Professional Documents
Culture Documents
Requirement
Mahutthawat Raksakiettisak
Assistant Director Computer Center
Computer Center Srinakharinwirot University
Outline
ภาพรวมและขอกำหนดมาตรฐาน
ISO27001:2013
การประเมินความเสี่ยงกับระบบที่รับผิดชอบ
วิเคราะหแบบประเมินประกอบการพิจารณา
การดำเนินงานตามแนวนโยบายและแนวปฏิบัติ
ในการรักษาความมั่นคงปลอดภัย ของหนวยงาน
ภาครัฐ
ISO27001:2013
ISO/IEC 27001 Information
Technology -Security Techniques-Information
security management systems-Requirements
Availability Integrity
Security
Model
(CIA)
Confidentiality
How does ISO 27001 Work
Risk
assessment Sefeguard
and implementation
treatment
Risk management
Information security
Cybersecurity
Business continuity
Information technology
How to implement ISO 27001
Following 16 steps
1) Get top management support
2) Use project management methodology
3) Define the ISMS scope
4) Write the top-level Information security policy
5) Define the Risk assessment methodology
6) Perform the risk assessment and risk treatment
7) Write the Statement of Applicability
8) Write the Risk treatment plan
How to implement ISO 27001
8. การดำเนินการ
Check
9. การประเมินประสิทธิภาพ 10. การปรับปรุง
และประสิทธิผล
Do Action
9.1 การประเมินผลกระทบที่เกิดขึ้น
9.2 การตรวจสอบภายใน
9.3 การทบทวนของผูบริหาร
Information Security Controls
1 Asset inventory
Risk Assessment 2
3 Threat the risks
Asset Inventory
Asset is anything that has value to the organization
[iso/iec 13335-1:2004] ทรัพยสินแบงออกเปน 5 ประเภท ดวยกันคือ
1. Hardware เชน เครื่อง server, อุปกรณ network (switch, router) ,
Firewall ในขอบเขต
2. Software เชน os , software application ขององคกรในขอบเขต
3. Information เชน ขอมูลสำคัญขององคกร เอกสารคูมือ ขั้นตอนปฏิบัติ
ในขอบเขต
4. Service เชน บริการที่องคกรใหบริการแกผูใชงานทั้งภายในและ
ภายนอกองคกรภายใตขอบเขต
5. People เชน ผูบริหาร เจาหนาที่ที่เกี่ยวของในขอบเขต
Asset Inventory
Log Server
Internet
Security Team
Switch (Logical)
System Admin
AD Server
Network Admin
System Specification
Mail server - system admin team Log Server - security team
* (OS) - Centos
- (OS) – Centos
* Software
- Apache web server - Software
- Mysql Database - Phpsyslog
- Zimbra webmail
- Syslog-ng - Syslog-ng
- Nagios
Firewall - network admin team
- AVG client
- Tripwire - Os : Centos
Directory Server - Software
- (OS) - Window server 2008 - Pfsense
Software - AVG server
- Microsoft Active Directory Server
Risk Assessment
01 Asset Valuation
02 Identify Risks
03 Assess Risks
04 Treat Risks
Asset Valuation
C Confidentiality
I Integrity
A Availability
Asset Valuation
แนวทางการพิจารณาความสูญเสียองคประกอบดานความมั่นคง
ปลอดภัย (CIA) สำหรับทรัพยสินแตละประเภท
นอย ขัดตอกระบวนการปฎิบัติงานทีม 2
vulnerability H
vulnerability
Assess Risks
01 Risk Value
02 Residual Risk
03 Risk Response
Assess Risks
Risk Value = Impact x Likelihood
โอกาสของการเกิดความเสี่ยง (Likelihood)
ระดับโอกาส
เกิดความเสี่ยง โอกาส/ความถี่ คะแนน
สูงมาก เกิดเปนประจำ อยางนอยเดือนละ 1 ครั้ง 5
นอย โอกาสเกิดนอยหรืออยางมาก 2
ไมเกินปละ 2 ครั้ง
นอยมาก ไแทบจะไมเกิดหรืออยางมากปละ 1 ครั้ง 1
Assess Risks
เกณฑการประเมินระดับความเสี่ยง (Risk Assessment Matrix)
สูงมาก 5 10 15 20 25
ผลกระทบ (Impact)
สูง 4 8 12 16 20
ปานกลาง 3 6 9 12 15
นอย 2 4 6 8 10
นอยมาก 1 2 3 4 5
นอย นอย ปานกลาง สูง สูงมาก
โอกาส (Likelihood)
Assess Risks
Residual Risk = The risk remaining after risk treatment
[ISO/IEC Guide 73:2002]
Treat the risks
Select option to treat the risks
Risk Response
การลดความเสี่ยง ใชกับความเสี่ยงที่เรายอมรับเราจะลดความเสี่ยงไดโดน
การลดระดับความนาจะเปน หรือกาสที่จะเกิด (Likelihood)
และลดระดับความรุนแรงของผลกระทบจากปจจัยเสี่ยงนั้น
Select option to treat the risks
การคงความเสี่ยงไว เปนการคงความเสี่ยงเอาไวใหอยูในระดับปจจุบันแมจะรูวา
อาจจะเกิดผลกระทบจากความเสี่ยงนั้นตามมาแตก็เต็มใจ
ที่จะดูผลที่เกิดและใชวิธีการเดิมตอไปในการควบคุมและ
จัดการความเสี่ยงเนื่องดวยเหตุผลบางประการ
A.5 นโยบายความมั่นคงปลอดภัยสารสนเทศ
(Information Security Policy)
A.5.1 ทิศทางการบริหารจัดการความมั่นคงปลอดภัย
(Management direction for information security)
วัตถุประสงค เพื่อใหมีการกำหนดทิศทางการบริหารการจัดการความมั่นคง
ปลอดภัยและการสนับสนุนดานความมั่นคงปลอดภัยตามขอกำหนดทางธุรกิจ
และกฏหมายที่เกี่ยวของ
A.5.1.1 A.5.1.2
นโยบายการรักษาความมั่นคงปลอดภัย การทบทวนนโยบายการรักษาความมั่นคงปลอดภัย
(Policies for information security) (Review of the policies for information security)
นโยบายการรักษาความมั่นคงปลอดภัย นโยบายการรักษาความมั่นคงปลอดภัยตองมี
ตองมีการจัดทำขึ้น และไดรับการรับรอง การทบทวนอยางนอยปละ 1 ครัง้ หรือมีการเปลีย่ นแปลง
จากผูบริหารหนวยงานแลประกาศหรือ ทีม่ สี าระสำคัญเกิดขึน้ เพือ่ ใหมน่ั ใจวานโยบายการรักษา
มีการสื่อสารกับบุคลากรและบุคคลภายนอก ความมั่นคงปลอดภัยมีความเหมาะสม เพียงพอและ
ที่เกี่ยวของใหทราบถึงนโยบายนี้ มีประสิทธิภาพ
โครงสรางภายในองคกร
A.6.1 (Internal organization)
อุปกรณพกพาและการปฏิบัติงานจากระยะไกล
A.6.2 (Mobile devices and teleworking)
โครงสร า งภายในองค ก
A.6.1 (Internal organization)ร
วัตถุประสงค เพื่อใชเปนกรอบในการบริหารความมั่นคงปลอดภัยโดยจะตองมีการเริ่มตน
และควบคุมการปฏิบัติงานและดำเนินการดานความมั่นคงปลอดภัยภายในองคกร
A.6.1.1 บทบาทและหนาที่ความรับผิดชอบดานความมั่นคงปลอดภัย
(Information security roles and responsibilities)
ตองมีการกำหนดและมอบหมายหนาที่รับผิดชอบดานความมั่นคงปลอดภัย
A.6.1.4 การติดตอกับกลุมคนที่มีความสนใจพิเศษในเรื่องเดียวกันรวมกัน
(Contact with special interest groups) การติดตอกับกลุมคนที่มี
ความเชี่ยวชาญหรือสนใจในเรื่องเดียวกันตองรักษาไวอยางตอเนื่อง
A.6.1.5 การรักษาความมั่นคงปลอดภัยสารสนเทศในการบริหารโครงการ
(Information security in project management) การบริหารโครงการตองมี
การระบุประเด็นเรื่องของการรักษาความมั่นคงปลอดภัยเขาไปดวย
อุปกรณพกพาและการปฏิบัติงานจากระยะไกล
A.6.2 (Mobile devices and teleworking)
วัตถุประสงค เพื่อใหมีความมั่นใจในการใชงานอุปกรณพกพาและการปฏิบัติงานจากระยะไกล
A.6.2.1 นโยบายสำหรับอุปกรณคอมพิวเตอรพกพา (Mobile device policy)
นโยบายและมาตรการสนับสนุนสำหรับการใชงานอุปกรณแบบพกพา ตองมีการบริหารจัดการ
ความเสี่ยงตออุปกรณพกพา
วัตถุประสงค เพื่อใหพนักงานและผูที่ทำสัญญาจางเขาใจในบทบาทและหนาที่
ความรับผิดชอบ และมีความเหมาะสมตามบทบาทหนาที่ของตน
วัตถุประสงค เพื่อใหพนักงานหรือผูที่ทำสัญญาจางตระหนักและปฏิบัติตามหนาที่
ความรับผิดชอบดานความมั่นคงปลอดภัย
วัตถุประสงค เพื่อปองกันผลประโยชนขององคกรซึ่งเปนสวนหนึ่งของ
การเปลี่ยนและการสิ้นสุดการจางงาน
A.7.3.1 การสิ้นสุดหรือการเปลี่ยนหนาที่ความรับผิดชอบ
(Termination or change of employment responsibilities)
หนาที่ความรับผิดชอบดานความมั่นคงปลอดภัยตองยังคงมีอยูหลังจากที่สิ้นสุด
การจางงานหรือการเปลี่ยนงานตองมีการกำหนดไวและมีการแจงใหผูทำสัญญา
รับทราบและปฏิบัติตาม
A.8 การบริหารจัดการทรัพยสิน
(Asset Management)
หนาที่ความรับผิดชอบตอทรัพยสิน
A.8.1 (Responsibility for assets)
การจัดชั้นความลับของสารสนเทศ
A.8.2 (Classifcation of information)
การจัดการสื่อบันทึกขอมูล
A.8.3 (Media Handling)
A.8.1 หนาที่ความรับผิดชอบตอทรัพยสิน
(Responsibility for assets)
วัตถุประสงค เพื่อใหมีการระบุทรัพยสินขององคกรและมีการกำหนดความรับผิดชอบ
ในการปองกันทรัพยสินที่เหมาะสม
วัตถุประสงค เพื่อใหมั่นใจไดวาสารสนเทศไดรับการปกปองตามระดับความสำคัญ
ของสารสนเทศที่มีตอองคกร
A.11.1 A.11.2
พื้นที่ที่ตองการการรักษา อุปกรณ
ความมั่นคงปลอดภัย (Equipment)
(Secure areas)
A.11.1 พื้นที่ที่ตองการการรักษาความมั่นคงปลอดภัย
(Secure areas)
วัตถุประสงค เพื่อปองกันการเขาถึงทางกายภาพโดยไมไดรับอนุญาต ความเสียหาย
และการแทรกแซงการทำงาน ที่มีผลตอสารสนเทศและอุปกรณประมวลผลสารสนเทศ
A.11.2.7 ความมั่นคงปลอดภัยของการกำจัดหรือการนำอุปกรณกลับมาใชใหม
(Secure disposal or re-use equipment) อุปกรณสื่อบันทึกขอมูลตองมี
การตรวจสอบขอมูลที่มีความสำคัญหรือซอฟตแวรไดถูกลบทิ้งหรือมีการเขียนทับ
อยางมั่นคงปลอดภัยกอนที่จำกำจัดหรือนำกลับมาใชใหม
A.11.2.8 อุปกรณถูกทิ้งไวโดยไมมีผูดูแล (Unattended user equipment)
ผูใชงานตองมั่นใจไดวาอุปกรณที่ไมมีผูดูแล ณ เวลาใดเวลาหนึ่งตองอยูในการปองกัน
ที่ปลอดภัย
A.11.2.9 นโยบายการปลอดเอกสารสำคัญบนโตะทำงานและหนาจอคอมพิวเตอร
(Clear desk and clear screen policy) มีนโยบายโตะทำงานปลอดเอกสารสำคัญ
หรือสื่อบันทึกขอมูลที่สำคัญและ
นโยบายการปองกันหนาจอ
คอมพิวเตอร เพื่อปองกัน
การเขาถึงขอมูลขององคกร
A.15 ความสัมพันธกับผูใหบริการภายนอก
(Supplier relationships)
A.15.1
ความมั่นคงปลอดภัยสารสนเทศกับผูใหบริการภายนอก
(Information security in supplier relationship)
A.15.2
การบริหารจัดการการใหบริการโดยผูใหบริการภายนอก
(Supplier service delivery management)
A.15.1 ความมั่นคงปลอดภัยสารสนเทศ
กับผูใหบริการภายนอก
(Information security in
supplier relationship)
วัตถุประสงค เพื่อใหมีการปองกันทรัพยสินขององคกรที่มีการเขาถึงโดยผูใหบริการ
ภายนอก
A.15.1.1 นโยบายความมั่นคงปลอดภัยสารสนเทศดานความสัมพันธกับผูใหบริการ
ภายนอก (Information security policy for supplier relationships)
ตองมีการกำหนดขอตกลงระหวางองคกรกับผูใหบริการภายนอกถึงความมั่นคงปลอดภัย
สารสนเทศเพื่อลดความเสี่ยงที่จะเกิดกับการเขาถึงของผูใหบริการภายนอก
A.15.1.2 การระบุความมั่นคงปลอดภัยในขอตกลงการใหบริการของผูใหบริการ
ภายนอก (Addressing security within supplier agreements)
ความตองการดานความมั่นคงปลอดภัยตองมีการกำหนดขึ้นกับแตละผูใหบริการ
ภายนอกในเรื่องเกี่ยวกับการเขาถึง การประมวลผล การจัดเก็บ หรือการจัดหา
โครงสรางพื้นฐานระบบสารสนเทศ
A.15.1.3 หวงโซการใหบริการสารสนเทศและการสื่อสารจากผูใหบริการภายนอก
(Informationand communication technology supply chain)
ขอตกลงกับผูใหบริการภายนอกตองรวมถึงความตองการเรื่องการระบุความเสี่ยง
อันเกิดจากหวงโซการใหบริการเทคโนโลยีสารสนเทศและการสื่อสารโดยผูใหบริการภายนอก
A.15.2 การบริหารจัดการการใหบริการ
โดยผูใหบริการภายนอก
(Supplier service delivery management)
วัตถุประสงค เพื่อใหมีระดับการรักษาความมั่นคงปลอดภัยหรือการใหบริการตาม
ขอตกลงกับผูใหบริการภายนอก
H
วัตถุประสงค เพื่อใหมีวิธีในการบริหารจัดการกับสถานการณความมั่นคงปลอดภัย
ซึ่งรวมถึงการแจงสถานการณความมั่นคงปลอดภัยและจุดออนของระบบสารสนเทศ
ใหผูใชทราบ
A.16.1.1 หนาที่ความรับผิดชอบและขั้นตอนปฏิบัติ
(Responsibilities and procedures)
ตองมีหนาที่ความรับผิดชอบและขั้นตอน
Perfect
การปฏิบัติเพื่อตอบสนองกับเหตุการณ
ที่เกิดขึ้นไดอยางทันทวงทีและมีประสิทธิภาพ
A.16.1.2 การรายงานสถานการณความมั่นคงปลอดภัยสารสนเทศ
(Reporting information security events) สถานการณความั่นคงปลอดภัย
ตองรายงานผานชองทางการบริหารที่เหมาะสมและรวดเร็วที่สุดเทาที่เปนไปได
A.16.1.4 การประเมินและตัดสินใจตอสถานการณความมั่นคงปลอดภัยสารสนเทศ
(Assessment of and decision on information security events)
สถานการณความมั่นคงปลอดภัยนั้นตองมีการประเมินและตองมีการตัดสินวาสถานการณ
นั้นๆถูกจัดใหเปนสถานการณดานความมั่นคงปลอดภัยหรือไม
A.16.1.5 การตอบสนองตอเหตุการณความมั่นคงปลอดภัยสารสนเทศ
(Response to information security incidents) สถานการณความมั่นคง
ปลอดภัยตองไดรับการตอบสนองเพื่อจัดการกับปญหาตามขั้นตอนการปฏิบัติที่จัดทำไว
A.16.1.6 การเรียนรูจากเหตุการณความมั่นคงปลอดภัยสารสนเทศ
(Learning from incident security incidents) ความรูที่ไดจากการวิเคราะห
และแกปญหาทางดานความมั่นคงปลอดภัยตองถูกนำมาใชเพื่อลดโอกาสที่จะเกิดและ
ผลกระทบที่จะเกิดในอนาคต
A.17
เพื่อสรางความตอเนื่องทางธุรกิจ
(Information security aspects of
business continuity management)
A.17.1
ความตอเนื่องดานความมั่นคงปลอดภัยสารสนเทศ
(Information security continuity)
A.17.2
การเตรียมอุปกรณประมวลผลสำรอง
(Redundancies)
A.17.1 ความตอเนื่องดานความมั่นคง
ปลอดภัยสารสนเทศ
(Information security continuity)
วัตถุประสงค องคกรตองมีการกำหนดการบริหารความตอเนื่อระบบสารสนเทศ
และความปลอดภัย
A.17.1.1 การวางแผนความตอเนื่องดานความมั่นคงปลอดภัยสารสนเทศ
(Planning information security continuity) องคกรจะตองกำหนด
ความตองการดานความมั่นคงปลอดภัยและความตอเนื่องทางธุรกิจในสถานการณ
ความเสียหายที่เกิดขึ้น เชน ชวงที่เกิดภัยพิบัติ
A.17.1.2 การดำเนินการสรางความตอเนื่องดานความมั่นคงปลอดภัยสารสนเทศ
(Implementing information security continuity) องคกรตองกำหนด
เปนลายลักษณอักษร ตั้งแตการปฏิบัติ การปรับปรุง ขั้นตอนการปฏิบัติงาน
และการควบคุม เพื่อใหไดระดับความตอเนื่องดานความปลอดภัยในสถานการณ
ความเสียหายที่เกิดขึ้น
A.17.1.3 การตรวจสอบ ทบทวน และการประเมินความตอเนื่อง
ดานความมั่นคงปลอดภัยสารสนเทศ (Verify, review and evaluate
information security continuity) องคกรตองมีการตรวจสอบ
การบริหารความตอเนื่องอยางสม่ำเสมอเพื่อใหมั่นใจไดวามาตรการเหลานั้น
ยังสามารถใชงานไดและมีประสิทธิภาพเมื่อเหตุการณความเสียหายเกิดขึ้น
In
de
nt
ify
BCP
Execute
Plan Development
Life Cycle
e
yz
Bussiness Impact
al
An Analysis
Des
ign
Strategy Selection
A.17.2 การเตรียมอุปกรณประมวลผลสำรอง
(Redundancies)
วัตถุประสงค เพื่อจัดเตรียมความพรอมของอุปกรณประมวลผลสารสนเทศ
A.17.2.1 ความพรอมใชของอุปกรณประมวลผลสารสนเทศ (Availability
of information processing facilities) อุปกรณประมวลผลสารสนเทศตองมี
การออกแบบใหมีการสำรองเพียงพอกับความตองการดานความพรอมใชงาน
A.18 การปฏิบัติตามขอกำหนด
(Compliance)
A.18.1
การปฏิบัติตามขอกำหนดกับความตองการดานกฏหมาย
และในสัญญาจาง (Compliance with legal and
contractual requirements)
A.18.2
การทบทวนความมั่นคงปลอดภัยสารสนเทศ
(Information security reviews)
A.18.1 การปฏิบัติตามขอกำหนดกับความตองการ
ดานกฏหมายและในสัญญาจาง
(Compliance with legal and contractual requirements)
A.18.1.4 ความเปนสวนตัวและการปองกันขอมูลสวนบุคคล
(Privacy and protection of personal identifiable information)
ความเปนสวนตัวและการปองกันขอมูลสวนบุคคลตองมีการดำเนินการใหสอดคลอง
กับกฏหมายและระเบียบขอบังคับที่เกี่ยวของ
G H T
CO P YRI
A.18.1.5 ระเบียบขอบังคับสำหรับการเขารหัสขอมูล
(Regulation of cryptographic controls) การเขารหัสขอมูลตองมี
การใชใหสอดคลองกับขอตกลง กฏหมายและ ระเบียบขอบังคับที่เกี่ยวของ
B
Encrypt
Decrypt
A C
D
A’s Secret Key
A’s Public Key
A.18.2 การทบทวนความมั่นคงปลอดภัยสารสนเทศ
(Information security reviews)
วัตถุประสงค เพื่อใหการปฏิบัติดานความมั่นคงปลอดภัยสารสนเทศสอดคลอง
กับนโยบายและขั้นตอนปฏิบัติขององคกร
A.18.2.1 การทบทวนอยางอิสระดานความมั่นคงปลอดภัยสารสนเทศ
(Independent review of information security)
วิธีในการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
ซึ่งรวมถึง วัตถุประสงค มาตรการ นโยบาย กระบวนการ
ขั้นตอนปฏิบัติ ตองมีการทบทวนอยางอิสระตามรอบ
ระยะเวลาที่กำหนดหรือเมื่อมีเหตุการณเปลี่ยนแปลงที่สำคัญ
A.18.2.2 การปฏิบัติตามขอกำหนดตามนโยบายและมาตรฐาน
ดานความมั่นคงปลอดภัย (Compliance with security policies
and standards) ผูจัดการตองมีการทบทวนการปฏิบัติตามขอกำหนด
อยางสม่ำเสมอในเรื่องของการประมวลผล ขั้นตอนปฏิบัติภายใตความรับผิดชอบ
ของตนเอง โดยเทียบกับนโยบาย มาตรฐาน และความตองการดานความมั่นคง
ปลอดภัยที่เกี่ยวของ
A.18.2.3 การทบทวนการปฏิบัติตามขอกำหนดทางดานเทคนิค
(Technical compliance review) ระบบจะตองไดรับการทบทวน
การปฏิบัติตามขอกำหนดภายใตนโยบายและมาตรฐานการรักษาความมั่นคง
ปลอดภัยสารสนเทศขององคกร
A.9 การควบคุมการเขาถึง
(Access Control)
A.9.1 A.9.2
ความตองการทางธุรกิจสำหรับ การบริหารจัดการการเขาถึงของผูใชงาน
การควบคุมการเขาถึง ( Business (User access management)
requirements of access
control)
A.9.3 A.9.4
หนาที่ความรับผิดชอบของผูใชงาน การควบคุมการเขาถึงระบบ
(User responsibilities) (System and application
access control)
A.9.1 ความตองการทางธุรกิจสำหรับ
การควบคุมการเขาถึง
(Business requirements of access control)
วัตถุประสงค เพื่อจำกัดการเขาถึงสารสนเทศและอุปกรณประมวลผลสารสนเทศ
A.9.1.1 นโยบายการควบคุมการเขาถึง (Access control policy)
ตองมีนโยบายการควบคุมการเขาถึงที่เปนลายลักษณอักษร และมีการทบทวน
อยางนอยปละ 1 ครั้งโดยคณะกรรมการบริหารความมั่นคงปลอดภัยสารสนเทศ
A.9.1.2 การเขาถึงเครือขายและบริการเครือขาย (Access to networks
and network services) ผูใชงานจะตองไดรับสิทธิในการเขาถึงเครือขาย
และบริการเครือขายตามสิทธิที่ไดรับการอนุมัติใหเขาถึงไดเทานั้น
Corperate
Office
Applications
partner
employee guest
A.9.2 การบริหารจัดการการเขาถึงของผูใชงาน
(User access management)
วัตถุประสงค เพื่อปองกันผูใชที่ไมไดรับอนุญาตเขาถึงระบบ และจะตองมีการปองกัน
ใหเฉพาะผูที่ไดรับอนุญาตเทานั้น
A.9.2.1 การลงทะเบียนและถอดถอนสิทธิผูใช
(User registration and de-registration)
ตองมีกระบวนการขั้นตอนในการลงทะเบียนสำหรับผูใชงาน
ใหมและกระบวนการถอดถอนสิทธิการใชงานเมื่อออกจากองคกร
New User
Registration
A.9.2.2 การจัดการสิทธิการเขาถึงของผูใชงาน
(User access provisioning) ตองมีกระบวนการจัดการสิทธิการเขาถึง
และการถอดถอนสิทธิผูใชงานคนที่ใชงานระบบและบริการทั้งหมดขององคกร
Network admin
Delegate Tasks
A.9.2.4 การบริหารจัดการขอมูลความลับสำหรับการพิสูจนตัวตนของผูใช
(Management of secret authentication information of users)
มีการบริหารจัดการขอมูลที่ใชในการพิสูจนตัวตนผานกระบวนการจัดการที่เปนทางการ
user
setting up
profiles
password password verification
expiration
and aging
Password Management
A.9.3 หนาที่ความรับผิดชอบของผูใชงาน
(User responsibilities)
วัตถุประสงค เพื่อใหผูใชมีความรับผิดชอบในการปองกันขอมูลการพิสูจนตัวตน
A.9.3.1 การใชขอมูลการพิสูจนตัวตนซึ่งเปนขอมูลลับ (Use of secret
authentication information) ผูใชตองมีการปฏิบัติตามที่องคกรกำหนด
เกี่ยวกับการใชขอมูลพิสูจนตัวตน
A.9.4 การควบคุมการเขาถึงระบบ
(System and application access control)
วัตถุประสงค เพื่อใหผูใชมีความรับผิดชอบในการปองกันขอมูลการพิสูจนตัวตน
A.9.4.1 การจำกัดการเขาถึงสารสนเทศ (Information access restriction)
การเขาถึงสารสนเทศหรือฟงกชันตางในระบบงานตองมีการควบคุมใหสอดคลองกับ
นโยบายการควบคุมการเขาถึง
Entering wrong
password 5 times
will disable
your User ID
A.9.4.3 ระบบบริหารจัดการรหัสผาน
(Password management system)
ระบบตองมีการโตตอบกับผูใชงาน เมื่อผูใชงาน
กำหนดรหัสผานไมตรงตามขอกำหนด
ที่ไดมีการตั้งไว
A.9.4.4 การใชโปรแกรมอรรถประโยชน (Use of privileged utility
programs) การใชโปรแกรมอรรถประโยชนอาจจะมีผลกระทบกับความมั่นคง
ปลอดภัยของระบบ ดังนั้นจึงตองมีการจำกัดและควบคุม
d a te
up upd
ate
Working Working
it com
Copying com
m mi Copying
Server t
Local Local
machine machine
A.10 การเขารหัสขอมูล
(Cryptography)
0110011
0101001 A.10.1
0101101 นโยบายการใชมาตรการเขารหัสขอมูล
1101010 (Policy on the use of cryptographic controls)
A.10.1 นโยบายการใชมาตรการเขารหัสขอมูล
(Policy on the use of cryptographic controls)
วัตถุประสงค เพื่อใหการปฏิบัติงานกับอุปกรณที่ใชในการประมวลผลสารสนเทศ
เปนไปอยางถูกตองและปลอดภัย
วัตถุประสงค เพื่อใหมีการบันทึกเหตุการณตางๆที่เกิดขึ้นและจัดทำหลักฐาน
A.12.4.1 การบันทึกขอมูลล็อกแสดงเหตุการณ (Event Logging)
ขอมูลล็อกที่บันทึกกิจกรรมของผูใชงาน ตองมีการจัดเก็บ การทำงานของระบบ
ที่ไมเปนปกติ ความผิดพลาดของระบบ และเหตุการณความมั่นคงปลอดภัย
ตองมีการจัดเก็บและมีการทบทวน อยางสม่ำเสมอ
A.12.4.2 การปองกันขอมูลล็อก (Protection of log information)
อุปกรณที่ใชในการบันทึกขอมูลล็อก ตองมีการปองกันใหผูที่ไดรับอนุญาตเทานั้น
ที่สามารถเขาไปดูหรือทำการเปลี่ยนแปลงแกไข
A.12.4.3 ขอมูลล็อกและกิจกรรมของผูดูแลระบบ
และเจาหนาที่ปฏิบัติการระบบ (Adminstrator and
Operator logs) ตองมีการจัดเก็บขอมูลล็อกของผูดูแลระบบ
และตองมีการปองกันและทบทวนอยูเสมอ
A.12.4.4 การตั้งนาิกาใหถูกตอง
(Clock Synchronization)
ระบบที่เกี่ยวของทั้งหมดตองมีการตั้งนาิกา
ใหถูกตองเทียบกับแหลงอางอิงเวลา
A.12.5 การควบคุมการติดตั้งซอฟตแวร
บนระบบใหบริการ
(Logging and Monitoring)
วัตถุประสงค เพื่อใหระบบใหบริการมีการทำงานที่ถูกตอง
A.12.5.1 การติดตั้งซอฟตแวรบนระบบที่ใหบริการ (Installation of software
on Operational Systems) การติดตั้งซอฟตแวรบนระบบที่ใหบริการตองมี
การควบคุมและตองมีการปฏิบัติใหสอดคลองกับนโยบายที่ไดประกาศไว
A.12.6 การบริหารจัดการชองโหวทางเทคนิค
(Technical Vulnerability Management)
วัตถุประสงค เพื่อปองกันไมใหมีการใชประโยชนจากชองโหวทางเทคนิค
A.12.6.1 การบริหารจัดการชองโหวทางเทคนิค (Management of technical
vulnerabilities) ขอมูลชองโหวทางเทคนิคตองมีการติดตามเพื่อปองกันอยางทันทวงที
โดยจะตองมีการประเมินความเสี่ยงของชองโหว
ที่เกิดขึ้น วาถาเกิดแลวมีผลกระทบกับระบบมากนอย
เพียงใด และตองหามาตรการวาจะดำเนินการอยางไร
A.12.6.2 การจำกัดการติดตั้งซอฟตแวร
(Restrictions on Software installation)
การควบคุมการติดตั้งซอฟตแวรโดยผูใชงานตองมี
การกำหนดและควบคุม
A.12.7 สิ่งที่ตองพิจารณาในการตรวจประเมิน
(Information System Audit Considerations)
วัตถุประสงค เพื่อลดผลกระทบของกิจกรรมการตรวจประเมิน
บนระบบใหบริการ
A.12.7.1 มาตรการการตรวจประเมินระบบ (Information system
audit controls) การตรวจประเมินตองมีการตกลง
รวมกันวาจะดำเนินการตรวจอยางไร เพื่อปองกันปญหา
การหยุดชะงักของการใหบริการที่จะมีผลตอกระบวนการ
ทางธุรกิจ
A.13 ความมั่นคงปลอดภัย
สำหรับการสื่อสารขอมูล
(Communications security)
A.13.1
การบริหารจัดการความมั่นคงปลอดภัยของเครือขาย
(Network Security Management)
A.13.2
การถายโอนสารสนเทศ (Information transfer)
A.13.1 การบริหารจัดการความมั่นคง
ปลอดภัยของเครือขาย
(Network Security Management)
วัตถุประสงค เพื่อใหมีการปองกันสารสนเทศในเครือขายและอุปกรณประมวลผล
ระบบสารสนเทศ
A.13.1.1 มาตรการเครือขาย (Network Controls) เครือขายตองมีระบบ
บริหารจัดการเครือขายเพื่อปองกันสารสนเทศในระบบตางๆ
A.13.1.2 ความมั่นคงปลอดภัยสำหรับบริการเครือขาย (Security of network
services) ระดับการใหบริการเครือขาย และความตองการของผูบริหาร ตองมีการ
ระบุไวในขอตกลงการใหบริการเครือขาย ซึ่งการใหบริการนี้จะรวมถึงการใหบริการ
ที่องคกรใหบริการเอง หรือการจางการใหบริการก็ตาม
A.13.1.3 การแบงแยกเครือขาย (Segregation in networks)
ตองมีการแบงแยกเครือขายระหวาง ผูใชงานระบบ ผูดูแลระบบ และบริการสารสนเทศ
จะตองมีการจัดแบงแยกออกจากกัน
A.13.2 การถายโอนสารสนเทศ
(Information transfer)
วัตถุประสงค เพื่อใหการรักษาความมั่นคงปลอดภัยของสารสนเทศมีการถายโอน
ภายในองคกรและถายโอนไปยังภายนอกองคกร
A.13.2.1 นโยบายและขั้นตอนปฏิบัติสำหรับการถายโอนสารสนเทศ
(Information transfer policies and procedures) นโยบาย ขั้นตอนปฏิบัติและ
มาตรการสำหรับการถายโอนสารสนเทศ เพื่อปองกันการสูญหายหรือการเปลี่ยนแปลง
โดยผูที่ไมไดรับอนุญาต
A.13.2.4 ขอตกลงการักษาความลับหรือการไมเปดเผยความลับ
(Confidentiality or non-disclosure agreements) ความตองการใน
การรักษาความลับหรือการไมเปดเผยความลับขององคกรในการปองกันขอมูล
ระบบสารสนเทศ ตองมีการทบทวนและบันทึกไวเปนลายลักษณอักษร
A.14 การจัดหา การพัฒนา
และการบำรุงรักษาระบบ
(System Acquisition, Development and maintenance)
A.14.1 ความตองการดานความมั่นคงปลอดภัย
(Security requirements of information systems)
A.14.2 ความมั่นคงปลอดภัยสำหรับกระบวนการพัฒนาและสนับสนุน
(Security in development and support processes)
วัตถุประสงค เพื่อใหการบริหารจัดการสารสนเทศองครวมเปนไปดวยความปลอดภัย
ทั้งกระบวนการ โดยตองรวบรวมขอกำหนดทางดานความปลอดภัยเขาไปในกระบวนการ
ทั้งระบบ และรวมถึงสารสนเทศที่มีการสงขอมูลผานเครือขายสาธารณะ
A.14.1.1 การวิเคราะหและกำหนดความตองการดานความมั่นคงปลอดภัย
สารสนเทศ (Information security
requirements analysis and specification) Login
ความตองการเรื่องของความปลอดภัยในระบบ
สารสนเทศ ตองถูกรวมเขาไปอยูในกระบวนการจัดหา
Password
และพัฒนาระบบ ตลอดจนการปรับปรุงที่มีอยู
A.14.1.2 ความมั่นคงปลอดภัยของบริการสารสนเทศบนเครือขายสาธารณะ
(Securing application services on public networks) สารสนเทศ
ที่มีการสงผานเครือขายสาธารณะตองไดรับการปองกันจากการถูกเปดเผยหรือ
เปลี่ยนแปลงแกไขโดยไมไดรับอนุญาต
A.14.1.3 การปองกันธุรกรรมของบริการสารสนเทศ (Protecting
application services transactions) สารสนเทศที่เกี่ยวของกับธุรกรรม
ของบริการสารสนเทศ ตองไดรับการปองกันจากการรับสงขอมูลที่ไมสมบูรณ
หรือขอมูลถูกเปลี่ยนแปลงแกไขโดยไมไดรับอนุญาต
A.14.2 ความมั่นคงปลอดภัยสำหรับ
กระบวนการพัฒนาและสนับสนุน
(Security in development and support process)
วัตถุประสงค เพื่อใหการออกแบบและพัฒนาระบบสารสนเทศมีความมั่นคงปลอดภัย
A.14.2.1 นโยบายการพัฒนาระบบใหมีความมั่นคงปลอดภัย
(Secure development policy) ตองมีการกำหนดขอตกลงในการพัฒนาระบบ
ใหมีความมั่นคงปลอดภัยและตองมีการตรวจสอบวามีการปฏิบัติตามขอตกลงที่ได
ตั้งไวหรือไม
A.14.2.2 ขั้นตอนปฏิบัติสำหรับควบคุมการเปลี่ยนแปลงระบบ
(System Change control procedures) การเปลี่ยนแปลงระบบตองมี
การกำหนดขั้นตอนปฏิบัติและศึกษาผลกระทบที่จะเกิดขึ้นแลวกอนที่จะดำเนินการ
ตองมีการอนุมัติจากผูที่มีอำนาจและมีการรายงานผลการดำเนินการทุกครั้ง
A.14.2.3 การทบทวนทางเทคนิคตอระบบหลังจากการเปลี่ยนแปลง
โครงสรางพื้นฐานระบบ (Technical review of applications after
operating platform changes) การดำเนินการเปลี่ยนแปลงโครงสรางพื้นฐาน
ระบบที่สำคัญตองมีการทบทวนเพื่อใหมั่นใจไดวาไมมีผลกระทบในการปฏิบัติงาน
และดานความมั่นคงปลอดภัย
A.14.2.8 การทดสอบดานความมั่นคงปลอดภัยของระบบ
(System security testing) ตองมีการทดสอบความมั่นคงปลอดภัยของระบบ
ในชวงที่กำลังดำเนินการพัฒนาและมีการทดสอบกอนที่จะเริ่มใชงานจริง