6- 8
เพื่อให้การออกแบบและจัดทําระบบจัดการความปลอดภัยสารสนเทศมีความสอดคล้องกับ มาตรฐาน ISO/IEC 27001 ในท่ีสุด จึงแนะนําให้องค์กรศึกษาและปรับคําอธิบายสําหรับวิธีการทํางานให้สอดคล้อง กับ ISO/IEC 2700
3. คําสําคัญ และ การนิยาม
ในมาตรฐาน ISO/IEC 27001 เองไม่ได้มีการนิยามข้อกําหนดหรือความหมายต่าง ๆ เอาไว้ แต่ใช้การอ้างอิงจาก ISO/IEC 27000 โดยคําสําคัญที่ใช้ใน ISO/IEC 27001 ประกอบไปด้วย
- ความเสี่ยง(Risk)หมายถึงการที่ระบบสารสนเทศมีภัยคุกคาม(Threat)และจุดอ่อน (Vulnerability) บนองค์ประกอบ (Asset) ต่าง ๆ ของระบบสารสนเทศ ซึ่งอาจจะทําให้เกิดเหตุการณ์โจมตี (Incident) ได้ ตัวอย่างเช่น ระบบการเชื่อมต่ออินเทอร์เน็ตที่มีเพียงระบบเดียว อาจจะมีความเสี่ยงที่จะสูญเสีย การเชื่อมต่อเม่ือสายสัญญาณขาด หรืออุปกรณ์เชื่อมต่อมีความเสียหาย
- องค์ประกอบ(Asset)ของระบบสารสนเทศอาจจะหมายถึงโครงสร้างพื้นฐาน ระบบ อุปกรณ์ หรือบุคลากรก็ได้
- สารสนเทศ(Information)หมายถึงชุดข้อมูลที่องค์กรต้องการปกป้องเช่นข้อมูลลูกค้า ข้อมูลทางการเงิน เป็นต้น
- เหตุการณ์โจมตี(Incident)หมายถึงเหตุการณ์ที่ไม่ต้องการให้เกิดขึ้นอาจจะทําให้เกิด ความสูญเสียความลับ (Confidentiality) เช่น กรณีข้อมูลที่เป็นความลับถูกเข้าถึงได้โดยผู้ที่ไม่ได้รับอนุญาต ความถูกต้อง (Integrity) เช่นกรณีข้อมูลเสียหายอันเนื่องจากอุปกรณ์เก็บข้อมูลเสียหาย และการเข้าถึงได้ (Availability) เช่น กรณีระบบไม่สามารถให้บริการได้เนื่องจากการสูญเสียการเชื่อมต่อ
- ภัยคุกคาม(Threat)คือสิ่งที่โจมตีระบบซึ่งอาจจะเป็นผู้ประสงค์ร้าย(Malicious) อุบัติเหตุ (Accident) หรือภัยธรรมชาติ (Disaster) ก็ได้
- จุดอ่อน(Vulnerability)หมายถึงลักษณะของระบบที่ทําให้เมื่อเกิดภัยคุกคามจะทําให้ เกิดเหตุการณ์โจมตีแล้วเกิดความเสียหายกับระบบได้โดง่าย
- การควบคุมการเข้าถึง(AccessControl)หมายถึงกลไกของระบบที่ทําให้ผู้ที่จําเป็นต้อง เข้าถึงระบบสามารถเข้าถึงระบบได้เท่านั้น โดยความจําเป็นอาจจะระบุโดยความต้องการทางธุรกิจ หรือ นโยบายความปลอดภัยก็ได้ โดยท่ัวไปการควบคุมการเข้าถึงจะประกอบไปด้วยสองกระบวนการ คือ การยืนยัน ตัวตน (Authentication) เช่น การล๊อกอินโดยใช้รหัสผู้ใช้/รหัสผ่าน หรือการใช้ Smart Card และการยืนยัน สิทธิ์ (Authorization) เช่น การตรวจสอบว่าผู้ใช้ที่ยืนยันตัวตนแล้ว มีสิทธิ์เข้าถึงข้อมูลที่ต้องการเข้าถึงหรือไม่
6.1-8
Strategic Design and Development Study of the National Energy Information Center to Support National Energy Plan โครงการศึกษาการจัดทําาแผนยุทธศาสตร์และออกแบบการพัฒนาศูนย์สารสนเทศพลังงานแห่งชาติ เพื่อรองรับการใช้ข้อมูลขนาดใหญ่ (Big Data) ในการขับเคล่ือนแผนพลังงานของประเทศไทย
โครงการศึกษาการจัดทําแผนยุทธศาสตร์และออกแบบการพัฒนาศูนย์สารสนเทศ พลังงานแห่งชาติเพื่อรองรับการใช้ข้อมูลขนาดใหญ่ (Big Data) ในการขับเคลื่อน แผนพลังงานของประเทศไทย
รายงานฉบับสมบูรณ์