• ISO/IEC 27001
    Awareness and requirements
    Information security Management systems
    ระบบการจัดการความปลอดภัยของข้อมูล

    อะไรคือข้อมูล? - What is information?

    Information - ข้อมูล คือ: ข้อมูลที่มีความสำคัญและมีมูลค่าให้กับองค์กร และทำให้มีความต้องการที่จะต้องได้รับความดูแลอย่างเหมาะสม
    • เอกสารที่พิมพ์ออกมา - Printed
    • ข้อมูลที่เขียนในกระดาษ - Written on paper
    • ข้อมูลที่จัดเก็บ - Stored electronically
    • การส่งข้อมูลไปภายนอก - Transmitted by post
    • การใช้สื่อในระบบ Electronic - Using electronic means
    • ข้อมูลที่อยู่ในรูป film - Shown on films
    • ข้อมูลในรูปการสนทนา - Spoken in conversation

    Asset - ทรัพย์สิน คือ: สื่อ อะไรก็ตามที่ มีข้อมูลที่จำเป็น หรือ ที่มีคุณค่าสำหรับองค์กร จัดเก็บอยู่
    • Computer
    • Notebook
    • Server Center
    • Camera
    • Smart Phone
    • File
    • Flash Drive
    • Employee

    ความปลอดภัยของข้อมูล:
    • การรักษาความปลอดภัยของข้อมูลจากภัยคุกคามต่างๆ
      • เพื่อให้แน่ใจว่าธุรกิจยังคงดำเนินต่อเนื่อง
      • ผลตอบแทนสูงสุดจากการลงทุน
      • โอกาสทางธุรกิจ
    • Confidentiality - ความลับ: เพื่อให้มั่นใจได้ว่าข้อมูลต่างๆ สามารถเข้าถึงได้เฉพาะผู้ที่มีสิทธิเท่านั้น
    • Integrity - ความถูกต้องสมบูรณ์: เพื่อให้มั่นใจได้ว่าข้อมูลมีความถูกต้องครบถ้วนสมบูรณ์ โดยไม่ได้ถูกเปลี่ยนแปลงหรือแก้ไขจากผู้ที่ไม่ได้รับอนุญาต
    • Availability - ความพร้อมใช้: เพื่อให้มั่นใจได้ว่าข้อมูลพร้อมที่จะใช้งานอยู่เสมอ โดยมีผู้ที่มีสิทธิในการเข้าถึงข้อมูลสามารถเข้าถึงได้ทุกเมื่อ หากต้องการ

    Structure (ISO/IEC 27001):
    • 0 - Introduction
    • 1 - Scope
    • 2 - Normative references
    • 3 - Terms and definitions
    • 4 - Context of organization
    • 5 - Leadership
    • 6 - Planning
    • 7 - Support
    • 8 - Operation
    • 9 - Performance Evaluation
    • 10 - Improvement

    Annex A : Reference Control objectives and controls:
    14 management Domain, 35 Objectives, 114 Controls

    image

    ISO/IEC 27001:2013 Management Issues:
    Requirement:
    • 4 - Context of organization
    • 5 - Leadership
    • 6 - Planning
    • 7 - Support
    • 8 - Operation
    • 9 - Performance Evaluation
    • 10 - Improvement

    ISMS Process Framework - ISO/IEC 27001:2013:

    image

    ISMS Requirement:
    • 10 - ดำเนินการปรับปรุงและพัฒนาระบบอย่างต่อเนื่อง
    • 9 - เฝ้าติดตามตรวจวัดประสิทธิภาพของการควบคุมและทบทวนระบบ
    • 8 - ดำเนินการตามมาตรการควบคุมที่วางไว้พร้อมวางแผนการทบทวนความเสี่ยง
    • 7 - สร้างความตระหนักให้บุคคลากร, สื่อสาร และจัดทำเอกสารที่เกี่ยวข้อง
    • 6 - ดำเนินการประเมินความเสี่ยง
    • 5 - กำหนดนโยบายความปลอดภัยของข้อมูล, บทบาทหน้าที่ของแต่ละบุคคล
    • 4 - กำหนดบริบทขององค์กร, ผู้มีส่วนได้ส่วนเสีย, ขอบเขตและขอบข่ายในการขอการรับรอง

    4 - บริบทขององค์กร:

    1. ทำความเข้าใจองค์กรและบริบทขององค์กร - องค์กรต้องมีการกำหนดประเด็นต่างๆ ทั้งจากภายในและภายนอก ที่มีส่วนเกี่ยวข้องกับวัตถุประสงค์ขององค์กร ซึ่งมีผลกระทบต่อความสามารถขององค์กรในการบรรลุเป้าหมายที่ตั้งไว้ในระบบบริหารจัดการความปลอดภัยข้อมูล

    2. การเข้าใจความต้องการ และความคาดหวังของผู้มีส่วนได้ส่วนเสีย องค์กรต้องกำหนด:
      • ผู้มีส่วนได้เสีย ที่เกี่ยวข้องกับระบบบริหารจัดการความปลอดภัยข้อมูล และ
      • ข้อกำหนดผู้มีส่วนได้เสียที่เกี่ยวข้องกับความปลอดภัยข้อมูล หมายเหตุ ข้อกำหนดของผู้มีส่วนได้เสีย อาจหมายรวมถึง กฎหมาย ระเบียบข้อบังคับ และภาระผูกพันตามสัญญา

      image
    3. การกำหนดขอบเขตของระบบบริหารจัดการความปลอดภัยข้อมูล องค์กรต้องพิจารณาถึง:
      • ประเด็นภายในและภายนอก ตามที่ระบุไว้ในข้อกำหนด 4.1
      • ความต้องการที่ระบุไว้ในข้อกำหนด 4.2
      • การเชื่อมโยง และความสัมพันธ์ระหว่างกิจกรรมต่างๆ ที่ทำในองค์กร และที่ทำโดยองค์กรภายนอก
      Scope - ขอบเขต ต้อง จัดทำเป็นเอกสาร - Documented Information

    4. ระบบบริหารจัดการความปลอดภัยข้อมูล: องค์กรต้องจัดตั้ง นำไปปฏิบัติ ดำเนินการ เฝ้าติดตาม ทบทวน รักษาไว้ และปรับปรุงระบบเอกสารของ ISMS ครอบคลุมกิจกรรมทางธุรกิจต่างๆ ขององค์กร รวมถึงความเสี่ยงต่างๆ ตามจุดประสงค์ของมาตรฐานสากลฉบับนี้

    5 - ภาวะผู้นำ:

    1. ภาวะผู้นำและพันธสัญญา แสดงถึงความมุ่งมั่นว่า:
      • นโยบายและวัตถุประสงค์สอดคล้องกับกลยุทธ์ขององค์กร
      • กำหนดให้ควบรวมข้อกำหนดของระบบบริหารความปลอดภัยข้อมูล เข้าไปในกระบวนการขององค์กร
      • กำหนดบทบาทและความรับผิดชอบ
      • การสื่อสารสอดคล้องต่อข้อกำหนดระบบการบริหารจัดการความปลอดภัยข้อมูล
      • ระบบการบริหารจัดการความปลอดภัยข้อมูล บรรลุผลลัพธ์ที่ตั้งไว้
      • จัดให้มีทรัพยากรที่เพียงพอ
      • ส่งเสริมเรื่องการปรับปรุงพัฒนาอย่างต่อเนื่อง
      • สนับสนุนบุคคลอื่นๆ ที่มีส่วนเกี่ยวข้องให้สามารถทำตามบทบาทหน้าที่รับผิดชอบในแต่ละส่วน

    2. นโยบาย ผู้บริหารต้องกำหนด นโยบายให้:
      • มีความเหมาะสมตามวัตถุประสงค์ขององค์กร
      • รวมถึง วัตถุประสงค์ความปลอดภัยข้อมูล ตามข้อ 6.2 หรือ กำหนดกรอบในการตั้งวัตถุประสงค์
      • รวมถึง พันธสัญญาที่สนองความต้องการข้อกำหนดที่เกี่ยวข้องกับความปลอดภัยข้อมูล
      • รวมถึง พันธสัญญาต่อการปรับปรุงพัฒนาอย่างต่อเนื่องของระบบบริหารจัดการความปลอดภัยข้อมูล
      • ต้องจัดทำเป็นเอกสาร
      • ต้องถูกสื่อสารภายในองค์กร
      • ต้องมีให้กับผู้มีส่วนได้เสีย ตามความเหมาะสม

    3. บทบาทหน้าที่, ความรับผิดชอบ และอำนาจหน้าที่ในองค์กร ผู้บริหารระดับสูงต้องแน่ใจว่า บทบาท อำนาจหน้าที่ ความรับผิดชอบที่เกี่ยวข้องกับความปลอดภัยข้อมูลนั้น มีการ มอบหมาย และถูกสื่อสาร ผู้บริหารระดับสูงต้องมอบหมายอำนาจหน้าที่ความรับผิดชอบเพื่อ:
      • มั่นใจว่าระบบบริหารจัดการความปลอดภัยข้อมูล สอดคล้องกับข้อกำหนดของมาตรฐานนี้
      • การรายงานผลงาน ของระบบบริหารจัดการความปลอดภัยข้อมูล ไปยังผู้บริหารระดับสูง

    6 - การวางแผน:

    1. กิจกรรมเพื่อรับมือกับความเสี่ยง และโอกาสที่จะเกิด
      1. ทั่วไป เมื่อจัดทำแผนงาน ISMS องค์กรต้องคำนึงถึง:
        • ประเด็นที่ระบุตามข้อกำหนด 4.1 และ
        • ความต้องการที่ระบุตามข้อกำหนด 4.2 และ
        • กำหนดความเสี่ยง และโอกาสที่จะเกิดต่างๆ ที่องค์กรต้องรับมือเพื่อ:
          • ให้แน่ใจว่าระบบ ISMS สามารถบรรลุผลลัพธ์ที่ตั้งไว้
          • ป้องกัน หรือลด ผลกระทบที่ไม่พึงปรารถนา และ
          • บรรลุผล เรื่องการปรับปรุงพัฒนาอย่างต่อเนื่อง
          • การปฏิบัติการระบุความเสี่ยงและโอกาสที่จะเกิดต่างๆ
          • วิธีการ ในการ:
            • ผสมผสานและการดำเนินการนำไปใช้ ในกระบวนการของ ISMS
            • ประเมินประสิทธิผลของการดำเนินการนั้น
      2. การประเมินความเสี่ยงความปลอดภัยข้อมูล:
        • กำหนดวิธีการประเมินความเสี่ยงขององค์กร:
          • สร้างเกณฑ์การยอมรับความเสี่ยง และ
          • เกณฑ์การประเมินความเสี่ยงที่เหมาะสม
        • วิธีการประเมินความเสี่ยงต้อง ได้ผลที่สามารถเหมือนกัน
        • ระบุความเสี่ยง:
          • โดยการประยุกต์ใช้กระบวนการประเมินความเสี่ยง กับความเสี่ยงที่เกี่ยวข้องกับ Confidentiality, Integrity, Availability
          • กำหนดเจ้าของความเสี่ยง - Risk Owner
        • การวิเคราะห์ความเสี่ยง:
          • วิเคราะห์ผลกระทบความเสี่ยงที่ระบุในข้อ 6.1.2 c)
          • วิเคราะห์ความเป็นไปได้ของความเสี่ยงที่ระบุในข้อ 6.1.2 c)
          • กำหนดระดับของความเสี่ยง
    B-)
  • 1 Comment sorted by


        • การประเมินความเสี่ยง:
          • ต้องทำการเปรียบเทียบผลจากการวิเคราะห์ความเสี่ยง - Risk Analysis กับเกณฑ์ที่กำหนดในข้อ 6.1.2 a)
          • จัดลำดับความสำคัญ ผลการวิเคราะห์ความเสี่ยง สำหรับทำแผนการลดความเสี่ยง - Risk Treatment
        ต้อง เก็บรักษาเอกสาร (Documented Information) ที่เกี่ยวข้องกับกระบวนการประเมินความเสี่ยง

    Information security risk:
    Threat: ภัยคุกคามที่มีศักยภาพที่จะก่อให้เกิดเหตุการณ์ที่ไม่พึงประสงค์ ซึ่งอาจส่งผลให้เกิดอันตรายต่อระบบหรือองค์กรและทรัพย์สิน

    ตัวอย่างประเภทของภัยคุกคาม:

    • การกระทำโดยมนุษย์:
      • ตั้งใจ:
        1. วางเพลิง, วางระเบิด
        2. สร้างความเสียหายโดยเจตนา
        3. โจรกรรม
        4. ปลอมตัวเป็นผู้ที่มีสิทธิ
        5. Software ที่เป็นอันตราย
        6. กฎหมายการใช้ Software
        7. เข้าถึงเครือข่ายโดยผู้ที่ไม่ได้รับอนุญาต
        8. ใช้สิ่งอำนวยความสะดวกทางเครือข่ายโดยไม่ได้รับอนุญาต
        9. แทรกซึมการสื่อสาร, ดักฟังการสนทนา
        10. เปลี่ยนเส้นทางของข้อมูล
      • อุบัติเหตุ:
        1. ไฟฟ้าดับ, น้ำไม่ไหล
        2. เครื่องปรับอากาศเสีย
        3. Hardware เสีย
        4. ข้อผิดพลาดของเจ้าหน้าที่ปฏิบัติงาน
        5. ข้อผิดพลาดการบำรุงรักษา
        6. ความล้มเหลวของ Software
        7. การใช้ Software ผิดกฎหมาย
        8. ความล้มเหลวทาง Technique ของอุปกรณ์เครือข่าย
        9. การส่งผิดพลาด
        10. การส่งข้อมูลเกินพิกัด
        11. ลบ File, ลบข้อมูล

    • สิ่งแวดล้อม:
      1. แผ่นดินไหว
      2. พายุ Hurricane
      3. ฟ้าผ่า
      4. น้ำท่วม
      5. อุณหภูมิสูงและความชื้น
      6. ฝุ่นละออง
      7. รังสีแม่เหล็กไฟฟ้า
      8. ไฟฟ้าสถิต
      9. การเสื่อมสภาพของสื่อจัดเก็บข้อมูล

    Risk Assessment การประเมินหาความเสี่ยงที่มีศักยภาพที่จะเป็นภัยคุกคาม โดยมีสาเหตุหรือได้รับผลกระทบจากช่องโหว่หรือจุดอ่อน ซึ่งจะทำให้เกิดการสูญเสียหรือความเสียหายต่อทรัพย์สินหรือกลุ่มของทรัพย์สิน ไม่ว่าโดยตรงหรือโดยอ้อมกับองค์กร

    Analyze and Evaluate the Risks:
    • ประเมินผลกระทบที่มีต่อธุรกิจ/องค์กร
    • ประเมินความเป็นไปได้
    • คาดการณ์ระดับของความเสี่ยง

    Examples of Common Vulnerabilities:

    1. Environment and Infrastructure:
      Vulnerabilities > Could be exploited by, for example, the threat of:
      • ขาดการป้องกันทางกายภาพของอาคาร ประตู และหน้าต่าง > การโจรกรรม
      • ความไม่เพียงพอหรือความประมาทของการควบคุมการเข้าถึงทางกายภาพกับอาคารหรือห้อง > ความเสียหายโดยเจตนา
      • กำลังไฟฟ้าไม่เพียงพอ > กำลังไฟฟ้าตก
      • อยู่ในพื้นที่เสี่ยงเกิดน้ำท่วม > น้ำท่วม

    2. Hardware:
      • ขาดแผนการเปลี่ยน/บำรุงรักษา > การเสื่อมสภาพของสื่อจัดเก็บข้อมูล
      • ไวต่อการเปลี่ยนแปลงของอุณหภมิ > ความร้อนขึ้นสูง
      • ความไวต่อฝุ่นและความสกปรก > ความสกปรก
      • ติดตั้งสื่อจัดเก็บข้อมูลผิดพลาด > การชำรุดของสื่อจัดเก็บข้อมูล
      • การบำรุงรักษาไม่เพียงพอ > การเสื่อมสภาพของสื่อจัดเก็บข้อมูล
      • การปรับเปลี่ยนการตั้งค่าไม่เหมาะสม > ใช้งานไม่ได้ตามที่กำหนด
    B-)