บทความนี้มีวัตถุประสงค์เพื่อเป็นงานส่วนหนึ่งของวิชา ITM 633: การจัดการความมั่นคงปลอดภัยสารสนเทศ
. Access control and data classification; cryptography; and risk management. Design and creation of disaster recovery plans, computer policies and standards, system security architectures and physical security controls. Legal aspects of computer security: auditing in a secured environment and managing as a day-to-day security administrator. In-class projects will focus on security management in mainframe, midrange and network environments as well as research assignments and basic policy creation.
โดยมีอาจารย์ พ.อ.รศ.ดร. เศรษฐพงค์ มะลิสุวรรณ เป็นผู้สอน
ขออนุญาตินำเสนอประวัติของท่านครับ
การศึกษา
- ปริญญาเอกด้านวิศวกรรมสื่อสารและโทรคมนาคม (Telecommunications)
Ph.D. in Telecommunications
จาก State University System of Florida (Florida Atlantic University), USA. - ปริญญาโทด้านวิศวกรรมสื่อสารและโทรคมนาคม (ระบบสื่อสารเคลื่อนที่และเซลลูล่า)
MS in EE (Mobile Communication)
จาก The George Washington University, Washington DC, USA. - ปริญญาโทด้านวิศวกรรมไฟฟ้า (Computer Communication Network)
MS in EE (Computer Communication Network)
จาก Georgia Institute of Technology, Atlanta, Georgia, USA. - ปริญญาตรีด้านวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม (เกียรตินิยมเหรียญทอง)
จาก โรงเรียนนายร้อยพระจุลจอมเกล้า
BS in EE (Telecommunications)
นักเรียนเตรียมทหารรุ่น 26, นักเรียนนายร้อย จปร. รุ่น 37
หลักสูตรที่สําคัญ
- 2543 หลักสูตรอบรม Performing Evaluations Involving Radiated Electromagnetic Interference
from Electromagnetic Interference Laboratory (EMI R&D LAB Corp.), Boca Raton, Florida,USA. - 2544 หลักสูตรอบรมกฎหมายทรัพย์สินทางปัญญาและการค้าระหว่างประเทศ เพื่อดำรงค์ตำแหน่งผู้พิพากษาสมทบศาลทรัพย์สินทางปัญญาและการค้าระหว่างประเทศกลาง
ตำแหน่งหน้าที่ในปัจจุบัน
- อาจารย์ภาควิศวกรรมไฟฟ้าและคอมพิวเตอร์ โรงเรียนนายร้อยพระจุลจอมเกล้า
- ช่วยราชการ สำนักงาน เสนาธิการทหารบก
- เลขานุการและที่ปรึกษา ประธานกรรมการ บริษัท กสท โทรมนาคม จำกัด (มหาชน)
- คณะกรรมการกำกับดูแล การดำเนินงานและโครงการของ บริษิท กสท โทรมนาคม จำกัด (มหาชน)
- คณะอนุกรรมาธิการ ทรัพยากรน้ำ ในคณะกรรมาธิการทรัพยากรธรรมชาติและสิ่งแวดล้อม สนช.
- CIO Board สำนักตรวจเงินแผ่นดิน
- Associate Professor of Business School, Touro University International, USA. (Accredited Internet Distance Learning University)
งานและตำแหน่งสำคัญในอดีต
- ผู้พิพากษาสมทบศาลทรัพย์สินทางปัญญาและการค้าระหว่างประเทศกลาง
- ที่ปรึกษาและคณะทำงานด้านเทคโนโลยีสารสนเทศ คณะกรรมการตรวจเงินแผ่นดิน
- คณะกรรมการร่างหลักเกณฑ์ใบอนุญาตประกอบกิจการ โทรคมนาคมผ่านดาวเทียมสื่อสาร และโครงข่ายสถานีวิทยุคมนาคมภาคพื้นดิน (คำสั่ง กทช. 22/2548)
- Adjunct Professor, School of Information Technology, Southern Cross University, Australia
- Adjunct Professor, Southern New Hampshire University, USA
- Adjunct Professor, University of Canberra, AU.
- ที่ปรึกษาคณะกรรมการพัฒนาระบบงานด้านเทคโนโลยีสารสนเทศกองทัพบก
เนื้อหาบทความ ...
. รู้จักกับมาตรฐาน ISO 17799 หรือ BS 7799 มาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศ หรือ ISO 17799 (BS 7799) มีจุดกำเนิดจากการรวบรวมมาตรการพื้นฐาน (Baseline) ที่มีชื่อว่า BS 7799 (British Standard 7799) ซึ่งเป็นมาตรฐานทางอุตสาหกรรมที่หลายองค์กรยึดถือร่วมกัน และถูกนำไปใช้อย่างแพร่หลายทั่วโลก แม้กระทั่งองค์กรที่ไม่ได้อยู่ในภาคอุตสาหกรรม และได้มีการปรับปรุงอย่างต่อเนื่อง จนกระทั่งในปี 2000 องค์กร BSI (British Standard Institute) จึงได้ผลักดันให้มาตรฐาน BS 7799 ได้กลายเป็นมาตรฐานสากล ISO 17799 (International Standard Organization ISO 17799) ในที่สุด โดยมีเนื้อหาสาระแบ่งออกเป็น 2 ส่วน คือ
. 1.) BS 7799 Part 1: ISO 17799: 2000 (Code of practice for Information Security Management) หรือที่เรียกกันว่า ISO 17799 ซึ่งประกอบไปด้วยหัวข้อของการควบคุมทางด้านการจัดการความปลอดภัยของข้อมูลที่ควรปฏิบัติ เพื่อสร้างความปลอดภัยต่อข้อมูลในหน่วยงาน อย่างไรก็ตาม ในส่วนนี้เป็นเพียงแนวทางปฏิบัติเท่านั้น หากหน่วยงานต้องการได้รับการรับรองมาตรฐาน จะต้องดำเนินการตาม BS 7799 Part 2
. 2.) BS 7799 Part 2: BS 7799-2: 2002 (Information Security Management System (ISMS) - Specification with Guidance for use) หรือที่เรียกกันว่า BS 7799 ซึ่งในปัจจุบันได้ปรับเปลี่ยนเป็น ISO 27001 โดยเนื้อหาสาระจะเกี่ยวข้องกับการจัดตั้งระบบการจัดการด้านความปลอดภัยของข้อมูล ขึ้นในองค์กร ในประเทศไทย คณะอนุกรรมการความมั่นคงภายใต้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ซึ่งได้ถูกจัดตั้งขึ้นตามพระราชบัญญัติว่าด้วยการประกอบธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 ได้นำเอามาตรฐาน ISO 17799 มาเป็นแนวทางในการกำหนดมาตรฐานการรักษาความปลอดภัยทางด้านอิเล็กทรอนิกส์ โดยมีการปรับเปลี่ยนให้มีความเหมาะสมกับสภาวะแวดล้อมและสถานการณ์ทางด้านเทคโนโลยีสารสนเทศในประเทศไทย และปัจจุบัน มาตรฐาน ISO 17799 ได้มีการปรับปรุงถึงฉบับ Second Edition แล้ว
. มาตรฐานความมั่นคงปลอดภัยทางด้านสารสนเทศจะเริ่มต้นจากกระบวนการประเมินความเสี่ยง การจัดทำนโยบายการรักษาความมั่นคงปลอดภัยในหน่วยงาน รวมไปถึง การออกข้อกำหนดและมาตรการเพื่อให้บุคลากรในหน่วยงานปฏิบัติตาม ตาม วัฏจักร Plan - Do - Check - Act เพื่อให้หน่วยงานทราบถึงเหตุการณ์ที่เกิดขึ้นกับระบบสารสนเทศ ได้เห็นถึงช่องโหว่ในด้านการรักษาความปลอดภัย (Security Weakness) ของระบบสารสนเทศของหน่วยงาน รวมทั้ง ยังสามารถกำหนดรูปแบบการรับมือในเรื่องความปลอดภัยของระบบที่คาดว่าจะเกิดขึ้นได้อย่างมีระบบและมีประสิทธิภาพ ยิ่งไปกว่านั้น ยังสามารถสร้างความมั่นใจในการติดต่อสื่อสารระหว่างหน่วยงานได้ด้วย อีกทั้งทำให้หน่วยงานมีความมั่นคงปลอดภัยในระดับที่สูงขึ้นด้วย หากสนใจจะศึกษามาตรการรักษาความมั่นคงปลอดภัย ของคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ได้จาก http://www.thaicert.nectec.or.th/event/securitystandard.php
ISO 17799 (BS 7799) มีความเกี่ยวข้องกับข้อมูล
. มาตรฐาน ISO 17799 (BS 7799) เป็นมาตรฐานด้านความมั่นคงปลอดภัยทางด้านสารสนเทศ ที่มีความเกี่ยวข้องกับข้อมูลโดยตรง เนื่องจากการรักษาความปลอดภัยของข้อมูล เป็นส่วนสำคัญส่วนหนึ่งในการบริหารหน่วยงานให้มีประสิทธิภาพ ซึ่งหากกล่าวถึงความปลอดภัยของข้อมูลอันจะนำไปสู่ความปลอดภัยในหน่วยงานนั้น ประกอบไปด้วย 3 ส่วนคือ
. 1.) Confidentiality การรักษาความลับของข้อมูลต่างๆ ภายในหน่วยงาน ซึ่งอาจกระทำได้หลากหลายวิธีด้วยกัน ไม่ว่าจะเป็น การกำหนดสิทธิ์การเข้าถึงข้อมูล เนื่องจากข้อมูลมีความสำคัญและไม่สามารถเปิดเผยให้รับทราบโดยทั่วกัน
. 2.) Integrity ความถูกต้องครบถ้วนของข้อมูล จำเป็นต้องมีการกำหนดมาตรการหรือแนวทางในการป้องกันการแก้ไขเปลี่ยนแปลงข้อมูล เพื่อป้องกันความผิดพลาดหรือการเข้าแก้ไขโดยผู้ที่ไม่ได้รับอนุญาต
. 3.) Availability ผู้มีสิทธิ์ในการเข้าถึงข้อมูลข้อมูลในระบบต่างๆ ของหน่วยงาน ต้องสามารถเข้าใช้ข้อมูลได้ในช่วงเวลาที่ต้องการอย่างต่อเนื่อง โดยไม่เกิดเหตุขัดข้อง ยิ่งไปกว่านั้น หน่วยงานที่มีการรักษาความปลอดภัยของข้อมูลจะเป็นหน่วยงานที่มีความปลอดภัยทางด้านสารสนเทศได้นั้น ยังจำเป็นต้องอาศัยการดูแลความปลอดภัยในด้านต่างๆ ไม่ว่าจะเป็น ความปลอดภัยของหน่วยงาน ความปลอดภัยตัวบุคคล ความปลอดภัยสถานที่และสภาพแวดล้อม ความปลอดภัยในด้านการติดต่อสื่อสาร รวมไปถึง การดูแลและบำรุงรักษาระบบต่างๆ อย่างสม่ำเสมอ มีการวางแผนการปฏิบัติที่เป็นแบบแผนชัดเจน เพื่อให้เกิดความปลอดภัยสูงสุด
. ระบบ ISMS เป็นระบบ Dynamic system ที่ใช้โครงสร้าง PDCA ดังนั้น ระบบจะมีการหมุนเพื่อปรับปรุงอย่างต่อเนื่องอยู่ตลอดเวลามี่ที่สิ้นสุด โดยโครงสร้างของข้อกำหนด จะถูกแบ่งตาม PDCA ดังนี้
Plan การจัดทำระบบ ISMS
4.2.1 Establish ISMS
a) กำหนด scope และ ขอบเขตการจัดทำระบบ ISMS
b) กำหนด ISMS Policy
c) กำหนด รูปแบบการประเมินความเสี่ยง
d) กำหนดความเสี่ยง
e) วิเคราะห์ และ ประเมินความเสี่ยง
f) กำหนดและประเมิน วิธีการเพื่อลดความเสี่ยง
g) เลือกการควบคุม เพื่อลดความเสี่ยง
h) เห็นชอบความเสี่ยงที่เหลืออยู่โดย management
I) เห็นชอบและประยุกต์ใช้ ระบบ โดย management
J) จัดทำ Statement of Applicable(SOA)
Do ประยุกต์ใช้และดำเนินการ ระบบ ISMS
4.2.2 Implement and Operate the ISMS
a) กำหนดแผนการลดความเสี่ยง
b) ดำเนินการตามแผนลดความเสี่ยง
c) ดำเนินการ ตามการควบคุมที่เลือกตาม 4.2.1g
d) กำหนดการวัดประสิทธิภาพของระบบการควบคุม
e) จัดทำรายการฝึกอบรม
f) จัดการการประยุกต์ใช้ระบบ
g) ประยุกต์ใช้ ระเบียบปฎิบัติงาน
Check เฝ้าระวังและตรวจสอบระบบ ISMS
4.2.3 Monitor and review ISMS
a) จัดทำ ระเบียบปฏิบัติการ เฝ้าระวังและตรวจสอบระบบ ISMS
b) ทบทวนประสิทธิภาพของ ระบบอย่างสม่ำเสมอ
c) วัดประสิทธิภาพการควบคุมในการปฏิบัติตามข้อกำหนด
d) ทบทวน การประเมินความเสี่ยงตามแผน ความเสี่ยงที่เหลือ ระบบการประเมินความ เสี่ยง และการเปลี่ยนแปลงต่างๆ ตามรอบเวลาที่กำหนด
e) ดำเนินการ ตรวจติดตามภายในระบบISMS
f) ดำเนินการ จัดทำ management review
g) ปรับปรุง security plan ให้ทันสมัย
h) บนทึกการการทำงานและหลักฐานที่มีผลต่อประสิทธิภาพและประสิทธิผลของระบบ
Action รักษาและปรับปรุง ระบบ ISMS
4.2.4 Maintain and improve the ISMS
a) b) ดำเนินการ corrective action และ preventive action
c) สื่อสาร วิธีการและการปรับปรุงต่างๆ ให้กับผู้ที่เกี่ยข้องต่างๆ
d) แน่ใจว่า วิธีการที่ปรับปรุงขึ้น บรรลุจุดประสงค์ที่วางไว้
นอกจากนี้ บางข้อกำหนดในระบบ ISMS ถูกแยกมากล่าวเพื่อชี้แจงรายละเอียดดังนี้
4.3 Document control
4.3.1 General
4.3.2 Control of Document
4.3.3 Control of Record
5 Management Responsibility
5.1 Management Commitment
5.2 Resource management
6 Internal Audit
7 Management Review
7.1 General
7.2 Review Input
7.3 Review Out put
8 ISMS Improvement
8.1 Continual Improvement
8.2 Corrective action
8.3 Preventive action
. สำหรับระบบ ISO/IEC 17799:2005 เป็นกรอบด้านการควบคุมระบบ ความปลอดภัยข้อมูล ซึ่งแบ่งออกเป็น11 การควบคุมหลักดังนี้
1. Security policy
2. Organization Information Security
3. Asset Management
4. Human Resource Security
5. Physical and environment security
6. Communications and operations management
7. Access control
8. Information systems acquisition, development and maintenance
9. Information security incident management
10. Business continuity management
11. Compliance
. โดยระบบ ISO/IEC 27001:2005 มีการแนะนำให้ประยุกต์ ข้อกำหนดของ ISO/IEC17799:2005 มาใช้ในการควบคุมและจัดการเกี่ยวกับความเสี่ยงที่เกิดขึ้น ( ตามข้อกำหนด 4.2.1g ของ ISO/IEC 27001:2005) และ หากองค์กรจะไม่เลือกประยุกต์ และ/หรือใช้บางส่วน ข้อกำหนดของ ISO/IEC17799:2005 สามารถกระทำได้แต่ต้องมีการ อธิบายสาเหตุของการไม่เลือกประยุกต์ใช้ให้ชัดเจนไว้ใน SOA (ตามข้อกำหนด 4.2.1j ของ ISO/IEC 27001:2005)
. โดยสรุปแล้วระบบการจัดการความปลอดภัยข้อมูล ISO/IEC 27001:200หรือ ISMS เป็น ระบบdynamic systemที่มีการประยุกต์หลักการ PDCA Cycle ที่สามารถประยุกต์ใช้ได้ กับทุกธุรกิจ เพื่อให้ระบบข้อมูลขององค์กร มี Confidentiality ให้แน่ใจว่า ข้อมูลต่างๆ สามารถเข้าถึงได้เฉพาะ ผู้ที่มี สิทธิที่จะเข้าเท่านั้น, มี Integrity ป้องกัน ให้ ข้อมูล มี ความถูกต้อง และความสมบูรณ์ และ Availability แน่ใจว่า ผู้ที่มี สิทธิ ในการเข้าถึงข้อมูล สามารถเข้าถึงได้เมื่อมีความต้อง การ โดยระบบ การจัดการ ISMS นั้น จะเป็นระบบการจัดการภายใต้ความสี่ยงที่ยอมรับ ได้ ไม่ใช่ให้ระบบไม่มีความเสี่ยงเลยหรือไม่เกิดปัญหาเลย ทำให้เกิดประสิทธิภาพ ในการใช้ ทรัพยากรในการลงทุนสำหรับการจัดการความปลอดภัยของข้อมูลอย่างมีประสิทธ ภาพ โดยส่วนใหญ่จะมีการใช้ร่วมกับ ระบบ ISO/IEC 17799:2005 เพื่อเป็นให้เกิด ประสิทธิภาพในการดำเนินงาน
ISO 27001 เริ่มต้นอย่างไรดี
. ในสังคมยุคดิจิตอลทุกวันนี้ คือยุคของการนำคอมพิวเตอร์มาใช้ในการดำเนินธุรกิจอย่างแพร่หลาย ไม่ว่าจะเป็นอินเทอร์เน็ต การสื่อสารอิเล็กทรอนิกส์ เว็บเทคโนโลยี เป็นต้น ข้อมูลและสารสนเทศต่างๆ เหล่านี้เป็นสินทรัพย์ของธุรกิจเช่นเดียวกัน สินทรัพย์ในความหมายของสารสนเทศเป็นได้ทั้ง Hardware, Software, Application สิ่งพิมพ์ เอกสาร สื่ออิเล็กทรอนิกส์ รวมไปถึงตัวบุคคล สินทรัพย์เหล่านี้มีความสำคัญที่องค์กรต้องป้องกัน เพราะสภาพแวดล้อมในปัจจุบันที่ต้องติดต่อสื่อสารกันมากขึ้น ทำให้เกิดปัญหาและจุดอ่อนหลากหลายรูปแบบที่ทำให้สารสนเทศนั้นเสียหาย มาตรฐานและหลักปฏิบัติในการปกป้องและควบคุมข้อมูล ก็คือมาตรฐานการรักษาความปลอดภัย ISO 27001: 2005 Information Security Management System เพื่อสร้างความมั่นใจว่าข้อมูลและสารสนเทศข้อมูลความลับยังถูกเก็บรักษาอยู่ครบถ้วนปลอดภัย และใช้ได้กับองค์กรทุกขนาดในธุรกิจทุกประเภท ท่านผู้อ่านหลายท่านที่กำลังคิดทำระบบ ISO 27001 คงมีคำถามว่าแล้วเราจะเริ่มต้นอย่างไรดี
การจัดทำระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ มีขั้นตอนดังต่อไปนี้
. • กำหนดกระบวนการทางธุรกิจ (Business Process) โดยพิจารณาจากวัตถุประสงค์ของธุรกิจ (Business Objective) วิสัยทัศน์และพันธกิจขององค์กร เพื่อให้เห็นภาพรวมของกระบวนการและหน่วยงานต่างๆ
. • กำหนดขอบเขตและส่วนงานที่เกี่ยวข้อง (Define Scope and Boundaries of ISMS) ซึ่งอาจทำเพียงบางส่วนเพื่อเป็นหน่วยงานนำร่อง (Pilot Project) ก่อน โดยจัดตั้งทีมงานและกำหนดหน้าที่ความรับผิดชอบ ในการกำหนดหน่วยงานให้พิจารณาจากความสำคัญที่มีต่อธุรกิจ
. • กำหนดนโยบายความมั่นคงปลอดภัยขององค์กร (Define ISMS Policy)
. • กำหนดแนวทางในการประเมินความเสี่ยง (Define Risk Assessment)
. • วิเคราะห์และประเมินผลความเสี่ยง (Analyze and Evaluate Risk) วิเคราะห์และประเมินเพื่อทราบช่องว่างหรือช่องโหว่ (Gap)
. • กำหนดแนวทางการแก้ไขความเสี่ยง (Develop Risk Treatment Plan) เพื่อปิดช่วงโหว่ (Gap) • จัดทำเอกสารบังคับของมาตรฐานการรักษาความปลอดภัย ISO 27001 (Statement of Applicability) เพื่อใช้ในการขอใบรับรอง
. • เลือกใช้มาตรการความมั่นคงปลอดภัย (Procedure & Security Procedure & Control Objectives) ที่เหมาะสมและควบคุมตามมาตรฐาน เพื่อจัดการความเสี่ยง
. • นำมาตรการความมั่นคงปลอดภัยที่เลือกไปปฏิบัติ (Apply Control to the Implementation) โดยการจัดทำเอกสารขั้นตอนการปฏิบัติงาน มาตรฐาน/แนวทางการปฏิบัติงาน รวมทั้งกำหนดแบบฟอร์มต่างๆ ที่ จำเป็น และฝึกอบรมพนักงานเกี่ยวกับความมั่นคงปลอดภัยของสารสนเทศในทุกๆ ระดับ
. • การตรวจประเมินภายใน Internal ISMS Audit (Internal Audit) ของระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ
. • จัดให้มีการทบทวนระบบบริหารความมั่นคงปลอดภัยของสารสนเทศโดยผู้บริหาร (Management Review of ISMS) ทบทวนการประเมินความเสี่ยง ระดับความเสี่ยงที่ยอมรับได้ (Acceptable Level of Risk) และความเสี่ยงที่ยังเหลืออยู่ (Residual Risk)
. • จัดให้มีวิธีการตรวจสอบ วัดผล ทบทวน และประเมินผลระบบ (ISMS Measurement) ซึ่งจะทำให้การบริหารความมั่นคงปลอดภัยของสารสนเทศมีประสิทธิภาพและต่อเนื่อง
. • การดำเนินการปรับปรุงระบบบริหารความมั่นคงปลอดภัยของสารสนเทศตามสิ่งที่ได้ตรวจพบ (ISMS Improvement) การดำเนินการวิเคราะห์หาสาเหตุของปัญหาที่แท้จริง (Corrective Actions) การดำเนินการป้องกันไม่ให้ปัญหาเกิดซ้ำอีก (Preventive Actions) และจัดให้มีระบบการจัดการเอกสารและบันทึกที่เกิดขึ้นจากการจัดทำระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ
. ในทุกขั้นตอนที่กล่าวมา ให้สอดแทรกแนวคิด PDCA (Plan-Do-Check-Act) เพื่อให้เกิดการทำงานที่มีการปรับปรุงและพัฒนาอย่างต่อเนื่อง
. บริษัทต่างๆ พบกับการเสี่ยงทุกวัน และความเสี่ยงสำคัญรูปแบบหนึ่งก็คือการจารกรรมข้อมูล หรือการสูญหายของข้อมูลที่มีความสำคัญอย่างยิ่งต่อการทำงานของบริษัท เช่น รายชื่อของลูกค้า ข้อมูลการสั่งซื้อ และการขายสินค้า หรือข้อมูลเกี่ยวกับการออกแบบสินค้า เป็นต้น
ISMS/ISO27001: 2005 เป็นมาตรฐานที่ดีที่สุด ในการจัดการด้าน ระบบการรักษาความปลอดภัยข้อมูลองค์กร ด้วยมาตรฐานนี้ ท่านสามารถสร้างกลยุทธ์และกำหนดทิศทางสำหรับการประเมิน การวัดค่าและการป้องกันการคุกคามจากภายนอก โดยผ่านกระบวนการจัดการความเสี่ยงของมาตรฐานได้ ผลประโยชน์หลักจากการใช้มาตรฐาน ISMS/ISO27001:2005
. • เนื่องจาก การมีข้อมูลและระบบการจัดเก็บข้อมูล ที่มีความปลอดภัย เที่ยงตรงและพร้อมใช้งานเสมอนั้นย่อมช่วยสร้างความได้เปรียบทางการแข่งขัน สร้างผลกำไร และสร้างโอกาสทางการธุรกิจ
. • สอดคล้องกับกฎหมาย ตามพระราชบัญญัติ
. • สร้างความมั่นใจให้กับบริษัทคู่ค้า รับประกันความต่อเนื่องในการทำธุรกิจระหว่างคู่ค้า
. • จากการประเมินความเสี่ยง การแยกแยะภัยคุกคามของข้อมูล การรับรู้จุดอ่อนและความเป็นไปได้ของความเสี่ยงและ จากการ
. พิจารณาอย่างถี่ถ้วน ของผลกระทบที่จะเกิดนี่เอง ย่อมเป็นผลดี กับธุรกิจท่านในการเลือกลงทุนที่จะก่อประโยชน์และคุ้มค่าที่สุด ทำไมผู้บริหารจึงเห็นความจำเป็นของการบริหารความมั่นคงปลอดภัยของข้อมูลสารสนเทศ ด้วยมาตรฐานนี้ หลายปีที่ผ่านมา ผู้บริการในหลายๆ องค์กรเกิดความสนใจ ที่จะนำเอาเทคโนโลยีสารสนเทศ เข้ามาใช้ในธุรกิจ เพื่อเพิ่มขีดความสามารถ ในการแข่งขัน และ โอกาสสู่ธุรกิจใหม่ๆ ซึ่งก็มีส่วนที่ประสบความสำเร็จ ตามจุดมุ่งหมายบ้าง หรือไม่ประสบความสำเร็จเท่าที่ควรบ้าง โดยที่ความสำเร็จของการนำเอาเทคโนโลยีสารสนเทศมาใช้งานในธุรกิจนั้น ก็มักจะขึ้นอยู่กับการที่สามารถนำเอาเทคโนโลยีสารสนเทศเข้ามาสนับสนุนขบวนการทางธุรกิจได้อย่างเต็มที่ องค์กรต่างๆได้ก้าวเข้าสู่ยุคที่ธุรกิจต่างๆขององค์กรต้องอาศัย เทคโนโลยีสารสนเทศเป็นเครื่องมือหลักในการดำเนินการ
ความสำคัญอันหนึ่งที่ทุกองค์กรต้องตระหนักถึง คือ ความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ซึ่งหากไม่มีการจัดการเรื่องความมั่นคงปลอดภัย ของระบบสารสนเทศที่เพียงพอ ก็อาจเป็นสาเหตุที่ทำให้ธุรกิจขององค์กรมีตวามเสี่ยงเกิดขึ้นได้
. จากการที่รายการและขบวนการทางธุรกิจต่างๆ ขององค์กรได้ถูกเปลี่ยนรูปแบบการดำเนินงานจากระบบที่อาศัยคนทั้งหมดเป็นแบบที่ต้องอาศัยเทคโนโลยีสารสนเทศเข้ามาเกี่ยวข้อง ข้อมูลของการดำเนินงานได้ถูกส่งต่อ , ประมวลผล และ จัดเก็บในรูปแบบของสื่อต่างๆ ของเทคโนโลยีสารสนเทศ ผู้ให้บริการทางด้านเทคโนโลยีเหล่านั้นมาใช้เพื่อความมั่นคง ปลอดภัยของระบบสารสนเทศอย่างหลากหลายซึ่งโดยมากก็จะเป็นเทคโนโลยีที่มีราคาค่อนข้างสูง ซึ่งการลงทุนเพื่อความมั่นคง ปลอดภัย ของระบบสารสนเทศ ผู้บริหารขององค์กร ต้องพิจารณาความเหมาะสมในการพิจารณาความเหมาะสมว่าการควบคุมที่จำเป็นจะต้องมีนั้นเพียงพอและเหมาะสมเพียงใดต่อการดำเนินธุรกิจ และ มีกระบวนการอย่างไร ในการจัดการกับ เหตุการณ์ต่างๆ ที่ทำให้ความเสียหายทางธุรกิจจากการสูญเสียความมั่นคงปลอดภัยของระบบ ISO27001 : 2005 Information Security Management System หรือ ISMS เป็นมาตรฐานสากลที่กล่าวถึงมาตรฐานของระบบบริหารจัดการเพื่อความมั่นคงปลอดภัยของข้อมูล โดยจุดประสงค์ของมาตรฐานนี้เพื่อจะทำให้องค์กร สามารถบริหารจัดการทางด้านความปลอดภัยได้อย่างมีระบบ และเพียงพอเหมาะสมต่อการดำเนินธุรกิจขององค์กร โดยเริ่มแรกองค์กรต้องทำการวิเคราะห์ความเสี่ยงของระบบ จากภัยคุกคาม และจุดอ่อนต่างๆ ในระบบจากนั้น จึงวิเคราะห์ และเลือกแนวทางการควบคุม และป้องกันสารสนเทศต่างๆอย่างเหมาะสม และพอเพียงโดยในตัวมาตรฐานก็จะมีแนวทางที่เรียกว่า Code of Practice ให้ใช้งานเพื่อควบคุมความเสี่ยงต่างๆขณะเดียวกัน มาตรฐานนี้ก็ยังกำหนดให้องค์กรจะต้องควบคุมดูแลระบบการรักษาความมั่นคง ปลอดภัย และกลไกในการพัฒนาอย่างต่อเนื่องอีกด้วย ด้วยโครงสร้างของระบบบริหารที่ต้องมีการวางแผน , การดำเนินการ , ตรวจสอบ และการพัฒนา หรือที่เราเรียกว่า PDCA [ Plan : การวางแผน - Do : การปฏิบัติ – Check : การตรวจสอบ – Act : กำหนดมาตรฐาน ] นั้นจะทำให้การจัดการเรื่องความมั่นคงของสารสนเทศ มีประสิทธิผลเต็มที่ และทำให้องค์กรมั่นใจที่จะให้ระบบสารสนเทศมาเป็นเครื่องมือในการดำเนินธุรกิจ รวมถึงเพิ่มโอกาสทางธุรกิจจากการใช้สารสนเทศมากขึ้น
เอกสารอ้างอิง
- "ISO 17799 อดีต ปัจจุบัน และอนาคต" โดยคุณดวงกมล ทรัพย์พิทยากร (Thaicert)- "สถานการณ์ขององค์กรในประเทศไทยเกี่ยวกับการรับรองมาตรฐาน BS 7799 Part 2 กับบทวิเคราะห์มาตรฐานการรักษาความปลอดภัยข้อมูลสารสนเทศ ISO/IEC ISO 17799 Second Edition และมาตรฐาน ISO/IEC FDIS 27001 : 2005" โดย อ.ปริญญา หอมอเนก (ACIS) จากหนังสือ eWeek Thailand ปักษ์หลัง ประจำเดือนกรกฎาคม 2548
- "ISO/IEC ISO 17799 (BS 7799) เกี่ยวข้องกับข้อมูลอย่างไร?" โดยจักรกฤษณ์ แร่ทอง (19-06-2004) http://www.nextproject.net/ArticleDetail.aspx?ProID=49
- "มาตรฐานสากลทางด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศที่ CIO ควรรู้ เพื่อนำมาใช้เป็นแนวทางปฏิบัติในองค์กร และกลยุทธ์ CIO กับการบริหารระบบความปลอดภัยเทคโนโลยีสารสนเทศในองค์กรสมัยใหม่" โดย อ.ปริญญา หอมอเนก (ACIS) จากหนังสือ eWeek Thailand ประจำเดือนกันยายน 2548
- "BS 7799-2 : 2002 and ISO 17799 : 2005 ISMS Intensive Training Presentation" โดย ACinfotec
- http://www.tuv.com/th/_iso_27001.html
- http://www.ieat.go.th/cms.php?lang=th&action=view&item=1192
- http://www2.ftpi.or.th/th/knwinf_pcornerdetail.php?pdtlid=578
- http://groups.google.co.th/group/siamhrm/msg/dcf7d400f7021412
- http://www.tuv.com/th/_iso_27001.html
- http://imclub.spaces.live.com/blog/cns!5F40768134F6EB55!241.entry
