risk management and information technology security in ... ·...

การบรหารความเสยง และสรางความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศ ขององคกรกรณศกษา

ประเภทสถานศกษาระดบพนฐาน Risk Management and Information Technology Security

In Primary School

ปานชนก สขเจรญ Panchanok Sookcharoen

สารนพนธฉบบนเปนสวนหนงของการศกษา ตามหลกสตรวทยาศาสตรมหาบณฑต

สาขาวชาความมนคงทางระบบสารสนเทศ บณฑตวทยาลย มหาวทยาลยเทคโนโลยมหานคร

ปการศกษา 2554

I

หวขอสารนพนธ การบรหารความเสยง และสรางความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศ ขององคกรกรณศกษา ประเภทสถานศกษาระดบพนฐาน

นกศกษา ปานชนก สขเจรญ รหสนกศกษา 5317810018 ปรญญา วทยาศาสตรมหาบณฑต ภาควชา ความมนคงทางระบบสารสนเทศ พ.ศ. 2554 อาจารยผควบคมสารนพนธ ผศ.ดร.ศภกร กงพศดาร

บทคดยอ

โครงงานการบรหารความเสยง และสรางความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศ ขององคกรกรณศกษา ประเภทสถานศกษาระดบพนฐาน จดท าขนโดยมวตถประสงคเพอพฒนาแนวทางการรกษาความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศ ส าหรบองคกรกรณศกษา ซงเปนองคกรประเภทสถานศกษาระดบพนฐาน

รวมถงเพอใหทราบความเสยงในการใชงานเทคโนโลยสารสนเทศ ท าใหสามารถพจารณาจดการความเสยงในจดทเหมาะสม คมคาตอการจดการ สงผลใหลดปญหาทางดานความมนคงปลอดภย ซงหมายถงการลดคาใชจายทอาจเกดจากความเสยหายนน

II

Project Title Risk Management and Information Technology Security in Primary School

Student Panchanok Sookcharoen Student ID 5317810018 Degree Master of Science Program Information System Security Year 2011 Project Advisors Dr. Supakorn Kungpisdan

ABSTRACT

This thesis reports a study of the Risk Management and Information Technology Security in Primary school. The aim of the study is to drawing on the usage and development in information technology security in the primary school level. The analysis was a necessary part of risk management in it usage and how to deal with problem properly and effectively. The risk and management strategy were addressed. The organization can properly consider manage the risk and prepare right in adequate budget. The less security problems the company has, the more economical method to deal with security problems.

III

กตตกรรมประกาศ

ผจดท าขอขอบพระคณทานอาจารย ผศ.ดร.ศภกร กงพศดาร ซงเสยสละเวลาอนมคาเปนอาจารยทปรกษาในสารนพนธน และรวมถงคณาจารยภาควชาความมนคงทางระบบสารสนเทศ ทไดใหค าปรกษาและอบรมสงสอนวชาความรแกผจดท ามาโดยตลอด

และขอขอบพระคณ ผ.ศ.ภสสรา อนทรก าแหง รองผอ านวยการระดบประถมศกษา อาจารยปลนธนา ศภดล ผชวยรองผอ านวยการฝายวชาการและวจย ผ.ศ.ด.ร.ศราวธ จกรเปง ผชวยรองผอ านวยการฝายบรหารและพฒนาบคลากร และอาจารยวฒชย ไพค านาม อาจารยโรงเรยนสาธตมหาวทยาลยขอนแกน คณะศกษาศาสตร ทใหความรวมมอในการใหขอมลมา ณ ทน

ปานชนก สขเจรญ

17 ม.ค. 2555

IV

สารบญ

หนา บทคดยอ ................................................................................................................................ I

ABSTRACT .......................................................................................................................... II

กตตกรรมประกาศ ................................................................................................................ III

สารบญ................................................................................................................................. IV

สารบญตาราง ....................................................................................................................... VI

สารบญรป ........................................................................................................................... VII

บทท 1 .................................................................................................................................. 1

บทน า (Project Overview) .................................................................................................... 1

1.1 บทน า (Introduction) ................................................................................................. 1

1.2 ปญหาและแรงจงใจ (Problems and Motivations) ...................................................... 2

1.3 วตถประสงค (Objectives) ......................................................................................... 2

1.4 ขอบเขตของโครงงาน (Scope of Project) .................................................................. 2

1.5 ประโยชนทคาดวาจะไดรบ (Contributions) ................................................................ 2

1.6 ก าหนดการ (Project Schedule) ................................................................................ 3

บทท 2 .................................................................................................................................. 4

ทฤษฎและพนฐานทเกยวของ (Backgrounds) ........................................................................ 4

2.1 ทฤษฎ และพนฐานทจ าเปน (Necessary Backgrounds) ............................................ 4

2.2 สรปทายบท (Chapter Summary) ............................................................................ 15

บทท 3 ................................................................................................................................ 16

วธการทน าเสนอ (Methodology) ......................................................................................... 16

3.1 วธการทน าเสนอ (Proposed Method) ...................................................................... 16

3.2 รายละเอยดของวธการทน าเสนอ (Details of the Proposed Method) ...................... 17

3.3 ผลทคาดหวง (Expected Results) ........................................................................... 18


บทท 4 ................................................................................................................................ 19

V

การพฒนา (Implementation) .............................................................................................. 19

4.1 บทน า (Chapter Introduction) ................................................................................. 19

4.2 รายละเอยดของการพฒนา (Implementation Details) และ ผลการทดสอบ (Implementation Result) ............................................................................................... 19

4.3 วเคราะห และอภปราย (Analysis and Discussion) .................................................. 37


บทท 5 ................................................................................................................................ 39

สรปผลโครงงาน (Conclusion) ............................................................................................. 39

5.1 ทบทวนการด าเนนโครงงาน (Review of the Project) .............................................. 39


เอกสารอางอง...................................................................................................................... 41

ภาคผนวก ........................................................................................................................... 42

ภาคผนวก ก เอกสารขออนญาตองคกรกรณศกษาในการท าวจย ..................................... 42

ภาคผนวก ข ภยคกคาม และชองโหวทใชในการประเมนความเสยง ................................ 43

ภาคผนวก ค ผลการประเมนความเสยง .......................................................................... 47

ภาคผนวก ง เอกสารระบการปฏบตตามหลกการควบคมทางดานความมนคงปลอดภยของมาตรฐาน ISO/IEC 27001 ............................................................................................. 61

ภาคผนวก จ เอกสารแนวทางปฏบตดานความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ ................................................................................................................... 109

ภาคผนวก ฉ เอกสารขนตอนการปฏบตงานดานความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ ................................................................................................... 131

VI

สารบญตาราง

หนา ตารางท 1.1 ก าหนดการด าเนนการโครงงาน ......................................................................... 3

ตารางท 2.1 เกณฑในการบรหารความเสยงเบองตน ............................................................. 9

ตารางท 2.2 ประเภทของทรพยสนสารสนเทศ ..................................................................... 10

ตารางท 2.3 ความรนแรงของผลกระทบ .............................................................................. 11

ตารางท 4.1. นโยบายความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ .................... 22

ตารางท 4.2. เกณฑในการประเมนความรนแรงของผลกระทบ ............................................. 23

ตารางท 4.3. เกณฑในการประเมนโอกาส ........................................................................... 24

ตารางท 4.4. เกณฑในการประเมนคาความเสยง ................................................................. 24

ตารางท 4.5. ผลการประเมนความเสยง กอนการจดการความเสยง ...................................... 25

ตารางท 4.6. ผลการก าหนดแนวทางจดการความเสยง ........................................................ 29

ตารางท 4.7. ผลการประเมนความเสยง หลงการจดการความเสยง ...................................... 34

VII

สารบญรป

หนา รปท 2.1 C-I-A Triad ............................................................................................................ 4

รปท 2.2 ตารางแสดงมาตรฐาน ISO/IEC 27001-series ......................................................... 5

รปท 2.3 แผนภาพแสดงการบรหารจดการความมนคงปลอดภยของระบบสารสนเทศ ตามรปแบบ PDCA [1] ................................................................................................................. 6

รปท 2.4 แผนภาพการบรหารจดการความเสยง [3] ................................................................ 8

รปท 2.5 แผนภาพการจดการความเสยง [3] ........................................................................ 13

รปท 2.6 องคประกอบของนโยบายทด ................................................................................. 15

รปท 3.1 ขนตอนการปฏบตงานโครงการ ............................................................................. 16

รปท 4.1 แผนภาพแสดงโครงสรางการบรหารจดการในภาพรวม .......................................... 19

รปท 4.2 แผนภาพแสดงโครงสรางการบรหารองคกร ........................................................... 20

รปท 4.3 ระบบสารสนเทศขององคกรกรณศกษา .................................................................. 20

รปท 4.4 แผนภาพแสดงการใชบรการบคคลภายนอก .......................................................... 21

รปท 4.5 สรปผลการประเมนความเสยง กอนการบรรเทาความเสยง ..................................... 38

รปท 4.6 สรปผลการประเมนความเสยง หลงการบรรเทาความเสยง ..................................... 38

1

บทท 1

บทน า (Project Overview)

1.1 บทน า (Introduction) ในปจจบนองคกรตางๆ ไดมการใชงานเทคโนโลยสารสนเทศกนอยางแพรหลาย ซง

สถานศกษากเปนองคกรหนงซงมการน าเอาเทคโนโลยสารสนเทศมาเปนเครองมอในการบรหารจดการ และพฒนาองคกร ตามประกาศกระทรวงศกษาธการ เรอง นโยบายและมาตรฐานการพฒนาเทคโนโลยสารสนเทศและการสอสารเพอการศกษา ไดแสดงใหเหนถงวสยทศ นของรฐบาล ทสนบสนนใหสถานศกษาพฒนาการใชเทคโนโลยสารสนเทศใหเกดประโยชนสงสด

ประเดนหนงทมการระบไว คอ เรองความมนคงปลอดภยซงตามประกาศก าหนดใหมระบบปองกนสอไมพงประสงคทเผยแพรมาในระบบอนเตอรเนต และมระบบบ ารงรกษาความมนคงของโครงสรางพนฐานระบบสารสนเทศแตตามประกาศขางตนกมไดบงคบ หรอระบบทลงโทษในกรณไมปฏบตตาม รวมทงมไดมการตรวจสอบแตอยางใด ดงนนอาจท าใหบางสถานศกษาใชงานเทคโนโลยสารสนเทศ โดยไมค านงถงปญหาทางดานความมนคงปลอดภยทอาจเกดขนได

พนฐานของความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศ คอ การรกษาความลบ (Confidentiality) การรกษาความถกตองครบถวนของขอมล (Integrity) และการใหบรการอยางตอเนอง (Availability) ซงการท าใหเทคโนโลยสารสนเทศมความมนคงปลอดภยดงทระบไว 3 ประการ จ าเปนตองทราบถงความเสยงในการใชงานเทคโนโลยสารสนเทศ เพอใหสามารถพจารณาจดการความเสยงในจดทเหมาะสม และคมคาตอการจดการ การน าผลการประเมนความเสยงทไดไปจดท าแนวทางปฏบตความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศ เพอจดการความเสยงทเกดขน และลดปญหาทางดานความมนคงปลอดภย ซงหมายถงการลดคาใชจายทอาจเกดจากความเสยหายนน

ผศกษาจงไดพจารณาจดท าโครงงานเรองการสรางความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศ ขององคกรกรณศกษา ประเภทสถานศกษาระดบพนฐาน โดยเปนการน าเอามาตรฐานการบรหารจดการความมนคงปลอดภยของระบบสารสนเทศ ISO/IEC 27001 (Information Security Management System (ISMS)) ซงระบถงขอปฏบตทควรด าเนนการเพอใหไดมาซงความมนคงปลอดภย มาประยกตใชในการประเมนความเสยง และจดท าแนวทางปฏบตความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศ ซงจะน าไปสการปฏบตทด และสรางความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศขององคกรกรณศกษาได

2

1.2 ปญหาและแรงจงใจ (Problems and Motivations) การใชงานเทคโนโลยสารสนเทศ โดยไมตระหนกถงความส าคญของความมนคง

ปลอดภย ซงเมอเกดปญหาจะสงผลกระทบ และกอความเสยหายตอองคกร

1.3 วตถประสงค (Objectives) 1.3.1 ประเมนความเสยง ในการใชงานเทคโนโลยสารสนเทศ ขององคกรกรณศกษา 1.3.2 จดท าแนวทางปฏบตดานความมนคงปลอดภย ในการใชงานเทคโนโลย

สารสนเทศขององคกรกรณศกษา ตามผลการประเมนความเสยงทได 1.3.3 พฒนาแนวทางการรกษาความมนคงปลอดภย ในการใชงานเทคโนโลย

สารสนเทศ ส าหรบองคกรประเภทสถานศกษา 1.4 ขอบเขตของโครงงาน (Scope of Project)

1.4.1 ขอบเขตของโครงงาน 1 คอ ก าหนดขอบเขตการดแลความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศ และประเมนความเสยง รวมถงวางแผนจดการความเสยงทจ าเปนตอองคกรกรณศกษา โดยใชมาตรฐาน ISO/IEC 27001 เปนพนฐานการด าเนนการ

1.4.2 ขอบเขตของโครงงาน 2 คอ จดท าแนวทางปฏบตดานความมนคงปลอดภย ตามนโยบายดานความมนคงปลอดภย และผลการประเมนความเสยงทได โดยใชมาตรฐาน ISO/IEC 27001 เปนพนฐานการด าเนนการ รวมทงประเมนความเสยงเมอด าเนนการเสรจสน เพอวดผลการปฏบตงาน 1.5 ประโยชนทคาดวาจะไดรบ (Contributions)

1.5.1 ทราบถงความเสยงดานความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศขององคกรกรณศกษา และท าใหผบรหารองคกรสามารถพจารณาจดการความเสยงในจดทเหมาะสม และคมคาตอการจดการ

1.5.2 ไดแนวทางปฏบตดานความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศขององคกรกรณศกษา

1.5.3 สรางความตระหนกในเรองความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศ ใหกบองคกรกรณศกษา

3

1.6 ก าหนดการ (Project Schedule) ตารางท 1.1 ก าหนดการด าเนนการโครงงาน

ขนตอนด าเนนงาน ป 2554 ป 2555

6 7 8 9 10 11 12 1 2

1. ศกษาความเปนไปไดของโครงการ 2. ศกษาคนควางานวจย มาตรฐาน และทฤษฎทเกยวของ 3. ศกษาองคกรและระบบสารสนเทศในองคกรกรณศกษา 4. ก าหนดขอบเขตการดแลความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศและเกณฑในการบรหารความเสยง 5. ประเมนความเสยง ในการใชงานเทคโนโลยสารสนเทศขององคกรกรณศกษา 6. ก าหนดแนวทางจดการความเสยง ตามผลการประเมนความเสยง 7. จดท าแนวทางปฏบตดานความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศตามแนวทางจดการความเสยง 8. ประเมนความเสยง ในการใชงานเทคโนโลยสารสนเทศขององคกรกรณศกษาหลงจากการจดการความเสยง 9. สรปผลการด าเนนงานโครงงาน

4

บทท 2 ทฤษฎและพนฐานทเกยวของ (Backgrounds)

2.1 ทฤษฎ และพนฐานทจ าเปน (Necessary Backgrounds)

2.1.1 ทฤษฏทางดานความมนคงปลอดภยของระบบสารสนเทศ (Information Security) ตามพระราชกฤษฎกาวาดวยวธการแบบปลอดภยในการท าธรกรรมทางอเลกทรอนกส

พ.ศ.2553 นยามไววา “ความมนคงปลอดภยของระบบสารสนเทศ” (information security) หมายความวา การปองกนทรพยสนสารสนเทศจากการเขาถงใชเปดเผยขดขวางเปลยนแปลงแกไขท าใหสญหาย ท าใหเสยหายถกท าลายหรอลวงรโดยมชอบ

ประกอบไปดวย 1) “การรกษาความลบ” (confidentiality) หมายความวา การรกษาหรอสงวนไว

เพอปองกนระบบเครอขายคอมพวเตอร ระบบคอมพวเตอร ระบบงานคอมพวเตอร ระบบสารสนเทศ ขอมลสารสนเทศ ขอมลอเลกทรอนกส หรอขอมลคอมพวเตอรจากการเขาถงใช หรอเปดเผยโดยบคคลซงไมไดรบอนญาต

2) “การรกษาความครบถวน” (integrity) หมายความวา การด าเนนการเพอใหขอมลสารสนเทศ ขอมลอเลกทรอนกส หรอขอมลคอมพวเตอร อยในสภาพสมบรณขณะทมการใชงานประมวลผล โอนหรอเกบรกษาเพอมใหมการเปลยนแปลงแกไขท าใหสญหายท าใหเสยหาย หรอถกท าลายโดยไมไดรบอนญาตหรอโดยมชอบ

3) “การรกษาสภาพพรอมใชงาน” (availability) หมายความวา การจดท าใหทรพยสนสารสนเทศสามารถท างานเขาถง หรอใชงานไดในเวลาทตองการ

หรอโดยทวไปเรยกกนวา C-I-A Triad ซงมความสมพนธดงรป

รปท 2.1 C-I-A Triad

I

C A

5

2.1.2 มาตรฐาน ISO/IEC 27001-series มาตรฐาน ISO/IEC 27001-series หรออกชอหนง ISMS Family of Standards คอ

มาตรฐานการบรหารจดการความมนคงปลอดภยของระบบสารสนเทศ (Information Security Management System (ISMS)) จดท าขนดวยความรวมมอขององคการระหวางประเทศวาดวยการมาตรฐาน (the International Organization for Standardization (ISO)) และคณะกรรมาธการระหวางประเทศวาดวยมาตรฐานสาขาอเลกทรอเทคนกส (the International Electrotechnical Commission (IEC)) ซงประกอบไปดวยมาตรฐานตางๆ ดงตาราง

รปท 2.2 ตารางแสดงมาตรฐาน ISO/IEC 27001-series

โดยกระบวนการ ISMS มการปฏบตงานในรปแบบ วางแผน – ปฏบต– ตรวจสอบ –

ปรบปรงแกไข (Plan – Do – Check – Act (PDCA)) ดงน 1) การวางแผน (Plan) คอ การวางแผนด าเนนการตามกระบวนการ ISMS

ขนตอนแรกองคกรตองระบขอบเขต และนโยบายในการสรางความมนคงปลอดภยขององคกร และท าการประเมนความเสยงตามขอบเขต และนโยบายทไดระบไว เพอใหสามารถระบความเสยงทมอย และพจารณาแนวทางในการจดการความเสยงนน รวมทงระบความเสยงทหลงเหลอ ใหอยในระดบทองคกรยอมรบได

ISO/IEC

27001-series

27000 Fundamentals &

Vocabulary

27002 Code of Practice for ISMS (ISO/IEC 17799:2005)

27004 Metrics & Measurement

27006 Guidelines on ISMS

accreditation of certification/

registration bodies

27005 Risk Management

27003 Implementation

Guidance

27001 ISMS requirement

6

2) การปฏบต (Do) คอ การด าเนนการจดการกบความเสยงตามแนวทางจดการความเสยงทไดจากขนตอนแรก ระบวธการพจารณาประสทธภาพของแนวทางจดการความเสยง และสรางความตระหนกในการปฏบตตามแนวทางจดการความเสยง เพอใหแนวทางจดการความเสยงด าเนนไปอยางมประสทธภาพ

3) การตรวจสอบ (Check) คอ การเฝาระวงแนวทางจดการความเสยงทไดด าเนนการไป และทบทวนประสทธภาพของแนวทางจดการความเสยงตามแนวทางทไดระบไว รวมถงด าเนนการประเมนความเสยงซ า และตรวจสอบกระบวนการตามระยะเวลาทเหมาะสม โดยใหสอดคลองกบการเปลยนแปลงทส าคญของสารสนเทศ หรอการเปลยนแปลงขององคกร

4) การปรบปรงแกไข (Act) คอ การพฒนากระบวนการ ISMS ตามผลประเมนความเสยง และการตรวจสอบทได

ซงมความสมพนธดงรป

Interested Parties

Information Security

Requirements and

Expectations

EstablishISMS

Monitor and review the

ISMS

Implement and operate

the ISMS

Maintain and improve

the ISMS

Plan

Do

Check

Act

Interested Parties

Managed Information

Security

รปท 2.3 แผนภาพแสดงการบรหารจดการความมนคงปลอดภยของระบบสารสนเทศ ตามรปแบบ PDCA [1]

หลกการควบคมทางดานความมนคงปลอดภยของมาตรฐาน ISO/IEC 27001 มทงหมด

133 ขอ แบงเปน 11 หวขอหลกดงน 1) นโยบายความมนคงปลอดภย (Security policy) 2) โครงสรางทางดานความมนคงปลอดภยส าหรบองคกร (Organization of

information security) 3) การบรหารจดการทรพยสนขององคกร (Asset management) 4) ความมนคงปลอดภยทเกยวของกบบคลากร (Human resources security)

7

5) การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม (Physical and environmental security)

6) การบรหารจดการดานการสอสารและการด าเนนงานของเครอขายสารสนเทศขององคกร (Communications and operations management)

7) การควบคมการเขาถง (Access control) 8) การจดหา การพฒนา และการบ ารงรกษาระบบสารสนเทศ ( Information

systems acquisition, development and maintenance) 9) การบรหารจดการเหตการณทเกยวของกบความมนคงปลอดภยขององคกร

(Information security incident management) 10) การบรหารความตอเน องในการด าเนนงานขององคก ร (Business

continuity management) 11) การปฏบตตามขอก าหนด (Compliance)

ในประเทศไทยคณะกรรมการธรกรรมทางอเลกทรอนกส ทก าหนดขนตามกฎหมายวาดวยธรกรรมทางอเลกทรอนกสมอ านาจหนาทในการสงเสรมและพฒนาการท าธรกรรมทางอเลกทรอนกส ไดมการพฒนามาตรฐานเปนภาษาไทย โดย ISO/IEC 27001 พฒนาเปน “มาตรฐานการรกษาความมนคงปลอดภย ในการประกอบธรกรรมทางอเลกทรอนกส (เวอรชน 2.5)” และ ISO/IEC 27002 พฒนาเปน“รางแนวทางปฏบตส าหรบการรกษาความมนคงปลอดภยสารสนเทศ” เพอเผยแพรใหมการน าไปใชกนอยางแพรหลาย

ทางดานกฎหมายไดมการน ามาตรฐานมาประยกตใชโดยออก พรฎ.(พระราชกฤษฎกา)วาดวยวธการแบบปลอดภยในการท าธรกรรมทางอเลกทรอนกส พ .ศ.2553 ประกาศวนท 3กนยายน 2553 มผลบงคบใชวนท 1 มนาคม 2554 ซงมการอางถงหลกการควบคมทางดานความมนคงปลอดภยทง 11 หวขอหลก โดยบงคบใชกบโครงสรางพนฐานทส าคญของประเทศ (Critical Infrastructure) ซงเปนการสรางความมนคงปลอดภยโดยรวมใหกบการใชงานระบบสารสนเทศของประเทศไทย

2.1.3 การบรหารจดการความเสยง (Risk Management) ความเสยง (Risk) คอ เหตการณหรอปญหาใดๆ ทเกดขนแลวมผลกระทบในทางลบ

หรอสรางความเสยหายได โดยการวดจากความรนแรงของผลกระทบทเกดจากปญหา (Impact) และโอกาสทจะเกดปญหา (Likelihood)

ความเสยงทางดานความมนคงปลอดภยของสารสนเทศ (Information security risk) คอ การทภยคกคาม (Threat) สามารถใชชองโหว (Vulnerability) ทมสรางปญหาทางดานความมนคงปลอดภย หรอสรางความเสยหายแกทรพยสนขององคกรได

การบรหารจดการความเสยง (Risk Management) คอ กระบวนการทใชในการควบคมการด าเนนงานหรอการจดการความเสยงใหอยในระดบทองคกรยอมรบได (Acceptable Level)

8

การบรหารจดการความเสยง ประกอบดวย 4 กระบวนการหลก คอ การระบเกณฑในการบรหารความเสยง (Context Establishment) การประเมนความเสยง (Risk assessment) การจดการความเสยง (Risk treatment) และการยอมรบความเสยง (Risk acceptance) โดยมความสมพนธกนดงภาพ ซงการประเมนความเสยงจะท าใหองคกรสามารถวางแผนจดการความเสยงทจ าเปน และคมคาตอการจดการ ดงรป

Context Establishment

Risk Identification

Risk Estimation

Risk Evaluation

Risk Treatment

Ris

k C

om

mu

nic

ati

on

Ris

k M

on

ito

rin

g a

nd

Re

vie

w

Risk Acceptance

Risk Assessment

Risk Analysis

Yes

Yes

No

No

รปท 2.4 แผนภาพการบรหารจดการความเสยง [3]

2.1.3.1 การระบเกณฑในการบรหารความเสยง (Context Establishment) การระบเกณฑในการบรหารความเสยงประกอบไปดวย การระบเกณฑในการบรหาร

ความเสยง และการระบขอบเขตการบรหารความเสยง 1) เกณฑในการบรหารความเสยงเบองตน (Basic Criteria) การระบ

เกณฑในการบรหารความเสยง เปนการระบปจจยทตองใชในการบรหารความเสยงซงมสวนส าคญในการประเมนระดบความเสยงและพจารณาล าดบการจดการความเสยงและมขอมลทควรน ามาพจารณาในการก าหนดแตละเกณฑดงน

9

ตารางท 2.1 เกณฑในการบรหารความเสยงเบองตน เกณฑการจดล าดบความเสยง (Risk Evaluation Criteria) • มลคาของกระบวนการทางธรกจ • ความส าคญของทรพยสน หรอขอมลขององคกร • กฎหมาย หรอขอก าหนดทเกยวของกบธรกจขององคกร • ความส าคญของการรกษาความลบ ความครบถวน และสภาพพรอมใชงาน • ความคาดหวงของผบรหาร และผลกระทบทางดานชอเสยง เกณฑการประเมนความรนแรงของผลกระทบทเกดจากปญหา (Impact Criteria) • ความส าคญของขอมลทไดรบผลกระทบจากปญหา • การสญเสยความมนคงปลอดภย การรกษาความลบ ความครบถวน และสภาพพรอมใช

งาน • การสญเสยขดขวางแผนการด าเนนงานทางธรกจ • ความเสยหายทางดานชอเสยง • ความเสยหายทละเมดกฎหมาย หรอขอก าหนดทเกยวของกบธรกจขององคกร เกณฑการยอมรบความเสยง (Risk Acceptance Criteria) • ขอก าหนดทางธรกจ และการสญเสยผลประโยชนทองคกรสามารถยอมรบได • กฎหมาย หรอขอก าหนดทเกยวของกบธรกจขององคกร • เทคโนโลยทองคกรใชงาน และกระบวนการปฏบตงานขององคกร • การเงน หรองบประมาณในการจดการความเสยง • ปจจยทางสงคม หรอวฒนธรรมองคกร

2) ขอบเขตการบรหารความเสยง (The scope and boundaries) การ

ระบขอบเขตของการบรหารความเสยง และทรพยสนทน ามาประเมนความเสยง เพอใหสามารถบรหารความเสยง และควบคมปญหาทอาจเกดขนตามความตองการขององคกรไดครบถวน โดยควรพจารณาจากขอมลพนฐานขององคกรดงน

- นโยบายขององคกร และกระบวนการทางธรกจ - โครงสรางขององคกร - กฎหมาย หรอขอก าหนดทเกยวของกบธรกจขององคกร - นโยบายการรกษาความปลอดภยขององคกรทมอย - แนวทางการบรหารความเสยงขององคกรทมอย - ทรพยสนประเภทขอมล - สถานทต งขององคกร และลกษณะทางภมศาสตร

10

- ความคดเหนของผบรหารองคกร - สงคม และวฒนธรรมขององคกร

2.1.3.2 การประเมนความเสยง (Risk Assessment) การประเมนความเสยง (Risk Assessment) เปนการระบความเสยงและการประเมน

ระดบของความเสยง (Risk Level) เพอน าไปพจารณาการจดการความเสยง โดยมรายละเอยดดงน

1) การระบความเสยง (Risk Identification) ระบความเสยงสามารถท าไดหลายวธ เชน การระดมสมอง, การจดประชมเชงปฏบตการ, การสมภาษณ, การพจารณาปญหาทเคยเกดขน, การตรวจสอบ และ การเปรยบเทยบกบมาตรฐาน หรอวธปฏบตทด

โดยสงทน ามาพจารณาความเสยง คอ ทรพยสน, ภยคกคาม, การควบคมความเสยงทม ในปจจบน, ชองโหว และความรนแรงของภยคกคามทเกดขน ซงมรายละเอยดดงน

- การระบทรพยสน (Identification of assets) ทรพยสน (Assets) เปนไดทงทรพยสนทจบตองได (Tangible) และจบตองไมได (Intangible) เชน ขอมล และซอฟตแวรโดยการระบทรพยสนตองระบเฉพาะทอยในขอบเขตทองคกรก าหนด รวมถงระบผรบผดชอบทรพยสนนน (Owner) ตาม ISO/IEC 27002 แบงทรพยสนออกเปน 6 ประเภทดงน ตารางท 2.2 ประเภทของทรพยสนสารสนเทศ ทรพยสนสารสนเทศ(Information Assets) • ขอมล (Information) เชน ขอมลสญญา, ขอมลทางการเงน และขอมลการปฏบตงานในองคกร • ซอฟตแวร (Software assets) เชน ระบบบญช, ระบบจดการขอมล และ ระบบสนบสนนการด าเนนธรกจขององคกร

• ฮารดแวร หรออปกรณ (Physical assets) เชน เครองคอมพวเตอร, เครองแมขายและอปกรณเครอขาย

• บรการ (Services) เชน บรการทางเครอขาย และอปกรณสนบสนน (Utilities) เชน ระบบไฟฟา และระบบปรบอากาศ

• บคคล (People) เชน ผดแลระบบคอมพวเตอร, ผบรหาร และผใชงานระบบ • ทรพยสนทไมสามารถจบตองไดอนๆ (intangibles) เชน ชอเสยง และภาพลกษณขององคกร

- การระบภยคกคาม (Identification of threats) ภยคกคาม

(Threats) คอ สงทสามารถใชชองโหวทมสรางปญหาทางดานความมนคงปลอดภย หรอสรางความเสยหายแกทรพยสนขององคกรได โดยการระบภยคกคามควรพจารณาจากปญหาทางดานความมนคงปลอดภยหรอภยคกคามทเคยเกดขนในอดต

ตวอยางของภยคกคาม เชน น าทวม, ความลมเหลวของระบบเครอขาย, อปกรณเสยหาย, การท าลายขอมล, การปกปดตวตนผใช และการหยดชะงกของการใหบรการ

11

- การควบคมความเสยงทมในปจจบน (Identification existing controls) คอ การระบการควบคมความเสยงทม และแผนการทมอยแลว ท าใหองคกรไมตองสญเสยแรงงาน และคาใชจายไปกบความเสยงทมการจดการอยแลว

นอกจากนนยงควรพจารณาวาการควบคมความเสยงในปจจบน วาสามารถปองกนปญหาทางดานความมนคงปลอดภย หรอลดผลกระทบจากความเสยหายไดหรอไม ถาไมควรจะพจารณาแนวทางควบคมความเสยงใหม

- ระบชองโหว (Identification of vulnerabilities) ชองโหว (Vulnerability) คอ สงทมอยในทรพยสน แลวภยคกคามสามารถสรางปญหาทางดานความมนคงปลอดภย หรอสรางความความเสยหายแกทรพยสนขององคกรได

ตวอยางของชองโหว เชน การบ ารงรกษาไมเพยงพอ, ไมมการปองกนอปกรณ, ขาดการจดเกบบนทกการใชงานระบบ และการใชงานซอฟตแวร และฮารดแวรไมถกตอง

- ระบความรนแรงของผลกระทบ (Identification of consequences) การระบความรนแรงของผลกระทบทเกดจากปญหาทางดานความมนคงปลอดภยทเกดขน ควรระบวาสงผลกระทบกบความมนคงปลอดภยดานใด การรกษาความลบ, การรกษาความครบถวน หรอการรกษาสภาพพรอมใชงาน ซงผลกระทบอาจเปนไดหลายดาน โดยมประเดนผลกระทบทควรพจารณาดงน ตารางท 2.3 ความรนแรงของผลกระทบ ปจจยระบความรนแรงของผลกระทบ (Consequence of Impact) • เวลาทใชในการแกไขปญหา และซอมแซม (Investigation and repair time)

• เวลาท างานทสญเสยไป (Work time lost)

• ความปลอดภยของบคลากร (Health and Safety)

• สญเสยโอกาสทางการคา (Opportunity lost)

• สญเสยคาแรงในการซอมแซมความเสยหาย (Financial cost of specific skills to repair the

damage)

• สญเสยชอเสยง และภาพลกษณ (Image reputation and goodwill)

2) การประเมนระดบความเสยง (Risk Estimation) คอ การประเมน

ระดบความเสยงจากขอมลทไดในขนตอนการระบความเสยง สามารถท าไดใน 2 วธดงน การประเมนเชงคณภาพ ใชการประเมนตามความคดเหนของบคคลทเปนผประเมน

ประกอบกบขอมลทเกยวของ ซงการทจะไดขอมลทมความนาเชอถอนน ตองประเมนดวยบคลากรทมความร มประสบการณ และมขอมลสนบสนนทถกตอง

12

การประเมนเชงปรมาณ ใชการประเมนในเชงตวเลขทงการประเมนผลกระทบ และโอกาสทจะเกดปญหา โดยใชขอมลสนบสนนเชงตวเลขตางๆ เชน จ านวนครง หรอผลกระทบของการเกดปญหาในอดตในเชงตวเลข

โดยการประเมนสามารถเลอกใชวธใดวธหนงหรอใชทง 2 วธควบคกน โดยนยมใชการประเมนดวยเชงคณภาพ และเมอไดผลแลวจงน าความเสยงทส าคญมาประเมนดวยเชงปรมาณ เนองจากการประเมนเชงปรมาณมความซบซอน และคาใชจายสงแตใหขอมลทมความแมนย ามากกวา

ซงการประเมนระดบความเสยงมรายละเอยดการประเมนเรองตางๆดงน - การประเมนผลกระทบ (Assessment of consequences)

การประเมนความรนแรงของผลกระทบ หรอความเสยหายทเกดขนตอธรกจขององคกร ท าไดโดยการประเมนการสญเสยความมนคงปลอดภยดานตางๆ คอ การรกษาความลบ, การรกษาความครบถวน หรอการรกษาสภาพพรอมใชงาน และประเมนจากมลคาของทรพยสน ซงการประเมนมลคาของทรพยสนควรค านงถง มลคาทรพยสนทจะมาทดแทน และมลคาความเสยหายทางการธรกจโดยผลกระทบทเกดขน

- การประเมนโอกาส (Assessment of incident likelihood)การประเมนโอกาสทจะเกดปญหา ประเมนไดจากจ านวนปญหาทเกดขนในอดต และโอกาสทปญหาจะเกดจากชองโหวทม รวมถงการพจารณาการควบคมความเสยงทมในปจจบน เนองจากการควบคมความเสยงทมจะสามารถลดโอกาสของการเกดปญหาได

- การประเมนระดบความเสยง (Level of risk estimation) การประเมนระดบความเสยงไดจากความสมพนธระหวาง ความรนแรงของผลกระทบทเกดจากปญหา และโอกาสทจะเกดปญหา (Risk = Impact and Likelihood)

3) การจดล าดบความเสยง หรอการพจารณาความเสยงทตองไดรบการแกไข (Risk Evaluation) ท าไดโดยการเปรยบเทยบระดบความเสยงทไดกบ เกณฑการประเมนระดบความเสยง และเกณฑการยอมรบความเสยงขององคกร เพอใชในการพจารณาจดล าดบการจดการความเสยงในแตละขอ เพอใหมการล าดบการจดการความเสยงทเหมาะสม และคมคาตอการจดการ

ทงนการจดล าดบความเสยงควรพจารณาถงความนาเชอถอของขอมลความเสยงทได 2.1.3.3 การจดการความเสยง (Risk Treatment)

การจดการความเสยง (Risk Treatment) เปนน าผลการประเมนความเสยง และการประเมนระดบความเสยงมาพจารณาแนวทางการจดการความเสยง ตามความเหมาะสม และความคมคาของการจดการความเสยงในแตละวธ รวมถงการพจารณาความเสยงทคงเหลอจากจดการความเสยง โดยมกระบวนการดงรป

13

Risk Assessment Results

Satisfactory Assessment

Risk Treatment Options

Risk Reduction

Risk Transfer

Risk Retention

Risk Avoidance

Residual Risks

Satisfactory Threatment

Risk Treatment

รปท 2.5 แผนภาพการจดการความเสยง [3]

ทงนการพจารณาแนวทางการจดการความเสยงควรค านงถงงบประมาณทตองใชในการจดการความเสยงแตละวธดวย ซงมวธการจดการความเสยงดงน

1) การลดความเสยง (Risk reduction) คอ วธการจดการความเสยงทสามารถลดความเสยงจากระดบทไดจากการประเมนความเสยงลง โดยอาจลดความเสยงใหอยในระดบความเสยงทองคกรสามารถยอมรบได ซงวธการลดความเสยงมหลายวธ เชน การปองกนภยคกคาม, การขดขวางภยคกคาม, การเฝาระวงภยคกคาม, การลดผลกระทบทเกดขนจากปญหา, การกคนทรพยสนจากความเสยหาย รวมไปถงการสรางความตระหนกดานความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศใหกบบคลากร

14

2) การถายโอนความเสยง (Risk transfer) คอ วธการจดการความเสยงโดยการถายโอนความเสยงไปใหองคกรภายนอก เชน การท าประกนภย

3) การหลกเลยงความเสยง (Risk avoidance) คอ วธการจดการความเสยงโดยการหลกเลยง หรอท าใหไมมความเสยงเลย วธการนใชในกรณทวธการจดการความเสยงอนๆ มคาใชจายมากเกนไป จนท าใหไมคมคาทจะจดการ เชน การทอปกรณมความเสยงตอมหนตภยทางธรรมชาตเนองจากทตงอยในบรเวณเสยง วธการหลกเลยงความเสยง คอ การยายทต งของอปกรณ

4) การคงความเสยง (Risk retention) คอ วธการจดการความเสยงโดยการไมท าอะไรกบความเสยงนน หรออกนยนง คอ การไมเลอกทจะปฏบตตามวธการจดการความเสยงทกลาวมาขางตนทงหมด วธการนจะใชเมอความเสยงอยในระดบทองคกรยอมรบได

วธการจดการความเสยงบางวธอาจสามารถจดการความเสยงหลายขอ เชน การสรางความตระหนกในการรกษาความมนคงปลอดภยใหพนกงาน และการจดท าแผนจดการความเสยงควรมการล าดบการด าเนนการจดการความเสยงตามระดบความเสยงจากผลการประเมนความเสยง และประสทธภาพของวธการจดการความเสยงแตละวธ ซงอาจรวมไปถงการพจารณาเรองคาใชจายในการปฏบตตามวธการจดการความเสยงดวย เชน คาใชจายในการจดซออปกรณ, การพฒนาระบบสารสนเทศ, การดแลรกษา, การเฝาระวง หรอการซอมบ ารงซงคาใชจายทกลาวมา ควรน ามาเปรยบเทยบกบมลคาของทรพยสน และความเสยหายทอาจเกดขน วาคมคาตอการด าเนนการหรอไม

การวางแผนจดการความเสยงทดยงควรพจารณาประสทธภาพของวธการจดการความเสยงทมอย เชน วธการจดการความเสยงทมคาใชจายสงเกนความจ าเปน เพอทบทวนถงความคมคาของวธการจดการความเสยง และพจารณาเปลยนวธการจดการความเสยงเปนวธทค มคากวา

2.1.3.4 การยอมรบความเสยง (Risk acceptance) การยอมรบความเสยงท าหลงจากการจดการความเสยงเสรจสน และมความเสยงกลม

หนงทไมไดรบการจดการเรยกวา ความเสยงทหลงเหลอ (Residual Risk) จะตองน ามาระบเหตผลทความเสยงไมไดรบการจดการ และรายงานผบรหารองคกร ใหพจารณาอ นมตการยอมรบความเสยง ตามเกณฑการยอมรบความเสยงทไดระบไว

2.1.4 นโยบายดานความมนคงปลอดภยทางสารสนเทศ การสรางนโยบายดานความมนคงปลอดภยทางสารสนเทศ และการทจะท าใหนโยบาย

นน มการปฏบตตามและบรรลผลตามเปาหมายทมการระบไว จ าเปนตองมผบรหารทเลงเหนความส าคญ และมบคลากรทมความเชยวชาญในการจดการเรองนโยบาย ซงแนวทางในการจดท านโยบายทเปนทยอมรบโดยทวไประบไววา นโยบายดานความมนคงปลอดภยทางสารสนเทศทด ควรมองคประกอบดงตอไปนเพอใหการปฏบตตามนโยบายไดผลครบถวนดงรป

15

รปท 2.6 องคประกอบของนโยบายทด

1) นโยบาย (Policy) ระบสงทตองท าในมมกวาง และเหตผล หรอเปาหมายทตองการ ซงนโยบายตองมการลงนามเปนลายลกษณอกษรจากผบรหารระดบสง

2) มาตรฐาน (Standard) ระบกฎเกณฑ และสงทตองปฏบตใหเหมอนกน ซงรวมถงการตงคาตางๆ ในระบบสารสนเทศ

3) วธการ (Procedure) ระบขนตอนปฏบตงาน เปนล าดบ สามารถระบไดวาขนตอนกอนหนาและขนตอนหลงเปนอยางไร ท าโดยใคร

4) แนวปฏบตทด (Guideline) ระบค าแนะน า หรอแนวทางปฏบตงาน ขอ 2-4 จะเปนการสนบสนนนโยบายใหมการปฏบตตาม ซงองคกรสวนมากมกไมเหน

ความส าคญ ในการจะท าใหนโยบายด ารงอย และมประสทธภาพ องคกรตองมการทบทวน เพอเปลยนแปลง หรอสรางนโยบายใหมๆ ใหทนตามเทคโนโลยทเปลยนไป และเหตการณทางโลกตางๆ เชน การออกกฎหมาย หรอขอบงคบจากหนวยงานของรฐ หรอหนวยงานก ากบทเกยวของกบองคกร รวมไปถงภยคกคามทางดานเทคโนโลยสารสนเทศใหมๆ

ทงนการสราง นโยบายดานความมนคงปลอดภยทางสารสนเทศควรมการทบทวนอยางนอยปละ 1 ครง ในการทบทวนแตละครงควรมแหลงขอมลประกอบการปรบปรงเนอหา เชน เหตการณขอผดพลาดทางสารสนเทศ (Incident) ทเกดขน และสาเหตหลกหลงจากการทดสอบความมนคงปลอดภยระบบสารสนเทศ รวมถงการเปลยนแปลงกฎหมาย หรอขอก าหนดทเกยวของกบธรกจขององคกร เพอปรบปรงใหนโยบายมความเปนปจจบน

2.2 สรปทายบท (Chapter Summary)

ทฤษฎและมาตรฐานขางตน เปนพนฐานในการออกแบบแนวทางการประเมนความเสยง และแนวทางการพฒนานโยบายการรกษาความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศ ขององคกรกรณศกษาตอไป

นโยบาย (Policy)

มาตรฐาน (Standard)

วธการ (Procedure)

แนวปฏบตทด (Guideline)

16

บทท 3 วธการทน าเสนอ (Methodology)

3.1 วธการทน าเสนอ (Proposed Method)

ผศกษาไดพจารณาน าเอามาตรฐาน ISO/IEC 27001 (Information security management systems) ซงระบถงขอปฏบตทควรด าเนนการเพอใหไดมาซงความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ มาประยกตใชในการประเมนความเสยง และจดท าแนวทางปฏบตดานความมนคงปลอดภย กบองคกรกรณศกษา โดยมขนตอนการด าเนนงานดงน

รปท 3.1 ขนตอนการปฏบตงานโครงการ

17

3.2 รายละเอยดของวธการทน าเสนอ (Details of the Proposed Method) รายละเอยดของขนตอนการด าเนนงานแตละขนตอน ดงน 3.2.1 ศกษาคนควางานวจย มาตรฐาน และทฤษฎทเกยวของ การศกษาคนควางานวจย มาตรฐาน และทฤษฎทเกยวของ เพอก าหนดแนวทางการ

ด าเนนโครงการตามทฤษฎ และมาตรฐานเรองการประเมนความเสยง และเรองความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ ทนยมใชในปจจบน รวมทงศกษาขอด ขอเสยจากงานวจยอนๆ ในลกษณะทคลายคลงกน

3.2.2 ศกษาองคกรและระบบสารสนเทศในองคกรกรณศกษา การศกษาองคกรและระบบสารสนเทศในองคกรกรณศกษา โดยศกษาจากขอมลพนฐาน

ขององคกร และความคดเหนของผบรหารองคกร ดวยวธการสมภาษณ และตอบแบบสอบถาม เพอใหผศกษาทราบถงความตองการ ความมนคงปลอดภยในการใชงานสารสนเทศ และใชเปนขอมลในการก าหนดขอบเขตการดแลดานความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ และเกณฑในการบรหารความเสยง

3.2.3 ก าหนดขอบเขตการดแลดานความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ และเกณฑในการบรหารความเสยง

การก าหนดขอบเขตการดแลดานความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ และเกณฑในการบรหารความเสยง โดยก าหนดตามความตองการ ความมนคงปลอดภยในการใชงานสารสนเทศ ทไดจากการศกษาองคกรและระบบสารสนเทศในองคกรกรณศกษา เพอใหองคกรสามารถจ ากดขอบเขตทส าคญ ในการดแลดานความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ และก าหนดเกณฑในการบรหารความเสยงทจ าเปน

3.2.4 ประเมนความเสยงในการใชงานเทคโนโลยสารสนเทศ การประเมนความเสยง โดยการระบความเสยง ประเมนระดบความเสยง และจดล าดบ

ความเสยงตามเกณฑในการบรหารความเสยง เพอใหองคกรสามารถทราบถงความเสยง รวมถงวางแผนจดการความเสยงทจ าเปน และคมคาตอการจดการได ซงผศกษาไดเลอกใชวธการระบความเสยง โดยการ การเปรยบเทยบกบมาตรฐาน หรอวธปฏบตทด การสมภาษณ และการพจารณาปญหาทเคยเกดขน

3.2.5 ก าหนดแนวทางจดการความเสยง ตามผลการประเมนความเสยง การก าหนดแนวทางจดการความเสยง โดยพจารณาตามหลกการควบคมทางดานความ

มนคงปลอดภยของมาตรฐาน ISO/IEC 27001 และวธการจดการความเสยงดงน

18

1) การลดความเสยง 2) การถายโอนความเสยง 3) การหลกเลยงความเสยง 4) การคงความเสยง

เพอพจารณาแนวทางการจดการความเสยง ตามความเหมาะสม และความคมคาของการจดการความเสยง

3.2.6 จดท าแนวทางปฏบตดานความมนคงปลอดภย ในการใชงานเทคโนโลย

สารสนเทศตามแนวทางจดการความเสยง การจดท าแนวทางปฏบตดานความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศ

ตามแนวทางจดการความเสยงทก าหนดไว โดยการระบการปฏบตงานทองคกรตองท า ตามแนวทางการจดการความเสยงและหลกการควบคมทางดานความมนคงปลอดภยของมาตรฐาน ISO/IEC 27001 ซงผศกษาจะจดท าในรปแบบวธการ (Procedure) ผสมผสานกบแนวปฏบตทด (Guideline) เพอใหมวธการปฏบตทเขากบการด าเนนงานขององคกรกรณศกษา และงายตอการน าไปปฏบตจรง

3.2.7 ประเมนความเสยง ในการใชงานเทคโนโลยสารสนเทศขององคกรกรณศกษาหลงจากการจดการความเสยง

การประเมนความเสยง ในการใชงานเทคโนโลยสารสนเทศขององคกรกรณศกษาหลงจากการจดการความเสยง กระท าเพอประเมนประสทธภาพของการปฏบตงานทงหมดวาหลงจากการจดการความเสยง และการจดท าแนวทางปฏบตดานความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศ ท าใหความเสยงขององคกรกรณศกษาลดลงจรงหรอไม 3.3 ผลทคาดหวง (Expected Results)

การประเมนความเสยง ในการใชงานเทคโนโลยสารสนเทศขององคกรกรณศกษาหลงจากการจดการความเสยง ตองมคาความเสยงรวมนอยกวาการประเมนความเสยงครงแรก 3.4 สรปทายบท (Chapter Summary)

วธการปฏบตงานขางตน เปนแผนการด าเนนการโครงงาน ซงไดน าเสนอผลภาคปฏบตงานในบทตอไป

19

บทท 4 การพฒนา (Implementation)

4.1 บทน า (Chapter Introduction)

ในบทท 4 นไดน าเสนอผลจากการด าเนนการโครงงานตามแผนการด าเนนการโครงงาน และขนตอนปฏบตทไดวางไว 4.2 รายละเอยดของการพฒนา (Implementation Details) และ ผลการทดสอบ (Implementation Result)

4.2.1 ศกษาคนควางานวจย มาตรฐาน และทฤษฎทเกยวของ การศกษาคนควางานวจย มาตรฐาน และทฤษฎทเกยวของ รายละเอยดตามเนอหาบทท

2 และการศกษางานวจยอนๆ เพอเปนขอมลประกอบการศกษาคนควา รายละเอยดตามเอกสารอางอง

4.2.2 ศกษาองคกรและระบบสารสนเทศในองคกรกรณศกษา จากการศกษาองคกร องคกรกรณศกษาเปนองคกรประเภทสถานศกษาระดบพนฐาน

หรอโรงเรยนระดบประถมศกษา เปนหนวยงานยอยของหนวยงานคณะ และเปนหนวยงานยอยของมหาวทยาลยอกชนหนง มโครงสรางการบรหารจดการในภาพรวมของโรงเรยนแสดงไดดงรปท 4.1

รปท 4.1 แผนภาพแสดงโครงสรางการบรหารจดการในภาพรวม

มการบรหารจดการในระดบกลมสาระการเรยนร และระดบกลมผบรหารองคกร โดยฝายงานทมหนาทความรบผดชอบดานการใชงานเทคโนโลยสารสนเทศเปนเครองมอในการบรหารจดการ และพฒนาองคกรคอฝายบรหารและพฒนาบคลากร และฝายวชาการและวจย แสดงโครงสรางการบรหารองคกรไดดงรปท 4.2

คณะ

โรงเรยน

มหาวทยาลย

20

รปท 4.2 แผนภาพแสดงโครงสรางการบรหารองคกร

จากการศกษาระบบสารสนเทศขององคกรกรณศกษา พบวามระบบสารสนเทศในการใชงานแบงไดเปน 2 กลม กลมท 1 คอ ระบบสารสนเทศทไมอยในความดแลขององคกรกรณศกษา แตมการใชงานในองคกร เชน ระบบสอสารงานภายในส าหรบอาจารยคณะศกษาศาสตร และระบบอเมลส าหรบพนกงานมหาวทยาลยขอนแกน และกลมท 2 ระบบสารสนเทศทอยในความดแลขององคกรกรณศกษา หรอมการสราง และการบรหารจดการภายในองคกรกรณศกษา จ านวน 3 ระบบ

1) ระบบฐานขอมลนกเรยนระดบประถมศกษา 2) ระบบบนทกผลการเรยน 3) ระบบบนทกเวลาเรยนของนกเรยน

แสดงไดดงรปท 4.3

รปท 4.3 ระบบสารสนเทศขององคกรกรณศกษา

ระดบประถมศกษา

ฝายบรหารและพฒนาบคลากร

ฝายวชาการ

และวจย ฝายวางแผนและประกนคณภาพ

ฝายพฒนานกเรยนและชมชนสมพนธ

ระบบสารสนเทศทมการใชงาน

ระบบสารสนเทศทไมอยในความดแลขององคกร

กรณศกษา

ระบบสารสนเทศทอยในความดแลขององคกร

กรณศกษา

ระบบฐานขอมลนกเรยน

ระบบบนทกผลการเรยน

ระบบบนทกเวลาเรยน

21

ซงทง 3 ระบบจดเกบขอมลรายชอนกเรยน ผลการเรยนของนกเรยน ขอมลตารางการเรยนการสอนของโรงเรยน และขอมลการบนทกเวลาของนกเรยน และมการใชบรการบคคลภายนอกในการพฒนาระบบ และบรหารจดการระบบในระยะยาว ทงนผใหบรการไดใชบรการบคคลภายนอกในการบรหารจดการเครองแมขายของระบบขางตนอกชนหนง สามารถแสดงไดดงรปท 4.4

รปท 4.4 แผนภาพแสดงการใชบรการบคคลภายนอก

4.2.3 ก าหนดขอบเขตการดแลดานความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ และเกณฑในการบรหารความเสยง

จากการทผศกษาไดท าการศกษาองคกรและระบบสารสนเทศในองคกรกรณศกษารวมถงการสมภาษณเพอสอบถามแนวนโยบาย และความคดเหนของผบรหารและผปฏบตงานขององคกรกรณศกษา ไดรวมกนก าหนดขอบเขตการดแลดานความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ โดยก าหนดขอบเขตการดแลดานความมนคงปลอดภยเปนระบบสารสนเทศในกลมท 2 ระบบสารสนเทศทอยในความดแลขององคกรกรณศกษา โดยไดก าหนดล าดบความส าคญของปจจยในการประเมนความเสยง เพอใชประกอบกระบวนการประเมนความเสยง และจดการความเสยงไดดงรปท 4.5

และพบวาองคกรกรณศกษาใหความส าคญตอการสรางความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ โดยมการชแจงในการประชมคณะกรรมการโรงเรยน แตไมไดมการบนทกนโยบาย หรอแนวทางปฏบตเปนเอกสารลายลกษณอกษร ผศกษาจงไดน าเสนอการเขยนนโยบายอยางสน และกระชบ เพองายตอความเขาใจ และใหมการน านโยบายไปพฒนาแนวทางปฏบตใหสอดคลองกบนโยบายตอไป จงไดขอสรปนโยบายส าหรบองคกรกรณศกษาดงตารางท 4.1

ทงนไดท าการสมภาษณ และสอบถามขอมลปญหาทางดานความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศทเคยเกดขนในอดต, ความเสยหาย และความถของปญหาเพมเตม สามารถก าหนดเกณฑในการบรหารความเสยง คอ เกณฑในการประเมนความรนแรงของผลกระทบ และเกณฑในการประเมนโอกาส ไดดงตารางท 4.2 และตารางท 4.3

ผดแลระบบเครอขาย

ผดแลระบบสารสนเทศ

โรงเรยนสาธต

22

ตารางท 4.1. นโยบายความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ

นโยบายความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ

1. ขอบเขต และจดประสงค เพอใหระบบสารสนเทศทอยในความดแลขององคกรกรณศกษา ทมการใชงานบรหาร

จดการองคกร มความมนคงปลอดภย และลดปญหาทางดานความมนคงปลอดภยทอาจเกดขน ซงหมายถงการลดคาใชจายทอาจเกดจากความเสยหายนน

2. การปฏบตตามนโยบาย พนกงานและบคคลทเกยวของกบการใชงานระบบสารสนเทศขององคกรทกคน ตอง

ปฏบตตามนโยบายความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ และแนวทางการปฏบตงานทเกยวของ

3.นโยบาย ระบบสารสนเทศ และขอมลทส าคญขององคกรตองไดรบการปกปองจากการเขาถงโดย

ไมไดรบอนญาต ระบบสารสนเทศ และขอมลทส าคญขององคกรตองไดรบการรกษาความลบ ระบบสารสนเทศ และขอมลทส าคญขององคกรตองมความถกตองและสมบรณครบถวน ระบบสารสนเทศ และขอมลทส าคญขององคกรตองมพรอมใชงานอยเสมอ การด าเนนการดานเทคโนโลยสารสนเทศขององคกรตองไมขดตอกฎหมาย กฎระเบยบ

และขอบงคบทเกยวของตางๆ ตองไดรบการปฏบตตามอยางถกตองครบถวน ตองจดท าแนวทางปฏบตความมนคงปลอดภยสารสนเทศใหมการด าเนนการตาม

นโยบายความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ และเผยแพรเพอใชงานภายในองคกร

ตองจดใหมการสอบทาน และการบรหารความเสยงใหมการด าเนนการตามนโยบายความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศในองคกรเพอลดความเสยหายจากปญหาทอาจเกดขนจากการไมปฏบตตามนโยบาย

4. บทลงโทษ พนกงานและบคคลทเกยวของกบการใชงานระบบสารสนเทศขององคกรทมสวน

เกยวของกบการสรางความเสยหายอนเกดมาจากการไมปฏบตตามนโยบาย และแนวทางปฏบตความมนคงปลอดภยสารสนเทศ มโทษทางวนย

23

ตารางท 4.2. เกณฑในการประเมนความรนแรงของผลกระทบ

เกณฑ

ปจจยในการประเมนความเสยง

นอยทสด 0

นอย 1

ปานกลาง 2

มาก 3

มากทสด 4

เกณฑในการประเมนความรนแรงของผลกระทบ

ขอมลรวไหล พสจนไดวาไมมการรวไหลของขอมลแนนอน

ไมสามารถพสจนได แตคาดวาไมมการรวไหลของขอมล

ยงไมทราบแนชดวามการรวไหลของขอมลหรอไม

ไมสามารถพสจนได แตคาดวามการรวไหลของขอมล

พสจนไดวามการรวไหลของขอมลแนนอน

เวลาทใชในการแกไขปญหา และเวลาท างานทสญเสยไป

นอยกวา 1 ชวโมง

1-2 ชวโมง 2-3 ชวโมง 4-8 ชวโมง 1 วนขนไป

ความปลอดภยของบคลากร

ไมมผบาดเจบ

มผบาดเจบฟกช าเลกนอย

มผบาดเจบมบาดแผลเลกนอย

มผบาดเจบมบาดแผลหนก

มผบาดเจบสาหส หรอเสยชวต

สญเสยคาอปกรณ และคาแรงในการซอมแซมความเสยหาย

ไมสญเสยคาอปกรณ และ

คาแรง

นอยกวา 1 พน บาท

1 พน – 5 พนบาท

5 พน - 1 หมนบาท

มากกวา 1หมนบาท

สญเสยชอเสยง และภาพลกษณ

ไมมขาว มขาวลอเลาตอกนปากตอปากภายในองคกร

มขาวเผยแพรผานสอภายในองคกร

มขาวลอเลาตอกนปากตอปากภายในจงหวด

มขาวเผยแพรผานสอระดบ

จงหวดขนไป

รวมทงเกณฑในการประเมนคาความเสยงไดจากความสมพนธ โดยใชผลรวมระหวาง

ความรนแรงของผลกระทบทเกดจากปญหา และโอกาสทจะเกดปญหา สามารถแสดงไดดงตารางท 4.4

24

ตารางท 4.3. เกณฑในการประเมนโอกาส

เกณฑ

ปจจยในการประเมนความเสยง


นอย 1


มาก 3


เกณฑในการประเมนโอกาส

จ านวนการเกดปญหาในอดต

ไมเคยเกดขนเลย

4 ป/ครงขนไป

2-3 ป/ครง

1-2 ครง/ป 3 ครง/ปขนไป

ชองโหว หรอจดออนในระบบ

ไมพบชองโหว หรอจดออน

ไมพบชองโหว หรอจดออน แตคาดวาม

พบชองโหว หรอจดออนแตมการควบคม

พบชองโหว หรอจดออนแตมการควบคมในบางสวน

พบชองโหว หรอจดออนโดยไมมการควบคม

ประสทธภาพของการควบคมในปจจบน

ประสทธภาพดมาก ใชควบคมปญหาได

ประสทธภาพด ใชควบคมปญหาไมไดในบางครง

ประสทธภาพไมด ใชควบคม

ปญหาไดในบางครง

ประสทธภาพแยใชควบคมปญหาไมได

เลย

ไมมการควบคม

ตารางท 4.4. เกณฑในการประเมนคาความเสยง

ผลกระทบ/โอกาส


นอย 1


มาก 3


นอยทสด 0 0 1 2 3 4

นอย 1 1 2 3 4 5

ปานกลาง 2 2 3 4 5 6

มาก 3 3 4 5 6 7

มากทสด 4 4 5 6 7 8

ต ำ 0-2

ปำนกลำง 3-5

สง 6-8

25

4.2.4 ประเมนความเสยงในการใชงานเทคโนโลยสารสนเทศ ผศกษาไดท าการประเมนความเสยง จากวธการสมภาษณ การพจารณาปญหาทเคย

เกดขน การตรวจสอบ และเปรยบเทยบกบมาตรฐาน หรอวธปฏบตทด ตามวธการทไดอธบายในบทท 2 โดยการระบความเสยง จากภยคกคาม และชองโหว ซงไดระบไวในภาคผนวก ข. และไดผลการประเมนความเสยงตามภาคผนวก ค. ทงนไดสรปผลการประเมนความเสยง และจดล าดบความเสยงตามเกณฑในการบรหารความเสยงทไดก าหนดไวดงตารางท 4.5

ตารางท 4.5. ผลการประเมนความเสยง กอนการจดการความเสยง

ล าดบ ความเสยง ผลกระทบ

โอกาส ระดบความ

เสยง

1 พนกงานของหนวยงานภายนอกใชทรพยสนสารสนเทศขององคกรไปในทางทผด และสรางความเสยหายใหองคกร เนองจากไมมการควบคมการใหบคคลภายนอกเขาถงทรพยสนสารสนเทศขององคกร

2 4 สง

2 การใหบรการจากหนวยงานภายนอกไมมการรกษาความมนคงปลอดภย เนองจากไมมการจดท าขอก าหนดทางดานความมนคงปลอดภยในการใหบรการของหนวยงานภายนอก

2 4 สง

3 ไมมขอมลส ารองเมอระบบเสยหาย เนองจากไมมการจดท าขนตอนการทดสอบขอมลทส ารองไว

2 4 สง

4 ขอมลทเปนการท าธรกรรมออนไลนถกเปลยนแปลงโดยไมไดรบอนญาต เนองจากไมมการก าหนดมาตรการส าหรบการปองกนระบบสารสนเทศทเปนการท าธรกรรมออนไลน

2 4 สง

5 มการเขาถงระบบสารสนเทศโดยไมไดรบอนญาต เนองจากระบบสารสนเทศไมมความมนคงปลอดภยจากการพฒนาระบบ

2 4 สง

6 ระบบสารสนเทศมขอผดพลาดจากการพฒนาระบบโดยหนวยงานภายนอก

2 4 สง

26

ตารางท 4.5. ผลการประเมนความเสยง กอนการจดการความเสยง (ตอ)



เสยง

7 มการเขาถงระบบสารสนเทศโดยไมไดรบอนญาต เนองจากระบบสารสนเทศไมมการควบคมชองโหวทางเทคนค

2 4 สง

8 มการเขาถงระบบสารสนเทศโดยไมไดรบอนญาต เนองจากไมมการบรหารจดการรหสผาน

2 3 ปานกลาง

9 มการเขาถงระบบสารสนเทศโดยไมไดรบอนญาต เนองจากไมมการทบทวนสทธการเขาถงของผใชงาน


10 มการเขาถงระบบสารสนเทศโดยไมไดรบอนญาต เนองจากไมมการก าหนดขนตอนปฏบตในการเขาถงระบบอยางมนคงปลอดภย


11 มการเขาถงระบบสารสนเทศโดยไมไดรบอนญาต เนองจากไมมการก าหนดการหมดเวลาการใชงานระบบสารสนเทศ


12 เหตการณทเกยวของกบความมนคงปลอดภยทเกดกบระบบสารสนเทศไมไดรบการแกไข หรอไดรบการแกไขลาชา เนองจากไมมแนวทางปฏบตในการจดการเหตการณทเกยวของกบความมนคงปลอดภย


13 พนกงานไมปฏบตตามนโยบายการรกษาความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศทผบรหารไดวางไว เนองจากไมมการจดท าเอกสารนโยบายความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ

1 1 ต า

14 พนกงานไมปฏบตตามนโยบายการรกษาความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศทผบรหารไดวางไว เนองจากไมมการทบทวนดานความมนคงปลอดภยส าหรบสารสนเทศ โดยผตรวจสอบภายนอก

1 1 ต า

27




เสยง

15 ขอมลภายในรวไหล เนองจากไมมการก าหนดขนตอนการก าจดขอมลสารสนเทศออกจากสอบนทกขอมลเมอเลกใช

1 1 ต า

16 ขอมลภายในรวไหล เนองจากไมมการก าหนดขนตอนปฏบตส าหรบบรหารจดการสอบนทกขอมลทสามารถเคลอนยายได

1 1 ต า

17 ขอมลภายในรวไหล เนองจากไมมการก าหนดขนตอนปฏบตส าหรบการจดการสารสนเทศ

1 1 ต า

18 ปญหาทเกดขนในระบบไมไดรบการแกไข เนองจากไมมข นตอนในการบนทก และวเคราะหเพอแกไขปญหา

1 1 ต า

19 ระบบสารสนเทศไมสามารถใหบรการไดโดยไมมแนวทางปฏบตงานส ารองเนองจากไมมการจดท ากระบวนการในการสรางความตอเนองใหกบธรกจ

1 1 ต า

20 ระบบสารสนเทศไมเปนไปตามมาตรฐานทวางไว เนองจากไมมการตรวจสอบการปฏบตตามมาตรฐานทางเทคนคขององคกร

1 1 ต า

21 เครองแมขายระบบสารสนเทศเสยหายจากไฟไหมเนองจากขาดอปกรณเตอนภย และดบไฟเมอไฟไหม

2 0 ต า

22 เครองแมขายเสยหายจากน าทวมเนองจากสถานทต งอยในพนทเสยงตอการเกดน าทวม

2 0 ต า

23 เครองแมขายไมสามารถใชงานไดจากการสญเสยพลงงานไฟฟา เนองจากไมมอปกรณส ารอง

2 0 ต า

24 เครองแมขายถกขโมยเนองจากการควบคมการเขาถงทางกายภาพไมเพยงพอ

2 0 ต า

28




เสยง

25 เครองแมขายไดรบการเปลยนแปลงการท างานของฮารดแวรโดยไมไดรบอนญาต เนองจากขาดการควบคมการเปลยนแปลง

2 0 ต า

26 เครองแมขายเสยหายเนองจากการบ ารงรกษาไมเพยงพอ

2 0 ต า

27 เครองแมขายไมสามารถใหบรการไดเนองจากมการใชงานทรพยากรมากเกนกวาอปกรณสามารถยอมรบได

2 0 ต า

4.2.5 ก าหนดแนวทางจดการความเสยง ตามผลการประเมนความเสยง ผศกษาไดท าการก าหนดแนวทางจดการความเสยง โดยพจารณาตามหลกการควบคม

ทางดานความมนคงปลอดภยของมาตรฐาน ISO/IEC 27001 ไดผลดงตารางท 4.6 1) การลดความเสยง 2) การถายโอนความเสยง 3) การหลกเลยงความเสยง 4) การคงความเสยง

และสามารถจดท าเอกสารระบการปฏบตตามหลกการควบคมทางดานความมนคงปลอดภยของมาตรฐาน ISO/IEC 27001 รายละเอยดตามภาคผนวก ง.

4.2.6 จดท าแนวทางปฏบตดานความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศตามแนวทางจดการความเสยง

ผศกษาไดท าการจดท าแนวทางปฏบตดานความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศตามแนวทางจดการความเสยง และการปฏบตตามหลกการควบคมทางดานความมนคงปลอดภยทก าหนดไว โดยการระบการปฏบตงานทองคกรตองท า ตามแนวทางการจดการความเสยงและหลกการควบคมทางดานความมนคงปลอดภยของมาตรฐาน ISO/IEC 27001 รวมทงจดท าขนตอนการปฏบตงาน และเอกสารทตองใชประกอบขนตอนการปฏบตงาน ทพจารณาแลววามความจ าเปนตอองคกร รายละเอยดตามภาคผนวก จ.

29

ตารางท 4.6. ผลการก าหนดแนวทางจดการความเสยง

ล าดบ แนวทางจดการความเสยง ระดบความ

เสยง 1 ความเสยง

พนกงานของหนวยงานภายนอกใชทรพยสนสารสนเทศขององคกรไปในทางทผด และสรางความเสยหายใหองคกร เนองจากไมมการก าหนดขนตอนการอนญาตใหหนวยงานภายนอกเขาถงสารสนเทศขององคกร

แนวทางจดการความเสยง ลดความเสยง โดยการจดท านโยบาย และแนวทางปฏบตในการอนญาตใหหนวยงานภายนอกเขาถงสารสนเทศขององคกร

หลกการควบคม 6.2.1 การประเมนความเสยงของการเขาถงสารสนเทศโดยหนวยงานภายนอก (Identification of risks related to external parties) 6.2.3 การระบและจดท าขอก าหนดส าหรบหนวยงานภายนอกทเกยวของกบความมนคงปลอดภยส าหรบสารสนเทศขององคกร (Addressing security in third party agreements)

สง

2 ความเสยง การใหบรการจากหนวยงานภายนอกไมมการรกษาความมนคงปลอดภย เนองจากไมมการจดท าขอก าหนดทางดานความมนคงปลอดภยในการใหบรการของหนวยงานภายนอก

แนวทางจดการความเสยง ลดความเสยง โดยการจดท านโยบาย และแนวทางปฏบตเรองขอก าหนดทางดานความมนคงปลอดภยในการใหบรการของหนวยงานภายนอก

หลกการควบคม 10.2.1 การใหบรการโดยหนวยงานภายนอก (Service delivery)

สง

30

ตารางท 4.6. แนวทางการจดการความเสยง (ตอ)



ไมมขอมลส ารองเมอระบบเสยหาย เนองจากไมมการจดท าขนตอนการทดสอบขอมลทส ารองไว

แนวทางจดการความเสยง ลดความเสยง โดยการจดท านโยบาย และแนวทางปฏบตในการทดสอบขอมลทส ารองไว

หลกการควบคม 10.5.1 การส ารองขอมล (Information back-up)

สง

4 ความเสยง ขอมลทเปนการท าธรกรรมออนไลนถกเปลยนแปลงโดยไมไดรบอนญาต เนองจากไมมการก าหนดมาตรการส าหรบการปองกนระบบสารสนเทศทเปนการท าธรกรรมออนไลน

แนวทางจดการความเสยง ลดความเสยง โดยการจดท านโยบาย และแนวทางปฏบตในการปองกนระบบสารสนเทศทเปนการท าธรกรรมออนไลน

หลกการควบคม 10.9.2 การท าธรกรรมออนไลน (On-line transactions)

สง

31




มการเขาถงระบบสารสนเทศโดยไมไดรบอนญาต เนองจากระบบสารสนเทศไมมความมนคงปลอดภยจากการพฒนาระบบ

แนวทางจดการความเสยง ลดความเสยง โดยการจดท านโยบาย และแนวทางปฏบตในการระบขอก าหนดทางดานความมนคงปลอดภยในการพฒนาหรอแกไขระบบ

หลกการควบคม 12.1.1 การวเคราะหและการระบขอก าหนดทางดานความมนคงปลอดภย (Security requirements analysis and specification) 12.2.1 การตรวจสอบขอมลน าเขา (Input data validation) 12.2.2 การตรวจสอบขอมลทอยในระหวางการประมวลผล (Control of internal processing) 12.2.3 การตรวจสอบความถกตองของขอความ (Message integrity) 12.2.4 การตรวจสอบขอมลน าออก (Output data validation)

สง

6 ความเสยง ระบบสารสนเทศมขอผดพลาดจากการพฒนาระบบโดยหนวยงานภายนอก

แนวทางจดการความเสยง ลดความเสยง โดยการจดท านโยบาย และแนวทางปฏบตในการควบคมและตรวจสอบการพฒนาซอฟตแวรโดยหนวยงานภายนอก

หลกการควบคม 12.5.5 การพฒนาซอฟตแวรโดยหนวยงานภายนอก (Outsourced software development)

สง

32




มการเขาถงระบบสารสนเทศโดยไมไดรบอนญาต เนองจากระบบสารสนเทศไมมการควบคมชองโหวทางเทคนค

แนวทางจดการความเสยง ลดความเสยง โดยการจดท านโยบาย และแนวทางปฏบตในการควบคมชองโหวทางเทคนค

หลกการควบคม 12.6.1 มาตรการควบคมชองโหวทางเทคนค (Control of technical vulnerabilities)

สง

8 ความเสยง มการเขาถงระบบสารสนเทศโดยไมไดรบอนญาต เนองจากไมมการบรหารจดการรหสผาน

แนวทางจดการความเสยง ลดความเสยง โดยการจดท านโยบาย และแนวทางปฏบตในการบรหารจดการรหสผาน

หลกการควบคม 11.2.3 การบรหารจดการรหสผานส าหรบผใชงาน (User password management) 11.3.1 การใชงานรหสผาน (Password use) 11.5.3 ระบบบรหารจดการรหสผาน (Password management system)

ปานกลาง

33




มการเขาถงระบบสารสนเทศโดยไมไดรบอนญาต เนองจากไมมการทบทวนสทธการเขาถงของผใชงาน

แนวทางจดการความเสยง ลดความเสยง โดยการจดท านโยบาย และแนวทางปฏบตในการทบทวนสทธการเขาถงของผใชงาน

หลกการควบคม 11.2.4 การทบทวนสทธการเขาถงของผใชงาน (Review of user access rights)


10 ความเสยง มการเขาถงระบบสารสนเทศโดยไมไดรบอนญาต เนองจากไมมการก าหนดขนตอนปฏบตในการเขาถงระบบอยางมนคงปลอดภย

แนวทางจดการความเสยง ลดความเสยง โดยการจดท านโยบาย และแนวทางปฏบตในการขนตอนปฏบตในการเขาถงระบบอยางมนคงปลอดภย

หลกการควบคม 11.5.1 ขนตอนปฏบตในการเขาถงระบบอยางมนคงปลอดภย (Secure log-on procedures)


11 ความเสยง มการเขาถงระบบสารสนเทศโดยไมไดรบอนญาต เนองจากไมมการก าหนดการหมดเวลาการใชงานระบบสารสนเทศ

แนวทางจดการความเสยง ลดความเสยง โดยการจดท านโยบาย และแนวทางปฏบตในการหมดเวลาการใชงานระบบสารสนเทศ

หลกการควบคม 11.5.5 การหมดเวลาการใชงานระบบสารสนเทศ (Session time-out)


34




เหตการณทเกยวของกบความมนคงปลอดภยทเกดกบระบบสารสนเทศไมไดรบการแกไข หรอไดรบการแกไขลาชา เนองจากไมมแนวทางปฏบตในการจดการเหตการณทเกยวของกบความมนคงปลอดภย

แนวทางจดการความเสยง ลดความเสยง โดยการจดท านโยบาย และแนวทางปฏบตในการจดการเหตการณทเกยวของกบความมนคงปลอดภยขององคกร

หลกการควบคม 13.2.1 หนาทความรบผดชอบและขนตอนปฏบต (Responsibilities and procedures) 13.2.2 การเรยนรจากเหตการณทเกยวของกบความมนคงปลอดภย (Learning from security incidents)


4.2.7 ประเมนความเสยง ในการใชงานเทคโนโลยสารสนเทศขององคกรกรณศกษา

หลงจากการจดการความเสยง การประเมนความเสยงในการใชงานเทคโนโลยสารสนเทศขององคกรกรณศกษา

หลงจากการจดการความเสยง เพอประเมนประสทธภาพของการจดการความเสยง และการจดท าแนวทางปฏบตดานความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ โดยใชเกณฑในการบรหารความเสยงเชนเดยวกนกบการประเมนความเสยงในครงแรก ไดผลดงน

ตารางท 4.7. ผลการประเมนความเสยง หลงการจดการความเสยง



เสยง

1 พนกงานของหนวยงานภายนอกใชทรพยสนสารสนเทศขององคกรไปในทางทผด และสรางความเสยหายใหองคกร เนองจากไมมการควบคมการใหบคคลภายนอกเขาถงทรพยสนสารสนเทศขององคกร

2 0 ต า

35

ตารางท 4.5. ผลการประเมนความเสยง หลงการจดการความเสยง (ตอ)



เสยง

2 การใหบรการจากหนวยงานภายนอกไมมการรกษาความมนคงปลอดภย เนองจากไมมการจดท าขอก าหนดทางดานความมนคงปลอดภยในการใหบรการของหนวยงานภายนอก

2 0 ต า

3 ไมมขอมลส ารองเมอระบบเสยหาย เนองจากไมมการจดท าขนตอนการทดสอบขอมลทส ารองไว

2 0 ต า

4 ขอมลทเปนการท าธรกรรมออนไลนถกเปลยนแปลงโดยไมไดรบอนญาต เนองจากไมมการก าหนดมาตรการส าหรบการปองกนระบบสารสนเทศทเปนการท าธรกรรมออนไลน

2 4 สง

5 มการเขาถงระบบสารสนเทศโดยไมไดรบอนญาต เนองจากระบบสารสนเทศไมมความมนคงปลอดภยจากการพฒนาระบบ

2 4 สง

6 ระบบสารสนเทศมขอผดพลาดจากการพฒนาระบบโดยหนวยงานภายนอก

2 4 สง

7 มการเขาถงระบบสารสนเทศโดยไมไดรบอนญาต เนองจากระบบสารสนเทศไมมการควบคมชองโหวทางเทคนค

2 4 สง

8 มการเขาถงระบบสารสนเทศโดยไมไดรบอนญาต เนองจากไมมการบรหารจดการรหสผาน

2 0 ต า

9 มการเขาถงระบบสารสนเทศโดยไมไดรบอนญาต เนองจากไมมการทบทวนสทธการเขาถงของผใชงาน

2 0 ต า

10 มการเขาถงระบบสารสนเทศโดยไมไดรบอนญาต เนองจากไมมการก าหนดขนตอนปฏบตในการเขาถงระบบอยางมนคงปลอดภย

2 0 ต า

11 มการเขาถงระบบสารสนเทศโดยไมไดรบอนญาต เนองจากไมมการก าหนดการหมดเวลาการใชงานระบบสารสนเทศ

2 0 ต า

36




เสยง

12 เหตการณทเกยวของกบความมนคงปลอดภยทเกดกบระบบสารสนเทศไมไดรบการแกไข หรอไดรบการแกไขลาชา เนองจากไมมแนวทางปฏบตในการจดการเหตการณทเกยวของกบความมนคงปลอดภย

2 0 ต า

13 พนกงานไมปฏบตตามนโยบายการรกษาความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศทผบรหารไดวางไว เนองจากไมมการจดท าเอกสารนโยบายความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ

1 0 ต า

14 พนกงานไมปฏบตตามนโยบายการรกษาความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศทผบรหารไดวางไว เนองจากไมมการทบทวนดานความมนคงปลอดภยส าหรบสารสนเทศ โดยผตรวจสอบภายนอก

1 0 ต า

15 ขอมลภายในรวไหล เนองจากไมมการก าหนดขนตอนการก าจดขอมลสารสนเทศออกจากสอบนทกขอมลเมอเลกใช

1 0 ต า

16 ขอมลภายในรวไหล เนองจากไมมการก าหนดขนตอนปฏบตส าหรบบรหารจดการสอบนทกขอมลทสามารถเคลอนยายได

1 0 ต า

17 ขอมลภายในรวไหล เนองจากไมมการก าหนดขนตอนปฏบตส าหรบการจดการสารสนเทศ

1 0 ต า

18 ปญหาทเกดขนในระบบไมไดรบการแกไข เนองจากไมมข นตอนในการบนทก และวเคราะหเพอแกไขปญหา

1 0 ต า

19 ระบบสารสนเทศไมสามารถใหบรการไดโดยไมมแนวทางปฏบตงานส ารองเนองจากไมมการจดท ากระบวนการในการสรางความตอเนองใหกบธรกจ

1 1 ต า

37




เสยง

20 ระบบสารสนเทศไมเปนไปตามมาตรฐานทวางไว เนองจากไมมการตรวจสอบการปฏบตตามมาตรฐานทางเทคนคขององคกร

1 1 ต า

21 เครองแมขายระบบสารสนเทศเสยหายจากไฟไหมเนองจากขาดอปกรณเตอนภย และดบไฟเมอไฟไหม

2 0 ต า

22 เครองแมขายเสยหายจากน าทวมเนองจากสถานทต งอยในพนทเสยงตอการเกดน าทวม

2 0 ต า

23 เครองแมขายไมสามารถใชงานไดจากการสญเสยพลงงานไฟฟา เนองจากไมมอปกรณส ารอง

2 0 ต า

24 เครองแมขายถกขโมยเนองจากการควบคมการเขาถงทางกายภาพไมเพยงพอ

2 0 ต า

25 เครองแมขายไดรบการเปลยนแปลงการท างานของฮารดแวรโดยไมไดรบอนญาต เนองจากขาดการควบคมการเปลยนแปลง

2 0 ต า

26 เครองแมขายเสยหายเนองจากการบ ารงรกษาไมเพยงพอ

2 0 ต า

27 เครองแมขายไมสามารถใหบรการไดเนองจากมการใชงานทรพยากรมากเกนกวาอปกรณสามารถยอมรบได

2 0 ต า

4.3 วเคราะห และอภปราย (Analysis and Discussion)

จากผลการประเมนความเสยง กอนการจดการความเสยง มประเดนความเสยงทงหมด 27 เรอง แบงเปนประเดนความเสยงสง 7 เรอง ความเสยงปานกลาง 5 เรอง ความเสยงต า 15 เรองดงรปท 4.5 และผลการประเมนความเสยง หลงจากจดการความเสยง ไดผลการประเมนความเสยง แบงเปนประเดนความเสยงสง 4 เรอง และความเสยงต า 23 เรองดงรปท 4.6

ไดวาการประเมนความเสยง ในการใชงานเทคโนโลยสารสนเทศขององคกรกรณศกษาหลงจากการจดการความเสยง มคาความเสยงในระดบสงนอยกวาการประเมนความเสยงครง

38

แรก ซงเปนผลจากการก าหนดแนวทางจดการความเสยงทไดปฏบตไป เปนไปตามผลทคาดหวงไวจากการวางแผนด าเนนงานโครงการ

รปท 4.5 สรปผลการประเมนความเสยง กอนการบรรเทาความเสยง

รปท 4.6 สรปผลการประเมนความเสยง หลงการบรรเทาความเสยง 4.4 สรปทายบท (Chapter Summary)

ผลการปฏบตงานขางตน เปนการปฏบตตามแผนการด าเนนการโครงงาน และขนตอนปฏบตทไดวางไวทงหมด ซงไดน าเสนอสรปผลการด าเนนงานในบทตอไป

สง 26%

ปำนกลำง 18%

ต ำ 56%

สง 19% ต ำ

81%

39

บทท 5 สรปผลโครงงาน (Conclusion)

5.1 ทบทวนการด าเนนโครงงาน (Review of the Project)

จากผลการประเมนความเสยง กอนการจดการความเสยง เหนไดวาองคกรกรณศกษาประเภทสถานศกษาระดบพนฐาน มผบรหารทใหความส าคญกบความปลอดภยในการใชงานเทคโนโลยสารสนเทศ โดยมการรกษาความปลอดภยในการใชงานระบบสารสนเทศในสวนทเปนเรองทวไปทไมตองใชความรทางเทคโนโลยกสามารถปฏบตได เปนอยางด แตยงขาดการรกษาความปลอดภยในการใชงานระบบสารสนเทศในสวนทเปนเรองเทคโนโลย ท าใหการรกษาความปลอดภยในเรองทส าคญถกมองขามไป

การน ามาตรฐาน ISO/IEC 27001 ซงเปนมาตรฐานทมการระบประเดนทางดานความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศทควรพจารณามาใชกบองคกร ท าใหผบรหารองคกรทราบถงประเดนการรกษาความปลอดภยในการใชงานเทคโนโลยสารสนเทศในสวนทขาดไป สงผลใหองคกรสามารถเพมระดบการรกษาความปลอดภยในการใชงานระบบสารสนเทศใหมากขน เพอลดปญหาทางดานความมนคงปลอดภยทอาจเกดขนได

และจากผลการประเมนความเสยง หลงการจดการความเสยง เหนไดวาการด าเนนโครงการทงหมด ทมข นตอนการก าหนดขอบเขตการดแลความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศ และประเมนความเสยง รวมถงวางแผนจดการความเสยงทจ าเปนตอองคกรกรณศกษา อกทงจดท าแนวทางปฏบตดานความมนคงปลอดภย ตามนโยบายดานความมนคงปลอดภย และผลการประเมนความเสยงทได สามารถลดความเสยงทางดานความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศโดยรวมขององคกรได ซงบรรลวตถประสงคตามทวางไว 2 ใน 3 ขอ

แมวาวตถประสงคในการด าเนนโครงการขอท 3 คอการพฒนาแนวทางการรกษาความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศ ส าหรบองคกรประเภทสถานศกษาจะไมสามารถกระท าได เนองจากในการด าเนนงานจรงพบวา ปจจยทสงผลตอแนวทางการรกษาความมนคงปลอดภยในองคกร นอกเหนอจากประเภทขององคกร และระบบสารสนเทศทมการใชงาน ยงมปจจยอนทมความส าคญ เชน งบประมาณ จ านวนบคลากรดาน IT และความรความสามารถของบคลากรทมอย ซงปจจยอนๆดงกลาวสามารถสงผลตอวธการควบคมความเสยงทองคกรสามารถปฏบตได ท าใหเกดความแตกตางกนระหวางองคกรประเภทเดยวกน

ปญหาทเกดขนระหวางด าเนนการโครงการในชวงตน คอ การท าใหผบรหารองคกรมความรความเขาใจในการใชงานเทคโนโลยสารสนเทศ และแสดงใหเหนถงความส าคญของการรกษาความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศ ซงไดแกไขปญหาโดยการอธบายและใหความรใหสามารถเขาใจในประเดนดงกลาว และปญหาทเกดขนระหวางด าเนนโครงการในชวงปลาย คอ การพจารณาวธการควบคมความเสยงทองคกรสามารถปฏบตได ซง

40

ไดแกไขปญหาโดยการเลอกวธการควบคมความเสยงตามขอจ ากดของจ านวนบคลากรดาน IT และความรความสามารถของบคลากรทมอย เพอใหองคกรสามารถปฏบตได และลดความเสยงทเกดขนไดจรง 5.2 สรปทายบท (Chapter Summary)

สรปผลการปฏบตงานขางตน เปนสรปผลการปฏบตตามแผนการด าเนนการโครงงาน 1 และโครงงาน 2

41

เอกสารอางอง

[1] International Standard ISO/IEC 27001, Information technology - Security techniques – Information security management systems – Requirements, 2548 [2] International Standard ISO/IEC 17799/27002, Information technology - Security techniques – Code of practice information security management, 2548 [3] International Standard ISO/IEC 27005 International Standard, Information technology - Security techniques – Information security risk management, 2551 [4] ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต, มาตรฐานการรกษาความมนคงปลอดภย ในการประกอบธรกรรมทางอเลกทรอนกส (เวอรชน 2.5), 2550 [5] ศนยประสานงานการรกษาความปลอดภยคอมพวเตอรประเทศไทย ภายใต ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต, รางแนวทางปฏบตส าหรบการรกษาความมนคงปลอดภยสารสนเทศ, 2552, http://www.thaicert.nectec.or.th/paper/basic/procedure_ISO17799-2005.pdf [6] นรภย จนทรสวสด, การบรหารความเสยง: จากทฤษฎ ส ปฏบต, กรงเทพมหานคร, ส านกพมพสตรไพศาล, 2551 [7] NIST, Risk management Guide for information Technology systems, 2545, http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf [8] Atec Information Security Corporation, ISMS Implementation Guide, Austin, 2550, http://www.atsec.com/downloads/documents/ISMS-Implementation-Guide-and-Examples.pdf

42

ภาคผนวก ภาคผนวก ก เอกสารขออนญาตองคกรกรณศกษาในการท าวจย

43

ภาคผนวก ข ภยคกคาม และชองโหวทใชในการประเมนความเสยง ภยคกคาม

- ระเบด (Bomb attack)

- แผนดนไหว (Earthquake)

- น าทวม (Flood)

- ไฟไหม หรอความเสยหายจากไฟ (Fire)

- ความเสยหายจากน า (Water Damage)

- ความลมเหลวของระบบปรบอากาศ (Failure of air-conditioning)

- การสญเสยพลงงานไฟฟา (Loss of electricity)

- ความลมเหลวของระบบเครอขาย (Loss of telecommunication equipment )

- การขโมย (Theft)

- การฉอโกง (Fraud)

- การดกฟง (Eavesdropping)

- การเปดเผยขอมล (Disclosure)

- ขอมลจากแหลงทมาทไมนาไววางใจ (Data from untrustworthy sources)

- การเปลยนแปลงการท างานของฮารดแวร (Tampering with hardware)

- การเปลยนแปลงการท างานของซอฟตแวร ( Tampering with software)

- อปกรณเสยหาย ( Equipment failure)

- อปกรณท างานผดพลาด (Equipment Malfunction)

- การใชงานเกนจากทอปกรณสามารถรองรบได (Saturation of the information

system)

- ซอฟตแวรท างานผดพลาด (Software malfunction)

- ความผดพลาดจากการบ ารงรกษา (Errors in maintenance)

- การใชงานโดยไมไดรบอนญาต (Unauthorized use)

- การลกลอบคดลอกซอฟตแวรลขสทธ (Fraudulent copying of software)

- การใชซอฟแวรทไมไดรบอนญาต (Unauthorized use of software)

- การท าลายขอมล (Corruption of data)

- ความผดพลาดในการใชงาน (User Error)

- การปลอมแปลงสทธ (Forging of rights)

44

- การใชสทธในทางทผด (Abuse of rights)

- การใชงานระบบสารสนเทศไมเหมาะสม (Misuse of information systems)

- การปกปดตวตนผใช (Concealing user identity)

- การหยดชะงกของการใหบรการ (Interruption or denial of service)

- ขอมลสญหาย (Loss of Data)

- ระบบสารสนเทศไมสามารถใหบรการได (Loss of Service)

- การตงคาซอฟตแวรไมเหมาะสม (Improper Software Setting)

ชองโหว - การบ ารงรกษาไมเพยงพอ / การตดตงผดพลาด (Insufficient maintenance/faulty

installation)

- ขาดการก าหนดระยะเวลาในการใชงานอปกรณ (Lack of periodic replacement

schemes)

- อปกรณมความไวตอความชน, ฝน, สงสกปรก (Susceptibility to humidity, dust,

soiling)

- ขาดการควบคมการเปลยนแปลง (Lack of efficient configuration change control)

- ออนไหวตอการเปลยนแปลงแรงดนไฟฟา (Susceptibility to voltage variations)

- ออนไหวตอการเปลยนแปลงของอณหภม (Susceptibility to temperature variations)

- ไมมการปองกนอปกรณเกบขอมล (Unprotected storage)

- ขาดการดแลการก าจดขอมล (Lack of care at disposal)

- ไมมการควบคมการคดลอก (Uncontrolled copying)

- ไมมการทดสอบซอฟตแวร (No or insufficient software testing)

- มขอบกพรองในซอฟตแวร (Well-known flaws in the software)

- ไมมการออกจากระบบหลงใชงานเสรจ (No 'logout' When leaving the workstation)

- ใชงานสอบนทกขอมลโดยไมมการลบขอมลเกาออก (Disposal or reuse of storage

media without proper erasure)

- ขาดการจดเกบบนทกการใชงานระบบ (Lack of audit trail)

- ก าหนดสทธในการเขาถงผดพลาด (Wrong allocation of access rights)

- หนาจอส าหรบใชงานซอฟตแวรใชงานยาก (Complicated user interface)

- ขาดการจดท าเอกสารระบบ หรอคมอปฏบตงาน (Lack of documentation)

45

- การตงคาผดพลาด (Incorrect parameter set up)

- ขาดหลกฐานการสงหรอรบขอความ (Lack of proof of sending or receiving a

message)

- ไมมการปองกนสายสอสาร (Unprotected communication lines)

- ไมมการปองกนการสงขอมลทส าคญ (Unprotected sensitive traffic )

- การเชอมตอสารสอสารไมด (Poor joint cabling)

- ไมมอปกรณส ารอง (Single point of failure)

- ขาดการตรวจสอบความถกตองของผสงและรบขอมล (Lack of identification and

authentication of sender and receiver)

- สงขอมลรหสผานโดยไมมการปองกน (Transfer of passwords in clear text)

- เชอมตออนเทอรเนตโดยไมมการปองกน (Unprotected public network connections)

- การขาดงานของบคลากร (Absence of personnel)

- ขนตอนการคดเลอกบคลากรไมด (Inadequate recruitment procedures)

- การใชงานซอฟตแวร และฮารดแวรไมถกตอง (Incorrect use of software and

hardware)

- ขาดความตระหนกในการรกษาความมนคงปลอดภย (Lack of security awareness)

- ขาดการตรวจสอบหรอเฝาระวงการใชงาน (Lack of monitoring mechanisms)

- การควบคมการเขาถงทางกายภาพไมเพยงพอ (Inadequate or careless use of

physical access control to buildings and rooms)

- สถานทต งอยในพนทเสยงตอการเกดน าทวม หรอไฟไหม

- ขาดการปองกนทางกายภาพของอาคาร (Lack of physical protection of the

building, doors and windows)

- ขาดขนตอนการขอสทธ และการยกเลกสทธในการเขาใชงานระบบ (Lack of formal

procedure for user registration and de-registration)

- ขาดกระบวนการทบทวนสทธในการเขาใชงานระบบ (Lack of formal process for

access right review)

- ขาดความตระหนกในดานการรกษาความมนคงปลอดภยในการท าสญญากบลกคาและ

/ หรอบคคลทสาม (Lack or insufficient in contracts with customers and/or third

parties)

- ขาดการตรวจสอบทางดานความมนคงปลอดภย (Lack of regular audits)

46

- ขาดการรายงานความผดพลาดใหผดแลระบบรบทราบ (Lack of fault reports

recorded in administrator and operator logs)

- ขาดหลกการควบคมทางดานความมนคงปลอดภยของมาตรฐาน ISO/IEC 27001

47

ภาคผนวก ค ผลการประเมนความเสยง

ล าดบ

ขอมลประกอบการประเมนความเสยง การประเมนความเสยงกอนการจดการความเสยง ประเมนความเสยงหลงการจดการ

ความเสยง

ทรพยสน ภยคกคาม ชองโหว

ผลกระทบ โอกาสทจะเกด คา


การควบคมในปจจบน

โอกาสทจะเกด คา


ขอมล

รวไห

ล

เวลา

คาอป

กรณ

แล

ะคาแ

รง

ชอเสยง

และ

ภาพล

กษณ

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม

1 ฮารดแวร

เครองแมขายระบบบนทกเวลา

เรยน

ไฟไหม ขาดอปกรณเตอนภย และดบไฟเมอไฟไหม

0 2 2 0 0 0 0 2 มการควบคมการเขาถงทางกายภาพ

0 0 0 2

2 น าทวม สถานทต งอยในพนทเสยงตอการเกดน าทวม

0 2 2 0 0 0 0 2 สถานทต งไมมประวตน าทวม

0 0 0 2

3 การสญเสยพลงงานไฟฟา

ไมมอปกรณส ารอง 0 2 2 0 0 0 0 2 มอปกรณจายไฟฟาส ารอง

0 0 0 2

4 การขโมย การควบคมการเขาถงทางกายภาพไมเพยงพอ


0 0 0 2

48

ล าดบ









ขอมล

รวไห

ล

เวลา

คาอป

กรณ

แล

ะคาแ

รง

ชอเสยง

และ

ภาพล

กษณ

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม

5 การเปลยนแปลงการท างานของฮารดแวรโดยไมไดรบอนญาต

ขาดการควบคมการเปลยนแปลง

2 2 2 0 0 0 0 2 มการควบคมการเปลยนแปลง

0 0 0 2

6 อปกรณเสยหาย การบ ารงรกษาไมเพยงพอ

0 2 2 0 0 0 0 2 มการบ ารงรกษาเพยงพอ

0 0 0 2

7 การใชงานเกนจากทอปกรณสามารถรองรบได

ขาดการวางแผนการใชงานทรพยากรของเครอง

0 2 2 0 0 0 0 2 มการตรวจสอบการใชงานทรพยากรของเครอง

0 0 0 2

8 เครองแมขายระบบตด

เกรดนกเรยน

ไฟไหม ขาดอปกรณเตอนภย และดบไฟเมอไฟไหม


0 0 0 2

9 น าทวม สถานทต งอยในพนทเสยงตอการเกดน าทวม

0 2 2 0 0 0 0 2 สถานทต งไมมประวตน าทวม

0 0 0 2

49

ล าดบ









ขอมล

รวไห

ล

เวลา

คาอป

กรณ

แล

ะคาแ

รง

ชอเสยง

และ

ภาพล

กษณ

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม

10 การสญเสยพลงงานไฟฟา

ไมมอปกรณส ารอง 0 2 2 0 0 0 0 2 มอปกรณจายไฟฟาส ารอง

0 0 0 2

11 การขโมย การควบคมการเขาถงทางกายภาพไมเพยงพอ


0 0 0 2

12 การเปลยนแปลงการท างานของฮารดแวร

ขาดการควบคมการเปลยนแปลง

2 2 2 0 0 0 0 2 มการควบคมการเปลยนแปลง

0 0 0 2

13 อปกรณเสยหาย การบ ารงรกษาไมเพยงพอ

0 2 2 0 0 0 0 2 มการบ ารงรกษาเพยงพอ

0 0 0 2

14 การใชงานเกนจากทอปกรณสามารถรองรบได

ขาดการวางแผนการใชงานทรพยากรของเครองคอมพวเตอร

0 2 2 0 0 0 0 2 มการตรวจสอบการใชงานทรพยากรของเครอง

0 0 0 2

50

ล าดบ









ขอมล

รวไห

ล

เวลา

คาอป

กรณ

แล

ะคาแ

รง

ชอเสยง

และ

ภาพล

กษณ

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม

15 ซอฟตแวร

ระบบฐานขอมลนกเรยน

การใชงานโดยไมไดรบอนญาต

ระบบมชองโหวจากการเขยนโปรแกรม /ไมมขอก าหนดทางดานความมนคงปลอดภยในการพฒนาระบบ

1 1 1 1 0 4 4 5 - 0 4 4 5

16 ไมมการควบคมชองโหวทางเทคนค /ไมมการจดการชองโหวทางเทคนค

1 1 1 1 0 4 4 5 - 0 4 4 5

17 ไมมการบรหารจดการรหสผาน

1 1 1 1 0 2 3 4 - 0 0 0 1

18 ไมมการทบทวนสทธการเขาถงของผใชงาน

1 1 1 1 0 2 3 4 - 0 0 0 1

19 ไมมการก าหนดขนตอนปฏบตในการเขาถงระบบอยางมนคงปลอดภย

1 1 1 1 0 2 3 4 - 0 0 0 1

51

ล าดบ









ขอมล

รวไห

ล

เวลา

คาอป

กรณ

แล

ะคาแ

รง

ชอเสยง

และ

ภาพล

กษณ

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม

20 ไมมการก าหนดการหมดเวลาการใชงานระบบสารสนเทศ

1 1 1 1 0 2 3 4 - 0 0 0 1

21 ซอฟตแวรท างานผดพลาด

มขอบกพรองในซอฟตแวร

0 1 1 1 3 4 4 5 - 3 4 4 5

22 ขาดการรายงานความผดพลาดใหผดแลระบบรบทราบ

0 1 1 1 0 2 3 4 - 0 0 0 1

23 ไมมข นตอนในการบนทก และวเคราะหเพอแกไขปญหาทตนเหต

0 0 0 0 0 1 1 1 - 0 1 1 2

24 ขอมลสญหาย หรอถกท าลาย

ไมมการทดสอบขอมลส ารอง

1 1 1 1 0 4 4 5 - 0 0 0 2

25 การตงคาซอฟตแวรไมเหมาะสม

ไมมการก าหนดมาตรฐานการตงคาซอฟตแวร

0 0 0 0 0 1 1 1 - 0 1 1 2

52

ล าดบ









ขอมล

รวไห

ล

เวลา

คาอป

กรณ

แล

ะคาแ

รง

ชอเสยง

และ

ภาพล

กษณ

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม

26 ไมมการตรวจสอบการปฏบตตามมาตรฐานการตงคาซอฟตแวร

0 0 0 0 0 1 1 1 - 0 1 1 2

27 ระบบตดเกรด

นกเรยน



2 2 2 2 0 4 4 6 - 0 4 4 6


2 2 2 2 0 4 4 6 - 0 4 4 6


2 2 2 2 0 2 3 5 - 0 0 0 2


2 2 2 2 0 2 3 5 - 0 0 0 2

53

ล าดบ









ขอมล

รวไห

ล

เวลา

คาอป

กรณ

แล

ะคาแ

รง

ชอเสยง

และ

ภาพล

กษณ

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม


2 2 2 2 0 2 3 5 - 0 0 0 2


2 2 2 2 0 2 3 5 - 0 0 0 2



0 2 2 2 3 4 4 6 - 3 4 4 6


0 1 1 1 0 2 3 4 - 0 0 0 2


0 1 1 1 0 1 1 2 - 0 1 1 2

54

ล าดบ









ขอมล

รวไห

ล

เวลา

คาอป

กรณ

แล

ะคาแ

รง

ชอเสยง

และ

ภาพล

กษณ

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม

36 ระบบสารสนเทศไมสามารถใหบรการได

เนองจากไมมการจดท ากระบวนการในการสรางความตอเนองใหกบธรกจ

0 1 1 1 0 1 1 2 - 0 1 1 2

37 โปรแกรมตดตงหรอ Source Code สญหาย


2 2 2 2 0 4 4 6 - 0 0 0 2



0 1 1 1 0 1 1 2 - 0 1 1 2


0 1 1 1 0 1 1 2 - 0 1 1 2

40 ซอฟตแวร

ระบบบนทกเวลาเรยนของนกเรยน



1 1 1 1 0 4 4 5 - 0 4 4 5

55

ล าดบ









ขอมล

รวไห

ล

เวลา

คาอป

กรณ

แล

ะคาแ

รง

ชอเสยง

และ

ภาพล

กษณ

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม


1 1 1 1 0 4 4 5 - 0 4 4 5


1 1 1 1 0 2 3 4 - 0 0 0 1


1 1 1 1 0 2 3 4 - 0 0 0 1


1 1 1 1 0 2 3 4 - 0 0 0 1


1 1 1 1 0 2 3 4 - 0 0 0 1



0 1 1 1 3 4 4 5 - 3 4 4 5

56

ล าดบ









ขอมล

รวไห

ล

เวลา

คาอป

กรณ

แล

ะคาแ

รง

ชอเสยง

และ

ภาพล

กษณ

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม


0 1 1 1 0 2 3 4 - 0 0 0 1


0 0 0 0 0 1 1 1 - 0 1 1 2

49 โปรแกรมตดตงหรอ Source Code สญหาย


1 1 1 1 0 4 4 5 - 0 0 0 2



0 0 0 0 0 1 1 1 - 0 1 1 2


0 0 0 0 0 1 1 1 - 0 1 1 2

57

ล าดบ









ขอมล

รวไห

ล

เวลา

คาอป

กรณ

แล

ะคาแ

รง

ชอเสยง

และ

ภาพล

กษณ

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม

52 ขอมล ขอมลนกเรยน

ขอมลจากแหลงทมาไมนาไววางใจ /ขอมลถกเปลยนแปลงโดยไมไดรบอนญาต

ไมมการปองกนการสงขอมลทส าคญ /ไมมขอก าหนดทางดานความมนคงปลอดภยในการพฒนาระบบธรกรรมออนไลน

1 1 1 1 0 4 4 5 - 0 4 4 5

53 ขอมลสญหาย/ขอมลร วไหล


1 1 1 1 0 4 4 5 - 0 0 0 1

54 ไมมการปองกนสอบนทกขอมลทสามารถเคลอนยายได

1 1 1 1 0 0 0 1 - 0 0 0 1

55 ไมมการก าจดขอมลสารสนเทศจากสอบนทกขอมลเมอเลกใช

1 1 1 1 0 0 0 1 - 0 0 0 1

58

ล าดบ









ขอมล

รวไห

ล

เวลา

คาอป

กรณ

แล

ะคาแ

รง

ชอเสยง

และ

ภาพล

กษณ

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม

56 ขอมล ขอมลเกรดนกเรยน



2 2 2 2 0 4 4 6 - 0 4 4 6



2 2 2 2 0 4 4 6 - 0 0 0 1


2 2 2 2 0 0 0 2 - 0 0 0 2


2 2 2 2 0 0 0 2 - 0 0 0 2

59

ล าดบ









ขอมล

รวไห

ล

เวลา

คาอป

กรณ

แล

ะคาแ

รง

ชอเสยง

และ

ภาพล

กษณ

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม

60 ขอมล ขอมลการบนทกเวลาของนกเรยน



1 1 1 1 0 4 4 5 - 0 4 4 5



1 1 1 1 0 4 4 5 - 0 0 0 1


1 1 1 1 0 0 0 1 - 0 0 0 1


1 1 1 1 0 0 0 1 - 0 0 0 1

60

ล าดบ









ขอมล

รวไห

ล

เวลา

คาอป

กรณ

แล

ะคาแ

รง

ชอเสยง

และ

ภาพล

กษณ

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม

ปญหา

ในอด

ต

ชองโหว

ระบบ

ประส

ทธภา

พกา

รควบ

คม

64 บรการดแลระบบ

การเปดเผยขอมลทใหบรการ

ไมมการจดท าขอก าหนดทางดานความมนคงปลอดภยในการใหบรการของหนวยงานภายนอก

2 2 2 2 0 4 4 6 - 0 0 0 2

65 การใชงานระบบสารสนเทศไมเหมาะสม

ไมมการจดท าขอก าหนดทางดานความมนคงปลอดภยในการใหบรการของหนวยงานภายนอก

2 2 2 2 0 4 4 6 - 0 0 0 2

66 ความผดพลาดจากการบ ารงรกษา

ขาดขอตกลงระดบการใหบรการ

2 2 2 2 0 4 4 6 - 0 0 0 2

67 การหยดชะงกของการใหบรการ

ขาดขอตกลงระดบการใหบรการ

2 2 2 2 0 4 4 6 - 0 0 0 2

61

ภาคผนวก ง เอกสารระบการปฏบตตามหลกการควบคมทางดานความมนคงปลอดภยของมาตรฐาน ISO/IEC 27001 5. นโยบายความมนคงปลอดภย (Security policy)

ล าดบ หวขอ การบรหารจดการ

น ามาใช การประยกตใช 5.1 นโยบายความมนคงปลอดภยส าหรบสารสนเทศ (Information security policy)

1 5.1.1 เอกสารนโยบายความมนคงปลอดภยทเปนลายลกษณอกษร (Information security policy document) (ผบรหารองคกร) ตองจดท านโยบายความมนคงปลอดภยส าหรบสารสนเทศขององคกรอยางเปนลายลกษณอกษร เอกสารนโยบายตองไดรบการอนมตจากผบรหารขององคกรกอนน าไปใชงานและตองเผยแพรใหพนกงานและหนวยงานภายนอก ทงหมดทเกยวของไดรบทราบ

จดท านโยบาย และแนวทางปฏบตในการรกษาความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศเปนลายลกษณอกษร

2 5.1.2 การทบทวนนโยบายความมนคงปลอดภย (Review of the information security policy) (ผบรหารองคกร) ตองด าเนนการทบทวนนโยบายความมนคงปลอดภยตามระยะเวลาทก าหนดไว หรอเมอมการเปลยนแปลงทส าคญตอองคกร

หลงจากจดท านโยบายวางแผนใหมการทบทวนเมอมการเปลยนแปลงทส าคญตอองคกร

62

6. โครงสรางทางดานความมนคงปลอดภยส าหรบองคกร (Organization of information security)


น ามาใช การประยกตใช 6.1 โครงสรางทางดานความมนคงปลอดภยภายในองคกร (Internal organization)

3 6.1.1 การใหความส าคญของผบรหารและการก าหนดใหมการบรหารจดการทางดานความมนคงปลอดภย (Management commitment to information security) (ผบรหารองคกร) ตองใหความส าคญและใหการสนบสนนตอการบรหารจดการทางดานความมนคงปลอดภย โดยมการก าหนดทศทางทชดเจน การมอบหมายงานทเหมาะสมตอบคลากร และการเลงเหนถงความส าคญของหนาทและความรบผดชอบในการสรางความมนคงปลอดภยใหกบสารสนเทศ

ผบรหารใหความส าคญและใหการสนบสนนตอการบรหารจดการการรกษาความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศ โดยการก าหนดหนาทความรบผดชอบใหผบรหารทดแลระบบสารสนเทศนนๆ

4 6.1.2 การประสานงานความมนคงปลอดภยภายในองคกร (Information security coordination) (ผบรหารสารสนเทศ) ตองก าหนดใหมตวแทนพนกงานจากหนวยงานตางๆ ภายในองคกรเพอประสานงานหรอรวมมอกนในการสรางความมนคงปลอดภยใหกบ สารสนเทศขององคกร โดยทตวแทนเหลานนจะมบทบาทและลกษณะงานทรบผดชอบ ทแตกตางกน

ก าหนดหนาทความรบผดชอบการบรหารจดการทางดานความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศ ใหผบรหารทดแลระบบสารสนเทศนนๆ

63


น ามาใช การประยกตใช 5 6.1.3 การก าหนดหนาทความ

รบผดชอบทางดานความมนคงปลอดภย (Allocation of information security responsibilities) (ผบรหารสารสนเทศ) ตองก าหนดหนาทความรบผดชอบของพนกงานในการด าเนนงานทางดานความมนคงปลอดภยส าหรบสารสนเทศขององคกรไวอยางชดเจน

ก าหนดหนาทความรบผดชอบการบรหารจดการการรกษาความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศ ใหผบรหารทดแลระบบสารสนเทศนนๆ

6 6.1.4 กระบวนการในการอนมตการใชงานอปกรณประมวลผลสารสนเทศ (Authorization process for information processing facilities) (ผบรหารสารสนเทศ) ตองก าหนดกระบวนการในการอนมตการใชงานอปกรณประมวลผลสารสนเทศใหมและบงคบใหมการใชงานกระบวนการน

การใชงานอปกรณประมวลผลสารสนเทศใหม ตองผานการอนมตจากผบรหาร

7 6.1.5 การลงนามมใหเปดเผยความลบขององคกร (Confidentiality Agreements) (หวหนางานบคคล) ตองจดใหมการลงนามในขอตกลงระหวางพนกงานกบองคกรวาจะไมเปดเผยความลบขององคกร รวมทงเงอนไขหรอขอก าหนดตางๆ ทเกยวของกบการไมเปดเผยความลบจะตองไดรบการปรบปรงอยางสม าเสมอเพอใหสอดคลองกบความตองการขององคกร

มการระบไมใหเปดเผยความลบขององคกรในสญญาจางงาน

64


น ามาใช การประยกตใช 8 6.1.6 การมรายชอและขอมลส าหรบ

การตดตอกบหนวยงานอน (Contact with authorities) (ผบรหารสารสนเทศ) ตองมรายชอและขอมลส าหรบตดตอกบหนวยงานอนๆ เชน ส านกงานต ารวจแหงชาต สภาความมนคงแหงชาต ผใหบรการอนเทอรเนต (Internet Service Provider) เพอใชส าหรบการตดตอประสานงานทางดานความมนคงปลอดภยในกรณทมความจ าเปน

มการระบรายชอองคกร และหนวยงานทจ าเปนตองตดตอกรณเกดปญหา เชน สถานต ารวจ และผสนบสนนระบบสารสนเทศ

9 6.1.7 การมรายชอและขอมลส าหรบการตดตอกบกลมทมความสนใจเปนพเศษในเรองเดยวกน (Contact with special interest groups) (ผบรหารองคกรและหวหนางานสารสนเทศ) ตองมรายชอและขอมลส าหรบการตดตอกบกลมทความสนใจดานความมนคงปลอดภยสารสนเทศ หรอสมาคมตางๆ ในอตสาหกรรมทองคกรมสวนรวม

มการระบรายชอองคกร หรอสมาคมตางๆทองคกรกรณศกษามสวนรวม

65


น ามาใช การประยกตใช 10 6.1.8 การทบทวนดานความมนคง

ปลอดภยส าหรบสารสนเทศโดยผตรวจสอบอสระ (Independent review of information security) (ผบรหารสารสนเทศ) ตองก าหนดใหมการตรวจสอบการบรหารจดการการด าเนนงาน และการปฏบตทเกยวของกบความมนคงปลอดภยส าหรบสารสนเทศโดยผตรวจสอบอสระตามรอบระยะเวลาทก าหนดไว หรอเมอมการเปลยนแปลงทมความส าคญมากตอองคกร

มแผนการจดท านโยบาย และแนวทางปฏบตในการมอบหมายหนาทตรวจสอบการรกษาความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศใหพนกงานภายใน

6.2 โครงสรางทางดานความมนคงปลอดภยทเกยวของกบลกคาหรอหนวยงานภายนอก (External parties)

11 6.2.1 การประเมนความเสยงของการเขาถงสารสนเทศโดยหนวยงานภายนอก (Identification of risks related to external parties) (หวหนางานสารสนเทศ) ตองก าหนดใหมการประเมนความเสยงอนเกดจากการเขาถงสารสนเทศ หรออปกรณทใชในการประมวลผลสารสนเทศโดยหนวยงานภายนอก และก าหนดมาตรการรองรบหรอแกไขทเหมาะสมกอนทจะอนญาตใหสามารถเขาถงได

มแผนการจดท านโยบาย และแนวทางปฏบตในการอนญาตใหหนวยงานภายนอกเขาถงสารสนเทศขององคกร ซงรวมถงเรองการประเมนความเสยงการเขาถงสารสนเทศโดยหนวยงานภายนอก

66


น ามาใช การประยกตใช 12 6.2.2 การระบขอก าหนดส าหรบลกคา

หรอผใชบรการทเกยวของกบความมนคงปลอดภยส าหรบสารสนเทศขององคกร (Addressing security when dealing with customers) (หวหนางานสารสนเทศ) ตองระบขอก าหนดทางดานความมนคงปลอดภยส าหรบสารสนเทศขององคกร เมอมความจ าเปนตองใหลกคาหรอผใชบรการเขาถงสารสนเทศหรอทรพยสนสารสนเทศขององคกร กอนทจะอนญาตใหสามารถเขาถงได

ไมมการใหลกคาหรอผใชบรการเขาถงสารสนเทศหรอทรพยสนสารสนเทศขององคกร

13 6.2.3 การระบและจดท าขอก าหนดส าหรบหนวยงานภายนอกทเกยวของกบความมนคงปลอดภยส าหรบสารสนเทศขององคกร (Addressing security in third party agreements) (หวหนางานสารสนเทศ) ตองระบและจดท าขอก าหนดหรอขอตกลงทเกยวของกบความมนคงปลอดภยส าหรบสารสนเทศระหวางองคกรและหนวยงานภายนอกเมอมความจ าเปนตองใหหนวยงานนนเขาถงสารสนเทศหรออปกรณประมวลผลสารสนเทศขององคกร กอนทจะอนญาตใหสามารถเขาถงได

มแผนการจดท านโยบาย และแนวทางปฏบตในการอนญาตใหหนวยงานภายนอกเขาถงสารสนเทศขององคกร ซงรวมถงขอก าหนดหรอขอตกลงในการเขาถงสารสนเทศโดยหนวยงานภายนอก

67

7. การบรหารจดการทรพยสนขององคกร (Asset management)

ล าดบ หวขอ ระดบการบรหารจดการ

น ามาใช การประยกตใช 7.1 หนาทความรบผดชอบตอทรพยสนขององคกร (Responsibility for assets)

14 7.1.1 การจดท าบญชทรพยสน (Inventory of assets) (หวหนางานพสดและหวหนางานสารสนเทศ) ตองจดท าและปรบปรงแกไขบญชทรพยสนทมความส าคญตอองคกรใหถกตองอยเสมอ

มการจดท าบญชทรพยสนโดยหนวยงานพสด และมแผนมอบหมายหนาทความรบผดชอบเพมเตมใหผบรหารทดแลระบบสารสนเทศนนๆ

15 7.1.2 การระบผเปนเจาของทรพยสน (Ownership of assets) (หวหนางานพสดและหวหนางานสารสนเทศ) ตองจดใหมการระบผเปนเจาของสารสนเทศ และทรพยสนทเกยวของกบการประมวลผลสารสนเทศตามทก าหนดไวในบญชทรพยสน

ก าหนดผเปนเจาของทรพยสนสารสนเทศใหผบรหารทดแลระบบสารสนเทศนนๆ

16 7.1.3 การใชงานทรพยสนทเหมาะสม (Acceptable use of assets) (หวหนางานพสดและหวหนางานสารสนเทศ) จะตองจดท ากฎ ระเบยบ หรอหลกเกณฑอยางเปนลายลกษณอกษรส าหรบการใชงานสารสนเทศและทรพยสนทเกยวของกบการประมวลผลสารสนเทศอยางเหมาะสม เพอปองกนความเสยหายตอทรพยสนเหลานน เชน อนเกดจากการขาดความระมดระวง การขาดการดแล และเอาใจใส เปนตน

มแผนการจดท านโยบาย และแนวทางปฏบตในการใชงานทรพยสนสารสนเทศอยางเหมาะสม

68


น ามาใช การประยกตใช 7.2 การจดหมวดหมสารสนเทศ (Information classification)

17 7.2.1 การจดหมวดหมทรพยสนสารสนเทศ (Classification guidelines) (หวหนางานสารสนเทศ) จะตองจดใหมกระบวนการในการจดหมวดหมของทรพยสนสารสนเทศตามระดบชนความลบ คณคา ขอก าหนดทางกฎหมายและระดบความส าคญทมตอองคกร ทงนเพอจะไดหาวธการในการปองกนไดอยางเหมาะสม

มแผนการจดท านโยบาย และแนวทางปฏบตในการจดหมวดหมทรพยสนสารสนเทศตามระดบชนความลบของขอมล

18 7.2.2 การจดท าปายชอ และการจดการทรพยสนสารสนเทศ (Information labeling and handling) (หวหนางานสารสนเทศ) จะตองจดใหมข นตอนปฏบตในการจดท าปายชอ และการจดการทรพยสนสารสนเทศตามทไดจดหมวดหมไวแลว

มแผนการจดท านโยบาย และแนวทางปฏบตในการปายระดบชนความลบของขอมลลงในทรพยสน

69

8. ความมนคงปลอดภยทเกยวของกบบคลากร (Human resources security)


น ามาใช การประยกตใช 8.1 การสรางความมนคงปลอดภยกอนการจางงาน (Prior to employment)

19 8.1.1 การก าหนดหนาทความรบผดชอบดานความมนคงปลอดภย (Roles and responsibilities) (หวหนางานสารสนเทศ) ตองก าหนดหนาทและความรบผดชอบทางดานความมนคงปลอดภยส าหรบสารสนเทศอยางเปนลายลกษณอกษรส าหรบพนกงานผทองคกรท าสญญาวาจาง และ/หรอหนวยงานภายนอกทองคกรตองการวาจางมาปฏบตงานใหองคกร

มการก าหนดหนาทความรบผดชอบทางดานความมนคงปลอดภยลงในสญญาจางงาน

20 8.1.2 การตรวจสอบคณสมบตของผสมคร (Screening) (หวหนางานบคคลและหนวยงานภายในทตองการวาจาง) ตองท าการตรวจสอบคณสมบตของผสมคร (ทงกรณการจางงานเปนพนกงาน การวาจางในลกษณะของสญญา และการวาจางหนวยงานภายนอก) โดยละเอยด เชน ตรวจสอบจากจดหมายรบรอง ประวตการท างาน วฒการศกษา บคคล หรอบรษททสามารถอางองได การผานการอบรม เปนตน และจะตองพจารณากฎหมาย ระเบยบ จรยธรรม ชนความลบของทรพยสนสารสนเทศ และระดบความเสยงในการเขาถงประกอบการคดเลอกดวย

กระบวนการตรวจสอบคณสมบตของผสมครมความละเอยดมากอยแลว เนองจากเปนการคดเลอกบคลากรเพอปฏบตงานในหนวยงานราชการ

70


น ามาใช การประยกตใช 21 8.1.3 การก าหนดเงอนไขการจางงาน

(Terms and conditions of employment) (หวหนางานบคคลและหนวยงานภายในทตองการวาจาง) ตองก าหนดเงอนไขการจางงาน (ทงกรณการจางงานเปนพนกงาน การวาจางในลกษณะของสญญาและการวาจางหนวยงานภายนอก) ซงรวมถงหนาทความรบผดชอบทางดานความมนคงปลอดภยส าหรบสารสนเทศ และบคลากรทจะไดรบการวาจางดงกลาวจะตองเหนชอบและลงนามในเงอนไขการจางงานนนดวย

มการก าหนดเงอนไขการจางงานในสญญาจาง และขอก าหนดการจางงาน

8.2 การสรางความมนคงปลอดภยในระหวางการจางงาน (During employment) 22 8.2.1 หนาทในการบรหารจดการ

ทางดานความมนคงปลอดภย (Management responsibilities) (ผบรหารองคกร) ตองก าหนดใหพนกงานทไดรบการวาจางตามสญญาการ จางงานและผทมาปฏบตหนาทจากหนวยงานภายนอกปฏบตตามมาตรการการรกษาความมนคงปลอดภย ตามนโยบายและขนตอนปฏบตทางดานความมนคงปลอดภยขององคกร

ผบรหารก ากบดแลใหพนกงานใหความส าคญในการรกษาความมนคงปลอดภยในการใชงานระบบสารสนเทศ

71


น ามาใช การประยกตใช 23 8.2.2 การสรางความตระหนก การให

ความร และการอบรมดานความมนคงปลอดภยใหแกพนกงาน (Information security awareness, education, and training) (หวหนางานบคคลและหวหนางานทเกยวของ) ตองก าหนดใหพนกงานทไดรบการวาจางตามสญญาการจางงาน และผทมาปฏบตหนาทจากหนวยงานภายนอกไดรบการอบรมเพอสรางความตระหนกและเสรมสรางความรทางดานความมนคงปลอดภยอยางสม าเสมอ

มการสรางความตระหนกในการการสรางความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศผานการประชมคณะกรรมการโรงเรยน

24 8.2.3 กระบวนการทางวนยเพอลงโทษ (Disciplinary process) (ผบรหารองคกร) ตองจดใหมกระบวนการทางวนยเพอลงโทษพนกงานทฝาฝนหรอละเมดนโยบาย หรอระเบยบปฏบตทางดานความมนคงปลอดภยขององคกร

มกระบวนการลงโทษทางวนยตามระเบยบมหาวทยาลย

8.3 การสนสดหรอการเปลยนการจางงาน (Termination or change of employment) 25 8.3.1 การสนสดหรอการเปลยนการ

จางงาน (Termination responsibilities) (หวหนางานบคคล) ตองก าหนดหนาทความรบผดชอบส าหรบผทองคกรเลกการจางงานหรอองคกรเปลยนลกษณะการจางงาน และก าหนดใหปฏบตตามหนาทดงกลาว

หนาทความรบผดชอบในการสนสดหรอการเปลยนการจางงานเปนของฝายงานทะเบยน

72


น ามาใช การประยกตใช 26 8.3.2 การคนทรพยสนขององคกร

(Return of assets) (หวหนางานบคคลและหวหนางานพสด) ตองก าหนดใหผทองคกรสนสดการจางงานหรอเปลยนลกษณะการจางงานคนทรพยสนขององคกรทอยในความครอบครองของตน

พนกงานทส นสดการจางงานตองคนทรพยสนขององคกร เมอสนสดการจางงาน

27 8.3.3 การถอดถอนสทธในการเขาถง (Removal of access rights) (หวหนางานสารสนเทศและหวหนางานอาคาร) ตองท าการถอดถอนสทธในการเขาถงสารสนเทศและทรพยสนสารสนเทศของผทองคกรสนสดการจางงานหรอเปลยนลกษณะการจางงาน

ก าหนดหนาทความรบผดชอบในการการถอดถอนสทธในการเขาถงสารสนเทศและทรพยสนสารสนเทศใหผบรหารทดแลระบบสารสนเทศนนๆ

9. การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม (Physical and environmental security)


น ามาใช การประยกตใช 9.1 บรเวณทตองมการรกษาความมนคงปลอดภย (Secure areas)

28 9.1.1 การจดท าบรเวณลอมรอบ (Physical security perimeter) (หวหนางานสารสนเทศ และหวหนางานอาคาร) ตองมการจดสรรพนทก นบรเวณ จดท าผนงหรอก าแพงลอมรอบ จดท าประตทางเขา-ออกทม การควบคมตงโตะท าการของ รปภ. บรเวณทางเขา-ออกของส านกงาน เปนตน เพอปองกนการเขาถงสารสนเทศและอปกรณประมวลผลสารสนเทศขององคกร

มการเลอกพนทในการจดเกบระบบสารสนเทศทปลอดภย มบรเวณลอมรอบ, ประตทางเขาออก และพนกงานรกษาความปลอดภย

73


น ามาใช การประยกตใช 29 9.1.2 การควบคมการเขา-ออก

(Physical entry controls) (หวหนางานสารสนเทศ และหวหนางานอาคาร) ตองจดใหมการควบคมการเขา-ออกในบรเวณหรอพนททตองการรกษาความปลอดภย และอนญาตใหผานเขา-ออกไดเฉพาะผทไดรบอนญาตแลวเทานน

มการควบคมการเขาออกพนทในการจดเกบระบบสารสนเทศใหถงไดเฉพาะผทไดรบอนญาต

30 9.1.3 การรกษาความมนคงปลอดภยส าหรบส านกงาน หองท างาน และทรพยสนอนๆ (Securing offices, rooms and facilities) (หวหนางานอาคาร) ตองจดใหมการสรางความมนคงปลอดภยทางกายภาพตอส านกงานหองท างานและทรพยสนอนๆ

มการจดสรรพนทในการจดเกบระบบสารสนเทศใหมความปลอดภย

31 9.1.4 การปองกนภยคกคามจากภายนอกและสงแวดลอม (Protecting against external and environmental threats) (หวหนางานอาคาร) ตองจดใหมการปองกนตอภยคกคามตางๆ ไดแก ไฟไหมน าทวม แผนดนไหว การระเบด ความไมสงบของบานเมอง หรอหายนะอนๆ ทงทเกดจากมนษยและธรรมชาต

มการเลอกพนทในการจดเกบระบบสารสนเทศทปลอดภยทม ปองกนตอภยคกคามตางๆ

32 9.1.5 การปฏบตงานในพนททตองรกษาความมนคงปลอดภย (Working in secure areas) (หวหนางานอาคาร) ตองจดใหมการปองกนทางกายภาพและแนวทางส าหรบการปฏบตงาน ในพนททตองรกษาความมนคงปลอดภย

มแนวทางปฏบตงานส าหรบพนทในการจดเกบระบบสารสนเทศ

74


น ามาใช การประยกตใช 33 9.1.6 การจดบรเวณส าหรบการเขาถง

หรอการสงมอบผลตภณฑโดยบคคลภายนอก (Public access, delivery, and loading areas) (หวหนางานอาคาร และหวหนางานสารสนเทศ) ตองจดบรเวณส าหรบการเขาถงหรอการสงมอบผลตภณฑโดยบคคลภายนอก เพอปองกนการเขาถงทรพยสนสารสนเทศขององคกรโดยไมไดรบอนญาต และถาเปนไปได ควรจดเปนบรเวณแยกออกมาตางหาก

มการจดบรเวณส าหรบการเขาถง หรอการสงมอบผลตภณฑโดยบคคลภายนอก

5.2 ความมนคงปลอดภยของอปกรณ (Equipment security) 34 9.2.1 การจดวางและการปองกน

อปกรณ (Equipment siting and protection) (พนกงาน) ตองจดวางและปองกนอปกรณของส านกงานเพอลดความเสยงจากภยคกคามทางดานสงแวดลอมและอนตรายตางๆ รวมทงความเสยงในการเขาถงอปกรณโดยไมไดรบอนญาต

มการเลอกพนทในการจดเกบระบบสารสนเทศทปลอดภยทม ปองกนตอภยคกคามตางๆ

35 9.2.2 ระบบและอปกรณสนบสนนการท างาน (Supporting utilities) (หวหนางานสารสนเทศ) ตองก าหนดใหมกลไกการปองกนการลมเหลวของระบบและอปกรณสนบสนนตางๆ ไดแก ระบบกระแสไฟฟา ระบบน าประปา ระบบควบคมอณหภม ระบบระบายอากาศ ระบบปรบอากาศ ระบบกระแสไฟฟาส ารองระบบสายสอสารส ารอง เปนตน

มการเลอกพนทในการจดเกบระบบสารสนเทศทมกลไกการปองกนการลมเหลวของระบบและอปกรณสนบสนนตางๆ

75


น ามาใช การประยกตใช 36 9.2.3 การเดนสายไฟ สายสอสาร

และสายเคเบลอนๆ (Cabling security) (หวหนางานอาคาร และหวหนางานสารสนเทศ) ตองก าหนดใหการเดนสายไฟฟา สายสอสาร และสายเคเบลอนๆ ไดรบการปองกนจากการเขาถงโดยไมไดรบอนญาต การท าใหเกดอปสรรคตอสายสญญาณ หรอการท าใหสายสญญาณเหลานนเสยหาย

มการเลอกพนทในการจดเกบระบบสารสนเทศทมมาตรฐานการในเดนสายไฟ และสายสญญาณ

37 9.2.4 การบ ารงรกษาอปกรณ (Equipment maintenance) (หวหนางานสารสนเทศ) ตองก าหนดใหมการบ ารงรกษาอปกรณตางๆ อยางสม าเสมอเพอใหอปกรณท างานไดอยางตอเนองและอยในสภาพทม ความสมบรณตอการใชงาน

มการบ ารงรกษาใหอปกรณพรอมใชงานอยางสม าเสมอ

38 9.2.5 การปองกนอปกรณทใชงานอยนอกส านกงาน (Security of equipment off-premises) (หวหนางานสารสนเทศ) ตองก าหนดใหมการปองกนอปกรณตางๆ ทใชงานอยนอกส านกงานเพอไมใหเกดความเสยหายตออปกรณเหลานน การปองกนให พจารณาจากความเสยงตางๆ ทมตออปกรณเหลานน

การน าอปกรณสารสนเทศขององคกรออกนอกสถานทตองผานการอนมตจากผบรหาร

76


น ามาใช การประยกตใช 39 9.2.6 การก าจดอปกรณหรอการน า

อปกรณกลบมาใชงานอกครง (Secure disposal or re-use of equipment) (พนกงาน) ตองตรวจสอบอปกรณทมส อบนทกขอมลเพอดวาขอมลส าคญและซอฟตแวรลขสทธทเกบอยในสอบนทกดงกลาวไดถกลบทง หรอถกบนทกทบกอนทจะทงอปกรณดงกลาวไป ทงนเพอเปนการปองกนขอมลดงกลาวหากมการน าอปกรณกลบมาใชงานอกครง

มแผนการจดท านโยบาย และแนวทางปฏบตในการก าจดอปกรณหรอการน าอปกรณกลบมาใชงานอกครง

40 9.2.7 การน าทรพยสนขององคกรออกนอกส านกงาน (Removal of property) (หวหนางานอาคาร) ตองไมอนญาตการน าทรพยสนขององคกร ไดแก อปกรณสารสนเทศ หรอซอฟตแวร ออกนอกองคกร เวนเสยแตจะไดรบอนญาตแลวเทานน

การน าอปกรณสารสนเทศขององคกรออกนอกสถานทตองผานการอนมตจากผบรหาร

77

10. การบรหารจดการดานการสอสารและการด าเนนงานของเครอขายสารสนเทศขององคกร (Communications and operations management)


น ามาใช การประยกตใช 10.1 การก าหนดหนาทความรบผดชอบและขนตอนการปฏบตงาน (Operational procedures and responsibilities)

41 10.1.1 ขนตอนการปฏบตงานทเปนลายลกษณอกษร (Documented operating procedures) (หวหนางานสารสนเทศ) ตองจดท าคมอขนตอนการปฏบตงาน ปรบปรงตามระยะเวลาอนสมควร และแจกจายใหกบผทเกยวของ

มขนตอนปฏบตงานอยในระบบสารสนเทศ และมแผนการจดท าเอกสารขอมลระบบงาน

42 10.1.2 การควบคมการเปลยนแปลง ปรบปรง หรอแกไขระบบหรออปกรณประมวลผลสารสนเทศ (Change management) (หวหนางานสารสนเทศ) ตองก าหนดใหมการควบคมการเปลยนแปลง ปรบปรงหรอแกไขระบบหรออปกรณประมวลผลสารสนเทศ

การเปลยนแปลงระบบสารสนเทศตองผานการอนมตจากผบรหาร

43 10.1.3 การแบงหนาทความรบผดชอบ (Segregation of duties) (ผทเปนเจาของกระบวนการทางธรกจ) ตองก าหนดใหมการแบงหนาทความรบผดชอบเพอลดโอกาสในการเปลยนแปลงหรอแกไขโดยไมไดรบอนญาตหรอใชผดวตถประสงคตอทรพยสนสารสนเทศขององคกร

มการแบงแยกหนาทความรบผดชอบ และแบงสทธในการเขาถงระบบ

78


น ามาใช การประยกตใช 44 10.1.4 การแยกระบบส าหรบการ

พฒนา การทดสอบ และการใหบรการออกจากกน (Separation of development, test, and operational facilities) (หวหนางานสารสนเทศ) ตองจดใหมการแยกระบบส าหรบการพฒนาการทดสอบ และการใหบรการจรงออกจากกน เพอลดความเสยงในการเขาถงหรอเปลยนแปลงแกไขตอระบบส าหรบการใหบรการจรงโดยไมไดรบอนญาต

มการแยกระบบทดสอบ และระบบใหบรการออกจากกน

10.2 การบรหารจดการการใหบรการของหนวยงานภายนอก (Third party service delivery management)

45 10.2.1 การใหบรการโดยหนวยงานภายนอก (Service delivery) (หวหนางานสารสนเทศ) ตองก าหนดใหผใหบรการจากภายนอกปฏบตตามขอก าหนดหรอขอตกลงทจดท าขนระหวางองคกรและผใหบรการ ขอตกลงควรกลาวถงมาตรการการรกษาความมนคงปลอดภย ลกษณะของการใหบรการ และระดบของการใหบรการ

มแผนการจดท านโยบาย และแนวทางปฏบตเรองขอก าหนดทางดานความมนคงปลอดภยในการใหบรการของหนวยงานภายนอก

46 10.2.2 การตรวจสอบการใหบรการโดยหนวยงานภายนอก (Monitoring and review of third party services) (หวหนางานสารสนเทศ) ตองตรวจสอบการใหบรการโดยหนวยงานภายนอกอยางสม าเสมอ เชน การดจากการใหบรการ การศกษาจากรายงานและขอมลตางๆทก าหนดใหบนทกไว เปนตน

มแผนการใหหนวยงานภายนอกรายงานผลการใหบรการ

79


น ามาใช การประยกตใช 47 10.2.3 การบรหารจดการการ

เปลยนแปลงในการใหบรการ (Managing changes to third party services) (ผบรหารสารสนเทศ) ตองก าหนดใหท าการปรบปรงเงอนไขการใหบรการของหนวยงานภายนอกเมอมการเปลยนแปลงทส าคญตอระบบหรอกระบวนการทเกยวของกบงานใหบรการของหนวยงานภายนอก เชน การปรบปรงระบบสารสนเทศใหม การพฒนาระบบสารสนเทศใหม การปรบปรงนโยบายและขนตอนปฏบตส าหรบการรกษาความมนคงปลอดภย การเปลยนเทคโนโลยใหม การใชผลตภณฑใหม เปนตนซงมผลกระทบตอการด าเนนงานของผใหบรการจากภายนอก

มแผนการทบทวนการเปลยนแปลงทสงผลตอการใหบรการของหนวยงานภายนอก

10.3 การวางแผนและการตรวจรบทรพยากรสารสนเทศ (System planning and acceptance)

48 10.3.1 การวางแผนความตองการทรพยากรสารสนเทศ (Capacity management) (หวหนางานสารสนเทศ) ตองมการวางแผนเพอก าหนดความตองการทรพยากรสารสนเทศเพมเตมในอนาคตเพอใหระบบมประสทธภาพทเหมาะสมและเพยงพอตอการใชงาน

วางแผนความตองการใชงานทรพยากรสารสนเทศ จากแนวโนมการใชงานระบบสารสนเทศ

80


น ามาใช การประยกตใช 49 10.3.2 การตรวจรบระบบ (System

acceptance) (หวหนางานสารสนเทศ) ตองจดใหมเกณฑในการตรวจรบระบบสารสนเทศใหม ทปรบปรงเพมเตม หรอทเปนรนใหม รวมทงตองด าเนนการทดสอบกอนทจะรบระบบนนมาใชงาน

มการตรวจรบระบบตามการใชงานทไดออกแบบไว กอนน ามาใชจรง

10.4 การปองกนโปรแกรมทไมประสงคด (Protection against malicious and mobile code)

50 10.4.1 การปองกนโปรแกรมทไมประสงคด (Controls against malicious code) (ผดแลระบบ) ตองมมาตรการส าหรบการตรวจจบ การปองกน และการกกลบคน เพอปองกนทรพยสนสารสนเทศจากโปรแกรมทไมประสงคด รวมทงตองมการสรางความตระหนกทเกยวของใหกบผใชงานดวย

ใชระบบปฏบตการ Unix

51 10.4.2 การปองกนโปรแกรมชนดเคลอนท (Controls against mobile code) (ผดแลระบบ) ตองมมาตรการเพอควบคมการใชงานโปรแกรมชนดเคลอนท เชน โปรแกรมทใชในการท างานของ Website อยางJava Script ใหเปนไปตามนโยบายความมนคงปลอดภยขององคกร และตองปองกนไมใหโปรแกรมชนดเคลอนทอนๆ สามารถท างานหรอใชงานได

ใชระบบปฏบตการ Unix

81


น ามาใช การประยกตใช 10.5 การส ารองขอมล (Back-up)

52 10.5.1 การส ารองขอมล (Information back-up) (หวหนางานสารสนเทศ) ตองจดใหมการส ารองและทดสอบขอมลทส ารองเกบไวอยางสม าเสมอ

มการส ารองขอมลระบบ และมแผนการจดท านโยบาย และแนวทางปฏบตในการทดสอบขอมลทส ารองไว

10.6 การบรหารจดการทางดานความมนคงปลอดภยส าหรบเครอขายขององคกร (Network security management)

53 10.6.1 มาตรการทางเครอขาย (Network controls) (ผดแลระบบ) ตองบรหารและจดการเครอขาย ก าหนดมาตรการเพอปองกนภยคกคามตางๆ ทางเครอขาย และดแลรกษาความมนคงปลอดภยส าหรบระบบและแอปพลเคชนทใชงานเครอขาย รวมทงสารสนเทศตางๆ ทสงผานทางเครอขาย

มการควบคมการใชงานเครอขาย

54 10.6.2 ความมนคงปลอดภยส าหรบบรการเครอขาย (Security of network services) (หวหนางานสารสนเทศ) ตองก าหนดคณสมบตทางดานความมนคงปลอดภยระดบการใหบรการ และขอก าหนดในการบรหารจดการส าหรบบรการเครอขายทงหมดทองคกรใชบรการอย และตองก าหนดไวในขอตกลงในการใหบรการเครอขายโดยทบรการเครอขายเหลานอาจจะเปนบรการเครอขายภายในขององคกรเองหรอบรการทไดรบจากหนวยงานภายนอก

มการก าหนดระดบการใหบรการระบบเครอขาย

82


น ามาใช การประยกตใช 10.7 การจดการสอทใชในการบนทกขอมล (Media handling)

55 10.7.1 การบรหารจดการสอบนทกขอมลทสามารถเคลอนยายได (Management of removable media) (หวหนางานสารสนเทศ) ตองก าหนดขนตอนปฏบตส าหรบบรหารจดการสอบนทกขอมลทสามารถเคลอนยายได

มจดท านโยบาย และแนวทางปฏบตในการจดการสอบนทกขอมลทสามารถเคลอนยายได

56 10.7.2 การก าจดสอบนทกขอมล (Disposal of media) (หวหนางานสารสนเทศ) ตองก าหนดขนตอนปฏบตส าหรบการท าลายสอบนทกขอมลทไมมความจ าเปนตองใชงานอกตอไปแลว การท าลายตองเปนไปอยางมนคงและปลอดภย

มแผนการจดท านโยบาย และแนวทางปฏบตในการก าจดขอมลสารสนเทศออกจากสอบนทกขอมลเมอเลกใช

57 10.7.3 ขนตอนปฏบตส าหรบการจดการสารสนเทศ (Information handling procedures) (หวหนางานสารสนเทศ) ตองก าหนดขนตอนปฏบตส าหรบการจดการและการจดเกบสารสนเทศ เพอปองกนการเขาถงโดยไมไดรบอนญาตหรอการใชงานผดวตถประสงค

มแผนการจดท านโยบาย และแนวทางปฏบตในการจดการสารสนเทศ

58 10.7.4 การสรางความมนคงปลอดภยส าหรบเอกสารระบบ (Security of system documentation) (หวหนางานสารสนเทศ) ตองก าหนดมาตรการปองกนเอกสารระบบจากการเขาถงโดยไมไดรบอนญาต

มการจดเกบเอกสารระบบไวในระบบสารสนเทศ

83


น ามาใช การประยกตใช 10.8 การแลกเปลยนสารสนเทศ (Exchange of information)

59 10.8.1 นโยบายและขนตอนปฏบตส าหรบการแลกเปลยนสารสนเทศ (Information exchange policies and procedures)(ผบรหารองคกร) ตองก าหนดนโยบาย ขนตอนปฏบต และมาตรการรองรบเพอปองกนปญหาของการแลกเปลยนสารสนเทศระหวางองคกร โดยผานทางชองทางการสอสารทกชนด

ไมมการแลกเปลยนสารสนเทศระหวางองคกร

60 10.8.2 ขอตกลงในการแลกเปลยนสารสนเทศ (Exchange agreements) (หวหนางานสารสนเทศ) ตองจดท าขอตกลงในการแลกเปลยนสารสนเทศและซอฟตแวรระหวางองคกรอยางเปนลายลกษณอกษร

ไมมการแลกเปลยนสารสนเทศระหวางองคกร

61 10.8.3 การสงสอบนทกขอมลออกไปนอกองคกร (Physical media in transit) (หวหนางานสารสนเทศและหวหนางานธรการ) ตองปองกนสอบนทกขอมลจากการเขาถงโดยไมไดรบอนญาตการใชงานผดวตถประสงค และการท าใหขอมลเกดความเสยหายในระหวางทสงขอมลนนออกไปนอกองคกร

ไมมการสงสอบนทกขอมลออกไปนอกองคกร

62 10.8.4 การสงขอความทางอเลกทรอนกส (Electronic messaging) (หวหนางานสารสนเทศ) ตองก าหนดมาตรการในการปองกนสารสนเทศทมการสงผานทางขอความอเลกทรอนกส

ไมมการสงขอความทางอเลกทรอนกส

84


น ามาใช การประยกตใช 63 10.8.5 ระบบสารสนเทศทางธรกจท

เชอมโยงกน (Business information systems) (ผบรหารสารสนเทศ) ตองก าหนดนโยบายและขนตอนปฏบตเพอปองกนสารสนเทศทเกยวของกบระบบสารสนเทศทางธรกจทเชอมโยงกน

ไมมเชอมโยงระบบกบระบบสารสนเทศทอน

10.9 การสรางความมนคงปลอดภยส าหรบบรการพาณชยอเลกทรอนกส (Electronic commerce services)

64 10.9.1 การพาณชยอเลกทรอนกส (Electronic commerce)(หวหนางานสารสนเทศ) ตองก าหนดมาตรการส าหรบการปองกนสารสนเทศของระบบพาณชยอเลกทรอนกสทมการสงผานทางเครอขายสาธารณะจากการฉอโกงการปฏเสธ การเปดเผย และการเปลยนแปลงแกไขโดยไมไดรบอนญาต

ไมมการใชงานการพาณชยอเลกทรอนกส

65 10.9.2 การท าธรกรรมออนไลน (On-line transactions) (หวหนางานสารสนเทศ) ตองก าหนดมาตรการส าหรบการปองกนสารสนเทศทรบ-สงทเกยวของกบการท าธรกรรมออนไลน ทงนเพอปองกนไมใหเกดความไมสมบรณของสารสนเทศทรบ-สง สารสนเทศถกสงไปผดเสนทางบนเครอขายการเปลยนแปลงสารสนเทศโดยไมไดรบอนญาต การเปดเผยสารสนเทศโดยไมไดรบอนญาต หรอการท าส าเนาสารสนเทศโดยไมไดรบอนญาต

มแผนการจดท านโยบาย และแนวทางปฏบตในการปองกนระบบสารสนเทศทเปนการท าธรกรรมออนไลน

85


น ามาใช การประยกตใช 66 10.9.3 สารสนเทศทมการเผยแพร

ออกสสาธารณะ (Publicly available information) (ผดแลระบบ) ตองก าหนดใหมการปองกนความถกตองและความสมบรณของสารสนเทศทม การเผยแพรออกสสาธารณะ

มการตรวจสอบขอมลกอนเผยแพรออกสสาธารณะ

10.10 การเฝาระวงทางดานความมนคงปลอดภย (Monitoring) 67 10.10.1 การบนทกเหตการณท

เกยวของกบการใชงานสารสนเทศ (Audit logging)(หวหนางานสารสนเทศ) ตองก าหนดใหท าการบนทกกจกรรมการใชงานของผใชการปฏเสธการใหบรการของระบบ และเหตการณตางๆ ทเกยวของกบความมนคงปลอดภยอยางสม าเสมอตามระยะเวลาทก าหนดไว

จดเกบขอมลบนทกเหตการณในการเขาใชงานระบบ

68 10.10.2 การตรวจสอบการใชงานระบบ (Monitoring system use) (หวหนางานสารสนเทศ) ตองก าหนดใหมข นตอนปฏบต เพอตรวจสอบการใชงานทรพยสนสารสนเทศอยางสม าเสมอ เพอดวามสงผดปกตเกดขนหรอไม

ตรวจสอบความพรอมใชงานระบบสารสนเทศ

69 10.10.3 การปองกนขอมลบนทกเหตการณ (Protection of log information) (หวหนางานสารสนเทศ) ตองก าหนดใหมมาตรการปองกนขอมลบนทกกจกรรมหรอเหตการณตางๆ ทเกยวของกบการใชงานสารสนเทศ เพอปองกนการเปลยนแปลงหรอการแกไขโดยไมไดรบอนญาต

จ ากดสทธการเขาถงขอมลบนทกเหตการณ

86


น ามาใช การประยกตใช 70 10.10.4 บนทกกจกรรมการ

ด าเนนงานของเจาหนาททเกยวของกบระบบ (Administrator and operator logs) (หวหนางานสารสนเทศ) ตองก าหนดใหมการบนทกกจกรรมการด าเนนงานของผดแลระบบหรอเจาหนาททเกยวของกบระบบอนๆ

บนทกกจกรรมการด าเนนงานของผดแลระบบ

71 10.10.5 การบนทกเหตการณขอผดพลาด (Fault logging) (หวหนางานสารสนเทศ) ตองก าหนดใหมการบนทกเหตการณขอผดพลาดตางๆ ทเกยวของกบการใชงานสารสนเทศ วเคราะหขอผดพลาดเหลานน และด าเนนการแกไขตามสมควร

มแผนจดท านโยบาย และแนวทางปฏบตในการบนทก และวเคราะหเพอแกไขปญหา

72 10.10.6 การตงเวลาของเครองคอมพวเตอรใหตรงกน (Clock synchronization) (ผดแลระบบ) ตองตงเวลาของเครองคอมพวเตอรทกเครองในส านกงานใหตรงกนโดยอางองจากแหลงเวลาทถกตองเพอชวยในการตรวจสอบชวงเวลาหากเครองคอมพวเตอรขององคกรถกบกรก

ตงเวลาของเครองใหตรงกน

87

11. การควบคมการเขาถง (Access control)


น ามาใช การประยกตใช 11.1 ขอก าหนดทางธรกจส าหรบการควบคมการเขาถงสารสนเทศ (Business requirements for access control)

73 11.1.1 นโยบายการควบคมการเขาถงระบบ (Access control policy) (ผบรหารสารสนเทศ) ตองก าหนดใหมการจดท านโยบายควบคมการเขาถงอยางเปนลายลกษณอกษร และปรบปรงตามระยะเวลาทก าหนดไว การจดท านโยบายนจะพจารณาจากความตองการทางธรกจและทางดานความมนคงปลอดภยในการเขาถงทรพยสนสารสนเทศ

ควบคมการเขาถงระบบสารสนเทศ ตามหนาทความรบผดชอบ

11.2 การบรหารจดการการเขาถงของผใช (User access management) 74 11.2.1 การลงทะเบยนพนกงาน

(User registration) (หวหนางานสารสนเทศ) ตองก าหนดใหมข นตอนปฏบตอยางเปนทางการส าหรบการลงทะเบยนพนกงานใหมเพอใหมสทธตางๆ ในการใชงานตามความจ าเปนรวมทงขนตอนปฏบตส าหรบการยกเลกสทธการใชงาน เชน เมอลาออกไปหรอเปลยนต าแหนงงานภายในองคกร เปนตน

การขอสทธ และยกเลกสทธในระบบสารสนเทศผานผบรหารของพนกงานไปยงผบรหารทดแลระบบสารสนเทศนนๆ

75 11.2.2 การบรหารจดการสทธพเศษของระบบ (Privilege management) (ผดแลระบบ) ตองจดใหมการควบคมและจ ากดสทธสทธพเศษของระบบ ตามความจ าเปนในการใชงาน

ควบคมการใหสทธพเศษของระบบ ตามความจ าเปนในการใชงาน

88


น ามาใช การประยกตใช 76 11.2.3 การบรหารจดการรหสผาน

ส าหรบผใชงาน (User password management) (ผดแลระบบ) ตองจดใหมกระบวนการบรหารจดการรหสผานส าหรบผใชงานอยางเปนทางการ เพอควบคมการจดสรรรหสผานใหแกผใชงานอยางมความมนคงปลอดภย

มแผนการจดท านโยบาย และแนวทางปฏบตในการบรหารจดการรหสผาน

77 11.2.4 การทบทวนสทธการเขาถงของผใชงาน (Review of user access rights) (หวหนางานสารสนเทศ) ตองจดใหมกระบวนการทบทวนสทธการเขาถงของผใชงานระบบอยางเปนทางการตามระยะเวลาทก าหนดไว

มแผนการจดท านโยบาย และแนวทางปฏบตในการทบทวนสทธการเขาถงของผใชงาน

11.3 หนาทความรบผดชอบของผใชงาน (User responsibilities) 78 11.3.1 การใชงานรหสผาน

(Password use) (ผดแลระบบ) ตองก าหนดวธปฏบตทดส าหรบผใชงานในการเลอกและใชงานรหสผาน

มแผนการจดท านโยบาย และแนวทางปฏบตในการบรหารจดการรหสผานส าหรบผใชงาน

79 11.3.2 การปองกนอปกรณทไมมพนกงานดแล (Unattended user equipment) (พนกงาน) ตองมวธเพอปองกนไมใหผไมมสทธสามารถเขาถงอปกรณส านกงานทไมมพนกงานดแล

ปองกนไมใหผไมมสทธสามารถเขาถงอปกรณส านกงานทไมมพนกงานดแล

89


น ามาใช การประยกตใช 80 11.3.3 นโยบายควบคมการไมทง

ทรพยสนสารสนเทศส าคญไวในททไมปลอดภย (Clear desk and clear screen policy) (ผบรหารสารสนเทศ) ตองจดท านโยบายเพอควบคมไมใหมการปลอยใหทรพยสนสารสนเทศทส าคญ อยในสถานททไมปลอดภย เชน สามารถเขาถงไดทางกายภาพ อยในบรเวณทเปนทสาธารณะหรอพบเหนไดงาย เปนตน

ไมทงทรพยสนสารสนเทศส าคญไวในททไมปลอดภย

7.4 การควบคมการเขาถงเครอขาย (Network access control) 81 11.4.1 นโยบายการใชงานบรการ

เครอขาย (Policy on use of network services) (ผบรหารสารสนเทศ) ตองจดท านโยบายการใชงานเครอขายซงจะตองครอบคลมถงการระบวาบรการใดทอนญาตใหผใชงานสามารถใชได บรการใดไมสามารถใชงานได

มแผนการจดท านโยบาย และแนวทางปฏบตในการจ ากดบรการเครอขายทใชงาน

82 11.4.2 การพสจนตวตนส าหรบผใชทอยภายนอกองคกร (User authentication for external connections) (ผดแลระบบ) ตองก าหนดใหมการพสจนตวตนกอนทจะอนญาตใหผใชทอยภายนอกองคกรสามารถเขาใชงานเครอขายและระบบสารสนเทศขององคกรได

มการพสจนตวตนดวยบญชผใชและรหสผานกอนเขาใชงานเครอขายและระบบสารสนเทศ

90


น ามาใช การประยกตใช 83 11.4.3 การพสจนตวตนอปกรณบน

เครอขาย (Equipment identification in networks) (ผดแลระบบ) ตองก าหนดใหอปกรณบนเครอขายสามารถระบและพสจนตวตนเพอบงบอกวาการเชอมตอนนมาจากอปกรณหรอสถานททไดรบอนญาตแลว

มการก าหนดอปกรณทอนญาตใหเชอมตอ

84 11.4.4 การปองกนพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ (Remote diagnostic and configuration port protection) (ผดแลระบบ) ตองมมาตรการปองกนการเขาถงพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ มาตรการตองครอบคลมทงการปองกนทางกายภาพและการปองกนการเขาถงโดยผานทางเครอขาย

มการปองกนการเขาถงพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ

85 11.4.5 การแบงแยกเครอขาย (Segregation in networks) (ผดแลระบบ) ตองท าการแบงแยกเครอขายตามกลมของบรการสารสนเทศทใชงาน กลมของผใช และกลมของระบบสารสนเทศ

มการแบงแยกเครอขายทใชในการจดเกบระบบสารสนเทศ

86 11.4.6 การควบคมการเชอมตอทางเครอขาย (Network connection control) (ผดแลระบบ) ตองจ ากดผใชงานในการเชอมตอทางเครอขายระหวางองคกรการเชอมตอตองเปนไปตามนโยบายควบคมการเขาถงและขอก าหนดทแอปพลเคชนทใชงานทางธรกจไดระบไว

มการจ ากดการเชอมตอทางเครอขายทสามารถเขาถงระบบสารสนเทศ

91


น ามาใช การประยกตใช 87 11.4.7 การควบคมการก าหนด

เสนทางบนเครอขาย (Network routing control) (ผดแลระบบ) ตองก าหนดเสนทางบนเครอขายเพอควบคมการเชอมตอทางเครอขายและการไหลเวยนของสารสนเทศบนเครอขายใหเปนไปตามนโยบายควบคมการเขาถง

มการควบคมการเชอมตอทางเครอขาย

7.5 การควบคมการเขาถงระบบปฏบตการ (Operating system access control) 88 11.5.1 ขนตอนปฏบตในการเขาถง

ระบบอยางมนคงปลอดภย (Secure log-on procedures) (ผดแลระบบ) ตองจดใหมข นตอนปฏบตทมความมนคงปลอดภยส าหรบการเขาถงหรอการเขาใชงานระบบปฏบตการ

มแผนการจดท านโยบาย และแนวทางปฏบตในการเขาถงระบบอยางมนคงปลอดภย

89 11.5.2 การระบและพสจนตวตนของผใชงาน (User identification and authentication) (ผดแลระบบ) ตองจดใหผใชงานมขอมลส าหรบระบตวตนในการเขาใชงานระบบทไมซ าซอนกน และตองจดใหมกระบวนการพสจนตวตนกอนเขาใชงานระบบตามขอมลระบตวตนทไดรบ

ผใชงานมขอมลส าหรบระบตวตนในการเขาใชงานระบบทไมซ าซอนกน

90 11.5.3 ระบบบรหารจดการรหสผาน (Password management system) (ผดแลระบบ) ตองจดท าหรอจดใหมระบบบรหารจดการรหสผานทมการควบคมการก าหนดรหสผานทม คณภาพ

มแผนการจดท านโยบาย และแนวทางปฏบตในการบรหารจดการรหสผาน ซงรวมถงการควบคมการก าหนดรหสผานทม คณภาพ

92


น ามาใช การประยกตใช 91 11.5.4 การใชงานโปรแกรมประเภท

ยทลต (Use of system utilities) (ผดแลระบบ) ตองจ ากดและควบคมการใชงานโปรแกรมประเภทยทลต เพอปองกนการละเมดหรอหลกเลยงมาตรการความมนคงปลอดภยทไดก าหนดไวหรอมอยแลว

จ ากดและควบคมการใชงานโปรแกรมประเภทยทลต

92 11.5.5 การหมดเวลาการใชงานระบบสารสนเทศ (Session time-out) (ผดแลระบบ) ตองก าหนดใหระบบตดการใชงานผใชเมอผใชไมไดใชงานระบบมาเปนระยะเวลาหนงตามทก าหนดไว

มแผนการจดท านโยบาย และแนวทางปฏบตในการหมดเวลาการใชงานระบบสารสนเทศ

93 11.5.6 การจ ากดระยะเวลาการเชอมตอระบบสารสนเทศ (Limitation of connection time) (ผดแลระบบ) ตองจ ากดระยะเวลาในการเชอมตอระบบสารสนเทศทมความส าคญสง

ก าหนดใหใชงานได 24 ชวโมง

11.6 การควบคมการเขาถงแอปพลเคชนและสารสนเทศ (Application and information access control)

94 11.6.1 การจ ากดการเขาถงสารสนเทศ (Information access restriction) (ผดแลระบบ) ตองจ ากดการเขาถงสารสนเทศและฟงกชนตางๆ ของแอปพลเคชนตามนโยบายควบคมการเขาถงสารสนเทศทไดก าหนดไว การเขาถงจะตองแยกตามประเภทของผใชงาน

จ ากดการเขาถงสารสนเทศตามประเภทของผใชงาน

93


น ามาใช การประยกตใช 95 11.6.2 การแยกระบบสารสนเทศทม

ความส าคญสง (Sensitive system isolation) (หวหนางานสารสนเทศ) ตองแยกระบบสารสนเทศทม ความส าคญสง

ไมน ามาใชเนองจากระบบสารสนเทศนอยจงไมแบงแยกระบบสารสนเทศออกจากกน

11.7 การควบคมอปกรณสอสารประเภทพกพาและการปฏบตงานจากภายนอกองคกร (Mobile computing and teleworking)

96 11.7.1 การปองกนอปกรณสอสารประเภทพกพา (Mobile computing and communications) (ผบรหารสารสนเทศ) ตองก าหนดนโยบายเพอควบคมหรอปองกนอปกรณสอสารชนดพกพา (เชน notebook, palm และ laptop เปนตน) และตองก าหนดมาตรการปองกนโดยพจารณาจากความเสยงทมตออปกรณเหลาน

ไมน ามาใชเนองจากไมมการใชงานอปกรณสอสารประเภทพกพา

97 11.7.2 การปฏบตงานจากภายนอกส านกงาน (Teleworking) (ผบรหารสนเทศ) ตองก าหนดนโยบาย แผนงาน และขนตอนปฏบตส าหรบบคลากรทจ าเปนตองปฏบตงานขององคกรจากภายนอกส านกงาน

ไมน ามาใชเนองจากไมมการปฏบตงานจากภายนอกส านกงาน

94

12. การจดหา การพฒนา และการบ ารงรกษาระบบสารสนเทศ (Information systems acquisition, development and maintenance)


น ามาใช การประยกตใช 12.1 ขอก าหนดดานความมนคงปลอดภยส าหรบระบบสารสนเทศ (Security requirements of information systems)

98 12.1.1 การวเคราะหและการระบขอก าหนดทางดานความมนคงปลอดภย (Security requirements analysis and specification) (ผพฒนา และผเปนเจาของระบบ) ตองวเคราะหและระบขอก าหนดทางดานความมนคงปลอดภยส าหรบระบบสารสนเทศใหม หรอระบบทปรบปรงจากระบบทมอยแลว

มแผนการจดท านโยบาย และแนวทางปฏบตในการระบขอก าหนดทางดานความมนคงปลอดภยของระบบสารสนเทศ

8.2 การประมวลผลสารสนเทศในแอปพลเคชน (Correct processing in applications) 99 12.2.1 การตรวจสอบขอมลน าเขา

(Input data validation) (ผพฒนาระบบ) ตองก าหนดกลไกส าหรบตรวจสอบขอมลน าเขาของแอปพลเคชนวาขอมลนนมความถกตองและเหมาะสมกอนทจะน าไปประมวลผลตอไป

มแผนการจดท านโยบาย และแนวทางปฏบตในการระบขอก าหนดทางดานความมนคงปลอดภย ซงรวมถงการตรวจสอบขอมลน าเขา

100 12.2.2 การตรวจสอบขอมลทอยในระหวางการประมวลผล (Control of internal processing) (ผพฒนาระบบ) ตองก าหนดกลไกส าหรบการตรวจสอบวาขอมลทอยในระหวางการประมวลผลเกดความผดพลาดขนหรอไม เชน อาจมสาเหตจากความผดพลาดในการประมวลผล การกระท าโดยเจตนาของผทเกยวของ เปนตน

มแผนการจดท านโยบาย และแนวทางปฏบตในการระบขอก าหนดทางดานความมนคงปลอดภย ซงรวมถงการตรวจสอบขอมลทอยในระหวางการประมวลผล

95


น ามาใช การประยกตใช 101 12.2.3 การตรวจสอบความถกตอง

ของขอความ (Message integrity) (ผพฒนาระบบ) ตองระบขอก าหนดส าหรบการตรวจสอบความถกตองของขอความส าหรบแอปพลเคชน (เพอใหสามารถตรวจสอบไดวาเปนขอความตนฉบบทถกตอง) รวมทงก าหนดมาตรการรองรบเพอปองกนการเปลยนแปลงหรอแกไขขอความนนโดยไมไดรบอนญาต

มแผนการจดท านโยบาย และแนวทางปฏบตในการระบขอก าหนดทางดานความมนคงปลอดภย ซงรวมถงการตรวจสอบความถกตองของขอความ

102 12.2.4 การตรวจสอบขอมลน าออก (Output data validation) (ผพฒนาระบบ) ตองก าหนดกลไกส าหรบการตรวจสอบขอมลน าออกจากแอปพลเคชนเพอเปนการทบทวนวาการประมวลผลของสารสนเทศทเกยวของเปนไปอยางถกตองและเหมาะสม

มแผนการจดท านโยบาย และแนวทางปฏบตในการระบขอก าหนดทางดานความมนคงปลอดภย ซงรวมถงการตรวจสอบขอมลน าออก

12.3 มาตรการการเขารหสขอมล (Cryptographic controls) 103 12.3.1 นโยบายการใชงานการ

เขารหสขอมล (Policy on the use of cryptographic controls) (ผบรหารสารสนเทศ) ตองก าหนดใหมนโยบายควบคมการใชงานการเขารหสขอมล และใหมผลบงคบใชงานภายในองคกร

มการเลอกใชการเขารหสทปลอดภย

96


น ามาใช การประยกตใช 104 12.3.2 การบรหารจดการกญแจ

เขารหสขอมล (Key management) (หวหนา งานสารสนเทศ) ตองก าหนดใหมการบรหารจดการส าหรบกญแจทใชในการเขาหรอถอดรหสขอมล โดยกญแจเหลานจะใชงานรวมกบเทคนคการเขารหสขอมลทก าหนดเปนมาตรฐานขององคกร

ไมมการใชงานกญแจเขารหสขอมล

12.4 การสรางความมนคงปลอดภยใหกบไฟลของระบบทใหบรการ (Security of system files) 105 12.4.1 การควบคมการตดตง

ซอฟตแวรลงไปยงระบบทใหบรการ (Control of operational software) (หวหนางานสารสนเทศ) ตองจดใหมข นตอนปฏบตเพอควบคมการตดตงซอฟตแวรตางๆ ลงไปยงระบบทใหบรการ ทงนเพอลดความเสยงทจะท าใหระบบใหบรการนนเกดความเสยหายท างานผดปกต หรอไมสามารถใชงานได

การตดตงซอฟตแวรตางๆ ลงไปยงระบบทใหบรการ ตองผานการอนมตจากผบรหาร

106 12.4.2 การปองกนขอมลทใชส าหรบการทดสอบ (Protection of system test data) (ผพฒนาระบบ) ตองหลกเลยงการใชขอมลจรงทใชงานอยบนระบบใหบรการส าหรบท าการทดสอบระบบ หากมความจ าเปนตองใช ตองก าหนดใหมการปองกนและควบคมการใชงาน เชน ควรลบทงบางสวนของขอมลทเปนความลบ ขอมลสวนตว หรอ ขอมลส าคญ

มการปองกนขอมลส าหรบทดสอบโดยลบทงเมอทดสอบเสรจ

97


น ามาใช การประยกตใช 107 12.4.3 การควบคมการเขาถง

ซอรสโคดส าหรบระบบ (Access control to program source code) (หวหนางานสารสนเทศ) ตองจ ากดการเขาถงซอรสโคดส าหรบระบบทใหบรการ ทงนเพอปองกนการเปลยนแปลงทอาจเกดขนโดยไมไดรบอนญาต หรอโดยไมไดเจตนา

การเขาถงซอรสโคด ตองแจงผบรหารทดแลระบบสารสนเทศนนๆ

12.5 การสรางความมนคงปลอดภยส าหรบกระบวนการในการพฒนาระบบและกระบวนการสนบสนน (Security in development and support processes) 108 12.5.1 ขนตอนปฏบตส าหรบควบคม

การเปลยนแปลงหรอแกไขระบบ (Change control procedures) (หวหนางานสารสนเทศ) ตองก าหนดขนตอนปฏบตอยางเปนทางการส าหรบควบคมการเปลยนแปลงหรอแกไขระบบสารสนเทศ ทงนเพอลดความเสยงทจะท าใหระบบเกดความเสยหาย ท างานผดปกต หรอไมสามารถใชงานได

การเปลยนแปลงระบบสารสนเทศจะกระท าไดเมอมการแจงผบรหารทดแลระบบแลวเทานน

98


น ามาใช การประยกตใช 109 12.5.2 การตรวจสอบการท างานของ

แอปพลเคชนภายหลงจากทเปลยนแปลงระบบปฏบตการ (Technical review of applications after operating system changes) (ผดแลระบบ) ตองท าการตรวจสอบทางเทคนคภายหลงจากทเปลยนแปลงระบบปฏบตการเพอดวาแอปพลเคชนทท างานอยบนระบบปฏบตการนน ท างานผด ปกต ไมสามารถใชงานได หรอมปญหาทางดานความมนคงปลอดภยเกดขนหรอไม

ทดสอบระบบสารสนเทศหลงการเปลยนแปลงระบบปฏบตการ

110 12.5.3 การจ ากดการเปลยนแปลงแกไขตอซอฟตแวรทมาจากผผลต (Restrictions on changes to software packages) (หวหนางานสารสนเทศ) ตองหลกเลยงการเปลยนแปลงแกไขตอซอฟตแวรทมาจากผผลต หากจ าเปนตองแกไข ตองแกไขตามความจ าเปนเทานน และตองมการควบคมการแกไขนนอยางเขมงวดดวย

ไมมการใชงานซอฟตแวรทมาจากผผลต

111 12.5.4 การปองกนการรวไหลของสารสนเทศ (Information leakage) (หวหนางานสารสนเทศ) ตองก าหนดมาตรการเพอปองกนการรวไหลของสารสนเทศขององคกร หรอลดโอกาสทจะท าใหสารสนเทศเกดการรวไหลออกไป

ควบคมการเขาถงขอมลทง Logical และกายภาพ

99


น ามาใช การประยกตใช 112 12.5.5 การพฒนาซอฟตแวรโดย

หนวยงานภายนอก (Outsourced software development) (หวหนางานสารสนเทศ) ตองก าหนดมาตรการเพอควบคมและตรวจสอบการพฒนาซอฟตแวรโดยหนวยงานภายนอก

มแผนการจดท านโยบาย และแนวทางปฏบตในการควบคมและตรวจสอบการพฒนาซอฟตแวรโดยหนวยงานภายนอก

12.6 การบรหารจดการชองโหวในฮารดแวรและซอฟตแวร (Technical Vulnerability Management) 113 12.6.1 มาตรการควบคมชองโหวทาง

เทคนค (Control of technical vulnerabilities) (หวหนางานสารสนเทศ) ตองก าหนดใหมการตดตามขอมลขาวสารทเกยวของกบชองโหวในระบบตางๆ ทใชงาน ประเมนความเสยงของชองโหวเหลานนรวมทง ก าหนดมาตรการรองรบเพอลดความเสยงดงกลาว

มแผนการจดท านโยบาย และแนวทางปฏบตในการควบคมชองโหวทางเทคนค

100

13. การบรหารจดการเหตการณทเกยวของกบความมนคงปลอดภยขององคกร (Information security incident management)


น ามาใช การประยกตใช 13.1 การรายงานเหตการณและจดออนทเกยวของกบความมนคงปลอดภย (Reporting information security events and weaknesses) 114 13.1.1 การรายงานเหตการณท

เกยวของกบความมนคงปลอดภย (Reporting information security events) (พนกงาน หรอผทองคกรวาจางตามสญญาการจางงาน หรอพนกงานของหนวยงานภายนอกทปฏบตงานอยภายในองคกร) ตองรายงานเหตการณทเกยวของกบความมนคงปลอดภยขององคกร โดยผานชองทางการรายงานทก าหนดไว และจะตองด าเนนการอยางรวดเรวทสดเทาทจะท าได

รายงานเหตการณทเกยวของกบความมนคงปลอดภยไปยงผบรหารทดแลระบบสารสนเทศนนๆ

115 13.1.2 การรายงานจดออนทเกยวของกบความมนคงปลอดภยขององคกร (Reporting security weaknesses) (พนกงาน หรอผทองคกรวาจางตามสญญาการจางงาน หรอพนกงานของหนวยงานภายนอกทปฏบตงานอยภายในองคกร) ตองบนทกและรายงานจดออนทเกยวของกบความมนคงปลอดภยขององคกรทสงเกตพบหรอเกดความสงสยในระบบหรอบรการทใชงานอย

รายงานจดออนทเกยวของกบความมนคงปลอดภยไปยงผบรหารทดแลระบบสารสนเทศนนๆ

101


น ามาใช การประยกตใช 13.2 การบรหารจดการและการปรบปรงแกไขตอเหตการณทเกยวของกบความมนคงปลอดภย (Management of information security incidents and improvements) 116 13.2.1 หนาทความรบผดชอบและ

ขนตอนปฏบต (Responsibilities and procedures) (หวหนางานสารสนเทศ) ตองก าหนดหนาทความรบผดชอบและขนตอนปฏบตเพอรบมอกบเหตการณทเกยวของกบความมนคงปลอดภยขององคกร และขนตอนดงกลาวตองมความรวดเรว ไดผล และมความเปนระบบระเบยบทด

มแผนการจดท านโยบาย และแนวทางปฏบตในการจดการเหตการณทเกยวของกบความมนคงปลอดภยขององคกร ซงรวมถงการระบหนาทความรบผดชอบและขนตอนปฏบต

117 13.2.2 การเรยนรจากเหตการณทเกยวของกบความมนคงปลอดภย (Learning from security incidents) (ผดแลระบบ) ตองบนทกเหตการณละเมดความมนคงปลอดภย โดยอยางนอยจะตองพจารณาถงประเภทของเหตการณ ปรมาณทเกดขน และคาใชจายเกดขนจากความเสยหาย เพอจะไดเรยนรจากเหตการณทเกดขนแลว และเตรยมการปองกนทจ าเปนไวลวงหนา

มแผนการจดท านโยบาย และแนวทางปฏบตในการจดการเหตการณทเกยวของกบความมนคงปลอดภยขององคกร ซงรวมถงการเรยนรจากเหตการณทเกยวของกบความมนคงปลอดภย

102


น ามาใช การประยกตใช 118 13.2.3 การเกบรวบรวมหลกฐาน

(Collection of evidence) (หวหนางานนตการและหวหนางานสารสนเทศ) ตองรวบรวมและจดเกบหลกฐานตามกฎหรอหลกเกณฑส าหรบการเกบหลกฐานอางองในกระบวนการทางศาลทเกยวของ เมอพบวาเหตการณทเกดขนนนมความเกยวของกบการด าเนนการทางกฎหมายแพงหรออาญา

มการจดเกบบนทกเหตการณการใชงานระบบสารสนเทศ

14. การบรหารความตอเนองในการด าเนนงานขององคกร (Business continuity management)


น ามาใช การประยกตใช 14.1 หวขอพนฐานส าหรบการบรหารความตอเนองในการด าเนนงานขององคกร (Information security aspects of business continuity management) 119 14.1.1 กระบวนการในการสรางความ

ตอเนองใหกบธรกจ (Including information security in the business continuity management process) (ผบรหารสารสนเทศ) ตองก าหนดใหมกระบวนการในการสรางความตอเนองใหกบธรกจ การบรหารจดการและการปรบปรงกระบวนการดงกลาวอยางสม าเสมอ

มแผนการจดท านโยบาย และแนวทางปฏบตในสรางความตอเนองใหกบธรกจ

103


น ามาใช การประยกตใช 120 14.1.2 การประเมนความเสยงในการ

สรางความตอเนองใหกบธรกจ (Business continuity and risk assessment) (หวหนางานสารสนเทศ) ตองระบเหตการณทสามารถท าใหธรกจขององคกรเกดการตดขดหรอหยดชะงก โอกาสทจะเกดขน ผลกระทบทเปนไปได รวมทงผลทเกดขนตอความมนคงปลอดภยส าหรบสารสนเทศขององคกร

มแผนการจดท านโยบาย และแนวทางปฏบตในสรางความตอเนองใหกบธรกจ ซงรวมถงเรองการประเมนความเสยงในการสรางความตอเนองใหกบธรกจ

121 14.1.3 การจดท าและใชงานแผนสรางความตอเนองใหกบธรกจ (Developing and implementing continuity plans including information security) (ผบรหารสารสนเทศ) ตองจดท าและใชงานแผนสรางความตอเนองใหกบธรกจและการด าเนนงานตางๆ ใหสามารถด าเนนตอไปไดในระดบและชวงเวลาทก าหนดไวภายหลงจากทม เหตการณทท าใหธรกจเกดการตดขด หยดชะงก หรอลมเหลว

มแผนการจดท านโยบาย และแนวทางปฏบตในสรางความตอเนองใหกบธรกจ ซงรวมถงเรองการจดท าแผนการสรางความตอเนองใหกบธรกจ

104


น ามาใช การประยกตใช 122 14.1.4 การก าหนดกรอบส าหรบการ

วางแผนเพอสรางความตอเนองใหกบธรกจ (Business continuity planning framework) (ผบรหารสารสนเทศ) ตองก าหนดกรอบส าหรบการวางแผนเพอสรางความตอเนองใหกบธรกจ เพอใหแผนงานทเกยวของทงหมดมความสอดคลองกน ครอบคลมขอก าหนดทางดานความมนคงปลอดภยทก าหนดไว และจดล าดบความส าคญของงานตางๆทตองด าเนนการ

มแผนการจดท านโยบาย และแนวทางปฏบตในสรางความตอเนองใหกบธรกจ ซงรวมถงเรองการก าหนดกรอบส าหรบการวางแผนเพอสรางความตอเนองใหกบธรกจ

123 14.1.5 การทดสอบและการปรบปรงแผนสรางความตอเนองใหกบธรกจ (Testing, maintaining and re-assessing business continuity plans) (ผบรหารสารสนเทศ) ตองก าหนดใหมการทดสอบและปรบปรงแผนสรางความตอเนองใหกบธรกจอยางสม าเสมอ เพอใหแผนมความทนสมยและไดผลเปนอยางด

มแผนการจดท านโยบาย และแนวทางปฏบตในสรางความตอเนองใหกบธรกจ ซงรวมถงเรองการทดสอบและการปรบปรงแผนสรางความตอเนองใหกบธรกจ

105

15. การปฏบตตามขอก าหนด (Compliance)


น ามาใช การประยกตใช 15.1 การปฏบตตามขอก าหนดทางกฎหมาย (Compliance with legal requirements) 124 15.1.1 การระบขอก าหนดตางๆ ทม

ผลทางกฎหมาย (Identification of applicable legislation) (หวหนางานนตการ) ตองระบขอก าหนดทางดานกฎหมาย ทางดานระเบยบปฏบต และทปรากฏในสญญา (ระหวางองคกร และบคคลหรอหนวยงานภายนอกอน) ทเกยวของกบการด าเนนงานหรอธรกจขององคกร ตองบนทกขอก าหนดดงกลาวไวเปนลายลกษณอกษร และปรบปรงขอก าหนดเหลานนใหทนสมยอยเสมอ รวมทงก าหนดแนวทางการปฏบตเพอใหสอดคลองกบขอก าหนดดงกลาว

มแผนการจดท านโยบาย และแนวทางปฏบตในการตดตามกฎหมายและขอก าหนดของหนวยงานก ากบ เพอน ามาปฏบตตาม

125 15.1.2 การปองกนสทธและทรพยสนทางปญญา (Intellectual property rights (IRP)) (หวหนางานนตการ) ตองก าหนดขนตอนปฏบตเพอปองกนการละเมดสทธหรอทรพยสนทางปญญา ขนตอนปฏบตดงกลาวตองก าหนดหรอควบคมใหปฏบตตามขอก าหนดทางดานกฎหมาย ทางดานระเบยบปฏบต และทปรากฏในสญญา (ระหวางองคกร และบคคลหรอหนวยงานภายนอกอน) รวมทงขอก าหนดในการใชงาผลตภณฑซอฟตแวรจากผขายดวย

การตดตงซอฟตแวรในระบบสารสนเทศผานการอนมตโดยผบรหารระบบสารสนเทศนนๆ

106


น ามาใช การประยกตใช 126 15.1.3 การปองกนขอมลส าคญท

เกยวของกบองคกร (Protection of organizational records) (หวหนางานสารสนเทศ) ตองก าหนดใหมการปองกนขอมลทเกยวของกบขอก าหนดทางกฎหมายและระเบยบปฏบต ขอก าหนดทปรากฏในสญญา และขอก าหนดทางธรกจ จากการสญหาย การถกท าลายใหเสยหาย และการปลอมแปลง

ปองกนขอมลโดยการควบคมสทธการเขาถง และจดเกบขอมลในพนททปลอดภย

127 15.1.4 การปองกนขอมลสวนตว (Data protection and privacy of personal information) (หวหนางานนตการ และหวหนางานสารสนเทศ) ตองก าหนดใหมการปองกนขอมลสวนตวตามทระบหรอก าหนดไวในกฎหมาย ระเบยบปฏบต และขอสญญาทเกยวของ

ขอมลในระบบเปนขอมลใชภายในไมมขอมลสวนตวของพนกงาน

128 15.1.5 การปองกนการใชงานอปกรณประมวลผลสารสนเทศผดวตถประสงค (Prevention of misuse of information processing facilities) (หวหนางานสารสนเทศ) ตองปองกนไมใหผใชงานใชอปกรณประมวลผลสารสนเทศขององคกรผดวตถประสงคหรอโดยไมไดรบอนญาต

ปองกนการใชงานอปกรณประมวลผลสารสนเทศผดวตถประสงคโดยควบคมสทธการเขาถง

107


น ามาใช การประยกตใช 129 15.1.6 การใชงานมาตรการการ

เขารหสขอมลตามขอก าหนด (Regulation of cryptographic controls) (หวหนางานนตการและหวหนางานสารสนเทศ) ตองก าหนดใหใชมาตรการการเขารหสขอมลโดยใหยดถอตาม หรอตองสอดคลองกบขอตกลง กฎหมาย และระเบยบปฏบตทเกยวของ

กฎหมายไมมการก าหนดมาตรการการเขารหสขอมล

15.2 การปฏบตตามนโยบาย มาตรฐานความมนคงปลอดภยและขอก าหนดทางเทคนค (Compliance with security policies and standards, and technical compliance) 130 15.2.1 การปฏบตตามนโยบาย และ

มาตรฐานความมนคงปลอดภย (Compliance with security policies and standards) (ผบรหารสารสนเทศ) ตองก าหนดใหผบงคบบญชาคอยก ากบ ดแล และควบคมการปฏบตงานของผทอยใตการบงคบบญชาของตน ใหปฏบตตามขนตอนปฏบตทางดานความมนคงปลอดภยตามหนาทความรบผดชอบของตน ทงนเพอใหการปฏบตเปนไปตามนโยบายและมาตรฐานความมนคงปลอดภยขององคกร

ผบงคบบญชาคอยก ากบ ดแล และควบคมการปฏบตงานของผทอยใตการบงคบบญชาของตน

131 15.2.2 การตรวจสอบการปฏบตตามมาตรฐานทางเทคนคขององคกร (Technical compliance checking) (หวหนางานสารสนเทศ) ตองก าหนดใหมการตรวจสอบระบบสารสนเทศอยางสม าเสมอ เพอควบคมใหเปนไปตามมาตรฐานความมนคงปลอดภยทางเทคนคขององคกร

มแผนการจดท านโยบาย และแนวทางปฏบตในการมอบหมายหนาทตรวจสอบการรกษาความมนคงปลอดภย ในการใชงานเทคโนโลยสารสนเทศใหพนกงานภายใน

108


น ามาใช การประยกตใช 15.3 การตรวจประเมนระบบสารสนเทศ (Information systems audit considerations) 132 15.3.1 มาตรการการตรวจประเมน

ระบบสารสนเทศ (Information systems audit controls) (หวหนางานสารสนเทศ) ตองระบขอก าหนดและกจกรรมทเกยวของกบการตรวจประเมนระบบสารสนเทศขององคกร เพอใหมผลกระทบนอยทสดตอกระบวนการทางธรกจ เชน การหยดชะงกของกระบวนการทางธรกจในระหวางทท าการตรวจประเมน

การตรวจประเมนระบบสารสนเทศตองไดรบอนญาตจากผบรหารระบบสารสนเทศนนๆ

133 15.3.2 การปองกนเครองมอส าหรบการตรวจประเมนระบบสารสนเทศ (Protection of information systems audit tools) (หวหนางานสารสนเทศ) ตองก าหนดใหมการจ ากดการเขาถงเครองมอส าหรบการตรวจประเมนระบบสารสนเทศ เชน ซอฟตแวรทใชในการตรวจประเมน เพอปองกนการใชงานผดวตถประสงค หรอการเปดเผยขอมลการตรวจประเมนโดยไมไดรบอนญาต

การใชงานเครองมอส าหรบการตรวจประเมนระบบสารสนเทศตองไดรบอนญาตจากผบรหารระบบสารสนเทศนนๆ

109

ภาคผนวก จ เอกสารแนวทางปฏบตดานความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ แนวทางปฏบตความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ ขอบเขต และจดประสงค

เพอรกษาความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ ส าหรบระบบสารสนเทศทอยในความดแลของโรงเรยนกรณศกษา หรอมการสราง และการบรหารจดการภายในโรงเรยนกรณศกษา การปฏบตตาม

พนกงานและบคคลทเกยวของกบการใชงานระบบสารสนเทศของโรงเรยนทกคน ตามทการระบในแนวปฏบตตองปฏบตตามแนวปฏบตความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ โดยสามารถพจารณาปฏบตตาม ตามผลการประเมนความเสยงทเกดขน 1) แนวทางปฏบตในการจดการนโยบาย

เพอใหนโยบาย และแนวทางปฏบตความความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศเปนปจจบน และมการใชงานในโรงเรยน พนกงานทมหนาทบรหารภาพรวมของระบบสารสนเทศ ตองปฏบตดงน

- จดท านโยบายดานความมนคงปลอดภยสารสนเทศ โดยมจดประสงคเพอรกษาความ

ปลอดภยของระบบสารสนเทศทมการใชงาน ใหมการด าเนนงานเปนไปตามขอก าหนด

ของหนวยงานก ากบ และกฎหมายทเกยวของ และทบทวนเปนประจ าทกป ทงน

นโยบายตองผานการอนมตโดยคณะกรรมการโรงเรยน

- จดเกบนโยบายดานความมนคงปลอดภยสารสนเทศใหพนกงานของโรงเรยนสามารถ

เขาถงได และสอสารใหพนกงาน และหนวยงานภายนอกทเกยวของรบทราบ และปฏบต

ตามโดยทวกน

2) แนวทางปฏบตในการบรหารจดการความมนคงปลอดภยของโรงเรยน

เพอใหโรงเรยนมการระบหนาทความรบผดชอบทชดเจนทางดานความมนคงปลอดภย พนกงานทมหนาทบรหารภาพรวมของระบบสารสนเทศ ตองปฏบตดงน

- ใหความส าคญในการด าเนนงานดานความมนคงปลอดภยสารสนเทศ และสนบสนนให

พนกงานเขารวมกจกรรมทสงเสรมความมนคงปลอดภยสารสนเทศ

110

- จดท ารายชอองคกร หรอหนวยงานทางดานความมนคงปลอดภยสารสนเทศ ทสามารถ

ใหความร และขาวสารทางดานความมนคงปลอดภยทเปนประโยชนได และใหความ

ชวยเหลอกรณเกดเหตฉกเฉนได

- พจารณาจดใหมการตรวจสอบสถานะความมนคงปลอดภยสารสนเทศภายในโดย

หนวยงานภายนอก หรอบคลากรภายในทมความรความสามารถ

3) แนวทางปฏบตดานทรพยสนสารสนเทศ

ทรพยสนสารสนเทศ คอ • ขอมล (Information) เชน ขอมลสญญา, ขอมลทางการเงน และขอมลการปฏบตงานในองคกร

• ซอฟตแวร (Software assets) เชน ระบบบญช, ระบบจดการขอมล และ ระบบสนบสนนการด าเนนธรกจขององคกร

• ฮารดแวร หรออปกรณ (Physical assets) เชน เครองคอมพวเตอร, เครองแมขายและอปกรณเครอขาย

• บรการ (Services) เชน บรการทางเครอขาย และอปกรณสนบสนน (Utilities) เชน ระบบไฟฟา และระบบปรบอากาศ

เพอใหสามารถก าหนดวธการรกษาความมนคงปลอดภยทรพยสนสารสนเทศตามระดบ

ความส าคญ และสามารถกคนทรพยสนสารสนเทศจากความเสยหายทอาจเกดขน พนกงานทม หนาทดแลระบบสารสนเทศ ตองปฏบตดงน

- จดท าทะเบยนทรพยสนสารสนเทศทส าคญ และระบความเปนเจาของทรพยสน โดยม

จดประสงคเพอใหสามารถกคนทรพยสนสารสนเทศจากการความเสยหายทอาจเกดขน

และใหทรพยสนสารสนเทศไดรบการดแล รวมทงมความรบผดชอบโดยผทเปนเจาของ

ทรพยสนสารสนเทศ

- ก าหนดระดบความส าคญของขอมล ในเชงมลคา และความเสยหายทอาจเกดขน เมอ

เกดเหตการณทสงผลกระทบตอขอมล และก าหนดระดบความส าคญของทรพยสนตาม

ระดบความส าคญของขอมลทจดเกบ หรอสามารถเขาถงได และปฏบตตามแนวทางการ

รกษาความปลอดภยขอมลในระบบสารสนเทศดงน

111

การจดการขอมล/ระดบความส าคญ

ของขอมล ขอมลสาธารณะ ขอมลภายใน ขอมลลบ

ความหมาย ขอมลทเผยแพรสสาธารณะได

ขอมลส าหรบใชภายในโรงเรยน ทถกเปดเผยสบคคลภายนอก จะไมท าใหเกดความเสยหายตอโรงเรยน

ขอมลการด าเนนงานของโรงเรยน ทถกเปดเผยสบคคลภายนอกจะท าใหเสยชอเสยง เกดความวนวาย และท าใหเกดความเสยหายแกโรงเรยนได

ตวอยาง ขอมลการรบสมครนกเรยนใหม

ขอมลรายชอนกเรยน, ขอมลตารางการเรยนการสอน

ขอมลรหสผานเพอเขาสระบบสารสนเทศ, ขอมลผลการประเมนความดความชอบพนกงาน

การจดเกบ ไมก าหนด ไมก าหนด กระดาษ ตลอกกญแจ ไฟลอเลกทรอนกส ใสรหสผานในการเขาถง และพจารณาใชงานการเขารหส สอบนทกขอมล ตลอกกญแจ

112



การจดสง ไมก าหนด ไมก าหนด กระดาษ ใสซองปดมดชด และจดสงดวยพนกงานภายในโรงเรยน ไฟลอเลกทรอนกส ใสรหสผานขอมลกอนสง และไมจดสงรหสผานไปดวยกน รวมทงพจารณาใชงานการเขารหส สอบนทกขอมล จดสงดวยพนกงานภายในโรงเรยน

การท าลาย ไมก าหนด ไมก าหนด กระดาษ ฉกใหเปนชนๆ หรอใชเครองยอยกระดาษ ไฟลอเลกทรอนกส ลบดวยการเขยนขอมลทบ สอบนทกขอมล ทบดวยคอน หรอใชสวานเจาะ หรอฉกเปนชน

113



ระบระดบความส าคญของขอมล

ไมก าหนด ไมก าหนด กระดาษ ระบระดบความส าคญของขอมลทหวกระดาษทกหนา ไฟลอเลกทรอนกส ระบระดบความส าคญของขอมลทหวกระดาษไฟลอเลกทรอนกส ทกหนา สอบนทกขอมล ระบระดบความส าคญของขอมลโดยการเขยน หรอตดดวยปายกระดาษ

4) แนวทางปฏบตดานบคลากร

เพอใหมการบรหารจดการพนกงานสอดคลองกบการรกษาความมนคงปลอดภยระบบสารสนเทศ พนกงานทมหนาทบรหารภาพรวมของระบบสารสนเทศ ตองปฏบตดงน

- ตรวจสอบประวตพนกงาน กอนอนญาตใหเขาถงระบบสารสนเทศ หรอเขาถงพนททตอง

รกษาความมนคงปลอดภย

- ก าหนดใหพนกงานและผใหบรการภายนอกตองมการลงนามในสญญาจางงาน โดยระบ

ขอก าหนดในการรกษาความลบขององคกร กอนเรมปฏบตงานจรง

- ก ากบใหพนกงาน และผใหบรการภายนอกทใชบรการปฏบตตามนโยบายความมนคง

ปลอดภยสารสนเทศ และแนวทางปฏบตดานความมนคงปลอดภย

- สรางความตระหนกเรองการรกษาความมนคงปลอดภยใหพนกงาน

- ก าหนดใหพนกงานทไมปฏบตตามนโยบายความมนคงปลอดภยสารสนเทศ ถอเปน

ความผดทางวนย ระดบการลงโทษเปนไปตามความเสยหายทเกดขน

114

5) แนวทางปฏบตดานพนท

เพอรกษาความมนคงปลอดภยทางกายภาพของพนททตองรกษาความมนคงปลอดภย พนกงานทมหนาทดแลระบบสารสนเทศ ตองปฏบตดงน

- รกษาความมนคงปลอดภยทางกายภาพโดยรอบพนททตองรกษาความมนคงปลอดภย

โดยจดใหมบรเวณลอมรอบมดชดทสามารถควบคมการเขาถงจากบคคลภายนอก และ

ภยคกคามทางธรรมชาต

- ก าหนดระดบความส าคญของพนท ตามระดบความส าคญของพนท หรอความสามารถ

ในการเขาถงขอมลของแตละพนท ทเกยวของกบขอมลลบ และปฏบตตามแนวทางการ

รกษาความปลอดภยพนทในระบบสารสนเทศ ดงน

การจดการพนท/ระดบความส าคญ

ของพนท

พนทปฏบตงานและจดเกบขอมลสารสนเทศ

พนทจดเกบระบบสารสนเทศ

ความหมาย พนทปฏบตงานและจดเกบขอมลสารสนเทศประเภทกระดาษ

พนทจดเกบระบบสารสนเทศ หรอเครองแมขายทใชในการใหบรการระบบสารสนเทศ

ตวอยาง หองระเบยนส าหรบจดเกบเอกสาร, หองท างานรองผอ านวยการ

หองจดเกบเครองแมขาย

การจดท าบรเวณลอมรอบ

จดท าบรเวณลอมรอบ และมดชด จดท าบรเวณลอมรอบ และมดชด

การควบคมการเขาถง

พนกงานรกษาความปลอดภย พนกงานรกษาความปลอดภย และพจารณาการใชงานระบบกลองวงจรปด เพอเฝาระวงการเขาถง และพจารณาการใชงานระบบควบคมการเขาถง เพอก าหนดสทธการเขาถงเฉพาะผทจ าเปน

ปองกนภยคกคามพนท

อปกรณดบเพลง - อปกรณดบเพลงและพจารณาการใชงานระบบดบเพลง

115


ของพนท



แนวทางการปฏบตงาน

- อนญาตใหเขาถงพนทเฉพาะผม ความจ าเปนตองปฏบตงาน - ไมน าเขาวตถไวไฟ หรอเชอเพลง

- อนญาตใหเขาถงพนทเฉพาะผม ความจ าเปนตองปฏบตงาน - ไมใหบคคลภายนอกทมความจ าเปนตองเขาถงพนท ปฏบตงานภายในพนทล าพง - ไมน าเขาวตถไวไฟ หรอเชอเพลง - ไมน าเขาอาหาร และเครองดม

การจดบรเวณสงของ

มบรเวณสงของดานนอก โดยไมใหบคคลภายนอกทมาสงของผานเขาดานใน

มบรเวณสงของดานนอก โดยไมใหบคคลภายนอกทมาสงของผานเขาดานใน

6) แนวทางปฏบตดานอปกรณ

เพอรกษาความมนคงปลอดภยส าหรบอปกรณทใชในระบบสารสนเทศ พนกงานทมหนาทดแลระบบสารสนเทศ ตองปฏบตดงน

- การเพม หรอลดอปกรณทใชในระบบสารสนเทศตองผานการอนมตโดยพนกงานทม

หนาทบรหารภาพรวมของระบบสารสนเทศ

- การน าอปกรณทใชในระบบสารสนเทศออกนอกองคกรตองผานการอนมตโดยพนกงาน

ทมหนาทบรหารภาพรวมของระบบสารสนเทศ

- จดวางอปกรณทใชในระบบสารสนเทศ โดยปองกนความเสยหายทอาจเกดขน

- ปองกนความเสยหายของสายไฟฟา และสายสญญาณในพนททตองรกษาความมนคง

ปลอดภย โดยการระบหมายเลขก ากบ และใชทอ หรอวสดหมสาย

- ปองกนความเสยหายของอปกรณสารสนเทศ ในพนททตองรกษาความมนคงปลอดภย

โดยพจารณาการใชงานระบบไฟฟาส ารอง และระบบควบคมอณหภม

- บ ารงรกษา อปกรณทใชในระบบสารสนเทศ และอปกรณสนบสนนการท างานของระบบ

สารสนเทศใหมความพรอมใชงาน

7) แนวทางปฏบตดานการเปลยนแปลงระบบสารสนเทศ

เพอใหการเปลยนแปลงระบบสารสนเทศสงผลกระทบตอการใหบรการใหนอยทสด พนกงานทมหนาทดแลระบบสารสนเทศ ตองปฏบตดงน

116

- ขออนมตการเปลยนแปลงระบบสารสนเทศกบผบรหารกอนท าการเปลยนแปลงใดๆ

- กรณการเปลยนแปลงสงผลกระทบตอการใชงานระบบ ใหแจงผใชงานระบบลวงหนา

อยางนอย 10 วนท าการ

- กรณทการเปลยนแปลงอาจสงผลกระทบใหระบบสารสนเทศเกดปญหา ใหวางแผนถอย

กลบไปยงสถานะเดมกอนการเปลยนแปลงระบบ หรอใชการส ารองขอมลกอนการ

เปลยนแปลง

- ทดสอบการงานระบบสารสนเทศกอนและหลงการเปลยนแปลง

- ควบคมการเปลยนแปลงเอกสารทระบรายละเอยดระบบสารสนเทศใหมเนอหาเปน

ปจจบนตามการเปลยนแปลงทเกดขน

8) แนวทางปฏบตดานการวางแผนทรพยากรระบบสารสนเทศ

เพอใหระบบสารสนเทศรองรบการใชงานท เพมขน พนกงานทมหนาทดแลระบบสารสนเทศ ตองปฏบตดงน

- ตรวจสอบการใชงานทรพยากรระบบสารสนเทศ และน าไปวางแผนการใชงานทรพยากร

ใหระบบสารสนเทศสามารถใหบรการไดอยางมประสทธภาพ โดยท าการวเคราะหการใช

งานทรพยากร และแนวโนมการใชงานระบบทเพมขนทกป

9) การจดการโปรแกรมไวรส

เพอใหระบบสารสนเทศปลอดภยจากการโจมตของโปรแกรมไวรส พนกงานทมหนาทดแลระบบสารสนเทศ ตองปฏบตดงน

- พจารณาใชงานโปรแกรมปองกนไวรสบนเครองคอมพวเตอรแมขาย และก าหนดใหม

การปรบปรงฐานขอมลไวรสใหเปนปจจบน รวมทงคนหาไวรสในระบบสารสนเทศทกวน

- สรางความตระหนกใหพนกงานพจารณาดแลรกษาเครองคอมพวเตอรทใชเขาถงระบบ

สารสนเทศจากการคกคามของโปรแกรมไวรส โดยการลงโปรแกรมปองกนโปรแกรม

ไวรส และมความระมดระวงในการใชงานเครองคอมพวเตอรทใชเขาถงระบบสารสนเทศ

จากอนตรายทเกดจากใชงานอนเทอรเนต เชน Website หรอ Download File ทอาจ

แฝงดวยโปรแกรมไวรส

10) แนวทางปฏบตดานการส ารองขอมล

เพอใหมระบบสารสนเทศส ารอง และขอมลส ารองเมอเกดปญหา พนกงานทมหนาทดแลระบบสารสนเทศ ตองปฏบตดงน

- ส ารองขอมลภายในฐานขอมลระบบสารสนเทศทก 1 เดอน และทกวนใน และชวงตด

เกรดของทกเทอม โดยจดเกบขอมลทท าการส ารองไวตามระยะเวลากอนรอบการส ารอง

ขอมลใหมจ านวน 2 รอบ

117

- ส ารองขอมลระบบปฏบตการ รวมทงระบบเครอขายทเกยวของทก 3 เดอน และทกครง

หลงการเปลยนแปลงระบบสารสนเทศ โดยจดเกบขอมลทท าการส ารองไวเปนระยะเวลา

1 ป โดยจดเกบขอมลทท าการส ารองไวตามระยะเวลากอนรอบการส ารองขอมลใหมกอน

รอบการส ารองขอมลใหมจ านวน 2 รอบ

- จดเกบขอมลส ารองไวในสถานทแยกจากขอมลตนฉบบ ใหไมสามารถเสยหายพรอมกน

จากภยคกคามเดยวกน และไมสามารถเขาถงไดโดยบคคลภายนอก

- ทดสอบขอมลส ารองทท าการจดเกบวาสามารถใชงานไดจรงทก 1 ป

11) แนวปฏบตดานการจดการระบบเครอขายเทคโนโลยสารสนเทศ

เพอปองกนภยคกคามระบบเครอขายเทคโนโลยสารสนเทศ พนกงานทมหนาทดแลระบบสารสนเทศ ตองปฏบตดงน

- จ ากดการเชอมตอ และการสงผานขอมลตามความจ าเปนในการใชงาน และปดการ

เชอมตอทไมจ าเปน

- ตงคาระบบเครอขายใหมความปลอดภย และเปดใหบรการทางเครอขายตามความ

จ าเปนในการใชงาน รวมทงไมใชการตงคาตงตนจากโรงงาน

- แบงแยกเครอขายตามกลมของระบบสารสนเทศ และผใชงาน เพอก าหนดระดบการ

รกษาความปลอดภยใหเหมาะสมกบความเสยงทเกดขนในแตละกลม

12) แนวทางปฏบตการเฝาระวงการใชงานระบบสารสนเทศ

เพอปองกนภยคกคามทอาจเกดขน และสามารถทราบการกระท าทเกดขนบนระบบสารสนเทศ พนกงานทมหนาทดแลระบบสารสนเทศ ตองปฏบตดงน

- จดเกบบนทกเหตการณการใชงานระบบสารสนเทศ บนทกเหตการณการใชงานระบบ

สารสนเทศของผดแลระบบ หรอบญชผใชทมสทธพเศษ และบนทกเหตการณความ

ผดพลาดของระบบสารสนเทศ

- ปองกนบนทกเหตการณการใชงานระบบสารสนเทศจากการแกไข

- เฝาระวงระบบสารสนเทศ จากการคกคาม และความผดพลาดของระบบ โดยการ

ตรวจสอบบนทกเหตการณของระบบสารสนเทศ

- ตงเวลาระบบสารสนเทศระหวางอปกรณใหตรงกบเวลามาตรฐานประเทศไทย

13) แนวทางปฏบตการควบคมการเขาถง และสทธในระบบสารสนเทศ

เพอใหระบบสารสนเทศมการเขาถงจากผทไดรบอนญาตเทานน พนกงานทมหนาทดแลระบบสารสนเทศ ตองปฏบตดงน

118

- ก าหนดใหระบบสารสนเทศมการพสจนตวตน และพสจนสทธในการเขาใชงานระบบ

สารสนเทศ รวมทงสามารถแบงระดบสทธในการเขาถง และแบงแยกหนาทความ

รบผดชอบ

- ก าหนดใหพนกงานทตองการใชงานระบบสารสนเทศ มการอนมตการขอใชงานจาก

ผบงคบบญชา

- สรางบญชผใชงานส าหรบพนกงานแตละบคคลตามความจ าเปนตองใชงาน และใหสทธ

ตามหนาทความรบผดชอบของพนกงานเทานน

- ทบทวนบญชผใชงาน และสทธการใชงานในระบบสารสนเทศ อยางนอยปละ 1 ครง

และเปลยนแปลงบญชผใชงาน และสทธการใชงาน ตามการเปลยนแปลงพนกงาน

ภายในโรงเรยน

- แบงแยกหนาทความรบผดชอบในการด าเนนการใดๆกบระบบสารสนเทศในรปแบบของ

ผปฏบตงาน กบผอนมต

14) แนวทางปฏบตดานการจดการรหสผาน และการเขาใชงานระบบสารสนเทศ

เพอรกษาความมนคงปลอดภยของรหสผาน จากการเปดเผย และคาดเดา พนกงานทม หนาทดแลระบบสารสนเทศ ตองปฏบตดงน

- เปลยนแปลงขอมลบญชผใช และรหสผานทเปนคาตงตนจากโรงงาน

- รกษาความปลอดภยในการจดเกบ และสงรหสผานผานเครอขาย

- ระบความยาวรหสผานใหไมต ากวา 8 ตวอกษร

- ระบจ านวนครงทสามารถจ ากดการปอนคารหสผานผด 10 ครง และสามารถปอนคาใหม

ไดหลงจากระยะเวลาผานไป 24 ชวโมง

- แจกจายรหสผานอยางปลอดภยใหถงมอผรบอยางปลอดภย โดยการกรอกใสเอกสาร

และบรรจสงใสซองอยางมดชด

- สรางความตระหนกใหพนกงานในการรกษาความมนคงปลอดภยดงน

เขาถงระบบสารสนเทศเมอมความจ าเปนตองใชงาน และออกจากระบบทนท

เมอใชงานเสรจสน

รกษารหสผานบนระบบสารสนเทศทอยในความรบผดชอบของตนเปนความลบ

ไมบนทกรหสผานลงในสอบนทกขอมล เชน ไฟลในเครองคอมพวเตอร หรอ

กระดาษ

เปลยนรหสผานบญชผใชของตนทนททเขาใชงานเปนครงแรก และเปลยน

รหสผานครงตอไปตามระยะเวลาทเหมาะสม

119

ไมใชขอมลสวนตว หรอค าทมในพจนานกรมในการตงรหสผาน และตงรหสผาน

ใหยากตอการคาดเดา

- จ ากดเวลาในการใชงานระบบสารสนเทศตามเวลาราชการ และเปดใหใชงาน 24 ชวโมง

ชวงตดเกรดของทกเทอม

15) แนวทางปฏบตดานระบบปฏบตการ

เพอใหรกษาความมนคงปลอดภยของระบบปฏบตการ จากการคกคาม และการเขาถงโดยไมไดรบอนญาต พนกงานทมหนาทดแลระบบสารสนเทศ ตองปฏบตดงน

- จ ากดการเชอมตอ และการสงผานขอมลของระบบปฏบตการตามความจ าเปนในการใช

งาน และปดการเชอมตอทไมจ าเปน

- ตงคาระบบปฏบตการใหมความปลอดภย และเปดใหบรการทางเครอขายตามความ

จ าเปนในการใชงาน รวมทงไมใชการตงคาตงตนจากโรงงาน

- ตดตงโปรแกรมสนบสนนการปฏบตงานลงในระบบปฏบตการตามความจ าเปนในการใช

งาน

16) แนวทางปฏบตดานการใชบรการจากผใหบรการภายนอก

เพอรกษาความมนคงปลอดภยในการใชบรการจากผใหบรการภายนอก พนกงานผมหนาทความรบผดชอบในการจดซอ หรอจดจางผใหบรการภายนอก ตองปฏบตดงน

- ประเมนความเสยงในการใชบรการจากผใหบรการภายนอก และหาแนวทางลดความ

เสยงกอนการจดจาง

- ก าหนดระดบการใหบรการ และระบใหผใหบรการภายนอก รกษาความลบ หรอไม

เผยแพรขอมลทไดทราบจากการใหบรการแกบคคลภายนอก รวมทงปฏบตตามนโยบาย

และแนวทางปฏบตดานความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศของ

โรงเรยนลงในสญญาจาง

- ก าหนดใหผใหบรการภายนอกลงนามในสญญาจางกอนอนญาตใหผใหบรการภายนอก

เขาถงระบบสารสนเทศของโรงเรยน

- ควบคมสทธการเขาถงระบบสารสนเทศของผใหบรการภายนอก โดยจ ากดสทธการ

เขาถงเฉพาะทจ าเปนตอการดแลระบบ และใหสทธเพมเตมเมอมความจ าเปนเทานน

- ก าหนดใหผใหบรการภายนอกรายงานผลการใหบรการ และการเปลยนแปลงในองคกรผ

ใหบรการทก 3 เดอน

- ก าหนดใหผใหบรการภายนอกจดท าเอกสาร และขนตอนการถายโอนงานกรณผ

ใหบรการไมสามารถใหบรการได

120

- ตรวจรบระบบสารสนเทศ จากทท าการจดซอ หรอจดจางผใหบรการภายนอก โดยการ

ทดสอบใหเปนไปตามสญญาทระบไว กอนน ามาใชงานจรง

17) แนวทางปฏบตดานความมนคงปลอดภยในการจดจางพฒนา หรอคดเลอกระบบ

สารสนเทศ

เพอรกษาความมนคงปลอดภยในการใชระบบสารสนเทศไดจากการจดจางพฒนา หรอการคดเลอกซอระบบสารสนเทศ พนกงานผมหนาทความรบผดชอบในการจดซอ หรอจดจางผใหบรการภายนอก ตองปฏบตดงน

- ก าหนดใหมการจดท าเอกสารรายละเอยดของระบบสารสนเทศ เอกสารคมอการดแล

ระบบสารสนเทศ และเอกสารการใชงานระบบสารสนเทศ

- ก าหนดใหมการแบงแยกระบบสารสนเทศส าหรบพฒนาระบบ ระบบสารสนเทศส าหรบ

ทดสอบระบบ และระบบสารสนเทศส าหรบการใหบรการจรงออกจากกน

- ระบใหโรงเรยนเปนเจาของลขสทธซอฟตแวรทไดท าการจดจางผใหบรการภายนอก

พฒนา และเปนผจดเกบซอรสโคดเมอพฒนาเสรจสน

- ก าหนดใหระบบสารสนเทศมการทดสอบระบบกอนน ามาใชงานจรง และไมใชขอมลจรง

ในการทดสอบระบบ

การควบคมการเขาถง และการจดการรหสผาน

ก าหนดใหระบบสารสนเทศมการพสจนตวตน และพสจนสทธในการเขาใชงาน

ระบบสารสนเทศ รวมทงสามารถแบงระดบสทธในการเขาถง และแบงแยก

หนาทความรบผดชอบ

ก าหนดใหระบบสารสนเทศเปลยนแปลงขอมลบญชผใช และรหสผานทเปนคา

ตงตนจากโรงงาน

ก าหนดใหระบบสารสนเทศมการรกษาความปลอดภยในการจดเกบ และสง

รหสผานผานเครอขาย

ก าหนดใหระบบสารสนเทศมการรกษาความปลอดภยรหสผาน โดยสามารถระบ

ความยาวรหสผานได

ระบจ านวนครงทสามารถจ ากดการปอนคารหสผานผด และสามารถปอนคาใหม

ไดหลงจากระยะเวลาผานไป ตามความเหมาะสมของการใชงาน

ก าหนดใหระบบสารสนเทศสามารถจ ากดเวลาในการใชงานระบบสารสนเทศ

ตามความเหมาะสมของการใชงาน

121

การจดเกบบนทกเหตการณ

ก าหนดใหระบบสารสนเทศสามารถจดเกบบนทกเหตการณการใชงานระบบ

สารสนเทศ

ก าหนดใหระบบสารสนเทศสามารถจดเกบบนทกเหตการณการใชงานระบบ

สารสนเทศของผดแลระบบ และบญชผใชทมสทธพเศษ

ก าหนดใหระบบสารสนเทศสามารถจดเกบบนทกเหตการณความผดพลาดของ

ระบบสารสนเทศ

ก าหนดใหระบบสารสนเทศสามารถปองกนบนทกเหตการณการใชงานระบบ

สารสนเทศจากการแกไข

ความปลอดภยของระบบปฏบตการ

ก าหนดใหระบบสารสนเทศสามารถจ ากดการเชอมตอ และการสงผานขอมลของ

ระบบปฏบตการตามความจ าเปนในการใชงาน และปดการเชอมตอทไมจ าเปน

ก าหนดใหระบบสารสนเทศสามารถตงคาระบบปฏบตการใหมความปลอดภย

และเปดใหบรการทางเครอขายตามความจ าเปนในการใชงาน รวมทงไมใชการ

ตงคาตงตนจากโรงงาน

ความปลอดภยของซอฟตแวร

ก าหนดใหระบบสารสนเทศมการตรวจสอบขอมลทมการน าเขาระบบสารสนเทศ

ใหถกตองขอมลทควรจะเปนโดยการจ ากดชนด และความยาวของขอมล

ก าหนดใหระบบสารสนเทศมการตรวจสอบขอมลทมการน าเขาระบบสารสนเทศ

ใหถกตองขอมลทควรจะเปนโดยการจ ากดชนด และความยาวของขอมล

ก าหนดใหระบบสารสนเทศมการตรวจสอบขอมลทอยในระหวางการประมวลผล

ภายในระบบสารสนเทศ ใหสามารถตรวจสอบความถกตองระหวางการ

ประมวลผล และสามารถหยดการประมวลผลเมอมการท างานผดพลาด

ก าหนดใหระบบสารสนเทศมการตรวจสอบความถกตองของขอความทไดรบ

ก าหนดใหระบบสารสนเทศมการตรวจสอบขอมลทมน าออก หรอแสดงผลบน

ระบบสารสนเทศ ใหมความถกตอง ครบถวน และก าหนดการแสดงผลเมอระบบ

สารสนเทศท างานผดพลาดไมใหแสดงขอมลของระบบสารสนเทศ

ก าหนดใหระบบสารสนเทศสามารถเขารหสลบขอมลทมการจดเกบ และขอมลท

มการสงผานเครอขาย โดยวธการเขารหสทเปนทยอมรบ

122

18) แนวทางปฏบตดานความมนคงปลอดภยในการควบคมชองโหวทางเทคนค

เพอใหระบบสารสนเทศไดรบการแกไขชองโหวทม และลดความเสยงในการคกคามระบบสารสนเทศ พนกงานทมหนาทดแลระบบสารสนเทศ ตองปฏบตดงน

- ตรวจสอบชองโหวของระบบปฏบตงาน ระบบเครอขาย ระบบฐานขอมล และซอฟตแวร

ทมการใชงานในโรงเรยน และพจารณาแกไขชองโหว เปนประจ าทก 1 ป

19) แนวทางปฏบตดานความมนคงปลอดภยในการจดการเหตการณทเกยวของกบ

ความมนคงปลอดภยของโรงเรยน

เพอใหระบบสารสนเทศไดรบการจดการปญหาทเกดขน และปองกนการเกดปญหาเดมซ า พนกงานทมหนาทดแลระบบสารสนเทศ ตองปฏบตดงน

- ก าหนดใหพนกงานทกคนในโรงเรยนแจงปญหาทเกดขนกบระบบสารสนเทศให

พนกงานทมหนาทดแลระบบสารสนเทศทราบ เพอท าการแกไขปญหา

- จดการแกไขปญหาเฉพาะหนา เพอใหระบบสามารถใชบรการได และบนทกปญหา เพอ

ท าการแกไขปญหาถาวร โดยการวเคราะหหาสาเหต และแนวทางแกไขทแทจรง

20) แนวทางปฏบตดานความมนคงปลอดภยในการสรางความตอเนองในการใหบรการ

เพอใหโรงเรยนสามารถด าเนนงานตอไปไดเมอเกดเหตฉกเฉน หรอเกดความเสยหายตอระบบสารสนเทศ พนกงานทมหนาทดแลระบบสารสนเทศ ตองปฏบตดงน

- จดท าแผนจดการความตอเนองในการใหบรการ ใหองคกรสามารถด าเนนงานตอไปได

เมอระบบสารสนเทศเกดปญหา หรอกคนระบบสารสนเทศใหกลบสสภาวะปกตไดใน

ระยะเวลาทก าหนด โดยใหครอบคลมความเสยงทเกดขนกบโรงเรยน

- ทดสอบแผนจดการความตอเนองในการใหบรการเปนประจ าทกป

21) แนวทางปฏบตดานการปฏบตตามกฎหมาย และขอก าหนดของหนวยงานก ากบ

เพอปองกนการปฏบตผดกฎหมาย และขอก าหนดของหนวยงานก ากบ พนกงานทมหนาทดแลระบบสารสนเทศ ตองปฏบตดงน

- ควบคมการใชงานโปรแกรมภายในระบบปฏบตการจากการใชงานโปรแกรมละเมด

ลขสทธ และโปรแกรมทมความเสยงทางดานความปลอดภย

- จดเกบขอมลบนทกเหตการณ และการตงเวลาเครองคอมพวเตอรใหตรงกนตามเวลา

มาตรฐานทระบในกฎหมาย

- ตดตามขาวสารกฎหมาย และขอก าหนดของหนวยงานก ากบทมการประกาศใหมเปน

ประจ า และน ามาปรบปรงแนวทางปฏบตเพอปฏบตตาม

123

เอกสารวธการรกษาความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศส าหรบพนกงาน วธการรกษาความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศส าหรบพนกงาน ขอบเขต และจดประสงค

เพอใหพนกงานทกทานทราบวธการรกษาความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ ส าหรบระบบสารสนเทศทอยในความดแลของโรงเรยนกรณศกษา หรอมการสราง และการบรหารจดการภายในโรงเรยนกรณศกษา การปฏบตตาม

พนกงานและบคคลทเกยวของกบการใชงานระบบสารสนเทศของโรงเรยนทกคน ตองปฏบตตามวธการรกษาความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศส าหรบพนกงาน วธการ

- เขาถงระบบสารสนเทศเมอมความจ าเปนตองใชงาน และออกจากระบบทนทเมอใชงาน

เสรจสน

- รกษารหสผานระบบสารสนเทศทอยในความรบผดชอบของตนเปนความลบ ไมควร

บนทกรหสผานลงในสอบนทกขอมล เชน ไฟลในเครองคอมพวเตอร หรอกระดาษ

- เปลยนรหสผานบญชผใชของตนทนททเขาใชงานเปนครงแรก และเปลยนรหสผานเปน

ประจ าตามความเหมาะสม

- ไมใชขอมลสวนตว หรอค าทมในพจนานกรมในการตงรหสผาน และตงรหสผานใหยาก

ตอการคาดเดา

- แจงปญหาทเกดขนกบระบบสารสนเทศใหพนกงานทมหนาทดแลระบบสารสนเทศทราบ

เพอท าการแกไขปญหา

- พจารณาดแลรกษาเครองคอมพวเตอรทใชเขาถงระบบสารสนเทศจากการคกคามของ

โปรแกรมไวรส โดยการลงโปรแกรมปองกนโปรแกรมไวรส และมความระมดระวงในการ

ใชงานเครองคอมพวเตอรทใชเขาถงระบบสารสนเทศจากอนตรายทเกดจากใชงานอน

เทอรเนต เชน Website หรอ Download File ทอาจแฝงดวยโปรแกรมไวรส

- ปฏบตตามแนวทางการรกษาความปลอดภยขอมลสารสนเทศ ตามการจดระดบ

ความส าคญของขอมลในดงน

124



ความหมาย ขอมลทเผยแพรสสาธารณะได

ขอมลส าหรบใชภายในโรงเรยน ทถกเปดเผยสบคคลภายนอก จะไมท าใหเกดความเสยหายตอโรงเรยน

ขอมลการด าเนนงานของโรงเรยน ทถกเปดเผยสบคคลภายนอกจะท าใหเสยชอเสยง และท าใหเกดความเสยหายใหแกโรงเรยนได

ตวอยาง ขอมลการรบสมครนกเรยนใหม

ขอมลรายชอนกเรยน, ขอมลตารางการเรยนการสอน

ขอมลรหสผานเพอเขาสระบบสารสนเทศ, ขอมลผลการประเมนความดความชอบพนกงาน

การจดเกบ ไมก าหนด ไมก าหนด กระดาษ ตลอกกญแจ ไฟลอเลกทรอนกส ใสรหสผานในการเขาถง และพจารณาใชงานการเขารหส สอบนทกขอมล ตลอกกญแจ

125



การจดสง ไมก าหนด ไมก าหนด กระดาษ ใสซองปดมดชด และจดสงดวยพนกงานภายในโรงเรยน ไฟลอเลกทรอนกส ใสรหสผานขอมลกอนสง และไมจดสงรหสผานไปดวยกน รวมทงพจารณาใชงานการเขารหส สอบนทกขอมล ใสกลองลอกกญแจ และจดสงดวยพนกงานภายในโรงเรยน

การท าลาย ไมก าหนด ไมก าหนด กระดาษ ฉกใหเปนชนๆ หรอใชเครองยอยกระดาษ ไฟลอเลกทรอนกส ลบดวยการเขยนขอมลทบ สอบนทกขอมล ทบดวยคอน หรอใชสวานเจาะ

126



ระบระดบความส าคญของขอมล

ไมก าหนด ไมก าหนด กระดาษ ระบระดบความส าคญของขอมลทหวกระดาษทกหนา ไฟลอเลกทรอนกส ระบระดบความส าคญของขอมลทหวกระดาษไฟลอเลกทรอนกส ทกหนา สอบนทกขอมล ระบระดบความส าคญของขอมลโดยการเขยน หรอตดดวยปายกระดาษ

- พนกงานตองปฏบตตามแนวทางการปฏบตงานส าหรบพนททตองรกษาความมนคง

ปลอดภยดงน


ของพนท





ตวอยาง หองระเบยนส าหรบจดเกบเอกสาร, หองท างานผอ านวยการ


127


ของพนท





ตวอยาง หองระเบยนส าหรบจดเกบเอกสาร, หองท างานผอ านวยการ


แนวทางการปฏบตงาน

- อนญาตใหเขาถงพนทเฉพาะผม ความจ าเปนตองปฏบตงาน - ไมน าเขาวตถไวไฟ หรอเชอเพลง

- อนญาตใหเขาถงพนทเฉพาะผม ความจ าเปนตองปฏบตงาน - ไมใหบคคลภายนอกทมความจ าเปนตองเขาถงพนท ปฏบตงานภายในพนทล าพง - ไมน าเขาวตถไวไฟ หรอเชอเพลง - ไมน าเขาอาหาร และเครองดม

- พนกงานทไมปฏบตตามนโยบายความมนคงปลอดภยสารสนเทศ ถอเปนความผดทาง

วนย ระดบการลงโทษเปนไปตามความเสยหายทเกดขน

128

เอกสารส าหรบใชงานจรง

131

ภาคผนวก ฉ เอกสารขนตอนการปฏบตงานดานความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ ขนตอนการปฏบตงานการขอใชงานระบบสารสนเทศ ขอบเขต และจดประสงค

เพอใหการสรางบญชผใช และการใหสทธเขาถงระบบสารสนเทศขององคกรผานการอนมตจากผบรหาร และลดความเสยงจากการเขาถงโดยไมไดรบอนญาต แผนภาพแสดงขนตอนการปฏบตงาน

� �

�

�

�

�

1.

2.

4.

3.

5.

/

6.

/

132

ค าอธบายขนตอนการปฏบตงาน 1) พนกงานผขอใชระบบสารสนเทศ กรอกรายละเอยดประกอบการขอใชงานในแบบฟอรมขอ

ใชงานระบบสารสนเทศ ขอ 1 และ 2 ซงประกอบดวย

ขอมลพนกงานผขอใชระบบสารสนเทศ

- ชอ และนามสกล

- เบอรโทรศพท

- กลมสาระการเรยนร

- ประจ าชน

ขอมลระบบสารสนเทศทขอใชงาน

- ระบบทขอใชงาน

- เหตผลทขอใชงาน เพอใชในการก าหนดสทธในระบบสารสนเทศ

2) หวหนากลมสาระการเรยนรของพนกงานผรองขอ พจารณาอนมตการขอใชระบบสารสนเทศ

โดยพจารณาจากความจ าเปนของพนกงาน และพจารณาเหตผลทไดระบไว รวมทงลงนาม

อนมตในแบบฟอรมขอใชงานระบบสารสนเทศ

3) ผบรหารภาพรวมของระบบสารสนเทศ พจารณาอนมตการขอใชระบบสารสนเทศ โดย

พจารณาจากความจ าเปนของพนกงาน และพจารณาเหตผลทไดระบไว รวมทงลงนามอนมต

ในแบบฟอรมขอใชงานระบบสารสนเทศ

4) ผดแลระบบสารสนเทศ เพมบญชผใชและพจารณาใหสทธในระบบสารสนเทศตามเหตผลท

ระบไว

5) ผดแลระบบสารสนเทศ จดท าแบบฟอรมแจงบญชผใช และรหสผาน และใสซองปดมดชด

จดสงใหแกพนกงานผขอใชระบบสารสนเทศ รวมทงลงนามการปฏบตงานเสรจสนใน

แบบฟอรมขอใชงานระบบสารสนเทศ

6) พนกงานผขอใชระบบสารสนเทศ ไดรบแบบฟอรมแจงบญชผใช และรหสผาน

133


วนท _______________

1. ขอมลพนกงานผขอใชระบบสารสนเทศ

2. ขอมลระบบสารสนเทศ

3. การลงนามจากผขอใช

4. การลงนามจากผปฏบต

ขนตอนการขอใชงานระบบสารสนเทศ

1. กรอกรายละเอยดในแบบฟอรมขอใชงานระบบสารสนเทศขอ 1-2 โดยอธบายเหตผลในการใชงานใหชดเจน เพอ

ประกอบการใหสทธใชระบบสารสนเทศทเหมาะสม และใหหวหนากลมสาระการเรยนรลงนามอนมตการขอใชงาน

2. สงเอกสารถงผ บรหารภาพรวมของระบบสารสนเทศ และรอรบเอกสารแจงบญชผ ใช/รหสผาน เพอเขาใชงานระบบ

ตนแบบเอกสารส าหรบใชภายในโรงเรยน

ผบรหารภาพรวมของระบบสารสนเทศ ผดแลระบบสารสนเทศ ปฏบตงานเสรจสน

( ) ( )

วนท ____________________________ วนท ____________________________

เหตผลในการขอใชงาน _____________________________________________________________________________________

พนกงานผขอใชระบบสารสนเทศ หวหนากลมสาระการเรยนร

( ) ( )

วนท ____________________________ วนท ____________________________


ชอ-นามสกล ____________________________________________________ โทรศพท ____________________________

กลมสาระการเรยนร ______________________________________________ ประจ าชน ___________________________

ระบบทขอใชงาน _________________________________________________________________________________________

134

แบบฟอรมแจงบญชผใช/รหสผาน

วนท _______________

1. ขอมลพนกงานผขอใชระบบสารสนเทศ

2. ขอมลบญชผใช/รหสผาน

สงทควรทราบ

บญชผ ใช (User) ________________________________________________________________________________________

1. เปลยนรหสผานบญชผ ใชของตนทนททเขาใชงานเปนครงแรก และเปลยนรหสผานครงตอไปตามระยะเวลาทระบบ

3. ไมใชขอมลสวนตว หรอค าทมในพจนานกรมในการตงรหสผาน และตงรหสผานใหยากตอการคาดเดา

2. รกษารหสผานระบบสารสนเทศทอยในความรบผดชอบของตนเปนความลบ และไมควรบนทกรหสผานลงในสอบนทก

ขอมล เชน ไฟลในเครองคอมพวเตอร หรอกระดาษ

4. ถามปญหาในการเขาใชงานระบบสารสนเทศ ใหแจงปญหาทเกดขนใหพนกงานทมหนาทดแลระบบสารสนเทศทราบ

เพอท าการแกไขปญหา

ระบบทขอใชงาน ________________________________________________________________________________________

รหสผาน (Password) ____________________________________________________________________________________

ตนแบบเอกสารส าหรบใชภายในโรงเรยนแบบฟอรมแจงบญชผใช/รหสผาน

ชอ-นามสกล ____________________________________________________ โทรศพท ____________________________


135

ขนตอนการปฏบตงานการขอเปลยนแปลงระบบสารสนเทศ ขอบเขต และจดประสงค

เพอใหการเปลยนแปลงระบบสารสนเทศของโรงเรยนมความปลอดภย ผานการอนมตจากผบรหาร มการทดสอบกอนท าการเปลยนแปลง แจงผใชบรการทเกยวของ และส ารองขอมลส าหรบการถอยกลบเมอเกดปญหาจากการเปลยนแปลง แผนภาพแสดงขนตอนการปฏบตงาน

�

�

�

�

�

1.

4.

3.

5.

6.

7.

8.

2.

136

ค าอธบายขนตอนการปฏบตงาน 1) พนกงานผขอเปลยนแปลงระบบสารสนเทศ กรอกรายละเอยดประกอบการเปลยนแปลงใน

แบบฟอรมขอเปลยนแปลงระบบสารสนเทศ ขอ 1 และ 2

ขอมลพนกงานผขอเปลยนแปลงระบบสารสนเทศ





ขอมลระบบสารสนเทศทขอใชงาน

- ระบบทขอเปลยนแปลง

- เรองทขอเปลยนแปลง

- เหตผลในการขอเปลยนแปลง

2) หวหนากลมสาระการเรยนรของพนกงานผรองขอ พจารณาอนมตการขอเปลยนแปลงระบบ

สารสนเทศ โดยพจารณาจากเรองทขอเปลยนแปลง และเหตผลทไดระบไว รวมทงลงนาม

อนมตในแบบฟอรมขอใชงานระบบสารสนเทศ

3) ผบรหารภาพรวมของระบบสารสนเทศ พจารณาอนมตการขอใชระบบสารสนเทศ พจารณา

อนมตการขอเปลยนแปลงระบบสารสนเทศ โดยพจารณาจากเรองทขอเปลยนแปลง และ

เหตผลทไดระบไว รวมทงลงนามอนมตในแบบฟอรมขอใชงานระบบสารสนเทศ

4) ผดแลระบบสารสนเทศ ด าเนนการเปลยนแปลงบนระบบทดสอบ

5) พนกงานผขอเปลยนแปลงระบบสารสนเทศ ทดสอบการใชงานตามทขอเปลยนแปลงบน

ระบบทดสอบ

6) ผดแลระบบสารสนเทศ แจงพนกงานผใชบรการระบบสารสนเทศถงก าหนดการเปลยนแปลง

กอนการเปลยนแปลงอยางนอย 10 วนท าการ

7) ผดแลระบบสารสนเทศ ส ารองขอมลระบบใหบรการจรงทมการเปลยนแปลง

8) ผดแลระบบสารสนเทศ ด าเนนการเปลยนแปลงระบบสารสนเทศ ลงนามปฏบตงานเสรจสน

ในแบบฟอรมขอใชงานระบบสารสนเทศ

หมายเหต ขนตอนการแจงพนกงานผใชบรการระบบสารสนเทศ หรอการส ารองส ารองขอมล

ระบบใหบรการจรงทมการเปลยนแปลง สามารถพจารณาด าเนนการตามความเหมาะสมของแต

ละการเปลยนแปลงได

137

แบบฟอรมขอเปลยนแปลงระบบสารสนเทศ

วนท _______________

1. ขอมลพนกงานผขอเปลยนแปลงระบบสารสนเทศ

2. ขอมลระบบสารสนเทศ

3. การลงนาม



ขนตอนการขอใชงานระบบสารสนเทศ

เวลา _________________วนท _____________________

รายละเอยดการเปลยนแปลง

แจงพนกงานผ ใชบรการ

ส ารองขอมลระบบใหบรการจรง

ด าเนนการเปลยนแปลงเสรจสน

2. สงเอกสารถงผ บรหารภาพรวมของระบบสารสนเทศ และรอการแจงกลบจากผ ดแลระบบเพอทดสอบระบบหลงการ

เปลยนแปลงบนระบบทดสอบ

เรองทขอเปลยนแปลง ____________________________________________________________________________________

__________________________________ _____________________________________________________________________

วนท ____________________________ วนท ____________________________

1. กรอกรายละเอยดในแบบฟอรมขอเปลยนแปลงระบบสารสนเทศขอ 1-2 โดยอธบายเหตผลในการใชงานใหชดเจน และ

ใหหวหนากลมสาระการเรยนรลงนามอนมตการขอใชงาน

เหตผลในการขอเปลยนแปลง _____________________________________________________________________________

ผดแลระบบสารสนเทศ ปฏบตงานเสรจสน

( )

วนท ____________________________ วนท ____________________________

ผบรหารภาพรวมของระบบสารสนเทศ พนกงานผขอเปลยนแปลงระบบสารสนเทศทดสอบระบบเสรจสน

( ) ( )

ระบบทขอเปลยนแปลง ___________________________________________________________________________________

__________________________________ _____________________________________________________________________

พนกงานผขอเปลยนแปลงระบบสารสนเทศ หวหนากลมสาระการเรยนร

( ) ( )

ตนแบบเอกสารส าหรบใชภายในโรงเรยนแบบฟอรมขอเปลยนแปลงระบบสารสนเทศ

ชอ-นามสกล ____________________________________________________ โทรศพท ____________________________


138

ขนตอนการปฏบตงานการแจงปญหา และการแกไขปญหาในระบบสารสนเทศ ขอบเขต และจดประสงค

เพอใหมข นตอนการแจงปญหาอยางชดเจน และระบบสารสนเทศไดรบการแกไขปญหาอยางรวดเรว รวมทงมการแกไขปญหาทตนเหตของปญหา แผนภาพแสดงขนตอนการปฏบตงาน

� �

�

1.

2.

3.

4.

5.

5.

139

ค าอธบายขนตอนการปฏบตงาน 1) ผใชงานระบบสารสนเทศ แจงปญหาทพบจากการใชงานระบบสารสนเทศ

2) ผดแลระบบสารสนเทศ แกไขปญหาเฉพาะหนาเพอใหระบบสามารถใชงานได

3) ผดแลระบบสารสนเทศ บนทกปญหาในแบบฟอรมปญหาระบบสารสนเทศ เพอตดตามแกไข

ปญหาทตนเหตตอไป รายละเอยดดงตอไปน

ขอมลพนกงานผแจงปญหา





ขอมลปญหา

- ระบบทเกดปญหา

- วนท และเวลาทเกดปญหา

- รายละเอยดปญหา









ขอมลการแกไขปญหาเฉพาะหนา

- วนทและเวลาทแกไขปญหาเฉพาะหนาเสรจสน

- รายละเอยดการแกไขปญหาเฉพาะหนา

4) ผบรหารภาพรวมของระบบสารสนเทศ ตดตามใหมการแกไขปญหาทตนเหต

5) ผดแลระบบสารสนเทศ หาสาเหตของปญหาทเกดขน และแกไขปญหาทตนเหต และบนทก

การแกไขปญหาทตนเหต ในแบบฟอรมปญหาระบบสารสนเทศ

140

ขอมลการแกไขปญหาทตนเหต

- วนทและเวลาทแกไขปญหาทตนเหต

- รายละเอยดการแกไขปญหาทตนเหต

6) ผบรหารภาพรวมของระบบสารสนเทศ รบทราบการแกไขปญหาเสรจสน และลงนามปด

ปญหาในแบบฟอรมปญหาระบบสารสนเทศ

141

แบบฟอรมปญหาระบบสารสนเทศ

วนท _______________

1. ขอมลพนกงานผแจงปญหา

2. ขอมลปญหา

วนท และเวลาทเกดปญหา ________________________________________________________________________________

_______________________________________________________________________________________________________

3. ขอมลการแกไขปญหาเฉพาะหนา

วนท และเวลาทแกไขปญหาเฉพาะหนาเสรจสน ______________________________________________________________

_______________________________________________________________________________________________________

4. การลงนามจากผแกไขปญหาเฉพาะหนา

5. ขอมลการแกไขปญหาทตนเหต

วนท และเวลาทแกไขปญหาทตนเหตเสรจสน ______________________________________________________________

6. การลงนามจากผแกไขปญหาทตนเหต

วนท ____________________________ วนท ____________________________

ผดแลระบบทแกไขปญหาทตนเหต ผบรหารภาพรวมของระบบสารสนเทศ

( ) ( )

รายละเอยดการแกไขปญหาเฉพาะหนา ____________________________________________________________________

รายละเอยดการแกไขปญหาทตนเหต ____________________________________________________________________

ผดแลระบบทแกไขปญหาเฉพาะหนา ผบรหารภาพรวมของระบบสารสนเทศ

( ) ( )

วนท ____________________________ วนท ____________________________

ระบบทเกดปญหา _______________________________________________________________________________________

รายละเอยดปญหา ______________________________________________________________________________________

_______________________________________________________________________________________________________

ตนแบบเอกสารส าหรบใชภายในโรงเรยนแบบฟอรมปญหาระบบสารสนเทศ

ชอ-นามสกล ____________________________________________________ โทรศพท ____________________________


risk management and information technology security in ... ·...

Documents