Page 715 - NEIC_FINAL REPORT
P. 715
โครงการศึกษาการจัดทําแผนยุทธศาสตร์และออกแบบการพัฒนาศูนย์สารสนเทศ พลังงานแห่งชาติเพ่ือรองรับการใช้ข้อมูลขนาดใหญ่ (Big Data) ในการขับเคลื่อน แผนพลังงานของประเทศไทย
b. ความต้องการด้านการจัดการความปลอดภัยสารสนเทศ
การสร้างระบบบริหารความเสี่ยงและระบบรักษาความปลอดภัยของศูนย์สารสนเทศพลังงานแห่งชาติ มีความสําคัญในการที่จะสร้างความเชื่อมันในการให้บริการข้อมูลและสารสนเทศของศูนย์ฯ ว่าจะมีความถูกต้อง ครบถ้วน และทันต่อการใช้งาน ซึ่งการสร้างระบบบริหารความเสี่ยงและระบบรักษาความปลอดภัยที่ดี ควรจะ อ้างอิงอยู่กับมาตรฐานที่ได้รับการยอมรับในอุตสาหกรรม เพื่อให้เป็นที่ยอมรับได้ทั้งจากผู้ใช้ และหน่วยงานกํากับ ควบคุม รวมถึงสามารถหาผู้ตรวจสอบ (Auditor) ที่ได้รับการยอมรับได้ง่าย โดยมาตรฐานของระบบจัดการความ ปลอดภัยสารสนเทศที่ได้รับการยอมรับในปัจจุบันคือมาตรฐาน ISO/IEC 27001 ซึ่งเป็นมาตรฐานที่ออกโดย International Standard Organization (ISO) ร่วมกับ International Electrotechnical Commission (IEC) โดย ISO/IEC 27001 เป็นหนึ่งในมาตรฐานท่ีอยู่ในชุดมาตรฐาน (Standard Series) ISO/IEC 27000 ซึ่งเป็นชุดมาตรฐาน สําหรับระบบความปลอดภัยสารสนเทศโดยเฉพาะ ซึ่งชุดมาตรฐานนี้จะแนะนําวิธีปฏิบัติที่ดีที่สุดสําหรับการสร้าง ระบบจัดการความปลอดภัยสารสนเทศ (Information Security Management Systems) ผ่านการบริหารความ เสี่ยงของสารสนเทศ (Information Security Risk Management) ในลักษณะเดียวกันกับชุดมาตรฐานในการ บริหารจัดการอ่ืน ๆ ของ ISO เช่น ชุดมาตรฐาน ISO 9000 เป็นต้น
ดังที่ได้กล่าวไปแล้วว่า ISO/IEC 27000 เป็นชุดมาตรฐาน จึงมีการประกาศมาตรฐานจํานวนมาก ในชุดมาตรฐานนี้ เช่น ISO/IEC 27005 Information Security Risk Management) ISO/IEC 27032 Guideline for Cybersecurity และ ISO/IEC 27033 Network Security เป็นต้น แต่มาตรฐานท่ีสําคัญในชุด มาตรฐานนี้ ก็คือ ISO/IEC 27001 Information Security Management Systems (ISMS) ซ่ึงช่วยให้องค์กร สามารถออกแบบระบบการจัดการความปลอดภัยของสารสนเทศที่สอดคล้องกับบริบทขององค์กรเพื่อปกป้อง ข้อมูลข่าวสารที่มีคุณค่าหรืออ่อนไหว โดยข้อมูลข่าวสารท่ีมีคุณค่า (Valuable Information) รวมถึงทรัพย์สิน ทางปัญญาขององค์กร ข้อมูลด้านการเงิน ข้อมูลการปฏิบัติงาน หรือข้อมูลอื่น ๆ ที่จําเป็นต้องการดําเนินงาน ขององค์กร ส่วนข้อมูลข่าวสารอ่อนไหว (Sensitive Information) หมายถึงข้อมูลส่วนบุคคลที่ถูกป้องป้อง โดยกฎหมายและไม่อาจจะเปิดเผยได้โดยไม่มีฐานของกฎหมายหรือความยินยอมอย่างชัดแจ้ง ซึ่งระบบ การจัดการความปลอดภัยของสารสนเทศจะปกป้องข้อมูลข่าวสารท้ังสองแบบในสามด้านคือ
6.1-5
รายงานฉบับสมบูรณ์
Final Report
รายงานฉบับสมบูรณ์
6- 5
