วันพุธที่ 29 มกราคม พ.ศ. 2557

มาตรการจัดการความมั่นคงปลอดภัยของสารสนเทศ


มาตรฐาน ISO/IEC 27002 กำหนดมาตรการด้านความมั่นคงปลอดภัยของสาสนเทศ (Information security controls) ไว้เพื่อให้ผู้ที่สนใจศึกษานำมาใช้จัดระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศในองค์กร ประกอบด้วย

1. นโยบายความมั่นคงปลอดภัย (Security policy)

• นโยบายความมั่นคงปลอดภัยของสารนเทศ(Information security policy)
วัตถุประสงค์ : กำหนดทิศทางการบริหารและการสนับสนุนการดำเนินงานด้านความมั่นคงปลอดภัยของสารสนเทศให้สอดคล้องกับข้อกำหนดทางธุรกิจ กฎหมาย และกฎระเบียบที่เกี่ยวข้อง
            การกำหนดนโยบายด้านความมั่นคงปลอดภัยของสารสนเทศโดยกำหนดทิศทางและเป้าหมายในการดำเนินงานให้ชัดเจน เป็นเครื่องมือสำคัญที่แสดงให้เห็นว่าผู้บริหารมีความมุ่งมั่นและสนับสนุนการจัดทำระบบอย่างเป็นรูปธรรม และควรมีความมุ่งมั่นและสนับสนุนการจัดทำระบบอย่างเป็นรูปธรรม และควรมีการสื่อสารนโยบายดังกล่าวให้พนักงานทุกระดับในองค์กร และบุคคลภายนอกที่มีส่วนเกี่ยวข้อง เช่น พันธมิตรทางธุรกิจ และลูกค้ารับรู้ด้วย

            นโยบายความมั่นคงปลอดภัยอาจจำแนกเป็น 3 ระดับตามวัตถุประสงค์ของผู้กำหนดนโยบาย และผู้นำนโยบายไปปฏิบัติ ได้แก่

            1. นโยบายระดับองค์กร (Organizational policy) กล่าวถึงวิสัยทัศน์ และเป้าหมายเชิงกลยุทธ์ขององค์กร โดยให้ความสำคัญกับการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศเพื่อรักษาความลับ (Confidentiality) ความถูกต้องสมบูรณ์ (Integrity) และความพร้อมใช้งาน (Availability) ของทรัพย์สินสารสนเทศ
            2. นโยบายระดับปฏิบัติ (Issue-specific policy) กล่าวถึงการบริหารจัดการและแนวทางการประยุกต์ใช้มาตรการความมั่นคงปลอดภัยทุกด้าน ครอบคลุมประเด็นสำคัญต่างๆและคาดหวังการนำไปปฏิบัติให้เกิดผล
             3. นโยบายระดับเทคนิค (System-specific policy) เป็นนโยบายเชิงเทคนิคที่ขยายความในภาคปฏิบัติซึ่งมีรายละเอียดเฉพาะเจาะจงในเชิงเทคโนโลยีมากกว่านโยบายระดับปฏิบัติ เช่น นโยบายการสร้างความแข็งแกร่งให้แก่ระบบปฏิบัติการ Windows 2003 ที่สนับสนุนนโยบายการควบคุมการเข้าถึงระบบปฏิบัติการ เป็นต้น

2. โครงสร้างด้านความมั่นคงปลอดภัยของสารสนเทศสำหรับองค์กร (Organization of information security)


• โครงสร้างด้านความมั่นคงปลอดภัยภายในองค์กร (Internal organization)
วัตถุประสงค์ : จัดการความมั่นคงปลอดภัยของสารสนเทศภายในองค์กร
            ความมุ่งมั่นของผู้บริหารเป็นกุญแจสำคัญสู่ความสำเร็จของระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ โดยกำหนดแนวทางการบริหารงานให้เกิดความมั่นคงปลอดภัยที่ชัดเจน ผู้บริหารต้องมอบหมายหน้าที่และความรับผิดชอบให้แก่ผู้ที่เกี่ยวข้อง รวมถึงทบทวนความเหมาะสมและปรับปรุงให้เกิดดุลยภาพระหว่างความมั่นคงปลอดภัยของสารสนเทศและการดำเนินธุรกิจขององค์กร

โครงสร้างด้านความมั่นคงปลอดภัยที่เกี่ยวข้องกับลูกค้าหรือหน่วยงานภานอก (External parties)
วัตถุประสงค์ : เพื่อจัดการสารสนเทศและอุปกรณ์ประมวลผลขององค์กรให้เกิดความมั่นคงปลอดภัยจากการที่ลูกค้าหรือหน่วยงานภายนอกสามารถเข้าถึงระบบประมวลผล และติดต่อสื่อสารกับองค์กร
            องค์กรต้องให้ความสำคัญกับความเสี่ยงที่เกิดจากลุกค้าหรือหน่วยงานภายนอกที่สามารถเข้าถึงข้อมูลเช่นเดียวกับความเสี่ยงด้านอื่นๆดังนั้น จึงต้องมีการประเมินความเสี่ยงให้ครอบคลุมทุกประเด็น ตั้งแต่การเข้าถึงระบบประมวลผลทางกายภาพ (Physical access) การเข้าถึงจากระยะไกล (Remote access) ผ่านเครือข่ายสื่อสาร เป็นต้น และควรกำหนดนโยบายความมั่นคงปลอดภัยสำหรับกรณีนี้ให้ครอบคลุมความเสี่ยงที่จะเกิดขึ้นรวมทั้งมีมาตรการรองรับที่ชัดเจน เพื่อให้ผู้ที่เกี่ยวข้องใช้เป็นแนวทางปฏิบัติ

3. การบริหารจัดการทรัพย์สินขององค์กร (Asset management)

• หน้าที่ความรับผิดชอบต่อทรัพย์สินขององค์กร (Responsibility for assets)
วัตถุประสงค์ : กำหนดมาตรการที่เหมาะสมเพื่อป้องกันทรัพย์สินขององค์กร
            การทำบัญชีรายการทรัพย์สินจะช่วยให้องค์กรรู้ว่ามีทรัพย์สินใดบ้างที่ต้องดูแลให้เกิดความมั่นคงปลอดภัย โดยให้ความสำคัญกับทรัพย์สินที่มีผลกระทบต่อการดำเนินธุรกิจขององค์กร ซึ่งจำแนกเป็น 5 กลุ่ม ดังนี้
• ข้อมูลสารสนเทศ (Information asset)
• บริการสนับสนุนและกระบวนการ (Services and processes asset)
• ทรัพย์สินทางกายภาพ (Physical asset)
• ซอฟท์แวร์ (Software asset)
• บุคลากร (People asset)


การจัดหมวดหมู่สารสนเทศ (Information classification)
วัตถุประสงค์ : กำหนดระดับการป้องกันสารสนเทศอย่างเหมาะสมข้อมูลสารสนเทศในองค์กรมีความหลากหลาย และนับวันเพิ่มมากขึ้น มีทั้งข้อมูลสำคัญมากและสำคัญน้อย ข้อมูลแต่ละกลุ่มมีมาตรการการดูแลแตกต่างกัน การจัดหมวดหมู่สารสนเทศจะช่วยให้องค์กรสามารถจำแนกข้อมูลแต่ละกลุ่มตามความสำคัญ และความอ่อนไหวอย่างถูกต้องและเหมาะสมรวมถึงกำหนดแนวทางการชี้บ่ง การป้องกันการเข้าถึง และวิธีการสื่อสารที่ปลอดภัย

4. ความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร (Human resources security)

• การสร้างความมั่นคงปลอดภัยก่อนการจ้างงาน (Prior to employment)
วัตถุประสงค์ : เพื่อให้พนักงาน ผู้รับจ้างช่วง และหน่วยงานภายนอกที่องค์กรใช้บริการเข้าใจหน้าที่ ความรับผิดชอบ และบทบาทของตนเอง เพื่อพิจารณาความเสี่ยงที่อาจเกิดขึ้น และลดความเสี่ยงจากการโจรกรรม การฉ้อโกง และการใช้งานอุปกรณ์ผิดวัตถุประสงค์
             มาตรการกลั่นกรองช่วยลดความเสี่ยงให้แก่องค์กร โดยพิจารณาคุณสมบัติ ประวัติ และภูมิหลังที่เกี่ยวข้องกับความมั่นคงปลอดภัยของผู้สมัครตำแหน่งที่สามารถเข้าถึงข้อมูลที่เป็นความลับขององค์กรได้ เช่น ตำแหน่งผู้บริหารที่เกี่ยวข้องกับการเงิน หรือตำแหน่งผู้บริหารที่สามารถเข้าถึงทรัพย์สินทางปัญญาขององค์กร เป็นต้น ทั้งนี้องค์กรจะต้องดำเนินการภายใต้ขอบเขตกฎหมายและไม่ละเมิดข้อมูลที่เป็นความลับส่วนบุคคลเด็ดขาด


• การสร้างความมั่นคงปลอดภัยในระหว่างการจ้างงาน (During employment)
วัตถุประสงค์ : เพื่อให้พนักงาน ผู้นับจ้างช่วง และหน่วยงานภายนอกที่องค์กรใช้บริการตระหนักถึงภัยคุกคามด้านความมั่นคงปลอดภัยของสารสนเทศ รวมถึงหน้าที่ ความรับผิดชอบ และภาระผูกพันตามกฎหมายทั้งบุคลากรภายในและบุคลากรภายนอก โดยสนับสนุนนโยบายด้านความมั่นคงปลอดภัยขององค์การในการปฏิบัติงาน และการลดความเสี่ยงจากความผิดพลาดในการปฏิบัติงาน


• การสิ้นสุดหรือการเปลี่ยนการจ้างงาน (Termination or change of employment)
วัตถุประสงค์ : เพื่อให้พนักงาน ผู้รับจ้างช่วง และหน่วยงานภายนอกที่องค์กรใช้บริการรู้บทบาทหน้าที่และความรับผิดชอบ เมื่อมีการเปลี่ยนแปลงหรือสิ้นสุดการจ้างงาน

5. การสร้างความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม (physical and environmental security)

• บริเวณที่ต้องมีการรักษาความมั่นคงปลอดภัย (Secure areas)
วัตถุประสงค์ : ป้องกันการเข้าถึงทางกายภาพโดยไม่ได้รับอนุญาต ป้องกันความเสียหายและการรบกวนทรัพย์สินสารสนเทศขององค์กร
            การป้องกันการเข้าถึงทางกายภาพเป็นมาตรการพื้นฐานที่ใช้ป้องกันทรัพย์สินขององค์กร ทรัพย์สินที่มีความสำคัญจำเป็นต้องมีมาตรการควบคุมการเข้าถึงที่ทีประสิทธิภาพ เช่น ระบบคอมพิวเตอร์ต้องติดตั้งในอาคารที่มั่นคงแข็งแรง มีการควบคุมการเข้า-ออกและมาตรการการรักษาความปลอดภัยที่ชัดเจน


• ความมั่นคงปลอดภัยของอุปกรณ์ (Equipment security)
วัตถุประสงค์ : ป้องกันทรัพย์สินขององค์กรจากการสูญหาย ความเสียหาย และการถูกโจรกรรมหรือถูกเปิดเผยโดยไม่ได้รับอนุญาต รวมถึงการทำให้การดำเนินงานขององค์กรเกิดอุปสรรค ติดขัด หรือหยุดดำเนินการ

6. การบริหารจัดการด้านการสื่อสารและเครือข่ายสารสนเทศขององค์กร (Communications and operations management)

• การกำหนดหน้าที่ความรับผิดชอบและขั้นตอนการปฏิบัติงาน (Operational procedures and responsibilities)
วัตถุประสงค์ : เพื่อให้การดำเนินงานที่เกี่ยวข้องกับอุปกรณ์ประมวลผลสารสนเทศมีความถูกต้องและปลอดภัย
            การจัดทำเอกสารขั้นตอนการปฏิบัติงานช่วยกำกับการปฏิบัติงานให้เป็นไปอย่างถูกต้องเหมาะสม ลดความเสี่ยงที่เกิดจากการปฏิบัติงานผิดพลาด ใช้เป็นคู่มือการปฏิบัติงานสำหรับผู้ปฏิบัติงาน และเป็นคู่มืออ้างอิงในการตรวจประเมินภายใน (Internal audit) ได้ด้วย


• การบริหารจัดการการให้บริการของหน่วยงานภายนอก (Third party service delivery management)
วัตถุประสงค์ : เพื่อดำเนินการและรักษาระดับความมั่นคงปลอดภัยในการปฏิบัติหน้าที่โดยหน่วยงานภายนอกให้เป็นไปตามข้อตกลงระหว่างองค์กรกับหน่วยงานภายนอก


• การวางแผนและการตรวจรับทรัพยากรสารสนเทศ (System planning and acceptance)
วัตถุประสงค์ : เพื่อลดความเสี่ยงที่เกิดจากระบบสารสนเทศล้มเหลว
             ทรัพยากรในระบบมีความสำคัญต่อการให้บริการสารสนเทศปัจจุบันเทคโนโลยีสารสนเทศกลายเป็นปัจจัยพื้นฐานของการดำเนินธุรกิจองค์กรควรตรวจสอบความสามารถในการให้บริการของระบบคอมพิวเตอร์ไม่ว่าจะเป็นความสามารถในการประมวลผล พื้นที่จัดเก็บข้อมูล ต้องมั่นใจว่าระบบมีความสามารถรองรับความต้องการใช้งานเชิงธุรกิจในอนาคตได้


• การป้องกันโปรแกรมไม่ประสงค์ดี (Protection against malicious and mobile code)
วัตถุประสงค์ : เพื่อปกป้องซอฟท์แวร์และสารสนเทศให้มีความถูกต้องสมบูรณ์
โปรแกรมไม่ประสงค์ดีสร้างความเสียหายให้แก่ระบบคอมพิวเตอร์มีหลายชนิด เช่น ไวรัสคอมพิวเตอร์ (Computer viruses) ม้าโทรจัน (Trojan horses ) หนอนเครือข่าย (Network worms) เป็นต้น


• การสำรองข้อมูล (Back-up)
วัตถุประสงค์ : เพื่อรักษาสารสนเทศและอุปกรณ์ประมวลผลสารสนเทศให้มีความถูกต้องสมบูรณ์และความพร้อมใช้งาน
            การสำรองข้อมูลมีความจำเป็นเมื่อต้องการเรียกคืนข้อมูลย้อนหลังซึ่งอาจเกิดจากภัยคุกคามภายนอกหรือความผิดพลาดของผู้ใช้เอง เช่น ผู้ใช้เผลอลบข้อมูลสำคัญทั้งๆที่จำเป็นต้องใช้ หรือการบันทึกข้อมูลใหม่ทับข้อมูลเดิม เป็นต้น


• การบริหารจัดการทางด้านความมั่นคงปลอดภัยสำหรับเครือข่ายขององค์กร (Network security management )
วัตถุประสงค์ : เพื่อป้องกันสารสนเทศบนเครือข่ายและโครงสร้างพื้นฐานที่สนับสนุนให้เครือข่ายทำงานได้
            มาตรการรักษาความปลอดภัยของข้อมูลในเครือข่าย ประกอบด้วย การกำหนดหน้าที่และความรับผิดชอบในการจัดการเครือข่ายจากระยะไกล (Remote management) การป้องกันการเข้าถึงข้อมูลที่ส่งผ่านเครือข่ายโดยไม่ได้รับอนุญาต การเก็บข้อมูลจราจรทางคอมพิวเตอร์ไว้ตรวจสอบ รวมถึงการจัดการเครือข่ายให้ตอบสนองความต้องการใช้งานขณะเดียวกันก็ดำเนินมาตรการป้องกันความปลอดภัยที่สอดคล้องกันทั้งองค์กร


• การจัดการสื่อบันทึกข้อมูล (Media handling)
วัตถุประสงค์ : เพื่อป้องกันการเปิดเผย การแก้ไขเปลี่ยนแปลงการลบหรือการทำลายทรัพย์สินสารสนเทศ และการป้องกันการติดขัดทางธุรกิจ
            การขาดมาตรการดูแลด้านความมั่นคงปลอดภัยของสื่อบันทึกข้อมูลเป็นช่องโหว่ที่สร้างความเสียหายแก่องค์กร นโยบายควบคุมการใช้การบำรุงรักษา และการส่งข้อมูลระหว่างกัน ช่วยควบคุมดูแลสื่อบันทึกข้อมูลให้มีประสิทธิภาพยิ่งขึ้น ไม่ว่าจะเป็นสื่อสิ่งพิมพ์หรือสื่ออิเล็กทรอนิกส์


• การแลกเปลี่ยนสารสนเทศ (Exchange of information )
วัตถุประสงค์ : เพื่อรักษาสารสนเทศและซอฟท์แวร์ที่มีการแลกเปลี่ยนภายในองค์กร และระหว่างองค์กรกับหน่วยงานภายนอกให้มั่นคงปลอดภัย
            องค์กรมีมาตรการควบคุมการแลกเปลี่ยนสารสนเทศที่ชัดเจนและครอบคลุมการสร้างความตระหนักในเรื่องผลกระทบที่อาจเกิดจากการทำข้อมูลรั่วไหล มีแนวทางป้องกันการดักรับข้อมูลระหว่างทาง และการเปลี่ยนแปลงผู้รับสาร เป็นต้น


• การสร้างความมั่นคงปลอดภัยสำหรับบริการพาณิชย์อิเล็กทรอนิกส์ (Electronic commerce services)
วัตถุประสงค์ : เพื่อรักษาความมั่นคงปลอดภัยให้แก่บริการพาณิชย์อิเล็กทรอนิกส์ และการใช้งานอย่างมั่นคงปลอดภัย
            ปัจจัยสำคัญที่ส่งเสริมให้พาณิชย์อิเล็กทรอนิกส์ขยายตัวในภาคธุรกิจคือ ความเชื่อมั่นในความปลอดภัย ดังนั้น มาตรการที่ใช้ควบคุมดูแลต้องครอบคลุมความเสี่ยงประกอบด้วย การทำธุรกรรมผ่านเครือข่าย (Online transaction) การเผยแพร่ข้อมูลข่าวสารผ่านสื่อขององค์กรต่อสาธารณะ เช่น เว็บไซต์ขององค์กร เว็บบอร์ด เป็นต้น


• การเฝ้าระวังทางด้านความมั่นคงปลอดภัย (Monitoring)
วัตถุประสงค์ : เพื่อตรวจจับการประมวลผลที่ไม่ได้รับอนุญาต
            การเฝ้าระวังจะช่วยให้องค์กรรับรู้เมื่อเกิดเหตุการณ์ผิดปกติ ผู้ที่เกี่ยวข้องสามารถจำกัดผลกระทบไม่ให้ขยายตัวในวงกว้าง และใช้ข้อมูลจากการเฝ้าระวังกำหนดแนวทางตอบสนองได้ทันต่อเหตุการณ์ผิดปกติ ผู้ที่เกี่ยวข้องสามารถจำกัดผลกระทบไม่ให้ขยายตัวในวงกว้าง และใช้ข้อมูลจากการเฝ้าระวังกำหนดแนวทางตอบสนองได้ทันต่อเหตุการณ์

7. การควบคุมการเข้าถึง (Access control)

• ข้อกำหนดทางธุรกิจสำหรับการควบคุมการเข้าถึงสารสนเทศ (Business requirement for access control)
วัตถุประสงค์ : เพื่อควบคุมการเข้าถึงสารสนเทศ


• การบริหารจัดการการเข้าถึงของผู้ใช้ (User access management)
วัตถุประสงค์ : เพื่อสร้างความเชื่อมั่นว่าผู้มีสิทธิ์สามารถเข้าถึงสารสนเทศได้ และป้องกันผู้ที่ไม่มีสิทธิ์เข้าถึงระบบสารสนเทศ


• หน้าที่ความรับผิดชอบของผู้ใช้งาน (User responsibilities)
วัตถุประสงค์ : เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต การเปิดเผยหรือการโจรกรรมข้อมูลสารสนเทศ


• การควบคุมการเข้าถึงเครือข่าย (Network access control)
วัตถุประสงค์ : เพื่อป้องกันการเข้าถึงบริการเครือข่ายโดยไม่ได้รับอนุญาต


• การควบคุมการเข้าถึงระบบปฏิบัติการ (Operating system access control)
วัตถุประสงค์ : เพื่อป้องกันการเข้าถึงระบบปฏิบัติการโดยไม่ได้รับอนุญาต


• การควบคุมการเข้าถึงแอปพลิเคชันและสารสนเทศ (Application and information access control)
วัตถุประสงค์ : เพื่อป้องกันการเข้าถึงสารสนเทศที่อยู่ในแอปพลิเคชันโดยไม่ได้รับอนุญาต การวบคุมการเข้าถึงข้อมูลผ่านแอปพลิเคชันเป็นมาตรการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต ผู้ดูแลรับผิดชอบแอปพลิเคชันและข้อมูลควรกำหนดสิทธิ์ในการดำเนินการกับข้อมูล เช่น อ่าน เขียน หรือลบข้อมูล เป็นต้น


• การควบคุมอุปกรณ์สื่อสารประเภทพกพาและการปฏิบัติงานจากภายนอกองค์กร (Mobile computing and teleworking)
วัตถุประสงค์ : เพื่อสร้างความเชื่อมั่นในการใช้งานอุปกรณ์สื่อสารประเภทพกพาและการปฏิบัติงานจากภายนอกองค์กร ให้เกิดความมั่นคงปลอดภัยต่อสารสนเทศ

8. การจัดหา การพัฒนาและการบำรุงรักษาระบบสารสนเทศ (Information systems acquisition, development and maintenance)

• ข้อกำหนดด้านความมั่นคงปลอดภัยสำหรับระบบสารสนเทศ (Security requirement of information systems)
วัตถุประสงค์ : เพื่อสร้างความเชื่อมั่นว่าเป็นประเด็นความมั่นคงปลอดภัยเป็นข้อกำหนดที่ได้รับการพิจารณาในระบบสารสนเทศ


• การประมวลผลสารสนเทศในแอปพลิเคชัน (Correct processing in applications)
วัตถุประสงค์ : เพื่อป้องกันสารสนเทศไม่ให้เกิดความผิดพลาดสูญเสีย ถูกแก้ไขโดยไม่ได้รับอนุญาต และการใช้สารสนเทศผิดวัตถุประสงค์


• มาตรการการเข้ารหัสข้อมูล (Cryptographic controls)
วัตถุประสงค์ : เพื่อดูแลรักษาความลับของสารสนเทศ การยืนยันตัวตนของผู้ส่งสารสนเทศ หรือความถูกต้องสมบูรณ์ของสารสนเทศโดยใช้การเข้ารหัส


• การสร้างความมั่นคงปลอดภัยให้แก่ไฟล์ของระบบที่ให้บริการ (Security of system files)
วัตถุประสงค์ : เพื่อสร้างความมั่นคงปลอดภัยให้แก่ไฟล์ของระบบที่ให้บริการ


• การสร้างความมั่นคงปลอดภัยสำหรับกระบวนการในการพัฒนาระบบและกระบวนการสนับสนุน (Security in development and support processes)
วัตถุประสงค์ : เพื่อรักษาความมั่นคงปลอดภัยให้แก่ซอฟท์แวร์และสารสนเทศ


• การบริหารการช่องโหว่ในฮาร์ดแวร์และซอฟท์แวร์ (Technical vulnerability management)
วัตถุประสงค์ : เพื่อลดความเสี่ยงจากการที่ภัยคุกคามใช้ช่องโหว่ด้านเทคนิคที่ได้รับการเผยแพร่หรือตีพิมพ์

9. การบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยขององค์กร (Information security incident management)

• การรายงานเหตุการณ์และจุดอ่อนที่เกี่ยวกับความมั่นคงปลอดภัย (Reporting information security events and weaknesses)
วัตถุประสงค์ : เพื่อให้มีมาตรการสื่อสารและการดำเนินการที่เหมาะสม ทันเวลาเมื่อเกิดเหตุการณ์และจุดอ่อนที่เกี่ยวกับความมั่นคงปลอดภัยของสารสนเทศ


• การบริหารจัดการและการปรับปรุงแก้ไขเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัย (Management of information security incident and improvements)
วัตถุประสงค์ : เพื่อให้มีมาตรการที่มีประสิทธิภาพและสอดคล้องกับการดำเนินการกับเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงของสารสนเทศ

10. การบริหารความต่อเนื่องในการดำเนินงานขององค์กร (Business continuity management)

• หัวข้อพื้นฐานสำหรับการบริหารความต่อเนื่องในการดำเนินงานขององค์กร (Information security aspects of business continuity management)
วัตถุประสงค์ : เพื่อป้องกันการติดขัดของกระบวนการธุรกิจและป้องกันกระบวนการธุรกิจที่สำคัญจากผลกระทบที่เกิดจากระบบสารสนเทศล้มเหลวหรือเสียหายรุนแรง และเพื่อให้สามารถกู้ระบบคืนได้ในระยะเวลาที่เหมาะสม

11. การปฏิบัติตามข้อกำหนด (Compliance)

• การปฏิบัติตามข้อกำหนดทางกฎหมาย (Compliance with legal requirements)
วัตถุประสงค์ : เพื่อป้องกันการละเมิดกฎหมาย ระเบียบปฏิบัติ ข้อบังคับ สัญญา และข้อกำหนดด้านความมั่นคงปลอดภัย


• การปฏิบัติตามนโยบาย มาตรฐานความมั่นคงปลอดภัยและข้อกำหนดทางเทคนิค (Compliance with security policies and standards and technical compliance)
วัตถุประสงค์ : เพื่อให้ระบบสอดคล้องกับนโยบายขององค์กรและมาตรฐานด้านความมั่นคงปลอดภัย


• การตรวจประเมินระบบสารสนเทศ (Information systems audit considerations)
วัตถุประสงค์ : เพื่อให้กระบวนการตรวจประเมินระบบสารสนเทศมีประสิทธิภาพมากที่สุด และก่อให้เกิดการรบกวนหรือเป็นอุปสรรคต่อการดำเนินธุรกิจขององค์กรน้อยที่สุด
เขียนโดย ที่

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)