Full Iso27001

โครงการจัดทําแผนแมบท ICT Security แหงชาติสํานักงานปลัดกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร

เอกสารฉบับนี้อยูระหวางพิจารณาปรับปรุงแกไข หามเผยแพร ตัดตอ คัดลอก ทําซ้ํา ดัดแปลง 1 กอนไดรับอนุญาติเปนลายลักษณอักษร

ราง ICT Security Standard ของประเทศไทย

โครงการจัดทําแผนแมบท ICT Security แหงชาติ เดือน กรกฎาคม - ตุลาคม 2549

กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร



สารบัญ หัวขอ หนา

1. ความเปนมา 3 2. วัตถุประสงคการออกแบบกระบวนการดานความมั่นคงปลอดภัย (Process approach) 3 3. ขอบเขตของมาตรฐาน (Scope) 5 4. เอกสารอางอิงหลัก 6 5. Terms and definitions 6 6. ระบบบริหารจัดการดานความมั่นคงปลอดภัยสารสนเทศ 6 (Information security management systems- ISMS) 7. ความรับผิดชอบของการบริหารจัดการ (Management responsibility) 12 8. การตรวจสอบระบบ ฯ ภายใน (Internal ISMS audits) 13 9. การตรวจทานดานการบริหารของระบบ ฯ (Management review of the ISMS) 14 10. การปรับปรุงระบบ ฯ (ISMS improvement) 15

ภาคผนวก ก. มาตรฐานความมั่นคงปลอดภัยไอซีที ISO/IEC 17799:2005

1. การพัฒนามาตรฐาน 17

2 มาตรฐานการบริหารจัดการความมั่นคงปลอดภัย 18

3. หัวขอหลักดานมาตรฐานความมั่นคงปลอดภัย 19

ภาคผนวก ข. Terms and definitions Terms and definitions 42



รางมาตรฐาน ICT Security ของประเทศไทย

1. ความเปนมา การเสนอรางมาตรฐานนี้ก็เพื่อที่จะสรางกรอบการปฏิบัติงาน สําหรับเปนแบบในการจัดตั้ง ดําเนินการ ปฏิบัติงาน ควบคุมดูแล ทบทวน บํารุงรักษา และปรับปรุง “ระบบบริหารจัดการดานความมั่นคงปลอดภัยสารสนเทศ” (Information Security Management System - ISMS) อยางไรก็ตามการเลือกใชระบบ ISMS ของแตละองคกรควรเปนการตัดสินใจในระดับยุทธศาสตรขององคกรนั้น การออกแบบและการดําเนินงานของระบบฯ ขององคกรใดๆ จะตองคํานึงถึงองคประกอบสําคัญ ไดแก ความจําเปนและวัตถุประสงค ความตองการดานความมั่นคงปลอดภัย กระบวนการภายใน รวมถึงขนาดและโครงสรางขององคกรนั้นๆ องคประกอบเหลานี้ และระบบตางๆ ที่เกี่ยวของมักจะเปลี่ยนแปลงไปตามกาลเวลา ในทางปฏิบัติผูนํามาตรฐานไปใชจะตองปรับขนาดของการดําเนินการระบบฯ ตามความจําเปนขององคกร นั่นคือ ภารกิจพื้นฐานตองการเพียงระบบฯ พื้นฐานเทานั้น

รางมาตรฐานนี้สามารถใชเปนตัวช้ีวัดสําหรับการประเมินการปฏิบัติงาน ทั้งภายใน และภายนอกไดตอไป

2. วัตถุประสงคการออกแบบกระบวนการดานความมั่นคงปลอดภัย (Process approach) เพื่อเนนถึงความสําคัญของกระบวนการบริหารจัดการในดานตางๆ ดังนี้

2.1 การเขาใจถึงความตองการขององคกรดานความมั่นคงปลอดภัยสารสนเทศและความจําเปนที่จะจัดทํานโยบายและวัตถุประสงคสําหรับความมั่นคงปลอดภัยสารสนเทศ

2.2 การดําเนินการและการปฏิบัติงานตามขอบังคับเพื่อบริหารจัดการความเสี่ยงดานความมั่นคงปลอดภัยสารสนเทศขององคกรในบริบทของความเสี่ยงเชิงธุรกิจทั้งหมดขององคกร

2.3 การเฝาระวังและการทบทวนผลงานและประสิทธิผลของระบบ ฯ และ 2.4 การปรับปรุงอยางตอเนื่องที่อางอิงกับการวัดเปาหมาย



รูปท่ี 1.1 PDCA ของ ISO 27001

กรรมวิธีบริหารโครงการดาน ICT Security จะตองทําตามกรรมวิธีมาตรฐาน ISMS เร่ิมที่มาตรฐาน ISO/IEC 27002 จะตองตรงกับความตองการดาน ICT Security แลวเดินตามโมเดล PDCA ตามรูปที่ 1.1 มาตรฐาน ISO 27002 กรรมวิธีนี้จะชวยใหสามารถดําเนินการปรับปรุงความปลอดภัยสารสนเทศไดอยางตอเนื่อง ทั้งนี้การบริหารโดย ISMS จะทําใน 10 ขั้นตอน ดังนี้

ขั้นตอน การดําเนินงาน ผลลัพธ

1 นิยามขอบเขตของ ISMS ขอบเขตงาน ISMS 2 นิยามนโยบาย ISMS นโยบาย ISMS 3 นิยามความเสี่ยงตอระบบสารสนเทศ บันทึกวิธีการประเมินความเสี่ยงประเภทตาง

4 หาความเสี่ยงที่ได รายการของความเสี่ยง , โอกาสที่ถูกโจมตีสําหรับ

แตละความเสี่ยงและผลกระทบ 5 ดําเนินการประเมินความเสี่ยง รายงานผลกระทบ และโครงการที่อาจเกิดขึ้น

6 การจัดการกับความเสี่ยง ประเมินวิธีการจัดการความเสี่ยงทางเลี่ยงและ

ความเสี่ยง และวิธีการควบคุม 7 เลือกวัตถุประสงคควบคุม และวิธีการ รายการวัตถุประสงคควบคุมและวิธีควบคุม 8 ขออนุมัติความเห็นชอบจากผูบริหารใน รายงานความเสี่ยงที่เหลืออยูที่ยังไมไดจัดการ



ขั้นตอน การดําเนินงาน ผลลัพธ เรื่องความเสี่ยงที่เหลือที่ยังไมไดจัดการ

9 ขออนุมัติใหดําเนินการ ISMS ได คําอนุมัติของผูบริหารใหดําเนินการ ISMS ได 10 เตรียมรายงานวัตถุประสงคการควบคุม วิธี

ควบคุม และ/หรือเขตที่ไมควบคุม รายงานการจัดการความเสี่ยง

3. ขอบเขตของมาตรฐาน (Scope)

3.1 บทนํา รางมาตรฐานนี้จะครอบคลุมองคกรทุกประเภท อาทิ เชน ภาคธุรกิจ ภาครัฐ องคกรที่ไมแสวงผลกําไร เปนตน และจะระบุรายละเอียดความตองการในรูปเอกสาร หรือคูมือ เพื่อ การจัดตั้ง ดําเนินการ ปฏิบัติงาน ควบคุมดูแล ทบทวน บํารุงรักษาและปรับปรุง ระบบบริหารจัดการดานความมั่นคงปลอดภัย (Information Security Management System - ISMS) ภายในบริบทของความเสี่ยงที่แตละองคกรเผชิญอยู นั่นคือ รางมาตรฐานนี้จะระบุกรอบความตองการที่จะประยุกตใชการควบคุมความมั่นคงปลอดภัยใหเหมาะสมกับความจําเปนของแตละองคกร

การออกแบบระบบ ISMS จะรับประกันไดวามีการเลือกใชการควบคุมความมั่นคงปลอดภยัที่เพียงพอและเหมาะสม เพื่อที่จะปกปองคุมครองทรัพยสินสารสนเทศ (Information assets) และสามารถใหความมั่นใจกับผูที่เกี่ยวของทั้งในและนอกองคกรได

3.2 การใชงาน (Application) ขอบังคับที่ระบุในรางมาตรฐานนี้เปนกรอบการดําเนินงานทั่วไป และจะมุงใหสามารถใชบังคับไดกับองคกรทุกประเภท และทุกขนาด อยางไรก็ตาม การที่องคกรจะนํามาตรฐานไปใชเพื่อตองการผานการประเมินที่อาจจะเกิดตามมาภายหลัง จะตองปฏิบัติตามขอบังคับที่ระบุไวใน บทที่ 4 5 6 7 และ 8 ทุกบท โดยไมมีขอยกเวน

การยกเวนใชขอบังคับใดๆ ที่เกิดจากเงื่อนไขที่จําเปนเมื่อมีการวิเคราะหความเสี่ยงแลว จะตองแสดงหลักฐานและไดรับคํารับรองจากหนวยงานที่เชื่อถือได ทั้งนี้การยกเวนใชขอบังคับใดๆ ในมาตรฐานนี้จะถือวาไมผานการรับรองภายใตมาตรฐานนี้ ยกเวนแตวาขอยกเวนดังกลาวไมมีผลตอสมรรถนะ และ/หรือความรับผิดชอบขององคกร เพื่อที่จะจัดใหมีความมั่นคงปลอดภัยดานสารสนเทศ ซ่ึงไดรับการประเมิน และคํารับรองแลวจาก กฎหมาย ระเบียบขอบังคับอื่นๆ



4. เอกสารอางอิงหลัก รางมาตรฐานนี้จะตองนําไปใชคูกันกับมาตรฐานอางอิง ในภาคผนวก ซ่ึงเปนฉบับที่ปรับปรุงคร้ังลาสุด (ISO/IEC 17799:2005, Information technology - Security techniques - Code of practice for information security management)

5. Terms and definitions (ภาคผนวก ข.)

6. ระบบบริหารจัดการดานความมั่นคงปลอดภัยสารสนเทศ (Information security management systems- ISMS)

6.1 ความตองการทั่วไป (General requirements) องคกรจะ จัดตั้ง ดําเนินการ ปฏิบัติงาน ควบคุมดูแล ทบทวน บํารุงรักษาและปรับปรุง ระบบบริหารจัดการดานความมั่นคงปลอดภัยตามที่ระบุในคูมือ ภายใตบริบทของการดําเนินกิจกรรมและความเสี่ยงที่แตละองคกรเผชิญอยู ทั้งนี้กระบวนการบริหารจัดการที่ใชจะอางอิง โมเดล "PDCA" ดังที่แสดงในภาคผนวก

6.2 การจัดตั้งและการบริหารจัดการระบบฯ (ISMS)

6.2.1 การจัดตั้งระบบฯ (Establish the ISMS) องคกรจะตองดําเนินงานดังนี้

ก) กําหนดขอบเขตและความรับผิดชอบของระบบฯ ในรูปของคุณลักษณะของ กิจกรรมหรือธุรกิจ องคกร ที่ตั้ง ทรัพยสิน และเทคโนโลยี และจะรวมถึงรายละเอียดและขอตัดสินใจสําหรับขอยกเวนทั้งหลายที่อาจจะเกิดขึ้น

ข) กําหนดนโยบายการใชระบบฯ ในรูปของคุณลักษณะของ กิจกรรมหรือธุรกิจ องคกร ที่ ตั้ง ทรัพยสิน และเทคโนโลยี ซ่ึง 1. รวมถึงกรอบการทํางาน สําหรับตั้งวัตถุประสงคและกอตั้งแนวคิดเกี่ยวกับทิศทางที่จะไป และหลักปฏิบัติตางๆ ที่เกี่ยวกับความมั่นคงปลอดภัยดานสารสนเทศ

2. คํานึงถึงความตองการดานการบังคับใชของกฏหมายและระเบียบ ขอบังคับอื่นๆ และสัญญาผูกพันในการดําเนินงาน

3. มีความสอดคลองกับบริบทของกลยุทธการบริหารความเสี่ยงขององคกร ซ่ึงการกอตั้งและบํารุงรักษาระบบฯ (ISMS) จะเกิดขึ้นตอไป

4. จัดทําบรรทัดฐานหรือขอกําหนดเพื่อประเมินความเสี่ยง



5. เปนนโยบายที่ไดรับการรัรองโดยคณะผูบริหารแลว ค) กําหนดแนวทางการประเมินความเสี่ยงขององคกร

1. ระบุวิธีการประเมินความเสี่ยงที่เหมาะสม และระบุความตองการตางๆ ในดานความ มั่นคงปลอดภัยของธุรกิจ กฎหมาย และระเบียบ

2. พัฒนาหลักการสําหรับความเสี่ยงที่ยอมรับไดและระบุระดับความเสี่ยงที่ยมรับได วิธีการประเมินความเสี่ยงที่เลือกใชจะตองรับประกันไดวา การประเมินความเสี่ยงทั้งหลายทําใหเกิดผลที่ใกลเคียงกันและทําซ้ําได

ง) ระบุปจจัยความเสี่ยงทั้งหลาย (Identify the risks) 1. ระบุทรัพยสินที่อยูในขอบเขตของระบบฯ (ISMS) นี้ และเจาของของทรัพยเหลานี้ 2. ระบุภัยคุกคามตอทรัพยสินเหลานี้ 3. ระบุความไมมั่นคงหรือความเปราะบาง ซ่ึงอาจจะถูกกระทบไดจากภัยคุกคามตางๆ 4. ระบุผลกระทบทั้งหลาย ซ่ึงทําใหเกิดความสูญเสีย ดานความเชื่อมั่น (Confidentiality) ความสมบูรณ (Integrity) และความพรอมใช (Availability) ของทรัพยสินเหลานั้น

จ) วิเคราะหและประเมินปจจัยความเสี่ยงทั้งหลาย (Analyse and evaluate the risks) 1. ประเมินผลกระทบทางธุรกิจตอองคกร ซ่ึงอาจเปนผลมาจากความลมเหลวตางๆ ของความมั่ น คง โดยคํ านึ ง ถึ งผลที่ ต ามมาของความสูญ เสี ย ด านความ เชื่ อมั่ น (Confidentiality) ความสมบูรณ (Integrity) และความพรอมใช (Availability) ของทรัพยสินเหลานั้น

2. ประเมินความเปนไปไดในเชิงรูปธรรมของความลมเหลวตางๆ ของความมั่นคงปลอดภัย ที่เกิดขึ้นในกรณีของภัยคุกคามที่เหนือกวาความไมมั่นคง และผลกระทบที่ตามมาตอทรัพยสินเหลานั้น และตอการควบคุมที่กําลังใชอยู

3. ประมาณการของระดับความเสี่ยง 4. พิจารณาวาความเสี่ยงนั้นยอมรับได หรือตองการใหดําเนินการดานความมั่นคงเพิ่มเติมอีก โดยใชหลักการสําหรับความเสี่ยงที่ยอมรับได ที่กําหนดขึ้นใน ขอ 4.2.1 ค) 2)

ฉ) ระบุและประเมินทางเลือกสําหรับรับมือกับปจจัยความเสี่ยงทั้งหลาย (Identify and evaluate options for the treatment of risks) อาทิ เชน

1. เลือกขอบังคับที่เหมาะสม 2. การยอมรับความเสี่ยงอยางเปนที่รูและยอมรับได ในเมื่อความเสี่ยงเหลานั้นยอมรับไดในแงของนโยบายขององคกร และในแงหลักการสําหรับความเสี่ยงที่ยอมรับได (ดู 6.2.1 ค)2.)

3. หลีกเลี่ยงความเสี่ยง



4. ถายโอนความเสี่ยงทางธุรกิจไปยังบุคคลอื่น เชน บริษัทประกัน ปูจําหนายสินคา เปนตน ช) เลือกจุดประสงคของการควบคุม และขอบังคับเพื่อการรับมือกับปจจัยความเสี่ยง

(Select control objectives and controls for the treatment of risks) จุดประสงคของการควบคุม และขอบังคับจะตองถูกเลือกและประยุกตใชเพื่อที่จะใหตรงกับความตองการ ที่ระบุโดยการประเมินความเสี่ยงและกระบวนการรับมือกับความเสี่ยง ในขั้นตอนนี้จะพิจารณาหลักการสําหรับความเสี่ยงที่ยอมรับได (ดู 4.2.1 ค)2)) รวมถึงพันธทางกฎหมาย ระเบียบและสัญญา

จุดประสงคของการควบคุม และขอบังคับจากภาคผนวก ก. จะถูกเลือกเปนสวนหนึ่งของกระบวนการนี้ เพื่อใหครอบคลุมความตองการตามที่ระบุไว

ซ) เสนอความเสี่ยงขั้นต่ําในกระบวนการทั้งหลายตอฝายบริหารจัดการ เพื่ออนุมัติ (Obtain management approval of the processed residual risks)

ฌ) ขออนุมัติจากฝายบริหารเพื่อการดําเนินการและการปฏิบัติงานของระบบฯ อยางเปนทางการ (Obtain management authorization to implement and operate the ISMS)

ญ) เตรียมคําประกาศของขอบเขตการนําไปใชงาน (Prepare a Statement of Applicability) คําประกาศของขอบเขตการนําไปใชงานควรจะประกอบดวย

1. จุดประสงคของการควบคุม และขอบังคับที่เลือกไวในขอ 6.2.1 ง) และเหตุผลที่ถูกเลือก 2. จุดประสงคของการควบคุม และขอบังคับที่ใชในปจจุบัน (ดู ขอ 6.2.1 ง) 2.) และ 3. ขอยกเวนของจุดประสงคของการควบคุม และขอบังคับใดๆ ในผนวก ก. และเหตุผลที่ยกเวน

6.2.2 การดําเนินการและการปฏิบัติงานของระบบฯ (ISMS) องคกรจะตองปฏิบัติดังนี้

ก) วางแผนรับมือกับความเสี่ยง ซ่ึงระบุการจัดการ ทรัพยากร ความรับผิดชอบ และลําดับความสําคัญที่เหมาะสม สําหรับการบริหารจัดการความเสี่ยงของความมั่นคงปลอดภัยดานสารสนเทศ

ข) ประยุกตใชแผนรับมือกับความเสี่ยง เพื่อที่จะบรรลุผลตามวัตถุประสงคที่ระบุไว รวมถึงการพิจารณากําหนดงบประมาณดําเนินการ และการมอบหมายหนาที่และความรับผิดชอบ

ค) การประยุกตใชขอบังคับที่เลือกในขอ 6.2.1 ฉ) เพื่อที่จะบรรลุผลตามวัตถุประสงคของการควบคุม

ง) ดําเนินการโครงการฝกอบรมและความรับรู (ดูขอ 5.2.2)



จ) จัดการงานปฏิบัติการของระบบ ฯ (ISMS) ฉ) จัดการดานทรัพยากรตางๆ ของระบบ ฯ (ISMS) (ดูขอ 5.2) ช) ดําเนินการกระบวนการและขอบังคับตางๆ ที่สามารถทําใหตรวจจับความเคลื่อนไหว

ดานความมั่นคงและตอบสนองตอเหตุการณดานความมั่นคงได (ดูขอ 6.2.3 ก))

6.2.3 การเฝาระวังและทบทวนระบบ ฯ (Monitor and review the ISMS) องคกรจะตองปฏิบัติดังนี้

ก) ปฏิบัติงานการเฝาระวังและการทบทวนขั้นตอนและขอบังคับอื่นๆ เพื่อที่จะ 1. ตรวจจับขอผิดพลาดไดทันทีในผลที่ไดจากการประมวล 2. ระบุช้ีใหเห็นถึงความพยายามและผลที่เกิดจากการบุกรุกและเหตุการณตางๆ ตอความ

มั่นคง โดยทันที 3. เพิ่มขีดความสามารถในการบริหารจัดการเพื่อที่จะตรวจดูไดวา กิจกรรมความมั่นคง

ตางๆ ที่มอบหมายหนาที่ใหบุคลากร หรือดําเนินการโดยใชเทคโนโลยีสารสนเทศนั้น ทําหนาที่ไดตามที่คาดหวังไวหรือไม

4. ชวยตรวจจับกรณีของความมั่นคง และทําใหปองกันเหตุการณความมั่นคงปลอดภัยไดโดยการใชตัวบงชี้ตางๆ และ

5. กําหนดไดวากิจกรรมที่ปฏิบัติเพื่อแกปญหาการละเมิดความมั่นคงปลอดภัยมีประสิทธิภาพหรือไม

ข) จัดใหมีการทบทวนประสิทธิผลของ ระบบ ฯ อยางสม่ําเสมอ (รวมถึงการประชุมดานนโยบายและวัตถุประสงคของ ISMS และทบทวนขอบังคับดานความมั่นคง) โดยการพิจารณาผลของ การตรวจสอบความมั่นคง เหตุการณ ผลจากการวัดประสิทธิผล คําแนะนําและการปอกลับจากผูที่เกี่ยวของทั้งหมด

ค) วัดประสิทธิผลของขอบังคับเพื่อที่จะยืนยันไดวาความตองการดานความมั่นคงไดรับการปฏิบัติครบถวน

ง) ทบทวนการประเมินความเสี่ยงตามแผนในเวลาที่กําหนด และทบทวนความเสี่ยงพื้นฐานที่ยอมรับได (residual risks) และระบุระดับความเสี่ยงที่ยอมรับได โดยการพิจารณาการเปลี่ยนแปลงที่มีตอ

1. องคกร 2. เทคโนโลยี 3. วัตถุประสงคและกระบวนการธุรกิจตางๆ



4. ระบุภัยคุกคาม 5. ประสิทธิผลของการใชขอบังคับ 6. กรณีจากภายนอก เชน การเปลี่ยนแปลงของกฎหมาย หรือกฎระเบียบที่เกี่ยวของ พันธ

สัญญาที่เปลี่ยนแปลง และการเปลี่ยนแปลงสภาพแวดลอมทางสังคม จ) นํากระบวนการตรวจสอบระบบ ฯ ภายในมาใช ในหวงเวลาตามแผนงาน (ดู ขอ 6) ฉ) กําหนดการทบทวนของระบบ ฯ ของฝายบริหารอยางสม่ําเสมอ เพื่อที่จะรับประกันได

วาขอบเขตการทํางานยังคงเพียงพอและสามารถบงชี้ใหเห็นวามีการปรับปรุงในกระบวนการระบบ ฯ (ISMS)

ช) ปรับปรุงแผนความมั่นคงใหทันสมัย โดยการพิจารณาสิ่งที่คนพบจากการเฝาระวังและการทบทวนกิจกรรมตางๆ

ซ) บันทึกการปฏิบัติงานและกรณีตางๆ ซ่ึงสามารถทําใหเกิดผลกระทบตอประสิทธิผล หรือผลงานของระบบ ฯ (ดู 6.3.3)

6.2.4 รักษาและปรับปรุงระบบ ฯ (Maintain and improve the ISMS) องคจะตองปฏิบัติงานตอไปนี้ อยางสม่ําเสมอ

ก) ดําเนินการเพื่อระบุการปรับปรุงของระบบ ฯ ข) จัดใหมีการปฏิบัติงานเชิงปองกันและแกไขอยางเหมาะสม ตามที่กําหนดในขอ 8.2 และ

8.3 นอกจากนี้ใหประยุกตใชบทเรียนจากประสบการณดานความมั่นคงปลอดภัยขององคกรอื่นๆ และจากองคกรของตนเองดวย

ค) ส่ือสารการปฏิบัติงานและการปรับปรุงไปยังฝายที่สนใจทั้งหมด ในระดับรายละเอียดที่เหมาะสมกับสภาพแวดลอม และขอตกลงในวิธีการที่จะกระทําตอไป

ง) รับประกันไดวาการปรับปรุงตอบสนองตอวัตถุประสงคที่ตั้งไว

6.3 ความตองการดานเอกสาร (Documentation requirements)

6.3.1 บทท่ัวไป เอกสารจะรวมถึงบันทึกการตัดสินใจของฝายบริหาร รับประกันวาการปฏิบัติทั้งหลายมีการรับรองโดยฝายบริหารและนโยบาย และรับประกันวาผลงานที่บันทึกไวนั้นสามารถกระทําซ้ําไดอีกในเอกสารจะตองแสดงไดวามีความสัมพันธระหวางขอบังคับที่เลือกกับผลของการประเมินความเสี่ยงและกระบวนการรับมือกับความเสี่ยง และตอเนื่องไปยังนโยบายของระบบ ฯ (ISMS) และวัตถุประสงค



เอกสารระบบ ฯ (ISMS) จะประกอบดวย

ก) เอกสารแสดงนโยบายของระบบ ฯ (ดู 6.2.1 ข)) และวัตถุประสงค ข) ขอบเขตของระบบ ฯ ค) กระบวนการและขอบังคับที่สนับสนุนระบบ ฯ (ISMS) ง) คําอธิบายของหลักการประเมินความเสี่ยง (ดู ขอ 6.2.1 ค)) จ) รายงานการประเมินความเสี่ยง (ดู ขอ 6.2.1 ค) ถึง 6.2.1 ช)) ฉ) แผนการรับมือกับความเสี่ยง (ดู ขอ 6.2.1 ข))

ช) กระบวนการที่เปนเอกสารที่จําเปนโดยองคกร เพื่อรับประกัน การวางแผน การปฏิบัติงาน และการควบคุม ของกระบวนการความมั่นคงปลอดภัยสารสนเทศที่มีประสิทธิภาพ และบรรยายวิธีการวัดประสิทธิผลของขอบังคับทั้งหลาย (ดูขอ 6.2.3 ค))

ซ) บันทึกที่ตองการ โดยมาตรฐานนี้ (ดูขอ 6.3.3) ญ) คําประกาศของการบังคับใช

6.3.2 การควบคุมเอกสาร (Control of documents) เอกสารตามที่ตองการโดยระบบ ฯ จะตองไดรับการปกปองและควบคุม จะตองมีกระบวนการที่เปนลายลักษณอักษรเพื่อที่จะกําหนดการทําหนาที่ของฝายบริหารที่จําเปน สําหรับ

ก) รับรองเอกสารสําหรับความพรอมมูล กอนที่จะเผยแพร ข) ทบทวนและปรับปรุงเอกสารใหทันสมัยเทาที่จําเปน และรับรองเอกสารอีกครั้ง ค) รับประกันวาการเปลี่ยนแปลงในเอกสาร และสถานะการแกไขในเอกสารเปนปจจุบัน และตรงกัน ง) รับประกันวาฉบับของเอกสารที่ใชที่ตรงประเด็นตามความตองการ พรอมใหใชเสมอ จ) รับประกันวาเอกสารยังคงชัดเจนอานงาย และสามารถแยกแยะได ฉ) รับประกันวาเอกสารพรอมใหใชเมื่อมีผูตองการ และมีขบวนการจัดการเอกสารแบง

ตามประเภท เพื่อโอน จัดเก็บและทําลายตามระเบียบ ช) รับประกันวาสามารถแยกแยะเอกสารจากภายนอกไดอยางชัดเจน ซ) รับประกันวาการแจกจายเอกสารไดรับการควบคุม ซ) ปองกันการนําเอกสารที่หมดอายุไปใชโดยไมตั้งใจ ญ) ประยุกตใชการระบุเรียกเอกสารที่เหมาะสมมาใช ถามีการเก็บรักษาเอกสารไวสภาพ

เดิมไมวากรณีใดๆ



6.3.3 การควบคุมบันทึกรายงาน (Control of records) ตองมีการจัดทําบันทึกและเก็บรักษาไวเปนหลักฐาน สําหรับการดําเนินงานตามมาตรฐานและการปฏิบัติงานอยางมีประสิมธิภาพของระบบ ฯ รายงานเหลานี้จะตองถูกเก็บรักษาไวและถูกควบคุม ระบบ ฯ จะตองพิจารณาถึงองคประกอบของ ความจําเปนของ กฎหมายและระเบียบขอบังคับ และพันธสัญญาตางๆ บันทึกการปฏิบัติงานตางๆ จะยังคงชัดเจนอานงาย สามารถแยกแยะไดและสืบคนได ขอบังคับที่จําเปนเพื่อการระบุช้ี การเก็บบันทึก การปกปอง การสืบคน การเก็บรักษาไวในระยะเวลาที่กําหนด และการกําจัดบันทึกเหลานั้นจะถูกทําเปนหลักฐานเอกสารและดําเนินการ

7 ความรับผิดชอบของการบริหารจัดการ (Management responsibility)

7.1 ขอผูกมัดของการบริหารจัดการ (Management commitment) ฝายบริหารจะจัดใหมีหลักฐานแสดงขอผูกมัดเพื่อที่จะจัดตั้ง ดําเนินการ การปฏิบัติงาน การเฝาระวัง การตรวจทาน การบํารุงรักษา และการปรับปรุงของระบบ ฯ (ISMS) ไดแก

ก) การจัดทํานโยบายระบบ ฯ ข) การรับประกันวา วัตถุประสงคของระบบ ฯ และแผนงานไดรับการจัดทํา ค) การจัดทําบทบาทและความรับผิดชอบทั้งหลายสําหรับความมั่นคงปลอดภัยดานสารสนเทศ ง) การสื่อสารตอองคกร เร่ืองความสําคัญที่จะตองบรรลุใหถึงเปาหมายของความมั่นคง

ปลอดภัยดานสารสนเทศ และการปฏิบัติตามนโยบายความมั่นคงปลอดภัยดานสารสนเทศ ความรับผิดชอบตามกฎหมายและความจําเปนสําหรับการปรับปรุงใหตอเนื่อง

จ) จัดใหมีทรัพยากรอยางเพียงพอ เพื่อที่จะจัดตั้ง ดําเนินการ ปฏิบัติงาน เฝาระวัง ตรวจทาน คงไว และปรับปรุงระบบ ฯ นี้ ( ดูขอ 7.2.1)

ฉ) การตัดสินใจเลือกหลักการสําหรับการยอมรับความเสี่ยง และระดับความเสี่ยงที่ยอมรับได ช) การรับประกันวามีการตรวจสอบภายในของระบบ ฯ ซ) การดําเนินการทบทวนดานการบริหารของระบบ ฯ

7.2 การบริหารทรัพยากร (Resource management)

7.2.1 การจัดเตรียมทรัพยากรไว (Provision of resources) องคกรจะกําหนดใหและจัดใหมีทรัพยากรที่จําเปนเพื่อที่จะ

ก) จัดตั้ง ดําเนินการ ปฏิบัติงาน เฝาระวัง ตรวจทาน คงไว และปรับปรุงระบบ ฯ ข). รับประกันวา กระบวนการความมั่นคงปลอดภัยสารสนเทศสนับสนุนความตองการดานธุรกิจ



ค) ระบุและนําเสนอความตองการดานกฎหมายและระเบียบ และพันธสัญญาดานความมั่นคงปลอดภัย ง) รักษาไวซ่ึงความมั่นคงปลอดภัยที่เพียงพอ โดยการใชงานที่ถูกตอง ของการดําเนินงาน

ตามขอบังคับทั้งหมด จ) ดําเนินการตรวจทานเมื่อจําเปน และตอบสนองตอผลของการตรวจทานนี้อยางเหมาะสม ฉ) ปรับปรุงประสิทธิผลของระบบ ฯ นี้ ในสวนที่ตองการ

7.2.2 การฝกอบรม การรับรู และความสามารถ (Training, awareness and competence) องคกรจะรับประกันวาบุคลากรทั้งหมดที่ไดรับมอบหมายหนาที่ที่กําหนดในระบบ ฯ มีความสามารถที่จะปฏิบัติงานได โดย

ก) กําหนดอํานาจหนาที่ที่จําเปน สําหรับบุคลากรในการปฏิบัติงานที่กี่ยวของกับระบบ ฯ ข) การจัดใหมีการฝกอบรมหรือการดําเนินการอื่นๆ (เชน จางบุคลากรที่มีความสามารถ)

เพื่อที่จะปฏิบัติตามความจําเปนเหลานั้นได ค) ใชตัวเลขมาแสดงความมีประสิทธิผลของการกระทําที่เกิดขึ้น ง) เก็บบันทึกรายงานการศึกษา การฝกอบรม ทักษะ ประสพการณ และคุณสมบัติ ( ดูขอ 6.3.3 ) นอกจากนี้องคกรจะรับประกันวา บุคลากรที่เกี่ยวของทั้งหมดไดตระหนักถึงความเกี่ยวพันธและความสําคัญของกิจกรรมความมั่นคงปลอดภัยสารสนเทศของพวกเขา และการทําหนาที่ที่จะนําไปสูการบรรลุเปาหมายของระบบ ฯ

8 การตรวจสอบระบบ ฯ ภายใน (Internal ISMS audits) องคกรจะควบคุมดูแลการตรวจสอบระบบ ฯ ภายในตามหวงเวลาที่กําหนด เพื่อที่จะตัดสินใจวา วัตถุประสงคของการควบคุม ขอบังคับ กรรมวิธี และกระบวนการ ทั้งหลายของระบบ ฯ นั้น

ก) ทําใหสอดคลองกับความตองการในรางมาตรฐานนี้ รวมทั้งกฎหมายและระเบียบขอบังคับที่เกี่ยวของ

ข) ทําใหสอดคลองกับความตองการดานความมั่นคงปลอดภัยสารสนเทศที่ระบุไว ค) ไดดําเนินการและคงไว อยางมีประสิทธิภาพ ง) ปฏิบัติงานไดตามที่ตั้งใจ ระเบียบวาระการตรวจสอบจะถูกกําหนดขึ้น โดยการพิจารณาประกอบกับสถานภาพและความสําคัญของกระบวนการและสวนตางๆ ที่ตองไดรับการตรวจสอบ เชนเดียวกันกับผลการตรวจสอบครั้งกอนๆ หลักการตรวจสอบ ขอบเขต ความถี่และวิธีการจะถูกกําหนดขึ้นมา การแตงตั้งผู



ตรวจสอบและการควบคุมดูแลการตรวจสอบจะรับประกันวัตถุประสงคและความเปนกลางของกระบวนการตรวจสอบนี้ ผูตรวจสอบจะไมตรวจสอบงานของตนเอง

ความรับผิดชอบและความตองการสําหรับการวางแผนและควบคุมดูแลการตรวจสอบ และสําหรับการายงานผลและการคงไวของบันทึกรายงาน ( ดูขอ 6.3.3 ) จะถูกกําหนดไวในขั้นตอนที่เปนคูมือ

ฝายบริหารที่ทําหนาที่รับผิดชอบในสวนที่ถูกตรวจสอบจะตองรับประกันวามีการดําเนินการเพื่อระงับความไมสอดคลองที่ถูกคนพบและสาเหตุของมันโดยไมชักชา การกระทําตอเนื่องจากนี้จะรวมถึงการพิสูจนของการกระทําตางๆ ที่เกิดขึ้นและการรายงานผลของการพิสูจนนั้นๆ

9 การตรวจทานดานการบริหารของระบบ ฯ (Management review of the ISMS)

9.1 บทท่ัวไป ฝายบริหารจะตองทบทวนระบบ ฯ ขององคกรตามระยะเวลาที่กําหนด (อยางนอยปละครั้ง) เพื่อใหแนใจวาความเหมาะสม ความพอเพียง และความมีประสิทธิผล จะมีอยูโดยตอเนื่อง การทบทวนนี้จะรวมถึงการประเมินโอกาสสําหรับการปรับปรุง และความจําเปนสําหรับความเปลี่ยนแปลงตอระบบ ฯ รวมทั้งนโยบายดานความมั่นคงปลอดภัยสารสนเทศ และวัตถุประสงคดานความมั่นคงปลอดภัยสารสนเทศ ผลของการทบทวนนี้จะถูกบันทึกเปนเอกสารอยางชัดเจนและรายงานบันทึกนี้จะถูกเก็บรักษาไวในระบบ ( ดูขอ 6.3.3 )

9.2 ขอมูลนําเขาของการตรวจทาน (Review input) การนําเขาขอมูลเพื่อการทบทวนการบริหารจัดการจะประกอบดวย

ก) ผลของการตรวจสอบระบบ ฯ และการตรวจทาน ข) การแจงกลับจากผูที่สนใจ ค) เทคนิค ผลิตภัณฑหรือกระบวนการ ซ่ึงสามารถนํามาใชกับองคกรเพื่อที่จะปรับปรุงการ

ทํางานและประสิทธิผลของระบบ ฯ ง) สถานภาพของการกระทําเชิงปองกันและเชิงแกไข จ) ความเปราะบาง/ไมมั่นคง หรือภัยคุกคามที่ถูกระบุไวอยางจํากัดในการประเมินครั้งกอน ฉ) ผลจากการวัดประสิทธิผล ช) การกระทําที่ตอเนื่องจากการทบทวนดานบริหารครั้งกอนๆ ซ) การเปลี่ยนแปลงใดๆ ที่อาจมีผลกระทบตอ ระบบ ฯ ฌ) คําแนะนําสํากรับการปรับปรุง



9.3 ขอมูลดานขาออกของการตรวจทาน (Review output) ขอมูลขาออกจากการตรวจทานดานบริหารจะประกอบดวย การตัดสินใจใดๆ และการกระทําใดๆ ที่เกี่ยวของกับสิ่งตอไปนี้

ก) การปรับปรุงของประสิทธิผลของระบบ ฯ ข) การปรับปรุงการประเมินความเสี่ยงและแผนรับมือความเสี่ยงใหทันสมัย ค) การปรับแตงของกระบวนการและขอบังคับ ซ่ึงมีผลตอความมั่นคงปลอดภัยสารสนเทศ

ที่จําเปน เพื่อที่จะตอบสนองตอกรณีเหตุภายในหรือภายนอก ที่อาจมีผลกระทบตอระบบ ฯ รวมถึงการเปลี่ยนแปลงที่เกิดขึ้นตอ

1. ความตองการดานธุรกิจ 2. ความตองการดานความมั่นคงปลอดภัย 3. กระบวนการทางธุรกิจที่มีผลตอความตองการเดิมของธุรกิจ 4. ความตองการดานระเบียบขอบังคับและกฎหมาย 5. พันธสัญญา 6. ระดับของความเสี่ยงและ/หรือหลักการสําหรับการยอมรับความเสี่ยง

ง) ทรัพยากรที่จําเปน ฉ) การปรับปรุงดานวิธีการวัดประสิทธิผลของขอบังคับ

10. การปรับปรุงระบบ ฯ (ISMS improvement)

10.1 การปรับปรุงใหเปนปกติ (Continual improvement) องคกรจะปรับปรุงอยางตอเนื่อง ไดแก ความมีประสิทธิภาพของระบบ ฯ ผานการใชของ นโยบายดานความมั่นคงปลอดภัย วัตถุประสงคดานความมั่นคงปลอดภัย ผลการตรวจสอบ การวิเคราะหของกรณีที่เฝาระวัง การกระทําเชิงปองกันและเชิงแกไข และการทบทวนการบริหารจัดการ

10.2 การกระทําเชิงแกไข (Corrective action) องคกรจะตองดําเนินการเพื่อระงับสาเหตุของการไมปฏิบัติตามขอบังคับของระบบ ฯ ในกรณีที่จะปองกันเหตุมิใหเกิดขึ้นอีก กระบวนการที่เปนเอกสารสําหรับการกระทําเชิงแกไขจะตองกําหนดความตองการ สําหรับ

ก) การระบุการไมปฏิบัติตามขอบังคับ ข) การไดขอสรุปถึงสาเหตุของการไมปฏิบัติตามขอบังคับ ค) การประเมินคาของการกระทําที่จําเปน เพื่อรับประกันวาการไมปฏิบัติตามขอบังคับไมเกิดขึ้นอีก



ง) การกําหนดใหและการดําเนินการของการกระทําเชิงแกไขที่จําเปน จ) การบันทึกผลของการกระทําที่เกิดขึ้น (ดูขอ 6.3.3) ฉ) ทบทวนการกระทําเชิงแกไขที่เกิดขึ้น

10.3 การกระทําเชิงปองกัน (Preventive action) องคกรจะตองไดขอสรุปของการกระทําที่จะระงับสาเหตุของการไมปฏิบัติตามขอบังคับที่มีอิทธิพลตอความตองการของระบบ ฯ เพื่อปองกันมิใหเกิดขึ้นมาอีก การกระทําเชิงปองกันจะตองมีผลกระทบที่เหมาะสมตอปญหาตางๆ ดังกลาว กระบวนการที่เปนเอกสารเพื่อการกระทําเชิงปองกันจะกําหนดความตองการ ไดแก

ก) ระบุการไมปฏิบัติตามขอบังคับที่มีอิทธิพลและแหลงที่มา ข) การประเมินคาความจําเปน สําหรับการกระทําที่ปองกันการไมปฏิบัติตามขอบังคับไมใหเกิดอีก ค) การกําหนดใหและการดําเนินการของการกระทําเชิงปองกันที่จําเปน ง) การบันทึกผลของการกระทําที่เกิดขึ้น (ดูขอ 4.3.3) จ) ทบทวนการกระทําเชิงปองกันที่เกิดขึ้น องคกรจะตองระบุความเสี่ยงที่เปลี่ยนไปและระบุความตองการการกระทําเชิงปองกัน ที่มุงไปที่ความเสี่ยงที่เปลี่ยนไปอยางมีนัยสําคัญ

ลําดับความสําคัญของการกระทําเชิงปองกัน จะถูกกําหนดใหโดยอางอิงจากผลของการประเมินความเสี่ยง



ภาคผนวก ก. มาตรฐานความมั่นคงปลอดภัยไอซีที

ISO/IEC 17799:2005 1. มาตรฐานความมั่นคงปลอดภัยไอซีที ท่ีใชบังคับ

1.1 การพัฒนามาตรฐาน เนื่องจากการนําเทคโนโลยีสารสนเทศมาใชในองคกรมีความจําเปนตามที่กําหนดโดยภาร

กิจซึ่งไมเทากันในแตละองคกร องคกรที่ไมใชไอทีในการปฏิบัติงานใดๆ เลย ก็คงไมตองการ

ความมั่นคงปลอดภัยดานไอที ดวยเหตุนี้การพัฒนามาตรฐานฯ มักจะแบงการควบคุมความมั่น

คงปลอดภัยเปน 3 ระดับ ตามระดับความจําเปนของแตละองคกรเพื่อใหสามารถบริหารจัดการ

ไดอยางเหมาะสมและมีประสิทธิภาพ ดังนี้

1.1.1 ระดับพื้นฐาน(Basic Level)

ก) จัดใหมีความมั่นคงปลอดภัยในระดับพื้นฐาน

ข) การแบงกิจกรรมที่ตองการความมั่นคงปลอดภัยออกเปนสวนๆแยกจากกัน

ค) การเขารหัสเปนทางเลือกเหมาะกับองคกรขนาดเล็กในสภาพแวดลอมที่จํากัดหรือ

สําหรับหนวยงานที่ระบบสารสนเทศไมเปนความลับมาก

1.1.2 ระดับกลาง(Intermediate Level)



ก) มีการควบคุมเหมือนระดับพื้นฐาน

ข) จัดใหมีระเบียบขอบังคับเพิ่มเติม

ค) การเนนที่การควบคุมเชิงเทคนิค

ง) การเนนที่การควบคุมการบริหารงานดวย

1.1.3 ระดับสูง(Advanced Level)

ก) ครอบคลุมระดับ1 และ 2

ข) ความมั่นคงปลอดภัยถือเปนหนาที่สําคัญยิ่งขององคกร

ค) สาระสําคัญจะเนนที่การบริหารจัดการเปนหลัก

ง) กิจกรรมที่กําหนดจะครอบคลุมเรื่องกวางๆในระดับองคกร

จ) สําหรับองคที่มีความเสี่ยงสูงและมีความตองการที่ซับซอน

ฉ) การพัฒนามาตรฐานในที่นี้จะประกอบไปดวยมาตรฐานการบริหารจัดการความมั่นคง

ปลอดภัยและการควบคุมในหัวขอหลักดานความมั่นคงปลอดภัย ในแตละองคกร

1.2 มาตรฐานการบริหารจัดการความมั่นคงปลอดภัย See document: ISO27000 Family.mmap



ระบบการบริหารจัดการความมั่นคงปลอดภั ย (Information security management

systems; ISO/IEC 27001:2005) เปนระบบที่ตองการสราง มาตรฐานการออกใบรับรองและรับ

ประกัน (Certification and Accreditation) ใหกับองคกรที่ใชเทคโนโลยีสารสนเทศในการดําเนิน

งานในประเทศไทย ครอบคลุมทั้งภาครัฐ ภาคเอกชน และองคกรที่ไมแสวงกําไรตางๆ โดยใช

แนวทางการบริหารความเสี่ยงเปนแนวปฏิบัติ และจะใชหลักการบริหารจัดการความมั่นคง

ปลอดภัย ผานกระบวนการปรับปรุงอยางตอเนื่อง ดวยกระบวนการ "Plan-Do-Check-Act" เชน

เดียวการมาตรฐานการจัดการอื่นๆ ไดแก ISO 9001 (QMS) และ ISO 14001 (EMS) เปนตน ทั้ง

นี้ เพื่อที่จขะใหคาดหวังตอไปไดวา การดําเนินธุรกรรมและการสื่อสารแลกเปลี่ยนขอมูล

อิเล็กทรอนิกส ผานเครือขายสารสนเทศจะสามารถสรางความเชื่อถือได ทั้งในระดับประเทศ

และระดับนานาชาติตอไป

1.3 หัวขอหลักดานมาตรฐานความมั่นคงปลอดภัย (Security Domains) การกํากับมาตรฐานจะอางถึง ISO/IEC 17799: 2005 ("Code of practice for information

security management") ซ่ึงถือวาเปนมาตรฐานที่ยอมรับกันในระดับนานาชาติของวิธีปฏิบัติที่ดี

สําหรับความมั่นคงปลอดภัยดานสารสนเทศ (IS) และมีองคกรทั่วโลกกวา 2,000 แหงที่มีใบรับ

รองมาตรฐานการปฏิบัติตามขอกําหนด (Certified compliant) โดยการใชมาตรฐาน ISMS (ISO

27001) นอกจากนี้ใน ISO 27001 ไดบรรจุบทคัดยอของการควบคุมกํากับตามมาตรฐาน ISO



17799 ไวในภาคผนวกดวย และในราวป ค.ศ. 2007 ISO 17799 จะถูกเปลี่ยนชื่อเปน ISO/IEC

27002 ซ่ึงเปนสวนหนึ่งของมาตรฐาน ISO 27000 Series

วัตถุประสงคของมาตรฐานฯ เพื่อเปนแนวทางปฏิบัติที่จะกํากับดูแล หรือควบคุมความ

เสี่ยงอยางเปนระบบ และเพื่อใหครอบคลุมองคประกอบหลักดานความมั่นคงปลอดภัย ไดแก

Confidentiality, Integrity และ Availability ทั้งนี้องคการที่นํามาตรฐาน ISO 17799 ไปใช (ซ่ึง

ครอบคลุมทั้ง ภาคธุรกิจ ภาครัฐบาล และองคการที่ไมแสวงกําไร) จะตองประเมินความเสี่ยง

กอน (Risk Assessment and Treatment) แลวจึงเลือกใชการกํากับดูแลตามความเหมาะสม โดยมี

มาตรฐานฯ เปนแนวปฏิบัติ หลักการประเมินความเสี่ยงที่เปนรายละเอียดจะอางอิงจากมาตร

ฐาน

อ่ืน ๆนอกจาก ISO 27000 Series นี้ (เชน ISO/IEC Technical Report 13335 - IT security management)



หัวขอหลักดานมาตรฐานความมั่นคงปลอดภัย (Security Domain) ประกอบดวย 11 หัวขอ ซ่ึงจะเปนประเด็นหลักในการควบคุมมาตรฐาน ISMS ในรางมาตรฐาน มีดังนี้

1.3.1 นโยบายดานความมั่นคงปลอดภัย (Security policy)

การกําหนดจัดทํามาตรฐานนโยบายดานความมั่นคงปลอดภัยที่เกี่ยวกับสารสนเทศสําหรับองคกร ที่ตองสอดคลองกับขอกําหนดทางธุรกิจ กฎหมาย และระเบียบปฏิบัติที่จัดทําเปนนโยบายลายลักษณอักษรที่ไดรับอนุมัติจากผูบริหารขององคกร เพื่อเผยแพรใหองคกรและหนวยงานภายนอกที่เกี่ยวของไดรับทราบ

1.3.2 โครงสรางดานความมั่นคงปลอดภัยสําหรับองคกร (Organization of information security)

ก) โครงสรางดานความมั่นคงปลอดภัยในองคกร (Internal organization)

การบริหารและจัดการดานความมั่นคงปลอดภัยสารสนเทศในองคกร มีดังนี้

1. การให ความสํ าคัญสนับสนุนการบริหารจัดการด านความมั่นคงปลอดภั ย (Management commitment to information security) ที่มีขอกําหนดที่ชัดเจน และการปฏิบัติที่สอดคลองกับการมอบหมายงานที่เหมาะสมกับบุคลากร ที่เปนหนาที่ความรับผิดชอบในการสรางความมั่นคงปลอดภัยใหกับสารสนเทศ

2. การประสานงานรวมมือกันในการสรางความมั่นคงปลอดภัยสารสนเทศขององคกโดยการกําหนดตัวแทนบุคลากรขององคกรในการสรางความมั่นคงปลอดภัยสาร สนเทศ

3. การกําหนดหนาที่ความรับผิดชอบของบุคลากรในการดําเนินงานดานความมั่นคงปลอดภัยสารสนเทศขององคกร

4. การกําหนดกระบวนการในการอนุมัติการใชงานอุปกรณประมวลผลสารสนเทศ

5. การจัดใหมีการลงนามขอตกลงระหวางบุคลากรกับองคกรมิใหเปดเผยความลับขององคกร

6. การกําหนดรายชื่อและขอมูลสําหรับการติดตอประสานงานกับหนวยงานอ่ืน ดาน ความมั่นคงปลอดภัยในกรณีที่จําเปน



7. การกําหนดรายชื่อและขอมูลสําหรับติดตอกับกลุมตางๆ ที่มีความสนในเปนพิเศษในกลุมดานความมั่นคงปลอดภัยสารสนเทศ

8. การกําหนดใหมีการตรวจสอบการบริหารจัดการดําเนินงาน การปฏิบัติการดานความมั่นคงปลอดภัยสารสนเทศ โดยผูตรวจสอบอิสระเปนผูตรวจสอบตามรอบระยะเวลาที่มีกําหนดไว หรือเมื่อมีการเปลี่ยนแปลงที่สําคัญกับองคกร

ข) โครงสรางดานความมั่นคงปลอดภัยที่เกี่ยวของกับลูกคาหรือหนวยงานภายนอก (External parties)

การบริหารจัดการความมั่นคงปลอดภัยสารสนเทศขององคกรที่ถูกเขาถึง ถูกประมวลผล หรือถูกใชในการติดตอสือสารกับลูกคาหรือหนวยงานภายนอก มีการบริหารจัดการดังนี้

1. การกําหนดใหมีการประเมินความเสี่ยงที่เกิดจาการเขาถึงสารสนเทศ หรืออุปกรณที่ใชในการประมวลผลสารสนเทศโดยหนวยงานภายนอก

2. การระบุขอกําหนดสําหรับลูกคาหรือผูใชบริการที่เกี่ยงของกับความมั่นคงปลอดภัยสารสนเทศขององคกร

3. การระบุขอกําหนดดานความั่นคงปลอดภัยสารสนเทศที่มีความจําเปนสําหรับความมั่คงปลอดภัยขององคกร ระหวางองคกรและหนวยงานภายนอก

1.3.3 การบริหารจัดการทรัพยสิน (Assess management)

ก) การกําหนดหนาที่ความรับผิดชอบตอทรัพยสินขององคกร (Responsibility for assets)

1.การจัดทําบัญชีทรัพยสิน (Inventory of assets) การจัดทําและปรับปรุงแกไขบัญชีทรัพยสินที่มีความสําคัญตอองคใหถูกตองอยูเสมอ

2. การระบุผูเปนเจาของทรัพยสินที่เปนสวนสารสนเทศ (Ownership of assets) ตามที่กําหนดไวในบัญชีทรัพยสิน

3. การจัดทํากฏ ระเบียบหรือหลักเกณฑที่เปนลายลักษณอักษรสําหรับการใชงานสารสนเทศและทรัพยสินที่เกี่ยวกับการประมวลผลสารสนเทศอยางเหมาะสม

ข) การจัดหมวดหมูสารสนเทศ (Information classification)



การกําหนดระดับการปองกันสารสนเทศขององคกรอยางเหมาะสม ทั้งดานการจัดการหมวดหมูของทรัพยสินสารสนเทศตามระดับชั้นความลับ ความคุณคาและขอกําหนดทางกฎหมายที่มีตอองคกร และปายชื่อของทรัพยสินสารสนเทศตามที่ไดจัดหมวดหมู

1.3.4 ความมั่นคงปลอดภัยท่ีเก่ียวของกับบุคลากร (Human resources security)

ก) การสรางความมั่นคงปลอดภัยกอนการจางงาน

1. การกําหนดหนาที่ความรับผิดชอบดานความมั่นคงปลอดภัย โดยการกําหนดหนาที่ความรับผิดชอบดานความมั่นคงปลอดภัยสารสนเทศอยางเปนลายลักษณอักษรสําหรับบุคลากรที่องคกรตองทําสัญญาวาจาง และหนวยงานภายนอกที่องคกรตองการวาจางมาปฏิบัติงานใหองคกร ที่ตองสอดคลองกับนโยบายความมั่นคงปลอดภัยสารสนเทศขององคกร

2. ตองมีการตรวจสอบคุณสมบัติของผูสมัคร เชน ตรวจสอบประวัติการทํางาน วุฒิการศึกษา เปนตน

3. ตองมีการกําหนดเงื่อนไขการจางงาน เปนการกําหนดหนาที่ความรับผิดชอบทางดานความมั่นคงปลอดภัยสารสนเทศ สําหรับบุคลากรที่ไดรับการวาจางดังกลาวจะตองเห็นชอบและลงนามในเงื่อนไขการจางงาน

ข) การสรางความมั่นคงปลอดภัยในระหวางการจางงาน

การสรางบุคลากรใหเขาใจตระหนักถึงภัยคุกคามและปญาที่เกี่ยวของกับความมั่นคงปลอดภัยโดยมีการใหความรูและอบรมความเขาใจเกี่ยวกับนโยบายความมั่นคงปลอดภัยขององคกร เพื่อลดความเสี่ยงอันเกิดจากความผิดพลาดในการปฏิบัติหนาที่ และมีกระบวนการทางวินัยเพื่อลงโทษบุคลากรที่ฝาฝนหรือละเมิดนโยบายหรือระเบียบปฏิบัติทางดานความมั่นคงปลอดภัยขององคกร

ค) การสิ้นสุดหรือการเปลี่ยนการจางงาน

เพื่อใหบุคลากรผูที่องคกรทําสัญญาวาจาง และหนวยงานภายนอกรับทราบถึงหนาที่ความรับผิดชอบและบทบาทของตน เมื่อส้ินสุดการจางงานหรือการเปลี่ยนการจางงาน มีดังนี้



1. การสิ้นสุดหรือการเปลี่ยนการจางงาน กําหนดหนาที่ความรับผิดชอบสําหรับผูที่องคกรเลิกการจางงานหรือองคกรเปลี่ยนลักษณะการจางงาน เพื่อใหปฏิบัติตามหนาที่ที่กําหนดไว

2. กําหนดใหผูที่องคกรสิ้นสุดการจางงานหรือเปล่ียนลักษณะการจางงานคืนทรัพยสินใหกับองคกร ตามที่อยูในความครอบครอง

3. การถอดถอนสิทธืในการเขาถึงสารสนเทศและทรัพยสินสารสนเทศของผูที่องคกรสิ้นสุดการจางงานหรือเปลี่ยนลักษณะการจางงาน

1.3.5 ความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดลอม (Physical and environmental security)

ก) การกําหนดบริเวณที่ตองรักษาความมั่นคงปลอดภัย

การปองกันการเขาถึงทางกายภาพโดยไมไดรับอนุญาต เปนการกอใหเกิดความเสียหาย และการกอกวนหรือแทรกแซงตอทรัพยสินสารสนเทศขององคกร การจัดทําบริเวณความมั่นคงปลอดภัย มีดังนี้

1. การจัดทําบริเวณลอมรอบ เปนการจัดสรรพื้นที่ กั้นบริเวณการเขา – ออกของสํานักงานองคกร โดยมี รภป ควบคุมการผานเขาออก เพื่อปองกันการเขาถึงสารสนเทศและอุปกรณประมวลผลสารสนเทศขององคกร

2. การควบคุมการเขา – ออก ในบริเวณพื้นที่ที่ตองการรักษาความปลอดภัย ตองอนุญาตใหผานเขา - ออกไดเฉพาะผูไดรับอนุญาตเทานั้น ที่เปนการรักษาความมั่นคงปลอดภัยสําหรับสํานักงานขององคกร และทรัพยสิน

3. การปองกันภัยคุกคามจากภายนอกและสิงแวดลอม เชน ไฟไหม น้ําทวม แผนดินไหว การระเบิด ความไมสงบของบานเมื่อง หรือหายนะอื่นๆทั้งที่เกิดจากมนุษยและธรรมชาติ

4. การจัดใหมีการปองกันทางกายภาพสําหรับการปฏิบัติงานในพื้นที่ที่ตองรักษาความมั่นคงปลอดภัย

5. การจัดบริเวณสําหรับการเขาถึงเทคโนโลยีสารสน หรือการสงมอบผลิตภัณฑโดยบุคคลภายนอก เพื่อปองกันการเขาถึงทรัพยสินสารสนเทศขององคกรโดยไมไดรับอนุญาต การจัดบริเวณควรจัดแยกออกมาตางหากตามความจําเปน



ข) ความมั่นคงปลอดภัยของอุปกรณ

การปองกันการสูญหาย การเกิดความเสียหาย การถูกขโมยหรือการถูกเปดเผยโดยไมไดรับอนุญาตเกี่ยวกับทรัพยสินขององคกร มีดังนี้

1. การจัดวางและปองกันอุปกรณของสํานักงานเพื่อลดความเสี่ยงจากภัยคุถคามทางดานสิ่งแวดลอมและอันตรายตางๆ ทั้งความเสี่ยงในการเขาถึงอุปกรโดยไมไดรับอนุญาต

2. การกําหนดใหมีกลไกการปองกันการลมเหลวของระบบและอุปกรณสํานับสนุนตางๆ

3. กําหนดใหมีการเดินสายไฟฟา สายส่ือสาร และสายเคเบิ้ลอ่ืนๆ ไดรับการปองกันการเขาถึงโดยไมไดรับอนุญาต และปองกันการทําใหสายสัญญาณเกิดเสียหาย

4. กําหนดใหมีการบํารุงรักษาอุปกรณอยางสม่ําเสมอเพื่อใหอุปกรณทํางานไดอยางตอเนื่องและอยูในสภาพที่มีความสมบูรณตอการใชงาน

5. กําหนดใหมีการปองกันอุปกรณที่ใชงานอยูนอกสํานักงานเพื่อไมใหเกิดความเสียหายตออุปกรณเหลานั้น การปองกันโดยพิจารณาจากความเสี่ยงที่มีกับอุปกรณเหลานั้น

6. การกําจัดอุปกรณหรือการนําอุปกรณกลับมาใชงานอีกครั้ง

7. การนําทรัพยสินขององคกรออกนอกสํานักงาน ตองผานการอนุญาตนําทรัพยสินออกนอกองคกร ไดแก อุปกรณสารสนเทศ หรือซอฟตแวร

1.3.6 การบริหารจัดการ ดานการสื่อสาร และดานการดําเนินงานของเครือขายสารสนเทศ (Communications and operations management)

ก) การกําหนดหนาที่ความรับผิดชอบและขั้นตอนการปฏิบัติงาน

เพื่อการดําเนินงานที่เกี่บวของกับอุปกรณประมวลผลสารสนเทศที่เปนไปอยางถูกตองและปลอดภัยตามการปฏิบัติงาน มีดังนี้

1. การจัดทําคูมือขั้นตอนปฏิบัติงาน โดยมีการปรับปรุงตามระยะเวลาและแจกจายใหกับผูที่เกี่ยวของ

2. กําหนดใหมีการควบคุมเปลี่ยนแปลงปรับปรุง หรือแกไขระบบอุปกรณประมวลผลสารสนเทศ



3. กําหนดใหมีการแบงหนาที่ความรับผิดชอบ

4. จัดใหมีการแยกระบบสําหรับการพัฒนา การทดสอบ และการใหบริการออกจากกัน

ข) การบริหารจัดการการใหบริการของหนวยงานภายนอก

ขอตกลงในการรักษาระดับความมั่นคงปลอดภัยของการปฏิบัติหนาที่โดยหนวยงานภายนอกที่จัดทําไวระหวางองคกรกับหนวยงานภายนอก มีดังนี้

1. ขอตกลงในการเปนผูใหบริการโดยหนวยงานภายนอกที่จัดทําขึ้นระหวางองคกรนั้น ขอตกลงตองมีระบุเกี่ยวกับมาตรการการรักษาความมั่นคงปลอดภัย ลักษณะการใหบริการ และระดับของการใหบริการ

2. มีการตรวจสอบการใหบริการโดยหนวยงานภายนอกสม่ําเสมอ

3. การบริหารจัดการการเปลี่ยนแปลงในการใหบริการ โดยกําหนดเงื่อนไขการใหบริการของหนวยงานภายนอกเมื่อมีการเปลี่ยนแปลงที่สําคัญตอระบบหรือกระบวนการที่เกี่ยวของกับงานใหบริการของหนวยงานภายนอก เชน การปรับปรุงระบบสารสนใหม การพัฒนาระบบสารสนเทศใหม เปนตน ซ่ึงมีผลกระทบตอการดําเนินงานของผูใหบริการจากภายนอก

ค) การวางแผนและการตรวจรับทรัพยากรสารสนเทศ

การวางแผนและการตรวจรับทรัพยาการสารสนเทศที่เปนระบบงาน โดยมีการวางแผนกําหนดทรัพยากรสารสนเทศที่เพิ่มเติมใหมในอนาคต และการจัดใหมีกฏเกณฑการตรวจรับระบบสารสนเทศใหม หรือที่ปรับปรุงเพิ่มเติม เพื่อใหระบบมีประสิทธิภาพที่เหมาะสมตอการใชงาน

ง) การปองกันโปรแกรมที่ไมประสงคดี

การรักษาซอฟตแวรและสารสนเทศใหปลอดภัยจากการถูกทําลายโดยซอฟตแวรที่ไมประสงคดี มีดังนี้

1. การปองกันโปรแกมที่ไมประสงคดี โดยการมีมาตรการสําหรับการตรวจจับ การปองกัน และการกูคืนในการปองกันทรัพยสินสารสนเทศจากโปรแกรทลมที่ไมประสงคดี



2. การปองกันโปรแกรมชนิดเคลื่อนที่ คือ โปรแกรมที่เคลื่อที่จากหนวยความจําหนึ่งไปทํางานในหนวยความจําของอีกเครื่องคอมพิวเตอรหนึ่ง เพื่อปองกันไมใหโปรแกรมชนิดเคลื่อนที่อ่ืนๆ สามารถทํางานหรือใชงานได



จ) การสํารองขอมูล

การจัดใหมีการสํารองและทดสอบขอมูลที่สํารองเก็บไวอยางสม่ําเสมและใหเปนไปตามนโยบายการสํารองขอมูลขององคกร

ฉ) การบริหารจัดการทางดานความมั่นคงปลอดภัยสําหรับเครือขายขององคกร

การปองกันสารสนเทศบนเครือขายและโครงสรางพื้นฐานที่สนับสนุนการทํางานของเครือขาย มีดังนี้

1. การกําหนดมาตรการทางเครือขาย เพื่อการบริหารจัดการเครื่อขาย และการปองกันภัยคุกคามตางๆ ทางเครือขาย และการดูแลรักษาความมั่นคงปลอดภัยระบบและแอพปลิเคช่ันที่ใชงานเครือขาย รวมทั้งสารสนเทศที่สงผานเครือขาย

2. ความมั่นคงปลอดภัยสําหรับเครือขาย โดยการกําหนดคุณสมบัติดานความมั่นคงปลอดภัย ระดับการใหบริการ และขอกําหนดในการบริหารจัดการสําหรับบริการเครือขายทั้งหมดที่องคกรใหบริการอยูที่เปนเครือขานภายในองคกรหรือบริการหนวยงานภายนอก ที่องคกรตองกําหนดไวในขอตกลงของการใหบริการเครือขาย

ช) การจัดการสื่อที่ใชในการบันทึกขอมูล

การปองกันการเปดเผย การเปลี่ยนแปลงแกไข การลบหรือการทําลายทรัพยสินสารสนเทศโดยไมไดรับอนุญาต และการติดขัดหรือหยุดชะงักทางธุรกิจ มีดังนี้

1. การกําหนดขั้นตอนปฏิบัติของการบริหารจัดการสื่อบันทึกขอมูลที่สามารถเคลื่อนที่ได

2. การจํากัดสื่อบันทึกขอมูล คือ กําหนดขั้นตอนปฏิบัติสําหรับการทําลายสื่อบันทึกขอมูลที่ไมมีความจําเปนตองใชงานอีกตอไป โดยการทําลายจํากัดตองเปนไปอยางมีความมั่นคงและปลอดภัย

3. การกําหนดขั้นตอนการปฏิบัติสําหรับการจัดการและจัดเก็บสารสนเทศเพื่อปองกันการเขาถึงโดยไมไดรับอนุญาตหรือการใชงานผิดวัตถุประสงค

4. การกําหนดมาตรการความมั่นคงปลอดภัยสําหรับเอกสาร เปนการปองกันเอกสารระบบจากผูที่เขาถึงระบบโดยไมไดรับอนุญาต



ซ) การแลกเปลี่ยนสารสนเทศ

การรักษาความมั่นคงปลอดภัยของสารสนเทศและซอฟตแวรที่มีการแลกเปลี่ยนกันภายในองคกร และที่มีการแลกเปลี่ยนกับหนวยงานภายนอก มีดังนี้

1. การกําหนดนโยบายและขั้นตอนที่ปฏิบัติการแลกเปลี่ยนสารสนเทศ เพื่อปองกันปญหาของการแลกปลี่ยนสารสนเทศระหวางองคกร

2. จัดทําขอตกลงในการแลกเปลี่ยนสารสนเทศและซอฟตแวรระหวางองคกร อยางเปนลายลักษณอักษร

3. การปองกันการสงสือบันทึกขอมูลออกไปนอกองคกร เปนการปองกันจากผูใชเขาถึงขอมูลโดยไมไดรับอนุญาตที่มีผลทําใหขอมูลเกิดความเสียหารในระหวางสงขอมูลออกไปนอกองคกร

4. การกําหนดมาตรการการปองกันสารสนเทศที่มีการสงผานทางขอความอิเล็กทรอนิกส

5. การกําหนดนโยบายและขั้นตอนปฏิบัติการปองกันสารสนเทศที่เกี่ยวของกับระบบสารสนเทศทางธุรกิจที่เชื่อมโยงกัน

ฌ) การสรางความมั่นคงปลอดภัยสําหรับบริการพาณิชยอิเล็กทรอนิกส

การสรางความมั่นคงปลอดภัยสําหรับพาณิชยอิเล็กทรอนิกสในการใชงาน มีดังนี้

1. การกําหนดมาตรการปองกันสารสนเทศของระบบพาณิชอิเล็กทรอนิกสที่มีกาสงผานทางเครือขายสารธารณะที่เกิดจากมีการเปดเผย การเปลี่ยนแปลงแกไขระบบโดยไมไดรับอนุญาต

2. การกําหนดมาตรการปองกันสารสนเทศที่รับ – สงที่เกียวของกับธุรกิจออนไลน เปนการปองกันไมใหเกิดการเปลี่ยนแปลงสารสนเทศ การเปดเผยสารสนเทศ และการทําสําเนาสารสนเทศโดยไมไดรับอนุญาต

3. การกําหนดใหมีการปองกันความถูกตองและความสมบูรณของสารสนเทศที่มีการเผยแพรออกสูสารธารณะ



ญ) การเฝาระวังดานความมั่นคงปลอดภัย

การตรวจจับกิจกรรมการประมวลผลสารสนเทศที่ไมไดรับอนุญาต มีขั้นตอนดังนี้

1. การบันทึกเหตุการณที่เกี่ยวของกับการใชงานสารสนเทศ เปนการบันทึกเหตุการณตางๆ ที่เกี่ยวของกับความมั่นคงปลอดภัย

2. การกําหนดใหมีการตรวจสอบการใชงานระบบทรัพยสินสารสนเทศอยางสม่ําเสมอ เพื่อดูวามีส่ิงผิดปกติเกิดขึ้นหรือไม

3. การกําหนดใหมีมาตรการปองกันขอมูลบันทึกเหตุการณตางๆ ที่เกี่ยวของกับการใชงานสารสนเทศ เพื่อปองกันการเปลี่ยนแปลงหรือแกไขขอมูลโดยไมไดรัยอนุญาต

4. การกําหนดใหมีการบันทึกกิจกรรมการดําเนินงานของผูดูแลระบบหรือเจาหนาที่ที่เกี่ยวของกับระบบ

5. กําหนดใหมีการบันทึกเหตุการณขอผิดผลาดที่เกี่ยวของกับการใชงานสารสนเทศ

6. การตั้งเวลาเครื่องคอมพวเตอรทุกเครื่องในสํานักงานใหตรงกันโดยอางอิงจากแหลงเวลาที่ถูกตอง เพื่อชวยในการตรวจสอบชวงเวลาหากเครื่องคอมพิวเตอรขององคกรถูกบุกรุก

1.3.7 การควบคุมการเขาถึง (Access control)

ก) ขอกําหนดทางธุรกิจสําหรับการควบคุมการเขาถึงสาสนเทศ

การควบคุมการเขาถึงสารสนเทศ มีดังนี้

1. การกําหนดนโยบายการควบคุมการเขาถึงระบบเปนลายลักษณอักษร และมีการปรับปรุงตามระยะเวลาที่กําหนดไว การจัดทํานโยบายตามความตองการทางธุรกิจและความมั่นคงปลอดภัยในการเขาถึงทรัพยสินสารสนเทศ

ข) การบริหารจัดการการเขาถึงของผูใช

การควบคุมการเขาถึงระบบสารสนเทศเฉพาะผูที่ไดรับอนุญาต และปองกันการเขาถึงโดยไมไดรับอนุญาต มีดังนี้



1. กําหนดใหมีการลงทะเบียนบุคลากร เปนขั้นตอนปฏิบัติอยางเปนทางการในการลงทะเบียนบุคลการใหมเพื่อใหมีสิทธิตางๆ ในการใชงานตามความจําเปน รวมถึงขั้นตอนปฏิบัติสําหรับยกเลิกสิทธิการใชงาน เชน การลาออก การเปลี่ยนตําแหนงงานภายในองคกร เปนตน

2. การจัดใหมีการควบคุมและจํากัดสิทธิการใชงานระบบตามความจําเปนในการใชงาน

3. การจัดใหมีกระบวนการบริหารจัดการรหัสผานสําหรับผูใชงาน เปนการควบคุมจัดสรรรหัสผานใหแกผูใชงานอยางมีความมั่นคงปลอดภัย

4. การจัดใหมีกระบวนการทบทวนสิทธิการเขาถึงของผูใชงานระบบ

ค) หนาที่ความรับผิดชอบของผูใช

การปองกันการเขาถึงโดยไมไดรับอนุญาต การเปดเผย หรือการขโมยสารสนเทศและอุปกรณประมวลผลสารสนเทศ

1. การใชงานรหัสผาน เปนการกําหนดวิธีการปฏิบัติสําหรับผูใชงานในการเลือกและการใชรหัสผาน

2.การปองกันไมใหผูที่ไมมีสิทธืสามารถเขาถึงอุปกรณสํานักงานที่ไมมีบุคลากรดูแล

3. จัดทํานโยบายควบคุมการไมทิ้งทรัพยสินสารสนเทศที่สําคัญไวในที่ไมปลอดภัย

ง) การควบคุมการเขาถึงเครือขาย

การปองกันการเขาถึงบริการเครือขายโดยไมไดรับอนุญาต มีดังนี้

1. การจัดทํานโยบายการใชงานเครือขาย โดยตองระบุการบริการใดบางที่อนุญาตใหผูใชงาน สามารถใชได บริการใดไมสามารถใชได

2. กําหนดใหมีการพิสูจนตัวตนสําหรับผูใชที่อยูภายนอกองคกร กอนที่จะอนุญาตใหผูใชที่อยูภายนอกองคกรเขามาใชเครือขายและระบบสารสนเทศขององคกรได



3. การกําหนดใหอุปกรณบนเครือขายสามารถระบุและพิสูจนตัวตนเพื่อบงบอกการเชื่อมตอนั้นมาจากอุปกรณหรือสถานที่ไดรับอนุญาต

4. การมีมาตรการปองกันการเขาถึงพอรตที่ใชในการตรวจสอบและปรับแตงระบบ เปนมาตรการปองกันทางกายภาพและการปองกันการเขาถึงโดยผานทางเครือขาย

5. การทําการแบงแยกเครือขายตามกลุมของผูใชบริการสารสนเทศที่ใชงาน ตามกลุมของผูใช และกลุมของระบบสารสนเทศ

6. การควบคุมการเชื่อมตอทางเครือขายระหวางองคกร การเชื่อมตอเปนไปตาม นโยบายควบคุมการเขาถึงและขอกําหนดแอพพลิเคชั่นที่ใชงานทางธุรกิจ

7. การควบคุมการกําหนดเสนทางบนเครือขาย และการไหลเวียนของสารสนเทศบนเครือขายใหเปนไปตามนโยบายควบคุมการเขาถึง

จ) การควบคุมการเขาถึงระบบปฏิบัติการ

การปองกันการเขาถึงระบบปฏิบัติการโดยไมไดรับอนุญาต มีดังนี้

1. จัดใหมีขั้นตอนปฏิบัติการที่มีความมั่นปลอดภัยในการเขาถึงการใชงานระบบปฏิบัติการ

2. จัดใหมีการระบุและพิสูจนตัวตนของผูใชงาน

3. จัดใหมีระบบบริหารจัดการรหัสผานที่มีการควยคุมการกําหนดรหัสผานที่มีคุณภาพ

4. จํากัดและควบคุมการใชงานโปรแกรมยูทิลิตี้

5. กําหนดใหระบบตัดการใชงานเมื่อหมดเวลาการใชงานระบบสารสนเทศ

6. การจํากัดระยะเวลาในการเชื่อมตอระบบสารสนเทศที่มีความสําคัญสูง

ฉ) การควบคุมการเขาถึงแอพพลิเคชันและสารสนเทศ

การปองกันการเขาถึงสารสนเทศของแอพพลิเคชันโดยไมไดรับอนุญาต มีดังนี้

1. การจํากัดการเขาถึงสารสนเทศและกระบวนการตางๆ ของแอพพลิเคชันตามนโยบายควบคุมการเขาถึงสารสนเทศที่ไดกําหนดไว



2. การแยกระบบสารสนเทศที่มีความสําคัญสูงไวในบริเวณที่แยกตางหากออกมา



ช) การควบคุมอุปกรณส่ือสารประเภทพกพาและปฏิบัติงานจากภายนอกองคกร

การสรางความั่นคงปลอดภัยสําหรับอุปกรณส่ือสารประเภทพกพาและปฏิบัติงานจากภายนอกองคกร

1. การกําหนดนโยบายควบคุมหรือปองกันอุปกรณพกพา และตองกําหนดมาตรการปองกันโดยพิจารณาจากความเสี่ยงที่มีตออุปกรณ

2. การกําหนดนโยบายแผนงาน และขั้นตอนการปฏิบัติสําหรับบุคลากรที่จําเปนตองปฏิบัติงานขององคกรจากภายนอกสํานักงาน

1.3.8 การจัดหา การพัฒนา และการบํารุงรักษาระบบสารสนเทศ (Information systems acquisition, development and maintenance)

ก) ขอกําหนดดานความมั่นคงปลอดภัยสําหรับระบบสารสนเทศ

การจัดหาและการพัฒนาระบบสารสนเทศไดพิจารณา ถึงประเด็นทาง ดานความมั่นคงปลอดภัยเปนองคประกอบพื้นฐานที่สําคัญ

1. การวิเคราะหและการระบุขอกําหนดทางดานความมั่นคงปลอดภัย การวิเคราะห และระบุขอกําหนดทางดานความมั่นคงปลอดภัยสําหรับระบบสารสนเทศใหม หรือระบบที่ปรับปรุงจาก ระบบที่มีอยูแลว

ข) การประมวลผลสารสนเทศในแอพพลิเคชัน

การปองกันความผิดพลาดในสารสนเทศ การสูญหายของ สารสนเทศ การเปลี่ยนแปลงสารสนเทศโดยไมไดรับอนุญาต หรือการใชงาน สารสนเทศผิดวัตถุประสงค

1. การตรวจสอบขอมูลนําเขา กําหนดกลไกสําหรับตรวจสอบขอมูลนําเขาของแอป-พลิเคชันวาขอมูลนั้นมีความถูกตองและเหมาะสมกอนที่จะนําไปประมวลผลตอไป

2. การตรวจสอบขอมูลที่อยูในระหวางการประมวลผล การกําหนดกลไกสําหรับการตรวจสอบวาขอมูลที่อยูใน ระหวางการประมวลผลเกิดความผิดพลาดขึ้นหรือไม เชน อาจมีสาเหตุจากความ ผิดพลาดในการประมวลผล การกระทําโดยเจตนาของผูที่เกี่ยวของ เปนตน



3. การตรวจสอบความถูกตองของขอความ การระบุขอกําหนดสําหรับการตรวจสอบความถูกตองของ ขอความสําหรับแอปพลิเคชัน (เพื่อใหสามารถตรวจสอบไดวาเปนขอความตนฉบับที่ ถูกตอง) รวมทั้งกําหนดมาตรการรองรับเพื่อปองกันการเปลี่ยนแปลงหรือแกไข ขอความนั้นโดยไมไดรับอนุญาต

4. การตรวจสอบขอมูลนําออก การกําหนดกลไกสําหรับการตรวจสอบขอมูลนําออกจาก แอพพลิเคชัน เพื่อเปนการทบทวนวาการประมวลผลของสารสนเทศที่เกี่ยวของ เปนไปอยางถูกตองและเหมาะสม

ค) มาตรการการเขารหัสขอมูล

การรักษาความลับของขอมูล ยืนยันตัวตนของผูสงขอมูลหรือ รักษาความถูกตองสมบูรณของขอมูลโดยใชวิธีการการเขารหัสขอมูล

1. นโยบายการใชงานการเขารหัสขอมูล (Policy on the use of cryptographic controls) (ผูบริหารสารสนเทศ) ตองกําหนดใหมีนโยบายควบคุมการใชงานการ เขารหัสขอมูล และใหมีผลบังคับใชงานภายในองคกร

2. การบริหารจัดการกุญแจเขารหัสขอมูล (Key management) (หัวหนางานสารสนเทศ) ตองกําหนดใหมีการบริหารจัดการสําหรับกุญแจที่ ใชในการเขาหรือถอดรหัสขอมูล โดยกุญแจเหลานี้จะใชงานรวมกับเทคนิคการ เขารหัสขอมูลที่กําหนดเปนมาตรฐานขององคกร

ง) การสรางความมั่นคงปลอดภัยใหกับไฟลของระบบที่ใหบริการ

สรางความมั่นคงปลอดภัยใหกับไฟลตางๆ ของระบบที่ ใหบริการการควบคุมการติดตั้งซอฟตแวรลงไปยังระบบที่ใหบริการ จัดใหมีขั้นตอนปฏิบัติเพื่อควบคุมการติดตั้ง ซอฟตแวรตางๆ ลงไปยังระบบที่ใหบริการ ทั้งนี้ เพื่อลดความเสี่ยงที่จะทําใหระบบ ใหบริการนั้นเกิดความเสียหายทํางานผิดปกติ หรือไมสามารถใชงานได

1. การปองกันขอมูลที่ใชสําหรับการทดสอบ ตองหลีกเลี่ยงการใชขอมูลจริงที่ใชงานอยูบนระบบ ใหบริการสําหรับทําการทดสอบระบบ หากมีความจําเปนตองใช ตองกําหนดใหมี



การ ปองกันและควบคุมการใชงาน เชน ควรลบทิ้งบางสวนของขอมูลที่เปนความลับ ขอมูลสวนตัว หรือขอมูลสําคัญ

2. การควบคุมการเขาถึงซอรสโคดสําหรับระบบ ตองจํากัดการเขาถึงซอรสโคดสําหรับระบบที่ ให บริการ ทั้งนี้เพื่อ ปองกันการเปลี่ยนแปลงที่อาจเกิดขึ้นโดยไมไดรับอนุญาต หรือ โดยไมไดเจตนา

จ) การสรางความมั่นคงปลอดภัยสําหรับกระบวนการในการพัฒนาระบบและ กระบวนการสนับสนุน

การรักษาความมั่นคงปลอดภัยสําหรับซอฟตแวรและ สารสนเทศของระบบ

1. ขั้นตอนปฏิบัติสําหรับควบคุมการเปลี่ยนแปลงหรือแกไขระบบ การกําหนดขั้นตอนปฏิบัติอยางเป นทางการ สําหรับควบคุมการเปลี่ยนแปลงหรือแกไขระบบสารสนเทศ ทั้งนี้ เพื่อลดความเสี่ยงที่ จะทําใหระบบเกิดความเสียหาย ทํางานผิดปกติ หรือไมสามารถใชงานได

2. การตรวจสอบการทํางานของแอปพลิเคชันภายหลังจากที่ เปลี่ยนแปลงระบบปฏิบัติการ ตองทําการตรวจสอบทางเทคนิคภายหลังจากที่เปลี่ยนแปลง ระบบปฏิบัติการเพื่อดูวาแอปพลิเคชันที่ทํางานอยูบนระบบปฏิบัติการนั้น ทํางาน ผิดปกติ ไมสามารถใชงานได หรือมีปญหาทางดานความมั่นคงปลอดภัยเกิดขึ้น

3. การจํากัดการเปลี่ยนแปลงแกไขตอซอฟตแวรที่มาจากผูผลิต ตองหลีกเลี่ยงการเปลี่ยนแปลงแกไขตอ ซอฟตแวรที่มาจากผูผลิต หากจําเปนตองแกไข ตองแกไขตามความจําเปนเทานั้น และตองมีการควบคุมการแกไขนั้นอยางเขมงวดดวย

4. การปองกันการรั่วไหลของสารสนเทศ ตองกําหนดมาตรการเพื่อปองกันการรั่วไหลของ สารสนเทศขององคกร หรือลดโอกาสที่จะทําใหสารสนเทศเกิดการรั่วไหลออกไป

5. การพัฒนาซอฟตแวรโดยหนวยงานภายนอก ตองกําหนดมาตรการเพื่อควบคุมและตรวจสอบ การพัฒนาซอฟตแวรโดยหนวยงานภายนอก



ฉ) การบริหารจัดการชองโหวในฮารดแวรและซอฟตแวร

การลดความเสี่ยงจากการโจมตีโดยอาศัยช องโหว ทางเทคนิค ที่มีการเผยแพร หรือตีพิมพ ในสถานที่ต างๆ

1. มาตรการควบคุมชองโหวทางเทคนิค (Control of technical vulnerabilities) (หัวหนางานสารสนเทศ) ตองกําหนดใหมีการติดตามขอมูลขาวสารที่ เกี่ยวของกับชองโหวในระบบตางๆ ที่ใชงาน ประเมินความเสี่ยงของชองโหว เหลานั้น รวมทั้งกําหนดมาตรการรองรับเพื่อลดความเสี่ยงดังกลาว

1.3.9 การบริหารจัดการเหตุท่ีเก่ียวของกับความมั่นคงปลอดภัย (Information security incident management)

ก) การรายงานเหตุการณและจุดออนที่เกี่ยวของกับความมั่นคงปลอดภัย

เหตุการณและจุดออนที่เกี่ยวของกับความมั่นคง ปลอดภัยตอระบบสารสนเทศขององคกรไดรับการดํา เนินการที่ถูกตองในชวง ระยะเวลาที่เหมาะสม

1. การรายงานเหตุการณที่เกี่ยวของกับความมั่นคงปลอดภัย บุคลากร หรือผูที่องคกรวาจางตามสัญญาการจางงาน หรือพนักงานของ หนวยงานภายนอกที่ปฏิบัติงานอยูภายในองคกร ตองรายงานเหตุการณที่เกี่ยวของ กับความมั่นคงปลอดภัยขององคกร โดยผานชองทางการรายงานที่กําหนดไว และ จะตองดําเนินการอยางรวดเร็วที่สุดเทาที่จะทําได

2. การรายงานจุดออนที่เกี่ยวของกับความมั่นคงปลอดภัยขององคกร บุคลากร หรือผูที่องคกรวาจางตามสัญญาการจางงาน หรือพนักงานของ หนวยงานภายนอกที่ปฏิบัติงานอยูภายในองคกร ตองบันทึกและรายงานจุดออนที่ เกี่ยวของกับความมั่นคงปลอดภัยขององคกรที่สังเกตพบหรือเกิดความสงสัยใน ระบบหรือบริการที่ใชงานอยู



ข) การบริหารจัดการและการปรับปรุงแกไขตอเหตุการณที่เกี่ยวของกับ ความมั่นคงปลอดภัย

วิธีการที่สอดคลองและไดผลในการบริหารจัดการ เหตุการณที่เกี่ยวของกับความมั่นคงปลอดภัยสําหรับสารสนเทศขององคกร

1. หนาที่ความรับผิดชอบและขั้นตอนปฏิบัติ ตองกําหนดหนาที่ความรับผิดชอบและขั้นตอน ปฏิบัติเพื่อรับมือกับเหตุการณที่เกี่ยวของกับความมั่นคงปลอดภัยขององคกร และ ขั้นตอนดังกลาวตองมีความรวดเร็ว ไดผล และมีความเปนระบบระเบียบที่ดี

2. การเรียนรูจากเหตุการณที่เกี่ยวของกับความมั่นคงปลอดภัย ตองบันทึกเหตุการณละเมิดความมั่นคงปลอดภัย โดยอยาง นอยจะตองพิจารณาถึงประเภทของเหตุการณ ปริมาณที่เกิดขึ้น และคาใชจาย เกิดขึ้นจากความเสียหาย เพื่อจะไดเรียนรูจากเหตุการณที่เกิดขึ้นแลว และ เตรียมการปองกันที่จําเปนไวลวงหนา

3. การเก็บรวบรวมหลักฐาน ตองรวบรวมและจัดเก็บ หลักฐานตามกฎหรือหลักเกณฑสําหรับการเก็บหลักฐานอางอิงในกระบวนการทาง ศาลที่เกี่ยวของ เมื่อพบวาเหตุการณที่เกิดขึ้นนั้นมีความเกี่ยวของกับการดําเนินการ ทางกฎหมายแพงหรืออาญา การ

1.3.10. การบริหารความตอเนื่องในการดําเนินงาน (Business continuity management)

ก) หัวขอพื้นฐานสําหรับการบริหารความตอเนื่องในการดําเนินงานของ องคกร

ปองกันการติดขัดหรือการหยุดชะงักของกิจกรรมตางๆ ทางธุรกิจเพื่อปองกันกระบวนการทางธุรกิจที่สําคัญอันเปนผลมาจากการลมเหลว หรือหายนะที่มีตอระบบสารสนเทศ และเพื่อใหสามารถกูระบบกลับคืนมาไดภายใน ระยะเวลาอันเหมาะสม

1. กระบวนการในการสรางความตอเนื่องใหกับธุรกิจ ตองกําหนดใหมีกระบวนการในการสรางความ ตอเนื่องใหกับธุรกิจ การบริหารจัดการและการปรับปรุงกระบวนการดังกลาวอยางสม่ําเสมอ กระบวนการนี้จะตองระบุขอกําหนดที่เกี่ยวของกับความมั่นคงปลอดภัยที่ จําเปนสําหรับการสรางความตอเนื่องใหกับธุรกิจ

2. การประเมินความเสี่ยงในการสรางความตอเนื่องใหกับธุรกิจ ตองระบุเหตุการณที่สามารถทําใหธุรกิจของ องคกรเกิดการติดขัดหรือหยุดชะงัก โอกาสที่จะเกิดขึ้น ผล



กระทบที่เปนไปได รวมทั้งผลที่เกิดขึ้นตอความมั่นคงปลอดภัยสําหรับสารสนเทศขององคกร

3. การจัดทําและใชงานแผนสรางความตอเนื่องใหกับธุรกิจ ตองจัดทําและใชงานแผนสรางความตอเนื่องใหกับธุรกิจและการดําเนินงานตางๆ ใหสามารถดําเนินตอไปไดในระดับและชวงเวลาที่ กําหนดไว ภายหลังจากที่มีเหตุการณที่ทําใหธุรกิจเกิดการติดขัด หยุดชะงัก หรือ ลมเหลว

4. การกําหนดกรอบสําหรับการวางแผนเพื่อสรางความตอเนื่องใหกับ ธุรกิจ ตองกําหนดกรอบสําหรับการวางแผนเพื่อสรางความ ตอเนื่องใหกับธุรกิจ เพื่อใหแผนงานที่เกี่ยวของทั้งหมดมีความสอดคลองกัน ครอบคลุมขอกําหนดทางดานความมั่นคงปลอดภัยที่กําหนดไว และจัดลําดับ ความสําคัญของงานตางๆ ที่ตองดําเนินการ

5. การทดสอบและการปรับปรุงแผนสรางความตอเนื่องใหกับธุรกิจ ตองกําหนดใหมีการทดสอบและปรับปรุงแผนสรางความตอเนื่องใหกับธุรกิจอยางสม่ําเสมอ เพื่อใหแผนมีความทันสมัยและไดผลเปนอยางดี

1.3.11. การปฏิบัติตามขอกําหนด (Compliance)

ก) การปฏิบัติตามขอกําหนดทางกฎหมาย

การหลีกเลี่ยงการละเมิดขอกําหนดทางกฎหมาย ระเบียบ ปฏิบัติ ขอกําหนดในสัญญา และขอกําหนด ทางดานความมั่นคงปลอดภัยอ่ืนๆ

1. การระบุขอกําหนดตางๆ ที่มีผลทางกฎหมาย ตองระบุขอกําหนดทางดานกฎหมาย ทางดาน ระเบียบปฏิบัติ และที่ปรากฏในสัญญา (ระหวางองคกร และบุคคลหรือหนวยงาน ภายนอกอื่น) ที่เกี่ยวของกับการดําเนินงานหรือธุรกิจขององคกร ตองบันทึกขอกําหนดดังกลาวไวเปนลายลักษณอักษร และปรับปรุงขอกําหนดเหลานั้นให ทันสมัยอยูเสมอ รวมทั้งกําหนดแนวทางการปฏิบัติเพื่อใหสอดคลองกับขอกําหนด ดังกลาว

2. การปองกันสิทธิและทรัพยสินทางปญญา ตองกําหนดขั้นตอนปฏิบัติเพื่อปองกันการละเมิดสิทธิ หรือทรัพยสินทางปญญา ขั้นตอนปฏิบัติดังกลาวตองกําหนดหรือควบคุมใหปฏิบัติ ตามขอกําหนดทางดานกฎหมาย ทางดานระเบียบปฏิบัติ และที่ปรากฎในสัญญา (ระหวางองคกร และบุคคลหรือหนวยงานภายนอกอื่น) รวมทั้งขอกําหนดใน



การใช งานผลิตภัณฑซอฟตแวรจากผูขายดวย

3. การปองกันขอมูลสําคัญที่เกี่ยวของกับองคกร ตองกําหนดใหมีการปองกันขอมูลที่เกี่ยวของกับ ขอกําหนดทางกฎหมายและระเบียบปฏิบัติ ขอกําหนดที่ปรากฎในสัญญา และ ขอกําหนดทางธุรกิจ จากการสูญหาย การถูกทําลายใหเสียหาย และการปลอมแปลง

4. การปองกันขอมูลสวนตัว ตองกําหนดใหมีการ ปองกันขอมูลสวนตัวตามที่ระบุหรือกําหนดไวในกฎหมาย ระเบียบปฏิบัติ และขอ สัญญาที่เกี่ยวของ

5. การปองกันการใชงานอุปกรณประมวลผลสารสนเทศผิด วัตถุประสงค ตองปองกันไมใหผูใชงานใชอุปกรณประมวลผล สารสนเทศขององคกรผิดวัตถุประสงคหรือโดยไมไดรับอนุญาต

6. การใชงานมาตรการการเขารหัสขอมูลตามขอกําหนด ตองกําหนดใหใชมาตรการ การเขารหัสขอมูลโดยใหยึดถึอตาม หรือตองสอดคลองกับขอตกลง กฎหมาย และ ระเบียบปฏิบัติที่เกี่ยวของ

ข) การปฏิบัติตามนโยบาย มาตรฐานความมั่นคงปลอดภัยและขอกําหนด ทางเทคนิค

การใหระบบเปนไปตามนโยบายและมาตรฐานความมั่นคง ปลอดภัยขององคกร

1. การปฏิบัติตามนโยบาย และมาตรฐานความมั่นคงปลอดภัย ตองกําหนดใหผูบังคับบัญชาคอยกํากับ ดูแล และ ควบคุมการปฏิบัติงานของผูที่อยูใตการบังคับบัญชาของตน ใหปฏิบัติตามขั้นตอน ปฏิบัติทาดานความมั่นคงปลอดภัยตามหนาที่ความรับผิดชอบของตน ทั้งนี้เพื่อให การปฏิบัติเปนไปตามนโยบายและมาตรฐานความมั่นคงปลอดภัยขององคกร

2. การตรวจสอบการปฏิบัติตามมาตรฐานทางเทคนิคขององคกร ตองกําหนดใหมีการตรวจสอบระบบสารสนเทศ อยางสม่ําเสมอ เพื่อควบคุมใหเปนไปตามมาตรฐานความมั่นคงปลอดภัยทางเทคนิค ขององคกร

ค) การตรวจประเมินระบบสารสนเทศ



การตรวจประเมินระบบสารสนเทศไดประสิทธิภาพ สูงสุดและมีการแทรกแซงหรือทําใหหยุดชะงักตอกระบวนการทางธุรกิจนอยที่สุด

1. มาตรการการตรวจประเมินระบบสารสนเทศ ตองระบุขอกําหนดและกิจกรรมที่เกี่ยวของกับการ ตรวจประเมินระบบสารสนเทศขององคกร เพื่อใหมีผลกระทบนอยที่สุดตอ กระบวนการทางธุรกิจ เชน การหยุดชะงักของกระบวนการทางธุรกิจในระหวางที่ทํา การตรวจประเมิน

2. การปองกันเครื่องมือสําหรับการตรวจประเมินระบบสารสนเทศ ตองกําหนดใหมีการจํากัดการเขาถึงเครื่องมือ สําหรับการตรวจประเมินระบบสารสนเทศ (เชน ซอฟตแวรที่ใชในการตรวจประเมิน) เพื่อปองกันการใชงานผิดวัตถุประสงค หรือการเปดเผยขอมูลการตรวจประเมินโดย ไมไดรับอนุญาต



ภาคผนวก ข. Terms and definitions

3. Terms and definitions For the purposes of this document, the following terms and definitions apply. 3.1 asset anything that has value to the organization [ISO/IEC 13335-1:2004] 3.2 availability the property of being accessible and usable upon demand by an authorized entity [ISO/IEC 13335-1:2004] 3.3 confidentiality the property that information is not made available or disclosed to unauthorized individuals, entities, or processes [ISO/IEC 13335-1:2004] 3.4 information security preservation of confidentiality, integrity and availability of information; in addition, other properties such as authenticity, accountability, non-repudiation and reliability can also be involved [ISO/IEC 17799:2005] 3.5 information security event an identified occurrence of a system, service or network state indicating a possible breach of information security policy or failure of safeguards, or a previously unknown situation that may be security relevant



[ISO/IEC TR 18044:2004] 3.6 information security incident a single or a series of unwanted or unexpected information security events that have a significant probability of compromising business operations and threatening information security [ISO/IEC TR 18044:2004] 3.7 information security management system ISMS that part of the overall management system, based on a business risk approach, to establish, implement, operate, monitor, review, maintain and improve information security NOTE: The management system includes organizational structure, policies, planning activities, responsibilities, practices, procedures, processes and resources. 3.8 integrity the property of safeguarding the accuracy and completeness of assets [ISO/IEC 13335-1:2004] 3.9 residual risk the risk remaining after risk treatment [ISO/IEC Guide 73:2002] Licensed to /ISARA RAMPAIGUL ISO Store order #:780725/Downloaded:2006-10-22 Single user licence only, copying and networking prohibited ISO/IEC 27001:2005(E) © ISO/IEC 2005 – All rights reserved 3 3.10 risk acceptance



decision to accept a risk [ISO/IEC Guide 73:2002] 3.11 risk analysis systematic use of information to identify sources and to estimate the risk [ISO/IEC Guide 73:2002] 3.12 risk assessment overall process of risk analysis and risk evaluation [ISO/IEC Guide 73:2002] 3.13 risk evaluation process of comparing the estimated risk against given risk criteria to determine the significance of the risk [ISO/IEC Guide 73:2002] 3.14 risk management coordinated activities to direct and control an organization with regard to risk [ISO/IEC Guide 73:2002] 3.15 risk treatment process of selection and implementation of measures to modify risk [ISO/IEC Guide 73:2002] NOTE: In this International Standard the term ‘control’ is used as a synonym for ‘measure’. 3.16 statement of applicability documented statement describing the control objectives and controls that are relevant and applicable to the organization’s ISMS. NOTE: Control objectives and controls are based on the results and conclusions of the risk assessment and risk



treatment processes, legal or regulatory requirements, contractual obligations and the organization’s business requirements for information security.

Full Iso27001

Documents

Transcript of Full Iso27001