โดย ว่าที่ร.ต.หญิงภานุมาศ...

212
การเตรียมความพร้อมขององค์กรในการขอรับรองมาตรฐานการบริหารจัดการ ความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001:2013 กรณีศึกษาองค์กรด้านการท่องเที่ยวแห่งหนึ่ง โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจ วิทยานิพนธ์นี้เป็นส่วนหนึ่งของการศึกษาตามหลักสูตร วิทยาศาสตรมหาบัญฑิต สาขาวิชานโยบายและการบริหารเทคโนโลยีสารสนเทศ วิทยาลัยนวัตกรรม มหาวิทยาลัยธรรมศาสตร์ ปีการศึกษา 2558 ลิขสิทธิ์ของมหาวิทยาลัยธรรมศาสตร

Transcript of โดย ว่าที่ร.ต.หญิงภานุมาศ...

Page 1: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

การเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013

กรณศกษาองคกรดานการทองเทยวแหงหนง

โดย

วาทร.ต.หญงภานมาศ พระพนจ

วทยานพนธนเปนสวนหนงของการศกษาตามหลกสตร

วทยาศาสตรมหาบญฑต สาขาวชานโยบายและการบรหารเทคโนโลยสารสนเทศ

วทยาลยนวตกรรม มหาวทยาลยธรรมศาสตร ปการศกษา 2558

ลขสทธของมหาวทยาลยธรรมศาสตร

Page 2: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

การเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013

กรณศกษาองคกรดานการทองเทยวแหงหนง

โดย

วาทร.ต.หญงภานมาศ พระพนจ

วทยานพนธนเปนสวนหนงของการศกษาตามหลกสตร

วทยาศาสตรมหาบญฑต สาขาวชานโยบายและการบรหารเทคโนโลยสารสนเทศ

วทยาลยนวตกรรม มหาวทยาลยธรรมศาสตร ปการศกษา 2558

ลขสทธของมหาวทยาลยธรรมศาสตร

Page 3: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

THE PREPARATION OF INFORMATION SECURITY MANAGEMENT SYSTEM ISO/IEC 27001:2013 STANDARD CERTIFICATION,

A CASE STUDY OF A TOURISM ORGANIZATION

BY

ACTING 2, LT PANUMART PRAPINIT

A THESIS SUBMITTED IN PARTIAL FULFILLMENT OF THE REQUIREMENTS FOR THE DEGREE OF MASTER OF SCIENCE

INFORMATION TECHNOLOGY POLICY AND MANAGEMENT COLLEGE OF INNOVATION THAMMASAT UNIVERSITY

ACADEMIC YEAR 2015

COPYRIGHT OF THAMMASAT UNIVERSITY

Page 4: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis
Page 5: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

(1)

หวขอวทยานพนธ การเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง

ชอผเขยน วาทร.ต.หญงภานมาศ พระพนจ ชอปรญญา วทยาศาสตรมหาบญฑต สาขาวชา/คณะ/มหาวทยาลย สาขาวชานโยบายและการบรหารเทคโนโลยสารสนเทศ

วทยาลยนวตกรรม มหาวทยาลยธรรมศาสตร

อาจารยทปรกษาวทยานพนธ อาจารย ดร. วศน หนนภกด ปการศกษา 2558

บทคดยอ

งานวจยนมวตถประสงคเพอท าการศกษาปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภ ยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง เพอประเมนความพรอมและเสนอแนวทางในการเตรยมความพรอม โดยระเบยบวธวจยประกอบดวย (1) ศกษามาตรฐานการจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 และกฎหมายท เก ยวของ (2) เกบรวบรวมขอมลเพอว เคราะหสถานะปจจบนขององคกร (3) สมภาษณเชงลกผบรหารและผเชยวชาญ ส ารวจความคดเหนของผดแลระบบและทดสอบความตระหนกดานความมนคงปลอดภยสารสนเทศของบคลากร (4) วเคราะหและประเมนผล (5) สรปผลการวจย

ผลการวจยพบวา องคกรยงไมมความพรอมในการขอรบรองมาตรฐานฯ ซงในภาพรวมมขอก าหนดตามมาตรฐานฯ ทตองแกไขจ านวน 7 ขอ และบคลากรสวนใหญยงขาดความตระหนกดานความมนคงปลอดภยสารสนเทศ โดยปจจยทเกยวของกบการเตรยมความพรอมขององคกรไดแก (1) ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ (2) การประยกตใชมาตรฐานและกฎหมายทเกยวของ (3) การใหความส าคญในการด าเนนการตามมาตรฐานฯ (4) นโยบายขององคกร (5) โครงสรางเทคโนโลยสารสนเทศขององคกร (6) ความตระหนกถงภยคกคามและชองโหว โดยผวจยไดเสนอแนะแนวทางปฏบตใหกบองคกร เพอใหองคกรมความพรอมในการเขารบการรบรองมาตรฐานฯ ตอไป

ค าส าคญ: ISO/IEC 27001:2013, การบรหารจดการความมนคงปลอดภยสารสนเทศ, หนวยงานภาครฐ, องคกรดานการทองเทยว

Page 6: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

(2)

Thesis Title THE PREPARATION OF INFORMATION SECURITY MANAGEMENT SYSTEM ISO/ IEC 2 7 0 0 1 :2 0 1 3 STANDARD CERTIFICATION, A CASE STUDY OF A TOURISM ORGANIZATION

Author Acting 2, Lt Panumart Prapinit Degree Master of Science Department/Faculty/University Information Technology Policy and Management

College of Innovation Thammasat University

Thesis Advisor Dr. Wasinee Noonpakdee Academic Years 2015

ABSTRACT

This research aims to study factors influencing the preparation of information security management system ISO/IEC 27001:2013 standard certification, a case study of a tourism organization, to evaluate the rediness of the organization, and to provide a guideline for the preparation of ISO/IEC 27001:2013 standard certification. The research methodology includes : (1) Reviewing ISO/IEC 27001:2013 and related laws, (2) Gathering information to analyze the current state of the organization, (3) Conducting an indepth interview with exexutives and experts, conducting a survey for system admisnistratives, and evaluating the security awareness of staff in the organization, (4) Analyzing and evaluating the results, and (5) Concluding the research.

The results indicate that the organization is not yet ready for ISO/IEC 27001:2013 certification. Generally, there are seven requirements that need to be solved. In addition, most staffs in the organization do not have information security awareness. The factors influencing the preparation ISO/IEC 27001:2013 standard certification are: (1) Understanding of the standards and laws, (2) Application of standards and relevant laws, (3) Emphasizing on standard implementation, (4) Policies, (5) Information technology infrastructure,

Page 7: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

(3)

and (6) User awareness of threats and vulnerabilities. Furthurmore, the guideline is proposed for the preparation of ISO/IEC 27001:2013 standard certification.

Keywords: ISO/IEC 27001:2013, Information Security Management System, Government Agency, Tourism Organization

Page 8: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

(4)

กตตกรรมประกาศ

ผวจยขอขอบพระคณ อาจารย ดร. วศน หนนภกด อาจารย ดร. มานต สาธตสมตพงษ และ อาจารย ดร. กฤษณา วสมตะนนทน ทกรณาใหค าปรกษา ค าแนะน า และขอเสนอแนะตางๆ ทเปนประโยชนอยางยง ตลอดจนใหความชวยเหลอในการด าเนนงานวจย จนวทยานพนธนส าเรจลลวงไปไดดวยด

ขอขอบพระคณผบรหาร ผเชยวชาญฯ ผดแลระบบฯ และบคลากรทกทานขององคกร

กรณศกษา ทรวมสละเวลาอนมคา เพอใหไดมาซงขอมลประกอบการวจยในครงน ตลอดจนคณาจารยผทรงคณวฒและอาจารยพเศษจากภายนอกทกทาน ทไดถายทอดวชาความร รวมถงประสบการณตางๆ ทเปนประโยชนตอการศกษาหลกสตรนโยบายและการบรหารเทคโนโลยสารสนเทศ วทยาลยนวตกรรม

ขอขอบพระคณบคลากรของวทยาลยนวตกรรมทกทาน ทใหบรการและอ านวยความ

สะดวกตางๆ ตงแตวนแรกจนถงวนนเปนอยางด และเพอนๆ ชาววทยาลยนวตกรรมทกทาน ทงทเคยรวมหองเรยน และรวมท ากจกรรมตางๆ ดวยกน ทใหการสนบสนนและชวยเหลอตลอดระยะเวลาการศกษาน

สดทายน ขอกราบขอบพระคณครอบครว ญาตพนอง และผมอปการะคณทกทาน ท

สงเสรมและเปนก าลงใจ จนมาถงวนแหงความส าเรจอกหนงวนของชวต

วาทร.ต.หญงภานมาศ พระพนจ

Page 9: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

(5)

สารบญ หนา

บทคดยอภาษาไทย (1)

บทคดยอภาษาองกฤษ (2)

กตตกรรมประกาศ (4)

สารบญตาราง (8)

สารบญภาพ (12)

บทท 1 บทน า 1

1.1 ความเปนมาและความส าคญ 1 1.2 วตถประสงค 2 1.3 ขอบเขตการวจย 2 1.4 ประโยชนทคาดวาจะไดรบ 2 1.5 นยามศพท 3

บทท 2 วรรณกรรมและงานวจยทเกยวของ 5

2.1 บรบทของงานวจย 5 2.2 แนวคดและทฤษฎทเกยวของ 6

2.2.1 แนวคดการบรหารจดการความมนคงปลอดภยสารสนเทศ 6 2.2.2 มาตรฐานความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2015 7 2.2.3 พระราชกฤษฎกาวาดวยวธการแบบปลอดภยในการท าธรกรรมทาง 21

อเลกทรอนกส พ.ศ. 2553

Page 10: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

(6)

2.2.4 แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดาน 21 สารสนเทศของหนวยงานภาครฐพ.ศ. 2553

2.2.5 การควบคมภายใน, การตรวจสอบภายใน, การบรหารความเสยง, 22 บรหารความเนองทางธรกจ และการวเคราะหผลกระทบทางธรกจ ดานเทคโนโลยสารสนเทศ

2.3 ทบทวนวรรณกรรมทเกยวของ 32 2.4 สรปการทบทวนวรรณกรรมทเกยวของและกรอบแนวคดการวจย 44

บทท 3 วธการวจย 53

3.1 ขอบเขตและขนตอนการวจย 53 3.2 การเกบรวบรวมขอมล 56 3.3 เครองมอทใชในการวจย 56 3.4 การวเคราะหและประเมนความพรอม 69 3.5 ระยะเวลาในการวจย 69

บทท 4 ผลการวจยและอภปรายผล 72

4.1 ผลการวจย 72 4.1.1 สรปผลการวเคราะหสถานะและปจจยทเกยวของกบการเตรยมความพรอม 72

ขององคกรฯ ในปจจบนโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 4.1.2 สรปผลการส ารวจความคดเหนและประเมนผลปจจยทเกยวของกบการ 96

เตรยมความพรอมขององคกรในการเขารบการรบรองมาตรฐาน ISO/IEC 27001:2013

4.1.2.1 สรปผลการสมภาษณผบรหาร 96 4.1.2.2 สรปผลการสมภาษณผเชยวชาญดานการจดการความมนคง 100

ปลอดภยสารสนเทศจากภายนอกองคกร 4.1.2.3 สรปผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ 106 4.1.2.4 สรปผลการทดสอบความพรอมของบคลากรในองคกร 107

4.2 อภปรายผล 111

Page 11: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

(7)

4.2.1 ความส าคญและความพรอมของปจจยทเกยวของฯ ในมมมองของ 111 ผบรหาร, ผเชยวชาญฯ, ผดแลระบบฯ และบคลากร

4.2.2 ปจจยความพรอมขององคกร เปรยบเทยบกบมาตรฐาน ISO/IEC 27001 118 บทท 5 สรปผลการวจยและขอเสนอแนะ 131

5.1 สรปผลการวจย 131 5.2 ขอเสนอแนะ 135

5.2.1 ขอเสนอแนะส าหรบองคกรเพอเตรยมความพรอมการขอรบรองมาตรฐานฯ 136 5.2.1.1 การใหความส าคญในการด าเนนการตามมาตรฐานฯ 136 5.2.1.2 ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 138 5.2.1.3 ความตระหนกถงภยคกคามและชองโหว 139 5.2.1.4 นโยบายขององคกร 139 5.2.1.5 การประยกตใชมาตรฐานและกฎหมายทเกยวของ 139 5.2.1.6 โครงสรางเทคโนโลยสารสนเทศขององคกร 140

5.2.2 ขอเสนอแนะส าหรบการศกษาเพมเตม 141 รายการอางอง 142

ภาคผนวก

ภาคผนวก ก 146 ภาคผนวก ข 151 ภาคผนวก ค 157 ภาคผนวก ง 165 ภาคผนวก จ 172 ภาคผนวก ฉ 181 ภาคผนวก ช 191

ประวตผเขยน 195

Page 12: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

(8)

สารบญตาราง

ตารางท หนา 2.1 ตวอยางผลกระทบตอองคกร (ดานเวลา) 28 2.2 ตวอยางผลกระทบตอองคกร (ดานชอเสยง) 28 2.3 เกณฑระดบความเสยงทยอมรบได 29 2.4 ขนตอนการบรหารตามแนวทาง ISMS 35 2.5 สรปกระบวนการเตรยมความพรอมของหนวยงานดานการบรหารจดการความมนคง 44

ปลอดภยสารสนเทศ จากงานวจยทเกยวของ 2.6 สรปปจจยการเตรยมความพรอมทไดจากการทบทวนวรรณกรรมและงานวจยท 50

เกยวของ 3.1 ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน 57

ISO/IEC 27001:2013 สวนของขอก าหนดระบบบรหารจดการ (Management System Requirements)

3.2 ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตาม 61 มาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภย สารสนเทศ (Information Security Controls)

3.3 เกณฑการประเมนผล 68 3.4 ระยะเวลาในการท าวจย 70 4.1 ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน 73

ISO/IEC 27001:2013 สวนของขอก าหนดระบบบรหารจดการ (Management System Requirements)

4.2 ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน 79 ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

4.3 ปจจยทเกยวของกบการเตรยมความพรอมขององคกรฯ โดยอางองจากผลการ 88 วเคราะหสถานะปจจบนขององคกรอางองตามมาตรฐาน ISO/IEC 27001:2013

4.4 ผลการเรยงล าดบความส าคญของปจจยทเกยวของกบการเตรยมความพรอม 99 ขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภย สารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง

Page 13: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

(9)

ประกอบการสมภาษณผบรหาร 4.5 ผลการพจารณาความพรอมของปจจยทเกยวของกบการเตรยมความพรอม 103

ขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภย สารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนงประกอบการสมภาษณผเชยวชาญจากภายนอก

4.6 ผลการเรยงล าดบความส าคญของปจจยทเกยวของกบการเตรยมความพรอม 104 ขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภย สารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนงประกอบการผเชยวชาญจากภายนอก

4.7 สรปผลการตอบแบบประเมนความพรอมและความส าคญของปจจยทเกยวของกบ 105 การเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการ ความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดาน การทองเทยวแหงหนง ส าหรบผเชยวชาญจากภายนอก

4.8 สรปผลการตอบแบบประเมนความพรอมและความส าคญของปจจยทเกยวของกบ 106 การเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการ ความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดาน การทองเทยวแหงหนง ของผดแลระบบฯ

4.9 สรปผลจากการทดสอบความพรอมของบคลากรในองคกรดวยวธการจ าลอง 107 สถานการณ (Cyber Drill หรอ Cyber Readiness Assessment)

4.10 ผลการเรยงล าดบความส าคญของปจจยทเกยวของกบการเตรยมความพรอม 109 ขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภย สารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ในภาพรวมขององคกร (ผบรหาร, ผเชยวชาญฯ, และผดแลระบบฯ)

4.11 ผลการเรยงล าดบความพรอมของปจจยทเกยวของกบการเตรยมความพรอม 110 ขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภย สารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ในภาพรวมขององคกร (ผเชยวชาญฯ, และผดแลระบบฯ)

4.12 ผลการเรยงล าดบความส าคญของปจจยทเกยวของกบการเตรยมความพรอม 113 ขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภย สารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง

Page 14: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

(10)

ประกอบการสมภาษณผบรหาร 4.13 ผลการพจารณาความพรอมและความส าคญของปจจยทเกยวของกบการเตรยม 114

ความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคง ปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยว แหงหนงโดยผเชยวชาญฯ

4.14 สรปผลการตอบแบบประเมนความพรอมและความส าคญของปจจยทเกยวของ 116 กบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการ ความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดาน การทองเทยว ของผดแลระบบฯ

ก.1 โปรดพจารณาเรยงล าดบความส าคญตามล าดบ 1-6 (โดยล าดบท 1 หมายถงส าคญ 150 มากทสด และล าดบท 6 หมายถงส าคญนอยทสด)

ข.1 โปรดพจารณาเรยงล าดบความส าคญตามล าดบ 1-6 (โดยล าดบท 1 หมายถงส าคญ 154 มากทสด และล าดบท 6 หมายถงส าคญนอยทสด)

ข.2 โปรดพจารณาปจจยความพรอมขององคกรโดยใหคะแนน 1-5 (โดย 1 หมายถงนอย 155 ทสด และ 5 หมายถงมากทสด)

ค.1 กรณาท าเครองหมาย ลงในชอง ความพรอม และ ความส าคญ ทตรงตามความ 158 คดเหนของทาน

ง.1 ผลการสมภาษณผบรหาร 166 ง.2 ผลรวมความส าคญของปจจยทเกยวของกบการเตรยมความพรอมขององคกร 171

ในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ประกอบการสมภาษณผบรหาร

จ.1 ผลการพจารณาปจจยความพรอมของผเชยวชาญจากภายนอกทานท 1 173 จ.2 ผลการพจารณาความส าคญปจจยของผเชยวชาญจากภายนอกทานท 1 173 จ.3 ผลการพจารณาปจจยความพรอมของผเชยวชาญจากภายนอกทานท 2 174 จ.4 ผลการพจารณาความส าคญปจจยของผเชยวชาญจากภายนอกทานท 2 175 จ.5 ผลการพจารณาปจจยความพรอมของผเชยวชาญจากภายนอกทานท 3 176 จ.6 ผลการพจารณาความส าคญปจจยของผเชยวชาญจากภายนอกทานท 3 176 จ.7 ผลการพจารณาปจจยความพรอมของผเชยวชาญจากภายนอกทานท 4 177 จ.8 ผลการพจารณาความส าคญปจจยของผเชยวชาญจากภายนอกทานท 4 178 จ.9 ผลรวมการพจารณาความพรอมของปจจยทเกยวของกบการเตรยมความพรอม 179

Page 15: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

(11)

ขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภย สารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง โดยผเชยวชาญฯ

จ.10 ผลรวมการพจารณาความส าคญของปจจยทเกยวของกบการเตรยมความพรอม 180 ขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภย สารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง โดยผเชยวชาญฯ

ฉ.1 ผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ 181 ฉ.2 สรปผลการตอบแบบประเมนความพรอมและความส าคญของปจจยทเกยวของกบ 190

การเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความ มนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยว แหงหนงของผดแลระบบฯ

Page 16: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

(12)

สารบญภาพ

ภาพท หนา 2.1 ความสมพนธระหวางการควบคมภายในและการตรวจสอบภายใน 26 2.2 ขนตอนในการบรหารความเสยงขององคกร 27 2.3 แผนภมความเสยง (Risk Map) 29 2.4 การประเมนความเสยง (Risk Assessment) 30 2.5 แสดงรป PDCA ของ มาตรฐาน ISO/IEC 27001 34 2.6 กรอบแนวคดการวจยการเตรยมความพรอมขององคกรเพอขอรบรองมาตรฐาน 52

การบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 3.1 แสดงขนตอนการศกษา 55 ก.1 กรอบแนวคดการวจยการเตรยมความพรอมขององคกรเพอขอรบรองมาตรฐาน 149

การบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 ข.1 กรอบแนวคดการวจยการเตรยมความพรอมขององคกรเพอขอรบรองมาตรฐาน 153

การบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 ช.1 แสดงขอความเชญชวน 191 ช.2 แสดงหนา Log in 192 ช.3 แสดงหนา Confirm Password 193 ช.4 แสดงหนา Confirm Password 194

Page 17: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

1

บทท 1 บทน า

1.1 ความเปนมาและความส าคญ

องคกรดานการทองเทยวแหงหนง มภารกจหลกในการสงเสรมการทองเทยวในประเทศ

ไทย ท าหนาทใหบรการและประชาสมพนธขอมลขาวสารแกผสนใจทงชาวไทยและชาวตางชาต ซงมการน าเอาเทคโนโลยสารสนเทศมาประยกตใชในองคกรเพอรองรบการปฏบตงานของบคลากรในการสนบสนนภารกจดงกลาว

ในยคทขอมลขาวสารมความส าคญ ทางองคกรจงใหความส าคญในการน าเอาแนวคดดานการจดการความมนคงปลอดภยสารสนเทศมาประยกตใช โดยบรรจอยในแผนแมบทเทคโนโลยสารสนเทศและการ ซงเปนแผนเฉพาะดานเทคโนโลยสารสนเทศขององคกร ซงขณะนอยในระหวางการด าเนนการ เพอใหองคกรมแผนในการบรหารจดการระบบสารสนเทศขององคกร โดยเนนการรกษาความปลอดภยของขอมลขององคกร ซงถอเปนสวนส าคญสวนหนงในการบรหารหนวยงานใหมประสทธภาพ และเพอใหมความมนคงปลอดภยเปนไปตามประกาศของคณะกรรมการธรกรรมอเลกทรอนกส เรองแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ. 2553 และพระราชกฤษฎกา วาดวยวธการแบบปลอดภยในการท าธรกรรมทางอเลกทรอนกส พ.ศ. 2553 โดยไดมการน าเอามาตรฐาน ISO/IEC 27001 ซงเปนมาตรฐานสากลดาน Information Security Management System มาเปนกรอบในการด าเนนงาน ประกอบกบองคกรแหงน จะตองด าเนนการดานสารสนเทศใหสอดคลองกบระบบประเมนคณภาพรฐวสาหกจ จงมความจ าเปนในการด าเนนการดานการจดการความมนคงปลอดภยสารสนเทศใหเปนไปอยางตอเนองตามมาตรฐานสากล

เพอใหองคกรมแผนในการบรหารจดการความมนคงปลอดภยสารสนเทศและเปนไปตามประกาศของคณะกรรมการธรกรรมอเลกทรอนกส และสอดคลองกบระบบประเมนคณภาพรฐวสาหกจ ผวจยจงเลงเหนความส าคญของการศกษาถงปจจยทเกยวของกบการบรหารจดการความมนคงปลอดภยสารสนเทศ เพอเตรยมความพรอมของหนวยงานกรณศกษา ในการเขารบการรบรองมาตรฐาน ISO/IEC 27001:2013 และประเมนวาในปจจบนองคกรมความพรอมในการเขารบการรบรองมาตรฐานฯ เพยงใด อกทงควรมการปรบปรงอยางไร เพอใหองคกรมความพรอมในการเขารบการรบรองมาตรฐานฯ ตอไป

Page 18: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

2

1.2 วตถประสงค

1.2.1 เพอศกษาปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง

1.2.2 เพอประเมนความพรอมขององคกรในปจจบนและความพรอมในการเขารบการรบรองมาตรฐานฯ

1.2.3 เพอเสนอแนะแนวทางในการการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 เพอใหสามารถเขารบการรบรองมาตรฐานฯ และผานเกณฑตามทก าหนด

1.3 ขอบเขตการวจย

1.3.1 ศกษา และวเคราะห เกยวกบการจดการความมนคงปลอดภยสารสนเทศ เพอเตรยมความพรอมของหนวยงาน ในการเขารบการรบรองมาตรฐาน ISO/IEC 27001:2013 โดยการการสมภาษณผบรหาร, สมภาษณผเชยวชาญดานการจดการความมนคงปลอดภยสารสนเทศจากภายนอกองคกร, การตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศและการทดสอบความพรอมของบคลากรในองคกร ดงน

1.3.1.1 ศกษามาตรฐานการจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013, กฎหมายและวรรณกรรมทเกยวของ

1.3.1.2 วเคราะหสถานะปจจบนขององคกร เปรยบเทยบกบมาตรฐาน ISO/IEC 27001:2013

1.3.1.3 ส ารวจความคดเหนและประเมนผลปจจยทเกยวของกบการเตรยมความพรอมฯ

1.3.1.4 วเคราะหปจจยทเกยวของในการเตรยมความพรอมขององคกร 1.3.1.5 สรปผลและจดท าขอเสนอแนะเพอสรางแนวทางปฏบตใหกบองคกร

1.3.2 ระยะเวลาของการท าวจยประมาณ 11 เดอน

1.4 ประโยชนทคาดวาจะไดรบ

Page 19: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

3

สามารถเตรยมความพรอมขององคกรเพอกาวสการเปนองคกรทมการบรหารจดการทเปนเลศตามนโยบายขององคกรและผานการรบรองมาตรฐานดานความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001:2013 1.5 นยามศพท

1.5.1 ความมนคงปลอดภยสารสนเทศ หมายถ ง การปองกนสารสนเทศและ

องคประกอบอนทเกยวของ ซงหมายถงการรกษาความปลอดภยทางขอมล (Information Security) มความหมายคอผลทเกดขนจากการใชระบบของนโยบายและ/ หรอระเบยบปฏบตทใชในการพสจนทราบ ควบคมและปองกนการเปดเผยขอมล (ทไดรบค าสงใหมการปองกน) โดยไมไดรบอนญาต

1.5.2 ความเสยง (Risk) หมายถง โอกาสทภยคกคามจะอาศยชองโหวทมอยบนทรพยสนเพอกอใหเกดความเสยหายตอทรพยสนหรอองคกร

1.5.3 ทรพยสน (Asset) หมายถง รายการทรพยสนทอยภายใตขอบเขตการขอรบรองมาตรฐานระบบบรหารจดการความมนคงปลอดภยสารสนเทศ ( ISMS) ซงแบงได 8 ประเภท คอ กระบวนการ ขอมลและสารสนเทศ ฮารดแวร ซอฟตแวร เนตเวรค บคลากร อาคารสถานท และบรการ

1.5.4 ภยคกคาม (Threat) หมายถง ปจจยซงมความเปนไปไดทจะท าใหเกดเหตการณทสรางความเสยหายตอทรพยสนและองคกร

1.5.5 ชองโหว (Vulnerability) หมายถง จดออนของทรพยสนหรอกลมของทรพยสนทสามารถน ามาเปนประโยชนตอภยคกคาม

1.5.6 ผลกระทบ (Impact) หมายถง การเปลยนแปลงในทางลบ มผลตอระดบของการบรรลวตถประสงคทางธรกจ

1.5.7 มาตรการควบคม (Control) หมายถง การจดการความเสยง รวมถงนโยบาย ขนตอนการปฏบต คมอการปฏบต โครงสรางองคกรซงสามารถเปนไดทงการจดการ เทคนค การบรหารหรอลกษณะทางกฎหมาย

1.5.8 ความเสยงคงเหลอ (Residual risk) หมายถง ความเสยงทหลงเหลอภายหลงการควบคมความเสยง

1.5.9 ความตอเนองทางธรกจ (Business Continuity: BC) หมายถง ความสามารถขององคกรในการสงมอบสนคาหรอบรการอยางตอเนองในระดบทยอมรบไดหลงจากเกดอบตการณ

Page 20: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

4

1.5.10 แผนความตอเนองทางธรกจ (Business Continuity Plan: BCP) หมายถง ขนตอนทเปนลายลกษณอกษรเปนแนวทางใหองคกรในการตอบสนอง การกคน การด าเนนตอ และการเรยกคนไปยงระดบทก าหนดไวลวงหนาเมอการด าเนนการหยดชะงก

1.5.11 การวเคราะหผลกระทบทางธรกจ (Business Impact Analysis: BIA) หมายถง กระบวนการวเคราะหกจกรรมและผลกระทบทางธรกจทเกดจากการหยดชะงกของกจกรรมนน

1.5.12 ระยะเวลาเปาหมายในการฟนคนสภาพ (Recovery Time Objective: RTO) หมายถง ระยะเวลาเปาหมายในการฟนคนสภาพหลงจากเกดอบตการณ โดยมเปาหมาย ดงน

1.5.12.1 สนคาและบรการตองกลบเขาสภาวะปกต 1.5.12.2 กจกรรมหรอกระบวนการตองกลบเขาสภาวะปกต 1.5.12.3 ทรพยากรตองกลบเขาสภาวะปกต

Page 21: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

5

บทท 2 วรรณกรรมและงานวจยทเกยวของ

ในการศกษาการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหาร

จดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ผวจยไดท าการศกษาถงความพรอมในดานตางๆ ท าการคนควา รวบรวมแนวคด ทฤษฎ และงานวจยตางๆ ทเกยวของ น ามาใชประกอบการศกษาวจยในครงน เพอวเคราะหองคกรทตองการศกษา ซงประกอบดวย

2.1 บรบทของงานวจย 2.2 แนวคดและทฤษฎทเกยวของ 2.2.1 แนวคดการบรหารจดการความมนคงปลอดภยสารสนเทศ 2.2.2 มาตรฐานความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2015 2.2.3 พระราชกฤษฎกา วาดวยวธการแบบปลอดภยในการท าธรกรรมทาง

อเลกทรอนกส พ.ศ. 2553 2.2.4 แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดาน

สารสนเทศของหนวยงานภาครฐพ.ศ. 2553 2.2.5 การควบคมภายใน, การตรวจสอบภายใน, การบรหารความเสยง, การ

บรหารความเนองทางธรกจ และการวเคราะหผลกระทบทางธรกจ ดานเทคโนโลยสารสนเทศ 2.3 ทบทวนวรรณกรรมทเกยวของ 2.4 สรปการทบทวนวรรณกรรมทเกยวของและกรอบแนวคดการวจย

2.1 บรบทของงานวจย

จากแผนวสาหกจฯ ในระดบองคทก าหนดหนงในเปาประสงคใหเปนองคกรทมการ

บรหารจดการทเปนเลศ (Operational Excellence) โดยเนนบรหารจดการเชงคณภาพ มภารกจส าคญคอการพฒนาระบบการบรหารจดการองคกรใหไดมาตรฐานสากล สแผนแมบทเทคโนโลยสารสนเทศและการสอสาร (แผนแมบทเทคโนโลยฯ) ซงเปนแผนเฉพาะดานเทคโนโลยสารสนเทศขององคกร เพอใหมโครงการทสอดคลองกบนโยบายระดบองคกร (แผนวสาหกจฯ) และเพอใหระบบสารสนเทศขององคกรมความมนคงปลอดภยและเปนไปตามประกาศของคณะกรรมการธรกรรมอเลกทรอนกส เรองแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของ

Page 22: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

6

หนวยงานของรฐ พ.ศ. 2553 และพระราชกฤษฎกา วาดวยวธการแบบปลอดภยในการท าธรกรรมทางอเลกทรอนกส พ.ศ. 2553 โดยในสวนของประกาศของคณะกรรมการธรกรรมอเลกทรอนกส เรองแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ พ .ศ . 2553 น น ไดม การน าเอามาตรฐาน ISO/ IEC 27001 ซ ง เป นมาตรฐานสากลด าน Information Security Management System มาเปนกรอบในการก าหนดขอก าหนดขนต าของความมนคงปลอดภยของแตละหนวยงาน ซงจะตองมการรายงานตอส านกงานคณะกรรมการธรกรรมทางอเลกทรอนกสดวย ประกอบกบ องคกรดานการทองเทยวน จะตองด าเนนการบรหารจดการดานเทคโนโลยสารสนเทศใหสอดคลองกบระบบประเมนคณภาพรฐวสาหกจ (SEPA) องคกรจงมความจ าเปนในการด าเนนการดานการจดการความมนคงปลอดภยสารสนเทศใหเปนไปอยางตอเนองตามมาตรฐานสากล และเขารบการตรวจประเมนเพอรบการรบรองจากสถาบนทมความนาเชอถอในระดบสากล อนจะสงผลใหองคกรมความนาเชอถอและกาวไปสองคกรทมการบรหารจดการทเปนเลศ ตามเปาประสงคขององคกรตอไป

2.2 แนวคดและทฤษฎทเกยวของ

2.2.1 แนวคดการบรหารจดการความมนคงปลอดภยสารสนเทศ ในปจจบนการน าระบบเทคโนโลยสารสนเทศและเครอขายเขามาใชในการท างาน

เพอเพมประสทธภาพไดเปนทยอมรบกนอยางแพรหลาย และมอตราการขยายตวมากขนอยางรวดเรวในชวง 5-10 ปทผานมา โดยสงผลใหรปแบบการท างาน และการด าเนนธรกจเปลยนไป ดงนน เพอเปนการอ านวยความสะดวกในการปฏบตงาน และการด าเนนธรกจจงมความจ าเปนตองมการรกษาความมนคงปลอดภยระบบเครอขายสารสนเทศ ในหนวยงานตางๆ จะมการจดท าแผนระบบบรหารจดการความมนคงปลอดภยสารสนเทศ เพอใหขอมลและระบบตางๆ คงอยในหลกการ CIA ประกอบไปดวย การรกษาความลบของขอมล (Confidentiality) เพอใหขอมลสารสนเทศ เปดเผยเฉพาะบคคล หรอระบบทไดรบอนญาตเทานน, ความสมบรณถกตองของขอมล ( Integrity) เพอเปนการยนยนวาขอมลสารสนเทศไมถกเปลยนแปลงไปจากของเดมโดยผทไมมสทธ หรอผทไมไดรบอนญาต, ความพรอมใชของขอมล (Availability) เพอใหระบบสารสนเทศมความพรอมใหบรการอยเสมอ เปนระบบททนทานตอความเสยหาย และไมท าใหการด าเนนงานหยดชะงก

มกระบวนการบรหารจดการความมนคงปลอดภยสารสนเทศ 4 ขนตอน คอ 2.2.1.1 การวางแผน (Plan หรอ Establish the ISMS) ในขนตอนนจะมการ

ประเมนความเสยงทมตอทรพยสนสารสนเทศ เพอเปนการเตรยมการปองกนกอนเรมใชงานทรพยสนเหลานน แลวท าการวางแผนเพอจดการความเสยงเหลานน

Page 23: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

7

2.2.1.2 การด าเนนการตามแผน (Do หรอ Implement and operate the ISMS ) ในขนตอนนเปนการด าเนนการตามแผนทไดวางไว

2.2.1.3 การเฝาระวงและตดตามการด าเนนการตามแผน (Check หรอ Monitor and review the ISMS) ในขนตอนนเปนการตดตามดวาการด าเนนการตามแผนนนเปนไปตามแผน และไดผลลพธตามทตองการหรอไม

2.2.1.4 การด าเนนการเพมเตมตามทเหนสมควร (Act หรอ Maintain and Improve the ISMS) ในขนตอนนเปนการด าเนนการเพมเตม กรณทท าการ Check แลวพบวามปญหาทตองท าการแกไข

วงจร Plan – Do – Check – Act นน เรมต งแต เรมมทรพยสนสารสนเทศ

จนกระทงน ามาใชงานกยงคงตองมการตรวจสอบเปนวงรอบอยอยางสม าเสมอ จนกระทงทรพยสน

เหลานนจะหมดอายการใชงาน

2.2.2 มาตรฐานความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2015 Humphreys [1] ผคดคนและไดท าการปรบปรงมาตรฐานระบบบรหารจดการ

ความมนคงปลอดภยสารสนเทศ (Information Security Management System Standard) ซงเป นท ร จ กก น ในนาม ISO/ IEC 27001 น น ทางองคกรระหวางประเทศว าด วยมาตรฐาน (International Organization for Standardization) หรอท เรยกกนในนาม “ไอเอสโอ” (ISO) ปจจบนไดประกาศไว ณ ป ค.ศ.2013 คอ มาตรฐาน ISO/IEC 27001:2013 ซงมผลในการรบรองมาตรฐานตงแตเดอน กนยายน ค.ศ.2013 และส าหรบองคกรทไดรบการรบรองมาตรฐานไปกอนหนาน ในเวอรชน 2005 จะตองด าเนนการปรบเปลยนการบรหารจดการใหสอดคลองตามมาตรฐานเวอรชนใหมนภายระยะเวลาทผรบรองมาตรฐานก าหนด ซงโดยปกต คอ 1 ป

สาระส าคญ ของขอก าหนดท ม ก ารเปล ยนแปลงในมาตรฐาน ISO/ IEC 27001:2013 ประกอบดวย 2 สวน คอ (1) ขอก าหนดกจกรรมการบรหารจดการ (2) มาตรการควบคมความมนคงปลอดภยสารสนเทศ โดยรายละเอยดปรากฏในหวขอถดไป

มาตรฐานระบบบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001 เวอรชน 2013 สามารถแบงเนอหาขอก าหนดออกเปน 2 สวน คอ

2.2.2.1 สวนท 1 ขอก าหนดระบบบรหารจดการ (Management System Requirements) โดยขอก าหนดในสวนน มงเนนไปทการบรหารจดการความมนคงปลอดภยสารสนเทศใหสอดคลองกบความตองการทางธรกจ โดยการทราบถงบรบทขององคกร (Context of the Organization) และจงน ามาวางแผนส าหรบการบรหารจดการ ก าหนดวตถประสงคและเปาหมายใหมความสอดคลองกบความตองการของผทองคกรใหความส าคญสนใจ ( Interested

Page 24: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

8

Parties) และจงน ามาวางแผนในการปฏบตเพอใหบรรลตามวตถประสงคและเปาหมาย มาตรฐานยงก าหนดใหมการด าเนนการตดตาม วดประสทธผลและก าหนดใหฝายบรหารเปนผ พจารณาประสทธผลของระบบบรหารจดการเพอจะไดน ามาปรบปรง (Improvement) ใหเกดประสทธผล

รายละเอยดขอก าหนดระบบบรหารจดการความมนคงปลอดภยสารสนเทศ (Information Security Management System Requirements) ประกอบดวยขอก าหนดจ านวน 7 หวขอ คอ

(1) บ รบ ท ขอ งอ งค ก ร (Context of The Organization) : อ งค ก รจ าเปนตองเขาใจถงบรบทขององคกร โดยพจารณาประเดนทเกยวของกบความมนคงปลอดภยซ งเกยวของกบองคกรและพจารณาจากผมสวนไดเสยทงภายในและภายนอกองคกร ซงองคกรใหความสนใจเฉพาะกลม จากนนจงพจารณาวาผทองคกรใหความสนใจ ( Interested Parties) มความตองการและความคาดหวงอะไรบางทเกยวของกบความมนคงปลอดภยสารสนเทศแลวจงก าหนดขอบเขตระบบบรหารจดการความมนคงปลอดภยสารสนเทศ (Scope) ซงองคกรจะตองก าหนด ลงมอปฏบต บ ารงรกษา และปรบปรงอยางตอเนองตอระบบบรหารจดการความมนคงปลอดภยสารสนเทศ โดยตองสอดคลองกบขอก าหนดในเอกสารมาตรฐาน หมายเหต : การก าหนดบรบทองคกรนจะตองพจารณาทงภายในและภายนอกองคกร ซงสอดคลองกบขอ 2.3 ของมาตรฐาน ISO 31000:2009

(2) ผน า (Leadership) : ผบรหารจะตองสนบสนน ผลกดน มอบหมายและก าหนดหนาทส าหรบการบรหารจดการความมนคงปลอดภยสารสนเทศ ก าหนดนโยบายความมนคงปลอดภยสารสนเทศและใหการสนบสนนตอทรพยากรทจ าเปนตอด าเนนงาน เชน ตองท าใหนโยบายความมนคงปลอดภยสารสนเทศและวตถประสงคความมนคงปลอดภยสารสนเทศมการก าหนดขนมาและมความสอดคลองกบกลยทธขององคกร ซงนโยบายความมนคงปลอดภยสารสนเทศนตองเหมาะสมกบจดประสงคขององคกร โดยตองสามารถเขาถงโดยบคลากรในหนวยงานในทกระดบรวมถงผทเกยวของตามความเหมาะสม โดยการจดท าเปนลายลกษณอกษร มการสอสารใหทราบโดยทวกนภายในองคกร ตองท าใหระบบการบรหารจดการบรรลผลลทธตามทก าหนดไว ตองท าการสงการและสนบสนนบคลากรในการปฏบตตามมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ มการสงเสรมาใหมการปรบปรงเนอหาใหทนสมยอยเสมอและตองสนบสนนบทบาทอนๆ ภายใตขอบเขตความรบผดชอบเพอแสดงภาวะผน า

(3) การวางแผน (Planning) : องคกรจะตองพจารณาถงความเสยงและโอกาสทเกยวของกบความสามารถในการบรรลวตถประสงคและเปาหมายของระบบบรหารจดการความมนคงปลอดภยสารสนเทศ โดยการประเมนความเสยงและการบรหารความเสยงความมนคง

Page 25: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

9

ปลอดภยสารสนเทศ และองคกรจ าเปนทจะตองวางแผนเพอใหมนใจวาสามารถจะบรรลวตถประสงคความมนคงปลอดภยสารสนเทศ ในการประเมนความเสยง องคกรจะมการก าหนดและปรบปรงเกณฑความเสยงดานความมนคงปลอดภยสารสนเทศ คอ เกณฑการยอมรบความเสยง และเกณฑส าหรบการประเมนความเสยง มการระบความเสยงดานความมนคงปลอดภยสารสนเทศ เชน ประยกตการกระบวนการประเมนความเสยง เพอระบความเสยงทเกยวของกบการสญเสยความลบ ความถกตองสมบรณ และสภาพความพรอมใชของสารสนเทศภายในขอบเขตของระบบบรหารจดการความมนคงปลอดภยสารสนเทศ และท าการระบเจาของความเสยง การวเคราะหความเสยงนนกระท าไดโดย ประเมนผลความเปนไปไดทจะเกดขน ถาความเสยงทระบไวเกดขนจรง มการประเมนโอกาสเกดของความเสยงทไดระบไว และก าหนดระดบของความเสยง ส าหรบการประเมนความเสยงนนจะตองท าการเปรยบเทยบผลการวเคราะหความเสยงกบเกณฑความเสยงทก าหนดไว และจดล าดบความเสยงทวเคราะหได เพอน าไปสการจดการทเหมาะสม การจดการคามเสยงดานความมนคงปลอดภยสารสนเทศนน องคกรจะตองท าการก าหนดทางเลอกทเหมาะสมในการจดการความเสยง โดยน าผลการประเมนความเสยงมาพจารณาดวย และมการก าหนดมาตรการเพอการด าเนนการตามทางทก าหนดไว โดยองคกรเองสามารถออกแบบมาตรการไดเองตามตองการ หรอระบมาตรการโดยอางองจากแหลงใดกได เชน เปรยบเทยบกบมาตรการใน Annex A ซงประกอบไปดวยรายการทงหมดของวตถประสงคของมาตรการและตวมาตรการของมาตรฐาน จากนนจดท าแสดงการใชมาตรการ (SOA : Statement of Applicability) ซงประกอบไปดวยมาตรการทจ าเปน และค าอธบายของเหตผลของการน าเอามาตรการนนมาใช และค าอธบายเหตผลของการไมใชมาตรการตาม Annex A มการจดท าแผนการจดการความเสยงดานความมานคงปลอดภยสารสนเทศและขอรบรบรองจากผเปนเจาของความเสยงส าหรบแผนจดการความเสยงดานความมนคงปลอดภยสารสนเทศ และการยอมรบส าหรบความเสยงทยงหลงเหลออย หมายเหต : กระบวนการประเมนและจดการความเสยงดานความมนคงปลอดภยสารสนเทศในมาตรฐานฉบบน สอดคลองกบหลกการและแนวทางทปรากฏในมาตรฐาน ISO 31000 องคกรจะตองมการก าหนดวตถประสงคด านความมนคงปลอดภยสารสนเทศในทกระดบทเกยวของ โดยวตถประสงคนตองสอดคลองกบนโยบายความมนคงปลอดภยสารสนเทศ สามารถวดไดเมอมการน าไปปฏบตจรง โดยจะตองน าความตองการดานความมนคงปลอดภยสารสนเทศ และผลการประเมนและจดการความเสยงมาพจารณาดวย มการสอสารใหผทเกยวของรบทราบ และตองมการปรบปรงใหเหมาะสมกบการเปลยนแปลงขององคกร เมอมการ

Page 26: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

10

วางแผนวธการทจะบรรลวตถประสงคดานความมนคงปลอดภยสารสนเทศแลว องคกรจะตองก าหนด สงทตองด าเนน ทรพยากรทตองใช ผรบผดชอบในการด าเนนการ ระยะเวลาทด าเนนการและวธประเมนผลการปฏบตการ ทงน องคกรจะตองมการจดเกบสารสนเทศทเกยวกบกระบวนการประเมนและการจดการความเสยงดาน และสารสนเทศส าหรบวตถประสงคความมนคงปลอดภยสารสนเทศ อยางเปนลายลกษณอกษรดวย

(4) การสนบสนน (Support) : องคกรจ าเปนตองมการสนบสนนทรพยากรทจ าเปนตอการบรหารจดการความมนคงปลอดภยสารสนเทศ มการก าหนดความร (Competence) ก า ร ส ร า งค ว าม ต ร ะ ห น ก (Awareness) ก า ห น ด ร ป แ บ บ ก า รส อ ส า ร (Communication) และก าหนดแนวทางการจดการเอกสาร (Document Management)

สมรรถนะ : ตองมการก าหนดสมรรถนะของบคลากร ภายใตการควบคม

ดแลขององคกร ซงสงผลตอประสทธภาพในการปฏบตงานดานความมนคงปลอดภยสารสนเทศ

สงเสรมใหบคลากรมความสามารถโดยการอบรมใหความร หรอจากประสบการณจากการท างาน ม

การด าเนนการตามความเหมาะสม เพอใหไดมาซงสมรรถนะทจ าเปน และประเมนผลสมฤทธของการ

ด าเนนการนน และจดเกบสารสนเทศทเหมาะสมเปนลายลกษณอกษร เพอเปนหลกฐานในการแสดง

สมรรถนะ

การสรางความตระหนก : บคลากรจะตองตระหนกถง นโยบายความมนคง

ปลอดภยสารสนเทศขององคกร มการรบรถงการมสวนรวมในผลสมฤทธของการด าเนนการดานความ

มนคงปลอดภยสารสนเทศ ตะหนกถงขอดของการปรบปรงประสทธภาพการปฏบตงานทเกยวของกบ

ความมนคงปลอดภยสารสนเทศ และตระหนกถงสงทจะเกดขน เมอไมปฏบตตามขอก าหนดของ

ระบบบรหารจดการดานความมนคงปลอดภยสารสนเทศ

การสอสาร : องคกรจะตองก าหนดความจ าเปนและรปแบบส าหรบการ

สอสาร เพอใหทราบทงภายในองคกรและภายนอกทเกยวของกบระบบบรหารจดการความมนคง

ปลอดภยสารสนเทศ

การจดการเอกสาร : จะตองมการจดการสารสนเทศทเปนลายลกษณอกษร

ซงก าหนดโดยมาตรฐานน โดยปรมาณของสารสนเทศทเปนลายลกษณอกษรนจะขนอยกบแตละ

องคกร ขนอยกบ ขนาดขององคกร ผลตภณฑ และบรการขององคกร รวมถงความซบซอนของ

กระบวนการและความสามารถของบคลากร เมอมการปรบปรงสารสนเทศทเปนลายลกษณอกษร

Page 27: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

11

องคกรตองพจารณาตามความเหมาะสม และมการทบทวนหรออนมตเพอความเหมาะสม สารสนเทศ

ทเปนลายลกษณอกษรนจ าเปนตองมส าหรบระบบบรหารจดการความมนคงปลอดภยสารสนเทศ

และตามมาตรฐานแลวตองมการควบคม เพอใหสารสนเทศนสามารถเขาถงและไดรบการปกปองได

อยางเหมาะสม รวมถงสารสนเทศทมาจากแหลงภายนอก ทองคกรก าหนดวามความจ าเปนตอการ

วางแผนและด าเนนการตามระบบจดการความมนคงปลอดภยสารสนเทศ ตองมการระบความจ าเปน

และตองมการควบคมเชนกน

(5) การปฏบตการ (Operation) : องคกรจะตองน าแผนการลดความเสยงและแผนปฏบตการทจะท าใหมนใจวาสามารถจะบรรลวตถประสงคขององคกรไดมาด าเนนการปฏบต และด าเนนการทบทวนและประเมนความเสยง ด าเนนการวางแผนการลดความเสยงตามผลการทบทวนและประเมนความเสยง

องคกรจะตองมการวางแผน ปฏบต และควบคมกระบวนการทจ าเปน

เพอใหสอดคลองกบความตองการดานความมนคงปลอดภยสารสนเทศเพอใหบรรลวตถประสงคของ

องคกร ตองมการเกบรกษาสารสนเทศทเปนลายลกษณอกษรทมความจ าเปน เพอใหมความมนใจวา

กระบวนการเหลานนไดมการด าเนนการตามแผน ตองมการควบคมการเปลยนแปลง โดยมการ

วางแผนลวงหนา และทบทวนผลของการเปลยนแปลงท เกดขนท เก ดขนโดยไมไดวางแผนไว

ด าเนนการเพอลดความสญเสยตามความจ าเปน

มการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศตามรอบ

ระยะเวลาทก าหนดไว หรอเมอมการเปลยนแปลง รวมถงตองลงมอปฏบตตามแผนจดการความเสยง

ทก าหนดไว และตองจดเกบสารสนเทศทเปนลายลกษณอกษร ซงเกดจากการประเมนและจดการ

ความเสยงดานความมนคงปลอดภยสารสนเทศ

(6) การประเมนสมรรถนะ (Performance Evaluation) : องคกรจะตองตดตามรายงานผลการด าเนนงานและผลการประเมนผล และจดใหมการตรวจสอบภายใน จากนนจงน าผลการตดตามประเมนผลและการตรวจสอบภายในรายงานตอผบรหารเพอใหพจารณาและสงการปรบปรงแกไข

องคกรจะตองมการประเมนประสทธภาพและประสทธผลและความไดผล

ของระบบบรหารจดการความมนคงปลอดภยสารสนเทศ โดยท าการเฝาระวง วดผล วเคราะห และ

ประเมน (Monitoring, Measurement, Analysis, Evaluation) องคกรจะตองมการก าหนดสงท

จ าเปนตอการเฝาระวงและวดผล ซงรวมถงกระบวนการและมาตรการดานความมนคงปลอดภย

Page 28: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

12

สารสนเทศ มการค านงถงวธการในการเฝาระวง วดผล วเคราะห และประเมน ตามความเหมาะสม

เพอใหไดผลการประเมนทถกตอง ส าหรบวธการทเลอกใชควรใหผลการประเมนทเปรยบเทยบไดและ

สามารถท าซ า เพอใหไดผลทถกตอง

องคกรจะตองด าเนนการตรวจประเมนภายในตามรอบระยะเวลาทก าหนด

ไว เพอใหมสารสนเทศส าหรบการระบไดวาระบบบรหารจดการความมนคงปลอดภยสารสนเทศนน

สอดคลองกบความตองการขององคกรและตรงตามขอก าหนดของมาตรฐาน มการปฏบตและ

บ ารงรกษา เชน มการวางแผน ก าหนด ลงมอปฏบต และบ ารงรกษาโปรแกรมการตรวจประเมน เชน

ความถ วธการ หนาทความรบผดชอบ ความตองการในการตรวจประเมนทก าหนดไว และการ

รายงานผล ส าหรบการตรวจประเมนจะตองน าความส าคญของกระบวนการทเกยวของและผลการ

ตรวจประเมนครงกอนมาพจารณารวมดวย มการก าหนดเกณฑการตรวจประเมนและขอบเขตของ

การตรวจประเมนในแตละครง เลอกผตรวจประเมนและด าเนนการตรวจประเมน ซงเปนไปตาม

ขอเทจจรง และมความเปนกลางของกระบวนการตรวจประเมน

ผบรหารระดบสงตองท าการทบทวนระบบบรหารจดการความมนคง

ปลอดภยสารสนเทศตามราอบระยะเวลาทก าหนดไว ตามความเหมาะสม โดยจะตองพจารณาในเรอง

สถานะของการด าเนนการจากผลทบทวนในครงกอน การเปลยนแปลงสงทเกยวของทงภายในและ

ภายนอกองคกรทเกยวของกบระบบบรหารจดการความมนคงปลอดภยสารสนเทศ ผลตอบกลบของ

ประสทธภาพและประสทธผลดานความมนคงปลอดภยสารสนเทศ ผลตอบกลบจากผทเกยวของ ผล

การประเมนความเสยงและสถานะของแผนการจดการความเสยง และโอกาสส าหรบการปรบปรง

อยางตอเนอง โดยผลการทบทวนของผบรหารน ตองรวมการตดสนใจเกยวกบโอกาสในการปรบปรง

อยางตอเนอง และความจ าเปนส าหรบการเปลยนแปลงตอระบบบรหารจดการความมนคงปลอดภย

สารสนเทศ

องคกรจะตองจดเกบสารสนเทศทเปนลายลกษณอกษรทเหมาะสม เพอใช

เปนหลกฐานในการเฝาระวงและวดผล และจดเกบหลกฐานแสดงผลการทบทวนของผบรหารดวย

(7) การปรบปรง (Improvement) : ผลจากการตดตามและผลการประเมน ผลจากการตรวจสอบภายในและมตทประชมของฝายบรหารจากการพจารณาผล จะตองน ามาพจารณาคนหาสาเหตของปญหาหรอสงทไมสอดคลองทเกดขน โดยคนหาจากสาเหตทแทจรงและก าหนดแนวทางในการแกไข (Corrective Action) ตลอดจนพจารณาถงสาเหตอนทอาจม

Page 29: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

13

ศกยภาพอนจะกอใหเกดความไมสอดคลองหรอปญหาในอนาคตและก าหนดแนวทางในการปองกนในอนาคต (Preventive Action)

เมอความไมสอดคลองเกดขน องคกรจะตองด าเนนการเพอควบคมและแกไขความไมสอดคลองนน และจดการกบผลทเกดขน ท าการประเมนความจ าเปนส าหรบการด าเนนการเพอขจดสาเหตของความไมสอดคลองเพอใหไมเกดขนซ าหรอไมใหเกดขนทอนอก โดยมการทบทวนความไมสอดคลอง ระบสาเหตของความไมสอดคลอง และระบความสอดคลองทอาจจะเกดขน มการด าเนนการแกไข ทบทวนของผงการด าเนนการแกไขทไดด าเนนไปและท าการเปลยนแปลงระบบบรหารจดการความมนคงปลอดภยสารสนเทศ เมอมความจ าเปน โดยการด าเนนการแกไขนตองเหมาะสมตอความไมสอดคลองทพบดวย

องคกรตองมการปรบปรงความเหมาะสม และประสทธผลของระบบบรหารจดการความมนคงปลอดภยสารสนเทศอยางตอเนอง

ทงนองคกรจะตองจดเกบสารสนเทศทเปนลายลกษณอกษรเพอใชเปนหลกฐานแสดง สภาพความไมสอดคลอง และการด าเนนการใดๆ รวมถงผลของการด าเนนการแกไข

2.2.2.2 ส วนท 2 ม าตรการควบค มความม น ค งปลอดภ ยส ารสน เท ศ (Information Security Controls) โดยขอก าหนดในสวนน มงเนนไปทการควบคมความมนคงปลอดภยสารสนเทศ ซงมมาตรการควบคมแบงออกเปน 14 สวนหลก แสดงไวในภาคผนวก A (Annex A) ของมาตรฐาน ISO/IEC 27001:2013 รายละเอยดมดงน

(1) นโยบายความมนคงปลอดภยสารสนเทศ ( Information Security Policies) : เปนมาตรการควบคมทก าหนดใหองคกรตองก าหนดทศทางและสนบสนนดานความมนคงปลอดภยสารสนเทศใหสอดคลองกบความตองการทางธรกจและสมพนธกบกฎระเบยบ กฎหมาย

องคกรจะตองมนโยบายส าหรบความมนคงปลอดภยสารสนเทศ (Policies

for Information Security) ทผานการอนมตโดยผบรหาร ทส าคญจะตองท าการเผยแพรและสอสาร

ใหพนกงานและหนวยงานภายนอกทเกยวของทราบดวย ตองมการทบทวนนโยบายตามรอบ

ระยะเวลาทก าหนดไว หรอเมอมการเปลยนแปลงทส าคญ เพอใหนโยบายมความเหมาะสมมากยงขน

(2) องคประกอบของความมนคงปลอดภยสารสนเทศ (Organizaton of Information Security) : ประกอบดวยการจดการภายในองคกร (Internal organization) การก าหนดบทบาทและหนาทดานความมนคงปลอดภยสารสนเทศ การแบงแยกหนาท การรวบรวมขอมลส าหรบตดตอผมอ านาจและตดตามขอมลดานความมนคงปลอดภยสารสนเทศ การบรหารจดการโครงการในดานความมนคงปลอดภยสารสนเทศ การควบคมความมนคงปลอดภยจากปฏบตงานภายนอก (Teleworking) และอปกรณโมบาย (Mobile devices)

Page 30: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

14

มการก าหนดหนาทความรบผดชอบใหชดเจน เพอปองกนการใชงาน

เปลยนแปลง หรอมการใชงานทรพยสนผดวตถประสงค โดยไมไดรบอนญาต เพอลดโอกาสเกด

เหตการณทไมพงประสงค

มการตดตอหนวยงานผมอ านาจทมสวนเกยวของหรอกลมทมความสนใจ

เปนพเศษในเครองเดยวกน เพอใหสามารถตดตอไดอยางตอเนอง

การบรหารโครงการใดๆ กตองมการระบความมนคงปลอดภยสารสนเทศ

ไวในโครงการนนๆ ดวย

ตองมนโยบายและมาตรการเพอน ามาใชงานสนบสนนการใชงานส าหรบ

อปกรณโมบาย เชน คอมพวเตอรแบบพกพา เพอบรหารจดการความเสยงทมตออปกรณดงกลาวและ

การปฏบตงานจากระยะไกล เพอปองกนการเขาถง การประมวลผล หรอการจดเกบขอมลจากการใช

งานจากสถานทดงกลาว

(3) ความมนคงปลอดภยดานทรพยากรบคคล (Human Resource Security) : ประกอบดวยการควบคมกอนการจางงาน (Prior to employment) ทตองมการตรวจสอบประวต การก าหนดเงอนไขดานความมนคงปลอดภยสารสนเทศกอนการจาง ในการตรวจสอบภมหลงของผสมครนนตองมการด าเนนการโดยมความสอดคลองกบกฎหมาย ระเบยบ ขอบงคบ และจรยธรรมท เกยวของ การควบคมระหวางการจางงาน (During Employment) ประกอบดวยการสอสารหนาท ความรบผดชอบจากฝายบรหาร การจดอบรมสรางความร ความตระหนกและการใหการศกษา และกระบวนการทางวนย เพอใหพนกงานหรอผทท าสญญาจางตระหนกและปฏบตตามหนาทความรบผดชอบดานความมนคงปลอดภยสารสนเทศของตนเอง และในสวนของกระบวนการทางวนยตองมการก าหนดอยางเปนทางการและสอสารใหพนกงานหรอผทท าสญญาจางไดรบทราบ เพอด าเนนการตอบคคลทละเมดความมนคงปลอดภยสารสนเทศขององคกร การควบคมเมอสนสดการจางหรอเมอมการเปลยนแปลงการจาง (Termination and Change of Employment) เพอปองกนผลประโยชนขององคกรซงเปนสวนหนงของกระบวนการเปลยนหรอสนสดสญญาจาง

(4) การจดการทรพยสน (Asset Management) : ประกอบดวยการก าหนดความรบผดชอบตอทรพยสน (Responsibility for Assets) ซงตองมการจดท าบญชทรพยสน การก าหนดผรบผดชอบดแล การก าหนดเงอนไขการใชงานทรพยสน และการคนทรพยสน การจดจ าแนกสารสนเทศ (Information Classification) ประกอบดวยแนวทางการจดจ าแนกสารสนเทศตามความส าคญ คณคาและความลบ การท าปายลาเบลและการจดการ การใชงานทรพยสนตามปาย

Page 31: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

15

ลาเบล เพอใหสารสนเทศไดรบระดบการปองกนทเหมาะสมโดยสอดคลองกบความส าคญของสารสนเทศนนทมตอองคกร มการจดการสอบนทกขอมล (Media Handling) โดยมขนตอนปฏบตส าหรบการบรหารจดการสอบนทกขอมลทถอดแยกได การท าลายสอบนทกขอมล การขนยายสอบนทกขอมล เพอปองกนการเปดเผยขอมลโดยไมไดรบอนญาต การเปลยนแปลง การขนยาย การลบ หรอการท าลายสารสนเทศทจดเกบอยบนสอบนทกขอมล

(5) การควบคมการเขาถง (Access Control) : ประกอบดวยการก าหนดนโยบายการเขาถงตามความตองการทางธรกจ (Business Requirements of Access Controlโดยมนโยบายควบคมการเขาถง ทตองก าหนดเปนลายลกษณอกษรและทบทวนตามความตองการทางธรกจและความตองการดานความมนคงปลอดภยสารสนเทศ การบรหารการเขาถงของผใชงาน (User Access Management) หนาทของผ ใช งาน (User Responsibilities) เพอใหผ ใช งานมความรบผดชอบในการปองกนขอมลการพสจนตวจน การควบคมการเขาถงทางระบบและแอพพลเคชน (System and Application Access Control) เพอปองกนการเขาถงระบบโดยไมไดรบอนญาต ควรมขนตอนปฏบตส าหรบการลอกอน (Log in) เขาระบบทมความปลอดภย (Secure Log-in Procedures) กรณมการก าหนดนโยบายควบคมการเขาถง ในการเขาถงระบบนนจะตองมการควบคมโดยผานทางขนตอนปฏบตส าหรบการลอกอนเขาระบบทมความมนคงปลอดภย หรอมระบบบรหารจดการรหสผาน (Password Management System) ซงตองมปฏสมพนธกบผใชงานและบงคบการตงรหสผานทมคณภาพ และการเขาถงซอรสโคดของโปรแกรม (Access Control to Program Secure Code) ทตองมการจ ากดและควบคม

(6) การเขารหสลบ (Cryptography) : เปนมาตรการควบคมส าหรบการรกษาความลบของขอมล โดยใหมการก าหนดนโยบายการใชงานมาตรการควบคมดวยรหสลบ และการจดการกญแจรหสลบ เพอใหมการใชการเขารหสขอมลอยางเหมาะสม และปองความลบ การปลอมแปลงหรอความถกตองของสารสนเทศ ตองมการจดท านโยบายการใชมาตรการเขารหสขอมลเพอปองกนสารสนเทศและนโยบายการใชงาน การปองกน และอายการใชงานของกญแจ

(7) ความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical and Environmental Security) : ประกอบดวยการก าหนดการควบคมพนททางกายภาพ การเขาถง การจดการพนท และการควบคมสภาพแวดลอมความปลอดภยใหมความเหมาะสม เชน การก าหนดขอบเขตหรอบรเวณโดยรอบทตองการรกษาความมนคงปลอดภย มการควบคมการเขาออกทางกายภาพ มการก าหนดพนทส าหรบรบสงสงของ (Delivery and Loading Area) หรอบรเวณอนๆ ทผไมไดรบอนญาตสามารถเขาถงพนทขององคกรได เปนตน ทางทดพนทดงกลาวควรแยกออกมาจากบรเวณทมอปกรณประมวลผลสารสนเทศ เพอหลกเลยงการเขาถงโดยไมไดรบอนญาต ชวยปองกนความเสยหายและการแทรกแซงระหวางการท างาน ทมตอสารสนเทศและอปกรณประมวลผล

Page 32: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

16

สารสนเทศขององคกร องคกรตองมการจดท าขนตอนปฏบตส าหรบการการปฏบตงานในพนททตองการรกษาความมนคงปลอดภยดวย

มการควบคมอปกรณ (Equipment) เพอปองกนการสญหาย การเสยหาย

การขโมย หรอเปนอนตรายตอทรพยสนและปองกนการหยดชะงกตอการด าเนนงานขององคกร โดยม

การจดตงและปองกนอปกรณ (Equipment Sitting and Protection) เพอลดความเสยงจากภย

คกคามและอนตรายดานสภาพแวดลอม ระบบและอปกรณสนบสนนการท างาน (Supporting

Utilities) โดยอปกรณตองไดรบการปองกนจากความลมเหลวของกระแสไฟฟาและการหยดชะงก

อนๆ ทมสาเหตมาจากการลมเหลวของระบบและอปกรณสนบสนนการท างานตางๆ ความมนคง

ปลอดภยของการเดนสายสญญาณและสายสอสาร (Cabling Security) ซงสงขอมลหรอสนบสนน

บรการสารสนเทศตองมการปองกนจากการขดขวางการท างาน การแทรกแซงสญญาณหรอการท าให

เสยหาย การบ ารงรกษา (Equipment Maintenance) โดยอปกรณตองไดรบการบ ารงรกษาอยาง

ถกตองและตองมสภาพความพรอมใชงานและการท างานทถกตองอยางตอเนอง การน าทรพยสนออก

นอกส านกงาน (Removal of Assets) ครอบคลมอปกรณ สารสนเทศ หรอซอฟตแวร เมอตองการ

การน าออกนอกส านกงาน จะตองท าการขออนญาตกอน ความมนคงปลอดภยส าหรบการก าจดหรอ

ท าลายอปกรณ หรอการน าอปกรณน าไปใชงานอยางอน (Secure Disposal of Re-use of

Equipment) ส าหรบอปกรณทมสอบนทกขอมล ตองมการตรวจสอบเพอใหมนใจวาขอมลส าคญหรอ

ซอฟตแวรทมใบอนญาต มการลบทงหรอเขยนทบอยางถกตอง กอนการก าจดอปกรณหรอกอนน า

อปกรณ ไปใชงานอยางอน อปกรณ ของผ ใช งานท ท งไว โดยไมมผ ด แล (Unattended User

Equipment) ผใชงานตองมการปองกนอปกรณททงไวในสถานทแหงหนง ณ ชวงเวลาหนงทไมม

ผดแลอยางเหมาะสม มการจดท านโยบายโตะท างานปลอดเอกสารส าคญและนโยบายการปองกน

หนาจอคอมพวเตอร (Clear Desk and Clear Screen Policy) เพอปองกนเอกสารกระดาษและสอ

บนทกขอมลทถอดแยกได ซงจะชวยปองกนการเขาถงทางกายภาพตอเอกสารและขอมลส าคญของ

องคกร

(8) ความมนคงปลอดภยทางการปฏบตการ (Operations Security) : ประกอบดวยการก าหนดหนาทความรบผดชอบและขนตอนปฏบตส าหรบปฏบตการ (Operational Procedures and Responsibilities) ท ตองมขนตอนปฏบต มการควบคมการเปลยนแปลง (Change management) การบรหารสมรรถนะ (Capacity Management) และการแบงแยก

Page 33: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

17

สภาพแวดลอมส าหรบการพฒนา การทดสอบและการใชงานจรง เพอลดความเสยงของการเขาถงหรอเปลยนแปลงสภาพแวดลอมส าหรบการใหบรการโดยไมไดรบอนญาต ตองมการปองกนมลแวร (Protection from Malware) ตองมมาตรการปองกนโปรแกรมไมประสงคด (Controls against Malware) เพอใหสารสนเทศและอปกรณประมวลผลสารสนเทศไดรบการปองกนจากโปรแกรมไมประสงคด มการปองกนและการกคนจากโปรแกรมไมประสงคด ซงอาจจะตองมการด าเนนการรวมกบการสรางความตระหนกใหกบผใชงานอยางเหมาะสม มการส ารองขอมล (Backup) เพอปองกนการสญหายของขอมล ซงตองมการด าเนนการส ารองไวและมการทดสอบความพรอมใชของขอมลอยางสม าเสมอตามนโยบายส ารองขอมล มการบนทกปมเหตการณและตดตาม (Logging and Monitoring) เพอใหมการบนทกเหตการณและจดท าหลกฐาน โดยเกบเปนขอมลลอกและขอมลนจะตองไดรบการปองกนจากการเปลยนแปลงแกไขและการเขาถงโดยไมไดรบอนญาต ส าหรบขอมล ลอกกจกรรมของผดแลระบบและเจาหนาทปฏบตการ (Administrator and Operator Logs) ตองมการปองและทบทวนอยางสม าเสมอ และตองมการตงนาฬกาใหถกตอง (Clock Synchronization) ซงเปนนาฬกาของระบบทเกยวของทงหมดภายในองคกร ซงตองมการตงใหตรงและถกตองเมอเทยบกบแหลงอางองเวลาแหงหนง เชน ส านกมาตร เปนตน มการควบคมซอฟตแวรทใชปฏบตการ (Control of Operational Software) ตองมขนตอนปฏบตส าหรบควบคมการตดตงซอฟตแวรบนระบบใหบรการอยมการท างานทถกตอง มการจ ากดการตดต งซอฟตแวร (Restrictions on Software Installation) ม ก า ร จ ด ก า ร ช อ ง โ ห ว ท า ง เท ค น ค (Technical Vulnerability Management) เพอปองกนการใชประโยชนจากชองโหวทางเทคนค มการควบคมเครองมอส าหรบการตรวจสอบระบบสารสนเทศ ตองมขนตอนปฏบตงานทเปนลายลกษณอกษรและตองสามารถเขาถงไดโดยผทจ าเปนใชงาน

(9) ความมนคงปลอดภยทางการสอสาร (Communications Security) : ประกอบดวยการจดการความมนคงปลอดภยทางเครอขาย (Network Security Management) ซงตองมการควบคมทางเครอขาย การก าหนดบรการทางเครอขายทใหบรการและการแบงแยกเครอขายทใชงาน และจดสงสารสนเทศ (Information Transfer) ซงตองมการก าหนดนโยบายและขนตอนปฏบต การก าหนดขอตกลงส าหรบ การจดสงสารสนเทศ การจดสงสารสนเทศทางอเลกทรอนกส การก าหนดขอตกลงในการรกษาความลบ และตองมการระบ ทบทวนอยางสม าเสมอ และบนทกไวเปนลายลกษณอกษร

(10) การจดหา พฒนาและบ ารงรกษาระบบ (System Acquisition, Development and Maintenance) : ประกอบดวยการก าหนดความตองการดานความมนคงปลอดภยสารสนเทศส าหรบระบบสารสนเทศ (Security Requirement of Information System) เพอท าการวเคราะหและก าหนดความตองการดานความมนคงปลอดภยสารสนเทศ ซงตองมการ

Page 34: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

18

รวมเขากบความตองการของระบบใหมหรอการปรบปรงระบบเดมทมอย การควบคมความมนคงปลอดภยในการพฒนาและกระบวนการสนบสนน (Security in Development and Support Processes) มการก าหนดกฎเกณฑส าหรบการพฒนาซอฟตแวร เมอมการเปลยนแปลงระบบตองปฏบตตามขนตอนปฏบตส าหรบควบคมการเปลยนแปลง (System Change Control Procedures) มการทบทวนทางเทคนคตอระบบหลงจากทมการเปลยนแปลงโครงสรางพนฐานของระบบ (Technical Review of Applications after Operating Platform Changes) การจางหนวยงานภายนอกพฒนาระบบ (Outsourced Development) ตองมการก ากบดแล เฝาระวง และตดตามกจกรรมการพฒนาระบบทจางหนวยงานภายนอกเปนผด าเนนการ มการทดสอบดานความมนคงปลอดภยของระบบ (System Security Testing) เปนการทดสอบคณสมบตดานความมนคงปลอดภยของระบบ ซงตองมการด าเนนการในระหวางทระบบอยในชวงการพฒนา มการทดสอบเพอรองรบระบบ (System Acceptance Testing) ซงจะตองมแผนการทดสอบและเกณฑทเกยวของเพอรองรบระบบทมการจดท าขนใหม ระบบทปรบปรง และระบบทมการเปลยนแปลงเวอรชน มการควบคมความปลอดภยบนขอมลทดสอบ (Test Data) เพอใหมการปองกนขอใหมการปองกนขอมลทน ามาใชในทดสอบ ตองมการคดเลอกขอมลทจะน ามาทดสอบอยางระมดระวง มการปองกนและควบคมการน ามาใชงาน

(11) ความสมพนธกบผใหบรการภายนอก (Supplier Relationships) : ประกอบดวยการควบคมความมนคงปลอดภยสารสนเทศส าหรบผใหบรการภายนอก (Information Security in Supplier Relationships) ทตองมการก าหนดขอตกลงและความรบผดชอบดานความมนคงปลอดภยสารสนเทศ เพอใหมการปองกนและลดความเสยงเกยวกบทรพยสนขององคกรทมการเขาถงโดยผใหบรการภายนอก ซงตองมการจดท านโยบายความมนคงปลอดภยสารสนเทศดานความสมพนธกบผใหบรการภายนอก (Information Security Policy for Supplier Relationships) เปนลายลกษณอกษร ตองมการก าหนดและตกลงกบผใหบรการภายนอก รวมถงขอก าหนดและตกลงกบผใหบรการภายนอกเรองทเกยวของกบการเขาถง การประมวลผล การจดเกบ การสอสาร และการใหบรการโครงสรางพนฐานของระบบส าหรบสารสนเทศขององคกรโดยผใหบรการภายนอก (Addressing Security within Supplier Agreements) และการตองมการระบความเสยงอนเกดจากหวงโซการใหบรการเทคโนโลยสารสนเทศและการสอสารโดยผใหบรการภายนอก การบรหารการใหบรการ (Supplier Service Delivery Management) เพอใหมการรกษาไวซงระดบความมนคงปลอดภยและระดบการใหบรการตามทตกลงกนไวในขอตกลงการใหบรการของผใหบรการภายนอก มการตดตามและทบทวนของผใหบรการภายนอกอยางสม าเสมอ (Monitoring and Review of Supplier Services) และมการจดการการเปลยนแปลงของผ ใหบรการภายนอก (Managing Changes to Supplier Services) รวมทงการปรบปรงนโยบาย ขนตอนปฏบต และมาตรการทใชอย

Page 35: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

19

ในปจจบน โดยตองน าระดบความส าคญของสารสนเทศ ระบบ และกระบวนการทางธรกจทเกยวของมาพจารณาดวย และมการทบทวนการประมนความเสยงใหมดวย

(12) การจดการกบ อบ ต ก ารณ ความม น คงปลอดภ ยสารสน เทศ (Information Security Incident Management) : ประกอบดวยขนตอนปฏบตส าหรบจดการกบอบตการณ การรายงานเหตการณและจดออนดานความมนคงปลอดภยสารสนเทศ การประเมนและการตดสนใจส าหรบเหตการณดานความมนคงปลอดภยสารสนเทศ การตอบสนองตออบตการณความมนคงปลอดภยสารสนเทศ และการรวบรวมหลกฐาน เพอใหมวธการทสอดคลองกนและไดผลส าหรบการบรหารจดการเหตการณซงรวมถงการแจงสถานการณและจดออนดานความมนคงปลอดภยสารสนเทศ มการก าหนดหนาทความรบผดชอบและขนตอนปฏบต (Responsibilities and Procedure) เพอใหมการตอบสนองอยางรวดเรว ไดผล และเปนไปตามล าดบ มการรายงานสถานการณความมนคงปลอดภยสารสนเทศ (Reporting Information Security Events) ผานชองทางการบรหารจดการทเหมาะสมและรายงานอยางรวดเรวทสดเทาทจะท าได มการรายงานจดออนความมนคงปลอดภยสารสนเทศ (Reporting Information Security Weaknesses) ซงพนกงานและผทท าสญญาจางทมการใชงานระบบและบรการสารสนเทศขององคกรตองสงเกตและรายงานจดออนความมนคงปลอดภยสารสนเทศในระบบหรอบรการทสงเกตพบหรอสงสยตอผทเกยวของ มการประเมนและตดสนใจตอสถานการณความมนคงปลอดภยสารสนเทศ (Assessment of and Decision on Information Security Events) วาสถานการณนนจดเปนเหตการณความมนคงปลอดภยสารสนเทศหรอไม มการตอบสนองตอเหตการณความมนคงปลอดภยสารสนเทศ (Response to Information Security Incidents) เพอจดการกบปญหาตามขนตอนปฏบตทจดท าไวเปนลายลกษณอกษร มการเรยนรจากเหตการณความมนคงปลอดภยสารสนเทศ (Learning from Information Security Incidents) โดยการน าความรทไดรบจากการวเคราะหและแกไขเหตการณความมนคงปลอดภยสารสนเทศมาใช เพอลดโอกาสหรอผลกระทบของเหตการณทจะเกดขนในอนาคต มการรวบรวมหลกฐาน (Collection of Evidence) โดยองคกรจะตองมการก าหนดและประยกตใชขนตอนปฏบตส าหรบการราบ รวบรวม จดหา และการจดเกบสารสนเทศทสามารถใชเปนหลกฐาน

(13) การจดการความตอเนองทางธรกจในมตความมนคงปลอดภยส า ร ส น เท ศ ( Information Security Aspects of Business Continuity Management) : ประกอบดวยการวางแผนความตอเนองในการด าเนนธรกจ (Planning Information Security Continuity) องคกรตองมการก าหนดความตองการดานความมนคงปลอดภยสารสนเทศและดานความตอเนองในสถานการณทเกดความเสยหายขน เชนในชวงทเกดวกฤตหรอภยพบตจนไมสามารถปฏบตงานไดตามปกต การเตรยมการและการประยกตใชงานแผน (Implement Information

Page 36: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

20

Security Continuity) องคกรตองก าหนดและจดท าเปนลายลกษณอกษร น าไปปฏบต และปรบปรงกระบวนการ ขนตอนปฏบตและมาตรการ เพอใหไดระดบความตอเนองดานความมนคงปลอดภยสารสนเทศทก าหนดไว เมอมสถานการณความเสยหายเกดขน การทดสอบและทบทวนความตอเนองทางธรกจ (Verify, Review and Evaluate Information Security Continuity) โดยตองมการตรวจสอบมาตรการสรางความตอเนองทไดเตรยมไวตามรอบระยะเวลาทก าหนดไว เพอใหมนใจวามาตรการเหลานนยงถกตองและไดผลเมอมสถานการณความเสยหายเกดขน การใชงานอปกรณส ารอง (Redundancies) เพอจดเตรยมสภาพความพรอมใชของอปกรณประมวลผลสารสนเทศ โดยอปกรณนตองมการเตรยมการส ารองไวอยางเพยงพอเพอใหตรงตามความตองการดานสภาพความพรอมใชทก าหนด

(14) การปฏบตตาม (Compliance) : ประกอบไปดวยการปฏบตตามกฎ ระเบยบ กฎหมายทก าหนด (Compliance with legal and contractual requirements) เพอหลกเลยงการละเมดขอผกพนในกฎหมาย ระเบยบขอบงคบ หรอสญญาจาง ทเกยวของกบความมนคงปลอดภยสารสนเทศ และทเปนทตองการดานความมนคงปลอดภย มการระบความตองการทงหมดทเกยวของกบกฎหมาย ระเบยบขอบงคบ และสญญาจาง (Identification of Applicable Legislation and Contractual Requirements) รวมทงวธการขององคกรเพอใหสอดคลองกบความตองการดงกลาว ตองมการระบอยางชดเจน จดท าเปนลายลกษณอกษร และปรบปรงใหทนสมย สทธในทรพยสนทางปญญา (Intellectual Property Rights) ตองมการก าหนดขนตอนปฏบตทเหมาะสม เพอใหมนใจวามความสอดคลองกบความตองการทางกฎหมาย ระเบยบขอบงคบ และสญญาจางทวาดวยเรองสทธในทรพยสนทางปญญาและการใชผลตภณฑซอฟตแวรทมกรรมสทธ มการปองกนขอมล (Protection of Records) ส าหรบขอมลขององคกรนนตองไดรบการปองกนจากการสญหาย การถกท าลาย การปลอมแปลง การเขาถงโดยไมไดรบอนญาต และการเผยแพรโดยไมไดรบอนญาต โดยตองสอดคลองกบความตองการของกฎหมาย ระเบยบขอบงคบ สญญาจาง และความตองการทางธรกจ รวมถงความเปนสวนตวและการปองกนขอมลสวนบคคล (Privacy and Protection of Personal Identifiable Information)และระเบยบขอบงคบส าหรบมาตรการการเขารหสขอมล (Regulation of Cryptographic Controls) ตองมการด าเนนการใหสอดคลองกบกฎหมายและระเบยบขอบงคบทเกยวของดวย การทบทวนความมนคงปลอดภยสารสนเทศ (Information security reviews) ตองมการทบทวนตามรอบระยะเวลาทก าหนดไวหรอเมอมการเปลยนแปลง มการด าเนนการทบทวนความสอดคลองกบนโยบายและมาตรฐานดานความมนคงปลอดภย (Compliance with Security Policies and Standards) ทตนเองรบผดชอบอยอยางสม าเสมอ ซงรวมถงขนตอนปฏบต โดยเทยบกบนโยบาย มาตรฐานและความตองการดานความมนคงปลอดภยทเกยวของ และมการทบทวนความสอดคลองทางเทคนค (Technical Compliance Review) ของระบบ ซงตองไดรบการทบทวนอย

Page 37: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

21

อยางสม าเสมอเพอพจารณาความสอดคลองกบนโยบายและมาตรฐานดานความมนคงปลอดภยสารสนเทศขององคกร

2.2.3 พระราชกฤษฎกา วาดวยวธการแบบปลอดภยในการท าธรกรรมทางอเลกทรอนกส พ.ศ. 2553 พระราชกฤษฎกาฉบบนจะเนนทวธการแบบปลอดภยในการท าธรกรรมทางอเลกทรอนกส โดยใหความส าคญกบความมนคงปลอดภยสารสนเทศในดานตางๆ อยบนพนฐานของหลก CIA ประกอบไปดวย การรกษาความลบของขอมล (Confidentiality) เพอใหขอมลสารสนเทศ เปดเผยเฉพาะบคคล หรอระบบทไดรบอนญาตเทานน, ความสมบรณถกตองของขอมล ( Integrity) เพอเปนการยนยนวาขอมลสารสนเทศไมถกเปลยนแปลงไปจากของเดมโดยผทไมมสทธ หรอผทไมไดรบอนญาต, ความพรอมใชของขอมล (Availability) เพอใหระบบสารสนเทศมความพรอมใหบรการอยเสมอ เปนระบบททนทานตอความเสยหาย และไมท าใหการด าเนนงานหยดชะงก มวตถประสงคเพอ สงเสรมการบรหารจดการความมนคงปลอดภยของทรพยสนสารสนเทศ สงทองคกรจะไดรบประโยชนคอ เปนการเพมความปลอดภยและความมนคงของระบบ ชวยลดความสญเสยหรอความเสยหายทคาดวาจะเกดขนจากเหตการณทไมไดคาดการณไว เปนการยกระดบความมนคงปลอดภยดานสารสนเทศและความนาเชอถอ เนองจากในปจจบนการใชเทคโนโลยสารสนเทศและการสอสารเขามามบทบาทส าคญตอการด าเนนการของภาครฐและเอกชน จงมการสงเสรมใหทกหนวยงานมการบรหารจดการและรกษาความมนคงปลอดภยของสนทรพยสารสนเทศในการท าธรกรรมทางอเลกทรอนกส อกทงในมาตราท 25 แหงพระราชบญญตวาดวยธรกรรมทางอเลกทรอนกส พ.ศ. 2544 บญญตไววาใหธรกรรมใดทไดกระท าตามวธการแบบปลอดภยทก าหนดไวในพระราชกฤษฎกา ใหถอวาเปนวธการทเชอถอได

2.2.4 แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานภาครฐพ.ศ. 2553 เพอใหหนวยงานภาครฐมแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ เพอใหการด าเนนการใดๆ ดวยวธการทางอเลกทรอนกส มความมนคงปลอดภยและนาเชอถอ รวมทงเพอสรางความเชอมนตอการท าธรกรรมทางอเลกทรอนกสในทกรปแบบใหเปนทยอมรบในระดบสากล และเพอเปนการสงเสรมและผลกดนใหประเทศสามารถยกระดบการแขงขนกบประเทศอนๆได ทางคณะอนกรรมการธรกรรมทางอเลกทรอนกส จงไดก าหนดแนวนโยบายและแนวปฏบตนขนมา โดยอาศยความในมาตรา 5 มาตรา 7 และมาตรา 8 แหงพระราชกฤษฎกาก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ.

Page 38: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

22

2549 เพอใหเปนแนวทางเบองตนใหหนวยงานของรฐใชในการก าหนดนโยบาย และขอปฏบตในการด าเนนการรกษาความมนคงปลอดภยสารสนเทศ หนวยงานของรฐตองมนโยบายในการรกษาความมนคงปลอดภยสารสนเทศของหนวยงานเปนลายลกษณอกษร มการจดการการเขาถงหรอการควบคมการใชสารสนเทศ มการจดใหมระบบสารสนเทศและระบบส ารองระบบสารสนเทศซงอยในสภาพพรอมใชงาน และจดท าแผนเตรยมความพรอมกรณฉกเฉน เพอใหสามารถใชงานสารสนเทศไดอยางตอเนอง และตองมการตรวจสอบและประเมนความเสยงดานสารสนเทศอยางสม าเสมอ อกทงหนวยงานของรฐตองจดท าขอปฏบตทสอดคลองกบนโยบายการรกษาความมนคงปลอดภยสารสนเทศขององคกร ตอจากนนตองท าการประกาศนโยบายและขอปฏบตดงกลาวใหผทเกยวของทงหมดทราบ เพอใหเขาถง เขาใจและปฏบตตามนโยบายและขอปฏบตนนได อกทงหนวยงานตองก าหนดผรบผดชอบตามนโยบาย และขอปฏบตดงกลาวใหชดเจน สดทายหนวยงานของรฐตองมการทบทวน ปรบปรงนโยบายและขอปฏบตใหเปนปจจบนอยเสมอ

2.2.5 การควบคมภายใน, การตรวจสอบภายใน, การบรหารความเสยง, การบรหารความเนองทางธรกจ และการวเคราะหผลกระทบทางธรกจ ดานเทคโนโลยเทศสารสนเทศ

2.2.5.1 การควบคมภายใน ดานเทคโนโลยสารสนเทศ

การควบคมภายใน หมายถง กระบวนการทก าหนดใหมขนเพอใหเกดความมนใจในการด าเนนงาน จะบรรลวตถประสงค 3 ประการ

(1) ประสทธผล และ ประสทธภาพ ของการด าเนนงาน (2) ความเชอถอได ของการรายงานทางการเงน (3) การปฏบตตามกฎหมาย และระเบยบขอบงคบ

Romney and Steinbart (2552) ไดกลาวไวเกยวกบการควบคมภายในดานเทคโนโลยสารสนเทศไววา เปนกระบวนการทใชเปนเครองมอโดยคณะกรรมการบรหาร ฝายบรหาร และผทอยภายใตการควบคมของฝายบรหาร เพอจดท าใหมนใจวา บรรลวตถประสงคในดานตาง ๆ ดงน

(1) การคมครองปองกนสนทรพย ประกอบดวย ปองกน ตรวจพบ จากการใชโดยผไมมหนาทไดอยางทนทวงท

(2) การรกษาไวซงรายการทบนทกสนทรพยใหมรายละเอยดอยางเพยงพอ

(3) การจดเตรยมสารสนเทศทถกตองแมนย าและเชอถอได

Page 39: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

23

(4) รายงานทางการเงนจดท าถกตองการหลกการบญชทรบรองทวไป

(5) การสงเสรมและพฒนาการด าเนนงานอยางมประสทธภาพ รายไดและคาใชจายมผมอ านาจเปนผสงการ

(6) กระตนใหเกดการยดมนในการก าหนดนโยบายการบรหาร การควบคมภายในของระบบสารสนเทศ แบงออกเปน 2 ประเภท 1. การควบคมทวไป (General Control)

(1) ควบคมการบรหารระบบสารสนเทศ (2) ควบคมการจดการความปลอดภย (3) ควบคมอปกรณเทคโนโลยสารสนเทศ

2. การควบคมระบบงาน (Application Control) ปองกน ตรวจพบ และแกไข ความผดพลาดของรายการคาและการ

ทจรตของขอมลในระบบ ตงแตการบนทกเขา การประมวลผล การจดเกบการสงตอไประบบอนและการรายงาน

ในการควบคมภายในนน มกรอบงานการควบคมทส าคญ 3 กรอบงาน ไดแก

(1) กรอบงาน COBIT ( Control Objectives for Information and related Technology ) ไดรบการการพฒนาจาก สมาคมผตรวจสอบและควบคมระบบสารสนเทศ ซงเปนกรอบงานความปลอดภยของขอมลในระบบสารสนเทศ และควบคมแนวปฏบตทางดานเทคโนโลยสารสนเทศ ปจจบนท ใชงานจะเปนเวอรชน 5 ซงกรอบงาน COBIT นชวยสนบสนนฝายบรหารในการสรางสมดลระหวางความเสยงและการควบคมสารสนเทศ สรางความมนใจใหกบผใชในดานการรกษาความปลอดภย

(2) กรอบงานการควบคมภายในของ COSO มองคประกอบทตองพจารณา 5 หวขอ คอ สภาพแวดลอมการควบคม (Control Environment), การประเมนความเสยง (Risk Assessment), กจกรรมการควบคม (Control Activities), ขอมลสารสนเทศ และการสอสารในองคกร (Information and Communication), การตดตามและประเมนผล (Monitoring)

(3) กรอบงานการบรหารความ เส ย งท วท งองคกร COSO’s Enterprise Risk Management

2.2.5.2 การตรวจสอบภายใน

Page 40: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

24

การตรวจสอบภายใน คอ กจกรรมการใหความเชอมน (Assurance) และการใหค าปรกษา (Consulting) อยางเทยงธรรมและเปนอสระ ซงจดใหมขนเพอเพมคณคาและปรบปรงการปฏบตงานขององคกรใหดขน ซงจะชวยใหองคกรบรรลถงเปาหมายทวางไว ดวยการประเมนและปรบปรงประสทธภาพของกระบวนการบรหารความเสยง การควบคมและการก ากบดแลอยางเปนระบบ มวตถประสงคเพอชวยผปฏบตงานในองคกรใหท างานในหนาทความรบผดชอบของแตละคนไดอยางมประสทธภาพมประสทธผลและเปนการสงเสรมใหมการควบคมอยางมประสทธภาพภายใตคาใชจายทเหมาะสม

ส าหรบดานเทคโนโลยสารสนเทศนน ครรชต มาลยวงศ (2554) มประเดนส าคญทตองค านงถง ดงน

(1) ความลบ (Confidentiality) หมายถง ขอมลจะเขาถงเพอใชงานไดเฉพาะผทไดรบอนญาตเทานน

(2) ความถกตอง (Integrity) หมายถง ขอมลมความนาเชอถอ แมนย า และเปนปจจบน

(3) ความพรอมใช (Availability) หมายถง การใชทรพยสน IT เพอปฏบตการใหเปนไปตามขอตกลงระดบการใหบรการ (Service Level Agreement = SLA)

เรานยมเรยกประเดนเหลานยอ ๆ วา CIA สวนใหญแลวจะมขอบเขตการตรวจสอบ เชน

(1) การควบคมขนตน คอ ตรวจสอบวาผบรหารสนใจในเรองการควบคม การวางแผนกลยทธ ทศทาง งบประมาณ ฯลฯ หนวยงานมนโยบายทวไปเกยวกบการใชเทคโนโลยสารสนเทศ มการวดผลการประเมนความเสยง ธรรมาภบาลดานเทคโนโลยสารสนเทศและการปฏบตตามกฎระเบยบขอบงคบและนโยบายดานการซอไลเซนส (License) การใชซอฟตแวร (Software) เปนตน

(2) การด าเนนการของศนยไอท คอ การตรวจสอบเงอนไขทางดานกายภาพ และสงแวดลอม เชน ความมนคงทางกายภาพ ระบบพลงงาน ภยคกคามจากมนษย และธรรมชาต บรการยามฉกเฉน มการวางแผนสมรรถนะ และความพรอมใหบรการ มขนตอนการกระบบ การส ารองทงใน และนอกสถานทตง และมการวางแผนการกระบบ และการวางแผนปฏบตงานอยางตอเนอง

(3) โครงสรางพนฐานเครอขายและอปกรณ คอ การตรวจสอบอปกรณตาง ๆ เชน เราเตอร (Router) สวตช (Switch) ไฟรวอลล (Firewall) และอปกรณอน ๆ

Page 41: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

25

พรอมงานประยกต มการประเมนโครงแบบระบบ (Configuration) และการกระบบ ตรวจสอบเรองความมนคง และการก ากบดแล ความมนคงทางกายภาพ มการวเคราะหระบบการตรวจจบ เปนตน

(4) ระบบไรสายและบรการอปกรณพกพา (Mobile) มการประเมนระบบเครอขายสนบสนนงานอปกรณพกพา และการก าหนดนโยบาย สถานภาพ และวธการเขารหสลบส าหรบงานอปกรณพกพา สอบทานวธการเขาถงและความมนคงดานสารสนเทศ มการประเมนจดใหบรการ และความพอเพยงของสญญาณ

(5) ระบบปฏบตการ มการ การเลอก และบรหารระบบปฏบตการ มการจดการระบบแพทช (การซอมแซมโปรแกรม) มนโยบาย และการบรหารความมนคงปลอดภยสารสนเทศ เชนมนโยบายกลม การบรหารรหสผาน การบรหารการแบงกนใชขอมล เปนตน มการปดกนการใหบรการ ไมยอมใหงานบรการทไมจ าเปน มลกษณะการบนทกการใชงานและการประเมนการใชงาน

(6) ฐานขอมล และระบบสารสนเทศ มการประเมนงานประยกต ประกอบดวย การตรวจสอบสทธในการใช (license) การใชงาน และการปรบใหเปนปจจบน (update) มการวเคราะหเครองบรการฐานขอมล (Database server) เชน การตรวจสอบความมนคง สมรรถนะ และการใชงาน มการตรวจสอบเวบและการประยกตองอนเทอรเนต เชน การบนทกการใชงานและความมนคง มการตรวจสอบการฝกอบรมผใชทางดานการใชอนเทอรเนต และอเมล เปนตน

(7) การด าเนนงานโครงการ มการตรวจสอบกระบวนการรวบรวมขอก าหนดความตองการของระบบใหม มตรวจสอบเอกสารของระบบและการจดการความเปลยนแปลง มการพจารณาก าหนดเวลาด าเนนการ งบประมาณ และรายงานในโครงการวาสอดคลองนาเชอหรอไม มการประเมนการทดสอบโครงการ และตรวจสอบการวางแผนความมนคงปลอดภยสารสนเทศ

กลาวโดยสรปคอ การตรวจสอบไอทมความจ าเปนตอหนวยงานทกแหง (ทงภาครฐ และเอกชน) เพราะในปจจบนหนวยงานจ าเปนตองใชไอทเปนเครองมอส าคญในการปฏบตงาน และบรหารจดการ หากระบบไอทมปญหา หนวยงานอาจไดรบผลกระทบอยางรนแรงจนถงกบไมสามารถปฏบตงานได สงผลใหเกดปญหาอนๆ ตามมาได

Page 42: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

26

ภาพท 2.1 ความสมพนธระหวางการควบคมภายในและการตรวจสอบภายใน

2.2.5.3 การบรหารความเสยงดานเทคโนโลยสารสนเทศ

ส านกงานพฒนาระบบราชการหรอ ก.พ.ร. (2557) ไดระบวาสวนราชการตองมการวางระบบบรหารความเสยงของระบบฐานขอมลและสารสนเทศ โดยตองด าเนนการดงตอไปน

(1) มการบรหารความเสยงเพอก าจด ปองกนหรอลดโอกาสเกดความเสยหายในรปแบบตางๆ โดยสามารถฟนฟระบบสารสนเทศ และการส ารองและกคนขอมลจากความเสยหาย

(2) มการจดท าแผนแกไขปญหาจากสถานการณความไมแนนอนและภยพบตทอาจเกดขนกบระบบสารสนเทศ

(3) มระบบรกษาความมนคงปลอดภยของระบบฐานขอมล (4) มการก าหนดสทธของผใชในแตละระดบ

Page 43: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

27

ภาพท 2.2 ขนตอนในการบรหารความเสยงขององคกร (สบคนจาก http://www.audit.psu.ac.th/pdf/risk/risk3-57.pdf ) เมอวนท 14 เมษายน 58

การประเมนความเสยง สามารถวเคราะหไดจาก

(5) โอกาสเกด (L : Likelihood) เปนระดบของโอกาสหรอความบอยครงทจะเกดความเสยง เชน

1 = โอกาสเกดนอยทสด/รนแรงนอยทสด

2 = โอกาสเกดนอย/รนแรงนอย

3 = โอกาสเกดปานกลาง/รนแรงปานกลาง

4 = โอกาสเกดมาก/รนแรงมาก

ทบทวนการบรหารความ

เสยง

ระบปจจยเสยง

วเคราะหความเสยง

ก าหนดมาตรการ

จดการความเสยง

ตดตาม รายงาน

ประเมนผล

ระดบความเสยง = L x I

Page 44: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

28

5 = โอกาสเกดมากทสด/รนแรงมากทสด

(6) ผลกระทบ (I : Impact) คอระดบความรนแรงของความเสยงทเกดขน เชน

ตารางท 2.1 ตวอยางผลกระทบตอองคกร (ดานเวลา)

ผลกระทบ ความเสยหาย ระดบคะแนน สงมาก

สง ปานกลาง

นอย นอยมาก

ท าใหเกดการลาชาของโครงการ มากกวา 6 เดอน ท าใหเกดการลาชาของโครงการ มากกวา 4.5 เดอน ถง 6 เดอน ท าใหเกดการลาชาของโครงการ มากกวา 3 เดอน ถง 4.5 เดอน ท าใหเกดการลาชาของโครงการ มากกวา 1.5 เดอน ถง 3 เดอน

ท าใหเกดการลาชาของโครงการ ไมเกน 1.5 เดอน

5 4 3 2 1

ตารางท 2.2 ตวอยางผลกระทบตอองคกร (ดานชอเสยง) ผลกระทบ ความเสยหาย ระดบคะแนน

สงมาก สง

ปานกลาง นอย

นอยมาก

มการเผยแพรขาวทงจากสอภายในและตางประเทศเปนวงกวาง มการเผยแพรขาวเปนวงกวางในประเทศและมการเผยแพรขาวอย

วงจ ากดในตางประเทศ มการลงขาวในหนงสอพมพในประเทศหลายฉบบ 2-3 วน

มการลงขาวในหนงสอพมพในประเทศบางฉบบ 1 วน ไมมการเผยแพรขาว

5 4 3 2 1

ท าการจดล าดบความเสยงโดย

(7) รวมคะแนนระหวางโอกาสทจะเกดความเสยหาย/ผลกระทบ เพอจดล าดบความส าคญและใชในการตดสนใจวาความเสยงใดควรเรงจดการกอน

(8) จดท าแผนภมความเสยงเพอใหผบรหารและคนในองคกรไดเหนภาพรวมวาความเสยงมการกระจายตวอยางไร

Page 45: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

29

ภาพท 2.3 แผนภมความเสยง (Risk Map)

เมอไดผลของระดบความเสยงจากทรพยสนตางๆ แลว ใหพจารณาเกณฑระดบความเสยงทยอมรบได ดงน ตารางท 2.3 เกณฑระดบความเสยงทยอมรบได

ระดบความเสยงทยอมรบได ระดบความเสยงทตองด าเนนการควบคม

เขยว สสม

สเหลอง สแดง

หมายเหต เกณฑการยอมรบความเสยงไมใชแคการระบความเสยงคงเหลอวาต ากวาหรอสงกวาเกณฑ ในบางกรณอาจจะมการยอมรบความเสยงคงเหลอทไมตรงกบเกณฑ เชน มคาใชจายในการลดความเสยงทสงและไมสามารถยอมรบได โดยในกรณนจะตองมการระบเหตผลก ากบทกครง

กรณทระดบความเสยงทค านวณไดนนเปนสสมหรอสแดง ใหท าการพจารณาแนวทางใดแนวทางหนงในการจดการความเสยงดงน

1) การลดความเสยง (Risk Reduction)

2) การรบความเสยง (Risk Retention )

3) การหลกเลยงความเสยง (Risk Avoidance)

4) การถายโอนความเสยง (Risk Transfer)

Page 46: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

30

ในกรณทระดบความเสยงทค านวณไดนนเปนสเขยวหรอสเหลอง ใหด าเนนการควบคมและเฝาระวงตดตามความเสยงอยางใกลชดตอไป

สามารถสรปขนตอนการประเมนความเสยงไดดงน

ภาพท 2.4 การประเมนความเสยง (Risk Assessment)

2.2.5.4 การบรหารความเนองทางธรกจ ดานเทคโนโลยสารสนเทศ

แตละองคกรจะตองมการจดท าแผนความตอเนองทางธรกจ ดานเทคโนโลยสารสนเทศ (Business Continuity Plan for IT) เพอวตถประสงคดงตอไปน

(1) เพอก าหนดแผนทชดเจน และเปนลายลกษณอกษรส าหรบการด าเนนการในกรณเกดอบตการณ

(2) เพอก าหนดโครงสรางในการด าเนนแผนความตอเนองทางธรกจดานเทคโนโลยสารสนเทศทสอดคลองกบแผนความตอเนองทางธรกจหลก

(3) เพอลดผลกระทบจากการหยดชะงกในการด าเนนธรกจหรอการใหบรการ

(4) เพอบรรเทาความเสยหายใหอยระดบทยอมรบได

ในการวดผลส าเรจของการด าเนนการตามแผนความตอเนองทางธรกจ ดานเทคโนโลยสารสนเทศ สามารถท าไดโดย การเปรยบเทยบระหวางคา RTO ทก าหนด และคา

Page 47: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

31

RTO ทใชจรงในการกคน และน ามาประเมนผล ในกรณทคา RTO ทใชในการกคนมคามากกวา RTO ทก าหนด ควรมการพจารณาปรบกลยทธความตอเนองทางธรกจ ทงน เพอใหสามารถกคนระบบไดตามเปาหมายทก าหนดไว และเพอไมใหมผลกระทบตอความตอเนองทางธรกจ

ส าหรบแผนความตอเนองทางธรกจ ดานเทคโนโลยสารสนเทศ ควรไดรบการทบทวน และปรบปรงใหเปนปจจบนอยางสม าเสมอ อยางนอยปละ 1 ครง หรอเมอมการเปลยนแปลงอยางมนยส าคญ เพอใหแนใจวาสามารถน าแผนไปใชงานไดอยางมประสทธผลและประสทธภาพ

ในการพจารณาเรมการใชแผนความตอเนองทางธรกจ ดานเทคโนโลยสารสนเทศ ตองเปนไปตามค าสงคณะกรรมการอ านวยการศนยปฏบตการในภาวะภยพบต (Business Continuity Management Steering Committee) โดยทตองมความสอดคลองกบแผนความตอเนองทางธรกจ

มการก าหนดบทบาท ความรบผดชอบ และอ านาจการตดสนใจ เพอใหแผนความตอเนองทางธรกจ ดานเทคโนโลยสารสนเทศ สามารถน าไปปฏบตใชไดอยางมประสทธภาพและเกดประสทธผล จงมการจดตงคณะบรหารความตอเนอง (BCP Team) รวมถงก าหนดบทบาท ความรบผดชอบ และอ านาจการตดสนใจ โดยคณะบรหารความตอเนอง

มการจดท าแผนแผนจดการอบตการณเพอเปนแนวทางในการบรหารจดการ เมอมอบตการณ (Incident) เกดขน โดยท าเปนขนตอนปฏบต มการระบบทบาทหนาทอยางชดเจน และรายละเอยดขนตอนกระบวนการกลบสภาวะปกต เมอเหตนนไดยตลงแลว

2.2.5.5 การวเคราะหผลกระทบทางธรกจ ดานเทคโนโลยสารสนเทศ การว เค ราะห ผ ล กระท บ ท างธ รก จ (Business Impact Analysis :

BIA) เปนกระบวนการขนตอนหนงในการพฒนาระบบบรหารความตอเนองทางธรกจ (Business Continuity Management System; BCMS) ซง BIA เปนกระบวนการในการวเคราะหกจกรรมตางๆ และผลกระทบตอกจกรรมดงกลาวหากภารกจของหนวยงานหรอองคกรเกดการหยดชะงกข น (Business impact analysis = process of analyzing activities and the effect that a business disruption might have upon them) อนเนองมาจากการไดรบผลกระทบจากปจจยเสยงทมากระทบองคกร ซงการวเคราะหผลกระทบทางธรกจดานเทคโนโลยสารสนเทศนเปนกระบวนการวเคราะหโดยการพจารณาแตละกจกรรมหรอกระบวนการทส าคญตามขอบเขตทก าหนด เชน ระบบงานทมความส าคญ หรอการใหบรการสารสนเทศทส าคญ เพอท าความเขาใจผลกระทบทเกดขนหากเกดการหยดชะงกรวมถงวเคราะหความตองการของผใชงานและผมสวนไดสวนเสยทอาจ

Page 48: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

32

ไดรบผลกระทบจากการหยดชะงกของระบบงานหรอฟงกชนงานทส าคญนน เพอหาระดบการยอมรบไดในการหยดชะงกของภารกจททงองคกรและลกคาหรอผมสวนไดสวนเสยสามารถยอมรบได หลงจากนนองคกรจงน าผลการวเคราะห BIA ทไดไปก าหนดกลยทธ (Strategy) ในการรบมอกบสภาวะวกฤตขององคกรเมอไดรบผลกระทบ จดท าแนวทางหรอรปแบบการลดหรอบรรเทาความเสยง (Risk Treatment) และรวบรวมขอมลท ไดจากการวเคราะหและแนวกลยทธดานเทคโนโลยสารสนเทศสารสนเทศ ไปจดท าแผนบรหารความตอเนองทางธรกจ (Business Continuity Plan : BCP) ดานเทคโนโลยสารสนเทศ เพอใชรบมอกบสภาวะวกฤตทองคกรเปนผทไดรบผลกระทบตอไป 2.3 ทบทวนวรรณกรรมทเกยวของ

งานวจยเรอง “โครงการเตรยมความพรอมการบรหารจดการดานความมนคงปลอดภย

สารสนเทศ กรณศกษาหนวยงานของรฐ” ศรชช จตรสายชล (2556) ไดท าการศกษาหนวยงานภาครฐแหงหนง ซงมโครงการ

พฒนาและขยายการใหบรการแกประชาชนเพมขน ไดมน าเอาระบบเทคโนโลยสารสนเทศมาใชเพอเพมความสะดวกใหกบบคลากรและผทเขามารบบรการ เพอใหมนใจวาระบบสารสนเทศสามารถใหบรการและใชงานไดเปนอยางด หนวยงานจงควรน าเอาระบบบรหารจดการ ทางดานความปลอดภยระบบสารสนเทศมาประยกตใช ซงจะท าใหองคกรมนโยบาย ขนตอน กระบวนการ และแนวทางในการบรหารจดการทางดานความมนคงปลอดภยระบบสารสนเทศ สงผลใหมความพรอมในการบรหารงานทางดานความเสยงของระบบสารสนเทศ และองคกรยงสามารถน าแนวทางมาใชในการแกปญหาการบรหารจดการทางดานความมนคงปลอดภยระบบสารสนเทศไดอกทางหนงดวย

หลกการของการออกแบบโครงสรางระบบ ISO/IEC 27001:2005 ใชรปแบบ PDCA Model (Plan Do Check Act) ซงเปนโครงสรางแบบเดยวกบระบบการบรหารสากลทวโลก และเปนมาตรฐานทไดรบการยอมรบ ส าหรบองคกรทยงไมมระบบการจดการใดๆเลย กสามารถน ามาประยกตใชกบองคกรไดไมยาก

แนวคดหลกของการจดท าระบบบรหารดานความมนคงปลอดภยสารสนเทศนน เปนการจดการความมนคงปลอดภยของขอมลเพอ

- Confidentiality เพอใหแนใจวาขอมลตางๆ สามารถเขาถงไดเฉพาะผทมสทธทจะเขาเทานน

- Integrity ปองกนใหขอมลมความถกตองและสมบรณ - Confidentiality เพอใหแนใจวาผทมสทธเขาถงขอมลสามารถเขาถงไดเมอ

ตองการ

Page 49: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

33

ในการศกษาครงน ไดมการประเมนและวเคราะหความเสยงของหนวยงาน มการเปรยบเทยบนโยบายองคกรทใชอยในปจจบนกบมาตรฐาน ISO 27001 ไดขอสรปวาหนวยงานยงไมมผลกระทบทรายแรงตอระบบสารสนเทศ ยกเวนปญหาเรองของบคลากรทควบคมดแลระบบเทคโนโลยสารสนเทศ ทยงขาดความรความเขาใจในระบบความปลอดภยสารสนเทศ การเปลยนแปลงผบรหาร และงบประมาณในการพฒนาทางดานสารสนเทศ แตจากการศกษาหนวยงานยงไมเคยรบผลกระทบใดๆ เนองจากบคลากรมการปฏบตตามกฎระเบยบอยางเครงครด

ฤทธ อนทราวธ (2556) ไดใหแนวคดเกยวกบเทคโนโลยสารสนเทศกบความพรอมของกองทพบกวา ประเทศไทยก าลงกาวเขาสสงคมประชาคมเศรษฐกจอาเซยน (AEC) ในระดบประเทศไทยเองกไดมการเตรยมความพรอมในดานตางๆ ทงการเมอง เศรษฐกจ สงคม วฒนธรรมและดานความมนคง เพอรองรบ โอกาส วกฤต และความทาทาย

กองทพบก ซงเปนหนวยงานหลกดานความมนคงของประเทศหนวยงานหนง ไดมการเตรยมการและเตรยมความพรอมในดานตางๆ เชนกน โดยไดด าเนนการพฒนาและขบเคลอนกองทพบกในแตละปมาโดยตลอดอยางตอเนอง ทงดานการบรหารจดการ ดานการฝก และดานการพฒนาบคลากร เพอใหมความพรอม ซงปจจบนกองทพบกมการเตรยมความพรอมเพอกาวสอนาคตในดานเทคโนโลยสารสนเทศ สามารถทจะประยกตใชในงานตางๆ ไดอยางเหมาะสม

เทคโนโลยสารสนเทศ เปนปจจยหลกในการพฒนาองคกรใหมความทนสมยและเกดประสทธภาพในดานตางๆ เชน ดานการบรหารจดการ ดานกระบวนการท างาน ดานพฒนาทรพยากรมนษย ดานสวสดการและการบรการตนเอง องคกรใดทสามารถน าเอาเทคโนโลยสารสนเทศมาประยกตใชไดอยางเหมาะสม จะสงผลใหองคกรไดรบประโยชนจากเทคโนโลยสารสนเทศอยางเตมทและมประสทธภาพ

ในการปฏบตการทางทหาร (Military Operations) ในปจจบนไดมการเผชญกบภยคกคามรปแบบใหมๆ รวมถงการปฏบตการทางทหารทไมใชการท าสงคราม (Military Operations Other Than War : MOOTW) มความจ าเปนตองบรณาการใชเทคโนโลยสารสนเทศมาประยกตใชกบเทคโนโลยทางทหาร เชน ระบบลาดตระเวน (Reconnaissance System), ระบบเฝาตรวจ (Surveillance System), ระบบรบสงขอมลดาวเทยม (Remote Sensing System) เปนตน ซงจะชวยปองกนและลดความสญเสยทอาจจะเกดขน และเพอเพมความสะดวกสบายใหกบผทน าไปใชงานอกดวย อกทงยงสามารถประยกตใชกบการฝกปฏบตการและการซอมรบ ดวยระบบจ าลองยทธ (Battle Simulation System) เปนการฝกจ าลองสถานการณรบดวยระบบสารสนเทศ เพอการแกปญหาของผบงคบหนวยและฝายอ านวยการ เพอการประเมนความรความสามารถ สมรรถนะ และศกยภาพในขนตอนกระบวนการแกปญหาตางๆ ในการรบ รวมถงการตดสนใจของผบงคบหนวย เปนตน

Page 50: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

34

ดงนนการเตรยมความพรอมของกองทพบกในป 2558 นน กองทพบกไดเลงเหนถงประโยชนและความส าคญของการน าเทคโนโลยสารสนเทศมาประยกตใช เพอมงสการเปนกองทพททนสมย มมาตรฐานในระดบสากล และเปนทยอมรบของประเทศตางๆ

ปญญา บญญาภวฒน (2553) ใหความส าคญกบระบบเทคโนโลยสารสนเทศ เนองจากในปจจบนน มหลายองคกร ทงภาครฐและภาคเอกชน ทประกอบธรกรรมโดยใชระบบเทคโนโลยสารสนเทศเปนหลก จงตองมการบรหารจดการความมนคงปลอดภยดานสารสนเทศอยางเปนระบบ รวมถงจะตองมการขอรบรองมาตรฐานจากองคกรทใหการรบรองวาสามารถด าเนนการตามมาตรฐานความมนคงปลอดภยดานสารสนเทศตามทก าหนดในการบรหารจดการความมนค งปลอดภย (Information Security Management System : ISMS) เพอเปนการสรางความมนใจวาองคกรจะสามารถปองกนการโจมต หรอเมอมการโจมตแลวสามารถตอบสนองไดทนทวงท หรอมวธการในการจดการ รวมถงการส ารองขอมลขององคกร เพอใหสามารถด าเนนงานไดอยางตอเนอง โดยทขอมลและระบบงานตางๆ มความมนคงปลอดภยและสมบรณ

วธการบรหารจดการดานความมนคงปลอดภยสารสนเทศนน จะตองท าตามวธมาตรฐาน ISMS โดยใช ISO/IEC 27001 ตามภาพท 2.5

ภาพท 2.5 แสดงรป PDCA ของ มาตรฐาน ISO/IEC 27001 (ทมาhttp://itm0069.exteen.com /20090224/entry-2) เมอวนท 14 เมษายน 58

การใชวธการนชวยใหองคกรสามารถด าเนนการปรบปรงความปลอดภยของสารสนเทศ

ไดอยางตอเนอง การบรหารโดย ISMS มขนตอนดงน

ความตองการดานความมนคงและรกษาความ

ปลอดภย

บคลากรทเกยวของ

ไดผลลพธความมนคงปลอดภยตามคาดหมาย

ผไดรบประโยชน

PlAN DO

CHECKACT

Page 51: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

35

ตารางท 2.4 ขนตอนการบรหารตามแนวทาง ISMS

ขนตอน การด าเนนงาน ผลลพธ

1 นยามขอบเขต ISMS ขอบเขตงาน ISMS

2 นยามขอบเขต ISMS นโยบาย ISMS

3 นยามความเสยงตอระบบสารสนเทศ บนทกวธการประเมนความเสยงประเภทตางๆ

4 หาความเสยงทได รายการของความเสยง, โอกาสทถกโจมตส าหรบแตละความเสยงและผลกระทบ

5 ด าเนนการประเมนความเสยง รายงานผลกระทบ และโครงการทอาจเกดขน

6 การจดการกบความเสยง ประเมนวธการจดการความเสยงทางเลยง และความเสยง และวธการควบคม

7 เลอกวตถประสงคควบคม และวธการ

รายงานวตถประสงคควบคมและวธควบคม

8 ขออนมตความเหนชอบจากผบรหารในเรองความเสยงทเหลอทยงไมไดจดการ

รายงานความเสยงทเหลออยทยงไมไดจดการ

9 ขออนมตใหด าเนนการ ISMS ได ค าอนมตของผบรหารใหด าเนนการ ISMS ได

10 เตรยมรายงานวตถประสงคการควบคม

วธควบคม และหรอเขตทไมควบคมรายงานการจดการความเสยง

ประโยชนทไดจากการน า ISMS ไปปฏบตในองคกร คอ ท าใหองคกรมแนวทางในการ

ปฏบตเมอองคกรประสบกบปญหาดานความมนคงปลอดภย สามารถบรหารจดการไดอยางเปนระบบ ทงยงท าใหทราบวาจดใดทมความเสยงสง ทงนจะตองไดรบความรวมมอจากบคลากรในองคกร ตองมความเขาใจถงความส าคญของการบรหารจดการดานความมนคงสารสนเทศดวย ทงนเรองการเกดความเสยหายตอขอมล สนทรพย ผปฏบตงาน และความมนคงแหงชาตนนเปนสงททกหนวยงานตองชวยกนก ากบ ดแลอยางมประสทธภาพ

ถนอมศร เตมานวตร และ ไสว ศรทองถาวร (2554) ท าการวจยเกยวกบการปรบปรงกระบวนใหบรการงานสารสนเทศ โดยประยกตใชมาตรฐานบรหารความปลอดภยของขอมลสารสนเทศ ISO/IEC 27001 ของหนวยงานราชการระดบกรมแหงหนง มวตถประสงคเพอปรบปรง

Page 52: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

36

กระบวนการการใหบรการสารสนเทศ และตรวจสอบความเหมาะสมของกระบวนการใหบรการสารสนเทศทไดปรบปรงกระบวนการ แนวคดการบรหารคณภาพทงองคการ TQM, หลกการ PDCA, มาตรฐาน ISO/IEC 27001 และ QC story

มการเกบรวบรวมขอมลในการประเมนองคกรเบองตน ท าการรวบรวมขอบกพรองในกระบวนการใหบรการระบบสารสนเทศ และท าการประเมนความเสยงในกระบวนการใหบรการสารสนเทศ โดยไดก าหนดขนตอนการประเมนความเสยงอางองมาตรฐาน NIST ในการวเคราะหขอมลนน ผวจยใชเทคนคการประชมระดมสมอง เพอวเคราะหสภาพปญหาปจจบนขององคกร ท าการประเมนความเสยง เพอวเคราะหและประเมนหาระดบความเสยงในระบบสารสนเทศ ส าหรบใชเปนเกณฑส าคญในการก าหนดแผนควบคมความเสยง ท าการวเคราะหหาสาเหตขอบกพรองทเกดขนในการบวนการใหบรการสารสนเทศ และวเคราะหเปอรเซนตความสอดคลองกบมาตรฐาน ISO./IEC 27001

จากการวจยพบวา ความบกพรองในงานบรการสารสนเทศมแนวโนมลดลงหลงมการปรบปรงกระบวนการ แตกยงมความเสยงทยงหลงเหลออย และเพอเปนการรกษาคณภาพหลงการปรบปรง จงจ าเปนตองมการประเมนความเสยงและวางแผนควบคมอยเสมอ อยางนอยปละหนงครงหรอทกครงทกระบวนการมการเปลยนแปลง ส าหรบปจจยทมผลตอประสทธภาพกระบวนการใหบรการสารสนเทศนนมสามประการ ไดแก บคลากรทยงไมมความตระหนกในเรองความมนคงปลอดภยเทาทควร ยงมพฤตกรรมบางประการ เชน ใชงานโปรแกรมละเมดลขสทธ น าขอมลส าคญออกมาเปดเผยภายนอก เปนตน เรองการจดการกระบวนการทยงขาดการบรหารจดการกระบวนการทมประสทธภาพและไมไดรบการตดตามอยางสม าเสมอ และปจจยทางกายภาพและเทคโนโลย ทขาดการดแล ไมไดก าหนดสทธในการเขาถงพนทและอปกรณสารสนเทศ มการใชงานทผดวตถประสงค และใชงานเทคโนโลยสารสนเทศไมเตมประสทธภาพ

เดชาวต นชานนท (2555) ไดศกษาเกยวกบการจดท านโยบายรกษาความมนคงปลอดภยสารสนเทศขององคกร กรณศกษาส าหรบบรษท สนแพทย จ ากด (โรงพยาบาลสนแพทย) โดยใหผลการศกษาในมมมองของธรกจโรงพยาบาล ทตองน าเอาระบบสารสนเทศมาใชในการสนบสนนการบรหารและการใหบรการตอลกคาเพอใหเกดความพงพอใจสงสด ซงทางโรงพยาบาลยงขาดนโยบายความมนคงปลอดภยสารสนเทศทครอบคลม อนจะสงผลกระทบตอการด าเนนการทางธรกจ ท าลายภาพลกษณ และอาจจะสญเสยโอกาสทางดานธรกจได จงมความจ าเปนททางโรงพยาบาลจะตองมการจดท านโยบายความมนคงปลอดภยสารสนเทศ และตองมการประเมนความเสยงจากทรพยสนดานสารสนเทศ โดยน าขอก าหนดมาตรฐาน ISO/IEC 27001 มาวเคราะห เมอไดผลการวเคราะหแลวจงน ามาจดท าเปนนโยบายความมนคงปลอดภยระบบสารสนเทศตอไป เพอเปนขอก าหนดและแนวปฏบตของบคลากร อนจะสงผลใหความเสยงดานสารสนเทศลดลง หรอ

Page 53: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

37

บรรเทา หรอไมเกดซ า ซงจะชวยใหระบบสารสนเทศมความมนคงปลอดภยมากขน ทงยงชวยสงเสรมดานภาพลกษณ ท าใหการบรการลกคาสามารถด าเนนการไดอยางมประสทธภาพ สงผลในเรองการด าเนนธรกจ ท าใหเปนทยอมรบและไววางใจของลกคา

ระบบเทคโนโลยสารสนเทศนบวามความส าคญตอโรงพยาบาล จงมความจ าเปนตองพฒนา, ทบทวนและปรบปรงนโยบายความมนคงปลอดภยสารสนเทศใหเปนปจจบนอยเสมอ เพอปองกนชองโหวจากตวนโยบายและเพอรองรบเทคโนโลยทเปลยนแปลงไป และรองรบการเตบโตขององคกร ในแงของบคลากรควรจะมการใหความรเพอสรางความตระหนกถงผลกระทบทจะตามมาหากไมปฏบตตามนโยบายความมนคงปลอดภยสารสนเทศและควรก าหนดบทลงโทษทเหมาะสม

รงอรณ นรนดรเรอง และ วภา เจรญภณฑารกษ (2557) ไดท าการศกษา การพฒนาแนวทางการจดการความมนคงปลอดภยสารสนเทศ ดานการควบคมการเขาถงระบบสารสนเทศตามมาตรฐาน ISO/IEC 27001:2013 ส าหรบโรงพยาบาลคลองใหญ จ.ตราด ทางโรงพยาบาลไดมการน าเทคโนโลยสารสนเทศเขามามสวนในกระบวนการรกษาพยาบาลและจดการภายในตางๆ โดยมการเชอมระบบสารสนเทศทงหมดผานทางอนเตอรเนตและอนทราเนต ซงขอมลทงหมดถกเกบไวในฐานขอมลของโรงพยาบาล เพอใหมประสทธภาพในการในการใหบรการ สะดวก รวดเรวไดมาตรฐานตามการรบรองคณภาพมาตรฐานโรงพยาบาลหรอ Hospital Accreditation (HA) ซงเปนมาตรฐานทกระทรวงสาธารณสขไดก าหนดใหทกโรงพยาบาลในสงกดทวประเทศไดรบการรบรอง ซงในมาตรฐานดงกลาวนนไดมขอก าหนดเกยวกบการจดการระบบสารสนเทศและการจดการดานการรกษาความมนคงปลอดภยของสารสนเทศ ซงโรงพยาบาลน เปนโรงพยาบาลชมชนของรฐบาลทยงไมมกระบวนการบรหารจดการเกยวกบ การควบคมการเขาถงระบบสารสนเทศตามแนวทางการจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 อนจะสงผลใหเกดชองโหวในการเขาถงขอมลทส าคญตางๆ ของโรงพยาบาล เชน ขอมลประวตผปวย หรอขอมลบคลากร เปนตน จากการประเมนความเสยงตามมาตรฐาน ISO/IEC 27001:2013 พบวา โรงพยาบาลมความเสยงอยหลายดาน โดยเฉพาะดานการควบคมการเขาถงระบบสารสนเทศ (Access Control) โดยรวมพบวาขาดนโยบายและแนวทางปฏบตดานการควบคมการเขาถงระบบสารสนเทศทปลอดภยอยางครอบคลม ซงจะท าใหเกดความไมปลอดภยตอระบบสารสนเทศของโรงพยาบาล สงผลกระทบโดยตรงตอผรบบรการ ผใชงานและขอมลทส าคญได

ในการด าเนนการศกษานน มการศกษารายละเอยดขอก าหนดของมาตรฐาน ISO/IEC 27001:2013 ท าการศกษารายละเอยดและแนวทางการประเมนความเสยงท าใหไดผลการศกษาวา ทางโรงพยาบาลมความเสยงสงเรองการควบคมการเขาถงระบบสารสนเทศ จงท าการศกษา, รวบรวมและวเคราะหปญหาดานการควบคมการเขาถงระบบสารสนเทศ มการสมภาษณ ผบรหารและผใชงาน ท าการวเคราะหและประเมนความเสยง แลวท าการพฒนาแนวทางและขอก าหนดดานการควบคม

Page 54: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

38

การเขาถงระบบสารสนเทศ ตามมาตรฐาน ISO/IEC 27001:2013 และท าการวเคราะหและประเมนความเสยงซ าอกครง หลงจากไดพฒนาแนวทางและขอก าหนดดานการควบคมการเขาถงระบบสารสนเทศแลว นอกจากนยงพบวาทางโรงพยาบาลยงมหลายดานทยงไมมการจดท านโยบายและแนวปฏบตตามกรอบมาตรฐาน ISO/IEC 27001:2013 เพอให เกดความปลอดภยสงสด ทางโรงพยาบาลควรมการจดท านโยบายและแนวปฏบตใหครอบคลมดานตางๆ ดวย และมการทบทวนและประเมนความเสยงอยางสม าเสมอ เพอจะไดน าผลไปปรบปรงนโยบายและแนวปฏบต เพอใหเกดความปลอดภยตอสารสนเทศองคกรตอไป

การทโรงพยาบาลมการประเมนรบรองคณภาพ HA ซงมสวนหนงทเกยวของกบการจดการความมนคงปลอดภยสารสนเทศนน ท าใหทกโรงพยาบาลหนมาใหความส าคญกบการด าเนนการพฒนาแนวทางการจดการความมนคงปลอดภยสารสนเทศมากขน ซงจะท าใหแวดวงโรงพยาบาลมความมนคงปลอดภยดานสารสนเทศมากยงขน

Mika Karjalainen (2014) ไดท าการศกษาเกยวกบการพฒนาระบบการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ โดยศกษาถงสภาพแวดลอม ทรพยากรทมอยในองคกรทมสวนเกยวของกบการด าเนนการดานความมนคงปลอดภยสารสนเทศ โดยไดศกษาถงความสอดคลองกบกฎหมายระดบชาตทเกยวของกบความปลอดภยของขอมล การออกกฎหมายทเกยวของกบการรกษาความปลอดภยของขอมลในระดบชาต พบวาในประเทศฟนแลนดยงไมไดน าเอาเนอหาเรองความมนคงปลอดภยสารสนเทศบรรจไวในขอกฎหมายและระเบยบปฏบตตางๆ

จากการศกษาพบวาขอมลในองคกรเปนทรพยากรทส าคญ องคกรจะตองมนใจวาขอมลนนมความปลอดภยและสามารถเรยกใชงานได โดยใชหลกการของ CIA

ส าหรบระบบการบรหารจดการความมนคงปลอดภยสารสนเทศน เปนมาตรฐานทสามารถประยกตใชไดกบทกองคกร เพอเพมความปลอดภยใหกบขอมลในองคกรและยกระดบการปองกนความปลอดภยของขอมลใหมมาตรฐานสากล

Abdellateef Lutfi Muhsen (2014) ไดท าการศกษาเกยวกบการน ามาตรฐานความมนคงปลอดภยสารสนเทศมาใชในธนาคารแหงหนง จากผลการศกษาพบวาในปจจบนมการเพมขนของเทคโนโลยและการสอสาร ในอกดานหน งพวกชองโหวทางไซเบอร และ การท า Social Engineering กมอตราทเพมขนสงเชนกน ในการใหความส าคญกบเรองความมนคงปลอดภยนนจะไมใชแคแผนการบรหารจดการ แตจะตองรวมอยในกลยทธขององคกรดวย

ส าหรบธรกจธนาคารจดเปนหนวยงานทตองใหความส าคญเรองการบรหารจดการความมนคงปลอดภยสารสนเทศในระดบตน ผวจยจงไดท าการศกษาธนาคารแหงหนงเพอดสถานภาพปจจบนของการบรหารจดการเรองดงกลาว เพอเปนการประเมนศกยภาพของธนาคารแหงนวามความพรอมในดานการบรหารจดการความมนคงปลอดภยสารสนเทศมากนอยเพยงใด โดยใชเรองของ

Page 55: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

39

ธรรมาภบาลดานความปลอดภยของเทคโนโลยสารสนเทศ การท าการประเมนความเสยง และดถงมมมองของการบรหารจดการดานความมนคงปลอดภยสารสนเทศทสงผลตอแตละสวน เชน People, Process, Product/Technology, Partners/Suppliers และ Data

จากผลการศกษาพบวาธนาคารแหงนมการประยกตใชระบบบรหารจดการความมนคงปลอดภยในระดบทสง แตใหความส าคญเรองการอบรมและสรางความตระหนกใหกบบคลากร และการตรวจสอบขอมลวาไมมการเปลยนแปลง (Integrity) ในระดบกลาง ยงพบวาในสวนของบคลากรนนจะมอทธผลตอการบรหารจดการความมนคงปลอดภยสารสนเทศมากทสด ซงทางธนาคารควรกลบมาทบทวนสองเรองน เพอใหเปนไปตามกรอบมาตรฐาน ISO/IEC 27001 ทงยงเปนการลดผลกระทบทจะเกดจากการปฏบตทไมสอดคลองกบมาตรฐานอกดวย

JOŽE ŠREKL และ ANDREJKA PODBREGAR (2014) ไดศกษาถงการเสรมสรางความมนคงปลอดภยใหกบขอมลในองคกร โดยการใชมาตรฐาน ISO/IEC 27000 โดยใหความเหนวาทกองคกรควรจะใหความส าคญกบการรกษาความปลอดภยของขอมลทมอยในองคกร หากองคกรตองการความตอเนองและเพมประสทธภาพในการด าเนนการทางธรกจ นอกเหนอจากการรกษาความมนคงปลอดภยของขอมลแลว องคกรตองตระหนกถงภยคกคามจากการถกบกรกและการถกละเมดจากผไมประสงคด รวมถงภยคกคามจากภายในองคกรเอง อนเกดจากความรเทาไมถงการณ หรอขาดความตระหนกของบคลากรหรอการใชเทคโนโลยทไมเหมาะสมในองคกร ซงองคกรเองตองพจารณาและประเมนหาชองโหวนน เพอเปนการสรางความมนใจในความปลอดภยของขอมล อาจจะตองมการลงทนในเรองของการรกษาความมนคงปลอดภยสารสนเทศมากขน เนองจากขอมลทอยในองคกร ลวนแลวแตสามารถทจะเพมมลคาใหกบองคกรได และเปนการลดชองโหวและความเสยงตอระบบสารสนเทศในองคกรจากการถกโจมตทงจากภายในและภายนอกองคกรได

จากผลการส ารวจขอมลของ ENISA (The European Union Agency for Network and Information Security) (2013) แสดงใหเหนวาเครอสหภาพยโรปไดใหความส าคญในการตรวจประเมนเพอเขารบการรบรองมาตรฐานดานความมนคงปลอดภยสารสนเทศ ไดมการส ารวจหนวยงานตางๆ ทงภาครฐและเอกชน ถงความพรอมทจะเขารบการรบรอง ซงในแตละองคกรกจะมความแตกตางในแงของ บคลากร, กระบวนการทางธรกจและวฒนธรรมองคกรทแตกตางกนไป เมอมการตรวจประเมนกจะตองดใหเหมาะสมกบแตละองคกร ไมสามารถน ามาตรฐานขององคกรหนงไปใชกบองคกรหนงได ทงนขนอยกบขอบเขตในการขอรบรองดวย

ในการขอรบรองมาตรฐานจะสงผลใหองคกรนนๆ ไดรบความนาเชอถอมากกวาองคกรทไมไดรบการรบรองสงผลใหองคกรไดเปรยบในการแชงขน ส าหรบองคกรทเปนระดบ SME อาจจะเปนการเพมตนทน เนองจากในการตรวจประเมนนนจะตองมคาใชจายทเพมขน หากมการลงทนเกดขน อาจจะเปนการเพมตนทนทเกนความจ าเปน อกทงทางคณะกรรมาธการยโรปและหนวยงาน

Page 56: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

40

มาตรฐานควรมการพฒนาแนวทางปฏบตทดทสดส าหรบการรกษาความปลอดภยและการปองกนขอมล เพอหลกเลยงการท างานทซ าซอนพนทกนส าหรบหนวยงานในการขอรบการรบรอง ในสวนนโยบายระดบประเทศควรจะมการตรวจสอบแตละหนวยงานทไดรบการรบรองมาตรฐานอกครง เพอเปนการรบรองวาการตรวจประเมนจากผตรวจสอบนน แตละองคกรไดมการปฏบตอยางสม าเสมอและเปนไปตามมาตรฐาน เพอใหการด าเนนการดานความมนคงปลอดภยสารสนเทศนนเกดประโยชนสงสด

ในการเขารบการตรวจประเมนเพอขอรบการรบรองมาตรฐาน ISMS นน จะไดรบเปนระยะเวลาสามป แตในแตละปนนจะตองเขารบการตรวจสอบความสอดคลองกบมาตรฐานอยางตอเนอง และใบรบรองนสามารถถกเพกถอนได หากพบวาไมสามารถด าเนนการตามมาตรฐานทไดรบการรบรองไวในแตละปทมการตรวจสอบ ในการขอรบการรบรองครงแรกนน แตละองคกรอาจจะตองใชเวลาเตรยมการประมาณสามเดอนถงสองป ขนอยกบแตละองคกรและขอบเขตทไดก าหนดเพอเขารบการรบรอง บางองคกรอาจจะใชเวลาในการเตรยมการนานจนมการเปลยนแปลงของมาตรฐาน จงอาจจะสงผลใหใชเวลาในการเตรยมการเพอปรบใหตรงกบมาตรฐานทเปลยนแปลงไปเพมขน

โดยสรปผก าหนดนโยบายระดบชาตควรท างานรวมกนกบหนวยงานผท าหนาทตรวจประเมน ควรจะมการสอบทานหนวยงานตางๆ ทผานการรบรองวายงคงปฏบตตามมาตรฐานตามขอบเขตทไดรบการขอรบรองไวอยเสมอ ซงอาจจะก าหนดเปนแนวปฏบตใหกบหนวยงานตางๆ ใหมการรายงานผลเปนระยะๆ เพอใหมนใจวาหนวยงานเหลานน ยงคงปฏบตตามมาตรฐานทไดรบการรบรองไว

J.A. Altena (2012) ไดท าการศกษาเกยวกบ ISO/IEC 27002 Baseline Selection เนองจากในการทองคกรจะด าเนนการตามมาตรฐาน ISMS และเพอขอตรวจประเมนรบรองระบบการบรหารจดการดานความมนคงปลอดภยสารสนเทศนนจะมคาใชจายเพมขน เพอใหการด าเนนการเปนไปอยางมประสทธภาพภายใตประมาณทจ ากดนน ควรจะมการศกษาถงมาตรการทจะเลอกน ามาปฏบต เพอใหองคกรไดประโยชนสงสดจากการด าเนนการ มการประเมนประสทธภาพโดยเปรยบเทยบกบภยคกคามขององคกร

ในการด าเนนการนนมการพจารณาถงความเสยงขององคกร ท าการวเคราะห Gap Analysis โดยอางองจาก ISO 17799 เพอท าการประเมนสถานะปจจบนและสถานะทตองการจะท าใหส าเรจตามมาตรฐาน ซงท าใหสามารถประเมนวามกจกรรมใดบางทจะตองด าเนนการ และตองท าการวเคราะหความเสยงโดยใชชดของมาตรฐาน ISO 27005 หรอ ISO 27799:2008 เพอวเคราะหหาชองโหวและภยคกคามทงจากภายในและภายนอกองคกร หลงจากนนจงท าการประเมนประสทธผลของมาตรการควบคม ท งย งสามารถใชชดของมาตรฐาน ISO/ IEC 27004:2009 ในการวด

Page 57: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

41

ประสทธภาพของมาตรการทน ามาใชควบคมกระบวนการตางๆ มการพจารณา ROSI (Return on Security Investment) เพอประเมนความคมคาในการลงทนดานความมนคงปลอดภย โดยใชสตร

ROSI = (Risk Exposure x % Risk Mitigated) – Solution Cost

Solution Cost

Risk Exposure สามารถค านวณไดเชนเดยวกบ ALE (Annual Loss Expectancy) โดยค านวณจาก

ALE = SLE (single loss exposure) x ARO (Annual Rate of Occurrence)

อยางไรกตามในการค านวณหาคา ROSI นน อาจจะประเมนไดคอนขางยาก หากจะใช

สตรค านวณ ROI ( Return of Investment) จากความแมนย าของขอมลและการเปลยนแปลงทรวดเรวของภยคกคามตางๆ นน อาจท าใหคาทประเมนไดไมสามารถแสดงใหเหนเปนตวเลขทชดเจนได อกทงการประเมนคาแบบ ROI นนจะเปนประโยชนตอการประเมนการลงทนทค านวณไดเปนตวเลขทเหนไดชดเจน หากจะน ามาค านวณการลงทนดานความมนคงปลอดภยซงอาจจะไมสามารถค านวณความคมคาได จงตองใชสตรค านวณเฉพาะ ดงทปรากฏดานบน

ในการทจะเลอกมาตรการการควบคมใดๆ เพอมาปรบใชกบองคกรนน มความแตกตางกนในแตละองคกร ส าหรบมาตรฐาน ISO/IEC 27002 นน ไดก าหนดเปนมาตรฐานกลางเพอความยดหยนในการน าไปปรบใชในแตละองคกร การเลอกใชมาตรการควบคมกขนอยกบการวเคราะหและประเมนความเสยง รวมถงชองโหวตางๆ ในการรกษาความมนคงปลอดภยระดบพนฐานควรจะมการปองกนทเพยงพอตอการรบมอกบความเสยงทพบมากทสด ซงอาจจะไมไดปองกนการถกบกรกไดทงหมด แตการใชมาตรการควบคมจะท าใหการบกรกนนท าไดยากขน การคกคามสวนใหญจะมงเนนไปยงองคกรทมการบรหารจดการดานความมนคงปลอดภยสารสนเทศในระดบทต าหรองายตอการถกบกรก ดงนนการเพมการรกษาความมนคงปลอดภยใหกบสารสนเทศในองคกรจะชวยลดโอกาสทจะถกบกรกและคกคามจากภยดานความมนคงปลอดภยของสารสนเทศมากขน

Pavol Sojčík (2012) ได ท า ก า ร ศ ก ษ า เร อ ง Tools for information security management ซงท าใหทราบวาปจจบนการรกษาความมนคงปลอดภยสารสนเทศนนเปนสงทองคกรควรใหความส าคญ ในแตละองคกรจะมการเลอกใชมาตรการควบคมทแตกตางกน ขนอยกบการใหความส าคญของขอมลทส าคญขององคกร บนพนฐานของการรกษาความมนคงปลอดภยของสารสนเทศนนจะตองเรมในระดบบคคล โดยบคลากรในองคกรจะตองเกดความตระหนกวาตนเอง

Page 58: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

42

อาจจะเปนชองโหว ท าใหเกดภยคกคามในระดบองคกรได อกทงหลายๆ องคกรเองไมไดมระบบบรหารจดการดานความมนคงปลอดภยสารสนเทศทดและมประสทธภาพ จงเปนเหตผลทสนบสนนวาองคกรควรมระบบบรหารจดการความมนคงปลอดภยสารสนเทศโดยอางองจากมาตรฐาน ISO/IEC 27001 ซงสามารถขอรบรองมาตรฐานได ส าหรบแนวทางในการด าเนนการดานความมนคงปลอดภยสารสนเทศนน สามารถดไดจากเอกสาร ISO/IEC 27002 ซงจะระบแนวปฏบตทงหมด โดยสามารถเลอกเฉพาะกระบวนทเหมาะสมกบองคกร ใหสอดคลองกบชองโหวขององคกร ในการศกษานไดกลาวถงประโยชนและกระบวนการทงหมดของการเขารบการรบรองมาตรฐาน ISO/IEC 27001

ปจจยหลกแหงความส าเรจในการด าเนนการตามกระบวนการของ ISMS นน ประกอบไปดวย การบรหารจดการจากสวนกลางโดยระบไวในกลยทธขององคกร มการก าหนดเปนนโยบายและเปนสวนหนงของการบรหารความเสยงระดบองคกร มการสนบสนนจากผบรหารระดบสง มบคลากรและทรพยากรดานการเงนทเหมาะสม มการก าหนดวตถประสงคของการรกษาความมนคงปลอดภยและการก าหนดแนวทางปฏบตโดยใหสอดคลองกบวตถประสงคทางธรกจและความตองการขององคกร มการปรบปรงกระบวนการอยางตอเนอง มการสรางการรบร, ตระหนกและฝกอบรมพนกงานอยางสม าเสมอ

การรบการรบรองมาตรฐาน ISO/IEC 27001 นน เปนสงทองคกรควรก าหนดเปนเปาประสงครวมกนทงองคกร เพอใหเกดความรวมมอกนในองคกรในการปฏบตเพอใหบรรลวตถประสงคของมาตรการควบคมทเลอกมาใชงานในองคกร ประโยชนทจะไดรบจากการเขารบการรบรองมาตรฐาน เชน องคกรมการบรณาการการบรหารจดการดานความมนคงปลอดภยสารสนเทศกบการบรหารจดการระดบองคกร การเขารบการรบรองมาตรฐานเปนการสรางความนาเชอถอใหกบองคกร ซงจะสงผลถงความไดเปรยบเชงธรกจ ทงยงท าสงเสรมใหพนกงานมความรบผดชอบในการรกษาความปลอดภยของขอมล ทงขอมลสวนตวและขอมลขององคกร ท าใหมการปรบปรงและพฒนาระบบบรหารจดการอยอยางตอเนอง ท าใหเกดความมนใจวาทรพยากรขององคกรทเกยวกบการใหบรการดานสารสนเทศจะสามารถด าเนนการใหบรการไดอยางตอเนอง ท าใหทราบถงเหตการณทอาจจะท าใหเกดการหยดชะงกของการใหบรการดานสารสนเทศในองคกร อนจะสงผลถงการรกษาความสมบรณและความพรอมใชของสารสนเทศ และยงชวยลดการรวไหลของขอมลในองคกรอกดวย

ไพศาล ลกขณานรกษ (2555) ไดจดท าระบบรกษาความมนคงปลอดภยดานสารสนเทศของกรมทรพยากรน าบาดาล ไดเลงเหนถงประโยชนของการน าเอาแนวทางการรกษาความมนคงปลอดภยดานสารสนเทศมาใชในองคกร เพอเพมประสทธภาพและความปลอดภยแกขอมลสารสนเทศขององคกร ทงจากภายคกคามจากภายนอกจากผไมประสงคด ทมโอกาสบกรกเขามายงระบบสารสนเทศขององคกรไดอยเสมอในยคทมการใชงานสารสนเทศอยางแพรหลาย

Page 59: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

43

มการจดท าแนวทางระบบบรหารจดการความมนคงปลอดภยของสารสนเทศใหเปนไปตามมาตรฐานสากล ซงจะท าใหระบบสารสนเทศมความมนคงปลอดภยและสามารถใชงานไดอยางมประสทธภาพ เพอใหฝายบรหาร และฝายปฏบตการ เขาใจหลกการและกระบวนการในการรกษาความมนคงปลอดภยของระบบสารสนเทศมากขน ทงยงเปนเครองมอในการรกษาความมนคงปลอดภยของระบบสารสนเทศในองคกร และเปนไปตามกฎหมายและระเบยบปฏบตทเกยวของ ท งยงขอความรวมมอใหบคลากรในองคกรรวมมอกนถอปฏบตอยางเครงครด เพอใหเกดการปฏบตตามกระบวนการรกษาความมนคงปลอดภยของระบบสารสนเทศอยางเปนระบบและตอเนอง

การด าเนนการบรหารความเสยงของระบบสารสนเทศ ชวยใหสามารถประเมนวาองคกรมความเสยงดานเทคโนโลยสารสนเทศอยางไรบาง มกระบวนการดงน

- มการก าหนดวตถประสงค (Objective Setting) โดยการก าหนดเปนนโยบายการบรหารความเสยง

- ท าการระบความเสยง (Risk Identification) โดยพจารณาวามปจจยใดบางทเกยวของกบระบบสารสนเทศองคกรในดานตางๆ

- ท าการประเมนความเสยง (Risk Assessment) ซงจะตองครอบคลมทกความเสยงทไดท าการระบไวกอนหนา มขนตอนทตองด าเนนการคอ (1) ท าการอธบายความเสยง (2) ท าการประเมนระดบความเสยง (3) ท าการวเคราะหความเสยง (4) ท าการก าหนดเกณฑในการยอมรบความเสยง

- ท าการจดการความเสยง (Risk Treatment) เพอหากลยทธในการจดการกบความเสยง โดยพจารณาทางเลอกดงน (1) การยอมรบความเสยง (2) การลดหรอควบคมความเสยง (3) การหลกเลยงความเสยง และ (4) การกระจายความเสยง ท งนตองค านงถงตนทนและผลประโยชนทจะไดรบ แลวจงท าการก าหนดเปนแผนกลยทธเพอน าไปสการปฏบต

- ท ากจกรรมการบรหารความเสยง (Control Activities) โดยน าเอากลยทธ มาตรการหรอแผนงานมาใชปฏบตงาน เพอลดโอกาสเกดความเสยง หรอลดการเกดความเสยหายจากผลกระทบ

- ม ก ารส อ ส ารข อม ลด าน การบ รห ารความ เส ย ง ( Information and Communication) มการจดท ารายงานผลการตดตามและด าเนนการตามแผนการบรหารความเสยงทด าเนนการ ใหผเกยวของรบทราบ และเพอใหสามารถด าเนนการแกไขปญหาทเกดขนไดทนทวงท

- ท าการตดตามผลและเฝาระวงความเสยงตางๆ (Monitoring) เปนการด าเนนการอยางตอเนองในการตรวจสอบและรายงานผลอยางเปนระบบ รวมถงมการทบทวนและปรบปรงแผนอยอยางสม าเสมอ เพอเพมประสทธภาพใหกบแนวทางการบรหารความเสยง

Page 60: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

44

ทงนการบรหารความเสยงนนตองมการด าเนนการอยางตอเนอง เพอปรบปรงความเสยงใหสอดคลองกบสถานการณปจจบน

มการก าหนดแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยระบบสารสนเทศ เพอก าหนดทศทางและใหการสนบสนนการด าเนนการดานความมนคงปลอดภยฯ เพอใหสอดคลองกบพนธกจ และระเบยบปฏบตทเกยวของ

2.4 สรปการทบทวนวรรณกรรมทเกยวของและกรอบแนวคดการวจย

จากการทบทวนงานวจยและวรรณกรรมทเกยวของ สามารถสรปกระบวนการทส าคญ

ดงน ตารางท 2.5 สรปกระบวนการเตรยมความพรอมของหนวยงานดานการบรหารจดการความมนคงปลอดภยสารสนเทศ จากงานวจยทเกยวของ ล าดบ ชอผวจย/ปทวจย กระบวนการ

1 แนวคดเกยวกบเทคโนโลยสารสนเทศกบความพรอมของกองทพบก ฤทธ อนทราวธ (2556)

1.กองทพบกเลงเหนความส าคญของเทคโนโลยสารสนเทศ เนองจากในปจจบนมภยคกคามรปแบบใหม ซงสามารถโจมตไปยงระบบเทคโนโลยสารสนเทศซงสงผลถงความมนคงของประเทศ 2.การประยกตใชเทคโนโลยสารสนเทศมาบรณาการในการปฏบตการทางทหาร เพมเพมศกยภาพใหกบกองทพมากขน 3.การน าเทคโนโลยสารสนเทศมาประยกตใชเกยวกบการจ าลองการซอมรบในรปแบบตางๆ เพอเปนการลดตนทนในการปฏบตการซอมภาคสนาม 4.กองทพบกไดมการเตรยมความพรอมของหนวยงานเพอมงสการเปนกองทพททนสมยและมมาตรฐานระดบสากล

Page 61: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

45

ตารางท 2.5 (ตอ) สรปกระบวนการเตรยมความพรอมของหนวยงานดานการบรหารจดการความมนคงปลอดภยสารสนเทศ จากงานวจยทเกยวของ

ล าดบ ชอผวจย/ปทวจย กระบวนการ

2 มาตรฐานการบรหารจดการความมนคงปลอดภย ปญญา บญญาภวฒน (2553)

1.ใหความส าคญกบระบบเทคโนโลยสารสนเทศ โดยเฉพาะหนวยงานทมการประกอบธรกรรมโดยใชระบบเทคโนโลยสารสนเทศเปนหลก จงตองมการบรหารจดการความมนคงปลอดภยดานสารสนเทศ 2.ควรมการขอรบรองมาตรฐาน ISMS เพอสรางความมนใจวาองคกรจะสามารถปองกนการโจมต หรอเมอถกโจมตแลวสามารถตอบสนองไดทนทวงท และมวธการจดการ ตางๆ เพอใหสามารถด าเนนงานไดอยางตอเนอง

3 การปรบปรงกระบวนใหบรการงานสารสนเทศ โดยประยกตใชมาตรฐานบรหารความปลอดภยของขอมลสารสนเทศ ISO/IEC 27001 ของหนวยงานราชการระดบกรมแหงหนง ถนอมศร เตมานวตร และ ไสว ศรทองถาวร (2554)

1.ปรบปรงกระบวนการใหบรการงานสารสนเทศของหนวยงาน โดยประยกตใชมาตรฐานบรหารความปลอดภยของขอมลสารสนเทศ 2.มการตรวจสอบความเหมาะสมของกระบวนการ โดยใชแนวคดการบรหารคณภาพ และมาตรฐานทเกยวของ 3.มการเกบรวบรวมขอมลในการประเมนหนวยงานเบองตน ขอบกพรองในกระบวนการใหบรการ และท าการประเมนความเสยงในกระบวนการ โดยก าหนดขนตอนการประเมนจากมาตรฐานสากล 4.ท าการวเคราะหสภาพปจจบนขององคกร ท าการประเมนความเสยง เพอวเคราะหและประเมนระดบความเสยงในระบบสารสนเทศ ส าหรบใชเปนเกณฑส าคญในการก าหนดแผนควบคมความเสยง และวเคราะหความสอดคลองกบมาตรฐาน ISO/IEC 27001

Page 62: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

46

ตารางท 2.5 (ตอ) สรปกระบวนการเตรยมความพรอมของหนวยงานดานการบรหารจดการความมนคงปลอดภยสารสนเทศ จากงานวจยทเกยวของ

ล าดบ ชอผวจย/ปทวจย กระบวนการ

4 การจดท านโยบายรกษาความมนคงปลอดภยสารสนเทศขององคกร กรณศกษาส าหรบบรษท สนแพทย จ ากด (โรงพยาบาลสนแพทย) เดชาวต นชานนท (2555)

1.มการจดท านโยบายรกษาความมนคงปลอดภยสารสนเทศใหครอบคลม และมการประเมนความเสยงจากทรพยสนดานสารสนเทศ 2.มการพฒนา, ปรบปรงและทบทวนนโยบายฯ ใหเปนปจจบนอยเสมอ เพอปองกนชองโหวจากนโยบายและเพอรองรบเทคโนโลยทเปลยนแปลงไป และรองรบการเตบโตขององคกร

5 การพฒนาแนวทางการจดการความมนคงปลอดภยสารสนเทศ ดานการควบคมการเขาถงระบบสารสนเทศตามมาตรฐาน ISO/IEC 27001:2013 ส าหรบโรงพยาบาลคลองใหญ จ.ตราด รงอรณ นรนดรเรอง และ วภา เจรญภณฑารกษ (2557)

1.มการน าเทคโนโลยสารสนเทศมาใชในโรงพยาบาล เพอใหเกดประสทธภาพในการใหบรการ เปนไปตามมาตรฐานคณภาพโรงพยาบาล (HA) 2.มการน าเอาระบบบรหารจดการความมนคงปลอดภยสารสนเทศมาประยกตใชในโรงพยาบาล เพอใหสอดคลองกบมาตรฐาน HA เพอเพมความมนคงปลอดภยดานสารสนเทศ

6 Developing an Information Security Management System Karjalainen, Mika (2014)

1.การพฒนาระบบการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ ใหสอดคลองกบกฎหมายระดบชาตทเกยวของกบความปลอดภยของขอมล 2.ขอมลในองคกรเปนทรพยากรทส าคญ จะตองมนใจวาขอมลนนมความปลอดภยและสามารถเรยกใชงานได โดยเปนไปตามหลกการ CIA

Page 63: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

47

ตารางท 2.5 (ตอ) สรปกระบวนการเตรยมความพรอมของหนวยงานดานการบรหารจดการความมนคงปลอดภยสารสนเทศ จากงานวจยทเกยวของ

ล าดบ ชอผวจย/ปทวจย กระบวนการ

7 Information Security Management in Palestinian Banking Abdellateef Lutfi Muhsen (2014)

1.มการใหความส าคญกบเรองความมนคงปลอดภยสารสนเทศโดยจะตองบรรจอยในระดบกลยทธขององคกร 2.ประเมนศกยภาพของธนาคารทท าการศกษา ดานการบรหารจดการความมนคงปลอดภยสารสนเทศ โดยใชหลกการธรรมาภบาลดานความปลอดภยของเทคโนโลยสารสนเทศ ท าการประเมนความเสยงและดองคประกอบตางๆทจะสงผลตอการบรหารจดการ โดยใชหลกการ 4P 3.มการทบทวนและปรบปรงชองโหวดานสารสนเทศอยเสมอ

8 ENHANCING SAFETY INFORMATION SYSTEMS WITH THE USE ISO/IEC 27000 JOŽE ŠREKL&ANDREJKA PODBREGAR (2014)

1.เสรมสรางความมนคงปลอดภยใหกบขอมลในองคกร โดยใชมาตรฐาน ISO/IEC 27001 2.องคกรตองมความตระหนกถงภยคกคามจากการถกบกรกและการถกละเมดจากผไมประสงคด รวมถงภยคกคามภายในองคกรเอง ซงองคกรตองมการพจารณาและประเมนชองโหวนน

Page 64: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

48

ตารางท 2.5 (ตอ) สรปกระบวนการเตรยมความพรอมของหนวยงานดานการบรหารจดการความมนคงปลอดภยสารสนเทศ จากงานวจยทเกยวของ

ล าดบ ชอผวจย/ปทวจย กระบวนการ

9

Certified Security certification practice in the EU ENISA (2013)

1.มการสนบสนนใหหนวยงานเขารบการตรวจประเมนดานความมนคงปลอดภยสารสนเทศ 2.ใหความส าคญในการตรวจประเมนและการตรวจสอบหนวยงานทไดรบการตรวจประเมนใหด าเนนการเปนไปตามมาตรฐานอยเสมอ 3.สนบสนนใหผทมอ านาจในการก าหนดนโยบายระดบชาต ใหความส าคญกบมาตรฐานระดบสากล โดยอาจมการบรรจไวในกฎหมายหรอแนวปฏบต เพอสรางเปนแนวปฏบตใหกบหนวยงานทไมพรอมทจะลงทนการด าเนนการตามมาตรฐานสากล

10 ISO/IEC 27002 Baseline Selection J.A. Altena (2012)

1.มการค านวณความคมคาดานการลงทนเกยวกบการบรหารจดการดานความมนคงปลอดภยสารสนเทศ 2.น าเอามาตรฐานทเกยวของมาเปนตววดประสทธผลของการด าเนนงานดานความมนคงปลอดภยสารสนเทศ 3.มการวเคราะหความเสยง, ชองโหวรวมถงภยคกคามและ Gap Analysis ขององคกร

11 Tools for information security management Pavol Sojčík (2012)

1.สนบสนนใหบคลากรในองคกรมสวนรวมในการด าเนนการบรหารจดการดานความมนคงปลอดภยสารสนเทศในสวนทรบผดชอบ 2.มการก าหนดนโยบายและแนวทางปฏบตใหสอดคลองกบวตถประสงคและธรกจขององคกร 3.มการเตรยมการเพอขอรบรองมาตรฐาน ISMS

Page 65: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

49

ตารางท 2.5 (ตอ) สรปกระบวนการเตรยมความพรอมของหนวยงานดานการบรหารจดการความมนคงปลอดภยสารสนเทศ จากงานวจยทเกยวของ

ล าดบ ชอผวจย/ปทวจย กระบวนการ

12 คมอ การจดท าระบบรกษาความมนคงปลอดภยดานสารสนเทศ ของกรมทรพยากรน าบาดาล ไพศาล ลกขณานรกษ (2555)

1.ประเมนความเสยงขององคกร 2.จดท าแนวนโยบายและแนวปฏบตทสอดคลองกบกลยทธและการด าเนนการขององคกร

Page 66: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

50

ตารางท 2.6 สรปปจจยการเตรยมความพรอมทไดจากการทบทวนวรรณกรรมและงานวจยทเกยวของ

ปจจยการเตรยมความพรอม

ชอผวจย/ปทวจย

ฤทธ

อนทร

าวธ

(255

6)

ปญญา

บญญ

าภวฒ

น (2

553)

ถนอม

ศร เต

มานว

ตร แ

ละ ไส

ว ศร

ทองถ

าวร (

2554

)

เดชา

วต น

ชานน

ท (2

555)

รงอร

ณ นร

นดรเร

อง แ

ละ ว

ภา เจ

รญภณ

ฑารก

ษ (2

557)

Karja

laine

n, M

ika (2

557)

Abde

llate

ef L

utfi

Muh

sen

(255

7)

JOŽE

ŠRE

KL&A

NDRE

JKA

PODB

REGA

R (2

557)

ENISA

(255

6)

J.A. A

ltena

(255

5)

Pavo

l Soj

čík (2

555)

ไพศา

ล ลก

ขณาน

รกษ

(255

5)

กระบวนการในการด าเนนการ

x x x x x x x x

บคลากร x x x x x x x x x

ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ

x x x x x x x x

การประยกตใชมาตรฐานและกฎหมายทเกยวของ

x x x x x x x x x

การใหความส าคญในการด าเนนการตามมาตรฐานฯ

x x x x x x x x x

นโยบายขององคกร

x x x x x x x x x x

Page 67: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

51

ตารางท 2.6 (ตอ) สรปปจจยการเตรยมความพรอมทไดจากการทบทวนวรรณกรรมและงานวจยทเกยวของ

ปจจยการเตรยมความพรอม

ชอผวจย/ปทวจย

ฤทธ

อนทร

าวธ

(255

6)

ปญญา

บญญ

าภวฒ

น (2

553)

ถนอม

ศร เต

มานว

ตร แ

ละ ไส

ว ศร

ทองถ

าวร (

2554

)

เดชา

วต น

ชานน

ท (2

555)

รงอร

ณ นร

นดรเร

อง แ

ละ ว

ภา เจ

รญภณ

ฑารก

ษ (2

557)

Karja

laine

n, M

ika (2

014)

Abde

llate

ef L

utfi

Muh

sen

(201

4)

JOŽE

ŠRE

KL&A

NDRE

JKA

PODB

REGA

R (2

014)

ENISA

(201

3)

J.A. A

ltena

(201

2)

Pavo

l Soj

čík (2

012)

ไพศา

ล ลก

ขณาน

รกษ

(255

5)

โครงสรางเทคโนโลยสารสนเทศขององคกร

x x x x x x x

ความตระหนกถงภยคกคามและชองโหว

x x x x x x x x x

การใหความส าคญในการเขารบการตรวจประเมน

x x x

คาใชจาย x x x

จากการบรณาการแนวคดและทฤษฎตางๆ ในการเตรยมความพรอมขององคกรเพอขอ

รบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 นน มสงทจะตองค านงถงซงสามารถสรปเปนกรอบแนวคดในการวจยไดดงน

Page 68: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

52

ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ

- บคลากรมความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆทเกยวของ ไมเทากน - การประชาสมพนธขอมลทเปนประโยชนใหกบบคลากรไดรบทราบ

การประยกตใชมาตรฐานและกฎหมายทเกยวของ

- น าเอามาตรฐานและกฎหมายทเกยวของดานความมนคงปลอดภยสารสนเทศมาประยกต ใช ในงานขององคกร ท งด าน Hardware, Software และ Network

นโยบายขององคกร

-มการก าหนดนโยบายความมนคงปลอดภยสารสนเทศ ไวเปนสวนหนงของของการขบเคลอนองคกร

-จดท าโครงการเกยวกบความมนคงปลอดภยสารสนเทศ

- จดท าระเบยบ ขอบงคบ และแนวปฏบตทเกยวกบความมนคงปลอดภยสารสนเทศ

โครงสรางเทคโนโลยสารสนเทศขององคกร

-สภาพแวดลอม, Infrastructure และระบบงาน ถกปรบปรงและพฒนาอยบนพนฐานตามมาตรฐานความมนคงปลอดภยสารสนเทศ

การใหความส าคญในการด าเนนการตามมาตรฐานฯ

- ผ บ ร ห า ร ให ก า ร ส น บ ส น น ใน ก า รด าเนนการโครงการเกยวกบความมนคงปลอดภยสารสนเทศในองคกร - บ คลากรในระดบต างๆ ปฏ บ ต ตามขอก าหนดและขนตอนปฏบต

ความตระหนกถงภยคกคามและชองโหว

-องคกรมระบบปองกนภยคกคามและชองโหวจากภายในและภายนอกองคกร

-บคลากรไมตกเปนเหยอจากผไมประสงคดจากเทคนค Social Engineering

ภาพท 2.6 กรอบแนวคดการวจยการเตรยมความพรอมขององคกรเพอขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013

การเตรยมความพรอมของหนวยงานภาครฐ ฯ ในการเขารบการรบรอง

มาตรฐาน ISO/IEC 27001:2013

Page 69: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

53

บทท 3 วธการวจย

การศกษาการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการ

ความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง นน ใชระเบยบวธวจยเชงปรมาณและคณภาพ โดยด าเนนการวจยตามรายละเอยดดงน

3.1 ขอบเขตและขนตอนการวจย 3.2 การเกบรวบรวมขอมล 3.3 เครองมอทใชในการวจย 3.4 การวเคราะหและประเมนความพรอม 3.5 ระยะเวลาในการวจย

3.1 ขอบเขตและขนตอนการวจย

จากการทบทวนงานวจยและวรรณกรรมทเกยวของ พบวาการเตรยมความพรอมของ

องคกรเพอขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/ IEC 27001:2013 นน มขนตอนการศกษา ดงน

3.1.1 ศกษามาตรฐานการจดการความม นคงปลอดภ ยสารสน เทศ ISO/ IEC 27001:2013 และกฎหมายทเกยวของ

3.1.2 ท าการศกษา รวบรวม ทบทวนขนตอนปฏบต มาตรการตางๆ จากเอกสารทเกยวของกบการบรหารจดการความมนคงปลอดภยดานสารสนเทศขององคกร ทเคยด าเนนการไว และท าการสมภาษณเพอขอขอมลเพมเตมจากผเชยวชาญและผทเกยวของ เพอขอทราบขอมลปจจบนขององคกร ดงน

- นโยบายและขนตอนปฏบตของการบรหารจดการความมนคงปลอดภยสารสนเทศขององคกร

- กระบวนการในการปฏบตงานจรง เพ อว เคราะหสถานะปจจบนขององคกร เปรยบเท ยบกบมาตรฐาน ISO/ IEC

27001:2013

Page 70: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

54

3.1.3 ท าการเกบขอมลจากการสมภาษณการสมภาษณผบรหาร, ผเชยวชาญดานการจดการความมนคงปลอดภยสารสนเทศจากภายนอกองคกร, การตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ และการทดสอบความพรอมของบคลากรในองคกร เพอท าการส ารวจความคดเหนและประเมนผลปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการเขารบการรบรองมาตรฐาน ISO/IEC 27001:2013

3.1.4 วเคราะหปจจยทเกยวของในการเตรยมความพรอมขององคกรและประเมนผล 3.1.5 สรปผลและจดท าขอเสนอแนะเพอสรางแนวทางปฏบตทเหมาะสมกบองคกรเพอ

ท าการปรบปรงและเตรยมความพรอมในการรบการตรวจประเมนจากผตรวจประเมน (Certification Body หรอ CB) ตอไป

สามารถสรปขนตอนการศกษาได ดงภาพท 3.1

Page 71: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

55

ภาพท 3.1 แสดงขนตอนการศกษา

1.ศกษามาตรฐานและระเบยบตางๆ

ISO/IEC 27001

แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงาน

ภาครฐพ.ศ. 2553

พระราชกฤษฎกา วาดวยวธการแบบปลอดภยในการท า

ธรกรรมทางอเลกทรอนกส พ.ศ. 2553

2.รวบรวมขอมลเพอวเคราะหสถานะปจจบนขององคกร

ศกษาเอกสารวรรณกรรมทเกยวของ

ศกษาเอกสารของภายในขององคกร

สมภาษณเพอขอขอมลเพมเตมจากผเชยวชาญและผท

เกยวของ

สอบถามความคดเหนของบคลากรในองคกร

3.ส ารวจความคดเหนและประเมนผลปจจยทเกยวของกบการเตรยมความพรอมฯ

สมภาษณผบรหาร

สมภาษณผเชยวชาญฯ จากภายนอก

ตอบแบบประเมนโดยผดแลระบบเทคโนโลยสารสนเทศ

ทดสอบความพรอมของบคลากรในองคกร

การศกษาการบรหารจดการความมนคงปลอดภยสารสนเทศ เพอเตรยมความพรอมของหนวยงานภาครฐ กรณศกษา องคกรดานการทองเทยวแหงหนง ในการเขารบการรบรอง

มาตรฐาน ISO27001:2013

4.วเคราะหปจจยทเกยวของในการเตรยมความพรอมขององคกรและประเมนผล

5.สรปผลและจดท าขอเสนอแนะเพอสรางแนวทางปฏบตทเหมาะสมกบองคกรฯ และประเมนความพรอมขององคกรกอนเขารบการรบรองมาตรฐานฯ

Page 72: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

56

3.2 การเกบรวบรวมขอมล

เกบรวบรวมขอมลจาก 3 ชองทาง คอ - รวบรวมจากขอมลเดมขององคกร จากเอกสารนโยบายและแนวปฏบตตางๆ

ทเคยไดด าเนนการไว - ท าการสมภาษณผบรหารและผเชยวชาญฯ จากภายนอก - ตอบแบบประเมนโดยผดแลระบบเทคโนโลยสารสนเทศ - ทดสอบความพรอมของบคลากรในองคกร

3.3 เครองมอทใชในการวจย

เครองมอทใชในการวจย ประกอบดวย

3.3.1 ขนตอนการศกษามาตรฐานการจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 และกฎหมายทเกยวของ

- เอกสาร ISO/IEC 27001 - เอกสารแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดาน

สารสนเทศของหนวยงานภาครฐพ.ศ. 2553 - เอกสารพระราชกฤษฎกา วาดวยวธการแบบปลอดภยในการท าธรกรรมทาง

อเลกทรอนกส พ.ศ. 2553

3.3.2 ขนตอนการรวบรวมขอมลขอมลเพอวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013

- เอกสารและวรรณกรรมทเกยวของ - เอกสารภายในองคกร - สมภาษณเพอขอขอมลเพมเตมจากผเชยวชาญและผทเกยวของ

โดยมรายละเอยดการวเคราะหอางองตามมาตรฐาน ISO 27001:2013 และเกณฑการประเมนผลดงน

Page 73: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

57

ตารางท 3.1 ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของขอก าหนดระบบบรหารจดการ (Management System Requirements)

ขอก าหนดระบบบรหารจดการ (Management System Requirements)

ขอ ขอก าหนดมาตรฐาน สงทตรวจสอบพบ ระดบ 1 บรบทขององคกร (Context of the

organization) องคกรจ าเปนตองเขาใจถงบรบทของอ งค ก ร โด ย พ จ า รณ าป ระ เด น ทเกยวของกบความมนคงปลอดภยซงเกยวของกบองคกรและพจารณาจากผมสวนไดเสยทงภายในและภายนอกองคกร ซงองคกรใหความสนใจเฉพาะกลม จากนนจงพจารณาวาผทองคกรใหความสนใจ (Interested Parties) มความต องการและความคาดหว งอะไรบางท เกยวของกบความมนคงปลอดภยสารสนเทศแลวจงก าหนดขอบเขตระบบบรหารจดการความมนคงปลอดภยสารสนเทศ (Scope)

2 ผน า (Leadership) ผบรหารจะตองสนบสนน ผลกดน มอบหมายและก าหนดหนาทส าหรบการบรหารจดการความมนคงปลอดภยสารสนเทศ ก าหนดนโยบายความมนคงป ลอดภ ย ส ารส น เท ศ และ ให ก ารสนบสนนตอทรพยากรท จ าเปนตอด าเนนงาน

Page 74: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

58

ตารางท 3.1 (ตอ)

ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของขอก าหนดระบบบรหารจดการ (Management System Requirements)

ขอก าหนดระบบบรหารจดการ (Management System Requirements)

ขอ ขอก าหนดมาตรฐาน สงทตรวจสอบพบ ระดบ 3 การวางแผน (Planning)

องคกรจะตองพจารณาถงความเสยงและโอกาสทเกยวของกบความสามารถในการบรรลวตถประสงคและเปาหมายของระบบบรหารจดการความมนคงปลอดภยสารสนเทศ โดยการประเมนความเสยงและการบรหารความเสยงความมนคงปลอดภยสารสนเทศ และองคกรจ าเปนทจะตองวางแผนเพอใหมนใจวาสามารถจะบรรลวตถประสงคความมนคงปลอดภยสารสนเทศ

4 การสนบสนน (Support) องคกรจ าเป นตองมการสนบสน นทรพยากรท จ า เป นต อการบรห ารจดการความมนคงปลอดภยสารสนเทศ มการก าหนดความร (Competence) การสรางความตระหนก (Awareness) ก า ห น ด ร ป แ บ บ ก า ร ส อ ส า ร (Communication) และก าหนดแนวทางการจดการเอกสาร (Document Management)

5 การปฏบตการ (Operation) องคกรจะตองน าแผนการลดความเสยง

Page 75: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

59

ตารางท 3.1 (ตอ)

ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของขอก าหนดระบบบรหารจดการ (Management System Requirements)

ขอก าหนดระบบบรหารจดการ (Management System Requirements)

ขอ ขอก าหนดมาตรฐาน สงทตรวจสอบพบ ระดบ และแผนปฏบตการทจะท าใหมนใจวาสามารถจะบรรลวตถประสงคขององคกรไดมาด าเนนการปฏบต และด าเนนการทบทวนและประเมนความเสยง ด าเนนการวางแผนการลดความเสยงตามผลการทบทวนและประเมนความเสยง

6 การประเมนสมรรถนะ (Performance Evaluation) องคกรจะตองตดตามรายงานผลการด าเนนงานและผลการประเมนผล และจดใหมการตรวจสอบภายใน จากนนจงน าผลการตดตามประเมนผลและการตรวจสอบภายในรายงานตอผบรหารเพอใหพจารณาและสงการปรบปรงแกไข

7 การปรบปรง (Improvement) ผลจากการตดตามและผลการประเมน ผลจากการตรวจสอบภายในและมตทป ร ะช ม ข อ งฝ า ยบ ร ห า รจ าก ก ารพจารณาผล จะตองน ามาพจารณาคนหาสาเหตของปญหาหรอส งท ไมสอดคลองท เกดขน โดยคนหาจาก

Page 76: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

60

ตารางท 3.1 (ตอ)

ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของขอก าหนดระบบบรหารจดการ (Management System Requirements)

ขอก าหนดระบบบรหารจดการ (Management System Requirements)

ขอ ขอก าหนดมาตรฐาน สงทตรวจสอบพบ ระดบ สาเหตทแทจรงและก าหนดแนวทางในก า ร แ ก ไ ข ( Corrective Action) ตลอดจนพจารณาถงสาเหตอนทอาจมศ กยภาพ อนจะก อ ให เก ดความไมสอดคลองหรอปญหาในอนาคตและก าหนดแนวทางในการป องกน ในอนาคต (Preventive Action)

Page 77: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

61

ตารางท 3.2 ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ

สงทตรวจสอบพบ ระดบ

1 น โย บ า ย ค ว า ม ม น ค ง ป ล อ ด ภ ยส ารส น เท ศ ( Information Security Policies) เปนมาตรการควบคมทก าหนดใหองคกรตองก าหนดทศทางและสนบสนนดานความมนคงปลอดภยสารสนเทศใหสอดคลองกบความตองการทางธรกจและสมพนธกบกฎระเบยบ กฎหมาย

2 องคประกอบของความมนคงปลอดภยส า ร ส น เ ท ศ ( Organizaton of information security) ประกอบดวยการจดการภายในองคกร (Internal organization) การก าหนดบทบาทและหนาท ด านความม นคงปลอดภยสารสนเทศ การแบ งแยกหนาท การรวบรวมขอมลส าหรบตดตอผมอ านาจและตดตามขอมลดานความมนคงปลอดภยสารสนเทศ การบรหารจดการโครงการในดานความมนคงปลอดภยสารสนเทศ การควบคมความมนคงปลอดภยจากปฏบตงานภายนอก (Teleworking) และอปกรณ โมบาย (Mobile devices)

Page 78: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

62

ตารางท 3.2 (ตอ)

ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ

สงทตรวจสอบพบ ระดบ

3 ความมนคงปลอดภยดานทรพยากรบคคล (Human resource security) ประกอบดวยการควบคมกอนการจางงาน (Prior to employment) ทตองมการตรวจสอบประวต การก าหนดเงอน ไขด านความม น คงปลอดภ ยสารสนเทศกอนการจาง การควบคมร ะ ห ว า ง ก า ร จ า ง ง า น (During employment) ป ร ะ ก อ บ ด ว ย ก า รสอสารหนาท ความรบผดชอบจากฝายบรหาร การจดอบรมสรางความร ความตระหนกและการใหการศกษา และกระบวนการทางวนย การควบคมเมอส น ส ด ก า ร จ า ง ห ร อ เ ม อ ม ก า รเปลยนแปลงการจาง (Termination and change of employment)

4 ก า ร จ ด ก า ร ท ร พ ย ส น ( Asset management) ป ระ ก อ บ ด ว ย ก า รก า ห น ด ค ว า มร บ ผ ด ช อ บ ต อ ท ร พ ย ส น (Responsibility for assets) ซงตองมการจดท าบญชทรพยสน การก าหนดผรบผดชอบดแล การก าหนดเงอนไข

Page 79: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

63

ตารางท 3.2 (ตอ)

ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ

สงทตรวจสอบพบ ระดบ

การใช งาน ท รพ ย ส น และการค นทรพยสน การจดจ าแนกสารสนเทศ(Information classification) ประกอบดวยแนวทางการจดจ าแนกสารสนเทศตามความส าคญ คณคาและความลบ การท าปายลาเบลและการจดการ การใชงานทรพยสนตามปายลาเบล

5 ก า ร ค ว บ ค ม ก า ร เข า ถ ง (Access control) ประกอบดวยการก าหนดนโยบายการเข าถ งตามความตองการทางธรก จ (Business requirements of access control) การบรหารการเข าถงของผใชงาน (User access management) ห น า ท ข อ ง ผ ใ ช ง า น ( User responsibilities) การควบคมการเขาถงทางระบบและแอพพลเคชน (System and application access control)

6 การเขารหสลบ (Crytography) เปนมาตรการควบคมส าหรบการรกษาความลบของขอมล โดยใหมการก าหนดนโยบายการใชงานมาตรการควบคม

Page 80: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

64

ตารางท 3.2 (ตอ)

ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ

สงทตรวจสอบพบ ระดบ

ดวยรหสลบ และการจดการกญแจรหสลบ

7 ความมนคงปลอดภยทางกายภาพและส ภ า พ แ ว ด ล อ ม ( Physical and environmental security) ประกอบดวยการก าหนดการควบคมพนท ท างกายภาพ การเข าถ ง การจ ด ก า ร พ น ท แ ล ะ ก า ร ค ว บ ค มสภาพแวดลอมความปลอดภยใหมความเหมาะสม

8 ความมนคงปลอดภยทางการปฏบตการ (Operations security) ประกอบดวยการก าหนดหนาทความรบผดชอบและขนตอนปฏบตส าหรบปฏบตการ (Operational procedures and responsibilities) ทตองมขนตอนปฏบต มการควบคมการเปลยนแปลง (Change management) การบรหารสมรรถนะ (Capacity management) และการแบงแยกสภาพแวดลอมส าหรบการพฒนา การทดสอบและการใชงานจ ร ง ต อ ง ม ก า ร ป อ ง ก น ม ล แ ว ร (Protection from malware) ม ก า ร

Page 81: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

65

ตารางท 3.2 (ตอ)

ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ

สงทตรวจสอบพบ ระดบ

ส ารองขอมล (Backup) มการบนทกปมเหตการณและตดตาม (Logging and monitoring) มการควบคมซอฟตแวรทใ ช ป ฏ บ ต ก า ร ( Control of operational software) มการจดการช อ ง โห ว ท า ง เท ค น ค (Technical vulnerability management) ม ก า รควบคมเครอมอส าหรบการตรวจสอบระบบสารสนเทศ

9 ความมนคงปลอดภยทางการสอสาร (Communications security) ประกอบดวยการจดการความมนคงปลอดภ ยท างเค ร อข าย (Network security management) ซงตองมการควบคมทางเครอข าย การก าหนดบรการทางเครอขายทใหบรการและการแบงแยกเครอขายทใชงาน และจดสงสารสนเทศ (Information transfer) ซงตองมการก าหนดนโยบายและขนตอนปฏบต การก าหนดขอตกลงส าหรบ ก า รจ ด ส งส า รส น เท ศ ก ารจ ด ส งสารสนเทศทางอเลกทรอนกส การก าหนดขอตกลงในการรกษาความลบ

Page 82: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

66

ตารางท 3.2 (ตอ)

ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ

สงทตรวจสอบพบ ระดบ

10 การจดหา พฒนาและบ ารงรกษาระบบ (System acquisition, development and maintenance) ประกอบดวยการก าหนดความตองการดานความมนคงปลอดภยสารสนเทศส าหรบระบบสารสนเทศ (Security requirement of information system) การควบคมความมนคงปลอดภยในการพฒ นาและกระบวนการสนบสน น (Security in development and support processes) การควบคมความปลอดภยบนขอมลทดสอบ (Test data)

11 ค ว าม ส ม พ น ธ ก บ ซ พ พ ล าย เอ อ ร (Supplier relationships) ประกอบดวยการควบคมความมนคงปลอดภยสารสนเทศส าหรบซพพลายเออร (Information security in supplier relationships) ท ต อ งม ก ารก าหน ดขอตกลงและความรบผดชอบดานความมนคงปลอดภยสารสนเทศ การบรหารก า ร ให บ ร ก า ร (Supplier service delivery management)

12 การจดการกบอบตการณความมนคง

Page 83: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

67

ตารางท 3.2 (ตอ)

ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ

สงทตรวจสอบพบ ระดบ

ปลอดภ ยสารสน เทศ ( Information security incident management) ประกอบดวยขนตอนปฏบตส าหรบจดการกบ อบต การณ การรายงานเหตการณและจดออนดานความมนคงปลอดภยสารสนเทศ การประเมนและการตดสนใจส าหรบเหตการณดานความม น ค งป ล อ ด ภ ย ส ารส น เท ศ ก ารตอบสนองตออบตการณความมนคงปลอดภยสารสนเทศ และการรวบรวมหลกฐาน

13 การจดการความตอเนองทางธรกจในมตค ว าม ม น ค งป ลอดภ ยส ารสน เท ศ ( Information security aspects of business continuity management) ประกอบดวยการวางแผนความตอเนองในการด าเนนธรกจ การเตรยมการและการประยกตใชงานแผน การทดสอบและทบทวนความตอเนองทางธรกจ ก า ร ใ ช ง า น อ ป ก ร ณ ส า ร อ ง (Redundancies)

14 การปฏบตตาม (Compliance) ประกอบไปดวยการปฏบต ตามกฎ

Page 84: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

68

ตารางท 3.2 (ตอ)

ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ

สงทตรวจสอบพบ ระดบ

ร ะ เบ ย บ ก ฎ ห ม า ย ท ก า ห น ด (Compliance with legal and contractual requirements) การทบทวนความม น คงปลอดภ ยส ารส น เท ศ ( Information security reviews)

ตารางท 3.3 เกณฑการประเมนผล

ระดบ สงทตรวจสอบพบ ผาน มการด าเนนการครบถวนสอดคลองกบมาตรฐานฯ

ผานบางสวน มการด าเนนการบางสวนสอดคลองกบมาตรฐานฯ ตองแกไข การด าเนนการยงไมสอดคลองกบมาตรฐานฯ

3.3.3 ขนตอนการเกบขอมลเพอท าการส ารวจความคดเหนและประเมนผลปจจยท

เกยวของกบการเตรยมความพรอมขององคกรในการเขารบการรบรองมาตรฐาน ISO/IEC 27001:2013

- การสมภาษณผบรหาร โดยใชแนวค าถามประกอบการสมภาษณผบรหาร ตามเอกสารภาคผนวก ก

Page 85: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

69

- การสมภาษณผเชยวชาญดานการจดการความมนคงปลอดภยสารสนเทศจากภายนอกองคกร โดยใชแนวค าถามประกอบการสมภาษณผเชยวชาญจากภายนอก ตามเอกสารภาคผนวก ข

- การตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ โดยใชแบบประเมนความพรอมและความส าคญฯ ส าหรบผดแลระบบเทคโนโลยสารสนเทศ ตามเอกสารภาคผนวก ค

- ทดสอบความพรอมของบคลากรในองคกรดวยวธการจ าลองสถานการณ (Cyber Drill หรอ Cyber Readiness Assessment) ตามเอกสารภาคผนวก ช

3.3.4 ขนตอนวเคราะหปจจยทเกยวของในการเตรยมความพรอมขององคกรและประเมนผล

น าขอมลจากการสมภาษณและการตอบแบบสอบถามทงหมดมาประมวลผล โดยวเคราะหจาก

- ขอมลทไดจากการเกบรวบรวมและการสมภาษณสถานะปจจบนขององคกร

- ขอมลทไดจากการสมภาษณผบรหาร, ผเชยวชาญฯ จากภายนอกองคกร และผดแลระบบสารสนเทศ โดยท าการส ารวจความคดเหนและการตอบแบบประเมน

- ขอมลทไดจากการทดสอบความพรอมของบคลากรในองคกรดวยวธการจ าลองสถานการณ (Cyber Drill หรอ Cyber Readiness Assessment)

ท าการสรปผลปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการเขารบการรบรองมาตรฐาน ISO/IEC 27001:2013 และประเมนผลสถานะความพรอมขององคกรในปจจบน

3.4 การวเคราะหและประเมนความพรอม

การวเคราะหปจจยทเกยวของในการเตรยมความพรอมขององคกรนน รวบรวมผลจาก

จากการสมภาษณ การตอบแบบสอบถามและการทดสอบทงหมดโดยน ามาวเคราะหรวมกน เพอท าการสรปผลและจดท าขอเสนอแนะเพอสรางแนวทางปฏบตทเหมาะสมกบองคกรฯ รวมถงเปนการประเมนความพรอมขององคกรกอนเขารบการรบรองมาตรฐานฯ จรงตอไป

3.5 ระยะเวลาในการวจย

Page 86: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

70

งานวจยนท าการศกษาตงแต ก.พ. 58 – ธ.ค. 58 เปนระยะเวลาการวจย 11 เดอน ดงน ตารางท 3.4 ระยะเวลาในการท าวจย

กจกรรม/ขนตอนการด าเนนงาน

ระยะเวลาด าเนนงาน (ป 58)

ก.พ. ม.ค. เม.ย. พ.ค. ม.ย. ก.ค. ส.ค. ก.ย. ต.ค. พ.ย. ธ.ค.

1. เตรยมหวขอการคนควาอสระ/งานวจย

1.1 เตรยมหวขอ ศกษาแนวความคดและขอมลทเกยวของ

1.2 เขยนเคาโครง งานวจย

1.3 เสนอหวขอและเคาโครงใหอาจารยทปรกษาอนมต

1.4 เสนอหวของานวจยใหกบวทยาลย

1.5 ประกาศผลหวขอพรอมรายชออาจารยทปรกษา

2. แนวคดและรปแบบงานวจย

2.1 พฒนาแนวคดและรปแบบงานวจย

2.2 จดท ารายละเอยดขนตอนและระเบยบวธวจย

Page 87: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

71

ตารางท 3.4 (ตอ) ระยะเวลาในการท าวจย

กจกรรม/ขนตอนการด าเนนงาน

ระยะเวลาด าเนนงาน (ป 58)

ก.พ. ม.ค. เม.ย. พ.ค. ม.ย. ก.ค. ส.ค. ก.ย. ต.ค. พ.ย. ธ.ค.

3. ด าเนนงานวจย

3.1 สอบ Defense งานวจย (ครงท 1)

4. ปรบปรง/แกไขผลการวจย

4.1 ปรบปรงแกไขงานวจยตามค าแนะน าของคณะกรรมการสอบงานวจย (ครงท 1)

4.2 รวบรวมขอมลทตยภม

4.3 สรปผลการวจย

4.4 วเคราะหขอมล - ทดสอบผลการวจย

5. เขยนรายงานวจย

5.1 เขยนรายงานวจย

6. เสนอรายงานวจย

6.1 สอบ Defense งานวจย (ครงท 2)

7. ปรบปรงแกไข

7.1 ปรบปรงแกไขงานวจยตามค าแนะน าของของคณะกรรมการสอบงานวจย (ถาม)

8. สงผลงานวจย

Page 88: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

72

บทท 4 ผลการวจยและอภปรายผล

การวจยในครงน เปนการศกษาเพอวเคราะหเกยวกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง โดยผลทไดจากการวเคราะหสามารถน าไปใชประโยชนในการประเมนองคกร วเคราะหปจจยทเกยวของในการเตรยมความพรอมขององคกร น าไปสการสรปผลและจดท าขอเสนอแนะเพอสรางแนวทางปฏบตทเหมาะสมกบองคกรฯ และประเมนความพรอมขององคกรกอนเขารบการรบรองมาตรฐานฯ โดยมรายละเอยดผลการวจยและอภปรายผลดงน

4.1 ผลการวจย

4.1.1 สรปผลการวเคราะหสถานะและปจจยทเกยวของกบการเตรยมความพรอมขององคกรฯ ในปจจบนโดยอางองตามมาตรฐาน ISO/IEC 27001:2013

4.1.2 สรปผลการส ารวจความคดเหนและประเมนผลปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการเขารบการรบรองมาตรฐาน ISO/IEC 27001:2013

4.2 อภปรายผล

4.1 ผลการวจย

4.1.1 สรปผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน

ISO/IEC 27001:2013

จากการตรวจสอบระบบบรหารจดการความมนคงปลอดภยสารสนเทศ โดยอางองตามมาตรฐาน ISO/IEC 27001 สามารถสรปไดดงน

Page 89: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

73

ตารางท 4.1

ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของขอก าหนดระบบบรหารจดการ (Management System Requirements)

ขอก าหนดระบบบรหารจดการ (Management System Requirements)

ขอ ขอก าหนดมาตรฐาน สงทตรวจสอบพบ หมายเหต

1 บรบทขององคกร (Context of the organization) องคกรจ าเปนตองเขาใจถงบรบทของอ งค ก ร โด ย พ จ า รณ าป ระ เด น ทเกยวของกบความมนคงปลอดภยซงเกยวของกบองคกรและพจารณาจากผมสวนไดเสยทงภายในและภายนอกองคกร ซงองคกรใหความสนใจเฉพาะกลม จากนนจงพจารณาวาผทองคกรใหความสนใจ (Interested Parties) มความต องการและความคาดหว งอะไรบางท เกยวของกบความมนคงปลอดภยสารสนเทศแลวจงก าหนดขอบเขตระบบบรหารจดการความมนคงปลอดภยสารสนเทศ (Scope)

การด าเนนการของ องคกรฯ ในระบบบรหารจดการเวอรชนเกาไมไดมการก าหนดไว จงยงไมไดด าเนนการอยางชดเจน

ตองแกไข

2 ผน า (Leadership) ผบรหารจะตองสนบสนน ผลกดน มอบหมายและก าหนดหนาทส าหรบการบรหารจดการความมนคงปลอดภยสารสนเทศ ก าหนดนโยบายความมนคงป ลอดภ ย ส ารส น เท ศ และ ให ก ารสนบสนนตอทรพยากรท จ าเปนตอด าเนนงาน

อ งค ก รฯ ได ม ก า รก าห น ดโครงสรางคณะกรรมการดานค ว า ม ม น ค ง ป ล อ ด ภ ยสารสนเทศ คณะท างานความมนคงปลอดภยสารสนเทศและนโยบายความมนคงปลอดภยสารสนเทศไวแลวจ งมความสอดคลองขนพนฐาน

ผาน

Page 90: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

74

ตารางท 4.1 (ตอ)

ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของขอก าหนดระบบบรหารจดการ (Management System Requirements)

ขอก าหนดระบบบรหารจดการ (Management System Requirements)

ขอ ขอก าหนดมาตรฐาน สงทตรวจสอบพบ หมายเหต

3 การวางแผน (Planning) องคกรจะตองพจารณาถงความเสยงและโอกาสทเกยวของกบความสามารถในการบรรลวตถประสงคและเปาหมายของระบบบรหารจดการความมนคงปลอดภยสารสนเทศ โดยการประเมนความเสยงและการบรหารความเสยงความมนคงปลอดภยสารสนเทศ และองคกรจ าเปนทจะตองวางแผนเพอใหมนใจวาสามารถจะบรรลวตถประสงคความมนคงปลอดภยสารสนเทศ

จากการด าเนนการของ องคกรฯ ในระบบบรหารจดการเวอรชนเกา องคกรฯ มการประเมนความเส ยงและการวางแผน ลดความเสยงซงด าเนนการผานมาในป 2556 ซงกระบวนการบรหารความเส ยงท มอย น นสามารถน ามาใชกบมาตรฐานฉบบใหม ได แตการวางแผนเพ อ ให ส าม ารถ บ รรล ต ามวตถประสงคจะตองด าเนนการปรบปรง และผลการประเมนค ว า ม เส ย ง จ ะ ต อ ง ม ก า รด าเนนการอยางตอเนอง

ตองแกไข

4 การสนบสนน (Support) องคกรจ าเป นตองมการสนบสน นทรพยากรท จ า เป นต อการบรห ารจดการความมนคงปลอดภยสารสนเทศ มการก าหนดความร (Competence) การสรางความตระหนก (Awareness) ก า ห น ด ร ป แ บ บ ก า ร ส อ ส า ร (Communication) และก าหนดแนวทางการจดการเอกสาร (Document Management)

4.1 ป จ จ บ น ผ บ ร ห า ร ข อ ง อ งค ก ร ฯ ม ก า ร ส น บ ส น นทรพยากรตามงบประมาณทไดรบการสนบสนนจากรฐบาล และการด าเนนการตองเปนไปตามระเบยบทางราชการ 4.2 ด านการให ค วามร และความตระหนก องคกรฯ มการด าเนนการใหความรโดยผานการอบรม แตรายการความร

ผานบางสวน

Page 91: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

75

ตารางท 4.1 (ตอ)

ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของขอก าหนดระบบบรหารจดการ (Management System Requirements)

ขอก าหนดระบบบรหารจดการ (Management System Requirements)

ขอ ขอก าหนดมาตรฐาน สงทตรวจสอบพบ หมายเหต

และทกษะทจ าเปนของแตละบทบาท ยงไมไดมการปรบปรงให เหมาะสมและครอบคลมลกษณะงานดานความมนคงปลอดภยสารสนเทศ 4.3 การก าหนดดานการสอสาร องค ก รฯ ม ก ารด า เน น ก ารสอสารภายใน แตไมไดก าหนดข นมาอย างชด เจน เป นลายลกษณอกษร 4.4 การด า เน นการควบค มเ อ ก ส า ร อ ง ค ก ร ฯ มกระบวนการบรหารจดการเอกสาร ซ งจดท าไวในระบบบ รห ารจ ด การความม น ค งปลอดภยสารสนเทศในเวอรชน 2005 แลว

5 การปฏบตการ (Operation) องคกรจะตองน าแผนการลดความเสยงและแผนปฏบตการทจะท าใหมนใจวาสามารถจะบรรลวตถประสงคขององคกรไดมาด าเนนการปฏบต และด าเนนการทบทวนและประเมนความเสยง ด าเนนการวางแผนการลดความ

ตามท องคกรฯ ไดมการวางแผนการบรหารความเสยงดานค ว า ม ม น ค ง ป ล อ ด ภ ยสารสนเทศในป 2556 เทานน ด ง น น ก า ร ป ฏ บ ต ก า ร ในประเดนการบรหารความเสยงค ว า ม ม น ค ง ป ล อ ด ภ ย

ผานบางสวน

Page 92: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

76

ตารางท 4.1 (ตอ)

ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของขอก าหนดระบบบรหารจดการ (Management System Requirements)

ขอก าหนดระบบบรหารจดการ (Management System Requirements)

ขอ ขอก าหนดมาตรฐาน สงทตรวจสอบพบ หมายเหต

เสยงตามผลการทบทวนและประเมนความเสยง

ส า ร ส น เท ศ จ ง ไม ได ม ก า รด าเนนการเพมเตม แตส าหรบดานการตดตาม การตรวจสอบและการปองกนดานความมนคงปลอดภยสารสนเทศ องคกรฯ ได ม ก า ร ด า เน น ก า ร อ ย า งตอเนอง โดยประกอบดวย - การตรวจสอบและตดตามชองโห ว ท า ง เท ค น ค บ น ระ บ บสารสนเทศทส าคญ - การตดตามสมรรถนะระบบส า ร ส น เท ศ แ ล ะ อ ป ก ร ณเครอขายทมการด าเนนการเปนประจ าทกสปดาห - การวางแผนการด าเนนการธรกจอยางตอเนองในสวนงานดานเทคโนโลยสารสนเทศ ซงมการเตรยมความพรอมใหกบระบบงานทส าคญ - ก า ร ต ด ต า ม แ ล ะ แ ก ไ ขอบ ต ก ารณ ค วามม น ค งปลอดภยสารสนเทศ ซงมการตดตามรายสปดาห

6 การประเมนสมรรถนะ (Performance 6.1 การประเมนสมรรถนะท ตองแกไข

Page 93: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

77

ตารางท 4.1 (ตอ)

ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของขอก าหนดระบบบรหารจดการ (Management System Requirements)

ขอก าหนดระบบบรหารจดการ (Management System Requirements)

ขอ ขอก าหนดมาตรฐาน สงทตรวจสอบพบ หมายเหต

Evaluation) องคกรจะตองตดตามรายงานผลการด าเนนงานและผลการประเมนผล และจดใหมการตรวจสอบภายใน จากนนจงน าผลการตดตามประเมนผลและการตรวจสอบภายในรายงานตอผบรหารเพอใหพจารณาและสงการปรบปรงแกไข

องค ก รฯ ด า เน น การอย ในปจจบนมการด าเนนการดวยกระบวนการตามขอก าหนดของมาตรฐานระบบบรหารจดการค ว า ม ม น ค ง ป ล อ ด ภ ยสารสนเทศเวอรชนเดม ซ งมความแตกตางในสาระตามทมาตรฐานก าหนด เชน ประเดนการตดตาม การวดผล การวเคราะหและการประเมนผลทม ก า ร จ ด ท า ย ง ไม ได ม ก า รป ร บ ป ร ง ให ส อ ด ค ล อ งก บขอก าหนดมาตรฐานฉบบใหม 6.2 การประชมเพอรายงานผลตอฝายบรหาร (Management Review) ในปทผานมายงไมไดมการด าเนนการ เนองจากมการเปลยนแปลงฝายบรหารและโครงสรางภายใน องคกรฯ

7 การปรบปรง (Improvement) ผลจากการตดตามและผลการประเมน ผลจากการตรวจสอบภายในและมตทป ร ะช ม ข อ งฝ า ยบ ร ห า รจ าก ก ารพจารณาผล จะตองน ามาพจารณา

การปรบปรงและแก ไข เพ อปองกนความไมสอดคลองดานค ว า ม ม น ค ง ป ล อ ด ภ ยสารสนเทศ ปจจบน องคกรฯ มการด าเนนการแตรปแบบการ

ตองแกไข

Page 94: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

78

ตารางท 4.1 (ตอ)

ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของขอก าหนดระบบบรหารจดการ (Management System Requirements)

ขอก าหนดระบบบรหารจดการ (Management System Requirements)

ขอ ขอก าหนดมาตรฐาน สงทตรวจสอบพบ หมายเหต

คนหาสาเหตของปญหาหรอส งท ไมสอดคลองท เกดขน โดยคนหาจากสาเหตทแทจรงและก าหนดแนวทางในก า ร แ ก ไ ข ( Corrective Action) ตลอดจนพจารณาถงสาเหตอนทอาจมศ กยภาพ อนจะก อ ให เก ดความไมสอดคลองหรอปญหาในอนาคตและก าหนดแนวทางในการป องกน ในอนาคต (Preventive Action)

จดเกบบนทกยงไม ไดม การด าเนนการอยางตอเนอง เชน การแกไขปญหาการแพรระบาดของไวรสคอมพวเตอร การแกไขปญหาอบตการณระบบจดหมายอเลกทรอนกส ทมการคนหาสาเหตของปญหาและมก า ร ด า เน น ก าร แ ก ไข แ ล ะปองกน แตการบนทกผลตามร ป แ บ บ ข อ ก า ห น ด ข อ งมาตรฐานยงไมไดด าเนนการอยางตอเนอง เปนตน

Page 95: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

79

ตารางท 4.2

ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ

สงทตรวจสอบพบ หมายเหต

1 น โย บ า ย ค ว า ม ม น ค ง ป ล อ ด ภ ยส ารส น เท ศ ( Information Security Policies) เปนมาตรการควบคมทก าหนดใหองคกรตองก าหนดทศทางและสนบสนนดานความมนคงปลอดภยสารสนเทศใหสอดคลองกบความตองการทางธรกจและสมพนธกบกฎระเบยบ กฎหมาย

พบวา องคกรฯ ไดมการจดท าขอก าหนดและนโยบายความมนคงปลอดภยสารสนเทศส าห ร บ อ งค ก รฯ แ ต ก า รท บ ท วน และการป ร บ ป ร งนโยบายความมนคงปลอดภยสารสนเทศในปท ผ านมาย งไมไดมการด าเนนการ

ตองแกไข

2 องคประกอบของความมนคงปลอดภยส า ร ส น เ ท ศ ( Organization of information security) ประกอบดวยการจดการภายในองคกร (Internal organization) การก าหนดบทบาทและหนาท ด านความมนคงปลอดภยสารสนเทศ การแบ งแยกหนาท การรวบรวมขอมลส าหรบตดตอผมอ านาจและตดตามขอมลดานความมนคงปลอดภยสารสนเทศ การบรหารจดการโครงการในดานความมนคงปลอดภยสารสนเทศ การควบคมความมนคงปลอดภยจากปฏบตงานภายนอก (Teleworking) และอปกรณ โมบาย (Mobile devices)

พ บ ว า อ ง ค ก ร ฯ ม ก า รด า เน น ก ารต าม ม าต รการควบคมภายในซงสอดคลองกบขอก าหนดของมาตรฐาน มเพยงแตมาตรการควบคมทมก า ร ป ร ะ ก า ศ ใ ช ใ ห ม ใ นมาตรฐาน คอ เรองนโยบายการใชงานอปกรณโมบาย และการบรหารโครงการในมตดานค ว า ม ม น ค ง ป ล อ ด ภ ยสารสนเทศ ท ย งไม ไดมการด าเนนการ

ผานบางสวน

Page 96: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

80

ตารางท 4.2 (ตอ)

ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ

สงทตรวจสอบพบ หมายเหต

3 ความมนคงปลอดภยดานทรพยากรบคคล (Human resource security) ประกอบดวยการควบคมกอนการจางงาน (Prior to employment) ทตองมการตรวจสอบประวต การก าหนดเงอน ไขด านความม น คงปลอดภ ยสารสนเทศกอนการจาง การควบคมร ะ ห ว า ง ก า ร จ า ง ง า น ( During employment) ป ร ะ ก อ บ ด ว ย ก า รสอสารหนาท ความรบผดชอบจากฝายบรหาร การจดอบรมสรางความร ความตระหนกและการใหการศกษา และกระบวนการทางวนย การควบคมเมอส น ส ด ก า ร จ า ง ห ร อ เ ม อ ม ก า รเปลยนแปลงการจาง (Termination and change of employment)

พ บ ว า อ ง ค ก ร ฯ ม ก า รด าเนนการควบคมความมนคงป ล อด ภ ย ส ารส น เท ศ ต ามระ เบ ยบ ท างราชการ ซ งมครอบคลมความตองการขนพนฐานของมาตรฐาน

ผาน

4 ก า ร จ ด ก า ร ท ร พ ย ส น ( Asset management) ป ระ ก อ บ ด ว ย ก า รก า ห น ด ค ว า มร บ ผ ด ช อ บ ต อ ท ร พ ย ส น (Responsibility for assets) ซงตองมการจดท าบญชทรพยสน การก าหนดผรบผดชอบดแล การก าหนดเงอนไข

พบวา องคกรฯ มกระบวนการจ ด ก า รท ร พ ย ส น แ ล ว ซ งครอบคล มการจ ดท าบ ญ ชทรพยสน การจดจ าแนกชนความลบ แตการน ามาใชยงไมไดด าเนนการอยางตอเนอง

ตองแกไข

Page 97: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

81

ตารางท 4.2 (ตอ)

ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ

สงทตรวจสอบพบ หมายเหต

การใช งาน ท รพ ย ส น และการค นทรพยสน การจดจ าแนกสารสนเทศ(Information classification) ประกอบ ดวยแนวทางการจดจ าแนกสารสนเทศตามความส าคญ คณคาและความลบ การท าปายลาเบลและการจดการ การใชงานทรพยสนตามปายลาเบล

5 ก า ร ค ว บ ค ม ก า ร เข า ถ ง (Access control) ประกอบดวยการก าหนดนโยบายการเข าถ งตามความตองการทางธรก จ (Business requirements of access control) การบรหารการเข าถงของผใชงาน (User access management) ห น า ท ข อ ง ผ ใ ช ง า น ( User responsibilities) ก า ร ค ว บ ค ม ก า รเข าถ งทางระบบและแอพพล เคช น ( System and application access control)

5.1 พบว า อ งค ก รฯ ม ก ารควบคมการเขาถงทางเครอขายโดยผานอปกรณไฟรวอลล แตในดานการก าหนดรายละเอยดการเขาถงยงไมมความชดเจนแ ล ะก ารบ งค บ ใช ย ง ไม ไดด าเนนการอยางตอเนอง 5.2 การควบคมการเขาถงในระด บ แอพ พ ล เค ช น ม ก ารด าเนนการควบคมและมการพจารณาสทธตามกระบวนการควบคมทไดมการออกแบบแลว

ผานบางสวน

6 การเขารหสลบ (Cryptography) เปนมาตรการควบคมส าหรบการรกษาความลบของขอมล โดยใหมการก าหนดนโยบายการใชงานมาตรการควบคม

พบวา องคกรฯ มการปองกนความลบของขอมลในระดบเคร อข ายซ ง ใช โป ร โตคอล PWA2

ผาน

Page 98: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

82

ตารางท 4.2 (ตอ)

ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ

สงทตรวจสอบพบ หมายเหต

ดวยรหสลบ และการจดการกญแจรหสลบ

7 ความมนคงปลอดภยทางกายภาพและส ภ า พ แ ว ด ล อ ม ( Physical and environmental security) ประกอบดวยการก าหนดการควบคมพนท ท างกายภาพ การเข าถ ง การจ ด ก า ร พ น ท แ ล ะ ก า ร ค ว บ ค มสภาพแวดลอมความปลอดภยใหมความเหมาะสม

7.1 พบว า อ งค ก รฯ ม ก ารปองกนทางกายภาพส าหรบหองเดตาเซนเตอรซงการตดตงระบบควบคมการเขาถง มการควบคมอณหภมและความชน แต ในด านการป องกนท างก า ย ภ า พ ส า ห ร บ ร ะ บ บสารสนเทศ พบวาพนทยงอยในล ก ษ ณ ะ เ ป ด อ ป ก ร ณคอมพวเตอรและเซรฟเวอรไมไดมการตดตงภายในตแรคทสามารถควบคมการเขาถงได 7.2 การควบคมดแลสายเคเบลพบวา องคกรฯ ประสบปญหาสายเคเบลทไมไดมาตรฐาน ซงหากสงเกตจากภายนอกจะพบวาสายมลกษณะปกตแตภายในช ารด ท าใหตองมการเปลยนหรอสลบสายเคเบลจนเปน เหต ให การจด เรยงสายเคเบลไมเปนระเบยบและยาก

ตองแกไข

Page 99: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

83

ตารางท 4.2 (ตอ)

ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ

สงทตรวจสอบพบ หมายเหต

ตอการดแลรกษา 8 ความมนคงปลอดภยทางการปฏบตการ

(Operations security) ประกอบดวยการก าหนดหนาทความรบผดชอบและขนตอนปฏบตส าหรบปฏบตการ (Operational procedures and responsibilities) ทตองมขนตอนปฏบต มการควบคมการเปลยนแปลง (Change management) การบรหารสมรรถนะ (Capacity management) และการแบงแยกสภาพแวดลอมส าหรบการพฒนา การทดสอบและการใชงานจ ร ง ต อ ง ม ก า ร ป อ ง ก น ม ล แ ว ร (Protection from malware) ม ก า รส ารองขอมล (Backup) มการบนทกปมเหตการณและตดตาม (Logging and monitoring) มการควบคมซอฟตแวรทใ ช ป ฏ บ ต ก า ร ( Control of operational software) มการจดการช อ ง โห ว ท า ง เท ค น ค (Technical vulnerability management) ม ก า รควบคมเครอมอส าหรบการตรวจสอบระบบสารสนเทศ

พ บ ว า อ ง ค ก ร ฯ ม ก า รด าเนนการตดตามสมรรถนะระบบสารสนเทศและเครอขาย มการส ารองขอมลและมการปองกนมลแวรภายในองคกร แตการบรหารการเปลยนแปลงระบ บ ส ารส น เท ศ ย ง ไม ไดด าเนนการอยางตอเนอง และการป ร บ ป ร งช อ ง โห ว ท างเทคนคพบวายงมบางระบบงานท ย งไม ส ามารถด า เน นการปรบปรงได เนองจากอาจเกดผลกระทบท อาจเกดข นกบระบบสารสนเทศ

ผานบางสวน

Page 100: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

84

ตารางท 4.2 (ตอ)

ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ

สงทตรวจสอบพบ หมายเหต

9 ความมนคงปลอดภยทางการสอสาร (Communications security) ประกอบดวยการจดการความมนคงปลอดภ ยท างเค ร อข าย (Network security management) ซงตองมการควบคมทางเครอข าย การก าหนดบรการทางเครอขายทใหบรการและการแบงแยกเครอขายท ใชงาน และจดสงสารสนเทศ (Information transfer) ซงตองมการก าหนดนโยบายและขนตอนปฏบต การก าหนดขอตกลงส าหรบ ก า รจ ด ส งส า รส น เท ศ ก ารจ ด ส งสารสนเทศทางอเลกทรอนกส การก าหนดขอตกลงในการรกษาความลบ

พบวา องคกรฯ มการควบคมค ว า ม ม น ค ง ป ล อ ด ภ ยสารสนเทศในระบบเครอขายคอมพวเตอรผานอปกรณไฟรวอลล (Firewall) แตการตงคาการท างานทางเทคนคยงไมไดมการก าหนดใหมการควบคมและปองกนอยางเหมาะสมส งสด เน องจาก ปญหาการสอสารภายในระหวางผพฒนาร ะ บ บ แ ล ะ ผ ด แ ล ร ะ บ บเครอขาย

ผานบางสวน

10 การจดหา พฒนาและบ ารงรกษาระบบ (System acquisition, development and maintenance) ประกอบดวยการก าหนดความตองการดานความมนคงปลอดภยสารสนเทศส าหรบระบบสารสนเทศ (Security requirement of information system) การควบคมความมนคงปลอดภยในการพฒ นาและกระบวนการสนบสน น

พบวา องคกรฯ มการปรบปรงและจดหาระบบสารสนเทศ ซงการก าหนดความตองการดานค ว า ม ม น ค ง ป ล อ ด ภ ยสารสนเทศยงไมมความชดเจน

ผานบางสวน

Page 101: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

85

ตารางท 4.2 (ตอ)

ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ

สงทตรวจสอบพบ หมายเหต

( Security in development and support processes) ก า ร ค ว บ ค มความปลอดภยบนขอมลทดสอบ (Test data)

11 ค ว าม ส ม พ น ธ ก บ ซ พ พ ล าย เอ อ ร (Supplier relationships) ประกอบดวยการควบคมความมนคงปลอดภยสารสนเทศส าหรบซพพลายเ อ อ ร ( Information security in supplier relationships) ท ตองมการก าหนดขอตกลงและความรบผดชอบดานความมนคงปลอดภยสารสนเทศ การบรหารการใหบรการ (Supplier service delivery management)

พบวา องคกรฯ มการก าหนดรายละเอยดการจางในสญญาจางส าหรบผใหบรการ และมการตดตามการใหบรการโดยอาศยกระบวนการจดซอจดจางตามระเบยบราชการ ซงมความสอดคลองกบขอก าหนดของมาตรฐานขนพนฐาน

ผาน

12 การจดการกบอบตการณความมนคงปลอดภ ยสารสน เทศ ( Information security incident management) ประกอบดวยขนตอนปฏบตส าหรบจดการกบ อบต การณ การรายงานเหตการณและจดออนดานความมนคงปลอดภยสารสนเทศ การประเมนและการตดสนใจส าหรบเหตการณดานความม น ค งป ล อ ด ภ ย ส ารส น เท ศ ก าร

พบวา องคกรฯ มการจดการอ บ ต ก า ร ณ ค ว า ม ม น ค งปลอดภยสารสนเทศ โดยมการมอบหมายหนาทในการแกไขป ญ ห า เบ อ ง ต น แ ต ก า รว เคราะห แนวโน มและการแกไขปญหาจากสาเหต มการด า เ น น ก า ร แ ต ย ง ไ ม มประสทธผล

ผานบางสวน

Page 102: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

86

ตารางท 4.2 (ตอ)

ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)

ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ

สงทตรวจสอบพบ หมายเหต

ตอบสนองตออบตการณความมนคงปลอดภยสารสนเทศ และการรวบรวมหลกฐาน

13 การจดการความตอเนองทางธรกจในมตค ว าม ม น ค งป ลอดภ ยส ารสน เท ศ ( Information security aspects of business continuity management) ประกอบดวยการวางแผนความตอเนองในการด าเนนธรกจ การเตรยมการและการประยกตใชงานแผน การทดสอบและทบทวนความตอเนองทางธรกจ ก า ร ใ ช ง า น อ ป ก ร ณ ส า ร อ ง (Redundancies)

พบวา องคกรฯ มการจดเตรยมระบบส ารองและมการพฒนาแผนการด าเนนธรกจอย างต อ เ น อ ง ส า ห ร บ ร ะ บ บสารสนเทศทส าคญ ซงมการทดสอบการใชงาน และมการปรบปรงแกไขระบบส ารอง

ผาน

14 การปฏบตตาม (Compliance) ประกอบไปดวยการปฏบต ตามกฎ ร ะ เบ ย บ ก ฎ ห ม า ย ท ก า ห น ด ( Compliance with legal and contractual requirements) การทบทวนความม น คงปลอดภ ยส ารส น เท ศ ( Information security reviews)

พบวา องคกรฯ มการควบคมการปฏบตตามกฎ ระเบยบแ ล ะก ฎ ห ม าย ต าม ท ได มก าหนดขนในมาตรฐานระบบบรห ารจ ดการความม น ค งปลอดภยสารสนเทศเวอรชนเกา แตการปรบปรงขอมลใหทนสมยย งไม ได ด า เนนการอยางตอเนอง

ผานบางสวน

Page 103: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

87

ผลการปฏบตตามมาตรฐานความมนคงปลอดสารสนเทศ ISO/IEC 27001:2013 ของ องคกรฯ ในปจจบน สามารถสรปไดดงน

o ผาน ตรงตามขอก าหนดของมาตรฐานจ านวน 5 ขอ o ผานบางสวน ตามขอก าหนดของมาตรฐานจ านวน 9 ขอ o ตองแกไข จ านวน 7 ขอ

Page 104: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

88

จากผลการปฏบตตามมาตรฐานความมนคงปลอดสารสนเทศ ISO/IEC 27001:2013 ของ องคกรฯ ในปจจบน สามารถสรปปจจยทเกยวของกบการเตรยมความพรอมขององคกรฯ ไดดงน

ตารางท 4.3 ปจจยทเกยวของกบการเตรยมความพรอมขององคกรฯ โดยอางองจากผลการวเคราะหสถานะปจจบนขององคกรอางองตามมาตรฐาน ISO/IEC 27001:2013

ปจจยทเกยวของ ค านยามตามงานวจย ขอสนบสนนปจจยทเกยวของ อางอง ความ ร ค ว าม เข า ใจ เก ย วก บมาตรฐานและกฎหมายตางๆ

มการประชาสมพนธจากองคกรอยอยางสม าเสมอเพอสรางความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆทเกยวของกบความมนคงปลอดภยสารสนเทศ

1. บคลากรมความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆทเกยวของ ไมเทากน 2. มการจดการอบรม แตรายการความรและทกษะทจ าเปนของแตละบทบาท ยงไมไดปรบปรงใหเหมาะสมและครอบคล มล กษณ ะงานด านความม น คงปลอดภ ยสารสนเทศ 3. การประชาสมพนธขอมลทเปนประโยชนใหกบบคลากรไดรบทราบ 4. มการสอสารภายใน แตไมไดก าหนดขนมาอยางชดเจนเปนลายลกษณอกษร

ผาน - ผานบางสวน ข อ 4 .2 (ต า ร า งท 4.1) ข อ 4 .3 (ต า ร า งท 4.1) ตองแกไข -

Page 105: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

89

ตารางท 4.3 (ตอ)

ปจจยทเกยวของกบการเตรยมความพรอมขององคกรฯ โดยอางองจากผลการวเคราะหสถานะปจจบนขององคกรอางองตามมาตรฐาน ISO/IEC 27001:2013

ปจจยทเกยวของ ค านยามตามงานวจย ขอสนบสนนปจจยทเกยวของ อางอง การประยกต ใชมาตรฐานและกฎหมายทเกยวของ

มการน าเอามาตรฐานและกฎหมายท เก ย ว ข อ ง ด า น ค ว า ม ม น ค งปลอดภยสารสนเทศมาประยกตใชกบงานดานเทคโนโลยสารสนเทศขององคกร มการทบทวน ตดตาม และตรวจสอบ อยางตอเนอง

1. น าเอามาตรฐานและกฎหมายทเกยวของดานความมนคงปลอดภยสารสนเทศมาประยกตใชในงานขององคกร ทงดาน Hardware, Software และ Network 2. การด าเนนงานขององคกรฯ ยงด าเนนการตามเวอรชนเกาซงยงไมมการก าหนดถงหวขอมาตรฐานบางขอไว มาตรฐานบางขอจงยงไมไดด าเนนการอยางชดเจน 3. มการด าเนนการควบคมเอกสารขององคกร ซงจดท าไวในระบบบรหารจดการความมนคงปลอดภยสารสนเทศในเวอรชน 2005 แลว สามารถใชงานรวมกบเวอรชน 2013 ได 4. มการด าเนนการดานการตดตาม การตรวจสอบ และปองกนดานความมนคงปลอดภยสารสนเทศอยางตอเนอง 5. องคกรฯ มกระบวนการจดการทรพยสนแลว แตการน ามาใชยงไมไดด าเนนการอยางตอเนอง 6. มการควบคมการเขาถงเครอขาย แตการก าหนดสทธการเขาถงยงไมชดเจน และการบงคบใชยงไมไดด าเนนการอยางตอเนอง 7. มการควบคมการเขาถงในระดบแอพลเคชน โดยมการ

ผาน ขอ 11 (ตารางท 4.2) ผานบางสวน ข อ 4 .4 (ต า ร า งท 4.1) ขอ 5 (ตารางท 4.1) ข อ 5 .1 (ต า ร า งท 4.2) ข อ 5 .2 (ต า ร า งท 4.2) ขอ 10 (ตารางท 4.2) ขอ 12 (ตารางท 4.2) ตองแกไข ขอ 1 (ตารางท 4.1) ขอ 4 (ตารางท 4.2)

Page 106: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

90

ตารางท 4.3 (ตอ)

ปจจยทเกยวของกบการเตรยมความพรอมขององคกรฯ โดยอางองจากผลการวเคราะหสถานะปจจบนขององคกรอางองตามมาตรฐาน ISO/IEC 27001:2013

ปจจยทเกยวของ ค านยามตามงานวจย ขอสนบสนนปจจยทเกยวของ อางอง ควบคมและพจารณาสทธตามกระบวนการควบคมทออกแบบไว 8. มการปรบปรงและจดหาระบบสารสนเทศแตการก าหนดความตองการดานความมนคงปลอดภยสารสนเทศยงไมมความชดเจน 9. มการก าหนดรายละเอยดการจางในสญญาจางส าหรบผใหบรการ และมการตดตามการใหบรการโดยอาศยกระบวนการจดซอจดจางตามระเบยบราชการ 10 . ม การจดการอบ ต การณ ความม น คงปลอดภ ยสารสนเทศ มการมอบหมายหนาท ในการแกไขปญหาเบองตน แตยงขาดการวเคราะหแนวโนมและการแกไขปญหาจากสาเหตทมประสทธผล

ก า ร ให ค ว า ม ส า ค ญ ใน ก า รด าเนนการตามมาตรฐานฯ

บคลากรท กระดบ ในองคกรใหความส าคญตอการด าเนนการตามมาตรฐาน สามารถน าไปปฏบตไดอยางถกตองและเหมาะสม

1. ผบรหารใหการสนบสนนในการด าเนนการโครงการเกยวกบความมนคงปลอดภยสารสนเทศในองคกร 2. มการก าหนดโครงสรางคณะกรรมการฯ คณะท างานฯ ไวแลว 3. บคลากรในระดบตางๆ ปฏบตตามขอก าหนดและขนตอนปฏบต

ผาน ขอ 2 (ตารางท 4.1) ขอ 13 (ตารางท 4.2) ผานบางสวน ข อ 4 .1 (ต า ร า งท

Page 107: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

91

ตารางท 4.3 (ตอ)

ปจจยทเกยวของกบการเตรยมความพรอมขององคกรฯ โดยอางองจากผลการวเคราะหสถานะปจจบนขององคกรอางองตามมาตรฐาน ISO/IEC 27001:2013

ปจจยทเกยวของ ค านยามตามงานวจย ขอสนบสนนปจจยทเกยวของ อางอง 4. ขาดการด าเนนการบรหารความเส ยงความมนคงปลอดภยสารสนเทศ 5. การตดตาม การวดผล การวเคราะหและประเมนผล ยงไมไดมการปรบปรงใหสอดคลองกบขอก าหนดมาตรฐานเวอรชนใหม 6. มการด าเนนการตดตามสมรรถนะระบบสารสนเทศและเครอขาย มการส ารองขอมล และมการปองกนมลแวรภายในองคกร แตการบรหารการเปลยนแปลงระบบสารสนเทศยงไมไดด าเนนการอยางตอเนอง และการปรบปรงชองโหวทางเทคนคยงไมสามารถด าเนนการได เนองจากการปรบปรงนนอาจจะสงผลกระทบตอระบบสารสนเทศอนๆ 7. มการจดการอบตการณความมนคงปลอดภยสารสนเทศ มการมอบหมายหนาทในการแกไขปญหาเบองตน แตยงขาดการวเคราะหแนวโนมและการแกไขปญหาจากสาเหตทมประสทธผล 8. องคกรมการจดเตรยมระบบส ารองและมการพฒนาแผนด าเนนธรกจอยางตอเนองส าหรบระบบสารสนเทศทส าคญ

4.1) ขอ 5 (ตารางท 4.1) ขอ 8 (ตารางท 4.2) ขอ 12 (ตารางท 4.2) ขอ 14 (ตารางท 4.2) ตองแกไข ขอ 3 (ตารางท 4.1) ขอ 6 (ตารางท 4.1)

Page 108: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

92

ตารางท 4.3 (ตอ)

ปจจยทเกยวของกบการเตรยมความพรอมขององคกรฯ โดยอางองจากผลการวเคราะหสถานะปจจบนขององคกรอางองตามมาตรฐาน ISO/IEC 27001:2013

ปจจยทเกยวของ ค านยามตามงานวจย ขอสนบสนนปจจยทเกยวของ อางอง 9. มการควบคมการปฏบตตามกฎ ระเบยบและกฎหมาย ตามทก าหนดในมาตรฐานเวอรชนเกา ซงยงไมไดมการด าเนนการปรบปรงใหสอดคลองกบเวอรชนใหม

นโยบายขององคกร มการน าเอามาตรฐานดานความมนคงปลอดภยสารสนเทศ ระบเปนนโยบายระดบองคกร

1. มการก าหนดนโยบายความมนคงปลอดภยสารสนเทศ ไวเปนสวนหนงของของการขบเคลอนองคกร 2. จดท าโครงการเกยวกบความมนคงปลอดภยสารสนเทศ 3. จดท าระเบยบ ขอบงคบ และแนวปฏบตทเกยวกบความมนคงปลอดภยสารสนเทศ 4. ปทผานมามการเปลยนแปลงฝายบรหารและโครงสรางภายใน จงยงไมไดมการจดประชมเพอรายงานผลตอฝายบรหาร (Management Review) 5. ปทผานมายงไมไดมการทบทวนและปรบปรงนโยบายความมนคงปลอดภยสารสนเทศ 6. ขาดมาตรการควบคมทมการประกาศใชใหม เชน นโยบายการใชงานอปกรณ โมบาย และการบรหารโครงการในมตดานความมนคงปลอดภยสารสนเทศ 7. องคกรฯ มการด าเนนการควบคมความมนคงปลอดภยสารสนเทศตามระเบยบราชการ เกยวกบความมนคง

ผาน ขอ 3 (ตารางท 4.2) ผานบางสวน ขอ 2 (ตารางท 4.2) ตองแกไข ขอ 6 (ตารางท 4.1) ขอ 1 (ตารางท 4.2)

Page 109: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

93

ตารางท 4.3 (ตอ)

ปจจยทเกยวของกบการเตรยมความพรอมขององคกรฯ โดยอางองจากผลการวเคราะหสถานะปจจบนขององคกรอางองตามมาตรฐาน ISO/IEC 27001:2013

ปจจยทเกยวของ ค านยามตามงานวจย ขอสนบสนนปจจยทเกยวของ อางอง ปลอดภ ยด านทรพยากรบ คคล (Human Resource Security)

โครงสรางเทคโนโลยสารสนเทศขององคกร

โครงสรางเทคโนโลยสารสนเทศขององคกรเปนไปตามมาตรฐานดานความมนคงปลอดภยสารสนเทศ

1. สภาพแวดลอม , Infrastructure และระบบงาน ควรไดรบการปรบปรงและพฒนาอยบนพนฐานตามมาตรฐานความมนคงปลอดภยสารสนเทศ 2. มการควบคมการเขาถงเครอขาย แตการก าหนดสทธการเขาถงยงไมชดเจน และการบงคบใชยงไมไดด าเนนการอยางตอเนอง 3. มการควบคมการเขาถงในระดบแอพลเคชน โดยมการควบคมและพจารณาสทธตามกระบวนการควบคมทออกแบบไว 4. องคกรมการปองกนความลบของขอมลในระดบเครอขาย 5. องคกรฯ มการปองกนทางกายภาพส าหรบหองเดตาเซนเตอรซงการตดตงระบบควบคมการเขาถง มการควบคมอณหภมและความชน แตในดานการปองกนทางกายภาพส าหรบระบบสารสนเทศ พบวาพนทยงอยในลกษณะเปด อปกรณคอมพวเตอรและเซรฟเวอรไมไดมการตดตงภายใน

ผาน ขอ 6 (ตารางท 4.2) ผานบางสวน ข อ 5 .1 (ต า ร า งท 4.2) ข อ 5 .2 (ต า ร า งท 4.2) ขอ 9 (ตารางท 4.2) ตองแกไข ขอ 7 (ตารางท 4.2)

Page 110: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

94

ตารางท 4.3 (ตอ)

ปจจยทเกยวของกบการเตรยมความพรอมขององคกรฯ โดยอางองจากผลการวเคราะหสถานะปจจบนขององคกรอางองตามมาตรฐาน ISO/IEC 27001:2013

ปจจยทเกยวของ ค านยามตามงานวจย ขอสนบสนนปจจยทเกยวของ อางอง ตแรคทสามารถควบคมการเขาถงได 6. การควบคมดแลสายเคเบลพบวา องคกรฯ ประสบปญหาสายเคเบลท ไมไดมาตรฐาน ซงหากสงเกตจากภายนอกจะพบวาสายมลกษณะปกตแตภายในช ารด ท าใหตองมการเปลยนหรอสลบสายเคเบลจนเปนเหตใหการจดเรยงสายเคเบลไมเปนระเบยบและยากตอการดแลรกษา 7. มการควบคมความมนคงปลอดภยสารสนเทศระดบเครอขาย แตทางเทคนคยงไมไดมการก าหนดการควบคมและปองกนอยางเหมาะสมสงสด

ความตระหนกถงภยคกคามและชองโหว

องคกรมระบบปองกนภยคกคามและชองโหวตางๆรวมถงบคลากรมความตระหนกถงภยคกคามรปแบบตางๆ และไมตกเปนเหยอจากภยดงกลาว

1. องคกรมระบบปองกนภยคกคามและชองโหวจากภายในและภายนอกองคกร 2. บคลากรไมตกเปนเหยอจากผไมประสงคดจากเทคนค Social Engineering 3. การประชาสมพนธขอมลทเปนประโยชนใหกบบคลากรไดรบทราบ 4. มการสอสารภายใน แตไมไดก าหนดขนมาอยางชดเจนเปนลายลกษณอกษร

ผาน - ผานบางสวน ข อ 4 .2 (ต า ร า งท 4.1) ข อ 4 .3 (ต า ร า งท 4.1)

Page 111: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

95

ตารางท 4.3 (ตอ)

ปจจยทเกยวของกบการเตรยมความพรอมขององคกรฯ โดยอางองจากผลการวเคราะหสถานะปจจบนขององคกรอางองตามมาตรฐาน ISO/IEC 27001:2013

ปจจยทเกยวของ ค านยามตามงานวจย ขอสนบสนนปจจยทเกยวของ อางอง ตองแกไข -

Page 112: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

96

4.1.2 สรปผลการส ารวจความคดเหนและประเมนผลปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการเขารบการรบรองมาตรฐาน ISO/IEC 27001:2013

4.1.2.1 สรปผลการสมภาษณผบรหาร ท าการสมภาษณผบรหารซงเปนตวแทนจากฝายตางๆ จ านวน 5 ฝาย

ไดแก ฝายทรพยากรบคคล ฝายวางแผน ฝายบรหารทวไป ฝายตดตามและบรหารความเสยง และส านกเทคโนโลยสารสนเทศ สามารถสรปไดดงน (รายละเอยดตามเอกสารภาคผนวก ง)

ฝายทรพยากรบคคล มความคดเหนวา องคกรยงขาดการประชาสมพนธใหพนกงานไดรบทราบขอมลและยงขาดความเขาใจเกยวกบความมนคงปลอดภยสารสนเทศ สวนใหญจะยงไมเคยรบรถงขนตอนและกระบวนการ รวมถงรายละเอยดตางๆ ซงองคกรจะไดรบประโยชนจากการบรหารจดการความมนคงปลอดภยสารสนเทศเปนอยางยง หากมการประชาสมพนธโดยใชวธการและภาษาทเขาใจงายและสนบสนนสงเสรมใหน ามาปฏบตอยางจรงจง จะท าใหองคกรมกรอบในการด าเนนงานมากขนและปองกนไมใหพนกงานใชเทคโนโลยสารสนเทศในทางทผดอกดวย และหากองคกรไมปฏบตตามมาตรฐานและขอก าหนดดางๆ อาจจะสงผลตอภาพลกษณขององคกรได โดยสรปควรมการประชาสมพนธ และควรมการสรางความเขาใจใหใหพนกงานในองคกรทราบเพอน าไปสการเตรยมความพรอมขององคกรตอไป

ฝายวางแผน มความเหนวา ปจจบนองคกรมมาตรฐานความปลอดภยทสงมาก มการเขารหสการใชงานทกครง รวมถงการหามไมใหผใชงานตดตงโปรแกรมหรอเปลยนแปลงการตงคาในเครองเอง โดยจะตองแจงผดแลระบบเพอด าเนนการใหเทานน แตระบบยงไมเปนมาตรฐานเดยวกน บางระบบสามารถออกจากระบบเองอตโนมต บางระบบกไมออกจากระบบให รวมถงยงมการใชงานบญชผใชทหลากหลาย ท าใหยากตอการจดจ า เหนควรทจะน าเอาระบบบรหารจดการความมนคงปลอดภยสารสนเทศ (ISO/IEC 27001) มาประยกตใชในองคกร เพอใหมมาตรฐานในการด าเนนงานรวมถงการควบคมเรองเทคโนโลยสารสนเทศใหเปนไปในทศทางเดยวกน ซงองคกรสามารถควบคมการกระท าความผดตางๆ ทเกยวของกบสารสนเทศและควบคมปญหาไวรส/การเจาะขอมลองคกรไดเปนอยางดอกดวย หากองคกรไมสามารถปฏบตตามมาตรฐานความมนคงปลอดภยสารสนเทศได อาจจะเปนการลดความนาเชอถอขององคกรลง ขาดความเปนองคกรชนน าทมมาตรฐานสากลดงเชนองคกรอนๆ ไมเกดการพฒนาทางวฒนธรรมในการใชสารสนเทศยคใหม เกดปญหาความไมปลอดภยในการใชงานสารสนเทศภายในองคกร รวมถงอาจมโอกาสกระท าผดโดยไมไดตงใจหรอไมรตวจากผใชงานไดในระดบสง โดยสรปองคกรมพนฐานความพรอมทจะด าเนนการตามมาตรฐานอย แล ว เน องจากม Infrastructure ท ม ความพรอมอย แล ว เพยงแตควรน าเอามาตรฐานสากลมาประยกตใชและมการทบทวนกระบวนการเดมเพมเตม

Page 113: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

97

ฝายบรหารทวไป มความเหนวา ยงขาดการประชาสมพนธใหพนกงานในองคกรรบทราบถงการด าเนนการบรหารจดการดานความมนคงปลอดภยสารสนเทศทวทงองคกร อาจจะเปนเพราะเปนเรองทเกยวกบเทคโนโลยสารสนเทศและมการด าเนนการในขอบเขตเฉพาะสวน ซงจะไมคอยไดเกยวของกบทางดานบรหารมากนก ไมมความคดเหนเพมเตมเนองจากไมมความรเกยวกบความมนคงปลอดภยสารสนเทศเทาทควร และมองวาเปนหนาทของผทเกยวของกบดานเทคโนโลยสารสนเทศเทานนทจะตองด าเนนการดงกลาว

ฝายตดตามและบรหารความเสยง มความเหนวา ไมแนใจวาองคกรมการปฏบตตามมาตรฐานความมนคงปลอดภยสารสนเทศเพยงพอหรอไม เนองจากมการใชบรการ Outsource เพอปฏบตหนาทเกยวกบเทคโนโลยสารสนเทศ อาจจะไมสามารถควบคมไดอยางทวถง มบางระบบทลมบอยในรอบปทผานมาเชน อเมล เปนตน ซงจะตองเพมความรอบคอบในการก ากบดแลผเกยวของ ไมใหด าเนนการใดๆ ทจะกระทบถงระบบสารสนเทศโดยรวม ควรมการตดตามและประเมนผลอยอยางสม าเสมอ และสรางการรบรใหกบพนกงานทวทงองคกร ไมเฉพาะเจาะจงดานไอทแตเพยงอยางเดยว

ส านกเทคโนโลยสารสนเทศ มความเหนวา องคกรควรมการปรบปรงเพอใหไดมาตรฐานกวาน โดยเนนไปทการวางแผนก าหนดนโยบาย ฝายวางแผนตองใหความส าคญในเรองของความมนคงปลอดภยสารสนเทศอยางจรงจง หากมการน าเอามาตรฐานความมนคงปลอดภยสารสนเทศ (ISO/IEC 27001) มาประยกตใชจะชวยใหการบรหารจดการดานความมนคงปลอดภยสารสนเทศดขนและท าใหองคกรมมารฐานมากขนตามหลกสากล เกดความมนคงปลอดภยในการเขาถงสารสนเทศและเครอขาย รวมถงชวยลดความผดพลาดท เกดขนจากระบบสารสนเทศและการสอสาร ซงผลกระทบทจะเกดขนหากไมด าเนนการตามมาตรฐานฯ นน อาจจะสงผลใหขอมลองคกรรวไหล ขาดการส ารองขอมลและไมทนตอการเปลยนแปลงจากภยทางอเลกทรอนกสทมการพฒนาตามเทคโนโลยทเปลยนแปลงไป ในการเตรยมความพรอมองคกรเพอใหไดรบการรบรองมาตรฐานฯ นน ตองด าเนนการดงน

1. องคกรควรมนโยบายทจะขอรบการรบรองมาตรฐาน เพอใหเกดความชดเจนในการปฏบตและการสนบสนนจากสวนตางๆ

2. สรางความรความเขาใจใหเกดขนในทกระดบ เพอใหเกดการสอสารและความเขาใจทตรงกน ปฏบตเพอไปสจดมงหมายเดยวกนและใหเหนถงประโยชนทจะไดรบในภาพรวม

3. การปฏบตตามมาตรฐานและขอก าหนดจะตองมการปฏบตอยางเครงครดในทกระดบ

Page 114: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

98

ส านกเทคโนโลยสารสนเทศ (กลมฐานขอมลการตลาด) มความเหนวา องคกรมความมนคงปลอดภยสารสนเทศคอขางเขมแขงด หากน าเอามาตรฐานความมนคงปลอดภยสารสนเทศ (ISO/IEC 27001) มาประยกตใชเพมเตมจะชวยเพมความปลอดภยดานสารสนเทศใหมประสทธภาพมากยงขน อกทงยงเปนการสรางความมนใจและสรางความนาเชอถอใหกบองคกรมากยงขน โดยภาพรวมองคกรมความมนคงปลอดภยดานสารสนเทศอยแลว

ส านกเทคโนโลยสารสนเทศ (กลมสารสนเทศองคกร) มความเหนวา องคกรมการด าเนนการตอพนฐานของระบบบรหารจดการความมนคงปลอดภยสารสนเทศ ใหสอดคลองตามมาตรฐาน ISO/IEC 27001:2013 โดยเปนไปตามทกระทรวงเทคโลยสารสนเทศก ากบองคกรของรฐ เพอใหเกดประโยชนสงสดตอการน าเอามาตรฐานฯ ดงกลาวมาใชในองคกร บคลากรทกระดบจะตองมการน าไปปฏบตอยางจรงจง ซงจะสงผลใหระบบสารสนเทศขององคกรมความพรอมในการใหบรการอยางตอเนองดวยการบรหารจดการอยางเปนระบบททกคนตองปฏบตตามขอก าหนดตางๆ ทเกยวของ หากไมด าเนนการตามมาตรฐานฯ อาจจะกอใหเกดความเสยหายตอทรพยสนรวมถงการใหบรการทางดานเทคโนโลยสารสนเทศ เชน การหยดชะงก การสญเสยขอมล หรรอระบบสารสนเทศในภาพรวมได ในการเตรยมความพรอมขององคกรเพอเขารบการรบรองมาตรฐานฯ นน จ าเปนตองใหผน าสงสดขององคกร (CEO) เหนชอบและใหการสนบสนนในการด าเนนการ จงจะท าใหกระบวนการตางๆ ส าเรจสมบรณแบบ และมแรงผลกดนใหองคกรสามารถขบเคลอนไปอยางมทศทางมากยงขน

จากการส ารวจความคดเหนของผบรหารทกทานเกยวกบความส าคญของปจจยทสงผลตอความพรอมขององคกรฯ สามารถสรปไดดงน (รายละเอยดแสดงดงตารางท 4.4)

- ล าดบท 1 ปจจยนโยบายขององคกร - ล าดบท 2 ปจจยความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ - ล าดบท 3 ปจจยการใหความส าคญในการด าเนนการตามมาตรฐานฯ และความ

ตระหนกถงภยคกคามและชองโหว - ล าดบท 4 ปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร - ล าดบท 5 ปจจยการประยกตใชมาตรฐานและกฎหมายทเกยวของ

Page 115: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

99

ตารางท 4.4

ผลการเรยงล าดบความส าคญของปจจยท เกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ประกอบการสมภาษณผบรหาร

ปจจย ทานท 1 ทานท 2 ทานท 3 ทานท 4 ทานท 5 ทานท 6 ทานท 7 ผลรวม

1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 3 1 6 3 2 5 2 22

2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ 6 6 5 6 4 6 3 36

3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ 1 3 3 5 3 4 5 24

4. นโยบายขององคกร 4 2 1 1 1 2 1 12

5. โครงสรางเทคโนโลยสารสนเทศขององคกร 5 5 2 2 6 3 6 29

6. ความตระหนกถงภยคกคามและชองโหว 2 4 4 4 5 1 4 24

Page 116: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

100

4.1.2.2 สรปผลการสมภาษณผเชยวชาญดานการจดการความมนคงปลอดภยสารสนเทศจากภายนอกองคกร

ท าการสมภาษณผเชยวชาญฯ จากภายนอกองคกรจ านวน 4 ทาน สรปผลการสมภาษณดงน (รายละเอยดตามเอกสารภาคผนวก จ)

ผเชยวชาญจากภายนอกทานท 1 ในมมมองภาพรวมขององคกรมการบรหารจดการความมนคงปลอดภย

สารสนเทศในระดบทด แตยงขาดการด าเนนการบางสวนหรอปฏบตยงไมครบถวนตามขนตอนปฏบตทไดวางแผนไว เมอองคกรน าเอามาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ (ISO/IEC 27001) มาใชในองคกรแหงนจะชวยใหองคกรมเอกสารหรอหลกฐานในการด าเนนการตางๆ ดานความมนคงปลอดภยสารสนเทศ ท าใหเมอเกดปญหาสามารถหาสาเหต และยงชวยใหองคกรสามารถปฏบตตามกฎหมายและนโยบายทรฐก าหนดอกดวย

นอกเหนอจากปจจยทผวจยไดศกษามาแลว ไดใหขอเสนอแนะวาในการน าเอามาตรฐานฯ มาประยกตใชนน ผปฏบตควรจะเขาใจบรบทขององคกรและเนนเรองการสงเสรมจากผบรหารสงสดขององคกรในการขบเคลอนการน าเอามาตรฐานฯ สการปฏบตจรง อกทงเพอเกดประโยชนสงสดตอองคกรในระยะยาว ควรมการตดตามผลการปฏบตตามมาตรฐานฯ อยอยางสม าเสมอ เปนไปตามกระบวนการ Plan-Do-Check-Act

ผเชยวชาญจากภายนอกทานท 2 การน าเอาระบบบรหารจดการความมนคงปลอดภยสารสนเทศ (ISO/IEC

27001) จะชวยสงเสรมใหระบบเทคโนโลยสารสนเทศมประสทธภาพ เพมความถกตองและแมนย า มหลกฐานเอกสารและกระบวนการชดเจน เมอน ามาประยกตใชกบองคกรจะท าใหองคกรมแนวปฏบตทดเปนไปตามมาตรฐานดานความมนคงปลอดภยสารสนเทศ

นอกเหนอจากปจจยทผวจยไดศกษามาแลว ไดใหขอเสนอแนะวา ในการด าเนนการตามระบบบรหารจดการความมนคงปลอดภยสารสนเทศ ( ISO/IEC 27001) นนควรไดรบการสนบสนนและผลกดนจากผบรหารดวย และหากองคกรผานการรบรองมาตรฐานฯ แลว เพอใหการด าเนนงานเกดผลสมฤทธและการด าเนนการโดยยงยนนน ควรมการทบทวนและตดตามผลการปฏบตอยอยางสม าเสมอ

ผเชยวชาญจากภายนอกทานท 3 องคกรในภาพรวมยงขาดความเขาใจตอความส าคญของการรกษาความ

มนคงปลอดภยสารสนเทศ สงผลใหการบรหารจดการยงไมเปนระบบทดพอ เหนควรใหน าเอาระบบ

Page 117: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

101

บรหารจดการความมนคงปลอดภยสารสนเทศ (ISO/IEC 27001) มาประยกตใชใหเหมาะสมกบองคกรและควรไดรบการสงเสรมจากผบรหารอยางจรงจง

นอกจากปจจยทผวจยไดท าการศกษามาแลว ควรพจารณาถงเรองการเขาใจหวขอบรบทขององคกรและความเปนผน า (Leadership) เพอจะไดใหความส าคญในการก าหนดทศทางและวตถประสงคหรอเปาหมายไดอยางเหมาะสม หากองคกรไดรบการรบรองมาตรฐานแลว เพอใหเกดการปฏบตและองคกรไดรบประโยชนตอเนอง ควรมการผนกกระบวนการและการปฏบตใหกลายเปนสวนหนงของงานทตองด าเนนการ และตองมการตดตามอยอยางสม าเสมอ เพอลดปญหาทของผปฏบตทอาจจะคดวาเปนการเพมภาระงานหรอผบรหารมองวาเปนการเพมคาใชจายขององคกร

ผเชยวชาญจากภายนอกทานท 4 บคลากรในองคกรยงขาดความรและความเขาใจเกยวกบระบบบรหาร

จดการความมนคงปลอดภยสารสนเทศ (ISO/IEC 27001) ขาดการประชาสมพนธใหบคลากรทกระดบไดเขาใจถงกระบวนการตางๆ รวมถงผปฏบตยงขาดความเขาใจกระบวนการท างานและการน าเทคโนโลยทเหมาะสมเขามาใชงานสงผลตอความมนคงปลอดภยสารสนเทศขององคกร การน าเอาระบบบรหารจดการความมนคงปลอดภยสารสนเทศมาประยกตใชจะชวยลดความเสยงตางๆ ทจะเกดขนทงจากเทคโนโลยและบคลากรได และยงสงผลใหองคกรมความเปนระบบมากยงขน

นอกเหนอจากปจจยทผวจยไดท าการศกษามา ยงพบวาองคกรจะไดรบประโยชนจากการน าเอามาตรฐานความมนคงปลอดภยสารสนเทศมากขน หากมการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศอยอยางสม าเสมอ มก าหนดมาตรฐานขนตอนการปฏบตและควรไดรบการสนบสนนจากฝายบรหาร

จากการส ารวจความคดเหนของผเชยวชาญจากภายนอกทกทานเกยวกบความพรอมของปจจยทสงผลตอความพรอมขององคกรฯ สามารถสรปไดดงน (รายละเอยดดงตารางท 4.5)

- ล าดบท 1 ปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร - ล าดบท 2 ปจจยนโยบายขององคกร - ล าดบท 3 ปจจยการประยกตใชมาตรฐานและกฎหมายทเกยวของ - ล าดบท 4 ประกอบดวย 2 ปจจย ไดแก ปจจยความรความเขาใจเกยวกบ

มาตรฐานและกฎหมายตางๆ และการใหความส าคญในการด าเนนการตามมาตรฐานฯ - ล าดบท 5 ปจจยความตระหนกถงภยคกคามและชองโหว

Page 118: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

102

และความส าคญของปจจยทสงผลตอความพรอมขององคกรฯ ดงน (รายละเอยดดงตารางท 4.6)

- ล าดบท 1 ปจจยความตระหนกถงภยคกคามและชองโหว - ล าดบท 2 ปจจยความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ - ล าดบท 3 ปจจยการประยกตใชมาตรฐานและกฎหมายทเกยวของ - ล าดบท 4 ปจจยการใหความส าคญในการด าเนนการตามมาตรฐานฯ - ล าดบท 5 ปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร - ล าดบท 6 ปจจยนโยบายขององคกร

Page 119: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

103

ตารางท 4.5

ผลการพจารณาความพรอมของปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภย สารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ประกอบการสมภาษณผเชยวชาญจากภายนอก

ปจจย ทานท 1 ทานท 2 ทานท 3 ทานท 4 ผลรวม

1.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 2 3 2 2 9

2.การประยกตใชมาตรฐานและกฎหมายทเกยวของ 3 3 2 2 10

3.การใหความส าคญในการด าเนนการตามมาตรฐานฯ 1 3 1 4 9

4.นโยบายขององคกร 2 3 2 4 11

5.โครงสรางเทคโนโลยสารสนเทศขององคกร 3 2 3 4 12

6.ความตระหนกถงภยคกคามและชองโหว 2 2 1 3 8

Page 120: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

104

ตารางท 4.6

ผลการเรยงล าดบความส าคญของปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภย สารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ประกอบการผเชยวชาญจากภายนอก

ปจจย ทานท 1 ทานท 2 ทานท 3 ทานท 4 ผลรวม

1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 2 2 2 3 9

2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ 3 6 3 4 16

3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ 6 5 4 2 17

4. นโยบายขององคกร 5 4 5 6 20

5. โครงสรางเทคโนโลยสารสนเทศขององคกร 4 3 6 5 18

6. ความตระหนกถงภยคกคามและชองโหว 1 1 1 1 4

Page 121: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

105

ตารางท 4.7 สรปผลการตอบแบบประเมนความพรอมและความส าคญของปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภย สารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ส าหรบผเชยวชาญจากภายนอก

ปจจย ความพรอม ความส าคญ

1.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 9 9

2.การประยกตใชมาตรฐานและกฎหมายทเกยวของ 10 16

3.การใหความส าคญในการด าเนนการตามมาตรฐานฯ 9 17

4.นโยบายขององคกร 11 20

5.โครงสรางเทคโนโลยสารสนเทศขององคกร 12 18

6.ความตระหนกถงภยคกคามและชองโหว 8 4

ขอเสนอแนะเพมเตมจากผเชยวชาญฯ

- การบรหารจดการความมนคงปลอดภยสารสนเทศในสวนของเอกสารและการก าหนดระบบบรหารจดการมการด าเนนการแตเปนไปตามมาตรฐานเวอรชนกอนหนา ซงหากตองขอรบรองมาตรฐานจ าเปนทตองท าการปรบปรงเอกสารใหมความสอดคลองกบขอก าหนดใหม

- การบรหารความเสยงความมนคงปลอดภยสารสนเทศและการวางแผนเพอบรรลตามวตถประสงคของระบบบรหารจดการความมนคงปลอดภยสารสนเทศ ยงไมไดมการด าเนนการอยางตอเนอง ทงน ในการขอรบรองมาตรฐานจ าเปนทจะตองมการบรหารความเสยงและก าหนดแผนการด าเนนงานทมนใจวาจะสามารถบรรลตามวตถประสงคของระบบบรหารจดการได

- มาตรการควบคมความมนคงปลอดภยสารสนเทศ มการบงคบใชแตไมตอเนองและยงขาดประสทธผล โดยมสาเหตจากการสอสารภายใน การก าหนดหนาท ความรบผดชอบ การบงคบและการตดตามอยางสม าเสมอ ท าใหมบางมาตรการทมการด าเนนการแตผลลพธยงไมมประสทธผลทดพอ หรอเปนไปตามทคาดหมาย

- ความพรอมทางดานกายภาพและสงแวดลอมส าหรบการขอรบรองมาตรฐาน ยงมจดออนและไมเพยงพอตอการรบรองมาตรฐาน โดยเฉพาะอยางยงพนทภายในศนยขอมลกลางหรอเดตาเซนเตอร ซงสภาพแวดลอมการควบคม การควบคมการเขาถง การจดแบงพนทและการ

Page 122: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

106

ตดตงระบบสารสนเทศยงไมมความเหมาะสมเพยงพอตอการขอรบรองมาตรฐาน นอกจากน การควบคมอปกรณเครอขายส านกงานในสวนพนทอนๆ ภายในอาคารส านกงานใหญ องคกรฯ ยงมความไมพรอมและยงไมสามารถควบคมไดอยางมประสทธผล

4.1.2.3 สรปผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ ท าการตอบแบบประเมนความพรอมของผดและระบบเทคโนโลยสารสนเทศ

จ านวน 18 ทาน โดยวธตอบแบบประเมน ซงแตละขอค าถามจะถกแบงออกเปนความพรอมและความส าคญ มความหมายดงน ความพรอม หมายถง ทานคดวาองคกรมความพรอมหรอตวทานมความพรอม มความร หรอมความสามารถในการน าไปปฏบตในระดบใด ความส าคญ หมายถง ทานใหความส าคญในระดบใด สามารถสรปผลการตอบแบบประเมนของผดแลระบบฯ โดยมคะแนนรวมของแตละปจจยทงดานความพรอมและความส าคญดงน (รายละเอยดตามเอกสารภาคผนวก ฉ) ตารางท 4.8 สรปผลการตอบแบบประเมนความพรอมและความส าคญของปจจยทเกยวของกบการการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ของผดแลระบบฯ

ปจจยทเกยวของ ความพรอม ความส าคญ

1.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 58.57 71.57

2.การประยกตใชมาตรฐานและกฎหมายทเกยวของ 67.00 74.20

3.การใหความส าคญในการด าเนนการตามมาตรฐานฯ 54.11 59.89

4.นโยบายขององคกร 61.33 69.00

5.โครงสรางเทคโนโลยสารสนเทศขององคกร 67.88 77.63

6.ความตระหนกถงภยคกคามและชองโหว 62.80 75.60

จากตารางท 4.8 สามารถน ามาวเคราะหถงความพรอมและความส าคญในมมมองของผดแลระบบฯ แยกดงน

Page 123: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

107

ความพรอม (ทานคดวาองคกรมความพรอมหรอตวทานมความพรอม มความร หรอมความสามารถในการน าไปปฏบตในระดบใด)

- ล าดบท 1 ปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร - ล าดบท 2 ปจจยการประยกตใชมาตรฐานและกฎหมายทเกยวของ - ล าดบท 3 ปจจยความตระหนกถงภยคกคามและชองโหว - ล าดบท 4 ปจจยนโยบายขององคกร - ล าดบท 5 ปจจยความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ - ล าดบท 6 ปจจยการใหความส าคญในการด าเนนการตามมาตรฐานฯ

ความส าคญ (ทานใหความส าคญในระดบใด) - ล าดบท 1 ปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร - ล าดบท 2 ปจจยความตระหนกถงภยคกคามและชองโหว - ล าดบท 3 ปจจยการประยกตใชมาตรฐานและกฎหมายทเกยวของ - ล าดบท 4 ปจจยความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ - ล าดบท 5 ปจจยนโยบายขององคกร - ล าดบท 6 ปจจยการใหความส าคญในการด าเนนการตามมาตรฐานฯ

4.1.2.4 สรปผลการทดสอบความพรอมของบคลากรในองคกร ผลจากการทดสอบความพรอมของบคลากรในองคกรดวยวธการจ าลองสถานการณ (Cyber Drill หรอ Cyber Readiness Assessment) ดวยการสงอเมลใหกบผใชงานทวทงองคกร โดยมขอความลกษณะเชญชวนใหการการกดลงค เพอเขามาเปลยน Password ในการเขาใชงาน (รายละเอยดตามเอกสารภาคผนวก ช) ตารางท 4.9 สรปผลจากการทดสอบความพรอมของบคลากรในองคกรดวยวธการจ าลองสถานการณ (Cyber Drill หรอ Cyber Readiness Assessment)

จ านวน Email ทสง 1,153 accounts

คลกลงคเขามาทงหมด 201 ครง

ท าเพจแรกส าเรจ 16 ครง

ท าทงสองเพจส าเรจ 126 ครง

Page 124: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

108

จากผลการศกษาขางตนนน ไดแยกผลการศกษาออกเปนสกลม ไดแก ผบรหาร, ผเชยวชาญจากภายนอกฯ, ผดแลระบบฯ, และบคลากรในองคกร ซงสามารถเรยงล าดบความส าคญและความพรอมของปจจยฯ ในภาพรวมทงหมดไดดงตารางท 4.10 และ ตารางท 4.11

ในสวนของความส าคญสามารถเรยงล าดบไดดงน

- ล าดบท 1 ปจจยความตระหนกถงภยคกคามและชองโหว - ล าดบท 2 ปจจยความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ - ล าดบท 3 ปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร - ล าดบท 4 ปจจยการประยกตใชมาตรฐานและกฎหมายทเกยวของ - ล าดบท 5 ปจจยนโยบายขององคกร - ล าดบท 6 ปจจยการใหความส าคญในการด าเนนการตามมาตรฐานฯ

และความพรอมสามารถเรยงล าดบไดดงน - ล าดบท 1 ปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร - ล าดบท 2 ปจจยการประยกตใชมาตรฐานและกฎหมายท - ล าดบท 3 ปจจยนโยบายขององคกร - ล าดบท 4 ปจจยความตระหนกถงภยคกคามและชองโหว - ล าดบท 5 เกยวของปจจยความรความเขาใจเกยวกบมาตรฐานและ

กฎหมายตางๆ - ล าดบท 6 ปจจยการใหความส าคญในการด าเนนการตามมาตรฐานฯ

Page 125: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

109

ตารางท 4.10

ผลการเรยงล าดบความส าคญของปจจยท เกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ในภาพรวมขององคกร (ผบรหาร, ผเชยวชาญฯ, และผดแลระบบฯ)

ปจจย ผบรหาร ผเชยวชาญฯ ผดแลระบบฯ คะแนนรวม ล าดบ

ภาพรวม

1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 2 2 4 8 2

2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ 5 3 3 11 4

3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ 3 4 6 13 6

4. นโยบายขององคกร 1 6 5 12 5

5. โครงสรางเทคโนโลยสารสนเทศขององคกร 4 5 1 10 3

6. ความตระหนกถงภยคกคามและชองโหว 3 1 2 6 1

Page 126: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

110

ตารางท 4.11

ผลการเรยงล าดบความพรอมของปจจยท เกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ในภาพรวมขององคกร (ผเชยวชาญฯ, และผดแลระบบฯ)

ปจจย ผเชยวชาญฯ ผดแลระบบฯ คะแนนรวม ล าดบ

ภาพรวม

1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 4 5 9 5

2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ 3 2 5 2

3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ 4 6 10 6

4. นโยบายขององคกร 2 4 6 3

5. โครงสรางเทคโนโลยสารสนเทศขององคกร 1 1 2 1

6. ความตระหนกถงภยคกคามและชองโหว 5 3 8 4

Page 127: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

111

4.2 อภปรายผล

4.2.1 ความส าคญและความพรอมของปจจยทเกยวของฯ ในมมมองของผบรหาร,

ผเชยวชาญฯ, ผดแลระบบฯ และบคลากร

จากการวจยในครงน เปนการศกษาเพอวเคราะห เกยวกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง โดยผลทไดจากการรวบรวมขอมลเพอวเคราะหสถานะปจจบนขององคกรฯ ในปจจบนโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 นนสามารถสรปไดเปนปจจยไดดงน

4.2.1.1 ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ - บคลากรมความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆท

เกยวของ ไมเทากน - การประชาสมพนธขอมลทเปนประโยชนใหกบบคลากรไดรบทราบ

4.2.1.2 การประยกตใชมาตรฐานและกฎหมายทเกยวของ

- น าเอามาตรฐานและกฎหมายทเกยวของดานความมนคงปลอดภยสารสนเทศมาประยกตใชในงานขององคกร ทงดาน Hardware, Software และ Network

4.2.1.3 การใหความส าคญในการด าเนนการตามมาตรฐานฯ

- ผบรหารใหการสนบสนนในการด าเนนการโครงการเกยวกบความมนคงปลอดภยสารสนเทศในองคกร

- บคลากรในระดบตางๆ ปฏบตตามขอก าหนดและขนตอนปฏบต

4.2.1.4 นโยบายขององคกร - มการก าหนดนโยบายความมนคงปลอดภยสารสนเทศ ไวเปนสวนหนงของ

ของการขบเคลอนองคกร - จดท าโครงการเกยวกบความมนคงปลอดภยสารสนเทศ - จดท าระเบยบ ขอบงคบ และแนวปฏบตทเกยวกบความมนคงปลอดภย

สารสนเทศ

Page 128: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

112

4.2.1.5 โครงสรางเทคโนโลยสารสนเทศขององคกร - สภาพแวดลอม, Infrastructure และระบบงาน ถกปรบปรงและพฒนาอย

บนพนฐานตามมาตรฐานความมนคงปลอดภยสารสนเทศ

4.2.1.6 ความตระหนกถงภยคกคามและชองโหว - องคกรมระบบปองกนภยคกคามและชองโหวจากภายในและภายนอก

องคกร - บคลากรไมตกเปนเหยอจากผไมประสงคดจากเทคนค Social Engineering

ปจจยทงหมดน เมอน าไปสมภาษณผบรหาร ผเชยวชาญฯ ท าการประเมนโดยผดแลระบบ และท าการทดสอบความพรอมของบคลากรในองคกรแลวพบวา

สวนของผบรหารมความเหนวาในการเตรยมความพรอมขององคกรเพอเขารบการรบรองมาตรฐานฯ นน ควรเรมจากการประชาสมพนธโครงการระบบบรหารจดการความมนคงปลอดภยสารสนเทศใหพนกงานในองคกรรบทราบ เพอจะไดเกดผลลพธในภาพรวมระดบองคกร เนองจากยงพบวาบางฝายยงไมรจกระบบบรหารจดการฯ ดงกลาว และมองวาเปนหนาทของส านกเทคโนโลยสารสนเทศแตเพยงผเดยวในการขบเคลอนและตองด าเนนการ ซงในความเปนจรงแลวการด าเนนการดานความมนคงปลอดภยสารสนเทศเปนเรองทบคลากรทกคนในองคกรตองใหความรวมมอ ควรจะมการประชาสมพนธถงประโยชนและประกาศใหบคลากรไดรบทราบถงขนตอนและแนวปฏบตทเกยวของกบการด าเนนการโครงการระบบบรหารจดการความมนคงปลอดภยสารสนเทศ เพอบคลากรจะไดน าไปปฏบตไดอยางถกตอง เหมาะสม และเปนการลดโอกาสเกดชองโหวจากความรเทาไมถงการณของบคลากรอกดวย

ในดานของความส าคญ จากการส ารวจความคดเหนของผบรหารจ านวน 4 ทานเกยวกบความส าคญของปจจยทสงผลตอความพรอมขององคกรฯ สามารถสรปไดดงน

Page 129: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

113

ตารางท 4.12

ผลการเรยงล าดบความส าคญของปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ประกอบการสมภาษณผบรหาร

ปจจย ผลรวม ล าดบ

1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 22 2

2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ 36 5

3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ 24 3

4. นโยบายขององคกร 12 1

5. โครงสรางเทคโนโลยสารสนเทศขององคกร 29 4

6. ความตระหนกถงภยคกคามและชองโหว 24 3

- ล าดบท 1 ปจจยนโยบายขององคกร - ล าดบท 2 ปจจยความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ - ล าดบท 3 ปจจยการใหความส าคญในการด าเนนการตามมาตรฐานฯ และความ

ตระหนกถงภยคกคามและชองโหว - ล าดบท 4 ปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร - ล าดบท 5 ปจจยการประยกตใชมาตรฐานและกฎหมายทเกยวของ

จะเหนไดวาผบรหารจะใหความส าคญในเรองปจจยนโยบายขององคกร เปนอนดบแรก รองลงมาคอ ปจจยความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ ปจจยการใหความส าคญในการด าเนนการตามมาตรฐานฯ และความตระหนกถงภยคกคามและชองโหว ปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร และปจจยการประยกตใชมาตรฐานและกฎหมายทเกยวของ ตามล าดบ โดยแบงผเกยวของเปนทงสน 3 สวน คอผบรหารจะตองมการน าเอามาตรฐานดานความมนคงปลอดภยสารสนเทศ ระบเปนนโยบายระดบองคกร ผดแลระบบการน าเอามาตรฐานและกฎหมายทเกยวของดานความมนคงปลอดภยสารสนเทศมาประยกตใชกบงานดานเทคโนโลยสารสนเทศขององคกร มการทบทวน ตดตาม และตรวจสอบ อยางตอเนองและจดหาระบบปองกนภยคกคามและชองโหวตางๆ และผใชงานมตระหนกถงภยคกคามรปแบบตางๆ และไมตกเปนเหยอจาก

Page 130: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

114

ภยดงกลาว โดยทงสามสวนนจะเปนสวนทชวยผลกดนใหองคกรสามารถผานการรบรองมาตรฐานฯ ส าหรบปจจยอนๆ จะเปนสวนชวยเสรมใหองคกรสามารถผานการรบรองมาตรฐานไดเชนกน แตไมมความส าคญเทา สามล าดบตนดงกลาว

สวนของผเชยวชาญมความเหนวาความพรอมขององคกรเรยงตามล าดบไดดงน ตารางท 4.13 ผลการพจารณาความพรอมและความส าคญของปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง โดยผเชยวชาญฯ

ปจจย ผลรวม

ความพรอม ล าดบ

ความพรอม ผลรวม

ความส าคญ ล าดบ

ความส าคญ

1.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ

9 4 9 2

2.การประยกตใชมาตรฐานและกฎหมายทเกยวของ

10 3 16 3

3.การใหความส าคญในการด าเนนการตามมาตรฐานฯ

9 4 17 4

4.นโยบายขององคกร 11 2 20 6

5.โครงสรางเทคโนโลยสารสนเทศขององคกร 12 1 18 5

6.ความตระหนกถงภยคกคามและชองโหว 8 5 4 1

โดยมความเหนวาองคกรยงขาดความพรอมในเรองความตระหนกถงภยคกคามและชองโหวมากทสด ซงมสาเหตมาจากการทองคกรขาดการประชาสมพนธเรองความมนคงปลอดภยสารสนเทศและขาดการสรางความตระหนกใหกบบคลากรในองคกรไดรบทราบ อนจะสงผลถงความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ และการใหความส าคญในการด าเนนการตามมาตรฐานฯ ถงแมวาจะมการประชมหารอกนระหวางผดแลระบบและผเชยวชาญอยอยางสม าเสมอ แตกไมไดมการประกาศหรอแจงอยางเปนลายลกษณอกษร รวมถงความรและทกษะของผดแลระบบยงไมไดปรบปรงใหเหมาะสมและครอบคลมลกษณะงานดานความมนคงปลอดภยสารสนเทศ สวน

Page 131: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

115

ปจจยทคดวามความพรอมมากทสดคอดานโครงสรางเทคโนโลยสารสนเทศขององคกร เนองจากองคกรมการด าเนนการโครงการระบบบรหารจดการดานความมนคงปลอดภยสารสนเทศ มาตงแตป 2555 และไดก าหนดขอบเขตคอภายในหอง Data Center ทางผดแลระบบจงไดท าการปรบปรงโครงสรางเทคโนโลยสารสนเทศขององคกรภายในหอง Data Center ใหเปนไปตามมาตรฐาน ISO/IEC 27001 อยเสมอ หากจะเขารบรองมาตรฐานจรงจะตองมการปรบปรงเพมเตม เนองจากผเชยวชาญมขอเสนอแนะเพมเตมเกยวกบมาตรฐานทมการเปลยนแปลงเวอรชน และขอจ ากดดานกายภาพ บางสวนทตองด าเนนการควบคกบทางกองอาคารในการปรบปรงเพมเตม

สวนของความส าคญ เรยงล าดบไดดงน - ล าดบท 1 ปจจยความตระหนกถงภยคกคามและชองโหว - ล าดบท 2 ปจจยความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ - ล าดบท 3 ปจจยการประยกตใชมาตรฐานและกฎหมายทเกยวของ - ล าดบท 4 ปจจยการใหความส าคญในการด าเนนการตามมาตรฐานฯ - ล าดบท 5 ปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร - ล าดบท 6 ปจจยนโยบายขององคกร

จะเหนไดวาผเชยวชาญใหความส าคญกบความตระหนกถงภยคกคามและชองโหวมากทสด ซงมค านยามตามงานวจยวาองคกรมระบบปองกนภยคกคามและชองโหวตางๆรวมถงบคลากรมความตระหนกถงภยคกคามรปแบบตางๆ และไมตกเปนเหยอจากภยดงกลาว จากการสมภาษณผเชยวชาญใหความเหนเพมเตมวาบคลากรในองคกรจะเปนสวนส าคญทสด หากขาดความรวมมอจากบคลากรแลว อาจจะไมสามารถด าเนนการมาตรฐานใหส าเรจตามเปาประสงคทวางไว

ในปจจบนภยคกคามรปแบบตางๆ ถกพฒนาขนใหทนตอยคสมยทเปลยนแปลงไป ซงหากผใชงานขาดความตระหนกถงภยคกคามดงกลาว ไมปฏบตตามขอปฏบตหรอแนวนโยบายทองคกรวางไว หรอการทมชองโหวทางเทคนคเกดขนในองคกรยอมจะสงผลตอความมนคงปลอดภยสารสนเทศ ซงบางครงผใชงานเองอาจจะไมรตว หรอผดแลระบบไมทนสงเกตเหน ซงบางครงอาจจะสงเกตไดยาก ตองใชเครองมอและความเชยวชาญระดบสงในการตรวจจบ หากบคลากรทกระดบในองคกร เกดความตระหนก เรมตงแตผบรหารก าหนดเปนนโยบาย ผดแลระบบน ามาก าหนดเปนแนวปฏบตและผลกดนใหเกดการน าเอาระบบบรหารจดการฯ มาประยกตใชในองคกร และมการประชาสมพนธใหพนกงานในองคกรรบทราบอยางทวถง กจะสงผลใหอกทงบคลากรสามารถน าไปปฏบตไดโดยในชวตประจ าวนได ท าใหองคกรสามารถผานการรบรองมาตรฐานฯ และไดประโยชนจากการปฏบตตามมาตรฐานฯ ดงกลาวไดอยางยงยน

Page 132: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

116

สวนของผดแลระบบมความเหนวาความพรอมและความส าคญขององคกรเรยงตามล าดบดงน

ตารางท 4.14 สรปผลการตอบแบบประเมนความพรอมและความส าคญของปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ของผดแลระบบฯ

ปจจยทเกยวของ ผลรวม

ความพรอม ล าดบ

ความพรอม ผลรวม

ความส าคญ ล าดบ

ความส าคญ

1.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ

58.57 5 71.57 4

2.การประยกตใชมาตรฐานและกฎหมายทเกยวของ

67.00 2 74.20 3

3.การใหความส าคญในการด าเนนการตามมาตรฐานฯ

54.11 6 59.89 6

4.นโยบายขององคกร 61.33 4 69.00 5

5.โครงสรางเทคโนโลยสารสนเทศขององคกร 67.88 1 77.63 1

6.ความตระหนกถงภยคกคามและชองโหว 62.80 3 75.60 2

ในดานของความพรอม ซงหมายถงผดแลระบบฯ มความเหนวาในแตละปจจยนน องคกรมความพรอมหรอผดแลระบบฯ เอง มความพรอม มความร หรอมความสามารถในการน าไปปฏบตในระดบใดจะเหนไดวาผดแลระบบฯ ไดใหคะแนนเรยงตามล าดบดงน

- ล าดบท 1 ปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร - ล าดบท 2 ปจจยการประยกตใชมาตรฐานและกฎหมายทเกยวของ - ล าดบท 3 ปจจยความตระหนกถงภยคกคามและชองโหว - ล าดบท 4 ปจจยนโยบายขององคกร - ล าดบท 5 ปจจยความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ - ล าดบท 6 ปจจยการใหความส าคญในการด าเนนการตามมาตรฐานฯ

Page 133: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

117

จะเหนไดวาผดแลระบบฯ จะลงความเหนวาปจจยดานโครงสรางเทคโนโลยสารสนเทศขององคกรมความพรอมเปนอนดบแรก เนองจากผดแลระบบฯ มสวนเกยวของในการด าเนนการโครงการระบบบรหารจดการความมนคงปลอดภยสารสนเทศอยแลว ซงไดมการปรบปรงกระบวนการและโครงสรางเทคโนโลยสารสนเทศตามมาตรฐานอยอยางสม าเสมอ จงท าใหมนใจวาปจจยนนาจะมความพรอมทสด ทจะสงผลใหองคกรสามารถเขารบการรบรองมาตรฐานฯ ได

ปจจยทมผดแลระบบฯ ลงความเหนวาควรใหความส าคญมากทสดคอ โครงสรางเทคโนโลยสารสนเทศขององคกร ซงในมมมองของผดแลระบบฯ จะใหความส าคญเกยวกบกระบวนการจดการหรอดานกายภาพของโครงสรางพนฐานดานเทคโนโลยสารสนเทศขององคกร เชน สภาพแวดลอม, Infrastructure และระบบงาน ควรไดรบการปรบปรงและพฒนาอยบนพนฐานตามมาตรฐานความมนคงปลอดภยสารสนเทศ, การควบคมการเขาถงเครอขาย แตการก าหนดสทธการเขาถงยงไมชดเจน และการบงคบใชยงไมไดด าเนนการอยางตอเนอง, การควบคมการเขาถงในระดบแอพลเคชน ควรมการควบคมและพจารณาสทธตามกระบวนการควบคมทออกแบบไว, องคกรมการปองกนความลบของขอมลในระดบเครอขายอยางไร, องคกรฯ มการปองกนทางกายภาพส าหรบหองเดตาเซนเตอรซงการตดตงระบบควบคมการเขาถง มการควบคมอณหภมและความชน แตในดานการปองกนทางกายภาพส าหรบระบบสารสนเทศ พบวาพนทยงอยในลกษณะเปด อปกรณคอมพวเตอรและเซรฟเวอรไมไดมการตดตงภายในตแรคทสามารถควบคมการเขาถงได เปนตน

สวนของความพรอมของบคลากรในองคกรนน จะเนนไปทการสรางความตระหนก การรบรถงกระบวนการทเกยวของตอการปฏบตงานของตนเองเปนหลก จากการสมภาษณบคลากรในองคกรรอบแรกนน พบวาบคลากรสวนใหญในองคกรยงขาดความรความเขาใจเรองเกยวกบความมนคงปลอดภยสารสนเทศ อนเนองมาจากขาดการประชาสมพนธและไมไดมการใหความรความเขาใจอยางตอเนอง ซงจากการด าเนนการโครงการดานความมนคงปลอดภยสารสนเทศและท าการประเมนโดยผเชยวชาญฯ แลวนน ท าใหผเชยวชาญฯ มความเหนวาองคกรแหงนยงขาดความพรอมดานปจจยความตระหนกถงภยคกคามและชองโหวอยในล าดบแรก ผ เชยวชาญฯ จงมความเหนและใหค าแนะน าวาควรจะมการจ าลองสถานการณเพอสรางความตระหนกใหกบบคลากรในองคกร โดยใชสถานการณการท า Phishing โดยผวจยไดท าการสงอเมลแจงผใชงานทงองคกร และสงลงคส าหรบใชในการ Log in เพอเขามาขอรบบรการ Single Sign On และมการยนยน Password ถงสองครง โดยทหนาเวบดงกลาวไมไดใช Domain name ขององคกร จากการทดลองจ าลองสถานการณนนพบวา ผใชงานสวนใหญจะเชอวาอเมลทสงใหเปนของจรง เนองจากมความเชอทวาเปนการสงอเมลมาจากบคลากรในองคกรของตนเอง จงไมคาดวาจะเปนอเมลหลอก แททจรงแลวอาจจะเปนผไมประสงคดทอาศยชองโหวขององคกรไมวาจะเปนอปกรณตางๆ หรอเกดจากตวบคลากรเองกตาม ในการลกลอบ

Page 134: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

118

เอาบญชผใชทเปนของบคลากรในองคกร ไปปลอมแปลงขอความและสงลงค เพอมาหลอกขอขอมลบญชผใชและรหสผานของบคลากรทานอนในองคกร โดยการสงลงคขอความเชญชวน ตามทไดท าการทดสอบ ในขณะทเจาของบญชผใชอาจจะไมรวาก าลงโดนโจรกรรมขอมลสวนตวไปเพอใชในการดงกลาว อาจจะตองใชเวลาสกระยะหนงถงจะรตววาขอมลถกโจรกรรมไป ผไมประสงคดกอาจจะไดขอมลสวนตวของทานอนในองคกรไปดวยแลว อกทงควรสรางการรบรใหกบบคลากรในองคกรวาไมควรจะกรอกขอมลสวนตวลงในเวบไซตทตนเองไมรจกหรอไมมนใจวามการเปดใชงานจรง ควรจะ มการโทรกลบมาสอบถาม เพอใหแนใจวาขอความทตนเองไดรบจากอเมลเปนของจรงหรอไม กอนทจะกรอกขอมลสวนตวเขาไปในเวบไซตนน เพราะฉะนนบคลากรในองคกรควรทจะมความรและความตระหนกถงภยตางๆ ในโลกไซเบอร เพอจะไดปองกนตนเองจากภยดงกลาว และเ พอไมใหเกดผลกระทบตอระบบเทคโนโลยสารสนเทศขององคกรในภาพรวม ทงนในตอนทายผวจยไดท าการประชาสมพนธผานหนาเวบ หลงจากทผใชงานกรอกขอมล Username และ Password ครบทกชอง เพอเปนการแจงเตอนใหผใชงานมความตระหนกในการใชงาน และมความระมดระวงในการกรอกขอมลสวนตวใดๆ ลงบนหนาเวบทตนเองไมรจก หากพบความผดปกตใดๆ เชนมอเมลแจงโดยใชขอความลกษณะเชญชวน ควรมการตรวจสอบกลบมายงหนวยงานตนเรองกอนทกครง เพอปองกนการตกเปนเหยอในลกษณะดงกลาว

4.2.2 ปจจยความพรอมขององคกร เปรยบเทยบกบมาตรฐาน ISO/IEC 27001

จากการศกษาถงปจจยความพรอมขององคกร โดยน าเอาผลการสมภาษณผบรหาร, ผลการประเมนจากผเชยวชาญฯ และผดแลระบบ และผลการจ าลองสถานการณเพอสรางความตระหนกใหกบบคลากรในองคกรมาวเคราะหเพมเตม โดยเมอวเคราะหจากผลการเรยงล าดบปจจยความพรอมฯ ในภาพรวมขององคกร จากตารางท 4.11 จะเหนไดวาองคกรควรจะปรบปรงปจจยการใหความส าคญในการด าเนนการตามมาตรฐานฯ เปนอนดบแรก จากค านยามตามงานวจยไดไดใหความหมายไววา บคลากรทกระดบในองคกรใหความส าคญตอการด าเนนการตามมาตรฐาน สามารถน าไปปฏบตไดอยางถกตองและเหมาะสม ซงมขอสนบสนนปจจยทเกยวของ คอ ผบรหารใหการสนบสนนในการด าเนนการโครงการเกยวกบความมนคงปลอดภยสารสนเทศในองคกร, มการก าหนดโครงสรางคณะกรรมการฯ คณะท างานฯ ไวแลว, บคลากรในระดบตางๆ ปฏบตตามขอก าหนดและขนตอนปฏบต, ขาดการด าเนนการบรหารความเสยงความมนคงปลอดภยสารสนเทศ , การตดตาม การวดผล การวเคราะหและประเมนผล ยงไมไดมการปรบปรงใหสอดคลองกบขอก าหนดมาตรฐานเวอรชนใหม, มการด าเนนการตดตามสมรรถนะระบบสารสนเทศและเครอขาย มการส ารองขอมล และมการปองกนมลแวรภายในองคกร แตการบรหารการเปลยนแปลงระบบสารสนเทศยงไมไดด าเนนการอยางตอเนอง และการปรบปรงชองโหวทางเทคนคยงไมสามารถด าเนนการได เนองจาก

Page 135: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

119

การปรบปรงนนอาจจะสงผลกระทบตอระบบสารสนเทศอนๆ, มการจดการอบตการณความมนคงปลอดภยสารสนเทศ มการมอบหมายหนาทในการแกไขปญหาเบองตน แตยงขาดการวเคราะหแนวโนมและการแกไขปญหาจากสาเหตทมประสทธผล, องคกรมการจดเตรยมระบบส ารองและมการพฒนาแผนด าเนนธรกจอยางตอเนองส าหรบระบบสารสนเทศทส าคญ, มการควบคมการปฏบตตามกฎ ระเบยบและกฎหมาย ตามทก าหนดในมาตรฐานเวอรชนเกา ซงยงไมไดมการด าเนนการปรบปรงใหสอดคลองกบเวอรชนใหม เมอเปรยบเทยบกบผลการวเคราะหสถานะปจจบนขององคกรอางองกบมาตรฐาน ISO/IEC 27001:2013 แลวพบวาผานเกณฑตามมาตรฐานจ านวน 2 ขอ

1. คอ ขอ 2 (ตารางท 4.1) หวขอ ผน า (Leadership) โดยผบรหารจะตองสนบสนน ผลกดน มอบหมายและก าหนดหนาทส าหรบการบรหารจดการความมนคงปลอดภยสารสนเทศ ก าหนดนโยบายความมนคงปลอดภยสารสนเทศและใหการสนบสนนตอทรพยากรทจ าเปนตอด าเนนงาน สงทตรวจสอบพบคอ องคกรฯ ไดมการก าหนดโครงสรางคณะกรรมการดานความมนคงปลอดภยสารสนเทศ คณะท างานความมนคงปลอดภยสารสนเทศและนโยบายความมนคงปลอดภยสารสนเทศไวแลวจงมความสอดคลองขนพนฐาน ถงแมวาจะผานการประเมนแลวแตองคกรจะตองมการตรวจสอบขอมลใหถกตองและอพเดทอยเสมอ

2. ขอ 13 (ตารางท 4.2) หวขอ การจดการความตอเนองทางธรกจในมตความมนคงปลอดภยสารสนเทศ (Information security aspects of business continuity management) ประกอบดวยการวางแผนความตอเนองในการด าเนนธรกจ การเตรยมการและการประยกตใชงานแผน การทดสอบและทบทวนความตอเนองทางธรกจ การใชงานอปกรณส ารอง (Redundancies) พบวา องคกรฯ มการจดเตรยมระบบส ารองและมการพฒนาแผนการด าเนนธรกจอยางตอเนองส าหรบระบบสารสนเทศทส าคญ ซงมการทดสอบการใชงาน และมการปรบปรงแกไขระบบส ารอง หวขอนแมจะผานแลว กควรจะมการทดสอบการใชงานและปรบปรงแกไขระบบส ารองใหมความพรอมใชอยเสมอ

ส าหรบหวขอทผานบางสวนมทงหมด 5 ขอ ไดแก 1. ขอ 4.1 (ตารางท 4.1) หวขอ การสนบสนน (Support) โดยองคกรจ าเปนตองมการ

สนบสนนทรพยากรทจ าเปนตอการบรหารจดการความมนคงปลอดภยสารสนเทศ มการก าหนดความร (Competence) การสรางความตระหนก (Awareness) ก าหนดรปแบบการสอสาร (Communication) และก าหนดแนวทางการจดการเอกสาร (Document Management) ซ งปจจบนผบรหารขององคกรฯ มการสนบสนนทรพยากรตามงบประมาณทไดรบการสนบสนนจากรฐบาลโดยการอนมตใหจดท าโครงการเกยวกบความมนคงปลอดภยสารสนเทศ และการด าเนนการนนเปนไปตามระเบยบทางราชการในการด าเนนการโครงการดงกลาว แตการด าเนนการโครงการควร

Page 136: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

120

จะด าเนนการและไดรบการสนบสนนจากผบรหารอยางตอเนอง และผบรหารจะตองใหความส าคญในการด าเนนการตามมาตรฐานฯ ดวย จงจะไดรบการสนบสนนดงกลาว

2. ขอ 5 (ตารางท 4.1) หวขอ การปฏบตการ (Operation) องคกรจะตองน าแผนการลดความเสยงและแผนปฏบตการทจะท าใหมนใจวาสามารถจะบรรลวตถประสงคขององคกรไดมาด าเนนการปฏบต และด าเนนการทบทวนและประเมนความเสยง ด าเนนการวางแผนการลดความเสยงตามผลการทบทวนและประเมนความเสยง ซงองคกรฯ ไดมการวางแผนการบรหารความเสยงดานความมนคงปลอดภยสารสนเทศในป 2556 เทานน ดงนนการปฏบตการในประเดนการบรหารความเสยงความมนคงปลอดภยสารสนเทศจงไมไดมการด าเนนการเพมเตม แตส าหรบดานการตดตาม การตรวจสอบและการปองกนดานความมนคงปลอดภยสารสนเทศ องคกรฯ ไดมการด าเนนการอยางตอเนอง โดยประกอบดวย การตรวจสอบและตดตามชองโหวทางเทคนคบนระบบสารสนเทศทส าคญ, การตดตามสมรรถนะระบบสารสนเทศและอปกรณเครอขายทมการด าเนนการเปนประจ าทกสปดาห, การวางแผนการด าเนนการธรกจอยางตอเนองในสวนงานดานเทคโนโลยสารสนเทศ ซงมการเตรยมความพรอมใหกบระบบงานทส าคญ , การตดตามและแกไขอบตการณ ความมนคงปลอดภยสารสนเทศ ซงมการตดตามรายสปดาห เพราะฉะนนองคกรควรจะใหความส าคญกบการวางแผนการบรหารความเสยงดานความมนคงปลอดภยสารสนเทศ ซงควรจะตองมการน าแผนมาทบทวนและวเคราะหถงความเสยงใหมๆ อยางนอยปละหนงครง เพอองคกรจะไดทราบถงความเสยงตางๆ และมแผนในการด าเนนการทสอดคลองกบสภาวะปจจบน

3. ขอ 8 (ตารางท 4.2) หวขอ ความมนคงปลอดภยทางการปฏบตการ (Operations security) ประกอบดวยการก าหนดหนาทความรบผดชอบและขนตอนปฏบตส าหรบปฏบตการ (Operational procedures and responsibilities) ท ตองมขนตอนปฏบต มการควบคมการเปลยนแปลง (Change management) การบรหารสมรรถนะ (Capacity management) และการแบงแยกสภาพแวดลอมส าหรบการพฒนา การทดสอบและการใชงานจรง ตองมการปองกนมลแวร (Protection from malware) มการส ารองขอมล (Backup) มการบนทกปมเหตการณและตดตาม (Logging and monitoring) มการควบคมซอฟตแวรท ใชปฏบตการ (Control of operational software) มการจดการชองโหวทางเทคนค (Technical vulnerability management) มการควบคมเครอมอส าหรบการตรวจสอบระบบสารสนเทศ พบวา องคกรฯ มการด าเนนการตดตามสมรรถนะระบบสารสนเทศและเครอขาย มการส ารองขอมลและมการปองกนมลแวรภายในองคกร แตการบรหารการเปลยนแปลงระบบสารสนเทศยงไมไดด าเนนการอยางตอเนอง และการปรบปรงชองโหวทางเทคนคพบวายงมบางระบบงานทยงไมสามารถด าเนนการปรบปรงได เนองจากอาจเกดผลกระทบทอาจเกดขนกบระบบสารสนเทศ เพอเปนการแกปญหาทจะเกดขนจากการปรบปรงชอง

Page 137: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

121

โหวทางเทคนคทเกดขน พบวาองคกรแหงนมการจางผใหบรการหลายราย โดยแตละรายใชทรพยากรทแตกตางกน เมอตรวจสอบพบชองโหวทางเทคนคขนในระบบ ท าใหไมสามารถด า เนนการปรบปรงไดทนท หรอไมสามารถด าเนนการได เนองจากการปรบปรงทางเทคนคนนอาจจะสงผลกระทบถงระบบอนๆ ทท างานรวมกน ผวจยเหนวาควรจะแกไขตงแตการท าขอตกลงกบผรบจาง ในสวนของระบบทรบผดชอบ ใหสามารถมการปรบปรงชองโหวไดตลอด เมอมการพบชองโหวเกดขน และผรบจางจะตองด าเนนการและใหความส าคญเกยวกบความมนคงปลอดภยสารสนเทศในระบบทตนเองรบผดชอบอย อนจะสงผลใหระบบในภาพรวมสามารถใชงานไดตามปกตและมมาตรการในการรบมอกบชองโหวทเกดขนอยอยางสม าเสมอ

4. ขอ 12 (ตารางท 4.2) หวขอ การจดการกบอบตการณความมนคงปลอดภยสารสนเทศ (Information security incident management) ประกอบดวยขนตอนปฏบตส าหรบจดการกบอบตการณ การรายงานเหตการณและจดออนดานความมนคงปลอดภยสารสนเทศ การประเมนและการตดสนใจส าหรบเหตการณดานความมนคงปลอดภยสารสนเทศ การตอบสนองตออบตการณความมนคงปลอดภยสารสนเทศ และการรวบรวมหลกฐาน พบวา องคกรฯ มการจดการอบตการณความมนคงปลอดภยสารสนเทศ โดยมการมอบหมายหนาทในการแกไขปญหาเบองตน แตการวเคราะหแนวโนมและการแกไขปญหาจากสาเหต มการด าเนนการแตยงไมมประสทธผล อนเนองมาจากการขาดบคลากรทเชยวชาญในการวเคราะหปญหาระบบเทคโนโลยสารสนเทศ ซงเกดจากการทผบรหารยงไมไดใหความส าคญกบการสรรหาผทมความเชยวชาญดานเทคโนโลยสารสนเทศ และขอจ ากดของโครงสรางและคาตอบแทนขององคกรทไมจงใจใหบคลากรทมความเชยวชาญเขามาท างาน ซงการแกไขอาจจะตองใชเวลาและท าไดยาก เนองจากเปนการปรบปรงระดบองคกร ควรผลกดนและเสนอใหผบรหารมองเหนความส าคญเกยวกบระบบเทคโนโลยสารสนเทศ รวมถงการแกไขปญหาทจะเกดขนในอนาคตใหมประสทธผลมากยงขน ควรจะมการจางต าแหนงผเชยวชาญดานเทคโนโลยสารสนเทศ เพอท าหนาทวเคราะหและแกไขปญหาดานเทคโนโลยสารสนเทศ

5. ขอ 14 (ตารางท 4.2) การปฏบตตาม (Compliance) ประกอบไปดวยการปฏบตตามกฎ, ระเบยบ, กฎหมายทก าหนด (Compliance with legal and contractual requirements) การทบทวนความมนคงปลอดภยสารสนเทศ ( Information security reviews) พบวา องคกรฯ มการควบคมการปฏบตตามกฎ ระเบยบและกฎหมาย ตามทไดมก าหนดขนในมาตรฐานระบบบรหารจดการความมนคงปลอดภยสารสนเทศเวอรชนเกา แตการปรบปรงขอมลใหทนสมยยงไมไดด าเนนการอยางตอเนอง คณะท างานความมนคงปลอดภยสารสนเทศทถกแตงตงขน จะตองใหความส าคญในการด าเนนการตามระบบบรหารจดการความมนคงปลอดภยสารสนเทศอยางสม าเสมอ

Page 138: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

122

หากพบวามการปรบปรงเวอรชนของมาตรฐาน ควรท าการศกษาและปรบปรงรายละเอยดและการด าเนนการตางๆ ใหทนสมยอยเสมอ

ส าหรบหวขอทตองแกไข คอ 1. ขอ 3 (ตารางท 4.1) หวขอ การวางแผน (Planning) องคกรจะตองพจารณาถงความ

เสยงและโอกาสทเกยวของกบความสามารถในการบรรลวตถประสงคและเปาหมายของระบบบรหารจดการความมนคงปลอดภยสารสนเทศ โดยการประเมนความเสยงและการบรหารความเสยงความมนคงปลอดภยสารสนเทศ และองคกรจ าเปนทจะตองวางแผนเพอใหมนใจวาสามารถจะบรรลวตถประสงคความมนคงปลอดภยสารสนเทศ จากการด าเนนการของ องคกรฯ ในระบบบรหารจดการเวอรชนเกา องคกรฯ มการประเมนความเสยงและการวางแผนลดความเสยงซงด าเนนการผานมาในป 2556 ซงกระบวนการบรหารความเสยงทมอยนนสามารถน ามาใชกบมาตรฐานฉบบใหมได แตการวางแผนเพอใหสามารถบรรลตามวตถประสงคจะตองด าเนนการปรบปรงและผลการประเมนความเสยงจะตองมการด าเนนการอยางตอเนอง

2. ขอ 6 (ตารางท 4.1) หวขอ การประเมนสมรรถนะ (Performance Evaluation) องคกรจะตองตดตามรายงานผลการด าเนนงานและผลการประเมนผลและจดใหมการตรวจสอบภายใน จากนนจงน าผลการตดตามประเมนผลและการตรวจสอบภายในรายงานตอผบรหารเพอใหพจารณาและสงการปรบปรงแกไข พบวาการประเมนสมรรถนะทองคกรฯ ด าเนนการอยในปจจบนมการด าเนนการดวยกระบวนการตามขอก าหนดของมาตรฐานระบบบรหารจดการความมนคงปลอดภยสารสนเทศเวอรชนเดม ซงมความแตกตางในสาระตามทมาตรฐานก าหนด เชน ประเดนการตดตาม การวดผล การวเคราะหและการประเมนผลทมการจดท ายงไมไดมการปรบปรงใหสอดคลองกบขอก าหนดมาตรฐานฉบบใหม ซงองคกรควรจะใหความส าคญกบเวอรชนของมาตรฐานทมเปลยนแปลง และมการปรบปรงรายละเอยดของนโยบาย, ขนตอนปฏบต และปรบปรงเอกสารทใชในการด าเนนการตามระบบบรหารจดการความมนคงปลอดภยสารสนเทศ ใหเปนเวอรชนลาสดอยเสมอ ควรมการประชมเพอรายงานผลตอฝายบรหาร (Management Review) ในปทผานมาพบวายงไมไดมการด าเนนการ เนองจากมการเปลยนแปลงฝายบรหารและโครงสรางภายใน องคกรฯ อยางไรกตามควรใหความส าคญและมการด าเนนการตามระบบบรหารจดการความมนคงปลอดภยสารสนเทศอยเสมอ เมอมโอกาสรายงานผลตอฝายบรหาร ควรท าทนทหรออาจจะเปลยนแปลงวธการรายงานจากการจดประชมเปนรายงานผลโดยรายงานความคบหนาแทน อกทงการด าเนนการระบบบรหารจดการความมนคงปลอดภยสารสนเทศในองคกร ควรมการประชาสมพนธใหทราบทวทงองคกรและหากมโอกาสควรจะคอยๆ ท าการขยายขอบเขตไปยงกองงาน, ฝาย และดานอนๆ เพอเปนการกระตนให

Page 139: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

123

บคลากรในองคกรเหนความส าคญของการด าเนนการตามมาตรฐาน และสามารถน าไปปฏบตจนเปนสวนหนงของการท างานได

ปจจยทควรจะปรบปรงเปนอนดบทสองคอปจจยความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ จากค านยามตามงานวจยไดไดใหความหมายไววา มการประชาสมพนธจากองคกรอยอยางสม าเสมอเพอสรางความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆทเกยวของกบความมนคงปลอดภยสารสนเทศ ซงมขอสนบสนนปจจยทเกยวของคอ บคลากรมความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆทเกยวของ ไมเทากน , มการจดการอบรม แตรายการความรและทกษะทจ าเปนของแตละบทบาท ยงไมไดปรบปรงใหเหมาะสมและครอบคลมลกษณะงานดานความมนคงปลอดภยสารสนเทศ, การประชาสมพนธขอมลทเปนประโยชนใหกบบคลากรไดรบทราบ, มการสอสารภายใน แตไมไดก าหนดขนมาอยางชดเจนเปนลายลกษณอกษร เมอเปรยบเทยบกบผลการวเคราะหสถานะปจจบนขององคกรอางองกบมาตรฐาน ISO/IEC 27001:2013 แลวพบวามขอทผานบางสวนเพยงสองขอ ซงเปนสวนหนงของหวขอการสนบสนน (Support) โดยองคกรจ าเปนตองมการสนบสนนทรพยากรทจ าเปนตอการบรหารจดการความมนคงปลอดภยสารสนเทศ มการก าหนดความร (Competence) การสรางความตระหนก (Awareness) ก าหนดรปแบบการสอสาร (Communication) และก าหนดแนวทางการจดการเอกสาร (Document Management) ดงน

1. ขอ 4.2 (ตารางท 4.1) ดานการใหความรและความตระหนก จากการศกษาพบวา องคกรฯ มการด าเนนการใหความรโดยผานการอบรม แตรายการความรและทกษะทจ าเปนของแตละบคลากร ในแตละบทบาท ไดแก ผบรหาร, ผดแลระบบฯ และบคลากรในองคกร ยงไมไดมการปรบปรงใหเหมาะสมและครอบคลมลกษณะงานดานความมนคงปลอดภยสารสนเทศ ควรจะมจดอบรมเพอสรางความรความเขาใจใหกบบคลากรในแตละระดบ โดยการใหความรนนจะตองแยกหวขอส าหรบแตละบทบาทใหชดเจน เพอใหแตละบทบาทสามารถน าเอามาตรฐานฯ ไปปฏบตไดตรงตามบทบาทและหนาทของตนเอง เชน ผดแลระบบฯ ควรจะไดรบความรเรองเกยวกบมาตรฐานและแนวปฏบตตางๆ ทเกยวของกบผดแลระบบฯ เปนตน หากใหความรและสรางความเขาใจใหแตละบทบาทอยางถกตองและเหมาะสม จะสงผลใหการด าเนนการระบบบรหารจดการความมนคงปลอดภยสารสนเทศขององคกร สามารถด าเนนไปในทศทางทถกตอง

2. ขอ 4.3 (ตารางท 4.1) ดานการก าหนดดานการสอสาร องคกรฯ มการด าเนนการสอสารภายใน แตไมไดก าหนดขนมาอยางชดเจนเปนลายลกษณอกษร สงผลใหบคลากรททวไปทไมไดเปนคณะท างานดานความมนคงปลอดภยสารสนเทศนน ไมไดรบขอมลตางๆ ทเกยวของกบมาตรฐานฯ และขอมลท เปนประโยชนตอการด าเนนการตามระบบบรหารจดการความมนคงปลอดภย

Page 140: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

124

สารสนเทศ จากการสมภาษณผบรหารฝายอนไดใหขอเสนอแนะวา ควรจะมการสรางความรความเขาใจใหกบบคลากรในองคกร เกยวกบนโยบาย, ขนตอนปฏบต และเปาหมายของขององคกรในการเขารบการขอรบรองมาตรฐาน มการประชาสมพนธอยางเปนลายลกษณอกษรทชดเจน และประกาศไปทวทงองคกร เพอสรางการรบรใหกบบคลากรในองคกรและสามารถปฏบตไดอยางถกตองเหมาะสมตอไป

ปจจยทควรจะปรบปรงเปนอนดบทสามคอ ปจจยความตระหนกถงภยคกคามและชองโหว จากค านยามตามงานวจยไดไดใหความหมายไววา องคกรมระบบปองกนภยคกคามและชองโหวตางๆ รวมถงบคลากรมความตระหนกถงภยคกคามรปแบบตางๆ และไมตกเปนเหยอจากภยดงกลาว ซงมขอสนบสนนปจจยทเกยวของคอ องคกรมระบบปองกนภยคกคามและชองโหวจากภายในและภายนอกองคกร, บคลากรไมตกเปนเหยอจากผไมประสงคดจากเทคนค Social Engineering, การประชาสมพนธขอมลทเปนประโยชนใหกบบคลากรไดรบทราบและมการสอสารภายใน แตไมไดก าหนดขนมาอยางชดเจนเปนลายลกษณอกษร เมอเปรยบเทยบกบผลการวเคราะหสถานะปจจบนขององคกรอางองกบมาตรฐาน ISO/IEC 27001:2013 แลวพบวาผานเกณฑบางสวนตามมาตรฐานจ านวน 2 ขอ ซงเปนหวขอเดยวกบปจจยทควรปรบปรงล าดบทสอง แตเปนผลทไดจากการใหความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ ซงจะสงผลใหบคลากรเกดความตระหนกถงภยคกคามและชองโหว ดงจะเหนไดจากการทดสอบความพรอมของบคลากรโดยการจ าลองสถานการณ (Cyber Drill หรอ Cyber Readiness Assessment) โดยการท า Phishing ผลจากผลการจ าลองสถานการณดงกลาวพบวา บคลากรสวนใหญยงขาดความระมดระวงในการเขาใชงานอนเตอรเนต สบเนองจากขาดการประชาสมพนธและใหความรเกยวกบความมนคงปลอดภยสารสนเทศและการสรางความตระหนกถงภยคกคามใหกบบคลากร ซงสอดคลองกบค าแนะน าของผบรหารในขางตน

ปจจยทควรจะปรบปรงเปนอนดบทส คอปจจยนโยบายขององคกร จากค านยามตามงานวจยไดไดใหความหมายไววา มการน าเอามาตรฐานดานความมนคงปลอดภยสารสนเทศ ระบเปนนโยบายระดบองคกร ซงมขอสนบสนนปจจยทเกยวของคอ มการก าหนดนโยบายความมนคงปลอดภยสารสนเทศ ไวเปนสวนหนงของของการขบเคลอนองคกร , จดท าโครงการเกยวกบความมนคงปลอดภยสารสนเทศ, จดท าระเบยบ ขอบงคบ และแนวปฏบตทเกยวกบความมนคงปลอดภยสารสนเทศ, ปทผานมามการเปลยนแปลงฝายบรหารและโครงสรางภายใน จงยงไมไดมการจดประชมเพอรายงานผลตอฝายบรหาร (Management Review), ในปทผานมายงไมไดมการทบทวนและปรบปรงนโยบายความมนคงปลอดภยสารสนเทศ, ขาดมาตรการควบคมทมการประกาศใชใหม เชน นโยบายการใชงานอปกรณโมบาย และการบรหารโครงการในมตดานความมนคงปลอดภยสารสนเทศ, องคกรฯ มการด าเนนการควบคมความมนคงปลอดภยสารสนเทศตามระเบยบราชการ เกยวกบ

Page 141: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

125

ความมนคงปลอดภยดานทรพยากรบคคล (Human Resource Security) เมอเปรยบเทยบกบผลการวเคราะหสถานะปจจบนขององคกรอางองกบมาตรฐาน ISO/IEC 27001:2013 แลวพบวาผานเกณฑตามมาตรฐานจ านวน 1 ขอ คอ ขอ 3 (ตารางท 4.2) หวขอ ความมนคงปลอดภยดานทรพยากรบคคล (Human resource security) ประกอบดวยการควบคมกอนการจางงาน (Prior to employment) ทตองมการตรวจสอบประวต การก าหนดเงอนไขดานความมนคงปลอดภยสารสนเทศกอนการจาง การควบคมระหวางการจางงาน (During employment) ประกอบดวยการสอสารหนาท ความรบผดชอบจากฝายบรหาร การจดอบรมสรางความร ความตระหนกและการใหการศกษา และกระบวนการทางวนย การควบคมเมอสนสดการจางหรอเมอมการเปลยนแปลงการจาง (Termination and change of employment) พบวา องคกรฯ มการด าเนนการควบคมความมนคงปลอดภยสารสนเทศตามระเบยบทางราชการ ซงมครอบคลมความตองการขนพนฐานของมาตรฐาน ถงอยางไรกตามองคกรควรตรวจสอบและควบคมใหการด าเนนการดงกลาวเปนไปอยางสม าเสมอ ทงนเพอประโยชนสงสดขององคกร นอกเหนอจากการผานการรบรองตามมาตรฐานฯ

จากการตรวจสอบเพมเตมยงพบวามผานบางสวนอย 1 ขอ คอ ขอ 2 (ตารางท 4.2) หวขอองคประกอบของความมนคงปลอดภยสารสนเทศ (Organization of information security)ซงประกอบดวยการจดการภายในองคกร (Internal organization) การก าหนดบทบาทและหนาทดานความมนคงปลอดภยสารสนเทศ การแบงแยกหนาท การรวบรวมขอมลส าหรบตดตอผมอ านาจและตดตามขอมลดานความมนคงปลอดภยสารสนเทศ การบรหารจดการโครงการในดานความมนคงปลอดภยสารสนเทศ การควบคมความมนคงปลอดภยจากปฏบตงานภายนอก (Teleworking) และอปกรณโมบาย (Mobile devices) พบวาองคกรฯ มการด าเนนการตามมาตรการควบคมภายในซงสอดคลองกบขอก าหนดของมาตรฐาน มเพยงแตมาตรการควบคมทมการประกาศใชใหมในมาตรฐาน คอ เรองนโยบายการใชงานอปกรณโมบาย และการบรหารโครงการในมตดานความม นคงปลอดภยสารสนเทศทยงไมไดมการด าเนนการซงควรปรบปรงเพมเตม

ทงยงมขอทตองแกไข 2 ขอ ไดแก 1. ขอ 6 (ตารางท 4.1) หวขอการประเมนสมรรถนะ (Performance Evaluation) โดย

องคกรจะตองตดตามรายงานผลการด าเนนงานและผลการประเมนผล และจดใหมการตรวจสอบภายใน จากนนจงน าผลการตดตามประเมนผลและการตรวจสอบภายในรายงานตอผบรหารเพอใหพจารณาและสงการปรบปรงแกไข ซงพบวาการประเมนสมรรถนะทองคกรฯ ด าเนนการอยในปจจบนมการด าเนนการดวยกระบวนการตามขอก าหนดของมาตรฐานระบบบรหารจดการความมนคงปลอดภยสารสนเทศเวอรชนเดม ซงมความแตกตางในสาระตามทมาตรฐานก าหนด เชน ประเดนการตดตาม, การวดผล, การวเคราะหและการประเมนผลทมการจดท ายงไมไดมการปรบปรงใหสอดคลอง

Page 142: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

126

กบขอก าหนดมาตรฐานฉบบใหมและการประชมเพอรายงานผลตอฝายบรหาร (Management Review) ในปทผานมายงไมไดมการด าเนนการ เนองจากมการเปลยนแปลงฝายบรหารและโครงสรางภายในองคกรฯ

2. ขอ 1 (ตารางท 4.2) หวขอ นโยบายความมนคงปลอดภยสารสนเทศ (Information Security Policies) เปนมาตรการควบคมทก าหนดใหองคกรตองก าหนดทศทางและสนบสนนดานความมนคงปลอดภยสารสนเทศใหสอดคลองกบความตองการทางธรกจและสมพนธกบกฎระเบยบและกฎหมาย จากการตรวจสอบพบวาองคกรฯ ไดมการจดท าขอก าหนดและนโยบายความมนคงปลอดภยสารสนเทศส าหรบองคกรฯ แตการทบทวนและการปรบปรงนโยบายความมนคงปลอดภยสารสนเทศในปทผานมายงไมไดมการด าเนนการ ควรมการทบทวนและปรบปรงนโยบายฯ อยางนอยปละ 1 ครง

ปจจยทควรจะปรบปรงเปนอนดบทหา คอปจจยการประยกตใชมาตรฐานและกฎหมายทเกยวของ จากค านยามตามงานวจยไดไดใหความหมายไววาองคกรมการน าเอามาตรฐานและกฎหมายทเกยวของดานความมนคงปลอดภยสารสนเทศมาประยกตใชกบงานดานเทคโนโลยสารสนเทศขององคกร มการทบทวน ตดตาม และตรวจสอบ อยางตอเนอง ซงมขอสนบสนนปจจยทเกยวของคอ การน าเอามาตรฐานและกฎหมายทเกยวของดานความมนคงปลอดภยสารสนเทศมาประยกตใชในงานขององคกร ทงดาน Hardware, Software และ Network, การด าเนนงานขององคกรฯ ยงด าเนนการตามเวอรชนเกาซงยงไมมการก าหนดถงหวขอมาตรฐานบางขอไว มาตรฐานบางขอจงยงไมไดด าเนนการอยางชดเจน, มการด าเนนการควบคมเอกสารขององคกร ซงจดท าไวในระบบบรหารจดการความมนคงปลอดภยสารสนเทศในเวอรชน 2005 แลว สามารถใชงานรวมกบเวอรชน 2013 ได, มการด าเนนการดานการตดตาม การตรวจสอบ และปองกนดานความมนคงปลอดภยสารสนเทศอยางตอเนอง, องคกรฯ มกระบวนการจดการทรพยสนแลว แตการน ามาใชยงไมไดด าเนนการอยางตอเนอง, มการควบคมการเขาถงเครอขาย แตการก าหนดสทธการเขาถงยงไมชดเจน และการบงคบใชยงไมไดด าเนนการอยางตอเนอง, มการควบคมการเขาถงในระดบแอพลเคชน โดยมการควบคมและพจารณาสทธตามกระบวนการควบคมทออกแบบไว, มการปรบปรงและจดหาระบบสารสนเทศแตการก าหนดความตองการดานความมนคงปลอดภยสารสนเทศยงไมมความชดเจน, มการก าหนดรายละเอยดการจางในสญญาจางส าหรบผใหบรการ และมการตดตามการใหบรการโดยอาศยกระบวนการจดซอจดจางตามระเบยบราชการและมการจดการอบตการณความมนคงปลอดภยสารสนเทศ มการมอบหมายหนาทในการแกไขปญหาเบองตน แตยงขาดการวเคราะหแนวโนมและการแกไขปญหาจากสาเหตทมประสทธผล เมอเปรยบเทยบกบผลการวเคราะหสถานะปจจบนขององคกรอางองกบมาตรฐาน ISO/IEC 27001:2013 แลวพบวาผานเกณฑตาม

Page 143: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

127

มาตรฐานจ านวน 1 ขอ ไดแก ขอ 11 (ตารางท 4.2) หวขอ ความสมพนธกบซพพลายเออร (Supplier relationships) ประกอบดวยการควบคมความมนคงปลอดภยสารสนเทศส าหรบซพพลายเออร (Information security in supplier relationships) ทตองมการก าหนดขอตกลงและความรบผดชอบดานความมนคงปลอดภยสารสนเทศ การบรหารการใหบรการ (Supplier service delivery management) พบวา องคกรฯ มการก าหนดรายละเอยดการจางในสญญาจางส าหรบผใหบรการ และมการตดตามการใหบรการโดยอาศยกระบวนการจดซอจดจางตามระเบยบราชการ ซงมความสอดคลองกบขอก าหนดของมาตรฐานขนพนฐาน

ส าหรบหวขอทผานบางสวนมทงหมด 6 ขอ ไดแก 1. ขอ 4.4 (ตารางท 4.1) หวขอ การสนบสนน (Support) องคกรจ าเปนตองมการ

สนบสนนทรพยากรทจ าเปนตอการบรหารจดการความมนคงปลอดภยสารสนเทศ มการก าหนดความร (Competence) การสรางความตระหนก (Awareness) ก าหนดรปแบบการสอสาร (Communication) และก าหนดแนวทางการจดการเอกสาร (Document Management) พบวา การด าเนนการควบคมเอกสาร องคกรฯ มกระบวนการบรหารจดการเอกสาร ซงจดท าไวในระบบบรหารจดการความมนคงปลอดภยสารสนเทศในเวอรชน 2005 แลว ซงเวอรชนปจจบนคอ 2013 ท าใหขอก าหนดบางประการยงไมไดรบการก าหนด และยงไมครอบคลมกบขอก าหนดเวอรชนใหม ควรจะมการทบทวนและปรบปรงรายละเอยดขอก าหนดตางๆ โดยอางองจากเวอรชนลาสดอกครง

2. ขอ 5 (ตารางท 4.1) หวขอ การปฏบตการ (Operation) องคกรจะตองน าแผนการลดความเสยงและแผนปฏบตการทจะท าใหมนใจวาสามารถจะบรรลวตถประสงคขององคกรไดมาด าเนนการปฏบต และด าเนนการทบทวนและประเมนความเสยง ด าเนนการวางแผนการลดความเสยงตามผลการทบทวนและประเมนความเสยง พบวาองคกรฯ ไดมการวางแผนการบรหารความเสยงดานความมนคงปลอดภยสารสนเทศในป 2556 เทานน ดงนน การปฏบตการในประเดนการบรหารความเสยงความมนคงปลอดภยสารสนเทศจงไมไดมการด าเนนการเพมเตม แตส าหรบดานการตดตาม การตรวจสอบและการปองกนดานความมนคงปลอดภยสารสนเทศ องคกรฯ ไดมการด าเนนการอยางตอเนอง โดยประกอบดวย การตรวจสอบและตดตามชองโหวทางเทคนคบนระบบสารสนเทศทส าคญ, การตดตามสมรรถนะระบบสารสนเทศและอปกรณเครอขายทมการด าเนนการเปนประจ าทกสปดาห, การวางแผนการด าเนนการธรกจอยางตอเนองในสวนงานดานเทคโนโลยสารสนเทศ ซงมการเตรยมความพรอมใหกบระบบงานทส าคญ , การตดตามและแกไขอบตการณ ความมนคงปลอดภยสารสนเทศ ซงมการตดตามรายสปดาห

ขอทสามและสคอจะรวมอยในขอ 5 (ตารางท 4.2) การควบคมการเขาถง (Access control) ประกอบดวยการก าหนดนโยบายการเขาถงตามความตองการทางธรกจ (Business

Page 144: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

128

requirements of access control) ก า ร บ ร ห า ร ก า ร เข า ถ ง ข อ ง ผ ใช ง า น (User access management) หนาทของผใชงาน (User responsibilities) การควบคมการเขาถงทางระบบและแอพพลเคชน (System and application access control) มรายละเอยดดงน

3. พบวาองคกรฯ มการควบคมการเขาถงทางเครอขายโดยผานอปกรณไฟรวอลล แตในดานการก าหนดรายละเอยดการเขาถงยงไมมความชดเจนและการบงคบใชยงไมไดด าเนนการอยางตอเนอง

4. พบวาการควบคมการเขาถงในระดบแอพพลเคชนมการด าเนนการควบคมและมการพจารณาสทธตามกระบวนการควบคมทไดมการออกแบบแลว ส าหรบการควบคมการเขาถงน ควรจะด าเนนการอยางตอเนองและเครงครด เพอปองกนการเขาใชงานจากผทไมเกยวของ

5. ขอ 10 (ตารางท 4.2) หวขอ การจดหา พฒนาและบ ารงรกษาระบบ (System acquisition, development and maintenance) ประกอบดวยการก าหนดความตองการดานความมนคงปลอดภยสารสนเทศส าหรบระบบสารสนเทศ (Security requirement of information system) การควบคมความมนคงปลอดภยในการพฒนาและกระบวนการสนบสนน (Security in development and support processes) การควบคมความปลอดภยบนขอมลทดสอบ (Test data) พบวาองคกรฯ มการปรบปรงและจดหาระบบสารสนเทศ ซงการก าหนดความตองการดานความมนคงปลอดภยสารสนเทศยงไมมความชดเจน

6. ขอ 12 (ตารางท 4.2) หวขอการจดการกบอบตการณความมนคงปลอดภยสารสนเทศ (Information security incident management) ประกอบดวยขนตอนปฏบตส าหรบจดการกบอบตการณ การรายงานเหตการณและจดออนดานความมนคงปลอดภยสารสนเทศ การประเมนและการตดสนใจส าหรบเหตการณดานความมนคงปลอดภยสารสนเทศ การตอบสนองตออบตการณความมนคงปลอดภยสารสนเทศ และการรวบรวมหลกฐาน พบวาองคกรฯ มการจดการอบตการณความมนคงปลอดภยสารสนเทศ โดยมการมอบหมายหนาทในการแกไขปญหาเบองตน แตการวเคราะหแนวโนมและการแกไขปญหาจากสาเหต มการด าเนนการแตยงไมมประสทธผล เนองจากองคกรขาดบคลากรทมความรความสามารถเฉพาะดานท าหนาทวเคราะหปญหาตางๆ ทพบ

อกทงยงพบวามหวขอทตองแกไขอก 2 ขอ ไดแก 1. ขอ 1 (ตารางท 4.1) หวขอ บรบทขององคกร (Context of the organization)

หมายถงองคกรจ าเปนตองเขาใจถงบรบทขององคกร โดยพจารณาประเดนทเกยวของกบความมนคงปลอดภยซงเกยวของกบองคกรและพจารณาจากผมสวนไดเสยทงภายในและภายนอกองคกร ซงองคกรใหความสนใจเฉพาะกลม จากนนจงพจารณาวาผทองคกรใหความสนใจ (Interested Parties)

Page 145: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

129

มความตองการและความคาดหวงอะไรบางทเกยวของกบความมนคงปลอดภยสารสนเทศแลวจงก าหนดขอบเขตระบบบรหารจดการความมนคงปลอดภยสารสนเทศ (Scope) ซงพบวาารด าเนนการของ องคกรฯ ในระบบบรหารจดการเวอรชนเกาไมไดมการก าหนดไว จงยงไมไดด าเนนการอย างชดเจน

2. ขอ 4 (ตารางท 4.2) การจดการทรพยสน (Asset management) ประกอบดวยการก าหนดความรบผดชอบตอทรพยสน (Responsibility for assets) ซงตองมการจดท าบญชทรพยสน การก าหนดผรบผดชอบดแล การก าหนดเงอนไขการใชงานทรพยสน และการคนทรพยสน การจดจ าแนกสารสนเทศ(Information classification) ประกอบดวยแนวทางการจดจ าแนกสารสนเทศตามความส าคญ คณคาและความลบ การท าปายลาเบลและการจดการ การใชงานทรพยสนตามปายลาเบล พบวาองคกรฯ มกระบวนการจดการทรพยสนแลว ซงครอบคลมการจดท าบญชทรพยสน การจดจ าแนกชนความลบ แตการน ามาใชยงไมไดด าเนนการอยางตอเนอง

ปจจยทควรจะปรบปรงเปนอนดบทหก คอปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร จากค านยามตามงานวจยไดไดใหความหมายไววาโครงสรางเทคโนโลยสารสนเทศขององคกรเปนไปตามมาตรฐานดานความมนคงปลอดภยสารสนเทศ ซงมขอสนบสนนปจจยทเกยวของคอสภาพแวดลอม, Infrastructure และระบบงาน ควรไดรบการปรบปรงและพฒนาอยบนพนฐานตามมาตรฐานความมนคงปลอดภยสารสนเทศ, มการควบคมการเขาถงเครอขาย แตการก าหนดสทธการเขาถงยงไมชดเจน และการบงคบใชยงไมไดด าเนนการอยางตอเนอง, มการควบคมการเขาถงในระดบแอพลเคชน โดยมการควบคมและพจารณาสทธตามกระบวนการควบคมทออกแบบไว } องคกรมการปองกนความลบของขอมลในระดบเครอขาย, องคกรฯ มการปองกนทางกายภาพส าหรบหองเดตาเซนเตอรซงการตดตงระบบควบคมการเขาถง มการควบคมอณหภมและความชน แตในดานการปองกนทางกายภาพส าหรบระบบสารสนเทศ พบวาพนทยงอยในลกษณะเปด อปกรณคอมพวเตอรและเซรฟเวอรไมไดมการตดตงภายในตแรคทสามารถควบคมการเขาถงได , การควบคมดแลสายเคเบลพบวา องคกรฯ ประสบปญหาสายเคเบลทไมไดมาตรฐาน ซงหากสงเกตจากภายนอกจะพบวาสายมลกษณะปกตแตภายในช ารด ท าใหตองมการเปลยนหรอสลบสายเคเบลจนเปนเหตใหการจดเรยงสายเคเบลไมเปนระเบยบและยากตอการดแลรกษา, มการควบคมความมนคงปลอดภยสารสนเทศระดบเครอขาย แตทางเทคนคยงไมไดมการก าหนดการควบคมและปองกนอยางเหมาะสมสงสด เมอเปรยบเทยบกบผลการวเคราะหสถานะปจจบนขององคกรอางองกบมาตรฐาน ISO/IEC 27001:2013 แลวพบวาผานเกณฑตามมาตรฐานจ านวน 1 ขอ คอ ขอ 6 (ตารางท 4.2) หวขอการเขารหสลบ (Cryptography) ซงเปนมาตรการควบคมส าหรบการรกษาความลบของขอมล โดยใหมการก าหนดนโยบายการใชงานมาตรการควบคมดวยรหสลบ และการจดการกญแจรหสลบ

Page 146: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

130

ส าหรบหวขอทผานบางสวนมทงหมด 3 ขอ ไดแก ขอ 5 (ตารางท 4.2) หวขอการควบคมการเขาถง (Access control) ประกอบดวยการก าหนดนโยบายการเขาถงตามความตองการทางธรกจ (Business requirements of access control) การบรหารการเขาถงของผใชงาน (User access management) หนาทของผใชงาน (User responsibilities) การควบคมการเขาถงทางระบบและแอพพลเคชน (System and application access control) พบวามสองขอยอย ไดแก

1. องคกรฯ มการควบคมการเขาถงทางเครอขายโดยผานอปกรณไฟรวอลล แตในดานการก าหนดรายละเอยดการเขาถงยงไมมความชดเจน

2. การบงคบใชยงไมไดด าเนนการอยางตอเนอง และการควบคมการเขาถงในระดบแอพพลเคชนมการด าเนนการควบคมและมการพจารณาสทธตามกระบวนการควบคมทไดมการออกแบบแลว

รวมถงเรองความมนคงปลอดภยทางการสอสาร (Communications security)ประกอบดวยการจดการความมนคงปลอดภยทางเครอขาย (Network security management) ซงตองมการควบคมทางเครอขาย การก าหนดบรการทางเครอขายทใหบรการและการแบงแยกเครอขายทใชงาน และจดสงสารสนเทศ (Information transfer) ซงตองมการก าหนดนโยบายและขนตอนปฏบต การก าหนดขอตกลงส าหรบการจดสงสารสนเทศ การจดสงสารสนเทศทางอเลกทรอนกส การก าหนดขอตกลงในการรกษาความลบ พบวา องคกรฯ มการควบคมความมนคงปลอดภยสารสนเทศในระบบเครอขายคอมพวเตอรผานอปกรณไฟรวอลล (Firewall) แตการตงคาการท างานทางเทคนคยงไมไดมการก าหนดใหมการควบคมและปองกนอยางเหมาะสมสงสดเนองจาก ปญหาการสอสารภายในระหวางผพฒนาระบบและผดแลระบบเครอขาย

ส าหรบหวขอทตองแกไขพบวามเพยงขอเดยวคอขอ 7 (ตารางท 4.2) หวขอความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical and environmental security) ประกอบดวยการก าหนดการควบคมพนททางกายภาพ การเขาถง การจดการพนท และการควบคมสภาพแวดลอมความปลอดภยใหมความเหมาะสม พบวาองคกรฯ มการปองกนทางกายภาพส าหรบหองเดตาเซนเตอรซงการตดตงระบบควบคมการเขาถง มการควบคมอณหภมและความชน แตในดานการปองกนทางกายภาพส าหรบระบบสารสนเทศ พบวาพนทยงอยในลกษณะเปด อปกรณคอมพวเตอรและเซรฟเวอรไมไดมการตดตงภายในตแรคทสามารถควบคมการเขาถงได รวมถงการควบคมดแลสายเคเบลพบวาองคกรฯ ประสบปญหาสายเคเบลทไมไดมาตรฐาน ซงหากสงเกตจากภายนอกจะพบวาสายมลกษณะปกตแตภายในช ารด ท าใหตองมการเปลยนหรอสลบสายเคเบลจนเปนเหตใหการจดเรยงสายเคเบลไมเปนระเบยบและยากตอการดแลรกษา

Page 147: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

131

บทท 5 สรปผลการวจยและขอเสนอแนะ

5.1 สรปผลการวจย

องคกรดานการทองเทยวแหงหนงมภาระกจหลกในการสงเสรมการทองเทยวในประเทศ

ไทย ท าหนาทใหบรการและประชาสมพนธขอมลขาวสารแกผสนใจทงชาวไทยและชาวตางชาต ซงมการน าเอาเทคโนโลยสารสนเทศมาประยกตใชในองคกรเพอรองรบการปฏบตงานของบคลากรในการสนบสนนภารกจดงกลาว

ในยคทขอมลขาวสารมความส าคญ ทางองคกรจงใหความส าคญในการน าเอาแนวคดดานการจดการความมนคงปลอดภยสารสนเทศมาประยกตใช โดยบรรจอยในแผนแมบทเทคโนโลยสารสนเทศและการ ซงเปนแผนเฉพาะดานเทคโนโลยสารสนเทศขององคกร ซงขณะนอยในระหวางการด าเนนการ เพอใหองคกรมแผนในการบรหารจดการระบบสารสนเทศขององคกร โดยเนนการรกษาความปลอดภยของขอมลขององคกร ซงถอเปนสวนส าคญสวนหนงในการบรหารหนวยงานใหมประสทธภาพ และเพอใหมความมนคงปลอดภยเปนไปตามประกาศของคณะกรรมการธรกรรมอเลกทรอนกส เรองแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ. 2553 และพระราชกฤษฎกา วาดวยวธการแบบปลอดภยในการท าธรกรรมทางอเลกทรอนกส พ.ศ. 2553 โดยไดมการน าเอามาตรฐาน ISO/IEC 27001 ซงเปนมาตรฐานสากลดาน Information Security Management System มาเปนกรอบในการด าเนนงาน ประกอบกบองคกรแหงน จะตองด าเนนการดานสารสนเทศใหสอดคลองกบระบบประเมนคณภาพรฐวสาหกจ จงมความจ าเปนในการด าเนนการดานการจดการความมนคงปลอดภยสารสนเทศใหเปนไปอยางตอเนองตามมาตรฐานสากล

เพอใหองคกรมแผนในการบรหารจดการความมนคงปลอดภยสารสนเทศและเปนไปตามประกาศของคณะกรรมการธรกรรมอเลกทรอนกสและสอดคลองกบระบบประเมนคณภาพรฐวสาหกจ ผวจยจงเลงเหนความส าคญของการศกษาถงปจจยทเกยวของกบการบรหารจดการความมนคงปลอดภยสารสนเทศ เพอเตรยมความพรอมของหนวยงานภาครฐ ในการเขารบการรบรองมาตรฐาน ISO/IEC 27001:2013 เพอประเมนวาในปจจบนองคกรมความพรอมในการเขารบการรบรองมาตรฐานฯ เพยงใดและควรมการปรบปรงอยางไร เพอใหองคกรมความพรอมในการเขารบการรบรองมาตรฐานฯ ตอไป

Page 148: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

132

จากการทบทวนวรรณกรรมและงานวจยทเกยวของนน จะเหนไดวามหลายองคกร ทงภาครฐและเอกชนไดใหความส าคญเกยวกบความมนคงปลอดภยสารสนเทศมากขน เนองจากในปจจบนขอมลเปนสงทส าคญและมคามาก องคกรจะตองรบมอกบภยคกคามตางๆ ทเกดขน หากองคกรใดไมใหความส าคญดานความมนคงปลอดภยสารสนเทศ กจะท าใหองคกรนนตกเปนเปาหมายในการโจมตทางดานเทคโนโลยสารสนเทศ ซงจะท าใหเกดความเสยหายตอระบบทใชภายในองคกรและระบบทเปดใหบรการสาธารณะ อนจะสงผลถงชอเสยงและความนาเชอถอขององคกรได

ในการศกษาการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง นน ใชระเบยบวธวจยเชงปรมาณและคณภาพ โดยด าเนนการวจยดงน

5.1.1 ศกษามาตรฐานการจดการความม นคงปลอดภ ยสารสน เทศ ISO/ IEC 27001:2013 และกฎหมายทเกยวของ

5.1.2 ท าการศกษา รวบรวม ทบทวนขนตอนปฏบต มาตรการตางๆ จากเอกสารทเกยวของกบการบรหารจดการความมนคงปลอดภยดานสารสนเทศขององคกร ทเคยด าเนนการไว และท าการสมภาษณเพอขอขอมลเพมเตมจากผเชยวชาญและผทเกยวของ เพอขอทราบขอมลปจจบนขององคกร

5.1.3 ท าการเกบขอมลจากการสมภาษณการสมภาษณผบรหาร, ผเชยวชาญดานการจดการความมนคงปลอดภยสารสนเทศจากภายนอกองคกร การตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ และการทดสอบความพรอมของบคลากรในองคกร เพอท าการส ารวจความคดเหนและประเมนผลปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการเขารบการรบรองมาตรฐาน ISO/IEC 27001:2013

5.1.4 วเคราะหปจจยทเกยวของในการเตรยมความพรอมขององคกรและประเมนผล

5.1.5 สรปผลและจดท าขอเสนอแนะเพอสรางแนวทางปฏบตทเหมาะสมกบองคกรเพอท าการปรบปรงและเตรยมความพรอมในการรบการตรวจประเมนจากผตรวจประเมน (Certification Body หรอ CB) ตอไป

ในการวจย ผวจยไดท าการแบงบคลากรออกเปนสกลมประกอบดวย ผบรหาร, ผเชยวชาญฯ, ผดแลระบบและบคลากรในองคกร โดยมปจจยทไดจากการศกษาทงสน 6 ปจจย ประกอบดวย ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ หมายถง การประชาสมพนธจากองคกรอยอยางสม าเสมอเพอสรางความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ ท

Page 149: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

133

เกยวของกบความมนคงปลอดภยสารสนเทศ, การประยกตใชมาตรฐานและกฎหมายทเกยวของ หมายถง การน าเอามาตรฐานและกฎหมายทเกยวของดานความมนคงปลอดภยสารสนเทศมาประยกตใชกบงานดานเทคโนโลยสารสนเทศขององคกร มการทบทวน ตดตาม และตรวจสอบ อยางตอเนอง, การใหความส าคญในการด าเนนการตามมาตรฐานฯ หมายถง บคลากรทกระดบในองคกรใหความส าคญตอการด าเนนการตามมาตรฐาน สามารถน าไปปฏบตไดอยางถกตองและเหมาะสม, นโยบายขององคกร หมายถง มการน าเอามาตรฐานดานความมนคงปลอดภยสารสนเทศ ระบเปนนโยบายระดบองคกร, โครงสรางเทคโนโลยสารสนเทศขององคกร หมายถง โครงสรางเทคโนโลยสารสนเทศขององคกรเปนไปตามมาตรฐานดานความมนคงปลอดภยสารสนเทศ, ความตระหนกถงภยคกคามและชองโหว หมายถง องคกรมระบบปองกนภยคกคามและชองโหวตางๆ รวมถงบคลากรมความตระหนกถงภยคกคามรปแบบตางๆ และไมตกเปนเหยอจากภยดงกลาว

จากการสมภาษณผบรหาร 4 ทาน ไดประเมนความพรอมขององคกรไววา ควรมการประชาสมพนธใหบคลากรไดรบทราบถงขอมลตางๆ เกยวกบความมนคงปลอดภยสารสน เทศ เชน การแจงเตอนผใชเกยวกบภยคกคามตางๆ หรอแมกระทงนโยบายทเกยวของ เพอใหบคลากรในองคกรสามารถน าไปปฏบตไดอยางถกตองเหมาะสมตอไป โดยผบรหารจะเนนความพร อมของบคลากรในองคกรเปนหลก เพราะหากขาดซงความรวมมอของบคลากรแลว กอาจจะไมสามารถด าเนนการตางๆ ไดส าเรจตรงตามวตถประสงค

สวนของความส าคญนนผบรหารจะใหความส าคญกบปจจยนโยบายขององคกรเปนอนดบแรก รองลงมาคอ ปจจยความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ ปจจยการใหความส าคญในการด าเนนการตามมาตรฐานฯ และความตระหนกถงภยคกคามและชองโหว ปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร และปจจยการประยกตใชมาตรฐานและกฎหมายทเกยวของ ตามล าดบ ซงในมมมองของผบรหารจะมองภาพรวมของทงองคกร จงตองมงเนนการก าหนดเปนนโยบาย เพอใหบคลากรน าไปปฏบต

จากการสมภาษณผเชยวชาญฯ นน ผเชยวชาญมความคดเหนวาองคกรมความพรอมปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร เปนอนดบแรก และสงทตองปรบปรงเพอเตรยมความพรอมขององคกรในการเขารบการรบรองมาตรฐานคอปจจยความตระหนกถงภยคกคามและชองโหว ซงสอดคลองกบผลการประเมนความส าคญซงผเชยวชาญมความเหนวา ปจจยความตระหนกถงภยคกคามและชองโหว เปนสงทส าคญทสด และล าดบสดทายคอปจจยนโยบายขององคกร

Page 150: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

134

จากการตอบแบบประเมนของผดแลระบบฯ มความคดเหนวาโครงสรางเทคโนโลยสารสนเทศขององคกรมความพรอมเปนอนดบแรก เนองจากผดแลระบบฯ มสวนเกยวของในการด าเนนการโครงการระบบบรหารจดการความมนคงปลอดภยสารสนเทศอยแลว ซงไดมการปรบปรงกระบวนการและโครงสรางเทคโลยสารสนเทศตามมาตรฐานอยอยางสม าเสมอ จงท าใหมนใจวาปจจยนนาจะมความพรอมทสด ทจะสงผลใหองคกรสามารถเขารบการรบรองมาตรฐานฯ ได และปจจยทมผดแลระบบฯ ลงความเหนวาควรใหความส าคญมากทสดคอ โครงสรางเทคโนโลยสารสนเทศขององคกรมความพรอมเปนอนดบแรก เนองจากผดแลระบบฯ มสวนเกยวของในการด าเนนการโครงการระบบบรหารจดการความมนคงปลอดภยสารสนเทศอยแลว ซงไดมการปรบปรงกระบวนการและโครงสรางเทคโลยสารสนเทศตามมาตรฐานอยอยางสม าเสมอ จงท าใหมนใจวาปจจยนนาจะมความพรอมทสด ทจะสงผลใหองคกรสามารถเขารบการรบรองมาตรฐานฯ ได

สวนของความพรอมของบคลากรในองคกรนน จะเนนไปทการสรางความตระหนก การรบรถงกระบวนการทเกยวของตอการปฏบตงานของตนเองเปนหลก จากการสมภาษณบคลากรในองคกรรอบแรกนน พบวาบคลากรสวนใหญในองคกรยงขาดความรความเขาใจเรองเกยวกบความมนคงปลอดภยสารสนเทศ อนเนองมาจากขาดการประชาสมพนธและไมไดมการใหความรความเขาใจอยางตอเนอง ซงจากการด าเนนการโครงการดานความมนคงปลอดภยสารสนเทศและท าการประเมนโดยผเชยวชาญฯ แลวนน ท าใหผเชยวชาญฯ มความเหนวาองคกรแหงนยงขาดความพรอมดานปจจยความตระหนกถงภยคกคามและชองโหวอยในล าดบแรก ผ เชยวชาญฯ จงมความเหนและใหค าแนะน าวาควรจะมการจ าลองสถานการณเพอสรางความตระหนกใหกบบคลากรในองคกร (Cyber Drill หรอ Cyber Readiness Assessment) โดยการท า Phishing ผลจากผลการจ าลองสถานการณดงกลาวพบวา บคลากรสวนใหญยงขาดความระมดระวงในการเขาใชงานอนเตอรเนต สบเนองจากขาดการประชาสมพนธเกยวกบความมนคงปลอดภยสารสนเทศและการสรางความตระหนกถงภยคกคามใหกบบคลากร ซงสอดคลองกบค าแนะน าของผบรหารในตอนตน

เมอพจารณาถงความพรอมขององคกรฯ จากผลการปฏบตตามมาตรฐานความมนคงปลอดสารสนเทศ ISO/IEC 27001:2013 ขององคกรฯ ภาพรวมในปจจบน สามารถสรปไดดงน

o ผาน ตรงตามขอก าหนดของมาตรฐานจ านวน 5 ขอ o ผานบางสวน ตามขอก าหนดของมาตรฐานจ านวน 9 ขอ o ตองแกไข จ านวน 7 ขอ

โดยแยกเปน สวนท เปนขอก าหนดระบบบรหารจดการ (Management System Requirements) โดยขอก าหนดในสวนน มงเนนไปทการบรหารจดการความมนคงปลอดภย

Page 151: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

135

สารสนเทศใหสอดคลองกบความตองการทางธรกจ โดยการทราบถงบรบทขององคกร (Context of the Organization) และจงน ามาวางแผนส าหรบการบรหารจดการ ก าหนดวตถประสงคและเปาหมายใหมความสอดคลองกบความตองการของผทองคกรใหความส าคญสนใจ ( Interested Parties) และจงน ามาวางแผนในการปฏบตเพอใหบรรลตามวตถประสงคและเปาหมาย มาตรฐานยงก าหนดใหมการด าเนนการตดตาม วดประสทธผลและก าหนดใหฝายบรหารเปนผ พจารณาประสทธผลของระบบบรหารจดการเพอจะไดน ามาปรบปรง (Improvement) ใหเกดประสทธผล

o ผาน ตรงตามขอก าหนดของมาตรฐานจ านวน 1 ขอ o ผานบางสวน ตามขอก าหนดของมาตรฐานจ านวน 2 ขอ o ตองแกไข จ านวน 4 ขอ

และสวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls) โดยขอก าหนดในสวนน มงเนนไปทการควบคมความมนคงปลอดภยสารสนเทศ ซงมมาตรการควบคมแบงออกเปน 14 สวนหลก แสดงไวในภาคผนวก A (Annex A) ของมาตรฐาน ISO/IEC 27001:2013

o ผาน ตรงตามขอก าหนดของมาตรฐานจ านวน 4 ขอ o ผานบางสวน ตามขอก าหนดของมาตรฐานจ านวน 7 ขอ o ตองแกไข จ านวน 3 ขอ

ในสวนของขอก าหนดระบบบรหารจดการ (Management System Requirements) นนมความจ าเปนทองคกรจะตองผานทกหวขอเทานน หากพจารณาแลวพบวายงมขอทผานบางสวนหรอไมผาน สามารถสงผลใหองคกรไดรบผลการประเมนเปน “ไมผาน” จากผตรวจประเมน (Certification Body : CB) และไมสามารถขอรบรองมาตรฐานฯ ได รวมถงในสวนของ มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls) มขอทผานเพยง 4 ขอ จากทงหมด 14 ขอ ดงนนกอนการเขารบการขอรบรองมาตรฐานจรง องคกรฯ ควรจะมการปรบปรงและแกไขในหวขอทผานเพยงบางสวนหรอยงไมผาน แลวท าการประเมนภายในกอนอกครง เพอใหมนใจวาสามารถเขารบการตรวจประเมนจากผตรวจประเมนจากภายนอกได โดยใหมจ านวนขอทผานมากทสด

กลาวโดยสรปสามารถประเมนไดวาในปจจบนองคกรยงไมมความพรอมในการเขารบการรบรองมาตรฐาน ISO/IEC 27001:2013 ควรมการปรบปรงตามทผวจยเสนอแนะในหวขอถดไป เพอใหองคกรมความพรอมในการเขารบการรบรองมาตรฐานฯ ตอไป

Page 152: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

136

5.2 ขอเสนอแนะ

5.2.1 ขอเสนอแนะส าหรบองคกรเพอเตรยมความพรอมการขอรบรองมาตรฐานฯ

จากผลการเรยงล าดบความพรอมของปจจยทเกยวของกบการบรหารจดการความมนคงปลอดภยสารสนเทศ เพอเตรยมความพรอมของหนวยงานภาครฐ ในการเขารบการรบรองมาตรฐาน ISO/IEC 27001:2013 กรณศกษา องคกรดานการทองเทยวแหงหนง ในภาพรวมขององคกร (ผเชยวชาญฯ จากภายนอก, และผดแลระบบฯ) สามารถเรยงล าดบขอเสนอแนะทควรปรบปรงตามล าดบความพรอมจากนอยทสดไปหามากทสดไดดงน

5.2.1.1 การใหความส าคญในการด าเนนการตามมาตรฐานฯ

1) องคกรฯ ไดมการก าหนดโครงสรางคณะกรรมการดานความมนคงปลอดภยสารสนเทศ คณะท างานความมนคงปลอดภยสารสนเทศและนโยบายความมนคงปลอดภยสารสนเทศไวแลวจงมความสอดคลองขนพนฐาน ถงแมวาจะผานการประเมนแลวแตองคกรจะตองมการตรวจสอบขอมลใหถกตองและอพเดทอยเสมอ

2) องคกรฯ มการจดเตรยมระบบส ารองและมการพฒนาแผนการด าเนนธรกจอยางตอเนองส าหรบระบบสารสนเทศทส าคญ ซงมการทดสอบการใชงาน และมการปรบปรงแกไขระบบส ารอง หวขอนแมจะผานแลว กควรจะมการทดสอบการใชงานและปรบปรงแกไขระบบส ารองใหมความพรอมใชอยเสมอ

3) ผบรหารขององคกรฯ มการสนบสนนทรพยากรตามงบประมาณทไดรบการสนบสนนจากรฐบาลโดยการอนมตใหจดท าโครงการเกยวกบความมนคงปลอดภยสารสนเทศ และการด าเนนการนนเปนไปตามระเบยบทางราชการในการด าเนนการโครงการดงกลาว แตการด าเนนการโครงการควรจะด าเนนการและไดรบการสนบสนนจากผบรหารอยางตอเนอง และผบรหารจะตองใหความส าคญในการด าเนนการตามมาตรฐานฯ ดวย จงจะไดรบการสนบสนนดงกลาว

4) องคกรควรจะใหความส าคญกบการวางแผนการบรหารความเสยงดานความมนคงปลอดภยสารสนเทศ ซงควรจะตองมการน าแผนมาทบทวนและวเคราะหถงความเสยงใหมๆ อยางนอยปละหนงครง เพอองคกรจะไดทราบถงความเสยงตางๆ และมแผนในการด าเนนการทสอดคลองกบสภาวะปจจบน

Page 153: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

137

5) การปรบปรงชองโหวทางเทคนคพบวายงมบางระบบงานทยงไมสามารถด าเนนการปรบปรงได เนองจากอาจเกดผลกระทบทอาจเกดขนกบระบบสารสนเทศ เพอเปนการแกปญหาทจะเกดขนจากการปรบปรงชองโหวทางเทคนคทเกดขน พบวาองคกรแหงนมการจางผใหบรการหลายราย โดยแตละรายใชทรพยากรทแตกตางกน เมอตรวจสอบพบชองโหวทางเทคนคขนในระบบ ท าใหไมสามารถด าเนนการปรบปรงไดทนท หรอไมสามารถด าเนนการได เนองจากการปรบปรงทางเทคนคนนอาจจะสงผลกระทบถงระบบอนๆ ทท างานรวมกน ผวจยเหนวาควรจะแกไขตงแตการท าขอตกลงกบผรบจาง ในสวนของระบบทรบผดชอบ ใหสามารถมการปรบปร งชองโหวไดตลอด เมอมการพบชองโหวเกดขน และผรบจางจะตองด าเนนการและใหความส าคญเกยวกบความมนคงปลอดภยสารสนเทศในระบบทตนเองรบผดชอบอย อนจะสงผลใหระบบในภาพรวมสามารถใชงานไดตามปกตและมมาตรการในการรบมอกบชองโหวทเกดขนอยอยางสม าเสมอ

6) องคกรฯ มการจดการอบตการณความมนคงปลอดภยสารสนเทศ โดยมการมอบหมายหนาทในการแกไขปญหาเบองตน แตการวเคราะหแนวโนมและการแกไขปญหาจากสาเหต มการด าเนนการแตยงไมมประสทธผล อนเนองมาจากการขาดบคลากรทเชยวชาญในการวเคราะหปญหาระบบเทคโนโลยสารสนเทศ ซงเกดจากการทผบรหารยงไมไดใหความส าคญกบการสรรหาผทมความเชยวชาญดานเทคโนโลยสารสนเทศ และขอจ ากดของโครงสรางและคาตอบแทนขององคกรทไมจงใจใหบคลากรทมความเชยวชาญเขามาท างาน ซงการแกไขอาจจะตองใชเวลาและท าไดยาก เนองจากเปนการปรบปรงระดบองคกร ควรผลกดนและเสนอใหผบรหารมองเหนความส าคญเกยวกบระบบเทคโนโลยสารสนเทศ รวมถงการแกไขปญหาทจะเกดขนในอนาคตใหมประสทธผลมากยงขน ควรจะมการจางต าแหนงผเชยวชาญดานเทคโนโลยสารสนเทศ เพอท าหนาทวเคราะหและแกไขปญหาดานเทคโนโลยสารสนเทศ

7) องคกรฯ มการควบคมการปฏบตตามกฎ ระเบยบและกฎหมาย ตามทไดมก าหนดขนในมาตรฐานระบบบรหารจดการความมนคงปลอดภยสารสนเทศเวอรชนเกา แตการปรบปรงขอมลใหทนสมยยงไมไดด าเนนการอยางตอเนอง คณะท างานความมนคงปลอดภยสารสนเทศทถกแตงตงขน จะตองใหความส าคญในการด าเนนการตามระบบบรหารจดการความมนคงปลอดภยสารสนเทศอยางสม าเสมอ หากพบวามการปรบปรงเวอรชนของมาตรฐาน ควรท าการศกษาและปรบปรงรายละเอยดและการด าเนนการตางๆ ใหทนสมยอยเสมอ

8) องคกรฯ มการประเมนความเสยงและการวางแผนลดความเสยงซงด าเนนการผานมาในป 2556 ซงกระบวนการบรหารความเสยงทมอยนนสามารถน ามาใชกบ

Page 154: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

138

มาตรฐานฉบบใหมได แตการวางแผนเพอใหสามารถบรรลตามวตถประสงคจะตองด าเน นการปรบปรงและผลการประเมนความเสยงจะตองมการด าเนนการอยางตอเนอง

9) การประเมนสมรรถนะทองคกรฯ ด าเนนการอยในปจจบนมการด าเนนการดวยกระบวนการตามขอก าหนดของมาตรฐานระบบบรหารจดการความมนคงปลอดภ ยสารสนเทศเวอรชนเดม ซงมความแตกตางในสาระตามทมาตรฐานก าหนด เชน ประเดนการตดตาม การวดผล การวเคราะหและการประเมนผลทมการจดท ายงไมไดมการปรบปรงใหสอดคลองกบขอก าหนดมาตรฐานฉบบใหม ซงองคกรควรจะใหความส าคญกบเวอรชนของมาตรฐานทมเปลยนแปลง และมการปรบปรงรายละเอยดของนโยบาย, ขนตอนปฏบต และปรบปรงเอกสารทใชในการด าเนนการตามระบบบรหารจดการความมนคงปลอดภยสารสนเทศ ใหเปนเวอรชนลาสดอยเสมอ

10) ควรมการประชมเพอรายงานผลตอฝายบรหาร (Management Review) ในปทผานมาพบวายงไมไดมการด าเนนการ เนองจากมการเปลยนแปลงฝายบรหารและโครงสรางภายใน องคกรฯ อยางไรกตามควรใหความส าคญและมการด าเนนการตามระบบบรหารจดการความมนคงปลอดภยสารสนเทศอยเสมอ เมอมโอกาสรายงานผลตอฝายบรหาร ควรท าทนทหรออาจจะเปลยนแปลงวธการรายงานจากการจดประชมเปนรายงานผลโดยรายงานความคบหนาแทน

11) การด าเนนการระบบบรหารจดการความมนคงปลอดภยสารสนเทศในองคกร ควรมการประชาสมพนธใหทราบทวทงองคกรและหากมโอกาสควรจะคอยๆ ท าการขยายขอบเขตไปยงกองงาน, ฝาย และดานอนๆ เพอเปนการกระตนใหบคลากรในองคกรเหนความส าคญของการด าเนนการตามมาตรฐาน และสามารถน าไปปฏบตจนเปนสวนหนงของการท างานได

5.2.1.2 ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ

1) องคกรฯ มการด าเนนการใหความรโดยผานการอบรม แตรายการความรและทกษะทจ าเปนของแตละบคลากร ในแตละบทบาท ไดแก ผบรหาร, ผดแลระบบฯ และบคลากรในองคกร ยงไมไดมการปรบปรงใหเหมาะสมและครอบคลมลกษณะงานดานความมนคงปลอดภยสารสนเทศ ควรจะมจดอบรมเพอสรางความรความเขาใจใหกบบคลากรในแตละระดบ โดยการใหความรนนจะตองแยกหวขอส าหรบแตละบทบาทใหชดเจน เพอใหแตละบทบาทสามารถน าเอามาตรฐานฯ ไปปฏบตไดตรงตามบทบาทและหนาทของตนเอง เชน ผดแลระบบฯ ควรจะไดรบความรเรองเกยวกบมาตรฐานและแนวปฏบตตางๆ ทเกยวของกบผดแลระบบฯ เปนตน หากใหความรและสรางความเขาใจใหแตละบทบาทอยางถกตองและเหมาะสม จะสงผลใหการด าเนนการระบบบรหารจดการความมนคงปลอดภยสารสนเทศขององคกร สามารถด าเนนไปในทศทางทถกตอง

Page 155: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

139

2) ควรจะมการสรางความรความเขาใจใหกบบคลากรในองคกร เกยวกบนโยบาย, ขนตอนปฏบต และเปาหมายของขององคกรในการเขารบการขอรบรองมาตรฐาน มการประชาสมพนธอยางเปนลายลกษณอกษรทชดเจน และประกาศไปทวทงองคกร เพอสรางการรบรใหกบบคลากรในองคกรและสามารถปฏบตไดอยางถกตองเหมาะสมตอไป

5.2.1.3 ความตระหนกถงภยคกคามและชองโหว

1) ควรมการประชาสมพนธและใหความรเกยวกบความมนคงปลอดภยสารสนเทศและการสรางความตระหนกถงภยคกคามใหกบบคลากรในทกระดบ

2) ควรมการทดสอบความพรอมของบคลากรโดยการจ าลองสถานการณ (Cyber Drill หรอ Cyber Readiness Assessment) อยเสมอ

5.2.1.4 นโยบายขององคกร

1) องคกรฯ มการด าเนนการควบคมความมนคงปลอดภยสารสนเทศตามระเบยบทางราชการ ซงมครอบคลมความตองการขนพนฐานของมาตรฐาน ถงอยางไรกตามองคกรควรตรวจสอบและควบคมใหการด าเนนการดงกลาวเปนไปอยางสม าเสมอ ทงนเพอประโยชนสงสดขององคกร นอกเหนอจากการผานการรบรองตามมาตรฐานฯ

2) องคกรฯ มการด าเนนการตามมาตรการควบคมภายในซงสอดคลองกบขอก าหนดของมาตรฐาน มเพยงแตมาตรการควบคมทมการประกาศใชใหมในมาตรฐาน คอ เรองนโยบายการใชงานอปกรณโมบาย และการบรหารโครงการในมตดานความมนคงปลอดภยสารสนเทศทยงไมไดมการด าเนนการซงควรปรบปรงเพมเตม

3) องคกรจะตองตดตามรายงานผลการด าเนนงานและผลการประเมนผล และจดใหมการตรวจสอบภายใน จากนนจงน าผลการตดตามประเมนผลและการตรวจสอบภายในรายงานตอผบรหารเพอใหพจารณาและสงการปรบปรงแกไข

4) องคกรฯ ไดมการจดท าขอก าหนดและนโยบายความมนคงปลอดภยสารสนเทศส าหรบองคกรฯ แตการทบทวนและการปรบปรงนโยบายความมนคงปลอดภยสารสนเทศในปทผานมายงไมไดมการด าเนนการ ควรมการทบทวนและปรบปรงนโยบายฯ อยางนอยปละ 1 ครง

5.2.1.5 การประยกตใชมาตรฐานและกฎหมายทเกยวของ

1) การด าเนนงานขององคกรฯ ยงด าเนนการตามเวอรชนเกาซงยงไมมการก าหนดถงหวขอมาตรฐานบางขอไว มาตรฐานบางขอจงยงไมไดด าเนนการอยางชดเจน ควรจะมการ

Page 156: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

140

ทบทวนและปรบปรงรายละเอยดของการด าเนนงาน เพอใหเปนไปตามขอก าหนดในมาตรฐานเวอรชนใหม

2) ควรด าเนนการดานการตดตาม การตรวจสอบ และปองกนดานความมนคงปลอดภยสารสนเทศอยางตอเนอง

3) ควรน ากระบวนการจดการทรพยสนทไดก าหนดไว มาประกาศใชและน ามาด าเนนการอยางตอเนอง

4) การควบคมการเขาถงเครอขาย ควรมการก าหนดสทธการเขาถงใหชดเจนและควรมการบงคบใชอยางตอเนอง

5) ควรควบคมการเขาถงในระดบแอพลเคชน โดยมการควบคมและพจารณาสทธตามกระบวนการควบคมทออกแบบไว

6) องคกรฯ ควรมการก าหนดรายละเอยดการจางในสญญาจางส าหรบผใหบรการ และมการตดตามการใหบรการโดยอาศยกระบวนการจดซอจดจางตามระเบยบราชการ ซงมความสอดคลองกบขอก าหนดของมาตรฐานขนพนฐาน

7) การตรวจสอบและตดตามชองโหวทางเทคนคบนระบบสารสนเทศทส าคญ, การตดตามสมรรถนะระบบสารสนเทศและอปกรณเครอขายทมการด าเนนการเปนประจ าทกสปดาห, การวางแผนการด าเนนการธรกจอยางตอเนองในสวนงานดานเทคโนโลยสารสนเทศ ซงมการเตรยมความพรอมใหกบระบบงานทส าคญ, การตดตามและแกไขอบตการณความมนคงปลอดภยสารสนเทศ ซงมการตดตามรายสปดาห ควรมการตรวจสอบและตดตามอยอยางสม าเสมอ

8) องคกรฯ มการควบคมการเขาถงทางเครอขายโดยผานอปกรณไฟรวอลล แตในดานการก าหนดรายละเอยดการเขาถงยงไมมความชดเจนและการบงคบใชยงไมไดด าเนนการอยางตอเนอง และการควบคมการเขาถงในระดบแอพพลเคชนมการด าเนนการควบคมและมการพจารณาสทธตามกระบวนการควบคมทไดมการออกแบบแลว ส าหรบการควบคมการเขาถงน ควรจะด าเนนการอยางตอเนองและเครงครด เพอปองกนการเขาใชงานจากผทไมเกยวของ

9) การปรบปรงและจดหาระบบสารสนเทศ ควรก าหนดความตองการดานความมนคงปลอดภยสารสนเทศใหมความชดเจน

5.2.1.6 โครงสรางเทคโนโลยสารสนเทศขององคกร

Page 157: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

141

1) การเขารหสลบ (Cryptography) ซงเปนมาตรการควบคมส าหรบการรกษาความลบของขอมล ควรมการก าหนดนโยบายการใชงานมาตรการควบคมดวยรหสลบ และการจดการกญแจรหสลบ

2) การควบคมการเขาถงทางเครอขายโดยผานอปกรณไฟรวอลล ควรก าหนดรายละเอยดการเขาถงยงใหมความชดเจนและควรบงคบใชใหด าเนนการอยางตอเนอง

3) การควบคมการเขาถงในระดบแอพพลเคชนควรมการด าเนนการควบคมและมการพจารณาสทธตามกระบวนการควบคมทไดมการออกแบบแลว

4) การควบคมความมนคงปลอดภยสารสนเทศในระบบเครอขายคอมพวเตอรผานอปกรณไฟรวอลล (Firewall) ควรก าหนดใหมการควบคมและปองกนอยางเหมาะสมสงสดส าหรบตงคาการท างานทางเทคนค

5) องคกรฯ มการปองกนทางกายภาพส าหรบหองเดตาเซนเตอรซงการตดตงระบบควบคมการเขาถง มการควบคมอณหภมและความชน แตในดานการปองกนทางกายภาพส าหรบระบบสารสนเทศ พบวาพนทยงอยในลกษณะเปด อปกรณคอมพวเตอรและเซรฟเวอรไมไดมการตดตงภายในตแรคทสามารถควบคมการเขาถงได รวมถงการควบคมดแลสายเคเบลพบวาองคกรฯ ประสบปญหาสายเคเบลทไมไดมาตรฐาน ซงหากสงเกตจากภายนอกจะพบวาสายมลกษณะปกตแตภายในช ารด ท าใหตองมการเปลยนหรอสลบสายเคเบลจนเปนเหตใหการจดเรยงสายเคเบลไมเปนระเบยบและยากตอการดแลรกษา ควรหารอกบผเกยวของและด าเนนการปรบปรงตอไป

5.2.2 ขอเสนอแนะส าหรบการศกษาเพมเตม

ส าหรบการศกษาวจยเพมเตมในอนาคต ผวจยควรท าการศกษาเพมเตม ดงน

5.2.2.1 ควรท าการสมภาษณผบรหารฝายอนๆ เพมเตม เพอจะไดขอมลทหลากหลายมากขน ในการศกษาครงนไดเลอกผบรหารในฝายทมความเกยวของกบการด าเนนการดานความมนคงปลอดภยสารสนเทศเปนหลก

5.2.2.2 ควรท าการทดสอบความพรอมของบคลากรในองคกรซ า จนกวาจะมนใจวาบคลากรเรมคนเคยและมความตระหนกเกยวกบภยคกคามรปแบบตางๆ มากยงขน โดยอาจจะมการเปลยนรปแบบภยคกคามไปตามกระแส เพอเพมประสบการณใหแกบคลากรในองคกรในการรบมอกบภยเหลานน

Page 158: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

142

รายการอางอง

สออเลกทรอนกส เดชาวต นชาญานนท. (2555). การจดท านโยบายรกษาความมนคงปลอดภยสารสนเทศขององคกร

กรณศกษาส าหรบบรษท สนแพทย จ ากด (โรงพยาบาลสนแพทย). (สารนพนธปรญญามหาบญฑต). มหาวทยาลยเทคโนโลยมหานคร, คณะวทยาการและเทคโนโลยสารสนเทศ. สบคนจาก http://www.msit.mut.ac.th/newweb/phpfile/Thesis/Thesis_2555/105%20การจดท านโยบายรกษาความมนคงปลอดภยสารสนเทศขององคกร.pdf

ณฐธดา แซค. (2556). การพฒนาแนวทางการใชงานเทคโนโลยสารสนเทศใหมความมนคงปลอดภยในสถานศกษาระดบพนฐานตามมาตรฐาน ISO/IEC 27001. (สารนพนธปรญญามหาบญฑต). มหาวทยาลยศรประทม, คณะเทคโนโลยสารสนเทศ. สบคนจาก http://csits.spu.ac.th/publishedPaper/MSIT_2556/55502106_Natthida_MSIT_2556_short%20paper.pdf

คมกฤต ดละลมพะ. (2556). การสรางความมนคงปลอดภยใหกบระบบเทคโนโลยสารสนเทศตามมาตรฐาน ISO 27001 ของบรษท อมฤตแอนแอสโซซเอทสกรปในกรณศกษา. (สารนพนธปรญญามหาบญฑต). มหาวทยาลยเทคโนโลยมหานคร, สาขาวชาเทคโนโลยสารสนเทศ. สบคนจาก http://www.msit.mut.ac.th/newweb/phpfile/Thesis/Thesis_2556/72%20การสรางความมนคงปลอดภยใหกบระบบเทคโนโลยสารสนเทศ.pdf

ศรชช จตรสายชล. (2556). โครงการเตรยมความพรอมการบรหารจดการดานความมนคงปลอดภยระบบสารสนเทศ กรณศกษาหนวยงานของรฐ. (สารนพนธปรญญามหาบญฑต). มหาวทยาลยเทคโนโลยมหานคร, สาขาวชาเทคโนโลยสารสนเทศ. สบคนจากhttp://www.msit.mut.ac.th/newweb/phpfile/Thesis/Thesis_2556/05%20โครงการเตรยมความพรอมการบรหารจดการดานความมนคงปลอดภยระบบสารสนเทศ กรณศกษาหนวยงานของรฐ.pdf

ณฐวฒ วศยทกษณ. (2554). การพฒนานโยบายความมนคงปลอดภยภายใตมาตรฐาน ISO27001 และการบรหารความเสยง มหาวทยาลยกรงเทพ. (สารนพนธปรญญามหาบญฑต).

Page 159: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

143

มหาวทยาลยเทคโนโลยมหานคร, สาขาวชาวศวกรรมเครอขาย. สบคนจาก http://www.msit.mut.ac.th/newweb/phpfile/Thesis/Thesis_2554/102 การพฒนา นโยบายดานความปลอดภยภายใตมาตรฐาน ISO27001 และการบรหารความเสยง มหาวทยาลยกรงเทพ.pdf

ธดา ลมทองวรตน. (2554). การประเมนประสทธผลระบบการควบคมภายในดานสารสนเทศตาม มาตรฐานการรกษาความปลอดภยของขอมล ISO27001 : กรณศกษาบรษท บซเนวออนไลน จ ากด (มหาชน). (การคนควาดวยตนเองปรญญามหาบญฑต). มหาวทยาลยหอการคาไทย, สาขาบญช. สบคนจาก http://eprints.utcc.ac.th/2320/3/2320summary.pdf

รงอรณ นรนดรเรอง และ วภา เจรญภณฑารกษ. (2557). การพฒนาแนวทางการจดการความมนคงปลอดภยสารสนเทศ ดานการควบคมการเขาถงระบบสารสนเทศตามมาตรฐาน ISO/IEC 27001:2013 ส าหรบโรงพยาบาลคลองใหญ จงหวดตราด. ใน มหาวทยาลยสโขทยธรรมาธราช, สาขาวทยาศาสตรและเทคโนโลย, การประชมเสนอผลงานวชาการระดบบญฑตศกษา มหาวทยาลยสโขทยธรรมาธราช ครงท 4 (น. 1-14). กรงเทพฯ : ผแตง. สบคนจาก http://www.stou.ac.th/thai/grad_stdy/Masters/%E0%B8%9D%E0%B8%AA%E0%B8%AA/research/4nd/FullPaper/ST/Poster/P-ST%20018%20นายรงอรณ%20%20นรตนเรอง.pdf

ถนอมศร เตมานวตร และ ไสว ศรทองถาวร. การปรบปรงกระบวนการใหบรการงานสารสนเทศ โดย การประยกตใชมาตรฐานบรหารความปลอดภยของขอมลสารสนเทศ ISO/IEC 27001. ใน มหาวทยาลยราชภฏสวนสนนทา, สาขาวชาการจดการคณภาพ, การประชมวชาการมหาวทยาลยกรงเทพ (น. 107-116). กรงเทพฯ : ผแตง. สบคนจาก http://proceedings.bu.ac.th/index.php/com-phocadownload-controlpanel/grc?download=180:iso-iec-27001

ปญญา บญญาภวฒน. (24 กมภาพนธ 2553). มาตรฐานการบรหารจดการความมนคงปลอดภย. สบคนจาก http://itm0069.exteen.com/20090224/entry-2

ฤทธ อนทราวธ. (2556). แนวคดเกยวกบเทคโนโลยสารสนเทศกบความพรอมของกองทพบก. สบคน จาก http://km.rta.mi.th/newkm/index.php/menu-km6/7-towards-the-future

ปรญญา หอมเอนก. (26 มถนายน 2551). 7 ขนตอนในน ามาตรฐาน ISO_IEC 27001 และ ISO_IEC 27002 มาประยกตใชในองคกรเพอใหไดผลในทางปฏบตและสอดคลองกบกฎหมายใน

Page 160: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

144

ปจจบน และ อนาคต. eEnterprise Thailand. สบคนจาก https://www.acisonline.net/?p=1771&lang=th

เศรษฐพงษ มะลสวรรณ. (18 กมภาพนธ 2552). ระบบจดการความมนคงปลอดภยทางขอมล ISO 27001/BS 7799. สบคนจาก http://itm0052.blogspot.com/2009/02/iso-27001bs7799.html

บรรจง หะรงษ. (5 กรกฎาคม 2554). ท าความรจกกบค าจ ากดความทส าคญเกยวกบการประเมนความเสยง. สบคนจาก http://www.tnetsecurity.com/content_audit/risk_def.php

บรรจง หะรงษ. (24 มถนายน 2554). หวใจหลกของ ISMS ขอ 2.2.1 แนวคดการบรหารจดการความมนคงปลอดภยสารสนเทศ. สบคนจาก http://www.tnetsecurity.com/content_audit/pdca_def.php

สพธอ. (2558). APCERT Drill 2015 – “Cyber Attacks beyond Traditional Sources”. สบคนจาก https://www.etda.or.th/content/cyber-attacks-beyond-traditional-sources.html

ไพศาล ลกขณานรกษ. (2555). คมอการจดท าระบบรกษาความมนคงปลอดภยดานสารสนเทศของ กรมทรพยากรน าบาดาล. สบคนจาก http://www.dgr.go.th/isdgr/file/it/risk_it.pdf

A.L Muhsen. (2014). Information Security Management in Palestinian Banking. (Master’s thesis). Retrieved from http://scholar.najah.edu/sites/default/files/Abdellateef%20Muhsen.pdf

M. Karjalainen. (2014). Develoing Information Security Management System. (Bachelor’s thesis). Retrieved from https://www.theseus.fi/bitstream/handle/10024/79945/Mika%20ONT%2018%205%202014.pdf?sequence=1

J.A. Altena. (2012). ISO/IEC 27002 Baseline Selection : Control selection based on effectiveness and cost within a fixed budget. (Master’s thesis). Retrieved from http://is.muni.cz/th/359439/fi_b/Sojcik_-_Tools_for_information_security_management.pdf

JOŽE ŠREKL, & ANDREJKA PODBREGAR. (2014). ENHANCING SAFETY INFORMATION SYSTEMS WITH THE USE ISO/IEC 27000, Safty Engineer (pp. 17-22). Doi:10.7562/SE2014.4.01.03

Page 161: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

145

C.S. Park, S.S Jang, & Y.T Park. (2010). A Study of Effect of Information Security Management System [ISMS] Certification on Organization Performance. IJCSNS International Journal of Computer Science and Network Security, VOL.10 NO.3, 10-21. Retrieved from http://paper.ijcsns.org/07_book/201003/20100303.pdf

ENISA. (2013). Information Security Management System – A case study. Security certification practice in the EU. Retrieved from https://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/security-certification-practice-in-the-eu-information-security-management-systems-a-case-study/at_download/fullReport

BankinfoSecurity. (2015). Bank Plan National Cyber-Attack Drill. Retrieved from http://www.bankinfosecurity.com/interviews/testing-cyber-attack-responses-i-2063

Reuter. (2010). U.S. government prepares for massive drill to test cyber attack response plan. Retrieved from http://www.nydailynews.com/news/money/u-s-government-prepares-massive-drill-test-cyber-attack-response-plan-article-1.443413

Page 162: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

ภาคผนวก

Page 163: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

146

ภาคผนวก ก แนวค าถามประกอบการสมภาษณผบรหาร

Page 164: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

147

แนวค าถามประกอบการสมภาษณผบรหาร องคกรดานการทองเทยวแหงหนง ปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐาน

การบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง

ผใหขอมล...................................................................................... .......................................................... ต าแหนง........................................................................................... ....................................................... งาน................................................................................กอง.... ............................................................... ฝาย................................................................................ดาน.......... ........................................................ วนและเวลาทสมภาษณ............................................................................. ............................................. ประเดนค าถาม 1. ทานมความคดเหนอยางไรตอพนฐานของระบบบรหารจดการความมนคงปลอดภยสารสนเทศขององคกรของทาน

....................................................................................................... .........................................................

................................................................................................................................................................ 2. ทานมความคดเหนอยางไรตอการน าเอาระบบรหารจดการความมนคงปลอดสารสนเทศ (ISO/IEC 27001:2013) มาประยกตใชในองคกรของทาน

................................................................................................................................................................

................................................................................................................................................................ 3. ทานมความคดเหนอยางไรตอประโยชนทองคกรจะไดรบจากการน าระบบบรหารจดการฯ มาใช

กบองคกรของทาน

................................................................................................................................................................

....................................................................................................... ......................................................... 4. หากไมปฏบตตามมาตรฐาน ขอก าหนดตางๆ ทานคดวาองคกรของทานจะไดรบผลกระทบ

อยางไรบาง

....................................................................................................... .........................................................

...............................................................................................................................................................

Page 165: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

148

5. หากองคกรจะตองเขารบการรบรองมาตรฐานฯ ปจจยใดบางทจะสงผลใหองคกรแหงนผานการ

ขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ (ISO/IEC 27001:2013) โดย

พจารณาความส าคญจากปจจยทไดจากกรอบแนวคดการวจยฯ ดงน

Page 166: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

149

ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ

- บคลากรมความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆทเกยวของ ไมเทากน - การประชาสมพนธขอมลทเปนประโยชนใหกบบคลากรไดรบทราบ

การประยกตใชมาตรฐานและกฎหมายทเกยวของ

- น าเอามาตรฐานและกฎหมายทเกยวของดานความมนคงปลอดภยสารสนเทศมาประยกต ใช ในงานขององคกร ท งด าน Hardware, Software และ Network

นโยบายขององคกร

-มการก าหนดนโยบายความมนคงปลอดภยสารสนเทศ ไวเปนสวนหนงของของการขบเคลอนองคกร

-จดท าโครงการเกยวกบความมนคงปลอดภยสารสนเทศ

- จดท าระเบยบ ขอบงคบ และแนวปฏบตทเกยวกบความมนคงปลอดภยสารสนเทศ

โครงสรางเทคโนโลยสารสนเทศขององคกร

-สภาพแวดลอม, Infrastructure และระบบงาน ถกปรบปรงและพฒนาอยบนพนฐานตามมาตรฐานความมนคงปลอดภยสารสนเทศ

การใหความส าคญในการด าเนนการตามมาตรฐานฯ

- ผ บ ร ห า ร ให ก า ร ส น บ ส น น ใน ก า รด าเนนการโครงการเกยวกบความมนคงปลอดภยสารสนเทศในองคกร - บ คลากรในระดบต างๆ ปฏ บ ต ตามขอก าหนดและขนตอนปฏบต

ความตระหนกถงภยคกคามและชองโหว

-องคกรมระบบปองกนภยคกคามและชองโหวจากภายในและภายนอกองคกร

-บคลากรไมตกเปนเหยอจากผไมประสงคดจากเทคนค Social Engineering

ภาพท ก.1 กรอบแนวคดการวจยการเตรยมความพรอมขององคกรเพอขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013

การเตรยมความพรอมของหนวยงานภาครฐ ฯ ในการเขารบการรบรอง

มาตรฐาน ISO/IEC 27001:2013

Page 167: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

150

ตารางท ก.1

โปรดพจารณาเรยงล าดบความส าคญตามล าดบ 1-6 (โดยล าดบท 1 หมายถงส าคญมากทสด และล าดบท 6 หมายถงส าคญนอยทสด)

ล าดบ ปจจย ความส าคญ

1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ

2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ

3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ

4. นโยบายขององคกร

5. โครงสรางเทคโนโลยสารสนเทศขององคกร

6. ความตระหนกถงภยคกคามและชองโหว

6. ขอเสนอแนะเพมเตม

................................................................................................................................................................

....................................................................................................... .........................................................

Page 168: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

151

ภาคผนวก ข แนวค าถามประกอบการสมภาษณผเชยวชาญจากภายนอก

Page 169: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

152

แนวค าถามประกอบการสมภาษณผเชยวชาญจากภายนอก ปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐาน

การบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง

ผใหขอมล...................................................................................... .......................................................... ต าแหนง........................................................................................... ....................................................... องคกร..................................................................................................................................................... วนและเวลาทสมภาษณ..........................................................................................................................

ประเดนค าถาม 1. ทานมความคดเหนอยางไรตอพนฐานของระบบบรหารจดการความมนคงปลอดภยสารสนเทศขององคกรแหงน ................................................................................................................................................................................................................................................................................................................................ 2. ทานมความคดเหนอยางไรตอการน าเอาระบบรหารจดการความมนคงปลอดสารสนเทศ (ISO/IEC 27001:2013) มาประยกตใชในองคกรแหงน

................................................................................................................................................................

................................................................................................................................................................ 3. หากองคกรจะตองเขารบการรบรองมาตรฐานฯ ปจจยใดบางทจะสงผลใหองคกรแหงนผานการ

ขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ (ISO/IEC 27001:2013) โดย

พจารณาความส าคญและความพรอมขององคกร จากปจจยทไดจากกรอบแนวคดการวจยฯ ดงน

Page 170: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

153

ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ

- บคลากรมความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆทเกยวของ ไมเทากน - การประชาสมพนธขอมลทเปนประโยชนใหกบบคลากรไดรบทราบ

การประยกตใชมาตรฐานและกฎหมายทเกยวของ

- น าเอามาตรฐานและกฎหมายทเกยวของดานความมนคงปลอดภยสารสนเทศมาประยกต ใช ในงานขององคกร ท งด าน Hardware, Software และ Network

นโยบายขององคกร

-มการก าหนดนโยบายความมนคงปลอดภยสารสนเทศ ไวเปนสวนหนงของของการขบเคลอนองคกร

-จดท าโครงการเกยวกบความมนคงปลอดภยสารสนเทศ

- จดท าระเบยบ ขอบงคบ และแนวปฏบตทเกยวกบความมนคงปลอดภยสารสนเทศ

โครงสรางเทคโนโลยสารสนเทศขององคกร

-สภาพแวดลอม, Infrastructure และระบบงาน ถกปรบปรงและพฒนาอยบนพนฐานตามมาตรฐานความมนคงปลอดภยสารสนเทศ

การใหความส าคญในการด าเนนการตามมาตรฐานฯ

- ผ บ ร ห า ร ให ก า ร ส น บ ส น น ใน ก า รด าเนนการโครงการเกยวกบความมนคงปลอดภยสารสนเทศในองคกร - บ คลากรในระดบต างๆ ปฏ บ ต ตามขอก าหนดและขนตอนปฏบต

ความตระหนกถงภยคกคามและชองโหว

-องคกรมระบบปองกนภยคกคามและชองโหวจากภายในและภายนอกองคกร

-บคลากรไมตกเปนเหยอจากผไมประสงคดจากเทคนค Social Engineering

ภาพท ข.1 กรอบแนวคดการวจยการเตรยมความพรอมขององคกรเพอขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013

การเตรยมความพรอมของหนวยงานภาครฐ ฯ ในการเขารบการรบรอง

มาตรฐาน ISO/IEC 27001:2013

Page 171: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

154

ตารางท ข.1

โปรดพจารณาเรยงล าดบความส าคญตามล าดบ 1-6 (โดยล าดบท 1 หมายถงส าคญมากทสด และล าดบท 6 หมายถงส าคญนอยทสด)

ล าดบ ปจจย ความส าคญ

1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ

2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ

3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ

4. นโยบายขององคกร

5. โครงสรางเทคโนโลยสารสนเทศขององคกร

6. ความตระหนกถงภยคกคามและชองโหว

Page 172: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

155

155

ตารางท ข.2 โปรดพจารณาปจจยความพรอมขององคกรโดยใหคะแนน 1-5 (โดย 1 หมายถงนอยทสด และ 5 หมายถงมากทสด)

ล าดบ ปจจย ความพรอม

5

มากทสด

4

มาก

3

ปานกลาง

2

นอย

1

นอยทสด

1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ

2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ

3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ

4. นโยบายขององคกร

5. โครงสรางเทคโนโลยสารสนเทศขององคกร

6. ความตระหนกถงภยคกคามและชองโหว

Page 173: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

156

156

4. ทานคดวานอกเหนอจากปจจยขางตนแลว มปจจยอนใดบางทจะสงผลใหองคกรไดรบประโยชนจากการน าเอามาตรฐานความมนคงปลอดภยสารสนเทศ (ISO/IEC 27001 : 2013) มาประยกตใช

................................................................................................................................................................

................................................................................................................................................................ 5. หากองคกรไดรบการรบรองมาตรฐานฯ แลว เพอใหการด าเนนงานเกดผลสมฤทธและด าเนนการโดยยงยน ทานคดวาองคกรควรมมาตรการอยางไรบาง

................................................................................................................................................................

....................................................................................................... ......................................................... 6. ขอเสนอแนะเพมเตม

................................................................................................................................................................

................................................................................................................................................................

Page 174: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

157

157

ภาคผนวก ค แนวค าถามประกอบการสมภาษณผดแลระบบเทคโนโลยสารสนเทศ

Page 175: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

158

158

แบบประเมนความพรอมและความส าคญของปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง

ส าหรบผดแลระบบเทคโนโลยสารสนเทศ ค าชแจง : ขอความกรณาทานประเมนความพรอมและความส าคญของปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ความพรอม หมายถง ทานคดวาองคกรมความพรอมหรอตวทานมความพรอม มความร หรอมความสามารถในการน าไปปฏบตในระดบใด ความส าคญ หมายถง ทานใหความส าคญในระดบใด หมายเหต : แบบสอบถามนไมมผลใดๆ ตอการปฏบตงานของทาน ขอความกรณาทานตอบตามความเปนจรงมากทสด เพอประโยชนในการปรบปรงและเตรยมความพรอมขององคกรตอไป

ตารางท ค.1 กรณาท าเครองหมาย ลงในชอง ความพรอม และ ความส าคญ ทตรงตามความคดเหนของทาน

Page 176: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

159

159

ปจจยทเกยวของ

ความพรอม ความส าคญ มากทสด 5

มาก 4

ปานกลาง

3

นอย 2

นอยทสด 1

มากทสด 5

มาก 4

ปานกลาง

3

นอย 2

นอยทสด 1

ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 1.ความรเกยวกบเกยวกบมาตรฐานและกฎหมายตางๆ เกยวกบการบรหารจดการความมนคงปลอดภยสารสนเทศ 2.ปฏบตตามนโยบายและแนวปฏบตทระบไวในเอกสารแนวนโยบายและแนวปฏบตขององคกรตามมาตรฐานการจดการความมนคงปลอดภยสารสนเทศ 3.การอบรมใหความรหวขอระบบบรหารจดการความมนคงปลอดภยสารสนเทศ 4.สามารถน าสงททานไดจากการอบรมสามารถประยกตใชกบงานของทาน 5.องคกรประชาสมพนธเกยวกบการจดท าระบบบรหารจดการความมนคงปลอดภยสารสนเทศ 6.เขารวมประชมหรอหารอกบคณะท างานความมนคงปลอดภยสารสนเทศอยเสมอ 7.การประชาสมพนธจากองคกรอยอยางสม าเสมอเพอสรางความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆทเกยวของกบความมนคงปลอดภยสารสนเทศ

การประยกตใชมาตรฐานและกฎหมายทเกยวของ 1.ปฏบตตามแนวนโยบายและแนวปฏบตตามระบบบรหารจดการความมนคงปลอดภยสารสนเทศขององคกร เมอมการด าเนนการเกยวกบงานททานรบผดชอบ

Page 177: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

160

160

ปจจยทเกยวของ

ความพรอม ความส าคญ มากทสด 5

มาก 4

ปานกลาง

3

นอย 2

นอยทสด 1

มากทสด 5

มาก 4

ปานกลาง

3

นอย 2

นอยทสด 1

2.ด าเนนการควบคมเอกสาร เชน มการจดชนความลบของเอกสาร หรอมการขออนมต change กอนการด าเนนการเกยวกบงานททานรบผดชอบอยางสม าเสมอ 3.การตดตาม ตรวจสอบ และหาแนวทางปองกนระบบความมนคงปลอดภยสารสนเทศของระบบททานรบผดชอบ เชนมการ monitor หรอจดท ารายงานประจ าสปดาหหรอประจ าเดอน อยางสม าเสมอ 4.การหาแนวทางการปองกนภยคกคามดานความมนคงปลอดภยสารสนเทศรวมกบผทเกยวของอยอยางสม าเสมอ 5.ด าเนนการตรวจสอบทรพยสนท เกยวของกบเทคโนโลยสารสนเทศททานรบผดชอบอยอยางสม าเสมอ 6.การก าหนดสทธในการเขาถงอปกรณเครอขาย 7.ในกรณททานเปดสทธใหกบผอนเขาถงขอมลในระดบ application ทานไดมการควบคมและมการพจารณาสทธ 8.ในการปรบปรงและจดหาระบบสารสนเทศ มการก าหนดความตองการดานความมนคงปลอดภยสารสนเทศในเอกสารรายละเอยดขอก าหนดดวยเสมอ 9.การวางแผนและวเคราะหถงแนวโนมรวมถงสามารถแกไขปญหาดานความมนคงปลอดภยสารสนเทศ อยางเปนระบบ 10.การน าเอามาตรฐานและกฎหมายท เกยวของดานความมนคงปลอดภย

Page 178: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

161

161

ปจจยทเกยวของ

ความพรอม ความส าคญ มากทสด 5

มาก 4

ปานกลาง

3

นอย 2

นอยทสด 1

มากทสด 5

มาก 4

ปานกลาง

3

นอย 2

นอยทสด 1

สารสนเทศมาประยกตใชกบงานดานเทคโนโลยสารสนเทศขององคกร โดยมการทบทวน ตดตาม และตรวจสอบ อยางตอเนอง การใหความส าคญในการด าเนนการตามมาตรฐานฯ 1.การสนบสนนจากผบรหาร สามารถชวยใหการด าเนนการโครงการความมนคงปลอดภยสารสนเทศสามารถบรรลตามวตถประสงค 2.การใหความรวมมอจากบคลากรในองคกร ในการปฏบตตามขอก าหนดและขนตอนปฏบตทเกยวกบความมนคงปลอดภยสารสนเทศ 3.การด าเนนการบรหารความเสยงดานความมนคงปลอดภยสารสนเทศ 4.การด าเนนการตดตาม การวดผล การวเคราะหและการประเมนผล ควรปรบปรงเพอใหสอดคลองกบขอก าหนดในมาตรฐานเวอรชนใหม 5.เมอพบวาระบบททานรบผดชอบมชองโหวเกดขน ทานไดท าการปรบปรงชองโหวอยเสมอ 6.การปรบปรงชองโหวทางเทคนคควรมการบรณาการและท าความเขาใจรวมกนจากทกสวนทเกยวของ เพอปองกนผลกระทบทอาจจะเกดจากการปรบปรงดงกลาว 7.การวเคราะหแนวโนมถงปญหาดานเทคโนโลยสารสนเทศทเกดขนในองคกร 8.การด าเนนการปรบปรงการควบคมการปฏบตตามกฎ ระเบยบและกฎหมายควร

Page 179: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

162

162

ปจจยทเกยวของ

ความพรอม ความส าคญ มากทสด 5

มาก 4

ปานกลาง

3

นอย 2

นอยทสด 1

มากทสด 5

มาก 4

ปานกลาง

3

นอย 2

นอยทสด 1

มการปรบปรงใหสอดคลองกบมาตรฐานเวอรชนใหม 9.บคลากรทกระดบในองคกรใหความส าคญตอการด าเนนการตามมาตรฐาน โดยสามารถน าไปปฏบตไดอยางถกตองและเหมาะสม นโยบายขององคกร 1.การก าหนดนโยบายความมนคงปลอดภยสารสนเทศ ไวเปนสวนหนงของของการขบเคลอนองคกร 2.การด าเนนการโครงการเกยวกบระบบบรหารจดการความมนคงปลอดภยสารสนเทศ 3.การจดท าระเบยบ ขอบงคบ และแนวปฏบตเกยวกบความมนคงปลอดภยสารสนเทศ 4.การจดประชมเพอรายงานผลการด าเนนการโครงการเกยวกบการบรหารจดการความมนคงปลอดภยสารสนเทศตอฝายบรหาร 5.มาตรการควบคมทมการประกาศใชใหม เชน นโยบายการใชงานอปกรณโมบาย และการบรหารโครงการในมตดานความมนคงปลอดภยสารสนเทศ 6.การด าเนนการควบคมความมนคงปลอดภยสารสนเทศตามระเบยบราชการ เก ยวกบความม นคงปลอดภ ยด านทรพยากรบคคล (Human Resource Security)

Page 180: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

163

163

ปจจยทเกยวของ

ความพรอม ความส าคญ มากทสด 5

มาก 4

ปานกลาง

3

นอย 2

นอยทสด 1

มากทสด 5

มาก 4

ปานกลาง

3

นอย 2

นอยทสด 1

7.การน าเอามาตรฐานดานความมนคงปลอดภยสารสนเทศ ระบเปนนโยบายระดบองคกร โครงสรางเทคโนโลยสารสนเทศขององคกร 1.สภาพแวดลอม, Infrastructure และระบบงาน ควรปรบปรงและพฒนาอยบนพนฐานตามมาตรฐานความมนคงปลอดภยสารสนเทศ 2.การก าหนดสทธการเขาถงยงระบบเครอขายและระบบงานตางๆ ขององคกร 3.การควบคมการเขาถงในระดบแอพลเคชน โดยมการควบคมและพจารณาสทธตามกระบวนการควบคมทออกแบบไว 4.การปองกนความลบของขอมลในระดบเครอขาย 5.การปองกนทางกายภาพส าหรบหองเดตาเซนเตอร 6.การควบคมดแลสายเคเบล เชน การแกปญหาสายเคเบลไมไดมาตรฐาน การจดเรยงสายเคเบลใหเปนระเบยบ 7.การก าหนดมาตรการควบคมและปองกนความมนคงปลอดภยสารสนเทศระดบเครอขายในทางเทคนค 8.องคกรมโครงสรางเทคโนโลยสารสนเทศขององคกรเปนไปตามมาตรฐานดานความมนคงปลอดภยสานสนเทศ

ความตระหนกถงภยคกคามและชองโหว

Page 181: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

164

164

ปจจยทเกยวของ

ความพรอม ความส าคญ มากทสด 5

มาก 4

ปานกลาง

3

นอย 2

นอยทสด 1

มากทสด 5

มาก 4

ปานกลาง

3

นอย 2

นอยทสด 1

1.องคกรมระบบปองกนภยคกคามและชองโหวจากภายในและภายนอกองคกรทงในรปแบบ hardware และ software 2.ความตระหนกถงภยคกคามและชองโหวทางดานเทคโนโลยสารสนเทศของบคลากรในองคกร 3.การประชาสมพนธเรองภยคกคามและชองโหวดานเทคโนโลยสารสนเทศใหกบบคลากรในองคกรรบทราบ เพอใหบคลากรไมตกเปนเหยอของภยคกคามตางๆ ได 4.การประชาสมพนธใหบคลากรรบทราบเกยวกบภยคกคามรปแบบตางๆ จะชวยสรางความตระหนกใหกบบคลากรในองคกรเกยวกบภยดานความมนคงปลอดภยสารสนเทศได 5.องคกรมระบบปองกนภยคกคามและชองโหวตางๆรวมถงบคลากรมความตระหนกถงภยคกคามรปแบบตางๆ และไมตกเปนเหยอจากภยดงกลาว

Page 182: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

165

165

ภาคผนวก ง ผลการสมภาษณผบรหาร

Page 183: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

166

166

ตารางท ง.1 ผลการสมภาษณผบรหาร

ล าดบ หนวยงาน ความพรอม ความส าคญ 1 ฝายทรพยากร

บคคล องคกรยงขาดการประชาสมพนธใหพนกงานไดรบทราบขอมลและยงขาดความเขาใจเกยวกบความมนคงปลอดภยสารสนเทศ สวนใหญจะยงไมเคยรบรถงขนตอนและกระบวนการ รวมถงรายละเอยดตางๆ ซงองคกรจะไดรบประโยชนจากการบรหารจดการความมนคงปลอดภยสารสนเทศเปนอยางยง หากมการประชาสมพนธโดยใชวธการและภาษาทเขาใจงายและสนบสนนสงเสรมใหน ามาปฏบตอยางจรงจง จะท าใหองคกรมกรอบในการด าเนนงานมากขนและปองกนไม ใหพนกงานใช เทคโนโลยสารสนเทศในทางทผดอกดวย และหากองคกรไมปฏบตตามมาตรฐานและขอก าหนดดางๆ อาจจะสงผลตอภาพลกษณขององคกรได โดยสรปควรมการประชาสมพนธ และควรมการสรางความเขาใจใหใหพนกงานในองคกรทราบเพอน าไปสการเตรยมความพรอมขององคกรตอไป

มการล าดบความส าคญดงน 1.การใหความส าคญในการด าเนนการตามมาตรฐานฯ 2.ความตระหนกถงภยคกคามและชองโหว 3.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 4.นโยบายขององคกร 5.โครงสรางเทคโนโลยสารสนเทศขององคกร 6.การประยกตใชมาตรฐานและกฎหมายทเกยวของ

2 ฝายวางแผน ปจจบนองคกรมมาตรฐานความปลอดภยทสงมาก มการเขารหสการใชงานทกครง รวมถงการหามไมใหผใชงานตดตงโปรแกรมหรอเปลยนแปลงการตงคาในเครองเอง โดยจะตองแจงผดแลระบบเพอด าเนนการใหเทานน แตระบบยงไมเปนมาตรฐานเดยวกน บางระบบสามารถออกจากระบบเองอตโนมต บางระบบกไมออกจากระบบให รวมถงยงมการใชงานบญชผใชทหลากหลาย ท าใหยากตอการจดจ า เหนควรทจะน าเอาระบบ

มการล าดบความส าคญดงน 1.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 2.นโยบายขององคกร 3.การใหความส าคญในการด าเนนการตามมาตรฐานฯ 4.ความตระหนกถงภยคกคามและชองโหว 5.โครงสรางเทคโนโลยสารสนเทศขององคกร

Page 184: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

167

167

ตารางท ง.1 (ตอ) ผลการสมภาษณผบรหาร ล าดบ หนวยงาน ความพรอม ความส าคญ

บรหารจดการความมนคงปลอดภยสารสนเทศ ( ISO/IEC 27001) มาประยกตใชในองคกร เพอใหมมาตรฐานในการด าเนนงานรวมถงการควบคมเรองเทคโนโลยสารสนเทศใหเปนไปในทศทางเดยวกน ซงองคกรสามารถควบคมการกระท าความผดตางๆ ทเกยวของกบสารสนเทศและควบคมปญหาไวรส/การเจาะขอมลองคกรไดเปนอยางดอกดวย หากองคกรไมสามารถปฏบตตามมาตรฐานความมนคงปลอดภยสารสนเทศได อาจจะเปนการลดความนาเชอถอขององคกรลง ขาดความเปนองคกรชนน าทมมาตรฐานสากลดงเชนองคกรอนๆ ไมเกดการพฒนาทางวฒนธรรมในการใชสารสนเทศยคใหม เกดปญหาความไมปลอดภยในการใชงานสารสนเทศภายในองคกร รวมถงอาจมโอกาสกระท าผดโดยไมไดตงใจหรอไมรตวจากผใชงานไดในระดบสง โดยสรปองคกรมพนฐานความพรอมทจะด าเนนการตามมาตรฐานอยแลว เนองจากม Infrastructure ทมความพรอมอยแลว เพยงแตควรน าเอามาตรฐานสากลมาประยกตใชและมการทบทวนกระบวนการเดมเพมเตม

6.การประยกตใชมาตรฐานและกฎหมายทเกยวของ

3 ฝายบรหารทวไป

ยงขาดการประชาสมพนธใหพนกงานในองคกรรบทราบถงการด าเนนการบรหารจดการดานความมนคงปลอดภยสารสนเทศทวทงองคกร อาจจะเปนเพราะเปนเรองทเกยวกบเทคโนโลยสารสนเทศและมการด าเนนการในขอบเขตเฉพาะสวน ซงจะไมคอยไดเกยวของกบทางดานบรหารมาก

มการล าดบความส าคญดงน 1.นโยบายขององคกร 2.โครงสรางเทคโนโลยสารสนเทศขององคกร 3.การใหความส าคญในการด าเนนการตามมาตรฐานฯ

Page 185: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

168

168

ตารางท ง.1 (ตอ) ผลการสมภาษณผบรหาร ล าดบ หนวยงาน ความพรอม ความส าคญ

นก ไมมความคดเหนเพมเตมเนองจากไมมความรเกยวกบความมนคงปลอดภยสารสนเทศเทาทควร และมองวาเปนหนาทของผทเกยวของกบดานเทคโนโลยสารสนเทศเทานนทจะตองด าเนนการดงกลาว

4.ความตระหนกถงภยคกคามและชองโหว 5.การประยกตใชมาตรฐานและกฎหมายทเกยวของ 6.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ

4 ส านกเทคโนโลยสารสนเทศ

(กลมฐานขอมลการตลาด)

องคกรมความมนคงปลอดภยสารสนเทศคอขางเขมแขงด หากน าเอามาตรฐานความมนคงปลอดภยสารสนเทศ ( ISO/ IEC 27001) มาประยกตใชเพมเตมจะชวยเพมความปลอดภยดานสารสนเทศใหมประสทธภาพมากยงขน อกทงยงเปนการสรางความมนใจและสรางความนาเชอถอใหกบองคกรมากยงขน โดยภาพรวมองคกรมความมนคงปลอดภยดานสารสนเทศอยแลว

มการล าดบความส าคญดงน 1.นโยบายขององคกร 2.โครงสรางเทคโนโลยสารสนเทศขององคกร 3.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 4.ความตระหนกถงภยคกคามและชองโหว 5.การใหความส าคญในการด าเนนการตามมาตรฐานฯ 6.การประยกตใชมาตรฐานและกฎหมายทเกยวของ

5 ส านกเทคโนโลยสารสนเทศ

องคกรควรมการปรบปรงเพอใหไดมาตรฐานกวาน โดยเนนไปทการวางแผนก าหนดนโยบาย ฝายวางแผนตองใหความส าคญในเรองของความมนคงปลอดภยสารสนเทศอยางจรงจง หากมการน าเอามาตรฐานความมนคงปลอดภยสารสนเทศ (ISO/IEC 27001) มาประยกตใชจะชวยใหการบรหารจดการดานความมนคงปลอดภยสารสนเทศดขนและท าใหองคกรมมารฐานมากขนตามหลกสากล เกดความมนคงปลอดภยในการเขาถงสารสนเทศและเครอขาย รวมถงชวยลดความผดพลาดทเกดขนจากระบบสารสนเทศและการสอสาร ซงผลกระทบทจะเกดขนหากไม

มการล าดบความส าคญดงน 1.นโยบายขององคกร 2.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 3.การใหความส าคญในการด าเนนการตามมาตรฐานฯ 4.การประยกตใชมาตรฐานและกฎหมายทเกยวของ 5.ความตระหนกถงภยคกคามและชองโหว 6.โครงสรางเทคโนโลยสารสนเทศขององคกร

Page 186: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

169

169

ตารางท ง.1 (ตอ) ผลการสมภาษณผบรหาร ล าดบ หนวยงาน ความพรอม ความส าคญ

ด าเนนการตามมาตรฐานฯ นน อาจจะสงผลใหขอมลองคกรรวไหล ขาดการส ารองขอมลและไมทนตอการเปลยนแปลงจากภยทางอเลกทรอนกสทมการพฒนาตามเทคโนโลยทเปลยนแปลงไป ในการเตรยมความพรอมองคกรเพอใหไดรบการรบรองมาตรฐานฯ นน ตองด าเนนการดงน 1.องคกรควรมนโยบายทจะขอรบการรบรองมาตรฐาน เพอใหเกดความชดเจนในการปฏบตและการสนบสนนจากสวนตางๆ 2.สรางความรความเขาใจใหเกดขนในทกระดบ เพอใหเกดการสอสารและความเขาใจทตรงกน ปฏบตเพอไปสจดมงหมายเดยวกนและใหเหนถงประโยชนทจะไดรบในภาพรวม 3.การปฏบตตามมาตรฐานและขอก าหนดจะตองมการปฏบตอยางเครงครดในทกระดบ เมอมนใจวาการปฏบตทกสวนเปนไปตามขอก าหนด ISO/IEC 27001 แลวจงขอรบการรบรอง

6 ฝายตดตามและบรหารความเสยง

ไมแนใจวาองคกรมการปฏบตตามมาตรฐานความมนคงปลอดภยสารสนเทศเพยงพอหรอไม เนองจากมการใชบรการ Outsource เพอปฏบตหนาทเกยวกบเทคโนโลยสารสนเทศ อาจจะไมสามารถควบคมไดอยางทวถง มบางระบบทลมบอยในรอบปทผานมาเชน อเมล เปนตน ซงจะตองเพมความรอบคอบในการก ากบดแลผเกยวของ ไมใหด าเนนการ

มการล าดบความส าคญดงน 1.ความตระหนกถงภยคกคามและชองโหว 2.นโยบายขององคกร 3.โครงสรางเทคโนโลยสารสนเทศขององคกร 4.การใหความส าคญในการด าเนนการตามมาตรฐานฯ

Page 187: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

170

170

ตารางท ง.1 (ตอ) ผลการสมภาษณผบรหาร ล าดบ หนวยงาน ความพรอม ความส าคญ

ใดๆ ทจะกระทบถงระบบสารสนเทศโดยรวม ควรมการตดตามและประเมนผลอยอยางสม าเสมอ และสรางการรบรใหกบพนกงานทวทงองคกร ไมเฉพาะเจาะจงดานไอทแตเพยงอยางเดยว

5.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 6.การประยกตใชมาตรฐานและกฎหมายทเกยวของ

7 ส านกเทคโนโลยสารสนเทศ

(กลมสารสนเทศ

องคกร)

องคกรมการด าเนนการตอพนฐานของระบบบรหารจดการความมนคงปลอดภยสารสนเทศ ใหสอดคลองตามมาตรฐาน ISO/IEC 27001:2013 โดยเปนไปตามทกระทรวงเทคโลยสารสนเทศก ากบองคกรของรฐ เพอใหเกดประโยชนสงสดตอการน าเอามาตรฐานฯ ดงกลาวมาใชในองคกร บคลากรทกระดบจะตองมการน าไปปฏบตอยางจรงจง ซงจะสงผลใหระบบสารสนเทศขององคกรมความพรอมในการใหบรการอยางตอเนองดวยการบรหารจดการอยางเปนระบบททกคนตองปฏบตตามขอก าหนดตางๆ ทเกยวของ หากไมด าเนนการตามมาตรฐานฯ อาจจะกอใหเกดความเสยหายตอทรพยสนรวมถงการใหบรการทางดานเทคโนโลยสารสนเทศ เชน การหยดชะงก การสญเสยขอมล หรรอระบบสารสนเทศในภาพรวมได ในการเตรยมความพรอมขององคกรเพอเขารบการรบรองมาตรฐานฯ นน จ าเปนตองใหผน าสงสดขององคกร (CEO) เหนชอบและใหการสนบสนนในการด าเนนการ จงจะท าใหกระบวนการตางๆ ส าเรจสมบรณแบบ และมแรงผลกดนใหองคกรสามารถขบเคลอนไปอยางมทศทางมากยงขน

มการล าดบความส าคญดงน 1.นโยบายขององคกร 2.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 3.การประยกตใชมาตรฐานและกฎหมายทเกยวของ 4.ความตระหนกถงภยคกคามและชองโหว 5.การใหความส าคญในการด าเนนการตามมาตรฐานฯ 6.โครงสรางเทคโนโลยสารสนเทศขององคกร

Page 188: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

171

171

ตารางท ง.2

ผลรวมความส าคญของปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ประกอบการสมภาษณผบรหาร

ปจจย ทานท 1 ทานท 2 ทานท 3 ทานท 4 ทานท 5 ทานท 6 ทานท 7 ผลรวม

1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 3 1 6 3 2 5 2 22

2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ 6 6 5 6 4 6 3 36

3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ 1 3 3 5 3 4 5 24

4. นโยบายขององคกร 4 2 1 1 1 2 1 12

5. โครงสรางเทคโนโลยสารสนเทศขององคกร 5 5 2 2 6 3 6 29

6. ความตระหนกถงภยคกคามและชองโหว 2 4 4 4 5 1 4 24

Page 189: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

172

ภาคผนวก จ ผลการสมภาษณผเชยวชาญจากภายนอก

ผลจากการสมภาษณผเชยวชาญดานการจดการความมนคงปลอดภยสารสนเทศจาก

ภายนอกองคกร จ านวน 4 ทาน มรายละเอยดดงน ผเชยวชาญจากภายนอกทานท 1 ในมมมองภาพรวมขององคกรมการบรหารจดการความมนคงปลอดภยสารสนเทศใน

ระดบทด แตยงขาดการด าเนนการบางสวนหรอปฏบตยงไมครบถวนตามขนตอนปฏบตทไดวางแผนไว เมอองคกรน าเอามาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ( ISO/IEC 27001) มาใชในองคกรแหงนจะชวยใหองคกรมเอกสารหรอหลกฐานในการด าเนนการตางๆ ดานความมนคงปลอดภยสารสนเทศ ท าใหเมอเกดปญหาสามารถหาสาเหต และยงชวยใหองคกรสามารถปฏบตตามกฎหมายและนโยบายทรฐก าหนดอกดวย

นอกเหนอจากปจจยทผวจยไดศกษามาแลว ไดใหขอเสนอแนะวาในการน าเอามาตรฐานฯ มาประยกตใชนน ผปฏบตควรจะเขาใจบรบทขององคกรและเนนเรองการสงเสรมจากผบรหารสงสดขององคกรในการขบเคลอนการน าเอามาตรฐานฯ สการปฏบตจรง อกทงเพอเกดประโยชนสงสดตอองคกรในระยะยาว ควรมการตดตามผลการปฏบตตามมาตรฐานฯ อยอยางสม าเสมอ เปนไปตาม Plan-Do-Check-Act

โดยผเชยวชาญจากภายนอกทานท 1 ไดใหความเหนเกยวกบความพรอมดงน

Page 190: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

173

ตารางท จ.1 ผลการพจารณาปจจยความพรอมของผเชยวชาญจากภายนอกทานท 1

ปจจย มากทสด

มาก ปานกลาง

นอย นอยทสด

ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ

การประยกตใชมาตรฐานและกฎหมายทเกยวของ

การใหความส าคญในการด าเนนการตามมาตรฐานฯ

นโยบายขององคกร

โครงสรางเทคโนโลยสารสนเทศขององคกร

ความตระหนกถงภยคกคามและชองโหว

ตารางท จ.2 ผลการพจารณาความส าคญปจจยของผเชยวชาญจากภายนอกทานท 1

ปจจย ความส าคญ

1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 2

2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ 3

3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ 6

4. นโยบายขององคกร 5

5. โครงสรางเทคโนโลยสารสนเทศขององคกร 4

6. ความตระหนกถงภยคกคามและชองโหว 1

Page 191: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

174

ผเชยวชาญจากภายนอกทานท 2 การน าเอาระบบบรหารจดการความมนคงปลอดภยสารสนเทศ (ISO/IEC 27001) จะ

ชวยสงเสรมใหระบบเทคโนโลยสารสนเทศมประสทธภาพ เพมความถกตองและแมนย า มหลกฐานเอกสารและกระบวนการชดเจน เมอน ามาประยกตใชกบองคกรจะท าใหองคกรมแนวปฏบตทดเปนไปตามมาตรฐานดานความมนคงปลอดภยสารสนเทศ

นอกเหนอจากปจจยทผวจยไดศกษามาแลว ไดใหขอเสนอแนะวา ในการด าเนนการตามระบบบรหารจดการความมนคงปลอดภยสารสนเทศ ( ISO/IEC 27001) นนควรไดรบการสนบสนนและผลกดนจากผบรหารดวย และหากองคกรผานการรบรองมาตรฐานฯ แลว เพอใหการด าเนนงานเกดผลสมฤทธและการด าเนนการโดยยงยนนน ควรมการทบทวนและตดตามผลการปฏบตอยอยางสม าเสมอ

ตารางท จ.3 ผลการพจารณาปจจยความพรอมของผเชยวชาญจากภายนอกทานท 2

ความพรอม มากทสด

มาก ปานกลาง

นอย นอยทสด

ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ

การประยกตใชมาตรฐานและกฎหมายทเกยวของ

การใหความส าคญในการด าเนนการตามมาตรฐานฯ

นโยบายขององคกร

โครงสรางเทคโนโลยสารสนเทศขององคกร

ความตระหนกถงภยคกคามและชองโหว

Page 192: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

175

ตารางท จ.4 ผลการพจารณาความส าคญปจจยของผเชยวชาญจากภายนอกทานท 2

ปจจย ความส าคญ

1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 2

2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ 6

3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ 5

4. นโยบายขององคกร 4

5. โครงสรางเทคโนโลยสารสนเทศขององคกร 3

6. ความตระหนกถงภยคกคามและชองโหว 1

ผเชยวชาญจากภายนอกทานท 3 องคกรในภาพรวมยงขาดความเขาใจตอความส าคญของการรกษาความมนคงปลอดภย

สารสนเทศ สงผลใหการบรหารจดการยงไมเปนระบบทดพอ เหนควรใหน าเอาระบบบรหารจดการความมนคงปลอดภยสารสนเทศ (ISO/IEC 27001) มาประยกตใชใหเหมาะสมกบองคกรและควรไดรบการสงเสรมจากผบรหารอยางจรงจง

นอกจากปจจยทผวจยไดท าการศกษามาแลว ควรพจารณาถงเรองการเขาใจหวขอบรบทขององคกรและความเปนผน า (Leadership) เพอจะไดใหความส าคญในการก าหนดทศทางและวตถประสงคหรอเปาหมายไดอยางเหมาะสม หากองคกรไดรบการรบรองมาตรฐานแลว เพอใหเกดการปฏบตและองคกรไดรบประโยชนตอเนอง ควรมการผนกกระบวนการและการปฏบตใหกลายเปนสวนหนงของงานทตองด าเนนการ และตองมการตดตามอยอยางสม าเสมอ เพอลดปญหาทของผปฏบตทอาจจะคดวาเปนการเพมภาระงานหรอผบรหารมองวาเปนการเพมคาใชจายขององคกร

Page 193: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

176

ตารางท จ.5 ผลการพจารณาปจจยความพรอมของผเชยวชาญจากภายนอกทานท 3

ความพรอม มากทสด

มาก ปานกลาง

นอย นอยทสด

ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ

การประยกตใชมาตรฐานและกฎหมายทเกยวของ

การใหความส าคญในการด าเนนการตามมาตรฐานฯ

นโยบายขององคกร

โครงสรางเทคโนโลยสารสนเทศขององคกร

ความตระหนกถงภยคกคามและชองโหว

ตารางท จ.6 ผลการพจารณาความส าคญปจจยของผเชยวชาญจากภายนอกทานท 3

ปจจย ความส าคญ

1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 2

2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ 3

3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ 4

4. นโยบายขององคกร 5

5. โครงสรางเทคโนโลยสารสนเทศขององคกร 6

6. ความตระหนกถงภยคกคามและชองโหว 1

Page 194: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

177

ผเชยวชาญจากภายนอกทานท 4 บคลากรในองคกรยงขาดความรและความเขาใจเกยวกบระบบบรหารจดการความ

มนคงปลอดภยสารสนเทศ (ISO/IEC 27001) ขาดการประชาสมพนธใหบคลากรทกระดบไดเขาใจถงกระบวนการตางๆ รวมถงผปฏบตยงขาดความเขาใจกระบวนการท างานและการน าเทคโนโลยทเหมาะสมเขามาใชงานสงผลตอความมนคงปลอดภยสารสนเทศขององคกร การน าเอาระบบบรหารจดการความมนคงปลอดภยสารสนเทศมาประยกตใชจะชวยลดความเสยงตางๆ ทจะเกดข นทงจากเทคโนโลยและบคลากรได และยงสงผลใหองคกรมความเปนระบบมากยงขน

นอกเหนอจากปจจยทผวจยไดท าการศกษามา ยงพบวาองคกรจะไดรบประโยชนจากการน าเอามาตรฐานความมนคงปลอดภยสารสนเทศมากขน หากมการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศอยอยางสม าเสมอ มก าหนดมาตรฐานขนตอนการปฏบตและควรไดรบการสนบสนนจากฝายบรหาร

ตารางท จ.7 ผลการพจารณาปจจยความพรอมของผเชยวชาญจากภายนอกทานท 4

ความพรอม มากทสด

มาก ปานกลาง

นอย นอยทสด

ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ

การประยกตใชมาตรฐานและกฎหมายทเกยวของ

การใหความส าคญในการด าเนนการตามมาตรฐานฯ

นโยบายขององคกร

โครงสรางเทคโนโลยสารสนเทศขององคกร

ความตระหนกถงภยคกคามและชองโหว

Page 195: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

178

ตารางท จ.8 ผลการพจารณาความส าคญปจจยของผเชยวชาญจากภายนอกทานท 4

ปจจย ความส าคญ

1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 3

2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ 4

3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ 2

4. นโยบายขององคกร 6

5. โครงสรางเทคโนโลยสารสนเทศขององคกร 5

6. ความตระหนกถงภยคกคามและชองโหว 1

Page 196: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

179

ตารางท จ.9 ผลรวมการพจารณาความพรอมของปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง โดยผเชยวชาญฯ

ปจจย (พจารณาความพรอม) ทานท

1 ทานท

2 ทานท

3 ทานท

4 ผลรวม

1.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 2 3 2 2 9

2.การประยกตใชมาตรฐานและกฎหมายทเกยวของ 3 3 2 2 10

3.การใหความส าคญในการด าเนนการตามมาตรฐานฯ 1 3 1 4 9

4.นโยบายขององคกร 2 3 2 4 11

5.โครงสรางเทคโนโลยสารสนเทศขององคกร 3 2 3 4 12

6.ความตระหนกถงภยคกคามและชองโหว 2 2 1 3 8

Page 197: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

180

ตารางท จ.10 ผลรวมการพจารณาความส าคญของปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง โดยผเชยวชาญฯ

ปจจย (พจารณาความส าคญ) ทานท

1 ทานท

2 ทานท

3 ทานท

4 ผลรวม

1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 2 2 2 3 9

2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ 3 6 3 4 16

3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ 6 5 4 2 17

4. นโยบายขององคกร 5 4 5 6 20

5. โครงสรางเทคโนโลยสารสนเทศขององคกร 4 3 6 5 18

6. ความตระหนกถงภยคกคามและชองโหว 1 1 1 1 4

Page 198: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

181

ภาคผนวก ฉ ผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ

ผลจากการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ จ านวน 18 ทาน

ประกอบดวยขอค าถามจ านวน 45 ขอ มรายละเอยดดงน ตารางท ฉ.1 ผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ

1.ความรเกยวกบเกยวกบมาตรฐานและกฎหมายตางๆ เกยวกบการบรหารจดการความมนคงปลอดภยสารสนเทศ

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 5.56%(1) 16.67%(3) 72.22%(13) 5.56%(1) 0%(0)

ความส าคญ 22.22%(4) 66.67%(12) 11.11%(2) 0%(0) 0%(0)

2.ปฏบตตามนโยบายและแนวปฏบตทระบไวในเอกสารแนวนโยบายและแนวปฏบตขององคกรตามมาตรฐานการจดการความมนคงปลอดภยสารสนเทศ

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 5.56%(1) 33.33%(6) 55.56%(10) 5.56%(1) 0%(0)

ความส าคญ 38.89%(7) 50%(9) 11.11%(2) 0%(0) 0%(0)

3.การอบรมใหความรหวขอระบบบรหารจดการความมนคงปลอดภยสารสนเทศ

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 5.56%(1) 27.78%(5) 50%(9) 16.67%(3) 0%(0)

ความส าคญ 16.67%(3) 72.22%(13) 11.11%(2) 0%(0) 0%(0)

4.สามารถน าสงททานไดจากการอบรมสามารถประยกตใชกบงานของทาน

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 11.11%(2) 50%(9) 38.89%(7) 0%(0) 0%(0)

ความส าคญ 22.22%(4) 61.11%(11) 16.67%(3) 0%(0) 0%(0)

Page 199: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

182

ตารางท ฉ.1 (ตอ) ผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ

5.องคกรประชาสมพนธเกยวกบการจดท าระบบบรหารจดการความมนคงปลอดภยสารสนเทศ

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 5.56%(1) 27.78%(5) 55.56%(10) 5.56%(1) 5.56%(1)

ความส าคญ 11.11%(2) 66.67%(12) 22.22%(4) 0%(0) 0%(0)

6.เขารวมประชมหรอหารอกบคณะท างานความมนคงปลอดภยสารสนเทศอยเสมอ

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 0%(0) 27.78%(5) 44.44%(8) 16.67%(3) 11.11%(2)

ความส าคญ 5.56%(1) 50%(9) 38.89%(7) 5.56%(1) 0%(0)

7.การประชาสมพนธจากองคกรอยอยางสม าเสมอเพอสรางความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆทเกยวของกบความมนคงปลอดภยสารสนเทศ

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 16.67%(3) 11.11%(2) 44.44%(8) 22.22%(4) 5.56%(1)

ความส าคญ 22.22%(4) 50%(9) 22.22%(4) 5.56%(1) 0%(0)

8.ปฏบตตามแนวนโยบายและแนวปฏบตตามระบบบรหารจดการความมนคงปลอดภยสารสนเทศขององคกร เมอมการด าเนนการเกยวกบงานททานรบผดชอบ

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 11.11%(2) 61.11%(11) 16.67%(3) 11.11%(2) 0%(0)

ความส าคญ 22.22%(4) 66.67%(12) 11.11%(2) 0%(0) 0%(0)

9.ด าเนนการควบคมเอกสาร เชน มการจดชนความลบของเอกสาร หรอมการขออนมต change กอนการด าเนนการเกยวกบงานททานรบผดชอบอยางสม าเสมอ

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 5.56%(1) 50%(9) 27.78%(5) 16.67%(3) 0%(0)

ความส าคญ 22.22%(4) 44.44%(8) 33.33%(6) 0%(0) 0%(0)

Page 200: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

183

ตารางท ฉ.1 (ตอ) ผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ

10.การตดตาม ตรวจสอบ และหาแนวทางปองกนระบบความมนคงปลอดภยสารสนเทศของระบบททานรบผดชอบ เชนมการ monitor หรอจดท ารายงานประจ าสปดาหหรอประจ าเดอน อยางสม าเสมอ

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 33.33%(6) 33.33%(6) 27.78%(5) 5.56%(1) 0%(0)

ความส าคญ 38.89%(7) 44.44%(8) 16.67%(3) 0%(0) 0%(0)

11.การหาแนวทางการปองกนภยคกคามดานความมนคงปลอดภยสารสนเทศรวมกบผทเกยวของอยอยางสม าเสมอ

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 22.22%(4) 27.78%(5) 27.78%(5) 22.22%(4) 0%(0)

ความส าคญ 38.89%(7) 33.33%(6) 22.22%(4) 5.56%(1) 0%(0)

12.ด าเนนการตรวจสอบทรพยสนทเกยวของกบเทคโนโลยสารสนเทศททานรบผดชอบอยอยางสม าเสมอ

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 27.78%(5) 22.22%(4) 33.33%(6) 16.67%(3) 0%(0)

ความส าคญ 33.33%(6) 33.33%(6) 33.33%(6) 0%(0) 0%(0)

13.การก าหนดสทธในการเขาถงอปกรณเครอขาย

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 33.33%(6) 44.44%(8) 11.11%(2) 11.11%(2) 0%(0)

ความส าคญ 55.56%(10) 33.33%(6) 5.56%(1) 5.56%(1) 0%(0)

14.ในกรณททานเปดสทธใหกบผอนเขาถงขอมลในระดบ application ทานไดมการควบคมและมการพจารณาสทธ

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 44.44%(8) 38.89%(7) 11.11%(2) 5.56%(1) 0%(0)

Page 201: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

184

ตารางท ฉ.1 (ตอ) ผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ

ความส าคญ 44.44%(8) 50%(9) 5.56%(1) 0%(0) 0%(0)

15.ในการปรบปรงและจดหาระบบสารสนเทศ มการก าหนดความตองการดานความมนคงปลอดภยสารสนเทศในเอกสารรายละเอยดขอก าหนดดวยเสมอ

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 16.67%(3) 44.44%(8) 27.78%(5) 11.11%(2) 0%(0)

ความส าคญ 22.22%(4) 55.56%(10) 22.22%(4) 0%(0) 0%(0)

16.การวางแผนและวเคราะหถงแนวโนมรวมถงสามารถแกไขปญหาดานความมนคงปลอดภยสารสนเทศ อยางเปนระบบ

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 16.67%(3) 38.89%(7) 33.33%(6) 5.56%(1) 5.56%(1)

ความส าคญ 27.78%(5) 50%(9) 22.22%(4) 0%(0) 0%(0)

17.การน าเอามาตรฐานและกฎหมายทเกยวของดานความมนคงปลอดภยสารสนเทศมาประยกตใชกบงานดานเทคโนโลยสารสนเทศขององคกร โดยมการทบทวน ตดตาม และตรวจสอบ อยางตอเนอง

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 16.67%(3) 38.89%(7) 27.78%(5) 16.67%(3) 0%(0)

ความส าคญ 22.22%(4) 66.67%(12) 11.11%(2) 0%(0) 0%(0)

18.การสนบสนนจากผบรหาร สามารถชวยใหการด าเนนการโครงการความมนคงปลอดภยสารสนเทศสามารถบรรลตามวตถประสงค

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 0%(0) 61.11%(11) 11.11%(2) 11.11%(2) 16.67%(3)

ความส าคญ 38.89%(7) 55.56%(10) 0%(0) 5.56%(1) 0%(0)

19.การใหความรวมมอจากบคลากรในองคกร ในการปฏบตตามขอก าหนดและขนตอนปฏบตทเกยวกบความมนคงปลอดภยสารสนเทศ

Page 202: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

185

ตารางท ฉ.1 (ตอ) ผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 5.56%(1) 27.78%(5) 33.33%(6) 33.33%(6) 0%(0)

ความส าคญ 27.78%(5) 61.11%(11) 5.56%(1) 5.56%(1) 0%(0)

20.การด าเนนการบรหารความเสยงดานความมนคงปลอดภยสารสนเทศ

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 11.11%(2) 44.44%(8) 22.22%(4) 22.22%(4) 0%(0)

ความส าคญ 16.67%(3) 72.22%(13) 5.56%(1) 5.56%(1) 0%(0)

21.การด าเนนการตดตาม การวดผล การวเคราะหและการประเมนผล ควรปรบปรงเพอใหสอดคลองกบขอก าหนดในมาตรฐานเวอรชนใหม

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 11.11%(2) 27.78%(5) 50%(9) 5.56%(1) 5.56%(1)

ความส าคญ 5.56%(1) 50%(9) 44.44%(8) 0%(0) 0%(0)

22.เมอพบวาระบบททานรบผดชอบมชองโหวเกดขน ทานไดท าการปรบปรงชองโหวอยเสมอ

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 22.22%(4) 38.89%(7) 27.78%(5) 11.11%(2) 0%(0)

ความส าคญ 33.33%(6) 50%(9) 16.67%(3) 0%(0) 0%(0)

23.การปรบปรงชองโหวทางเทคนคควรมการบรณาการและท าความเขาใจรวมกนจากทกสวนทเกยวของ เพอปองกนผลกระทบทอาจจะเกดจากการปรบปรงดงกลาว

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 22.22%(4) 38.89%(7) 22.22%(4) 16.67%(3) 0%(0)

ความส าคญ 33.33%(6) 55.56%(10) 11.11%(2) 0%(0) 0%(0)

24.การวเคราะหแนวโนมถงปญหาดานเทคโนโลยสารสนเทศทเกดขนในองคกร

มากทสด มาก ปานกลาง นอย นอยทสด

Page 203: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

186

ตารางท ฉ.1 (ตอ) ผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ

ความพรอม 27.78%(5) 33.33%(6) 11.11%(2) 27.78%(5) 0%(0)

ความส าคญ 27.78%(5) 61.11%(11) 11.11%(2) 0%(0) 0%(0)

25.การด าเนนการปรบปรงการควบคมการปฏบตตามกฎ ระเบยบและกฎหมายควรมการปรบปรงใหสอดคลองกบมาตรฐานเวอรชนใหม

มากทสด(1)

มาก(2) ปานกลาง(3)

นอย(4) นอยทสด(5)

ความพรอม 11.11%(2) 27.78%(5) 44.44%(8) 11.11%(2) 5.56%(1)

ความส าคญ 11.11%(2) 61.11%(11) 22.22%(4) 5.56%(1) 0%(0)

26.บคลากรทกระดบในองคกรใหความส าคญตอการด าเนนการตามมาตรฐาน โดยสามารถน าไปปฏบตไดอยางถกตองและเหมาะสม

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 11.11%(2) 33.33%(6) 22.22%(4) 16.67%(3) 16.67%(3)

ความส าคญ 16.67%(3) 72.22%(13) 11.11%(2) 0%(0) 0%(0)

27.การก าหนดนโยบายความมนคงปลอดภยสารสนเทศ ไวเปนสวนหนงของของการขบเคลอนองคกร

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 11.11%(2) 27.78%(5) 33.33%(6) 16.67%(3) 11.11%(2)

ความส าคญ 16.67%(3) 50%(9) 27.78%(5) 5.56%(1) 0%(0)

28.การด าเนนการโครงการเกยวกบระบบบรหารจดการความมนคงปลอดภยสารสนเทศ

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 5.56%(1) 38.89%(7) 50%(9) 5.56%(1) 0%(0)

ความส าคญ 11.11%(2) 66.67%(12) 22.22%(4) 0%(0) 0%(0)

29.การจดท าระเบยบ ขอบงคบ และแนวปฏบตเกยวกบความมนคงปลอดภยสารสนเทศ

มากทสด มาก ปานกลาง นอย นอยทสด

Page 204: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

187

ตารางท ฉ.1 (ตอ) ผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ

ความพรอม 5.56%(1) 50%(9) 38.89%(7) 5.56%(1) 0%(0)

ความส าคญ 11.11%(2) 55.56%(10) 33.33%(6) 0%(0) 0%(0)

30.การจดประชมเพอรายงานผลการด าเนนการโครงการเกยวกบการบรหารจดการความมนคงปลอดภยสารสนเทศตอฝายบรหาร

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 5.56%(1) 38.89%(7) 22.22%(4) 33.33%(6) 0%(0)

ความส าคญ 11.11%(2) 50%(9) 27.78%(5) 11.11%(2) 0%(0)

31.มาตรการควบคมทมการประกาศใชใหม เชน นโยบายการใชงานอปกรณโมบาย และการบรหารโครงการในมตดานความมนคงปลอดภยสารสนเทศ

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 11.11%(2) 50%(9) 11.11%(2) 27.78%(5) 0%(0)

ความส าคญ 16.67%(3) 61.11%(11) 16.67%(3) 5.56%(1) 0%(0)

32.การด าเนนการควบคมความมนคงปลอดภยสารสนเทศตามระเบยบราชการ เกยวกบความมนคงปลอดภยดานทรพยากรบคคล (Human Resource Security)

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 5.56%(1) 33.33%(6) 33.33%(6) 16.67%(3) 11.11%(2)

ความส าคญ 27.78%(5) 50%(9) 22.22%(4) 0%(0) 0%(0)

33.สภาพแวดลอม, Infrastructure และระบบงาน ควรปรบปรงและพฒนาอยบนพนฐานตามมาตรฐานความมนคงปลอดภยสารสนเทศ

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 11.11%(2) 22.22%(4) 55.56%(10) 11.11%(2) 0%(0)

ความส าคญ 22.22%(4) 61.11%(11) 16.67%(3) 0%(0) 0%(0)

34.การก าหนดสทธการเขาถงยงระบบเครอขายและระบบงานตางๆ ขององคกร

Page 205: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

188

ตารางท ฉ.1 (ตอ) ผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 38.89%(7) 38.89%(7) 22.22%(4) 0%(0) 0%(0)

ความส าคญ 50%(9) 44.44%(8) 5.56%(1) 0%(0) 0%(0)

35.การควบคมการเขาถงในระดบแอพลเคชน โดยมการควบคมและพจารณาสทธตามกระบวนการควบคมทออกแบบไว

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 27.78%(5) 27.78%(5) 44.44%(8) 0%(0) 0%(0)

ความส าคญ 38.89%(7) 55.56%(10) 5.56%(1) 0%(0) 0%(0)

36.การปองกนความลบของขอมลในระดบเครอขาย

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 33.33%(6) 22.22%(4) 38.89%(7) 5.56%(1) 0%(0)

ความส าคญ 61.11%(11) 27.78%(5) 11.11%(2) 0%(0) 0%(0)

37.การปองกนทางกายภาพส าหรบหองเดตาเซนเตอร

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 22.22%(4) 44.44%(8) 33.33%(6) 0%(0) 0%(0)

ความส าคญ 50%(9) 44.44%(8) 5.56%(1) 0%(0) 0%(0)

38.การควบคมดแลสายเคเบล เชน การแกปญหาสายเคเบลไมไดมาตรฐาน การจดเรยงสายเคเบลใหเปนระเบยบ

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 16.67%(3) 38.89%(7) 44.44%(8) 0%(0) 0%(0)

ความส าคญ 38.89%(7) 44.44%(8) 16.67%(3) 0%(0) 0%(0)

39.การก าหนดมาตรการควบคมและปองกนความมนคงปลอดภยสารสนเทศระดบเครอขายในทางเทคนค

Page 206: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

189

ตารางท ฉ.1 (ตอ) ผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 22.22%(4) 44.44%(8) 27.78%(5) 5.56%(1) 0%(0)

ความส าคญ 27.78%(5) 72.22%(13) 0%(0) 0%(0) 0%(0)

40.องคกรมโครงสรางเทคโนโลยสารสนเทศขององคกรเปนไปตามมาตรฐานดานความมนคงปลอดภยสารสนเทศ

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 11.11%(2) 44.44%(8) 33.33%(6) 11.11%(2) 0%(0)

ความส าคญ 27.78%(5) 66.67%(12) 5.56%(1) 0%(0) 0%(0)

41.องคกรมระบบปองกนภยคกคามและชองโหวจากภายในและภายนอกองคกรทงในรปแบบ hardware และ software

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 16.67%(3) 61.11%(11) 16.67%(3) 5.56%(1) 0%(0)

ความส าคญ 44.44%(8) 55.56%(10) 0%(0) 0%(0) 0%(0)

42.ความตระหนกถงภยคกคามและชองโหวทางดานเทคโนโลยสารสนเทศของบคลากรในองคกร

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 11.11%(2) 61.11%(11) 11.11%(2) 11.11%(2) 5.56%(1)

ความส าคญ 27.78%(5) 61.11%(11) 11.11%(2) 0%(0) 0%(0)

43.การประชาสมพนธเรองภยคกคามและชองโหวดานเทคโนโลยสารสนเทศใหกบบคลากรในองคกรรบทราบ เพอใหบคลากรไมตกเปนเหยอของภยคกคามตางๆ ได

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 16.67%(3) 16.67%(3) 44.44%(8) 22.22%(4) 0%(0)

ความส าคญ 22.22%(4) 66.67%(12) 5.56%(1) 5.56%(1) 0%(0)

Page 207: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

190

ตารางท ฉ.1 (ตอ) ผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ

44.การประชาสมพนธใหบคลากรรบทราบเกยวกบภยคกคามรปแบบตางๆ จะชวยสรางความตระหนกใหกบบคลากรในองคกรเกยวกบภยดานความมนคงปลอดภยสารสนเทศได

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 16.67%(3) 22.22%(4) 33.33%(6) 27.78%(5) 0%(0)

ความส าคญ 27.78%(5) 55.56%(10) 16.67%(3) 0%(0) 0%(0)

45.องคกรมระบบปองกนภยคกคามและชองโหวตางๆรวมถงบคลากรมความตระหนกถงภยคกคามรปแบบตางๆ และไมตกเปนเหยอจากภยดงกลาว

มากทสด มาก ปานกลาง นอย นอยทสด

ความพรอม 11.11%(2) 33.33%(6) 38.89%(7) 16.67%(3) 0%(0)

ความส าคญ 38.89%(7) 44.44%(8) 16.67%(3) 0%(0) 0%(0)

ตารางท ฉ.2 สรปผลการตอบแบบประเมนความพรอมและความส าคญของปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ของผดแลระบบฯ

ปจจยทเกยวของ ความพรอม ความส าคญ

1.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 58.57 71.57

2.การประยกตใชมาตรฐานและกฎหมายทเกยวของ 67.00 74.20

3.การใหความส าคญในการด าเนนการตามมาตรฐานฯ 54.11 59.89

4.นโยบายขององคกร 61.33 69.00

5.โครงสรางเทคโนโลยสารสนเทศขององคกร 67.88 77.63

6.ความตระหนกถงภยคกคามและชองโหว 62.80 75.60

Page 208: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

191

ภาคผนวก ช การทดสอบความพรอมของบคลากรในองคกรดวยวธการจ าลองสถานการณ

(Cyber Drill หรอ Cyber Readiness Assessment)

ท าการศกษาความพรอมของบคลากรในองคกรดวยวธการจ าลองสถานการณการถก Phishing โดยผวจยไดท าการสงอเมลใหกบบคลากรในองคกรจ านวนทงสน 1,153 รายชอ โดยมขอความเชญชวนตามภาพท ช.1

ภาพท ช.1 แสดงขอความเชญชวน

หลงจากทผใชงานคลก ทน จะปรากฏหนาเวบดงภาพท ช.2

Page 209: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

192

ภาพท ช.2 แสดงหนา Log in

หลงจากทผใชงานท าการกรอก Username และ Password แลว เมอท าการคลกปม จะปรากฎหนาตอไปดงภาพท ช.3

Page 210: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

193

ภาพท ช.3 แสดงหนา Confirm Password

หลงจากทผใชงานท าการ Comfirm Password แลว เมอท าการคลกปม

จะปรากฏขอความแจงดงภาพท ช.4

Page 211: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

194

ภาพท ช.4 แสดงขอความแจงเตอน

Page 212: โดย ว่าที่ร.ต.หญิงภานุมาศ พระพินิจethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5623036257_2813_1683.pdf · (2) thesis

195

ประวตผเขยน

ชอ วาทร.ต.หญง ภานมาศ พระพนจ วนเดอนปเกด 2 เมษายน 2528 ต าแหนง พนกงานระบบงานคอมพวเตอรระดบ 4 การทองเทยว

แหงประเทศไทย

ผลงานทางวชาการ

ภานมาศ พระพนจ และ วศน หนนภกด (มถนายน 2558). การบรหารจดการความมนคงปลอดภยสารสนเทศเพอเตรยมความพรอมของหนวยงานภาครฐ ในการเขารบการรบรองมาตรฐาน ISO/IEC 27001:2013กรณศกษา องคกรดานการทองเทยวแหงหนง . การประชมวชาการเครอขายงานวจยสาขาการบรหารเทคโนโลยและนวตกรรมครงท 7 หวขอ : การพฒนาเศรษฐกจและสงคมอยางยงยนโดยวทยาศาสตร เทคโนโลย และนวตกรรม (ThaiTIMA The 7th Annual Conference On Technology and Innovation Management)

ประสบการณท างาน 2555 - ปจจบน พนกงานระบบงานคอมพวเตอรระดบ 4

การทองเทยวแหงประเทศไทย

2555 - 2555 นกวชาการคอมพวเตอร ส านกงานปลดกระทรวงพลงงาน

2552 - 2554 วศวกรโครงการ 2 บมจ.ทโอท


การศึกษาความพึงพอใจในการท า ...ethesisarchive.library.tu.ac.th/thesis/2014/TU_2014...2. 3.4 การให บร การซ

การศึกษาความพึงพอใจในการท า ...ethesisarchive.library.tu.ac.th/thesis/2014/TU_2014...2. 3.4 การให บร การซ

PROTECTION OF TRADITIONAL KNOWLEDGE ...ethesisarchive.library.tu.ac.th/thesis/2014/TU_2014...Traditional knowledge, specifically traditional knowledge associated with plant genetic

PROTECTION OF TRADITIONAL KNOWLEDGE ...ethesisarchive.library.tu.ac.th/thesis/2014/TU_2014...Traditional knowledge, specifically traditional knowledge associated with plant genetic

การสร้างชุมชน (community) ใน coworking space, BUILDING ...ethesisarchive.library.tu.ac.th/thesis/2015/TU... · การสร้างชุมชน

การสร้างชุมชน (community) ใน coworking space, BUILDING ...ethesisarchive.library.tu.ac.th/thesis/2015/TU... · การสร้างชุมชน

ผลกระทบสิ่งแวดล้อมของ ...ethesisarchive.library.tu.ac.th/thesis/2015/TU_2015...ผลกระทบส งแวดล อมของเทคโนโลย

ผลกระทบสิ่งแวดล้อมของ ...ethesisarchive.library.tu.ac.th/thesis/2015/TU_2015...ผลกระทบส งแวดล อมของเทคโนโลย

การตัดสินใจ โดย ต้นทุนที่เกี่ยวข้อง

การตัดสินใจ โดย ต้นทุนที่เกี่ยวข้อง

รวมบทความเกี่ยวกับกฎระเบียบในตลาดทุน โดย โครงการจับจ้องมองกฎระเบียบของรัฐ

รวมบทความเกี่ยวกับกฎระเบียบในตลาดทุน โดย โครงการจับจ้องมองกฎระเบียบของรัฐ

TU e-Thesis (Thammasat University)ethesisarchive.library.tu.ac.th/thesis/2017/TU_2017...Ref. code: 25605612040039JID (1) Thesis Title CONSTRUCTION OF MOUSE ANTIBODY LIBRARY BY PHAGE

TU e-Thesis (Thammasat University)ethesisarchive.library.tu.ac.th/thesis/2017/TU_2017...Ref. code: 25605612040039JID (1) Thesis Title CONSTRUCTION OF MOUSE ANTIBODY LIBRARY BY PHAGE

TU e-Thesis (Thammasat University) - Study of agrotourism in ...ethesisarchive.library.tu.ac.th/thesis/2016/TU_2016...Ref. code: 25595802040104TJK (2) ACKNOWLEDGEMENTS I would like

TU e-Thesis (Thammasat University) - Study of agrotourism in ...ethesisarchive.library.tu.ac.th/thesis/2016/TU_2016...Ref. code: 25595802040104TJK (2) ACKNOWLEDGEMENTS I would like

Do range-based estimators improve the performance ...ethesisarchive.library.tu.ac.th/thesis/2016/TU_2016_5802042225_6727_4336.pdfRealized Range -based Volatility Rogers and Satchell

Do range-based estimators improve the performance ...ethesisarchive.library.tu.ac.th/thesis/2016/TU_2016_5802042225_6727_4336.pdfRealized Range -based Volatility Rogers and Satchell

ความหมายเปรียบเทียบ ...ethesisarchive.library.tu.ac.th/thesis/2017/TU_2017_5706033114_73… · Ref. code: 25605706033114RZT (1) ü×a ü ì÷î

ความหมายเปรียบเทียบ ...ethesisarchive.library.tu.ac.th/thesis/2017/TU_2017_5706033114_73… · Ref. code: 25605706033114RZT (1) ü×a ü ì÷î

การศึกษาลักษณะการจ่ายปันผลกับผลการด าเนินงานในอนาคตของ ...ethesisarchive.library.tu.ac.th/thesis/2015/TU... ·

การศึกษาลักษณะการจ่ายปันผลกับผลการด าเนินงานในอนาคตของ ...ethesisarchive.library.tu.ac.th/thesis/2015/TU... ·

New วิเคราะห์พระราชบัญญัติแรงงาน ...ethesisarchive.library.tu.ac.th/thesis/2015/TU_2015... · 2018. 1. 26. · 2558 is considered

New วิเคราะห์พระราชบัญญัติแรงงาน ...ethesisarchive.library.tu.ac.th/thesis/2015/TU_2015... · 2018. 1. 26. · 2558 is considered

เนื้อหาการโพสต์ใน Facebook Fanpage และพฤติกรรมผู้บริโภคethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5702030122_35… ·

เนื้อหาการโพสต์ใน Facebook Fanpage และพฤติกรรมผู้บริโภคethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5702030122_35… ·

การพักงาน - TU e-Thesis (Thammasat ...ethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5601033052_26… · พักงานในระหว่างสอบสวนการกระท

การพักงาน - TU e-Thesis (Thammasat ...ethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5601033052_26… · พักงานในระหว่างสอบสวนการกระท

การศึกษาความพึงพอใจของผู้ใช้ ...ethesisarchive.library.tu.ac.th › thesis › 2015 › TU_2015... · 2017-05-24 · การศึกษาความพึงพอใจของผู้ใช้หลอดไฟ

การศึกษาความพึงพอใจของผู้ใช้ ...ethesisarchive.library.tu.ac.th › thesis › 2015 › TU_2015... · 2017-05-24 · การศึกษาความพึงพอใจของผู้ใช้หลอดไฟ

Models for predicting thermal properties and temperature ...ethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5722040028_4600_2622.pdf · replacement of cement in mass concrete

Models for predicting thermal properties and temperature ...ethesisarchive.library.tu.ac.th/thesis/2015/TU_2015_5722040028_4600_2622.pdf · replacement of cement in mass concrete

ชนชั้นกลางกับการสื่อสาร ...ethesisarchive.library.tu.ac.th › thesis › 2015 › TU_2015...เจาะล ก (In-depth Interview)

ชนชั้นกลางกับการสื่อสาร ...ethesisarchive.library.tu.ac.th › thesis › 2015 › TU_2015...เจาะล ก (In-depth Interview)

งานให้ค าปรึกษาทางธุรกิจ ...ethesisarchive.library.tu.ac.th/thesis/2014/TU_2014...Faculty of Commerce and Accountancy Thammasat University

งานให้ค าปรึกษาทางธุรกิจ ...ethesisarchive.library.tu.ac.th/thesis/2014/TU_2014...Faculty of Commerce and Accountancy Thammasat University

ซอมบี้ไทย สังคมไทย และการเมืองไทย, Reading Thai society ...ethesisarchive.library.tu.ac.th/thesis/2016/TU_2016_5708031041_64… ·

ซอมบี้ไทย สังคมไทย และการเมืองไทย, Reading Thai society ...ethesisarchive.library.tu.ac.th/thesis/2016/TU_2016_5708031041_64… ·

การประเมินความคุ้มค่าทาง ...ethesisarchive.library.tu.ac.th/thesis/2015/TU_2015... · 2017-07-27 · การประเมิน

การประเมินความคุ้มค่าทาง ...ethesisarchive.library.tu.ac.th/thesis/2015/TU_2015... · 2017-07-27 · การประเมิน