โดย ว่าที่ร.ต.หญิงภานุมาศ...
Transcript of โดย ว่าที่ร.ต.หญิงภานุมาศ...
การเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013
กรณศกษาองคกรดานการทองเทยวแหงหนง
โดย
วาทร.ต.หญงภานมาศ พระพนจ
วทยานพนธนเปนสวนหนงของการศกษาตามหลกสตร
วทยาศาสตรมหาบญฑต สาขาวชานโยบายและการบรหารเทคโนโลยสารสนเทศ
วทยาลยนวตกรรม มหาวทยาลยธรรมศาสตร ปการศกษา 2558
ลขสทธของมหาวทยาลยธรรมศาสตร
การเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013
กรณศกษาองคกรดานการทองเทยวแหงหนง
โดย
วาทร.ต.หญงภานมาศ พระพนจ
วทยานพนธนเปนสวนหนงของการศกษาตามหลกสตร
วทยาศาสตรมหาบญฑต สาขาวชานโยบายและการบรหารเทคโนโลยสารสนเทศ
วทยาลยนวตกรรม มหาวทยาลยธรรมศาสตร ปการศกษา 2558
ลขสทธของมหาวทยาลยธรรมศาสตร
THE PREPARATION OF INFORMATION SECURITY MANAGEMENT SYSTEM ISO/IEC 27001:2013 STANDARD CERTIFICATION,
A CASE STUDY OF A TOURISM ORGANIZATION
BY
ACTING 2, LT PANUMART PRAPINIT
A THESIS SUBMITTED IN PARTIAL FULFILLMENT OF THE REQUIREMENTS FOR THE DEGREE OF MASTER OF SCIENCE
INFORMATION TECHNOLOGY POLICY AND MANAGEMENT COLLEGE OF INNOVATION THAMMASAT UNIVERSITY
ACADEMIC YEAR 2015
COPYRIGHT OF THAMMASAT UNIVERSITY
(1)
หวขอวทยานพนธ การเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง
ชอผเขยน วาทร.ต.หญงภานมาศ พระพนจ ชอปรญญา วทยาศาสตรมหาบญฑต สาขาวชา/คณะ/มหาวทยาลย สาขาวชานโยบายและการบรหารเทคโนโลยสารสนเทศ
วทยาลยนวตกรรม มหาวทยาลยธรรมศาสตร
อาจารยทปรกษาวทยานพนธ อาจารย ดร. วศน หนนภกด ปการศกษา 2558
บทคดยอ
งานวจยนมวตถประสงคเพอท าการศกษาปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภ ยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง เพอประเมนความพรอมและเสนอแนวทางในการเตรยมความพรอม โดยระเบยบวธวจยประกอบดวย (1) ศกษามาตรฐานการจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 และกฎหมายท เก ยวของ (2) เกบรวบรวมขอมลเพอว เคราะหสถานะปจจบนขององคกร (3) สมภาษณเชงลกผบรหารและผเชยวชาญ ส ารวจความคดเหนของผดแลระบบและทดสอบความตระหนกดานความมนคงปลอดภยสารสนเทศของบคลากร (4) วเคราะหและประเมนผล (5) สรปผลการวจย
ผลการวจยพบวา องคกรยงไมมความพรอมในการขอรบรองมาตรฐานฯ ซงในภาพรวมมขอก าหนดตามมาตรฐานฯ ทตองแกไขจ านวน 7 ขอ และบคลากรสวนใหญยงขาดความตระหนกดานความมนคงปลอดภยสารสนเทศ โดยปจจยทเกยวของกบการเตรยมความพรอมขององคกรไดแก (1) ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ (2) การประยกตใชมาตรฐานและกฎหมายทเกยวของ (3) การใหความส าคญในการด าเนนการตามมาตรฐานฯ (4) นโยบายขององคกร (5) โครงสรางเทคโนโลยสารสนเทศขององคกร (6) ความตระหนกถงภยคกคามและชองโหว โดยผวจยไดเสนอแนะแนวทางปฏบตใหกบองคกร เพอใหองคกรมความพรอมในการเขารบการรบรองมาตรฐานฯ ตอไป
ค าส าคญ: ISO/IEC 27001:2013, การบรหารจดการความมนคงปลอดภยสารสนเทศ, หนวยงานภาครฐ, องคกรดานการทองเทยว
(2)
Thesis Title THE PREPARATION OF INFORMATION SECURITY MANAGEMENT SYSTEM ISO/ IEC 2 7 0 0 1 :2 0 1 3 STANDARD CERTIFICATION, A CASE STUDY OF A TOURISM ORGANIZATION
Author Acting 2, Lt Panumart Prapinit Degree Master of Science Department/Faculty/University Information Technology Policy and Management
College of Innovation Thammasat University
Thesis Advisor Dr. Wasinee Noonpakdee Academic Years 2015
ABSTRACT
This research aims to study factors influencing the preparation of information security management system ISO/IEC 27001:2013 standard certification, a case study of a tourism organization, to evaluate the rediness of the organization, and to provide a guideline for the preparation of ISO/IEC 27001:2013 standard certification. The research methodology includes : (1) Reviewing ISO/IEC 27001:2013 and related laws, (2) Gathering information to analyze the current state of the organization, (3) Conducting an indepth interview with exexutives and experts, conducting a survey for system admisnistratives, and evaluating the security awareness of staff in the organization, (4) Analyzing and evaluating the results, and (5) Concluding the research.
The results indicate that the organization is not yet ready for ISO/IEC 27001:2013 certification. Generally, there are seven requirements that need to be solved. In addition, most staffs in the organization do not have information security awareness. The factors influencing the preparation ISO/IEC 27001:2013 standard certification are: (1) Understanding of the standards and laws, (2) Application of standards and relevant laws, (3) Emphasizing on standard implementation, (4) Policies, (5) Information technology infrastructure,
(3)
and (6) User awareness of threats and vulnerabilities. Furthurmore, the guideline is proposed for the preparation of ISO/IEC 27001:2013 standard certification.
Keywords: ISO/IEC 27001:2013, Information Security Management System, Government Agency, Tourism Organization
(4)
กตตกรรมประกาศ
ผวจยขอขอบพระคณ อาจารย ดร. วศน หนนภกด อาจารย ดร. มานต สาธตสมตพงษ และ อาจารย ดร. กฤษณา วสมตะนนทน ทกรณาใหค าปรกษา ค าแนะน า และขอเสนอแนะตางๆ ทเปนประโยชนอยางยง ตลอดจนใหความชวยเหลอในการด าเนนงานวจย จนวทยานพนธนส าเรจลลวงไปไดดวยด
ขอขอบพระคณผบรหาร ผเชยวชาญฯ ผดแลระบบฯ และบคลากรทกทานขององคกร
กรณศกษา ทรวมสละเวลาอนมคา เพอใหไดมาซงขอมลประกอบการวจยในครงน ตลอดจนคณาจารยผทรงคณวฒและอาจารยพเศษจากภายนอกทกทาน ทไดถายทอดวชาความร รวมถงประสบการณตางๆ ทเปนประโยชนตอการศกษาหลกสตรนโยบายและการบรหารเทคโนโลยสารสนเทศ วทยาลยนวตกรรม
ขอขอบพระคณบคลากรของวทยาลยนวตกรรมทกทาน ทใหบรการและอ านวยความ
สะดวกตางๆ ตงแตวนแรกจนถงวนนเปนอยางด และเพอนๆ ชาววทยาลยนวตกรรมทกทาน ทงทเคยรวมหองเรยน และรวมท ากจกรรมตางๆ ดวยกน ทใหการสนบสนนและชวยเหลอตลอดระยะเวลาการศกษาน
สดทายน ขอกราบขอบพระคณครอบครว ญาตพนอง และผมอปการะคณทกทาน ท
สงเสรมและเปนก าลงใจ จนมาถงวนแหงความส าเรจอกหนงวนของชวต
วาทร.ต.หญงภานมาศ พระพนจ
(5)
สารบญ หนา
บทคดยอภาษาไทย (1)
บทคดยอภาษาองกฤษ (2)
กตตกรรมประกาศ (4)
สารบญตาราง (8)
สารบญภาพ (12)
บทท 1 บทน า 1
1.1 ความเปนมาและความส าคญ 1 1.2 วตถประสงค 2 1.3 ขอบเขตการวจย 2 1.4 ประโยชนทคาดวาจะไดรบ 2 1.5 นยามศพท 3
บทท 2 วรรณกรรมและงานวจยทเกยวของ 5
2.1 บรบทของงานวจย 5 2.2 แนวคดและทฤษฎทเกยวของ 6
2.2.1 แนวคดการบรหารจดการความมนคงปลอดภยสารสนเทศ 6 2.2.2 มาตรฐานความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2015 7 2.2.3 พระราชกฤษฎกาวาดวยวธการแบบปลอดภยในการท าธรกรรมทาง 21
อเลกทรอนกส พ.ศ. 2553
(6)
2.2.4 แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดาน 21 สารสนเทศของหนวยงานภาครฐพ.ศ. 2553
2.2.5 การควบคมภายใน, การตรวจสอบภายใน, การบรหารความเสยง, 22 บรหารความเนองทางธรกจ และการวเคราะหผลกระทบทางธรกจ ดานเทคโนโลยสารสนเทศ
2.3 ทบทวนวรรณกรรมทเกยวของ 32 2.4 สรปการทบทวนวรรณกรรมทเกยวของและกรอบแนวคดการวจย 44
บทท 3 วธการวจย 53
3.1 ขอบเขตและขนตอนการวจย 53 3.2 การเกบรวบรวมขอมล 56 3.3 เครองมอทใชในการวจย 56 3.4 การวเคราะหและประเมนความพรอม 69 3.5 ระยะเวลาในการวจย 69
บทท 4 ผลการวจยและอภปรายผล 72
4.1 ผลการวจย 72 4.1.1 สรปผลการวเคราะหสถานะและปจจยทเกยวของกบการเตรยมความพรอม 72
ขององคกรฯ ในปจจบนโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 4.1.2 สรปผลการส ารวจความคดเหนและประเมนผลปจจยทเกยวของกบการ 96
เตรยมความพรอมขององคกรในการเขารบการรบรองมาตรฐาน ISO/IEC 27001:2013
4.1.2.1 สรปผลการสมภาษณผบรหาร 96 4.1.2.2 สรปผลการสมภาษณผเชยวชาญดานการจดการความมนคง 100
ปลอดภยสารสนเทศจากภายนอกองคกร 4.1.2.3 สรปผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ 106 4.1.2.4 สรปผลการทดสอบความพรอมของบคลากรในองคกร 107
4.2 อภปรายผล 111
(7)
4.2.1 ความส าคญและความพรอมของปจจยทเกยวของฯ ในมมมองของ 111 ผบรหาร, ผเชยวชาญฯ, ผดแลระบบฯ และบคลากร
4.2.2 ปจจยความพรอมขององคกร เปรยบเทยบกบมาตรฐาน ISO/IEC 27001 118 บทท 5 สรปผลการวจยและขอเสนอแนะ 131
5.1 สรปผลการวจย 131 5.2 ขอเสนอแนะ 135
5.2.1 ขอเสนอแนะส าหรบองคกรเพอเตรยมความพรอมการขอรบรองมาตรฐานฯ 136 5.2.1.1 การใหความส าคญในการด าเนนการตามมาตรฐานฯ 136 5.2.1.2 ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 138 5.2.1.3 ความตระหนกถงภยคกคามและชองโหว 139 5.2.1.4 นโยบายขององคกร 139 5.2.1.5 การประยกตใชมาตรฐานและกฎหมายทเกยวของ 139 5.2.1.6 โครงสรางเทคโนโลยสารสนเทศขององคกร 140
5.2.2 ขอเสนอแนะส าหรบการศกษาเพมเตม 141 รายการอางอง 142
ภาคผนวก
ภาคผนวก ก 146 ภาคผนวก ข 151 ภาคผนวก ค 157 ภาคผนวก ง 165 ภาคผนวก จ 172 ภาคผนวก ฉ 181 ภาคผนวก ช 191
ประวตผเขยน 195
(8)
สารบญตาราง
ตารางท หนา 2.1 ตวอยางผลกระทบตอองคกร (ดานเวลา) 28 2.2 ตวอยางผลกระทบตอองคกร (ดานชอเสยง) 28 2.3 เกณฑระดบความเสยงทยอมรบได 29 2.4 ขนตอนการบรหารตามแนวทาง ISMS 35 2.5 สรปกระบวนการเตรยมความพรอมของหนวยงานดานการบรหารจดการความมนคง 44
ปลอดภยสารสนเทศ จากงานวจยทเกยวของ 2.6 สรปปจจยการเตรยมความพรอมทไดจากการทบทวนวรรณกรรมและงานวจยท 50
เกยวของ 3.1 ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน 57
ISO/IEC 27001:2013 สวนของขอก าหนดระบบบรหารจดการ (Management System Requirements)
3.2 ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตาม 61 มาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภย สารสนเทศ (Information Security Controls)
3.3 เกณฑการประเมนผล 68 3.4 ระยะเวลาในการท าวจย 70 4.1 ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน 73
ISO/IEC 27001:2013 สวนของขอก าหนดระบบบรหารจดการ (Management System Requirements)
4.2 ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน 79 ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
4.3 ปจจยทเกยวของกบการเตรยมความพรอมขององคกรฯ โดยอางองจากผลการ 88 วเคราะหสถานะปจจบนขององคกรอางองตามมาตรฐาน ISO/IEC 27001:2013
4.4 ผลการเรยงล าดบความส าคญของปจจยทเกยวของกบการเตรยมความพรอม 99 ขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภย สารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง
(9)
ประกอบการสมภาษณผบรหาร 4.5 ผลการพจารณาความพรอมของปจจยทเกยวของกบการเตรยมความพรอม 103
ขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภย สารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนงประกอบการสมภาษณผเชยวชาญจากภายนอก
4.6 ผลการเรยงล าดบความส าคญของปจจยทเกยวของกบการเตรยมความพรอม 104 ขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภย สารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนงประกอบการผเชยวชาญจากภายนอก
4.7 สรปผลการตอบแบบประเมนความพรอมและความส าคญของปจจยทเกยวของกบ 105 การเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการ ความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดาน การทองเทยวแหงหนง ส าหรบผเชยวชาญจากภายนอก
4.8 สรปผลการตอบแบบประเมนความพรอมและความส าคญของปจจยทเกยวของกบ 106 การเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการ ความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดาน การทองเทยวแหงหนง ของผดแลระบบฯ
4.9 สรปผลจากการทดสอบความพรอมของบคลากรในองคกรดวยวธการจ าลอง 107 สถานการณ (Cyber Drill หรอ Cyber Readiness Assessment)
4.10 ผลการเรยงล าดบความส าคญของปจจยทเกยวของกบการเตรยมความพรอม 109 ขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภย สารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ในภาพรวมขององคกร (ผบรหาร, ผเชยวชาญฯ, และผดแลระบบฯ)
4.11 ผลการเรยงล าดบความพรอมของปจจยทเกยวของกบการเตรยมความพรอม 110 ขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภย สารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ในภาพรวมขององคกร (ผเชยวชาญฯ, และผดแลระบบฯ)
4.12 ผลการเรยงล าดบความส าคญของปจจยทเกยวของกบการเตรยมความพรอม 113 ขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภย สารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง
(10)
ประกอบการสมภาษณผบรหาร 4.13 ผลการพจารณาความพรอมและความส าคญของปจจยทเกยวของกบการเตรยม 114
ความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคง ปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยว แหงหนงโดยผเชยวชาญฯ
4.14 สรปผลการตอบแบบประเมนความพรอมและความส าคญของปจจยทเกยวของ 116 กบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการ ความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดาน การทองเทยว ของผดแลระบบฯ
ก.1 โปรดพจารณาเรยงล าดบความส าคญตามล าดบ 1-6 (โดยล าดบท 1 หมายถงส าคญ 150 มากทสด และล าดบท 6 หมายถงส าคญนอยทสด)
ข.1 โปรดพจารณาเรยงล าดบความส าคญตามล าดบ 1-6 (โดยล าดบท 1 หมายถงส าคญ 154 มากทสด และล าดบท 6 หมายถงส าคญนอยทสด)
ข.2 โปรดพจารณาปจจยความพรอมขององคกรโดยใหคะแนน 1-5 (โดย 1 หมายถงนอย 155 ทสด และ 5 หมายถงมากทสด)
ค.1 กรณาท าเครองหมาย ลงในชอง ความพรอม และ ความส าคญ ทตรงตามความ 158 คดเหนของทาน
ง.1 ผลการสมภาษณผบรหาร 166 ง.2 ผลรวมความส าคญของปจจยทเกยวของกบการเตรยมความพรอมขององคกร 171
ในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ประกอบการสมภาษณผบรหาร
จ.1 ผลการพจารณาปจจยความพรอมของผเชยวชาญจากภายนอกทานท 1 173 จ.2 ผลการพจารณาความส าคญปจจยของผเชยวชาญจากภายนอกทานท 1 173 จ.3 ผลการพจารณาปจจยความพรอมของผเชยวชาญจากภายนอกทานท 2 174 จ.4 ผลการพจารณาความส าคญปจจยของผเชยวชาญจากภายนอกทานท 2 175 จ.5 ผลการพจารณาปจจยความพรอมของผเชยวชาญจากภายนอกทานท 3 176 จ.6 ผลการพจารณาความส าคญปจจยของผเชยวชาญจากภายนอกทานท 3 176 จ.7 ผลการพจารณาปจจยความพรอมของผเชยวชาญจากภายนอกทานท 4 177 จ.8 ผลการพจารณาความส าคญปจจยของผเชยวชาญจากภายนอกทานท 4 178 จ.9 ผลรวมการพจารณาความพรอมของปจจยทเกยวของกบการเตรยมความพรอม 179
(11)
ขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภย สารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง โดยผเชยวชาญฯ
จ.10 ผลรวมการพจารณาความส าคญของปจจยทเกยวของกบการเตรยมความพรอม 180 ขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภย สารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง โดยผเชยวชาญฯ
ฉ.1 ผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ 181 ฉ.2 สรปผลการตอบแบบประเมนความพรอมและความส าคญของปจจยทเกยวของกบ 190
การเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความ มนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยว แหงหนงของผดแลระบบฯ
(12)
สารบญภาพ
ภาพท หนา 2.1 ความสมพนธระหวางการควบคมภายในและการตรวจสอบภายใน 26 2.2 ขนตอนในการบรหารความเสยงขององคกร 27 2.3 แผนภมความเสยง (Risk Map) 29 2.4 การประเมนความเสยง (Risk Assessment) 30 2.5 แสดงรป PDCA ของ มาตรฐาน ISO/IEC 27001 34 2.6 กรอบแนวคดการวจยการเตรยมความพรอมขององคกรเพอขอรบรองมาตรฐาน 52
การบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 3.1 แสดงขนตอนการศกษา 55 ก.1 กรอบแนวคดการวจยการเตรยมความพรอมขององคกรเพอขอรบรองมาตรฐาน 149
การบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 ข.1 กรอบแนวคดการวจยการเตรยมความพรอมขององคกรเพอขอรบรองมาตรฐาน 153
การบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 ช.1 แสดงขอความเชญชวน 191 ช.2 แสดงหนา Log in 192 ช.3 แสดงหนา Confirm Password 193 ช.4 แสดงหนา Confirm Password 194
1
บทท 1 บทน า
1.1 ความเปนมาและความส าคญ
องคกรดานการทองเทยวแหงหนง มภารกจหลกในการสงเสรมการทองเทยวในประเทศ
ไทย ท าหนาทใหบรการและประชาสมพนธขอมลขาวสารแกผสนใจทงชาวไทยและชาวตางชาต ซงมการน าเอาเทคโนโลยสารสนเทศมาประยกตใชในองคกรเพอรองรบการปฏบตงานของบคลากรในการสนบสนนภารกจดงกลาว
ในยคทขอมลขาวสารมความส าคญ ทางองคกรจงใหความส าคญในการน าเอาแนวคดดานการจดการความมนคงปลอดภยสารสนเทศมาประยกตใช โดยบรรจอยในแผนแมบทเทคโนโลยสารสนเทศและการ ซงเปนแผนเฉพาะดานเทคโนโลยสารสนเทศขององคกร ซงขณะนอยในระหวางการด าเนนการ เพอใหองคกรมแผนในการบรหารจดการระบบสารสนเทศขององคกร โดยเนนการรกษาความปลอดภยของขอมลขององคกร ซงถอเปนสวนส าคญสวนหนงในการบรหารหนวยงานใหมประสทธภาพ และเพอใหมความมนคงปลอดภยเปนไปตามประกาศของคณะกรรมการธรกรรมอเลกทรอนกส เรองแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ. 2553 และพระราชกฤษฎกา วาดวยวธการแบบปลอดภยในการท าธรกรรมทางอเลกทรอนกส พ.ศ. 2553 โดยไดมการน าเอามาตรฐาน ISO/IEC 27001 ซงเปนมาตรฐานสากลดาน Information Security Management System มาเปนกรอบในการด าเนนงาน ประกอบกบองคกรแหงน จะตองด าเนนการดานสารสนเทศใหสอดคลองกบระบบประเมนคณภาพรฐวสาหกจ จงมความจ าเปนในการด าเนนการดานการจดการความมนคงปลอดภยสารสนเทศใหเปนไปอยางตอเนองตามมาตรฐานสากล
เพอใหองคกรมแผนในการบรหารจดการความมนคงปลอดภยสารสนเทศและเปนไปตามประกาศของคณะกรรมการธรกรรมอเลกทรอนกส และสอดคลองกบระบบประเมนคณภาพรฐวสาหกจ ผวจยจงเลงเหนความส าคญของการศกษาถงปจจยทเกยวของกบการบรหารจดการความมนคงปลอดภยสารสนเทศ เพอเตรยมความพรอมของหนวยงานกรณศกษา ในการเขารบการรบรองมาตรฐาน ISO/IEC 27001:2013 และประเมนวาในปจจบนองคกรมความพรอมในการเขารบการรบรองมาตรฐานฯ เพยงใด อกทงควรมการปรบปรงอยางไร เพอใหองคกรมความพรอมในการเขารบการรบรองมาตรฐานฯ ตอไป
2
1.2 วตถประสงค
1.2.1 เพอศกษาปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง
1.2.2 เพอประเมนความพรอมขององคกรในปจจบนและความพรอมในการเขารบการรบรองมาตรฐานฯ
1.2.3 เพอเสนอแนะแนวทางในการการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 เพอใหสามารถเขารบการรบรองมาตรฐานฯ และผานเกณฑตามทก าหนด
1.3 ขอบเขตการวจย
1.3.1 ศกษา และวเคราะห เกยวกบการจดการความมนคงปลอดภยสารสนเทศ เพอเตรยมความพรอมของหนวยงาน ในการเขารบการรบรองมาตรฐาน ISO/IEC 27001:2013 โดยการการสมภาษณผบรหาร, สมภาษณผเชยวชาญดานการจดการความมนคงปลอดภยสารสนเทศจากภายนอกองคกร, การตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศและการทดสอบความพรอมของบคลากรในองคกร ดงน
1.3.1.1 ศกษามาตรฐานการจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013, กฎหมายและวรรณกรรมทเกยวของ
1.3.1.2 วเคราะหสถานะปจจบนขององคกร เปรยบเทยบกบมาตรฐาน ISO/IEC 27001:2013
1.3.1.3 ส ารวจความคดเหนและประเมนผลปจจยทเกยวของกบการเตรยมความพรอมฯ
1.3.1.4 วเคราะหปจจยทเกยวของในการเตรยมความพรอมขององคกร 1.3.1.5 สรปผลและจดท าขอเสนอแนะเพอสรางแนวทางปฏบตใหกบองคกร
1.3.2 ระยะเวลาของการท าวจยประมาณ 11 เดอน
1.4 ประโยชนทคาดวาจะไดรบ
3
สามารถเตรยมความพรอมขององคกรเพอกาวสการเปนองคกรทมการบรหารจดการทเปนเลศตามนโยบายขององคกรและผานการรบรองมาตรฐานดานความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001:2013 1.5 นยามศพท
1.5.1 ความมนคงปลอดภยสารสนเทศ หมายถ ง การปองกนสารสนเทศและ
องคประกอบอนทเกยวของ ซงหมายถงการรกษาความปลอดภยทางขอมล (Information Security) มความหมายคอผลทเกดขนจากการใชระบบของนโยบายและ/ หรอระเบยบปฏบตทใชในการพสจนทราบ ควบคมและปองกนการเปดเผยขอมล (ทไดรบค าสงใหมการปองกน) โดยไมไดรบอนญาต
1.5.2 ความเสยง (Risk) หมายถง โอกาสทภยคกคามจะอาศยชองโหวทมอยบนทรพยสนเพอกอใหเกดความเสยหายตอทรพยสนหรอองคกร
1.5.3 ทรพยสน (Asset) หมายถง รายการทรพยสนทอยภายใตขอบเขตการขอรบรองมาตรฐานระบบบรหารจดการความมนคงปลอดภยสารสนเทศ ( ISMS) ซงแบงได 8 ประเภท คอ กระบวนการ ขอมลและสารสนเทศ ฮารดแวร ซอฟตแวร เนตเวรค บคลากร อาคารสถานท และบรการ
1.5.4 ภยคกคาม (Threat) หมายถง ปจจยซงมความเปนไปไดทจะท าใหเกดเหตการณทสรางความเสยหายตอทรพยสนและองคกร
1.5.5 ชองโหว (Vulnerability) หมายถง จดออนของทรพยสนหรอกลมของทรพยสนทสามารถน ามาเปนประโยชนตอภยคกคาม
1.5.6 ผลกระทบ (Impact) หมายถง การเปลยนแปลงในทางลบ มผลตอระดบของการบรรลวตถประสงคทางธรกจ
1.5.7 มาตรการควบคม (Control) หมายถง การจดการความเสยง รวมถงนโยบาย ขนตอนการปฏบต คมอการปฏบต โครงสรางองคกรซงสามารถเปนไดทงการจดการ เทคนค การบรหารหรอลกษณะทางกฎหมาย
1.5.8 ความเสยงคงเหลอ (Residual risk) หมายถง ความเสยงทหลงเหลอภายหลงการควบคมความเสยง
1.5.9 ความตอเนองทางธรกจ (Business Continuity: BC) หมายถง ความสามารถขององคกรในการสงมอบสนคาหรอบรการอยางตอเนองในระดบทยอมรบไดหลงจากเกดอบตการณ
4
1.5.10 แผนความตอเนองทางธรกจ (Business Continuity Plan: BCP) หมายถง ขนตอนทเปนลายลกษณอกษรเปนแนวทางใหองคกรในการตอบสนอง การกคน การด าเนนตอ และการเรยกคนไปยงระดบทก าหนดไวลวงหนาเมอการด าเนนการหยดชะงก
1.5.11 การวเคราะหผลกระทบทางธรกจ (Business Impact Analysis: BIA) หมายถง กระบวนการวเคราะหกจกรรมและผลกระทบทางธรกจทเกดจากการหยดชะงกของกจกรรมนน
1.5.12 ระยะเวลาเปาหมายในการฟนคนสภาพ (Recovery Time Objective: RTO) หมายถง ระยะเวลาเปาหมายในการฟนคนสภาพหลงจากเกดอบตการณ โดยมเปาหมาย ดงน
1.5.12.1 สนคาและบรการตองกลบเขาสภาวะปกต 1.5.12.2 กจกรรมหรอกระบวนการตองกลบเขาสภาวะปกต 1.5.12.3 ทรพยากรตองกลบเขาสภาวะปกต
5
บทท 2 วรรณกรรมและงานวจยทเกยวของ
ในการศกษาการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหาร
จดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ผวจยไดท าการศกษาถงความพรอมในดานตางๆ ท าการคนควา รวบรวมแนวคด ทฤษฎ และงานวจยตางๆ ทเกยวของ น ามาใชประกอบการศกษาวจยในครงน เพอวเคราะหองคกรทตองการศกษา ซงประกอบดวย
2.1 บรบทของงานวจย 2.2 แนวคดและทฤษฎทเกยวของ 2.2.1 แนวคดการบรหารจดการความมนคงปลอดภยสารสนเทศ 2.2.2 มาตรฐานความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2015 2.2.3 พระราชกฤษฎกา วาดวยวธการแบบปลอดภยในการท าธรกรรมทาง
อเลกทรอนกส พ.ศ. 2553 2.2.4 แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดาน
สารสนเทศของหนวยงานภาครฐพ.ศ. 2553 2.2.5 การควบคมภายใน, การตรวจสอบภายใน, การบรหารความเสยง, การ
บรหารความเนองทางธรกจ และการวเคราะหผลกระทบทางธรกจ ดานเทคโนโลยสารสนเทศ 2.3 ทบทวนวรรณกรรมทเกยวของ 2.4 สรปการทบทวนวรรณกรรมทเกยวของและกรอบแนวคดการวจย
2.1 บรบทของงานวจย
จากแผนวสาหกจฯ ในระดบองคทก าหนดหนงในเปาประสงคใหเปนองคกรทมการ
บรหารจดการทเปนเลศ (Operational Excellence) โดยเนนบรหารจดการเชงคณภาพ มภารกจส าคญคอการพฒนาระบบการบรหารจดการองคกรใหไดมาตรฐานสากล สแผนแมบทเทคโนโลยสารสนเทศและการสอสาร (แผนแมบทเทคโนโลยฯ) ซงเปนแผนเฉพาะดานเทคโนโลยสารสนเทศขององคกร เพอใหมโครงการทสอดคลองกบนโยบายระดบองคกร (แผนวสาหกจฯ) และเพอใหระบบสารสนเทศขององคกรมความมนคงปลอดภยและเปนไปตามประกาศของคณะกรรมการธรกรรมอเลกทรอนกส เรองแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของ
6
หนวยงานของรฐ พ.ศ. 2553 และพระราชกฤษฎกา วาดวยวธการแบบปลอดภยในการท าธรกรรมทางอเลกทรอนกส พ.ศ. 2553 โดยในสวนของประกาศของคณะกรรมการธรกรรมอเลกทรอนกส เรองแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ พ .ศ . 2553 น น ไดม การน าเอามาตรฐาน ISO/ IEC 27001 ซ ง เป นมาตรฐานสากลด าน Information Security Management System มาเปนกรอบในการก าหนดขอก าหนดขนต าของความมนคงปลอดภยของแตละหนวยงาน ซงจะตองมการรายงานตอส านกงานคณะกรรมการธรกรรมทางอเลกทรอนกสดวย ประกอบกบ องคกรดานการทองเทยวน จะตองด าเนนการบรหารจดการดานเทคโนโลยสารสนเทศใหสอดคลองกบระบบประเมนคณภาพรฐวสาหกจ (SEPA) องคกรจงมความจ าเปนในการด าเนนการดานการจดการความมนคงปลอดภยสารสนเทศใหเปนไปอยางตอเนองตามมาตรฐานสากล และเขารบการตรวจประเมนเพอรบการรบรองจากสถาบนทมความนาเชอถอในระดบสากล อนจะสงผลใหองคกรมความนาเชอถอและกาวไปสองคกรทมการบรหารจดการทเปนเลศ ตามเปาประสงคขององคกรตอไป
2.2 แนวคดและทฤษฎทเกยวของ
2.2.1 แนวคดการบรหารจดการความมนคงปลอดภยสารสนเทศ ในปจจบนการน าระบบเทคโนโลยสารสนเทศและเครอขายเขามาใชในการท างาน
เพอเพมประสทธภาพไดเปนทยอมรบกนอยางแพรหลาย และมอตราการขยายตวมากขนอยางรวดเรวในชวง 5-10 ปทผานมา โดยสงผลใหรปแบบการท างาน และการด าเนนธรกจเปลยนไป ดงนน เพอเปนการอ านวยความสะดวกในการปฏบตงาน และการด าเนนธรกจจงมความจ าเปนตองมการรกษาความมนคงปลอดภยระบบเครอขายสารสนเทศ ในหนวยงานตางๆ จะมการจดท าแผนระบบบรหารจดการความมนคงปลอดภยสารสนเทศ เพอใหขอมลและระบบตางๆ คงอยในหลกการ CIA ประกอบไปดวย การรกษาความลบของขอมล (Confidentiality) เพอใหขอมลสารสนเทศ เปดเผยเฉพาะบคคล หรอระบบทไดรบอนญาตเทานน, ความสมบรณถกตองของขอมล ( Integrity) เพอเปนการยนยนวาขอมลสารสนเทศไมถกเปลยนแปลงไปจากของเดมโดยผทไมมสทธ หรอผทไมไดรบอนญาต, ความพรอมใชของขอมล (Availability) เพอใหระบบสารสนเทศมความพรอมใหบรการอยเสมอ เปนระบบททนทานตอความเสยหาย และไมท าใหการด าเนนงานหยดชะงก
มกระบวนการบรหารจดการความมนคงปลอดภยสารสนเทศ 4 ขนตอน คอ 2.2.1.1 การวางแผน (Plan หรอ Establish the ISMS) ในขนตอนนจะมการ
ประเมนความเสยงทมตอทรพยสนสารสนเทศ เพอเปนการเตรยมการปองกนกอนเรมใชงานทรพยสนเหลานน แลวท าการวางแผนเพอจดการความเสยงเหลานน
7
2.2.1.2 การด าเนนการตามแผน (Do หรอ Implement and operate the ISMS ) ในขนตอนนเปนการด าเนนการตามแผนทไดวางไว
2.2.1.3 การเฝาระวงและตดตามการด าเนนการตามแผน (Check หรอ Monitor and review the ISMS) ในขนตอนนเปนการตดตามดวาการด าเนนการตามแผนนนเปนไปตามแผน และไดผลลพธตามทตองการหรอไม
2.2.1.4 การด าเนนการเพมเตมตามทเหนสมควร (Act หรอ Maintain and Improve the ISMS) ในขนตอนนเปนการด าเนนการเพมเตม กรณทท าการ Check แลวพบวามปญหาทตองท าการแกไข
วงจร Plan – Do – Check – Act นน เรมต งแต เรมมทรพยสนสารสนเทศ
จนกระทงน ามาใชงานกยงคงตองมการตรวจสอบเปนวงรอบอยอยางสม าเสมอ จนกระทงทรพยสน
เหลานนจะหมดอายการใชงาน
2.2.2 มาตรฐานความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2015 Humphreys [1] ผคดคนและไดท าการปรบปรงมาตรฐานระบบบรหารจดการ
ความมนคงปลอดภยสารสนเทศ (Information Security Management System Standard) ซงเป นท ร จ กก น ในนาม ISO/ IEC 27001 น น ทางองคกรระหวางประเทศว าด วยมาตรฐาน (International Organization for Standardization) หรอท เรยกกนในนาม “ไอเอสโอ” (ISO) ปจจบนไดประกาศไว ณ ป ค.ศ.2013 คอ มาตรฐาน ISO/IEC 27001:2013 ซงมผลในการรบรองมาตรฐานตงแตเดอน กนยายน ค.ศ.2013 และส าหรบองคกรทไดรบการรบรองมาตรฐานไปกอนหนาน ในเวอรชน 2005 จะตองด าเนนการปรบเปลยนการบรหารจดการใหสอดคลองตามมาตรฐานเวอรชนใหมนภายระยะเวลาทผรบรองมาตรฐานก าหนด ซงโดยปกต คอ 1 ป
สาระส าคญ ของขอก าหนดท ม ก ารเปล ยนแปลงในมาตรฐาน ISO/ IEC 27001:2013 ประกอบดวย 2 สวน คอ (1) ขอก าหนดกจกรรมการบรหารจดการ (2) มาตรการควบคมความมนคงปลอดภยสารสนเทศ โดยรายละเอยดปรากฏในหวขอถดไป
มาตรฐานระบบบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001 เวอรชน 2013 สามารถแบงเนอหาขอก าหนดออกเปน 2 สวน คอ
2.2.2.1 สวนท 1 ขอก าหนดระบบบรหารจดการ (Management System Requirements) โดยขอก าหนดในสวนน มงเนนไปทการบรหารจดการความมนคงปลอดภยสารสนเทศใหสอดคลองกบความตองการทางธรกจ โดยการทราบถงบรบทขององคกร (Context of the Organization) และจงน ามาวางแผนส าหรบการบรหารจดการ ก าหนดวตถประสงคและเปาหมายใหมความสอดคลองกบความตองการของผทองคกรใหความส าคญสนใจ ( Interested
8
Parties) และจงน ามาวางแผนในการปฏบตเพอใหบรรลตามวตถประสงคและเปาหมาย มาตรฐานยงก าหนดใหมการด าเนนการตดตาม วดประสทธผลและก าหนดใหฝายบรหารเปนผ พจารณาประสทธผลของระบบบรหารจดการเพอจะไดน ามาปรบปรง (Improvement) ใหเกดประสทธผล
รายละเอยดขอก าหนดระบบบรหารจดการความมนคงปลอดภยสารสนเทศ (Information Security Management System Requirements) ประกอบดวยขอก าหนดจ านวน 7 หวขอ คอ
(1) บ รบ ท ขอ งอ งค ก ร (Context of The Organization) : อ งค ก รจ าเปนตองเขาใจถงบรบทขององคกร โดยพจารณาประเดนทเกยวของกบความมนคงปลอดภยซ งเกยวของกบองคกรและพจารณาจากผมสวนไดเสยทงภายในและภายนอกองคกร ซงองคกรใหความสนใจเฉพาะกลม จากนนจงพจารณาวาผทองคกรใหความสนใจ ( Interested Parties) มความตองการและความคาดหวงอะไรบางทเกยวของกบความมนคงปลอดภยสารสนเทศแลวจงก าหนดขอบเขตระบบบรหารจดการความมนคงปลอดภยสารสนเทศ (Scope) ซงองคกรจะตองก าหนด ลงมอปฏบต บ ารงรกษา และปรบปรงอยางตอเนองตอระบบบรหารจดการความมนคงปลอดภยสารสนเทศ โดยตองสอดคลองกบขอก าหนดในเอกสารมาตรฐาน หมายเหต : การก าหนดบรบทองคกรนจะตองพจารณาทงภายในและภายนอกองคกร ซงสอดคลองกบขอ 2.3 ของมาตรฐาน ISO 31000:2009
(2) ผน า (Leadership) : ผบรหารจะตองสนบสนน ผลกดน มอบหมายและก าหนดหนาทส าหรบการบรหารจดการความมนคงปลอดภยสารสนเทศ ก าหนดนโยบายความมนคงปลอดภยสารสนเทศและใหการสนบสนนตอทรพยากรทจ าเปนตอด าเนนงาน เชน ตองท าใหนโยบายความมนคงปลอดภยสารสนเทศและวตถประสงคความมนคงปลอดภยสารสนเทศมการก าหนดขนมาและมความสอดคลองกบกลยทธขององคกร ซงนโยบายความมนคงปลอดภยสารสนเทศนตองเหมาะสมกบจดประสงคขององคกร โดยตองสามารถเขาถงโดยบคลากรในหนวยงานในทกระดบรวมถงผทเกยวของตามความเหมาะสม โดยการจดท าเปนลายลกษณอกษร มการสอสารใหทราบโดยทวกนภายในองคกร ตองท าใหระบบการบรหารจดการบรรลผลลทธตามทก าหนดไว ตองท าการสงการและสนบสนนบคลากรในการปฏบตตามมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ มการสงเสรมาใหมการปรบปรงเนอหาใหทนสมยอยเสมอและตองสนบสนนบทบาทอนๆ ภายใตขอบเขตความรบผดชอบเพอแสดงภาวะผน า
(3) การวางแผน (Planning) : องคกรจะตองพจารณาถงความเสยงและโอกาสทเกยวของกบความสามารถในการบรรลวตถประสงคและเปาหมายของระบบบรหารจดการความมนคงปลอดภยสารสนเทศ โดยการประเมนความเสยงและการบรหารความเสยงความมนคง
9
ปลอดภยสารสนเทศ และองคกรจ าเปนทจะตองวางแผนเพอใหมนใจวาสามารถจะบรรลวตถประสงคความมนคงปลอดภยสารสนเทศ ในการประเมนความเสยง องคกรจะมการก าหนดและปรบปรงเกณฑความเสยงดานความมนคงปลอดภยสารสนเทศ คอ เกณฑการยอมรบความเสยง และเกณฑส าหรบการประเมนความเสยง มการระบความเสยงดานความมนคงปลอดภยสารสนเทศ เชน ประยกตการกระบวนการประเมนความเสยง เพอระบความเสยงทเกยวของกบการสญเสยความลบ ความถกตองสมบรณ และสภาพความพรอมใชของสารสนเทศภายในขอบเขตของระบบบรหารจดการความมนคงปลอดภยสารสนเทศ และท าการระบเจาของความเสยง การวเคราะหความเสยงนนกระท าไดโดย ประเมนผลความเปนไปไดทจะเกดขน ถาความเสยงทระบไวเกดขนจรง มการประเมนโอกาสเกดของความเสยงทไดระบไว และก าหนดระดบของความเสยง ส าหรบการประเมนความเสยงนนจะตองท าการเปรยบเทยบผลการวเคราะหความเสยงกบเกณฑความเสยงทก าหนดไว และจดล าดบความเสยงทวเคราะหได เพอน าไปสการจดการทเหมาะสม การจดการคามเสยงดานความมนคงปลอดภยสารสนเทศนน องคกรจะตองท าการก าหนดทางเลอกทเหมาะสมในการจดการความเสยง โดยน าผลการประเมนความเสยงมาพจารณาดวย และมการก าหนดมาตรการเพอการด าเนนการตามทางทก าหนดไว โดยองคกรเองสามารถออกแบบมาตรการไดเองตามตองการ หรอระบมาตรการโดยอางองจากแหลงใดกได เชน เปรยบเทยบกบมาตรการใน Annex A ซงประกอบไปดวยรายการทงหมดของวตถประสงคของมาตรการและตวมาตรการของมาตรฐาน จากนนจดท าแสดงการใชมาตรการ (SOA : Statement of Applicability) ซงประกอบไปดวยมาตรการทจ าเปน และค าอธบายของเหตผลของการน าเอามาตรการนนมาใช และค าอธบายเหตผลของการไมใชมาตรการตาม Annex A มการจดท าแผนการจดการความเสยงดานความมานคงปลอดภยสารสนเทศและขอรบรบรองจากผเปนเจาของความเสยงส าหรบแผนจดการความเสยงดานความมนคงปลอดภยสารสนเทศ และการยอมรบส าหรบความเสยงทยงหลงเหลออย หมายเหต : กระบวนการประเมนและจดการความเสยงดานความมนคงปลอดภยสารสนเทศในมาตรฐานฉบบน สอดคลองกบหลกการและแนวทางทปรากฏในมาตรฐาน ISO 31000 องคกรจะตองมการก าหนดวตถประสงคด านความมนคงปลอดภยสารสนเทศในทกระดบทเกยวของ โดยวตถประสงคนตองสอดคลองกบนโยบายความมนคงปลอดภยสารสนเทศ สามารถวดไดเมอมการน าไปปฏบตจรง โดยจะตองน าความตองการดานความมนคงปลอดภยสารสนเทศ และผลการประเมนและจดการความเสยงมาพจารณาดวย มการสอสารใหผทเกยวของรบทราบ และตองมการปรบปรงใหเหมาะสมกบการเปลยนแปลงขององคกร เมอมการ
10
วางแผนวธการทจะบรรลวตถประสงคดานความมนคงปลอดภยสารสนเทศแลว องคกรจะตองก าหนด สงทตองด าเนน ทรพยากรทตองใช ผรบผดชอบในการด าเนนการ ระยะเวลาทด าเนนการและวธประเมนผลการปฏบตการ ทงน องคกรจะตองมการจดเกบสารสนเทศทเกยวกบกระบวนการประเมนและการจดการความเสยงดาน และสารสนเทศส าหรบวตถประสงคความมนคงปลอดภยสารสนเทศ อยางเปนลายลกษณอกษรดวย
(4) การสนบสนน (Support) : องคกรจ าเปนตองมการสนบสนนทรพยากรทจ าเปนตอการบรหารจดการความมนคงปลอดภยสารสนเทศ มการก าหนดความร (Competence) ก า ร ส ร า งค ว าม ต ร ะ ห น ก (Awareness) ก า ห น ด ร ป แ บ บ ก า รส อ ส า ร (Communication) และก าหนดแนวทางการจดการเอกสาร (Document Management)
สมรรถนะ : ตองมการก าหนดสมรรถนะของบคลากร ภายใตการควบคม
ดแลขององคกร ซงสงผลตอประสทธภาพในการปฏบตงานดานความมนคงปลอดภยสารสนเทศ
สงเสรมใหบคลากรมความสามารถโดยการอบรมใหความร หรอจากประสบการณจากการท างาน ม
การด าเนนการตามความเหมาะสม เพอใหไดมาซงสมรรถนะทจ าเปน และประเมนผลสมฤทธของการ
ด าเนนการนน และจดเกบสารสนเทศทเหมาะสมเปนลายลกษณอกษร เพอเปนหลกฐานในการแสดง
สมรรถนะ
การสรางความตระหนก : บคลากรจะตองตระหนกถง นโยบายความมนคง
ปลอดภยสารสนเทศขององคกร มการรบรถงการมสวนรวมในผลสมฤทธของการด าเนนการดานความ
มนคงปลอดภยสารสนเทศ ตะหนกถงขอดของการปรบปรงประสทธภาพการปฏบตงานทเกยวของกบ
ความมนคงปลอดภยสารสนเทศ และตระหนกถงสงทจะเกดขน เมอไมปฏบตตามขอก าหนดของ
ระบบบรหารจดการดานความมนคงปลอดภยสารสนเทศ
การสอสาร : องคกรจะตองก าหนดความจ าเปนและรปแบบส าหรบการ
สอสาร เพอใหทราบทงภายในองคกรและภายนอกทเกยวของกบระบบบรหารจดการความมนคง
ปลอดภยสารสนเทศ
การจดการเอกสาร : จะตองมการจดการสารสนเทศทเปนลายลกษณอกษร
ซงก าหนดโดยมาตรฐานน โดยปรมาณของสารสนเทศทเปนลายลกษณอกษรนจะขนอยกบแตละ
องคกร ขนอยกบ ขนาดขององคกร ผลตภณฑ และบรการขององคกร รวมถงความซบซอนของ
กระบวนการและความสามารถของบคลากร เมอมการปรบปรงสารสนเทศทเปนลายลกษณอกษร
11
องคกรตองพจารณาตามความเหมาะสม และมการทบทวนหรออนมตเพอความเหมาะสม สารสนเทศ
ทเปนลายลกษณอกษรนจ าเปนตองมส าหรบระบบบรหารจดการความมนคงปลอดภยสารสนเทศ
และตามมาตรฐานแลวตองมการควบคม เพอใหสารสนเทศนสามารถเขาถงและไดรบการปกปองได
อยางเหมาะสม รวมถงสารสนเทศทมาจากแหลงภายนอก ทองคกรก าหนดวามความจ าเปนตอการ
วางแผนและด าเนนการตามระบบจดการความมนคงปลอดภยสารสนเทศ ตองมการระบความจ าเปน
และตองมการควบคมเชนกน
(5) การปฏบตการ (Operation) : องคกรจะตองน าแผนการลดความเสยงและแผนปฏบตการทจะท าใหมนใจวาสามารถจะบรรลวตถประสงคขององคกรไดมาด าเนนการปฏบต และด าเนนการทบทวนและประเมนความเสยง ด าเนนการวางแผนการลดความเสยงตามผลการทบทวนและประเมนความเสยง
องคกรจะตองมการวางแผน ปฏบต และควบคมกระบวนการทจ าเปน
เพอใหสอดคลองกบความตองการดานความมนคงปลอดภยสารสนเทศเพอใหบรรลวตถประสงคของ
องคกร ตองมการเกบรกษาสารสนเทศทเปนลายลกษณอกษรทมความจ าเปน เพอใหมความมนใจวา
กระบวนการเหลานนไดมการด าเนนการตามแผน ตองมการควบคมการเปลยนแปลง โดยมการ
วางแผนลวงหนา และทบทวนผลของการเปลยนแปลงท เกดขนท เก ดขนโดยไมไดวางแผนไว
ด าเนนการเพอลดความสญเสยตามความจ าเปน
มการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศตามรอบ
ระยะเวลาทก าหนดไว หรอเมอมการเปลยนแปลง รวมถงตองลงมอปฏบตตามแผนจดการความเสยง
ทก าหนดไว และตองจดเกบสารสนเทศทเปนลายลกษณอกษร ซงเกดจากการประเมนและจดการ
ความเสยงดานความมนคงปลอดภยสารสนเทศ
(6) การประเมนสมรรถนะ (Performance Evaluation) : องคกรจะตองตดตามรายงานผลการด าเนนงานและผลการประเมนผล และจดใหมการตรวจสอบภายใน จากนนจงน าผลการตดตามประเมนผลและการตรวจสอบภายในรายงานตอผบรหารเพอใหพจารณาและสงการปรบปรงแกไข
องคกรจะตองมการประเมนประสทธภาพและประสทธผลและความไดผล
ของระบบบรหารจดการความมนคงปลอดภยสารสนเทศ โดยท าการเฝาระวง วดผล วเคราะห และ
ประเมน (Monitoring, Measurement, Analysis, Evaluation) องคกรจะตองมการก าหนดสงท
จ าเปนตอการเฝาระวงและวดผล ซงรวมถงกระบวนการและมาตรการดานความมนคงปลอดภย
12
สารสนเทศ มการค านงถงวธการในการเฝาระวง วดผล วเคราะห และประเมน ตามความเหมาะสม
เพอใหไดผลการประเมนทถกตอง ส าหรบวธการทเลอกใชควรใหผลการประเมนทเปรยบเทยบไดและ
สามารถท าซ า เพอใหไดผลทถกตอง
องคกรจะตองด าเนนการตรวจประเมนภายในตามรอบระยะเวลาทก าหนด
ไว เพอใหมสารสนเทศส าหรบการระบไดวาระบบบรหารจดการความมนคงปลอดภยสารสนเทศนน
สอดคลองกบความตองการขององคกรและตรงตามขอก าหนดของมาตรฐาน มการปฏบตและ
บ ารงรกษา เชน มการวางแผน ก าหนด ลงมอปฏบต และบ ารงรกษาโปรแกรมการตรวจประเมน เชน
ความถ วธการ หนาทความรบผดชอบ ความตองการในการตรวจประเมนทก าหนดไว และการ
รายงานผล ส าหรบการตรวจประเมนจะตองน าความส าคญของกระบวนการทเกยวของและผลการ
ตรวจประเมนครงกอนมาพจารณารวมดวย มการก าหนดเกณฑการตรวจประเมนและขอบเขตของ
การตรวจประเมนในแตละครง เลอกผตรวจประเมนและด าเนนการตรวจประเมน ซงเปนไปตาม
ขอเทจจรง และมความเปนกลางของกระบวนการตรวจประเมน
ผบรหารระดบสงตองท าการทบทวนระบบบรหารจดการความมนคง
ปลอดภยสารสนเทศตามราอบระยะเวลาทก าหนดไว ตามความเหมาะสม โดยจะตองพจารณาในเรอง
สถานะของการด าเนนการจากผลทบทวนในครงกอน การเปลยนแปลงสงทเกยวของทงภายในและ
ภายนอกองคกรทเกยวของกบระบบบรหารจดการความมนคงปลอดภยสารสนเทศ ผลตอบกลบของ
ประสทธภาพและประสทธผลดานความมนคงปลอดภยสารสนเทศ ผลตอบกลบจากผทเกยวของ ผล
การประเมนความเสยงและสถานะของแผนการจดการความเสยง และโอกาสส าหรบการปรบปรง
อยางตอเนอง โดยผลการทบทวนของผบรหารน ตองรวมการตดสนใจเกยวกบโอกาสในการปรบปรง
อยางตอเนอง และความจ าเปนส าหรบการเปลยนแปลงตอระบบบรหารจดการความมนคงปลอดภย
สารสนเทศ
องคกรจะตองจดเกบสารสนเทศทเปนลายลกษณอกษรทเหมาะสม เพอใช
เปนหลกฐานในการเฝาระวงและวดผล และจดเกบหลกฐานแสดงผลการทบทวนของผบรหารดวย
(7) การปรบปรง (Improvement) : ผลจากการตดตามและผลการประเมน ผลจากการตรวจสอบภายในและมตทประชมของฝายบรหารจากการพจารณาผล จะตองน ามาพจารณาคนหาสาเหตของปญหาหรอสงทไมสอดคลองทเกดขน โดยคนหาจากสาเหตทแทจรงและก าหนดแนวทางในการแกไข (Corrective Action) ตลอดจนพจารณาถงสาเหตอนทอาจม
13
ศกยภาพอนจะกอใหเกดความไมสอดคลองหรอปญหาในอนาคตและก าหนดแนวทางในการปองกนในอนาคต (Preventive Action)
เมอความไมสอดคลองเกดขน องคกรจะตองด าเนนการเพอควบคมและแกไขความไมสอดคลองนน และจดการกบผลทเกดขน ท าการประเมนความจ าเปนส าหรบการด าเนนการเพอขจดสาเหตของความไมสอดคลองเพอใหไมเกดขนซ าหรอไมใหเกดขนทอนอก โดยมการทบทวนความไมสอดคลอง ระบสาเหตของความไมสอดคลอง และระบความสอดคลองทอาจจะเกดขน มการด าเนนการแกไข ทบทวนของผงการด าเนนการแกไขทไดด าเนนไปและท าการเปลยนแปลงระบบบรหารจดการความมนคงปลอดภยสารสนเทศ เมอมความจ าเปน โดยการด าเนนการแกไขนตองเหมาะสมตอความไมสอดคลองทพบดวย
องคกรตองมการปรบปรงความเหมาะสม และประสทธผลของระบบบรหารจดการความมนคงปลอดภยสารสนเทศอยางตอเนอง
ทงนองคกรจะตองจดเกบสารสนเทศทเปนลายลกษณอกษรเพอใชเปนหลกฐานแสดง สภาพความไมสอดคลอง และการด าเนนการใดๆ รวมถงผลของการด าเนนการแกไข
2.2.2.2 ส วนท 2 ม าตรการควบค มความม น ค งปลอดภ ยส ารสน เท ศ (Information Security Controls) โดยขอก าหนดในสวนน มงเนนไปทการควบคมความมนคงปลอดภยสารสนเทศ ซงมมาตรการควบคมแบงออกเปน 14 สวนหลก แสดงไวในภาคผนวก A (Annex A) ของมาตรฐาน ISO/IEC 27001:2013 รายละเอยดมดงน
(1) นโยบายความมนคงปลอดภยสารสนเทศ ( Information Security Policies) : เปนมาตรการควบคมทก าหนดใหองคกรตองก าหนดทศทางและสนบสนนดานความมนคงปลอดภยสารสนเทศใหสอดคลองกบความตองการทางธรกจและสมพนธกบกฎระเบยบ กฎหมาย
องคกรจะตองมนโยบายส าหรบความมนคงปลอดภยสารสนเทศ (Policies
for Information Security) ทผานการอนมตโดยผบรหาร ทส าคญจะตองท าการเผยแพรและสอสาร
ใหพนกงานและหนวยงานภายนอกทเกยวของทราบดวย ตองมการทบทวนนโยบายตามรอบ
ระยะเวลาทก าหนดไว หรอเมอมการเปลยนแปลงทส าคญ เพอใหนโยบายมความเหมาะสมมากยงขน
(2) องคประกอบของความมนคงปลอดภยสารสนเทศ (Organizaton of Information Security) : ประกอบดวยการจดการภายในองคกร (Internal organization) การก าหนดบทบาทและหนาทดานความมนคงปลอดภยสารสนเทศ การแบงแยกหนาท การรวบรวมขอมลส าหรบตดตอผมอ านาจและตดตามขอมลดานความมนคงปลอดภยสารสนเทศ การบรหารจดการโครงการในดานความมนคงปลอดภยสารสนเทศ การควบคมความมนคงปลอดภยจากปฏบตงานภายนอก (Teleworking) และอปกรณโมบาย (Mobile devices)
14
มการก าหนดหนาทความรบผดชอบใหชดเจน เพอปองกนการใชงาน
เปลยนแปลง หรอมการใชงานทรพยสนผดวตถประสงค โดยไมไดรบอนญาต เพอลดโอกาสเกด
เหตการณทไมพงประสงค
มการตดตอหนวยงานผมอ านาจทมสวนเกยวของหรอกลมทมความสนใจ
เปนพเศษในเครองเดยวกน เพอใหสามารถตดตอไดอยางตอเนอง
การบรหารโครงการใดๆ กตองมการระบความมนคงปลอดภยสารสนเทศ
ไวในโครงการนนๆ ดวย
ตองมนโยบายและมาตรการเพอน ามาใชงานสนบสนนการใชงานส าหรบ
อปกรณโมบาย เชน คอมพวเตอรแบบพกพา เพอบรหารจดการความเสยงทมตออปกรณดงกลาวและ
การปฏบตงานจากระยะไกล เพอปองกนการเขาถง การประมวลผล หรอการจดเกบขอมลจากการใช
งานจากสถานทดงกลาว
(3) ความมนคงปลอดภยดานทรพยากรบคคล (Human Resource Security) : ประกอบดวยการควบคมกอนการจางงาน (Prior to employment) ทตองมการตรวจสอบประวต การก าหนดเงอนไขดานความมนคงปลอดภยสารสนเทศกอนการจาง ในการตรวจสอบภมหลงของผสมครนนตองมการด าเนนการโดยมความสอดคลองกบกฎหมาย ระเบยบ ขอบงคบ และจรยธรรมท เกยวของ การควบคมระหวางการจางงาน (During Employment) ประกอบดวยการสอสารหนาท ความรบผดชอบจากฝายบรหาร การจดอบรมสรางความร ความตระหนกและการใหการศกษา และกระบวนการทางวนย เพอใหพนกงานหรอผทท าสญญาจางตระหนกและปฏบตตามหนาทความรบผดชอบดานความมนคงปลอดภยสารสนเทศของตนเอง และในสวนของกระบวนการทางวนยตองมการก าหนดอยางเปนทางการและสอสารใหพนกงานหรอผทท าสญญาจางไดรบทราบ เพอด าเนนการตอบคคลทละเมดความมนคงปลอดภยสารสนเทศขององคกร การควบคมเมอสนสดการจางหรอเมอมการเปลยนแปลงการจาง (Termination and Change of Employment) เพอปองกนผลประโยชนขององคกรซงเปนสวนหนงของกระบวนการเปลยนหรอสนสดสญญาจาง
(4) การจดการทรพยสน (Asset Management) : ประกอบดวยการก าหนดความรบผดชอบตอทรพยสน (Responsibility for Assets) ซงตองมการจดท าบญชทรพยสน การก าหนดผรบผดชอบดแล การก าหนดเงอนไขการใชงานทรพยสน และการคนทรพยสน การจดจ าแนกสารสนเทศ (Information Classification) ประกอบดวยแนวทางการจดจ าแนกสารสนเทศตามความส าคญ คณคาและความลบ การท าปายลาเบลและการจดการ การใชงานทรพยสนตามปาย
15
ลาเบล เพอใหสารสนเทศไดรบระดบการปองกนทเหมาะสมโดยสอดคลองกบความส าคญของสารสนเทศนนทมตอองคกร มการจดการสอบนทกขอมล (Media Handling) โดยมขนตอนปฏบตส าหรบการบรหารจดการสอบนทกขอมลทถอดแยกได การท าลายสอบนทกขอมล การขนยายสอบนทกขอมล เพอปองกนการเปดเผยขอมลโดยไมไดรบอนญาต การเปลยนแปลง การขนยาย การลบ หรอการท าลายสารสนเทศทจดเกบอยบนสอบนทกขอมล
(5) การควบคมการเขาถง (Access Control) : ประกอบดวยการก าหนดนโยบายการเขาถงตามความตองการทางธรกจ (Business Requirements of Access Controlโดยมนโยบายควบคมการเขาถง ทตองก าหนดเปนลายลกษณอกษรและทบทวนตามความตองการทางธรกจและความตองการดานความมนคงปลอดภยสารสนเทศ การบรหารการเขาถงของผใชงาน (User Access Management) หนาทของผ ใช งาน (User Responsibilities) เพอใหผ ใช งานมความรบผดชอบในการปองกนขอมลการพสจนตวจน การควบคมการเขาถงทางระบบและแอพพลเคชน (System and Application Access Control) เพอปองกนการเขาถงระบบโดยไมไดรบอนญาต ควรมขนตอนปฏบตส าหรบการลอกอน (Log in) เขาระบบทมความปลอดภย (Secure Log-in Procedures) กรณมการก าหนดนโยบายควบคมการเขาถง ในการเขาถงระบบนนจะตองมการควบคมโดยผานทางขนตอนปฏบตส าหรบการลอกอนเขาระบบทมความมนคงปลอดภย หรอมระบบบรหารจดการรหสผาน (Password Management System) ซงตองมปฏสมพนธกบผใชงานและบงคบการตงรหสผานทมคณภาพ และการเขาถงซอรสโคดของโปรแกรม (Access Control to Program Secure Code) ทตองมการจ ากดและควบคม
(6) การเขารหสลบ (Cryptography) : เปนมาตรการควบคมส าหรบการรกษาความลบของขอมล โดยใหมการก าหนดนโยบายการใชงานมาตรการควบคมดวยรหสลบ และการจดการกญแจรหสลบ เพอใหมการใชการเขารหสขอมลอยางเหมาะสม และปองความลบ การปลอมแปลงหรอความถกตองของสารสนเทศ ตองมการจดท านโยบายการใชมาตรการเขารหสขอมลเพอปองกนสารสนเทศและนโยบายการใชงาน การปองกน และอายการใชงานของกญแจ
(7) ความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical and Environmental Security) : ประกอบดวยการก าหนดการควบคมพนททางกายภาพ การเขาถง การจดการพนท และการควบคมสภาพแวดลอมความปลอดภยใหมความเหมาะสม เชน การก าหนดขอบเขตหรอบรเวณโดยรอบทตองการรกษาความมนคงปลอดภย มการควบคมการเขาออกทางกายภาพ มการก าหนดพนทส าหรบรบสงสงของ (Delivery and Loading Area) หรอบรเวณอนๆ ทผไมไดรบอนญาตสามารถเขาถงพนทขององคกรได เปนตน ทางทดพนทดงกลาวควรแยกออกมาจากบรเวณทมอปกรณประมวลผลสารสนเทศ เพอหลกเลยงการเขาถงโดยไมไดรบอนญาต ชวยปองกนความเสยหายและการแทรกแซงระหวางการท างาน ทมตอสารสนเทศและอปกรณประมวลผล
16
สารสนเทศขององคกร องคกรตองมการจดท าขนตอนปฏบตส าหรบการการปฏบตงานในพนททตองการรกษาความมนคงปลอดภยดวย
มการควบคมอปกรณ (Equipment) เพอปองกนการสญหาย การเสยหาย
การขโมย หรอเปนอนตรายตอทรพยสนและปองกนการหยดชะงกตอการด าเนนงานขององคกร โดยม
การจดตงและปองกนอปกรณ (Equipment Sitting and Protection) เพอลดความเสยงจากภย
คกคามและอนตรายดานสภาพแวดลอม ระบบและอปกรณสนบสนนการท างาน (Supporting
Utilities) โดยอปกรณตองไดรบการปองกนจากความลมเหลวของกระแสไฟฟาและการหยดชะงก
อนๆ ทมสาเหตมาจากการลมเหลวของระบบและอปกรณสนบสนนการท างานตางๆ ความมนคง
ปลอดภยของการเดนสายสญญาณและสายสอสาร (Cabling Security) ซงสงขอมลหรอสนบสนน
บรการสารสนเทศตองมการปองกนจากการขดขวางการท างาน การแทรกแซงสญญาณหรอการท าให
เสยหาย การบ ารงรกษา (Equipment Maintenance) โดยอปกรณตองไดรบการบ ารงรกษาอยาง
ถกตองและตองมสภาพความพรอมใชงานและการท างานทถกตองอยางตอเนอง การน าทรพยสนออก
นอกส านกงาน (Removal of Assets) ครอบคลมอปกรณ สารสนเทศ หรอซอฟตแวร เมอตองการ
การน าออกนอกส านกงาน จะตองท าการขออนญาตกอน ความมนคงปลอดภยส าหรบการก าจดหรอ
ท าลายอปกรณ หรอการน าอปกรณน าไปใชงานอยางอน (Secure Disposal of Re-use of
Equipment) ส าหรบอปกรณทมสอบนทกขอมล ตองมการตรวจสอบเพอใหมนใจวาขอมลส าคญหรอ
ซอฟตแวรทมใบอนญาต มการลบทงหรอเขยนทบอยางถกตอง กอนการก าจดอปกรณหรอกอนน า
อปกรณ ไปใชงานอยางอน อปกรณ ของผ ใช งานท ท งไว โดยไมมผ ด แล (Unattended User
Equipment) ผใชงานตองมการปองกนอปกรณททงไวในสถานทแหงหนง ณ ชวงเวลาหนงทไมม
ผดแลอยางเหมาะสม มการจดท านโยบายโตะท างานปลอดเอกสารส าคญและนโยบายการปองกน
หนาจอคอมพวเตอร (Clear Desk and Clear Screen Policy) เพอปองกนเอกสารกระดาษและสอ
บนทกขอมลทถอดแยกได ซงจะชวยปองกนการเขาถงทางกายภาพตอเอกสารและขอมลส าคญของ
องคกร
(8) ความมนคงปลอดภยทางการปฏบตการ (Operations Security) : ประกอบดวยการก าหนดหนาทความรบผดชอบและขนตอนปฏบตส าหรบปฏบตการ (Operational Procedures and Responsibilities) ท ตองมขนตอนปฏบต มการควบคมการเปลยนแปลง (Change management) การบรหารสมรรถนะ (Capacity Management) และการแบงแยก
17
สภาพแวดลอมส าหรบการพฒนา การทดสอบและการใชงานจรง เพอลดความเสยงของการเขาถงหรอเปลยนแปลงสภาพแวดลอมส าหรบการใหบรการโดยไมไดรบอนญาต ตองมการปองกนมลแวร (Protection from Malware) ตองมมาตรการปองกนโปรแกรมไมประสงคด (Controls against Malware) เพอใหสารสนเทศและอปกรณประมวลผลสารสนเทศไดรบการปองกนจากโปรแกรมไมประสงคด มการปองกนและการกคนจากโปรแกรมไมประสงคด ซงอาจจะตองมการด าเนนการรวมกบการสรางความตระหนกใหกบผใชงานอยางเหมาะสม มการส ารองขอมล (Backup) เพอปองกนการสญหายของขอมล ซงตองมการด าเนนการส ารองไวและมการทดสอบความพรอมใชของขอมลอยางสม าเสมอตามนโยบายส ารองขอมล มการบนทกปมเหตการณและตดตาม (Logging and Monitoring) เพอใหมการบนทกเหตการณและจดท าหลกฐาน โดยเกบเปนขอมลลอกและขอมลนจะตองไดรบการปองกนจากการเปลยนแปลงแกไขและการเขาถงโดยไมไดรบอนญาต ส าหรบขอมล ลอกกจกรรมของผดแลระบบและเจาหนาทปฏบตการ (Administrator and Operator Logs) ตองมการปองและทบทวนอยางสม าเสมอ และตองมการตงนาฬกาใหถกตอง (Clock Synchronization) ซงเปนนาฬกาของระบบทเกยวของทงหมดภายในองคกร ซงตองมการตงใหตรงและถกตองเมอเทยบกบแหลงอางองเวลาแหงหนง เชน ส านกมาตร เปนตน มการควบคมซอฟตแวรทใชปฏบตการ (Control of Operational Software) ตองมขนตอนปฏบตส าหรบควบคมการตดตงซอฟตแวรบนระบบใหบรการอยมการท างานทถกตอง มการจ ากดการตดต งซอฟตแวร (Restrictions on Software Installation) ม ก า ร จ ด ก า ร ช อ ง โ ห ว ท า ง เท ค น ค (Technical Vulnerability Management) เพอปองกนการใชประโยชนจากชองโหวทางเทคนค มการควบคมเครองมอส าหรบการตรวจสอบระบบสารสนเทศ ตองมขนตอนปฏบตงานทเปนลายลกษณอกษรและตองสามารถเขาถงไดโดยผทจ าเปนใชงาน
(9) ความมนคงปลอดภยทางการสอสาร (Communications Security) : ประกอบดวยการจดการความมนคงปลอดภยทางเครอขาย (Network Security Management) ซงตองมการควบคมทางเครอขาย การก าหนดบรการทางเครอขายทใหบรการและการแบงแยกเครอขายทใชงาน และจดสงสารสนเทศ (Information Transfer) ซงตองมการก าหนดนโยบายและขนตอนปฏบต การก าหนดขอตกลงส าหรบ การจดสงสารสนเทศ การจดสงสารสนเทศทางอเลกทรอนกส การก าหนดขอตกลงในการรกษาความลบ และตองมการระบ ทบทวนอยางสม าเสมอ และบนทกไวเปนลายลกษณอกษร
(10) การจดหา พฒนาและบ ารงรกษาระบบ (System Acquisition, Development and Maintenance) : ประกอบดวยการก าหนดความตองการดานความมนคงปลอดภยสารสนเทศส าหรบระบบสารสนเทศ (Security Requirement of Information System) เพอท าการวเคราะหและก าหนดความตองการดานความมนคงปลอดภยสารสนเทศ ซงตองมการ
18
รวมเขากบความตองการของระบบใหมหรอการปรบปรงระบบเดมทมอย การควบคมความมนคงปลอดภยในการพฒนาและกระบวนการสนบสนน (Security in Development and Support Processes) มการก าหนดกฎเกณฑส าหรบการพฒนาซอฟตแวร เมอมการเปลยนแปลงระบบตองปฏบตตามขนตอนปฏบตส าหรบควบคมการเปลยนแปลง (System Change Control Procedures) มการทบทวนทางเทคนคตอระบบหลงจากทมการเปลยนแปลงโครงสรางพนฐานของระบบ (Technical Review of Applications after Operating Platform Changes) การจางหนวยงานภายนอกพฒนาระบบ (Outsourced Development) ตองมการก ากบดแล เฝาระวง และตดตามกจกรรมการพฒนาระบบทจางหนวยงานภายนอกเปนผด าเนนการ มการทดสอบดานความมนคงปลอดภยของระบบ (System Security Testing) เปนการทดสอบคณสมบตดานความมนคงปลอดภยของระบบ ซงตองมการด าเนนการในระหวางทระบบอยในชวงการพฒนา มการทดสอบเพอรองรบระบบ (System Acceptance Testing) ซงจะตองมแผนการทดสอบและเกณฑทเกยวของเพอรองรบระบบทมการจดท าขนใหม ระบบทปรบปรง และระบบทมการเปลยนแปลงเวอรชน มการควบคมความปลอดภยบนขอมลทดสอบ (Test Data) เพอใหมการปองกนขอใหมการปองกนขอมลทน ามาใชในทดสอบ ตองมการคดเลอกขอมลทจะน ามาทดสอบอยางระมดระวง มการปองกนและควบคมการน ามาใชงาน
(11) ความสมพนธกบผใหบรการภายนอก (Supplier Relationships) : ประกอบดวยการควบคมความมนคงปลอดภยสารสนเทศส าหรบผใหบรการภายนอก (Information Security in Supplier Relationships) ทตองมการก าหนดขอตกลงและความรบผดชอบดานความมนคงปลอดภยสารสนเทศ เพอใหมการปองกนและลดความเสยงเกยวกบทรพยสนขององคกรทมการเขาถงโดยผใหบรการภายนอก ซงตองมการจดท านโยบายความมนคงปลอดภยสารสนเทศดานความสมพนธกบผใหบรการภายนอก (Information Security Policy for Supplier Relationships) เปนลายลกษณอกษร ตองมการก าหนดและตกลงกบผใหบรการภายนอก รวมถงขอก าหนดและตกลงกบผใหบรการภายนอกเรองทเกยวของกบการเขาถง การประมวลผล การจดเกบ การสอสาร และการใหบรการโครงสรางพนฐานของระบบส าหรบสารสนเทศขององคกรโดยผใหบรการภายนอก (Addressing Security within Supplier Agreements) และการตองมการระบความเสยงอนเกดจากหวงโซการใหบรการเทคโนโลยสารสนเทศและการสอสารโดยผใหบรการภายนอก การบรหารการใหบรการ (Supplier Service Delivery Management) เพอใหมการรกษาไวซงระดบความมนคงปลอดภยและระดบการใหบรการตามทตกลงกนไวในขอตกลงการใหบรการของผใหบรการภายนอก มการตดตามและทบทวนของผใหบรการภายนอกอยางสม าเสมอ (Monitoring and Review of Supplier Services) และมการจดการการเปลยนแปลงของผ ใหบรการภายนอก (Managing Changes to Supplier Services) รวมทงการปรบปรงนโยบาย ขนตอนปฏบต และมาตรการทใชอย
19
ในปจจบน โดยตองน าระดบความส าคญของสารสนเทศ ระบบ และกระบวนการทางธรกจทเกยวของมาพจารณาดวย และมการทบทวนการประมนความเสยงใหมดวย
(12) การจดการกบ อบ ต ก ารณ ความม น คงปลอดภ ยสารสน เทศ (Information Security Incident Management) : ประกอบดวยขนตอนปฏบตส าหรบจดการกบอบตการณ การรายงานเหตการณและจดออนดานความมนคงปลอดภยสารสนเทศ การประเมนและการตดสนใจส าหรบเหตการณดานความมนคงปลอดภยสารสนเทศ การตอบสนองตออบตการณความมนคงปลอดภยสารสนเทศ และการรวบรวมหลกฐาน เพอใหมวธการทสอดคลองกนและไดผลส าหรบการบรหารจดการเหตการณซงรวมถงการแจงสถานการณและจดออนดานความมนคงปลอดภยสารสนเทศ มการก าหนดหนาทความรบผดชอบและขนตอนปฏบต (Responsibilities and Procedure) เพอใหมการตอบสนองอยางรวดเรว ไดผล และเปนไปตามล าดบ มการรายงานสถานการณความมนคงปลอดภยสารสนเทศ (Reporting Information Security Events) ผานชองทางการบรหารจดการทเหมาะสมและรายงานอยางรวดเรวทสดเทาทจะท าได มการรายงานจดออนความมนคงปลอดภยสารสนเทศ (Reporting Information Security Weaknesses) ซงพนกงานและผทท าสญญาจางทมการใชงานระบบและบรการสารสนเทศขององคกรตองสงเกตและรายงานจดออนความมนคงปลอดภยสารสนเทศในระบบหรอบรการทสงเกตพบหรอสงสยตอผทเกยวของ มการประเมนและตดสนใจตอสถานการณความมนคงปลอดภยสารสนเทศ (Assessment of and Decision on Information Security Events) วาสถานการณนนจดเปนเหตการณความมนคงปลอดภยสารสนเทศหรอไม มการตอบสนองตอเหตการณความมนคงปลอดภยสารสนเทศ (Response to Information Security Incidents) เพอจดการกบปญหาตามขนตอนปฏบตทจดท าไวเปนลายลกษณอกษร มการเรยนรจากเหตการณความมนคงปลอดภยสารสนเทศ (Learning from Information Security Incidents) โดยการน าความรทไดรบจากการวเคราะหและแกไขเหตการณความมนคงปลอดภยสารสนเทศมาใช เพอลดโอกาสหรอผลกระทบของเหตการณทจะเกดขนในอนาคต มการรวบรวมหลกฐาน (Collection of Evidence) โดยองคกรจะตองมการก าหนดและประยกตใชขนตอนปฏบตส าหรบการราบ รวบรวม จดหา และการจดเกบสารสนเทศทสามารถใชเปนหลกฐาน
(13) การจดการความตอเนองทางธรกจในมตความมนคงปลอดภยส า ร ส น เท ศ ( Information Security Aspects of Business Continuity Management) : ประกอบดวยการวางแผนความตอเนองในการด าเนนธรกจ (Planning Information Security Continuity) องคกรตองมการก าหนดความตองการดานความมนคงปลอดภยสารสนเทศและดานความตอเนองในสถานการณทเกดความเสยหายขน เชนในชวงทเกดวกฤตหรอภยพบตจนไมสามารถปฏบตงานไดตามปกต การเตรยมการและการประยกตใชงานแผน (Implement Information
20
Security Continuity) องคกรตองก าหนดและจดท าเปนลายลกษณอกษร น าไปปฏบต และปรบปรงกระบวนการ ขนตอนปฏบตและมาตรการ เพอใหไดระดบความตอเนองดานความมนคงปลอดภยสารสนเทศทก าหนดไว เมอมสถานการณความเสยหายเกดขน การทดสอบและทบทวนความตอเนองทางธรกจ (Verify, Review and Evaluate Information Security Continuity) โดยตองมการตรวจสอบมาตรการสรางความตอเนองทไดเตรยมไวตามรอบระยะเวลาทก าหนดไว เพอใหมนใจวามาตรการเหลานนยงถกตองและไดผลเมอมสถานการณความเสยหายเกดขน การใชงานอปกรณส ารอง (Redundancies) เพอจดเตรยมสภาพความพรอมใชของอปกรณประมวลผลสารสนเทศ โดยอปกรณนตองมการเตรยมการส ารองไวอยางเพยงพอเพอใหตรงตามความตองการดานสภาพความพรอมใชทก าหนด
(14) การปฏบตตาม (Compliance) : ประกอบไปดวยการปฏบตตามกฎ ระเบยบ กฎหมายทก าหนด (Compliance with legal and contractual requirements) เพอหลกเลยงการละเมดขอผกพนในกฎหมาย ระเบยบขอบงคบ หรอสญญาจาง ทเกยวของกบความมนคงปลอดภยสารสนเทศ และทเปนทตองการดานความมนคงปลอดภย มการระบความตองการทงหมดทเกยวของกบกฎหมาย ระเบยบขอบงคบ และสญญาจาง (Identification of Applicable Legislation and Contractual Requirements) รวมทงวธการขององคกรเพอใหสอดคลองกบความตองการดงกลาว ตองมการระบอยางชดเจน จดท าเปนลายลกษณอกษร และปรบปรงใหทนสมย สทธในทรพยสนทางปญญา (Intellectual Property Rights) ตองมการก าหนดขนตอนปฏบตทเหมาะสม เพอใหมนใจวามความสอดคลองกบความตองการทางกฎหมาย ระเบยบขอบงคบ และสญญาจางทวาดวยเรองสทธในทรพยสนทางปญญาและการใชผลตภณฑซอฟตแวรทมกรรมสทธ มการปองกนขอมล (Protection of Records) ส าหรบขอมลขององคกรนนตองไดรบการปองกนจากการสญหาย การถกท าลาย การปลอมแปลง การเขาถงโดยไมไดรบอนญาต และการเผยแพรโดยไมไดรบอนญาต โดยตองสอดคลองกบความตองการของกฎหมาย ระเบยบขอบงคบ สญญาจาง และความตองการทางธรกจ รวมถงความเปนสวนตวและการปองกนขอมลสวนบคคล (Privacy and Protection of Personal Identifiable Information)และระเบยบขอบงคบส าหรบมาตรการการเขารหสขอมล (Regulation of Cryptographic Controls) ตองมการด าเนนการใหสอดคลองกบกฎหมายและระเบยบขอบงคบทเกยวของดวย การทบทวนความมนคงปลอดภยสารสนเทศ (Information security reviews) ตองมการทบทวนตามรอบระยะเวลาทก าหนดไวหรอเมอมการเปลยนแปลง มการด าเนนการทบทวนความสอดคลองกบนโยบายและมาตรฐานดานความมนคงปลอดภย (Compliance with Security Policies and Standards) ทตนเองรบผดชอบอยอยางสม าเสมอ ซงรวมถงขนตอนปฏบต โดยเทยบกบนโยบาย มาตรฐานและความตองการดานความมนคงปลอดภยทเกยวของ และมการทบทวนความสอดคลองทางเทคนค (Technical Compliance Review) ของระบบ ซงตองไดรบการทบทวนอย
21
อยางสม าเสมอเพอพจารณาความสอดคลองกบนโยบายและมาตรฐานดานความมนคงปลอดภยสารสนเทศขององคกร
2.2.3 พระราชกฤษฎกา วาดวยวธการแบบปลอดภยในการท าธรกรรมทางอเลกทรอนกส พ.ศ. 2553 พระราชกฤษฎกาฉบบนจะเนนทวธการแบบปลอดภยในการท าธรกรรมทางอเลกทรอนกส โดยใหความส าคญกบความมนคงปลอดภยสารสนเทศในดานตางๆ อยบนพนฐานของหลก CIA ประกอบไปดวย การรกษาความลบของขอมล (Confidentiality) เพอใหขอมลสารสนเทศ เปดเผยเฉพาะบคคล หรอระบบทไดรบอนญาตเทานน, ความสมบรณถกตองของขอมล ( Integrity) เพอเปนการยนยนวาขอมลสารสนเทศไมถกเปลยนแปลงไปจากของเดมโดยผทไมมสทธ หรอผทไมไดรบอนญาต, ความพรอมใชของขอมล (Availability) เพอใหระบบสารสนเทศมความพรอมใหบรการอยเสมอ เปนระบบททนทานตอความเสยหาย และไมท าใหการด าเนนงานหยดชะงก มวตถประสงคเพอ สงเสรมการบรหารจดการความมนคงปลอดภยของทรพยสนสารสนเทศ สงทองคกรจะไดรบประโยชนคอ เปนการเพมความปลอดภยและความมนคงของระบบ ชวยลดความสญเสยหรอความเสยหายทคาดวาจะเกดขนจากเหตการณทไมไดคาดการณไว เปนการยกระดบความมนคงปลอดภยดานสารสนเทศและความนาเชอถอ เนองจากในปจจบนการใชเทคโนโลยสารสนเทศและการสอสารเขามามบทบาทส าคญตอการด าเนนการของภาครฐและเอกชน จงมการสงเสรมใหทกหนวยงานมการบรหารจดการและรกษาความมนคงปลอดภยของสนทรพยสารสนเทศในการท าธรกรรมทางอเลกทรอนกส อกทงในมาตราท 25 แหงพระราชบญญตวาดวยธรกรรมทางอเลกทรอนกส พ.ศ. 2544 บญญตไววาใหธรกรรมใดทไดกระท าตามวธการแบบปลอดภยทก าหนดไวในพระราชกฤษฎกา ใหถอวาเปนวธการทเชอถอได
2.2.4 แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานภาครฐพ.ศ. 2553 เพอใหหนวยงานภาครฐมแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ เพอใหการด าเนนการใดๆ ดวยวธการทางอเลกทรอนกส มความมนคงปลอดภยและนาเชอถอ รวมทงเพอสรางความเชอมนตอการท าธรกรรมทางอเลกทรอนกสในทกรปแบบใหเปนทยอมรบในระดบสากล และเพอเปนการสงเสรมและผลกดนใหประเทศสามารถยกระดบการแขงขนกบประเทศอนๆได ทางคณะอนกรรมการธรกรรมทางอเลกทรอนกส จงไดก าหนดแนวนโยบายและแนวปฏบตนขนมา โดยอาศยความในมาตรา 5 มาตรา 7 และมาตรา 8 แหงพระราชกฤษฎกาก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ.
22
2549 เพอใหเปนแนวทางเบองตนใหหนวยงานของรฐใชในการก าหนดนโยบาย และขอปฏบตในการด าเนนการรกษาความมนคงปลอดภยสารสนเทศ หนวยงานของรฐตองมนโยบายในการรกษาความมนคงปลอดภยสารสนเทศของหนวยงานเปนลายลกษณอกษร มการจดการการเขาถงหรอการควบคมการใชสารสนเทศ มการจดใหมระบบสารสนเทศและระบบส ารองระบบสารสนเทศซงอยในสภาพพรอมใชงาน และจดท าแผนเตรยมความพรอมกรณฉกเฉน เพอใหสามารถใชงานสารสนเทศไดอยางตอเนอง และตองมการตรวจสอบและประเมนความเสยงดานสารสนเทศอยางสม าเสมอ อกทงหนวยงานของรฐตองจดท าขอปฏบตทสอดคลองกบนโยบายการรกษาความมนคงปลอดภยสารสนเทศขององคกร ตอจากนนตองท าการประกาศนโยบายและขอปฏบตดงกลาวใหผทเกยวของทงหมดทราบ เพอใหเขาถง เขาใจและปฏบตตามนโยบายและขอปฏบตนนได อกทงหนวยงานตองก าหนดผรบผดชอบตามนโยบาย และขอปฏบตดงกลาวใหชดเจน สดทายหนวยงานของรฐตองมการทบทวน ปรบปรงนโยบายและขอปฏบตใหเปนปจจบนอยเสมอ
2.2.5 การควบคมภายใน, การตรวจสอบภายใน, การบรหารความเสยง, การบรหารความเนองทางธรกจ และการวเคราะหผลกระทบทางธรกจ ดานเทคโนโลยเทศสารสนเทศ
2.2.5.1 การควบคมภายใน ดานเทคโนโลยสารสนเทศ
การควบคมภายใน หมายถง กระบวนการทก าหนดใหมขนเพอใหเกดความมนใจในการด าเนนงาน จะบรรลวตถประสงค 3 ประการ
(1) ประสทธผล และ ประสทธภาพ ของการด าเนนงาน (2) ความเชอถอได ของการรายงานทางการเงน (3) การปฏบตตามกฎหมาย และระเบยบขอบงคบ
Romney and Steinbart (2552) ไดกลาวไวเกยวกบการควบคมภายในดานเทคโนโลยสารสนเทศไววา เปนกระบวนการทใชเปนเครองมอโดยคณะกรรมการบรหาร ฝายบรหาร และผทอยภายใตการควบคมของฝายบรหาร เพอจดท าใหมนใจวา บรรลวตถประสงคในดานตาง ๆ ดงน
(1) การคมครองปองกนสนทรพย ประกอบดวย ปองกน ตรวจพบ จากการใชโดยผไมมหนาทไดอยางทนทวงท
(2) การรกษาไวซงรายการทบนทกสนทรพยใหมรายละเอยดอยางเพยงพอ
(3) การจดเตรยมสารสนเทศทถกตองแมนย าและเชอถอได
23
(4) รายงานทางการเงนจดท าถกตองการหลกการบญชทรบรองทวไป
(5) การสงเสรมและพฒนาการด าเนนงานอยางมประสทธภาพ รายไดและคาใชจายมผมอ านาจเปนผสงการ
(6) กระตนใหเกดการยดมนในการก าหนดนโยบายการบรหาร การควบคมภายในของระบบสารสนเทศ แบงออกเปน 2 ประเภท 1. การควบคมทวไป (General Control)
(1) ควบคมการบรหารระบบสารสนเทศ (2) ควบคมการจดการความปลอดภย (3) ควบคมอปกรณเทคโนโลยสารสนเทศ
2. การควบคมระบบงาน (Application Control) ปองกน ตรวจพบ และแกไข ความผดพลาดของรายการคาและการ
ทจรตของขอมลในระบบ ตงแตการบนทกเขา การประมวลผล การจดเกบการสงตอไประบบอนและการรายงาน
ในการควบคมภายในนน มกรอบงานการควบคมทส าคญ 3 กรอบงาน ไดแก
(1) กรอบงาน COBIT ( Control Objectives for Information and related Technology ) ไดรบการการพฒนาจาก สมาคมผตรวจสอบและควบคมระบบสารสนเทศ ซงเปนกรอบงานความปลอดภยของขอมลในระบบสารสนเทศ และควบคมแนวปฏบตทางดานเทคโนโลยสารสนเทศ ปจจบนท ใชงานจะเปนเวอรชน 5 ซงกรอบงาน COBIT นชวยสนบสนนฝายบรหารในการสรางสมดลระหวางความเสยงและการควบคมสารสนเทศ สรางความมนใจใหกบผใชในดานการรกษาความปลอดภย
(2) กรอบงานการควบคมภายในของ COSO มองคประกอบทตองพจารณา 5 หวขอ คอ สภาพแวดลอมการควบคม (Control Environment), การประเมนความเสยง (Risk Assessment), กจกรรมการควบคม (Control Activities), ขอมลสารสนเทศ และการสอสารในองคกร (Information and Communication), การตดตามและประเมนผล (Monitoring)
(3) กรอบงานการบรหารความ เส ย งท วท งองคกร COSO’s Enterprise Risk Management
2.2.5.2 การตรวจสอบภายใน
24
การตรวจสอบภายใน คอ กจกรรมการใหความเชอมน (Assurance) และการใหค าปรกษา (Consulting) อยางเทยงธรรมและเปนอสระ ซงจดใหมขนเพอเพมคณคาและปรบปรงการปฏบตงานขององคกรใหดขน ซงจะชวยใหองคกรบรรลถงเปาหมายทวางไว ดวยการประเมนและปรบปรงประสทธภาพของกระบวนการบรหารความเสยง การควบคมและการก ากบดแลอยางเปนระบบ มวตถประสงคเพอชวยผปฏบตงานในองคกรใหท างานในหนาทความรบผดชอบของแตละคนไดอยางมประสทธภาพมประสทธผลและเปนการสงเสรมใหมการควบคมอยางมประสทธภาพภายใตคาใชจายทเหมาะสม
ส าหรบดานเทคโนโลยสารสนเทศนน ครรชต มาลยวงศ (2554) มประเดนส าคญทตองค านงถง ดงน
(1) ความลบ (Confidentiality) หมายถง ขอมลจะเขาถงเพอใชงานไดเฉพาะผทไดรบอนญาตเทานน
(2) ความถกตอง (Integrity) หมายถง ขอมลมความนาเชอถอ แมนย า และเปนปจจบน
(3) ความพรอมใช (Availability) หมายถง การใชทรพยสน IT เพอปฏบตการใหเปนไปตามขอตกลงระดบการใหบรการ (Service Level Agreement = SLA)
เรานยมเรยกประเดนเหลานยอ ๆ วา CIA สวนใหญแลวจะมขอบเขตการตรวจสอบ เชน
(1) การควบคมขนตน คอ ตรวจสอบวาผบรหารสนใจในเรองการควบคม การวางแผนกลยทธ ทศทาง งบประมาณ ฯลฯ หนวยงานมนโยบายทวไปเกยวกบการใชเทคโนโลยสารสนเทศ มการวดผลการประเมนความเสยง ธรรมาภบาลดานเทคโนโลยสารสนเทศและการปฏบตตามกฎระเบยบขอบงคบและนโยบายดานการซอไลเซนส (License) การใชซอฟตแวร (Software) เปนตน
(2) การด าเนนการของศนยไอท คอ การตรวจสอบเงอนไขทางดานกายภาพ และสงแวดลอม เชน ความมนคงทางกายภาพ ระบบพลงงาน ภยคกคามจากมนษย และธรรมชาต บรการยามฉกเฉน มการวางแผนสมรรถนะ และความพรอมใหบรการ มขนตอนการกระบบ การส ารองทงใน และนอกสถานทตง และมการวางแผนการกระบบ และการวางแผนปฏบตงานอยางตอเนอง
(3) โครงสรางพนฐานเครอขายและอปกรณ คอ การตรวจสอบอปกรณตาง ๆ เชน เราเตอร (Router) สวตช (Switch) ไฟรวอลล (Firewall) และอปกรณอน ๆ
25
พรอมงานประยกต มการประเมนโครงแบบระบบ (Configuration) และการกระบบ ตรวจสอบเรองความมนคง และการก ากบดแล ความมนคงทางกายภาพ มการวเคราะหระบบการตรวจจบ เปนตน
(4) ระบบไรสายและบรการอปกรณพกพา (Mobile) มการประเมนระบบเครอขายสนบสนนงานอปกรณพกพา และการก าหนดนโยบาย สถานภาพ และวธการเขารหสลบส าหรบงานอปกรณพกพา สอบทานวธการเขาถงและความมนคงดานสารสนเทศ มการประเมนจดใหบรการ และความพอเพยงของสญญาณ
(5) ระบบปฏบตการ มการ การเลอก และบรหารระบบปฏบตการ มการจดการระบบแพทช (การซอมแซมโปรแกรม) มนโยบาย และการบรหารความมนคงปลอดภยสารสนเทศ เชนมนโยบายกลม การบรหารรหสผาน การบรหารการแบงกนใชขอมล เปนตน มการปดกนการใหบรการ ไมยอมใหงานบรการทไมจ าเปน มลกษณะการบนทกการใชงานและการประเมนการใชงาน
(6) ฐานขอมล และระบบสารสนเทศ มการประเมนงานประยกต ประกอบดวย การตรวจสอบสทธในการใช (license) การใชงาน และการปรบใหเปนปจจบน (update) มการวเคราะหเครองบรการฐานขอมล (Database server) เชน การตรวจสอบความมนคง สมรรถนะ และการใชงาน มการตรวจสอบเวบและการประยกตองอนเทอรเนต เชน การบนทกการใชงานและความมนคง มการตรวจสอบการฝกอบรมผใชทางดานการใชอนเทอรเนต และอเมล เปนตน
(7) การด าเนนงานโครงการ มการตรวจสอบกระบวนการรวบรวมขอก าหนดความตองการของระบบใหม มตรวจสอบเอกสารของระบบและการจดการความเปลยนแปลง มการพจารณาก าหนดเวลาด าเนนการ งบประมาณ และรายงานในโครงการวาสอดคลองนาเชอหรอไม มการประเมนการทดสอบโครงการ และตรวจสอบการวางแผนความมนคงปลอดภยสารสนเทศ
กลาวโดยสรปคอ การตรวจสอบไอทมความจ าเปนตอหนวยงานทกแหง (ทงภาครฐ และเอกชน) เพราะในปจจบนหนวยงานจ าเปนตองใชไอทเปนเครองมอส าคญในการปฏบตงาน และบรหารจดการ หากระบบไอทมปญหา หนวยงานอาจไดรบผลกระทบอยางรนแรงจนถงกบไมสามารถปฏบตงานได สงผลใหเกดปญหาอนๆ ตามมาได
26
ภาพท 2.1 ความสมพนธระหวางการควบคมภายในและการตรวจสอบภายใน
2.2.5.3 การบรหารความเสยงดานเทคโนโลยสารสนเทศ
ส านกงานพฒนาระบบราชการหรอ ก.พ.ร. (2557) ไดระบวาสวนราชการตองมการวางระบบบรหารความเสยงของระบบฐานขอมลและสารสนเทศ โดยตองด าเนนการดงตอไปน
(1) มการบรหารความเสยงเพอก าจด ปองกนหรอลดโอกาสเกดความเสยหายในรปแบบตางๆ โดยสามารถฟนฟระบบสารสนเทศ และการส ารองและกคนขอมลจากความเสยหาย
(2) มการจดท าแผนแกไขปญหาจากสถานการณความไมแนนอนและภยพบตทอาจเกดขนกบระบบสารสนเทศ
(3) มระบบรกษาความมนคงปลอดภยของระบบฐานขอมล (4) มการก าหนดสทธของผใชในแตละระดบ
27
ภาพท 2.2 ขนตอนในการบรหารความเสยงขององคกร (สบคนจาก http://www.audit.psu.ac.th/pdf/risk/risk3-57.pdf ) เมอวนท 14 เมษายน 58
การประเมนความเสยง สามารถวเคราะหไดจาก
(5) โอกาสเกด (L : Likelihood) เปนระดบของโอกาสหรอความบอยครงทจะเกดความเสยง เชน
1 = โอกาสเกดนอยทสด/รนแรงนอยทสด
2 = โอกาสเกดนอย/รนแรงนอย
3 = โอกาสเกดปานกลาง/รนแรงปานกลาง
4 = โอกาสเกดมาก/รนแรงมาก
ทบทวนการบรหารความ
เสยง
ระบปจจยเสยง
วเคราะหความเสยง
ก าหนดมาตรการ
จดการความเสยง
ตดตาม รายงาน
ประเมนผล
ระดบความเสยง = L x I
28
5 = โอกาสเกดมากทสด/รนแรงมากทสด
(6) ผลกระทบ (I : Impact) คอระดบความรนแรงของความเสยงทเกดขน เชน
ตารางท 2.1 ตวอยางผลกระทบตอองคกร (ดานเวลา)
ผลกระทบ ความเสยหาย ระดบคะแนน สงมาก
สง ปานกลาง
นอย นอยมาก
ท าใหเกดการลาชาของโครงการ มากกวา 6 เดอน ท าใหเกดการลาชาของโครงการ มากกวา 4.5 เดอน ถง 6 เดอน ท าใหเกดการลาชาของโครงการ มากกวา 3 เดอน ถง 4.5 เดอน ท าใหเกดการลาชาของโครงการ มากกวา 1.5 เดอน ถง 3 เดอน
ท าใหเกดการลาชาของโครงการ ไมเกน 1.5 เดอน
5 4 3 2 1
ตารางท 2.2 ตวอยางผลกระทบตอองคกร (ดานชอเสยง) ผลกระทบ ความเสยหาย ระดบคะแนน
สงมาก สง
ปานกลาง นอย
นอยมาก
มการเผยแพรขาวทงจากสอภายในและตางประเทศเปนวงกวาง มการเผยแพรขาวเปนวงกวางในประเทศและมการเผยแพรขาวอย
วงจ ากดในตางประเทศ มการลงขาวในหนงสอพมพในประเทศหลายฉบบ 2-3 วน
มการลงขาวในหนงสอพมพในประเทศบางฉบบ 1 วน ไมมการเผยแพรขาว
5 4 3 2 1
ท าการจดล าดบความเสยงโดย
(7) รวมคะแนนระหวางโอกาสทจะเกดความเสยหาย/ผลกระทบ เพอจดล าดบความส าคญและใชในการตดสนใจวาความเสยงใดควรเรงจดการกอน
(8) จดท าแผนภมความเสยงเพอใหผบรหารและคนในองคกรไดเหนภาพรวมวาความเสยงมการกระจายตวอยางไร
29
ภาพท 2.3 แผนภมความเสยง (Risk Map)
เมอไดผลของระดบความเสยงจากทรพยสนตางๆ แลว ใหพจารณาเกณฑระดบความเสยงทยอมรบได ดงน ตารางท 2.3 เกณฑระดบความเสยงทยอมรบได
ระดบความเสยงทยอมรบได ระดบความเสยงทตองด าเนนการควบคม
เขยว สสม
สเหลอง สแดง
หมายเหต เกณฑการยอมรบความเสยงไมใชแคการระบความเสยงคงเหลอวาต ากวาหรอสงกวาเกณฑ ในบางกรณอาจจะมการยอมรบความเสยงคงเหลอทไมตรงกบเกณฑ เชน มคาใชจายในการลดความเสยงทสงและไมสามารถยอมรบได โดยในกรณนจะตองมการระบเหตผลก ากบทกครง
กรณทระดบความเสยงทค านวณไดนนเปนสสมหรอสแดง ใหท าการพจารณาแนวทางใดแนวทางหนงในการจดการความเสยงดงน
1) การลดความเสยง (Risk Reduction)
2) การรบความเสยง (Risk Retention )
3) การหลกเลยงความเสยง (Risk Avoidance)
4) การถายโอนความเสยง (Risk Transfer)
30
ในกรณทระดบความเสยงทค านวณไดนนเปนสเขยวหรอสเหลอง ใหด าเนนการควบคมและเฝาระวงตดตามความเสยงอยางใกลชดตอไป
สามารถสรปขนตอนการประเมนความเสยงไดดงน
ภาพท 2.4 การประเมนความเสยง (Risk Assessment)
2.2.5.4 การบรหารความเนองทางธรกจ ดานเทคโนโลยสารสนเทศ
แตละองคกรจะตองมการจดท าแผนความตอเนองทางธรกจ ดานเทคโนโลยสารสนเทศ (Business Continuity Plan for IT) เพอวตถประสงคดงตอไปน
(1) เพอก าหนดแผนทชดเจน และเปนลายลกษณอกษรส าหรบการด าเนนการในกรณเกดอบตการณ
(2) เพอก าหนดโครงสรางในการด าเนนแผนความตอเนองทางธรกจดานเทคโนโลยสารสนเทศทสอดคลองกบแผนความตอเนองทางธรกจหลก
(3) เพอลดผลกระทบจากการหยดชะงกในการด าเนนธรกจหรอการใหบรการ
(4) เพอบรรเทาความเสยหายใหอยระดบทยอมรบได
ในการวดผลส าเรจของการด าเนนการตามแผนความตอเนองทางธรกจ ดานเทคโนโลยสารสนเทศ สามารถท าไดโดย การเปรยบเทยบระหวางคา RTO ทก าหนด และคา
31
RTO ทใชจรงในการกคน และน ามาประเมนผล ในกรณทคา RTO ทใชในการกคนมคามากกวา RTO ทก าหนด ควรมการพจารณาปรบกลยทธความตอเนองทางธรกจ ทงน เพอใหสามารถกคนระบบไดตามเปาหมายทก าหนดไว และเพอไมใหมผลกระทบตอความตอเนองทางธรกจ
ส าหรบแผนความตอเนองทางธรกจ ดานเทคโนโลยสารสนเทศ ควรไดรบการทบทวน และปรบปรงใหเปนปจจบนอยางสม าเสมอ อยางนอยปละ 1 ครง หรอเมอมการเปลยนแปลงอยางมนยส าคญ เพอใหแนใจวาสามารถน าแผนไปใชงานไดอยางมประสทธผลและประสทธภาพ
ในการพจารณาเรมการใชแผนความตอเนองทางธรกจ ดานเทคโนโลยสารสนเทศ ตองเปนไปตามค าสงคณะกรรมการอ านวยการศนยปฏบตการในภาวะภยพบต (Business Continuity Management Steering Committee) โดยทตองมความสอดคลองกบแผนความตอเนองทางธรกจ
มการก าหนดบทบาท ความรบผดชอบ และอ านาจการตดสนใจ เพอใหแผนความตอเนองทางธรกจ ดานเทคโนโลยสารสนเทศ สามารถน าไปปฏบตใชไดอยางมประสทธภาพและเกดประสทธผล จงมการจดตงคณะบรหารความตอเนอง (BCP Team) รวมถงก าหนดบทบาท ความรบผดชอบ และอ านาจการตดสนใจ โดยคณะบรหารความตอเนอง
มการจดท าแผนแผนจดการอบตการณเพอเปนแนวทางในการบรหารจดการ เมอมอบตการณ (Incident) เกดขน โดยท าเปนขนตอนปฏบต มการระบบทบาทหนาทอยางชดเจน และรายละเอยดขนตอนกระบวนการกลบสภาวะปกต เมอเหตนนไดยตลงแลว
2.2.5.5 การวเคราะหผลกระทบทางธรกจ ดานเทคโนโลยสารสนเทศ การว เค ราะห ผ ล กระท บ ท างธ รก จ (Business Impact Analysis :
BIA) เปนกระบวนการขนตอนหนงในการพฒนาระบบบรหารความตอเนองทางธรกจ (Business Continuity Management System; BCMS) ซง BIA เปนกระบวนการในการวเคราะหกจกรรมตางๆ และผลกระทบตอกจกรรมดงกลาวหากภารกจของหนวยงานหรอองคกรเกดการหยดชะงกข น (Business impact analysis = process of analyzing activities and the effect that a business disruption might have upon them) อนเนองมาจากการไดรบผลกระทบจากปจจยเสยงทมากระทบองคกร ซงการวเคราะหผลกระทบทางธรกจดานเทคโนโลยสารสนเทศนเปนกระบวนการวเคราะหโดยการพจารณาแตละกจกรรมหรอกระบวนการทส าคญตามขอบเขตทก าหนด เชน ระบบงานทมความส าคญ หรอการใหบรการสารสนเทศทส าคญ เพอท าความเขาใจผลกระทบทเกดขนหากเกดการหยดชะงกรวมถงวเคราะหความตองการของผใชงานและผมสวนไดสวนเสยทอาจ
32
ไดรบผลกระทบจากการหยดชะงกของระบบงานหรอฟงกชนงานทส าคญนน เพอหาระดบการยอมรบไดในการหยดชะงกของภารกจททงองคกรและลกคาหรอผมสวนไดสวนเสยสามารถยอมรบได หลงจากนนองคกรจงน าผลการวเคราะห BIA ทไดไปก าหนดกลยทธ (Strategy) ในการรบมอกบสภาวะวกฤตขององคกรเมอไดรบผลกระทบ จดท าแนวทางหรอรปแบบการลดหรอบรรเทาความเสยง (Risk Treatment) และรวบรวมขอมลท ไดจากการวเคราะหและแนวกลยทธดานเทคโนโลยสารสนเทศสารสนเทศ ไปจดท าแผนบรหารความตอเนองทางธรกจ (Business Continuity Plan : BCP) ดานเทคโนโลยสารสนเทศ เพอใชรบมอกบสภาวะวกฤตทองคกรเปนผทไดรบผลกระทบตอไป 2.3 ทบทวนวรรณกรรมทเกยวของ
งานวจยเรอง “โครงการเตรยมความพรอมการบรหารจดการดานความมนคงปลอดภย
สารสนเทศ กรณศกษาหนวยงานของรฐ” ศรชช จตรสายชล (2556) ไดท าการศกษาหนวยงานภาครฐแหงหนง ซงมโครงการ
พฒนาและขยายการใหบรการแกประชาชนเพมขน ไดมน าเอาระบบเทคโนโลยสารสนเทศมาใชเพอเพมความสะดวกใหกบบคลากรและผทเขามารบบรการ เพอใหมนใจวาระบบสารสนเทศสามารถใหบรการและใชงานไดเปนอยางด หนวยงานจงควรน าเอาระบบบรหารจดการ ทางดานความปลอดภยระบบสารสนเทศมาประยกตใช ซงจะท าใหองคกรมนโยบาย ขนตอน กระบวนการ และแนวทางในการบรหารจดการทางดานความมนคงปลอดภยระบบสารสนเทศ สงผลใหมความพรอมในการบรหารงานทางดานความเสยงของระบบสารสนเทศ และองคกรยงสามารถน าแนวทางมาใชในการแกปญหาการบรหารจดการทางดานความมนคงปลอดภยระบบสารสนเทศไดอกทางหนงดวย
หลกการของการออกแบบโครงสรางระบบ ISO/IEC 27001:2005 ใชรปแบบ PDCA Model (Plan Do Check Act) ซงเปนโครงสรางแบบเดยวกบระบบการบรหารสากลทวโลก และเปนมาตรฐานทไดรบการยอมรบ ส าหรบองคกรทยงไมมระบบการจดการใดๆเลย กสามารถน ามาประยกตใชกบองคกรไดไมยาก
แนวคดหลกของการจดท าระบบบรหารดานความมนคงปลอดภยสารสนเทศนน เปนการจดการความมนคงปลอดภยของขอมลเพอ
- Confidentiality เพอใหแนใจวาขอมลตางๆ สามารถเขาถงไดเฉพาะผทมสทธทจะเขาเทานน
- Integrity ปองกนใหขอมลมความถกตองและสมบรณ - Confidentiality เพอใหแนใจวาผทมสทธเขาถงขอมลสามารถเขาถงไดเมอ
ตองการ
33
ในการศกษาครงน ไดมการประเมนและวเคราะหความเสยงของหนวยงาน มการเปรยบเทยบนโยบายองคกรทใชอยในปจจบนกบมาตรฐาน ISO 27001 ไดขอสรปวาหนวยงานยงไมมผลกระทบทรายแรงตอระบบสารสนเทศ ยกเวนปญหาเรองของบคลากรทควบคมดแลระบบเทคโนโลยสารสนเทศ ทยงขาดความรความเขาใจในระบบความปลอดภยสารสนเทศ การเปลยนแปลงผบรหาร และงบประมาณในการพฒนาทางดานสารสนเทศ แตจากการศกษาหนวยงานยงไมเคยรบผลกระทบใดๆ เนองจากบคลากรมการปฏบตตามกฎระเบยบอยางเครงครด
ฤทธ อนทราวธ (2556) ไดใหแนวคดเกยวกบเทคโนโลยสารสนเทศกบความพรอมของกองทพบกวา ประเทศไทยก าลงกาวเขาสสงคมประชาคมเศรษฐกจอาเซยน (AEC) ในระดบประเทศไทยเองกไดมการเตรยมความพรอมในดานตางๆ ทงการเมอง เศรษฐกจ สงคม วฒนธรรมและดานความมนคง เพอรองรบ โอกาส วกฤต และความทาทาย
กองทพบก ซงเปนหนวยงานหลกดานความมนคงของประเทศหนวยงานหนง ไดมการเตรยมการและเตรยมความพรอมในดานตางๆ เชนกน โดยไดด าเนนการพฒนาและขบเคลอนกองทพบกในแตละปมาโดยตลอดอยางตอเนอง ทงดานการบรหารจดการ ดานการฝก และดานการพฒนาบคลากร เพอใหมความพรอม ซงปจจบนกองทพบกมการเตรยมความพรอมเพอกาวสอนาคตในดานเทคโนโลยสารสนเทศ สามารถทจะประยกตใชในงานตางๆ ไดอยางเหมาะสม
เทคโนโลยสารสนเทศ เปนปจจยหลกในการพฒนาองคกรใหมความทนสมยและเกดประสทธภาพในดานตางๆ เชน ดานการบรหารจดการ ดานกระบวนการท างาน ดานพฒนาทรพยากรมนษย ดานสวสดการและการบรการตนเอง องคกรใดทสามารถน าเอาเทคโนโลยสารสนเทศมาประยกตใชไดอยางเหมาะสม จะสงผลใหองคกรไดรบประโยชนจากเทคโนโลยสารสนเทศอยางเตมทและมประสทธภาพ
ในการปฏบตการทางทหาร (Military Operations) ในปจจบนไดมการเผชญกบภยคกคามรปแบบใหมๆ รวมถงการปฏบตการทางทหารทไมใชการท าสงคราม (Military Operations Other Than War : MOOTW) มความจ าเปนตองบรณาการใชเทคโนโลยสารสนเทศมาประยกตใชกบเทคโนโลยทางทหาร เชน ระบบลาดตระเวน (Reconnaissance System), ระบบเฝาตรวจ (Surveillance System), ระบบรบสงขอมลดาวเทยม (Remote Sensing System) เปนตน ซงจะชวยปองกนและลดความสญเสยทอาจจะเกดขน และเพอเพมความสะดวกสบายใหกบผทน าไปใชงานอกดวย อกทงยงสามารถประยกตใชกบการฝกปฏบตการและการซอมรบ ดวยระบบจ าลองยทธ (Battle Simulation System) เปนการฝกจ าลองสถานการณรบดวยระบบสารสนเทศ เพอการแกปญหาของผบงคบหนวยและฝายอ านวยการ เพอการประเมนความรความสามารถ สมรรถนะ และศกยภาพในขนตอนกระบวนการแกปญหาตางๆ ในการรบ รวมถงการตดสนใจของผบงคบหนวย เปนตน
34
ดงนนการเตรยมความพรอมของกองทพบกในป 2558 นน กองทพบกไดเลงเหนถงประโยชนและความส าคญของการน าเทคโนโลยสารสนเทศมาประยกตใช เพอมงสการเปนกองทพททนสมย มมาตรฐานในระดบสากล และเปนทยอมรบของประเทศตางๆ
ปญญา บญญาภวฒน (2553) ใหความส าคญกบระบบเทคโนโลยสารสนเทศ เนองจากในปจจบนน มหลายองคกร ทงภาครฐและภาคเอกชน ทประกอบธรกรรมโดยใชระบบเทคโนโลยสารสนเทศเปนหลก จงตองมการบรหารจดการความมนคงปลอดภยดานสารสนเทศอยางเปนระบบ รวมถงจะตองมการขอรบรองมาตรฐานจากองคกรทใหการรบรองวาสามารถด าเนนการตามมาตรฐานความมนคงปลอดภยดานสารสนเทศตามทก าหนดในการบรหารจดการความมนค งปลอดภย (Information Security Management System : ISMS) เพอเปนการสรางความมนใจวาองคกรจะสามารถปองกนการโจมต หรอเมอมการโจมตแลวสามารถตอบสนองไดทนทวงท หรอมวธการในการจดการ รวมถงการส ารองขอมลขององคกร เพอใหสามารถด าเนนงานไดอยางตอเนอง โดยทขอมลและระบบงานตางๆ มความมนคงปลอดภยและสมบรณ
วธการบรหารจดการดานความมนคงปลอดภยสารสนเทศนน จะตองท าตามวธมาตรฐาน ISMS โดยใช ISO/IEC 27001 ตามภาพท 2.5
ภาพท 2.5 แสดงรป PDCA ของ มาตรฐาน ISO/IEC 27001 (ทมาhttp://itm0069.exteen.com /20090224/entry-2) เมอวนท 14 เมษายน 58
การใชวธการนชวยใหองคกรสามารถด าเนนการปรบปรงความปลอดภยของสารสนเทศ
ไดอยางตอเนอง การบรหารโดย ISMS มขนตอนดงน
ความตองการดานความมนคงและรกษาความ
ปลอดภย
บคลากรทเกยวของ
ไดผลลพธความมนคงปลอดภยตามคาดหมาย
ผไดรบประโยชน
PlAN DO
CHECKACT
35
ตารางท 2.4 ขนตอนการบรหารตามแนวทาง ISMS
ขนตอน การด าเนนงาน ผลลพธ
1 นยามขอบเขต ISMS ขอบเขตงาน ISMS
2 นยามขอบเขต ISMS นโยบาย ISMS
3 นยามความเสยงตอระบบสารสนเทศ บนทกวธการประเมนความเสยงประเภทตางๆ
4 หาความเสยงทได รายการของความเสยง, โอกาสทถกโจมตส าหรบแตละความเสยงและผลกระทบ
5 ด าเนนการประเมนความเสยง รายงานผลกระทบ และโครงการทอาจเกดขน
6 การจดการกบความเสยง ประเมนวธการจดการความเสยงทางเลยง และความเสยง และวธการควบคม
7 เลอกวตถประสงคควบคม และวธการ
รายงานวตถประสงคควบคมและวธควบคม
8 ขออนมตความเหนชอบจากผบรหารในเรองความเสยงทเหลอทยงไมไดจดการ
รายงานความเสยงทเหลออยทยงไมไดจดการ
9 ขออนมตใหด าเนนการ ISMS ได ค าอนมตของผบรหารใหด าเนนการ ISMS ได
10 เตรยมรายงานวตถประสงคการควบคม
วธควบคม และหรอเขตทไมควบคมรายงานการจดการความเสยง
ประโยชนทไดจากการน า ISMS ไปปฏบตในองคกร คอ ท าใหองคกรมแนวทางในการ
ปฏบตเมอองคกรประสบกบปญหาดานความมนคงปลอดภย สามารถบรหารจดการไดอยางเปนระบบ ทงยงท าใหทราบวาจดใดทมความเสยงสง ทงนจะตองไดรบความรวมมอจากบคลากรในองคกร ตองมความเขาใจถงความส าคญของการบรหารจดการดานความมนคงสารสนเทศดวย ทงนเรองการเกดความเสยหายตอขอมล สนทรพย ผปฏบตงาน และความมนคงแหงชาตนนเปนสงททกหนวยงานตองชวยกนก ากบ ดแลอยางมประสทธภาพ
ถนอมศร เตมานวตร และ ไสว ศรทองถาวร (2554) ท าการวจยเกยวกบการปรบปรงกระบวนใหบรการงานสารสนเทศ โดยประยกตใชมาตรฐานบรหารความปลอดภยของขอมลสารสนเทศ ISO/IEC 27001 ของหนวยงานราชการระดบกรมแหงหนง มวตถประสงคเพอปรบปรง
36
กระบวนการการใหบรการสารสนเทศ และตรวจสอบความเหมาะสมของกระบวนการใหบรการสารสนเทศทไดปรบปรงกระบวนการ แนวคดการบรหารคณภาพทงองคการ TQM, หลกการ PDCA, มาตรฐาน ISO/IEC 27001 และ QC story
มการเกบรวบรวมขอมลในการประเมนองคกรเบองตน ท าการรวบรวมขอบกพรองในกระบวนการใหบรการระบบสารสนเทศ และท าการประเมนความเสยงในกระบวนการใหบรการสารสนเทศ โดยไดก าหนดขนตอนการประเมนความเสยงอางองมาตรฐาน NIST ในการวเคราะหขอมลนน ผวจยใชเทคนคการประชมระดมสมอง เพอวเคราะหสภาพปญหาปจจบนขององคกร ท าการประเมนความเสยง เพอวเคราะหและประเมนหาระดบความเสยงในระบบสารสนเทศ ส าหรบใชเปนเกณฑส าคญในการก าหนดแผนควบคมความเสยง ท าการวเคราะหหาสาเหตขอบกพรองทเกดขนในการบวนการใหบรการสารสนเทศ และวเคราะหเปอรเซนตความสอดคลองกบมาตรฐาน ISO./IEC 27001
จากการวจยพบวา ความบกพรองในงานบรการสารสนเทศมแนวโนมลดลงหลงมการปรบปรงกระบวนการ แตกยงมความเสยงทยงหลงเหลออย และเพอเปนการรกษาคณภาพหลงการปรบปรง จงจ าเปนตองมการประเมนความเสยงและวางแผนควบคมอยเสมอ อยางนอยปละหนงครงหรอทกครงทกระบวนการมการเปลยนแปลง ส าหรบปจจยทมผลตอประสทธภาพกระบวนการใหบรการสารสนเทศนนมสามประการ ไดแก บคลากรทยงไมมความตระหนกในเรองความมนคงปลอดภยเทาทควร ยงมพฤตกรรมบางประการ เชน ใชงานโปรแกรมละเมดลขสทธ น าขอมลส าคญออกมาเปดเผยภายนอก เปนตน เรองการจดการกระบวนการทยงขาดการบรหารจดการกระบวนการทมประสทธภาพและไมไดรบการตดตามอยางสม าเสมอ และปจจยทางกายภาพและเทคโนโลย ทขาดการดแล ไมไดก าหนดสทธในการเขาถงพนทและอปกรณสารสนเทศ มการใชงานทผดวตถประสงค และใชงานเทคโนโลยสารสนเทศไมเตมประสทธภาพ
เดชาวต นชานนท (2555) ไดศกษาเกยวกบการจดท านโยบายรกษาความมนคงปลอดภยสารสนเทศขององคกร กรณศกษาส าหรบบรษท สนแพทย จ ากด (โรงพยาบาลสนแพทย) โดยใหผลการศกษาในมมมองของธรกจโรงพยาบาล ทตองน าเอาระบบสารสนเทศมาใชในการสนบสนนการบรหารและการใหบรการตอลกคาเพอใหเกดความพงพอใจสงสด ซงทางโรงพยาบาลยงขาดนโยบายความมนคงปลอดภยสารสนเทศทครอบคลม อนจะสงผลกระทบตอการด าเนนการทางธรกจ ท าลายภาพลกษณ และอาจจะสญเสยโอกาสทางดานธรกจได จงมความจ าเปนททางโรงพยาบาลจะตองมการจดท านโยบายความมนคงปลอดภยสารสนเทศ และตองมการประเมนความเสยงจากทรพยสนดานสารสนเทศ โดยน าขอก าหนดมาตรฐาน ISO/IEC 27001 มาวเคราะห เมอไดผลการวเคราะหแลวจงน ามาจดท าเปนนโยบายความมนคงปลอดภยระบบสารสนเทศตอไป เพอเปนขอก าหนดและแนวปฏบตของบคลากร อนจะสงผลใหความเสยงดานสารสนเทศลดลง หรอ
37
บรรเทา หรอไมเกดซ า ซงจะชวยใหระบบสารสนเทศมความมนคงปลอดภยมากขน ทงยงชวยสงเสรมดานภาพลกษณ ท าใหการบรการลกคาสามารถด าเนนการไดอยางมประสทธภาพ สงผลในเรองการด าเนนธรกจ ท าใหเปนทยอมรบและไววางใจของลกคา
ระบบเทคโนโลยสารสนเทศนบวามความส าคญตอโรงพยาบาล จงมความจ าเปนตองพฒนา, ทบทวนและปรบปรงนโยบายความมนคงปลอดภยสารสนเทศใหเปนปจจบนอยเสมอ เพอปองกนชองโหวจากตวนโยบายและเพอรองรบเทคโนโลยทเปลยนแปลงไป และรองรบการเตบโตขององคกร ในแงของบคลากรควรจะมการใหความรเพอสรางความตระหนกถงผลกระทบทจะตามมาหากไมปฏบตตามนโยบายความมนคงปลอดภยสารสนเทศและควรก าหนดบทลงโทษทเหมาะสม
รงอรณ นรนดรเรอง และ วภา เจรญภณฑารกษ (2557) ไดท าการศกษา การพฒนาแนวทางการจดการความมนคงปลอดภยสารสนเทศ ดานการควบคมการเขาถงระบบสารสนเทศตามมาตรฐาน ISO/IEC 27001:2013 ส าหรบโรงพยาบาลคลองใหญ จ.ตราด ทางโรงพยาบาลไดมการน าเทคโนโลยสารสนเทศเขามามสวนในกระบวนการรกษาพยาบาลและจดการภายในตางๆ โดยมการเชอมระบบสารสนเทศทงหมดผานทางอนเตอรเนตและอนทราเนต ซงขอมลทงหมดถกเกบไวในฐานขอมลของโรงพยาบาล เพอใหมประสทธภาพในการในการใหบรการ สะดวก รวดเรวไดมาตรฐานตามการรบรองคณภาพมาตรฐานโรงพยาบาลหรอ Hospital Accreditation (HA) ซงเปนมาตรฐานทกระทรวงสาธารณสขไดก าหนดใหทกโรงพยาบาลในสงกดทวประเทศไดรบการรบรอง ซงในมาตรฐานดงกลาวนนไดมขอก าหนดเกยวกบการจดการระบบสารสนเทศและการจดการดานการรกษาความมนคงปลอดภยของสารสนเทศ ซงโรงพยาบาลน เปนโรงพยาบาลชมชนของรฐบาลทยงไมมกระบวนการบรหารจดการเกยวกบ การควบคมการเขาถงระบบสารสนเทศตามแนวทางการจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 อนจะสงผลใหเกดชองโหวในการเขาถงขอมลทส าคญตางๆ ของโรงพยาบาล เชน ขอมลประวตผปวย หรอขอมลบคลากร เปนตน จากการประเมนความเสยงตามมาตรฐาน ISO/IEC 27001:2013 พบวา โรงพยาบาลมความเสยงอยหลายดาน โดยเฉพาะดานการควบคมการเขาถงระบบสารสนเทศ (Access Control) โดยรวมพบวาขาดนโยบายและแนวทางปฏบตดานการควบคมการเขาถงระบบสารสนเทศทปลอดภยอยางครอบคลม ซงจะท าใหเกดความไมปลอดภยตอระบบสารสนเทศของโรงพยาบาล สงผลกระทบโดยตรงตอผรบบรการ ผใชงานและขอมลทส าคญได
ในการด าเนนการศกษานน มการศกษารายละเอยดขอก าหนดของมาตรฐาน ISO/IEC 27001:2013 ท าการศกษารายละเอยดและแนวทางการประเมนความเสยงท าใหไดผลการศกษาวา ทางโรงพยาบาลมความเสยงสงเรองการควบคมการเขาถงระบบสารสนเทศ จงท าการศกษา, รวบรวมและวเคราะหปญหาดานการควบคมการเขาถงระบบสารสนเทศ มการสมภาษณ ผบรหารและผใชงาน ท าการวเคราะหและประเมนความเสยง แลวท าการพฒนาแนวทางและขอก าหนดดานการควบคม
38
การเขาถงระบบสารสนเทศ ตามมาตรฐาน ISO/IEC 27001:2013 และท าการวเคราะหและประเมนความเสยงซ าอกครง หลงจากไดพฒนาแนวทางและขอก าหนดดานการควบคมการเขาถงระบบสารสนเทศแลว นอกจากนยงพบวาทางโรงพยาบาลยงมหลายดานทยงไมมการจดท านโยบายและแนวปฏบตตามกรอบมาตรฐาน ISO/IEC 27001:2013 เพอให เกดความปลอดภยสงสด ทางโรงพยาบาลควรมการจดท านโยบายและแนวปฏบตใหครอบคลมดานตางๆ ดวย และมการทบทวนและประเมนความเสยงอยางสม าเสมอ เพอจะไดน าผลไปปรบปรงนโยบายและแนวปฏบต เพอใหเกดความปลอดภยตอสารสนเทศองคกรตอไป
การทโรงพยาบาลมการประเมนรบรองคณภาพ HA ซงมสวนหนงทเกยวของกบการจดการความมนคงปลอดภยสารสนเทศนน ท าใหทกโรงพยาบาลหนมาใหความส าคญกบการด าเนนการพฒนาแนวทางการจดการความมนคงปลอดภยสารสนเทศมากขน ซงจะท าใหแวดวงโรงพยาบาลมความมนคงปลอดภยดานสารสนเทศมากยงขน
Mika Karjalainen (2014) ไดท าการศกษาเกยวกบการพฒนาระบบการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ โดยศกษาถงสภาพแวดลอม ทรพยากรทมอยในองคกรทมสวนเกยวของกบการด าเนนการดานความมนคงปลอดภยสารสนเทศ โดยไดศกษาถงความสอดคลองกบกฎหมายระดบชาตทเกยวของกบความปลอดภยของขอมล การออกกฎหมายทเกยวของกบการรกษาความปลอดภยของขอมลในระดบชาต พบวาในประเทศฟนแลนดยงไมไดน าเอาเนอหาเรองความมนคงปลอดภยสารสนเทศบรรจไวในขอกฎหมายและระเบยบปฏบตตางๆ
จากการศกษาพบวาขอมลในองคกรเปนทรพยากรทส าคญ องคกรจะตองมนใจวาขอมลนนมความปลอดภยและสามารถเรยกใชงานได โดยใชหลกการของ CIA
ส าหรบระบบการบรหารจดการความมนคงปลอดภยสารสนเทศน เปนมาตรฐานทสามารถประยกตใชไดกบทกองคกร เพอเพมความปลอดภยใหกบขอมลในองคกรและยกระดบการปองกนความปลอดภยของขอมลใหมมาตรฐานสากล
Abdellateef Lutfi Muhsen (2014) ไดท าการศกษาเกยวกบการน ามาตรฐานความมนคงปลอดภยสารสนเทศมาใชในธนาคารแหงหนง จากผลการศกษาพบวาในปจจบนมการเพมขนของเทคโนโลยและการสอสาร ในอกดานหน งพวกชองโหวทางไซเบอร และ การท า Social Engineering กมอตราทเพมขนสงเชนกน ในการใหความส าคญกบเรองความมนคงปลอดภยนนจะไมใชแคแผนการบรหารจดการ แตจะตองรวมอยในกลยทธขององคกรดวย
ส าหรบธรกจธนาคารจดเปนหนวยงานทตองใหความส าคญเรองการบรหารจดการความมนคงปลอดภยสารสนเทศในระดบตน ผวจยจงไดท าการศกษาธนาคารแหงหนงเพอดสถานภาพปจจบนของการบรหารจดการเรองดงกลาว เพอเปนการประเมนศกยภาพของธนาคารแหงนวามความพรอมในดานการบรหารจดการความมนคงปลอดภยสารสนเทศมากนอยเพยงใด โดยใชเรองของ
39
ธรรมาภบาลดานความปลอดภยของเทคโนโลยสารสนเทศ การท าการประเมนความเสยง และดถงมมมองของการบรหารจดการดานความมนคงปลอดภยสารสนเทศทสงผลตอแตละสวน เชน People, Process, Product/Technology, Partners/Suppliers และ Data
จากผลการศกษาพบวาธนาคารแหงนมการประยกตใชระบบบรหารจดการความมนคงปลอดภยในระดบทสง แตใหความส าคญเรองการอบรมและสรางความตระหนกใหกบบคลากร และการตรวจสอบขอมลวาไมมการเปลยนแปลง (Integrity) ในระดบกลาง ยงพบวาในสวนของบคลากรนนจะมอทธผลตอการบรหารจดการความมนคงปลอดภยสารสนเทศมากทสด ซงทางธนาคารควรกลบมาทบทวนสองเรองน เพอใหเปนไปตามกรอบมาตรฐาน ISO/IEC 27001 ทงยงเปนการลดผลกระทบทจะเกดจากการปฏบตทไมสอดคลองกบมาตรฐานอกดวย
JOŽE ŠREKL และ ANDREJKA PODBREGAR (2014) ไดศกษาถงการเสรมสรางความมนคงปลอดภยใหกบขอมลในองคกร โดยการใชมาตรฐาน ISO/IEC 27000 โดยใหความเหนวาทกองคกรควรจะใหความส าคญกบการรกษาความปลอดภยของขอมลทมอยในองคกร หากองคกรตองการความตอเนองและเพมประสทธภาพในการด าเนนการทางธรกจ นอกเหนอจากการรกษาความมนคงปลอดภยของขอมลแลว องคกรตองตระหนกถงภยคกคามจากการถกบกรกและการถกละเมดจากผไมประสงคด รวมถงภยคกคามจากภายในองคกรเอง อนเกดจากความรเทาไมถงการณ หรอขาดความตระหนกของบคลากรหรอการใชเทคโนโลยทไมเหมาะสมในองคกร ซงองคกรเองตองพจารณาและประเมนหาชองโหวนน เพอเปนการสรางความมนใจในความปลอดภยของขอมล อาจจะตองมการลงทนในเรองของการรกษาความมนคงปลอดภยสารสนเทศมากขน เนองจากขอมลทอยในองคกร ลวนแลวแตสามารถทจะเพมมลคาใหกบองคกรได และเปนการลดชองโหวและความเสยงตอระบบสารสนเทศในองคกรจากการถกโจมตทงจากภายในและภายนอกองคกรได
จากผลการส ารวจขอมลของ ENISA (The European Union Agency for Network and Information Security) (2013) แสดงใหเหนวาเครอสหภาพยโรปไดใหความส าคญในการตรวจประเมนเพอเขารบการรบรองมาตรฐานดานความมนคงปลอดภยสารสนเทศ ไดมการส ารวจหนวยงานตางๆ ทงภาครฐและเอกชน ถงความพรอมทจะเขารบการรบรอง ซงในแตละองคกรกจะมความแตกตางในแงของ บคลากร, กระบวนการทางธรกจและวฒนธรรมองคกรทแตกตางกนไป เมอมการตรวจประเมนกจะตองดใหเหมาะสมกบแตละองคกร ไมสามารถน ามาตรฐานขององคกรหนงไปใชกบองคกรหนงได ทงนขนอยกบขอบเขตในการขอรบรองดวย
ในการขอรบรองมาตรฐานจะสงผลใหองคกรนนๆ ไดรบความนาเชอถอมากกวาองคกรทไมไดรบการรบรองสงผลใหองคกรไดเปรยบในการแชงขน ส าหรบองคกรทเปนระดบ SME อาจจะเปนการเพมตนทน เนองจากในการตรวจประเมนนนจะตองมคาใชจายทเพมขน หากมการลงทนเกดขน อาจจะเปนการเพมตนทนทเกนความจ าเปน อกทงทางคณะกรรมาธการยโรปและหนวยงาน
40
มาตรฐานควรมการพฒนาแนวทางปฏบตทดทสดส าหรบการรกษาความปลอดภยและการปองกนขอมล เพอหลกเลยงการท างานทซ าซอนพนทกนส าหรบหนวยงานในการขอรบการรบรอง ในสวนนโยบายระดบประเทศควรจะมการตรวจสอบแตละหนวยงานทไดรบการรบรองมาตรฐานอกครง เพอเปนการรบรองวาการตรวจประเมนจากผตรวจสอบนน แตละองคกรไดมการปฏบตอยางสม าเสมอและเปนไปตามมาตรฐาน เพอใหการด าเนนการดานความมนคงปลอดภยสารสนเทศนนเกดประโยชนสงสด
ในการเขารบการตรวจประเมนเพอขอรบการรบรองมาตรฐาน ISMS นน จะไดรบเปนระยะเวลาสามป แตในแตละปนนจะตองเขารบการตรวจสอบความสอดคลองกบมาตรฐานอยางตอเนอง และใบรบรองนสามารถถกเพกถอนได หากพบวาไมสามารถด าเนนการตามมาตรฐานทไดรบการรบรองไวในแตละปทมการตรวจสอบ ในการขอรบการรบรองครงแรกนน แตละองคกรอาจจะตองใชเวลาเตรยมการประมาณสามเดอนถงสองป ขนอยกบแตละองคกรและขอบเขตทไดก าหนดเพอเขารบการรบรอง บางองคกรอาจจะใชเวลาในการเตรยมการนานจนมการเปลยนแปลงของมาตรฐาน จงอาจจะสงผลใหใชเวลาในการเตรยมการเพอปรบใหตรงกบมาตรฐานทเปลยนแปลงไปเพมขน
โดยสรปผก าหนดนโยบายระดบชาตควรท างานรวมกนกบหนวยงานผท าหนาทตรวจประเมน ควรจะมการสอบทานหนวยงานตางๆ ทผานการรบรองวายงคงปฏบตตามมาตรฐานตามขอบเขตทไดรบการขอรบรองไวอยเสมอ ซงอาจจะก าหนดเปนแนวปฏบตใหกบหนวยงานตางๆ ใหมการรายงานผลเปนระยะๆ เพอใหมนใจวาหนวยงานเหลานน ยงคงปฏบตตามมาตรฐานทไดรบการรบรองไว
J.A. Altena (2012) ไดท าการศกษาเกยวกบ ISO/IEC 27002 Baseline Selection เนองจากในการทองคกรจะด าเนนการตามมาตรฐาน ISMS และเพอขอตรวจประเมนรบรองระบบการบรหารจดการดานความมนคงปลอดภยสารสนเทศนนจะมคาใชจายเพมขน เพอใหการด าเนนการเปนไปอยางมประสทธภาพภายใตประมาณทจ ากดนน ควรจะมการศกษาถงมาตรการทจะเลอกน ามาปฏบต เพอใหองคกรไดประโยชนสงสดจากการด าเนนการ มการประเมนประสทธภาพโดยเปรยบเทยบกบภยคกคามขององคกร
ในการด าเนนการนนมการพจารณาถงความเสยงขององคกร ท าการวเคราะห Gap Analysis โดยอางองจาก ISO 17799 เพอท าการประเมนสถานะปจจบนและสถานะทตองการจะท าใหส าเรจตามมาตรฐาน ซงท าใหสามารถประเมนวามกจกรรมใดบางทจะตองด าเนนการ และตองท าการวเคราะหความเสยงโดยใชชดของมาตรฐาน ISO 27005 หรอ ISO 27799:2008 เพอวเคราะหหาชองโหวและภยคกคามทงจากภายในและภายนอกองคกร หลงจากนนจงท าการประเมนประสทธผลของมาตรการควบคม ท งย งสามารถใชชดของมาตรฐาน ISO/ IEC 27004:2009 ในการวด
41
ประสทธภาพของมาตรการทน ามาใชควบคมกระบวนการตางๆ มการพจารณา ROSI (Return on Security Investment) เพอประเมนความคมคาในการลงทนดานความมนคงปลอดภย โดยใชสตร
ROSI = (Risk Exposure x % Risk Mitigated) – Solution Cost
Solution Cost
Risk Exposure สามารถค านวณไดเชนเดยวกบ ALE (Annual Loss Expectancy) โดยค านวณจาก
ALE = SLE (single loss exposure) x ARO (Annual Rate of Occurrence)
อยางไรกตามในการค านวณหาคา ROSI นน อาจจะประเมนไดคอนขางยาก หากจะใช
สตรค านวณ ROI ( Return of Investment) จากความแมนย าของขอมลและการเปลยนแปลงทรวดเรวของภยคกคามตางๆ นน อาจท าใหคาทประเมนไดไมสามารถแสดงใหเหนเปนตวเลขทชดเจนได อกทงการประเมนคาแบบ ROI นนจะเปนประโยชนตอการประเมนการลงทนทค านวณไดเปนตวเลขทเหนไดชดเจน หากจะน ามาค านวณการลงทนดานความมนคงปลอดภยซงอาจจะไมสามารถค านวณความคมคาได จงตองใชสตรค านวณเฉพาะ ดงทปรากฏดานบน
ในการทจะเลอกมาตรการการควบคมใดๆ เพอมาปรบใชกบองคกรนน มความแตกตางกนในแตละองคกร ส าหรบมาตรฐาน ISO/IEC 27002 นน ไดก าหนดเปนมาตรฐานกลางเพอความยดหยนในการน าไปปรบใชในแตละองคกร การเลอกใชมาตรการควบคมกขนอยกบการวเคราะหและประเมนความเสยง รวมถงชองโหวตางๆ ในการรกษาความมนคงปลอดภยระดบพนฐานควรจะมการปองกนทเพยงพอตอการรบมอกบความเสยงทพบมากทสด ซงอาจจะไมไดปองกนการถกบกรกไดทงหมด แตการใชมาตรการควบคมจะท าใหการบกรกนนท าไดยากขน การคกคามสวนใหญจะมงเนนไปยงองคกรทมการบรหารจดการดานความมนคงปลอดภยสารสนเทศในระดบทต าหรองายตอการถกบกรก ดงนนการเพมการรกษาความมนคงปลอดภยใหกบสารสนเทศในองคกรจะชวยลดโอกาสทจะถกบกรกและคกคามจากภยดานความมนคงปลอดภยของสารสนเทศมากขน
Pavol Sojčík (2012) ได ท า ก า ร ศ ก ษ า เร อ ง Tools for information security management ซงท าใหทราบวาปจจบนการรกษาความมนคงปลอดภยสารสนเทศนนเปนสงทองคกรควรใหความส าคญ ในแตละองคกรจะมการเลอกใชมาตรการควบคมทแตกตางกน ขนอยกบการใหความส าคญของขอมลทส าคญขององคกร บนพนฐานของการรกษาความมนคงปลอดภยของสารสนเทศนนจะตองเรมในระดบบคคล โดยบคลากรในองคกรจะตองเกดความตระหนกวาตนเอง
42
อาจจะเปนชองโหว ท าใหเกดภยคกคามในระดบองคกรได อกทงหลายๆ องคกรเองไมไดมระบบบรหารจดการดานความมนคงปลอดภยสารสนเทศทดและมประสทธภาพ จงเปนเหตผลทสนบสนนวาองคกรควรมระบบบรหารจดการความมนคงปลอดภยสารสนเทศโดยอางองจากมาตรฐาน ISO/IEC 27001 ซงสามารถขอรบรองมาตรฐานได ส าหรบแนวทางในการด าเนนการดานความมนคงปลอดภยสารสนเทศนน สามารถดไดจากเอกสาร ISO/IEC 27002 ซงจะระบแนวปฏบตทงหมด โดยสามารถเลอกเฉพาะกระบวนทเหมาะสมกบองคกร ใหสอดคลองกบชองโหวขององคกร ในการศกษานไดกลาวถงประโยชนและกระบวนการทงหมดของการเขารบการรบรองมาตรฐาน ISO/IEC 27001
ปจจยหลกแหงความส าเรจในการด าเนนการตามกระบวนการของ ISMS นน ประกอบไปดวย การบรหารจดการจากสวนกลางโดยระบไวในกลยทธขององคกร มการก าหนดเปนนโยบายและเปนสวนหนงของการบรหารความเสยงระดบองคกร มการสนบสนนจากผบรหารระดบสง มบคลากรและทรพยากรดานการเงนทเหมาะสม มการก าหนดวตถประสงคของการรกษาความมนคงปลอดภยและการก าหนดแนวทางปฏบตโดยใหสอดคลองกบวตถประสงคทางธรกจและความตองการขององคกร มการปรบปรงกระบวนการอยางตอเนอง มการสรางการรบร, ตระหนกและฝกอบรมพนกงานอยางสม าเสมอ
การรบการรบรองมาตรฐาน ISO/IEC 27001 นน เปนสงทองคกรควรก าหนดเปนเปาประสงครวมกนทงองคกร เพอใหเกดความรวมมอกนในองคกรในการปฏบตเพอใหบรรลวตถประสงคของมาตรการควบคมทเลอกมาใชงานในองคกร ประโยชนทจะไดรบจากการเขารบการรบรองมาตรฐาน เชน องคกรมการบรณาการการบรหารจดการดานความมนคงปลอดภยสารสนเทศกบการบรหารจดการระดบองคกร การเขารบการรบรองมาตรฐานเปนการสรางความนาเชอถอใหกบองคกร ซงจะสงผลถงความไดเปรยบเชงธรกจ ทงยงท าสงเสรมใหพนกงานมความรบผดชอบในการรกษาความปลอดภยของขอมล ทงขอมลสวนตวและขอมลขององคกร ท าใหมการปรบปรงและพฒนาระบบบรหารจดการอยอยางตอเนอง ท าใหเกดความมนใจวาทรพยากรขององคกรทเกยวกบการใหบรการดานสารสนเทศจะสามารถด าเนนการใหบรการไดอยางตอเนอง ท าใหทราบถงเหตการณทอาจจะท าใหเกดการหยดชะงกของการใหบรการดานสารสนเทศในองคกร อนจะสงผลถงการรกษาความสมบรณและความพรอมใชของสารสนเทศ และยงชวยลดการรวไหลของขอมลในองคกรอกดวย
ไพศาล ลกขณานรกษ (2555) ไดจดท าระบบรกษาความมนคงปลอดภยดานสารสนเทศของกรมทรพยากรน าบาดาล ไดเลงเหนถงประโยชนของการน าเอาแนวทางการรกษาความมนคงปลอดภยดานสารสนเทศมาใชในองคกร เพอเพมประสทธภาพและความปลอดภยแกขอมลสารสนเทศขององคกร ทงจากภายคกคามจากภายนอกจากผไมประสงคด ทมโอกาสบกรกเขามายงระบบสารสนเทศขององคกรไดอยเสมอในยคทมการใชงานสารสนเทศอยางแพรหลาย
43
มการจดท าแนวทางระบบบรหารจดการความมนคงปลอดภยของสารสนเทศใหเปนไปตามมาตรฐานสากล ซงจะท าใหระบบสารสนเทศมความมนคงปลอดภยและสามารถใชงานไดอยางมประสทธภาพ เพอใหฝายบรหาร และฝายปฏบตการ เขาใจหลกการและกระบวนการในการรกษาความมนคงปลอดภยของระบบสารสนเทศมากขน ทงยงเปนเครองมอในการรกษาความมนคงปลอดภยของระบบสารสนเทศในองคกร และเปนไปตามกฎหมายและระเบยบปฏบตทเกยวของ ท งยงขอความรวมมอใหบคลากรในองคกรรวมมอกนถอปฏบตอยางเครงครด เพอใหเกดการปฏบตตามกระบวนการรกษาความมนคงปลอดภยของระบบสารสนเทศอยางเปนระบบและตอเนอง
การด าเนนการบรหารความเสยงของระบบสารสนเทศ ชวยใหสามารถประเมนวาองคกรมความเสยงดานเทคโนโลยสารสนเทศอยางไรบาง มกระบวนการดงน
- มการก าหนดวตถประสงค (Objective Setting) โดยการก าหนดเปนนโยบายการบรหารความเสยง
- ท าการระบความเสยง (Risk Identification) โดยพจารณาวามปจจยใดบางทเกยวของกบระบบสารสนเทศองคกรในดานตางๆ
- ท าการประเมนความเสยง (Risk Assessment) ซงจะตองครอบคลมทกความเสยงทไดท าการระบไวกอนหนา มขนตอนทตองด าเนนการคอ (1) ท าการอธบายความเสยง (2) ท าการประเมนระดบความเสยง (3) ท าการวเคราะหความเสยง (4) ท าการก าหนดเกณฑในการยอมรบความเสยง
- ท าการจดการความเสยง (Risk Treatment) เพอหากลยทธในการจดการกบความเสยง โดยพจารณาทางเลอกดงน (1) การยอมรบความเสยง (2) การลดหรอควบคมความเสยง (3) การหลกเลยงความเสยง และ (4) การกระจายความเสยง ท งนตองค านงถงตนทนและผลประโยชนทจะไดรบ แลวจงท าการก าหนดเปนแผนกลยทธเพอน าไปสการปฏบต
- ท ากจกรรมการบรหารความเสยง (Control Activities) โดยน าเอากลยทธ มาตรการหรอแผนงานมาใชปฏบตงาน เพอลดโอกาสเกดความเสยง หรอลดการเกดความเสยหายจากผลกระทบ
- ม ก ารส อ ส ารข อม ลด าน การบ รห ารความ เส ย ง ( Information and Communication) มการจดท ารายงานผลการตดตามและด าเนนการตามแผนการบรหารความเสยงทด าเนนการ ใหผเกยวของรบทราบ และเพอใหสามารถด าเนนการแกไขปญหาทเกดขนไดทนทวงท
- ท าการตดตามผลและเฝาระวงความเสยงตางๆ (Monitoring) เปนการด าเนนการอยางตอเนองในการตรวจสอบและรายงานผลอยางเปนระบบ รวมถงมการทบทวนและปรบปรงแผนอยอยางสม าเสมอ เพอเพมประสทธภาพใหกบแนวทางการบรหารความเสยง
44
ทงนการบรหารความเสยงนนตองมการด าเนนการอยางตอเนอง เพอปรบปรงความเสยงใหสอดคลองกบสถานการณปจจบน
มการก าหนดแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยระบบสารสนเทศ เพอก าหนดทศทางและใหการสนบสนนการด าเนนการดานความมนคงปลอดภยฯ เพอใหสอดคลองกบพนธกจ และระเบยบปฏบตทเกยวของ
2.4 สรปการทบทวนวรรณกรรมทเกยวของและกรอบแนวคดการวจย
จากการทบทวนงานวจยและวรรณกรรมทเกยวของ สามารถสรปกระบวนการทส าคญ
ดงน ตารางท 2.5 สรปกระบวนการเตรยมความพรอมของหนวยงานดานการบรหารจดการความมนคงปลอดภยสารสนเทศ จากงานวจยทเกยวของ ล าดบ ชอผวจย/ปทวจย กระบวนการ
1 แนวคดเกยวกบเทคโนโลยสารสนเทศกบความพรอมของกองทพบก ฤทธ อนทราวธ (2556)
1.กองทพบกเลงเหนความส าคญของเทคโนโลยสารสนเทศ เนองจากในปจจบนมภยคกคามรปแบบใหม ซงสามารถโจมตไปยงระบบเทคโนโลยสารสนเทศซงสงผลถงความมนคงของประเทศ 2.การประยกตใชเทคโนโลยสารสนเทศมาบรณาการในการปฏบตการทางทหาร เพมเพมศกยภาพใหกบกองทพมากขน 3.การน าเทคโนโลยสารสนเทศมาประยกตใชเกยวกบการจ าลองการซอมรบในรปแบบตางๆ เพอเปนการลดตนทนในการปฏบตการซอมภาคสนาม 4.กองทพบกไดมการเตรยมความพรอมของหนวยงานเพอมงสการเปนกองทพททนสมยและมมาตรฐานระดบสากล
45
ตารางท 2.5 (ตอ) สรปกระบวนการเตรยมความพรอมของหนวยงานดานการบรหารจดการความมนคงปลอดภยสารสนเทศ จากงานวจยทเกยวของ
ล าดบ ชอผวจย/ปทวจย กระบวนการ
2 มาตรฐานการบรหารจดการความมนคงปลอดภย ปญญา บญญาภวฒน (2553)
1.ใหความส าคญกบระบบเทคโนโลยสารสนเทศ โดยเฉพาะหนวยงานทมการประกอบธรกรรมโดยใชระบบเทคโนโลยสารสนเทศเปนหลก จงตองมการบรหารจดการความมนคงปลอดภยดานสารสนเทศ 2.ควรมการขอรบรองมาตรฐาน ISMS เพอสรางความมนใจวาองคกรจะสามารถปองกนการโจมต หรอเมอถกโจมตแลวสามารถตอบสนองไดทนทวงท และมวธการจดการ ตางๆ เพอใหสามารถด าเนนงานไดอยางตอเนอง
3 การปรบปรงกระบวนใหบรการงานสารสนเทศ โดยประยกตใชมาตรฐานบรหารความปลอดภยของขอมลสารสนเทศ ISO/IEC 27001 ของหนวยงานราชการระดบกรมแหงหนง ถนอมศร เตมานวตร และ ไสว ศรทองถาวร (2554)
1.ปรบปรงกระบวนการใหบรการงานสารสนเทศของหนวยงาน โดยประยกตใชมาตรฐานบรหารความปลอดภยของขอมลสารสนเทศ 2.มการตรวจสอบความเหมาะสมของกระบวนการ โดยใชแนวคดการบรหารคณภาพ และมาตรฐานทเกยวของ 3.มการเกบรวบรวมขอมลในการประเมนหนวยงานเบองตน ขอบกพรองในกระบวนการใหบรการ และท าการประเมนความเสยงในกระบวนการ โดยก าหนดขนตอนการประเมนจากมาตรฐานสากล 4.ท าการวเคราะหสภาพปจจบนขององคกร ท าการประเมนความเสยง เพอวเคราะหและประเมนระดบความเสยงในระบบสารสนเทศ ส าหรบใชเปนเกณฑส าคญในการก าหนดแผนควบคมความเสยง และวเคราะหความสอดคลองกบมาตรฐาน ISO/IEC 27001
46
ตารางท 2.5 (ตอ) สรปกระบวนการเตรยมความพรอมของหนวยงานดานการบรหารจดการความมนคงปลอดภยสารสนเทศ จากงานวจยทเกยวของ
ล าดบ ชอผวจย/ปทวจย กระบวนการ
4 การจดท านโยบายรกษาความมนคงปลอดภยสารสนเทศขององคกร กรณศกษาส าหรบบรษท สนแพทย จ ากด (โรงพยาบาลสนแพทย) เดชาวต นชานนท (2555)
1.มการจดท านโยบายรกษาความมนคงปลอดภยสารสนเทศใหครอบคลม และมการประเมนความเสยงจากทรพยสนดานสารสนเทศ 2.มการพฒนา, ปรบปรงและทบทวนนโยบายฯ ใหเปนปจจบนอยเสมอ เพอปองกนชองโหวจากนโยบายและเพอรองรบเทคโนโลยทเปลยนแปลงไป และรองรบการเตบโตขององคกร
5 การพฒนาแนวทางการจดการความมนคงปลอดภยสารสนเทศ ดานการควบคมการเขาถงระบบสารสนเทศตามมาตรฐาน ISO/IEC 27001:2013 ส าหรบโรงพยาบาลคลองใหญ จ.ตราด รงอรณ นรนดรเรอง และ วภา เจรญภณฑารกษ (2557)
1.มการน าเทคโนโลยสารสนเทศมาใชในโรงพยาบาล เพอใหเกดประสทธภาพในการใหบรการ เปนไปตามมาตรฐานคณภาพโรงพยาบาล (HA) 2.มการน าเอาระบบบรหารจดการความมนคงปลอดภยสารสนเทศมาประยกตใชในโรงพยาบาล เพอใหสอดคลองกบมาตรฐาน HA เพอเพมความมนคงปลอดภยดานสารสนเทศ
6 Developing an Information Security Management System Karjalainen, Mika (2014)
1.การพฒนาระบบการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ ใหสอดคลองกบกฎหมายระดบชาตทเกยวของกบความปลอดภยของขอมล 2.ขอมลในองคกรเปนทรพยากรทส าคญ จะตองมนใจวาขอมลนนมความปลอดภยและสามารถเรยกใชงานได โดยเปนไปตามหลกการ CIA
47
ตารางท 2.5 (ตอ) สรปกระบวนการเตรยมความพรอมของหนวยงานดานการบรหารจดการความมนคงปลอดภยสารสนเทศ จากงานวจยทเกยวของ
ล าดบ ชอผวจย/ปทวจย กระบวนการ
7 Information Security Management in Palestinian Banking Abdellateef Lutfi Muhsen (2014)
1.มการใหความส าคญกบเรองความมนคงปลอดภยสารสนเทศโดยจะตองบรรจอยในระดบกลยทธขององคกร 2.ประเมนศกยภาพของธนาคารทท าการศกษา ดานการบรหารจดการความมนคงปลอดภยสารสนเทศ โดยใชหลกการธรรมาภบาลดานความปลอดภยของเทคโนโลยสารสนเทศ ท าการประเมนความเสยงและดองคประกอบตางๆทจะสงผลตอการบรหารจดการ โดยใชหลกการ 4P 3.มการทบทวนและปรบปรงชองโหวดานสารสนเทศอยเสมอ
8 ENHANCING SAFETY INFORMATION SYSTEMS WITH THE USE ISO/IEC 27000 JOŽE ŠREKL&ANDREJKA PODBREGAR (2014)
1.เสรมสรางความมนคงปลอดภยใหกบขอมลในองคกร โดยใชมาตรฐาน ISO/IEC 27001 2.องคกรตองมความตระหนกถงภยคกคามจากการถกบกรกและการถกละเมดจากผไมประสงคด รวมถงภยคกคามภายในองคกรเอง ซงองคกรตองมการพจารณาและประเมนชองโหวนน
48
ตารางท 2.5 (ตอ) สรปกระบวนการเตรยมความพรอมของหนวยงานดานการบรหารจดการความมนคงปลอดภยสารสนเทศ จากงานวจยทเกยวของ
ล าดบ ชอผวจย/ปทวจย กระบวนการ
9
Certified Security certification practice in the EU ENISA (2013)
1.มการสนบสนนใหหนวยงานเขารบการตรวจประเมนดานความมนคงปลอดภยสารสนเทศ 2.ใหความส าคญในการตรวจประเมนและการตรวจสอบหนวยงานทไดรบการตรวจประเมนใหด าเนนการเปนไปตามมาตรฐานอยเสมอ 3.สนบสนนใหผทมอ านาจในการก าหนดนโยบายระดบชาต ใหความส าคญกบมาตรฐานระดบสากล โดยอาจมการบรรจไวในกฎหมายหรอแนวปฏบต เพอสรางเปนแนวปฏบตใหกบหนวยงานทไมพรอมทจะลงทนการด าเนนการตามมาตรฐานสากล
10 ISO/IEC 27002 Baseline Selection J.A. Altena (2012)
1.มการค านวณความคมคาดานการลงทนเกยวกบการบรหารจดการดานความมนคงปลอดภยสารสนเทศ 2.น าเอามาตรฐานทเกยวของมาเปนตววดประสทธผลของการด าเนนงานดานความมนคงปลอดภยสารสนเทศ 3.มการวเคราะหความเสยง, ชองโหวรวมถงภยคกคามและ Gap Analysis ขององคกร
11 Tools for information security management Pavol Sojčík (2012)
1.สนบสนนใหบคลากรในองคกรมสวนรวมในการด าเนนการบรหารจดการดานความมนคงปลอดภยสารสนเทศในสวนทรบผดชอบ 2.มการก าหนดนโยบายและแนวทางปฏบตใหสอดคลองกบวตถประสงคและธรกจขององคกร 3.มการเตรยมการเพอขอรบรองมาตรฐาน ISMS
49
ตารางท 2.5 (ตอ) สรปกระบวนการเตรยมความพรอมของหนวยงานดานการบรหารจดการความมนคงปลอดภยสารสนเทศ จากงานวจยทเกยวของ
ล าดบ ชอผวจย/ปทวจย กระบวนการ
12 คมอ การจดท าระบบรกษาความมนคงปลอดภยดานสารสนเทศ ของกรมทรพยากรน าบาดาล ไพศาล ลกขณานรกษ (2555)
1.ประเมนความเสยงขององคกร 2.จดท าแนวนโยบายและแนวปฏบตทสอดคลองกบกลยทธและการด าเนนการขององคกร
50
ตารางท 2.6 สรปปจจยการเตรยมความพรอมทไดจากการทบทวนวรรณกรรมและงานวจยทเกยวของ
ปจจยการเตรยมความพรอม
ชอผวจย/ปทวจย
ฤทธ
อนทร
าวธ
(255
6)
ปญญา
บญญ
าภวฒ
น (2
553)
ถนอม
ศร เต
มานว
ตร แ
ละ ไส
ว ศร
ทองถ
าวร (
2554
)
เดชา
วต น
ชานน
ท (2
555)
รงอร
ณ นร
นดรเร
อง แ
ละ ว
ภา เจ
รญภณ
ฑารก
ษ (2
557)
Karja
laine
n, M
ika (2
557)
Abde
llate
ef L
utfi
Muh
sen
(255
7)
JOŽE
ŠRE
KL&A
NDRE
JKA
PODB
REGA
R (2
557)
ENISA
(255
6)
J.A. A
ltena
(255
5)
Pavo
l Soj
čík (2
555)
ไพศา
ล ลก
ขณาน
รกษ
(255
5)
กระบวนการในการด าเนนการ
x x x x x x x x
บคลากร x x x x x x x x x
ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ
x x x x x x x x
การประยกตใชมาตรฐานและกฎหมายทเกยวของ
x x x x x x x x x
การใหความส าคญในการด าเนนการตามมาตรฐานฯ
x x x x x x x x x
นโยบายขององคกร
x x x x x x x x x x
51
ตารางท 2.6 (ตอ) สรปปจจยการเตรยมความพรอมทไดจากการทบทวนวรรณกรรมและงานวจยทเกยวของ
ปจจยการเตรยมความพรอม
ชอผวจย/ปทวจย
ฤทธ
อนทร
าวธ
(255
6)
ปญญา
บญญ
าภวฒ
น (2
553)
ถนอม
ศร เต
มานว
ตร แ
ละ ไส
ว ศร
ทองถ
าวร (
2554
)
เดชา
วต น
ชานน
ท (2
555)
รงอร
ณ นร
นดรเร
อง แ
ละ ว
ภา เจ
รญภณ
ฑารก
ษ (2
557)
Karja
laine
n, M
ika (2
014)
Abde
llate
ef L
utfi
Muh
sen
(201
4)
JOŽE
ŠRE
KL&A
NDRE
JKA
PODB
REGA
R (2
014)
ENISA
(201
3)
J.A. A
ltena
(201
2)
Pavo
l Soj
čík (2
012)
ไพศา
ล ลก
ขณาน
รกษ
(255
5)
โครงสรางเทคโนโลยสารสนเทศขององคกร
x x x x x x x
ความตระหนกถงภยคกคามและชองโหว
x x x x x x x x x
การใหความส าคญในการเขารบการตรวจประเมน
x x x
คาใชจาย x x x
จากการบรณาการแนวคดและทฤษฎตางๆ ในการเตรยมความพรอมขององคกรเพอขอ
รบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 นน มสงทจะตองค านงถงซงสามารถสรปเปนกรอบแนวคดในการวจยไดดงน
52
ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ
- บคลากรมความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆทเกยวของ ไมเทากน - การประชาสมพนธขอมลทเปนประโยชนใหกบบคลากรไดรบทราบ
การประยกตใชมาตรฐานและกฎหมายทเกยวของ
- น าเอามาตรฐานและกฎหมายทเกยวของดานความมนคงปลอดภยสารสนเทศมาประยกต ใช ในงานขององคกร ท งด าน Hardware, Software และ Network
นโยบายขององคกร
-มการก าหนดนโยบายความมนคงปลอดภยสารสนเทศ ไวเปนสวนหนงของของการขบเคลอนองคกร
-จดท าโครงการเกยวกบความมนคงปลอดภยสารสนเทศ
- จดท าระเบยบ ขอบงคบ และแนวปฏบตทเกยวกบความมนคงปลอดภยสารสนเทศ
โครงสรางเทคโนโลยสารสนเทศขององคกร
-สภาพแวดลอม, Infrastructure และระบบงาน ถกปรบปรงและพฒนาอยบนพนฐานตามมาตรฐานความมนคงปลอดภยสารสนเทศ
การใหความส าคญในการด าเนนการตามมาตรฐานฯ
- ผ บ ร ห า ร ให ก า ร ส น บ ส น น ใน ก า รด าเนนการโครงการเกยวกบความมนคงปลอดภยสารสนเทศในองคกร - บ คลากรในระดบต างๆ ปฏ บ ต ตามขอก าหนดและขนตอนปฏบต
ความตระหนกถงภยคกคามและชองโหว
-องคกรมระบบปองกนภยคกคามและชองโหวจากภายในและภายนอกองคกร
-บคลากรไมตกเปนเหยอจากผไมประสงคดจากเทคนค Social Engineering
ภาพท 2.6 กรอบแนวคดการวจยการเตรยมความพรอมขององคกรเพอขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013
การเตรยมความพรอมของหนวยงานภาครฐ ฯ ในการเขารบการรบรอง
มาตรฐาน ISO/IEC 27001:2013
53
บทท 3 วธการวจย
การศกษาการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการ
ความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง นน ใชระเบยบวธวจยเชงปรมาณและคณภาพ โดยด าเนนการวจยตามรายละเอยดดงน
3.1 ขอบเขตและขนตอนการวจย 3.2 การเกบรวบรวมขอมล 3.3 เครองมอทใชในการวจย 3.4 การวเคราะหและประเมนความพรอม 3.5 ระยะเวลาในการวจย
3.1 ขอบเขตและขนตอนการวจย
จากการทบทวนงานวจยและวรรณกรรมทเกยวของ พบวาการเตรยมความพรอมของ
องคกรเพอขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/ IEC 27001:2013 นน มขนตอนการศกษา ดงน
3.1.1 ศกษามาตรฐานการจดการความม นคงปลอดภ ยสารสน เทศ ISO/ IEC 27001:2013 และกฎหมายทเกยวของ
3.1.2 ท าการศกษา รวบรวม ทบทวนขนตอนปฏบต มาตรการตางๆ จากเอกสารทเกยวของกบการบรหารจดการความมนคงปลอดภยดานสารสนเทศขององคกร ทเคยด าเนนการไว และท าการสมภาษณเพอขอขอมลเพมเตมจากผเชยวชาญและผทเกยวของ เพอขอทราบขอมลปจจบนขององคกร ดงน
- นโยบายและขนตอนปฏบตของการบรหารจดการความมนคงปลอดภยสารสนเทศขององคกร
- กระบวนการในการปฏบตงานจรง เพ อว เคราะหสถานะปจจบนขององคกร เปรยบเท ยบกบมาตรฐาน ISO/ IEC
27001:2013
54
3.1.3 ท าการเกบขอมลจากการสมภาษณการสมภาษณผบรหาร, ผเชยวชาญดานการจดการความมนคงปลอดภยสารสนเทศจากภายนอกองคกร, การตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ และการทดสอบความพรอมของบคลากรในองคกร เพอท าการส ารวจความคดเหนและประเมนผลปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการเขารบการรบรองมาตรฐาน ISO/IEC 27001:2013
3.1.4 วเคราะหปจจยทเกยวของในการเตรยมความพรอมขององคกรและประเมนผล 3.1.5 สรปผลและจดท าขอเสนอแนะเพอสรางแนวทางปฏบตทเหมาะสมกบองคกรเพอ
ท าการปรบปรงและเตรยมความพรอมในการรบการตรวจประเมนจากผตรวจประเมน (Certification Body หรอ CB) ตอไป
สามารถสรปขนตอนการศกษาได ดงภาพท 3.1
55
ภาพท 3.1 แสดงขนตอนการศกษา
1.ศกษามาตรฐานและระเบยบตางๆ
ISO/IEC 27001
แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงาน
ภาครฐพ.ศ. 2553
พระราชกฤษฎกา วาดวยวธการแบบปลอดภยในการท า
ธรกรรมทางอเลกทรอนกส พ.ศ. 2553
2.รวบรวมขอมลเพอวเคราะหสถานะปจจบนขององคกร
ศกษาเอกสารวรรณกรรมทเกยวของ
ศกษาเอกสารของภายในขององคกร
สมภาษณเพอขอขอมลเพมเตมจากผเชยวชาญและผท
เกยวของ
สอบถามความคดเหนของบคลากรในองคกร
3.ส ารวจความคดเหนและประเมนผลปจจยทเกยวของกบการเตรยมความพรอมฯ
สมภาษณผบรหาร
สมภาษณผเชยวชาญฯ จากภายนอก
ตอบแบบประเมนโดยผดแลระบบเทคโนโลยสารสนเทศ
ทดสอบความพรอมของบคลากรในองคกร
การศกษาการบรหารจดการความมนคงปลอดภยสารสนเทศ เพอเตรยมความพรอมของหนวยงานภาครฐ กรณศกษา องคกรดานการทองเทยวแหงหนง ในการเขารบการรบรอง
มาตรฐาน ISO27001:2013
4.วเคราะหปจจยทเกยวของในการเตรยมความพรอมขององคกรและประเมนผล
5.สรปผลและจดท าขอเสนอแนะเพอสรางแนวทางปฏบตทเหมาะสมกบองคกรฯ และประเมนความพรอมขององคกรกอนเขารบการรบรองมาตรฐานฯ
56
3.2 การเกบรวบรวมขอมล
เกบรวบรวมขอมลจาก 3 ชองทาง คอ - รวบรวมจากขอมลเดมขององคกร จากเอกสารนโยบายและแนวปฏบตตางๆ
ทเคยไดด าเนนการไว - ท าการสมภาษณผบรหารและผเชยวชาญฯ จากภายนอก - ตอบแบบประเมนโดยผดแลระบบเทคโนโลยสารสนเทศ - ทดสอบความพรอมของบคลากรในองคกร
3.3 เครองมอทใชในการวจย
เครองมอทใชในการวจย ประกอบดวย
3.3.1 ขนตอนการศกษามาตรฐานการจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 และกฎหมายทเกยวของ
- เอกสาร ISO/IEC 27001 - เอกสารแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดาน
สารสนเทศของหนวยงานภาครฐพ.ศ. 2553 - เอกสารพระราชกฤษฎกา วาดวยวธการแบบปลอดภยในการท าธรกรรมทาง
อเลกทรอนกส พ.ศ. 2553
3.3.2 ขนตอนการรวบรวมขอมลขอมลเพอวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013
- เอกสารและวรรณกรรมทเกยวของ - เอกสารภายในองคกร - สมภาษณเพอขอขอมลเพมเตมจากผเชยวชาญและผทเกยวของ
โดยมรายละเอยดการวเคราะหอางองตามมาตรฐาน ISO 27001:2013 และเกณฑการประเมนผลดงน
57
ตารางท 3.1 ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของขอก าหนดระบบบรหารจดการ (Management System Requirements)
ขอก าหนดระบบบรหารจดการ (Management System Requirements)
ขอ ขอก าหนดมาตรฐาน สงทตรวจสอบพบ ระดบ 1 บรบทขององคกร (Context of the
organization) องคกรจ าเปนตองเขาใจถงบรบทของอ งค ก ร โด ย พ จ า รณ าป ระ เด น ทเกยวของกบความมนคงปลอดภยซงเกยวของกบองคกรและพจารณาจากผมสวนไดเสยทงภายในและภายนอกองคกร ซงองคกรใหความสนใจเฉพาะกลม จากนนจงพจารณาวาผทองคกรใหความสนใจ (Interested Parties) มความต องการและความคาดหว งอะไรบางท เกยวของกบความมนคงปลอดภยสารสนเทศแลวจงก าหนดขอบเขตระบบบรหารจดการความมนคงปลอดภยสารสนเทศ (Scope)
2 ผน า (Leadership) ผบรหารจะตองสนบสนน ผลกดน มอบหมายและก าหนดหนาทส าหรบการบรหารจดการความมนคงปลอดภยสารสนเทศ ก าหนดนโยบายความมนคงป ลอดภ ย ส ารส น เท ศ และ ให ก ารสนบสนนตอทรพยากรท จ าเปนตอด าเนนงาน
58
ตารางท 3.1 (ตอ)
ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของขอก าหนดระบบบรหารจดการ (Management System Requirements)
ขอก าหนดระบบบรหารจดการ (Management System Requirements)
ขอ ขอก าหนดมาตรฐาน สงทตรวจสอบพบ ระดบ 3 การวางแผน (Planning)
องคกรจะตองพจารณาถงความเสยงและโอกาสทเกยวของกบความสามารถในการบรรลวตถประสงคและเปาหมายของระบบบรหารจดการความมนคงปลอดภยสารสนเทศ โดยการประเมนความเสยงและการบรหารความเสยงความมนคงปลอดภยสารสนเทศ และองคกรจ าเปนทจะตองวางแผนเพอใหมนใจวาสามารถจะบรรลวตถประสงคความมนคงปลอดภยสารสนเทศ
4 การสนบสนน (Support) องคกรจ าเป นตองมการสนบสน นทรพยากรท จ า เป นต อการบรห ารจดการความมนคงปลอดภยสารสนเทศ มการก าหนดความร (Competence) การสรางความตระหนก (Awareness) ก า ห น ด ร ป แ บ บ ก า ร ส อ ส า ร (Communication) และก าหนดแนวทางการจดการเอกสาร (Document Management)
5 การปฏบตการ (Operation) องคกรจะตองน าแผนการลดความเสยง
59
ตารางท 3.1 (ตอ)
ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของขอก าหนดระบบบรหารจดการ (Management System Requirements)
ขอก าหนดระบบบรหารจดการ (Management System Requirements)
ขอ ขอก าหนดมาตรฐาน สงทตรวจสอบพบ ระดบ และแผนปฏบตการทจะท าใหมนใจวาสามารถจะบรรลวตถประสงคขององคกรไดมาด าเนนการปฏบต และด าเนนการทบทวนและประเมนความเสยง ด าเนนการวางแผนการลดความเสยงตามผลการทบทวนและประเมนความเสยง
6 การประเมนสมรรถนะ (Performance Evaluation) องคกรจะตองตดตามรายงานผลการด าเนนงานและผลการประเมนผล และจดใหมการตรวจสอบภายใน จากนนจงน าผลการตดตามประเมนผลและการตรวจสอบภายในรายงานตอผบรหารเพอใหพจารณาและสงการปรบปรงแกไข
7 การปรบปรง (Improvement) ผลจากการตดตามและผลการประเมน ผลจากการตรวจสอบภายในและมตทป ร ะช ม ข อ งฝ า ยบ ร ห า รจ าก ก ารพจารณาผล จะตองน ามาพจารณาคนหาสาเหตของปญหาหรอส งท ไมสอดคลองท เกดขน โดยคนหาจาก
60
ตารางท 3.1 (ตอ)
ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของขอก าหนดระบบบรหารจดการ (Management System Requirements)
ขอก าหนดระบบบรหารจดการ (Management System Requirements)
ขอ ขอก าหนดมาตรฐาน สงทตรวจสอบพบ ระดบ สาเหตทแทจรงและก าหนดแนวทางในก า ร แ ก ไ ข ( Corrective Action) ตลอดจนพจารณาถงสาเหตอนทอาจมศ กยภาพ อนจะก อ ให เก ดความไมสอดคลองหรอปญหาในอนาคตและก าหนดแนวทางในการป องกน ในอนาคต (Preventive Action)
61
ตารางท 3.2 ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ
สงทตรวจสอบพบ ระดบ
1 น โย บ า ย ค ว า ม ม น ค ง ป ล อ ด ภ ยส ารส น เท ศ ( Information Security Policies) เปนมาตรการควบคมทก าหนดใหองคกรตองก าหนดทศทางและสนบสนนดานความมนคงปลอดภยสารสนเทศใหสอดคลองกบความตองการทางธรกจและสมพนธกบกฎระเบยบ กฎหมาย
2 องคประกอบของความมนคงปลอดภยส า ร ส น เ ท ศ ( Organizaton of information security) ประกอบดวยการจดการภายในองคกร (Internal organization) การก าหนดบทบาทและหนาท ด านความม นคงปลอดภยสารสนเทศ การแบ งแยกหนาท การรวบรวมขอมลส าหรบตดตอผมอ านาจและตดตามขอมลดานความมนคงปลอดภยสารสนเทศ การบรหารจดการโครงการในดานความมนคงปลอดภยสารสนเทศ การควบคมความมนคงปลอดภยจากปฏบตงานภายนอก (Teleworking) และอปกรณ โมบาย (Mobile devices)
62
ตารางท 3.2 (ตอ)
ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ
สงทตรวจสอบพบ ระดบ
3 ความมนคงปลอดภยดานทรพยากรบคคล (Human resource security) ประกอบดวยการควบคมกอนการจางงาน (Prior to employment) ทตองมการตรวจสอบประวต การก าหนดเงอน ไขด านความม น คงปลอดภ ยสารสนเทศกอนการจาง การควบคมร ะ ห ว า ง ก า ร จ า ง ง า น (During employment) ป ร ะ ก อ บ ด ว ย ก า รสอสารหนาท ความรบผดชอบจากฝายบรหาร การจดอบรมสรางความร ความตระหนกและการใหการศกษา และกระบวนการทางวนย การควบคมเมอส น ส ด ก า ร จ า ง ห ร อ เ ม อ ม ก า รเปลยนแปลงการจาง (Termination and change of employment)
4 ก า ร จ ด ก า ร ท ร พ ย ส น ( Asset management) ป ระ ก อ บ ด ว ย ก า รก า ห น ด ค ว า มร บ ผ ด ช อ บ ต อ ท ร พ ย ส น (Responsibility for assets) ซงตองมการจดท าบญชทรพยสน การก าหนดผรบผดชอบดแล การก าหนดเงอนไข
63
ตารางท 3.2 (ตอ)
ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ
สงทตรวจสอบพบ ระดบ
การใช งาน ท รพ ย ส น และการค นทรพยสน การจดจ าแนกสารสนเทศ(Information classification) ประกอบดวยแนวทางการจดจ าแนกสารสนเทศตามความส าคญ คณคาและความลบ การท าปายลาเบลและการจดการ การใชงานทรพยสนตามปายลาเบล
5 ก า ร ค ว บ ค ม ก า ร เข า ถ ง (Access control) ประกอบดวยการก าหนดนโยบายการเข าถ งตามความตองการทางธรก จ (Business requirements of access control) การบรหารการเข าถงของผใชงาน (User access management) ห น า ท ข อ ง ผ ใ ช ง า น ( User responsibilities) การควบคมการเขาถงทางระบบและแอพพลเคชน (System and application access control)
6 การเขารหสลบ (Crytography) เปนมาตรการควบคมส าหรบการรกษาความลบของขอมล โดยใหมการก าหนดนโยบายการใชงานมาตรการควบคม
64
ตารางท 3.2 (ตอ)
ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ
สงทตรวจสอบพบ ระดบ
ดวยรหสลบ และการจดการกญแจรหสลบ
7 ความมนคงปลอดภยทางกายภาพและส ภ า พ แ ว ด ล อ ม ( Physical and environmental security) ประกอบดวยการก าหนดการควบคมพนท ท างกายภาพ การเข าถ ง การจ ด ก า ร พ น ท แ ล ะ ก า ร ค ว บ ค มสภาพแวดลอมความปลอดภยใหมความเหมาะสม
8 ความมนคงปลอดภยทางการปฏบตการ (Operations security) ประกอบดวยการก าหนดหนาทความรบผดชอบและขนตอนปฏบตส าหรบปฏบตการ (Operational procedures and responsibilities) ทตองมขนตอนปฏบต มการควบคมการเปลยนแปลง (Change management) การบรหารสมรรถนะ (Capacity management) และการแบงแยกสภาพแวดลอมส าหรบการพฒนา การทดสอบและการใชงานจ ร ง ต อ ง ม ก า ร ป อ ง ก น ม ล แ ว ร (Protection from malware) ม ก า ร
65
ตารางท 3.2 (ตอ)
ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ
สงทตรวจสอบพบ ระดบ
ส ารองขอมล (Backup) มการบนทกปมเหตการณและตดตาม (Logging and monitoring) มการควบคมซอฟตแวรทใ ช ป ฏ บ ต ก า ร ( Control of operational software) มการจดการช อ ง โห ว ท า ง เท ค น ค (Technical vulnerability management) ม ก า รควบคมเครอมอส าหรบการตรวจสอบระบบสารสนเทศ
9 ความมนคงปลอดภยทางการสอสาร (Communications security) ประกอบดวยการจดการความมนคงปลอดภ ยท างเค ร อข าย (Network security management) ซงตองมการควบคมทางเครอข าย การก าหนดบรการทางเครอขายทใหบรการและการแบงแยกเครอขายทใชงาน และจดสงสารสนเทศ (Information transfer) ซงตองมการก าหนดนโยบายและขนตอนปฏบต การก าหนดขอตกลงส าหรบ ก า รจ ด ส งส า รส น เท ศ ก ารจ ด ส งสารสนเทศทางอเลกทรอนกส การก าหนดขอตกลงในการรกษาความลบ
66
ตารางท 3.2 (ตอ)
ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ
สงทตรวจสอบพบ ระดบ
10 การจดหา พฒนาและบ ารงรกษาระบบ (System acquisition, development and maintenance) ประกอบดวยการก าหนดความตองการดานความมนคงปลอดภยสารสนเทศส าหรบระบบสารสนเทศ (Security requirement of information system) การควบคมความมนคงปลอดภยในการพฒ นาและกระบวนการสนบสน น (Security in development and support processes) การควบคมความปลอดภยบนขอมลทดสอบ (Test data)
11 ค ว าม ส ม พ น ธ ก บ ซ พ พ ล าย เอ อ ร (Supplier relationships) ประกอบดวยการควบคมความมนคงปลอดภยสารสนเทศส าหรบซพพลายเออร (Information security in supplier relationships) ท ต อ งม ก ารก าหน ดขอตกลงและความรบผดชอบดานความมนคงปลอดภยสารสนเทศ การบรหารก า ร ให บ ร ก า ร (Supplier service delivery management)
12 การจดการกบอบตการณความมนคง
67
ตารางท 3.2 (ตอ)
ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ
สงทตรวจสอบพบ ระดบ
ปลอดภ ยสารสน เทศ ( Information security incident management) ประกอบดวยขนตอนปฏบตส าหรบจดการกบ อบต การณ การรายงานเหตการณและจดออนดานความมนคงปลอดภยสารสนเทศ การประเมนและการตดสนใจส าหรบเหตการณดานความม น ค งป ล อ ด ภ ย ส ารส น เท ศ ก ารตอบสนองตออบตการณความมนคงปลอดภยสารสนเทศ และการรวบรวมหลกฐาน
13 การจดการความตอเนองทางธรกจในมตค ว าม ม น ค งป ลอดภ ยส ารสน เท ศ ( Information security aspects of business continuity management) ประกอบดวยการวางแผนความตอเนองในการด าเนนธรกจ การเตรยมการและการประยกตใชงานแผน การทดสอบและทบทวนความตอเนองทางธรกจ ก า ร ใ ช ง า น อ ป ก ร ณ ส า ร อ ง (Redundancies)
14 การปฏบตตาม (Compliance) ประกอบไปดวยการปฏบต ตามกฎ
68
ตารางท 3.2 (ตอ)
ตารางวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ
สงทตรวจสอบพบ ระดบ
ร ะ เบ ย บ ก ฎ ห ม า ย ท ก า ห น ด (Compliance with legal and contractual requirements) การทบทวนความม น คงปลอดภ ยส ารส น เท ศ ( Information security reviews)
ตารางท 3.3 เกณฑการประเมนผล
ระดบ สงทตรวจสอบพบ ผาน มการด าเนนการครบถวนสอดคลองกบมาตรฐานฯ
ผานบางสวน มการด าเนนการบางสวนสอดคลองกบมาตรฐานฯ ตองแกไข การด าเนนการยงไมสอดคลองกบมาตรฐานฯ
3.3.3 ขนตอนการเกบขอมลเพอท าการส ารวจความคดเหนและประเมนผลปจจยท
เกยวของกบการเตรยมความพรอมขององคกรในการเขารบการรบรองมาตรฐาน ISO/IEC 27001:2013
- การสมภาษณผบรหาร โดยใชแนวค าถามประกอบการสมภาษณผบรหาร ตามเอกสารภาคผนวก ก
69
- การสมภาษณผเชยวชาญดานการจดการความมนคงปลอดภยสารสนเทศจากภายนอกองคกร โดยใชแนวค าถามประกอบการสมภาษณผเชยวชาญจากภายนอก ตามเอกสารภาคผนวก ข
- การตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ โดยใชแบบประเมนความพรอมและความส าคญฯ ส าหรบผดแลระบบเทคโนโลยสารสนเทศ ตามเอกสารภาคผนวก ค
- ทดสอบความพรอมของบคลากรในองคกรดวยวธการจ าลองสถานการณ (Cyber Drill หรอ Cyber Readiness Assessment) ตามเอกสารภาคผนวก ช
3.3.4 ขนตอนวเคราะหปจจยทเกยวของในการเตรยมความพรอมขององคกรและประเมนผล
น าขอมลจากการสมภาษณและการตอบแบบสอบถามทงหมดมาประมวลผล โดยวเคราะหจาก
- ขอมลทไดจากการเกบรวบรวมและการสมภาษณสถานะปจจบนขององคกร
- ขอมลทไดจากการสมภาษณผบรหาร, ผเชยวชาญฯ จากภายนอกองคกร และผดแลระบบสารสนเทศ โดยท าการส ารวจความคดเหนและการตอบแบบประเมน
- ขอมลทไดจากการทดสอบความพรอมของบคลากรในองคกรดวยวธการจ าลองสถานการณ (Cyber Drill หรอ Cyber Readiness Assessment)
ท าการสรปผลปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการเขารบการรบรองมาตรฐาน ISO/IEC 27001:2013 และประเมนผลสถานะความพรอมขององคกรในปจจบน
3.4 การวเคราะหและประเมนความพรอม
การวเคราะหปจจยทเกยวของในการเตรยมความพรอมขององคกรนน รวบรวมผลจาก
จากการสมภาษณ การตอบแบบสอบถามและการทดสอบทงหมดโดยน ามาวเคราะหรวมกน เพอท าการสรปผลและจดท าขอเสนอแนะเพอสรางแนวทางปฏบตทเหมาะสมกบองคกรฯ รวมถงเปนการประเมนความพรอมขององคกรกอนเขารบการรบรองมาตรฐานฯ จรงตอไป
3.5 ระยะเวลาในการวจย
70
งานวจยนท าการศกษาตงแต ก.พ. 58 – ธ.ค. 58 เปนระยะเวลาการวจย 11 เดอน ดงน ตารางท 3.4 ระยะเวลาในการท าวจย
กจกรรม/ขนตอนการด าเนนงาน
ระยะเวลาด าเนนงาน (ป 58)
ก.พ. ม.ค. เม.ย. พ.ค. ม.ย. ก.ค. ส.ค. ก.ย. ต.ค. พ.ย. ธ.ค.
1. เตรยมหวขอการคนควาอสระ/งานวจย
1.1 เตรยมหวขอ ศกษาแนวความคดและขอมลทเกยวของ
1.2 เขยนเคาโครง งานวจย
1.3 เสนอหวขอและเคาโครงใหอาจารยทปรกษาอนมต
1.4 เสนอหวของานวจยใหกบวทยาลย
1.5 ประกาศผลหวขอพรอมรายชออาจารยทปรกษา
2. แนวคดและรปแบบงานวจย
2.1 พฒนาแนวคดและรปแบบงานวจย
2.2 จดท ารายละเอยดขนตอนและระเบยบวธวจย
71
ตารางท 3.4 (ตอ) ระยะเวลาในการท าวจย
กจกรรม/ขนตอนการด าเนนงาน
ระยะเวลาด าเนนงาน (ป 58)
ก.พ. ม.ค. เม.ย. พ.ค. ม.ย. ก.ค. ส.ค. ก.ย. ต.ค. พ.ย. ธ.ค.
3. ด าเนนงานวจย
3.1 สอบ Defense งานวจย (ครงท 1)
4. ปรบปรง/แกไขผลการวจย
4.1 ปรบปรงแกไขงานวจยตามค าแนะน าของคณะกรรมการสอบงานวจย (ครงท 1)
4.2 รวบรวมขอมลทตยภม
4.3 สรปผลการวจย
4.4 วเคราะหขอมล - ทดสอบผลการวจย
5. เขยนรายงานวจย
5.1 เขยนรายงานวจย
6. เสนอรายงานวจย
6.1 สอบ Defense งานวจย (ครงท 2)
7. ปรบปรงแกไข
7.1 ปรบปรงแกไขงานวจยตามค าแนะน าของของคณะกรรมการสอบงานวจย (ถาม)
8. สงผลงานวจย
72
บทท 4 ผลการวจยและอภปรายผล
การวจยในครงน เปนการศกษาเพอวเคราะหเกยวกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง โดยผลทไดจากการวเคราะหสามารถน าไปใชประโยชนในการประเมนองคกร วเคราะหปจจยทเกยวของในการเตรยมความพรอมขององคกร น าไปสการสรปผลและจดท าขอเสนอแนะเพอสรางแนวทางปฏบตทเหมาะสมกบองคกรฯ และประเมนความพรอมขององคกรกอนเขารบการรบรองมาตรฐานฯ โดยมรายละเอยดผลการวจยและอภปรายผลดงน
4.1 ผลการวจย
4.1.1 สรปผลการวเคราะหสถานะและปจจยทเกยวของกบการเตรยมความพรอมขององคกรฯ ในปจจบนโดยอางองตามมาตรฐาน ISO/IEC 27001:2013
4.1.2 สรปผลการส ารวจความคดเหนและประเมนผลปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการเขารบการรบรองมาตรฐาน ISO/IEC 27001:2013
4.2 อภปรายผล
4.1 ผลการวจย
4.1.1 สรปผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน
ISO/IEC 27001:2013
จากการตรวจสอบระบบบรหารจดการความมนคงปลอดภยสารสนเทศ โดยอางองตามมาตรฐาน ISO/IEC 27001 สามารถสรปไดดงน
73
ตารางท 4.1
ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของขอก าหนดระบบบรหารจดการ (Management System Requirements)
ขอก าหนดระบบบรหารจดการ (Management System Requirements)
ขอ ขอก าหนดมาตรฐาน สงทตรวจสอบพบ หมายเหต
1 บรบทขององคกร (Context of the organization) องคกรจ าเปนตองเขาใจถงบรบทของอ งค ก ร โด ย พ จ า รณ าป ระ เด น ทเกยวของกบความมนคงปลอดภยซงเกยวของกบองคกรและพจารณาจากผมสวนไดเสยทงภายในและภายนอกองคกร ซงองคกรใหความสนใจเฉพาะกลม จากนนจงพจารณาวาผทองคกรใหความสนใจ (Interested Parties) มความต องการและความคาดหว งอะไรบางท เกยวของกบความมนคงปลอดภยสารสนเทศแลวจงก าหนดขอบเขตระบบบรหารจดการความมนคงปลอดภยสารสนเทศ (Scope)
การด าเนนการของ องคกรฯ ในระบบบรหารจดการเวอรชนเกาไมไดมการก าหนดไว จงยงไมไดด าเนนการอยางชดเจน
ตองแกไข
2 ผน า (Leadership) ผบรหารจะตองสนบสนน ผลกดน มอบหมายและก าหนดหนาทส าหรบการบรหารจดการความมนคงปลอดภยสารสนเทศ ก าหนดนโยบายความมนคงป ลอดภ ย ส ารส น เท ศ และ ให ก ารสนบสนนตอทรพยากรท จ าเปนตอด าเนนงาน
อ งค ก รฯ ได ม ก า รก าห น ดโครงสรางคณะกรรมการดานค ว า ม ม น ค ง ป ล อ ด ภ ยสารสนเทศ คณะท างานความมนคงปลอดภยสารสนเทศและนโยบายความมนคงปลอดภยสารสนเทศไวแลวจ งมความสอดคลองขนพนฐาน
ผาน
74
ตารางท 4.1 (ตอ)
ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของขอก าหนดระบบบรหารจดการ (Management System Requirements)
ขอก าหนดระบบบรหารจดการ (Management System Requirements)
ขอ ขอก าหนดมาตรฐาน สงทตรวจสอบพบ หมายเหต
3 การวางแผน (Planning) องคกรจะตองพจารณาถงความเสยงและโอกาสทเกยวของกบความสามารถในการบรรลวตถประสงคและเปาหมายของระบบบรหารจดการความมนคงปลอดภยสารสนเทศ โดยการประเมนความเสยงและการบรหารความเสยงความมนคงปลอดภยสารสนเทศ และองคกรจ าเปนทจะตองวางแผนเพอใหมนใจวาสามารถจะบรรลวตถประสงคความมนคงปลอดภยสารสนเทศ
จากการด าเนนการของ องคกรฯ ในระบบบรหารจดการเวอรชนเกา องคกรฯ มการประเมนความเส ยงและการวางแผน ลดความเสยงซงด าเนนการผานมาในป 2556 ซงกระบวนการบรหารความเส ยงท มอย น นสามารถน ามาใชกบมาตรฐานฉบบใหม ได แตการวางแผนเพ อ ให ส าม ารถ บ รรล ต ามวตถประสงคจะตองด าเนนการปรบปรง และผลการประเมนค ว า ม เส ย ง จ ะ ต อ ง ม ก า รด าเนนการอยางตอเนอง
ตองแกไข
4 การสนบสนน (Support) องคกรจ าเป นตองมการสนบสน นทรพยากรท จ า เป นต อการบรห ารจดการความมนคงปลอดภยสารสนเทศ มการก าหนดความร (Competence) การสรางความตระหนก (Awareness) ก า ห น ด ร ป แ บ บ ก า ร ส อ ส า ร (Communication) และก าหนดแนวทางการจดการเอกสาร (Document Management)
4.1 ป จ จ บ น ผ บ ร ห า ร ข อ ง อ งค ก ร ฯ ม ก า ร ส น บ ส น นทรพยากรตามงบประมาณทไดรบการสนบสนนจากรฐบาล และการด าเนนการตองเปนไปตามระเบยบทางราชการ 4.2 ด านการให ค วามร และความตระหนก องคกรฯ มการด าเนนการใหความรโดยผานการอบรม แตรายการความร
ผานบางสวน
75
ตารางท 4.1 (ตอ)
ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของขอก าหนดระบบบรหารจดการ (Management System Requirements)
ขอก าหนดระบบบรหารจดการ (Management System Requirements)
ขอ ขอก าหนดมาตรฐาน สงทตรวจสอบพบ หมายเหต
และทกษะทจ าเปนของแตละบทบาท ยงไมไดมการปรบปรงให เหมาะสมและครอบคลมลกษณะงานดานความมนคงปลอดภยสารสนเทศ 4.3 การก าหนดดานการสอสาร องค ก รฯ ม ก ารด า เน น ก ารสอสารภายใน แตไมไดก าหนดข นมาอย างชด เจน เป นลายลกษณอกษร 4.4 การด า เน นการควบค มเ อ ก ส า ร อ ง ค ก ร ฯ มกระบวนการบรหารจดการเอกสาร ซ งจดท าไวในระบบบ รห ารจ ด การความม น ค งปลอดภยสารสนเทศในเวอรชน 2005 แลว
5 การปฏบตการ (Operation) องคกรจะตองน าแผนการลดความเสยงและแผนปฏบตการทจะท าใหมนใจวาสามารถจะบรรลวตถประสงคขององคกรไดมาด าเนนการปฏบต และด าเนนการทบทวนและประเมนความเสยง ด าเนนการวางแผนการลดความ
ตามท องคกรฯ ไดมการวางแผนการบรหารความเสยงดานค ว า ม ม น ค ง ป ล อ ด ภ ยสารสนเทศในป 2556 เทานน ด ง น น ก า ร ป ฏ บ ต ก า ร ในประเดนการบรหารความเสยงค ว า ม ม น ค ง ป ล อ ด ภ ย
ผานบางสวน
76
ตารางท 4.1 (ตอ)
ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของขอก าหนดระบบบรหารจดการ (Management System Requirements)
ขอก าหนดระบบบรหารจดการ (Management System Requirements)
ขอ ขอก าหนดมาตรฐาน สงทตรวจสอบพบ หมายเหต
เสยงตามผลการทบทวนและประเมนความเสยง
ส า ร ส น เท ศ จ ง ไม ได ม ก า รด าเนนการเพมเตม แตส าหรบดานการตดตาม การตรวจสอบและการปองกนดานความมนคงปลอดภยสารสนเทศ องคกรฯ ได ม ก า ร ด า เน น ก า ร อ ย า งตอเนอง โดยประกอบดวย - การตรวจสอบและตดตามชองโห ว ท า ง เท ค น ค บ น ระ บ บสารสนเทศทส าคญ - การตดตามสมรรถนะระบบส า ร ส น เท ศ แ ล ะ อ ป ก ร ณเครอขายทมการด าเนนการเปนประจ าทกสปดาห - การวางแผนการด าเนนการธรกจอยางตอเนองในสวนงานดานเทคโนโลยสารสนเทศ ซงมการเตรยมความพรอมใหกบระบบงานทส าคญ - ก า ร ต ด ต า ม แ ล ะ แ ก ไ ขอบ ต ก ารณ ค วามม น ค งปลอดภยสารสนเทศ ซงมการตดตามรายสปดาห
6 การประเมนสมรรถนะ (Performance 6.1 การประเมนสมรรถนะท ตองแกไข
77
ตารางท 4.1 (ตอ)
ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของขอก าหนดระบบบรหารจดการ (Management System Requirements)
ขอก าหนดระบบบรหารจดการ (Management System Requirements)
ขอ ขอก าหนดมาตรฐาน สงทตรวจสอบพบ หมายเหต
Evaluation) องคกรจะตองตดตามรายงานผลการด าเนนงานและผลการประเมนผล และจดใหมการตรวจสอบภายใน จากนนจงน าผลการตดตามประเมนผลและการตรวจสอบภายในรายงานตอผบรหารเพอใหพจารณาและสงการปรบปรงแกไข
องค ก รฯ ด า เน น การอย ในปจจบนมการด าเนนการดวยกระบวนการตามขอก าหนดของมาตรฐานระบบบรหารจดการค ว า ม ม น ค ง ป ล อ ด ภ ยสารสนเทศเวอรชนเดม ซ งมความแตกตางในสาระตามทมาตรฐานก าหนด เชน ประเดนการตดตาม การวดผล การวเคราะหและการประเมนผลทม ก า ร จ ด ท า ย ง ไม ได ม ก า รป ร บ ป ร ง ให ส อ ด ค ล อ งก บขอก าหนดมาตรฐานฉบบใหม 6.2 การประชมเพอรายงานผลตอฝายบรหาร (Management Review) ในปทผานมายงไมไดมการด าเนนการ เนองจากมการเปลยนแปลงฝายบรหารและโครงสรางภายใน องคกรฯ
7 การปรบปรง (Improvement) ผลจากการตดตามและผลการประเมน ผลจากการตรวจสอบภายในและมตทป ร ะช ม ข อ งฝ า ยบ ร ห า รจ าก ก ารพจารณาผล จะตองน ามาพจารณา
การปรบปรงและแก ไข เพ อปองกนความไมสอดคลองดานค ว า ม ม น ค ง ป ล อ ด ภ ยสารสนเทศ ปจจบน องคกรฯ มการด าเนนการแตรปแบบการ
ตองแกไข
78
ตารางท 4.1 (ตอ)
ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของขอก าหนดระบบบรหารจดการ (Management System Requirements)
ขอก าหนดระบบบรหารจดการ (Management System Requirements)
ขอ ขอก าหนดมาตรฐาน สงทตรวจสอบพบ หมายเหต
คนหาสาเหตของปญหาหรอส งท ไมสอดคลองท เกดขน โดยคนหาจากสาเหตทแทจรงและก าหนดแนวทางในก า ร แ ก ไ ข ( Corrective Action) ตลอดจนพจารณาถงสาเหตอนทอาจมศ กยภาพ อนจะก อ ให เก ดความไมสอดคลองหรอปญหาในอนาคตและก าหนดแนวทางในการป องกน ในอนาคต (Preventive Action)
จดเกบบนทกยงไม ไดม การด าเนนการอยางตอเนอง เชน การแกไขปญหาการแพรระบาดของไวรสคอมพวเตอร การแกไขปญหาอบตการณระบบจดหมายอเลกทรอนกส ทมการคนหาสาเหตของปญหาและมก า ร ด า เน น ก าร แ ก ไข แ ล ะปองกน แตการบนทกผลตามร ป แ บ บ ข อ ก า ห น ด ข อ งมาตรฐานยงไมไดด าเนนการอยางตอเนอง เปนตน
79
ตารางท 4.2
ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ
สงทตรวจสอบพบ หมายเหต
1 น โย บ า ย ค ว า ม ม น ค ง ป ล อ ด ภ ยส ารส น เท ศ ( Information Security Policies) เปนมาตรการควบคมทก าหนดใหองคกรตองก าหนดทศทางและสนบสนนดานความมนคงปลอดภยสารสนเทศใหสอดคลองกบความตองการทางธรกจและสมพนธกบกฎระเบยบ กฎหมาย
พบวา องคกรฯ ไดมการจดท าขอก าหนดและนโยบายความมนคงปลอดภยสารสนเทศส าห ร บ อ งค ก รฯ แ ต ก า รท บ ท วน และการป ร บ ป ร งนโยบายความมนคงปลอดภยสารสนเทศในปท ผ านมาย งไมไดมการด าเนนการ
ตองแกไข
2 องคประกอบของความมนคงปลอดภยส า ร ส น เ ท ศ ( Organization of information security) ประกอบดวยการจดการภายในองคกร (Internal organization) การก าหนดบทบาทและหนาท ด านความมนคงปลอดภยสารสนเทศ การแบ งแยกหนาท การรวบรวมขอมลส าหรบตดตอผมอ านาจและตดตามขอมลดานความมนคงปลอดภยสารสนเทศ การบรหารจดการโครงการในดานความมนคงปลอดภยสารสนเทศ การควบคมความมนคงปลอดภยจากปฏบตงานภายนอก (Teleworking) และอปกรณ โมบาย (Mobile devices)
พ บ ว า อ ง ค ก ร ฯ ม ก า รด า เน น ก ารต าม ม าต รการควบคมภายในซงสอดคลองกบขอก าหนดของมาตรฐาน มเพยงแตมาตรการควบคมทมก า ร ป ร ะ ก า ศ ใ ช ใ ห ม ใ นมาตรฐาน คอ เรองนโยบายการใชงานอปกรณโมบาย และการบรหารโครงการในมตดานค ว า ม ม น ค ง ป ล อ ด ภ ยสารสนเทศ ท ย งไม ไดมการด าเนนการ
ผานบางสวน
80
ตารางท 4.2 (ตอ)
ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ
สงทตรวจสอบพบ หมายเหต
3 ความมนคงปลอดภยดานทรพยากรบคคล (Human resource security) ประกอบดวยการควบคมกอนการจางงาน (Prior to employment) ทตองมการตรวจสอบประวต การก าหนดเงอน ไขด านความม น คงปลอดภ ยสารสนเทศกอนการจาง การควบคมร ะ ห ว า ง ก า ร จ า ง ง า น ( During employment) ป ร ะ ก อ บ ด ว ย ก า รสอสารหนาท ความรบผดชอบจากฝายบรหาร การจดอบรมสรางความร ความตระหนกและการใหการศกษา และกระบวนการทางวนย การควบคมเมอส น ส ด ก า ร จ า ง ห ร อ เ ม อ ม ก า รเปลยนแปลงการจาง (Termination and change of employment)
พ บ ว า อ ง ค ก ร ฯ ม ก า รด าเนนการควบคมความมนคงป ล อด ภ ย ส ารส น เท ศ ต ามระ เบ ยบ ท างราชการ ซ งมครอบคลมความตองการขนพนฐานของมาตรฐาน
ผาน
4 ก า ร จ ด ก า ร ท ร พ ย ส น ( Asset management) ป ระ ก อ บ ด ว ย ก า รก า ห น ด ค ว า มร บ ผ ด ช อ บ ต อ ท ร พ ย ส น (Responsibility for assets) ซงตองมการจดท าบญชทรพยสน การก าหนดผรบผดชอบดแล การก าหนดเงอนไข
พบวา องคกรฯ มกระบวนการจ ด ก า รท ร พ ย ส น แ ล ว ซ งครอบคล มการจ ดท าบ ญ ชทรพยสน การจดจ าแนกชนความลบ แตการน ามาใชยงไมไดด าเนนการอยางตอเนอง
ตองแกไข
81
ตารางท 4.2 (ตอ)
ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ
สงทตรวจสอบพบ หมายเหต
การใช งาน ท รพ ย ส น และการค นทรพยสน การจดจ าแนกสารสนเทศ(Information classification) ประกอบ ดวยแนวทางการจดจ าแนกสารสนเทศตามความส าคญ คณคาและความลบ การท าปายลาเบลและการจดการ การใชงานทรพยสนตามปายลาเบล
5 ก า ร ค ว บ ค ม ก า ร เข า ถ ง (Access control) ประกอบดวยการก าหนดนโยบายการเข าถ งตามความตองการทางธรก จ (Business requirements of access control) การบรหารการเข าถงของผใชงาน (User access management) ห น า ท ข อ ง ผ ใ ช ง า น ( User responsibilities) ก า ร ค ว บ ค ม ก า รเข าถ งทางระบบและแอพพล เคช น ( System and application access control)
5.1 พบว า อ งค ก รฯ ม ก ารควบคมการเขาถงทางเครอขายโดยผานอปกรณไฟรวอลล แตในดานการก าหนดรายละเอยดการเขาถงยงไมมความชดเจนแ ล ะก ารบ งค บ ใช ย ง ไม ไดด าเนนการอยางตอเนอง 5.2 การควบคมการเขาถงในระด บ แอพ พ ล เค ช น ม ก ารด าเนนการควบคมและมการพจารณาสทธตามกระบวนการควบคมทไดมการออกแบบแลว
ผานบางสวน
6 การเขารหสลบ (Cryptography) เปนมาตรการควบคมส าหรบการรกษาความลบของขอมล โดยใหมการก าหนดนโยบายการใชงานมาตรการควบคม
พบวา องคกรฯ มการปองกนความลบของขอมลในระดบเคร อข ายซ ง ใช โป ร โตคอล PWA2
ผาน
82
ตารางท 4.2 (ตอ)
ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ
สงทตรวจสอบพบ หมายเหต
ดวยรหสลบ และการจดการกญแจรหสลบ
7 ความมนคงปลอดภยทางกายภาพและส ภ า พ แ ว ด ล อ ม ( Physical and environmental security) ประกอบดวยการก าหนดการควบคมพนท ท างกายภาพ การเข าถ ง การจ ด ก า ร พ น ท แ ล ะ ก า ร ค ว บ ค มสภาพแวดลอมความปลอดภยใหมความเหมาะสม
7.1 พบว า อ งค ก รฯ ม ก ารปองกนทางกายภาพส าหรบหองเดตาเซนเตอรซงการตดตงระบบควบคมการเขาถง มการควบคมอณหภมและความชน แต ในด านการป องกนท างก า ย ภ า พ ส า ห ร บ ร ะ บ บสารสนเทศ พบวาพนทยงอยในล ก ษ ณ ะ เ ป ด อ ป ก ร ณคอมพวเตอรและเซรฟเวอรไมไดมการตดตงภายในตแรคทสามารถควบคมการเขาถงได 7.2 การควบคมดแลสายเคเบลพบวา องคกรฯ ประสบปญหาสายเคเบลทไมไดมาตรฐาน ซงหากสงเกตจากภายนอกจะพบวาสายมลกษณะปกตแตภายในช ารด ท าใหตองมการเปลยนหรอสลบสายเคเบลจนเปน เหต ให การจด เรยงสายเคเบลไมเปนระเบยบและยาก
ตองแกไข
83
ตารางท 4.2 (ตอ)
ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ
สงทตรวจสอบพบ หมายเหต
ตอการดแลรกษา 8 ความมนคงปลอดภยทางการปฏบตการ
(Operations security) ประกอบดวยการก าหนดหนาทความรบผดชอบและขนตอนปฏบตส าหรบปฏบตการ (Operational procedures and responsibilities) ทตองมขนตอนปฏบต มการควบคมการเปลยนแปลง (Change management) การบรหารสมรรถนะ (Capacity management) และการแบงแยกสภาพแวดลอมส าหรบการพฒนา การทดสอบและการใชงานจ ร ง ต อ ง ม ก า ร ป อ ง ก น ม ล แ ว ร (Protection from malware) ม ก า รส ารองขอมล (Backup) มการบนทกปมเหตการณและตดตาม (Logging and monitoring) มการควบคมซอฟตแวรทใ ช ป ฏ บ ต ก า ร ( Control of operational software) มการจดการช อ ง โห ว ท า ง เท ค น ค (Technical vulnerability management) ม ก า รควบคมเครอมอส าหรบการตรวจสอบระบบสารสนเทศ
พ บ ว า อ ง ค ก ร ฯ ม ก า รด าเนนการตดตามสมรรถนะระบบสารสนเทศและเครอขาย มการส ารองขอมลและมการปองกนมลแวรภายในองคกร แตการบรหารการเปลยนแปลงระบ บ ส ารส น เท ศ ย ง ไม ไดด าเนนการอยางตอเนอง และการป ร บ ป ร งช อ ง โห ว ท างเทคนคพบวายงมบางระบบงานท ย งไม ส ามารถด า เน นการปรบปรงได เนองจากอาจเกดผลกระทบท อาจเกดข นกบระบบสารสนเทศ
ผานบางสวน
84
ตารางท 4.2 (ตอ)
ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ
สงทตรวจสอบพบ หมายเหต
9 ความมนคงปลอดภยทางการสอสาร (Communications security) ประกอบดวยการจดการความมนคงปลอดภ ยท างเค ร อข าย (Network security management) ซงตองมการควบคมทางเครอข าย การก าหนดบรการทางเครอขายทใหบรการและการแบงแยกเครอขายท ใชงาน และจดสงสารสนเทศ (Information transfer) ซงตองมการก าหนดนโยบายและขนตอนปฏบต การก าหนดขอตกลงส าหรบ ก า รจ ด ส งส า รส น เท ศ ก ารจ ด ส งสารสนเทศทางอเลกทรอนกส การก าหนดขอตกลงในการรกษาความลบ
พบวา องคกรฯ มการควบคมค ว า ม ม น ค ง ป ล อ ด ภ ยสารสนเทศในระบบเครอขายคอมพวเตอรผานอปกรณไฟรวอลล (Firewall) แตการตงคาการท างานทางเทคนคยงไมไดมการก าหนดใหมการควบคมและปองกนอยางเหมาะสมส งสด เน องจาก ปญหาการสอสารภายในระหวางผพฒนาร ะ บ บ แ ล ะ ผ ด แ ล ร ะ บ บเครอขาย
ผานบางสวน
10 การจดหา พฒนาและบ ารงรกษาระบบ (System acquisition, development and maintenance) ประกอบดวยการก าหนดความตองการดานความมนคงปลอดภยสารสนเทศส าหรบระบบสารสนเทศ (Security requirement of information system) การควบคมความมนคงปลอดภยในการพฒ นาและกระบวนการสนบสน น
พบวา องคกรฯ มการปรบปรงและจดหาระบบสารสนเทศ ซงการก าหนดความตองการดานค ว า ม ม น ค ง ป ล อ ด ภ ยสารสนเทศยงไมมความชดเจน
ผานบางสวน
85
ตารางท 4.2 (ตอ)
ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ
สงทตรวจสอบพบ หมายเหต
( Security in development and support processes) ก า ร ค ว บ ค มความปลอดภยบนขอมลทดสอบ (Test data)
11 ค ว าม ส ม พ น ธ ก บ ซ พ พ ล าย เอ อ ร (Supplier relationships) ประกอบดวยการควบคมความมนคงปลอดภยสารสนเทศส าหรบซพพลายเ อ อ ร ( Information security in supplier relationships) ท ตองมการก าหนดขอตกลงและความรบผดชอบดานความมนคงปลอดภยสารสนเทศ การบรหารการใหบรการ (Supplier service delivery management)
พบวา องคกรฯ มการก าหนดรายละเอยดการจางในสญญาจางส าหรบผใหบรการ และมการตดตามการใหบรการโดยอาศยกระบวนการจดซอจดจางตามระเบยบราชการ ซงมความสอดคลองกบขอก าหนดของมาตรฐานขนพนฐาน
ผาน
12 การจดการกบอบตการณความมนคงปลอดภ ยสารสน เทศ ( Information security incident management) ประกอบดวยขนตอนปฏบตส าหรบจดการกบ อบต การณ การรายงานเหตการณและจดออนดานความมนคงปลอดภยสารสนเทศ การประเมนและการตดสนใจส าหรบเหตการณดานความม น ค งป ล อ ด ภ ย ส ารส น เท ศ ก าร
พบวา องคกรฯ มการจดการอ บ ต ก า ร ณ ค ว า ม ม น ค งปลอดภยสารสนเทศ โดยมการมอบหมายหนาทในการแกไขป ญ ห า เบ อ ง ต น แ ต ก า รว เคราะห แนวโน มและการแกไขปญหาจากสาเหต มการด า เ น น ก า ร แ ต ย ง ไ ม มประสทธผล
ผานบางสวน
86
ตารางท 4.2 (ตอ)
ผลการวเคราะหสถานะปจจบนขององคกรโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 สวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls)
ขอ มาตรฐานควบคมความมนคงปลอดภยสารสนเทศ
สงทตรวจสอบพบ หมายเหต
ตอบสนองตออบตการณความมนคงปลอดภยสารสนเทศ และการรวบรวมหลกฐาน
13 การจดการความตอเนองทางธรกจในมตค ว าม ม น ค งป ลอดภ ยส ารสน เท ศ ( Information security aspects of business continuity management) ประกอบดวยการวางแผนความตอเนองในการด าเนนธรกจ การเตรยมการและการประยกตใชงานแผน การทดสอบและทบทวนความตอเนองทางธรกจ ก า ร ใ ช ง า น อ ป ก ร ณ ส า ร อ ง (Redundancies)
พบวา องคกรฯ มการจดเตรยมระบบส ารองและมการพฒนาแผนการด าเนนธรกจอย างต อ เ น อ ง ส า ห ร บ ร ะ บ บสารสนเทศทส าคญ ซงมการทดสอบการใชงาน และมการปรบปรงแกไขระบบส ารอง
ผาน
14 การปฏบตตาม (Compliance) ประกอบไปดวยการปฏบต ตามกฎ ร ะ เบ ย บ ก ฎ ห ม า ย ท ก า ห น ด ( Compliance with legal and contractual requirements) การทบทวนความม น คงปลอดภ ยส ารส น เท ศ ( Information security reviews)
พบวา องคกรฯ มการควบคมการปฏบตตามกฎ ระเบยบแ ล ะก ฎ ห ม าย ต าม ท ได มก าหนดขนในมาตรฐานระบบบรห ารจ ดการความม น ค งปลอดภยสารสนเทศเวอรชนเกา แตการปรบปรงขอมลใหทนสมยย งไม ได ด า เนนการอยางตอเนอง
ผานบางสวน
87
ผลการปฏบตตามมาตรฐานความมนคงปลอดสารสนเทศ ISO/IEC 27001:2013 ของ องคกรฯ ในปจจบน สามารถสรปไดดงน
o ผาน ตรงตามขอก าหนดของมาตรฐานจ านวน 5 ขอ o ผานบางสวน ตามขอก าหนดของมาตรฐานจ านวน 9 ขอ o ตองแกไข จ านวน 7 ขอ
88
จากผลการปฏบตตามมาตรฐานความมนคงปลอดสารสนเทศ ISO/IEC 27001:2013 ของ องคกรฯ ในปจจบน สามารถสรปปจจยทเกยวของกบการเตรยมความพรอมขององคกรฯ ไดดงน
ตารางท 4.3 ปจจยทเกยวของกบการเตรยมความพรอมขององคกรฯ โดยอางองจากผลการวเคราะหสถานะปจจบนขององคกรอางองตามมาตรฐาน ISO/IEC 27001:2013
ปจจยทเกยวของ ค านยามตามงานวจย ขอสนบสนนปจจยทเกยวของ อางอง ความ ร ค ว าม เข า ใจ เก ย วก บมาตรฐานและกฎหมายตางๆ
มการประชาสมพนธจากองคกรอยอยางสม าเสมอเพอสรางความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆทเกยวของกบความมนคงปลอดภยสารสนเทศ
1. บคลากรมความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆทเกยวของ ไมเทากน 2. มการจดการอบรม แตรายการความรและทกษะทจ าเปนของแตละบทบาท ยงไมไดปรบปรงใหเหมาะสมและครอบคล มล กษณ ะงานด านความม น คงปลอดภ ยสารสนเทศ 3. การประชาสมพนธขอมลทเปนประโยชนใหกบบคลากรไดรบทราบ 4. มการสอสารภายใน แตไมไดก าหนดขนมาอยางชดเจนเปนลายลกษณอกษร
ผาน - ผานบางสวน ข อ 4 .2 (ต า ร า งท 4.1) ข อ 4 .3 (ต า ร า งท 4.1) ตองแกไข -
89
ตารางท 4.3 (ตอ)
ปจจยทเกยวของกบการเตรยมความพรอมขององคกรฯ โดยอางองจากผลการวเคราะหสถานะปจจบนขององคกรอางองตามมาตรฐาน ISO/IEC 27001:2013
ปจจยทเกยวของ ค านยามตามงานวจย ขอสนบสนนปจจยทเกยวของ อางอง การประยกต ใชมาตรฐานและกฎหมายทเกยวของ
มการน าเอามาตรฐานและกฎหมายท เก ย ว ข อ ง ด า น ค ว า ม ม น ค งปลอดภยสารสนเทศมาประยกตใชกบงานดานเทคโนโลยสารสนเทศขององคกร มการทบทวน ตดตาม และตรวจสอบ อยางตอเนอง
1. น าเอามาตรฐานและกฎหมายทเกยวของดานความมนคงปลอดภยสารสนเทศมาประยกตใชในงานขององคกร ทงดาน Hardware, Software และ Network 2. การด าเนนงานขององคกรฯ ยงด าเนนการตามเวอรชนเกาซงยงไมมการก าหนดถงหวขอมาตรฐานบางขอไว มาตรฐานบางขอจงยงไมไดด าเนนการอยางชดเจน 3. มการด าเนนการควบคมเอกสารขององคกร ซงจดท าไวในระบบบรหารจดการความมนคงปลอดภยสารสนเทศในเวอรชน 2005 แลว สามารถใชงานรวมกบเวอรชน 2013 ได 4. มการด าเนนการดานการตดตาม การตรวจสอบ และปองกนดานความมนคงปลอดภยสารสนเทศอยางตอเนอง 5. องคกรฯ มกระบวนการจดการทรพยสนแลว แตการน ามาใชยงไมไดด าเนนการอยางตอเนอง 6. มการควบคมการเขาถงเครอขาย แตการก าหนดสทธการเขาถงยงไมชดเจน และการบงคบใชยงไมไดด าเนนการอยางตอเนอง 7. มการควบคมการเขาถงในระดบแอพลเคชน โดยมการ
ผาน ขอ 11 (ตารางท 4.2) ผานบางสวน ข อ 4 .4 (ต า ร า งท 4.1) ขอ 5 (ตารางท 4.1) ข อ 5 .1 (ต า ร า งท 4.2) ข อ 5 .2 (ต า ร า งท 4.2) ขอ 10 (ตารางท 4.2) ขอ 12 (ตารางท 4.2) ตองแกไข ขอ 1 (ตารางท 4.1) ขอ 4 (ตารางท 4.2)
90
ตารางท 4.3 (ตอ)
ปจจยทเกยวของกบการเตรยมความพรอมขององคกรฯ โดยอางองจากผลการวเคราะหสถานะปจจบนขององคกรอางองตามมาตรฐาน ISO/IEC 27001:2013
ปจจยทเกยวของ ค านยามตามงานวจย ขอสนบสนนปจจยทเกยวของ อางอง ควบคมและพจารณาสทธตามกระบวนการควบคมทออกแบบไว 8. มการปรบปรงและจดหาระบบสารสนเทศแตการก าหนดความตองการดานความมนคงปลอดภยสารสนเทศยงไมมความชดเจน 9. มการก าหนดรายละเอยดการจางในสญญาจางส าหรบผใหบรการ และมการตดตามการใหบรการโดยอาศยกระบวนการจดซอจดจางตามระเบยบราชการ 10 . ม การจดการอบ ต การณ ความม น คงปลอดภ ยสารสนเทศ มการมอบหมายหนาท ในการแกไขปญหาเบองตน แตยงขาดการวเคราะหแนวโนมและการแกไขปญหาจากสาเหตทมประสทธผล
ก า ร ให ค ว า ม ส า ค ญ ใน ก า รด าเนนการตามมาตรฐานฯ
บคลากรท กระดบ ในองคกรใหความส าคญตอการด าเนนการตามมาตรฐาน สามารถน าไปปฏบตไดอยางถกตองและเหมาะสม
1. ผบรหารใหการสนบสนนในการด าเนนการโครงการเกยวกบความมนคงปลอดภยสารสนเทศในองคกร 2. มการก าหนดโครงสรางคณะกรรมการฯ คณะท างานฯ ไวแลว 3. บคลากรในระดบตางๆ ปฏบตตามขอก าหนดและขนตอนปฏบต
ผาน ขอ 2 (ตารางท 4.1) ขอ 13 (ตารางท 4.2) ผานบางสวน ข อ 4 .1 (ต า ร า งท
91
ตารางท 4.3 (ตอ)
ปจจยทเกยวของกบการเตรยมความพรอมขององคกรฯ โดยอางองจากผลการวเคราะหสถานะปจจบนขององคกรอางองตามมาตรฐาน ISO/IEC 27001:2013
ปจจยทเกยวของ ค านยามตามงานวจย ขอสนบสนนปจจยทเกยวของ อางอง 4. ขาดการด าเนนการบรหารความเส ยงความมนคงปลอดภยสารสนเทศ 5. การตดตาม การวดผล การวเคราะหและประเมนผล ยงไมไดมการปรบปรงใหสอดคลองกบขอก าหนดมาตรฐานเวอรชนใหม 6. มการด าเนนการตดตามสมรรถนะระบบสารสนเทศและเครอขาย มการส ารองขอมล และมการปองกนมลแวรภายในองคกร แตการบรหารการเปลยนแปลงระบบสารสนเทศยงไมไดด าเนนการอยางตอเนอง และการปรบปรงชองโหวทางเทคนคยงไมสามารถด าเนนการได เนองจากการปรบปรงนนอาจจะสงผลกระทบตอระบบสารสนเทศอนๆ 7. มการจดการอบตการณความมนคงปลอดภยสารสนเทศ มการมอบหมายหนาทในการแกไขปญหาเบองตน แตยงขาดการวเคราะหแนวโนมและการแกไขปญหาจากสาเหตทมประสทธผล 8. องคกรมการจดเตรยมระบบส ารองและมการพฒนาแผนด าเนนธรกจอยางตอเนองส าหรบระบบสารสนเทศทส าคญ
4.1) ขอ 5 (ตารางท 4.1) ขอ 8 (ตารางท 4.2) ขอ 12 (ตารางท 4.2) ขอ 14 (ตารางท 4.2) ตองแกไข ขอ 3 (ตารางท 4.1) ขอ 6 (ตารางท 4.1)
92
ตารางท 4.3 (ตอ)
ปจจยทเกยวของกบการเตรยมความพรอมขององคกรฯ โดยอางองจากผลการวเคราะหสถานะปจจบนขององคกรอางองตามมาตรฐาน ISO/IEC 27001:2013
ปจจยทเกยวของ ค านยามตามงานวจย ขอสนบสนนปจจยทเกยวของ อางอง 9. มการควบคมการปฏบตตามกฎ ระเบยบและกฎหมาย ตามทก าหนดในมาตรฐานเวอรชนเกา ซงยงไมไดมการด าเนนการปรบปรงใหสอดคลองกบเวอรชนใหม
นโยบายขององคกร มการน าเอามาตรฐานดานความมนคงปลอดภยสารสนเทศ ระบเปนนโยบายระดบองคกร
1. มการก าหนดนโยบายความมนคงปลอดภยสารสนเทศ ไวเปนสวนหนงของของการขบเคลอนองคกร 2. จดท าโครงการเกยวกบความมนคงปลอดภยสารสนเทศ 3. จดท าระเบยบ ขอบงคบ และแนวปฏบตทเกยวกบความมนคงปลอดภยสารสนเทศ 4. ปทผานมามการเปลยนแปลงฝายบรหารและโครงสรางภายใน จงยงไมไดมการจดประชมเพอรายงานผลตอฝายบรหาร (Management Review) 5. ปทผานมายงไมไดมการทบทวนและปรบปรงนโยบายความมนคงปลอดภยสารสนเทศ 6. ขาดมาตรการควบคมทมการประกาศใชใหม เชน นโยบายการใชงานอปกรณ โมบาย และการบรหารโครงการในมตดานความมนคงปลอดภยสารสนเทศ 7. องคกรฯ มการด าเนนการควบคมความมนคงปลอดภยสารสนเทศตามระเบยบราชการ เกยวกบความมนคง
ผาน ขอ 3 (ตารางท 4.2) ผานบางสวน ขอ 2 (ตารางท 4.2) ตองแกไข ขอ 6 (ตารางท 4.1) ขอ 1 (ตารางท 4.2)
93
ตารางท 4.3 (ตอ)
ปจจยทเกยวของกบการเตรยมความพรอมขององคกรฯ โดยอางองจากผลการวเคราะหสถานะปจจบนขององคกรอางองตามมาตรฐาน ISO/IEC 27001:2013
ปจจยทเกยวของ ค านยามตามงานวจย ขอสนบสนนปจจยทเกยวของ อางอง ปลอดภ ยด านทรพยากรบ คคล (Human Resource Security)
โครงสรางเทคโนโลยสารสนเทศขององคกร
โครงสรางเทคโนโลยสารสนเทศขององคกรเปนไปตามมาตรฐานดานความมนคงปลอดภยสารสนเทศ
1. สภาพแวดลอม , Infrastructure และระบบงาน ควรไดรบการปรบปรงและพฒนาอยบนพนฐานตามมาตรฐานความมนคงปลอดภยสารสนเทศ 2. มการควบคมการเขาถงเครอขาย แตการก าหนดสทธการเขาถงยงไมชดเจน และการบงคบใชยงไมไดด าเนนการอยางตอเนอง 3. มการควบคมการเขาถงในระดบแอพลเคชน โดยมการควบคมและพจารณาสทธตามกระบวนการควบคมทออกแบบไว 4. องคกรมการปองกนความลบของขอมลในระดบเครอขาย 5. องคกรฯ มการปองกนทางกายภาพส าหรบหองเดตาเซนเตอรซงการตดตงระบบควบคมการเขาถง มการควบคมอณหภมและความชน แตในดานการปองกนทางกายภาพส าหรบระบบสารสนเทศ พบวาพนทยงอยในลกษณะเปด อปกรณคอมพวเตอรและเซรฟเวอรไมไดมการตดตงภายใน
ผาน ขอ 6 (ตารางท 4.2) ผานบางสวน ข อ 5 .1 (ต า ร า งท 4.2) ข อ 5 .2 (ต า ร า งท 4.2) ขอ 9 (ตารางท 4.2) ตองแกไข ขอ 7 (ตารางท 4.2)
94
ตารางท 4.3 (ตอ)
ปจจยทเกยวของกบการเตรยมความพรอมขององคกรฯ โดยอางองจากผลการวเคราะหสถานะปจจบนขององคกรอางองตามมาตรฐาน ISO/IEC 27001:2013
ปจจยทเกยวของ ค านยามตามงานวจย ขอสนบสนนปจจยทเกยวของ อางอง ตแรคทสามารถควบคมการเขาถงได 6. การควบคมดแลสายเคเบลพบวา องคกรฯ ประสบปญหาสายเคเบลท ไมไดมาตรฐาน ซงหากสงเกตจากภายนอกจะพบวาสายมลกษณะปกตแตภายในช ารด ท าใหตองมการเปลยนหรอสลบสายเคเบลจนเปนเหตใหการจดเรยงสายเคเบลไมเปนระเบยบและยากตอการดแลรกษา 7. มการควบคมความมนคงปลอดภยสารสนเทศระดบเครอขาย แตทางเทคนคยงไมไดมการก าหนดการควบคมและปองกนอยางเหมาะสมสงสด
ความตระหนกถงภยคกคามและชองโหว
องคกรมระบบปองกนภยคกคามและชองโหวตางๆรวมถงบคลากรมความตระหนกถงภยคกคามรปแบบตางๆ และไมตกเปนเหยอจากภยดงกลาว
1. องคกรมระบบปองกนภยคกคามและชองโหวจากภายในและภายนอกองคกร 2. บคลากรไมตกเปนเหยอจากผไมประสงคดจากเทคนค Social Engineering 3. การประชาสมพนธขอมลทเปนประโยชนใหกบบคลากรไดรบทราบ 4. มการสอสารภายใน แตไมไดก าหนดขนมาอยางชดเจนเปนลายลกษณอกษร
ผาน - ผานบางสวน ข อ 4 .2 (ต า ร า งท 4.1) ข อ 4 .3 (ต า ร า งท 4.1)
95
ตารางท 4.3 (ตอ)
ปจจยทเกยวของกบการเตรยมความพรอมขององคกรฯ โดยอางองจากผลการวเคราะหสถานะปจจบนขององคกรอางองตามมาตรฐาน ISO/IEC 27001:2013
ปจจยทเกยวของ ค านยามตามงานวจย ขอสนบสนนปจจยทเกยวของ อางอง ตองแกไข -
96
4.1.2 สรปผลการส ารวจความคดเหนและประเมนผลปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการเขารบการรบรองมาตรฐาน ISO/IEC 27001:2013
4.1.2.1 สรปผลการสมภาษณผบรหาร ท าการสมภาษณผบรหารซงเปนตวแทนจากฝายตางๆ จ านวน 5 ฝาย
ไดแก ฝายทรพยากรบคคล ฝายวางแผน ฝายบรหารทวไป ฝายตดตามและบรหารความเสยง และส านกเทคโนโลยสารสนเทศ สามารถสรปไดดงน (รายละเอยดตามเอกสารภาคผนวก ง)
ฝายทรพยากรบคคล มความคดเหนวา องคกรยงขาดการประชาสมพนธใหพนกงานไดรบทราบขอมลและยงขาดความเขาใจเกยวกบความมนคงปลอดภยสารสนเทศ สวนใหญจะยงไมเคยรบรถงขนตอนและกระบวนการ รวมถงรายละเอยดตางๆ ซงองคกรจะไดรบประโยชนจากการบรหารจดการความมนคงปลอดภยสารสนเทศเปนอยางยง หากมการประชาสมพนธโดยใชวธการและภาษาทเขาใจงายและสนบสนนสงเสรมใหน ามาปฏบตอยางจรงจง จะท าใหองคกรมกรอบในการด าเนนงานมากขนและปองกนไมใหพนกงานใชเทคโนโลยสารสนเทศในทางทผดอกดวย และหากองคกรไมปฏบตตามมาตรฐานและขอก าหนดดางๆ อาจจะสงผลตอภาพลกษณขององคกรได โดยสรปควรมการประชาสมพนธ และควรมการสรางความเขาใจใหใหพนกงานในองคกรทราบเพอน าไปสการเตรยมความพรอมขององคกรตอไป
ฝายวางแผน มความเหนวา ปจจบนองคกรมมาตรฐานความปลอดภยทสงมาก มการเขารหสการใชงานทกครง รวมถงการหามไมใหผใชงานตดตงโปรแกรมหรอเปลยนแปลงการตงคาในเครองเอง โดยจะตองแจงผดแลระบบเพอด าเนนการใหเทานน แตระบบยงไมเปนมาตรฐานเดยวกน บางระบบสามารถออกจากระบบเองอตโนมต บางระบบกไมออกจากระบบให รวมถงยงมการใชงานบญชผใชทหลากหลาย ท าใหยากตอการจดจ า เหนควรทจะน าเอาระบบบรหารจดการความมนคงปลอดภยสารสนเทศ (ISO/IEC 27001) มาประยกตใชในองคกร เพอใหมมาตรฐานในการด าเนนงานรวมถงการควบคมเรองเทคโนโลยสารสนเทศใหเปนไปในทศทางเดยวกน ซงองคกรสามารถควบคมการกระท าความผดตางๆ ทเกยวของกบสารสนเทศและควบคมปญหาไวรส/การเจาะขอมลองคกรไดเปนอยางดอกดวย หากองคกรไมสามารถปฏบตตามมาตรฐานความมนคงปลอดภยสารสนเทศได อาจจะเปนการลดความนาเชอถอขององคกรลง ขาดความเปนองคกรชนน าทมมาตรฐานสากลดงเชนองคกรอนๆ ไมเกดการพฒนาทางวฒนธรรมในการใชสารสนเทศยคใหม เกดปญหาความไมปลอดภยในการใชงานสารสนเทศภายในองคกร รวมถงอาจมโอกาสกระท าผดโดยไมไดตงใจหรอไมรตวจากผใชงานไดในระดบสง โดยสรปองคกรมพนฐานความพรอมทจะด าเนนการตามมาตรฐานอย แล ว เน องจากม Infrastructure ท ม ความพรอมอย แล ว เพยงแตควรน าเอามาตรฐานสากลมาประยกตใชและมการทบทวนกระบวนการเดมเพมเตม
97
ฝายบรหารทวไป มความเหนวา ยงขาดการประชาสมพนธใหพนกงานในองคกรรบทราบถงการด าเนนการบรหารจดการดานความมนคงปลอดภยสารสนเทศทวทงองคกร อาจจะเปนเพราะเปนเรองทเกยวกบเทคโนโลยสารสนเทศและมการด าเนนการในขอบเขตเฉพาะสวน ซงจะไมคอยไดเกยวของกบทางดานบรหารมากนก ไมมความคดเหนเพมเตมเนองจากไมมความรเกยวกบความมนคงปลอดภยสารสนเทศเทาทควร และมองวาเปนหนาทของผทเกยวของกบดานเทคโนโลยสารสนเทศเทานนทจะตองด าเนนการดงกลาว
ฝายตดตามและบรหารความเสยง มความเหนวา ไมแนใจวาองคกรมการปฏบตตามมาตรฐานความมนคงปลอดภยสารสนเทศเพยงพอหรอไม เนองจากมการใชบรการ Outsource เพอปฏบตหนาทเกยวกบเทคโนโลยสารสนเทศ อาจจะไมสามารถควบคมไดอยางทวถง มบางระบบทลมบอยในรอบปทผานมาเชน อเมล เปนตน ซงจะตองเพมความรอบคอบในการก ากบดแลผเกยวของ ไมใหด าเนนการใดๆ ทจะกระทบถงระบบสารสนเทศโดยรวม ควรมการตดตามและประเมนผลอยอยางสม าเสมอ และสรางการรบรใหกบพนกงานทวทงองคกร ไมเฉพาะเจาะจงดานไอทแตเพยงอยางเดยว
ส านกเทคโนโลยสารสนเทศ มความเหนวา องคกรควรมการปรบปรงเพอใหไดมาตรฐานกวาน โดยเนนไปทการวางแผนก าหนดนโยบาย ฝายวางแผนตองใหความส าคญในเรองของความมนคงปลอดภยสารสนเทศอยางจรงจง หากมการน าเอามาตรฐานความมนคงปลอดภยสารสนเทศ (ISO/IEC 27001) มาประยกตใชจะชวยใหการบรหารจดการดานความมนคงปลอดภยสารสนเทศดขนและท าใหองคกรมมารฐานมากขนตามหลกสากล เกดความมนคงปลอดภยในการเขาถงสารสนเทศและเครอขาย รวมถงชวยลดความผดพลาดท เกดขนจากระบบสารสนเทศและการสอสาร ซงผลกระทบทจะเกดขนหากไมด าเนนการตามมาตรฐานฯ นน อาจจะสงผลใหขอมลองคกรรวไหล ขาดการส ารองขอมลและไมทนตอการเปลยนแปลงจากภยทางอเลกทรอนกสทมการพฒนาตามเทคโนโลยทเปลยนแปลงไป ในการเตรยมความพรอมองคกรเพอใหไดรบการรบรองมาตรฐานฯ นน ตองด าเนนการดงน
1. องคกรควรมนโยบายทจะขอรบการรบรองมาตรฐาน เพอใหเกดความชดเจนในการปฏบตและการสนบสนนจากสวนตางๆ
2. สรางความรความเขาใจใหเกดขนในทกระดบ เพอใหเกดการสอสารและความเขาใจทตรงกน ปฏบตเพอไปสจดมงหมายเดยวกนและใหเหนถงประโยชนทจะไดรบในภาพรวม
3. การปฏบตตามมาตรฐานและขอก าหนดจะตองมการปฏบตอยางเครงครดในทกระดบ
98
ส านกเทคโนโลยสารสนเทศ (กลมฐานขอมลการตลาด) มความเหนวา องคกรมความมนคงปลอดภยสารสนเทศคอขางเขมแขงด หากน าเอามาตรฐานความมนคงปลอดภยสารสนเทศ (ISO/IEC 27001) มาประยกตใชเพมเตมจะชวยเพมความปลอดภยดานสารสนเทศใหมประสทธภาพมากยงขน อกทงยงเปนการสรางความมนใจและสรางความนาเชอถอใหกบองคกรมากยงขน โดยภาพรวมองคกรมความมนคงปลอดภยดานสารสนเทศอยแลว
ส านกเทคโนโลยสารสนเทศ (กลมสารสนเทศองคกร) มความเหนวา องคกรมการด าเนนการตอพนฐานของระบบบรหารจดการความมนคงปลอดภยสารสนเทศ ใหสอดคลองตามมาตรฐาน ISO/IEC 27001:2013 โดยเปนไปตามทกระทรวงเทคโลยสารสนเทศก ากบองคกรของรฐ เพอใหเกดประโยชนสงสดตอการน าเอามาตรฐานฯ ดงกลาวมาใชในองคกร บคลากรทกระดบจะตองมการน าไปปฏบตอยางจรงจง ซงจะสงผลใหระบบสารสนเทศขององคกรมความพรอมในการใหบรการอยางตอเนองดวยการบรหารจดการอยางเปนระบบททกคนตองปฏบตตามขอก าหนดตางๆ ทเกยวของ หากไมด าเนนการตามมาตรฐานฯ อาจจะกอใหเกดความเสยหายตอทรพยสนรวมถงการใหบรการทางดานเทคโนโลยสารสนเทศ เชน การหยดชะงก การสญเสยขอมล หรรอระบบสารสนเทศในภาพรวมได ในการเตรยมความพรอมขององคกรเพอเขารบการรบรองมาตรฐานฯ นน จ าเปนตองใหผน าสงสดขององคกร (CEO) เหนชอบและใหการสนบสนนในการด าเนนการ จงจะท าใหกระบวนการตางๆ ส าเรจสมบรณแบบ และมแรงผลกดนใหองคกรสามารถขบเคลอนไปอยางมทศทางมากยงขน
จากการส ารวจความคดเหนของผบรหารทกทานเกยวกบความส าคญของปจจยทสงผลตอความพรอมขององคกรฯ สามารถสรปไดดงน (รายละเอยดแสดงดงตารางท 4.4)
- ล าดบท 1 ปจจยนโยบายขององคกร - ล าดบท 2 ปจจยความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ - ล าดบท 3 ปจจยการใหความส าคญในการด าเนนการตามมาตรฐานฯ และความ
ตระหนกถงภยคกคามและชองโหว - ล าดบท 4 ปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร - ล าดบท 5 ปจจยการประยกตใชมาตรฐานและกฎหมายทเกยวของ
99
ตารางท 4.4
ผลการเรยงล าดบความส าคญของปจจยท เกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ประกอบการสมภาษณผบรหาร
ปจจย ทานท 1 ทานท 2 ทานท 3 ทานท 4 ทานท 5 ทานท 6 ทานท 7 ผลรวม
1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 3 1 6 3 2 5 2 22
2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ 6 6 5 6 4 6 3 36
3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ 1 3 3 5 3 4 5 24
4. นโยบายขององคกร 4 2 1 1 1 2 1 12
5. โครงสรางเทคโนโลยสารสนเทศขององคกร 5 5 2 2 6 3 6 29
6. ความตระหนกถงภยคกคามและชองโหว 2 4 4 4 5 1 4 24
100
4.1.2.2 สรปผลการสมภาษณผเชยวชาญดานการจดการความมนคงปลอดภยสารสนเทศจากภายนอกองคกร
ท าการสมภาษณผเชยวชาญฯ จากภายนอกองคกรจ านวน 4 ทาน สรปผลการสมภาษณดงน (รายละเอยดตามเอกสารภาคผนวก จ)
ผเชยวชาญจากภายนอกทานท 1 ในมมมองภาพรวมขององคกรมการบรหารจดการความมนคงปลอดภย
สารสนเทศในระดบทด แตยงขาดการด าเนนการบางสวนหรอปฏบตยงไมครบถวนตามขนตอนปฏบตทไดวางแผนไว เมอองคกรน าเอามาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ (ISO/IEC 27001) มาใชในองคกรแหงนจะชวยใหองคกรมเอกสารหรอหลกฐานในการด าเนนการตางๆ ดานความมนคงปลอดภยสารสนเทศ ท าใหเมอเกดปญหาสามารถหาสาเหต และยงชวยใหองคกรสามารถปฏบตตามกฎหมายและนโยบายทรฐก าหนดอกดวย
นอกเหนอจากปจจยทผวจยไดศกษามาแลว ไดใหขอเสนอแนะวาในการน าเอามาตรฐานฯ มาประยกตใชนน ผปฏบตควรจะเขาใจบรบทขององคกรและเนนเรองการสงเสรมจากผบรหารสงสดขององคกรในการขบเคลอนการน าเอามาตรฐานฯ สการปฏบตจรง อกทงเพอเกดประโยชนสงสดตอองคกรในระยะยาว ควรมการตดตามผลการปฏบตตามมาตรฐานฯ อยอยางสม าเสมอ เปนไปตามกระบวนการ Plan-Do-Check-Act
ผเชยวชาญจากภายนอกทานท 2 การน าเอาระบบบรหารจดการความมนคงปลอดภยสารสนเทศ (ISO/IEC
27001) จะชวยสงเสรมใหระบบเทคโนโลยสารสนเทศมประสทธภาพ เพมความถกตองและแมนย า มหลกฐานเอกสารและกระบวนการชดเจน เมอน ามาประยกตใชกบองคกรจะท าใหองคกรมแนวปฏบตทดเปนไปตามมาตรฐานดานความมนคงปลอดภยสารสนเทศ
นอกเหนอจากปจจยทผวจยไดศกษามาแลว ไดใหขอเสนอแนะวา ในการด าเนนการตามระบบบรหารจดการความมนคงปลอดภยสารสนเทศ ( ISO/IEC 27001) นนควรไดรบการสนบสนนและผลกดนจากผบรหารดวย และหากองคกรผานการรบรองมาตรฐานฯ แลว เพอใหการด าเนนงานเกดผลสมฤทธและการด าเนนการโดยยงยนนน ควรมการทบทวนและตดตามผลการปฏบตอยอยางสม าเสมอ
ผเชยวชาญจากภายนอกทานท 3 องคกรในภาพรวมยงขาดความเขาใจตอความส าคญของการรกษาความ
มนคงปลอดภยสารสนเทศ สงผลใหการบรหารจดการยงไมเปนระบบทดพอ เหนควรใหน าเอาระบบ
101
บรหารจดการความมนคงปลอดภยสารสนเทศ (ISO/IEC 27001) มาประยกตใชใหเหมาะสมกบองคกรและควรไดรบการสงเสรมจากผบรหารอยางจรงจง
นอกจากปจจยทผวจยไดท าการศกษามาแลว ควรพจารณาถงเรองการเขาใจหวขอบรบทขององคกรและความเปนผน า (Leadership) เพอจะไดใหความส าคญในการก าหนดทศทางและวตถประสงคหรอเปาหมายไดอยางเหมาะสม หากองคกรไดรบการรบรองมาตรฐานแลว เพอใหเกดการปฏบตและองคกรไดรบประโยชนตอเนอง ควรมการผนกกระบวนการและการปฏบตใหกลายเปนสวนหนงของงานทตองด าเนนการ และตองมการตดตามอยอยางสม าเสมอ เพอลดปญหาทของผปฏบตทอาจจะคดวาเปนการเพมภาระงานหรอผบรหารมองวาเปนการเพมคาใชจายขององคกร
ผเชยวชาญจากภายนอกทานท 4 บคลากรในองคกรยงขาดความรและความเขาใจเกยวกบระบบบรหาร
จดการความมนคงปลอดภยสารสนเทศ (ISO/IEC 27001) ขาดการประชาสมพนธใหบคลากรทกระดบไดเขาใจถงกระบวนการตางๆ รวมถงผปฏบตยงขาดความเขาใจกระบวนการท างานและการน าเทคโนโลยทเหมาะสมเขามาใชงานสงผลตอความมนคงปลอดภยสารสนเทศขององคกร การน าเอาระบบบรหารจดการความมนคงปลอดภยสารสนเทศมาประยกตใชจะชวยลดความเสยงตางๆ ทจะเกดขนทงจากเทคโนโลยและบคลากรได และยงสงผลใหองคกรมความเปนระบบมากยงขน
นอกเหนอจากปจจยทผวจยไดท าการศกษามา ยงพบวาองคกรจะไดรบประโยชนจากการน าเอามาตรฐานความมนคงปลอดภยสารสนเทศมากขน หากมการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศอยอยางสม าเสมอ มก าหนดมาตรฐานขนตอนการปฏบตและควรไดรบการสนบสนนจากฝายบรหาร
จากการส ารวจความคดเหนของผเชยวชาญจากภายนอกทกทานเกยวกบความพรอมของปจจยทสงผลตอความพรอมขององคกรฯ สามารถสรปไดดงน (รายละเอยดดงตารางท 4.5)
- ล าดบท 1 ปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร - ล าดบท 2 ปจจยนโยบายขององคกร - ล าดบท 3 ปจจยการประยกตใชมาตรฐานและกฎหมายทเกยวของ - ล าดบท 4 ประกอบดวย 2 ปจจย ไดแก ปจจยความรความเขาใจเกยวกบ
มาตรฐานและกฎหมายตางๆ และการใหความส าคญในการด าเนนการตามมาตรฐานฯ - ล าดบท 5 ปจจยความตระหนกถงภยคกคามและชองโหว
102
และความส าคญของปจจยทสงผลตอความพรอมขององคกรฯ ดงน (รายละเอยดดงตารางท 4.6)
- ล าดบท 1 ปจจยความตระหนกถงภยคกคามและชองโหว - ล าดบท 2 ปจจยความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ - ล าดบท 3 ปจจยการประยกตใชมาตรฐานและกฎหมายทเกยวของ - ล าดบท 4 ปจจยการใหความส าคญในการด าเนนการตามมาตรฐานฯ - ล าดบท 5 ปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร - ล าดบท 6 ปจจยนโยบายขององคกร
103
ตารางท 4.5
ผลการพจารณาความพรอมของปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภย สารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ประกอบการสมภาษณผเชยวชาญจากภายนอก
ปจจย ทานท 1 ทานท 2 ทานท 3 ทานท 4 ผลรวม
1.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 2 3 2 2 9
2.การประยกตใชมาตรฐานและกฎหมายทเกยวของ 3 3 2 2 10
3.การใหความส าคญในการด าเนนการตามมาตรฐานฯ 1 3 1 4 9
4.นโยบายขององคกร 2 3 2 4 11
5.โครงสรางเทคโนโลยสารสนเทศขององคกร 3 2 3 4 12
6.ความตระหนกถงภยคกคามและชองโหว 2 2 1 3 8
104
ตารางท 4.6
ผลการเรยงล าดบความส าคญของปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภย สารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ประกอบการผเชยวชาญจากภายนอก
ปจจย ทานท 1 ทานท 2 ทานท 3 ทานท 4 ผลรวม
1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 2 2 2 3 9
2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ 3 6 3 4 16
3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ 6 5 4 2 17
4. นโยบายขององคกร 5 4 5 6 20
5. โครงสรางเทคโนโลยสารสนเทศขององคกร 4 3 6 5 18
6. ความตระหนกถงภยคกคามและชองโหว 1 1 1 1 4
105
ตารางท 4.7 สรปผลการตอบแบบประเมนความพรอมและความส าคญของปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภย สารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ส าหรบผเชยวชาญจากภายนอก
ปจจย ความพรอม ความส าคญ
1.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 9 9
2.การประยกตใชมาตรฐานและกฎหมายทเกยวของ 10 16
3.การใหความส าคญในการด าเนนการตามมาตรฐานฯ 9 17
4.นโยบายขององคกร 11 20
5.โครงสรางเทคโนโลยสารสนเทศขององคกร 12 18
6.ความตระหนกถงภยคกคามและชองโหว 8 4
ขอเสนอแนะเพมเตมจากผเชยวชาญฯ
- การบรหารจดการความมนคงปลอดภยสารสนเทศในสวนของเอกสารและการก าหนดระบบบรหารจดการมการด าเนนการแตเปนไปตามมาตรฐานเวอรชนกอนหนา ซงหากตองขอรบรองมาตรฐานจ าเปนทตองท าการปรบปรงเอกสารใหมความสอดคลองกบขอก าหนดใหม
- การบรหารความเสยงความมนคงปลอดภยสารสนเทศและการวางแผนเพอบรรลตามวตถประสงคของระบบบรหารจดการความมนคงปลอดภยสารสนเทศ ยงไมไดมการด าเนนการอยางตอเนอง ทงน ในการขอรบรองมาตรฐานจ าเปนทจะตองมการบรหารความเสยงและก าหนดแผนการด าเนนงานทมนใจวาจะสามารถบรรลตามวตถประสงคของระบบบรหารจดการได
- มาตรการควบคมความมนคงปลอดภยสารสนเทศ มการบงคบใชแตไมตอเนองและยงขาดประสทธผล โดยมสาเหตจากการสอสารภายใน การก าหนดหนาท ความรบผดชอบ การบงคบและการตดตามอยางสม าเสมอ ท าใหมบางมาตรการทมการด าเนนการแตผลลพธยงไมมประสทธผลทดพอ หรอเปนไปตามทคาดหมาย
- ความพรอมทางดานกายภาพและสงแวดลอมส าหรบการขอรบรองมาตรฐาน ยงมจดออนและไมเพยงพอตอการรบรองมาตรฐาน โดยเฉพาะอยางยงพนทภายในศนยขอมลกลางหรอเดตาเซนเตอร ซงสภาพแวดลอมการควบคม การควบคมการเขาถง การจดแบงพนทและการ
106
ตดตงระบบสารสนเทศยงไมมความเหมาะสมเพยงพอตอการขอรบรองมาตรฐาน นอกจากน การควบคมอปกรณเครอขายส านกงานในสวนพนทอนๆ ภายในอาคารส านกงานใหญ องคกรฯ ยงมความไมพรอมและยงไมสามารถควบคมไดอยางมประสทธผล
4.1.2.3 สรปผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ ท าการตอบแบบประเมนความพรอมของผดและระบบเทคโนโลยสารสนเทศ
จ านวน 18 ทาน โดยวธตอบแบบประเมน ซงแตละขอค าถามจะถกแบงออกเปนความพรอมและความส าคญ มความหมายดงน ความพรอม หมายถง ทานคดวาองคกรมความพรอมหรอตวทานมความพรอม มความร หรอมความสามารถในการน าไปปฏบตในระดบใด ความส าคญ หมายถง ทานใหความส าคญในระดบใด สามารถสรปผลการตอบแบบประเมนของผดแลระบบฯ โดยมคะแนนรวมของแตละปจจยทงดานความพรอมและความส าคญดงน (รายละเอยดตามเอกสารภาคผนวก ฉ) ตารางท 4.8 สรปผลการตอบแบบประเมนความพรอมและความส าคญของปจจยทเกยวของกบการการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ของผดแลระบบฯ
ปจจยทเกยวของ ความพรอม ความส าคญ
1.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 58.57 71.57
2.การประยกตใชมาตรฐานและกฎหมายทเกยวของ 67.00 74.20
3.การใหความส าคญในการด าเนนการตามมาตรฐานฯ 54.11 59.89
4.นโยบายขององคกร 61.33 69.00
5.โครงสรางเทคโนโลยสารสนเทศขององคกร 67.88 77.63
6.ความตระหนกถงภยคกคามและชองโหว 62.80 75.60
จากตารางท 4.8 สามารถน ามาวเคราะหถงความพรอมและความส าคญในมมมองของผดแลระบบฯ แยกดงน
107
ความพรอม (ทานคดวาองคกรมความพรอมหรอตวทานมความพรอม มความร หรอมความสามารถในการน าไปปฏบตในระดบใด)
- ล าดบท 1 ปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร - ล าดบท 2 ปจจยการประยกตใชมาตรฐานและกฎหมายทเกยวของ - ล าดบท 3 ปจจยความตระหนกถงภยคกคามและชองโหว - ล าดบท 4 ปจจยนโยบายขององคกร - ล าดบท 5 ปจจยความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ - ล าดบท 6 ปจจยการใหความส าคญในการด าเนนการตามมาตรฐานฯ
ความส าคญ (ทานใหความส าคญในระดบใด) - ล าดบท 1 ปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร - ล าดบท 2 ปจจยความตระหนกถงภยคกคามและชองโหว - ล าดบท 3 ปจจยการประยกตใชมาตรฐานและกฎหมายทเกยวของ - ล าดบท 4 ปจจยความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ - ล าดบท 5 ปจจยนโยบายขององคกร - ล าดบท 6 ปจจยการใหความส าคญในการด าเนนการตามมาตรฐานฯ
4.1.2.4 สรปผลการทดสอบความพรอมของบคลากรในองคกร ผลจากการทดสอบความพรอมของบคลากรในองคกรดวยวธการจ าลองสถานการณ (Cyber Drill หรอ Cyber Readiness Assessment) ดวยการสงอเมลใหกบผใชงานทวทงองคกร โดยมขอความลกษณะเชญชวนใหการการกดลงค เพอเขามาเปลยน Password ในการเขาใชงาน (รายละเอยดตามเอกสารภาคผนวก ช) ตารางท 4.9 สรปผลจากการทดสอบความพรอมของบคลากรในองคกรดวยวธการจ าลองสถานการณ (Cyber Drill หรอ Cyber Readiness Assessment)
จ านวน Email ทสง 1,153 accounts
คลกลงคเขามาทงหมด 201 ครง
ท าเพจแรกส าเรจ 16 ครง
ท าทงสองเพจส าเรจ 126 ครง
108
จากผลการศกษาขางตนนน ไดแยกผลการศกษาออกเปนสกลม ไดแก ผบรหาร, ผเชยวชาญจากภายนอกฯ, ผดแลระบบฯ, และบคลากรในองคกร ซงสามารถเรยงล าดบความส าคญและความพรอมของปจจยฯ ในภาพรวมทงหมดไดดงตารางท 4.10 และ ตารางท 4.11
ในสวนของความส าคญสามารถเรยงล าดบไดดงน
- ล าดบท 1 ปจจยความตระหนกถงภยคกคามและชองโหว - ล าดบท 2 ปจจยความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ - ล าดบท 3 ปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร - ล าดบท 4 ปจจยการประยกตใชมาตรฐานและกฎหมายทเกยวของ - ล าดบท 5 ปจจยนโยบายขององคกร - ล าดบท 6 ปจจยการใหความส าคญในการด าเนนการตามมาตรฐานฯ
และความพรอมสามารถเรยงล าดบไดดงน - ล าดบท 1 ปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร - ล าดบท 2 ปจจยการประยกตใชมาตรฐานและกฎหมายท - ล าดบท 3 ปจจยนโยบายขององคกร - ล าดบท 4 ปจจยความตระหนกถงภยคกคามและชองโหว - ล าดบท 5 เกยวของปจจยความรความเขาใจเกยวกบมาตรฐานและ
กฎหมายตางๆ - ล าดบท 6 ปจจยการใหความส าคญในการด าเนนการตามมาตรฐานฯ
109
ตารางท 4.10
ผลการเรยงล าดบความส าคญของปจจยท เกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ในภาพรวมขององคกร (ผบรหาร, ผเชยวชาญฯ, และผดแลระบบฯ)
ปจจย ผบรหาร ผเชยวชาญฯ ผดแลระบบฯ คะแนนรวม ล าดบ
ภาพรวม
1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 2 2 4 8 2
2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ 5 3 3 11 4
3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ 3 4 6 13 6
4. นโยบายขององคกร 1 6 5 12 5
5. โครงสรางเทคโนโลยสารสนเทศขององคกร 4 5 1 10 3
6. ความตระหนกถงภยคกคามและชองโหว 3 1 2 6 1
110
ตารางท 4.11
ผลการเรยงล าดบความพรอมของปจจยท เกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ในภาพรวมขององคกร (ผเชยวชาญฯ, และผดแลระบบฯ)
ปจจย ผเชยวชาญฯ ผดแลระบบฯ คะแนนรวม ล าดบ
ภาพรวม
1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 4 5 9 5
2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ 3 2 5 2
3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ 4 6 10 6
4. นโยบายขององคกร 2 4 6 3
5. โครงสรางเทคโนโลยสารสนเทศขององคกร 1 1 2 1
6. ความตระหนกถงภยคกคามและชองโหว 5 3 8 4
111
4.2 อภปรายผล
4.2.1 ความส าคญและความพรอมของปจจยทเกยวของฯ ในมมมองของผบรหาร,
ผเชยวชาญฯ, ผดแลระบบฯ และบคลากร
จากการวจยในครงน เปนการศกษาเพอวเคราะห เกยวกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง โดยผลทไดจากการรวบรวมขอมลเพอวเคราะหสถานะปจจบนขององคกรฯ ในปจจบนโดยอางองตามมาตรฐาน ISO/IEC 27001:2013 นนสามารถสรปไดเปนปจจยไดดงน
4.2.1.1 ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ - บคลากรมความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆท
เกยวของ ไมเทากน - การประชาสมพนธขอมลทเปนประโยชนใหกบบคลากรไดรบทราบ
4.2.1.2 การประยกตใชมาตรฐานและกฎหมายทเกยวของ
- น าเอามาตรฐานและกฎหมายทเกยวของดานความมนคงปลอดภยสารสนเทศมาประยกตใชในงานขององคกร ทงดาน Hardware, Software และ Network
4.2.1.3 การใหความส าคญในการด าเนนการตามมาตรฐานฯ
- ผบรหารใหการสนบสนนในการด าเนนการโครงการเกยวกบความมนคงปลอดภยสารสนเทศในองคกร
- บคลากรในระดบตางๆ ปฏบตตามขอก าหนดและขนตอนปฏบต
4.2.1.4 นโยบายขององคกร - มการก าหนดนโยบายความมนคงปลอดภยสารสนเทศ ไวเปนสวนหนงของ
ของการขบเคลอนองคกร - จดท าโครงการเกยวกบความมนคงปลอดภยสารสนเทศ - จดท าระเบยบ ขอบงคบ และแนวปฏบตทเกยวกบความมนคงปลอดภย
สารสนเทศ
112
4.2.1.5 โครงสรางเทคโนโลยสารสนเทศขององคกร - สภาพแวดลอม, Infrastructure และระบบงาน ถกปรบปรงและพฒนาอย
บนพนฐานตามมาตรฐานความมนคงปลอดภยสารสนเทศ
4.2.1.6 ความตระหนกถงภยคกคามและชองโหว - องคกรมระบบปองกนภยคกคามและชองโหวจากภายในและภายนอก
องคกร - บคลากรไมตกเปนเหยอจากผไมประสงคดจากเทคนค Social Engineering
ปจจยทงหมดน เมอน าไปสมภาษณผบรหาร ผเชยวชาญฯ ท าการประเมนโดยผดแลระบบ และท าการทดสอบความพรอมของบคลากรในองคกรแลวพบวา
สวนของผบรหารมความเหนวาในการเตรยมความพรอมขององคกรเพอเขารบการรบรองมาตรฐานฯ นน ควรเรมจากการประชาสมพนธโครงการระบบบรหารจดการความมนคงปลอดภยสารสนเทศใหพนกงานในองคกรรบทราบ เพอจะไดเกดผลลพธในภาพรวมระดบองคกร เนองจากยงพบวาบางฝายยงไมรจกระบบบรหารจดการฯ ดงกลาว และมองวาเปนหนาทของส านกเทคโนโลยสารสนเทศแตเพยงผเดยวในการขบเคลอนและตองด าเนนการ ซงในความเปนจรงแลวการด าเนนการดานความมนคงปลอดภยสารสนเทศเปนเรองทบคลากรทกคนในองคกรตองใหความรวมมอ ควรจะมการประชาสมพนธถงประโยชนและประกาศใหบคลากรไดรบทราบถงขนตอนและแนวปฏบตทเกยวของกบการด าเนนการโครงการระบบบรหารจดการความมนคงปลอดภยสารสนเทศ เพอบคลากรจะไดน าไปปฏบตไดอยางถกตอง เหมาะสม และเปนการลดโอกาสเกดชองโหวจากความรเทาไมถงการณของบคลากรอกดวย
ในดานของความส าคญ จากการส ารวจความคดเหนของผบรหารจ านวน 4 ทานเกยวกบความส าคญของปจจยทสงผลตอความพรอมขององคกรฯ สามารถสรปไดดงน
113
ตารางท 4.12
ผลการเรยงล าดบความส าคญของปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ประกอบการสมภาษณผบรหาร
ปจจย ผลรวม ล าดบ
1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 22 2
2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ 36 5
3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ 24 3
4. นโยบายขององคกร 12 1
5. โครงสรางเทคโนโลยสารสนเทศขององคกร 29 4
6. ความตระหนกถงภยคกคามและชองโหว 24 3
- ล าดบท 1 ปจจยนโยบายขององคกร - ล าดบท 2 ปจจยความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ - ล าดบท 3 ปจจยการใหความส าคญในการด าเนนการตามมาตรฐานฯ และความ
ตระหนกถงภยคกคามและชองโหว - ล าดบท 4 ปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร - ล าดบท 5 ปจจยการประยกตใชมาตรฐานและกฎหมายทเกยวของ
จะเหนไดวาผบรหารจะใหความส าคญในเรองปจจยนโยบายขององคกร เปนอนดบแรก รองลงมาคอ ปจจยความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ ปจจยการใหความส าคญในการด าเนนการตามมาตรฐานฯ และความตระหนกถงภยคกคามและชองโหว ปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร และปจจยการประยกตใชมาตรฐานและกฎหมายทเกยวของ ตามล าดบ โดยแบงผเกยวของเปนทงสน 3 สวน คอผบรหารจะตองมการน าเอามาตรฐานดานความมนคงปลอดภยสารสนเทศ ระบเปนนโยบายระดบองคกร ผดแลระบบการน าเอามาตรฐานและกฎหมายทเกยวของดานความมนคงปลอดภยสารสนเทศมาประยกตใชกบงานดานเทคโนโลยสารสนเทศขององคกร มการทบทวน ตดตาม และตรวจสอบ อยางตอเนองและจดหาระบบปองกนภยคกคามและชองโหวตางๆ และผใชงานมตระหนกถงภยคกคามรปแบบตางๆ และไมตกเปนเหยอจาก
114
ภยดงกลาว โดยทงสามสวนนจะเปนสวนทชวยผลกดนใหองคกรสามารถผานการรบรองมาตรฐานฯ ส าหรบปจจยอนๆ จะเปนสวนชวยเสรมใหองคกรสามารถผานการรบรองมาตรฐานไดเชนกน แตไมมความส าคญเทา สามล าดบตนดงกลาว
สวนของผเชยวชาญมความเหนวาความพรอมขององคกรเรยงตามล าดบไดดงน ตารางท 4.13 ผลการพจารณาความพรอมและความส าคญของปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง โดยผเชยวชาญฯ
ปจจย ผลรวม
ความพรอม ล าดบ
ความพรอม ผลรวม
ความส าคญ ล าดบ
ความส าคญ
1.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ
9 4 9 2
2.การประยกตใชมาตรฐานและกฎหมายทเกยวของ
10 3 16 3
3.การใหความส าคญในการด าเนนการตามมาตรฐานฯ
9 4 17 4
4.นโยบายขององคกร 11 2 20 6
5.โครงสรางเทคโนโลยสารสนเทศขององคกร 12 1 18 5
6.ความตระหนกถงภยคกคามและชองโหว 8 5 4 1
โดยมความเหนวาองคกรยงขาดความพรอมในเรองความตระหนกถงภยคกคามและชองโหวมากทสด ซงมสาเหตมาจากการทองคกรขาดการประชาสมพนธเรองความมนคงปลอดภยสารสนเทศและขาดการสรางความตระหนกใหกบบคลากรในองคกรไดรบทราบ อนจะสงผลถงความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ และการใหความส าคญในการด าเนนการตามมาตรฐานฯ ถงแมวาจะมการประชมหารอกนระหวางผดแลระบบและผเชยวชาญอยอยางสม าเสมอ แตกไมไดมการประกาศหรอแจงอยางเปนลายลกษณอกษร รวมถงความรและทกษะของผดแลระบบยงไมไดปรบปรงใหเหมาะสมและครอบคลมลกษณะงานดานความมนคงปลอดภยสารสนเทศ สวน
115
ปจจยทคดวามความพรอมมากทสดคอดานโครงสรางเทคโนโลยสารสนเทศขององคกร เนองจากองคกรมการด าเนนการโครงการระบบบรหารจดการดานความมนคงปลอดภยสารสนเทศ มาตงแตป 2555 และไดก าหนดขอบเขตคอภายในหอง Data Center ทางผดแลระบบจงไดท าการปรบปรงโครงสรางเทคโนโลยสารสนเทศขององคกรภายในหอง Data Center ใหเปนไปตามมาตรฐาน ISO/IEC 27001 อยเสมอ หากจะเขารบรองมาตรฐานจรงจะตองมการปรบปรงเพมเตม เนองจากผเชยวชาญมขอเสนอแนะเพมเตมเกยวกบมาตรฐานทมการเปลยนแปลงเวอรชน และขอจ ากดดานกายภาพ บางสวนทตองด าเนนการควบคกบทางกองอาคารในการปรบปรงเพมเตม
สวนของความส าคญ เรยงล าดบไดดงน - ล าดบท 1 ปจจยความตระหนกถงภยคกคามและชองโหว - ล าดบท 2 ปจจยความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ - ล าดบท 3 ปจจยการประยกตใชมาตรฐานและกฎหมายทเกยวของ - ล าดบท 4 ปจจยการใหความส าคญในการด าเนนการตามมาตรฐานฯ - ล าดบท 5 ปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร - ล าดบท 6 ปจจยนโยบายขององคกร
จะเหนไดวาผเชยวชาญใหความส าคญกบความตระหนกถงภยคกคามและชองโหวมากทสด ซงมค านยามตามงานวจยวาองคกรมระบบปองกนภยคกคามและชองโหวตางๆรวมถงบคลากรมความตระหนกถงภยคกคามรปแบบตางๆ และไมตกเปนเหยอจากภยดงกลาว จากการสมภาษณผเชยวชาญใหความเหนเพมเตมวาบคลากรในองคกรจะเปนสวนส าคญทสด หากขาดความรวมมอจากบคลากรแลว อาจจะไมสามารถด าเนนการมาตรฐานใหส าเรจตามเปาประสงคทวางไว
ในปจจบนภยคกคามรปแบบตางๆ ถกพฒนาขนใหทนตอยคสมยทเปลยนแปลงไป ซงหากผใชงานขาดความตระหนกถงภยคกคามดงกลาว ไมปฏบตตามขอปฏบตหรอแนวนโยบายทองคกรวางไว หรอการทมชองโหวทางเทคนคเกดขนในองคกรยอมจะสงผลตอความมนคงปลอดภยสารสนเทศ ซงบางครงผใชงานเองอาจจะไมรตว หรอผดแลระบบไมทนสงเกตเหน ซงบางครงอาจจะสงเกตไดยาก ตองใชเครองมอและความเชยวชาญระดบสงในการตรวจจบ หากบคลากรทกระดบในองคกร เกดความตระหนก เรมตงแตผบรหารก าหนดเปนนโยบาย ผดแลระบบน ามาก าหนดเปนแนวปฏบตและผลกดนใหเกดการน าเอาระบบบรหารจดการฯ มาประยกตใชในองคกร และมการประชาสมพนธใหพนกงานในองคกรรบทราบอยางทวถง กจะสงผลใหอกทงบคลากรสามารถน าไปปฏบตไดโดยในชวตประจ าวนได ท าใหองคกรสามารถผานการรบรองมาตรฐานฯ และไดประโยชนจากการปฏบตตามมาตรฐานฯ ดงกลาวไดอยางยงยน
116
สวนของผดแลระบบมความเหนวาความพรอมและความส าคญขององคกรเรยงตามล าดบดงน
ตารางท 4.14 สรปผลการตอบแบบประเมนความพรอมและความส าคญของปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ของผดแลระบบฯ
ปจจยทเกยวของ ผลรวม
ความพรอม ล าดบ
ความพรอม ผลรวม
ความส าคญ ล าดบ
ความส าคญ
1.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ
58.57 5 71.57 4
2.การประยกตใชมาตรฐานและกฎหมายทเกยวของ
67.00 2 74.20 3
3.การใหความส าคญในการด าเนนการตามมาตรฐานฯ
54.11 6 59.89 6
4.นโยบายขององคกร 61.33 4 69.00 5
5.โครงสรางเทคโนโลยสารสนเทศขององคกร 67.88 1 77.63 1
6.ความตระหนกถงภยคกคามและชองโหว 62.80 3 75.60 2
ในดานของความพรอม ซงหมายถงผดแลระบบฯ มความเหนวาในแตละปจจยนน องคกรมความพรอมหรอผดแลระบบฯ เอง มความพรอม มความร หรอมความสามารถในการน าไปปฏบตในระดบใดจะเหนไดวาผดแลระบบฯ ไดใหคะแนนเรยงตามล าดบดงน
- ล าดบท 1 ปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร - ล าดบท 2 ปจจยการประยกตใชมาตรฐานและกฎหมายทเกยวของ - ล าดบท 3 ปจจยความตระหนกถงภยคกคามและชองโหว - ล าดบท 4 ปจจยนโยบายขององคกร - ล าดบท 5 ปจจยความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ - ล าดบท 6 ปจจยการใหความส าคญในการด าเนนการตามมาตรฐานฯ
117
จะเหนไดวาผดแลระบบฯ จะลงความเหนวาปจจยดานโครงสรางเทคโนโลยสารสนเทศขององคกรมความพรอมเปนอนดบแรก เนองจากผดแลระบบฯ มสวนเกยวของในการด าเนนการโครงการระบบบรหารจดการความมนคงปลอดภยสารสนเทศอยแลว ซงไดมการปรบปรงกระบวนการและโครงสรางเทคโนโลยสารสนเทศตามมาตรฐานอยอยางสม าเสมอ จงท าใหมนใจวาปจจยนนาจะมความพรอมทสด ทจะสงผลใหองคกรสามารถเขารบการรบรองมาตรฐานฯ ได
ปจจยทมผดแลระบบฯ ลงความเหนวาควรใหความส าคญมากทสดคอ โครงสรางเทคโนโลยสารสนเทศขององคกร ซงในมมมองของผดแลระบบฯ จะใหความส าคญเกยวกบกระบวนการจดการหรอดานกายภาพของโครงสรางพนฐานดานเทคโนโลยสารสนเทศขององคกร เชน สภาพแวดลอม, Infrastructure และระบบงาน ควรไดรบการปรบปรงและพฒนาอยบนพนฐานตามมาตรฐานความมนคงปลอดภยสารสนเทศ, การควบคมการเขาถงเครอขาย แตการก าหนดสทธการเขาถงยงไมชดเจน และการบงคบใชยงไมไดด าเนนการอยางตอเนอง, การควบคมการเขาถงในระดบแอพลเคชน ควรมการควบคมและพจารณาสทธตามกระบวนการควบคมทออกแบบไว, องคกรมการปองกนความลบของขอมลในระดบเครอขายอยางไร, องคกรฯ มการปองกนทางกายภาพส าหรบหองเดตาเซนเตอรซงการตดตงระบบควบคมการเขาถง มการควบคมอณหภมและความชน แตในดานการปองกนทางกายภาพส าหรบระบบสารสนเทศ พบวาพนทยงอยในลกษณะเปด อปกรณคอมพวเตอรและเซรฟเวอรไมไดมการตดตงภายในตแรคทสามารถควบคมการเขาถงได เปนตน
สวนของความพรอมของบคลากรในองคกรนน จะเนนไปทการสรางความตระหนก การรบรถงกระบวนการทเกยวของตอการปฏบตงานของตนเองเปนหลก จากการสมภาษณบคลากรในองคกรรอบแรกนน พบวาบคลากรสวนใหญในองคกรยงขาดความรความเขาใจเรองเกยวกบความมนคงปลอดภยสารสนเทศ อนเนองมาจากขาดการประชาสมพนธและไมไดมการใหความรความเขาใจอยางตอเนอง ซงจากการด าเนนการโครงการดานความมนคงปลอดภยสารสนเทศและท าการประเมนโดยผเชยวชาญฯ แลวนน ท าใหผเชยวชาญฯ มความเหนวาองคกรแหงนยงขาดความพรอมดานปจจยความตระหนกถงภยคกคามและชองโหวอยในล าดบแรก ผ เชยวชาญฯ จงมความเหนและใหค าแนะน าวาควรจะมการจ าลองสถานการณเพอสรางความตระหนกใหกบบคลากรในองคกร โดยใชสถานการณการท า Phishing โดยผวจยไดท าการสงอเมลแจงผใชงานทงองคกร และสงลงคส าหรบใชในการ Log in เพอเขามาขอรบบรการ Single Sign On และมการยนยน Password ถงสองครง โดยทหนาเวบดงกลาวไมไดใช Domain name ขององคกร จากการทดลองจ าลองสถานการณนนพบวา ผใชงานสวนใหญจะเชอวาอเมลทสงใหเปนของจรง เนองจากมความเชอทวาเปนการสงอเมลมาจากบคลากรในองคกรของตนเอง จงไมคาดวาจะเปนอเมลหลอก แททจรงแลวอาจจะเปนผไมประสงคดทอาศยชองโหวขององคกรไมวาจะเปนอปกรณตางๆ หรอเกดจากตวบคลากรเองกตาม ในการลกลอบ
118
เอาบญชผใชทเปนของบคลากรในองคกร ไปปลอมแปลงขอความและสงลงค เพอมาหลอกขอขอมลบญชผใชและรหสผานของบคลากรทานอนในองคกร โดยการสงลงคขอความเชญชวน ตามทไดท าการทดสอบ ในขณะทเจาของบญชผใชอาจจะไมรวาก าลงโดนโจรกรรมขอมลสวนตวไปเพอใชในการดงกลาว อาจจะตองใชเวลาสกระยะหนงถงจะรตววาขอมลถกโจรกรรมไป ผไมประสงคดกอาจจะไดขอมลสวนตวของทานอนในองคกรไปดวยแลว อกทงควรสรางการรบรใหกบบคลากรในองคกรวาไมควรจะกรอกขอมลสวนตวลงในเวบไซตทตนเองไมรจกหรอไมมนใจวามการเปดใชงานจรง ควรจะ มการโทรกลบมาสอบถาม เพอใหแนใจวาขอความทตนเองไดรบจากอเมลเปนของจรงหรอไม กอนทจะกรอกขอมลสวนตวเขาไปในเวบไซตนน เพราะฉะนนบคลากรในองคกรควรทจะมความรและความตระหนกถงภยตางๆ ในโลกไซเบอร เพอจะไดปองกนตนเองจากภยดงกลาว และเ พอไมใหเกดผลกระทบตอระบบเทคโนโลยสารสนเทศขององคกรในภาพรวม ทงนในตอนทายผวจยไดท าการประชาสมพนธผานหนาเวบ หลงจากทผใชงานกรอกขอมล Username และ Password ครบทกชอง เพอเปนการแจงเตอนใหผใชงานมความตระหนกในการใชงาน และมความระมดระวงในการกรอกขอมลสวนตวใดๆ ลงบนหนาเวบทตนเองไมรจก หากพบความผดปกตใดๆ เชนมอเมลแจงโดยใชขอความลกษณะเชญชวน ควรมการตรวจสอบกลบมายงหนวยงานตนเรองกอนทกครง เพอปองกนการตกเปนเหยอในลกษณะดงกลาว
4.2.2 ปจจยความพรอมขององคกร เปรยบเทยบกบมาตรฐาน ISO/IEC 27001
จากการศกษาถงปจจยความพรอมขององคกร โดยน าเอาผลการสมภาษณผบรหาร, ผลการประเมนจากผเชยวชาญฯ และผดแลระบบ และผลการจ าลองสถานการณเพอสรางความตระหนกใหกบบคลากรในองคกรมาวเคราะหเพมเตม โดยเมอวเคราะหจากผลการเรยงล าดบปจจยความพรอมฯ ในภาพรวมขององคกร จากตารางท 4.11 จะเหนไดวาองคกรควรจะปรบปรงปจจยการใหความส าคญในการด าเนนการตามมาตรฐานฯ เปนอนดบแรก จากค านยามตามงานวจยไดไดใหความหมายไววา บคลากรทกระดบในองคกรใหความส าคญตอการด าเนนการตามมาตรฐาน สามารถน าไปปฏบตไดอยางถกตองและเหมาะสม ซงมขอสนบสนนปจจยทเกยวของ คอ ผบรหารใหการสนบสนนในการด าเนนการโครงการเกยวกบความมนคงปลอดภยสารสนเทศในองคกร, มการก าหนดโครงสรางคณะกรรมการฯ คณะท างานฯ ไวแลว, บคลากรในระดบตางๆ ปฏบตตามขอก าหนดและขนตอนปฏบต, ขาดการด าเนนการบรหารความเสยงความมนคงปลอดภยสารสนเทศ , การตดตาม การวดผล การวเคราะหและประเมนผล ยงไมไดมการปรบปรงใหสอดคลองกบขอก าหนดมาตรฐานเวอรชนใหม, มการด าเนนการตดตามสมรรถนะระบบสารสนเทศและเครอขาย มการส ารองขอมล และมการปองกนมลแวรภายในองคกร แตการบรหารการเปลยนแปลงระบบสารสนเทศยงไมไดด าเนนการอยางตอเนอง และการปรบปรงชองโหวทางเทคนคยงไมสามารถด าเนนการได เนองจาก
119
การปรบปรงนนอาจจะสงผลกระทบตอระบบสารสนเทศอนๆ, มการจดการอบตการณความมนคงปลอดภยสารสนเทศ มการมอบหมายหนาทในการแกไขปญหาเบองตน แตยงขาดการวเคราะหแนวโนมและการแกไขปญหาจากสาเหตทมประสทธผล, องคกรมการจดเตรยมระบบส ารองและมการพฒนาแผนด าเนนธรกจอยางตอเนองส าหรบระบบสารสนเทศทส าคญ, มการควบคมการปฏบตตามกฎ ระเบยบและกฎหมาย ตามทก าหนดในมาตรฐานเวอรชนเกา ซงยงไมไดมการด าเนนการปรบปรงใหสอดคลองกบเวอรชนใหม เมอเปรยบเทยบกบผลการวเคราะหสถานะปจจบนขององคกรอางองกบมาตรฐาน ISO/IEC 27001:2013 แลวพบวาผานเกณฑตามมาตรฐานจ านวน 2 ขอ
1. คอ ขอ 2 (ตารางท 4.1) หวขอ ผน า (Leadership) โดยผบรหารจะตองสนบสนน ผลกดน มอบหมายและก าหนดหนาทส าหรบการบรหารจดการความมนคงปลอดภยสารสนเทศ ก าหนดนโยบายความมนคงปลอดภยสารสนเทศและใหการสนบสนนตอทรพยากรทจ าเปนตอด าเนนงาน สงทตรวจสอบพบคอ องคกรฯ ไดมการก าหนดโครงสรางคณะกรรมการดานความมนคงปลอดภยสารสนเทศ คณะท างานความมนคงปลอดภยสารสนเทศและนโยบายความมนคงปลอดภยสารสนเทศไวแลวจงมความสอดคลองขนพนฐาน ถงแมวาจะผานการประเมนแลวแตองคกรจะตองมการตรวจสอบขอมลใหถกตองและอพเดทอยเสมอ
2. ขอ 13 (ตารางท 4.2) หวขอ การจดการความตอเนองทางธรกจในมตความมนคงปลอดภยสารสนเทศ (Information security aspects of business continuity management) ประกอบดวยการวางแผนความตอเนองในการด าเนนธรกจ การเตรยมการและการประยกตใชงานแผน การทดสอบและทบทวนความตอเนองทางธรกจ การใชงานอปกรณส ารอง (Redundancies) พบวา องคกรฯ มการจดเตรยมระบบส ารองและมการพฒนาแผนการด าเนนธรกจอยางตอเนองส าหรบระบบสารสนเทศทส าคญ ซงมการทดสอบการใชงาน และมการปรบปรงแกไขระบบส ารอง หวขอนแมจะผานแลว กควรจะมการทดสอบการใชงานและปรบปรงแกไขระบบส ารองใหมความพรอมใชอยเสมอ
ส าหรบหวขอทผานบางสวนมทงหมด 5 ขอ ไดแก 1. ขอ 4.1 (ตารางท 4.1) หวขอ การสนบสนน (Support) โดยองคกรจ าเปนตองมการ
สนบสนนทรพยากรทจ าเปนตอการบรหารจดการความมนคงปลอดภยสารสนเทศ มการก าหนดความร (Competence) การสรางความตระหนก (Awareness) ก าหนดรปแบบการสอสาร (Communication) และก าหนดแนวทางการจดการเอกสาร (Document Management) ซ งปจจบนผบรหารขององคกรฯ มการสนบสนนทรพยากรตามงบประมาณทไดรบการสนบสนนจากรฐบาลโดยการอนมตใหจดท าโครงการเกยวกบความมนคงปลอดภยสารสนเทศ และการด าเนนการนนเปนไปตามระเบยบทางราชการในการด าเนนการโครงการดงกลาว แตการด าเนนการโครงการควร
120
จะด าเนนการและไดรบการสนบสนนจากผบรหารอยางตอเนอง และผบรหารจะตองใหความส าคญในการด าเนนการตามมาตรฐานฯ ดวย จงจะไดรบการสนบสนนดงกลาว
2. ขอ 5 (ตารางท 4.1) หวขอ การปฏบตการ (Operation) องคกรจะตองน าแผนการลดความเสยงและแผนปฏบตการทจะท าใหมนใจวาสามารถจะบรรลวตถประสงคขององคกรไดมาด าเนนการปฏบต และด าเนนการทบทวนและประเมนความเสยง ด าเนนการวางแผนการลดความเสยงตามผลการทบทวนและประเมนความเสยง ซงองคกรฯ ไดมการวางแผนการบรหารความเสยงดานความมนคงปลอดภยสารสนเทศในป 2556 เทานน ดงนนการปฏบตการในประเดนการบรหารความเสยงความมนคงปลอดภยสารสนเทศจงไมไดมการด าเนนการเพมเตม แตส าหรบดานการตดตาม การตรวจสอบและการปองกนดานความมนคงปลอดภยสารสนเทศ องคกรฯ ไดมการด าเนนการอยางตอเนอง โดยประกอบดวย การตรวจสอบและตดตามชองโหวทางเทคนคบนระบบสารสนเทศทส าคญ, การตดตามสมรรถนะระบบสารสนเทศและอปกรณเครอขายทมการด าเนนการเปนประจ าทกสปดาห, การวางแผนการด าเนนการธรกจอยางตอเนองในสวนงานดานเทคโนโลยสารสนเทศ ซงมการเตรยมความพรอมใหกบระบบงานทส าคญ , การตดตามและแกไขอบตการณ ความมนคงปลอดภยสารสนเทศ ซงมการตดตามรายสปดาห เพราะฉะนนองคกรควรจะใหความส าคญกบการวางแผนการบรหารความเสยงดานความมนคงปลอดภยสารสนเทศ ซงควรจะตองมการน าแผนมาทบทวนและวเคราะหถงความเสยงใหมๆ อยางนอยปละหนงครง เพอองคกรจะไดทราบถงความเสยงตางๆ และมแผนในการด าเนนการทสอดคลองกบสภาวะปจจบน
3. ขอ 8 (ตารางท 4.2) หวขอ ความมนคงปลอดภยทางการปฏบตการ (Operations security) ประกอบดวยการก าหนดหนาทความรบผดชอบและขนตอนปฏบตส าหรบปฏบตการ (Operational procedures and responsibilities) ท ตองมขนตอนปฏบต มการควบคมการเปลยนแปลง (Change management) การบรหารสมรรถนะ (Capacity management) และการแบงแยกสภาพแวดลอมส าหรบการพฒนา การทดสอบและการใชงานจรง ตองมการปองกนมลแวร (Protection from malware) มการส ารองขอมล (Backup) มการบนทกปมเหตการณและตดตาม (Logging and monitoring) มการควบคมซอฟตแวรท ใชปฏบตการ (Control of operational software) มการจดการชองโหวทางเทคนค (Technical vulnerability management) มการควบคมเครอมอส าหรบการตรวจสอบระบบสารสนเทศ พบวา องคกรฯ มการด าเนนการตดตามสมรรถนะระบบสารสนเทศและเครอขาย มการส ารองขอมลและมการปองกนมลแวรภายในองคกร แตการบรหารการเปลยนแปลงระบบสารสนเทศยงไมไดด าเนนการอยางตอเนอง และการปรบปรงชองโหวทางเทคนคพบวายงมบางระบบงานทยงไมสามารถด าเนนการปรบปรงได เนองจากอาจเกดผลกระทบทอาจเกดขนกบระบบสารสนเทศ เพอเปนการแกปญหาทจะเกดขนจากการปรบปรงชอง
121
โหวทางเทคนคทเกดขน พบวาองคกรแหงนมการจางผใหบรการหลายราย โดยแตละรายใชทรพยากรทแตกตางกน เมอตรวจสอบพบชองโหวทางเทคนคขนในระบบ ท าใหไมสามารถด า เนนการปรบปรงไดทนท หรอไมสามารถด าเนนการได เนองจากการปรบปรงทางเทคนคนนอาจจะสงผลกระทบถงระบบอนๆ ทท างานรวมกน ผวจยเหนวาควรจะแกไขตงแตการท าขอตกลงกบผรบจาง ในสวนของระบบทรบผดชอบ ใหสามารถมการปรบปรงชองโหวไดตลอด เมอมการพบชองโหวเกดขน และผรบจางจะตองด าเนนการและใหความส าคญเกยวกบความมนคงปลอดภยสารสนเทศในระบบทตนเองรบผดชอบอย อนจะสงผลใหระบบในภาพรวมสามารถใชงานไดตามปกตและมมาตรการในการรบมอกบชองโหวทเกดขนอยอยางสม าเสมอ
4. ขอ 12 (ตารางท 4.2) หวขอ การจดการกบอบตการณความมนคงปลอดภยสารสนเทศ (Information security incident management) ประกอบดวยขนตอนปฏบตส าหรบจดการกบอบตการณ การรายงานเหตการณและจดออนดานความมนคงปลอดภยสารสนเทศ การประเมนและการตดสนใจส าหรบเหตการณดานความมนคงปลอดภยสารสนเทศ การตอบสนองตออบตการณความมนคงปลอดภยสารสนเทศ และการรวบรวมหลกฐาน พบวา องคกรฯ มการจดการอบตการณความมนคงปลอดภยสารสนเทศ โดยมการมอบหมายหนาทในการแกไขปญหาเบองตน แตการวเคราะหแนวโนมและการแกไขปญหาจากสาเหต มการด าเนนการแตยงไมมประสทธผล อนเนองมาจากการขาดบคลากรทเชยวชาญในการวเคราะหปญหาระบบเทคโนโลยสารสนเทศ ซงเกดจากการทผบรหารยงไมไดใหความส าคญกบการสรรหาผทมความเชยวชาญดานเทคโนโลยสารสนเทศ และขอจ ากดของโครงสรางและคาตอบแทนขององคกรทไมจงใจใหบคลากรทมความเชยวชาญเขามาท างาน ซงการแกไขอาจจะตองใชเวลาและท าไดยาก เนองจากเปนการปรบปรงระดบองคกร ควรผลกดนและเสนอใหผบรหารมองเหนความส าคญเกยวกบระบบเทคโนโลยสารสนเทศ รวมถงการแกไขปญหาทจะเกดขนในอนาคตใหมประสทธผลมากยงขน ควรจะมการจางต าแหนงผเชยวชาญดานเทคโนโลยสารสนเทศ เพอท าหนาทวเคราะหและแกไขปญหาดานเทคโนโลยสารสนเทศ
5. ขอ 14 (ตารางท 4.2) การปฏบตตาม (Compliance) ประกอบไปดวยการปฏบตตามกฎ, ระเบยบ, กฎหมายทก าหนด (Compliance with legal and contractual requirements) การทบทวนความมนคงปลอดภยสารสนเทศ ( Information security reviews) พบวา องคกรฯ มการควบคมการปฏบตตามกฎ ระเบยบและกฎหมาย ตามทไดมก าหนดขนในมาตรฐานระบบบรหารจดการความมนคงปลอดภยสารสนเทศเวอรชนเกา แตการปรบปรงขอมลใหทนสมยยงไมไดด าเนนการอยางตอเนอง คณะท างานความมนคงปลอดภยสารสนเทศทถกแตงตงขน จะตองใหความส าคญในการด าเนนการตามระบบบรหารจดการความมนคงปลอดภยสารสนเทศอยางสม าเสมอ
122
หากพบวามการปรบปรงเวอรชนของมาตรฐาน ควรท าการศกษาและปรบปรงรายละเอยดและการด าเนนการตางๆ ใหทนสมยอยเสมอ
ส าหรบหวขอทตองแกไข คอ 1. ขอ 3 (ตารางท 4.1) หวขอ การวางแผน (Planning) องคกรจะตองพจารณาถงความ
เสยงและโอกาสทเกยวของกบความสามารถในการบรรลวตถประสงคและเปาหมายของระบบบรหารจดการความมนคงปลอดภยสารสนเทศ โดยการประเมนความเสยงและการบรหารความเสยงความมนคงปลอดภยสารสนเทศ และองคกรจ าเปนทจะตองวางแผนเพอใหมนใจวาสามารถจะบรรลวตถประสงคความมนคงปลอดภยสารสนเทศ จากการด าเนนการของ องคกรฯ ในระบบบรหารจดการเวอรชนเกา องคกรฯ มการประเมนความเสยงและการวางแผนลดความเสยงซงด าเนนการผานมาในป 2556 ซงกระบวนการบรหารความเสยงทมอยนนสามารถน ามาใชกบมาตรฐานฉบบใหมได แตการวางแผนเพอใหสามารถบรรลตามวตถประสงคจะตองด าเนนการปรบปรงและผลการประเมนความเสยงจะตองมการด าเนนการอยางตอเนอง
2. ขอ 6 (ตารางท 4.1) หวขอ การประเมนสมรรถนะ (Performance Evaluation) องคกรจะตองตดตามรายงานผลการด าเนนงานและผลการประเมนผลและจดใหมการตรวจสอบภายใน จากนนจงน าผลการตดตามประเมนผลและการตรวจสอบภายในรายงานตอผบรหารเพอใหพจารณาและสงการปรบปรงแกไข พบวาการประเมนสมรรถนะทองคกรฯ ด าเนนการอยในปจจบนมการด าเนนการดวยกระบวนการตามขอก าหนดของมาตรฐานระบบบรหารจดการความมนคงปลอดภยสารสนเทศเวอรชนเดม ซงมความแตกตางในสาระตามทมาตรฐานก าหนด เชน ประเดนการตดตาม การวดผล การวเคราะหและการประเมนผลทมการจดท ายงไมไดมการปรบปรงใหสอดคลองกบขอก าหนดมาตรฐานฉบบใหม ซงองคกรควรจะใหความส าคญกบเวอรชนของมาตรฐานทมเปลยนแปลง และมการปรบปรงรายละเอยดของนโยบาย, ขนตอนปฏบต และปรบปรงเอกสารทใชในการด าเนนการตามระบบบรหารจดการความมนคงปลอดภยสารสนเทศ ใหเปนเวอรชนลาสดอยเสมอ ควรมการประชมเพอรายงานผลตอฝายบรหาร (Management Review) ในปทผานมาพบวายงไมไดมการด าเนนการ เนองจากมการเปลยนแปลงฝายบรหารและโครงสรางภายใน องคกรฯ อยางไรกตามควรใหความส าคญและมการด าเนนการตามระบบบรหารจดการความมนคงปลอดภยสารสนเทศอยเสมอ เมอมโอกาสรายงานผลตอฝายบรหาร ควรท าทนทหรออาจจะเปลยนแปลงวธการรายงานจากการจดประชมเปนรายงานผลโดยรายงานความคบหนาแทน อกทงการด าเนนการระบบบรหารจดการความมนคงปลอดภยสารสนเทศในองคกร ควรมการประชาสมพนธใหทราบทวทงองคกรและหากมโอกาสควรจะคอยๆ ท าการขยายขอบเขตไปยงกองงาน, ฝาย และดานอนๆ เพอเปนการกระตนให
123
บคลากรในองคกรเหนความส าคญของการด าเนนการตามมาตรฐาน และสามารถน าไปปฏบตจนเปนสวนหนงของการท างานได
ปจจยทควรจะปรบปรงเปนอนดบทสองคอปจจยความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ จากค านยามตามงานวจยไดไดใหความหมายไววา มการประชาสมพนธจากองคกรอยอยางสม าเสมอเพอสรางความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆทเกยวของกบความมนคงปลอดภยสารสนเทศ ซงมขอสนบสนนปจจยทเกยวของคอ บคลากรมความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆทเกยวของ ไมเทากน , มการจดการอบรม แตรายการความรและทกษะทจ าเปนของแตละบทบาท ยงไมไดปรบปรงใหเหมาะสมและครอบคลมลกษณะงานดานความมนคงปลอดภยสารสนเทศ, การประชาสมพนธขอมลทเปนประโยชนใหกบบคลากรไดรบทราบ, มการสอสารภายใน แตไมไดก าหนดขนมาอยางชดเจนเปนลายลกษณอกษร เมอเปรยบเทยบกบผลการวเคราะหสถานะปจจบนขององคกรอางองกบมาตรฐาน ISO/IEC 27001:2013 แลวพบวามขอทผานบางสวนเพยงสองขอ ซงเปนสวนหนงของหวขอการสนบสนน (Support) โดยองคกรจ าเปนตองมการสนบสนนทรพยากรทจ าเปนตอการบรหารจดการความมนคงปลอดภยสารสนเทศ มการก าหนดความร (Competence) การสรางความตระหนก (Awareness) ก าหนดรปแบบการสอสาร (Communication) และก าหนดแนวทางการจดการเอกสาร (Document Management) ดงน
1. ขอ 4.2 (ตารางท 4.1) ดานการใหความรและความตระหนก จากการศกษาพบวา องคกรฯ มการด าเนนการใหความรโดยผานการอบรม แตรายการความรและทกษะทจ าเปนของแตละบคลากร ในแตละบทบาท ไดแก ผบรหาร, ผดแลระบบฯ และบคลากรในองคกร ยงไมไดมการปรบปรงใหเหมาะสมและครอบคลมลกษณะงานดานความมนคงปลอดภยสารสนเทศ ควรจะมจดอบรมเพอสรางความรความเขาใจใหกบบคลากรในแตละระดบ โดยการใหความรนนจะตองแยกหวขอส าหรบแตละบทบาทใหชดเจน เพอใหแตละบทบาทสามารถน าเอามาตรฐานฯ ไปปฏบตไดตรงตามบทบาทและหนาทของตนเอง เชน ผดแลระบบฯ ควรจะไดรบความรเรองเกยวกบมาตรฐานและแนวปฏบตตางๆ ทเกยวของกบผดแลระบบฯ เปนตน หากใหความรและสรางความเขาใจใหแตละบทบาทอยางถกตองและเหมาะสม จะสงผลใหการด าเนนการระบบบรหารจดการความมนคงปลอดภยสารสนเทศขององคกร สามารถด าเนนไปในทศทางทถกตอง
2. ขอ 4.3 (ตารางท 4.1) ดานการก าหนดดานการสอสาร องคกรฯ มการด าเนนการสอสารภายใน แตไมไดก าหนดขนมาอยางชดเจนเปนลายลกษณอกษร สงผลใหบคลากรททวไปทไมไดเปนคณะท างานดานความมนคงปลอดภยสารสนเทศนน ไมไดรบขอมลตางๆ ทเกยวของกบมาตรฐานฯ และขอมลท เปนประโยชนตอการด าเนนการตามระบบบรหารจดการความมนคงปลอดภย
124
สารสนเทศ จากการสมภาษณผบรหารฝายอนไดใหขอเสนอแนะวา ควรจะมการสรางความรความเขาใจใหกบบคลากรในองคกร เกยวกบนโยบาย, ขนตอนปฏบต และเปาหมายของขององคกรในการเขารบการขอรบรองมาตรฐาน มการประชาสมพนธอยางเปนลายลกษณอกษรทชดเจน และประกาศไปทวทงองคกร เพอสรางการรบรใหกบบคลากรในองคกรและสามารถปฏบตไดอยางถกตองเหมาะสมตอไป
ปจจยทควรจะปรบปรงเปนอนดบทสามคอ ปจจยความตระหนกถงภยคกคามและชองโหว จากค านยามตามงานวจยไดไดใหความหมายไววา องคกรมระบบปองกนภยคกคามและชองโหวตางๆ รวมถงบคลากรมความตระหนกถงภยคกคามรปแบบตางๆ และไมตกเปนเหยอจากภยดงกลาว ซงมขอสนบสนนปจจยทเกยวของคอ องคกรมระบบปองกนภยคกคามและชองโหวจากภายในและภายนอกองคกร, บคลากรไมตกเปนเหยอจากผไมประสงคดจากเทคนค Social Engineering, การประชาสมพนธขอมลทเปนประโยชนใหกบบคลากรไดรบทราบและมการสอสารภายใน แตไมไดก าหนดขนมาอยางชดเจนเปนลายลกษณอกษร เมอเปรยบเทยบกบผลการวเคราะหสถานะปจจบนขององคกรอางองกบมาตรฐาน ISO/IEC 27001:2013 แลวพบวาผานเกณฑบางสวนตามมาตรฐานจ านวน 2 ขอ ซงเปนหวขอเดยวกบปจจยทควรปรบปรงล าดบทสอง แตเปนผลทไดจากการใหความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ ซงจะสงผลใหบคลากรเกดความตระหนกถงภยคกคามและชองโหว ดงจะเหนไดจากการทดสอบความพรอมของบคลากรโดยการจ าลองสถานการณ (Cyber Drill หรอ Cyber Readiness Assessment) โดยการท า Phishing ผลจากผลการจ าลองสถานการณดงกลาวพบวา บคลากรสวนใหญยงขาดความระมดระวงในการเขาใชงานอนเตอรเนต สบเนองจากขาดการประชาสมพนธและใหความรเกยวกบความมนคงปลอดภยสารสนเทศและการสรางความตระหนกถงภยคกคามใหกบบคลากร ซงสอดคลองกบค าแนะน าของผบรหารในขางตน
ปจจยทควรจะปรบปรงเปนอนดบทส คอปจจยนโยบายขององคกร จากค านยามตามงานวจยไดไดใหความหมายไววา มการน าเอามาตรฐานดานความมนคงปลอดภยสารสนเทศ ระบเปนนโยบายระดบองคกร ซงมขอสนบสนนปจจยทเกยวของคอ มการก าหนดนโยบายความมนคงปลอดภยสารสนเทศ ไวเปนสวนหนงของของการขบเคลอนองคกร , จดท าโครงการเกยวกบความมนคงปลอดภยสารสนเทศ, จดท าระเบยบ ขอบงคบ และแนวปฏบตทเกยวกบความมนคงปลอดภยสารสนเทศ, ปทผานมามการเปลยนแปลงฝายบรหารและโครงสรางภายใน จงยงไมไดมการจดประชมเพอรายงานผลตอฝายบรหาร (Management Review), ในปทผานมายงไมไดมการทบทวนและปรบปรงนโยบายความมนคงปลอดภยสารสนเทศ, ขาดมาตรการควบคมทมการประกาศใชใหม เชน นโยบายการใชงานอปกรณโมบาย และการบรหารโครงการในมตดานความมนคงปลอดภยสารสนเทศ, องคกรฯ มการด าเนนการควบคมความมนคงปลอดภยสารสนเทศตามระเบยบราชการ เกยวกบ
125
ความมนคงปลอดภยดานทรพยากรบคคล (Human Resource Security) เมอเปรยบเทยบกบผลการวเคราะหสถานะปจจบนขององคกรอางองกบมาตรฐาน ISO/IEC 27001:2013 แลวพบวาผานเกณฑตามมาตรฐานจ านวน 1 ขอ คอ ขอ 3 (ตารางท 4.2) หวขอ ความมนคงปลอดภยดานทรพยากรบคคล (Human resource security) ประกอบดวยการควบคมกอนการจางงาน (Prior to employment) ทตองมการตรวจสอบประวต การก าหนดเงอนไขดานความมนคงปลอดภยสารสนเทศกอนการจาง การควบคมระหวางการจางงาน (During employment) ประกอบดวยการสอสารหนาท ความรบผดชอบจากฝายบรหาร การจดอบรมสรางความร ความตระหนกและการใหการศกษา และกระบวนการทางวนย การควบคมเมอสนสดการจางหรอเมอมการเปลยนแปลงการจาง (Termination and change of employment) พบวา องคกรฯ มการด าเนนการควบคมความมนคงปลอดภยสารสนเทศตามระเบยบทางราชการ ซงมครอบคลมความตองการขนพนฐานของมาตรฐาน ถงอยางไรกตามองคกรควรตรวจสอบและควบคมใหการด าเนนการดงกลาวเปนไปอยางสม าเสมอ ทงนเพอประโยชนสงสดขององคกร นอกเหนอจากการผานการรบรองตามมาตรฐานฯ
จากการตรวจสอบเพมเตมยงพบวามผานบางสวนอย 1 ขอ คอ ขอ 2 (ตารางท 4.2) หวขอองคประกอบของความมนคงปลอดภยสารสนเทศ (Organization of information security)ซงประกอบดวยการจดการภายในองคกร (Internal organization) การก าหนดบทบาทและหนาทดานความมนคงปลอดภยสารสนเทศ การแบงแยกหนาท การรวบรวมขอมลส าหรบตดตอผมอ านาจและตดตามขอมลดานความมนคงปลอดภยสารสนเทศ การบรหารจดการโครงการในดานความมนคงปลอดภยสารสนเทศ การควบคมความมนคงปลอดภยจากปฏบตงานภายนอก (Teleworking) และอปกรณโมบาย (Mobile devices) พบวาองคกรฯ มการด าเนนการตามมาตรการควบคมภายในซงสอดคลองกบขอก าหนดของมาตรฐาน มเพยงแตมาตรการควบคมทมการประกาศใชใหมในมาตรฐาน คอ เรองนโยบายการใชงานอปกรณโมบาย และการบรหารโครงการในมตดานความม นคงปลอดภยสารสนเทศทยงไมไดมการด าเนนการซงควรปรบปรงเพมเตม
ทงยงมขอทตองแกไข 2 ขอ ไดแก 1. ขอ 6 (ตารางท 4.1) หวขอการประเมนสมรรถนะ (Performance Evaluation) โดย
องคกรจะตองตดตามรายงานผลการด าเนนงานและผลการประเมนผล และจดใหมการตรวจสอบภายใน จากนนจงน าผลการตดตามประเมนผลและการตรวจสอบภายในรายงานตอผบรหารเพอใหพจารณาและสงการปรบปรงแกไข ซงพบวาการประเมนสมรรถนะทองคกรฯ ด าเนนการอยในปจจบนมการด าเนนการดวยกระบวนการตามขอก าหนดของมาตรฐานระบบบรหารจดการความมนคงปลอดภยสารสนเทศเวอรชนเดม ซงมความแตกตางในสาระตามทมาตรฐานก าหนด เชน ประเดนการตดตาม, การวดผล, การวเคราะหและการประเมนผลทมการจดท ายงไมไดมการปรบปรงใหสอดคลอง
126
กบขอก าหนดมาตรฐานฉบบใหมและการประชมเพอรายงานผลตอฝายบรหาร (Management Review) ในปทผานมายงไมไดมการด าเนนการ เนองจากมการเปลยนแปลงฝายบรหารและโครงสรางภายในองคกรฯ
2. ขอ 1 (ตารางท 4.2) หวขอ นโยบายความมนคงปลอดภยสารสนเทศ (Information Security Policies) เปนมาตรการควบคมทก าหนดใหองคกรตองก าหนดทศทางและสนบสนนดานความมนคงปลอดภยสารสนเทศใหสอดคลองกบความตองการทางธรกจและสมพนธกบกฎระเบยบและกฎหมาย จากการตรวจสอบพบวาองคกรฯ ไดมการจดท าขอก าหนดและนโยบายความมนคงปลอดภยสารสนเทศส าหรบองคกรฯ แตการทบทวนและการปรบปรงนโยบายความมนคงปลอดภยสารสนเทศในปทผานมายงไมไดมการด าเนนการ ควรมการทบทวนและปรบปรงนโยบายฯ อยางนอยปละ 1 ครง
ปจจยทควรจะปรบปรงเปนอนดบทหา คอปจจยการประยกตใชมาตรฐานและกฎหมายทเกยวของ จากค านยามตามงานวจยไดไดใหความหมายไววาองคกรมการน าเอามาตรฐานและกฎหมายทเกยวของดานความมนคงปลอดภยสารสนเทศมาประยกตใชกบงานดานเทคโนโลยสารสนเทศขององคกร มการทบทวน ตดตาม และตรวจสอบ อยางตอเนอง ซงมขอสนบสนนปจจยทเกยวของคอ การน าเอามาตรฐานและกฎหมายทเกยวของดานความมนคงปลอดภยสารสนเทศมาประยกตใชในงานขององคกร ทงดาน Hardware, Software และ Network, การด าเนนงานขององคกรฯ ยงด าเนนการตามเวอรชนเกาซงยงไมมการก าหนดถงหวขอมาตรฐานบางขอไว มาตรฐานบางขอจงยงไมไดด าเนนการอยางชดเจน, มการด าเนนการควบคมเอกสารขององคกร ซงจดท าไวในระบบบรหารจดการความมนคงปลอดภยสารสนเทศในเวอรชน 2005 แลว สามารถใชงานรวมกบเวอรชน 2013 ได, มการด าเนนการดานการตดตาม การตรวจสอบ และปองกนดานความมนคงปลอดภยสารสนเทศอยางตอเนอง, องคกรฯ มกระบวนการจดการทรพยสนแลว แตการน ามาใชยงไมไดด าเนนการอยางตอเนอง, มการควบคมการเขาถงเครอขาย แตการก าหนดสทธการเขาถงยงไมชดเจน และการบงคบใชยงไมไดด าเนนการอยางตอเนอง, มการควบคมการเขาถงในระดบแอพลเคชน โดยมการควบคมและพจารณาสทธตามกระบวนการควบคมทออกแบบไว, มการปรบปรงและจดหาระบบสารสนเทศแตการก าหนดความตองการดานความมนคงปลอดภยสารสนเทศยงไมมความชดเจน, มการก าหนดรายละเอยดการจางในสญญาจางส าหรบผใหบรการ และมการตดตามการใหบรการโดยอาศยกระบวนการจดซอจดจางตามระเบยบราชการและมการจดการอบตการณความมนคงปลอดภยสารสนเทศ มการมอบหมายหนาทในการแกไขปญหาเบองตน แตยงขาดการวเคราะหแนวโนมและการแกไขปญหาจากสาเหตทมประสทธผล เมอเปรยบเทยบกบผลการวเคราะหสถานะปจจบนขององคกรอางองกบมาตรฐาน ISO/IEC 27001:2013 แลวพบวาผานเกณฑตาม
127
มาตรฐานจ านวน 1 ขอ ไดแก ขอ 11 (ตารางท 4.2) หวขอ ความสมพนธกบซพพลายเออร (Supplier relationships) ประกอบดวยการควบคมความมนคงปลอดภยสารสนเทศส าหรบซพพลายเออร (Information security in supplier relationships) ทตองมการก าหนดขอตกลงและความรบผดชอบดานความมนคงปลอดภยสารสนเทศ การบรหารการใหบรการ (Supplier service delivery management) พบวา องคกรฯ มการก าหนดรายละเอยดการจางในสญญาจางส าหรบผใหบรการ และมการตดตามการใหบรการโดยอาศยกระบวนการจดซอจดจางตามระเบยบราชการ ซงมความสอดคลองกบขอก าหนดของมาตรฐานขนพนฐาน
ส าหรบหวขอทผานบางสวนมทงหมด 6 ขอ ไดแก 1. ขอ 4.4 (ตารางท 4.1) หวขอ การสนบสนน (Support) องคกรจ าเปนตองมการ
สนบสนนทรพยากรทจ าเปนตอการบรหารจดการความมนคงปลอดภยสารสนเทศ มการก าหนดความร (Competence) การสรางความตระหนก (Awareness) ก าหนดรปแบบการสอสาร (Communication) และก าหนดแนวทางการจดการเอกสาร (Document Management) พบวา การด าเนนการควบคมเอกสาร องคกรฯ มกระบวนการบรหารจดการเอกสาร ซงจดท าไวในระบบบรหารจดการความมนคงปลอดภยสารสนเทศในเวอรชน 2005 แลว ซงเวอรชนปจจบนคอ 2013 ท าใหขอก าหนดบางประการยงไมไดรบการก าหนด และยงไมครอบคลมกบขอก าหนดเวอรชนใหม ควรจะมการทบทวนและปรบปรงรายละเอยดขอก าหนดตางๆ โดยอางองจากเวอรชนลาสดอกครง
2. ขอ 5 (ตารางท 4.1) หวขอ การปฏบตการ (Operation) องคกรจะตองน าแผนการลดความเสยงและแผนปฏบตการทจะท าใหมนใจวาสามารถจะบรรลวตถประสงคขององคกรไดมาด าเนนการปฏบต และด าเนนการทบทวนและประเมนความเสยง ด าเนนการวางแผนการลดความเสยงตามผลการทบทวนและประเมนความเสยง พบวาองคกรฯ ไดมการวางแผนการบรหารความเสยงดานความมนคงปลอดภยสารสนเทศในป 2556 เทานน ดงนน การปฏบตการในประเดนการบรหารความเสยงความมนคงปลอดภยสารสนเทศจงไมไดมการด าเนนการเพมเตม แตส าหรบดานการตดตาม การตรวจสอบและการปองกนดานความมนคงปลอดภยสารสนเทศ องคกรฯ ไดมการด าเนนการอยางตอเนอง โดยประกอบดวย การตรวจสอบและตดตามชองโหวทางเทคนคบนระบบสารสนเทศทส าคญ, การตดตามสมรรถนะระบบสารสนเทศและอปกรณเครอขายทมการด าเนนการเปนประจ าทกสปดาห, การวางแผนการด าเนนการธรกจอยางตอเนองในสวนงานดานเทคโนโลยสารสนเทศ ซงมการเตรยมความพรอมใหกบระบบงานทส าคญ , การตดตามและแกไขอบตการณ ความมนคงปลอดภยสารสนเทศ ซงมการตดตามรายสปดาห
ขอทสามและสคอจะรวมอยในขอ 5 (ตารางท 4.2) การควบคมการเขาถง (Access control) ประกอบดวยการก าหนดนโยบายการเขาถงตามความตองการทางธรกจ (Business
128
requirements of access control) ก า ร บ ร ห า ร ก า ร เข า ถ ง ข อ ง ผ ใช ง า น (User access management) หนาทของผใชงาน (User responsibilities) การควบคมการเขาถงทางระบบและแอพพลเคชน (System and application access control) มรายละเอยดดงน
3. พบวาองคกรฯ มการควบคมการเขาถงทางเครอขายโดยผานอปกรณไฟรวอลล แตในดานการก าหนดรายละเอยดการเขาถงยงไมมความชดเจนและการบงคบใชยงไมไดด าเนนการอยางตอเนอง
4. พบวาการควบคมการเขาถงในระดบแอพพลเคชนมการด าเนนการควบคมและมการพจารณาสทธตามกระบวนการควบคมทไดมการออกแบบแลว ส าหรบการควบคมการเขาถงน ควรจะด าเนนการอยางตอเนองและเครงครด เพอปองกนการเขาใชงานจากผทไมเกยวของ
5. ขอ 10 (ตารางท 4.2) หวขอ การจดหา พฒนาและบ ารงรกษาระบบ (System acquisition, development and maintenance) ประกอบดวยการก าหนดความตองการดานความมนคงปลอดภยสารสนเทศส าหรบระบบสารสนเทศ (Security requirement of information system) การควบคมความมนคงปลอดภยในการพฒนาและกระบวนการสนบสนน (Security in development and support processes) การควบคมความปลอดภยบนขอมลทดสอบ (Test data) พบวาองคกรฯ มการปรบปรงและจดหาระบบสารสนเทศ ซงการก าหนดความตองการดานความมนคงปลอดภยสารสนเทศยงไมมความชดเจน
6. ขอ 12 (ตารางท 4.2) หวขอการจดการกบอบตการณความมนคงปลอดภยสารสนเทศ (Information security incident management) ประกอบดวยขนตอนปฏบตส าหรบจดการกบอบตการณ การรายงานเหตการณและจดออนดานความมนคงปลอดภยสารสนเทศ การประเมนและการตดสนใจส าหรบเหตการณดานความมนคงปลอดภยสารสนเทศ การตอบสนองตออบตการณความมนคงปลอดภยสารสนเทศ และการรวบรวมหลกฐาน พบวาองคกรฯ มการจดการอบตการณความมนคงปลอดภยสารสนเทศ โดยมการมอบหมายหนาทในการแกไขปญหาเบองตน แตการวเคราะหแนวโนมและการแกไขปญหาจากสาเหต มการด าเนนการแตยงไมมประสทธผล เนองจากองคกรขาดบคลากรทมความรความสามารถเฉพาะดานท าหนาทวเคราะหปญหาตางๆ ทพบ
อกทงยงพบวามหวขอทตองแกไขอก 2 ขอ ไดแก 1. ขอ 1 (ตารางท 4.1) หวขอ บรบทขององคกร (Context of the organization)
หมายถงองคกรจ าเปนตองเขาใจถงบรบทขององคกร โดยพจารณาประเดนทเกยวของกบความมนคงปลอดภยซงเกยวของกบองคกรและพจารณาจากผมสวนไดเสยทงภายในและภายนอกองคกร ซงองคกรใหความสนใจเฉพาะกลม จากนนจงพจารณาวาผทองคกรใหความสนใจ (Interested Parties)
129
มความตองการและความคาดหวงอะไรบางทเกยวของกบความมนคงปลอดภยสารสนเทศแลวจงก าหนดขอบเขตระบบบรหารจดการความมนคงปลอดภยสารสนเทศ (Scope) ซงพบวาารด าเนนการของ องคกรฯ ในระบบบรหารจดการเวอรชนเกาไมไดมการก าหนดไว จงยงไมไดด าเนนการอย างชดเจน
2. ขอ 4 (ตารางท 4.2) การจดการทรพยสน (Asset management) ประกอบดวยการก าหนดความรบผดชอบตอทรพยสน (Responsibility for assets) ซงตองมการจดท าบญชทรพยสน การก าหนดผรบผดชอบดแล การก าหนดเงอนไขการใชงานทรพยสน และการคนทรพยสน การจดจ าแนกสารสนเทศ(Information classification) ประกอบดวยแนวทางการจดจ าแนกสารสนเทศตามความส าคญ คณคาและความลบ การท าปายลาเบลและการจดการ การใชงานทรพยสนตามปายลาเบล พบวาองคกรฯ มกระบวนการจดการทรพยสนแลว ซงครอบคลมการจดท าบญชทรพยสน การจดจ าแนกชนความลบ แตการน ามาใชยงไมไดด าเนนการอยางตอเนอง
ปจจยทควรจะปรบปรงเปนอนดบทหก คอปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร จากค านยามตามงานวจยไดไดใหความหมายไววาโครงสรางเทคโนโลยสารสนเทศขององคกรเปนไปตามมาตรฐานดานความมนคงปลอดภยสารสนเทศ ซงมขอสนบสนนปจจยทเกยวของคอสภาพแวดลอม, Infrastructure และระบบงาน ควรไดรบการปรบปรงและพฒนาอยบนพนฐานตามมาตรฐานความมนคงปลอดภยสารสนเทศ, มการควบคมการเขาถงเครอขาย แตการก าหนดสทธการเขาถงยงไมชดเจน และการบงคบใชยงไมไดด าเนนการอยางตอเนอง, มการควบคมการเขาถงในระดบแอพลเคชน โดยมการควบคมและพจารณาสทธตามกระบวนการควบคมทออกแบบไว } องคกรมการปองกนความลบของขอมลในระดบเครอขาย, องคกรฯ มการปองกนทางกายภาพส าหรบหองเดตาเซนเตอรซงการตดตงระบบควบคมการเขาถง มการควบคมอณหภมและความชน แตในดานการปองกนทางกายภาพส าหรบระบบสารสนเทศ พบวาพนทยงอยในลกษณะเปด อปกรณคอมพวเตอรและเซรฟเวอรไมไดมการตดตงภายในตแรคทสามารถควบคมการเขาถงได , การควบคมดแลสายเคเบลพบวา องคกรฯ ประสบปญหาสายเคเบลทไมไดมาตรฐาน ซงหากสงเกตจากภายนอกจะพบวาสายมลกษณะปกตแตภายในช ารด ท าใหตองมการเปลยนหรอสลบสายเคเบลจนเปนเหตใหการจดเรยงสายเคเบลไมเปนระเบยบและยากตอการดแลรกษา, มการควบคมความมนคงปลอดภยสารสนเทศระดบเครอขาย แตทางเทคนคยงไมไดมการก าหนดการควบคมและปองกนอยางเหมาะสมสงสด เมอเปรยบเทยบกบผลการวเคราะหสถานะปจจบนขององคกรอางองกบมาตรฐาน ISO/IEC 27001:2013 แลวพบวาผานเกณฑตามมาตรฐานจ านวน 1 ขอ คอ ขอ 6 (ตารางท 4.2) หวขอการเขารหสลบ (Cryptography) ซงเปนมาตรการควบคมส าหรบการรกษาความลบของขอมล โดยใหมการก าหนดนโยบายการใชงานมาตรการควบคมดวยรหสลบ และการจดการกญแจรหสลบ
130
ส าหรบหวขอทผานบางสวนมทงหมด 3 ขอ ไดแก ขอ 5 (ตารางท 4.2) หวขอการควบคมการเขาถง (Access control) ประกอบดวยการก าหนดนโยบายการเขาถงตามความตองการทางธรกจ (Business requirements of access control) การบรหารการเขาถงของผใชงาน (User access management) หนาทของผใชงาน (User responsibilities) การควบคมการเขาถงทางระบบและแอพพลเคชน (System and application access control) พบวามสองขอยอย ไดแก
1. องคกรฯ มการควบคมการเขาถงทางเครอขายโดยผานอปกรณไฟรวอลล แตในดานการก าหนดรายละเอยดการเขาถงยงไมมความชดเจน
2. การบงคบใชยงไมไดด าเนนการอยางตอเนอง และการควบคมการเขาถงในระดบแอพพลเคชนมการด าเนนการควบคมและมการพจารณาสทธตามกระบวนการควบคมทไดมการออกแบบแลว
รวมถงเรองความมนคงปลอดภยทางการสอสาร (Communications security)ประกอบดวยการจดการความมนคงปลอดภยทางเครอขาย (Network security management) ซงตองมการควบคมทางเครอขาย การก าหนดบรการทางเครอขายทใหบรการและการแบงแยกเครอขายทใชงาน และจดสงสารสนเทศ (Information transfer) ซงตองมการก าหนดนโยบายและขนตอนปฏบต การก าหนดขอตกลงส าหรบการจดสงสารสนเทศ การจดสงสารสนเทศทางอเลกทรอนกส การก าหนดขอตกลงในการรกษาความลบ พบวา องคกรฯ มการควบคมความมนคงปลอดภยสารสนเทศในระบบเครอขายคอมพวเตอรผานอปกรณไฟรวอลล (Firewall) แตการตงคาการท างานทางเทคนคยงไมไดมการก าหนดใหมการควบคมและปองกนอยางเหมาะสมสงสดเนองจาก ปญหาการสอสารภายในระหวางผพฒนาระบบและผดแลระบบเครอขาย
ส าหรบหวขอทตองแกไขพบวามเพยงขอเดยวคอขอ 7 (ตารางท 4.2) หวขอความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical and environmental security) ประกอบดวยการก าหนดการควบคมพนททางกายภาพ การเขาถง การจดการพนท และการควบคมสภาพแวดลอมความปลอดภยใหมความเหมาะสม พบวาองคกรฯ มการปองกนทางกายภาพส าหรบหองเดตาเซนเตอรซงการตดตงระบบควบคมการเขาถง มการควบคมอณหภมและความชน แตในดานการปองกนทางกายภาพส าหรบระบบสารสนเทศ พบวาพนทยงอยในลกษณะเปด อปกรณคอมพวเตอรและเซรฟเวอรไมไดมการตดตงภายในตแรคทสามารถควบคมการเขาถงได รวมถงการควบคมดแลสายเคเบลพบวาองคกรฯ ประสบปญหาสายเคเบลทไมไดมาตรฐาน ซงหากสงเกตจากภายนอกจะพบวาสายมลกษณะปกตแตภายในช ารด ท าใหตองมการเปลยนหรอสลบสายเคเบลจนเปนเหตใหการจดเรยงสายเคเบลไมเปนระเบยบและยากตอการดแลรกษา
131
บทท 5 สรปผลการวจยและขอเสนอแนะ
5.1 สรปผลการวจย
องคกรดานการทองเทยวแหงหนงมภาระกจหลกในการสงเสรมการทองเทยวในประเทศ
ไทย ท าหนาทใหบรการและประชาสมพนธขอมลขาวสารแกผสนใจทงชาวไทยและชาวตางชาต ซงมการน าเอาเทคโนโลยสารสนเทศมาประยกตใชในองคกรเพอรองรบการปฏบตงานของบคลากรในการสนบสนนภารกจดงกลาว
ในยคทขอมลขาวสารมความส าคญ ทางองคกรจงใหความส าคญในการน าเอาแนวคดดานการจดการความมนคงปลอดภยสารสนเทศมาประยกตใช โดยบรรจอยในแผนแมบทเทคโนโลยสารสนเทศและการ ซงเปนแผนเฉพาะดานเทคโนโลยสารสนเทศขององคกร ซงขณะนอยในระหวางการด าเนนการ เพอใหองคกรมแผนในการบรหารจดการระบบสารสนเทศขององคกร โดยเนนการรกษาความปลอดภยของขอมลขององคกร ซงถอเปนสวนส าคญสวนหนงในการบรหารหนวยงานใหมประสทธภาพ และเพอใหมความมนคงปลอดภยเปนไปตามประกาศของคณะกรรมการธรกรรมอเลกทรอนกส เรองแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ. 2553 และพระราชกฤษฎกา วาดวยวธการแบบปลอดภยในการท าธรกรรมทางอเลกทรอนกส พ.ศ. 2553 โดยไดมการน าเอามาตรฐาน ISO/IEC 27001 ซงเปนมาตรฐานสากลดาน Information Security Management System มาเปนกรอบในการด าเนนงาน ประกอบกบองคกรแหงน จะตองด าเนนการดานสารสนเทศใหสอดคลองกบระบบประเมนคณภาพรฐวสาหกจ จงมความจ าเปนในการด าเนนการดานการจดการความมนคงปลอดภยสารสนเทศใหเปนไปอยางตอเนองตามมาตรฐานสากล
เพอใหองคกรมแผนในการบรหารจดการความมนคงปลอดภยสารสนเทศและเปนไปตามประกาศของคณะกรรมการธรกรรมอเลกทรอนกสและสอดคลองกบระบบประเมนคณภาพรฐวสาหกจ ผวจยจงเลงเหนความส าคญของการศกษาถงปจจยทเกยวของกบการบรหารจดการความมนคงปลอดภยสารสนเทศ เพอเตรยมความพรอมของหนวยงานภาครฐ ในการเขารบการรบรองมาตรฐาน ISO/IEC 27001:2013 เพอประเมนวาในปจจบนองคกรมความพรอมในการเขารบการรบรองมาตรฐานฯ เพยงใดและควรมการปรบปรงอยางไร เพอใหองคกรมความพรอมในการเขารบการรบรองมาตรฐานฯ ตอไป
132
จากการทบทวนวรรณกรรมและงานวจยทเกยวของนน จะเหนไดวามหลายองคกร ทงภาครฐและเอกชนไดใหความส าคญเกยวกบความมนคงปลอดภยสารสนเทศมากขน เนองจากในปจจบนขอมลเปนสงทส าคญและมคามาก องคกรจะตองรบมอกบภยคกคามตางๆ ทเกดขน หากองคกรใดไมใหความส าคญดานความมนคงปลอดภยสารสนเทศ กจะท าใหองคกรนนตกเปนเปาหมายในการโจมตทางดานเทคโนโลยสารสนเทศ ซงจะท าใหเกดความเสยหายตอระบบทใชภายในองคกรและระบบทเปดใหบรการสาธารณะ อนจะสงผลถงชอเสยงและความนาเชอถอขององคกรได
ในการศกษาการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง นน ใชระเบยบวธวจยเชงปรมาณและคณภาพ โดยด าเนนการวจยดงน
5.1.1 ศกษามาตรฐานการจดการความม นคงปลอดภ ยสารสน เทศ ISO/ IEC 27001:2013 และกฎหมายทเกยวของ
5.1.2 ท าการศกษา รวบรวม ทบทวนขนตอนปฏบต มาตรการตางๆ จากเอกสารทเกยวของกบการบรหารจดการความมนคงปลอดภยดานสารสนเทศขององคกร ทเคยด าเนนการไว และท าการสมภาษณเพอขอขอมลเพมเตมจากผเชยวชาญและผทเกยวของ เพอขอทราบขอมลปจจบนขององคกร
5.1.3 ท าการเกบขอมลจากการสมภาษณการสมภาษณผบรหาร, ผเชยวชาญดานการจดการความมนคงปลอดภยสารสนเทศจากภายนอกองคกร การตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ และการทดสอบความพรอมของบคลากรในองคกร เพอท าการส ารวจความคดเหนและประเมนผลปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการเขารบการรบรองมาตรฐาน ISO/IEC 27001:2013
5.1.4 วเคราะหปจจยทเกยวของในการเตรยมความพรอมขององคกรและประเมนผล
5.1.5 สรปผลและจดท าขอเสนอแนะเพอสรางแนวทางปฏบตทเหมาะสมกบองคกรเพอท าการปรบปรงและเตรยมความพรอมในการรบการตรวจประเมนจากผตรวจประเมน (Certification Body หรอ CB) ตอไป
ในการวจย ผวจยไดท าการแบงบคลากรออกเปนสกลมประกอบดวย ผบรหาร, ผเชยวชาญฯ, ผดแลระบบและบคลากรในองคกร โดยมปจจยทไดจากการศกษาทงสน 6 ปจจย ประกอบดวย ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ หมายถง การประชาสมพนธจากองคกรอยอยางสม าเสมอเพอสรางความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ ท
133
เกยวของกบความมนคงปลอดภยสารสนเทศ, การประยกตใชมาตรฐานและกฎหมายทเกยวของ หมายถง การน าเอามาตรฐานและกฎหมายทเกยวของดานความมนคงปลอดภยสารสนเทศมาประยกตใชกบงานดานเทคโนโลยสารสนเทศขององคกร มการทบทวน ตดตาม และตรวจสอบ อยางตอเนอง, การใหความส าคญในการด าเนนการตามมาตรฐานฯ หมายถง บคลากรทกระดบในองคกรใหความส าคญตอการด าเนนการตามมาตรฐาน สามารถน าไปปฏบตไดอยางถกตองและเหมาะสม, นโยบายขององคกร หมายถง มการน าเอามาตรฐานดานความมนคงปลอดภยสารสนเทศ ระบเปนนโยบายระดบองคกร, โครงสรางเทคโนโลยสารสนเทศขององคกร หมายถง โครงสรางเทคโนโลยสารสนเทศขององคกรเปนไปตามมาตรฐานดานความมนคงปลอดภยสารสนเทศ, ความตระหนกถงภยคกคามและชองโหว หมายถง องคกรมระบบปองกนภยคกคามและชองโหวตางๆ รวมถงบคลากรมความตระหนกถงภยคกคามรปแบบตางๆ และไมตกเปนเหยอจากภยดงกลาว
จากการสมภาษณผบรหาร 4 ทาน ไดประเมนความพรอมขององคกรไววา ควรมการประชาสมพนธใหบคลากรไดรบทราบถงขอมลตางๆ เกยวกบความมนคงปลอดภยสารสน เทศ เชน การแจงเตอนผใชเกยวกบภยคกคามตางๆ หรอแมกระทงนโยบายทเกยวของ เพอใหบคลากรในองคกรสามารถน าไปปฏบตไดอยางถกตองเหมาะสมตอไป โดยผบรหารจะเนนความพร อมของบคลากรในองคกรเปนหลก เพราะหากขาดซงความรวมมอของบคลากรแลว กอาจจะไมสามารถด าเนนการตางๆ ไดส าเรจตรงตามวตถประสงค
สวนของความส าคญนนผบรหารจะใหความส าคญกบปจจยนโยบายขององคกรเปนอนดบแรก รองลงมาคอ ปจจยความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ ปจจยการใหความส าคญในการด าเนนการตามมาตรฐานฯ และความตระหนกถงภยคกคามและชองโหว ปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร และปจจยการประยกตใชมาตรฐานและกฎหมายทเกยวของ ตามล าดบ ซงในมมมองของผบรหารจะมองภาพรวมของทงองคกร จงตองมงเนนการก าหนดเปนนโยบาย เพอใหบคลากรน าไปปฏบต
จากการสมภาษณผเชยวชาญฯ นน ผเชยวชาญมความคดเหนวาองคกรมความพรอมปจจยโครงสรางเทคโนโลยสารสนเทศขององคกร เปนอนดบแรก และสงทตองปรบปรงเพอเตรยมความพรอมขององคกรในการเขารบการรบรองมาตรฐานคอปจจยความตระหนกถงภยคกคามและชองโหว ซงสอดคลองกบผลการประเมนความส าคญซงผเชยวชาญมความเหนวา ปจจยความตระหนกถงภยคกคามและชองโหว เปนสงทส าคญทสด และล าดบสดทายคอปจจยนโยบายขององคกร
134
จากการตอบแบบประเมนของผดแลระบบฯ มความคดเหนวาโครงสรางเทคโนโลยสารสนเทศขององคกรมความพรอมเปนอนดบแรก เนองจากผดแลระบบฯ มสวนเกยวของในการด าเนนการโครงการระบบบรหารจดการความมนคงปลอดภยสารสนเทศอยแลว ซงไดมการปรบปรงกระบวนการและโครงสรางเทคโลยสารสนเทศตามมาตรฐานอยอยางสม าเสมอ จงท าใหมนใจวาปจจยนนาจะมความพรอมทสด ทจะสงผลใหองคกรสามารถเขารบการรบรองมาตรฐานฯ ได และปจจยทมผดแลระบบฯ ลงความเหนวาควรใหความส าคญมากทสดคอ โครงสรางเทคโนโลยสารสนเทศขององคกรมความพรอมเปนอนดบแรก เนองจากผดแลระบบฯ มสวนเกยวของในการด าเนนการโครงการระบบบรหารจดการความมนคงปลอดภยสารสนเทศอยแลว ซงไดมการปรบปรงกระบวนการและโครงสรางเทคโลยสารสนเทศตามมาตรฐานอยอยางสม าเสมอ จงท าใหมนใจวาปจจยนนาจะมความพรอมทสด ทจะสงผลใหองคกรสามารถเขารบการรบรองมาตรฐานฯ ได
สวนของความพรอมของบคลากรในองคกรนน จะเนนไปทการสรางความตระหนก การรบรถงกระบวนการทเกยวของตอการปฏบตงานของตนเองเปนหลก จากการสมภาษณบคลากรในองคกรรอบแรกนน พบวาบคลากรสวนใหญในองคกรยงขาดความรความเขาใจเรองเกยวกบความมนคงปลอดภยสารสนเทศ อนเนองมาจากขาดการประชาสมพนธและไมไดมการใหความรความเขาใจอยางตอเนอง ซงจากการด าเนนการโครงการดานความมนคงปลอดภยสารสนเทศและท าการประเมนโดยผเชยวชาญฯ แลวนน ท าใหผเชยวชาญฯ มความเหนวาองคกรแหงนยงขาดความพรอมดานปจจยความตระหนกถงภยคกคามและชองโหวอยในล าดบแรก ผ เชยวชาญฯ จงมความเหนและใหค าแนะน าวาควรจะมการจ าลองสถานการณเพอสรางความตระหนกใหกบบคลากรในองคกร (Cyber Drill หรอ Cyber Readiness Assessment) โดยการท า Phishing ผลจากผลการจ าลองสถานการณดงกลาวพบวา บคลากรสวนใหญยงขาดความระมดระวงในการเขาใชงานอนเตอรเนต สบเนองจากขาดการประชาสมพนธเกยวกบความมนคงปลอดภยสารสนเทศและการสรางความตระหนกถงภยคกคามใหกบบคลากร ซงสอดคลองกบค าแนะน าของผบรหารในตอนตน
เมอพจารณาถงความพรอมขององคกรฯ จากผลการปฏบตตามมาตรฐานความมนคงปลอดสารสนเทศ ISO/IEC 27001:2013 ขององคกรฯ ภาพรวมในปจจบน สามารถสรปไดดงน
o ผาน ตรงตามขอก าหนดของมาตรฐานจ านวน 5 ขอ o ผานบางสวน ตามขอก าหนดของมาตรฐานจ านวน 9 ขอ o ตองแกไข จ านวน 7 ขอ
โดยแยกเปน สวนท เปนขอก าหนดระบบบรหารจดการ (Management System Requirements) โดยขอก าหนดในสวนน มงเนนไปทการบรหารจดการความมนคงปลอดภย
135
สารสนเทศใหสอดคลองกบความตองการทางธรกจ โดยการทราบถงบรบทขององคกร (Context of the Organization) และจงน ามาวางแผนส าหรบการบรหารจดการ ก าหนดวตถประสงคและเปาหมายใหมความสอดคลองกบความตองการของผทองคกรใหความส าคญสนใจ ( Interested Parties) และจงน ามาวางแผนในการปฏบตเพอใหบรรลตามวตถประสงคและเปาหมาย มาตรฐานยงก าหนดใหมการด าเนนการตดตาม วดประสทธผลและก าหนดใหฝายบรหารเปนผ พจารณาประสทธผลของระบบบรหารจดการเพอจะไดน ามาปรบปรง (Improvement) ใหเกดประสทธผล
o ผาน ตรงตามขอก าหนดของมาตรฐานจ านวน 1 ขอ o ผานบางสวน ตามขอก าหนดของมาตรฐานจ านวน 2 ขอ o ตองแกไข จ านวน 4 ขอ
และสวนของมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls) โดยขอก าหนดในสวนน มงเนนไปทการควบคมความมนคงปลอดภยสารสนเทศ ซงมมาตรการควบคมแบงออกเปน 14 สวนหลก แสดงไวในภาคผนวก A (Annex A) ของมาตรฐาน ISO/IEC 27001:2013
o ผาน ตรงตามขอก าหนดของมาตรฐานจ านวน 4 ขอ o ผานบางสวน ตามขอก าหนดของมาตรฐานจ านวน 7 ขอ o ตองแกไข จ านวน 3 ขอ
ในสวนของขอก าหนดระบบบรหารจดการ (Management System Requirements) นนมความจ าเปนทองคกรจะตองผานทกหวขอเทานน หากพจารณาแลวพบวายงมขอทผานบางสวนหรอไมผาน สามารถสงผลใหองคกรไดรบผลการประเมนเปน “ไมผาน” จากผตรวจประเมน (Certification Body : CB) และไมสามารถขอรบรองมาตรฐานฯ ได รวมถงในสวนของ มาตรการควบคมความมนคงปลอดภยสารสนเทศ (Information Security Controls) มขอทผานเพยง 4 ขอ จากทงหมด 14 ขอ ดงนนกอนการเขารบการขอรบรองมาตรฐานจรง องคกรฯ ควรจะมการปรบปรงและแกไขในหวขอทผานเพยงบางสวนหรอยงไมผาน แลวท าการประเมนภายในกอนอกครง เพอใหมนใจวาสามารถเขารบการตรวจประเมนจากผตรวจประเมนจากภายนอกได โดยใหมจ านวนขอทผานมากทสด
กลาวโดยสรปสามารถประเมนไดวาในปจจบนองคกรยงไมมความพรอมในการเขารบการรบรองมาตรฐาน ISO/IEC 27001:2013 ควรมการปรบปรงตามทผวจยเสนอแนะในหวขอถดไป เพอใหองคกรมความพรอมในการเขารบการรบรองมาตรฐานฯ ตอไป
136
5.2 ขอเสนอแนะ
5.2.1 ขอเสนอแนะส าหรบองคกรเพอเตรยมความพรอมการขอรบรองมาตรฐานฯ
จากผลการเรยงล าดบความพรอมของปจจยทเกยวของกบการบรหารจดการความมนคงปลอดภยสารสนเทศ เพอเตรยมความพรอมของหนวยงานภาครฐ ในการเขารบการรบรองมาตรฐาน ISO/IEC 27001:2013 กรณศกษา องคกรดานการทองเทยวแหงหนง ในภาพรวมขององคกร (ผเชยวชาญฯ จากภายนอก, และผดแลระบบฯ) สามารถเรยงล าดบขอเสนอแนะทควรปรบปรงตามล าดบความพรอมจากนอยทสดไปหามากทสดไดดงน
5.2.1.1 การใหความส าคญในการด าเนนการตามมาตรฐานฯ
1) องคกรฯ ไดมการก าหนดโครงสรางคณะกรรมการดานความมนคงปลอดภยสารสนเทศ คณะท างานความมนคงปลอดภยสารสนเทศและนโยบายความมนคงปลอดภยสารสนเทศไวแลวจงมความสอดคลองขนพนฐาน ถงแมวาจะผานการประเมนแลวแตองคกรจะตองมการตรวจสอบขอมลใหถกตองและอพเดทอยเสมอ
2) องคกรฯ มการจดเตรยมระบบส ารองและมการพฒนาแผนการด าเนนธรกจอยางตอเนองส าหรบระบบสารสนเทศทส าคญ ซงมการทดสอบการใชงาน และมการปรบปรงแกไขระบบส ารอง หวขอนแมจะผานแลว กควรจะมการทดสอบการใชงานและปรบปรงแกไขระบบส ารองใหมความพรอมใชอยเสมอ
3) ผบรหารขององคกรฯ มการสนบสนนทรพยากรตามงบประมาณทไดรบการสนบสนนจากรฐบาลโดยการอนมตใหจดท าโครงการเกยวกบความมนคงปลอดภยสารสนเทศ และการด าเนนการนนเปนไปตามระเบยบทางราชการในการด าเนนการโครงการดงกลาว แตการด าเนนการโครงการควรจะด าเนนการและไดรบการสนบสนนจากผบรหารอยางตอเนอง และผบรหารจะตองใหความส าคญในการด าเนนการตามมาตรฐานฯ ดวย จงจะไดรบการสนบสนนดงกลาว
4) องคกรควรจะใหความส าคญกบการวางแผนการบรหารความเสยงดานความมนคงปลอดภยสารสนเทศ ซงควรจะตองมการน าแผนมาทบทวนและวเคราะหถงความเสยงใหมๆ อยางนอยปละหนงครง เพอองคกรจะไดทราบถงความเสยงตางๆ และมแผนในการด าเนนการทสอดคลองกบสภาวะปจจบน
137
5) การปรบปรงชองโหวทางเทคนคพบวายงมบางระบบงานทยงไมสามารถด าเนนการปรบปรงได เนองจากอาจเกดผลกระทบทอาจเกดขนกบระบบสารสนเทศ เพอเปนการแกปญหาทจะเกดขนจากการปรบปรงชองโหวทางเทคนคทเกดขน พบวาองคกรแหงนมการจางผใหบรการหลายราย โดยแตละรายใชทรพยากรทแตกตางกน เมอตรวจสอบพบชองโหวทางเทคนคขนในระบบ ท าใหไมสามารถด าเนนการปรบปรงไดทนท หรอไมสามารถด าเนนการได เนองจากการปรบปรงทางเทคนคนนอาจจะสงผลกระทบถงระบบอนๆ ทท างานรวมกน ผวจยเหนวาควรจะแกไขตงแตการท าขอตกลงกบผรบจาง ในสวนของระบบทรบผดชอบ ใหสามารถมการปรบปร งชองโหวไดตลอด เมอมการพบชองโหวเกดขน และผรบจางจะตองด าเนนการและใหความส าคญเกยวกบความมนคงปลอดภยสารสนเทศในระบบทตนเองรบผดชอบอย อนจะสงผลใหระบบในภาพรวมสามารถใชงานไดตามปกตและมมาตรการในการรบมอกบชองโหวทเกดขนอยอยางสม าเสมอ
6) องคกรฯ มการจดการอบตการณความมนคงปลอดภยสารสนเทศ โดยมการมอบหมายหนาทในการแกไขปญหาเบองตน แตการวเคราะหแนวโนมและการแกไขปญหาจากสาเหต มการด าเนนการแตยงไมมประสทธผล อนเนองมาจากการขาดบคลากรทเชยวชาญในการวเคราะหปญหาระบบเทคโนโลยสารสนเทศ ซงเกดจากการทผบรหารยงไมไดใหความส าคญกบการสรรหาผทมความเชยวชาญดานเทคโนโลยสารสนเทศ และขอจ ากดของโครงสรางและคาตอบแทนขององคกรทไมจงใจใหบคลากรทมความเชยวชาญเขามาท างาน ซงการแกไขอาจจะตองใชเวลาและท าไดยาก เนองจากเปนการปรบปรงระดบองคกร ควรผลกดนและเสนอใหผบรหารมองเหนความส าคญเกยวกบระบบเทคโนโลยสารสนเทศ รวมถงการแกไขปญหาทจะเกดขนในอนาคตใหมประสทธผลมากยงขน ควรจะมการจางต าแหนงผเชยวชาญดานเทคโนโลยสารสนเทศ เพอท าหนาทวเคราะหและแกไขปญหาดานเทคโนโลยสารสนเทศ
7) องคกรฯ มการควบคมการปฏบตตามกฎ ระเบยบและกฎหมาย ตามทไดมก าหนดขนในมาตรฐานระบบบรหารจดการความมนคงปลอดภยสารสนเทศเวอรชนเกา แตการปรบปรงขอมลใหทนสมยยงไมไดด าเนนการอยางตอเนอง คณะท างานความมนคงปลอดภยสารสนเทศทถกแตงตงขน จะตองใหความส าคญในการด าเนนการตามระบบบรหารจดการความมนคงปลอดภยสารสนเทศอยางสม าเสมอ หากพบวามการปรบปรงเวอรชนของมาตรฐาน ควรท าการศกษาและปรบปรงรายละเอยดและการด าเนนการตางๆ ใหทนสมยอยเสมอ
8) องคกรฯ มการประเมนความเสยงและการวางแผนลดความเสยงซงด าเนนการผานมาในป 2556 ซงกระบวนการบรหารความเสยงทมอยนนสามารถน ามาใชกบ
138
มาตรฐานฉบบใหมได แตการวางแผนเพอใหสามารถบรรลตามวตถประสงคจะตองด าเน นการปรบปรงและผลการประเมนความเสยงจะตองมการด าเนนการอยางตอเนอง
9) การประเมนสมรรถนะทองคกรฯ ด าเนนการอยในปจจบนมการด าเนนการดวยกระบวนการตามขอก าหนดของมาตรฐานระบบบรหารจดการความมนคงปลอดภ ยสารสนเทศเวอรชนเดม ซงมความแตกตางในสาระตามทมาตรฐานก าหนด เชน ประเดนการตดตาม การวดผล การวเคราะหและการประเมนผลทมการจดท ายงไมไดมการปรบปรงใหสอดคลองกบขอก าหนดมาตรฐานฉบบใหม ซงองคกรควรจะใหความส าคญกบเวอรชนของมาตรฐานทมเปลยนแปลง และมการปรบปรงรายละเอยดของนโยบาย, ขนตอนปฏบต และปรบปรงเอกสารทใชในการด าเนนการตามระบบบรหารจดการความมนคงปลอดภยสารสนเทศ ใหเปนเวอรชนลาสดอยเสมอ
10) ควรมการประชมเพอรายงานผลตอฝายบรหาร (Management Review) ในปทผานมาพบวายงไมไดมการด าเนนการ เนองจากมการเปลยนแปลงฝายบรหารและโครงสรางภายใน องคกรฯ อยางไรกตามควรใหความส าคญและมการด าเนนการตามระบบบรหารจดการความมนคงปลอดภยสารสนเทศอยเสมอ เมอมโอกาสรายงานผลตอฝายบรหาร ควรท าทนทหรออาจจะเปลยนแปลงวธการรายงานจากการจดประชมเปนรายงานผลโดยรายงานความคบหนาแทน
11) การด าเนนการระบบบรหารจดการความมนคงปลอดภยสารสนเทศในองคกร ควรมการประชาสมพนธใหทราบทวทงองคกรและหากมโอกาสควรจะคอยๆ ท าการขยายขอบเขตไปยงกองงาน, ฝาย และดานอนๆ เพอเปนการกระตนใหบคลากรในองคกรเหนความส าคญของการด าเนนการตามมาตรฐาน และสามารถน าไปปฏบตจนเปนสวนหนงของการท างานได
5.2.1.2 ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ
1) องคกรฯ มการด าเนนการใหความรโดยผานการอบรม แตรายการความรและทกษะทจ าเปนของแตละบคลากร ในแตละบทบาท ไดแก ผบรหาร, ผดแลระบบฯ และบคลากรในองคกร ยงไมไดมการปรบปรงใหเหมาะสมและครอบคลมลกษณะงานดานความมนคงปลอดภยสารสนเทศ ควรจะมจดอบรมเพอสรางความรความเขาใจใหกบบคลากรในแตละระดบ โดยการใหความรนนจะตองแยกหวขอส าหรบแตละบทบาทใหชดเจน เพอใหแตละบทบาทสามารถน าเอามาตรฐานฯ ไปปฏบตไดตรงตามบทบาทและหนาทของตนเอง เชน ผดแลระบบฯ ควรจะไดรบความรเรองเกยวกบมาตรฐานและแนวปฏบตตางๆ ทเกยวของกบผดแลระบบฯ เปนตน หากใหความรและสรางความเขาใจใหแตละบทบาทอยางถกตองและเหมาะสม จะสงผลใหการด าเนนการระบบบรหารจดการความมนคงปลอดภยสารสนเทศขององคกร สามารถด าเนนไปในทศทางทถกตอง
139
2) ควรจะมการสรางความรความเขาใจใหกบบคลากรในองคกร เกยวกบนโยบาย, ขนตอนปฏบต และเปาหมายของขององคกรในการเขารบการขอรบรองมาตรฐาน มการประชาสมพนธอยางเปนลายลกษณอกษรทชดเจน และประกาศไปทวทงองคกร เพอสรางการรบรใหกบบคลากรในองคกรและสามารถปฏบตไดอยางถกตองเหมาะสมตอไป
5.2.1.3 ความตระหนกถงภยคกคามและชองโหว
1) ควรมการประชาสมพนธและใหความรเกยวกบความมนคงปลอดภยสารสนเทศและการสรางความตระหนกถงภยคกคามใหกบบคลากรในทกระดบ
2) ควรมการทดสอบความพรอมของบคลากรโดยการจ าลองสถานการณ (Cyber Drill หรอ Cyber Readiness Assessment) อยเสมอ
5.2.1.4 นโยบายขององคกร
1) องคกรฯ มการด าเนนการควบคมความมนคงปลอดภยสารสนเทศตามระเบยบทางราชการ ซงมครอบคลมความตองการขนพนฐานของมาตรฐาน ถงอยางไรกตามองคกรควรตรวจสอบและควบคมใหการด าเนนการดงกลาวเปนไปอยางสม าเสมอ ทงนเพอประโยชนสงสดขององคกร นอกเหนอจากการผานการรบรองตามมาตรฐานฯ
2) องคกรฯ มการด าเนนการตามมาตรการควบคมภายในซงสอดคลองกบขอก าหนดของมาตรฐาน มเพยงแตมาตรการควบคมทมการประกาศใชใหมในมาตรฐาน คอ เรองนโยบายการใชงานอปกรณโมบาย และการบรหารโครงการในมตดานความมนคงปลอดภยสารสนเทศทยงไมไดมการด าเนนการซงควรปรบปรงเพมเตม
3) องคกรจะตองตดตามรายงานผลการด าเนนงานและผลการประเมนผล และจดใหมการตรวจสอบภายใน จากนนจงน าผลการตดตามประเมนผลและการตรวจสอบภายในรายงานตอผบรหารเพอใหพจารณาและสงการปรบปรงแกไข
4) องคกรฯ ไดมการจดท าขอก าหนดและนโยบายความมนคงปลอดภยสารสนเทศส าหรบองคกรฯ แตการทบทวนและการปรบปรงนโยบายความมนคงปลอดภยสารสนเทศในปทผานมายงไมไดมการด าเนนการ ควรมการทบทวนและปรบปรงนโยบายฯ อยางนอยปละ 1 ครง
5.2.1.5 การประยกตใชมาตรฐานและกฎหมายทเกยวของ
1) การด าเนนงานขององคกรฯ ยงด าเนนการตามเวอรชนเกาซงยงไมมการก าหนดถงหวขอมาตรฐานบางขอไว มาตรฐานบางขอจงยงไมไดด าเนนการอยางชดเจน ควรจะมการ
140
ทบทวนและปรบปรงรายละเอยดของการด าเนนงาน เพอใหเปนไปตามขอก าหนดในมาตรฐานเวอรชนใหม
2) ควรด าเนนการดานการตดตาม การตรวจสอบ และปองกนดานความมนคงปลอดภยสารสนเทศอยางตอเนอง
3) ควรน ากระบวนการจดการทรพยสนทไดก าหนดไว มาประกาศใชและน ามาด าเนนการอยางตอเนอง
4) การควบคมการเขาถงเครอขาย ควรมการก าหนดสทธการเขาถงใหชดเจนและควรมการบงคบใชอยางตอเนอง
5) ควรควบคมการเขาถงในระดบแอพลเคชน โดยมการควบคมและพจารณาสทธตามกระบวนการควบคมทออกแบบไว
6) องคกรฯ ควรมการก าหนดรายละเอยดการจางในสญญาจางส าหรบผใหบรการ และมการตดตามการใหบรการโดยอาศยกระบวนการจดซอจดจางตามระเบยบราชการ ซงมความสอดคลองกบขอก าหนดของมาตรฐานขนพนฐาน
7) การตรวจสอบและตดตามชองโหวทางเทคนคบนระบบสารสนเทศทส าคญ, การตดตามสมรรถนะระบบสารสนเทศและอปกรณเครอขายทมการด าเนนการเปนประจ าทกสปดาห, การวางแผนการด าเนนการธรกจอยางตอเนองในสวนงานดานเทคโนโลยสารสนเทศ ซงมการเตรยมความพรอมใหกบระบบงานทส าคญ, การตดตามและแกไขอบตการณความมนคงปลอดภยสารสนเทศ ซงมการตดตามรายสปดาห ควรมการตรวจสอบและตดตามอยอยางสม าเสมอ
8) องคกรฯ มการควบคมการเขาถงทางเครอขายโดยผานอปกรณไฟรวอลล แตในดานการก าหนดรายละเอยดการเขาถงยงไมมความชดเจนและการบงคบใชยงไมไดด าเนนการอยางตอเนอง และการควบคมการเขาถงในระดบแอพพลเคชนมการด าเนนการควบคมและมการพจารณาสทธตามกระบวนการควบคมทไดมการออกแบบแลว ส าหรบการควบคมการเขาถงน ควรจะด าเนนการอยางตอเนองและเครงครด เพอปองกนการเขาใชงานจากผทไมเกยวของ
9) การปรบปรงและจดหาระบบสารสนเทศ ควรก าหนดความตองการดานความมนคงปลอดภยสารสนเทศใหมความชดเจน
5.2.1.6 โครงสรางเทคโนโลยสารสนเทศขององคกร
141
1) การเขารหสลบ (Cryptography) ซงเปนมาตรการควบคมส าหรบการรกษาความลบของขอมล ควรมการก าหนดนโยบายการใชงานมาตรการควบคมดวยรหสลบ และการจดการกญแจรหสลบ
2) การควบคมการเขาถงทางเครอขายโดยผานอปกรณไฟรวอลล ควรก าหนดรายละเอยดการเขาถงยงใหมความชดเจนและควรบงคบใชใหด าเนนการอยางตอเนอง
3) การควบคมการเขาถงในระดบแอพพลเคชนควรมการด าเนนการควบคมและมการพจารณาสทธตามกระบวนการควบคมทไดมการออกแบบแลว
4) การควบคมความมนคงปลอดภยสารสนเทศในระบบเครอขายคอมพวเตอรผานอปกรณไฟรวอลล (Firewall) ควรก าหนดใหมการควบคมและปองกนอยางเหมาะสมสงสดส าหรบตงคาการท างานทางเทคนค
5) องคกรฯ มการปองกนทางกายภาพส าหรบหองเดตาเซนเตอรซงการตดตงระบบควบคมการเขาถง มการควบคมอณหภมและความชน แตในดานการปองกนทางกายภาพส าหรบระบบสารสนเทศ พบวาพนทยงอยในลกษณะเปด อปกรณคอมพวเตอรและเซรฟเวอรไมไดมการตดตงภายในตแรคทสามารถควบคมการเขาถงได รวมถงการควบคมดแลสายเคเบลพบวาองคกรฯ ประสบปญหาสายเคเบลทไมไดมาตรฐาน ซงหากสงเกตจากภายนอกจะพบวาสายมลกษณะปกตแตภายในช ารด ท าใหตองมการเปลยนหรอสลบสายเคเบลจนเปนเหตใหการจดเรยงสายเคเบลไมเปนระเบยบและยากตอการดแลรกษา ควรหารอกบผเกยวของและด าเนนการปรบปรงตอไป
5.2.2 ขอเสนอแนะส าหรบการศกษาเพมเตม
ส าหรบการศกษาวจยเพมเตมในอนาคต ผวจยควรท าการศกษาเพมเตม ดงน
5.2.2.1 ควรท าการสมภาษณผบรหารฝายอนๆ เพมเตม เพอจะไดขอมลทหลากหลายมากขน ในการศกษาครงนไดเลอกผบรหารในฝายทมความเกยวของกบการด าเนนการดานความมนคงปลอดภยสารสนเทศเปนหลก
5.2.2.2 ควรท าการทดสอบความพรอมของบคลากรในองคกรซ า จนกวาจะมนใจวาบคลากรเรมคนเคยและมความตระหนกเกยวกบภยคกคามรปแบบตางๆ มากยงขน โดยอาจจะมการเปลยนรปแบบภยคกคามไปตามกระแส เพอเพมประสบการณใหแกบคลากรในองคกรในการรบมอกบภยเหลานน
142
รายการอางอง
สออเลกทรอนกส เดชาวต นชาญานนท. (2555). การจดท านโยบายรกษาความมนคงปลอดภยสารสนเทศขององคกร
กรณศกษาส าหรบบรษท สนแพทย จ ากด (โรงพยาบาลสนแพทย). (สารนพนธปรญญามหาบญฑต). มหาวทยาลยเทคโนโลยมหานคร, คณะวทยาการและเทคโนโลยสารสนเทศ. สบคนจาก http://www.msit.mut.ac.th/newweb/phpfile/Thesis/Thesis_2555/105%20การจดท านโยบายรกษาความมนคงปลอดภยสารสนเทศขององคกร.pdf
ณฐธดา แซค. (2556). การพฒนาแนวทางการใชงานเทคโนโลยสารสนเทศใหมความมนคงปลอดภยในสถานศกษาระดบพนฐานตามมาตรฐาน ISO/IEC 27001. (สารนพนธปรญญามหาบญฑต). มหาวทยาลยศรประทม, คณะเทคโนโลยสารสนเทศ. สบคนจาก http://csits.spu.ac.th/publishedPaper/MSIT_2556/55502106_Natthida_MSIT_2556_short%20paper.pdf
คมกฤต ดละลมพะ. (2556). การสรางความมนคงปลอดภยใหกบระบบเทคโนโลยสารสนเทศตามมาตรฐาน ISO 27001 ของบรษท อมฤตแอนแอสโซซเอทสกรปในกรณศกษา. (สารนพนธปรญญามหาบญฑต). มหาวทยาลยเทคโนโลยมหานคร, สาขาวชาเทคโนโลยสารสนเทศ. สบคนจาก http://www.msit.mut.ac.th/newweb/phpfile/Thesis/Thesis_2556/72%20การสรางความมนคงปลอดภยใหกบระบบเทคโนโลยสารสนเทศ.pdf
ศรชช จตรสายชล. (2556). โครงการเตรยมความพรอมการบรหารจดการดานความมนคงปลอดภยระบบสารสนเทศ กรณศกษาหนวยงานของรฐ. (สารนพนธปรญญามหาบญฑต). มหาวทยาลยเทคโนโลยมหานคร, สาขาวชาเทคโนโลยสารสนเทศ. สบคนจากhttp://www.msit.mut.ac.th/newweb/phpfile/Thesis/Thesis_2556/05%20โครงการเตรยมความพรอมการบรหารจดการดานความมนคงปลอดภยระบบสารสนเทศ กรณศกษาหนวยงานของรฐ.pdf
ณฐวฒ วศยทกษณ. (2554). การพฒนานโยบายความมนคงปลอดภยภายใตมาตรฐาน ISO27001 และการบรหารความเสยง มหาวทยาลยกรงเทพ. (สารนพนธปรญญามหาบญฑต).
143
มหาวทยาลยเทคโนโลยมหานคร, สาขาวชาวศวกรรมเครอขาย. สบคนจาก http://www.msit.mut.ac.th/newweb/phpfile/Thesis/Thesis_2554/102 การพฒนา นโยบายดานความปลอดภยภายใตมาตรฐาน ISO27001 และการบรหารความเสยง มหาวทยาลยกรงเทพ.pdf
ธดา ลมทองวรตน. (2554). การประเมนประสทธผลระบบการควบคมภายในดานสารสนเทศตาม มาตรฐานการรกษาความปลอดภยของขอมล ISO27001 : กรณศกษาบรษท บซเนวออนไลน จ ากด (มหาชน). (การคนควาดวยตนเองปรญญามหาบญฑต). มหาวทยาลยหอการคาไทย, สาขาบญช. สบคนจาก http://eprints.utcc.ac.th/2320/3/2320summary.pdf
รงอรณ นรนดรเรอง และ วภา เจรญภณฑารกษ. (2557). การพฒนาแนวทางการจดการความมนคงปลอดภยสารสนเทศ ดานการควบคมการเขาถงระบบสารสนเทศตามมาตรฐาน ISO/IEC 27001:2013 ส าหรบโรงพยาบาลคลองใหญ จงหวดตราด. ใน มหาวทยาลยสโขทยธรรมาธราช, สาขาวทยาศาสตรและเทคโนโลย, การประชมเสนอผลงานวชาการระดบบญฑตศกษา มหาวทยาลยสโขทยธรรมาธราช ครงท 4 (น. 1-14). กรงเทพฯ : ผแตง. สบคนจาก http://www.stou.ac.th/thai/grad_stdy/Masters/%E0%B8%9D%E0%B8%AA%E0%B8%AA/research/4nd/FullPaper/ST/Poster/P-ST%20018%20นายรงอรณ%20%20นรตนเรอง.pdf
ถนอมศร เตมานวตร และ ไสว ศรทองถาวร. การปรบปรงกระบวนการใหบรการงานสารสนเทศ โดย การประยกตใชมาตรฐานบรหารความปลอดภยของขอมลสารสนเทศ ISO/IEC 27001. ใน มหาวทยาลยราชภฏสวนสนนทา, สาขาวชาการจดการคณภาพ, การประชมวชาการมหาวทยาลยกรงเทพ (น. 107-116). กรงเทพฯ : ผแตง. สบคนจาก http://proceedings.bu.ac.th/index.php/com-phocadownload-controlpanel/grc?download=180:iso-iec-27001
ปญญา บญญาภวฒน. (24 กมภาพนธ 2553). มาตรฐานการบรหารจดการความมนคงปลอดภย. สบคนจาก http://itm0069.exteen.com/20090224/entry-2
ฤทธ อนทราวธ. (2556). แนวคดเกยวกบเทคโนโลยสารสนเทศกบความพรอมของกองทพบก. สบคน จาก http://km.rta.mi.th/newkm/index.php/menu-km6/7-towards-the-future
ปรญญา หอมเอนก. (26 มถนายน 2551). 7 ขนตอนในน ามาตรฐาน ISO_IEC 27001 และ ISO_IEC 27002 มาประยกตใชในองคกรเพอใหไดผลในทางปฏบตและสอดคลองกบกฎหมายใน
144
ปจจบน และ อนาคต. eEnterprise Thailand. สบคนจาก https://www.acisonline.net/?p=1771&lang=th
เศรษฐพงษ มะลสวรรณ. (18 กมภาพนธ 2552). ระบบจดการความมนคงปลอดภยทางขอมล ISO 27001/BS 7799. สบคนจาก http://itm0052.blogspot.com/2009/02/iso-27001bs7799.html
บรรจง หะรงษ. (5 กรกฎาคม 2554). ท าความรจกกบค าจ ากดความทส าคญเกยวกบการประเมนความเสยง. สบคนจาก http://www.tnetsecurity.com/content_audit/risk_def.php
บรรจง หะรงษ. (24 มถนายน 2554). หวใจหลกของ ISMS ขอ 2.2.1 แนวคดการบรหารจดการความมนคงปลอดภยสารสนเทศ. สบคนจาก http://www.tnetsecurity.com/content_audit/pdca_def.php
สพธอ. (2558). APCERT Drill 2015 – “Cyber Attacks beyond Traditional Sources”. สบคนจาก https://www.etda.or.th/content/cyber-attacks-beyond-traditional-sources.html
ไพศาล ลกขณานรกษ. (2555). คมอการจดท าระบบรกษาความมนคงปลอดภยดานสารสนเทศของ กรมทรพยากรน าบาดาล. สบคนจาก http://www.dgr.go.th/isdgr/file/it/risk_it.pdf
A.L Muhsen. (2014). Information Security Management in Palestinian Banking. (Master’s thesis). Retrieved from http://scholar.najah.edu/sites/default/files/Abdellateef%20Muhsen.pdf
M. Karjalainen. (2014). Develoing Information Security Management System. (Bachelor’s thesis). Retrieved from https://www.theseus.fi/bitstream/handle/10024/79945/Mika%20ONT%2018%205%202014.pdf?sequence=1
J.A. Altena. (2012). ISO/IEC 27002 Baseline Selection : Control selection based on effectiveness and cost within a fixed budget. (Master’s thesis). Retrieved from http://is.muni.cz/th/359439/fi_b/Sojcik_-_Tools_for_information_security_management.pdf
JOŽE ŠREKL, & ANDREJKA PODBREGAR. (2014). ENHANCING SAFETY INFORMATION SYSTEMS WITH THE USE ISO/IEC 27000, Safty Engineer (pp. 17-22). Doi:10.7562/SE2014.4.01.03
145
C.S. Park, S.S Jang, & Y.T Park. (2010). A Study of Effect of Information Security Management System [ISMS] Certification on Organization Performance. IJCSNS International Journal of Computer Science and Network Security, VOL.10 NO.3, 10-21. Retrieved from http://paper.ijcsns.org/07_book/201003/20100303.pdf
ENISA. (2013). Information Security Management System – A case study. Security certification practice in the EU. Retrieved from https://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/security-certification-practice-in-the-eu-information-security-management-systems-a-case-study/at_download/fullReport
BankinfoSecurity. (2015). Bank Plan National Cyber-Attack Drill. Retrieved from http://www.bankinfosecurity.com/interviews/testing-cyber-attack-responses-i-2063
Reuter. (2010). U.S. government prepares for massive drill to test cyber attack response plan. Retrieved from http://www.nydailynews.com/news/money/u-s-government-prepares-massive-drill-test-cyber-attack-response-plan-article-1.443413
ภาคผนวก
146
ภาคผนวก ก แนวค าถามประกอบการสมภาษณผบรหาร
147
แนวค าถามประกอบการสมภาษณผบรหาร องคกรดานการทองเทยวแหงหนง ปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐาน
การบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง
ผใหขอมล...................................................................................... .......................................................... ต าแหนง........................................................................................... ....................................................... งาน................................................................................กอง.... ............................................................... ฝาย................................................................................ดาน.......... ........................................................ วนและเวลาทสมภาษณ............................................................................. ............................................. ประเดนค าถาม 1. ทานมความคดเหนอยางไรตอพนฐานของระบบบรหารจดการความมนคงปลอดภยสารสนเทศขององคกรของทาน
....................................................................................................... .........................................................
................................................................................................................................................................ 2. ทานมความคดเหนอยางไรตอการน าเอาระบบรหารจดการความมนคงปลอดสารสนเทศ (ISO/IEC 27001:2013) มาประยกตใชในองคกรของทาน
................................................................................................................................................................
................................................................................................................................................................ 3. ทานมความคดเหนอยางไรตอประโยชนทองคกรจะไดรบจากการน าระบบบรหารจดการฯ มาใช
กบองคกรของทาน
................................................................................................................................................................
....................................................................................................... ......................................................... 4. หากไมปฏบตตามมาตรฐาน ขอก าหนดตางๆ ทานคดวาองคกรของทานจะไดรบผลกระทบ
อยางไรบาง
....................................................................................................... .........................................................
...............................................................................................................................................................
148
5. หากองคกรจะตองเขารบการรบรองมาตรฐานฯ ปจจยใดบางทจะสงผลใหองคกรแหงนผานการ
ขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ (ISO/IEC 27001:2013) โดย
พจารณาความส าคญจากปจจยทไดจากกรอบแนวคดการวจยฯ ดงน
149
ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ
- บคลากรมความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆทเกยวของ ไมเทากน - การประชาสมพนธขอมลทเปนประโยชนใหกบบคลากรไดรบทราบ
การประยกตใชมาตรฐานและกฎหมายทเกยวของ
- น าเอามาตรฐานและกฎหมายทเกยวของดานความมนคงปลอดภยสารสนเทศมาประยกต ใช ในงานขององคกร ท งด าน Hardware, Software และ Network
นโยบายขององคกร
-มการก าหนดนโยบายความมนคงปลอดภยสารสนเทศ ไวเปนสวนหนงของของการขบเคลอนองคกร
-จดท าโครงการเกยวกบความมนคงปลอดภยสารสนเทศ
- จดท าระเบยบ ขอบงคบ และแนวปฏบตทเกยวกบความมนคงปลอดภยสารสนเทศ
โครงสรางเทคโนโลยสารสนเทศขององคกร
-สภาพแวดลอม, Infrastructure และระบบงาน ถกปรบปรงและพฒนาอยบนพนฐานตามมาตรฐานความมนคงปลอดภยสารสนเทศ
การใหความส าคญในการด าเนนการตามมาตรฐานฯ
- ผ บ ร ห า ร ให ก า ร ส น บ ส น น ใน ก า รด าเนนการโครงการเกยวกบความมนคงปลอดภยสารสนเทศในองคกร - บ คลากรในระดบต างๆ ปฏ บ ต ตามขอก าหนดและขนตอนปฏบต
ความตระหนกถงภยคกคามและชองโหว
-องคกรมระบบปองกนภยคกคามและชองโหวจากภายในและภายนอกองคกร
-บคลากรไมตกเปนเหยอจากผไมประสงคดจากเทคนค Social Engineering
ภาพท ก.1 กรอบแนวคดการวจยการเตรยมความพรอมขององคกรเพอขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013
การเตรยมความพรอมของหนวยงานภาครฐ ฯ ในการเขารบการรบรอง
มาตรฐาน ISO/IEC 27001:2013
150
ตารางท ก.1
โปรดพจารณาเรยงล าดบความส าคญตามล าดบ 1-6 (โดยล าดบท 1 หมายถงส าคญมากทสด และล าดบท 6 หมายถงส าคญนอยทสด)
ล าดบ ปจจย ความส าคญ
1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ
2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ
3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ
4. นโยบายขององคกร
5. โครงสรางเทคโนโลยสารสนเทศขององคกร
6. ความตระหนกถงภยคกคามและชองโหว
6. ขอเสนอแนะเพมเตม
................................................................................................................................................................
....................................................................................................... .........................................................
151
ภาคผนวก ข แนวค าถามประกอบการสมภาษณผเชยวชาญจากภายนอก
152
แนวค าถามประกอบการสมภาษณผเชยวชาญจากภายนอก ปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐาน
การบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง
ผใหขอมล...................................................................................... .......................................................... ต าแหนง........................................................................................... ....................................................... องคกร..................................................................................................................................................... วนและเวลาทสมภาษณ..........................................................................................................................
ประเดนค าถาม 1. ทานมความคดเหนอยางไรตอพนฐานของระบบบรหารจดการความมนคงปลอดภยสารสนเทศขององคกรแหงน ................................................................................................................................................................................................................................................................................................................................ 2. ทานมความคดเหนอยางไรตอการน าเอาระบบรหารจดการความมนคงปลอดสารสนเทศ (ISO/IEC 27001:2013) มาประยกตใชในองคกรแหงน
................................................................................................................................................................
................................................................................................................................................................ 3. หากองคกรจะตองเขารบการรบรองมาตรฐานฯ ปจจยใดบางทจะสงผลใหองคกรแหงนผานการ
ขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ (ISO/IEC 27001:2013) โดย
พจารณาความส าคญและความพรอมขององคกร จากปจจยทไดจากกรอบแนวคดการวจยฯ ดงน
153
ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ
- บคลากรมความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆทเกยวของ ไมเทากน - การประชาสมพนธขอมลทเปนประโยชนใหกบบคลากรไดรบทราบ
การประยกตใชมาตรฐานและกฎหมายทเกยวของ
- น าเอามาตรฐานและกฎหมายทเกยวของดานความมนคงปลอดภยสารสนเทศมาประยกต ใช ในงานขององคกร ท งด าน Hardware, Software และ Network
นโยบายขององคกร
-มการก าหนดนโยบายความมนคงปลอดภยสารสนเทศ ไวเปนสวนหนงของของการขบเคลอนองคกร
-จดท าโครงการเกยวกบความมนคงปลอดภยสารสนเทศ
- จดท าระเบยบ ขอบงคบ และแนวปฏบตทเกยวกบความมนคงปลอดภยสารสนเทศ
โครงสรางเทคโนโลยสารสนเทศขององคกร
-สภาพแวดลอม, Infrastructure และระบบงาน ถกปรบปรงและพฒนาอยบนพนฐานตามมาตรฐานความมนคงปลอดภยสารสนเทศ
การใหความส าคญในการด าเนนการตามมาตรฐานฯ
- ผ บ ร ห า ร ให ก า ร ส น บ ส น น ใน ก า รด าเนนการโครงการเกยวกบความมนคงปลอดภยสารสนเทศในองคกร - บ คลากรในระดบต างๆ ปฏ บ ต ตามขอก าหนดและขนตอนปฏบต
ความตระหนกถงภยคกคามและชองโหว
-องคกรมระบบปองกนภยคกคามและชองโหวจากภายในและภายนอกองคกร
-บคลากรไมตกเปนเหยอจากผไมประสงคดจากเทคนค Social Engineering
ภาพท ข.1 กรอบแนวคดการวจยการเตรยมความพรอมขององคกรเพอขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013
การเตรยมความพรอมของหนวยงานภาครฐ ฯ ในการเขารบการรบรอง
มาตรฐาน ISO/IEC 27001:2013
154
ตารางท ข.1
โปรดพจารณาเรยงล าดบความส าคญตามล าดบ 1-6 (โดยล าดบท 1 หมายถงส าคญมากทสด และล าดบท 6 หมายถงส าคญนอยทสด)
ล าดบ ปจจย ความส าคญ
1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ
2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ
3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ
4. นโยบายขององคกร
5. โครงสรางเทคโนโลยสารสนเทศขององคกร
6. ความตระหนกถงภยคกคามและชองโหว
155
155
ตารางท ข.2 โปรดพจารณาปจจยความพรอมขององคกรโดยใหคะแนน 1-5 (โดย 1 หมายถงนอยทสด และ 5 หมายถงมากทสด)
ล าดบ ปจจย ความพรอม
5
มากทสด
4
มาก
3
ปานกลาง
2
นอย
1
นอยทสด
1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ
2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ
3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ
4. นโยบายขององคกร
5. โครงสรางเทคโนโลยสารสนเทศขององคกร
6. ความตระหนกถงภยคกคามและชองโหว
156
156
4. ทานคดวานอกเหนอจากปจจยขางตนแลว มปจจยอนใดบางทจะสงผลใหองคกรไดรบประโยชนจากการน าเอามาตรฐานความมนคงปลอดภยสารสนเทศ (ISO/IEC 27001 : 2013) มาประยกตใช
................................................................................................................................................................
................................................................................................................................................................ 5. หากองคกรไดรบการรบรองมาตรฐานฯ แลว เพอใหการด าเนนงานเกดผลสมฤทธและด าเนนการโดยยงยน ทานคดวาองคกรควรมมาตรการอยางไรบาง
................................................................................................................................................................
....................................................................................................... ......................................................... 6. ขอเสนอแนะเพมเตม
................................................................................................................................................................
................................................................................................................................................................
157
157
ภาคผนวก ค แนวค าถามประกอบการสมภาษณผดแลระบบเทคโนโลยสารสนเทศ
158
158
แบบประเมนความพรอมและความส าคญของปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง
ส าหรบผดแลระบบเทคโนโลยสารสนเทศ ค าชแจง : ขอความกรณาทานประเมนความพรอมและความส าคญของปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ความพรอม หมายถง ทานคดวาองคกรมความพรอมหรอตวทานมความพรอม มความร หรอมความสามารถในการน าไปปฏบตในระดบใด ความส าคญ หมายถง ทานใหความส าคญในระดบใด หมายเหต : แบบสอบถามนไมมผลใดๆ ตอการปฏบตงานของทาน ขอความกรณาทานตอบตามความเปนจรงมากทสด เพอประโยชนในการปรบปรงและเตรยมความพรอมขององคกรตอไป
ตารางท ค.1 กรณาท าเครองหมาย ลงในชอง ความพรอม และ ความส าคญ ทตรงตามความคดเหนของทาน
159
159
ปจจยทเกยวของ
ความพรอม ความส าคญ มากทสด 5
มาก 4
ปานกลาง
3
นอย 2
นอยทสด 1
มากทสด 5
มาก 4
ปานกลาง
3
นอย 2
นอยทสด 1
ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 1.ความรเกยวกบเกยวกบมาตรฐานและกฎหมายตางๆ เกยวกบการบรหารจดการความมนคงปลอดภยสารสนเทศ 2.ปฏบตตามนโยบายและแนวปฏบตทระบไวในเอกสารแนวนโยบายและแนวปฏบตขององคกรตามมาตรฐานการจดการความมนคงปลอดภยสารสนเทศ 3.การอบรมใหความรหวขอระบบบรหารจดการความมนคงปลอดภยสารสนเทศ 4.สามารถน าสงททานไดจากการอบรมสามารถประยกตใชกบงานของทาน 5.องคกรประชาสมพนธเกยวกบการจดท าระบบบรหารจดการความมนคงปลอดภยสารสนเทศ 6.เขารวมประชมหรอหารอกบคณะท างานความมนคงปลอดภยสารสนเทศอยเสมอ 7.การประชาสมพนธจากองคกรอยอยางสม าเสมอเพอสรางความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆทเกยวของกบความมนคงปลอดภยสารสนเทศ
การประยกตใชมาตรฐานและกฎหมายทเกยวของ 1.ปฏบตตามแนวนโยบายและแนวปฏบตตามระบบบรหารจดการความมนคงปลอดภยสารสนเทศขององคกร เมอมการด าเนนการเกยวกบงานททานรบผดชอบ
160
160
ปจจยทเกยวของ
ความพรอม ความส าคญ มากทสด 5
มาก 4
ปานกลาง
3
นอย 2
นอยทสด 1
มากทสด 5
มาก 4
ปานกลาง
3
นอย 2
นอยทสด 1
2.ด าเนนการควบคมเอกสาร เชน มการจดชนความลบของเอกสาร หรอมการขออนมต change กอนการด าเนนการเกยวกบงานททานรบผดชอบอยางสม าเสมอ 3.การตดตาม ตรวจสอบ และหาแนวทางปองกนระบบความมนคงปลอดภยสารสนเทศของระบบททานรบผดชอบ เชนมการ monitor หรอจดท ารายงานประจ าสปดาหหรอประจ าเดอน อยางสม าเสมอ 4.การหาแนวทางการปองกนภยคกคามดานความมนคงปลอดภยสารสนเทศรวมกบผทเกยวของอยอยางสม าเสมอ 5.ด าเนนการตรวจสอบทรพยสนท เกยวของกบเทคโนโลยสารสนเทศททานรบผดชอบอยอยางสม าเสมอ 6.การก าหนดสทธในการเขาถงอปกรณเครอขาย 7.ในกรณททานเปดสทธใหกบผอนเขาถงขอมลในระดบ application ทานไดมการควบคมและมการพจารณาสทธ 8.ในการปรบปรงและจดหาระบบสารสนเทศ มการก าหนดความตองการดานความมนคงปลอดภยสารสนเทศในเอกสารรายละเอยดขอก าหนดดวยเสมอ 9.การวางแผนและวเคราะหถงแนวโนมรวมถงสามารถแกไขปญหาดานความมนคงปลอดภยสารสนเทศ อยางเปนระบบ 10.การน าเอามาตรฐานและกฎหมายท เกยวของดานความมนคงปลอดภย
161
161
ปจจยทเกยวของ
ความพรอม ความส าคญ มากทสด 5
มาก 4
ปานกลาง
3
นอย 2
นอยทสด 1
มากทสด 5
มาก 4
ปานกลาง
3
นอย 2
นอยทสด 1
สารสนเทศมาประยกตใชกบงานดานเทคโนโลยสารสนเทศขององคกร โดยมการทบทวน ตดตาม และตรวจสอบ อยางตอเนอง การใหความส าคญในการด าเนนการตามมาตรฐานฯ 1.การสนบสนนจากผบรหาร สามารถชวยใหการด าเนนการโครงการความมนคงปลอดภยสารสนเทศสามารถบรรลตามวตถประสงค 2.การใหความรวมมอจากบคลากรในองคกร ในการปฏบตตามขอก าหนดและขนตอนปฏบตทเกยวกบความมนคงปลอดภยสารสนเทศ 3.การด าเนนการบรหารความเสยงดานความมนคงปลอดภยสารสนเทศ 4.การด าเนนการตดตาม การวดผล การวเคราะหและการประเมนผล ควรปรบปรงเพอใหสอดคลองกบขอก าหนดในมาตรฐานเวอรชนใหม 5.เมอพบวาระบบททานรบผดชอบมชองโหวเกดขน ทานไดท าการปรบปรงชองโหวอยเสมอ 6.การปรบปรงชองโหวทางเทคนคควรมการบรณาการและท าความเขาใจรวมกนจากทกสวนทเกยวของ เพอปองกนผลกระทบทอาจจะเกดจากการปรบปรงดงกลาว 7.การวเคราะหแนวโนมถงปญหาดานเทคโนโลยสารสนเทศทเกดขนในองคกร 8.การด าเนนการปรบปรงการควบคมการปฏบตตามกฎ ระเบยบและกฎหมายควร
162
162
ปจจยทเกยวของ
ความพรอม ความส าคญ มากทสด 5
มาก 4
ปานกลาง
3
นอย 2
นอยทสด 1
มากทสด 5
มาก 4
ปานกลาง
3
นอย 2
นอยทสด 1
มการปรบปรงใหสอดคลองกบมาตรฐานเวอรชนใหม 9.บคลากรทกระดบในองคกรใหความส าคญตอการด าเนนการตามมาตรฐาน โดยสามารถน าไปปฏบตไดอยางถกตองและเหมาะสม นโยบายขององคกร 1.การก าหนดนโยบายความมนคงปลอดภยสารสนเทศ ไวเปนสวนหนงของของการขบเคลอนองคกร 2.การด าเนนการโครงการเกยวกบระบบบรหารจดการความมนคงปลอดภยสารสนเทศ 3.การจดท าระเบยบ ขอบงคบ และแนวปฏบตเกยวกบความมนคงปลอดภยสารสนเทศ 4.การจดประชมเพอรายงานผลการด าเนนการโครงการเกยวกบการบรหารจดการความมนคงปลอดภยสารสนเทศตอฝายบรหาร 5.มาตรการควบคมทมการประกาศใชใหม เชน นโยบายการใชงานอปกรณโมบาย และการบรหารโครงการในมตดานความมนคงปลอดภยสารสนเทศ 6.การด าเนนการควบคมความมนคงปลอดภยสารสนเทศตามระเบยบราชการ เก ยวกบความม นคงปลอดภ ยด านทรพยากรบคคล (Human Resource Security)
163
163
ปจจยทเกยวของ
ความพรอม ความส าคญ มากทสด 5
มาก 4
ปานกลาง
3
นอย 2
นอยทสด 1
มากทสด 5
มาก 4
ปานกลาง
3
นอย 2
นอยทสด 1
7.การน าเอามาตรฐานดานความมนคงปลอดภยสารสนเทศ ระบเปนนโยบายระดบองคกร โครงสรางเทคโนโลยสารสนเทศขององคกร 1.สภาพแวดลอม, Infrastructure และระบบงาน ควรปรบปรงและพฒนาอยบนพนฐานตามมาตรฐานความมนคงปลอดภยสารสนเทศ 2.การก าหนดสทธการเขาถงยงระบบเครอขายและระบบงานตางๆ ขององคกร 3.การควบคมการเขาถงในระดบแอพลเคชน โดยมการควบคมและพจารณาสทธตามกระบวนการควบคมทออกแบบไว 4.การปองกนความลบของขอมลในระดบเครอขาย 5.การปองกนทางกายภาพส าหรบหองเดตาเซนเตอร 6.การควบคมดแลสายเคเบล เชน การแกปญหาสายเคเบลไมไดมาตรฐาน การจดเรยงสายเคเบลใหเปนระเบยบ 7.การก าหนดมาตรการควบคมและปองกนความมนคงปลอดภยสารสนเทศระดบเครอขายในทางเทคนค 8.องคกรมโครงสรางเทคโนโลยสารสนเทศขององคกรเปนไปตามมาตรฐานดานความมนคงปลอดภยสานสนเทศ
ความตระหนกถงภยคกคามและชองโหว
164
164
ปจจยทเกยวของ
ความพรอม ความส าคญ มากทสด 5
มาก 4
ปานกลาง
3
นอย 2
นอยทสด 1
มากทสด 5
มาก 4
ปานกลาง
3
นอย 2
นอยทสด 1
1.องคกรมระบบปองกนภยคกคามและชองโหวจากภายในและภายนอกองคกรทงในรปแบบ hardware และ software 2.ความตระหนกถงภยคกคามและชองโหวทางดานเทคโนโลยสารสนเทศของบคลากรในองคกร 3.การประชาสมพนธเรองภยคกคามและชองโหวดานเทคโนโลยสารสนเทศใหกบบคลากรในองคกรรบทราบ เพอใหบคลากรไมตกเปนเหยอของภยคกคามตางๆ ได 4.การประชาสมพนธใหบคลากรรบทราบเกยวกบภยคกคามรปแบบตางๆ จะชวยสรางความตระหนกใหกบบคลากรในองคกรเกยวกบภยดานความมนคงปลอดภยสารสนเทศได 5.องคกรมระบบปองกนภยคกคามและชองโหวตางๆรวมถงบคลากรมความตระหนกถงภยคกคามรปแบบตางๆ และไมตกเปนเหยอจากภยดงกลาว
165
165
ภาคผนวก ง ผลการสมภาษณผบรหาร
166
166
ตารางท ง.1 ผลการสมภาษณผบรหาร
ล าดบ หนวยงาน ความพรอม ความส าคญ 1 ฝายทรพยากร
บคคล องคกรยงขาดการประชาสมพนธใหพนกงานไดรบทราบขอมลและยงขาดความเขาใจเกยวกบความมนคงปลอดภยสารสนเทศ สวนใหญจะยงไมเคยรบรถงขนตอนและกระบวนการ รวมถงรายละเอยดตางๆ ซงองคกรจะไดรบประโยชนจากการบรหารจดการความมนคงปลอดภยสารสนเทศเปนอยางยง หากมการประชาสมพนธโดยใชวธการและภาษาทเขาใจงายและสนบสนนสงเสรมใหน ามาปฏบตอยางจรงจง จะท าใหองคกรมกรอบในการด าเนนงานมากขนและปองกนไม ใหพนกงานใช เทคโนโลยสารสนเทศในทางทผดอกดวย และหากองคกรไมปฏบตตามมาตรฐานและขอก าหนดดางๆ อาจจะสงผลตอภาพลกษณขององคกรได โดยสรปควรมการประชาสมพนธ และควรมการสรางความเขาใจใหใหพนกงานในองคกรทราบเพอน าไปสการเตรยมความพรอมขององคกรตอไป
มการล าดบความส าคญดงน 1.การใหความส าคญในการด าเนนการตามมาตรฐานฯ 2.ความตระหนกถงภยคกคามและชองโหว 3.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 4.นโยบายขององคกร 5.โครงสรางเทคโนโลยสารสนเทศขององคกร 6.การประยกตใชมาตรฐานและกฎหมายทเกยวของ
2 ฝายวางแผน ปจจบนองคกรมมาตรฐานความปลอดภยทสงมาก มการเขารหสการใชงานทกครง รวมถงการหามไมใหผใชงานตดตงโปรแกรมหรอเปลยนแปลงการตงคาในเครองเอง โดยจะตองแจงผดแลระบบเพอด าเนนการใหเทานน แตระบบยงไมเปนมาตรฐานเดยวกน บางระบบสามารถออกจากระบบเองอตโนมต บางระบบกไมออกจากระบบให รวมถงยงมการใชงานบญชผใชทหลากหลาย ท าใหยากตอการจดจ า เหนควรทจะน าเอาระบบ
มการล าดบความส าคญดงน 1.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 2.นโยบายขององคกร 3.การใหความส าคญในการด าเนนการตามมาตรฐานฯ 4.ความตระหนกถงภยคกคามและชองโหว 5.โครงสรางเทคโนโลยสารสนเทศขององคกร
167
167
ตารางท ง.1 (ตอ) ผลการสมภาษณผบรหาร ล าดบ หนวยงาน ความพรอม ความส าคญ
บรหารจดการความมนคงปลอดภยสารสนเทศ ( ISO/IEC 27001) มาประยกตใชในองคกร เพอใหมมาตรฐานในการด าเนนงานรวมถงการควบคมเรองเทคโนโลยสารสนเทศใหเปนไปในทศทางเดยวกน ซงองคกรสามารถควบคมการกระท าความผดตางๆ ทเกยวของกบสารสนเทศและควบคมปญหาไวรส/การเจาะขอมลองคกรไดเปนอยางดอกดวย หากองคกรไมสามารถปฏบตตามมาตรฐานความมนคงปลอดภยสารสนเทศได อาจจะเปนการลดความนาเชอถอขององคกรลง ขาดความเปนองคกรชนน าทมมาตรฐานสากลดงเชนองคกรอนๆ ไมเกดการพฒนาทางวฒนธรรมในการใชสารสนเทศยคใหม เกดปญหาความไมปลอดภยในการใชงานสารสนเทศภายในองคกร รวมถงอาจมโอกาสกระท าผดโดยไมไดตงใจหรอไมรตวจากผใชงานไดในระดบสง โดยสรปองคกรมพนฐานความพรอมทจะด าเนนการตามมาตรฐานอยแลว เนองจากม Infrastructure ทมความพรอมอยแลว เพยงแตควรน าเอามาตรฐานสากลมาประยกตใชและมการทบทวนกระบวนการเดมเพมเตม
6.การประยกตใชมาตรฐานและกฎหมายทเกยวของ
3 ฝายบรหารทวไป
ยงขาดการประชาสมพนธใหพนกงานในองคกรรบทราบถงการด าเนนการบรหารจดการดานความมนคงปลอดภยสารสนเทศทวทงองคกร อาจจะเปนเพราะเปนเรองทเกยวกบเทคโนโลยสารสนเทศและมการด าเนนการในขอบเขตเฉพาะสวน ซงจะไมคอยไดเกยวของกบทางดานบรหารมาก
มการล าดบความส าคญดงน 1.นโยบายขององคกร 2.โครงสรางเทคโนโลยสารสนเทศขององคกร 3.การใหความส าคญในการด าเนนการตามมาตรฐานฯ
168
168
ตารางท ง.1 (ตอ) ผลการสมภาษณผบรหาร ล าดบ หนวยงาน ความพรอม ความส าคญ
นก ไมมความคดเหนเพมเตมเนองจากไมมความรเกยวกบความมนคงปลอดภยสารสนเทศเทาทควร และมองวาเปนหนาทของผทเกยวของกบดานเทคโนโลยสารสนเทศเทานนทจะตองด าเนนการดงกลาว
4.ความตระหนกถงภยคกคามและชองโหว 5.การประยกตใชมาตรฐานและกฎหมายทเกยวของ 6.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ
4 ส านกเทคโนโลยสารสนเทศ
(กลมฐานขอมลการตลาด)
องคกรมความมนคงปลอดภยสารสนเทศคอขางเขมแขงด หากน าเอามาตรฐานความมนคงปลอดภยสารสนเทศ ( ISO/ IEC 27001) มาประยกตใชเพมเตมจะชวยเพมความปลอดภยดานสารสนเทศใหมประสทธภาพมากยงขน อกทงยงเปนการสรางความมนใจและสรางความนาเชอถอใหกบองคกรมากยงขน โดยภาพรวมองคกรมความมนคงปลอดภยดานสารสนเทศอยแลว
มการล าดบความส าคญดงน 1.นโยบายขององคกร 2.โครงสรางเทคโนโลยสารสนเทศขององคกร 3.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 4.ความตระหนกถงภยคกคามและชองโหว 5.การใหความส าคญในการด าเนนการตามมาตรฐานฯ 6.การประยกตใชมาตรฐานและกฎหมายทเกยวของ
5 ส านกเทคโนโลยสารสนเทศ
องคกรควรมการปรบปรงเพอใหไดมาตรฐานกวาน โดยเนนไปทการวางแผนก าหนดนโยบาย ฝายวางแผนตองใหความส าคญในเรองของความมนคงปลอดภยสารสนเทศอยางจรงจง หากมการน าเอามาตรฐานความมนคงปลอดภยสารสนเทศ (ISO/IEC 27001) มาประยกตใชจะชวยใหการบรหารจดการดานความมนคงปลอดภยสารสนเทศดขนและท าใหองคกรมมารฐานมากขนตามหลกสากล เกดความมนคงปลอดภยในการเขาถงสารสนเทศและเครอขาย รวมถงชวยลดความผดพลาดทเกดขนจากระบบสารสนเทศและการสอสาร ซงผลกระทบทจะเกดขนหากไม
มการล าดบความส าคญดงน 1.นโยบายขององคกร 2.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 3.การใหความส าคญในการด าเนนการตามมาตรฐานฯ 4.การประยกตใชมาตรฐานและกฎหมายทเกยวของ 5.ความตระหนกถงภยคกคามและชองโหว 6.โครงสรางเทคโนโลยสารสนเทศขององคกร
169
169
ตารางท ง.1 (ตอ) ผลการสมภาษณผบรหาร ล าดบ หนวยงาน ความพรอม ความส าคญ
ด าเนนการตามมาตรฐานฯ นน อาจจะสงผลใหขอมลองคกรรวไหล ขาดการส ารองขอมลและไมทนตอการเปลยนแปลงจากภยทางอเลกทรอนกสทมการพฒนาตามเทคโนโลยทเปลยนแปลงไป ในการเตรยมความพรอมองคกรเพอใหไดรบการรบรองมาตรฐานฯ นน ตองด าเนนการดงน 1.องคกรควรมนโยบายทจะขอรบการรบรองมาตรฐาน เพอใหเกดความชดเจนในการปฏบตและการสนบสนนจากสวนตางๆ 2.สรางความรความเขาใจใหเกดขนในทกระดบ เพอใหเกดการสอสารและความเขาใจทตรงกน ปฏบตเพอไปสจดมงหมายเดยวกนและใหเหนถงประโยชนทจะไดรบในภาพรวม 3.การปฏบตตามมาตรฐานและขอก าหนดจะตองมการปฏบตอยางเครงครดในทกระดบ เมอมนใจวาการปฏบตทกสวนเปนไปตามขอก าหนด ISO/IEC 27001 แลวจงขอรบการรบรอง
6 ฝายตดตามและบรหารความเสยง
ไมแนใจวาองคกรมการปฏบตตามมาตรฐานความมนคงปลอดภยสารสนเทศเพยงพอหรอไม เนองจากมการใชบรการ Outsource เพอปฏบตหนาทเกยวกบเทคโนโลยสารสนเทศ อาจจะไมสามารถควบคมไดอยางทวถง มบางระบบทลมบอยในรอบปทผานมาเชน อเมล เปนตน ซงจะตองเพมความรอบคอบในการก ากบดแลผเกยวของ ไมใหด าเนนการ
มการล าดบความส าคญดงน 1.ความตระหนกถงภยคกคามและชองโหว 2.นโยบายขององคกร 3.โครงสรางเทคโนโลยสารสนเทศขององคกร 4.การใหความส าคญในการด าเนนการตามมาตรฐานฯ
170
170
ตารางท ง.1 (ตอ) ผลการสมภาษณผบรหาร ล าดบ หนวยงาน ความพรอม ความส าคญ
ใดๆ ทจะกระทบถงระบบสารสนเทศโดยรวม ควรมการตดตามและประเมนผลอยอยางสม าเสมอ และสรางการรบรใหกบพนกงานทวทงองคกร ไมเฉพาะเจาะจงดานไอทแตเพยงอยางเดยว
5.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 6.การประยกตใชมาตรฐานและกฎหมายทเกยวของ
7 ส านกเทคโนโลยสารสนเทศ
(กลมสารสนเทศ
องคกร)
องคกรมการด าเนนการตอพนฐานของระบบบรหารจดการความมนคงปลอดภยสารสนเทศ ใหสอดคลองตามมาตรฐาน ISO/IEC 27001:2013 โดยเปนไปตามทกระทรวงเทคโลยสารสนเทศก ากบองคกรของรฐ เพอใหเกดประโยชนสงสดตอการน าเอามาตรฐานฯ ดงกลาวมาใชในองคกร บคลากรทกระดบจะตองมการน าไปปฏบตอยางจรงจง ซงจะสงผลใหระบบสารสนเทศขององคกรมความพรอมในการใหบรการอยางตอเนองดวยการบรหารจดการอยางเปนระบบททกคนตองปฏบตตามขอก าหนดตางๆ ทเกยวของ หากไมด าเนนการตามมาตรฐานฯ อาจจะกอใหเกดความเสยหายตอทรพยสนรวมถงการใหบรการทางดานเทคโนโลยสารสนเทศ เชน การหยดชะงก การสญเสยขอมล หรรอระบบสารสนเทศในภาพรวมได ในการเตรยมความพรอมขององคกรเพอเขารบการรบรองมาตรฐานฯ นน จ าเปนตองใหผน าสงสดขององคกร (CEO) เหนชอบและใหการสนบสนนในการด าเนนการ จงจะท าใหกระบวนการตางๆ ส าเรจสมบรณแบบ และมแรงผลกดนใหองคกรสามารถขบเคลอนไปอยางมทศทางมากยงขน
มการล าดบความส าคญดงน 1.นโยบายขององคกร 2.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 3.การประยกตใชมาตรฐานและกฎหมายทเกยวของ 4.ความตระหนกถงภยคกคามและชองโหว 5.การใหความส าคญในการด าเนนการตามมาตรฐานฯ 6.โครงสรางเทคโนโลยสารสนเทศขององคกร
171
171
ตารางท ง.2
ผลรวมความส าคญของปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ประกอบการสมภาษณผบรหาร
ปจจย ทานท 1 ทานท 2 ทานท 3 ทานท 4 ทานท 5 ทานท 6 ทานท 7 ผลรวม
1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 3 1 6 3 2 5 2 22
2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ 6 6 5 6 4 6 3 36
3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ 1 3 3 5 3 4 5 24
4. นโยบายขององคกร 4 2 1 1 1 2 1 12
5. โครงสรางเทคโนโลยสารสนเทศขององคกร 5 5 2 2 6 3 6 29
6. ความตระหนกถงภยคกคามและชองโหว 2 4 4 4 5 1 4 24
172
ภาคผนวก จ ผลการสมภาษณผเชยวชาญจากภายนอก
ผลจากการสมภาษณผเชยวชาญดานการจดการความมนคงปลอดภยสารสนเทศจาก
ภายนอกองคกร จ านวน 4 ทาน มรายละเอยดดงน ผเชยวชาญจากภายนอกทานท 1 ในมมมองภาพรวมขององคกรมการบรหารจดการความมนคงปลอดภยสารสนเทศใน
ระดบทด แตยงขาดการด าเนนการบางสวนหรอปฏบตยงไมครบถวนตามขนตอนปฏบตทไดวางแผนไว เมอองคกรน าเอามาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ( ISO/IEC 27001) มาใชในองคกรแหงนจะชวยใหองคกรมเอกสารหรอหลกฐานในการด าเนนการตางๆ ดานความมนคงปลอดภยสารสนเทศ ท าใหเมอเกดปญหาสามารถหาสาเหต และยงชวยใหองคกรสามารถปฏบตตามกฎหมายและนโยบายทรฐก าหนดอกดวย
นอกเหนอจากปจจยทผวจยไดศกษามาแลว ไดใหขอเสนอแนะวาในการน าเอามาตรฐานฯ มาประยกตใชนน ผปฏบตควรจะเขาใจบรบทขององคกรและเนนเรองการสงเสรมจากผบรหารสงสดขององคกรในการขบเคลอนการน าเอามาตรฐานฯ สการปฏบตจรง อกทงเพอเกดประโยชนสงสดตอองคกรในระยะยาว ควรมการตดตามผลการปฏบตตามมาตรฐานฯ อยอยางสม าเสมอ เปนไปตาม Plan-Do-Check-Act
โดยผเชยวชาญจากภายนอกทานท 1 ไดใหความเหนเกยวกบความพรอมดงน
173
ตารางท จ.1 ผลการพจารณาปจจยความพรอมของผเชยวชาญจากภายนอกทานท 1
ปจจย มากทสด
มาก ปานกลาง
นอย นอยทสด
ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ
การประยกตใชมาตรฐานและกฎหมายทเกยวของ
การใหความส าคญในการด าเนนการตามมาตรฐานฯ
นโยบายขององคกร
โครงสรางเทคโนโลยสารสนเทศขององคกร
ความตระหนกถงภยคกคามและชองโหว
ตารางท จ.2 ผลการพจารณาความส าคญปจจยของผเชยวชาญจากภายนอกทานท 1
ปจจย ความส าคญ
1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 2
2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ 3
3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ 6
4. นโยบายขององคกร 5
5. โครงสรางเทคโนโลยสารสนเทศขององคกร 4
6. ความตระหนกถงภยคกคามและชองโหว 1
174
ผเชยวชาญจากภายนอกทานท 2 การน าเอาระบบบรหารจดการความมนคงปลอดภยสารสนเทศ (ISO/IEC 27001) จะ
ชวยสงเสรมใหระบบเทคโนโลยสารสนเทศมประสทธภาพ เพมความถกตองและแมนย า มหลกฐานเอกสารและกระบวนการชดเจน เมอน ามาประยกตใชกบองคกรจะท าใหองคกรมแนวปฏบตทดเปนไปตามมาตรฐานดานความมนคงปลอดภยสารสนเทศ
นอกเหนอจากปจจยทผวจยไดศกษามาแลว ไดใหขอเสนอแนะวา ในการด าเนนการตามระบบบรหารจดการความมนคงปลอดภยสารสนเทศ ( ISO/IEC 27001) นนควรไดรบการสนบสนนและผลกดนจากผบรหารดวย และหากองคกรผานการรบรองมาตรฐานฯ แลว เพอใหการด าเนนงานเกดผลสมฤทธและการด าเนนการโดยยงยนนน ควรมการทบทวนและตดตามผลการปฏบตอยอยางสม าเสมอ
ตารางท จ.3 ผลการพจารณาปจจยความพรอมของผเชยวชาญจากภายนอกทานท 2
ความพรอม มากทสด
มาก ปานกลาง
นอย นอยทสด
ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ
การประยกตใชมาตรฐานและกฎหมายทเกยวของ
การใหความส าคญในการด าเนนการตามมาตรฐานฯ
นโยบายขององคกร
โครงสรางเทคโนโลยสารสนเทศขององคกร
ความตระหนกถงภยคกคามและชองโหว
175
ตารางท จ.4 ผลการพจารณาความส าคญปจจยของผเชยวชาญจากภายนอกทานท 2
ปจจย ความส าคญ
1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 2
2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ 6
3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ 5
4. นโยบายขององคกร 4
5. โครงสรางเทคโนโลยสารสนเทศขององคกร 3
6. ความตระหนกถงภยคกคามและชองโหว 1
ผเชยวชาญจากภายนอกทานท 3 องคกรในภาพรวมยงขาดความเขาใจตอความส าคญของการรกษาความมนคงปลอดภย
สารสนเทศ สงผลใหการบรหารจดการยงไมเปนระบบทดพอ เหนควรใหน าเอาระบบบรหารจดการความมนคงปลอดภยสารสนเทศ (ISO/IEC 27001) มาประยกตใชใหเหมาะสมกบองคกรและควรไดรบการสงเสรมจากผบรหารอยางจรงจง
นอกจากปจจยทผวจยไดท าการศกษามาแลว ควรพจารณาถงเรองการเขาใจหวขอบรบทขององคกรและความเปนผน า (Leadership) เพอจะไดใหความส าคญในการก าหนดทศทางและวตถประสงคหรอเปาหมายไดอยางเหมาะสม หากองคกรไดรบการรบรองมาตรฐานแลว เพอใหเกดการปฏบตและองคกรไดรบประโยชนตอเนอง ควรมการผนกกระบวนการและการปฏบตใหกลายเปนสวนหนงของงานทตองด าเนนการ และตองมการตดตามอยอยางสม าเสมอ เพอลดปญหาทของผปฏบตทอาจจะคดวาเปนการเพมภาระงานหรอผบรหารมองวาเปนการเพมคาใชจายขององคกร
176
ตารางท จ.5 ผลการพจารณาปจจยความพรอมของผเชยวชาญจากภายนอกทานท 3
ความพรอม มากทสด
มาก ปานกลาง
นอย นอยทสด
ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ
การประยกตใชมาตรฐานและกฎหมายทเกยวของ
การใหความส าคญในการด าเนนการตามมาตรฐานฯ
นโยบายขององคกร
โครงสรางเทคโนโลยสารสนเทศขององคกร
ความตระหนกถงภยคกคามและชองโหว
ตารางท จ.6 ผลการพจารณาความส าคญปจจยของผเชยวชาญจากภายนอกทานท 3
ปจจย ความส าคญ
1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 2
2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ 3
3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ 4
4. นโยบายขององคกร 5
5. โครงสรางเทคโนโลยสารสนเทศขององคกร 6
6. ความตระหนกถงภยคกคามและชองโหว 1
177
ผเชยวชาญจากภายนอกทานท 4 บคลากรในองคกรยงขาดความรและความเขาใจเกยวกบระบบบรหารจดการความ
มนคงปลอดภยสารสนเทศ (ISO/IEC 27001) ขาดการประชาสมพนธใหบคลากรทกระดบไดเขาใจถงกระบวนการตางๆ รวมถงผปฏบตยงขาดความเขาใจกระบวนการท างานและการน าเทคโนโลยทเหมาะสมเขามาใชงานสงผลตอความมนคงปลอดภยสารสนเทศขององคกร การน าเอาระบบบรหารจดการความมนคงปลอดภยสารสนเทศมาประยกตใชจะชวยลดความเสยงตางๆ ทจะเกดข นทงจากเทคโนโลยและบคลากรได และยงสงผลใหองคกรมความเปนระบบมากยงขน
นอกเหนอจากปจจยทผวจยไดท าการศกษามา ยงพบวาองคกรจะไดรบประโยชนจากการน าเอามาตรฐานความมนคงปลอดภยสารสนเทศมากขน หากมการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศอยอยางสม าเสมอ มก าหนดมาตรฐานขนตอนการปฏบตและควรไดรบการสนบสนนจากฝายบรหาร
ตารางท จ.7 ผลการพจารณาปจจยความพรอมของผเชยวชาญจากภายนอกทานท 4
ความพรอม มากทสด
มาก ปานกลาง
นอย นอยทสด
ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ
การประยกตใชมาตรฐานและกฎหมายทเกยวของ
การใหความส าคญในการด าเนนการตามมาตรฐานฯ
นโยบายขององคกร
โครงสรางเทคโนโลยสารสนเทศขององคกร
ความตระหนกถงภยคกคามและชองโหว
178
ตารางท จ.8 ผลการพจารณาความส าคญปจจยของผเชยวชาญจากภายนอกทานท 4
ปจจย ความส าคญ
1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 3
2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ 4
3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ 2
4. นโยบายขององคกร 6
5. โครงสรางเทคโนโลยสารสนเทศขององคกร 5
6. ความตระหนกถงภยคกคามและชองโหว 1
179
ตารางท จ.9 ผลรวมการพจารณาความพรอมของปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง โดยผเชยวชาญฯ
ปจจย (พจารณาความพรอม) ทานท
1 ทานท
2 ทานท
3 ทานท
4 ผลรวม
1.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 2 3 2 2 9
2.การประยกตใชมาตรฐานและกฎหมายทเกยวของ 3 3 2 2 10
3.การใหความส าคญในการด าเนนการตามมาตรฐานฯ 1 3 1 4 9
4.นโยบายขององคกร 2 3 2 4 11
5.โครงสรางเทคโนโลยสารสนเทศขององคกร 3 2 3 4 12
6.ความตระหนกถงภยคกคามและชองโหว 2 2 1 3 8
180
ตารางท จ.10 ผลรวมการพจารณาความส าคญของปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง โดยผเชยวชาญฯ
ปจจย (พจารณาความส าคญ) ทานท
1 ทานท
2 ทานท
3 ทานท
4 ผลรวม
1. ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 2 2 2 3 9
2. การประยกตใชมาตรฐานและกฎหมายทเกยวของ 3 6 3 4 16
3. การใหความส าคญในการด าเนนการตามมาตรฐานฯ 6 5 4 2 17
4. นโยบายขององคกร 5 4 5 6 20
5. โครงสรางเทคโนโลยสารสนเทศขององคกร 4 3 6 5 18
6. ความตระหนกถงภยคกคามและชองโหว 1 1 1 1 4
181
ภาคผนวก ฉ ผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ
ผลจากการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ จ านวน 18 ทาน
ประกอบดวยขอค าถามจ านวน 45 ขอ มรายละเอยดดงน ตารางท ฉ.1 ผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ
1.ความรเกยวกบเกยวกบมาตรฐานและกฎหมายตางๆ เกยวกบการบรหารจดการความมนคงปลอดภยสารสนเทศ
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 5.56%(1) 16.67%(3) 72.22%(13) 5.56%(1) 0%(0)
ความส าคญ 22.22%(4) 66.67%(12) 11.11%(2) 0%(0) 0%(0)
2.ปฏบตตามนโยบายและแนวปฏบตทระบไวในเอกสารแนวนโยบายและแนวปฏบตขององคกรตามมาตรฐานการจดการความมนคงปลอดภยสารสนเทศ
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 5.56%(1) 33.33%(6) 55.56%(10) 5.56%(1) 0%(0)
ความส าคญ 38.89%(7) 50%(9) 11.11%(2) 0%(0) 0%(0)
3.การอบรมใหความรหวขอระบบบรหารจดการความมนคงปลอดภยสารสนเทศ
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 5.56%(1) 27.78%(5) 50%(9) 16.67%(3) 0%(0)
ความส าคญ 16.67%(3) 72.22%(13) 11.11%(2) 0%(0) 0%(0)
4.สามารถน าสงททานไดจากการอบรมสามารถประยกตใชกบงานของทาน
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 11.11%(2) 50%(9) 38.89%(7) 0%(0) 0%(0)
ความส าคญ 22.22%(4) 61.11%(11) 16.67%(3) 0%(0) 0%(0)
182
ตารางท ฉ.1 (ตอ) ผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ
5.องคกรประชาสมพนธเกยวกบการจดท าระบบบรหารจดการความมนคงปลอดภยสารสนเทศ
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 5.56%(1) 27.78%(5) 55.56%(10) 5.56%(1) 5.56%(1)
ความส าคญ 11.11%(2) 66.67%(12) 22.22%(4) 0%(0) 0%(0)
6.เขารวมประชมหรอหารอกบคณะท างานความมนคงปลอดภยสารสนเทศอยเสมอ
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 0%(0) 27.78%(5) 44.44%(8) 16.67%(3) 11.11%(2)
ความส าคญ 5.56%(1) 50%(9) 38.89%(7) 5.56%(1) 0%(0)
7.การประชาสมพนธจากองคกรอยอยางสม าเสมอเพอสรางความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆทเกยวของกบความมนคงปลอดภยสารสนเทศ
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 16.67%(3) 11.11%(2) 44.44%(8) 22.22%(4) 5.56%(1)
ความส าคญ 22.22%(4) 50%(9) 22.22%(4) 5.56%(1) 0%(0)
8.ปฏบตตามแนวนโยบายและแนวปฏบตตามระบบบรหารจดการความมนคงปลอดภยสารสนเทศขององคกร เมอมการด าเนนการเกยวกบงานททานรบผดชอบ
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 11.11%(2) 61.11%(11) 16.67%(3) 11.11%(2) 0%(0)
ความส าคญ 22.22%(4) 66.67%(12) 11.11%(2) 0%(0) 0%(0)
9.ด าเนนการควบคมเอกสาร เชน มการจดชนความลบของเอกสาร หรอมการขออนมต change กอนการด าเนนการเกยวกบงานททานรบผดชอบอยางสม าเสมอ
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 5.56%(1) 50%(9) 27.78%(5) 16.67%(3) 0%(0)
ความส าคญ 22.22%(4) 44.44%(8) 33.33%(6) 0%(0) 0%(0)
183
ตารางท ฉ.1 (ตอ) ผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ
10.การตดตาม ตรวจสอบ และหาแนวทางปองกนระบบความมนคงปลอดภยสารสนเทศของระบบททานรบผดชอบ เชนมการ monitor หรอจดท ารายงานประจ าสปดาหหรอประจ าเดอน อยางสม าเสมอ
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 33.33%(6) 33.33%(6) 27.78%(5) 5.56%(1) 0%(0)
ความส าคญ 38.89%(7) 44.44%(8) 16.67%(3) 0%(0) 0%(0)
11.การหาแนวทางการปองกนภยคกคามดานความมนคงปลอดภยสารสนเทศรวมกบผทเกยวของอยอยางสม าเสมอ
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 22.22%(4) 27.78%(5) 27.78%(5) 22.22%(4) 0%(0)
ความส าคญ 38.89%(7) 33.33%(6) 22.22%(4) 5.56%(1) 0%(0)
12.ด าเนนการตรวจสอบทรพยสนทเกยวของกบเทคโนโลยสารสนเทศททานรบผดชอบอยอยางสม าเสมอ
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 27.78%(5) 22.22%(4) 33.33%(6) 16.67%(3) 0%(0)
ความส าคญ 33.33%(6) 33.33%(6) 33.33%(6) 0%(0) 0%(0)
13.การก าหนดสทธในการเขาถงอปกรณเครอขาย
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 33.33%(6) 44.44%(8) 11.11%(2) 11.11%(2) 0%(0)
ความส าคญ 55.56%(10) 33.33%(6) 5.56%(1) 5.56%(1) 0%(0)
14.ในกรณททานเปดสทธใหกบผอนเขาถงขอมลในระดบ application ทานไดมการควบคมและมการพจารณาสทธ
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 44.44%(8) 38.89%(7) 11.11%(2) 5.56%(1) 0%(0)
184
ตารางท ฉ.1 (ตอ) ผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ
ความส าคญ 44.44%(8) 50%(9) 5.56%(1) 0%(0) 0%(0)
15.ในการปรบปรงและจดหาระบบสารสนเทศ มการก าหนดความตองการดานความมนคงปลอดภยสารสนเทศในเอกสารรายละเอยดขอก าหนดดวยเสมอ
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 16.67%(3) 44.44%(8) 27.78%(5) 11.11%(2) 0%(0)
ความส าคญ 22.22%(4) 55.56%(10) 22.22%(4) 0%(0) 0%(0)
16.การวางแผนและวเคราะหถงแนวโนมรวมถงสามารถแกไขปญหาดานความมนคงปลอดภยสารสนเทศ อยางเปนระบบ
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 16.67%(3) 38.89%(7) 33.33%(6) 5.56%(1) 5.56%(1)
ความส าคญ 27.78%(5) 50%(9) 22.22%(4) 0%(0) 0%(0)
17.การน าเอามาตรฐานและกฎหมายทเกยวของดานความมนคงปลอดภยสารสนเทศมาประยกตใชกบงานดานเทคโนโลยสารสนเทศขององคกร โดยมการทบทวน ตดตาม และตรวจสอบ อยางตอเนอง
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 16.67%(3) 38.89%(7) 27.78%(5) 16.67%(3) 0%(0)
ความส าคญ 22.22%(4) 66.67%(12) 11.11%(2) 0%(0) 0%(0)
18.การสนบสนนจากผบรหาร สามารถชวยใหการด าเนนการโครงการความมนคงปลอดภยสารสนเทศสามารถบรรลตามวตถประสงค
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 0%(0) 61.11%(11) 11.11%(2) 11.11%(2) 16.67%(3)
ความส าคญ 38.89%(7) 55.56%(10) 0%(0) 5.56%(1) 0%(0)
19.การใหความรวมมอจากบคลากรในองคกร ในการปฏบตตามขอก าหนดและขนตอนปฏบตทเกยวกบความมนคงปลอดภยสารสนเทศ
185
ตารางท ฉ.1 (ตอ) ผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 5.56%(1) 27.78%(5) 33.33%(6) 33.33%(6) 0%(0)
ความส าคญ 27.78%(5) 61.11%(11) 5.56%(1) 5.56%(1) 0%(0)
20.การด าเนนการบรหารความเสยงดานความมนคงปลอดภยสารสนเทศ
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 11.11%(2) 44.44%(8) 22.22%(4) 22.22%(4) 0%(0)
ความส าคญ 16.67%(3) 72.22%(13) 5.56%(1) 5.56%(1) 0%(0)
21.การด าเนนการตดตาม การวดผล การวเคราะหและการประเมนผล ควรปรบปรงเพอใหสอดคลองกบขอก าหนดในมาตรฐานเวอรชนใหม
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 11.11%(2) 27.78%(5) 50%(9) 5.56%(1) 5.56%(1)
ความส าคญ 5.56%(1) 50%(9) 44.44%(8) 0%(0) 0%(0)
22.เมอพบวาระบบททานรบผดชอบมชองโหวเกดขน ทานไดท าการปรบปรงชองโหวอยเสมอ
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 22.22%(4) 38.89%(7) 27.78%(5) 11.11%(2) 0%(0)
ความส าคญ 33.33%(6) 50%(9) 16.67%(3) 0%(0) 0%(0)
23.การปรบปรงชองโหวทางเทคนคควรมการบรณาการและท าความเขาใจรวมกนจากทกสวนทเกยวของ เพอปองกนผลกระทบทอาจจะเกดจากการปรบปรงดงกลาว
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 22.22%(4) 38.89%(7) 22.22%(4) 16.67%(3) 0%(0)
ความส าคญ 33.33%(6) 55.56%(10) 11.11%(2) 0%(0) 0%(0)
24.การวเคราะหแนวโนมถงปญหาดานเทคโนโลยสารสนเทศทเกดขนในองคกร
มากทสด มาก ปานกลาง นอย นอยทสด
186
ตารางท ฉ.1 (ตอ) ผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ
ความพรอม 27.78%(5) 33.33%(6) 11.11%(2) 27.78%(5) 0%(0)
ความส าคญ 27.78%(5) 61.11%(11) 11.11%(2) 0%(0) 0%(0)
25.การด าเนนการปรบปรงการควบคมการปฏบตตามกฎ ระเบยบและกฎหมายควรมการปรบปรงใหสอดคลองกบมาตรฐานเวอรชนใหม
มากทสด(1)
มาก(2) ปานกลาง(3)
นอย(4) นอยทสด(5)
ความพรอม 11.11%(2) 27.78%(5) 44.44%(8) 11.11%(2) 5.56%(1)
ความส าคญ 11.11%(2) 61.11%(11) 22.22%(4) 5.56%(1) 0%(0)
26.บคลากรทกระดบในองคกรใหความส าคญตอการด าเนนการตามมาตรฐาน โดยสามารถน าไปปฏบตไดอยางถกตองและเหมาะสม
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 11.11%(2) 33.33%(6) 22.22%(4) 16.67%(3) 16.67%(3)
ความส าคญ 16.67%(3) 72.22%(13) 11.11%(2) 0%(0) 0%(0)
27.การก าหนดนโยบายความมนคงปลอดภยสารสนเทศ ไวเปนสวนหนงของของการขบเคลอนองคกร
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 11.11%(2) 27.78%(5) 33.33%(6) 16.67%(3) 11.11%(2)
ความส าคญ 16.67%(3) 50%(9) 27.78%(5) 5.56%(1) 0%(0)
28.การด าเนนการโครงการเกยวกบระบบบรหารจดการความมนคงปลอดภยสารสนเทศ
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 5.56%(1) 38.89%(7) 50%(9) 5.56%(1) 0%(0)
ความส าคญ 11.11%(2) 66.67%(12) 22.22%(4) 0%(0) 0%(0)
29.การจดท าระเบยบ ขอบงคบ และแนวปฏบตเกยวกบความมนคงปลอดภยสารสนเทศ
มากทสด มาก ปานกลาง นอย นอยทสด
187
ตารางท ฉ.1 (ตอ) ผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ
ความพรอม 5.56%(1) 50%(9) 38.89%(7) 5.56%(1) 0%(0)
ความส าคญ 11.11%(2) 55.56%(10) 33.33%(6) 0%(0) 0%(0)
30.การจดประชมเพอรายงานผลการด าเนนการโครงการเกยวกบการบรหารจดการความมนคงปลอดภยสารสนเทศตอฝายบรหาร
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 5.56%(1) 38.89%(7) 22.22%(4) 33.33%(6) 0%(0)
ความส าคญ 11.11%(2) 50%(9) 27.78%(5) 11.11%(2) 0%(0)
31.มาตรการควบคมทมการประกาศใชใหม เชน นโยบายการใชงานอปกรณโมบาย และการบรหารโครงการในมตดานความมนคงปลอดภยสารสนเทศ
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 11.11%(2) 50%(9) 11.11%(2) 27.78%(5) 0%(0)
ความส าคญ 16.67%(3) 61.11%(11) 16.67%(3) 5.56%(1) 0%(0)
32.การด าเนนการควบคมความมนคงปลอดภยสารสนเทศตามระเบยบราชการ เกยวกบความมนคงปลอดภยดานทรพยากรบคคล (Human Resource Security)
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 5.56%(1) 33.33%(6) 33.33%(6) 16.67%(3) 11.11%(2)
ความส าคญ 27.78%(5) 50%(9) 22.22%(4) 0%(0) 0%(0)
33.สภาพแวดลอม, Infrastructure และระบบงาน ควรปรบปรงและพฒนาอยบนพนฐานตามมาตรฐานความมนคงปลอดภยสารสนเทศ
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 11.11%(2) 22.22%(4) 55.56%(10) 11.11%(2) 0%(0)
ความส าคญ 22.22%(4) 61.11%(11) 16.67%(3) 0%(0) 0%(0)
34.การก าหนดสทธการเขาถงยงระบบเครอขายและระบบงานตางๆ ขององคกร
188
ตารางท ฉ.1 (ตอ) ผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 38.89%(7) 38.89%(7) 22.22%(4) 0%(0) 0%(0)
ความส าคญ 50%(9) 44.44%(8) 5.56%(1) 0%(0) 0%(0)
35.การควบคมการเขาถงในระดบแอพลเคชน โดยมการควบคมและพจารณาสทธตามกระบวนการควบคมทออกแบบไว
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 27.78%(5) 27.78%(5) 44.44%(8) 0%(0) 0%(0)
ความส าคญ 38.89%(7) 55.56%(10) 5.56%(1) 0%(0) 0%(0)
36.การปองกนความลบของขอมลในระดบเครอขาย
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 33.33%(6) 22.22%(4) 38.89%(7) 5.56%(1) 0%(0)
ความส าคญ 61.11%(11) 27.78%(5) 11.11%(2) 0%(0) 0%(0)
37.การปองกนทางกายภาพส าหรบหองเดตาเซนเตอร
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 22.22%(4) 44.44%(8) 33.33%(6) 0%(0) 0%(0)
ความส าคญ 50%(9) 44.44%(8) 5.56%(1) 0%(0) 0%(0)
38.การควบคมดแลสายเคเบล เชน การแกปญหาสายเคเบลไมไดมาตรฐาน การจดเรยงสายเคเบลใหเปนระเบยบ
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 16.67%(3) 38.89%(7) 44.44%(8) 0%(0) 0%(0)
ความส าคญ 38.89%(7) 44.44%(8) 16.67%(3) 0%(0) 0%(0)
39.การก าหนดมาตรการควบคมและปองกนความมนคงปลอดภยสารสนเทศระดบเครอขายในทางเทคนค
189
ตารางท ฉ.1 (ตอ) ผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 22.22%(4) 44.44%(8) 27.78%(5) 5.56%(1) 0%(0)
ความส าคญ 27.78%(5) 72.22%(13) 0%(0) 0%(0) 0%(0)
40.องคกรมโครงสรางเทคโนโลยสารสนเทศขององคกรเปนไปตามมาตรฐานดานความมนคงปลอดภยสารสนเทศ
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 11.11%(2) 44.44%(8) 33.33%(6) 11.11%(2) 0%(0)
ความส าคญ 27.78%(5) 66.67%(12) 5.56%(1) 0%(0) 0%(0)
41.องคกรมระบบปองกนภยคกคามและชองโหวจากภายในและภายนอกองคกรทงในรปแบบ hardware และ software
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 16.67%(3) 61.11%(11) 16.67%(3) 5.56%(1) 0%(0)
ความส าคญ 44.44%(8) 55.56%(10) 0%(0) 0%(0) 0%(0)
42.ความตระหนกถงภยคกคามและชองโหวทางดานเทคโนโลยสารสนเทศของบคลากรในองคกร
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 11.11%(2) 61.11%(11) 11.11%(2) 11.11%(2) 5.56%(1)
ความส าคญ 27.78%(5) 61.11%(11) 11.11%(2) 0%(0) 0%(0)
43.การประชาสมพนธเรองภยคกคามและชองโหวดานเทคโนโลยสารสนเทศใหกบบคลากรในองคกรรบทราบ เพอใหบคลากรไมตกเปนเหยอของภยคกคามตางๆ ได
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 16.67%(3) 16.67%(3) 44.44%(8) 22.22%(4) 0%(0)
ความส าคญ 22.22%(4) 66.67%(12) 5.56%(1) 5.56%(1) 0%(0)
190
ตารางท ฉ.1 (ตอ) ผลการตอบแบบประเมนของผดแลระบบเทคโนโลยสารสนเทศ
44.การประชาสมพนธใหบคลากรรบทราบเกยวกบภยคกคามรปแบบตางๆ จะชวยสรางความตระหนกใหกบบคลากรในองคกรเกยวกบภยดานความมนคงปลอดภยสารสนเทศได
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 16.67%(3) 22.22%(4) 33.33%(6) 27.78%(5) 0%(0)
ความส าคญ 27.78%(5) 55.56%(10) 16.67%(3) 0%(0) 0%(0)
45.องคกรมระบบปองกนภยคกคามและชองโหวตางๆรวมถงบคลากรมความตระหนกถงภยคกคามรปแบบตางๆ และไมตกเปนเหยอจากภยดงกลาว
มากทสด มาก ปานกลาง นอย นอยทสด
ความพรอม 11.11%(2) 33.33%(6) 38.89%(7) 16.67%(3) 0%(0)
ความส าคญ 38.89%(7) 44.44%(8) 16.67%(3) 0%(0) 0%(0)
ตารางท ฉ.2 สรปผลการตอบแบบประเมนความพรอมและความส าคญของปจจยทเกยวของกบการเตรยมความพรอมขององคกรในการขอรบรองมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2013 กรณศกษาองคกรดานการทองเทยวแหงหนง ของผดแลระบบฯ
ปจจยทเกยวของ ความพรอม ความส าคญ
1.ความรความเขาใจเกยวกบมาตรฐานและกฎหมายตางๆ 58.57 71.57
2.การประยกตใชมาตรฐานและกฎหมายทเกยวของ 67.00 74.20
3.การใหความส าคญในการด าเนนการตามมาตรฐานฯ 54.11 59.89
4.นโยบายขององคกร 61.33 69.00
5.โครงสรางเทคโนโลยสารสนเทศขององคกร 67.88 77.63
6.ความตระหนกถงภยคกคามและชองโหว 62.80 75.60
191
ภาคผนวก ช การทดสอบความพรอมของบคลากรในองคกรดวยวธการจ าลองสถานการณ
(Cyber Drill หรอ Cyber Readiness Assessment)
ท าการศกษาความพรอมของบคลากรในองคกรดวยวธการจ าลองสถานการณการถก Phishing โดยผวจยไดท าการสงอเมลใหกบบคลากรในองคกรจ านวนทงสน 1,153 รายชอ โดยมขอความเชญชวนตามภาพท ช.1
ภาพท ช.1 แสดงขอความเชญชวน
หลงจากทผใชงานคลก ทน จะปรากฏหนาเวบดงภาพท ช.2
192
ภาพท ช.2 แสดงหนา Log in
หลงจากทผใชงานท าการกรอก Username และ Password แลว เมอท าการคลกปม จะปรากฎหนาตอไปดงภาพท ช.3
193
ภาพท ช.3 แสดงหนา Confirm Password
หลงจากทผใชงานท าการ Comfirm Password แลว เมอท าการคลกปม
จะปรากฏขอความแจงดงภาพท ช.4
194
ภาพท ช.4 แสดงขอความแจงเตอน
195
ประวตผเขยน
ชอ วาทร.ต.หญง ภานมาศ พระพนจ วนเดอนปเกด 2 เมษายน 2528 ต าแหนง พนกงานระบบงานคอมพวเตอรระดบ 4 การทองเทยว
แหงประเทศไทย
ผลงานทางวชาการ
ภานมาศ พระพนจ และ วศน หนนภกด (มถนายน 2558). การบรหารจดการความมนคงปลอดภยสารสนเทศเพอเตรยมความพรอมของหนวยงานภาครฐ ในการเขารบการรบรองมาตรฐาน ISO/IEC 27001:2013กรณศกษา องคกรดานการทองเทยวแหงหนง . การประชมวชาการเครอขายงานวจยสาขาการบรหารเทคโนโลยและนวตกรรมครงท 7 หวขอ : การพฒนาเศรษฐกจและสงคมอยางยงยนโดยวทยาศาสตร เทคโนโลย และนวตกรรม (ThaiTIMA The 7th Annual Conference On Technology and Innovation Management)
ประสบการณท างาน 2555 - ปจจบน พนกงานระบบงานคอมพวเตอรระดบ 4
การทองเทยวแหงประเทศไทย
2555 - 2555 นกวชาการคอมพวเตอร ส านกงานปลดกระทรวงพลงงาน
2552 - 2554 วศวกรโครงการ 2 บมจ.ทโอท