ornpawee aksornkhajitpong...โครงงานการจ ดท...
TRANSCRIPT
การจดท านโยบายความมนคงปลอดภยสารสนเทศ
และการบรหารความเสยงกรณศกษาระบบสารสนเทศโรงเรยนมธยมวดดานส าโรง
Information System Security Policy and Risk Management
Case Study for MatthayomWatdansamrong School
อรปวณ อกษรขจตพงศ
Ornpawee Aksornkhajitpong
สารนพนธฉบบนเปนสวนหนงของการศกษา
หลกสตรวทยาศาสตรมหาบณฑต สาขาวชาเทคโนโลยสารสนเทศ
คณะวทยาการและเทคโนโลยสารสนเทศ
มหาวทยาลยเทคโนโลยมหานคร
ปการศกษา 2558
I
หวขอโครงงาน การจดท านโยบายความมนคงปลอดภยสารสนเทศ และการบรหาร
ความเสยง กรณศกษา ระบบสารสนเทศโรงเรยนมธยมวดดานส าโรง
Information System Security Policy and Risk Management
Case Study for Matthayom Watdansamrong School
ชอนกศกษา นางสาว อรปวณ อกษรขจตพงศ
รหสนกศกษา 5717670011
หลกสตร วทยาศาสตรมหาบณฑต สาขาเทคโนโลยสารสนเทศ
ปการศกษา 2558
อาจารยทปรกษา ผศ.ดร.พนม เพชรจตพร
ดร.บรรจง หะรงษ
บทคดยอ
โครงงานการจดท านโยบายความมนคงปลอดภยสารสนเทศ และการบรหารความเสยง
น จดท าขนโดยมวตถประสงคเพอพฒนาแนวทางนโยบายความมนคงปลอดภยสารสนเทศ เพอ
กบใชกบองคกรดานการศกษา เปนการน าเอานโยบายความมนคงปลอดภยสารสนเทศ ภายใต
มาตรฐาน ISO27001:2013 เขามาปรบใช ท าการประเมนความเสยง (Risk Assessment) และ
จดท าแผนลดความเสยงส าหรบใชในองคกร เพอใหมการจดการกบระบบงานสารสนเทศ การ
ด าเนนงานเปนไปอยางมประสทธภาพ มแบบแผน และไดรบประโยชนสงสด
II
กตตกรรมประกาศ
ผจดท ำขอขอบคณทำนผศ.ดร.พนม เพชรจตพรอาจารย และ ดร.บรรจง หะรงษทได
สละเวลาอนมคาเปนอาจารยทปรกษาโครงงานนทไดใหค าแนะน า ขอคดเหนตางๆ รวมทงไดสง
สอน ฝกฝนผจดท า รวมทงตองขอขอบคณ โรงเรยนมธยมวดดานส าโรง ทไดอนญาตใหผจดท า
ไดเขาไปศกษาขอมลของหนวยงาน เพอน าขอมลทไดมาวเคราะห จดท าแผนงาน ขอขอบคณ
คณะคณาจารยสาขาวชาเทคโนโลยสารสนเทศ มหาวทยาลยเทคโนโลยมหานคร ทกทานทได
ใหความร ค าแนะน าแกขาพเจา จนสามารถจดท าโครงงานนขนมาจนเสรจสมบรณ
อรปวณ อกษรขจตพงศ
ตลาคม 2558
III
สารบญ หนา
บทคดยอ ……………………………………………………………………………………………I
กตตกรรมประกาศ…………………………………………………….……………………………II
สารบญ……………………………………………………………………………………………..III
สารบญรป………………………………………………………………………………….………VI
สารบญตาราง…………………………………………………………………………….……….VII
บทท 1 บทน า………………………………………………………………………………………1
1.1 ปญหาและแรงจงใจ……………………………………………….……………….….1
1.2 การด าเนนการ……………………………………………………………….….…....1
1.3 วตถประสงค……………………………...………………………………………..….2
1.4 ภาพรวมของโครงงาน………………………………………………………………...2
1.5 ขอบเขต……………………………………………..……………………………......3
1.6 ประโยชนทคาดวาจะไดรบ…………………………..……………………………….4
1.7 โครงสรางของโครงงาน……………………………....………………………….…...5
บทท 2 พนฐานและทฤษฎทเกยวของ……………………………………………………………..6
2.1 ระบบบรหารจดการความมนคงปลอดภยสารสนเทศ (ISMS).……………………..6
2.2 มาตรฐาน ISO/IEC 27001:2013………………………………………………….…7
2.3 มาตรฐานการจดการความมนคงปลอดภยส าหรบสารสนเทศ………………….....12
2.4 การบรหารจดการความเสยง (Risk Management)…………………...……….….14
IV
สารบญ (ตอ)
หนา
2.5 ความมนคงปลอดภยของสารสนเทศ (Information Security)………...……….….15
2.6 พ.ร.บ.วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550…….…….….17
บทท 3 การด าเนนงาน……………………………………………………………………………19
3.1 ขนตอนในการด าเนนงาน……………………………………………….....……….19
3.2 ก าหนดขอบเขตในการดาเนนการดานความมนคงปลอดภยสารสนเทศ………….20
3.3 ขอมลทรพยสนขององคกร……………………………….……………….………...21
3.4 เกณฑการประเมน……………………………….…….……………………………24
3.5 สรปทายบท………………………………..……………….………………………..28
บทท 4 ผลการด าเนนงาน…………………………………………….……………………….....29
4.1 บทน า…………………………………………………………….………..………...29
4.2 วเคราะหปญหาขอระบบสารสนเทศในองคกรดวยผงกางปลา…………..….….....29
4.3 การประเมนความเสยงกอนการบรหารจดการความเสยง…………………………30
4.4 สรปจ านวนความเสยงกอนการบรหารจดการความเสยง………………………….55
4.5 แนวทางในการจดการความเสยงเพอลดความเสยงของระบบสารสนเทศ…….….56
4.6 การประเมนความเสยงหลงการบรหารจดการความเสยง………………………….66
4.7 สรปจ านวนความเสยงหลงการบรหารจดการความเสยง………………………….91
บทท 5 สรปผลการด าเนนงาน………………………………………..…………….……………92
5.1 สรปผลการด าเนนโครงงาน………………………………………….……………...92
V
สารบญ (ตอ)
หนา
5.2 ขอเสนอแนะ………………………………………….……………………………...………..93
เอกสารอางอง…………………………………………….……………………………………….94
ภาคผนวก ก เอกสารขออนญาตองคกรกรณศกษาในการท าวจย……………………..ก-1 – ก-2
ภาคผนวก ข เอกสารระบการปฏบตตามหลกการควบคม.……………………………ข-1 – ข-16
ทางดานความมนคงปลอดภยมาตรฐานISO/IEC27001:2013
ภาคผนวก ค เอกสารแนวทางปฏบตดานความมนคงปลอดภย……………………...ค-1 – ค121
ในการใชงานเทคโนโลยสารสนเทศ
ภาคผนวก ง เอกสารการรองขอฝายสารสนเทศ…………..………………………….....ง-1 – ง-4
ภาคผนวก จ ระเบยบวาดวยการใชงานระบบเครอขายคอมพวเตอรขององคกร……....จ-1 – จ-7
VI
สารบญรป หนา
รปท 1.1 โครงสรางการบรหาร…………………………………………………………………….3
รปท 2.1 Process-based approach………………………………………………………………7
รปท 2.2 องคประกอบของความมนคงปลอดภยของสารสนเทศ……………………………….16
รปท 2.3 ความสมพนธระหวางภยคกคาม ชองโหว และทรพยสน……………………..………17
รปท 3.1 ขนตอนการด าเนนงาน…………………………………………………………………19
รปท 3.2 Network Diagram……………………………………………………………………...21
รปท 4.1ปญหาของระบบสารสนเทศในองคกร………………………………………..…………29
รปท 5.1สรปผลการประเมนความเสยง………………………………………………….………92
VII
สารบญตาราง หนา
ตารางท 3.1 ตารางแสดงทรพยสน (Asset Inventory) …………………………………………22
ตารางท 3.2 ตารางประเมนความรนแรงของผลกระทบ(Impact) ……………………………...24
ตารางท 3.3 ตารางประเมนโอกาสทจะเกดความเสยง (Likelihood) …………………………..25
ตารางท 3.4 ระดบความเสยง (Risk Value) ……………………………………………………26
ตารางท 3.5 ตารางประเมนระดบความเสยง (Risk Assessment Matrix) ……………………27
ตารางท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง……...………30
ตารางท 4.2 ตารางสรปจ านวนความเสยงทพบ…………………………………………………55
ตารางท 4.3 แนวทางในการจดการความเสยงเพอลดความเสยงของระบบสารสนเทศ……….56
ตารางท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง………..……..66
ตารางท 4.5 ตารางสรปจานวนความเสยงทหลงเหลอ.....………………………………………91
1
บทท1
บทน ำ
1.1ปญหำและแรงจงใจ
ในปจจบนองคกรตางๆทงภาครฐและภาคเอกชน ลวนน าเอาเทคโนโลยสารสนเทศเขามาเปนเครองมอในการบรหารจดการงานทงภายใน และการตดตอสอสารกบองคกรภายนอกเพอเปนการอ านวยความสะดวก ถกตอง รวดเรว และมประสทธภาพ
โรงเรยนมธยมวดดานส าโรง ไดมการน าระบบสารสนเทศเขามาใชในการด าเนนงานภายในโรงเรยน เชน ส าหรบจดการเรยนการสอนคอมพวเตอร ระบบคอมพวเตอรส าหรบจดเกบขอมลนกเรยน เปนตน และการด าเนนงานกบองคกรภายนอก เชน ระบบจดซอจดจาง ระบบการสงเอกสารไปยงหนวยงานส านกงานคณะกรรมการการศกษาขนพนฐาน ซงระบบงานสารสนเทศของโรงเรยน ยงไมมนโยบายความมนคงปลอดภยสารสนเทศทเปนมาตรฐานเขามาก าหนดและปรบใช
ในปจจบนมภยคกคามทางเทคโนโลยสารสนเทศเกดขนไดในหลายๆชองทาง ดงนนเพอใหมความมนคงปลอดภยของระบบ จงควรน านโยบายความมนคงปลอดภยระบบสารสนเทศมาใชในการบรหารงานใหเกดเสถยรภาพ และภาพลกษณความเชอมนทดตอองคกร
ผจดท าโครงงานจงด าเนนการพฒนานโยบายความมนคงปลอดภยทางดานเทคโนโลยสารสนเทศ ตามมาตรฐาน ISO/IEC27001:2013 เพอก าหนดนโยบายความมนคงปลอดภย และประเมนความเสยงของระบบ ท าใหการด าเนนงานขององคกรเปนไปอยางมประสทธภาพสงสด
1.2กำรด ำเนนกำร
โครงงานนเปนการน านโยบายความมนคงปลอดภยเทคโนโลยสารสนเทศมาตรฐาน ISO/IEC 27001:2013 เขามาปรบใชในการจดการระบบสารสนเทศของโรงเรยนมธยมวดดานส าโรง โดยก าหนดขอบเขตดงน
1.2.1ศกษาระบบการท างานในสวนของระบบเทคโนโลยสารสนเทศ ท าการบนทกขอมล และวเคราะหความเสยงของระบบ เพอน ามาปรบปรงแกไขใหเปนไปตามมาตรฐาน
1.2.2ก าหนดนโยบายความมนคงปลอดภย อางองตามมาตรฐาน ISO/IEC 27001:2013 เพอปรบใชในหนวยงาน เพอใหเจาหนาท ผทใชงานระบบร และเขาใจอยางถกตอง
2
1.2.3ประกาศใชนโยบายความมนคงปลอดภย อางองตามมาตรฐาน ISO/IEC 27001:2013
1.3วตถประสงค
1.3.1เพอพฒนานโยบายความมนคงปลอดภยเทคโนโลยสารสนเทศใหกบองคกร โดยอางองตามมาตรฐานISO/IEC 27001:2013
1.3.2เพอประเมนความเสยง (Risk Assessment) หาขอบกพรองของระบบงานสารสนเทศทอาจเกดขนกบระบบ และสงผลตอการท างาน
1.3.3เพอใหบคลากรทตองปฏบตงานกบเทคโนโลยสารสนเทศ มความรความเขาใจ และปฏบตงานไดอยางถกตองตามนโยบายทไดจดท าขนโดยอางองตามมาตรฐาน ISO/IEC 27001:2013
1.3.4เพอใหระบบงานสารสนเทศขององคกรเปนไปตามมาตรฐานISO/IEC 27001:2013
1.3.5เพอสรางภาพลกษณทด และใหองคกรมความนาเชอถอ
1.4ภำพรวมของโครงงำน
1.4.1ภมหลงขององคกร
โรงเรยนมธยมวดดานส าโรง กอตงขนดวยความรวมมอของพระคณทานพระสมทรเมธาจารย อดตเจาอาวาสวดดานส าโรงในขณะนน เรมเปดเรยนครงแรก เมอวนท 03 กนยายน พ.ศ. 2500 สถานทตงโรงเรยน เลขท 973 หม 8 ต.ส าโรงเหนอ อ.เมอง จ.สมทรปราการ 10270. ปจจบนสงกดส านกงานเขตพนทการศกษาขนพนฐาน กระทรวงศกษาธการ เปดสอน ระดบชนมธยมศกษาตอนตน(มธยมศกษาปท1) ถงมธยมศกษาตอนปลาย(มธยมศกษาปท6) ปจจบนมจ านวนนกเรยน 1,871 คน คร 75 คน บคลากรทางการศกษา 36 คน ลกจางประจ า 6 คน จ านวนหองเรยน 56 หอง
ในปจจบนมการน าเทคโนโลยสารสนเทศเขามาใชในการด าเนนงาน และในดานการเรยนการสอน เพอเปนการเพมประสทธภาพในการด าเนนงาน ใหมความถกตอง สะดวกรวดเรว และเปนระบบทตรวจสอบได แตยงไมมการน านโยบายดานความมนคงปลอดภยของระบบสารสนเทศทเปนลายลกษณอกษรเขามาใช เปนเพยงการใชงานทวๆไปเทานน ผจดท าโครงงานไดเหนถงความส าคญของระบบสารสนเทศ จงมความสนใจอยางยงทจะด าเนนการจดท านโยบายดานความมนคงปลอดภยของระบบสารสนเทศ ส าหรบระบบงานสารสนเทศของโรงเรยนมธยมวดดานส าโรงขน เพอใหเกดเปนแผนงาน และเปนมาตรฐานส าหรบประกาศใชตอไป
3
1.4.2โครงสรางการบรหาร โรงเรยนมธยมวดดานส าโรง แบงโครงสรางการบรการออกเปนแตละฝาย ดงน
รปท 1.1 โครงสรางการบรหาร
1.5.ขอบเขต
1.5.1 ขอบเขตโครงงาน1
1.5.1.1 ศกษามาตรฐาน ISO/IEC 27001:2013 และกฎหมายทเกยวของกบเทคโนโลยสารสนเทศ
a) ระบบรหารจดการความมนคงปลอดภยสารสนเทศ (ISMS)
b) ความมนคงปลอดภยของสารสนเทศ
c) การประเมนความเสยงของสารสนเทศ (Information Security Risk Assessment)
1.5.1.2พระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ.2550
a) ศกษาระบบเทคโนโลยสารสนเทศขององคกร
b) ประเมนความเสยงของระบบสารสนเทศขององคกร
c) ก าหนดขอบเขตสวนงาน
d) ก าหนดรปแบบการประเมนความเสยง
e) วเคราะหประเมนความเสยง
1.5.1.3 ก าหนดแนวทางในการจดการความเสยงเพอลดความเสยงของระบบสารสนเทศ
4
1.5.2 ขอบเขตโครงงาน2
1.5.2.1 ประเมนความเสยงหลงจากการจดท าแผนลดความเสยงเพอรายงานความเสยงทยงหลงเหลอ
1.5.2.2 จดท าเอกสารแสดงการใชมาตรฐานตามหลกการควบคม Statement of Applicability (SOA)
1.5.2.3 จดท าสรปผลการด าเนนโครงการ
1.6ประโยชนทคำดวำจะไดรบ
1.6.1 ระบบงานสารสนเทศขององคกรเปนไปตามมาตรฐาน ISO/IEC 27001:2013
1.6.2 องคกรมแผนการจดการความเสยงทอาจเกดขนเพอเตรยมรบมอ และแกไขไดทนทวงท
1.6.3 เจาหนาท ผใชงานระบบ มความรความเขาใจ และปฏบตงานไดอยางถกตองเปนมาตรฐานเดยวกน
5
1.7โครงสรำงของโครงงำน
บทท 1 บทน า เปนการกลาวถงรายละเอยดของการท าโครงงาน กลาวถงแรงจงใจ ปญหา และวตถประสงค ภมหลงขององคกรกรณศกษา และขอบเขตของโครงงาน
บทท 2 ทฤษฏทเกยวของ กลาวถงทฤษฏระบบบรหารจดการความมนคงปลอดภยสารสนเทศ มาตรฐาน ISO/IEC 27001:2013 การบรหารจดการความเสยง และพระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550
บทท 3 การด าเนนงาน กลาวถง ขนตอนในการด าเนน ขอมลทรพยสนขององคกร และเกณฑการประเมนความเสยงตางๆ
บทท 4 ผลการด าเนนงาน กลาวถง ปญหาของระบบสารสนเทศในองคกร ทวเคราะหออกมาในรปของแผนผงกางปลา การประเมนความเสยงระบบสารสนเทศกอนการบรหารจดการความเสยง แนวทางในการจดการความเสยงเพอลดความเสยงของระบบสารสนเทศ และการประเมนความเสยงระบบสารสนเทศหลงการบรหารจดการความเสยง
บทท5 สรปผลการด าเนนงาน กลาวถง ผลสรปการประเมนความเสยงกอนและหลงด าเนนการ หลงจากทไดด าเนนงานแลว
6
บทท 2
ทฤษฏทเกยวของ
2.1 ระบบบรหำรจดกำรควำมมนคงปลอดภยสำรสนเทศ (ISMS)
ศนยเทคโนโลยสารสนเทศและการสอสาร ส านกงานปลดกระทรวงยตธรรม[1] ไดใหขอมลวา ISO/IEC 27001 (International Organization for Standardization) พฒนามาจากมาตรฐาน BS7799 British standard ทก าหนดมาตงแตป 1993 ของรฐบาลองกฤษ ในป 1995 ไดประกาศมาตรฐาน BS7799 Part 1 (Code of practice for information security management) และไดเพมมาตรฐาน BS7799 Part 2 (Specification for information security management system : ISMS)
ในป ค.ศ. 2000 มการปรบปรงมาตรฐาน BS7799 Part 1 เปน ISO/IEC 17799 : 2000 และตอมาในป ค.ศ. 2005 ไดพฒนามาตรฐาน BS7799 Part 2 เปน ISO/IEC 27001 : 2005 ในขณะเดยวกน กมการปรบปรงมาตรฐาน ISO/IEC 17799 ใหม และเปลยนเวอรชนเปน ISO/IEC 27002
ในเดอน กนยายน ค.ศ. 2013 ไดมการปรบปรงมาตรฐาน ISO/IEC 27001 : 2005 เปน ISO/IEC 27001 : 2013 และ ISO/IEC 27002 : 2013 โดยมวตถประสงคหลกเพอปรบปรงเนอหาใหสอดรบกบเทคโนโลย และการใชงานสารสนเทศในปจจบน มการแกไขเนอหาในสวนทไมชดเจน เพอเพมความยดหยนในการน าไปใชจรง รวมถงปรบโครงสรางใหเปนไปตามขอก าหนดของ Annex SL ซงเปนขอก าหนดของ ISO วาดวยโครงสราง และเนอหาทสอดคลองกน ส าหรบมาตรฐานสากลฉบบใหมๆ
Information Security Management System (ISMS) Standard หรอทรจกกนในนาม ISO27001 เปนมาตรฐานสากลทเกยวการกบบรหารจดการขอมลสารสนเทศใหมความมนคงปลอดภย เปนการจดการทงในสวนของผใชงาน สารสนเทศ กฎระเบยบตางๆ เปนตน
เนนใหความส าคญกบกระบวนการท างาน ยดหลกการเชงกระบวนการ Process-based approach มการจ าแนกกระบวนการออกเปน 3 สวน
สวนท 1 ปจจยน าเขา (Input) ตองมความถกตองเหมาะสม
สวนท 2 กระบวนการ (Process) มแผนการควบคมชดเจน
สวนท 3 ผลลพธ (Output) ไดผลลพธตามทคาดหวง และมการควบคมการเปลยนแปลงตางๆ ทอาจสงผลตอกระบวนการ
7
2.1.1 ประโยชนของ ISO/IEC 27001
2.1.1.1 ระบความเสยง และการเขาควบคมการจดการเพอลดความเสยง
2.1.1.2 น าความยดหยนเขามามบทบาทในการควบคม หรอพฒนาธรกจ
2.1.1.3 ไดรบความไววางใจจากองคกรภายนอกดานความปลอดภยของขอมล
รปท 2.1 Process-based approach
2.2 มำตรฐำน ISO/IEC 27001:2013
มาตรฐาน ISO/IEC 27001:2013 เปนมาตรฐานสากลจดท าขนเพอตอบสนองความตองการส าหรบการสรางความตอเนองของการปรบปรงระบบการจดการความปลอดภยสารสนเทศใหเปนทยอมรบในระดบสากล
ระบบการจดการความปลอดภยของสารสนเทศ คอการตดสนใจในเชงกลยทธขององคกร และการด าเนนงานระบบการจดการความปลอดภยสารสนเทศทตอบสนองความตองการ และวตถประสงคความปลอดภยขององคกร ซงปจจยเหลานมการเปลยนแปลงอยตลอดเวลา
ระบบการจดการความปลอดภยสารสนเทศจะมการเกบรกษาความลบ โดยการใชกระบวนการบรหารความเสยง และใหความมนใจไดวาความเสยงจะมการจดการอยางเหมาะสม การจดการความปลอดภยของขอมล เปนสวนหนงของกระบวนการจดการโดยรวมของโครงสรางองคกร
8
ขอก าหนดทตองปฏบตในการขอรบรองตามมาตรฐาน ISO/IEC 27001 : 2013 มดงน
2.2.1 บรบทขององคกร (Context of the organization)
2.2.1.1 การท าความเขาใจองคกร และบรบทขององคกร องคกรตองก าหนดประเดนภายนอก และภายในทเกยวของ ทสงผลกระทบตอระบบการจดการความปลอดภยสารสนเทศ
2.2.1.2 การท าความเขาใจกบความตองการ และความคาดหวงทของผเกยวของ องคกรตองก าหนด ผทเกยวของ เปนผทเกยวของกบระบบบรหารจดการความมนคงปลอดภยสารสนเทศ และความตองการทเกยวของกบการรกษาความปลอดภย
2.2.1.3 การก าหนดขอบเขตของระบบการจดการความปลอดภยสารสนเทศ องคกรตองก าหนดกรอบ และการบงคบใชการรกษาความปลอดภยของสารสนเทศ
การก าหนดขอบเขต องคกรตองพจารณาถง
a) ปญหาภายใน และปญหาภายนอกองคกร
b) ความตองการ ความคาดหวง
c) การอางองถงกจกรรมทด าเนนการโดยองคกร และผทมสวนเกยวของโดยเปนองคกรจากภายนอก
2.2.1.4 ระบบการจดการความมนคงปลอดภยสารสนเทศ องคกรตองด าเนนการรกษา และปรบรงความปลอดภยของสารสนเทศอยางตอเนอง โดยด าเนนการใหสอดคลองกบมาตรฐานISO/IEC 27001:2013น
2.2.2 ภาวะผน า (Leadership)
2.2.2.1 สภาวะของผน า (Leadership and commitment) ผบรหารระดบสงตองแสดงความเปนผน าในการด าเนนการเกยวกบระบบการจดการความปลอดภยโดย
a) ก าหนดนโยบายความปลอดภยสารสนเทศ และวตถประสงคของการรกษาความปลอดภยสารสนเทศ ใหไปในทศทางเดยวกนกบกลยทธขององคกร
b) ก าหนดความตองการของระบบการจดการความปลอดภยสารสนเทศใหสอดคลองกบกระบวนการขององคกร
c) ท าใหมทรพยากรทจ าเปนส าหรบระบบการจดการความปลอดภยสารสนเทศใชในก าด าเนนการ
9
d) แสดงใหเหนถงความส าคญของการจดการความปลอดภยสารสนเทศทมประสทธภาพ และสอดคลองกบความตองการของระบบการจดการความปลอดภยสารสนเทศ
e) แสดงใหเหนวาระบบการจดการความปลอดภยสารสนเทศบรรลวตถประสงคทตองการ
f) จดการสงเสรม สนบสนนบคลากรเพอใหเกดความสมฤทธผลของระบบบรหารจดการความมนคงปลอดภยสารสนเทศ
g) จดการสงเสรมใหมการพฒนาอยางตอเนอง
2.2.2.2 นโยบาย (Policy) ผบรหารระดบสง ตองก าหนดนโยบายความมนคงปลอดภยสารสนเทศ
2.2.2.3 บทบาทหนาทความรบผดชอบ และอ านาจหนาท (Organizational roles, responsibilities and authorities) ผบรหารระดบสงตองรบผดชอบตามบทบาททเกยวของ มการมอบหมาย และแจงใหทราบ ตองมการมอบหมายหนาทความรบผดชอบ
2.2.3 การวางแผน (Planning)
2.2.3.1 การด าเนนการจดการกบความเสยง และโอกาสทจะเกด
a) ภาพรวม เมอวางแผนระบบการจดการความปลอดภยสารสนเทศ จะตองพจารณาประเดนภายในและภายนอก ความตองการ และตองก าหนดความเสยงทจ าเปนตองจดการเพอใหระบบการจดการความปลอดภยสารสนเทศทจดท าบรรลวตถประสงค ปองกน หรอลดผลกระทบทไมพงประสงค มการปรบปรงอยางตอเนอง
2.2.3.2 การประเมนความเสยงดานความปลอดภยสารสนเทศ (Information security risk assessment) องคกรตองก าหนดขนตอนการประเมนความเสยงของสารสนเทศ ดงน
a) ก าหนดเกณฑความเสยงดานความมนคงปลอดภยสารสนเทศ รวมถงเกณฑการยอมารบความเสยง และเกณฑส าหรบประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ
b) ท าใหการประเมนความเสยงไดผลการประเมนทสอดคลองกน ถกตอง และเปรยบเทยบได
c) มการระบความเสยงการรกษาความปลอดภยสารสนเทศ
10
d) ระบความเสยงทเกยวของกบการสญเสยความลบ ความถกตอง และความพรอมใชของสารสนเทศ
e) มการวเคราะหความเสยงดานความมนคงปลอดภยสารสนเทศ เพอประเมนหาเหตผลของการเกดขนจรง ประเมนโอกาสทจะเกดขน และก าหนดระดบความเสยง
f) มการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ เปรยบเทยบผลการวเคราะหความเสยงกบเกณฑทก าหนดไวและจดล าดบความเสยงเพอการจดการทเหมาะสม
2.2.3.3 การจดการความเสยงดานความมนคงปลอดภยสารสนเทศ (Information security risk treatment) องคกรตองก าหนด และประยกตใชกระบวนการรกษาความปลอดภยสารสนเทศ โดย
a) เลอกใชวธการรกษาความปลอดภยสารสนเทศทเหมาะสม
b) ก าหนดมาตรการทจ าเปนเพอด าเนนการตามทางเลอกใหเหมาะสม
2.2.3.4 วตถประสงคของการรกษาความปลอดภยขอมล และการวางแผนงานเพอใหบรรลวตถประสงค องคกรตองก าหนดวตถประสงคการรกษาความปลอดภยสารสนเทศทเกยวของ โดยก าหนดใหสอดคลองกบนโยบาย สามารถวดได มการประเมนความเสยง และการจดการกบความเสยงอยางเหมาะสม เมอวางแผนวธการบรรลวตถประสงคดานความมนคงปลอดภยสารสนเทศแลว องคกรตองก าหนด สงทตองด าเนนการ ทรพยากรทตองใช ผรบผดชอบสนการด าเนนการ ระยะเวลาในการด าเนนการ และวธการประเมนผลการปฏบต
2.2.4 การสนบสนน (Support)
2.2.4.1 ทรพยากร (Resources) องคกรตองก าหนด ใหทรพยากรทจ าเปนส าหรบลงมอปฏบต บ ารงรกษา และการปรบปรงอยางตอเนองตอระบบบรหารจดการความมนคงปลอดภยสารสนเทศ
2.2.4.2 สมรรนะ (Competence) องคกรตองก าหนดสมรรถนะของบคลากรทท างานในองคกร ท าใหบคลากรเหลานมความสามารถ ด าเนนการตามความเหมาะสมเพอใหไดมาซงสมรรถนะทจ าเปน และท าการประเมนผลสมฤทธ และจดเกบสารสนเทศอยางเหมาะสมเปนลายลกษณอกษร
2.2.4.3 การสรางความตระหนก (Awareness) บคคลากรทท างานภายในการควบคมดแลขององคกรตองตระหนกถง นโยบายความมนคงปลอดภยสสารสนเทศขององคกร และความมสวนในความสมฤทธผลของการบรหารจดการความมนคงปลอดภยสารสนเทศ
11
2.2.4.4 การสอสารใหทราบ (Communication) องคกรตองสอสารใหทราบทงภายใน และภายนอกเกยวกบระบบบรหารจดการความมนคงปลอดภยสารสนเทศ รวมถง
2.2.4.5 สารสนเทศทเปนลายลกษณอกษร (Document information) ระบบบรการจดการความมนคงปลอดภยสารสนเทศตองรวมถงสารสนเทศทเปนลายลกษณอกษรทก าหนดโดยมาตรฐานน และสารสนเทศทเปนลายลกษณอกษรทถกก าหนดโดยองคกรเอง การปรบปรงสารสนเทศทเปนลายลกษณอกษรตองมระบบจดการบรหาร สารสนเทศตองมการควบคมการเขาถงอยางเหมาะสมส าหรบการใชงาน และตองไดรบการปองกนอยางเพยงพอ เชนจากการสญเสยความลบ การใชงานไมเหมาะสม เปนตน
2.2.5 การด าเนนการ (Operation)
2.2.5.1 การวางแผนทเกยวของกบการด าเนนการ และการควบคม (Operational planning and control) องคกรตองมการวางแผน และควบคมเพอใหสอดคลองกบความตองการดานความมนคงปลอดภยสารสนเทศ ตองมการควบคมการเปลยนแปลงทมการวางแผนไวแลวลวงหนา และทบทวนผลของการเปลยนแปลงทเกดขนอยางไมไดตงใจ
2.2.5.2 การประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (Information security risk assessment) ตองด าเนนการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศตามระยะเวลาทไดก าหนดไว หรอเมอมการเปลยนแปลงเกดขน และตองมการจดเกบสารสนเทศทเปนลายลกษณอกษร
2.2.5.3 การจดการความเสยงดานความมนคงปลอดภยสารสนเทศ (Information security risk treatment) ตองปฏบตตามแผนการจดการ และตองมการจดเกบสารสนเทศทเปนลายลกษณอกษร
2.2.6 การประเมนประสทธภาพและประสทธผล (Performance evaluation)
2.2.6.1 การตดตาม การวเคราะห และการประเมนผล ตองมการประเมนประสทธภาพ ประสทธผล และความไดผลของระบบการบรหารจดการความมนคงปลอดภยสารสนเทศ ตองมการก าหนดวาอะไรทจ าเปนในการวดผล รวมถงกระบวนการ และมาตรการดานความมนคงปลอดภยสารสนเทศ วธการในการเฝาระวง วดผล วเคราะห และประเมน เพอใหไดผลการประเมนทถกตอง
2.2.6.2 การตรวจประเมนภายในตองมการตรวจประเมนภายในตามรอบระยะเวลาทไดก าหนดไว โดยตองใหสอดคลองกบความตองการขององคกร และขอก าหนดของมาตรฐานนองคกรตองมการวางแผน ก าหนด ลงมอปฏบต และบ ารงรกษาโปรแกรมการตรวจประเมน รวมถงหนาทความรบผดชอบทไดวางแผนไว การรายงานผล ตองมการน าผลการตรวจประเมนครงกอนมาพจารณาดวย ตองมการก าหนดเกณฑการตรวจประเมนในแตละครง เลอก
12
ผตรวจประเมนทมความเปนกลาง ท ารายงานผลของการตรวจประเมนรายงานไปยงผบรหารทเกยวของ มการจดเกบสารสนเทศทเปนลายลกษณอกษรเพอใหเปนหลกฐานในการแสดงวามการตรวจ และประเมนผล
2.2.6.3 การทบทวนของผบรหาร ผบรหารระดบสงตองทบทวนระบบบรหารจดการความมนคงปลอภยสารสนเทศตามรอบระยะเวลาทก าหนดไวเพอใหมความเหมาะสมเพยงพอ และความสมฤทธผล
2.2.7 การปรบปรง (Improvement)
2.2.7.1 ความไมสอดคลองและการด าเนนการแกไข ความไมสอดคลองทเกดขน ตองตอบกลบตอความไมสอดคลองนนอยางเหมาะสม มการด าเนนการควบคม และแกไขจดการกบผลทเกดขน มการด าเนนการแกไขทจ าเปน ทบทวนความสมฤทธของการด าเนนการแกไขทไดท าไป และองคกรจะตองจดเกบสารสนเทศทเปนลายลกษณอกษรเพอใชเปนหลกฐาน
2.2.7.2 การปรบปรงอยางตอเนอง ตองมการปรบปรงความเหมาะสม เพยงพอ และความสมฤทธผลของระบบอยางตอเนอง
2.3 มำตรฐำนกำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ
หลกการควบคมทถกระบไวในมาตรฐาน ISO/IEC 27002 : 2013 ขอ A.5-A.18 รายละเอยดดงน
A.5 นโยบายความมนคงปลอดภยสารสนเทศ (Information Security Policy) เพอเปนการก าหนดทศทางการบรหารจดการและการสนบสนนวามมนคงปลอดภยสารสนเทศโดยสอดคลองกบธรกจ และกฎหมาย
A.6 โครงสรางความมนคงปลอดภยสารสนเทศ (Organization of Information Security) เปนการก าหนดกรอบของการบรหารจดการ การแบงแยกหนาทความรบผดชอบโดยไมใหขดกนตอการปฏบตงาน
A.7 ความมนคงปลอดภยส าหรบทรพยากรบคคล (Human Resource Security) เกยวกบการทใหพนกงานเขาใจในหนาทและความรบผดชอบของตนเอง เชน ตองมการคดเลอกบคลากรโดยใหสอดคลองกบกฎหมาย การท าขอตกลงในการขางงานตองมการจดท าใหเปนลายลกษณอกษร
13
A.8 การบรหารจดการทรพยสน (Asset management) เปนการระบทรพยสนขององคกร และก าหนดหนาทความรบผดชอบในการปองกนทรพยสนอยางเหมาะสม การระบผถอครองทรพยสนตองมการจดท า และปรบปรงขอมลใหทนสมยอยเสมอ
A.9 การควบคมการเขาถง (Access control) เปนการจดการควบคมการเขาถงของสารสนเทศในองคกร การเขาถงเครอขาย และระบบเครอขาย การบรหารจดการสทธผใชงาน เปนตน
A.10 การเขารหสขอมล (Cryptography) เพอเปนการปองกนความลบ การเปลยนแปลงของขอมลสารสนเทศอยางเหมาะสม
A.11ความมนคงปลอดภยทางกายภาพและสภาวะแวดลอม (Physical and environmental security) เพอปองกนการเขาถงทางกายภาพโดยไมไดรบอนญาต ความเสยหาย การแทรกแซงตอระบบสารสนเทศ เชน ตองมการก าหนดขอบเขตบรเวณพนททตองด าเนนการรกษาความปลอดภย ทประกอบไปดวยอปกรณสารสนเทศทมความส าคญ
A.12 ความมนคงปลอดภยส าหรบการด าเนนงาน (Operations security) เปนมาตรการเพอใหการด าเนนงานเปนไปอยางเหมาะสม และถกตอง ตองมการจดท าขนตอนการปฏบตงานใหเปนลายลกษณอกษร และผทจ าเปนตองใชงานสามารถเขาถงขอมลได
A.13 ความมนคงปลอดภยส าหรบการสอสารขอมล (Communications security) เกยวกบการปองกนสารสนเทศในเครอขาย และอปกรณประมวลผลสารสนเทศใหมความมนคงปลอดภย เชน การถายโอนสารสนเทศ ทงภายในและภายนอกองคกร
A.14 การจดหา การพฒนา และการบ ารงรกษาระบบ (System acquisition, development and maintenance) เพอใหสารสนเทศเปนองคประกอบทส าคญ รวมถงความตองการดานระบบ ทมการใหบรการผานเครอขาย
A.15 ความสมพนธกบผใหบรการภายนอก (Supplier relationships) เพอเปนการปองกนทรพยสนขององคกรจากผใหบรการภายนอก ตองมการก าหนด ตกลง และจดท าเปนลายลกษณอกษร
A.16 การบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ (Information security incident management) เพอใหมวธการทสอดคลองและไดผล ส าหรบการบรหารจดการ ตองมการก าหนดใหมการตอบสนองอยางรวดเรว มการรายงานจดออนของสารสนเทศอยางรวดเรวเพอท าการประเมนและตดสนใจตอสถานการณความมนคงปลอดภยสารสนเทศ
A.17 ประเดนดานความมนคงปลอดภยสารสนเทศของการบรหารจดการเพอสรางความตอเนองทางธรกจ (Information security aspects of business continuity management) เปน
14
การก าหนดความตองการดานความมนคงปลอดภย ในดานสถานการณความเสยหายทเกดขน เชน ในชวยทเกดวกฤต หรอภยพบต รวมถงมการทบทวน ตรวจสอบความตอเนองดานความมนคงปลอดภยสารสนเทศ
A.18 ความสอดคลอง (Compliance) เพอหลกเลยงขอผกพนทางกฎหมาย ขอบงคบ หรอสญญาจางทเกยวของกบความมนคงปลอดภยสารสนเทศ เชน ตองระบกฎหมายลงในสญญาจางทเกยวของ ตองมการระบอยางชดเจนเปนลายลกษณอกษร
2.4 กำรบรหำรจดกำรควำมเสยง (Risk Management)
ความเสยง (Risk) คอเหตการณหรอปญหาใดๆ ทเกดขนท าใหเกดผลกระทบ หรอสภาวะทตองเผชญกบสถานการณอนไมพงประสงค โดยการวดจากความรนแรงของผลกระทบ(Impact) และโอกาสทจะเกดปญหา (likelihood)
ปจจยเสยง (Risk Factor) คอสาเหตของความเสยงทสงผลกระทบใหไมสามารถบรรลวตถประสงคทตงไวได
การประเมนความเสยง (Risk Assessment) คอกระบวนการวเคราะหความเสยง จดล าดบโดยประเมนจากโอกาสทจะเกด (Likelihood) กบผลกระทบ (Impact) เมอท าการประเมนแลวจะท าใหทราบถงระดบความเสยง (Degree of Risk) คอ สงมาก สง ปานกลาง ต า
การบรหารความเสยง (Risk Management) คอกระบวนการทใชในการบรหารจดการ ทสงผลใหโอกาสทจะเกดความเสยงลดลง สงผลใหความเสยงอยในระดบทองคกรยอมรบไดสามารถสรปได 4 แนวทางหลกคอ การควบคมปองกน การควบคมเพอใหตรวจสอบ การควบคมโดยการชแนะ และการควบคมเพอการแกไข
2.4.1 ความเสยงดานเทคโนโลยสารสนเทศ ความเสยงดานเทคโนโลยสารสนเทศสามารถแบงออกเปน 4 ประเภท ดงน
2.4.1.1 ความเสยงดานกายภาพและสงแวดลอม ความเสยงทเกดจากลกษณะทางกายภาพและสงแวดลอมทงโดยเจตนาและไมเจตนา เชน วาตภย อทกภย เปนตน
2.4.1.2 ความเสยงดานบคลากร ความเสยงทเกดจากบคลากร คณะท างานทเกยวของกบการด าเนนการดานเทคโนโลยสารสนเทศ ตลอดจนบคลากรจากภายนอกทเกยวของ
2.4.1.3 ความเสยงดานอปกรณเทคโนโลยสารสนเทศ ความเสยงทเกดจากความผดพลาดของชองโหว หรอภยคกคามทเกดขนจากอปกรณ เชน การตดตงอปกรณในพนทไมเหมาะสม
15
2.4.1.4 ความเสยงดานโปรแกรมคอมพวเตอร ความเสยงทเกดจากระบบงานโปรแกรมตางๆ เชนการใชโปรแกรมทไมถกลขสทธ หรอการเปลยนแปลงค าสงคอมพวเตอร
2.4.1.5 ความเสยงดานระบบเครอขาย ความเสยงทเกดขนกบระบบเครอขายขององคกรทงระบบอนทราเนต อนเตอรเนต รวมถงปญหาทมพนฐานมาจากปญหาพนฐานของโพรโตคอล TCP/IP ดวย
2.4.1.6 ความเสยงดานขอมล ความเสยงทเกดจากระบบฐานขอมลตางๆเกดความเสยหาย ถกท าลาย ความเสยงทเกดจากการบกรก การโจรกรรมขอมลทส าคญ
2.4.2 กระบวนการบรหารความเสยงของระบบสารสนเทศ
2.4.2.1 ระบความเสยงและผลกระทบทมผลกระทบตอระบบขอมลสารสนเทศ
2.4.2.2 ประเมนถงโอกาสทจะเกดขนของความเสยง และความรนแรงของผลกระทบ
2.4.2.3 วางแผนโดยก าหนดมาตรการควบคมความเสยงเพอใหสามารถบรรลเปาหมายทก าหนดไวในแผนการ
2.4.2.4 การตดตามขอมลเพอทราบความเสยง และตดตามในระยะยาว
2.4.2.5 การตดตาม ก ากบ และตรวจสอบ ควรมการตรวจสอบการท างานของเจาหนาททไดรบมอบหมาย โดยมหลกฐานเปนเอกสารทเปนลายลกษณอกษรประกอบการปฏบตหนาท
2.5 ควำมมนคงปลอดภยของสำรสนเทศ (Information Security)
ปจจบนสารสนเทศเปนองคประกอบทส าคญส าหรบการด าเนนงานตางๆ องคกรจงจ าเปนตองมมาตรการส าหรบดแล ปองกนสารสนเทศใหมความมนคงปลอดภย ในปจจบนเทคโนโลย สารสนเทศมความกาวหนามากขนกวาเมอกอน นนกหมายถงมภยคกคามกมการพฒนามากขนดวยเชนกน หากสารสนเทศเกดความเสยหายนนหมายถงความเสยหายทงรายได และชอเสยงขององคกร
ความเสยหายของสารสนเทศเกดไดหลายทาง ทงจากผไมประสงคด ภยธรรมชาต หรอแมกระทงความไมตงใจจากผปฏบตงานเอง ดงนนองคกรจงตองมมาตรการมาปองกนความเสยหายของสารสนเทศ และมแผนรบมอหากเกดภยคกคามหรอความเสยหายกบสารสนเทศ
2.5.1 องคประกอบของความมนคงปลอดภยของสารสนเทศ
16
รปท 2.2 องคประกอบของความมนคงปลอดภยของสารสนเทศ
ความลบ (Confidentiality) การรกษาความลบของทรพยสนเปนองคประกอบทส าคญอยางยงตอการรกษาความปลอดภยของสารสนเทศ มหลกการส าคญกคอ ตองมนใจไดวาผมสทธ หรอไดรบการอนญาตเทานนทจะสามารถเขาถงได ระบบความปลอดภยทมประสทธภาพนน ตองมการตรวจสอบสทธกอนการเขาถง เพอเปนการยนยนวาผทรองขอนนมสทธเขาถงสารสนเทศนนได ทใชกนทวไปอยางแพรหลายคอการใชรหสผานในการพสจนตวตน รวมทงมการใชมาตรการทางเทคนค เชน การเขารหสขอมล (Encryption) เพอเพมความปลอดภยเพมขนไปอกขน
ความถกตองสมบรณ (Integrity) มาตรการควบคมความปลอดภยของสารสนเทศ จ าเปนตองการการตรวจสอบสทธ หรอการกระท าใดๆกตามทสงผลใหขอมลมความถกตองสมบรณ
ความพรอมใชงาน (Availability) การท าใหสารสนเทศนนสามารถตอบสนองตอผใชงานไดทนทในขณะทผมสทธใชงานตองการเขาถงสารสนเทศ
2.5.2 ภยคกคาม และชองโหว (Threat and vulnerability)
ภยคกคาม (Threat) คอ วตถ สงของ ตวบคคล หรอสงอนได ทเปนตวการท าอนตรายตอทรพยสน มทงเกดขนโดยเจตนา เชน เกดจากการกระท าของมนษย (Espionage or Trespass) และเกดขนโดยไมเจตนา เชน เกดจากภยธรรมชาต (Force of Nature) หรอจากผใชงานเอง (Human Error) ภยคกคามตางลวนเปนความเสยงของสารสนเทศทงสน
2.5.2.1 ประเภทของภยคกคาม
a) การเปดเผย (Disclosure) การเขาถงโดยไมไดรบอนญาต
b) การหลอกลวง (Deception) การใหขอมลเปนเทจ
17
c) การขดขวาง (Disruption) การท าลายขอมล การตดกระบวนการสอสาร
d) การควบคมระบบ (Usurpation) การเขาจดการระบบโดยทไมมสทธ
ชองโหว (Vulnerability) จดออนทถกภยคกความใชเปนชองทางในการโจมตท าใหเกดความเสยหาย ภยคกคามจะไดประโยชนจากชองโหวตางๆ โจมตระบบคอมพวเตอรจนเกดความเสยหายกบสารสนเทศ
รปท 2.3 ความสมพนธระหวางภยคกคาม ชองโหว และทรพยสน
2.6 พระรำชบญญตวำดวยกำรกระท ำควำมผดเกยวกบคอมพวเตอร พ.ศ. 2550
วชศกด[3] ไดใหความรเกยวกบ พระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550 ไดประกาศใชในวนท 19 กรกฎาคม 2550 สรปใจความส าคญๆไดดงน
มาตรา 5 กลาวถงเรองของการเขาถงโดยมชอบซงระบบคอมพวเตอรทมมาตรการปองกนการเขาถงโดยเฉพาะและมาตรการนน มไดมไวส าหรบตน
มาตรา 6 กลาวถงเรองของการลวงรถงมาตรการปองกนการเขาถงระบบคอมพวเตอรทผอนจดท าขน ถาน ามาตรการดงกลาวไปเปดเผยโดยมชอบ ในประการทนาจะเกดความเสยหายแกผอน
มาตรา 7 กลาวถงการเขาถงโดยมชอบซงขอมลคอมพวเตอรทมมาตรการปองกนการเขาถงโดยเฉพาะและมาตรการนนมไดมไวส าหรบตน
18
มาตรา 8 กลาวถงการกระท าดวยประการใดโดยมชอบดวยวธการทางอเลกทรอนกสเพอดกรบไวซงขอมลคอมพวเตอรของผอนทอยระหวางการสงในระบบคอมพวเตอร และขอมลคอมพวเตอรนนมไดมไวเพอประโยชนสาธารณะ
มาตรา 9 กลาวถงการท าใหเสยหาย ท าลาย แกไข เปลยนแปลง หรอเพมเตมไมวาทงหมดหรอบางสวน ซงขอมลคอมพวเตอรของผอนโดยมชอบ
มาตรา 10 กลาวถงการกระท าดวยประการใดโดยมชอบ เพอใหการท างานของระบบคอมพวเตอรของผอนถกระงบ ชะลอ ขดขวาง หรอรบกวนจนไมสามารถท างานตามปกตไดตองระวางโทษจ าคกไมเกนหาป หรอปรบไมเกนหนงแสนบาท หรอทงจ าทงปรบ
มาตรา 11 กลาวถงการสงขอมลคอมพวเตอรหรอจดหมายอเลกทรอนกสแกบคคลอนโดยปกปดหรอปลอมแปลงแหลงทมาของการสง
มาตรา 12 กลาวถงการกระท าความผดตามมาตรา 9 หรอมาตรา 10 กลาวถงการกอใหเกดความเสยหายแกประชาชน และการกระท าโดยประการทนาจะเกดความเสยหายตอขอมลคอมพวเตอร
มาตรา 13 กลาวถงการจ าหนายหรอเผยแพรชดค าสงทจดท าขนโดยเฉพาะเพอน าไปใชเปนเครองมอในการกระท าความผด
มาตรา 14 กลาวถงการน าเขาสระบบคอมพวเตอรซงเปนขอมลปลอมไมวาทงหมดหรอบางสวน ทนาจะเกดความเสยหายแกผอนหรอประชาชน การน าเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรอนเปน การน าเขาขอมลทมลกษณะอนลามก
มาตรา 15 กลาวถงการจงใจสนบสนนหรอยนยอมใหมการกระท าความผดตามมาตรา 14
มาตรา 16 กลาวถงการน าเขาสระบบคอมพวเตอรทภาพนนเปนภาพทเกดจากการสรางขน ตดตอ เตม หรอดดแปลง
19
บทท 3
กำรด ำเนนงำน
ในบทนจะเปนการกลาวถงวธการในการด าเนนโครงงานตามวตถประสงคทไดตงไว เพอใหการด าเนนโครงงานเปนไปตามแบบแผน และเกดประสทธภาพสงสด
3.1 ขนตอนในกำรด ำเนนงำน
ผจดท าไดน าเอามาตรฐาน ISO/IEC27001:2013 เขามาปรบใชกบองคกร โดยน าหลกการควบคมความปลอดภย และการประเมนความเสยง เขามาประยกตใช โดยมขนตอนการด าเนนงาน ดงน
รปท 3.1 ขนตอนการด าเนนงาน
3.1.1 ศกษามาตรฐาน ISO/IEC 27001:2013 และกฎหมายทเกยวของกบเทคโนโลยสารสนเทศ
20
การศกษาทฤษฏ และกฎหมายทเกยวของ เพอเปนการน าแนวทางในการด าเนนงาน
ตามทฤษฏทไดศกษามาปรบใชกบโครงงานทไดจดท าขน
3.1.2 ศกษาองคกร และระบบเทคโนโลยสารสนเทศขององคกร
การศกษาองคกร และระบบเทคโนโลยสารสนเทศขององคกร เปนการศกษาขอมลดวยวธการสมภาษณจากผด าเนนการในแตละหนวยงานภายในทเกยวของ และศกษาจากเอกสารทองคไดจดท าไว เพอใชเปนขอมลในการจดท าโครงงาน
3.1.3 ประเมนความเสยงระบบสารสนเทศขององคกร
การประเมนความเสยง เปนการประเมนความเสยงตามหวขอControl A.5-A18 โดยประเมนตามสถานการทเปนอยในปจจบน เพอใหองคกรทราบถงระดบความเสยงทมเพอน าผลทไดไปจดท าแผนลดความเสยงตอไป
3.1.4 ก าหนดแนวทางในการจดการความเสยง เพอลดความเสยงของระบบสารสนเทศ
ก าหนดแนวทางในการจดการความเสยง เปนการพจารณาตามหลกความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001 โดยพจารณาแนวทางจดการความเสยงตามความเหมาะสม
3.1.5 ประเมนความเสยงหลงจากจดท าแผนลดความเสยง
การประเมนความเสยงหลงจากจดท าแผนลดความเสยง เพอเปนการประเมนความเสยงอกครงหลงจากทไดจดการกบความเสยงแลว ท าใหทราบวาหลงจากจดการกบความเสยงแลว ความเสยงเหลานนลดลง หรออยในระดบทยอมรบได
3.1.6 จดท าเอกสาร Statement of Applicability (SOA)
การจดท าเอกสาร Statement of Applicability (SOA) เพอแสดงการใชงานมาตรฐานตามทแสดงไวในสวนของมาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางดานอเลกทรอนกส
3.1.7 จดท าสรปผลการด าเนนโครงการ
การจดท าสรปผลการด าเนนโครงการ เปนการสรปผลของการด าเนนโครงการทงหมด วาสามารถบรรลผล และวตถประสงคทไดก าหนดไวหรอไม
3.2 ก ำหนดขอบเขตในกำรด ำเนนกำรดำนควำมมนคงปลอดภยสำรสนเทศ
21
ขอบเขตของระบบงานทผจดท าน ามาจดท านโยบาย ครอบคลมในสวนของระบบ Data Center ทใหบรการเทคโนโลยสารสนเทศทงหมดขององคกร
รปท 3.2 Network Diagram
3.3 ขอมลทรพยสนขององคกร
ทรพยสนขององคกร แบงออกเปน 4 ประเภทดงน
1.ฮารดแวร (Hardware) ประกอบไปดวย กลมของอปกรณ เชน จอภาพ เครองพมพเอกสาร เมาส
2.ซอรฟแวร (Software) ชดค าสง หรอโปรแกรมทใชสงงานใหคอมพวเตอรท างาน
3.บคคล (Personal) เจาหนาททเกยวของกบระบบงานสารสนเทศ เชน เจาหนาทดแลระบบ
4.การบรการ (Service) ผใหบรการเกยวกบระบบงานสารสนเทศ เชน ผใหบรการอนเตอรเนต
5.ขอมลสารสนเทศ (Information) ขอมลทตางๆถกเกบไว เชน ขอมลทางการเงน ขอมลนกเรยน ขอมลผลสมฤทธทางการศกษา
22
ตำรำงท 3.1 ตารางแสดงทรพยสน (Asset Inventory)
Asset Category Asset Number Asset Detail Asset Location
Hardware
DS056/2013 Router : Cisco 800 Series Routers
Data Center
DS042/2012 Switch : Cisco ME 2600X Series Switches
Data Center
DS043/2012 Switch : Cisco ME 2600X Series Switches
Data Center
DS044/2012 Switch : Cisco ME 2600X Series Switches
Data Center
DS045/2012 Switch : Cisco ME 2600X Series Switches
Data Center
DS023/2013 Firewall : Corecasys enterprise 7910
Data Center
DS010/2012 Switch SCM Administrative Office
DS011/2012 Switch SCM Finance Office
DS012/2012 Switch SCM Principal’s room1
DS013/2012 Switch SCM Principal’s room2
DS055/2012 Switch DLink Computer Room1
DS056/2012 Switch DLink Computer Room2
23
ตำรำงท 3.1 ตารางแสดงทรพยสน (Asset Inventory) (ตอ)
Asset Category Asset Number Asset Detail Asset Location
Hardware DS046/2012 UPS Data Center DS004/2013 Finger Scan Discipline office
DS068/2012 Air condition1 Data Center DS023/2013 Air condition2 Data Center Software DS071/2012 Linux Data Center Information DS005/2013 Finger Scan Data Principal’s room1
Personal DS0126 System Admin Network DS0203 System Admin Service DB003/2010 Internet 3BB Data Center DB004/2011 Internet TOT Data Center
24
3.4 เกณฑกำรประเมน
ตำรำงท 3.2 ตารางประเมนความรนแรงของผลกระทบ (Impact)
ระดบควำมรนแรง คะแนน ผลกระทบ ควำมหมำย
สงมาก 4
การเงน (F) • มผลกระทบตงแต 5 ลานบาทขนไป ปฏบตการ (O) • มผลกระทบตอการปฏบตงานทวทงองคกร กฎหมาย(C) • ขดตอกฎหมายหรอพระราชบญญต ชอเสยง (R) • ชอเสยงขององคกร ไดรบการแพรกระจายผานทางสอสาธารณะตางๆ
สง 3
การเงน (F) • มผลกระทบตงแต 1 ลานบาท แตไมเกน 5 ลานบาท ปฏบตการ (O) • มผลกระทบตอการปฏบตงานทงหนวยงาน กฎหมาย(C) • ขดตอระเบยบขององคกร ชอเสยง (R) • กระทบชอเสยงขององคกรสง สงผลใหเกดความไมพอใจจากสาธารณะ
ปานกลาง 2
การเงน (F) • มผลกระทบตงแต 1แสนบาทขนไป แตไมเกน 1ลานบาท ปฏบตการ (O) • มผลกระทบตอการปฏบตงานทงฝายหรอ หองปฏบตการ กฎหมาย(C) • ขดตอขอปฏบตขององคกร ชอเสยง (R) • ถกตอวาหรอต าหนจากองคกรอนหรอจากบคคลภายนอก
ต า 1
การเงน (F) • มผลกระทบต าไมเกน 1 แสนบาท ปฏบตการ (O) • ไมมผลกระทบตอการปฏบตงาน กฎหมาย(C) • ไมกระทบตอกฎหมาย พระราชบญญต และระเบยบขอบงคบขององคกร ชอเสยง (R) • กระทบชอเสยงขององคกรนอยมากหรอไมกระทบเลย
25
ตำรำงท 3.3 ตารางประเมนโอกาสทจะเกดความเสยง (Likelihood)
โอกาสเกด คะแนน ความถทสามารถเกดความเสยงขนได
คอนขางแนนอน 4 มโอกาสเกดขนไดบอย และสรางความเสยหายตอระบบท าใหเกดการหยดชะงกของกระบวนการท างาน เชน เกดขนไดทกวน
นาจะเกด 3 มโอกาสทเกดขนไดคอนขางบอย สงผลกระทบไมมาก ไมเกน1ชวโมง เชน เกดขนได 1-2 ครง/สปดาห
เปนไปไดทจะเกด 2 มโอกาสเกดขนนานๆครงๆ สงผลกระทบใหเกดความลาชาในการท างาน เชน เกดขน 1-2ครง/เดอน
ยากทจะเกด 1 มโอกาสเกดขนได แตนอยมาก เชน อาจเกดขนได 1 ครง/ป
ก าหนดระดบคาความเสยง โดยน าเอา ระดบโอกาสทจะเกด คณกบระดบผลกระทบ ระดบความเสยง (Risk Value) = ระดบโอกาสทจะเกด (Likelihood) x ระดบของผลกระทบ (Impact) โดยมการก าหนดเกณฑของคาความเสยงเปนระดบทแตกตางกนไว 4 ระดบ ดงน
• ระดบความเสยง 1-3 ต า (Low)
• ระดบความเสยง 4-8ปานกลาง (Medium)
• ระดบความเสยง 9-12สง (High)
• ระดบความเสยง 13-16สงมาก (Very High)
26
ตำรำงท 3.4 ระดบความเสยง (Risk Value)
ระดบควำมเสยง คะแนน ค ำอธบำย
ต า (Low) 1-3 เปนความเสยงทองคกรยอมรบได แตตองมการตดตามควบคมอยเพอใหมนใจวาหากเกดขน สามารถควบคมได
ปานกลาง (Medium) 4-8 เปนระดบความเสยงทองคกรพอสามารถยอมรบไดแตจะตองใชความพยายามทจะลดความเสยง
สง (High) 9-12 เปนระดบทองคกรไมสามารถยอมรบได ตองจดการความเสยงนนเพอไมใหเกดผลกระทบกบงาน
13-16สงมาก (Very High) 13-16 เปนระดบทองคกรไมสามารถยอมรบได ตองจดการความเสยงนนอยางเรงดวนเพอไมใหเกดผลกระทบกบงาน
27
ตำรำงท 3.5 ตารางประเมนระดบความเสยง (Risk Assessment Matrix)
Risk Assessment Matrix
โอกาสทจะเกดความเสยง Likelihood
ยากทจะเกด เปนไปไดทจะเกด นาจะเกด คอนขางแนนอน
1 2 3 4
ผลกระทบ (Impact 1:1)
สงมาก 4 4
ปานกลาง 8
ปานกลาง 12
สง 16
สงมาก
สง 3 3
ต า 6
ปานกลาง 9
สง 12
สง
ปานกลาง 2
2 ต า
4 ปานกลาง
6 ปานกลาง
8 ปานกลาง
นอย 1 1
ต า 2
ต า 3
ต า 4
ปานกลาง
28
3.5 สรปทำยบท
การจดท านโยบายความมนคงปลอดภยสารสนเทศ และประเมนความเสยง เรมตนโดยการเกบขอมลโดยการสอบถามจากผปฏบตงานในสวนงานตางๆทเกยวของ จดท าตารางประเมนความรนแรงของผลกระทบ (Impact) โอกาสทจะเกดความเสยง (Likelihood) ก าหนดระดบความเสยง (Risk Value) และตารางประเมนระดบความเสยง (Risk Assessment Matrix) ท าการสรปขอมลโครงสรางและองคประกอบตางๆ ท าใหทราบวาระบบสารสนเทศ ทใชงานอยในปจจบนมความเสยง หรอชองโหวอยางไรบาง และอยในระดบใด เพอน าผลการประเมนทไดมารางเปนนโยบายรกษาความมนคงปลอดภยสารสนเทศทเหมาะสมกบองคกร และน าไปประกาศใชตอไปเพอใหเกดประสทธภาพสงสด
29
บทท4
ผลกำรด ำเนนงำน
4.1 บทน ำ
ในบทนจะกลาวถงการประเมนความเสยง(Risk Assessment) โดยน าขอมลมาจากการสมภาษณผปฏบตงานทเกยวของ และเหตการณทเคยเกดขนมาแลว ท าการประเมนโดยประเมนไปตามหวขอของ ISO27001:2013 เรมตงแต A.5 – A.18 ตามทไดกลาวไปแลวในบทท3 วเคราะหโอกาส ผลกระทบ ระดบความเสยง ตามทไดกลาวไปแลวในหวขอท 3.5 เกณฑการประเมน
4.2 วเครำะหปญหำของระบบสำรสนเทศในองคกรดวยผงกำงปลำ (Fish Bone Diagram)
รปท 4.1 ปญหาของระบบสารสนเทศในองคกร
30
4.3 กำรประเมนควำมเสยงระบบสำรสนเทศกอนกำรบรหำรจดกำรควำมเสยง
ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง
1. A.5 นโยบายความมนคงปลอดภยสารสนเทศ (Information Security Policy) 1.1 ทศทางการบรหารจดการความมนคงปลอดภยสารสนเทศ ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
1.1.1 การจดท านโยบายส าหรบความมนคงปลอดภยสารสนเทศตองมการจดท าเปนลายลกษณอกษร
ไมมการจดท านโยบายส าหรบความมนคงปลอดภยสารสนเทศเปนลายลกษณอกษร มเพยงการประกาศใช พรบ.คอมพวเตอร พ.ศ.2551เทานน
4 4 16 สงมาก
1.1.2 ทบทวนนโยบายคตามรอบระยะเวลาทก าหนด
ไมมการทบทวนเนองจากยงไมมนโยบายประกาศใช
4 4 16 สงมาก
2. A.6 โครงสรางความมนคงปลอดภยสารสนเทศ (Organization of Information) 2.1 โครงสรางภายในองคกร 2.1.1 ตองมการก าหนดความ
รบผดชอบดานความมนคงปลอดภยสารสนเทศ
ยงไมไดมการก าหนดอยางเปนทางการและยงไมมเอกสารขอมลเปนลายลกษณอกษร
4 4 16 สงมาก
2.1.2 ตองแยกหนาทงาน ทจะท าใหเกดการขดตอการปฏบตงานออกจากกน เพอลดโอกาสทจะเกดขน
เกดการละเมดในการเขาใชงานระบบสารสนเทศ
4 4 16 สงมาก
31
ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
2.1.3 ตองรกษาไวซงการตดตอกบผเกยวของเพอใหสามารถตดตอไดอยางตอเนอง
ไมมการก าหนดผตดตอโดยตรง 4 4 16 สงมาก
2.1.4 ตองรกษาไวซงการตดตอกบกลมความเชยวชาญดานความมนคงปลอดภยสารสนเทศ
ยงมขอมลส าหรบตดตอกบผทเกยวของ แตตดตอเฉพาะเมอเกดปญหา
1 2 2 ต า
2.1.5 การบรหารโครงการไมวาประเภทใดตองระบความมนคงปลอดภยสารสนเทศของโครงการนน
ไมมการระบความมนคงปลอดภยสารสนเทศของโครงการ
4 4 16 สงมาก
2.2 อปกรณคอมพวเตอรแบบพกพา และการปฏบตงานจากระยะไกล 2.2.1 การใชงานอปกรณคอมพวเตอร
แบบพกพา ตองมมาตรการสนบสนน
ไมมมาตรการส าหรบจดการอปกรณคอมพวเตอรแบบพกพา
3 4 12 สง
32
ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
2.2.2 ตองมมาตรการสนบสนนการเขาถง การประมวลผล หรอการจดเกบ
ไมมมาตรการส าหรบจดการเขาถง การประมวลผล หรอการจดเกบ
4 4 16 สงมาก
3. A.7 ความมนคงปลอดภยส าหรบทรพยากรบคคล (Human Resource Security) 3.1 กอนการจางงาน 3.1.1 ตองมการตรวจสอบภมหลงของ
ผสมครงานโดยใหสอดคลองกบกฎหมาย
ผเกยวของหลกเลยงไมปฏบตตามกฎ 4 3 12 สง
3.1.2 ขอตกในและเงอนไขในสญญาจางตองกลาวถงหนาทรบผดชอบดานความมนคงปลอดภยสารสนเทศของพนกงาน
ผถกวาจางละเลยไมปฏบตตาม 4 3 12 สง
3.2 ระหวางการจางงาน 3.2.1 ตองก าหนดใหผท าสญญาจาง
รกษาความมนคงปลอดภยสารสนเทศ
ยงไมมการก าหนดในสญญาจาง 3 3 9 สง
33
ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
3.2.2 พนกงานตองไดรบการฝกอบรมดานความมนคงปลอดภยสารสนเทศ
ไมมการจดอบรมอยางตอเนอง 4 3 12 สง
3.2.3 ตองมการก าหนดกระบวนการทางวนยอยางเปนทางการ
ไมมก าหนดกระบวนการลงโทษทางวนยอยางเปนลายลกษณอกษร
4 4 16 สงมาก
3.3 การสนสดหรอการเปลยนการจางงาน 3.3.1 การถอนสทธในการเขาถงเมอม
การสนสด หรอเปลยนการจางงาน
เจาหนาทละเลยไมปฏบตตามกฎระเบยบ
4 4 16 สงมาก
4. A.8 การบรหารจดการทรพยสน (Asset Management) 4.1 หนาทความรบผดชอบตอทรพยสน 4.1.1 ตองมการจดท าทะเบยน
ทรพยสน และปรบปรงใหทนสมย
มการจดท าทะเบยนทรพยสนแตไมมการปรงปรงขอมลใหทนสมย
4 4 16 สงมาก
4.1.2 ทรพยสนในทะเบยนตองมผถอครอง
เจาหนาทไมใหความส าคญในการระบผถอครอง
4 4 16 สงมาก
34
ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
4.1.3 การใชงานทรพยสนตองมการระบ จดท าเปนลายลกษณอกษร
ไมมการจดท าเปนลายลกษณอกษร 4 3 12 สง
4.1.4 ตองมการคนทรพยสนเมอสนสดการจางงาน
เจาหนาทละเลยในการตรวจสอบ 3 4 12 สง
4.2 การจดชนความลบของสารสนเทศ 4.2.1 การจดชนความลบโดย
พจารณาดานกฎหมาย คณคาระดบความส าคญ หากถกเปดเผยโดยไมไดรบอนญาต
เจาหนาทไมด าเนนการจดท าใหถกตอง
3 4 12 สง
4.2.2 การจดท าปายชอ และการจดการทรพยสนสารสนเทศ
เจาหนาทละเลยในการปฏบตงาน 4 4 16 สงมาก
4.2.3 การจดการทรพยสนตองมการจดท า และปฏบตตาม
เจาหนาทละเลยในการปฏบตงาน 4 4 16 สงมาก
4.3 การจดการสอบนทกขอมล 4.3.1 ตองมการบรหารจดการสอ
บนทกขอมลทถอดแยกได ยงไมมการบรหารจดการ 4 4 16 สงมาก
35
ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
4.3.2 การท าลายสอบนทกขอมล ตองมการท าลายทงอยางปลอดภย
ไมมการตรวจสอบการท าลายสอบนทกขอมล
4 4 16 สงมาก
4.3.3 ตองมการปองกนสอบนทกขอมลทอาจถกเขาถงอยางไมไดรบอนญาต
ไมมการปองกนสอบนทกขอมล 4 4 16 สงมาก
5. A9. การควบคมการเขาถง (Access Control) 5.1 ความตองการทางธรกจส าหรบการควบคมการเขาถง 5.1.1 ตองมการควบคมการเขาถง และ
จดท าเปนลายลกษณอกษร เจาหนาทละเลยในการปฏบตงาน 4 4 16 สงมาก
5.1.2 ตองมการควบคมการเขาถง เครอขายและบรการตามทตนไดรบอนมตเทานน
เจาหนาทละเลยในการปฏบตงาน 4 4 16 สงมาก
5.2 การบรหารจดการการเขาถงของผใชงาน 5.2.1 การถอนสทธการใชงานตองม
กระบวนการอยางเปนทางการ เจาหนาทละเลยในการปฏบตงาน 4 4 16 สงมาก
5.2.2 การจดการสทธการเขาถงทกระบบทงหมดตองมการจดการ
เจาหนาทไมด าเนนการจดท าใหถกตอง
4 4 16 สงมาก
36
ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
5.2.3 ตองมการจดการสทธการเขาถงตามระดบสทธ
ไมมการจดการสทธการเขาถงตามระดบสทธ
4 4 16 สงมาก
5.2.4 ตองมการจดการขอมลการพสจนตวตนของผใชงาน
เจาหนาทไมจดการท าขอมลใหเปนไปตามแนวทางทถกตอง
4 4 16 สงมาก
5.2.5 การทบทวนสทธการเขาถงตามรอบเวลา
เจาหนาทละเลยในการปฏบตงาน 4 4 16 สงมาก
5.2.6 การถอดถอนหรอปรบปรงการเขาถงตองไดรบการถอดถอนเมอสนสดการท างาน
เจาหนาทละเลยในการปฏบตงาน 4 4 16 สงมาก
5.3 หนาทความรบผดชอบของผใชงาน 5.3.1 ขอมลในการพสจนตวตนตอง
เกบเปนความลบ ผปฏบตงานบอกขอมลการพสจนตวตนกบคนอน
4 4 16 สงมาก
5.4 การควบคมการเขาถงระบบ 5.4.1 ตองมการจ ากดการเขาถง
สารสนเทศ และฟงกชนในระบบงาน
เจาหนาทไมมการจ ากดและควบคมอยางใกลชด
4 4 16 สงมาก
37
ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
5.4.2 ตองมการก าหนดการเขาระบบทมความมนคงปลอดภย
ผปฏบตงานบอกขอมลการพสจนตวตนกบคนอน
4 4 16 สงมาก
5.4.3 ตองมการจดการรหสผานทปฏสมพนธกบผใชงาน
ไมมการจดสงรหสผานอยางเปนระบบ
4 4 16 สงมาก
5.4.4 ตองมการจ ากดการใชงานโปรแกรมอรรถประโยชน
ไมมการจ ากดการใชงานโปรแกรมอรรถประโยชน
4 4 16 สงมาก
5.4.5 ตองมการจ ากดการเขาถงซอรสโคดของโปรแกรม
ผทมสทธเทานน ทจะสามารถเขาถงซอรสโคดของโปรแกรมได
4 1 4 ปานกลาง
6. A10. การเขารหสขอมล (Cryptography) 6.1 มาตรการเขารหสขอมล 6.1.1 ตองมนโยบายการใชมาตรการ
การเขารหสขอมล ไมมการเขารหสขอมล 4 4 16 สงมาก
6.1.2 ตองมการปองกน มอายการใชงานของกญแจ
ไมมการเขารหสขอมล 4 4 16 สงมาก
7. A.11 ความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical and environmental Security) 7.1 พนททตองการการรกษาความมนคงปลอดภย 7.1.1 ตองมการก าหนดขอบเขต
โดยรอบทางกายภาพ มการก าหนดขอบเขตทางกายภาพ แตยงไมมความปลอดภยเทาทควร
4 3 12 สง
38
ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
7.1.2 ตองมการควบคมการเขาออกทางกายภาพ
ไมมการก าหนดการควบคมการเขาออก
4 4 16 สงมาก
7.1.3 ตองมการรกษาความมนคงปลอดภยทางกายภาพของส านกงาน
มการรกษาความปลอดภยขอบเขตทางกายภาพ แตยงไมมความปลอดภยเทาทควร
4 3 12 สง
7.1.4 ตองมการปองกนตอภยคกคามจากภายนอกและสภาพแวดลอม
ไมมการปองกนตอภยคกคามทเหมาะสม
4 3 12 สง
7.1.5 ตองมการจดท าขนตอนปฏบตส าหรบการปฏบตงานในพนท
ยงไมมการจดท า 4 4 16 สงมาก
7.1.6 ตองมจดหรอบรเวณส าหรบการรบสงสงของ
มการก าหนดบรเวณส าหรบรบสงสงของ
1 2 2 ต า
7.2 อปกรณ 7.2.1 ตองมการจดตงอปกรณปองกน
เพอลดความเสยงจากภยคกคาม และอนตรายดานสภาพแวดลอม
ไมมการก าหนดขอบเขตใหเปนสดสวนเพอปองกนการเขาถงโดยไมไดรบอนญาต
4 4 16 สงมาก
7.2.2 อปกรณตองไดรบการปองกนจากการลมเหลวของกระแสไฟฟา
มการใชงาน UPS ส าหรบส ารองกระแสไฟชวคราว
2 3 6 ปานกลาง
39
ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
7.2.3 การเดนสายไฟตองมการปองกนจากการขดขวางการท างาน หรอการท าใหเสยหาย
การเดนสายไฟยงไมเปนระเบยบเทาทควร
4 4 16 สงมาก
7.2.4 ตองมการบ ารงรกษาอปกรณอยางถกตองเพอใหมสภาพพรอมใชงาน
ไมมการก าหนดการบ ารงรกษาอปกรณ
4 4 16 สงมาก
7.2.5 อปกรณ สารสนเทศ หรอซอฟแวร ตองไมมการน าออกนอกส านกงาน
ไมมการควบคม 4 4 16 สงมาก
7.2.6 ทรพยสนทใชงานอยนอกส านกงานตองมการรกษาความมนคงปลอดภย
ไมมการควบคม 4 4 16 สงมาก
7.2.7 การท าลายหรอก าจดอปกรณ ตองมใบอนญาตลบทง หรอเขยนทบ
ไมมการตรวจสอบกอนลบหรอก าจดอปกรณ
4 4 16 สงมาก
7.2.8 อปกรณททงไวโดยไมมผดแลตองมการปองกนอยางเหมาะสม
ไมมการปองกนอปกรณทเหมาะสม เมอไมไดมการใชงาน
3 4 12 สง
40
ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
7.2.9 โตะท างานตองปราศจากเอกสารส าคญ เพอปองกนการเขาถงทางกายภาพตอเอกสารและขอมลส าคญขององคกร
ไมมการควบคมปองกน 4 4 16 สงมาก
8. A.12 ความมนคงปลอดภยส าหรบการด าเนนงาน (Operations Security) 8.1 ขนตอนการปฏบตงานและหนาทความรบผดชอบ 8.1.1 ขนตอนในการปฏบตงานตอง
จดท าเปนลายลกษณอกษร ยงไมมการจดท าขนตอนการปฏบตงานทเปนลายลกษณอกษร
3 4 12 สง
8.1.2 การเปลยนแปลงตออปกรณประมวลผลสารสนเทศและระบบ ตองมการควบคมการด าเนนการ
ไมมการควบคมปองกน 4 4 16 สงมาก
8.1.3 การใชทรพยากรของระบบตองมการตดตาม ปรบปรง และคาดการณความตองการเพมเตมในอนาคต
ไมมการตดตาม ปรบปรง และคาดการณลวงหนา
4 4 16 สงมาก
8.1.4 สภาพแวดลอมส าหรบการพฒนา การทดสอบ และการใหบรการ ตองมการจดท าแยกกนเพอลดความเสยง
การพฒนาเปนหนาทของผใหบรการ ทางองคกรไมไดพฒนา และทดสอบเอง
1 1 1 ต า
41
ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
8.2 การปองกนโปรแกรมไมประสงคด 8.2.1 มาตรการตรวจหา ปองกน และ
การกคนจากโปรแกรมไมประสงคด ตองมการด าเนนการอยาเหมาะสม
ยงไมมการปองกน 4 4 16 สงมาก
8.3 การส ารองขอมล 8.3.1 ตองมการด าเนนการส ารองขอมล
สารสนเทศ ซอฟตแวร และอมเมจของระบบไว และมการท าสอบความพรอมใชงาน
ไมมการส ารองขอมลใดๆทงสน 4 4 16 สงมาก
8.4 การบนทกขอมลลอก(Event Logging) และการเฝาระวง 8.4.1 ตองมการบนทกขอมลลอกแสดง
เหตการณบนทกกจกรรมของผใชงาน
ยงไมมการบนทกกจกรรมของผใชงาน
4 4 16 สงมาก
8.4.2 อปกรณบนทกขอมลลอกตองไดรบการปองกนจากการเปลยนแปลงแกไข
ยงไมมการปองกนการบนทกกจกรรมของผใชงาน
4 4 16 สงมาก
42
ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
8.4.3 ขอมลลอกกจกรรมของผดแลระบบตองมการบนทกไว และตองมการปองกนทบทวนอยางสม าเสมอ
ยงไมมการบนทกกจกรรมของผดแลระบบ
4 4 16 สงมาก
8.4.4 ตองตงนาฬกาของระบบทเกยวของทงหมดในองคกรใหตรงและถกตอง
ตงใหกบอพเดตกบอนเตอรเนต 1 1 1 ต า
8.5 การควบคมการตดตงซอฟตแวร 8.5.1 การตดตงซอฟตแวรบนระบบ
ตองมการควบคม ไมมการควบคมการตดตงซอฟตแวร 4 4 16 สงมาก
8.6 การบรหารจดการชองโหวทางเทคนค 8.6.1 ตองมการตดตามขอมลชอง
โหวทางเทคนค ตองมการประเมนและมมาตรการทเหมาะสมเพอจดการ
ไมมการตดตามและประเมนผล 4 4 16 สงมาก
8.6.2 ตองมกฎเกณฑควบคมการตดตงซอฟตแวร
ไมมการควบคมการตดตงซอฟตแวร 4 4 16 สงมาก
43
ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
8.7 สงทตองพจารณาในการตรวจประเมนระบบ 8.7.1 การตรวจประเมนระบบ
ใหบรการตองมการวางแผนและตกลงรวมกนเพอลดโอกาสการหยดชะงกตอกระบวนการท างาน
ไมมการตรวจประเมนระบบเลย หากตดปญหามกจะแกไขไปตามสถานการณ
4 4 16 สงมาก
9. A.13 ความมนคงปลอดภยส าหรบการสอสารขอมล (Communications security) 9.1 การบรหารจดการความมนคงปลอดภยของเครอขาย 9.1.1 เครอขายตองมการบรหาร
ควบคมเพอปองกนสารสนเทศระบบตางๆ
ม Firewall 3 1 3 ต า
9.1.2 ความตองการในสวนของผบรหาร ตองมการระบรวมไวในขอตกลงการใหบรการเครอขาย
ขอตกลงในการใหบรการเครอขาย ผใหบรการเปนผจดการ
3 1 3 ต า
9.1.3 กลมของการบรการสารสนเทศผใชงาน และระบบตองมการจดแบงเครอขายตามกลม
มการจดกลมของการใหบรการโดยแบงเปนกลมของเจาหนาท และกลมของนกเรยน
3 2 6 ปานกลาง
44
ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
9.2 การถายโอนสารสนเทศ (Information transfer) 9.2.1 การปองกนสารสนเทศทมการ
ถายโอนขอมลใหมความมนคงปลอดภย
ยงไมมการปองกน 3 3 9 สง
9.2.2 ตองมการระบขอตกลงส าหรบการโอนถายสารสนเทศกบองคกรภายนอก
ยงไมมการระบขอตกลงระหวางการโอนถายขอมล
4 4 16 สงมาก
9.2.3 การสงขอความทางอเลกทรอนกสตองไดรบการปองกนอยางเหมาะสม
ยงไมมการปองกน 4 4 16 สงมาก
9.2.4 การไมเปดเผยความลบขององคกรการปองกนสารสนเทศตองมการทบทวนและจดท าเปนลายลกษณอกษร
ยงไมมการจดท าเปนลายลกษณอกษร 4 4 16 สงมาก
10. A.14 การจดหา การพฒนา และการบ ารงรกษาระบบ (System acquisition, development and maintenance) 10.1 ความตองการดานความมนคงปลอดภยของระบบ
45
ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
10.1.1 ความมนคงปลอดภยสารสนเทศตองรวมเขากบความตองการส าหรบระบบใหม หรอการปรบปรงทมอยแลว
ยงไมมการจดการความมนคงปลอดภยส าหรบระบบทมอย
4 4 16 สงมาก
10.1.2 การบรการสารสนเทศทมการสงผานเครอขายสาธารณะตองไดรบการปองกนจากการฉอโกง การโตเถยง และการเปดเผยโดยไมไดรบอนญาต
ยงไมมการปองกน 4 4 16 สงมาก
10.1.3 สารสนเทศทเกยวกบธรกรรมตองไดรบการปองกนจากการรบสงขอมลทไมสมบรณ การสงขอมลผดเสนทาง การเปลยนแปลงขอความโดยไมไดรบอนญาต การเปดเผยโดยไมไดรบอนญาต
ยงไมมการปองกน 4 4 16 สงมาก
10.2 ความมนคงปลอดภยส าหรบกระบวนการพฒนา และสนบสนน
46
ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
10.2.1 ตองมการก าหนดกฎเกณฑส าหรบการพฒนาซอฟตแวรขององคกร
มการท าขอตกลงกบผใหบรการจากภายนอกเปนลายลกษณอกษร
3 1 3 ต า
10.2.2 ตองไมอนญาตใหมการเปลยนแปลงซอฟตแวรส าเรจรป จดการเปลยนแปลงเทาทจ าเปน และตองมการควบคมอยางรดกม
ไมมการตรวจสอบและควบคม 4 4 16 สงมาก
10.2.3 เมอมการเปลยนแปลงโครงสรางพนฐานของระบบทส าคญตองมการทบทวนและทดสอบ
ไมมการทบทวนและทดสอบอยางเปนระบบ
4 4 16 สงมาก
10.2.4 ตองจ ากดการเปลยนแปลงตอซอฟตแวรส าเรจรป ตองมการควบคมอยางรดกม
ไมมการจ ากด และควบคมเทาทควรจะเปน
4 4 16 สงมาก
10.2.5 หลกการวศวกรรมระบบตองมการจดท าเปนลายลกษณอกษร ปรบปรงอยางตอเนอง
ไมมการจดท าเปนลายลกษณอกษร 4 4 16 สงมาก
47
ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
10.2.6 ตองจดท า และปองกนอยางเหมาะสมตอสภาพแวดลอมของการพฒนาระบบทมความมนคงปลอดภย
การพฒนาระบบเปนสวนงานของผใหบรการ
1 1 1 ต า
10.2.7 ตองก ากบดแล เฝาระวง และตดตามกจกรรมการพฒนาระบบทจางหนวยงานภายนอก
มการตดตามการพฒนาอยางตอเนองแตไมไดท าเปนลายลกษณอกษร
4 4 16 สงมาก
10.2.8 ตองมการทดสอบคณสมบตดานความมนคงปลอดภยในระหวางทระบบอยในชวงการพฒนา
ไมมการท าสอบระบบทอยในชวงการพฒนา
2 1 2 ต า
10.2.9 ตองมการจดท าแผนการทดสอบเพอรบรองระบบส าหรบระบบใหม และระบบทปรบปรง
ทผานมาไมมการจ าท าแผน 2 1 2 ต า
10.3 ขอมลส าหรบการทดสอบระบบ (Test data)
48
ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
10.3.1 ขอมลส าหรบการทดสอบตองมการคดเลอกอยางระมดระวง มการปองกนและควบคม
3 1 3 ต า
11. A.15 ความสมพนธกบผใหบรการภายนอก (Supplier relationships) 11.1.1 การเขาถงทรพยสนขององคกร
จากผใหบรการภายนอกตองมการก าหนดและจดท าเปนลายลกษณอกษร
ไมมการก าหนดรปแบบ และเอกสารทเปนลายลกษณอกษร
4 4 16 สงมาก
11.1.2 การก าหนดและตกลง ในเรองการเขาถงการประมวลผล การจดเกบ การสอสารและการใหบรการกบผใหบรการภายนอก
ยงไมมการจดท าขอก าหนด 4 4 16 สงมาก
11.1.3 ตองมการระบความเสยงอนเกดจากการใหบรการ และการสอสารโดยผใหบรการภายนอก
ไมมการระบความเสยงจากผใหบรการภายนอก
4 3 12 สง
11.2 การบบรหารจดการการใหบรการโดยผใหบรการภายนอก
49
ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
11.2.1 การตดตามและทบทวนบรการของผใหบรการภายนอก
ไมมการตดตามและทบทวนจากเกดปญหาจงมการทบทวนในแตละครง
4 4 16 สงมาก
11.2.2 การเปลยนแปลงผใหบรการภายนอก ตองมการบรหารจดการและตองทบทวนการประเมนความเสยงใหม
ทผานมายงไมมการประเมนความเสยง
4 4 16 สงมาก
12. A.16 การบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ (Information Security Incident Management) 12.1.1 ตองมการก าหนดหนาทความ
รบผดชอบและขนตอนการบรหารจดการเพอใหมการตอบสนองอยางรวดเรวไดผล
มการก าหนดหนาท แตยงไมมการก าหนดขนตอนการบรหารจดการ
4 3 12 สง
12.1.2 ตองมการรายงานสถานการณความมนคงปลอดภยสารสนเทศผานทางชองทางการบรหารทเหมาะสม
ไมมการรายงาน 4 3 12 สง
12.1.3 ตองมการสงเกตและรายงานจดออนของระบบหรอบรการทพบ หรอทสงสย
ไมมการรายงาน 4 4 16 สงมาก
50
ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
12.1.4 ตองมการประเมนความมนคงและตดสนวาสถานการณนนเปนเหตการณความมนคงปลอดภยสารสนเทศหรอไม
ไมมการประเมนความเสยง หากเกดเหตการณขนกแกไขไปตามสถานการณ
4 4 16 สงมาก
12.1.5 เหตการณความมนคงปลอดภยสารสนเทศตองไดรบจดการกบปญหาตามทไดจดท าไวเปนลายลกษณอกษร
ยงไมมการจดท าเปนลายลกษณอกษรหากเกดเหตการณขนกแกไขไปตามสถานการณ
4 4 16 สงมาก
12.1.6 ความรทไดรบจากการวเคราะห และแกไขเหตการณความมนคงปลอดภยสารสนเทศตองถกน ามาให เพอลดผลกระทบของเหตการณในอนาคต
มการน าความรจากการแกไขปญหาในครงกอนมาใชแกไขปญหาทเกดขนในปจจบน แตยงไมมการวางแผนในอนาคต
3 2 6 ปานกลาง
12.1.7 ตองมการรวบรวม จดหา และการจดเกบสารสนเทศซงสามารถใชเปนหลกฐาน
ยงไมมการรวบรวมเอกสารเกยวกบระบบสารสนเทศ
3 2 6 ปานกลาง
51
ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
13. A.17 ประเดนดานความมนคงปลอดภยสารสนเทศของการบรหารจดการเพอสรางความตอเนองทางธรกจ (Information security aspects of business continuity management) 13.1.1 ตองก าหนดความตองการดาน
ความมนคงปลอดภยสารสนเทศและสถานการณความเสยหายทเกดขน
ยงไมมการก าหนด 4 3 12 สง
13.1.2 องคกรตองจดท าขนตอนปฏบต มาตรการทเปนลายลกษณอกษร เพอใหมความตอเนองดานความมนคงปลอดภยสารสนเทศ
ยงไมมการจดท าขนตอนปฏบตทเปนลายลกษณอกษร
4 3 12 สง
13.1.3 องคกรตองมการตรวจสอบมาตรฐานตามรอบระยะเวลาทก าหนดไวเพอใหมนใจวามาตรการเหลานนยงถกตองและไดผลเมอมสถานการณความเสยหายเกดขน
ไมมการตรวจสอบ เนองจากยงไมมการน าเอานโยบายสารสนเทศเขามาปรบใช
4 4 16 สงมาก
52
ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
13.2 การเตรยมการอปกรณประมวลผลส ารอง (Redundancies) 13.2.1 อปกรณประมวลผลตองเตรยม
ไวอยางเพยงพอเพอใหตรงตามความตองการ
ไมมการเตรยมอปกรณส ารอง 3 3 9 สง
14. A.18 ความสอดคลอง (Compliance) 14.1 ความสอดคลองกบความตองการดานกฎหมายและในสญญาจาง
14.1.1 การระบกฎหมายและความตองการในสญญาจางทเกยวของ
ไมมการระบ 4 4 16 สงมาก
14.1.2 สทธในทรพยสนทางปญญาตองมความสอดคลองกบความตองการทางกฎหมาย ระเบยบขอบงคบและสญญาจาง
ไมมการระบในสญญาจาง 4 4 16 สงมาก
14.1.3 ขอมลขององคกรตองไดรบการปกปองจาการสญหาย การถกท าลาย การปลอมแปลงและเขาถงโดยไมไดรบอนญาต
ไมมการเกบรกษา ปกปอง จากากรสญหาย ถกท าลาย การปลอมแปลงและการเขาถงโดยไมไดรบอนญาต
4 3 12 สง
53
ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
14.1.4 ความเปนสวนตวและการปองกนขอมลสวนบคคลตองมการด าเนนการใหสอดคลองกบกฎหมายและระเบยบขอบงคบ
มการประกาศใช พ.ร.บ.คอมพวเตอร 3 3 9 สง
14.1.5 การเขารหสขอมลตองมการใชใหสอดคลองกบขอตกลง กฎหมาย และระเบยบขอบงคบทเกยวของ
ยงไมมมาตรการการเขารหสขอมลใชในองคกร
4 4 16 สงมาก
14.2 การทบทวนความมนคงปลอดภยสารสนเทศ 14.2.1 วธการในการบรหารจดการ
ความมนคงปลอดภยสารสนเทศ ตองมการทบทวนตามรอบระยะเวลา
ไมมการทบทวนมาตรการ เนองจากยงไมมระบบระเบยบทน ามาควบคมการท างานระบบสารสนเทศ
4 4 16 สงมาก
14.2.2 ตองมการทบทวนความสอดคลองของการปฏบตทอยภายใตความรบผดชอบของตนเอง โดยเทยบกบนโยบาย มาตรฐานทเกยวของ
ไมมการทบทวนมาตรการ เนองจากยงไมมระบบระเบยบทน ามาควบคมการท างานระบบสารสนเทศ
4 4 16 สงมาก
54
ตำรำงท 4.1 ตารางผลการประเมนความเสยงกอนการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
14.2.3 ความสอดคลองทางเทคนคตองมการทบทวนอยางสม าเสมอ เพอพจารณาความสอดคลองกบนโยบาย และมาตรฐานดานความมนคงปลอดภยสารสนเทศขององคกร
ไมมการทบทวนมาตรการ เนองจากยงไมมระบบระเบยบทน ามาควบคมการท างานระบบสารสนเทศ
4 4 16 สงมาก
55
4.4 สรปจ ำนวนควำมเสยงกอนกำรบรหำรจดกำรควำมเสยง
จากการประเมนความเสยงจากตวควบคมโดยอางองตามมาตรฐาน ISO27001:2013 ตามหวขอ A.5 – A.8 สามารถสรปการประเมนแบงตามระดบความเสยงไดดงน
ตำรำงท 4.2 ตารางสรปจ านวนความเสยงทพบ
ล าดบ ระดบความเสยง คะแนน จ านวน
1 สงมาก 13-16 77
2 สง 9-12 21
3 ปานกลาง 4-8 5
4 ต า 1-3 11
56
4.5 แนวทำงในกำรจดกำรควำมเสยงเพอลดควำมเสยงของระบบสำรสนเทศ
ตำรำงท 4.3 แนวทางในการจดการความเสยงเพอลดความเสยงของระบบสารสนเทศ
ล าดบ แนวทางจดการความเสยง ระดบความเสยง 1. ความเสยง
ไมมการก าหนดหนาทความรบผดชอบดานความมนคงปลอดภยสารสนเทศอยางเปนทางการ
สงมาก
แนวทางจดการความเสยง ก าหนดหนาทความรบผดชอบใหกบผทเกยวของโดยจดท าเปนเอกสารอยางเปนลายลกษณอกษร และแจงใหทราบโดยทวกน หลกการควบคม A.6.1.1 บทบาทและหนาทความรบผดชอบดานความมนคงปลอดภยสารสนเทศ (Information security roles and responsibilities)
2. ความเสยง การใชงานอปกรณคอมพวเตอรแบบพกพา ไมมมาตรการสนบสนนการเขาถง กระประมวลผล หรอการจดเกบ
สงมาก
แนวทางจดการความเสยง จดท านโยบายสนบสนนส าหรบการใชงานอปกรณคอมพวเตอรแบบพกพา มการจดท าเอกสารเกบขอมลการเขาถงระบบ หรอเนตเวรคจากการใชงานผานคอมพวเตอรแบบพกพา หลกการควบคม A.6.2.1 นโยบายส าหรบอปกรณคอมพวเตอรแบบพกพา (Mobile device pokicy) A.6.2.2 อปกรณคอมพวเตอรแบบพกพา และการปฏบตงานจากระยะไกล (Mobile devices and teleworking)
3. ความเสยง ไมมการท าขอตกลงในสญญาจางงานเกยวกบเงอนไขดานความมนคงปลอดภยสารสนเทศ และไมมการตรวจสอบภมหลงของผสมครทสอดคลองกบกฎหมาย
สง
57
ตำรำงท 4.3 แนวทางในการจดการความเสยงเพอลดความเสยงของระบบสารสนเทศ (ตอ)
ล าดบ แนวทางจดการความเสยง ระดบความเสยง แนวทางจดการความเสยง
ใหระบขอตกลง เงอนไขดานความมนคงปลอดภยสารสนเทศลงในสญญาจางงานดวย
หลกการควบคม 3.1.2 ขอตกลงและเงอนไขการรจางงาน (Terms and conditions of employment) 3.2.1 หนาทความรบผดชอบของผบรหาร (Management responsibilities) 3.2.3 กระบวนการทางวนย (Disciplinary process) 5.3.1 การใชขอมลการพสจนตวตนซงเปนขอมลลบ (Use secret authentication information) 14.1.1 การระบกฎหมายและความตองการในสญญาจางทเกยวของ (Identification of applicable legislation and contractual requirements) ความเสยง ไมมนโยบายการควบคมการเขาถงสารสนเทศทจดท าอยางเปนลายลกษณอกษร
แนวทางจดการความเสยง จดท านโยบายควบคมการเขาถงอยางเปนลายลกษณอกษร
สงมาก
หลกการควบคม A.9.1.1 นโยบายควบคมการเขาถง (Access control policy) ความเสยง การถอนสทธการเขาถงหลงจากสนสดการจางงาน หรอเปลยนแปลงหนาท ไมมการปฏบตอยางถกตอง
4. แนวทางจดการความเสยง เมอมการสนสดการจางงาน เจาหนาททเกยวของตองมการถอนสทธ การเขาถงทนท และมการจดท าเอกสารเพอเปนหลกฐาน
สงมาก
58
ตำรำงท 4.3 แนวทางในการจดการความเสยงเพอลดความเสยงของระบบสารสนเทศ (ตอ)
ล าดบ แนวทางจดการความเสยง ระดบความเสยง หลกการควบคม
3.3.1 การสนสดหรอการเปลยนหนาทความรบผดชอบของการจางงาน (Termination or change of employment responsibilities)
5. ความเสยง ไมมการจดท าทะเบยนผถอครองทรพยสนอยางเปนลายลกษณอกษรทสามารถตรวจสอบได
สงมาก
แนวทางจดการความเสยง ใหมการจดท าทะเบยนทรพยสนทเปนลายลกษณอกษรและสามารถตรวจสอบได หลกการควบคม 4.1.1 บญชทรพยสน (Inventory of assets) 4.1.2 ผถอครอบทรพยสน ( Ownership of assets) 4.1.3 การใชทรพยสนอยางเหมาะสม (Acceptable use of assets) 4.1.4 การคนทรพยสน (Return of assets)
6. ความเสยง ความลบของสารสนเทศไมมมาตรการควบคมปองกนการถกเปดเผย หรอเปลยนแปลงโดยไมไดรบอนญาต
สงมาก
แนวทางจดการความเสยง จดท าเอกสารควบคมการเขาถงสารสนเทศโดยตองไดรบอนญาตจากผมอ านาจ หลกการควบคม 4.2.2 การบงชสารสนเทศ (Labeling of information) 4.2.3 การจดการทรพยสน (Handling of assets)
59
ตำรำงท 4.3 แนวทางในการจดการความเสยงเพอลดความเสยงของระบบสารสนเทศ (ตอ)
ล าดบ แนวทางจดการความเสยง ระดบความเสยง 7. ความเสยง
สอบนทกขอมลไมมมาตรการ การบรหารจดการอยางถกตอง อาจท าใหขอมลทส าคญถกเขาถงโดยไมไดรบอนญาต หรอขอมลถกท าลาย
สงมาก
แนวทางจดการความเสยง ท าการควบคมการเขาถงสอบนทกขอมล การเขาถง การเปลยนแปลง การขนยาย การลบหรอการท าลายสารสนเทศทจดเกบบนสอ หลกการควบคม 4.3.1 การบรหารจดการสอบนทกขอมลทถอดแยกได (Management of removable media) 4.3.2 การท าลายสอบนทกขอมล (Disposal of media) 4.3.3 การขนยายสอบนทกขอมล (Physical media transfer) 7.2.7 ความมนคงปลอดภยส าหรบการจดก าจด หรอการน าอปกรณไปใชงานอยางอน (Secure disposal or re-use of equipment) 14.1.3 การปองกนขอมล (Protection of records)
8. ความเสยง อปกรณสารสนเทศถกเขาถงไดโดยผทไมมสทธ โดยไมมมาตรการรองรบการใชงาน
สงมาก
แนวทางจดการความเสยง มการก าหนดสทธการเขาถงและจดท าเปนลายลกษณอกษร มการทบทวนสทธ มการพสจนตวตนของผใชงาน หลกการควบคม 5.1.2 การลงทะเบยนและการถอดถอนสทธผใชงาน (User registration and deregistration) 5.4.1 การจ ากดการเขาถงสารสนเทศ (Information access restriction)
60
ตำรำงท 4.3 แนวทางในการจดการความเสยงเพอลดความเสยงของระบบสารสนเทศ (ตอ)
ล าดบ แนวทางจดการความเสยง ระดบความเสยง 9. ความเสยง
ไมมการควบคมการเขาออกทางกายภาพ ท าใหผทไมไดรบอนญาตเขาไปในพนทส าคญ
สง
แนวทางจดการความเสยง จดการควบคมการเขาออกพนทส าคญ และจดท าบนทกการเขาออกเปนลายลกษณอกษรทสามารถตรวจสอบได หลกการควบคม 7.1.1 ขอบเขตหรอบรเวณโดยรอบทางกายภาพ (Physical security perimeter) 7.1.2 การควบคมการเขาออกทางกายภาพ (Physical entry controls)
10. ความเสยง อปกรณตางๆไมถกปองกนตอการเสยหาย การขโมย หรอการหยดชะงกตอการด าเนนงาน
สงมาก
แนวทางจดการความเสยง ปองกนการขโมยอปกรณตามความเหมาะสมของอปกรณแตละชนด มการจดท าบนทกการน าอปกรณออกไปใชภายนอกส านกงาน เอกสารทเกยวของ หลกการควบคม 7.2.1 การจดตงและปองกนอปกรณ (Equipment setting and protection) 7.2.5 การน าทรพยสนขององคกรออกนอกส านกงาน (Removal of assets)
11. ความเสยง อปกรณสารสนเทศไมไดรบการบ ารงรกษาใหมสภาพพรอมใชงาน
สงมาก
แนวทางจดการความเสยง จดน ามาตรการก าหนดรอบระยะเวลาการบ ารงรกษาอปกรณสารสนเทศใหมความพรอมใชงานอยเสมอ
61
ตำรำงท 4.3 แนวทางในการจดการความเสยงเพอลดความเสยงของระบบสารสนเทศ (ตอ)
ล าดบ แนวทางจดการความเสยง ระดบความเสยง หลกการควบคม
7.2.4 การบ ารงรกษาอปกรณ (Equipment maintenance)
12. ความเสยง ไมมการปองกนการเขาถงอปกรณททงไวบนโตะท างาน ท าใหผอนเขาถงขอมลทส าคญได
สงมาก
แนวทางจดการความเสยง จดท าโนบายควบคมการท างาน หลกการควบคม 7.2.8 อปกรณของผใชงานททงไวโดยไมมผดแล (Unattended user equipment) 7.2.9 นโยบายโตะท างานปลอดเอกสารส าคญและนโยบายปองกนหนาจอคอมพวเตอร (Clear desk and clear screen policy)
13. ความเสยง ไมมการควบคมการเปลยนแปลง การตดตาม การปรบปรงอปกรณประมวลผลสารสนเทศ
สงมาก
แนวทางจดการความเสยง จดท ามาตรการควบคมการเปลยนแปลงอปกรณประมวลผล และจดท าเปนลายลกษณอกษร หลกการควบคม 8.1.1 ขนตอนในการปฏบตงานตองจดท าเปนลายลกษณอกษร (Documented operating procedures) 8.1.3 การบรหารจดการขดความสามารถของระบบ (Capacity management)
62
ตำรำงท 4.3 แนวทางในการจดการความเสยงเพอลดความเสยงของระบบสารสนเทศ (ตอ)
ล าดบ แนวทางจดการความเสยง ระดบความเสยง 14. ความเสยง
ความเสยงจากโปรแกรมไมประสงคด สงมาก
แนวทางจดการความเสยง ตดตงโปรแกรมสแกนไวรส และท าการปรบปรง (update) อยางสม าเสมอ เพอปองกนโปรแกรมาไมประสงคด หลกการควบคม 8.2.1 มาตรการปองกนโปรแกรมไมประสงคด (Controls against malware)
15. ความเสยง ไมมการส ารองเขอมลสารสนเทศภายในองคกร
สงมาก
แนวทางจดการความเสยง จดท าระบบการส ารองขอมล เพอใหพรอมใชงานอยเสมอ เอกสารทเกยวของ หลกการควบคม 8.3.1 การส ารองขอมล (Information backup)
16. ความเสยง ไมมการบนทกลอก (Event Logging) การใชงานของผใชงาน และกจกรรมของผดแลระบบ
สงมาก
แนวทางจดการความเสยง จดท าระบบบนทกลอกการใชงานของผใชงาน และผดแลระบบ หลกการควบคม 8.4.1 บนทกขอมลลอกแสดงเหตการณ (Event Logging) 8.4.3 ขอมลลอกกจกรรมของผดแลระบบ และเจาหนาทปฏบตการระบบ (Administrator and operator logs)
63
ตำรำงท 4.3 แนวทางในการจดการความเสยงเพอลดความเสยงของระบบสารสนเทศ (ตอ)
ล าดบ แนวทางจดการความเสยง ระดบความเสยง 17. ความเสยง
ไมมการควบคมการตดตงซอฟตแวรบนระบบ สงมาก
แนวทางจดการความเสยง จดท านโยบายควบคมการตดตงซอฟตแวร
หลกการควบคม A.12.5.1 การตดตงซอฟตแวรบนระบบใหบรการ (Installation of software on operational systems) 8.6.2 การจ ากดการตดตงซอฟแวร (Restriction on software installation)
18. ความเสยง การโอนถายสารสนเทศไมมการปองกนอยางเหมาะสม
สงมาก
แนวทางจดการความเสยง ระบขอตกลงส าหรบการโอนถายสารสนเทศ หลกการควบคม A.13.2.1 นโยบายและขนตอนปฏบต และมาตรการส าหรบการถายโอนสารสนเทศ (Information transfer policies and procedures) A.13.2.2 ขอตกลงส าหรบการถายโอนสารสนเทศ (Agreements on information transfer) A.13.2.4 ขอตกลงการรกษาความลบหรอการไมเปดเผยความลบ (Confidentiality or non-disclosure agreements)
19. ความเสยง การท าธรกรรมของสารสนเทศ ไมมการปองกนจากการเปลยนแปลงขอมล การเปดเผยขอมล โดยไมไดรบอนญาต
สงมาก
แนวทางจดการความเสยง จดท ามาตรการจดการโดยก าหนดสทธการเขาถงการท าธรกรรม หลกการควบคม 10.1.2 ความมนคงปลอดภยของบรการสารสนเทศบนเครอขายสาธารณะ (Securing application services on public networks) 10.1.3 การปองกนธรกรรมของบรการสารสนเทศ
64
ตำรำงท 4.3 แนวทางในการจดการความเสยงเพอลดความเสยงของระบบสารสนเทศ (ตอ)
ล าดบ แนวทางจดการความเสยง ระดบความเสยง 20. ความเสยง
ไมมขอก าหนด และมาตรการส าหรบการจดหา การพฒนา และการบ ารงรกษาระบบ
สงมาก
แนวทางจดการความเสยง จดท าขอก าหนด และมาตรการส าหรบการจดหา การพฒนา และการบ ารงรกษาระบบอยางเปนลายลกษณอกษร หลกการควบคม A.14.1.1 การวเคราะหและก าหนดความตองการดานความมนคงปลอดภยสารสนเทศ (Information security requirements analysis and specification) A.14.2.1 นโยบายการพฒนาระบบใหมความมนคงปลอดภย (Secure development policy) A.14.2.2 ขนตอนปฏบตส าหรบควบคมการเปลยนแปลงระบบ (System Change control procedures) A.14.2.4 การจ ากดการเปลยนแปลงซอฟตแวรส าเรจรป (Restriction on changes to software packages)
21. ความเสยง ไมมนโยบายการเขาถงทรพยสนขององคกรจากผใหบรการภายนอก ทจ าท าเปนลายลกษณอกษร
สงมาก
แนวทางจดการความเสยง จดท านโยบายการเขาถงทรพยสนอยางเปนลายลกษณอกษร และมการบนทกการเขาถงทรพยสน เพอสามารถตรวจสอบได หลกการควบคม A.15.1.1 นโยบายความมนคงปลอดภยสารสนเทศดานความสมพนธกบผใหบรการภายนอก (Information security policy for supplier relationships) A.15.1.2 การระบความมนคงปลอดภยในขอตกลงการใหบรการของผใหบรการภายนอก (Addressing security within supplier agreements)
65
ตำรำงท 4.3 แนวทางในการจดการความเสยงเพอลดความเสยงของระบบสารสนเทศ (ตอ)
ล าดบ แนวทางจดการความเสยง ระดบความเสยง 22. ความเสยง
ไมมการรายงานสถานการณความมนคงปลอดภยสารสนเทศทเหมาะสม
สงมาก
แนวทางจดการความเสยง เจาหนาทผเกยวของตองจดท ารายงานสถานการณความมนคงปลอดภยสารสนเทศรายงานใหผบงคบบญชาทราบ หลกการควบคม A.16.1.2 การรายงานสถานการณความมนคงปลอดภยสารสนเทศ (Reporting information security events) A.16.1.3 การรายงานจดออนความมนคงปลอดภยสารสนเทศ (Reporting information security weaknesses)
23. ความเสยง องคกรไมมมาตรการดานความมนคงปลอดภยสารสนเทศประกาศใชอยางเปนลายลกษณอกษร
สง
แนวทางจดการความเสยง จดท ามาตรการดานความมนคงปลอดภยสารสนเทศใชในองคกร และมการตรวจสอบตามรอบระยะเวลาทก าหนด หลกการควบคม A.17.1.1 การวางแผนความตอเนองดานความมนคงปลอดภยสารสนเทศ (Planning information security continuity) A.17.1.2 การปฏบตเพอเตรยมการสรางความตอเนองดานความมนคงปลอดภยสารสนเทศ (Implementing information security continuity) A.17.1.3 การตรวจสอบ การทบทวน และการประเมนความตอเนองดานความนคงปลอดภยสารสนเทศ (Verify, review and evaluate information security continuity)
66
4.6 กำรประเมนควำมเสยงระบบสำรสนเทศหลงกำรบรหำรจดกำรควำมเสยง
ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง
1. A.5 นโยบายความมนคงปลอดภยสารสนเทศ (Information Security Policy) 1.1 ทศทางการบรหารจดการความมนคงปลอดภยสารสนเทศ ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
1.1.1 การจดท านโยบายส าหรบความมนคงปลอดภยสารสนเทศตองมการจดท าเปนลายลกษณอกษร
จดท านโยบายส าหรบความมนคงปลอดภยสารสนเทศเปนลายลกษณอกษร
3 1 3 ต า
1.1.2 ทบทวนนโยบายตามรอบระยะเวลาทก าหนด
มรอบการทบทวนตามระยะเวลาทก าหนด
3 1 3 ต า
2. A.6 โครงสรางความมนคงปลอดภยสารสนเทศ (Organization of Information) 2.1 โครงสรางภายในองคกร 2.1.1 ตองมการก าหนดความ
รบผดชอบดานความมนคงปลอดภยสารสนเทศ
การก าหนดความรบผดชอบอยางเปนทางการและจดท าเอกสารเปนลายลกษณอกษร
2 1 2 ต า
2.1.2 ตองแยกหนาทงานทจะท าใหเกดการขดตอการปฏบตงานออกจากกน เพอลดโอกาสทจะเกดขน
แยกหนาทงานแตละหนาทอยางชดเจน
1 2 2 ต า
67
ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
2.1.3 ตองรกษาไวซงการตดตอกบผเกยวของเพอใหสามารถตดตอไดอยางตอเนอง
มการจดท าContact List 1 2 2 ต า
2.1.4 ตองรกษาไวซงการตดตอกบกลมความเชยวชาญดานความมนคงปลอดภยสารสนเทศ
ยงมขอมลส าหรบตดตอกบผทเกยวของ แตตดตอเฉพาะเมอเกดปญหา
1 2 2 ต า
2.1.5 การบรหารโครงการไมวาประเภทใดตองระบความมนคงปลอดภยสารสนเทศของโครงการนน
จดท านโยบายควบคม 1 1 1 ต า
2.2 อปกรณคอมพวเตอรแบบพกพา และการปฏบตงานจากระยะไกล 2.2.1 การใชงานอปกรณคอมพวเตอร
แบบพกพาตองมมาตรการสนบสนน
มนโยบายควบคม 2 1 2 ต า
2.2.2 ตองมมาตรการสนบสนนการเขาถง การประมวลผล หรอการจดเกบ
ไมอนญาตใหใชงานระบบจากสถานทหนงเชอมตอเขามาภายในโรงเรยน
1 1 1 ต า
68
ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
3. A.7 ความมนคงปลอดภยส าหรบทรพยากรบคคล (Human Resource Security) 3.1 กอนการจางงาน 3.1.1 ตองมการตรวจสอบภมหลงของ
ผสมครงานโดยใหสอดคลองกบกฎหมาย
จดท านโยบายและมาตรการควบคม 2 1 2 ต า
3.1.2 ขอตกในและเงอนไขในสญญาจางตองกลาวถงหนาทรบผดชอบดานความมนคงปลอดภยสารสนเทศของพนกงาน
จดท านโยบายและมาตรการควบคม 2 1 2 ต า
3.2 ระหวางการจางงาน 3.2.1 ตองก าหนดใหผท าสญญาจาง
รกษาความมนคงปลอดภยสารสนเทศ
จดท านโยบายและมาตรการควบคม 2 1 2 ต า
3.2.2 พนกงานตองไดรบการฝกอบรมดานความมนคงปลอดภยสารสนเทศ
ปจจบนยงไมมการอบรม แตไดจดท านโยบายมาตการ วางแพลนในการจดฝกอบรม
2 1 2 ต า
69
ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
3.2.3 ตองมการก าหนดกระบวนการทางวนยอยางเปนทางการ
จดท านโยบายและมาตรการควบคม 2 1 2 ต า
3.3 การสนสดหรอการเปลยนการจางงาน 3.3.1 การถอนสทธในการเขาถงเมอม
การสนสด หรอเปลยนการจางงาน
จดท านโยบายและมาตรการควบคม 2 1 2 ต า
4. A.8 การบรหารจดการทรพยสน (Asset Management) 4.1 หนาทความรบผดชอบตอทรพยสน 4.1.1 ตองมการจดท าทะเบยน
ทรพยสน และปรบปรงใหทนสมย
มการจดท าทะเบยนทรพยสนและใหมการปรงปรงขอมลใหทนสมยอยเสมอ
2 1 1 ต า
4.1.2 ทรพยสนในทะเบยนตองมผถอครอง
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 1 ต า
4.1.3 การใชงานทรพยสนตองมการระบ จดท าเปนลายลกษณอกษร
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 1 ต า
4.1.4 ตองมการคนทรพยสนเมอสนสดการจางงาน
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 1 ต า
70
ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
4.2 การจดชนความลบของสารสนเทศ 4.2.1 การจดชนความลบโดย
พจารณาดานกฎหมาย คณคาระดบความส าคญ หากถกเปดเผยโดยไมไดรบอนญาต
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
4.2.2 การจดท าปายชอ และการจดการทรพยสนสารสนเทศ
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
4.2.3 การจดการทรพยสนตองมการจดท า และปฏบตตาม
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
4.3 การจดการสอบนทกขอมล 4.3.1 ตองมการบรหารจดการสอ
บนทกขอมลทถอดแยกได จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
4.3.2 การท าลายสอบนทกขอมล ตองมการท าลายทงอยางปลอดภย
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
4.3.3 ตองมการปองกนสอบนทกขอมลทอาจถกเขาถงอยางไมไดรบอนญาต
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
71
ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
5. A9. การควบคมการเขาถง (Access Control) 5.1 ความตองการทางธรกจส าหรบการควบคมการเขาถง 5.1.1 ตองมการควบคมการเขาถง และ
จดท าเปนลายลกษณอกษร จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
5.1.2 ตองมการควบคมการเขาถง เครอขายและบรการตามทตนไดรบอนมตเทานน
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
5.2 การบรหารจดการการเขาถงของผใชงาน 5.2.1 การถอนสทธการใชงานตองม
กระบวนการอยางเปนทางการ จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
5.2.2 การจดการสทธการเขาถงทกระบบทงหมดตองมการจดการ
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
5.2.3 ตองมการจดการสทธการเขาถงตามระดบสทธ
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
5.2.4 ตองมการจดการขอมลการพสจนตวตนของผใชงาน
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
72
ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
5.2.5 การทบทวนสทธการเขาถงตามรอบเวลา
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
5.2.6 การถอดถอนหรอปรบปรงการเขาถงตองไดรบการถอดถอนเมอสนสดการท างาน
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
5.3 หนาทความรบผดชอบของผใชงาน 5.3.1 ขอมลในการพสจนตวตนตอง
เกบเปนความลบ จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
5.4 การควบคมการเขาถงระบบ 5.4.1 ตองมการจ ากดการเขาถง
สารสนเทศ และฟงกชนในระบบงาน
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
5.4.2 ตองมการก าหนดการเขาระบบทมความมนคงปลอดภย
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
5.4.3 ตองมการจดการรหสผานทปฏสมพนธกบผใชงาน
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
5.4.4 ตองมการจ ากดการใชงานโปรแกรมอรรถประโยชน
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
73
ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
5.4.5 ตองมการจ ากดการเขาถงซอรสโคดของโปรแกรม
การเขาถงซอรสโคดของโปรแกรมเปนสทธของVendor โดยมสญญาจางงานควบคม
4 1 4 ปานกลาง
6. A10. การเขารหสขอมล (Cryptography) 6.1 มาตรการเขารหสขอมล 6.1.1 ตองมนโยบายการใชมาตรการ
การเขารหสขอมล จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
6.1.2 ตองมการปองกน มอายการใชงานของกญแจ
ไมมการเขารหสขอมล 3 1 3 ต า
7. A.11 ความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical and environmental Security) 7.1 พนททตองการการรกษาความมนคงปลอดภย 7.1.1 ตองมการก าหนดขอบเขต
โดยรอบทางกายภาพ จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
7.1.2 ตองมการควบคมการเขาออกทางกายภาพ
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
7.1.3 ตองมการรกษาความมนคงปลอดภยทางกายภาพของส านกงาน
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
74
ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
7.1.4 ตองมการปองกนตอภยคกคามจากภายนอกและสภาพแวดลอม
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
7.1.5 ตองมการจดท าขนตอนปฏบตส าหรบการปฏบตงานในพนท
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
7.1.6 ตองมจดหรอบรเวณส าหรบการรบสงสงของ
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
7.2 อปกรณ 7.2.1 ตองมการจดตงอปกรณปองกน
เพอลดความเสยงจากภยคกคาม และอนตรายดานสภาพแวดลอม
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
7.2.2 อปกรณตองไดรบการปองกนจากการลมเหลวของกระแสไฟฟา
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
7.2.3 การเดนสายไฟตองมการปองกนจากการขดขวางการท างาน หรอการท าใหเสยหาย
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
7.2.4 ตองมการบ ารงรกษาอปกรณอยางถกตองเพอใหมสภาพพรอมใชงาน
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
75
ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
7.2.5 อปกรณ สารสนเทศ หรอซอฟแวร ตองไมมการน าออกนอกส านกงาน
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
7.2.6 ทรพยสนทใชงานอยนอกส านกงานตองมการรกษาความมนคงปลอดภย
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
7.2.7 การท าลายหรอก าจดอปกรณ ตองมใบอนญาตลบทง หรอเขยนทบ
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
7.2.8 อปกรณททงไวโดยไมมผดแลตองมการปองกนอยางเหมาะสม
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
7.2.9 โตะท างานตองปราศจากเอกสารส าคญ เพอปองกนการเขาถงทางกายภาพตอเอกสารและขอมลส าคญขององคกร
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
76
ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
8. A.12 ความมนคงปลอดภยส าหรบการด าเนนงาน (Operations Security) 8.1 ขนตอนการปฏบตงานและหนาทความรบผดชอบ 8.1.1 ขนตอนในการปฏบตงานตอง
จดท าเปนลายลกษณอกษร จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
8.1.2 การเปลยนแปลงตออปกรณประมวลผลสารสนเทศและระบบ ตองมการควบคมการด าเนนการ
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
8.1.3 การใชทรพยากรของระบบตองมการตดตาม ปรบปรง และคาดการณความตองการเพมเตมในอนาคต
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
8.1.4 สภาพแวดลอมส าหรบการพฒนา การทดสอบ และการใหบรการ ตองมการจดท าแยกกนเพอลดความเสยง
การพฒนาเปนหนาทของผใหบรการ ทางองคกรไมไดพฒนา และทดสอบเอง
1 1 1 ต า
77
ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
8.2 การปองกนโปรแกรมไมประสงคด 8.2.1 มาตรการตรวจหา ปองกน และ
การกคนจากโปรแกรมไมประสงคด ตองมการด าเนนการอยาเหมาะสม
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
8.3 การส ารองขอมล 8.3.1 ตองมการด าเนนการส ารองขอมล
สารสนเทศ ซอฟตแวร และอมเมจของระบบไว และมการท าสอบความพรอมใชงาน
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
8.4 การบนทกขอมลลอก(Event Logging) และการเฝาระวง 8.4.1 ตองมการบนทกขอมลลอกแสดง
เหตการณบนทกกจกรรมของผใชงาน
เปนหนาทของVendor ในการบนทกลอกแสดงเหตการณกจกรรม
3 1 3 ต า
8.4.2 อปกรณบนทกขอมลลอกตองไดรบการปองกนจากการเปลยนแปลงแกไข
เปนหนาทของVendor ในการจดการ 3 1 3 ต า
78
ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
8.4.3 ขอมลลอกกจกรรมของผดแลระบบตองมการบนทกไว และตองมการปองกนทบทวนอยางสม าเสมอ
เปนหนาทของVendor ในการจดการ 3 1 3 ต า
8.4.4 ตองตงนาฬกาของระบบทเกยวของทงหมดในองคกรใหตรงและถกตอง
ตงใหกบอพเดตกบอนเตอรเนต 1 1 1 ต า
8.5 การควบคมการตดตงซอฟตแวร 8.5.1 การตดตงซอฟตแวรบนระบบ
ตองมการควบคม จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
1 2 2 ต า
8.6 การบรหารจดการชองโหวทางเทคนค 8.6.1 ตองมการตดตามขอมลชอง
โหวทางเทคนค ตองมการประเมนและมมาตรการทเหมาะสมเพอจดการ
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
8.6.2 ตองมกฎเกณฑควบคมการตดตงซอฟตแวร
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
1 2 2 ต า
79
ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
8.7 สงทตองพจารณาในการตรวจประเมนระบบ 8.7.1 การตรวจประเมนระบบ
ใหบรการตองมการวางแผนและตกลงรวมกนเพอลดโอกาสการหยดชะงกตอกระบวนการท างาน
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
9. A.13 ความมนคงปลอดภยส าหรบการสอสารขอมล (Communications security) 9.1 การบรหารจดการความมนคงปลอดภยของเครอขาย 9.1.1 เครอขายตองมการบรหาร
ควบคมเพอปองกนสารสนเทศระบบตางๆ
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
9.1.2 ความตองการในสวนของผบรหาร ตองมการระบรวมไวในขอตกลงการใหบรการเครอขาย
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
9.1.3 กลมของการบรการสารสนเทศผใชงาน และระบบตองมการจดแบงเครอขายตามกลม
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
80
ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
9.2 การถายโอนสารสนเทศ (Information transfer) 9.2.1 การปองกนสารสนเทศทมการ
ถายโอนขอมลใหมความมนคงปลอดภย
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
9.2.2 ตองมการระบขอตกลงส าหรบการโอนถายสารสนเทศกบองคกรภายนอก
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
9.2.3 การสงขอความทางอเลกทรอนกสตองไดรบการปองกนอยางเหมาะสม
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
9.2.4 การไมเปดเผยความลบขององคกรการปองกนสารสนเทศตองมการทบทวนและจดท าเปนลายลกษณอกษร
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
10. A.14 การจดหา การพฒนา และการบ ารงรกษาระบบ (System acquisition, development and maintenance) 10.1 ความตองการดานความมนคงปลอดภยของระบบ
81
ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
10.1.1 ความมนคงปลอดภยสารสนเทศตองรวมเขากบความตองการส าหรบระบบใหม หรอการปรบปรงทมอยแลว
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
10.1.2 การบรการสารสนเทศทมการสงผานเครอขายสาธารณะตองไดรบการปองกนจากการฉอโกง การโตเถยง และการเปดเผยโดยไมไดรบอนญาต
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
10.1.3 สารสนเทศทเกยวกบธรกรรมตองไดรบการปองกนจากการรบสงขอมลทไมสมบรณ การสงขอมลผดเสนทาง การเปลยนแปลงขอความโดยไมไดรบอนญาต การเปดเผยโดยไมไดรบอนญาต
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
10.2 ความมนคงปลอดภยส าหรบกระบวนการพฒนา และสนบสนน
82
ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
10.2.1 ตองมการก าหนดกฎเกณฑส าหรบการพฒนาซอฟตแวรขององคกร
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
1 1 1 ต า
10.2.2 ตองไมอนญาตใหมการเปลยนแปลงซอฟตแวรส าเรจรป จดการเปลยนแปลงเทาทจ าเปน และตองมการควบคมอยางรดกม
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
4 1 4 ปานกลาง
10.2.3 เมอมการเปลยนแปลงโครงสรางพนฐานของระบบทส าคญตองมการทบทวนและทดสอบ
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
10.2.4 ตองจ ากดการเปลยนแปลงตอซอฟตแวรส าเรจรป ตองมการควบคมอยางรดกม
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
10.2.5 หลกการวศวกรรมระบบตองมการจดท าเปนลายลกษณอกษร ปรบปรงอยางตอเนอง
ไมมการจดท า 3 1 3 ต า
83
ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
10.2.6 ตองจดท า และปองกนอยางเหมาะสมตอสภาพแวดลอมของการพฒนาระบบทมความมนคงปลอดภย
การพฒนาระบบเปนสวนงานของผใหบรการ (Vendor)
1 1 1 ต า
10.2.7 ตองก ากบดแล เฝาระวง และตดตามกจกรรมการพฒนาระบบทจางหนวยงานภายนอก
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
10.2.8 ตองมการทดสอบคณสมบตดานความมนคงปลอดภยในระหวางทระบบอยในชวงการพฒนา
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
1 1 1 ต า
10.2.9 ตองมการจดท าแผนการทดสอบเพอรบรองระบบส าหรบระบบใหม และระบบทปรบปรง
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
1 1 1 ต า
10.3 ขอมลส าหรบการทดสอบระบบ (Test data)
84
ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
10.3.1 ขอมลส าหรบการทดสอบตองมการคดเลอกอยางระมดระวง มการปองกนและควบคม
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
4 1 4 ปานกลาง
11. A.15 ความสมพนธกบผใหบรการภายนอก (Supplier relationships) 11.1.1 การเขาถงทรพยสนขององคกร
จากผใหบรการภายนอกตองมการก าหนดและจดท าเปนลายลกษณอกษร
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
11.1.2 การก าหนดและตกลง ในเรองการเขาถงการประมวลผล การจดเกบ การสอสารและการใหบรการกบผใหบรการภายนอก
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
11.1.3 ตองมการระบความเสยงอนเกดจากการใหบรการ และการสอสารโดยผใหบรการภายนอก
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
11.2 การบบรหารจดการการใหบรการโดยผใหบรการภายนอก
85
ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
11.2.1 การตดตามและทบทวนบรการของผใหบรการภายนอก
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
11.2.2 การเปลยนแปลงผใหบรการภายนอก ตองมการบรหารจดการและตองทบทวนการประเมนความเสยงใหม
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
12. A.16 การบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ (Information Security Incident Management) 12.1.1 ตองมการก าหนดหนาทความ
รบผดชอบและขนตอนการบรหารจดการเพอใหมการตอบสนองอยางรวดเรวไดผล
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
12.1.2 ตองมการรายงานสถานการณความมนคงปลอดภยสารสนเทศผานทางชองทางการบรหารทเหมาะสม
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
12.1.3 ตองมการสงเกตและรายงานจดออนของระบบหรอบรการทพบ หรอทสงสย
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
86
ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
12.1.4 ตองมการประเมนความมนคงและตดสนวาสถานการณนนเปนเหตการณความมนคงปลอดภยสารสนเทศหรอไม
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
12.1.5 เหตการณความมนคงปลอดภยสารสนเทศตองไดรบจดการกบปญหาตามทไดจดท าไวเปนลายลกษณอกษร
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
12.1.6 ความรทไดรบจากการวเคราะห และแกไขเหตการณความมนคงปลอดภยสารสนเทศตองถกน ามาให เพอลดผลกระทบของเหตการณในอนาคต
มการน าความรจากการแกไขปญหาในครงกอนมาใชแกไขปญหาทเกดขนในปจจบน และมการวางแผนในอนาคต จดท าเปนลายลกษณอกษร
3 1 3 ต า
12.1.7 ตองมการรวบรวม จดหา และการจดเกบสารสนเทศซงสามารถใชเปนหลกฐาน
มการจดท าเปนเอกสารทเปนลายลกษณอกษร
2 1 2 ต า
87
ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
13. A.17 ประเดนดานความมนคงปลอดภยสารสนเทศของการบรหารจดการเพอสรางความตอเนองทางธรกจ (Information security aspects of business continuity management) 13.1.1 ตองก าหนดความตองการดาน
ความมนคงปลอดภยสารสนเทศและสถานการณความเสยหายทเกดขน
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
13.1.2 องคกรตองจดท าขนตอนปฏบต มาตรการทเปนลายลกษณอกษร เพอใหมความตอเนองดานความมนคงปลอดภยสารสนเทศ
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
13.1.3 องคกรตองมการตรวจสอบมาตรฐานตามรอบระยะเวลาทก าหนดไวเพอใหมนใจวามาตรการเหลานนยงถกตองและไดผลเมอมสถานการณความเสยหายเกดขน
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
88
ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
13.2 การเตรยมการอปกรณประมวลผลส ารอง (Redundancies) 13.2.1 อปกรณประมวลผลตองเตรยม
ไวอยางเพยงพอเพอใหตรงตามความตองการ
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
14. A.18 ความสอดคลอง (Compliance) 14.1 ความสอดคลองกบความตองการดานกฎหมายและในสญญาจาง
14.1.1 การระบกฎหมายและความตองการในสญญาจางทเกยวของ
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
1 1 1 ต า
14.1.2 สทธในทรพยสนทางปญญาตองมความสอดคลองกบความตองการทางกฎหมาย ระเบยบขอบงคบและสญญาจาง
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
14.1.3 ขอมลขององคกรตองไดรบการปกปองจาการสญหาย การถกท าลาย การปลอมแปลงและเขาถงโดยไมไดรบอนญาต
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
89
ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
14.1.4 ความเปนสวนตวและการปองกนขอมลสวนบคคลตองมการด าเนนการใหสอดคลองกบกฎหมายและระเบยบขอบงคบ
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
1 1 1 ต า
14.1.5 การเขารหสขอมลตองมการใชใหสอดคลองกบขอตกลง กฎหมาย และระเบยบขอบงคบทเกยวของ
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
2 1 2 ต า
14.2 การทบทวนความมนคงปลอดภยสารสนเทศ 14.2.1 วธการในการบรหารจดการ
ความมนคงปลอดภยสารสนเทศ ตองมการทบทวนตามรอบระยะเวลา
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
14.2.2 ตองมการทบทวนความสอดคลองของการปฏบตทอยภายใตความรบผดชอบของตนเอง โดยเทยบกบนโยบาย มาตรฐานทเกยวของ
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
90
ตำรำงท 4.4 ตารางผลการประเมนความเสยงหลงการบรหารจดการความเสยง (ตอ)
ล าดบ ตวควบคม สถานะปจจบน ผลกระทบ(I) โอกาส(L) คาความเสยง ระดบความเสยง
14.2.3 ความสอดคลองทางเทคนคตองมการทบทวนอยางสม าเสมอ เพอพจารณาความสอดคลองกบนโยบาย และมาตรฐานดานความมนคงปลอดภยสารสนเทศขององคกร
จดท านโยบายและมาตรการควบคมเปนลายลกษณอกษร
3 1 3 ต า
91
4.7 สรปจ ำนวนควำมเสยงหลงกำรบรหำรจดกำรควำมเสยง
จากการประเมนความเสยงจากตวควบคมโดยอางองตามมาตรฐาน ISO27001:2013 ตามหวขอ A.5 – A.8 สามารถสรปการประเมนแบงตามระดบความเสยงไดดงน
ตำรำงท 4.5 ตารางสรปจ านวนความเสยงทหลงเหลอ
ล าดบ ระดบความเสยง คะแนน จ านวน
1 สงมาก 13-16 0 2 สง 9-12 0 3 ปานกลาง 4-8 5 4 ต า 1-3 109
92
บทท 5
สรปผลกำรด ำเนนงำน
5.1สรปผลกำรด ำเนนโครงงำน
จากการด าเนนโครงงานไดมการเกบรวบรวมขอมลปญหาตางๆของระบบสารสนเทศขององคกร และประเมนความเสยงของระบบโดยการสอบถามจากผปฏบตงานและผเกยวของท าใหทราบวาระบบสารสนเทศในองคกรมระดบความเสยงอยทสงมากเปนสวนใหญ หลงจากทไดประเมนความเสยงแลว จงไดจดท าแผนลดความเสยง โดยการก าหนดนโยบายขนมาใชภายในองคกร เพอเปนกรอบในการปฏบตงาน และหลงจากทไดมแผนปฏบตงานแลว จะเหนไดวาความเสยงอยในเกณฑทนองลงโดยสามารถสรปผลการประเมนความเสยงไดดงน
0
20
40
60
80
100
120
รปท 5.1 ผลการประเมนความเสยง
93
5.2 ขอเสนอแนะ
ระบบสารสนเทศไดมการพฒนาใหกาวหนาอยางรวดเรวอยตลอดเวลา ดงนนจงควรมการทวนสอบนโยบายตามระยะเวลาทก าหนด ปรบปรงนโยบายทใช เพอใหนโยบายมความเหมาะสมกบสถานการณทเปลยนไป ไมเกดชองโหว เหมาะสมกบสภาวะปจจบน และรองรบการเตมโตในอนาคตขององคกร
94
เอกสำรอำงอง
[1] ศนยเทคโนโลยสารสนเทศและการสอสาร ส านกงานปลดกระทรวงยตธรรม.ISO/IEC27001 ระบบบรหารจดการความมนคงปลอดภยสารสนเทศ.[Online].Available
http://issuu.com/umapornkongmeng/docs/iso27001
[2] ปรญญ เสรพงศ,"โครงสรางมาตรฐานISO/IEC 27001",หนาท19,ISO27001 Introduction to Information Security Management Syetem,ชนรดา อนเทยง,กรงเทพฯ:บรษท อมรนทรพรนตงแอนดพบลชชง จ ากด(มหาชน), 2551.
[3]วชศกด. พระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550. [Online].Available http://law.longdo.com/law/572
[4]บรษท ท-เนต จ ากด.มาตรฐานISO/IEC27001:2013.[Online].Available http://www.tnetsecurity.com/content_audit/27001-2013.pdf
[5] Information technology - Security techniques-Information-Code of practive for information security controls:2013[Online].Available http://www.iso27001security.com/html/27001.html
ก-1
ภาคผนวก ก
เอกสารขออนญาตองคกรกรณศกษาในการท าวจย
ก-2
ข-1
ภาคผนวก ข
เอกสารระบการปฏบตตามหลกการควบคมทางดานความมนคงปลอดภย
ของมาตรฐาน ISO/IEC 27001:2013
ข-2
เอกสารระบการปฏบตตามหลกการควบคมดานความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001 (Statement of Applicability)
ล าดบ หวขอ การบรหารจดการ
น ามาใช เอกสาร A.5 นโยบายความมนคงปลอดภยสารสนเทศ (Information security policies) 5.1 นโยบายความมนคงปลอดภยสารสนเทศ (Information Security Policy)
1. 5.1.1 นโยบายส าหรบความมนคงปลอดภยสารสนเทศ (Policies for information security)
DSIT05-01
2. 5.1.2 การทบทวนนโยบายส าหรบการบรหารจดการความมนคงปลอดภยสารสนเทศ (Review of the policies for information security)
DSIT06-01
A.6 โครงสรางความมนคงปลอดภยสารสนเทศ(Organization of information security) 6.1 โครงสรางภายในองคกร (Internal organization)
3. 6.1.1 บทบาทและหนาทความรบผดชอบดานความมนคงปลอดภยสารสนเทศ (Information security roles and responsibilities)
DSIT06-01
4. 6.1.2 การแบงแยกหนาทความรบผดชอบ (Segregation of duties)
DSIT06-01
5. 6.1.3 การตดตอกบหนวยงานผมอ านาจ (Contact with authorities)
DSIT06-01
6. 6.1.4 การตดตอกบกลมทมความสนใจเปนพเศษในเรองเดยวกน (Contact with special interest groups)
DSIT06-01
7. 6.1.5 ความมนคงปลอดภยสารสนเทศกบการบรหารจดการโครงการ (Information security in project management)
การจดท าโครงการตางๆผใหบรการเปนผรบผดชอบในสวนน
ข-3
เอกสารระบการปฏบตตามหลกการควบคมดานความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001 (Statement of Applicability)
ล าดบ หวขอ การบรหารจดการ
น ามาใช เอกสาร 6.2 อปกรณคอมพวเตอรแบบพกพา และการปฏบตงานจากระยะไกล (Mobile devices and teleworking)
8. 6.2.1 นโยบายส าหรบอปกรณคอมพวเตอรแบบพกพา (Mobile device policy)
DSIT08-01
9. 6.2.2 การปฏบตงานจากระยะไกล (Teleworking)
ไมอนญาตใหมการปฏบตงานจากภายนอก รวมถงการเชอมตอจากภายนอกเขามาใชระบบภายใน
A.7 ความมนคงปลอดภยส าหรบทรพยากรบคคล (Human resource security) 7.1 กอนการจางงาน (Prior to employment)
10. 7.1.1 การคดเลอก (Screening) DSIT07-01 11. 7.1.2 ขอตกลงและเงอนไขในการจางงาน
(Terms and conditions of employment) DSIT07-01
7.2 ระหวางการจางงาน (During employment) 12. 7.2.1 หนาทความรบผดชอบของผบรหาร
(Management responsibilities) DSIT07-01
13. 7.2.2 การสรางความตระหนก การใหความร และการฝกอบรมดานความมนคงปลอดภยสารสนเทศ (Information security awareness, education and training)
DSIT05-01
14. 7.2.3 กระบวนการทางวนย (Disciplinary process)
DSIT07-01
7.3 การสนสดหรอการเปลยนการจางงาน (Termination and change of employment) 15. 7.3.1 การสนสดหรอการเปลยนหนาท
ความรบผดชอบของการจางงาน (Termination or change of employment responsibilities)
DSIT07-01
ข-4
เอกสารระบการปฏบตตามหลกการควบคมดานความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001 (Statement of Applicability)
ล าดบ หวขอ การบรหารจดการ
น ามาใช เอกสาร A.8 การบรหารจดการทรพยสน (Asset management) 8.1 หนาทความรบผดชอบตอทรพยสน(Responsibility for assets)
16. 8.1.1 บญชทรพยสน (Inventory of asset) DSIT08-01
17. 8.1.2 ผถอครองทรพยสน (Ownership of assets)
DSIT08-01
18. 8.1.3 การใชทรพยสนอยางเหมาะสม (Acceptable use of assets)
DSIT08-01
19. 8.1.4 การคนทรพยสน (Return of assets)
DSIT08-01 DSIT08-02F
8.2 การจดชนความลบของสารสนเทศ (Information classification) 20. 8.2.1 ชนความลบของสารสนเทศ
(Classification of information) DSIT08-02P
21. 8.2.2 การบงชสารสนเทศ (Labeling of information)
DSIT08-02P
22. 8.2.3 การจดการทรพยสน (Handling of assets)
DSIT08-02P
8.3 การจดการสอบนทกขอมล (Media Handling) 23. 8.3.1 การบรหารจดการสอบนทกขอมลท
ถอดแยกได (Management of removable media)
DSIT08-03
24. 8.3.2 การท าลายสอบนทกขอมล (Disposal of media)
DSIT08-03
25. 8.3.3 การขนยายสอบนทกขอมล (Physical media transfer)
DSIT08-03
ข-5
เอกสารระบการปฏบตตามหลกการควบคมดานความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001 (Statement of Applicability)
ล าดบ หวขอ การบรหารจดการ
น ามาใช เอกสาร A.9 การควบคมการเขาถง (Access Control) 9.1 ความตองการทางธรกจส าหรบการควบคมการเขาถง (Business requirement of access control)
26. 9.1.1 นโยบายควบคมการเขาถง (Access control policy)
DSIT09-03P
27. 9.1.2 การเขาถงเครอขายและการบรการเครอขาย (Access to networks and network services)
มแผนด าเนนการจดท าเพมเตมในสวนของการรองขอใชงานWi-fiภายใน
9.2 การบรหารจดการการเขาถงของผใชงาน (User access management) 28. 9.2.1 การลงทะเบยนและถอดถอนสทธ
ผใชงาน (User registration and deregistration)
DSIT09-01P
29. 9.2.2 การจดการสทธการเขาถงของผใชงาน (User access provisioning)
DSIT09-01P
30. 9.2.3 การบรหารจดการสทธการเขาถงตามระดบสทธ (Management of privileged access right)
DSIT09-01P
31. 9.2.4 การบรหารจดการขอมลความลบส าหรบการพสจนตวจนของผใชงาน (management of secret authentication information of users)
DSIT09-01P
32. 9.2.5 การทบทวนสทธการรเขาถงของผใชงาน (Review of user access rights)
DSIT09-01
33. 9.2.6 การถอดถอนหรอปรบปรงสทธการเขาถง (Removal or adjustment of access rights)
DSIT09-01
ข-6
เอกสารระบการปฏบตตามหลกการควบคมดานความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001 (Statement of Applicability)
ล าดบ หวขอ การบรหารจดการ
น ามาใช เอกสาร 9.3 หนาทความรบผดชอบของผใชงาน (User responsibilities)
34. 9.3.1 การใชขอมลการพสจนตวตนซงเปนขอมลลบ (User of secret authentication information)
DSIT09-02
9.4 การควบคมการเขาถงระบบ (System and application access control) 35. 9.4.1 การจ ากดการเขาถงสารสนเทศ
(Information access restriction) DSIT09-04P
36. 9.4.2 ขนตอนปฏบตส าหรบการลอกอนเขาระบบทมความมนคงปลอดภย (Secure log-on procedures)
DSIT09-04P
37. 9.4.3 ระบบบรหารจดการรหสผาน (Password management system)
DSIT09-04P
38. 9.4.4 การใชโปรแกรมอรรถประโยน (Use of privileged utility programs)
DSIT09-04P
39. 9.4.5 การควบคมการเขาถงซอรสโคดของโปรแกรม (Access control to program source code)
ใหบรการเปนผด าเนนการ
A.10 การเขารหสขอมล (Cryptography) 10.1 มาตรการเขารหสขอมล (Cryptographic controls)
40. 10.1.1 นโยบายการใชมาตรการเขารหสขอมล (Policy on the use of cryptographic controls)
DSIT10-01
41. 10.1.2 การบรหารจดการกญแจ (Key management)
DSIT10-01
ข-7
เอกสารระบการปฏบตตามหลกการควบคมดานความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001 (Statement of Applicability)
ล าดบ หวขอ การบรหารจดการ
น ามาใช เอกสาร A.11 ความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical and environmental Security) 11.1 พนททตองการการรกษาความมนคงปลอดภย (Secure areas)
42. 11.1.1 ขอบเขตหรอบรเวณโดยรอบทางกายภาพ (Physical security perimeter)
DSIT11-01 DSIT11-02
43. 11.1.2 การควบคมการเขาออกทางกายภาพ (Physical entry controls)
DSIT11-01 DSIT11-02
44. 11.1.3 การรกษาความมนคงปลอดภยส าหรบส าหนกงานหองท างาน และอปกรณ (Securing office, room and facilities)
DSIT11-01 DSIT11-02
45. 11.1.4 การปองกนตอภยคกคามจากภายนอก และสภาพแวดลอม (Protecting against external end environmental theats
DSIT11-01 DSIT11-01P DSIT11-02
46. 11.1.5 การปฏบตงานในพนททตองการการรกษาความมนคงปลอดภย (Working in secure areas)
DSIT11-02P
47. 11.1.6 พนทส าหรบรบสงสงของ (Delivery and loading areas)
DSIT11-01 DSIT11-02
11.2 อปกรณ (Equipment) 48. 11.2.1 การจดตงและปองกนอปกรณ
(Equipment sitting and protection) DSIT11-03
49. 11.2.2 ระบบและอปกรณสนบสนนการท างาน (Supporting utilities)
DSIT11-03
50. 11.2.3 ความมนคงปลอดภยของการเดนสายสญญาณและสายสอสาร (Cabling security
DSIT11-03
ข-8
เอกสารระบการปฏบตตามหลกการควบคมดานความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001 (Statement of Applicability)
ล าดบ หวขอ การบรหารจดการ
น ามาใช เอกสาร 51. 11.2.4 การบ ารงรกษาอปกรณ Equipment
maintenance) DSIT11-03
DSIT11-03P 52. 11.2.5 การน าทรพยสนขององคกรออก
จากส านกงาน (Removal of assets) DSIT11-03
53. 11.2.6 ความมนคงปลอดภยของอปกรณและทรพยสนทใชงานอยภายนอกส านกงาน (Security of equipment and assets off-premises)
DSIT11-03
54. 11.2.7 ความมนคงปลอดภยส าหรบการก าจดหรอท าลายอปกรณ หรอการน าอปกรณไปใชงานอยางอน (Secure disposal or re-use of equipment)
DSIT11-03
55. 11.2.8 อปกรณของผใชงานททงไวโดยไมมผดแล (Unattended user equipment)
DSIT11-04
56. 11.2.9 นโยบายโตะท างานปลอดเอกสารส าคญและนโยบายการปองกนหนาจอคอมพวเตอร (Clear desk and clear screen policy)
DSIT11-04
A.12 ความมนคงปลอดภยส าหรบการด าเนนงาน (Operations Security) 12.1 ขนตอนการปฏบตงานและหนาทความรบผดชอบ (Operational Procedures and Responsibilities)
57. 12.1.1 ขนตอนการปฏบตงานทเปนลายลกษณอกษร (Documented operating procedures)
DSIT12-01P
58. 12.1.2 การบรหารจดการการเปลยนแปลง (Change management)
DSIT12-01P
59. 12.1.3 การบรหารจดการขดความสามารถของระบบ (Capacity management)
DSIT12-01P
ข-9
เอกสารระบการปฏบตตามหลกการควบคมดานความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001 (Statement of Applicability)
ล าดบ หวขอ การบรหารจดการ
น ามาใช เอกสาร 60. 12.1.4 การแยกสภาพแวดลอมส าหรบการ
พฒนา การทดสอบ และการใหบรการออกจากกน (Separation of development, testing and operational environments)
การพฒนาระบบเปนสวนของผใหบรการเปนผด าเนนการ
12.2 การปองกนโปรแกรมไมประสงคด (Protection from Malware) 61. 12.2.1 มาตรการปองกนโปรแกรมไม
ประสงคด (Control against malware) DSIT12-02P
12.3 การส ารองขอมล (Backup) 62. 12.3.1 การส ารองขอมล (Information
backup) DSIT09-02
12.4 การบนทกขอมลลอกและการเฝาระวง (Logging and Monitoring) 63. 12.4.1 การบนทกขอมลลอกแสดง
เหตการณ (Event Logging) ลอกแสดงขอมลการ
ใชโปรแกรมผใหบรการเปนผด าเนนการ
64. 12.4.2 การปองกนขอมลลอก (Protection of log information)
ผใหบรการเปนผด าเนนการ
65. 12.4.3 ขอมลลอกกจกรรมของผดแลระบบและเจาหนาทปฏบตการระบบ (Administrator and operator logs)
ผใหบรการเปนผด าเนนการ
66. 12.4.4 การตงนาฬกาใหถกตอง (Clock Synchronization)
12.5 การควบคมการตดตงซอฟตแวร (Control of operational software) 67. 12.5.1 การตดตงซอฟตแวรบนระบบ
ใหบรการ (Installation of software on operational systems
DSIT12-04
12.6 การบรหารจดการชองโหวทางเทคนค (Technical Vulnerability Management)
ข-10
เอกสารระบการปฏบตตามหลกการควบคมดานความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001 (Statement of Applicability)
ล าดบ หวขอ การบรหารจดการ
น ามาใช เอกสาร 68. 12.6.1 การบรหารจดการชองโหวทาง
เทคนค (Management of technical vulnerabilities)
DSIT12-03
69. 12.6.2 การจ ากดการตดตงซอฟตแวร (Restrictions on software installation)
DSIT12-03
12.7 สงทตองพจารณาในการตรวจประเมนระบบ (Information Systems Audit Considerations)
70. 12.7.1 มาตรการการตรวจประเมนระบบ (Information System audit controls)
ยงไมมการจดท าแผนตรวจประเมนระบบ แตมแผนวาจะจดท าขนภายหลง
A.13 ความมนคงหลอดภยส าหรบการสอสารขอมล (Communications security) 13.1 การบรหารจดการความมนคงปลอดภยของเครอขาย (Network Security Management)
71. 13.1.1 มาตรการเครอขาย (Network controls)
DSIT13-01
72. 13.1.2 ความมนคงปลอดภยส าหรบบรการเครอขาย (Security of network services)
DSIT13-01
73. 13.1.3 การแบงแยกเครอขาย (Segregation in networks)
DSIT13-01
13.2 การถายโอนสารสนเทศ (Information transfer) 74. 13.2.1 นโยบายและขนตอนปฏบตส าหรบ
การถายโอนสารสนเทศ (Information transfer policies and procedures)
DSIT13-02
75. 13.2.2 ขอตกลงส าหรบการถายโอนสารสนเทศ (Agreements on information transfer)
DSIT13-02
76. 13.2.3 การสงขอความทางอเลกทรอนกส (Electronic messaging)
DSIT13-02
ข-11
เอกสารระบการปฏบตตามหลกการควบคมดานความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001 (Statement of Applicability)
ล าดบ หวขอ การบรหารจดการ
น ามาใช เอกสาร 77. 13.2.4 ขอตกลงการรกษาความลบหรอการ
ไมเปดเผยความลบ (Confidentiality or non-disclosure agreements)
DSIT13-02
A.14 การจดหา การพฒนา และการบ ารงรกษาระบบ (System acquisittion, development and maintenance) 14.1 ความตองการดานความมนคงปลอดภยของระบบ (Security requirements of information systems)
78. 14.1.1 การวเคราะหและก าหนดความตองการดานความมนคงปลอดภยสารสนเทศ (Information security requirements analysis and specification)
DSIT14-01
79. 14.1.2 ความมนคงปลอดภยของบรการสารสนเทศบนเครอขายสารธารณะ (Securing application services on public networks)
DSIT14-01
80. 14.1.3 การปองกนธรกรรมของบรการสารสนเทศ (Protecting application services transactions)
DSIT14-01
14.2 ความมนคงปลอดภยส าหรบกระบวนการพฒนาและสนบสนน (Security in development and support processes)
81. 14.2.1 นโยบายการพฒนาระบบใหมความมนคงปลอดถย (Secure development policy)
DSIT14-02
82. 14.2.2 ขนตอนก)บตส าหรบควบคมการเปลยนแปลงระบบ (System Change control procedures)
DSIT14-02
83. 14.2.3 การทบทวนทางเทคนคตอระบบหลงจากเปลยนแปลงโครงสรางพนฐานของ ระบบ
DSIT14-02
ข-12
เอกสารระบการปฏบตตามหลกการควบคมดานความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001 (Statement of Applicability)
ล าดบ หวขอ การบรหารจดการ
น ามาใช เอกสาร 84. 14.2.4 การจ ากดการเปลยนแปลง
ซอฟตแวรส าเรจรป (Restrictions on changes to software packages)
DSIT07-01
85. 14.2.5 หลกการวศวะกรรมระบบดานความมนคงปลอดภย (Secure system engineering principles)
ผใหบรการเปนผด าเนนการ
86. 14.2.6 สภาพแวดลอมของการพฒนาระบบทมความมนคงปลอดภย (Secure development environment)
ไมมการพฒนาระบบเอง
87. 14.2.7 การจางหนวยงานภายนอกพฒนาระบบ (Outsourced development)
DSIT15
88. 14.2.8 การทดสอบดานความมนคงปลอดภยของระบบ (System security testing)
DSIT14-02
89. 14.2.9 การทดสอบเพอรบรองระบบ (System acceptance testing)
DSIT14-02
14.3 ขอมลส าหรบการทดสอบ (Test data) 90. 14.3.1 การปองกนขอมลส าหรบการ
ทดสอบ (Protection of test data) DSIT14-02
A.15 ความสมพนธกบผใหบรการภายนอก (Supplier relationships) 15.1 ความมนคงปลอดภยสารสนเทศกบความสมพนธกบผใหบรการภายนอก (Information security in supplier relationship)
91. 15.1.1 นโยบายความมนคงปลอดภยสารสนเทศดานความสมพนธกบผใหบรการภายนอก (Information security policy for supplier relationships)
DSIT16-02
ข-13
เอกสารระบการปฏบตตามหลกการควบคมดานความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001 (Statement of Applicability)
ล าดบ หวขอ การบรหารจดการ
น ามาใช เอกสาร 92. 15.1.2 การระบความมนคงปลอดภยใน
ขอตกลงการใหบรการของผใหบรการภายนอก (Addressing security within supplier agreements)
DSIT16-02
93. 15.1.3 หวงโซการใหบรการเทคโนโลยสารสนเทศและการสอสารโดยผใหบรการภายนอก (Information and communication technology supply chain)
DSIT16-02
15.2 การบรหารจดการการใหบรการโดยผใหบรการภายนอก (Supplier service delivery management)
94. 15.2.1 การตดตามและทบทวนบรการของผใหบรการภายนอก (monitoring and review of supplier services)
DSIT16-02
95. 15.2.2 การบรหารจดการการเปลยนแปลงบรการของผใหบรการภายนอก (managing changes to supplier services)
DSIT16-02
A.16 การบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ (Information Security Incident Management) 16.1 การบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศและการปรบปรง (Management of information security incidents and improvements)
96. 16.1.1 หนาทความรบผดชอบและขนตอนการปฏบต (Responsibilities and procedures )
DSIT16-01P
97. 16.1.2 การรายงานสถานการณความมนคงปลอดภยสารสนเทศ (Reporting information security events)
DSIT16-01
ข-14
เอกสารระบการปฏบตตามหลกการควบคมดานความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001 (Statement of Applicability)
ล าดบ หวขอ การบรหารจดการ
น ามาใช เอกสาร 98. 16.1.3 การรายงานจดออนทางความมนคง
สารสนเทศ (Reporting information security weaknesses)
DSIT16-01
99. 16.1.4 การประเมนและตดสนใจตอสถานการณความมนคงปลอดภยสารสนเทศ (Assessment of and decision on information security events)
DSIT16-01
100. 16.1.5 การตอบสนองตอเหตกาณความมนคงปลอดภยสารสนเทศ (Response to information security incidents)
DSIT16-01P
101. 16.1.6 การเรยนรจากเหตการณความมนคงปลอดภยสารสนเทศ (Learning form information security incidents)
DSIT16-01P
102. 16.1.7 การเกบรวบรวมหลกฐาน (Collection of evidence)
DSIT16-01P
A.17 ประเดนความมนคงปลอดภยสารสนเทศของการบรหารจดการเพอสรางความตอเนองทางธรกจ (Information security aspects of business continuity management ) 17.1 ความตอเนองดานความมนคงปลอดภยสารสนเทศ (Information security continuity) 103. 17.1.1 การวางแผนความตอเนองดาน
ความมนคงปลอดภยสารสนเทศ (Planning information security continuity)
DSIT17
104. 17.1.2 การปฏบตเพอเตรยมการสรางความตอเนองดานความมนคงปลอดภยสารสนเทศ (Implementing information security continuity)
DSIT17-07 DSIT17-08
ข-15
เอกสารระบการปฏบตตามหลกการควบคมดานความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001 (Statement of Applicability)
ล าดบ หวขอ การบรหารจดการ
น ามาใช เอกสาร 105. 17.1.3 การตรวจสอบ การทบทวน และการ
ประเมนความตอเนองดานความมนคงปลอดภยสารสนเทศ (Verify, review and evaluate information security continuity)
DSIT17
17.2 การเตรยมการอปกรณประมวลผลส ารอง (Refundancies) 106. 17.2.1 สภาพความพรอมใชของอปกรณ
ประมวลผลสารสนเทศ (Availability of information processing facilities)
DSIT17-01
A.18 ความสอดคลอง (Compliance) 18.1 ความสอดคลองกบความตองการดานกฎหมายและในสญญาจาง (Compliance with legal and contractual requirements) 107. 18.1.1 การระบกฎหมายและความตองการ
ในสญญาจางทเกยวของ (Identification of applicable legislation and contractual requirements)
DSIT18
108. 18.1.2 สทธในทรพยสนทางปญญา (Intellectual property rights)
DSIT18-01
109. 18.1.3 การปองกนขอมล (Protection of records)
DSIT18-01
110. 18.1.4 ความเปนสวนตวและการปองกนขอมลสวนบคคล (Privacy and protection of personal identifiable information)
DSIT18-01
111. 18.1.5 ระเบยบขอบงคบส าหรบมาตรการเขารหสขอมล (Refutation of cryptographic controls)
DSIT18-01
ข-16
เอกสารระบการปฏบตตามหลกการควบคมดานความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001 (Statement of Applicability)
ล าดบ หวขอ การบรหารจดการ
น ามาใช เอกสาร 18.2 การทบทวนความมนคงปลอดภยสารสนเทศ (Information security reviews) 112. 18.2.1 การทบทวนอยางอสระดานความ
มนคงปลอดภยสารสนเทศ (Independent review of information security)
DSIT15-02
113. 18.2.2 ความสอดคลองกบนโยบายและมาตรฐานดานความมนคงปลอดภย (Compliance with security policies and standards)
DSIT15-02
114. 18.2.3 การทบทวนความสอดคลองทางเทคนค (Technical compliance review)
DSIT15-02
ค-1
ภาคผนวก ค
เอกสารแนวทางปฏบตดานความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ
ค-2
เอกสารแนวทางปฏบตดานความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ
วตถประสงค
เอกสารแนวทางปฏบตดานความมนคงปลอดภยส าหรบสารสนเทศ (Information Security Policy) มจดประสงคเพอก าหนดทศทางและสนบสนนการด าเนนการดานความมนคงปลอดภยส าหรบสารสนเทศขององคกร เพอใหการด าเนนงานเปนไปอยางราบรน มความตอเนองในการด าเนนงานอยางมประสทธภาพ
การปฏบตตาม
เจาหนาทและบคลากรทกคนทเกยวของ มหนาทปฏบตตามกฎระเบยบทไดระบไวในแนวทางปฏบตของนโยบายความมนคงปลอดภยสารสนเทศ หากองคกรตรวจสอบพบวาปญหาทเกดขน เกดจากการไมปฏบตตามนโยบาย องคกรสามารถลงโทษตามระเบยบทไดก าหนดไวไดทนท
ค-3
1.แนวทางปฏบตในการจดการนโยบายความมนคงปลอดภยสารสนเทศ
1.1 นโยบายความมนคงปลอดภยสารสนเทศ
ตนแบบเอกสารส าหรบใชภายใน
ค-4
แนวทางปฏบตในการจดการนโยบายความมนคงปลอดภยสารสนเทศ (ตอ)
1.1 นโยบายความมนคงปลอดภยสารสนเทศ
ตนแบบเอกสารส าหรบใชภายใน
ค-5
แนวทางปฏบตในการจดการนโยบายความมนคงปลอดภยสารสนเทศ (ตอ)
1.1 นโยบายความมนคงปลอดภยสารสนเทศ
ตนแบบเอกสารส าหรบใชภายใน
ค-6
2.แนวทางปฏบตดานโครงสรางความมนคงปลอดภยสารสนเทศ
2.1 การจดการโครงสรางทางดานความมนคงปลอดภยภายในองคกร
ตนแบบเอกสารส าหรบใชภายใน
ค-7
แนวทางปฏบตดานโครงสรางความมนคงปลอดภยสารสนเทศ(ตอ)
2.1 การจดการโครงสรางทางดานความมนคงปลอดภยภายในองคกร
ตนแบบเอกสารส าหรบใชภายใน
ค-8
แนวทางปฏบตดานโครงสรางความมนคงปลอดภยสารสนเทศ(ตอ)
2.1 การจดการโครงสรางทางดานความมนคงปลอดภยภายในองคกร
ตนแบบเอกสารส าหรบใชภายใน
ค-9
แนวทางปฏบตดานโครงสรางความมนคงปลอดภยสารสนเทศ(ตอ)
2.1 การจดการโครงสรางทางดานความมนคงปลอดภยภายในองคกร
ตนแบบเอกสารส าหรบใชภายใน
ค-10
3.แนวทางปฏบตดานทรพยากรบคคล
3.1 ความมนคงปลอดภยส าหรบทรพยากรบคคล
ตนแบบเอกสารส าหรบใชภายใน
ค-11
แนวทางปฏบตดานทรพยากรบคคล(ตอ)
3.1 ความมนคงปลอดภยส าหรบทรพยากรบคคล
ตนแบบเอกสารส าหรบใชภายใน
ค-12
4.แนวทางปฏบตดานการบรหารจดการทรพยสน
4.1 หนาทความรบผดชอบตอทรพยสนขององคกร
ตนแบบเอกสารส าหรบใชภายใน
ค-13
แนวทางปฏบตดานการบรหารจดการทรพยสน(ตอ)
4.1 หนาทความรบผดชอบตอทรพยสนขององคกร
ตนแบบเอกสารส าหรบใชภายใน
ค-14
แนวทางปฏบตดานการบรหารจดการทรพยสน(ตอ)
4.1 หนาทความรบผดชอบตอทรพยสนขององคกร
ตนแบบเอกสารส าหรบใชภายใน
ค-15
แนวทางปฏบตดานการบรหารจดการทรพยสน(ตอ)
4.2 แบบฟอรมคนทรพยสน
ตนแบบเอกสารส าหรบใชภายใน
ค-16
แนวทางปฏบตดานการบรหารจดการทรพยสน(ตอ)
4.3 การจดหมวดหมสารสนเทศ
ตนแบบเอกสารส าหรบใชภายใน
ค-17
แนวทางปฏบตดานการบรหารจดการทรพยสน(ตอ)
4.3 การจดหมวดหมสารสนเทศ
ตนแบบเอกสารส าหรบใชภายใน
ค-18
แนวทางปฏบตดานการบรหารจดการทรพยสน(ตอ)
4.3 การจดหมวดหมสารสนเทศ
ตนแบบเอกสารส าหรบใชภายใน
ค-19
แนวทางปฏบตดานการบรหารจดการทรพยสน(ตอ)
4.3 การจดหมวดหมสารสนเทศ
ตนแบบเอกสารส าหรบใชภายใน
ค-20
แนวทางปฏบตดานการบรหารจดการทรพยสน(ตอ)
4.4 การจดการสอทใชในการบนทกขอมล
ตนแบบเอกสารส าหรบใชภายใน
ค-21
แนวทางปฏบตดานการบรหารจดการทรพยสน(ตอ)
4.4 การจดการสอทใชในการบนทกขอมล
ตนแบบเอกสารส าหรบใชภายใน
ค-22
แนวทางปฏบตดานการบรหารจดการทรพยสน(ตอ)
4.4 การจดการสอทใชในการบนทกขอมล
ตนแบบเอกสารส าหรบใชภายใน
ค-23
5.แนวทางปฏบตการควบคมการเขาถง
5.1 การบรหารจดการการเขาถงของผใชงาน
ตนแบบเอกสารส าหรบใชภายใน
ค-24
แนวทางปฏบตการควบคมการเขาถง (ตอ)
5.1 การบรหารจดการการเขาถงของผใชงาน
ตนแบบเอกสารส าหรบใชภายใน
ค-25
แนวทางปฏบตการควบคมการเขาถง (ตอ)
5.1 การบรหารจดการการเขาถงของผใชงาน
ตนแบบเอกสารส าหรบใชภายใน
ค-26
แนวทางปฏบตการควบคมการเขาถง (ตอ)
5.1 การบรหารจดการการเขาถงของผใชงาน
ตนแบบเอกสารส าหรบใชภายใน
ค-27
แนวทางปฏบตการควบคมการเขาถง (ตอ)
5.2 ขนตอนการบรหารจดการการเขาถงของผใช
ตนแบบเอกสารส าหรบใชภายใน
ค-28
แนวทางปฏบตการควบคมการเขาถง (ตอ)
5.2 ขนตอนการบรหารจดการการเขาถงของผใช
ตนแบบเอกสารส าหรบใชภายใน
ค-29
แนวทางปฏบตการควบคมการเขาถง (ตอ)
5.2 ขนตอนการบรหารจดการการเขาถงของผใช
ตนแบบเอกสารส าหรบใชภายใน
ค-30
แนวทางปฏบตการควบคมการเขาถง (ตอ)
5.3 หนาทความรบผดชอบของผใชงาน
ตนแบบเอกสารส าหรบใชภายใน
ค-31
แนวทางปฏบตการควบคมการเขาถง (ตอ)
5.3 หนาทความรบผดชอบของผใชงาน
ตนแบบเอกสารส าหรบใชภายใน
ค-32
แนวทางปฏบตการควบคมการเขาถง (ตอ)
5.3 หนาทความรบผดชอบของผใชงาน
ตนแบบเอกสารส าหรบใชภายใน
ค-33
แนวทางปฏบตการควบคมการเขาถง (ตอ)
5.4 นโยบายการควบคมการเขาถงระบบ
ตนแบบเอกสารส าหรบใชภายใน
ค-34
แนวทางปฏบตการควบคมการเขาถง (ตอ)
5.4 นโยบายการควบคมการเขาถงระบบ
ตนแบบเอกสารส าหรบใชภายใน
ค-35
แนวทางปฏบตการควบคมการเขาถง (ตอ)
5.4 นโยบายการควบคมการเขาถงระบบ
ตนแบบเอกสารส าหรบใชภายใน
ค-36
แนวทางปฏบตการควบคมการเขาถง (ตอ)
5.5 ขนตอนปฏบตในการเขาถงระบบปฏบตการ
ตนแบบเอกสารส าหรบใชภายใน
ค-37
แนวทางปฏบตการควบคมการเขาถง (ตอ)
5.5 ขนตอนปฏบตในการเขาถงระบบปฏบตการ
ตนแบบเอกสารส าหรบใชภายใน
ค-38
6.แนวทางปฏบตดานการเขารหสขอมล
6.1 นโยบายการใชมาตรการเขารหสขอมล
ตนแบบเอกสารส าหรบใชภายใน
ค-39
แนวทางปฏบตดานการเขารหสขอมล
6.1 นโยบายการใชมาตรการเขารหสขอมล
ตนแบบเอกสารส าหรบใชภายใน
ค-40
แนวทางปฏบตดานการเขารหสขอมล
6.1 นโยบายการใชมาตรการเขารหสขอมล
ตนแบบเอกสารส าหรบใชภายใน
ค-41
แนวทางปฏบตดานการเขารหสขอมล
6.2 ขนตอนการจดการสอทใชในการบนทกขอมล
ตนแบบเอกสารส าหรบใชภายใน
ค-42
แนวทางปฏบตดานการเขารหสขอมล
6.2 ขนตอนการจดการสอทใชในการบนทกขอมล
ตนแบบเอกสารส าหรบใชภายใน
ค-43
แนวทางปฏบตดานการเขารหสขอมล
6.2 ขนตอนการจดการสอทใชในการบนทกขอมล
ตนแบบเอกสารส าหรบใชภายใน
ค-44
7.แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม
7.1 ขนตอนปฏบตดานดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม
ตนแบบเอกสารส าหรบใชภายใน
ค-45
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม
7.1 ขนตอนปฏบตดานดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (ตอ)
ตนแบบเอกสารส าหรบใชภายใน
ค-46
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)
7.1 ขนตอนปฏบตดานดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (ตอ)
ตนแบบเอกสารส าหรบใชภายใน
ค-47
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)
7.2 แนวทางปฏบตเมอเกดเหตน ารวซม ทอประปาแตก
ตนแบบเอกสารส าหรบใชภายใน
ค-48
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)
7.2 แนวทางปฏบตเมอเกดเหตน ารวซม ทอประปาแตก
ตนแบบเอกสารส าหรบใชภายใน
ค-49
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)
7.2 แนวทางปฏบตเมอเกดเหตน ารวซม ทอประปาแตก
ตนแบบเอกสารส าหรบใชภายใน
ค-50
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)
7.3 ขนตอนการจดท าบรเวณทตองมการรกษาความปลอดภย
ตนแบบเอกสารส าหรบใชภายใน
ค-51
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)
7.3 ขนตอนการจดท าบรเวณทตองมการรกษาความปลอดภย
ตนแบบเอกสารส าหรบใชภายใน
ค-52
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)
7.3 ขนตอนการจดท าบรเวณทตองมการรกษาความปลอดภย
ตนแบบเอกสารส าหรบใชภายใน
ค-53
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)
7.3 ขนตอนการจดท าบรเวณทตองมการรกษาความปลอดภย
ตนแบบเอกสารส าหรบใชภายใน
ค-54
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)
7.4 ขนตอนปฏบตส าหรบรายงานสถานการณเหตความมนคงปลอดภย
ตนแบบเอกสารส าหรบใชภายใน
ค-55
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)
7.4 ขนตอนปฏบตส าหรบรายงานสถานการณเหตความมนคงปลอดภย
ตนแบบเอกสารส าหรบใชภายใน
ค-56
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)
7.4 ขนตอนปฏบตส าหรบรายงานสถานการณเหตความมนคงปลอดภย
ตนแบบเอกสารส าหรบใชภายใน
ค-57
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)
7.5 ขนตอนการจดการความมนคงปลอดภยของอปกรณ
ตนแบบเอกสารส าหรบใชภายใน
ค-58
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)
7.5 ขนตอนการจดการความมนคงปลอดภยของอปกรณ
ตนแบบเอกสารส าหรบใชภายใน
ค-59
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)
7.5 ขนตอนการจดการความมนคงปลอดภยของอปกรณ
ตนแบบเอกสารส าหรบใชภายใน
ค-60
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)
7.5 ขนตอนการจดการความมนคงปลอดภยของอปกรณ
ตนแบบเอกสารส าหรบใชภายใน
ค-61
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)
7.5 ขนตอนการจดการความมนคงปลอดภยของอปกรณ
ตนแบบเอกสารส าหรบใชภายใน
ค-62
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)
7.5 ขนตอนการจดการความมนคงปลอดภยของอปกรณ
ตนแบบเอกสารส าหรบใชภายใน
ค-63
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)
7.6 ขนตอนการจดการดานการบ ารงรกษาอปกรณ
ตนแบบเอกสารส าหรบใชภายใน
ค-64
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)
7.6 ขนตอนการจดการดานการบ ารงรกษาอปกรณ
ตนแบบเอกสารส าหรบใชภายใน
ค-65
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)
7.6 ขนตอนการจดการดานการบ ารงรกษาอปกรณ
ตนแบบเอกสารส าหรบใชภายใน
ค-66
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)
7.6 ขนตอนการจดการดานการบ ารงรกษาอปกรณ
ตนแบบเอกสารส าหรบใชภายใน
ค-67
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)
7.7 การก าจดอปกรณหรอการน าอปกรณกลบมาใชงานอก
ตนแบบเอกสารส าหรบใชภายใน
ค-68
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)
7.7 การก าจดอปกรณหรอการน าอปกรณกลบมาใชงานอก
ตนแบบเอกสารส าหรบใชภายใน
ค-69
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)
7.8 หนาทความรบผดชอบของผใชงาน
ตนแบบเอกสารส าหรบใชภายใน
ค-70
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)
7.8 หนาทความรบผดชอบของผใชงาน
ตนแบบเอกสารส าหรบใชภายใน
ค-71
แนวทางปฏบตดานความมนคงปลอดภยทางกายภาพและสภาพแวดลอม(ตอ)
7.8 หนาทความรบผดชอบของผใชงาน
ตนแบบเอกสารส าหรบใชภายใน
ค-72
8.แนวปฏบตดานความมนคงปลอดภยส าหรบการด าเนนงาน
8.1 การก าหนดหนาทความรบผดชอบและวธการปฏบตงาน
ตนแบบเอกสารส าหรบใชภายใน
ค-73
แนวปฏบตดานความมนคงปลอดภยส าหรบการด าเนนงาน (ตอ)
8.1 การก าหนดหนาทความรบผดชอบและวธการปฏบตงาน
ตนแบบเอกสารส าหรบใชภายใน
ค-74
แนวปฏบตดานความมนคงปลอดภยส าหรบการด าเนนงาน (ตอ)
8.1 การก าหนดหนาทความรบผดชอบและวธการปฏบตงาน
ตนแบบเอกสารส าหรบใชภายใน
ค-75
แนวปฏบตดานความมนคงปลอดภยส าหรบการด าเนนงาน (ตอ)
8.2 ขนตอนการปองกนโปรแกรมทไมประสงคด
ตนแบบเอกสารส าหรบใชภายใน
ค-76
แนวปฏบตดานความมนคงปลอดภยส าหรบการด าเนนงาน (ตอ)
8.2 ขนตอนการปองกนโปรแกรมทไมประสงคด
ตนแบบเอกสารส าหรบใชภายใน
ค-77
แนวปฏบตดานความมนคงปลอดภยส าหรบการด าเนนงาน (ตอ)
8.2 ขนตอนการปองกนโปรแกรมทไมประสงคด
ตนแบบเอกสารส าหรบใชภายใน
ค-78
แนวปฏบตดานความมนคงปลอดภยส าหรบการด าเนนงาน (ตอ)
8.3 มาตรการควบคมชองโหวทางเทคนค
ตนแบบเอกสารส าหรบใชภายใน
ค-79
แนวปฏบตดานความมนคงปลอดภยส าหรบการด าเนนงาน (ตอ)
8.3 มาตรการควบคมชองโหวทางเทคนค
ตนแบบเอกสารส าหรบใชภายใน
ค-80
9.แนวทางปฏบตส าหรบดานความมนคงปลอดภยส าหรบการสอสารขอมล
9.1 ขนตอนการบรหารจดการทางดานความมนคงปลอดภยส าหรบเครอขาย
ตนแบบเอกสารส าหรบใชภายใน
ค-81
แนวทางปฏบตส าหรบดานความมนคงปลอดภยส าหรบการสอสารขอมล
9.1 ขนตอนการบรหารจดการทางดานความมนคงปลอดภยส าหรบเครอขาย
ตนแบบเอกสารส าหรบใชภายใน
ค-82
แนวทางปฏบตส าหรบดานความมนคงปลอดภยส าหรบการสอสารขอมล
9.2 ขนตอนปฏบตส าหรบการแลกเปลยนสารสนเทศ
ตนแบบเอกสารส าหรบใชภายใน
ค-83
แนวทางปฏบตส าหรบดานความมนคงปลอดภยส าหรบการสอสารขอมล
9.2 ขนตอนปฏบตส าหรบการแลกเปลยนสารสนเทศ
ตนแบบเอกสารส าหรบใชภายใน
ค-84
แนวทางปฏบตส าหรบดานความมนคงปลอดภยส าหรบการสอสารขอมล
9.2 ขนตอนปฏบตส าหรบการแลกเปลยนสารสนเทศ
ตนแบบเอกสารส าหรบใชภายใน
ค-85
10.แนวทางปฏบตดานการจดหา การพฒนา และการบ ารงรกษาระบบ
10.1 ขอก าหนดดานความมนคงปลอดภยส าหรบระบบสารสนเทศ
ตนแบบเอกสารส าหรบใชภายใน
ค-86
แนวทางปฏบตดานการจดหา การพฒนา และการบ ารงรกษาระบบ
10.1 ขอก าหนดดานความมนคงปลอดภยส าหรบระบบสารสนเทศ
ตนแบบเอกสารส าหรบใชภายใน
ค-87
แนวทางปฏบตดานการจดหา การพฒนา และการบ ารงรกษาระบบ
10.2 การระบขอก าหนดทางดานความมนคงปลอดภยสารสนเทศ
ตนแบบเอกสารส าหรบใชภายใน
ค-88
แนวทางปฏบตดานการจดหา การพฒนา และการบ ารงรกษาระบบ
10.2 การระบขอก าหนดทางดานความมนคงปลอดภยสารสนเทศ
ตนแบบเอกสารส าหรบใชภายใน
ค-89
แนวทางปฏบตดานการจดหา การพฒนา และการบ ารงรกษาระบบ
10.3 การสรางความมนคงปลอดภยส าหรบกระบวนการพฒนาและสนบสนน
ตนแบบเอกสารส าหรบใชภายใน
ค-90
แนวทางปฏบตดานการจดหา การพฒนา และการบ ารงรกษาระบบ
10.3 การสรางความมนคงปลอดภยส าหรบกระบวนการพฒนาและสนบสนน
ตนแบบเอกสารส าหรบใชภายใน
ค-91
แนวทางปฏบตดานการจดหา การพฒนา และการบ ารงรกษาระบบ
10.3 การสรางความมนคงปลอดภยส าหรบกระบวนการพฒนาและสนบสนน
ตนแบบเอกสารส าหรบใชภายใน
ค-92
แนวทางปฏบตดานการจดหา การพฒนา และการบ ารงรกษาระบบ
10.3 การสรางความมนคงปลอดภยส าหรบกระบวนการพฒนาและสนบสนน
ตนแบบเอกสารส าหรบใชภายใน
ค-93
11.แนวทางปฏบตดานความสมพนธกบผใหบรการภายนอก
11.1 ความสมพนธกบผใหบรการภายนอก
ตนแบบเอกสารส าหรบใชภายใน
ค-94
แนวทางปฏบตดานความสมพนธกบผใหบรการภายนอก (ตอ)
11.1 ความสมพนธกบผใหบรการภายนอก
ตนแบบเอกสารส าหรบใชภายใน
ค-95
12.แนวทางปฏบตดานการบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ
12.1 การบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ
ตนแบบเอกสารส าหรบใชภายใน
ค-96
แนวทางปฏบตดานการบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ (ตอ)
12.1 การบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ
ตนแบบเอกสารส าหรบใชภายใน
ค-97
แนวทางปฏบตดานการบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ (ตอ)
12.2 ขนตอนการรายงานเหตการณทเกยวของกบความมนคงปลอดภย
ตนแบบเอกสารส าหรบใชภายใน
ค-98
แนวทางปฏบตดานการบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ (ตอ)
12.2 ขนตอนการรายงานเหตการณทเกยวของกบความมนคงปลอดภย
ตนแบบเอกสารส าหรบใชภายใน
ค-99
แนวทางปฏบตดานการบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ (ตอ)
12.2 ขนตอนการรายงานเหตการณทเกยวของกบความมนคงปลอดภย
ตนแบบเอกสารส าหรบใชภายใน
ค-100
แนวทางปฏบตดานการบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ (ตอ)
12.2 ขนตอนการรายงานเหตการณทเกยวของกบความมนคงปลอดภย
ตนแบบเอกสารส าหรบใชภายใน
ค-101
แนวทางปฏบตดานการบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ (ตอ)
12.2 ขนตอนการรายงานเหตการณทเกยวของกบความมนคงปลอดภย
ตนแบบเอกสารส าหรบใชภายใน
ค-102
แนวทางปฏบตดานการบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ (ตอ)
12.2 ขนตอนการรายงานเหตการณทเกยวของกบความมนคงปลอดภย
ตนแบบเอกสารส าหรบใชภายใน
ค-103
แนวทางปฏบตดานการบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ (ตอ)
12.4 ความสมพนธกบผใหบรการภายนอก
ตนแบบเอกสารส าหรบใชภายใน
ค-104
แนวทางปฏบตดานการบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ (ตอ)
12.4 ความสมพนธกบผใหบรการภายนอก
ตนแบบเอกสารส าหรบใชภายใน
ค-105
13.แนวทางปฏบตประเดนดานความมนคงปลอดภยสารสนเทศของการบรหารจดการเพอสรางความตอเนองทางธรกจ
13.1 ความตอเนองดานความมนคงปลอดภยสารสนเทศ
ตนแบบเอกสารส าหรบใชภายใน
ค-106
แนวทางปฏบตประเดนดานความมนคงปลอดภยสารสนเทศของการบรหารจดการเพอสรางความตอเนองทางธรกจ(ตอ)
13.1 ความตอเนองดานความมนคงปลอดภยสารสนเทศ
ตนแบบเอกสารส าหรบใชภายใน
ค-107
แนวทางปฏบตประเดนดานความมนคงปลอดภยสารสนเทศของการบรหารจดการเพอสรางความตอเนองทางธรกจ(ตอ)
13.2 ขนตอนปฏบตส าหรบการโจรกรรม
ตนแบบเอกสารส าหรบใชภายใน
ค-108
แนวทางปฏบตประเดนดานความมนคงปลอดภยสารสนเทศของการบรหารจดการเพอสรางความตอเนองทางธรกจ (ตอ)
13.2 ขนตอนปฏบตส าหรบการโจรกรรม
ตนแบบเอกสารส าหรบใชภายใน
ค-109
แนวทางปฏบตประเดนดานความมนคงปลอดภยสารสนเทศของการบรหารจดการเพอสรางความตอเนองทางธรกจ (ตอ)
13.2 ขนตอนปฏบตส าหรบการโจรกรรม
ตนแบบเอกสารส าหรบใชภายใน
ค-110
แนวทางปฏบตประเดนดานความมนคงปลอดภยสารสนเทศของการบรหารจดการเพอสรางความตอเนองทางธรกจ (ตอ)
13.2 ขนตอนปฏบตส าหรบการโจรกรรม
ตนแบบเอกสารส าหรบใชภายใน
ค-111
แนวทางปฏบตประเดนดานความมนคงปลอดภยสารสนเทศของการบรหารจดการเพอสรางความตอเนองทางธรกจ (ตอ)
13.2 ขนตอนปฏบตส าหรบการโจรกรรม
ตนแบบเอกสารส าหรบใชภายใน
ค-112
แนวทางปฏบตประเดนดานความมนคงปลอดภยสารสนเทศของการบรหารจดการเพอสรางความตอเนองทางธรกจ (ตอ)
13.2 ขนตอนปฏบตส าหรบการโจรกรรม
ตนแบบเอกสารส าหรบใชภายใน
ค-113
แนวทางปฏบตประเดนดานความมนคงปลอดภยสารสนเทศของการบรหารจดการเพอสรางความตอเนองทางธรกจ (ตอ)
13.3 ขนตอนปฏบตส าหรบเหตการณโจมตจากผประสงคราย
ตนแบบเอกสารส าหรบใชภายใน
ค-114
แนวทางปฏบตประเดนดานความมนคงปลอดภยสารสนเทศของการบรหารจดการเพอสรางความตอเนองทางธรกจ (ตอ)
13.3 ขนตอนปฏบตส าหรบเหตการณโจมตจากผประสงคราย
ตนแบบเอกสารส าหรบใชภายใน
ค-115
แนวทางปฏบตประเดนดานความมนคงปลอดภยสารสนเทศของการบรหารจดการเพอสรางความตอเนองทางธรกจ (ตอ)
13.3 ขนตอนปฏบตส าหรบเหตการณโจมตจากผประสงคราย
ตนแบบเอกสารส าหรบใชภายใน
ค-116
14.แนวทางปฏบตเกยวกบความสอดคลองในดานตางๆ
14.1 การปฏบตตามขอก าหนดทางกฎหมาย
ตนแบบเอกสารส าหรบใชภายใน
ค-117
แนวทางปฏบตเกยวกบความสอดคลองในดานตางๆ
14.1 การปฏบตตามขอก าหนดทางกฎหมาย
ตนแบบเอกสารส าหรบใชภายใน
ค-118
แนวทางปฏบตเกยวกบความสอดคลองในดานตางๆ
14.2 ขนตอนการปฏบตตามขอก าหนดทางกฎหมาย
ตนแบบเอกสารส าหรบใชภายใน
ค-119
แนวทางปฏบตเกยวกบความสอดคลองในดานตางๆ
14.2 ขนตอนการปฏบตตามขอก าหนดทางกฎหมาย
ตนแบบเอกสารส าหรบใชภายใน
ค-120
แนวทางปฏบตเกยวกบความสอดคลองในดานตางๆ
14.2 ขนตอนการปฏบตตามขอก าหนดทางกฎหมาย
ตนแบบเอกสารส าหรบใชภายใน
ค-121
แนวทางปฏบตเกยวกบความสอดคลองในดานตางๆ
14.2 ขนตอนการปฏบตตามขอก าหนดทางกฎหมาย
ตนแบบเอกสารส าหรบใชภายใน
ง-1
ภาคผนวก ง
เอกสารการรองขอฝายสารสนเทศ
ง-2
ตนแบบเอกสารส าหรบใชภายใน
ง-3
แผนภาพแสดงขนตอนการปฏบตงาน
ค าอธบายขนตอนการปฏบตงาน
1. ผรองขอกรอกรายละเอยดประกอบการขอใชงานในแบบฟอรมการรองขอ
ประกอบดวย
1.1 ขอมลของผรองขอ
ชอและนามสกล
ต าแหนง
ฝาย
เบอรตดตอ
ง-4
รหสทรพยสน
IP Address
1.2 ขอมลสารสนเทศทขอใชงาน
2. หวหนาฝาย/หมวด ของผรองขอ พจารณาอนมตการขอใชงานสารสนเทศ โดยพจารณาจากความจ าเปนของผรองขอ รวมทงลงนามอนมตในแบบฟอรมการรองขอ
3. รองผอ านวยการฝายบรหารงานทวไป พจารณาอนมตการขอใชงานสารสนเทศ โดยพจารณาจากความจ าเปนของผรองขอ รวมทงลงนามอนมตในแบบฟอรมการรองขอ
4. ผดแลระบบ/เจาหนาทสารสนเทศ ด าเนนการตามทผรองขอ ไดรองขอมาและแจงการด าเนนการใหแกผขอใชระบบสารสนเทศทราบถงการปฏบตงาน
5. ผรองขอ ไดรบการด าเนนการทไดรองขอ
จ-1
ภาคผนวก จ
ระเบยบวาดวยการใชงานระบบเครอขายคอมพวเตอรขององคกร
จ-2
ระเบยบวาดวยการใชงานระบบเครอขายคอมพวเตอรขององคกร
ตนแบบเอกสารส าหรบใชภายใน
จ-3
ระเบยบวาดวยการใชงานระบบเครอขายคอมพวเตอรขององคกร (ตอ)
ตนแบบเอกสารส าหรบใชภายใน
จ-4
ระเบยบวาดวยการใชงานระบบเครอขายคอมพวเตอรขององคกร (ตอ)
ตนแบบเอกสารส าหรบใชภายใน
จ-5
ระเบยบวาดวยการใชงานระบบเครอขายคอมพวเตอรขององคกร (ตอ)
ตนแบบเอกสารส าหรบใชภายใน
จ-6
ระเบยบวาดวยการใชงานระบบเครอขายคอมพวเตอรขององคกร (ตอ)
ตนแบบเอกสารส าหรบใชภายใน
จ-7
ระเบยบวาดวยการใชงานระบบเครอขายคอมพวเตอรขององคกร (ตอ)
ตนแบบเอกสารส าหรบใชภายใน