ระบบมาตรฐาน Security

  CISSP  

มาตรฐานสากลทางด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศ
ที่ใช้เป็นแนวทางปฏิบัติในองค์กรและกลยุทธ์กับการบริหาร

ระบบความปลอดภัยเทคโนโลยีสารสนเทศในองค์กรสมัยใหม่

ในสถานการณ์ปัจจุบันผู้บริหารระบบเทคโนโลยีสารสนเทศระดับสูงหรือ CIO นั้น มีความจำเป็นที่จะต้องศึกษามาตรฐานสากลด้านการรักษาความมั่นคง
ปลอดภัยในระบบเทคโนโลยีสารสนเทศ เพื่อนำมาประยุกต์ใช้ในองค์กร เหตุผลมีหลายประการ เช่น องค์กรต้อง "Compliance" หรือ "ผ่านการตรวจสอบ"
จากผู้ตรวจสอบระบบสารสนเทศ (Information System Internal / External Auditor) เพื่อให้เป็นไปตามกฎหมายของประเทศที่องค์กรนั้นตั้งสำนักงานอยู่
เช่น ในประเทศสหรัฐอเมริกา องค์กรที่จดทะเบียนในตลาดหลักทรัพย์ต้องปฎิบัติตามกฎหมาย Gramm-Leach-Bliley (GLB) กฎหมาย Health Insurance
Portability and Accountability Act (HIPAA) และล่าสุดกฎหมาย Sarbanes-Oxley (SOX) ซึ่งทำให้อาชีพทางด้านผู้ตรวจสอบระบบสารสนเทศกำลังเป็น
ที่ต้องการของหลาย ๆ องค์กรโดยเฉพาะองค์กรที่ต้องเตรียมรับการตรวจสอบจากองค์กรภายนอก ขณะเดียวกันผู้บริหารสารสนเทศขององค์กรต้องมีการเตรียมตัวเพื่อที่จะรับการตรวจสอบจากผู้ตรวจสอบสารสนเทศภายในที่อาจมาจากต่างประเทศ
ในกรณีที่องค์กรเป็นบริษัทข้ามชาติหรือ มาจากผู้ตรวจสอบสารสนเทศภายนอกที่มีความชำนาญและมีความเป็นกลางในการตรวจสอบ ดังนั้น ผู้บริหารระบบเทคโนโลยีสารสนเทศระดับสูงขององค์กรจึงมีความจำเป็นอย่างยิ่งยวดที่จะต้องเตรียมพร้อมและศึกษาถึงมาตรฐานสากลทางด้า
นการรักษาความปลอดภัยระบบสารสนเทศแล้วนำมา

กำหนดเป็น "กรอบแนวทางปฏิบัติ" ซึ่งมาตรฐานสากลที่นิยมใช้กันทั่วโลก ได้แก่
1. มาตรฐาน ISO/IEC17799: 2005 (Second Edition) หรือ BS7799-1

มาตรฐาน ISO/IEC17799: 2005 (Second Edition) ถูกประกาศอย่างเป็นทางการในเดือนมิถุนายน ปี 2005 ได้มีการปรับปรุงแก้ไขมาจากต้นฉบับ
ISO/IEC 17799:2000 (First Edition)
จากปี 2000 ในประเทศไทยคณะอนุกรรมการความมั่นคงภายใต้คณะกรรมการธุรกรรมทางอิเล็กโทรนิคส์ซึ่งจัดตั้งขึ้นตามพระราชบัญญัติการ
ประกอบธุรกรรมทางอิเล็กโทรนิคส์
พ.ศ. 2546 (http://www.etcommission.go.th) ได้นำมาตรฐาน ISO/IEC17799 :2000 (First Edition) หรือ BS7799-1 มาเป็นแนวทางในการกำหนด มาตรฐานการรักษาความปลอดภัยในการประกอบธุรกรรมทางอิเล็กโทรนิคส์ของประเทศไทยจำนวน 144 ข้อ เพื่อให้เป็นแนวทางเสริมสร้างการรักษาความปลอดภัยให้กับองค์กรหรือหน่วยงานที่เกี่ยวข้องกับการประกอบธุรกรรมทางอิเล็กโทรนิคส์
โดยกำหนดมาตรฐานออกเป็น 3 ระดับ
คือ ระดับ 1 ควรปฏิบัติ 31 ข้อ, ระดับ 2 ควรปฏิบัติ 104 ข้อ และ ระดับ 3 ซึ่งเป็นระดับความปลอดภัยสูงสุด ควรปฏิบัติทั้งหมด 144 ข้อ

การนำมาตรฐาน ISO/IEC17799 : 2005 มาปฏิบัติในองค์กร สามารถนำองค์กรไปสู่การ "Certified" โดย Certification Body ตามมาตรฐาน
BS7799-2:2002 ขณะนี้องค์กรทั่วโลกกำลังให้ความสนใจเรื่องความปลอดภัยระบบเทคโนโลยีสารสนเทศ ตัวอย่างในประเทศญี่ปุ่นนั้นม
ีองค์กรได้รับการรับรองมาตรฐาน BS7799-2 ไปแล้วกว่า
เก้าร้อยองค์กร แสดงให้เห็นถึงมาตรฐานด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศที่พัฒนากว่าประเทศเพื่อนบ้าน ขณะนี้การรับรอง
มาตรฐาน BS7799-2: 2002 กำลังพัฒนา
เปลี่ยนแปลงเป็น ISO/IEC 27001:2005 ที่คาดว่าจะประกาศอย่างเป็นทางการประมาณเดือน พฤศจิกายน คศ. 2005 ซึ่งจะสอดคล้องกับ
มาตรฐาน ISO/IEC17799:2005(BS7799-1)
ที่ถูกประกาศบอกมาแล้วก่อนหน้านี้
2. มาตรฐาน CobiT (Control Objective for Information and Related Technology)

มาตรฐาน CobiT ถูกพัฒนาขึ้นโดย ISACA (http://www.isaca.org) และ IT Governance Institute (http://www.itgi.org ) เพื่อ องค์กรที่ต้องการ
มุ่งสู่การเป็น "ไอทีภิบาล" หรือ
"IT Governance" มาตรฐาน CobiT เป็นแนวคิดและแนวทางปฏิบัติของผู้บริหารระบบสารสนเทศ และขณะเดียวกันก็เป็นแนวทางปฏิบัติ
สำหรับผู้ตรวจสอบระบบสารสนเทศด้วย
โครงสร้างของมาตรฐาน CobiT นั้นแบ่งออกเป็น 4 กระบวนการหลัก ซึ่งทั้ง 4 กระบวนการหลักจะประกอบด้วย High Level Control
Objective ทั้งหมด 34หัวข้อ และ Detail Control
Objective
แบ่งแยกย่อยอีกทั้งหมด 318 หัวข้อย่อย

ในปัจจุบันมาตรฐาน CobiT เป็นมาตรฐานเปิดที่สามารถ Download ได้ที่ Web Site ของ ISACA ในประเทศไทย สมาคมผู้ตรวจสอบและ
ควบคุมระบบสารสนเทศ ภาคพื้นกรุงเทพฯมีโครงการในการแปลมาตรฐาน CobiT ออกมาเป็นภาษาไทย และ ทางสมาคม ISACA
สหรัฐอเมริกากำลังจะออก CobiT Version 4 ซึ่งมีการปรับปรุงจาก COBIT Version 3.2 ปัจจุบัน

แนวคิดของมาตรฐาน CobiT กำลังเป็นที่นิยมในกลุ่มธุรกิจด้านการเงินและการธนาคาร ยกตัวอย่าง เช่น ธนาคารแห่งประเทศไทยและ
สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ หรือ กลต. ได้ให้ความสนใจในการนำมาตรฐาน CobiT มาเป็น
แนวทางในการออกข้อกำหนดและกฎข้อบังคับต่าง ๆ ที่ธนาคารพาณิชย์และบริษัทหลักทรัพย
์ต่าง ๆ ควรนำมาปฏิบัติ ซึ่งขณะนี้ทางธนาคารแห่งประเทศไทย และ กลต.ได้ออกประกาศเรื่องการควบคุมการปฏิบัติงานและ
แนวทางปฏิบัติในการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ
และการให้บริการการเงินทางอิเล็กโทรนิคส์เพื่อเป็นแนวทางให้กับธนาคารพาณิชย์และบริษัทหลักทรัพย์ต่าง ๆ ในประเทศไทย

3. มาตรฐาน ITIL (IT Infrastructure Library)/BS15000

มาตรฐาน ITIL นั้นมีต้นตอมาจากประเทศอังกฤษ ซึ่งทางรัฐบาลประเทศอังกฤษ โดย OGC (Office of Government Commerce)
พัฒนาร่วมกับ BSI (British Standard Institute) มีวัตถุประสงค์ในการสร้าง Best Practice สำหรับกระบวนการบริหารงานบริการด้าน
สารสนเทศ (IT Service Management) มาตรฐาน ITIL กล่าวถึง "Best Practice" ในการบริหารจัดการงานให้บริการด้านระบบสารสนเทศ
ที่ควรจะเป็นและมีประสิทธิภาพและ ประสิทธิผลชัดเจน เช่น มาตรฐานด้าน Service Support และ Service Delivery ตลอดจนการกำหนด
SLA (Service Level Agreement) เป็นต้น

มาตรฐาน ITIL ถูกจัดทำเป็นหนังสือหลายเล่าโดยแบ่งออกเป็น 2 ส่วนได้แก่ BS15000-1 Specfication for Service management และ
BS15000-2 Code of pratice for service management

ปัจจุบันแนวโน้มด้านการ "Outsource" การบริหารจัดการเทคโนโลยีสารสนเทศมีการเพิ่มขึ้นอย่างรวดเร็ว ดังนั้นมาตรฐานในการควบคุมคุณภาพของการให้บริการนั้นจึงถือเป็นเรื่องสำคัญที่องค์กรควรจะศึกษาและกำหนดเป็นมาตรฐาน
ขั้นต่ำให้กับOutsourcerCompanyที่รับงานบริการด้านสารสนเทศไปจัดการแทนองค์กรเพื่อให้เกิดประสิทธิผลและประสิทธิภาพสูงสุด
ในการให้บริการและส่งผลด้านความพึงพอใจของผู้ใช้คอมพิวเตอร์
(Computer Users) ทั่ว ๆ ไป และ ส่งผลต่อภาพลักษณ์ของผู้บริหารเทคโนโลยีสารสนเทศระบบสูงในทางอ้อมอีกด้วย

4. มาตรฐาน SANS TOP20

มาตรฐาน SANS TOP20 เป็น มาตรฐานในการตรวจสอบระบบสารสนเทศสำหรับระบบความปลอดภัยบนระบบปฏิบัติการ
Microsoft Windows และ UNIX/Linux ที่ได้รับการยอมรับ
กันโดยทั่วไป มาตรฐาน SANS Top 20 มีมาตั้งแต่ปี 2000 ขณะนี้ SANS Top 20 ล่าสุดได้มีการปรับปรุงมา 4 ครั้ง และ
ปรับปรุงในปี 2004 เรียกว่า SANS Top 20 2004 โดยแบ่งออก
เป็นการเตือนช่องโหว่ของระบบปฏิบัติการ Windows 10 ช่องโหว่ และ การเตือนช่องโหว่ระบบปฏิบัติการ UNIX/ Linux
อีก 10 ช่องโหว่ รายละเอียดดูที่ http://www.sans.org/top20 ปัจจุบัน SANS ได้ออก SANS Top 20 2005 Quarter 1 and
Quarter 2 update มาเพิ่มเติมด้วย

5. มาตรฐาน ISMF 7 (Information Security Management Framework)

security image01

มาตรฐาน ISMF ทั้ง 7 ขั้นตอน เป็น มาตรฐานในการตรวจสอบและประเมินความปลอดภัยระบบสารสนเทศที่พัฒนาโดยนักวิชาการคนไทย จุดประสงค์เพื่อให้เป็นแนวทางในการปริหารจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพให้ทันกับสถานการณ์ปัจจุบันของ
การโจมตีระบบโดย Hacker และ MalWare ต่างๆ


กลยุทธ์ CIO กับการบริหารระบบความปลอดภัยเทคโนโลยีสารสนเทศในองค์กรสมัยใหม่

ตำแหน่งผู้บริหารเทคโนโลยีสารสนเทศระดับสูง หรือ CIO (Chief Information Officer) นั้นเป็นตำแหน่งสำคัญที่ทุกองค์กรทั้ง ภาครัฐ และ
เอกชนต้องมีบุคลากรที่รับผิดชอบในเรื่องนี้โดยตรง โดยเฉพาะในองค์กรขนาดใหญ่ CIO ควรมีหน้าที่ในการกำหนดยุทธศาสตร์ (Strategy)
ทิศทางด้านเทคโนโลยีสารสนเทศขององค์กร ตลอดจนมาตรการในการรักษาความปลอดภัยเทคโนโลยีสารสนเทศขององค์กร ในกรณ
ีที่ยังไม่มีตำแหน่ง CSO (Chief Security Office) หรือ CISO (Chief Information Security Officer) มารับผิดชอบด้านความปลอดภัยสารสนเทศ
โดยตรง CIO ก็ต้องรับผิดชอบเรื่องความปลอดภัยไปด้วยในตัว ซึ่งนับว่าเป็นภาวะความรับผิดชอบที่ค่อน
ข้างสูง เพราะ เรื่องความปลอดภัยเทคโนโลยีระบบสารสนเทศนั้นมีการเปลี่ยนแปลงอยู่เสมอ CIO ต้องคอยติดตามความเคลื่อนไหว
และปรับปรุงความรู้ความสามารถให้สอดคล้องกับสถานการณ์ปัจจุบัน และยังต้องตัดสินใจเรื่องการเลือกใชเทคโนโลยีด้านความปลอดภัย
ที่เหมาะสมแก่องค์กรทั้งในเรื่องของ TCO (Total Cost of Ownership) และ ROI (Return On Investment) จากข้อมูลของ Gartner เรื่อง Hype
Cycle for Information Security 2004 ปัญหาด้านความปลอดภัยระบบเทคโนโลยสารสนเทศยังเป็นประเด็นสำคัญที่ CIO ต้องให้ความสนใจ
และจัดการอย่างเป็นระบบ

Securiy images02

รูปที่ 1 แสดงให้เห็นถึง Cyber Threat ต่าง ๆ ที่ กำลังเป็นปัญหาอยู่ในปัจจุบัน ปัญหาใหญ่ของ CIO ในวันนี้ก็คือ เรื่อง Spyware, Phishing,
SPAM และ Peer-to-Peer Exploit

Security images03 

ขณะเดียวกัน ดูรูปที่ 2 แสดงถึงเทคโนโลยีและบริการที่ CIO ควรนำใช้ในการแก้ปัญหาดังกล่าว บางเทคโนโลยีเช่น IDS นั้น ล้าสมัยไปแล้ว ขณะนี้เทคโน
โลยีใหม่เข้ามาแทนที่ เช่น IPS, Vulnerability Management และ Patch Management เป็นต้น การให้บริการเผ้าระวังระบบรักษาความปลอดภัยจากบริษัทที่
รับดูแลด้านความปลอดภัยโดยตรงที่เรียกตัวเองว่า MSSP (Managed Security Service Provider) ก็กำลังได้รับความนิยมจาก CIO เพิ่มขึ้นเช่นกัน

ดังนั้น CIO ควรมีกลยุทธ์ในการบริหารจัดการเทคโนโลยีสารสนเทศที่ดีและเตรียมพร้อมกับสถานการณ์ปัจจุบัน และอนาคตโดยสรุปได้ 6 ข้อดังนี้

1. CIO ต้องมีกลยุทธ์ในการรับผิดชอบดูแลเรื่องการประหยัดงบประมาณ การใช้จ่ายทางด้านเทคโนโลยีสารสนเทศ

การจัดซื้อจัดจ้างระบบเทคโนโลยีสารสนเทศนั้นจำเป็นต้องใช้งบประมาณค่อนข้างสูง การตัดสินใจเลือกใช้เทคโนโลยีใหม่ ๆ จึงเป็นความท้าทาย
ของ CIO เพราะหากตัดสินใจผิดก็อาจส่งผลเสียในระยะยาวให้แก่องค์กรได้ ขณะที่งบประมาณด้านการรักษาความปลอดภัยนั้นมีแนวโน้มที่จะลดลง
ตามสภาวะเศรษฐกิจโลกที่ถดถอย แต่การโจมตีจากแฮกเกอร์ และ ไวรัสกลับมีแนวโน้มที่เพิ่มขึ้นอย่างมาก ดังนั้น CIO จึงจำเป็นต้อง "Balance"
ปรับสมดุล ระหว่างความปลอดภัยขั้นต่ำที่องค์กรควรมี และ งบประมาณที่จะถูกใช้จ่ายออกไปเพื่อให้ได้มาซึ่งอุปกรณ์ฮาร์ดแวร์และซอฟท์แวร์
ตลอดจนการบริการจาก IT Auditor, IT Consultant, System Integrator และ IT Outsourcer รวมถึง งบประมาณการฝึกอบรม Information Security
Awareness Training และ Information Security Technical Training จาก IT Training Center ต่าง ๆ อีกด้วย

2. CIO ควรกำหนดแผนยุทธ์ศาสตร์ ด้านความปลอดภัยระบบสารสนเทศ (Information Security Strategic Planning) ให้ชัดเจนและนำไปปฏิบัติจริงได้

แผนยุทธ์ศาสตร์ในระยะยาวควรกำหนดออกมาให้ชัดเจน เพื่อเป็นแนวทางในการดำเนินการด้านสารสนเทศและการรักษาความปลอดภัยข้อมูล
สารสนเทศ จากนั้น แผนระยะกลางและแผนระยะสั้น ก็ควรถูกกำหนดออกมาเช่นกัน ยกตัวอย่าง เช่น องค์กรควรมีการจัดทำการประเมินความเสี่ยง
ระบบสารสนเทศ (IT Risk Assessment) เป็นประจำทุกปี และควรมีการจัดทำแผนฝึกอบรม Information Security Awareness Training ในทุกๆ 3 - 6 เดือน เป็นต้น

3. CIO ควรเพิ่มความรู้และมีความรอบรู้เพียงพอเพื่อใช้ประกอบการตัดสินใจเลือกใช้เทคโนโลยีที่เหมาะสมและไม่ล้าสมัยให้แก่องค์กร

ยกตัวอย่างการเลือกใช้ Platform ว่าจะใช้ Windows Server 2003 Platform หรือ UNIX/LINUX Platform การเลือกใช้เทคโนโลยี J2EE (Jave 2 Enterpirse Edition)
หรือ เลือกใช้เทคโนโลยี Dot NET ของ Microsoft เป็นต้น

การหมั่นเข้าร่วมฟังงานสัมมนาเทคโนโลยีใหม่ ๆ ก็เป็นเรื่องจำเป็นของ CIO เช่นเดียวกัน ซึ่งก็คงต้องปลีกเวลาการทำงานบ้างเพื่อเพิ่มพูนความรู้ใหม่ ๆ
ที่เป็นประโยชน์ในการตัดสินใจในอนาคต การเดินทางไปชมงาน ICT Expo ในต่างประเทศ ก็ควรอยู่ในโปรแกรมของ CIO ด้วย

4. CIO ควรนำองค์กรเข้าสู่มาตรฐานกำหนดความปลอดภัยสารสนเทศที่สากลให้การยอมรับและเตรียมพร้อมสำหรับในการตรวจสอบจาก
ผู้ตรวจสอบระบบสารสนเทศ


การนำมาตรฐานสากลด้านความปลอดภัยระบบสารสนเทศเช่น ISO/IEC17799 หรือ CobiT มาประยุกต์ใช้บางส่วน ถือเป็นเรื่องจำเป็น CIO ต้องให้ความสำคัญ
เช่นกัน โดยองค์กรอาจจะไม่จำเป็นต้องได้รับใบรับรองมาตรฐาน BS7799-2 ในกรณีที่องค์กรมองว่าประโยชน์ที่ได้รับจากการได้รับใบรับรองมาตรฐานด้านความ
ปลอดภัยนั้นยังไม่ชัดเจน แต่องค์กรก็ควรนำมาตรฐานสากลที่เป็น "Best Practice" ต่าง ๆ มาประยุกต์ใช้ เพื่อความปลอดภัยขององค์กรเอง และ เพื่อให้สอด
คล้องกับยุคของ IT Governance

การตรวจสอบระบบสารสนเทศโดยผู้ตรวจสอบภายนอกหรือผู้ตรวจสอบภายในเป็นเรื่องจำเป็นที่ต้องทำเป็นประจำทุกปีเพื่อให้แน่ใจถึงระดับของความเสี่ยง
ที่ผู้บริหารยอมรับได้ และ ไม่ส่งผลกระทบต่อองค์กร

5. CIO ควรรักษาความสัมพันธ์ที่ดีกับผู้ร่วมงานและพัฒนาการสื่อสารกับผู้ร่วมงานให้มีความชัดเจนและความเข้าใจในทิศทางเดียวกัน

ปัญหาของ CIO ในหลาย ๆ องค์ก คือ CIO ไม่สามารถอธิบายการทำงานด้านสารสนเทศต่าง ๆ ให้แก่ ผู้บริหารระดับสูง เช่น CEO หรือ CFO เพื่อให้เกิดความ
เข้าใจ และ ให้การสนับสนุนได้อย่างมากพอ ทำให้หลายๆ โครงการด้านสารสนเทศ ไม่ประสบความสำเร็จ ดังนั้น CIO ควรต้องมี Communication Skill หรือ
ทักษะในการพูดคุย การติดต่อ ตลอดจน การนำเสนอในรูปแบบมืออาชีพ ที่มีความชัดเจน และ ง่ายต่อการเข้าใจของผู้บริหารระดับสูงที่ไม่ใช่ "คนไอที"
ตลอดจน CIO ควรรักษาความสัมพันธ์กับ System Integrator, Consultant, Supplier และ Outsourcer เพื่อให้บริษัทเหล่านี้มาช่วยแบ่งเบาภาระของ CIO และ
เป็นการ Transfer Risk ไปในตัว ความสัมพันธ์ที่ดีกับหน่วยงานต่าง ๆ ดังกล่าวจะส่งผลช่วย CIO ในทางอ้อมต่อประสิทธิภาพในการปฏิบัติงานและภาพ
ลักษณ์ของตัว CIO เอง

6. CIO ควรเตรียมรับสถานการณ์ฉุกเฉินด้านความปลอดภัยสารสนเทศที่อาจเกิดขี้นได้

แผน BCP (Business Continuity Planning) และ DRP (Disaster Recovery Planning) ควรถูกจัดทำขึ้นเพื่อให้องค์กรพร้อมกับการเตรียมรับเหตุการณ์ฉุกเฉิน
หรือ Incident Response Management ที่อาจเกิดขึ้นและส่งผลกระทบต่อการทำงานโดยรวมขององค์กรได้ โดย CIO ต้องช่วยสนับสนุนและเป็นแกน
หลักในการจัดทำแผนดังกล่าวด้วย

กล่าวโดยสรุป ตำแหน่ง CIO นั้นเป็นตำแหน่งที่มีความสำคัญต่อองค์กรอย่างสูงในยุคที่เทคโนโลยีระบบสารสนเทศ และ การสื่อสาร เข้ามามีบทบาท
สำคัญต่อการดำเนินงานขององค์กรในปัจจุบัน การกำหนดกลยุทธ์ในการบริหารจัดการเทคโนโลยีสารสนเทศและการรักษาความปลอดภัยสารสนเทศ
เป็นเรื่องสำคัญที่ CIO ทุกท่านต้องจัดทำขึ้น และ CIO จะต้องมีความรับผิดชอบในเรื่องดังกล่าวโดยปริยาย เพราะ ในอนาคตกฏหมายต่าง ๆ ที่กำลัง
จะถูกประกาศใช้ เช่น กฏหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ หรือ ประกาศกฏข้อบังคับต่าง ๆ ขององค์กรที่มีหน้าที่ในการควบคุม เช่น สตง.
ธนาคารแห่งประเทศไทย หรือ กลต. มีแนวโน้มที่จะเข้มงวด เรื่องการรักษาความปลอดภัยข้อมูลระบบสารสนเทศมากขึ้น CIO ก็ควรจะปรับตัวให
้เข้ากับยุคสมัยทศวรรษแห่งดิจิตอลเพื่อนำองค์กรเข้าสู่ IT Governance หรือ "ไอทีภิบาล" เพื่อจุดมุงหมายปลายทาง คือ Corporate Governance
หรือ "บรรษัทภิบาล" ในที่สุด
BS7799 (British Standard 7799) เป็นมาตรฐานเกี่ยวกับการจัดการในเรื่องความปลอดภัยของข้อมูล ที่ออกโดย British Standards Institution
ซึ่งถูกตีพิมพ์ครั้งแรกในเดือนเมษายน ค.ศ. 1991 โดยใช้ชื่อว่า BS7799:1999 มาตรฐานนี้เป็นส่วนหนึ่งของมาตรฐาน ISO (International Standard
Organization)

 

 Security images04


ต่อมาในเดือนตุลาคมปี ค.ศ.2000 ได้มีการปรับปรุงบางส่วนของมาตรฐาน และถูกตีพิมพ์เป็นครั้งที่ 2 ภายใต้ชื่อ ISO/IEC17799:2000 ในวันที่
1 ธันวาคม ค.ศ. 2000
มาตรฐานนี้ถูกกำหนดขึ้นมาเพื่อเป็นแนวทางในการจัดการด้านความปลอดภัยของข้อมูลภายในองค์กร โดยการกำหนดแนวทางสำหรับ
การพัฒนามาตรฐานความปลอดภัย และการปฏิบัติงานเพื่อให้เกิดการจัดการที่มีประสิทธิภาพ รวมไปถึงการสร้างความมั่นใจในการติดต่อ
ระหว่างองค์กร เนื่องจากข้อมูลถือเป็นสินทรัพย์ที่มีความสำคัญเช่นเดียวกับสินทรัพย์ทางธุรกิจอื่นๆ ดังนั้นการรักษาความปลอดภัยข้อมูล,การประเมินและการบริหารความเสี่ยงที่เกิดขึ้นจึงถือเป็นสิ่งสำคัญในการบริหารงานองค์กรให้มี
ประสิทธิภาพ
หากกล่าวถึงความปลอดภัยข้อมูล จะต้องประกอบด้วย 3 องค์ประกอบ ดังนี้
    1. Confidentiality
ในการรักษาความปลอดภัยข้อมูล สิ่งสำคัญที่ต้องคำนึงคือ สิทธิ์ในการเข้าถึงข้อมูลต่างๆ ในระบบงาน ดังนั้นผู้ที่จะสามารถเข้าถึงข้อมูล
ในระบบนั้น ๆ ได้ จะต้องได้รับการกำหนดสิทธ์ในการเข้าใช้ ซึ่งเป็นไปตามหลัก need-to-know และ need-to-do basis ตัวอย่างเช่น
ในการจัดการเกี่ยวกับข้อมูลเงินเดือนของพนักงานในองค์กร ก็จะมีเจ้าหน้าที่ของฝ่ายทรัพยากรบุคคลเท่านั้นที่จะสามารถเข้าถึงข้อมูลนี้ได
้ เพราะข้อมูลดังกล่าวเป็นข้อมูลสำคัญและไม่สามารถเปิดเผยได้
    2. Integrity
ข้อมูลต่าง ๆ ในระบบจะต้องมีความถูกต้อง เช่น ข้อมูลที่เผยแพร่ทางอินเตอร์เน็ต ซึ่งเป็นข้อมูลที่ไม่ได้จำกัดสิทธิ์ในการเข้าถึง
จึงส่งผลให้บุคคลภายนอกสามารถเข้าถึงข้อมูลดังกล่าวได้อย่างง่ายดาย ดังนั้นจะต้องมีการกำหนดมาตรการหรือแนวทางในการ
ป้องกันการแก้ไขเปลี่ยนแปลงข้อมูล เพื่อป้องกันความผิดพลาดหรือการบิดเบือนข้อมูลหรือแม้กระทั่งผู้ที่มีสิทธิ์เข้าถึงระบบงาน
เพื่อทำการแก้ไขข้อมูลก็จะต้องได้รับการอนุมัติจากผู้บังคับบัญชาก่อน เช่น เจ้าหน้าที่ที่ทำการแก้ไขข้อมูลดอกเบี้ยเงินฝากต้อง
ได้รับการอนุมัติจากผู้บังคับบัญชาเท่านั้น
    3. Availability
ผู้มีสิทธิ์สามารถที่จะเข้าถึงข้อมูลในระบบงานต่าง ๆ ได้ตามต้องการโดยผ่านช่องทางที่องค์กรกำหนด เช่น เจ้าหน้าที่ที่มีสิทธิ์ในการเข้าถึงระบบซื้อขายหลักทรัพย์ของธนาคารสามารถเข้าใช้ข้อมูลในช่วงเวลาที่ต้องการได้อย่างต่อเนื่อง
โดยไม่เกิดเหตุขัดข้อง เช่น ระบบฐานข้อมูลมีปัญหา ไม่สามารถดึงข้อมูลออกมาได้

                การบริหารจัดการและส่งเสริมด้านความปลอดภัยข้อมูล จะต้องมีการกำหนดนโยบายการดำเนินงานภายในองค์กรที่ชัดเจน
                                 มีการให้ข้อมูล-เผยแพร่เอกสารเกี่ยวกับนโยบายดังกล่าวให้แก่พนักงานทุกคนได้รับทราบ เข้าใจวัตถุประสงค์ ขอบเขต
การดำเนินงาน หลักการ และเป้าหมายของความปลอดภัยข้อมูล รวมไปถึงมาตรฐานที่ สอดคล้องกับการดำเนินธุรกิจของ
องค์กรเพื่อถือปฏิบัติตรงกัน จากนั้นจะต้องมีการประเมินผลว่าบรรลุตามนโยบายที่กำหนดไว้หรือไม่ ส่งผลการทบต่อ
การดำเนินธุรกิจอย่างไรและผลจากการเปลี่ยนแปลงส่งผลต่อเทคโนโลยีอย่างไร

บันทึกนี้เขียนที่ GotoKnow โดย  ใน Networking Gallery

คำสำคัญ (Tags)#cissp

หมายเลขบันทึก: 124438, เขียน: 02 Sep 2007 @ 16:58 () , แก้ไข, 06 Sep 2013 @ 18:18 (),  | , สัญญาอนุญาต: สงวนสิทธิ์ทุกประการ, อ่าน: คลิก
บันทึกล่าสุด


ความเห็น (0)