Page 625 - NEIC_FINAL REPORT_Appendix
P. 625
ประเด็นการบริหารความเสี่ยงและระบบความปลอดภัยสารสนเทศ
- ควรอิงตามมาตรฐาน ISO/IEC 27001 ที่มีบอกว่าต้องทําอะไรบ้างเพื่อลดความเสี่ยง และใช้เป็น Auditor
หน่วยงานภายนอกท่ีเข้ามาตรวจสอบจึงม่ันใจได้ว่าเราปลอดภัยแล้ว
- ISO/IEC 27001 จะเป็นมาตรฐานที่ได้รับการยอมรับในอุตสาหกรรม ยึดหลัก 3 อย่างคือ CIA (1) การรักษา
ความลับ (Confidentiality) ผู้ไม่มีสิทธิ์ไม่สามารถเข้าถึงข้อมูลได้ (2) การรักษาความถูกต้อง (Integrity) ไม่สามารถถูกแก้ไขเปลี่ยนแปลงโดยผู้ไม่มีสิทธิ์ เช่น database administrator ไม่สามารถแก้ไขข้อมูล บางอย่างได้ (3) การเข้าถึงได้ (Availability) สามารถเข้าถึงข้อมูลได้โดยผู้มีสิทธิ์ (server ไม่ down) และ ข้อมูลไม่หาย คือ มีการ backup ทั้งข้อมูลและตัวระบบ เพื่อให้มั่นใจได้ว่าถ้าข้อมูลบางส่วนสูญหาย จะสามารถกู้คืนได้
มาตรการด้านการบริหารความเสี่ยงและระบบความปลอดภัยสารสนเทศ มีประเด็นครอบคลุมดังนี้
- นโยบายการจัดการความปลอดภัยสารสนเทศ
- โครงสร้างความปลอดภัยสารสนเทศ
- ความมั่นคงปลอดภัยของทรัพยากรบุคคล จะต้องมีกรอบเรื่องการจ้างงานตั้งแต่เริ่มการคัดเลือก
การตรวจสอบภูมิหลัง มีการกําหนดเงื่อนไขการจ้างงาน การเซ็นยอมรับการจ้างงาน การกําหนดความ รับผิดชอบของผู้บริหารระดับสูงเรื่องการรักษาความปลอดภัยของข้อมูล เช่น ไม่แปะ user login/password ไว้บนหน้าจอ มีการให้ความรู้เกี่ยวกับความปลอดภัย และมีกระบวนการทางวินัยที่ชัดเจน การตรวจสอบ ความรู้ การเทรนนิ่งต่าง ๆ และบังคับใช้ เม่ือส้ินสุดการทํางานต้องมีกระบวนการป้องกันการเข้าถึงข้อมูลทั้งหมด
- การบริหารจัดการทรัพย์สิน
- การควบคุมการเข้าถึง
- การเข้ารหัสข้อมูล
- ความมั่นคงปลอดภัยทางกายภาพ
- ความมั่นคงปลอดภัยสําหรับการดําเนินการ
- ความปลอดภัยสําหรับการสื่อสารข้อมูล
- การบํารุงรักษาระบบ
- การจัดการความสัมพันธ์กับผู้ให้บริการภายนอก
- การเผชิญเหตุ
- การจัดการความต่อเนื่องทางธุรกิจ
- จัดการระบบความปลอดภัยต้องอาศัย auditor ภายนอกในการทดสอบระบบความปลอดภัยด้วย
14/4/63 - 4
