iok2u.com แหล่งรวมข้อมูลข่าวสารเรื่องราวน่าสนใจเพื่อการศึกษาแลกเปลี่ยนและเรียนรู้

มิสเตอร์เรน (Mr. Rain) และมิสเตอร์เชน (Mr. Chain)
Mr. Rain และ Mr. Chain สองพี่น้องในโลกออฟไลน์และออนไลน์ที่จะมาร่วมมือกันสร้างสื่อสารสนเทศ เพื่อเผยแพร่ให้ความรู้ในเรื่องราวต่างๆ มากมายสร้างสังคมในการเรียนรู้ หากใครคิดว่ามันมีประโยชน์ก็สามารถนำไปเผยแพร่ต่อได้เลยโดยไม่ต้องตอบแทนกลับมา
Pay It Forward เป้าหมายเล็ก ๆ ในการส่งมอบความดีต่อ ๆ ไป
เว็ปไซต์นี้เกิดจากแรงบันดาลใจในภาพยนต์เรื่อง Pay It Forward ที่เล่าถึงการมีเป้าหมายเล็ก ๆ กำหนดไว้ให้ส่งมอบความดีต่อไปอีก 3 คน หากใครคิดว่ามันมีประโยชน์ก็สามารถนำไปเผยแพร่ต่อได้เลยโดยไม่ต้องตอบแทนกลับมา อยากให้ส่งต่อเพื่อถ่ายทอดต่อไป
ยืนหยัด เข้มแข็ง และกล้าหาญ (Stay Strong & Be Brave)
ขอเป็นกำลังใจให้คนดีทุกคนในการต่อสู้ความอยุติธรรม ในยุคสังคมที่คดโกงยึดถึงประโยชน์ส่วนตนและพวกฟ้องมากกว่าผลประโยชน์ส่วนรวม จนหลายคนคิดว่าพวกด้านได้อายอดมักได้ดี แต่หากยึดคำในหลวงสอนไว้ในเรื่องการทำความดีเราจะมีความสุขครับ

2 ระดับมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ ระดับกลาง

มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ เป็นมาตรการสำหรับใช้ในการควบคุมให้ระบบสารสนเทศมีความมั่นคงปลอดภัย ซึ่งครอบคลุมการรักษาความลับ (Confidentiality) การรักษาความครบถ้วน (Integrity) และการรักษาสภาพพร้อมใช้งาน (Availability) ของระบบสารสนเทศและสารสนเทศในระบบ นั้น โดยการทำธุรกรรมทางอิเล็กทรอนิกส์ด้วยระบบสารสนเทศ ต้องดำเนินการตามมาตรการที่เกี่ยวช้องตามบัญชีแนบท้ายนี้ และต้องพิจารณาให้สอดคล้องกับระดับความเสี่ยงที่ได้จากการประเมิน มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ แบ่งออกเป็น 11 ข้อ และมีระดับความปลอดภัยไว้ 3 ระดับ

2. มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ ตามวิธีการแบบปลอดภัยใน ระดับกลาง การรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับกลาง ให้ปฏิบัติตามมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับพื้นฐาน และต้องปฏิบัติเพิ่มเติม ดังนี้

ข้อ 1. การสร้างความมั่นคงปลอดภัยด้านบริหารจัดการ หน่วยงานต้องวางแผนการติดตามและประเมินผลการใช้งานความมั่นคงปลอดภัยด้านสารสนเทศ และนโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศอย่างสม่ำเสมอ เพื่อปรับปรุงหากมีการเปลี่ยนแปลงใด ๆ ภายในหน่วยงาน ทั้งนี้เพื่อให้เหมาะสมกับสถานการณ์การใช้งานและคงความมีประสิทธิผลอยู่เสมอ

ข้อ 2. การจัดโครงสร้างด้านความมั่นคงปลอดภัยของระบบสารสนเทศ ในส่วนการบริหารจัดการด้านความมั่นคงปลอดภัยของระบบสารสนเทศ ทั้งภายในและภายนอกหน่วยงานหรือองค์กร

2.1 มีการกำหนดเนื้องานหรือหน้าที่ความรับผิดขอบต่าง ๆ เกี่ยวกับความมั่นคงปลอดภัยด้านสารสนเทศ ไว้อย่างชัดเจน

2.2 มีการกำหนดขั้นตอนและช่องทางในการติดต่อกับหน่วยงานภายนอกที่มีความเชี่ยวชาญเฉพาะด้าน หรือหน่วยงานที่มีความเชี่ยวชาญด้านความมั่นคงปลอดภัยด้านสารสนเทศภายใต้สถานการณ์ต่าง ๆ ไว้อย่างชัดเจน

2.3 จัดให้มีการพิจารณาทบทวนแนวทางในการบริหารจัดการงานเกี่ยวกับความมั่นคงปลอดภัยด้านสารสนเทศอย่างสม่ำเสมอ หรือเมื่อมีการเปลี่ยนแปลงใด ๆ ในการดำเนินงาน ทั้งนี้ การพิจารณาทบทวนดังกล่าว ควรดำเนินการโดยผู้ไม่มีส่วนได้เสียกับงานที่มีการพิจารณาทบทวน

ข้อ 3. การบริหารจัดการทรัพย์สินสารสนเทศ

3.1 มีการกำหนดบุคคลผู้มีหน้าที่ดูแลควบคุมการใช้งานและรับผิดขอบทรัพย์สินสารสนเทศไว้ชัดเจน

3.2 มีการกำหนดกฎระเบียบในการใช้งานทรัพย์สินสารสนเทศไว้อย่างชัดเจน โดยจัดทำเป็นเอกสารและมีการประกาศใช้ในหน่วยงาน

3.3 มีการจำแนกประเภทของข้อมูลสารสนเทศ โดยจำแนกตามมูลค่าของข้อมูล ข้อกำหนดทางกฎหมายระดับขั้นความลับและความสำคัญต่อหน่วยงาน

3.4 มีการกำหนดและประกาศใช้ขั้นตอนที่เหมาะสม ในการจำแนกประเภทของข้อมูลสารสนเทศ และจัดการข้อมูลสารสนเทศ โดยให้สอดคล้องกับแนวทางการจำแนกประเภทของข้อมูลสารสนเทศที่หน่วยงานประกาศใช้

ข้อ 4. การสร้างความมั่นคงปลอดภัยของระบบสารสนเทศด้านบุคลากร พนักงาน หน่วยงานหรือบุคคลภายนอก ต้องได้รับการอบรมเพื่อสร้างความตระหนักรู้เกี่ยวกับความมั่นคงปลอดภัยด้านสารสนเทศในส่วนที่เกี่ยวข้องกับหน้าที่ความรับผิดขอบของตน และได้รับการสื่อสารให้ทราบถึงนโยบายหรือระเบียบปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศที่หน่วยงานประกาศใช้อย่างสม่ำเสมอ หรือเมื่อมีการเปลี่ยนแปลง

ข้อ 5. การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม

5.1 มีการออกแบบและติดตั้งการป้องกันความมั่นคงปลอดภัยด้านกายภาพ เพื่อป้องกันพื้นที่หรือสถานที่ปฏิบัติงาน หรืออุปกรณ์สารสนเทศต่าง ๆ

5.2 ไม่ควรน่าอุปกรณ์สารสนเทศ ข้อมูลสารสนเทศ หรือซอฟต์แวร์ออกจากสถานที่ปฏิบัติงานของหน่วยงานหากมิได้รับอนุญาต

ข้อ 6. การบริหารจัดการด้านการสื่อสารและการดำเนินงานของระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ

6.1 มีการจัดการควบคุมการเปลี่ยนแปลงของระบบสารสนเทศ

6.2 มีการติดตามผลการใช้งานทรัพยากรสารสนเทศ และวางแผนด้านทรัพยากรสารสนเทศให้รองรับการปฏิบัติงานในอนาคตอย่างเหมาะสม

6.3 มีขั้นตอนการปฏิบัติงานในการจัดการและจัดเก็บข้อมูลสารสนเทศเพื่อมิให้ข้อมูลรั่วไหลหรือถูกนำไปใช้ผิดประเภท

6.4 มีการจัดเก็บ Log ที่เกี่ยวข้องกับข้อผิดพลาดใด ๆ ของระบบสารสนเทศ มีการวิเคราะห์ Log ดังกล่าวอย่างสม่ำเสมอ และมีการจัดการแก้ไขข้อผิดพลาดที่ตรวจพบอย่างเหมาะสม

6.5 ระบบเวลาของระบบสารสนเทศต่าง ๆ ที่ใช้ในหน่วยงานหรือในขอบเขตงานด้านความมั่นคงปลอดภัย (Security domain) ต้องมีความสอดคล้องกัน (Synchronization) โดยให้มีการตั้งค่าพร้อมกับเวลาจากแหล่งเวลาที่เชื่อถือได้

ข้อ 7. การควบคุมการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ ระบบสารสนเทศ ข้อมูลสารสนเทศ ข้อมูลอิเล็กทรอนิกส์ และข้อมูลคอมพิวเตอร์

7.1 มีข้อบังคับให้ผู้ใช้งานปฏิบัติตามขั้นตอน เพื่อการเลือกใช้รหัสผ่านอย่างมั่นคงปลอดภัยตามที่หน่วยงานกำหนด

7.2 ผู้ใช้งานสามารถเข้าถึงเฉพาะบริการทางเครือข่ายคอมพิวเตอร์ที่ตนเองได้รับอนุญาตให้ใช้ได้เท่านั้น

7.3 ให้มีการกำหนดวิธีการตรวจสอบตัวตนที่เหมาะสม เพื่อควบคุมการเข้าถึงระบบสารสนเทศของหน่วยงานจากระยะไกล

7.4 มีการควบคุมการเข้าถึงช่องทางการดูแลระบบสารสนเทศทั้งทางกายภาพและการเชื่อมต่อผ่านคอมพิวเตอร์ สำหรับระบบสารสนเทศที่สามารถเข้าถึงจากระยะไกลได้ เช่น Remote diagnostic หรือ Configuration facility ของอุปกรณ์เครือข่ายคอมพิวเตอร์

7.5 มีการจัดกลุ่มตามประเภทของข้อมูลสารสนเทศที่ให้บริการ ระบบสารสนเทศ กลุ่มผู้ใช้งานโดยมีการแบ่งแยกบนเครือข่ายคอมพิวเตอร์อย่างเป็นสัดส่วน

7.6 กำหนดให้มีการควบคุมเส้นทางการไหลของข้อมูลสารสนเทศในระบบเครือข่ายคอมพิวเตอร์เพื่อไม่ให้ขัดแย้งกับนโยบายควบคุมการเข้าถึงของแอพพลิเคชั่น

7.7 กำหนดขั้นตอนการ Log-on เพื่อควบคุมการเข้าถึงระบบปฏิบัติการคอมพิวเตอร์

7.8 ให้จัดทำหรือจัดให้มีระบบการบริหารจัดการรหัสผ่านที่สามารถทำงานแบบเชิงโต้ตอบกับผู้ใช้งาน (Interactive) และสามารถรองรับการใช้งานรหัสผ่านที่มีความมั่นคงปลอดภัย

ข้อ 8. การจัดหาหรือจัดให้มีการพัฒนาและการบำรุงรักษาระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ

8.1 ให้มีการตรวจสอบ (Validate) ข้อมูลใด ๆ ที่จะรับเข้าสู่แอพพลิเคซั่นก่อนเสมอ เพื่อให้มั่นใจได้ว่าข้อมูลมีความถูกต้องและมีรูปแบบเหมาะสม

8.2 ให้มีการตรวจสอบ (Validate) ข้อมูลใด ๆ อันเป็นผลจากการประมวลผลของแอพพลิเคชั่น เพื่อให้มั่นใจได้ว่าข้อมูลที่ได้จากการประมวลผลถูกต้องและเหมาะสม

8.3 จัดให้มีแนวทางการบริหารจัดการกุญแจ (Key) เพื่อรองรับการใช้งานเทคนิคที่เกี่ยวข้องกับการเข้ารหัสลับของหน่วยงาน

8.4 ให้เลือกชุดข้อมูลสารสนเทศที่จะนำไปใช้ เพื่อการทดสอบในระบบสารสนเทศอย่างระมัดระวัง รวมทั้งมีแนวทางควบคุมและป้องกันข้อมูลรั่วไหล

8.5 ให้มีการจำกัดการเข้าถึงซอร์สโค้ด (Source code) ของโปรแกรม

8.6 หากมีการเปลี่ยนแปลงใด ๆ ในระบบปฏิบัติการคอมพิวเตอร์ ให้มีการตรวจสอบทบทวนการทำงาน ของโปรแกรมที่มีความสำคัญ และทดสอบการใช้งานเพื่อให้มั่นใจว่าผลของการเปลี่ยนแปลงดังกล่าว จะไม่ส่งผลกระทบใด ๆ ต่อความมั่นคงปลอดภัยของระบบสารสนเทศและการให้บริการของหน่วยงาน

ข้อ 9. การบริหารจัดการด้านการบริการหรือการดำเนินงานของหน่วยงานหรือองค์กรเพื่อให้มีความต่อเนื่อง

9.1 จัดให้มีข้อกำหนดเกี่ยวกับความมั่นคงปลอดภัยด้านสารสนเทศที่จำเป็น โดยกำหนดให้เป็นส่วนหนึ่งของขั้นตอนการบริหารจัดการเพื่อการดำเนินงานอย่างต่อเนื่องในภาวะฉุกเฉิน

9.2 กำหนดให้มีกรอบงานหลักสำหรับการพัฒนาแผนการบริหารจัดการเพื่อการดำเนินงานอย่างต่อเนื่องในภาวะฉุกเฉิน เพื่อให้การพัฒนาแผนต่าง ๆ เป็นไปในทิศทางเดียวกัน รวมทั้งสอดคล้องกับข้อกำหนดด้านความมั่นคงปลอดภัย ตลอดจนมีการจัดลำดับความสำคัญก่อนหลังในการทดสอบและการดูแล

9.3 ให้มีการทดสอบและปรับปรุงแผนการบริหารจัดการ เพื่อการดำเนินงานอย่างต่อเนื่องในภาวะฉุกเฉินอย่างสม่ำเสมอ เพื่อให้มั่นใจว่าแผนดังกล่าวเป็นปัจจุบันและมีประสิทธิผลอยู่เสมอ

ข้อ 10. การตรวจสอบและการประเมินผล การปฏิบัติตามนโยบายมาตรการหลักเกณฑ์ หรือกระบวนการใด ๆ รวมทั้งข้อกำหนดด้านความมั่นคงปลอดภัยของระบบสารสนเทศ

10.1 จัดให้มีการคุ้มครองข้อมูลส่วนบุคคล โดยให้สอดคล้องกับกฎหมายและข้อกำหนดตามสัญญาต่าง ๆ ของหน่วยงาน

10.2 ใช้เทคนิคการเข้ารหัสลับ ที่สอดคล้องกับกฎหมายและข้อกำหนดตามสัญญาต่าง ๆ ของหน่วยงาน

10.3 ให้มีการทบทวนตรวจสอบระบบสารสนเทศในด้านเทคนิคอย่างสม่ำเสมอ เพื่อให้สอดคล้องกับมาตรฐานการพัฒนางานด้านความมั่นคงปลอดภัยด้านสารสนเทศ

10.4 วางแผนและจัดให้มีข้อกำหนดการตรวจสอบและกิจกรรมที่เกี่ยวข้องกับการตรวจสอบระบบสารสนเทศ เพื่อลดความเสี่ยงในการเกิดการหยุดชะงักของการให้บริการ

10.5 ป้องกันการเข้าใช้งานเครื่องมือที่ใช้เพื่อการตรวจสอบ เพื่อมิให้เกิดการใช้งานผิดประเภทหรือถูกละเมิดการใช้งาน (Compromise)

.

ที่มา

ข้อมูลและภาพ รวบรวมโดย www.iok2u.com 

-------------------------------------------------

สนใจข้อมูลเพิ่มเติม

มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการปลอดภัย พ.ศ. 2555

------------------------------------------------- 

 

ขอต้อนรับเข้าสู่เว็บไซต์
www.iok2u.com
แหล่งข้อมูลสารสนเทศเพื่อคุณ

เว็บไซต์ www.iok2u.com นี้เกิดมาจาก แรงบันดาลใจในภาพยนต์เรื่อง Pay It Forward โดยมีเป้าหมายเล็ก ๆ ที่กำหนดไว้ว่า ทุกครั้งที่เข้าเรียนสัมมนาหรืออบรมในแต่ละครั้ง จะนำความรู้มาจัดทำเป็นบทความอย่างน้อย 3 เรื่อง เพื่อมาลงในเว็บนี้
ความตั้งใจที่จะถ่ายทอดความรู้ที่ได้รับมาทำการถ่ายทอดต่อไป และหวังว่าจะมีคนมาอ่านแล้วเห็นว่ามีประโยชน์นำเอาไปใช้ได้ หากใครคิดว่ามันมีประโยชน์ก็สามารถนำไปเผยแพร่ต่อได้เลย โดยอาจไม่ต้องอ้างอิงที่มาหรือมาตอบแทนผู้จัด แต่ขอให้ส่งต่อหากคิดว่ามันดีหรือมีประโยชน์ เพื่อถ่ายทอดความรู้และสิ่งดี ๆ ต่อไปข้างหน้าต่อไป Pay It Forward