THAI CPE
Discussions
Activity
Sign In
General Talk
ISO
Vote Up
0
Vote Down
plawansai
March 2011
ISO/IEC 27001
Awareness and requirements
Information security Management systems
ระบบการจัดการความปลอดภัยของข้อมูล
อะไรคือข้อมูล? - What is information?
Information - ข้อมูล คือ: ข้อมูลที่มีความสำคัญและมีมูลค่าให้กับองค์กร และทำให้มีความต้องการที่จะต้องได้รับความดูแลอย่างเหมาะสม
เอกสารที่พิมพ์ออกมา - Printed
ข้อมูลที่เขียนในกระดาษ - Written on paper
ข้อมูลที่จัดเก็บ - Stored electronically
การส่งข้อมูลไปภายนอก - Transmitted by post
การใช้สื่อในระบบ Electronic - Using electronic means
ข้อมูลที่อยู่ในรูป film - Shown on films
ข้อมูลในรูปการสนทนา - Spoken in conversation
Asset - ทรัพย์สิน คือ: สื่อ อะไรก็ตามที่ มีข้อมูลที่จำเป็น หรือ ที่มีคุณค่าสำหรับองค์กร จัดเก็บอยู่
Computer
Notebook
Server Center
Camera
Smart Phone
File
Flash Drive
Employee
ความปลอดภัยของข้อมูล:
การรักษาความปลอดภัยของข้อมูลจากภัยคุกคามต่างๆ
เพื่อให้แน่ใจว่าธุรกิจยังคงดำเนินต่อเนื่อง
ผลตอบแทนสูงสุดจากการลงทุน
โอกาสทางธุรกิจ
Confidentiality - ความลับ: เพื่อให้มั่นใจได้ว่าข้อมูลต่างๆ สามารถเข้าถึงได้เฉพาะผู้ที่มีสิทธิเท่านั้น
Integrity - ความถูกต้องสมบูรณ์: เพื่อให้มั่นใจได้ว่าข้อมูลมีความถูกต้องครบถ้วนสมบูรณ์ โดยไม่ได้ถูกเปลี่ยนแปลงหรือแก้ไขจากผู้ที่ไม่ได้รับอนุญาต
Availability - ความพร้อมใช้: เพื่อให้มั่นใจได้ว่าข้อมูลพร้อมที่จะใช้งานอยู่เสมอ โดยมีผู้ที่มีสิทธิในการเข้าถึงข้อมูลสามารถเข้าถึงได้ทุกเมื่อ หากต้องการ
Structure (ISO/IEC 27001):
0 - Introduction
1 - Scope
2 - Normative references
3 - Terms and definitions
4 - Context of organization
5 - Leadership
6 - Planning
7 - Support
8 - Operation
9 - Performance Evaluation
10 - Improvement
Annex A : Reference Control objectives and controls:
14 management Domain, 35 Objectives, 114 Controls
ISO/IEC 27001:2013 Management Issues:
Requirement:
4 - Context of organization
5 - Leadership
6 - Planning
7 - Support
8 - Operation
9 - Performance Evaluation
10 - Improvement
ISMS Process Framework - ISO/IEC 27001:2013:
ISMS Requirement:
10 - ดำเนินการปรับปรุงและพัฒนาระบบอย่างต่อเนื่อง
9 - เฝ้าติดตามตรวจวัดประสิทธิภาพของการควบคุมและทบทวนระบบ
8 - ดำเนินการตามมาตรการควบคุมที่วางไว้พร้อมวางแผนการทบทวนความเสี่ยง
7 - สร้างความตระหนักให้บุคคลากร, สื่อสาร และจัดทำเอกสารที่เกี่ยวข้อง
6 - ดำเนินการประเมินความเสี่ยง
5 - กำหนดนโยบายความปลอดภัยของข้อมูล, บทบาทหน้าที่ของแต่ละบุคคล
4 - กำหนดบริบทขององค์กร, ผู้มีส่วนได้ส่วนเสีย, ขอบเขตและขอบข่ายในการขอการรับรอง
4 - บริบทขององค์กร:
ทำความเข้าใจองค์กรและบริบทขององค์กร - องค์กรต้องมีการกำหนดประเด็นต่างๆ ทั้งจากภายในและภายนอก ที่มีส่วนเกี่ยวข้องกับวัตถุประสงค์ขององค์กร ซึ่งมีผลกระทบต่อความสามารถขององค์กรในการบรรลุเป้าหมายที่ตั้งไว้ในระบบบริหารจัดการความปลอดภัยข้อมูล
การเข้าใจความต้องการ และความคาดหวังของผู้มีส่วนได้ส่วนเสีย องค์กรต้องกำหนด:
ผู้มีส่วนได้เสีย ที่เกี่ยวข้องกับระบบบริหารจัดการความปลอดภัยข้อมูล และ
ข้อกำหนดผู้มีส่วนได้เสียที่เกี่ยวข้องกับความปลอดภัยข้อมูล หมายเหตุ ข้อกำหนดของผู้มีส่วนได้เสีย อาจหมายรวมถึง กฎหมาย ระเบียบข้อบังคับ และภาระผูกพันตามสัญญา
การกำหนดขอบเขตของระบบบริหารจัดการความปลอดภัยข้อมูล องค์กรต้องพิจารณาถึง:
ประเด็นภายในและภายนอก ตามที่ระบุไว้ในข้อกำหนด 4.1
ความต้องการที่ระบุไว้ในข้อกำหนด 4.2
การเชื่อมโยง และความสัมพันธ์ระหว่างกิจกรรมต่างๆ ที่ทำในองค์กร และที่ทำโดยองค์กรภายนอก
Scope - ขอบเขต ต้อง จัดทำเป็นเอกสาร - Documented Information
ระบบบริหารจัดการความปลอดภัยข้อมูล: องค์กรต้องจัดตั้ง นำไปปฏิบัติ ดำเนินการ เฝ้าติดตาม ทบทวน รักษาไว้ และปรับปรุงระบบเอกสารของ ISMS ครอบคลุมกิจกรรมทางธุรกิจต่างๆ ขององค์กร รวมถึงความเสี่ยงต่างๆ ตามจุดประสงค์ของมาตรฐานสากลฉบับนี้
5 - ภาวะผู้นำ:
ภาวะผู้นำและพันธสัญญา แสดงถึงความมุ่งมั่นว่า:
นโยบายและวัตถุประสงค์สอดคล้องกับกลยุทธ์ขององค์กร
กำหนดให้ควบรวมข้อกำหนดของระบบบริหารความปลอดภัยข้อมูล เข้าไปในกระบวนการขององค์กร
กำหนดบทบาทและความรับผิดชอบ
การสื่อสารสอดคล้องต่อข้อกำหนดระบบการบริหารจัดการความปลอดภัยข้อมูล
ระบบการบริหารจัดการความปลอดภัยข้อมูล บรรลุผลลัพธ์ที่ตั้งไว้
จัดให้มีทรัพยากรที่เพียงพอ
ส่งเสริมเรื่องการปรับปรุงพัฒนาอย่างต่อเนื่อง
สนับสนุนบุคคลอื่นๆ ที่มีส่วนเกี่ยวข้องให้สามารถทำตามบทบาทหน้าที่รับผิดชอบในแต่ละส่วน
นโยบาย ผู้บริหารต้องกำหนด นโยบายให้:
มีความเหมาะสมตามวัตถุประสงค์ขององค์กร
รวมถึง วัตถุประสงค์ความปลอดภัยข้อมูล ตามข้อ 6.2 หรือ กำหนดกรอบในการตั้งวัตถุประสงค์
รวมถึง พันธสัญญาที่สนองความต้องการข้อกำหนดที่เกี่ยวข้องกับความปลอดภัยข้อมูล
รวมถึง พันธสัญญาต่อการปรับปรุงพัฒนาอย่างต่อเนื่องของระบบบริหารจัดการความปลอดภัยข้อมูล
ต้องจัดทำเป็นเอกสาร
ต้องถูกสื่อสารภายในองค์กร
ต้องมีให้กับผู้มีส่วนได้เสีย ตามความเหมาะสม
บทบาทหน้าที่, ความรับผิดชอบ และอำนาจหน้าที่ในองค์กร ผู้บริหารระดับสูงต้องแน่ใจว่า บทบาท อำนาจหน้าที่ ความรับผิดชอบที่เกี่ยวข้องกับความปลอดภัยข้อมูลนั้น มีการ มอบหมาย และถูกสื่อสาร ผู้บริหารระดับสูงต้องมอบหมายอำนาจหน้าที่ความรับผิดชอบเพื่อ:
มั่นใจว่าระบบบริหารจัดการความปลอดภัยข้อมูล สอดคล้องกับข้อกำหนดของมาตรฐานนี้
การรายงานผลงาน ของระบบบริหารจัดการความปลอดภัยข้อมูล ไปยังผู้บริหารระดับสูง
6 - การวางแผน:
กิจกรรมเพื่อรับมือกับความเสี่ยง และโอกาสที่จะเกิด
ทั่วไป เมื่อจัดทำแผนงาน ISMS องค์กรต้องคำนึงถึง:
ประเด็นที่ระบุตามข้อกำหนด 4.1 และ
ความต้องการที่ระบุตามข้อกำหนด 4.2 และ
กำหนดความเสี่ยง และโอกาสที่จะเกิดต่างๆ ที่องค์กรต้องรับมือเพื่อ:
ให้แน่ใจว่าระบบ ISMS สามารถบรรลุผลลัพธ์ที่ตั้งไว้
ป้องกัน หรือลด ผลกระทบที่ไม่พึงปรารถนา และ
บรรลุผล เรื่องการปรับปรุงพัฒนาอย่างต่อเนื่อง
การปฏิบัติการระบุความเสี่ยงและโอกาสที่จะเกิดต่างๆ
วิธีการ ในการ:
ผสมผสานและการดำเนินการนำไปใช้ ในกระบวนการของ ISMS
ประเมินประสิทธิผลของการดำเนินการนั้น
การประเมินความเสี่ยงความปลอดภัยข้อมูล:
กำหนดวิธีการประเมินความเสี่ยงขององค์กร:
สร้างเกณฑ์การยอมรับความเสี่ยง และ
เกณฑ์การประเมินความเสี่ยงที่เหมาะสม
วิธีการประเมินความเสี่ยงต้อง ได้ผลที่สามารถเหมือนกัน
ระบุความเสี่ยง:
โดยการประยุกต์ใช้กระบวนการประเมินความเสี่ยง กับความเสี่ยงที่เกี่ยวข้องกับ Confidentiality, Integrity, Availability
กำหนดเจ้าของความเสี่ยง - Risk Owner
การวิเคราะห์ความเสี่ยง:
วิเคราะห์ผลกระทบความเสี่ยงที่ระบุในข้อ 6.1.2 c)
วิเคราะห์ความเป็นไปได้ของความเสี่ยงที่ระบุในข้อ 6.1.2 c)
กำหนดระดับของความเสี่ยง
B-)
1 Comment
sorted by
Votes
Date Added
Vote Up
0
Vote Down
plawansai
June 2020
การประเมินความเสี่ยง:
ต้องทำการเปรียบเทียบผลจากการวิเคราะห์ความเสี่ยง - Risk Analysis กับเกณฑ์ที่กำหนดในข้อ 6.1.2 a)
จัดลำดับความสำคัญ ผลการวิเคราะห์ความเสี่ยง สำหรับทำแผนการลดความเสี่ยง - Risk Treatment
ต้อง เก็บรักษาเอกสาร (Documented Information) ที่เกี่ยวข้องกับกระบวนการประเมินความเสี่ยง
Information security risk:
Threat: ภัยคุกคามที่มีศักยภาพที่จะก่อให้เกิดเหตุการณ์ที่ไม่พึงประสงค์ ซึ่งอาจส่งผลให้เกิดอันตรายต่อระบบหรือองค์กรและทรัพย์สิน
ตัวอย่างประเภทของภัยคุกคาม:
การกระทำโดยมนุษย์:
ตั้งใจ:
วางเพลิง, วางระเบิด
สร้างความเสียหายโดยเจตนา
โจรกรรม
ปลอมตัวเป็นผู้ที่มีสิทธิ
Software ที่เป็นอันตราย
กฎหมายการใช้ Software
เข้าถึงเครือข่ายโดยผู้ที่ไม่ได้รับอนุญาต
ใช้สิ่งอำนวยความสะดวกทางเครือข่ายโดยไม่ได้รับอนุญาต
แทรกซึมการสื่อสาร, ดักฟังการสนทนา
เปลี่ยนเส้นทางของข้อมูล
อุบัติเหตุ:
ไฟฟ้าดับ, น้ำไม่ไหล
เครื่องปรับอากาศเสีย
Hardware เสีย
ข้อผิดพลาดของเจ้าหน้าที่ปฏิบัติงาน
ข้อผิดพลาดการบำรุงรักษา
ความล้มเหลวของ Software
การใช้ Software ผิดกฎหมาย
ความล้มเหลวทาง Technique ของอุปกรณ์เครือข่าย
การส่งผิดพลาด
การส่งข้อมูลเกินพิกัด
ลบ File, ลบข้อมูล
สิ่งแวดล้อม:
แผ่นดินไหว
พายุ Hurricane
ฟ้าผ่า
น้ำท่วม
อุณหภูมิสูงและความชื้น
ฝุ่นละออง
รังสีแม่เหล็กไฟฟ้า
ไฟฟ้าสถิต
การเสื่อมสภาพของสื่อจัดเก็บข้อมูล
Risk Assessment การประเมินหาความเสี่ยงที่มีศักยภาพที่จะเป็นภัยคุกคาม โดยมีสาเหตุหรือได้รับผลกระทบจากช่องโหว่หรือจุดอ่อน ซึ่งจะทำให้เกิดการสูญเสียหรือความเสียหายต่อทรัพย์สินหรือกลุ่มของทรัพย์สิน ไม่ว่าโดยตรงหรือโดยอ้อมกับองค์กร
Analyze and Evaluate the Risks:
ประเมินผลกระทบที่มีต่อธุรกิจ/องค์กร
ประเมินความเป็นไปได้
คาดการณ์ระดับของความเสี่ยง
Examples of Common Vulnerabilities:
Environment and Infrastructure:
Vulnerabilities > Could be exploited by, for example, the threat of:
ขาดการป้องกันทางกายภาพของอาคาร ประตู และหน้าต่าง > การโจรกรรม
ความไม่เพียงพอหรือความประมาทของการควบคุมการเข้าถึงทางกายภาพกับอาคารหรือห้อง > ความเสียหายโดยเจตนา
กำลังไฟฟ้าไม่เพียงพอ > กำลังไฟฟ้าตก
อยู่ในพื้นที่เสี่ยงเกิดน้ำท่วม > น้ำท่วม
Hardware:
ขาดแผนการเปลี่ยน/บำรุงรักษา > การเสื่อมสภาพของสื่อจัดเก็บข้อมูล
ไวต่อการเปลี่ยนแปลงของอุณหภมิ > ความร้อนขึ้นสูง
ความไวต่อฝุ่นและความสกปรก > ความสกปรก
ติดตั้งสื่อจัดเก็บข้อมูลผิดพลาด > การชำรุดของสื่อจัดเก็บข้อมูล
การบำรุงรักษาไม่เพียงพอ > การเสื่อมสภาพของสื่อจัดเก็บข้อมูล
การปรับเปลี่ยนการตั้งค่าไม่เหมาะสม > ใช้งานไม่ได้ตามที่กำหนด
B-)
Add a Comment
Howdy, Stranger!
It looks like you're new here. If you want to get involved, click one of these buttons!
Sign In
Apply for Membership
Categories
All Discussions
3,186
Management
11
General Talk
593
Job
11
Language
75
Make money
48
Operating System
102
Programing & database
30
Networking
2,316
↳ General Networking
325
↳ Advance Network
1,991
↳ OSPF
327
↳ Service Provider
163
↳ Service Provider Operations
518
↳ Redistribution
376
↳ IPv6
4
↳ EIGRP
383
↳ BGP
6
Tagged
9001
1
27001
1
iso
1
Powered by Vanilla