ISO

PlAwAnSaI

Administrator
ISO/IEC 27001Awareness and requirementsInformation security Management systemsระบบการจัดการความปลอดภัยของข้อมูล
อะไรคือข้อมูล? - What is information?
Information - ข้อมูล คือ: ข้อมูลที่มีความสำคัญและมีมูลค่าให้กับองค์กร และทำให้มีความต้องการที่จะต้องได้รับความดูแลอย่างเหมาะสม
  • เอกสารที่พิมพ์ออกมา - Printed
  • ข้อมูลที่เขียนในกระดาษ - Written on paper
  • ข้อมูลที่จัดเก็บ - Stored electronically
  • การส่งข้อมูลไปภายนอก - Transmitted by post
  • การใช้สื่อในระบบ Electronic - Using electronic means
  • ข้อมูลที่อยู่ในรูป film - Shown on films
  • ข้อมูลในรูปการสนทนา - Spoken in conversation
Asset - ทรัพย์สิน คือ: สื่อ อะไรก็ตามที่ มีข้อมูลที่จำเป็น หรือ ที่มีคุณค่าสำหรับองค์กร จัดเก็บอยู่
  • Computer
  • Notebook
  • Server Center
  • Camera
  • Smart Phone
  • File
  • Flash Drive
  • Employee
ความปลอดภัยของข้อมูล:
  • การรักษาความปลอดภัยของข้อมูลจากภัยคุกคามต่างๆ
    • เพื่อให้แน่ใจว่าธุรกิจยังคงดำเนินต่อเนื่อง
    • ผลตอบแทนสูงสุดจากการลงทุน
    • โอกาสทางธุรกิจ
  • Confidentiality - ความลับ: เพื่อให้มั่นใจได้ว่าข้อมูลต่างๆ สามารถเข้าถึงได้เฉพาะผู้ที่มีสิทธิเท่านั้น
  • Integrity - ความถูกต้องสมบูรณ์: เพื่อให้มั่นใจได้ว่าข้อมูลมีความถูกต้องครบถ้วนสมบูรณ์ โดยไม่ได้ถูกเปลี่ยนแปลงหรือแก้ไขจากผู้ที่ไม่ได้รับอนุญาต
  • Availability - ความพร้อมใช้: เพื่อให้มั่นใจได้ว่าข้อมูลพร้อมที่จะใช้งานอยู่เสมอ โดยมีผู้ที่มีสิทธิในการเข้าถึงข้อมูลสามารถเข้าถึงได้ทุกเมื่อ หากต้องการ
Structure (ISO/IEC 27001):
  • 0 - Introduction
  • 1 - Scope
  • 2 - Normative references
  • 3 - Terms and definitions
  • 4 - Context of organization
  • 5 - Leadership
  • 6 - Planning
  • 7 - Support
  • 8 - Operation
  • 9 - Performance Evaluation
  • 10 - Improvement
Annex A : Reference Control objectives and controls:14 management Domain, 35 Objectives, 114 Controls
17v4-proposal-for-2.jpg


ISO/IEC 27001:2013 Management Issues:Requirement:
  • 4 - Context of organization
  • 5 - Leadership
  • 6 - Planning
  • 7 - Support
  • 8 - Operation
  • 9 - Performance Evaluation
  • 10 - Improvement
ISMS Process Framework - ISO/IEC 27001:2013:
17v4-proposal-for-1.jpg

ISMS Requirement:
  • 10 - ดำเนินการปรับปรุงและพัฒนาระบบอย่างต่อเนื่อง
  • 9 - เฝ้าติดตามตรวจวัดประสิทธิภาพของการควบคุมและทบทวนระบบ
  • 8 - ดำเนินการตามมาตรการควบคุมที่วางไว้พร้อมวางแผนการทบทวนความเสี่ยง
  • 7 - สร้างความตระหนักให้บุคคลากร, สื่อสาร และจัดทำเอกสารที่เกี่ยวข้อง
  • 6 - ดำเนินการประเมินความเสี่ยง
  • 5 - กำหนดนโยบายความปลอดภัยของข้อมูล, บทบาทหน้าที่ของแต่ละบุคคล
  • 4 - กำหนดบริบทขององค์กร, ผู้มีส่วนได้ส่วนเสีย, ขอบเขตและขอบข่ายในการขอการรับรอง
4 - บริบทขององค์กร:
  1. ทำความเข้าใจองค์กรและบริบทขององค์กร - องค์กรต้องมีการกำหนดประเด็นต่างๆ ทั้งจากภายในและภายนอก ที่มีส่วนเกี่ยวข้องกับวัตถุประสงค์ขององค์กร ซึ่งมีผลกระทบต่อความสามารถขององค์กรในการบรรลุเป้าหมายที่ตั้งไว้ในระบบบริหารจัดการความปลอดภัยข้อมูล
  2. การเข้าใจความต้องการ และความคาดหวังของผู้มีส่วนได้ส่วนเสีย องค์กรต้องกำหนด:
    • ผู้มีส่วนได้เสีย ที่เกี่ยวข้องกับระบบบริหารจัดการความปลอดภัยข้อมูล และ
    • ข้อกำหนดผู้มีส่วนได้เสียที่เกี่ยวข้องกับความปลอดภัยข้อมูล หมายเหตุ ข้อกำหนดของผู้มีส่วนได้เสีย อาจหมายรวมถึง กฎหมาย ระเบียบข้อบังคับ และภาระผูกพันตามสัญญา
    stakeholder-en-.png
  3. การกำหนดขอบเขตของระบบบริหารจัดการความปลอดภัยข้อมูล องค์กรต้องพิจารณาถึง:
    • ประเด็นภายในและภายนอก ตามที่ระบุไว้ในข้อกำหนด 4.1
    • ความต้องการที่ระบุไว้ในข้อกำหนด 4.2
    • การเชื่อมโยง และความสัมพันธ์ระหว่างกิจกรรมต่างๆ ที่ทำในองค์กร และที่ทำโดยองค์กรภายนอก
    Scope - ขอบเขต ต้อง จัดทำเป็นเอกสาร - Documented Information
  4. ระบบบริหารจัดการความปลอดภัยข้อมูล: องค์กรต้องจัดตั้ง นำไปปฏิบัติ ดำเนินการ เฝ้าติดตาม ทบทวน รักษาไว้ และปรับปรุงระบบเอกสารของ ISMS ครอบคลุมกิจกรรมทางธุรกิจต่างๆ ขององค์กร รวมถึงความเสี่ยงต่างๆ ตามจุดประสงค์ของมาตรฐานสากลฉบับนี้
5 - ภาวะผู้นำ:

  1. ภาวะผู้นำและพันธสัญญา แสดงถึงความมุ่งมั่นว่า:
    • นโยบายและวัตถุประสงค์สอดคล้องกับกลยุทธ์ขององค์กร
    • กำหนดให้ควบรวมข้อกำหนดของระบบบริหารความปลอดภัยข้อมูล เข้าไปในกระบวนการขององค์กร
    • กำหนดบทบาทและความรับผิดชอบ
    • การสื่อสารสอดคล้องต่อข้อกำหนดระบบการบริหารจัดการความปลอดภัยข้อมูล
    • ระบบการบริหารจัดการความปลอดภัยข้อมูล บรรลุผลลัพธ์ที่ตั้งไว้
    • จัดให้มีทรัพยากรที่เพียงพอ
    • ส่งเสริมเรื่องการปรับปรุงพัฒนาอย่างต่อเนื่อง
    • สนับสนุนบุคคลอื่นๆ ที่มีส่วนเกี่ยวข้องให้สามารถทำตามบทบาทหน้าที่รับผิดชอบในแต่ละส่วน
  2. นโยบาย ผู้บริหารต้องกำหนด นโยบายให้:
    • มีความเหมาะสมตามวัตถุประสงค์ขององค์กร
    • รวมถึง วัตถุประสงค์ความปลอดภัยข้อมูล ตามข้อ 6.2 หรือ กำหนดกรอบในการตั้งวัตถุประสงค์
    • รวมถึง พันธสัญญาที่สนองความต้องการข้อกำหนดที่เกี่ยวข้องกับความปลอดภัยข้อมูล
    • รวมถึง พันธสัญญาต่อการปรับปรุงพัฒนาอย่างต่อเนื่องของระบบบริหารจัดการความปลอดภัยข้อมูล
    • ต้องจัดทำเป็นเอกสาร
    • ต้องถูกสื่อสารภายในองค์กร
    • ต้องมีให้กับผู้มีส่วนได้เสีย ตามความเหมาะสม
  3. บทบาทหน้าที่, ความรับผิดชอบ และอำนาจหน้าที่ในองค์กร ผู้บริหารระดับสูงต้องแน่ใจว่า บทบาท อำนาจหน้าที่ ความรับผิดชอบที่เกี่ยวข้องกับความปลอดภัยข้อมูลนั้น มีการ มอบหมาย และถูกสื่อสาร ผู้บริหารระดับสูงต้องมอบหมายอำนาจหน้าที่ความรับผิดชอบเพื่อ:
    • มั่นใจว่าระบบบริหารจัดการความปลอดภัยข้อมูล สอดคล้องกับข้อกำหนดของมาตรฐานนี้
    • การรายงานผลงาน ของระบบบริหารจัดการความปลอดภัยข้อมูล ไปยังผู้บริหารระดับสูง
6 - การวางแผน:
  1. กิจกรรมเพื่อรับมือกับความเสี่ยง และโอกาสที่จะเกิด
    1. ทั่วไป เมื่อจัดทำแผนงาน ISMS องค์กรต้องคำนึงถึง:
      • ประเด็นที่ระบุตามข้อกำหนด 4.1 และ
      • ความต้องการที่ระบุตามข้อกำหนด 4.2 และ
      • กำหนดความเสี่ยง และโอกาสที่จะเกิดต่างๆ ที่องค์กรต้องรับมือเพื่อ:
        • ให้แน่ใจว่าระบบ ISMS สามารถบรรลุผลลัพธ์ที่ตั้งไว้
        • ป้องกัน หรือลด ผลกระทบที่ไม่พึงปรารถนา และ
        • บรรลุผล เรื่องการปรับปรุงพัฒนาอย่างต่อเนื่อง
        • การปฏิบัติการระบุความเสี่ยงและโอกาสที่จะเกิดต่างๆ
        • วิธีการ ในการ:
          • ผสมผสานและการดำเนินการนำไปใช้ ในกระบวนการของ ISMS
          • ประเมินประสิทธิผลของการดำเนินการนั้น
    2. การประเมินความเสี่ยงความปลอดภัยข้อมูล:
      • กำหนดวิธีการประเมินความเสี่ยงขององค์กร:
        • สร้างเกณฑ์การยอมรับความเสี่ยง และ
        • เกณฑ์การประเมินความเสี่ยงที่เหมาะสม
      • วิธีการประเมินความเสี่ยงต้อง ได้ผลที่สามารถเหมือนกัน
      • ระบุความเสี่ยง:
        • โดยการประยุกต์ใช้กระบวนการประเมินความเสี่ยง กับความเสี่ยงที่เกี่ยวข้องกับ Confidentiality, Integrity, Availability
        • กำหนดเจ้าของความเสี่ยง - Risk Owner
      • การวิเคราะห์ความเสี่ยง:
        • วิเคราะห์ผลกระทบความเสี่ยงที่ระบุในข้อ 6.1.2 c)
        • วิเคราะห์ความเป็นไปได้ของความเสี่ยงที่ระบุในข้อ 6.1.2 c)
        • กำหนดระดับของความเสี่ยง
cool.gif
 

PlAwAnSaI

Administrator
      • การประเมินความเสี่ยง:
        • ต้องทำการเปรียบเทียบผลจากการวิเคราะห์ความเสี่ยง - Risk Analysis กับเกณฑ์ที่กำหนดในข้อ 6.1.2 a)
        • จัดลำดับความสำคัญ ผลการวิเคราะห์ความเสี่ยง สำหรับทำแผนการลดความเสี่ยง - Risk Treatment
      ต้อง เก็บรักษาเอกสาร (Documented Information) ที่เกี่ยวข้องกับกระบวนการประเมินความเสี่ยง
Information security risk:Threat: ภัยคุกคามที่มีศักยภาพที่จะก่อให้เกิดเหตุการณ์ที่ไม่พึงประสงค์ ซึ่งอาจส่งผลให้เกิดอันตรายต่อระบบหรือองค์กรและทรัพย์สิน
ตัวอย่างประเภทของภัยคุกคาม:
  • การกระทำโดยมนุษย์:
    • ตั้งใจ:
      1. วางเพลิง, วางระเบิด
      2. สร้างความเสียหายโดยเจตนา
      3. โจรกรรม
      4. ปลอมตัวเป็นผู้ที่มีสิทธิ
      5. Software ที่เป็นอันตราย
      6. กฎหมายการใช้ Software
      7. เข้าถึงเครือข่ายโดยผู้ที่ไม่ได้รับอนุญาต
      8. ใช้สิ่งอำนวยความสะดวกทางเครือข่ายโดยไม่ได้รับอนุญาต
      9. แทรกซึมการสื่อสาร, ดักฟังการสนทนา
      10. เปลี่ยนเส้นทางของข้อมูล
    • อุบัติเหตุ:
      1. ไฟฟ้าดับ, น้ำไม่ไหล
      2. เครื่องปรับอากาศเสีย
      3. Hardware เสีย
      4. ข้อผิดพลาดของเจ้าหน้าที่ปฏิบัติงาน
      5. ข้อผิดพลาดการบำรุงรักษา
      6. ความล้มเหลวของ Software
      7. การใช้ Software ผิดกฎหมาย
      8. ความล้มเหลวทาง Technique ของอุปกรณ์เครือข่าย
      9. การส่งผิดพลาด
      10. การส่งข้อมูลเกินพิกัด
      11. ลบ File, ลบข้อมูล
  • สิ่งแวดล้อม:
    1. แผ่นดินไหว
    2. พายุ Hurricane
    3. ฟ้าผ่า
    4. น้ำท่วม
    5. อุณหภูมิสูงและความชื้น
    6. ฝุ่นละออง
    7. รังสีแม่เหล็กไฟฟ้า
    8. ไฟฟ้าสถิต
    9. การเสื่อมสภาพของสื่อจัดเก็บข้อมูล
Risk Assessment การประเมินหาความเสี่ยงที่มีศักยภาพที่จะเป็นภัยคุกคาม โดยมีสาเหตุหรือได้รับผลกระทบจากช่องโหว่หรือจุดอ่อน ซึ่งจะทำให้เกิดการสูญเสียหรือความเสียหายต่อทรัพย์สินหรือกลุ่มของทรัพย์สิน ไม่ว่าโดยตรงหรือโดยอ้อมกับองค์กร
Analyze and Evaluate the Risks:
  • ประเมินผลกระทบที่มีต่อธุรกิจ/องค์กร
  • ประเมินความเป็นไปได้
  • คาดการณ์ระดับของความเสี่ยง
Examples of Common Vulnerabilities:
  1. Environment and Infrastructure:
    Vulnerabilities > Could be exploited by, for example, the threat of:
    • ขาดการป้องกันทางกายภาพของอาคาร ประตู และหน้าต่าง > การโจรกรรม
    • ความไม่เพียงพอหรือความประมาทของการควบคุมการเข้าถึงทางกายภาพกับอาคารหรือห้อง > ความเสียหายโดยเจตนา
    • กำลังไฟฟ้าไม่เพียงพอ > กำลังไฟฟ้าตก
    • อยู่ในพื้นที่เสี่ยงเกิดน้ำท่วม > น้ำท่วม
  2. Hardware:
    • ขาดแผนการเปลี่ยน/บำรุงรักษา > การเสื่อมสภาพของสื่อจัดเก็บข้อมูล
    • ไวต่อการเปลี่ยนแปลงของอุณหภมิ > ความร้อนขึ้นสูง
    • ความไวต่อฝุ่นและความสกปรก > ความสกปรก
    • ติดตั้งสื่อจัดเก็บข้อมูลผิดพลาด > การชำรุดของสื่อจัดเก็บข้อมูล
    • การบำรุงรักษาไม่เพียงพอ > การเสื่อมสภาพของสื่อจัดเก็บข้อมูล
    • การปรับเปลี่ยนการตั้งค่าไม่เหมาะสม > ใช้งานไม่ได้ตามที่กำหนด
cool.gif
 
Top