---------------------------------------------------
ข้อกำหนด 1-11
|
ข้อกำหนดที่ 1.นโยบายด้านความมั่นคงปลอดภัยข้อมูลสารสนเทศ
(Security
Policy) |
|
1.1
การจัดการนโยบายด้านความมั่นคงปลอดภัยของข้อมูลสารสนเทศ (Information
Security Policy) |
|
1.1.1
วัตถุประสงค์ |
|
1.1.2 ทบทวนและการประเมินผลการดำเนินงาน
(Review
of the Information Security Policy) |
|
ข้อกำหนดที่ 2.
การจัดการโครงสร้างความมั่นคงปลอดภัยข้อมูลสารสเทศ (Organization of
Information Security) |
|
2.1
การจัดการความมั่นคงปลอดภัยของหน่วยงานในองค์กร (Internal organization) |
|
2.1.1 การกำหนดผู้มีหน้าที่รับผิดชอบในการบริหารจัดการความมั่นคงปลอดภัยข้อมูลสารสนเทศ
(Management
committee to Information Security) |
|
2.1.2
การประสานงานด้านความมั่นคงปลอดภัยข้อมูลสารสนเทศ (Information Security Co-ordination) |
|
2.1.3 การกำหนดหน้าที่รับผิดชอบด้านความมั่นคงปลอดภัยข้อมูลสารสนเทศ
(Allocation
of Information responsibilities) |
|
2.1.4 การอนุมัติสำหรับการใช้งานระบบสารสนเทศ (Authorization process
for Information processing facilities) |
|
2.1.5 ข้อตกลงในการรักษาความลับ (Confidentiality Agreements) |
|
2.1.6 การติดต่อกับหน่วยงานที่เกี่ยวข้อง (Contact with Authorities) |
|
2.1.7 การติดต่อหน่วยงานที่เกี่ยวข้องด้านความมั่นคงปลอดภัยข้อมูลสารสนเทศ (Contact
with special interest) |
|
2.1.8 การตรวจสอบการดำเนินงานโดยหน่วยงานอิสระ (Independent review of
Information security) |
|
2.2 การจัดการความมั่นคงปลอดภัยสำหรับบุคคลภายนอก (External parties) |
|
2.2.1 กำหนดความเสี่ยงที่เกี่ยวข้องกับบุคคลภายนอก (Identification of
risk related to external parties) |
|
2.2.2 กำหนดความเสี่ยงด้านความมั่นคงปลอดภัยข้อมูลสารสนเทศของลูกค้า (Addressing
security when deal with customers) |
|
2.2.3การระบุประเด็นด้านความมั่นคงปลอดภัยในเอกสารข้อตกลงที่ทำกับบุคคลภายนอก
(Addressing security in third party agreement) |
|
ข้อกำหนดที่ 3.การบริหารจัดการความมั่นคงปลอดภัยข้อมูลสารสนเทศที่เกี่ยวข้องกับบุคลากร |
|
-- ให้ใช้ระเบียบปฏิบัติและนโยบายของแผนก HR ว่าด้วยการสรรหาและว่าจ้าง รวมถึงการเลิกจ้าง ข้อกำหนดที่ 4. การบริหารจัดการทรัพย์สินขององค์กร (Asset Management) |
|
4.1 การกำหนดหน้าที่ความรับผิดชอบต่อทรัพย์สิน (Responsibilities for
Assets) |
|
4.1.1 การจัดทำรายการทรัพย์สิน (Inventory of Assets ) |
|
4.1.2 การกำหนดความรับผิดชอบให้แก่ทรัพย์สิน (Ownership of Asset) |
|
4.1.3 ข้อกำหนดในการใช้งานทรัพย์สินที่เหมาะสม (Acceptable use of
assets) |
|
4.2 การจัดระดับชั้นความลับของข้อมูลสารสนเทศ
(Information classification) |
|
4.2.1 การจัดระดับชั้นความลับของข้อมูลสารสนเทศ (classification
guideline) |
|
4.2.2 การจัดทำป้ายชื่อและการจัดการข้อมูล (Information labeling and
handling) |
|
5. ความปลอดภัยด้านกายภาพและสภาพสิ่งแวดล้อม
(Physical and environment security) |
|
5.1 พื้นที่ที่ต้องมีการรักษาความมั่นคงปลอดภัย (secure Area) |
|
5.1.1 ความปลอดภัยของสถานที่โดยรอบ (Physical Perimeter) |
|
5.1.2 การควบคุมการเข้าออกทางกายภาพ (Physical entry controls) |
|
5.1.3 การรักษาความปลอดภัยของสำนักงานและสถานที่ปฏิบัติงาน (Security
Offices, Rooms and Facilities) |
|
5.1.4 การป้องกันภัยคุกคามจากสิ่งแวดล้อมภายนอก (Protect against
external and environmental threats) |
|
5.1.5 การทำงานในพื้นที่หวงห้าม (Working in secure Areas) |
|
5.1.6 พื้นที่รับส่งของ (Loading Area) |
|
5.2 ความปลอดภัยของอุปกรณ์ (Equipment
security) |
|
5.2.1 การติดตั้งและการป้องกันอุปกรณ์ |
|
5.2.2 ระบบสาธารณูปโภคที่มใช้สนับสนุนการปฏิบัติงาน (Supporting
utilities) |
|
5.2.3 การจัดวางสายเคเบิลให้มีความปลอดภัย (Cabling security) |
|
5.2.4 การบังรุงรักษาอุปกรณ์ (Equipment Maintenance) |
|
5.2.5 ความปลอดภัยของอุปกรณ์ซึ่งอยู่นอกสถานที่ (Security of equipment
off-premises) |
|
5.2.6 การทำลายหรือการนำอุปกรณ์กลับมาใช้ใหม่ (Secure disposal or
re-use of equipment) |
|
5.2.7 การเคลื่อนย้ายทรัพย์สิน (Removal of property) |
|
ข้อกำหนดที่ 6. การจัดการด้านการสื่อสารและการปฏิบัติการ (Communications and operation management) |
|
6.1 การแบ่งหน้าที่ในการปฏิบัติงานและการจัดทำเอกสารประกอบการปฏิบัติงาน
(Operation procedure and responsibilities and Document operating
procedures) |
|
6.1.1 การกำหนดบทบาทหน้าที่ในการปฏิบัติงาน |
|
6.1.2 การจัดทำเอกสารกระบวนการในการปฏิบัติงาน (Document Operating procedures) |
|
6.1.3 การบริหารการเปลี่ยนแปลง (Change management) |
|
6.1.4 การแบ่งแยกสารสนเทศ (Segregation of duties) |
|
6.2 การจัดการการใช้บริการจากหน่วยงานภายนอก (Third party service
delivery management) |
|
6.2.1 การส่งมอบงานหรือบริการ (service delivery) |
|
6.2.2 การตรวตสอบการติดตามและการประเมินผลการดำเนินงานของหน่วยงานภายนอก (Monitoring
and Review of third party services) |
|
6.2.3 การบริหารการเปลี่ยนแปลงในบริการจากบุคคลภายนอก (Managing
changes to third party services) |
|
6.3 การวางแผนการใช้งานทรัพยากรสารสนเทศและการตรวจรับระบบสารสนเทศ
(System Planning and Acceptable) |
|
6.3.1 การบริหารจัดการความต้องการทรัพยากรสารสนเทศในองค์กร (Capacity
Management) |
|
6.3.2 การตรวจรับระบบ (system
acceptance) |
|
6.4 การป้องกันโปรแกรมไม่ประสงค์ดีและโปรแกรมแบบ Mobile code
(Protection against malicious and mobile code) |
|
6.4.1 มาตรการควบคุมโปรแกรมที่ไม่ประสงค์ดี (Control against malicious
code) |
|
6.4.2 มาตรการควบคุมโปรแกรมแบบ Mobile code (Controls against mobile
code) |
|
6.5 การสำรองข้อมูล (Backup system) |
|
6.6 การบริหารความปลอดภัยของเครือข่าย (Network security management) |
|
6.6.1 การควบคุมเครือข่าย (Network Controls) |
|
6.6.2 ความมั่นคงปลอดภัยสำหรับบริการเครือข่าย (Security of Network
Service) |
|
6.7 การจัดการสื่อบันทึกข้อมูล (Media handling) |
|
6.7.1 การจัดการสื่อบันทึกข้อมูล (Management of removable media) |
|
6.7.2 การกำจัดสื่อบันทึกข้อมูล (Disposal of media) |
|
6.7.3 การจัดเก็บเอกสารที่เกี่ยวข้องกับการบริหารจัดการระบบ (Information
handling procedure) |
|
6.8 การแลกเปลี่ยนข้อมูล (Information Exchange Policy) |
|
6.8.1 การแลกเปลี่ยนข้อมูลสารสนเทศในองค์กร (Information exchange
policies and procedures) |
|
6.8.2 การแลกเปลี่ยนข้อมูลสารสนเทศระหว่างองค์กร (Exchange agreements) |
|
6.8.3 การนำสื่อสำรองข้อมูลออกไปยังภายนอกองค์กร (Physical Media in
Transit) |
|
6.8.4 การส่งข้อความแบบอิเลคทรอนิคส์ (Electronic Messaging) |
|
6.8.5 ความมั่นคงปลอดภัยระบบข้อมูลสารสนเทศเชิงธุรกิจ (Business
Information Systems) |
|
6.9 การให้บริการพาณิชย์อิเลคทรอนิคส์ (Electronic Commerce
Services) |
|
6.9.1 การเผยแพร่ข้อมูลแก่ภายนอก (Public available information) |
|
6.10 การเฝ้าระวังด้านความมั่นคงปลอดภัย (Monitoring) |
|
6.10.1 การเฝ้าระวังโดยการบันทึกเหตุการณ์ที่เกี่ยวข้องกับการใช้งานระบบสารสนเทศ
(Audit Logging) |
|
6.10.2 ตรวจสอบการใช้งานระบบ (Monitoring System use) |
|
6.10.3 การป้องกันข้อมูลบันทึกเหตุการณ์ที่เกี่ยวข้องกับการใช้งานระบบสารสนเทศ
(Protection of log information) |
|
6.10.4 การบันทึกกิจกรรมในการปฏิบัติงานของผู้ดูแลระบบ (Administrator
and Operator log) |
|
6.10.5 การบันทึกเหตุการณ์ที่เกิดจากความผิดพลาดของระบบสารสนเทศ (Fault
logging) |
|
6.10.6 การตั้งเวลาของเครื่องคอมพิวเตอร์ให้ตรงกัน (Clock Synchronization) |
|
ข้อกำหนดที่ 7. การควบคุมการเข้าถึง (Access Control) |
|
7.1 การบริหารจัดการการเข้าใช้งานของผู้ใช้งาน (User access
management) |
|
7.1.1 การลงทะเบียนผู้ใช้ (User registration) |
|
7.1.2 การจัดการสิทธิ์การเข้าถึง (Privilege management) |
|
7.1.3 การจัดการรหัสผ่านของผู้ใช้ (User password management) |
|
7.1.4 การทบทวนสิทธิ์ของผู้ใช้ (Review of user access rights) |
|
7.2 หน้าที่ความรับผิดชอบของผู้ใช้ (User responsibilities) |
|
7.2.1 การใช้รหัสผ่าน (Password use) |
|
7.2.2 การจัดการด้านความปลอดภัยของอุปกรณ์ที่ไม่มีผู้ดูแล (Unattended
user equipment) |
|
7.2.3 การเคลียร์หน้าจอคอมพิวเตอร์และการจัดเก็บโต๊ะทำงาน, เครื่องถ่ายเอกสาร,โทรสาร (Clear desk
Clear screen policy) |
|
7.3 การควบคุมการใช้งานระบบเครือข่าย (Network access control) |
|
7.3.1 นโยบายในการใช้บริการเครือข่าย (Policy on use of network
services) |
|
7.3.2 การตรวจสอบผู้ใช้งานซึ่งมีการเชื่อมต่อจากภายนอก (User
authentication for external connections) |
|
7.3.3 การตรวจสอบอุปกรณ์ในระบบเครือข่าย (Equipment identification in
networks) |
|
7.3.4 การป้องกันพอร์ตที่ใช้ในการตรวจสอบและปรับแต่งระบบ (Remote
diagnostic and configuration port protection) |
|
7.3.5 การควบคุมการเชื่อมต่อระบบเครือข่าย (Segregation in network) |
|
7.3.6 การควบคุมการเลือกเส้นทางข้อมูลของเครือข่าย (Network connection
control) |
|
7.4 การควบคุมการเข้าใช้งานระบบปฏิบัติการ (Operation system access
control) |
|
7.4.1 กระบวนการในการเข้าใช้งานระบบอย่างปลอดภัย (Secure log-on
procedure) |
|
7.4.2 การตรวจสอบยืนยันผู้ใช้ (User identification and
authentication) |
|
7.4.3 ระบบบริหารจัดการรหัสผ่าน (Password management system) |
|
7.4.4 การใช้งานยูทิลิตี้ของระบบ (Use of system utilities) |
|
7.4.5 การจำกัดระยะเวลาในการงาน (Session time out) |
|
7.5 การควบคุมการเข้าใช้งานแอพพลิเคชั่นและข้อมูล (Application and
information access control) |
|
7.5.1 การจำกัดการเข้าใช้งานข้อมูล (Information access restriction) |
|
7.5.2 การแยกระบบข้อมูลที่มีความสำคัญ (Sensitive system isolation) |
|
7.5.3 การใช้คอมพิวเตอร์แบบพกพาและการเชื่อมต่อระบบเครือข่าย (Mobile
computing and communication) |
|
7.5.3.1 การป้องกันทางกายภาพ (Physical) |
|
7.5.3.2 การป้องกันการเข้าถึงระบบ (Logical) |
|
7.5.3.3 การเชื่อมต่อกับระบบเครือข่ายให้มีความปลอดภัย (Secure
Connection) |
ข้อกำหนดที่ 8 การจัดหา การพัฒนา และการบำรุงรักษาระบบข้อมูล (Information systems acquisition, development and maintenance)
8.1 การจัดทำข้อกำหนดด้านความมั่นคงปลอดภัยของระบบสารสนเทศ (Security requirements of information systems)
ในการจัดซื้อจัดจ้างอุปกรณ์ หรือระบบต่างๆ เพื่อนำมาใช้ในองค์กรนั้น ควรต้องมีการประเมินว่า ฟีท์เจอร์ด้านความมั่นคงปลอดภัยของอุปกรณ์หรือเทคโนโลยีต่างๆ เพื่อลดความเสียหายอันเกิดจากระบบไม่สามารถรองรับปริมาณความต้องการใช้งานหรือไม่สามารถปฏิบัติตามข้อกำหนดด้านความมั่นคงปลอดภัยขององค์กรได้ โดยพิจารณาให้ระบบดังกล่าวมีฟีท์เจอร์ครอบคลุมประเด็นต่างๆ ดังต่อไปนี้
8.1.1 การจัดซื้อจัดจ้างระบบปฏิบัติการ
- การจัดการระบบ (เกี่ยวข้องกับ การอนุมัติและการพิสูจน์ตัวตนของผู้ใช้ในระบบ)
- การตั้งค่าระบบ (เกี่ยวข้องกับการตั้งค่า และการกำหนดบริการต่างๆ ที่มีในระบบ)
- การตรวจสอบและเฝ้าระวังระบบ (เกี่ยวข้องกับการจัดเก็บ log ของกิจกรรมต่างๆ ในระบบ)
- หากเกิดภัยพิบัติสามารถกู้คืนระบบได้ (เกี่ยวข้องกับการสำรองข้อมูลและการกู้คืนระบบ)
- สอดคล้องกับข้อกำหนดตามกฏหมาย
8.1.2 การจัดซื้อจัดจ้างแอพพลิเคชั่น
- การจัดการแอพพลิเคชั่น (เกี่ยวข้องกับการอนุมัติและการพิสูจน์ตัวตนของผู้ใช้ในระบบ)
- การจัดการข้อมูล (เกี่ยวข้องกับการอนุญาตให้เข้าใช้ข้อมูลสารสนเทศในระบบ)
- การตั้งค่าของข้อมูลสารสนเทศ (สามารถกำหนดระดับชั้นความลับของข้อมูล ตลอดจนมาตรการป้องกัน เช่น การเข้ารหัส)
- การตั้งค่าบนระบบแอพพลิเคชั่น (เกี่ยวข้องกับการตั้งค่า และกำหนกบริการต่างๆ ที่มีในระบบแอพพลิเคชั่น)
- การตรวจสอบและเฝ้าระวังระบบแอพพลิเคชั่น (สามารถจัดเก็บ Audit log ของระบบได้)
- หากเกิดภัยพิบัติสามารถกู้คืนระบบได้ (เกี่ยวข้องกับการสำรองข้อมูลและการกู้คืนระบบ)
- สอดคล้องกับข้อกำหนดตามกฏหมาย
8.1.3 บริการ
- การตั้งค่าของข้อมูลสารสนเทศ (สามารถกำหนดระดับชั้นความลับของข้อมูล ตลอดจนมาตรการป้องกัน เช่น การเข้ารหัส)
- การตรวจสอบและเฝ้าระวังระบบที่ให้บริการ
- สามารถกู้คืนระบบได้ (Fallback Arrangement)
- สอดคล้องกับข้อกำหนดตามกฏหมาย
8.1.4 ระบบโครงสร้างพื้นฐาน
- รองรับการตั้งค่าต่างๆ ตามที่กำหนดไว้ในระดับชั้นความลับ (Assuring confidentiality, Integrity and Availability)
- รองรับการให้บริการอย่างต่อเนื่อง (High Availability)
- หากเกิดภัยพิบัติสามารถกู้คืนระบบได้
- สอดคล้องกับข้อกำหนดตามกฏหมาย
8.2 การควบคุมการเข้ารหัสข้อมูล (Cryptographic controls)
8.2.1 นโยบายควบคุมการเข้ารหัสข้อมูล (Policy on the use of Cryptographic controls)
- ห้ามติดตั้งซอฟท์แวร์ที่ใช้ในการเข้ารหัสที่องค์กรไม่อนุญาตให้ใช้
- การเข้ารหัสข้อมูลใดๆ ให้เป็นไปตามข้อกำหนดในเอกสาร การจัดลำดับชั้นความลับ ขององค์กร
- ความยาวของคีย์ที่ใช้ในการเข้ารหัสต้องไม่น้อยกว่า 56 บิต สำหรับการเข้ารหัสแบบสมมาตร (Symmetric) และแบบ อสมมาตร (Asymmetric) ต้องมีความยาวไม่น้อยกว่าตามที่ตกลงกันไว้
- กระบวนการในการจัดการกุญแจเข้ารหัส (key management) จะต้องสอดคล้องกับเทคนิคการเข้ารหัสที่องค์กรนำมาใช้
- ระบบการจัดการกุญแจเข้ารหัสนั้นจะต้องประกอบไปด้วยฟังก์ชั่นต่างๆ ดังต่อไปนี้
- การสร้างกุญแจเข้ารหัส (Key generation)
- การเปลี่ยนกุญแจเข้ารหส (Key change)
- การนำกุญแจเข้ารหัสมาใช้ใหม่ (Key renewal)
- ในการสร้างกุญแจเข้ารหัสใหม่ ทุกครั้งต้องได้รับการอนุญาตจากผู้บริหารอย่างเป็นลายลักษณ์อักษร
8.3.1 การควบคุมซอฟท์แวร์ที่ใช้ในระบบปฏิบัติการ (Confidential of operation software)
- ต้องมีกระบวนการควบคุมซอฟท์แวร์ที่นำมาใช้ในการปฏิบัติงาน
- ต้องมีการควบคุมการอัพเดทเวอร์ชั่นของซอฟท์แวร์ทุกครั้ง
- การตั้งค่าหรือเปลี่ยนแปลงค่าใดๆ (Configuration) ในระบบจะต้องมีการควบคุมทุกครั้ง
8.4.1 การทบทวนมาตรการควบคุมเชิงเทคนิคของแอพพลิเคชั่นภายหลังที่มีการเปลี่ยนแปลงใดๆ บนระบบปฏิบัติการ ดังต่อไปนี้ (Technical review of applications after operating system changes)
- เมื่อมีการเปลี่ยนแปลง แก้ไข หรือปรับปรุงประสิทธิภาพของระบบปฏิบัติการ ควรมีการแจ้งล่วงหน้าเพื่อให้สามารถทบทวน และทดสอบระบบแอพพลิเคชั่นก่อนใช้งานจริง เพื่อให้มั่นใจว่าไม่มีผลกระทบต่อการทำงาน หรือกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ
- ปฏิบัติตามกระบวนการควบคุมการเปลี่ยนแปลง (Change Management Procedure)
- ห้ามมิให้มีการเปลี่ยนแปลงใดๆ บนซอฟท์แวร์สำเร็จรูป
- จัดเตรียมรายชื่อซอฟท์แวร์ที่ได้รับการอนุมัติให้ติดตั้งได้โดยไม่ต้องขออนุญาต (pre-approved software)
- การจัดซื้อ การใช้งาน และการแก้ไขใดๆ จะต้องได้รับการควบคุม โดยพิจารณาประเด็นต่างๆ ดังต่อไปนี้
- จัดซื้อซอฟท์แวร์จากบริษัทที่เชื่อถือได้เท่านั้น
- ใช้ผลิตภัณฑ์ที่ได้รับการรับรองแล้ว
8.5 การบริหารจัดการช่องโหว่ (Technical Vulnerability Management)
8.5.1 การควบคุมช่องโหว่ (Control of technical vulnerabilities)
- ต้องกำหนดขั้นตอนการจัดการแพทช์ เพื่อการบริหารปรับปรุงประสิทธิภาพด้านความปลอดภัยของระบบปฏิบัติการ/แอพพลิเคชั่น
- ต้องแต่งตั้งให้มีผู้รับผิดชอบในการติดตามข่าวสารและดำเนินการแก้ไขเมื่อพบช่องโหว่ในระบบ
- ต้องรายงานให้คณะกรรมการบริหารด้านความมั่นคงปลอดภัยทราบถึงช่องโหว่ที่พบ พร้อมทั้งรายงานสรุปผลการดำเนินงานเมื่อปิดช่องโหว่นั้นแล้ว
ข้อกำหนดที่ 9 การบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัย (Information security incident management)
9.1 การรายงานเหตุการณ์และจุดอ่อนด้านความมั่นคงปลอดภัย (Reporting information security events and weakness)
9.1.1 การรายงานเหตุการณ์ด้านความมั่นคงปลอดภัย (Reporting information security events)
- จัดเตรียมช่องทางที่ใช้ในการรายงานเหตุการณ์ด้านความมั่นคงปลอดภัย และเผยแพร่ให้บุคลากรในองค์กรทราบ
- จะต้องมีรายงานเหตุการณ์ด้านความมั่นคงปลอดภัย ตามกระบวนการรายงานเหตุการณ์ด้านความมั่นคงปลอดภัยและจุดอ่อนด้านความมั่นคงปลอดภัย (Security and Weakness Reporting procedure)
9.1.2 การรายงานจุดอ่อนด้านความมั่นคงปลอดภัย (Reporting security weakness)
- จัดเตรียมช่องทางที่ใช้ในการรายงานจุดอ่อนด้านความมั่นคงปลอดภัย และเผยแพร่ให้บุคลากรในองค์กรทราบ
- จะต้องมีรายงานจุดอ่อนด้านความมั่นคงปลอดภัย ตามกระบวนการรายงานเหตุการณ์ด้านความมั่นคงปลอดภัยและจุดอ่อนด้านความมั่นคงปลอดภัย (Security and Weakness Reporting procedure)
- ไม่พยายามแก้ไขหรือปิดช่องโหว่ที่พบ โดยไม่ได้รับอนุญาต
9.2 การบริหารและการปรับปรุงการรับมือกับเหตุการณ์ด้านความปลอดภัย (Management of information security incidents and improvements)
9.2.1 การกำหนดผู้รับผิดชอบดำเนินการและขั้นตอนการดำเนินการ (Responsibilities and procedure)
ต้องมีการกำหนดขั้นตอนในการจัดการเหตุการณ์และจุดอ่อนด้านความมั่นคงปลอดภัย สำหรับเหตุการณ์ในแต่ละรูปแบบ ได้แก่
- ระบบสารสนเทศล้มเหลว ไม่สามารถให้บริการได้
- มีการแพร่กระจายของไวรัสคอมพิวเตอร์ในระบบ
- ระบบสารสนเทศถูกโจมตี จนทำให้ไม่สามารถให้บริการได้
- เกิดความผิดพลาดในการทำงานของระบบสารสนเทศ เนื่องจากขาดการตรวจสอบความถูกต้องของข้อมูลในระบบสารสนเทศ
- มีการละเมิดความลับของข้อมูล
- มีการใช้งานระบบสารสนเทศโดยมิชอบ
9.3.1 การเรียนรู้เหตุการณ์ด้านปลอดภัยของข้อมูล (Learning from information security incidents)
ควรมีการสรุปและรวบรวมประเภทเหตุการณ์และจุดอ่อนของความมั่นคงปลอดภัย ตลอดจนผลกระทบอันเกิดจากเหตุการณ์ดังกล่าว เพื่อนำมาใช้ในการปรับปรุงวิธีรับมือให้มีประสิทธิภาพต่อไป
9.3.2 การเก็บรวบรวมหลักฐาน (Collection of evidence)
ในกรณีที่ต้องมีการเก็บรักษาหลักฐานสนับสนุนอื่นๆ เช่น Email, Admin, Firewall, Access,ข้อความ exception และระบบตรวจจับการบุกรุก และ log ที่เกี่ยวข้อง โดยวิธีการเก็บรวบรวมหลักฐานควรจะสอดคล้องกับแนวทางในการเก็บรวบรวมและจัดการกับหลักฐาน
ข้อกำหนดที่ 10 การบริหารความต่อเนื่องของธุรกิจ (Business continuity management)
10.1 จัดทำกรอบการดำเนินการในการวางแผนการบริหารความต่อเนื่องทางธุรกิจ (Business continuity planning framework)
ควรกำหนดกรอบการดำเนินงานแบบเดียวกันเพื่อให้แผนการที่จัดทำขึ้น มีความสอดคล้องกันทั้งระบบ โดยกรอบการดำเนินงานควรประกอบไปด้วยองค์ประกอบหลัก 4 ประการ คือ
- ขั้นตอนการเริ่มดำเนินงาน (Activation Procedure) – เพื่ออธิบายถึงรายละเอียดของขั้นตอนต่างๆ ที่ต้องทำก่อนเริ่มที่จะใช้แผนบริหารความต่อเนื่องทางธุรกิจ
- ขั้นตอนกรณีฉุกเฉิน (Emergency Procedure) – การปฏิบัติกรณีฉุกเฉินที่จะต้องนำมาใช้เมื่อเกิดเหตุการณ์ที่คุกคามการดำเนินธุรกิจ หรือชีวิต
- ขั้นตอนการติดตั้งระบบสำรอง (Fallback Procedure) – ดำเนินการติดตั้งระบบสำรอง ณ สถานที่สำรองที่จัดเตรียมไว้ เพื่อให้สามารถให้บริการต่อได้ภายในระยะเวลาที่กำหนดไว้
- ขั้นตอนการทำฟื้นฟูระบบ (Resumption Procedure) – อธิบายขั้นตอนในการฟื้นฟูระบบงานเก่าให้สามารถกลับมาให้บริการได้ตามปกติ
10.2 การประเมินความเสี่ยงและความต่อเนื่องทางธุรกิจ (Business continuity and risk assessment)
- การประเมินความเสี่ยงต้องพิจารณาถึงกระบวนการทางธุรกิจที่เกี่ยวข้องทั้งหมด ไม่เพียงแต่ประเมินความเสี่ยงระบบสารสนเทศเท่านั้น
- ควรมีการประเมินผลกระทบทางธุรกิจเพื่อให้สามารถระบุเหตุการณ์ที่มีผลกระบวนการทางธุรกิจหยุดชะงักได้
10.3 การพัฒนาและจัดทำแผนการบริหารความต่อเนื่องทางธุรกิจรวมถึงความมั่นคงปลอดภัยของข้อมูลสารสนเทศ (Developing and implementing continuity plans including information security)
- แผนการบริหารความต่อเนื่องทางธุรกิจต้องประกอบไปด้วยประเด็นต่างๆ ดังต่อไปนี้
o ลำดับความสำคัญของกระบวนการต่างๆ ที่ต้องถูกกู้คืนกลับมา
o กำหนดหน้าที่ความรับผิดชอบของผู้ที่เกี่ยวข้องและการเตรียมการในกรณีฉุกเฉิน
o จัดทำเอกสารถึงกลยุทธในการกู้คืนระบบ (สำหรับ hot/cold site ทรัพยากรที่ใช้)
o จัดทำเอกสารเกี่ยวกับขั้นตอนการดำเนินงาน
- แผนดังกล่าวต้องครอบคลุมถึงความต่อเนื่องของกระบวนการทางธุรกิจและยริการที่สำคัญซึ่งรวมถึงพนักงาน ข้อกำหนดในการดำเนินงาน และการกู้คืนระบบการให้บริการต่างๆ จากภัยพิบัติ
- พนักงานควรได้รับการอบรมเกี่ยวกับขั้นตอนการกู้คืนระบบที่ได้จัดทำไว้แล้ว ทั้งนี้จะต้องทำการทดสอบเป็นประจำเพื่อให้พนักงานเข้าใจขั้นตอนและสามารถปฏิบัติงานได้ เมื่อต้องนำแผนบริหารความต่อเนื่องมาใช้
10.4 การทดสอบ การบำรุงรักษา และการประเมินแผนการบริหารความต่อเนื่องของธุรกิจ (testing, maintenance and re-assessing business continuity plans)
- ควรมีการทดสอบด้านความต่อเนื่องของธุรกิจอย่างน้อยปีละครั้ง
- จะต้องจัดทำวิธีการทดสอบก่อนที่จะทำการทดสอบจริง
- ข้อผิดพลาดหรือปัญหาที่พบในระหว่างการทดสอบจะต้องได้รับการแก้ไขให้เหมาะสมต่อไป
----------------------------------
ข้อกำหนดแต่ละข้อ จะทยอยนำมาลงนะครับ
ขอบคุณที่เข้ามาอ่าน
ไม่มีความคิดเห็น:
แสดงความคิดเห็น