏบตดานความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ

ค-2

เอกสารแนวทางปฏบตดานความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ

วตถประสงค

เอกสารแนวทางปฏบตดานความมนคงปลอดภยส าหรบสารสนเทศ (Information Security Policy) มจดประสงคเพอก าหนดทศทางและสนบสนนการด าเนนการดานความมนคงปลอดภยส าหรบสารสนเทศขององคกร เพอใหการด าเนนงานเปนไปอยางราบรน มความตอเนองในการด าเนนงานอยางมประสทธภาพ

การปฏบตตาม

เจาหนาทและบคลากรทกคนทเกยวของ มหนาทปฏบตตามกฎระเบยบทไดระบไวในแนวทางปฏบตของนโยบายความมนคงปลอดภยสารสนเทศ หากองคกรตรวจสอบพบวาปญหาทเกดขน เกดจากการไมปฏบตตามนโยบาย องคกรสามารถลงโทษตามระเบยบทไดก าหนดไวไดทนท

ค-3

1.แนวทางปฏบตในการจดการนโยบายความมนคงปลอดภยสารสนเทศ

1.1 นโยบายความมนคงปลอดภยสารสนเทศ

ตนแบบเอกสารส าหรบใชภายใน

ค-4

แนวทางปฏบตในการจดการนโยบายความมนคงปลอดภยสารสนเทศ (ตอ)



ค-5

แนวทางปฏบตในการจดการนโยบายความมนคงปลอดภยสารสนเทศ (ตอ)



ค-6

2.แนวทางปฏบตดานโครงสรางความมนคงปลอดภยสารสนเทศ

2.1 การจดการโครงสรางทางดานความมนคงปลอดภยภายในองคกร


ค-7

แนวทางปฏบตดานโครงสรางความมนคงปลอดภยสารสนเทศ(ตอ)



ค-8




ค-9




ค-10

3.แนวทางปฏบตดานทรพยากรบคคล

3.1 ความมนคงปลอดภยส าหรบทรพยากรบคคล


ค-11

แนวทางปฏบตดานทรพยากรบคคล(ตอ)

3.1 ความมนคงปลอดภยส าหรบทรพยากรบคคล


ค-12

4.แนวทางปฏบตดานการบรหารจดการทรพยสน

4.1 หนาทความรบผดชอบตอทรพยสนขององคกร


ค-13

แนวทางปฏบตดานการบรหารจดการทรพยสน(ตอ)



ค-14




ค-15


4.2 แบบฟอรมคนทรพยสน


ค-16


4.3 การจดหมวดหมสารสนเทศ


ค-17




ค-18




ค-19




ค-20


4.4 การจดการสอทใชในการบนทกขอมล


ค-21




ค-22




ค-23

5.แนวทางปฏบตการควบคมการเขาถง

5.1 การบรหารจดการการเขาถงของผใชงาน


ค-24

แนวทางปฏบตการควบคมการเขาถง (ตอ)



ค-25




ค-26




ค-27


5.2 ขนตอนการบรหารจดการการเขาถงของผใช


ค-28




ค-29




ค-30


5.3 หนาทความรบผดชอบของผใชงาน


ค-31




ค-32




ค-33


5.4 นโยบายการควบคมการเขาถงระบบ


ค-34




ค-35




ค-36


5.5 ขนตอนปฏบตในการเขาถงระบบปฏบตการ


ค-37


5.5 ขนตอนปฏบตในการเขาถงระบบปฏบตการ


ค-38

6.แนวทางปฏบตดานการเขารหสขอมล

6.1 นโยบายการใชมาตรการเขารหสขอมล


ค-39

แนวทางปฏบตดานการเขารหสขอมล



ค-40




ค-41


6.2 ขนตอนการจดการสอทใชในการบนทกขอมล


ค-42




ค-43




ค-44

7.แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม

7.1 ขนตอนปฏบตดานดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม


ค-45

แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม

7.1 ขนตอนปฏบตดานดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (ตอ)


ค-46

แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)

7.1 ขนตอนปฏบตดานดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (ตอ)


ค-47


7.2 แนวทางปฏบตเมอเกดเหตน ารวซม ทอประปาแตก


ค-48




ค-49




ค-50


7.3 ขนตอนการจดท าบรเวณทตองมการรกษาความปลอดภย


ค-51




ค-52




ค-53




ค-54


7.4 ขนตอนปฏบตส าหรบรายงานสถานการณเหตความมนคงปลอดภย


ค-55




ค-56




ค-57


7.5 ขนตอนการจดการความมนคงปลอดภยของอปกรณ


ค-58




ค-59




ค-60




ค-61




ค-62




ค-63


7.6 ขนตอนการจดการดานการบ ารงรกษาอปกรณ


ค-64




ค-65




ค-66




ค-67


7.7 การก าจดอปกรณหรอการน าอปกรณกลบมาใชงานอก


ค-68


7.7 การก าจดอปกรณหรอการน าอปกรณกลบมาใชงานอก


ค-69




ค-70




ค-71




ค-72

8.แนวปฏบตดานความมนคงปลอดภยส าหรบการด าเนนงาน

8.1 การก าหนดหนาทความรบผดชอบและวธการปฏบตงาน


ค-73

แนวปฏบตดานความมนคงปลอดภยส าหรบการด าเนนงาน (ตอ)



ค-74




ค-75


8.2 ขนตอนการปองกนโปรแกรมทไมประสงคด


ค-76




ค-77




ค-78


8.3 มาตรการควบคมชองโหวทางเทคนค


ค-79


8.3 มาตรการควบคมชองโหวทางเทคนค


ค-80

9.แนวทางปฏบตส าหรบดานความมนคงปลอดภยส าหรบการสอสารขอมล

9.1 ขนตอนการบรหารจดการทางดานความมนคงปลอดภยส าหรบเครอขาย


ค-81

แนวทางปฏบตส าหรบดานความมนคงปลอดภยส าหรบการสอสารขอมล

9.1 ขนตอนการบรหารจดการทางดานความมนคงปลอดภยส าหรบเครอขาย


ค-82


9.2 ขนตอนปฏบตส าหรบการแลกเปลยนสารสนเทศ


ค-83




ค-84




ค-85

10.แนวทางปฏบตดานการจดหา การพฒนา และการบ ารงรกษาระบบ

10.1 ขอก าหนดดานความมนคงปลอดภยส าหรบระบบสารสนเทศ


ค-86

แนวทางปฏบตดานการจดหา การพฒนา และการบ ารงรกษาระบบ

10.1 ขอก าหนดดานความมนคงปลอดภยส าหรบระบบสารสนเทศ


ค-87


10.2 การระบขอก าหนดทางดานความมนคงปลอดภยสารสนเทศ


ค-88


10.2 การระบขอก าหนดทางดานความมนคงปลอดภยสารสนเทศ


ค-89


10.3 การสรางความมนคงปลอดภยส าหรบกระบวนการพฒนาและสนบสนน


ค-90




ค-91




ค-92




ค-93

11.แนวทางปฏบตดานความสมพนธกบผใหบรการภายนอก

11.1 ความสมพนธกบผใหบรการภายนอก


ค-94

แนวทางปฏบตดานความสมพนธกบผใหบรการภายนอก (ตอ)



ค-95

12.แนวทางปฏบตดานการบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ

12.1 การบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ


ค-96

แนวทางปฏบตดานการบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ (ตอ)

12.1 การบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ


ค-97


12.2 ขนตอนการรายงานเหตการณทเกยวของกบความมนคงปลอดภย


ค-98




ค-99




ค-100




ค-101




ค-102




ค-103




ค-104




ค-105

13.แนวทางปฏบตประเดนดานความมนคงปลอดภยสารสนเทศของการบรหารจดการเพอสรางความตอเนองทางธรกจ

13.1 ความตอเนองดานความมนคงปลอดภยสารสนเทศ


ค-106

แนวทางปฏบตประเดนดานความมนคงปลอดภยสารสนเทศของการบรหารจดการเพอสรางความตอเนองทางธรกจ(ตอ)

13.1 ความตอเนองดานความมนคงปลอดภยสารสนเทศ


ค-107

แนวทางปฏบตประเดนดานความมนคงปลอดภยสารสนเทศของการบรหารจดการเพอสรางความตอเนองทางธรกจ(ตอ)

13.2 ขนตอนปฏบตส าหรบการโจรกรรม


ค-108

แนวทางปฏบตประเดนดานความมนคงปลอดภยสารสนเทศของการบรหารจดการเพอสรางความตอเนองทางธรกจ (ตอ)



ค-109




ค-110




ค-111




ค-112




ค-113


13.3 ขนตอนปฏบตส าหรบเหตการณโจมตจากผประสงคราย


ค-114




ค-115




ค-116

14.แนวทางปฏบตเกยวกบความสอดคลองในดานตางๆ

14.1 การปฏบตตามขอก าหนดทางกฎหมาย


ค-117

แนวทางปฏบตเกยวกบความสอดคลองในดานตางๆ

14.1 การปฏบตตามขอก าหนดทางกฎหมาย


ค-118


14.2 ขนตอนการปฏบตตามขอก าหนดทางกฎหมาย


ค-119




ค-120




ค-121




ง-1

ภาคผนวก ง

เอกสารการรองขอฝายสารสนเทศ

ง-2


ง-3

แผนภาพแสดงขนตอนการปฏบตงาน

ค าอธบายขนตอนการปฏบตงาน

1. ผรองขอกรอกรายละเอยดประกอบการขอใชงานในแบบฟอรมการรองขอ

ประกอบดวย

1.1 ขอมลของผรองขอ

ชอและนามสกล

ต าแหนง

ฝาย

เบอรตดตอ

ง-4

รหสทรพยสน

IP Address

1.2 ขอมลสารสนเทศทขอใชงาน

2. หวหนาฝาย/หมวด ของผรองขอ พจารณาอนมตการขอใชงานสารสนเทศ โดยพจารณาจากความจ าเปนของผรองขอ รวมทงลงนามอนมตในแบบฟอรมการรองขอ

3. รองผอ านวยการฝายบรหารงานทวไป พจารณาอนมตการขอใชงานสารสนเทศ โดยพจารณาจากความจ าเปนของผรองขอ รวมทงลงนามอนมตในแบบฟอรมการรองขอ

4. ผดแลระบบ/เจาหนาทสารสนเทศ ด าเนนการตามทผรองขอ ไดรองขอมาและแจงการด าเนนการใหแกผขอใชระบบสารสนเทศทราบถงการปฏบตงาน

5. ผรองขอ ไดรบการด าเนนการทไดรองขอ

จ-1

ภาคผนวก จ

ระเบยบวาดวยการใชงานระบบเครอขายคอมพวเตอรขององคกร

จ-2

ระเบยบวาดวยการใชงานระบบเครอขายคอมพวเตอรขององคกร


จ-3

ระเบยบวาดวยการใชงานระบบเครอขายคอมพวเตอรขององคกร (ตอ)


จ-4



จ-5



จ-6



จ-7



Documents

Ornpawee Aksornkhajitpong...โครงงานการจ ดท านโยบายความม นคงปลอดภ ยสารสนเทศ และการบร