สารสนเทศเป็ นทรัพย์สินที่มีค่าต่อองค์กรเช่นเดียวกบทรัพย์สินประเภทอื่น เช ั ่นบุคลากรอุปกรณ์
การทํางาน และเครื่องจักร ซึ่ งเป็ นองค์ประกอบสําคัญในการประกอบกิจการ องค์กรดําเนินธุรกิจย่อมมี
ข้อมูลสารสนเทศเก็บสะสมไว้ ทั้งองค์ความรู้ข้อมูลผลิตภัณฑ์ ข้อมูลบริ การ ข้อมูลลูกค้าและอื่นๆ
สารสนเทศเหล่านี้เป็ นสิ่งที่องค์กรสั่
งสมมาจากการปฏิบัติจริงหากสูญหายอาจไม่สามารถหามาทดแทนได้
เหมือนทรัพย์สินอื่นๆองค์กรจึงต้องมีระบบการดูแลและปกป้ องสารสนเทศให้มันคงปลอดภัย ่ เพื่อป้ องกนั
การล่วงละเมิดหรือการบุกรุก เพราะยิงเทคโนโลยีสารสนเทศมีความก ่ าวหน้ามากเท ้ ่าใด ก็ยิ่
งมีความเสี่ยงต่อ
การล่วงละเมิดหรือภัยคุกคามด้านคอมพิวเตอร์มากขึ้นเท่านั้น เช่น อันตรายจากไวรัสคอมพิวเตอร์ทําให้
ข้อมูลเสียหาย การขโมยข้อมูลการลักลอบเปลี่ยนแปลงหรือแกไขข้อมูลในระบบคอมพิวเตอร์และการบุก
รุกคอมพิวเตอร์ผ่านเครือข่ายอินเทอร์เน็ต เป็ นต้น สร้างความเสียหายแก่องค์กรที่ตกเป็ นเหยื่อ ทั้งในด้าน
รายได้ และความน่าเชื่อถือขององค์กร
ความเสียหายที่เกิดจากการละเมิดความมันคงปลอดภัยของสารสนเทศ ทั ่ ้
งที่เกิดจากผู้ไม่ประสงค์ดี
และเกิดจากการไม่ตั้งใจของผู้ใช้งานระบบคอมพิวเตอร์ เช่น คอมพิวเตอร์ติดไวรัสหรือโปรแกรมไม่
ประสงค์ดีและแฮกเกอร์ยึดครองคอมพิวเตอร์เพื่อใช้เป็นเครือข่ายในการโจมตีเป้าหมายการล่วงละเมิดใน
ลักษณะนี้อาจจะไม่แสดงให้เห็นอย่างชัดเจน ทําให้ผู้ดูแลระบบไม่รู้ว่าเครื่องคอมพิวเตอร์ที่ตนเองดูแลอยู่
กลายเป็ นเครื่องมือในการกระทําความผิดสร้างความเสียหายทั้งระดับบุคคล องค์กร จนถึงระดับประเทศ
องค์กรจึงต้องมีมาตรการคุ้มครองและป้ องกนสารสนเทศให้ปลอดภัย โดยเฉพาะสารสนเทศที่เป็นความลับ
เพื่อสร้างความเชื่อมันให้แก ่ ่ลูกค้าและผู้ที่เกี่ยวข้อง
องค์ประกอบของความมั่นคงปลอดภัยของสารสนเทศ
ความมันคงปลอดภัยของสารสนเทศมีองค์ประกอบ 3 ประการ ได้แก ่ ่
• ความลับ(Confidentiality)
• ความถูกต้องสมบูรณ์ (Integrity)
• ความพร้อมใช้งาน (Availability)
- องค์กรต้องปกป้ องดูแลทรัพย์สิน (Asset) ไม่ว่าทรัพย์สินนั้นจะเป็ นสิ่งที่จับต้องได้ เช่น เครื่ อง
คอมพิวเตอร์ อุปกรณ์เครื อข่าย สื่อบันทึกข้อมูล หรือทรัพย์สินที่จับต้องไม่ได้เช่น ข้อมูล ชื่อเสียงหรือ
ภาพลักษณ์ขององค์กร เป็ นต้น ให้ความปลอดภัย คือ คงสภาพความลับมีความถูกต้องสมบูรณ์ และพร้อมใช้
งานเมื่อต้องการ การพิจารณาว่าอะไรเป็ นทรัพย์สินช่วยให้กาหนดกรอบในการจัดการดูแลเฉพาะสิ ํ ่งที่
ต้องการปกป้ องดูแลให้ชัดเจนจะทําให้การกาหนมาตรฐานดูแ ํ ลให้ครอบคลุมได้ยาก
ความลับ (Confidentiality)การรักษาความลับของทรัพย์สินเป็ นองค์ประกอบสําคัญของการรักษา
ความมันคงปลอดภัยของสารสนเทศหลักการสําคัญของการรักษาความลับคือ การทําให้มั ่ นใจว ่ ามีเฉพาะผู้ที่ ่
มีสิทธิ์หรื อได้อนุญาตเท่านั้นที่สามารถเข้าถึงได้ ระบบรักษาความมันคงปลอดภัยของสารสนเทศที่มี ่
ประสิทธิภาพ ต้องมีมาตรการตรวจสอบสิทธิ์ก่อนเข้าถึงพ่อยืนยันให้มันใจว ่ าผู้ที่ร้ ่ องขอนั้นมีสิทธิ์หรือได้รับ
อนุญาตให้เข้าถึงสารสนเทศหรือระบบงานนั้น กลไกพื้นฐานที่คุ้นเคยกนเป็ นอย ั ่างดี คือ การใช้รหัสผ่าน
(Password) ในการพิสูจน์ตัวตนและสิทธิ์ที่ได้รับอนุญาต
นอกจากมาตรการตรวจสอบสิทธิ์แล้ว การกาหนดชั ํ ้นความลับตามความสําคัญช่วยให้การบริหารจัดการ
ความปลอดภัยของสารสนเทศมีความชัดเจนและมีประสิทธิภาพมากขึ้น บางหน่วยงานกาหนดชั ํ ้นความลับ
ของสารสนเทศเป็ น 4 ระดับ ได้แก่ระดับชั้นความลับสุดยอด (Top secret) ระดับชั้นความลับ (Secret)
ระดับชั้นสําหรับใช้ภายในองค์กร (Internal use) และระดับชั้นสาธารณะ (Public) โดยมีเกณฑ์การพิจารณาที่
ชัดเจนวาสารสนเทศลักษณะใดอยู ่ ในชั ่ ้นความลับใด พร้อมทั้
งกาหนดนิยาม คําอธิบายของชั ํ ้นความลับ แนว
ทางการจัดเก็บ และการสื่อสารข้อมูลสารสนเทศในแต่ละระดับชั้นความลับอย่างชัดเจน รวมทั้งกาหนด ํ
มาตรการทางเทคนิคที่ใช้ในการปกป้ องข้อมูลที่เป็ นความลับ เช่นการเข้ารหัส (Encryption) เพื่อเสริมความ
แข็งแกร่งให้แก่มาตรการปกป้ องสารสนเทศที่ต้องการดูแลความปลอดภัยอยางเข้มงวด ่
ความถูกต้องสมบูรณ์ (Integrity) การปกป้ องสารสนเทศให้มีความต้องถูกต้องสมบูรณ์มีความสําคัญ
และจําเป็ น เพราะมีผลต่อความน่าเชื่อถือของสารสนเทศ มาตรการควบคุมความมันคง ่ ปลอดภัยของ
สารสนเทศต้องมีกลการตรวจสอบสิทธิ์ การอนุญาตให้เปลี่ยนแปลงหรือแกไขข้อมูลหรือกระทําการใดๆ ที่ ้
ส่งผลให้ข้อมูลคงความถูกต้องและครบถ้วนสมบูรณ์ตามความเป็ นจริง
ความพร้อมใช้งาน (Availability) หมายถึง การทําให้ระบบสารสนเทศสามารถตอบสนองความต้องการ
ของผู้ใช้งานที่มีสิทธิ์เข้าถึงระบบได้เมื่อต้องการ
สําหรับอุปสรรคที่บันทอนความพร้อมใช้งานของระบบคอมพิวเตอร์จําแนกได้ ่ 2 แบบ คือ
- ระบบคอมพิวเตอร์ ปฏิเสธการให้ บริ การ (Denial of service)อาจเกิดจากการกระทําของผู้ใช้ระบบ ผู้
บุกรุกที่มีเจตนาร้าย เช่น ในปี ค.ศ.2000 เว็บไซต์ชื่อดังอยาง ่ Yahooถูกโจมตี ต้องหยุดให้บริการเป็ นเวลา 3
ชั่
วโมง นักวิเคราะห์ประเมินความเสียหายที่เกิดขึ้นมีมูลค่าถึง 500,000ดอลล่าร์การโจมตีเป้ าหมายให้
สูญเสี ยความสามารถในการให้บริ การในลักษณะนี้ถือเป็ นบทเรี ยนสําคัญต่อผู้ที่เกี่ยวข้องในแวดวง
คอมพิวเตอร์ขณะเดียวกนการรับมือภัยคุกคามจากแฮกเกอร์และผู้ไม ั ่ประสงค์ดี
นอกจากนี้ ระบบคอมพิวเตอร์อาจจะปฏิเสธการให้บริการเพราะภัยธรรมชาติ เช่น นํ้าท่วม ไฟไหม้
แผนดินไหว ่ ทําให้ระบบคอมพิวเตอร์เสียหาย องค์กรที่ตระหนักถึงภัยคุกคามดังกล่าวอาจเตรียมแผนกูคืน้
จากความเสียหาย (Disaster recovery plan) ไว้รองรับ โดยเฉพาะหน่วยงานบริการสาธารณูปโภค เช่น ไฟฟ้ า
ประปา โทรศัพท์ ที่ใช้ระบบคอมพิวเตอร์ควบคุมการดําเนินงาน หากคอมพิวเตอร์ที่ใช้ควบคุมระบบเสียหาย
ไม่สามารถให้บริการได้ จะทําให้บริการต่างๆหยุดชะงักส่งผลเสียหายอยางใหญ ่ ่หลวง
- ระบบคอมพิวเตอร์ ทํางานด้อยประสิทธิภาพ (Loss of data processing capability)คอมพิวเตอร์ที่มี
โปรแกรมไม่ประสงค์ดี (Malicious code) ฝังตัวอยู เช่ ่น ไวรัสคอมพิวเตอร์ ม้าโทรจัน จะสูญเสียสมรรถภาพ
ส่วนหนึ่ งให้แก่การทํางานของโปรแกรมไม่ประสงค์ดี ผู้ใช้คอมพิวเตอร์อาจรู้สึกว่าเครื่ องคอมพิวเตอร์
ทํางานช้าผิดปกติ หรื อเกิดอาการ “แฮ้ง” ระดับความรุ นแรงของผลกระทบขึ้นอยู่กับการทํางานของ
โปรแกรมไม่ประสงค์ดีชนิดต่างๆที่ผู้สร้างได้ออกแบบมา เพื่อสร้างความเสียหายแก่เหยื่อหรือผู้เคราะห์ร้าย
ซึ่งนับวันจะมีการพัฒนาโปรแกรมไม่ประสงค์ให้มีความซับซ้อนยากต่อการตรวจจับและแพร่กระจายอยาง่
รวดเร็ว
ภัยคุกคามและช่องโหว่ (Threat and vulnerability)
ภัยคุกคาม (threat) คือ สาเหตุของสถานการณ์ที่ไม่พึงประสงค์ซึ่ งก่อให้เกิดผลเสียต่อระบบ
คอมพิวเตอร์หรือองค์กร และเป็ นอุปสรรคในการให้บริการ โดยอาจเกิดจากมนุษย์ภัยธรรมชาติ รวมถึง
ปัจจัยอื่นๆ ซึ่งมีแนวโน้มที่จะก่อให้เกิดความเสียหาย ดังตัวอยางในตารางที่
ช่ องโหว่ (Vulnerability)คือ จุดอ่อนของทรัพย์สินที่ถูกภัยคุกคามใช้เป็ นช่องทางในการโจมตี ทําให้
เกิดผลกระทบหรือความเสียหายการศึกษาหรื อทําความเข้าใจระบบคอมพิวเตอร์ และสภาพแวดล้อมที่
เก
ี่ยวข้อง เช่น คุณสมบัติของเครื่องคอมพิวเตอร์ ซอฟท์แวร์ ลักษณะการใช้งาน จํานวนผู้ใช้ สภาพแวดล้อม
ทางกายภาพของสถานที่วางเครื่องคอมพิวเตอร์ จะช่วยให้เข้าใจช่องโหว่ของทรัพย์สินได้ดีขึ้น เพราะสิ่ง
เหล่านี้อาจนําภัยคุกคามมาสู่ระบบคอมพิวเตอร์
ภัยคุกคามจะใช้ประโยชน์จากช่องโหว่ต่างๆโจมตีระบบคอมพิวเตอร์ เช่น ระบบปฏิบัติการของ
คอมพิวเตอร์ทํางานผิดปกติ เนื่องจากติดไวรัสคอมพิวเตอร์ กรณีนี้เมื่อตรวจสอบจะพบว่า ภัยคุกคามคือ
ไวรัสคอมพิวเตอร์และพบว่ามีช่องโหว่หลายประการคือ คอมพิวเตอร์ไม่ได้ติดตั้งโปรแกรมต่อต้านไวรัส
ผู้ใช้งานไม่มีความตระหนักในการแลกเปลี่ยนไฟล้อมูล และติดตั้
งโปรแกรมซึ่งอาจมีโปรแกรมไม่ประสงค์
ดีแฝงมา เป็ นการเปิ ดโอกาสให้ภัยคุกคามคือไวรัสใช้ประโยชน์จากจุดอ่อนเข้าโจมตีเครื่องคอมพิวเตอร์จน
เกิดความเสียหาย ดังนั้น หากระบบคอมพิวเตอร์มีช่องโหวมาก โอกาสที่ภัยคุกคามจะสร้างความเสียหายจาก ่
ช่องเหวดังกล ่ ่าวก็มากด้วย
ในบทนี้ได้กล่าวถึงแนวคิดด้านความมั่
นคงปลอดภัยของสารสนเทศโดยการปกป้องทรัพย์สิ น
สารสนเทศที่มีค่าขององค์กรจากภัยคุกคามในรูปแบบต่างๆโดยเฉพาะช่องโหว่ของระบบคอมพิวเตอร์และ
สภาพแวดล้อมซึ่งเป็ นปัจจัยสําคัญที่เอื้ออํานวยให้ภัยคุกคามใช้ประโยชน์ในการโจมตี ดังนั้น ผู้ดูแลระบบ
และผู้ที่เกี่ยวช้องจึงควรตรวจสอบเพื่อหาช่องโหว่
และปิ ดช่องโหว่ดังกล่าวเพื่อลดโอกาสที่จะเกิดความ
เสียหาย
ระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ
วงกว้าง ถือเป็ นเป้ าหมายขององค์กรและผู้ที่สนใจด้านความมันคงปลอดภัยของสารสนเทศ ระบบบริหาร ่
จัดการสารสนเทศที่ดีนั้น แต่ต้องเน้นการบริหารนโยบายความมันคงปลอดภัยควบคู ่ ่กน ซึ่ งครอบคลุมการ ั
บริหารบุคลากร กระบวนการ ขั้นตอนการปฏิบัติระบบเอกสาร การเฝ้ าระวัง การทบทวน และการแกไข้
ข้อบกพร่องต่างๆอยางเป็ นระบบ สอดคล้องและ ่ เชื่อมโยงกนั
ISO/IEC 27001
มาตรฐานระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ
ISO/IEC 27001 พัฒนามาจากมาตรฐานBS7799 British standard ประกาศใช้ในปี ค.ศ.1995 หลังจากนั้น
3 ปี ต่อมามีการทบทวนมาตรฐานโดยเปิ ดรับความคิดเห็นจากผู้สนใจและนักวิชาการเพื่อปรับปรุงเป็ น
มาตรฐาน BA7799 Part 1 (Code of practice for information security management) และได้เพิ่
มมาตรฐาน
BS7799 Part 2 (Specification for information security management system: ISMS ) ขึ้นมาอีกหนึ่งฉบับตาม
ข้อเสนอแนะจากผู้ที่เกี่ยวข้อง
องค์กรธุรกิจในหลายประเทศนํามาตรฐาน BS7799 Part 1และ Part 2 ไปประยุกต์ใช้อยางแพร ่ ่หลาย
จนกระทังในปี ค.ศ. ่ 2000 มีการปรับปรุงมาตรฐาน BS7799 Part 1 เป็ น ISO/IEC 17799 : 2000 และต่อมาใน
ปี ค.ศ.2005 ได้พัฒนามาตรฐาน BS7799 Part 2 เป็ น ISO/IEC 27001:2005 ขณะเดียวกนกั ็มีการปรับปรุง
มาตรฐาน ISO/IEC 17799 ใหม่และเปลี่ยนเวอร์ชันเป็ น ่ ISO/IEC 17799 : 2005 และภายหลังได้เปลี่ยนชื่อ
เป็ น ISO/IEC 27002 เพื่อให้อยูในอนุกรม ่ ISO/IEC 27000 เดียวกนั
ISO/IEC 27001 : 2005 (Information security management system : ISMS ) เป็ นมาตรฐานเกี่
ยวกบั
ระบบบริหารความมันคงปลอดภัยของสารสนเทศ ประกอบด้วยข้อก ่ าหนดด้านการบริหารจัดการความ ํ
มันคงปลอดภัยของสารสนเทศตามแนวทางวงจรคุณภาพ ่ PDCA (Plan Do Check Act ) เพื่อลดโอกาสและ
ปัจจัยเสี่ยงที่จะมีผลกระทบต่อธุรกิจ และจัดการระบบความมันคงปลอดภัยของสารสนเทศได้อย ่ ่างมี
ประสิทธิภาพโดยมีการพิจารณาความปลอดภัยของสารสนเทศใน 3 องค์ประกอบ คือ 1) Confidentiality
มันใจว ่ ่าเฉพาะผู้ที่ทีสิทธิ์เท่านั้นที่สามารถเข้าถึงข้อมูลได้ 2) Integrity มันใจได้ว ่ ่าข้อมูลถูกต้อง ครบถ้วน
และสมบูรณ์ ไม่มีการเปลี่ยนแปลงหรือแกไขโดยผู้ที่ไม ้ ่ได้รับอนุญาต 3) Availability มันใจได้ว ่ ่ามีข้อมูล
พร้อมใช้งานเสมอสําหรับผู้ที่มีสิ ทธิ์ในการเข้าถึงข้อมูล องค์กรที่นํามาตรฐานดังกล่าวมาประยุกต์ใช
สามารถขอรับการตรวจประเมินและการรับรองระบบการจัดการความมันคงปลอดภัยของสารสนเทศ เพื่อ ่
สร้างความเชื่อมันให้แก ่ ่ลูกค้าและผู้ที่เกี่ยวข้อง
ระบบการบริหารจัดการ ISO/IEC 27001
มาตรฐานระบบการจัดการความมันคงปลอดภัยของสารสนเทศ ่ (Information security management
system : ISMS ) เน้นความสําคัญของกระบวนการดําเนินงาน โดยยึดหลักการ Process-based approach คือ
การจําแนกองค์ประกอบของการดําเนินงานเป็ น 3 ส่วน ได้แก่ ส่ วนแรก ปัจจัยนําเข้า (Input) ส่ วนที่สอง
กระบวนการ (Process) และส่ วนที่สาม ผลลัพธ์ที่ต้องการ (Output) การรับรองกระบวนการเพื่อยืนยันว่า
องค์กรมีความสามารถในการควบคุมปัจจัยนําเข้า (Input) ให้ถูกต้องและเหมาะสมที่จะนําเข้าสู่กระบวนการ
(Process)และมีแผนการควบคุมที่ชัดเจน รวมทั้
งมีการเฝ้ าระวังและตรวจวัดอยางสมํ่าเสมอ ส ่ ่งผลให้ได้ผล
ลัพธ์(Output) ตามที่คาดหวัง และสามารถควบคุมการเปลี่ยนแปลงต่างๆที่อาจส่งผลต่อกระบวนการได้ เช่น
การเปลี่ยนแปลงด้านบุคลากร เทคโนโลยี กฎหมายและกฎระเบียบต่างๆเป็ นต้น
ข้อดีของการประยุกต์ใช้ ISO/IEC 27001
- เป็ นมาตรฐานที่ยอมรับระดับสากล และรู้จักแพร่หลายในระดับนานาชาติ
- มีการตรวจประเมินเพื่อรับรองมาตรฐาน โดยองค์กรที่ไม่มีส่วนได้ส่วนเสีย (Third party)
- มีองค์ความรู้ หนังสือ การสัมมนา ที่ปรึกษาและผู้เชี่ยวชาญ
- เป็ นมาตรฐานที่ไม่ผูกมัดกบเทคโนโลยี เทคนิค หรือขั ั ้
นตอนที่เฉพาะเจาะจง องค์กรที่นํามาประยุกต์ใช้
สามารถเลือกใช้เทคโนโลยีตามความเหมาะสม ทําให้มาตรฐานมีความคล่องตัวสูง
สิ่งที่ควรทราบก่อนนํา ISO/IEC 27001 มาประยุกต์ใช้
• เอกสารมาตรฐาน ISO/IEC 27001 : 2005 ที่ใช้ในการจัดทํามาตรฐานต้องเป็ นเอกสารที่มี
ลิขสิทธิ์ถูกต้องสอดคล้องกบข้อก ั าหนดของมาตรฐาน ํ
• มาตรฐาน ISO/IEC 27001 เป็ นภาษาอังกฤษ ผู้ศึกษาต้องมีพื้
นฐานภาษอังกฤษระดับหนึ่ง หากมี
ประสบการณ์ในการจัดทํามาตรฐานอื่นๆมาก่อน เช่น ISO 9001 จะช่วยให้เข้าใจได้ง่ายขึ้น
เนื่องจากมาตรฐาน ISO ส่วนใหญ่ใช้ทรัพย์พื้นฐานใกล้เคียงกน โดยมีเจตนาให้ผู้ใช้สามารถ ั
เชื่อมโยงและบูรณาการมาตรฐานต่างๆให้สอดคล้องกน อย ั ่างไรก็ตาม ผู้สนใจสามารถศึกษา
มาตรฐานภาษาไทยได้จากมาตรฐานการรักษาความมันคงปลอดภัยในการประกอบธุรกรรม ่
ทางอิเล็กทรอนิกส์เวอร์ชัน 2.5 ประจําปี พ.ศ.2550 ซึ่ งถอดความมาจากมาตรฐาน ISO/IEC
27001 : 2005
อนุกรมมาตรฐาน ISO/IEC 27000
อนุกรมมาตรฐานระบบการจัดการความมันคงปลอดภัยของสารสนเทศ ่ (ISO 27000 Family)
ประกอบด้วยมาตรฐานที่เกี่ยวข้องกบการจัดการความมั ั นคงปลอดภัยของสารสนเทศหลายฉบับ แต ่ ่ละฉบับ
มีวัตถุประสงค์แตกต่างกน โดย ั ISO/IEC 27001 เป็ นมาตรฐานที่ใช้ในการตรวจประเมินเพื่อขอการรับรอง
โดยบุคคลที่สาม (Third-party conformity assessment) เน้นการบริหารจัดการสารสนเทศให้เกิดความมันคง ่
ปลอดภัยครอบคลุมถึงการกาหนดนโยบายความมั ํ นคงปลอดภัย การจัดสรรทรัพยากรทั ่ ้
งด้านบุคลากรและ
เครื่องมือที่จําเป็ น โดยระบุสิ่งที่ผู้นําไปประยุกต์ใช้ต้องดําเนินการ แต่ไม่ได้ระบุเทคนิคหรือวิธีการปฏิบัติให้
สอดคล้องกบข้อก ั าหนดดังกล ํ ่าว เช่น ข้อกาหนดระบุให้ประเมินผลกระทบ และการประเมินระดับความ ํ
เสี่ยง ผู้จัดทําระบบต้องหาแนวทางการประเมินความเสี่ยงที่น่าเชื่อถือ ครอบคลุมการระบุทรัพย์สิน การ
ประเมินผลกระทบ และการประเมินความเสี่ยง โดยอาจนํามาตรฐาน ISO/IEC 27005 มาประยุกต์ใช้หรือ
อาจใช้มาตรฐานอื่นที่น่าเชื่อถือ เช่น NIST 800-30 (มาตรฐานของ National institute of standards and
technology หรือ OCTAVE (Operationally critical threat, asset and vulnerability evaluation) เป็ นต้นกล่าว
ได้วา มาตรฐานในอนุกรมเป็ นเสมือนเครื่องมือให้เลือกใช้ เพื่อนําเทคนิคและแนวทางปฏิบัติไปดําเนินการ ่
ให้สอดคล้องตามที่มาตรฐาน ISO/IEC 27001 กาหนดไว้
โครงสร้างมาตรฐาน ISO/IEC 27001
ISO/IEC 27001 เป็ นมาตรฐานการจัดการความมันคงปลอดภัยขงสารสนเทศ ประกอบด้วย ่
ข้อกาหนดที่ครอบคลุมการจัดทําระบบ การนําไปปฏิบัติ การทบทวนและเฝ้ าระวัง ํ การรักษาความต่อเนื่อง
รวมถึงปรับปรุงระบบให้สอดคล้องกบสถานการณ์ องค์กรที่ประยุกต์ใช้มาตรฐานนี ั ้ต้องจัดทําเอกสารให้
ครอบคลุมข้อกาหนดดังกล ํ ่าว และจัดทําระบบที่เหมาะสมกบความเสี่ยงที่เป็ นจริงในการดําเนินธุรก ั ิจของ
องค์กร
มาตรฐาน ISO/IEC 27001 ใช้หลักการ PDCA (Plan Do Check Act ) เช่นเดียวกบมาตรฐานที่รู้จัก ั
กนอย ั างแพร ่ ่หลาย เช่น ISO 9001 (Quality management system : QMS)และ ISO 14001 (Environmental
management system : EMS) ดังนั้น องค์กรที่จัดทําระบบ ISO 9001 และ ISO 14001 อยูแล้วสามารถ ่ ทํา
ความเข้าใจแนวทาง ISO/IEC 27001 ได้ไม่ยาก เพียงแค่
เปลี่ยนมุมมองมานใจสารสนเทศ และวางแนวทาง
บริ หารให้เกิดความมันคงปลอดภัย ผ ่ ่านกระบวนการวางแผน (Plan) นําไปปฏิบัติ (Do) ทบทวนและ
ตรวจสอบ (Check) และแกไขปรับปรุง ้ (Act)
จะเห็นได้วาหลักการ ่ PDCA สอดคล้องกบสามัญสํานึกทั ั วไป คือก ่ ่อนทําอะไรควรมีการวางแผน
ล่วงหน้า พิจารณาให้รอบคอบแล้วจึงลงมือทําตามแผน หลังจากนั้นก็ตรวจสอบผลลัพธ์วาเป็ นไปตามแผน ่ ที่
วางไว้หรือไม่หากไม่เป็ นไปตามแผนต้องแกไขปรับปรุง และนําบทเรียนมาพิจารณาในการวางแผนครั ้ ้ง
ต่อไป ซึ่งแนวคิดนี้สามารถประยุกต์ใช้ในการจัดทํามาตรฐาน ISO/IEC 27001 ได้เป็นอยางดี
การที่องค์กรผ่านการรับรองมาตรฐานระบบการจัดการความมันคงปลอดภัยของสารสนเทศ หรือ ่
ISO/IEC 27001 หมายถึง องค์กรได้นําข้อกาหนดของมาตรฐานดังกล ํ ่าวมาประยุกต์ใช้ และมีหลักฐานให้
ความมันใจว ่ าองก ่ กรมีระบบการจัดการความมั ์ นคงปลอดภัยของสารสนเทศที่เหมาะสมในการจั ่ ดการความ
เหมาะสมในการจัดการความเสี่ยงอยางมีประสิทธิภาพและได้มาตรฐาน ่
แนวทางการประยุกต์ใช้มาตรฐาน ISO/IEC 27001
องค์กรทุกประเภทไม่ว่าจะเป็ นองค์กรธุรกิจ องค์กรภาครัฐ องค์กรที่ไม่แสวงหาผลกาไร และ ํ
หน่วยงานบริ การสังคม เช่นสถาบันการศึกษาทั้งองค์ขนาดเล็กและขนาดใหญ่สามารถนํามาตรฐาน
ISO/IEC 27001 มาประยุกต์ใช้โดยอาจจะทํามาตรฐานในขอบเขตหน่วยงานทั้
งองค์กร หรือกาหนดขอบเขต ํ
การจัดทําระบบเฉพาะหน่วยงาน หรืระบบหน่วยงานก็ได้ เช่น จัดทํามาตรฐาน ISO/IEC 27001 ในขอบเขต
การให้บริการศูนย์ข้อมูลภายในองค์กร (Data center) หรือจัดทํามาตรฐานในขอบเขตหน่วยงานสารสนเทศ
ทั้
งองค์กร เป็ นต้น
การจัดทําระบบการจัดการความมันคงปลอดภัยของสารสนเทศแบ ่ ่งเป็ น 4 ขั้
นตอน ดังนี้
- Maintain and improve ISMS
- Monitor and review ISMS
- Implement and operate ISMS
- Establish ISMS
ขั้นตอนที่ 1 การวางแผนจัดทําระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ
(Plan : Establish the ISMS )
เริ่มจากการกาหนด ํ ขอบเขตของการจัดทําระบบการจัดการการความมันคงปลอดภัยของสารสนเทศ ่
ให้ชัดเจน โดยแสดงถึงลักษณะของธุรกิจองค์กร ทําเลที่ตั้ง ทรัพย์สิน และเทคโนโลยี หากไม่ครอบคลุม
ส่วนงานใดต้องระบุรายละเอียดและเหตุผล จากนั้นผู้บริหารระดับสูงกาหนดนโยบายการบริหารจัดการ ํ
ความมันคงปลอดภัย ่ ของสารสนเทศ (Information security management system policy : ISMS Policy)
พร้อมทั้
งอนุมัติและประกาศใช้นโยบายดังกล่าว ซึ่ งเป็ นกลไกให้มันใจว ่ ่าโครงการนี้ได้รับการสนับสนุน
อยางเป็ นรูปธรรม และเป็ นสัญญาณว ่ าได้เริ ่ ่มโครงการอยางเป็ นทางการแล้ว ่
จากนั้นผู้บริหารพิจารณาแต่งตั้งคณะทํางานให้เหมาะสม โดยตัวแทนหน่วยงานที่อยู่ในขอบเขต
ของการจัดทําระบบควรเข้าร่วมเป็ นคณะทํางานด้วย เพื่อให้การจัดทําระบบสอดคล้องกบลักษณะการทํางาน ั
เมื่อได้คณะทํางานแล้วจึงเริ่มสํารวจภัยคุกคามและช่องโหวที่ก่ ่อให้เกิดความเสี่ยงต่อสารสนเทศในขอบเขต
การจัดทําระบบขององค์กร โดยให้ตัวแทนแต่ละหน่วยงานที่เป็ นคณะทํางานสํารวจภัยคุกคามและช่องโหว
ในหน่วยงานของตนเอง เพื่อประเมินความเสี่ยง ผลการประเมินความเสี่ยงจะบอกถึงระดับความเสี่ยงจากภัย
คุกคามและช่องโหว่ในระบบสารสนเทศ และกําหนดมาตรการจัดการความเสี่ ยงให้ชัดเจนและมี
ประสิทธิภาพ
มาตรการจัดการความเสี่ยงจะเข้มข้นเพียงใดขึ้นอยูก่ บความซับซ้อนและระดับความเสี่ยงของปัญหา ั
นั้นๆภัยคุกคามและช่องโหว่ที่มีความเสี่ยงสูง เช่น การละเมิดกฎหมายหรือสัญญาทางธุรกิจ ย่อมต้องการ
มาตรการที่มีประสิทธิภาพอย่างเร่งด่วน เพื่อป้ องกัน ควบคุม และลดระดับความเสี่ยงให้อยู่ในระดับที่
ยอมรับได้รับการพิจารณาในลําดับถัดไปตามสถานการณ์และความพร้อมขององค์กร
การวางแผนจัดทําระบบการจัดการความมันคงปลอดภัยของสารสนเทศ มีประเด็นความสําคัญที่ ่
ต้องพิจารณา คือ
1.กําหนดขอบเขตการจัดทําระบบ (Scope of ISMS)
การกาหน ํ ดขอบเขตการจัดทําระบบมีความสําคัญมาก เพราะช่วยให้คณะทํางานกาหนดบทบาทได้ ํ
ว่ากลุ่มงานใดเป็ นกลุ่มงานหลัก และกลุ่มงานใดเป็ นส่วนสนับสนุน กลุ่มงานหลักหมายถึง กลุ่มงานที่มี
บทบาทโดยตรงในการบริ หาร ควบคุมดูแล และรับผิดชอบกระบวนการ ระบบงาน หรื อทรัพย์สิ น
สารสนเทศที่ต้องการความเชื่อมันในความมั ่ นคงปลอดภัย เช ่ ่นองค์กรมมีความต้องการสร้างความเชื่อมัน่
ให้แก่ศูนย์ข้อมูล (Data center) โดยการจัดทําระบบการจัดทําระบบการจัดการความมันคงปลอดภัยของ ่
สารสนเทศตามมาตรฐาน ISO/IEC 27001 ในกรณีนี้กลุ่มงานหลักคือ กลุ่มงานบริหารศูนย์ข้อมูล ซึ่ งเป็ น
ผู้รับผิดชอบดําเนินงาน ควบคุมดูแล และแกไขปัญหาที่เก ้ ิดขึ้น ทั้งนี้หากพิจารณาในความเป็ นจริงแล้ว จะ
พบวากลุ ่ ่มงานบริการศูนย์ข้อมูลอาจต้องใช้บริการกลุ่มงานสนับสนุนอื่นๆ เช่น กลุ่มงานบุคคลช่วยสรรหา
บุคลากรมาปฏิบัติงานและดูแลการฝึ กอบรมพนักงาน กลุ่มงานรักษาความปลอดภัยดูแลความปลอดภัยของ
อาคารสถานที่ กลุ่มงานจัดซื้อจัดจ้างหาเครื่องมือ/อุปกรณ์ในการดําเนินงาน หรือจัดหาผู้ให้บริการจาก
ภายนอก เป็ นต้น
จะเห็นได้ว่า กลุ่มงานสนับสนุนมีบทบาทสําคัญไม่แพ้กลุ่มงานหลักการจัดทําระบบการจัดการ
ความมันคงปลอดภัยของสารสนเทศจึงครอบคลุมทั ่ ้
งกลุ่มงานหลักและกลุ่มงานสนับสนุน เพื่อให้มันใจว ่ ามี ่
การควบคุมดูแลปัจจัยที่จะส่งผลกระทบต่อความมันคงปลอดภัยของสารสนเทศอย ่ างถูกต้องเหมาะสม และ ่
พอเพียงรวมทั้
งให้ผลลัพธ์ที่สอดคล้องกบนโยบายความมั ั นคงปลอดภัยของสารสนเทศ ่
หน่วยงานที่อยู่ภายใต้ขอบเขตการจัดทําระบบการจัดการความมันคงปลอดภัยของสารสนเทศให้ ่
มันคงปลอดภัย โดยส ่ ่งตัวแทนเป็ นคณะกรรมการ (ISO 27001 Steering committee) ซึ่งเป็ นตัวแทนระดับ
บริหารมีหน้าที่ดูแลภาพรวมของโครงการ และคณะทํางาน (ISO 27001 Working committee) ซึ่ งเป็ น
ตัวแทนระดับปฏิบัติการ
การกาหนดขอบเขตการจัดทําระบบที่ชัดเจนจะช ํ ่วยให้ผู้เกี่ยวข้องสามารถประเมินรายละเอียดของ
กระบวนการ กิจกรรม ระบบงาน ตลอดจนทรัพย์สินสารสนเทศที่เกี่ยวข้องทั้
งหมด และนําไปสู่การประเมิน
ศักยภาพของคณะทํางาน งบประมาณ และเวลาที่ใช้ในการจัดทําระบบการจัดการความมันคงปลอดภัยของ ่
สารสนเทศในขอบเขตดังกล่าวให้บรรลุเป้ าหมาย
2. นโยบายการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศ (ISMS Policy)
โครงการที่ผู้บริหารระดับสูงสนับสนุนอยางเป็ นรูปธรรม ่ ยอมมีความสําคัญและได้รับความร ่ ่วมมือ
จากทุกฝ่ ายหากผู้บริ หารติดตามผลการดําเนินงานอย่างต่อเนื่อง ยิ่
งเป็ นการยืนยันว่าผู้บริ หารจริ งจังกับ
โครงการนี้ และเป็ นสัญญาณที่ส่งถึงทุกคนในองค์กรให้ช่วยกนผลักดันโครงการให้สําเร็จตามเป้ าหมาย ั
การที่มาตรฐาน ISO/IEC 27001 ระบุให้ผู้บริหารระดับสูงเป็ นผู้กาหนดนโยบายการบริหารจัดการ ํ
ความมันคงปลอดภัยของสารสนเทศนับว ่ าเป็ นกุศโลบายที่เปิ ดโอกาสให้ผู้บริหารระดับสูงมีส ่ ่วนร่วมอยาง่
เป็ นรูปธรรมในการบริหารจัดการความมันคงปลอดภัยของสารสนเทศ เพราะการจะทําให้เก ่ ิดระบบขึ้นมา
ได้ต้องเริ่มต้นจากนโยบายของผู้บริหารระดับสูง ซึ่งต้องระบุทิศทาง เป้ าหมาย และความมุ่งมันในการดูแล ่
ทรัพย์สินสารสนเทศให้เกิดความมันคงปลอดภัยและเชื่อถือได้ ่
นโยบายการบริหารจัดการความมันคงปลอดภัยของสารสนเทศที่ดี จะต้องระบุความมุ ่ ่งมันในการ ่
ปกป้ องทรัพย์สินสารสนเทศให้เกิดความมันคงและปล ่ อดภัย ซึ่ งสอดคล้องกบแนวทางการประเมินความ ั
เสี่ยงขององค์กร ปฏิบัติตามกฎหมายและสัญญาหรือข้อตกลงทางธุรกิจอยางเคร ่ ่งครัดจะเห็นได้วา นโยบาย ่
นี้เป็ นการประกาศเจตนารมย์ขององค์กรให้รับรู้ทั้
งภายในและภายนอกองค์กร และสิ่งที่กล่าวถึงในนโยบาย
ให้มีผลบังคับใช้อยางเป็ นทาง ่ การ
ความมุ่งมันและพันธก ่ ิจที่ระบุในนโยบายบริหารจัดการความมันคงปลอดภัยของสารสนเทศจะเป็ น ่
จริงไม่ได้ หากไม่มีการถ่ายทอดนโยบายไปสู่ผู้ที่เกี่ยวข้องเพื่อนําไปขยายผลในทางปฏิบัติ ผู้บริหารจะต้อง
สื่อสารนโยบายดังกล่าวให้แก่ผู้ที่เกี่ยวข้องทั้
งภายในภายนอก ได้แก่
ผู้ขาย ผู้ให้บริการ ผู้รับจ้างช่วง เป็ นต้น
เพื่อให้เข้าใจตรงกนและยึดถือเป็ นแนวปฏิบัติ ั
3.การบริหารความเสี่ยงด้านความมั่นคงปลอดภัยของสารสนเทศ (ISMS Risk management)
ในการประเมินความเสี่ ยง ประเด็นสําคัญที่นํามาพิจารณาคือโอกาสที่จะเกิดภัยคุกคาม และ
ผลกระทบจากการใช้ประโยชน์จากช่องโหวต่ ่างๆที่ก่อให้เกิดผลเสียหายต่อทรัพย์สินสารสนเทศ ปัญหาที่มี
ความเสี่ยงสูงต้องได้รับการแกไข ควบคุมดูแล และดําเนินการลดระดับความเสี่ยงลงให้อยู ้ ในระดับที่ยอมรับ ่
ได้
Risk-based approach
มาตรฐาน ISO/IEC 27001 ให้ความสําคัญกบัการประเมินความเสี่ยงด้านความมันคงปลอดภัยของ ่
สารสนเทศ เพราะมาตรการควบคุมและป้ องกนทรัพย์สินสารสนเทศจะเข้มงวดเพียงใดขึ ั ้นอยู่กบผลการ ั
ประเมินความเสี่ยงของกิจกรรมหรือกระบวนการนั้นๆ หากมีความเสี่ยงสูงต้องมีมาตรการลดความเสี่ยงอยู่
ในระดับที่ยอมรับได้ ในทางตรงกนข้ ั ามหากผลการประเมินความเสี่ยงอยู่ในระดับที่ยอมรับได้ก็ต้องม
มาตรการควบคุม เพื่อกากํ บการดําเนินการให้มั ั นใจว ่ าสามารถรักษาระดับความเสี่ยงให้อยู ่ ในระดับที่ยอมรับ ่
ได้ตลอดไป
จะเห็นได้ว่า การประเมินความเสี่ยงเป็ นจุดเริ่มต้นที่สําคัญของกระบวนการบริหารจัดการความ
มันคง ่ ปลอดภัยของสารสนเทศ หากผลการประเมินความเสี่ยงไม่ถูกต้องหรือไม่ครบถ้วน ย่อมส่งผลให้
มาตรการผิดพลาดตามไปด้วย นอกจากนี้หากประเมินความเสี่ยงตํ่ากว่าความเป็ นจริงอาจเป็ นช่องทางให้
ผู้จัดทําระบบใช้เป็ นข้ออ้างเพื่อหลีกเลี่ยงการจัดทําแผนการลดความเสี่ยงก็ได้ (Risk treatment plan)อยางไร ่
ก็ตาม ปัญหานี้มีกลไกสําคัญป้ องกนไว้แล้ว เพราะมาตรฐาน ั ISO/IEC 27001 ระบุในองค์กรที่จัดทําระบบ
การจัดการความมันคงปลอดภัยของสารสนเทศต้องก ่ าหนดแนวทางการประเมินความเสี่ยงที่น ํ ่าเชื่อถือ และ
สอดคล้องกบสถานการณ์จริง ซึ่งเชื่อมโยงก ั บความเสี่ยงท ั างธุรกิจและกฎหมายที่เกี่ยวข้อง เพราะการตรวจ
ประเมินเพื่อขอรับการรับรอง (Certification audit) ผู้ตรวจประเมินจากภายนอก (Certified body) จะ
ตรวจสอบแนวทางการประเมินความเสี่ยงขององค์กรว่ามีความถูกต้อง เหมาะสมกบความเป็ นจริง และ ั
น่าเชื่อถือมากน้อยเพียงใด หากพบวาอง ่ ค์กรมีแนวทางการประเมินความเสี่ยงที่ไม่น่าเชื่อถือจะต้องแกไขให้ ้
สมบูรณ์ก่อนจึงจะผานกระบวนการตรวจประเมิน ่
ขั้นตอนการประเมินความเสี่ยง
1.การระบุทรัพย์สิน (Asset inventory) สารสนเทศเป็ นสิ่งที่จับต้องไม่ได้ จําเป็ นต้องมีสื่อที่ใช้
จัดเก็บ เช่น ฮาร์ดดิส (Harddisk) แฟรชไดรว์(Flash drive) เป็ นต้น นอกจากนี้ยังมีการสื่อสารข้อมูล
สารสนเทศผ่านระบบเครือข่ายไปยังผู้รับปลายทาง ซึ่ งจําเป็ นต้องมีอุปกรณ์และซอฟท์แวร์รองรับจึงจะ
สามารถดําเนินการได้ จะเห็นได้วาสารสนเทศต้องพึ่งพาองค์ประกอบอื่นๆและองค์ประกอบเหล ่ ่านั้นล้วนมี
บทบาทสําคัญในการรักษาความมันคงปลอดภัยของสารสนเทศ สมมุติว ่ าองค์กรแห ่ ่งหนึ่งมีมาตรการสํารอง
ข้อมูลทุกสัปดาห์เพื่อให้มันใจว ่ ามีข้อมูลสํารองเมื่อต้องการใช้ แต ่ ่ขาดมาตรการดูแลสื่อบันทึกข้อมูลสํารองที่
มีประสิทธิภาพ ทําให้ไม่สามารถกูข้อมูลคืนได้เมื่อจําเป็ นต้องใช้งาน จากตัวอย ้ ่างนี้สะท้อนให้เห็นว่าการ
ปกป้ องทรัพย์สินสารสนเทศอยางเดียวไม ่ ่
เพียงพอ ต้องดูแลให้ครอบคลุมถึงองค์ประกอบที่เกี่ยวข้องด้วย
องค์ประกอบที่เกี่ยวข้องกับทรัพย์สิ นสารสนเทศ สามารถกําหนดเป็ นทรัพย์สิ นที่ต้องดูแล
เช่นเดียวกบสารสนเทศ ซึ่งตามมาตรฐาน ั BS7799-3 : 2006 แสดงตัวอยางการจําแนกทรัพย์สินออกเป็ น ่ 5
ประเภท ได้แก่
• สารสนเทศ เช่น ข้อมูลทางธุรกิจ ข้อมูลทางบัญชี เป็ นต้น
• กระบวนการและบริการ เช่น กระบวนการเรียกเก็บเงิน บริการสื่อสารผานอินเตอร์เน็ ่ ต เป็ นต้น
• ซอฟท์แวร์ เช่น ระบบปฏิบัติการ เป็ นต้น
• เครื่องมือ อุปกรณ์ เครื่องคอมพิวเตอร์ เป็ นต้น
• บุคลากร เช่น ผู้บริหาร พนักงานที่ปฏิบัติงาน เป็ นต้น
2.การระบุภัยคุกคามต่อทรัพย์สิน (Threats identification) ภัยคุกคามต่อทรัพย์สินส่งผลกระทบ
หลายรูปแบบ เช่น แฮกเกอร์ทําให้ระบบควบคุมการเข้าถึงล้มเหลวทําให้ข้อมูลสําคัญรั่
วไหล กรณีนี้จัดเป็ น
การสูญเสียสภาพความลับของข้อมูล (Confidentiality) หากแฮกเกอร์แกไขข้อมูลด้วยก ้ ็จะสูญเสียในด้าน
ความถูกต้องสมบูรณ์ (Integrity)และหากแฮกเกอร์ลบข้อมูลทั้
งหมด ทําให้ไม่สามารถใช้งานข้อมูลนั้นได้ ก็
จะสูญเสียสภาพความพร้อมใช้งาน (Availability)
ภัยคุกคามต่อทรัพย์สินมีที่มาจากหลายแหล่ง ไม่ได้เกิดจากมนุษย์เพียงอย่างเดียว อาจเกิดจากภัย
ธรรมชาติ หรือปัจจัยอื่นๆด้วย แต่ภัยคุกคามจากมนุษย์มีความหลากหลายและซับซ้อนกวาภัยคุกคามอื่นๆทั ่ ้
ง
ภัยคุกคามที่เกิดโดยเจตนา เช่น แอกเกอร์หรือผู้ไม่ประสงค์ดีขโมยข้อมูลและภัยคุกคามที่ไม่ได้เจตนา เช่น
ความผิดพลาดหรือพลั้
งเผลอจากความประมาทเลินเล่อของผู้ใช้ทรัพย์สิน เป็ นต้น
3.การะบุช่องโหว่ (Vulnerabilities identification) ช่องโหวหรือจุดอ ่ ่อนเป็ นช่องทางที่ภัยคุกคาม
ใช้ประโยชน์เพื่อโจมตีทรัพย์สินจนเกิดความเสียหาย ตั้งแต่ความเสียหายเล็กๆน้อยๆจนถึงขั้นรุ นแรง
บ่อยครั้งพบว่า ซอฟท์แวร์มีช่องโหว่ด้านความปลอดภัย ดังนั้นผู้ใช้ต้องติดตามข่าวสารความก้าวหน้า
ทางด้านเทคโนโลยีเพราะเมื่อผู้ตัดสินพบช่องโหว่ของซอฟท์แวร์ เช่น ระบบปฏิบัติการ ก็จะเผยแพร่
โปรแกรมแกไขผ ้ านอินเตอร์เน็ต ผู้ใช้สามารถดาวน์โหลดไปติดตั ่ ้
งเพื่อปรับปรุงระบบและแกไขช ้ ่องโหวได้ ่
อยางรวดเร็ว นอกจากช ่ ่องโหวจากซอฟท์แวร์ยังมีช ่ ่องโหวจากปัจจัยอื่นๆอีกมากมาย เช ่ ่น ผู้ใช้งานขาดความ
ตระหนักหรือขาดความรู้ความเข้าใจเรื่องการใช้งานระบบสารสนเทศอย่างถูกต้องและเหมาะสมปัจจุบัน
พบว่า ช่องโหว่ที่เกิดจากผู้ใช้งานที่ก่อให้เกิดความเสียหายมีแนวโน้มมากขึ้น สอดคล้องกบกระแสการ ั
เติบโตของอินเตอร์เน็ตในภาคครัวเรือน ซึ่งเป็ นกลุ่มผู้ใช้งานที่มีความเสี่ยงสูงทีจะตกเป็ นเหยื่อของการโจมตี
4.การระบุผลกระทบที่มีต่อทรัพย์สิน(Consequence evaluation) หลังจากรู้ภัยคุกคามและช่องโหว่
แล้ว สิ่งที่ต้องหาคําตอบต่อไปคือ ภัยคุกคามนั้นส่งผลกระทบต่อทรัพย์สินอย่างไร โดประเมินผลกระทบ
ของทรัพย์ที่เกิดจากการสูญเสียสภาพความลับ (Confidentiality) ความถูกต้องสมบูรณ์ (Integrity) และความ
ไม่พร้อมใช้งาน (Availability) ซึ่งจะช่วยให้เห็นความสําคัญของทรัพย์สิน หากทรัพย์ใดถูกภัยคุกคามโจมตี
แล้วมีผลกระทบมาก ทําให้ธุรกิจหรือองค์กรเสียหายรุนแรง แสดงว่าทรัพย์สินนั้นมีคุณค่าต่อองค์กรมาก
จําเป็ นต้องได้รับการปกป้ องอยางมีประสิทธิภาพและหลีกเลี่ยงภัตคุกคามทุกรูปแบบ ่
5.การประเมินระดับความเสี่ยง (Risk evaluation) การประเมินระดับความเสี่ยงเป็ นการพิจารณา
โอกาสที่จะเกิดปัญหาและความรุนแรงของปัญหาควบคู่กน ผลการประเมินความเสี่ยงมีประโยชน์มากใน ั
การจัดลําดับความสําคัญ และความเร่งด่วนในการแกไขปัญหาภายใต้ทรัพยากรที่มีอยู ้ องค์กรที่จัดทําระบบ ่
การจัดการความมันค่ งปลอดภัยของสารสนเทศเมื่อระบุภัยคุกคามและช่องโหว่แล้ว จะพบว่ามีภัยคุกคาม
มากมายที่ต้องกาหนดมาตรการควบคุมดูแลให้มีประสิทธิภาพ อย ํ างไรก ่ ็ตาม เราไม่สามารถดําเนินการแกไข้
ปัญหาทั้
งหมดได้พ้อมกน เนื่องจากมีข้อจําก ั ดเรื่องงบประมาณ ั บุคลากร เวลา และเทคโนโลยี ดังนั้น จึงต้อง
เลือกปัญหาที่มีความเสี่ยงสูงมากดําเนินการอ่าน ส่วนปัญหาที่มีความเสี่ยงรองลงมารอดําเนินการในลําดับ
ถัดไปตามความพร้อมของทรัพยากร
ทั้
งนี้ ในการประเมินระดับความเสี่ยงจะต้องพิจารณาประเด็นทางกฎหมาย สัญญา และข้อตกลงทาง
ธุรกิจด้วย เพื่อให้มันใจว ่ ามีการพิจารณาความเสี่ยงทั ่ ้
งหมดในแง่มุมต่างๆครบถ้วน
6.กําหนดแนวทางรองรับความเสี่ยง (Decision for risk) หลังจากประเมินระดับความเสี่ยงแล้ว
สามารถจําแนกความเสี่ยงเป็ น 2กลุ่ม คือ
ความเสี่ยงที่ยอมรับได้ (Acceptable risk) แม้วามีการจัดทําแผนการจั ่ ดการความเสี่ยงเพื่อป้ องกนั
ภัยคุกคาม (Risk treatment plan) แต่อาจยังมีความเสี่ยงหลงเหลืออยู จึงต้องประเมินว ่ าความเสี่ยงนั ่ ้นสามารถ
ยอมรับได้หรื อไม่ โดยพิจารณาผลกระทบที่อาจเกิดขึ้นจากความเสี่ยงนั้นเพราะบางกรณีการลงทุนเพื่อ
ป้ องกันความเสี่ยงอาจไม่คุ้มค่ากับความเสียหายที่อาจจะเกิดขึ้นจากความเสี่ยงนั้น หรือมีอุปสรรคด้าน
เทคโนโลยีที่เหมาะสมในการจัดการความเสี่ยง ผู้บริหารจึงมีบทบาทสําคัญในการพิจารณาและตัดสินใจ
ยอมรับความเสี่ยงนั้น โดยมีเหตุผลรองรับการตัดสินใจที่มีนํ้าหนักเพียงพอและสมเหตุสมผลในทางธุรกิจ
อีกทั้
งไม่ขัดต่อกฎหมาย สัญญา และข้อตกลงทางธุรกิจ
ความเสี่ยงที่ต้องแก้ไขปรับปรุง (Required treatment risk) เป็ นความเสี่ยงที่มีผลรวมของโอกาส
และความรุนแรงสูงกว่าเกณฑ์ที่กาหนด ํ เป็ นการพิจารณาร่วมกนในประเด็นที่สําคัญระหว ั ่างโอกาสเกิด
ปัญหากบความรุนแรงอย ั างใดอย ่ างหนึ่งอาจไม ่ ่
เพียงพอที่จะสะท้อนความเสี่ยงเพราะบางกรณีมีโอกาสเกิด
น้อยแต่มีความรุนแรงสูง เช่น แผ่นดินไหวทําให้ระบบคอมพิวเตอร์หรือการสื่อสารเสียหาย หรือในทาง
ตรงกนข้ามปัญหามีความ ั รุนแรงน้อยแต่มีโอกาสเกิดสูง เช่น การแพร่กระจายสปายแวร์ผ่านทางเว็บไซต์
ปัญหาทั้
งสองต้องได้รับการควบคุมดูแลอยางเหมาะสม ในทางปฏิบัตินิยมจัดทําแผนการจัดการความเสี่ยง ่
มาใช้เป็ นเครื่องมือจัดการความเสี่ยงที่ต้องแกไขปรับปรุง ้
การแบ่งกลุ่มความเสี่ยงจะช่วยให้คณะทํางานแยกแยะปัญหาที่ต้องแกไขปรับปรุง และนําไปจัดทํา ้
แผนการจัดการความเสี่ยง ส่วนความเสี่ยงที่ยอมรับได้ก็จะกาหนดแนวทางควบคุม เพื่อคงระดับความเสี่ยง ํ
ไว้ไม่ให้สูงเกินระดับที่ยอมรับได้
แผนการจัดการความเสี่ยง (Risk treatment plan)
การจัดทําแผนการจัดการความเสี่ยงมีวัตถุประสงค์คือ เป็ นเครื่องมือในการบริหารจัดการความเสี่ยง
ที่จําเป็ นแก้ไขปรับปรุง โดยกาหนดผู้รับผิดชอบ รายละเอียดสิ ํ ่งที่จะดําเนินการ และช่วงเวลาดําเนินการ
รวมทั้งการติดตามผลเป็ นระยะเพื่อกากํ บดูแลให้ผู้ที่เก ั ี่ยวข้องดําเนินการตามมาตรการที่กาหนดไว้อย ํ ่าง
เคร่งครัด หากพบปัญหาหรืออุปสรรคระหวางดําเนินงาน คณะทํางานจะนําปัญหาดังกล ่ ่าวเสนอต่อผู้บริหาร
เพื่อหาทางออกที่เหมาะสม ทําให้แผนงานดําเนินต่อไปจนบรรลุเป้ าหมาย หรื ออาจมีการปรับแผนให้
สอดคล้องกบสภาพความเป็ นจริง ขึ ั ้นอยูก่ บสถานการณ์และการตัดสินใจของผู้บริหารด้วย ั
แนวคิดในการจัดทําแผนการจัดการความเสี่ยง มี 3 ประการ ดังนี้
หลีกเลี่ยงความเสี่ยง (Avoid)ความเสี่ยงเป็ นผลมาจากภัยคุกคามใช้ประโยชน์จากช่องโหวเพื่อสร้าง ่
ความเสียหายจากทรัพย์สิน หากสามารถกาจัดภัยคุกคามหรือช ํ ่องโหว่ให้หมดไปก็เท่ากบหลีกเลี่ยงความ ั
เสี่ยงนั้นโดยปริยาย แนวคิดนี้ดูเหมือนเป็ นเรื่องง่าย แต่ปฏิบัติยาก เช่น ภัยคุกคามจากไวรัสที่ติดต่อผ่าน
แฟลชไดรว์ ซึ่ งในช่องโหว่จากการที่เครื่องคอมพิวเตอร์ไม่ได้ติดตั้งโปรแกรมต่อต้านไวรัส ทําให้ไวรัส
แพร่กระจายในระบบเครือข่ายคอมพิวเตอร์ขององค์กร กรณีนี้หากนําแนวทางการหลีกเลี่ยงความเสี่ยงความ
เสี่ยงมาใช้โดยกาจัดภัยคุกคามหรือช ํ ่องโหว่ด้วยการห้ามใช้แฟลชไดรว์ สิ่งที่ตามมาคืออาจส่งผลให้การ
ทํางานสะดุด หากไม่มีมาตรการอื่นรองรับหรือไม่มีการเตรียมการก่อน
ลดระดับความเสี่ยง (Reduce) สามารถทําได้โดยการป้ องกนภัยคุกคามและช ั ่องโหว่ให้มีโอกาส
โจมตีทรัพย์สินน้อยลง หรือการควบคุมผละกระทบให้อยูในระดับที่ยอมรับได้ เช ่ ่น ลดความเสี่ยงจากการถูก
ดักจับข้อมูลในเครือข่ายที่มีช่องโหว่จากการส่งข้อมูลที่ไม่ได้เข้ารหัส กรณีนี้สามารถแกไขช ้ ่องโหว่ได้โดย
การเข้ารหัสข้อมูลที่ส่งผานเครือข ่ ่ายคอมพิวเตอร์
ถ่ายโอนความเสี่ยง (Transfer) บางองค์กรอาจขาดองค์ความรู้เชิงลึกทางด้านความมันคงปลอดภั ่ ย
ของสารสนเทศ อาจจะโอนความเสี่ยงโดยใช้บริการของผู้เชี่ยวชาญภายนอกในรูปแบบของผู้รับจ้างช่วง
(Outsourcing service) นอกจากนี้การทําประกนกั ็เป็ นวิธีการที่นิยมและมีความคล่องตัว โดยผู้บริหารต้อง
พิจารณาความเหมาะสม ค่าใช้จ่าย ความเสี่ ยง และมาตรการควบคุมดูแลให้เกิดความมั่
นใจและมี
ประสิทธิภาพ การใช้บริการหน่วยงานภายนอก จะต้องทําสัญญาที่รัดกุมและครอบคลุมประเด็นความเสี่ยง
ต่างๆ ในทางปฏิบัตินิยมทําเอกสารข้อตกลงระดับการให้บริการ (Service level agreement) เพื่อกาหนด ํ
ตัวชี้วัดที่ชัดเจนและทั้
งสองฝ่ ายยอมรับ
ในการจัดทําแผนการจัดการความเสี่ยง นอกจากพิจารณาแนวทางการจัดการเพื่อหลีกเลี่ยงความ
เสี่ยง ลดความเสี่ยง หรือถ่ายโอนความเสี่ยงยังต้องเชื่อมโยงกบวัตถุประสงค์และมาตรการควบคุมความ ั
มันคงปลอดภัย ่ (Control objectives and controls) ที่เฉพาะเจาะจงกบความเสี่ยงด้วยนั ั ้นคือ มาตรฐาน
กาหนดให้ผู้เขียนแผนการจัดการความเสี่ยงเลือกมาตรการที่ระบุไว้ในภาคผนวก ํ (Annex A) มาประยุกต์ใช้
ดําเนินการกบความเสี่ยง ั
ขั้นตอนที่ 2 การนําไปปฏิบัติ (Do : Implement and operate the ISMS)
ขั้
นตอนการปฏิบัติเป็ นการนําผลลัพธ์ของขั้
นตอนการวางแผนมาปฏิบัติให้เกิดผลตามวัตถุประสงค์
เช่น มาตรการป้ องกนการบุกรุกระบบมาตรการสํารองข้อมูล เป็ นต้น ซึ่ งก ั ่อนจะปฏิบัติได้อย่างถูกต้อง
จําเป็ นต้องมีการฝึ กอบรมเพื่อถ่ายทอดความรู้ และแนวทางปฏิบัติที่ถูกต้องให้แก่พนักงาน
การจัดทําแผนการจัดการความเสี่ยง (Risk treatment plan)
ความเสี่ยงที่ผานการประเมินแล้วจําแนกเป็ น ่ 2 กลุ่ม คือ ความเสี่ยงที่ยอมรับได้ และความเสี่ยงที่
ยอมรับไม่ได้ ในส่วนของความเสี่ยงที่ยอมรับไม่ได้จะต้องมีแผนการจัดการความเสี่ยงรองรับ โดยวางแผน
ปฏิบัติการ กาหนดรายละเอียด และผู้รับผิดชอบในการดําเนินงาน เพื่อให้ได้ ํ ผลลัพธ์ตามเป้ าหมาย และลด
ระดับความเสี่ยงลงมาในระดับที่ยอมรับได้
การจัดกลุ่มความเสี่ยงจะช่วยให้การบริหารจัดการมีประสิทธิภาพมากขึ้น โดยใช้แผนการจัดการ
ความเสี่ยงเป็ นเครื่องมือสําคัญในการดําเนินการ การกาหนดขอบเขตของแต ํ ่ละแผนว่าจะครอบคลุมความ
เสี่ยงใดบ้างขึ้นอยู่กับรายละเอียดการดําเนินการของแผนการจัดการความเสี่ยงนั้นๆโดยแต่ละแผนควร
รองรับกลุ่มความเสี่ยงที่มีแนวทางการดําเนินการในทิศทางเดียวกัน เช่น แผนการจัดการความเสี่ยงภัย
คุกคามจากโปรแกรมไม่ประสงค์ดี มีขอบเขตการดําเนินการกบความเสี่ยงทุกประเภทที่เก ั ิดจากภัยคุกคาม
จําพวกไวรัส หนอนโทรจัน และโปรแกรมไม่ประสงค์ดีอื่นๆดังนั้น ทรัพย์สินต่างๆที่มีภัยคุกคามดังกล่าวจะ
แผนการจัดการความเสี่ยงนี้ควบคุม
ทั้
งนี้ ผู้รับผิดชอบแผนการจัดการความเสี่ยงอาจมีคนเดียวหรือหลายคนก็ได้ ขึ้นอยู่กบรายละเอียด ั
ของแผน หากเนื้องานเกี่ยวข้องกบหลายหน ั ่วยงานควรมีตัวแทนจากหน่วยงานนั้นๆเข้าร่วมด้วย เพื่อช่วย
ผลักดันแผนงานให้บรรลุผลตามเป้ าหมาย และคอยสอดส่องดูแลในขอบเขตของหน่วยงานตนเอง
กําหนดแนวทางการวัดประสิทธิภาพของมาตรการด้านความมั่นคงปลอดภัย
การบริหารจัดการความเสี่ยงด้านความมันคงปลอดภัยของสารสนเทศต้องมีการวัดประสิ ่ ทธิภาพ
เพื่อให้มันใจว ่ าระบบสามารถตอบสนองวามเสี่ยงได้อย ่ างเหมาะสม ่ และเพียงพอ ผลการวัดประสิทธิภาพจะ
สะท้อนถึงความสามารถของมาตรการที่นํามาใช้วาบรรลุวัตถุประสงค์ ่ ด้านความมันคงปลอดภัยหรือไมใน
ขั้นตอนการวางแผนจัดการความเสี่ยงจึงต้องกาหนดตัวชี ํ ้วัดความสําเร็จของแผนงานให้ชัดเจน และผู้ที่
เกี่ยวข้องยอมรับเมื่อนําแผนไปปฏิบัติควรมีมาตรการติดตามและประเมินผลเป็ นระยะ เพื่อกากํ บดูแลและ
ับรู้ปัญหาหรืออุปสรรคที่อาจจะเกิดขึ้น รวมทั้
งหาแนวทางแกไขเพื่อให้แผนกา ้ รจัดการความเสี่ยงสําเร็จ
ตามเป้ าหมาย
การฝึ กอบรมและสร้างจิตสํานึก
การฝึ กอบรมและสร้างจิตสํานึกเป็ นกลไกในการถ่ายทอดองค์ความรู้และแนวทางปฏิบัติที่ถูกต้อง
และเหมาะสมไปยังผู้ที่เกี่ยวข้องทุกระดับในองค์กร การจัดหลักสูตรฝึ กอบรมต้องพิจารณาความจําเป็ นใน
การฝึ กอบรมของแต่ละตําแหน่งและลักษณะงานที่รับผิดชอบ เพื่อให้มันใจว ่ ่าผู้ปฏิบัติงานมีความรู้ความ
เข้าใจเรื่องภัยคุกคาม และความเสี่ยงต่างๆอีกทั้งสามารถหลีกเลี่ยง ป้ องกน และดําเนินการลดความเสี่ยงใน ั
ส่วนที่ตนเองเกี่ยวข้องได้อยางถูกต้องและเหมาะสม ่
หลักสูตรฝึ กอบรมควรประกอบด้วยหลักสูตรระดับพื้นฐาน เพื่อให้ผู้ที่เกี่ยวข้องทุกระดับเข้าใจ
หลักการพื้นฐานเรื่องความมันคงปลอดภัยของสารสนเทศ ่ มองเห็นความสําคัญองมาตรการด้านความ
ปลอดภัยและยอมรับแนวทางปฏิบัติจากการฝึ กอบรม และหลักสูตรเชิงเทคนิคสําหรับงานที่เฉพาะเจาะจง
เช่น งานวิเคราะห์ความผิดปกติของเครือข่าย จําเป็ นต้องมีองค์ความรู้เพื่อให้สามารถปฏิบัติงานได้อย่างมี
ประสิทธิภาพ นอกจากนี้ผู้ที่เกี่ยวข้องกบการจัดทําระบบ ั ที่เข้าอบรมอาจจะให้ข้อเสนอแนะแก่คณะทํางานทํา
ให้ได้ระบบที่เหมาะสมและสอดคล้องกบสภาพแวดล้อมขององค์กร ั
บางองค์กรอาจมีผู้รับจ้างช่วงมาปฏิบัติงานในองค์กรเสมือนเป็ นพนักงาน ในกรณีนี้อาจจะให้
พนักงานของผู้รับจ้างช่วงเข้ารับการฝึ กอบรมเช่นเดียวกบพนักงาน ั ขององค์กร ซึ่ งจะช่วยให้ดูแลได้ง่าย
เนื่องจากผู้ปฏิบัติงานมีพื้นฐานความรู้ใกล้เคียงกน อย ั ่างไรก็ตาม หากองค์กรไม่ต้องการรับภาระในการจัด
อบรมให้แก่ผู้รับจ้างช่วง ก็อาจจะกาหนดหัวข้อการอบรมและรายละเอียด แล้วมอบหมายให้ผู้รับจ้างช ํ ่วงจัด
อบรมพนักงานในสังกดเองแล้วส ั ่งผลการฝึ กอบรมให้องค์กรก็ได้ อย่างไรก็ตาม องค์กรควรมีมาตรการ
ตรวจสอบความสามารถในการปฏิบัติงานจริง ไม่ใช่ตรวจสอบเพียงหลักฐานวาผ่ านการฝึ กอบรมแล้วเท ่ ่านั้
น
ขั้นตอนที่ 3 การเฝ้ าระวังและทบทวน (Check : Monitoring and review the ISMS )
หลังจากปฏิบัติตามมาตรการที่กาหนดแล้ว จะต้องมีการวัดผลโดยแนวทางการวัดผลและความถี่ใน ํ
การเฝ้ าระวังต้องสอดคล้องกบความเสี่ยง เช ั ่น กระบวนการ ระบบงาน หรือทรัพย์สินสารสนเทศที่มีความ
เสี่ยงสูงต้องมีการเฝ้ าระวังและวัดผลการปฏิบัติงานที่เข้มงวดกว่ากระบวนการระบบงาน หรือทรัพย์สิน
สารสนเทศที่มีความเสี่ยงตํ่า เพื่อให้มันใจว ่ าหากเก ่ ิดเหตุการณ์ที่เกี่ยวข้องกบความมั ั นคงปลอดภัย ระบบการ ่
ตรวจวัดและเฝ้ าระวังสามารถจะรายงานผลได้ทันเวลา
การเฝ้ าระวังและทบทวนประกอบด้วย
• การวัดผลสัมฤทธิ์ของนโยบายการบริ หารจัดการความมันคงปลอดภัยของสารสนเทศ ่
(ISMS Policy) วาบรรลุผลตามที่ประกาศไว้หรือไม ่ ่
• การตรวจจับการละเมิดนโยบายความมันคงปลอดภัยของสารสนเทศ ซึ่งครอบคลุมทั ่ ้
งกรณี
ที่ผู้บุกรุกทําสําเร็จและไม่สําเร็จ
• การเปลี่ยนแปลงจากภายนอกองค์กร ได้แก่ กฎหมาย กฎระเบียบ ข้อบังคับ สัญญา และ
ข้อตกลงทางการค้า รวมถึงการเปลี่ยนแปลงทางสังคม
การตรวจประเมินภายในระบบ
การตรวจประเมินภายในระบบมีวัตถุประสงค์เพื่อตรวจสอบการจัดทําระบบ ผลการดําเนินงาน และ
การรักษาความสามารถในการจัดการสารสนเทศให้เกิดความมันคงปลอดภัย ผลการตรวจประเมินจะมี ่
คุณภาพถ้าสามารถตอบคําถามสําคัญ ดังนี้
• ISMS สอดคล้องตามข้อกาหนดของ ํ ISO/IEC 27001 ครบถ้วนหรือไม่
• ISMS สอดคล้องตามกฎหมาย กฎระเบียบ ข้อบังคับ สัญญาและข้อตกลงทางธุรกิจหรือไม่
• ISMS สอดคล้องนโยบายด้านความมันคงปลอดภัยของสารสนเทศหรือไม ่ ่
• มีการนํา ISMS ไปปฏิบัติและดําเนินการอยางต ่ ่อเนื่องให้ระบบคงอยูหรือไม ่ ่
• SMS ตอบสนองต่อความเสี่ยงได้อยางมีประสิทธิภาพหรือไม ่ ่
ก่อนการตรวจประเมินภายในระบบต้องมีการวางแผนและเตรียมการล่วงหน้า ที่สําคัญองค์กรควร
จัดทําระบบให้ครบทุกกระบวนการ ได้แก่
• การกาหนดนโยบายความมั ํ นคงปลอดภัยของสารสนเทศ ่
• การประเมินความเสี่ยงของสารสนเทศ
• การจัดทําแผนการจัดการความเสี่ยงของสารสนเทศ
• การควบคุมการปฏิบัติงานด้านความมันคงปลอดภัย ่
• การจัดทําเอกสารและแจกจ่ายให้แก่หน่วยงานนําไปปฏิบัติ
• การบันทึกผลการปฏิบัติงาน
• การเฝ้ าระวังและทบทวนความมันคงปลอดภัยของสารสนเทศ ่
หากองค์กรยังไม่ได้จัดทําระบบครบทุกกระบวนการ ผลการตรวจประเมินจะไม่สามารถ
สะท้อนผลการปฏิบัติงานจริงได้ ทําให้การตรวจประเมินภายในไม่ได้ประโยชน์เท่าที่ควร
การทบทวนโดยฝ่ ายบริหาร
ผู้บริหารระดับสูงนอกจากมีบทบาทในการกาหนดนโยบายการจัดการความมั ํ นคงปลอดภัยของ ่
สารสนเทศ ยังมีบทบาทสําคัญในการติดตามผลการจัดทําระบบ ผ่านการประชุมทบทวนโดยฝ่ ายบริหาร
เพราะการจัดทําระบบจะมีปัญหาหรืออุปสรรคหลายระดับ ตั้งแต่ปัญหาระดับนโยบายจนถึงปัญหาระดับ
ปฏิบัติการ บ่อยครั้งที่เกิดปัญหาในการผลักดันให้ทุกหน่วยงานปฏิบัติตามมาตรการ เนื่องจากขาดนโยบายที่
ชัดเจนจากผู้บริหารจึงต้องให้ผู้บริหารเข้ามาช่วยผลักดัน
การประชุมทบทวนโดยฝ่ ายบริ หารเป็ นเวทีให้คณะทํางานนําเสนอผลการจัดทําระบบ
ความกาวหน้า ปัญหาหรืออุปสรรคให้ผู้บริหารรับรู้ และร ้ ่วมหาแนวทางแกไข โดยมีประเด็นในการประชุม ้
ประกอบด้วย
• ผลการตรวจประเมินระบบการจัดการความมันคงปลอดภัยของสารสนเทศ ่
• ผลการทบทวนระบบการจัดการความมันคงปลอดภัยของสารสนเทศ ่
• ผลตอบรับจากหน่วยงานภายนอกที่สนใจ (Interested parties)
• องค์ความรู้ด้านเทคนิค ขั้
นตอนวิธีปฏิบัติที่มีประโยชน์ต่อการปรับปรุงความสามารถและ
ประสิทธิภาพของระบบการจัดการความมันคงปลอดภัยของสารสนเทศ ่
• ผลการป้ องกนและแก ั ไขข้อบกพร ้ ่องด้านความมันคงปลอดภัยของสารสนเทศ ่
• ภัยคุกคามและช่องโหวที่ไม ่ ่ได้ระบุในการประเมินความเสี่ยงขององค์กร
• ผลจากการประเมินผลสัมฤทธิ์ของมาตรการด้านความปลอดภัยของสารสนเทศ
ผลการประชุมจะต้องระบุการตัดสินใจ และการดําเนินการในประเด็นต่อไปนี้
• การปรับปรุงประสิทธิภาพของระบบ ISMS
• การทบทวนความเสี่ยงและแผนการจัดการความเสี่ยง
• การดําเนินการเกี่
ยวกบระเบียบปฏิบัติ มาตรการด้านความมั ั นคงปลอดภัยให้สอดคล้องก ่ บั
การเปลี่ยนแปลงในประเด็นต่อไปนี้
-ความต้องการด้านธุรกิจ
-ความต้องการด้านความมันคงปลอดภัย ่
-กฎหมาย กฎระเบียบ ข้อบังคับ สัญญา และข้อตกลงทางการค้า
-ระดับความเสี่ยงที่ยอมรับได้
ขั้นตอนที่ 4 การรักษามาตรฐานและปรับปรุงให้ดีขึ้น (Act : Maintain and improve the ISMS)
หลังจากตรวจพบปัญหาหรือสิ่งผิดปกติในขั้
นตอนการตรวจสอบผู้ที่เกี่ยวข้องทุกระดับต้องร่วมกนั
แกไขปัญหาที่เก ้ ิดขึ้น และป้ องกนปัญหาที่อาจเก ั ิดซํ้าในอนาคต รวมทั้
งหาแนวทางปรับปรุงระบบให้มีประ
สิทธิยิ่
งขึ้น กลไกสําคัญที่ช่วยผลักดันให้การแกไขปัญหาและปรับปรุงการดําเนินการได้อย ้ างเป็ นรูปธรรม ่
คือ การมีส่วนร่วมของผู้บริหารระดับสูง เพราะบ่อยครั้งพบวาปัญหาเก ่ ิดจากการขาดความชัดเจนในนโยบาย
การบริหารจัดการผู้บริหารจะต้องให้ความกระจ่างและตัดสินใจแก้ไขปัญหาเชิงนโยบายให้เป็ นรูปธรรม
เพื่อให้คณะทํางานยึดถือเป็ นแนวปฏิบัติต่อไป
การแก้ไขข้อบกพร่อง
การแกไขข้อบกพร ้ ่องด้วยวิธีการที่ถูกต้อง และเหมาะสมกบปัญหาจะช ั ่วยป้ องกนไม ั ่ให้ปัญหาเกิด
ซํ้
าในอนาคต โดยมีขั้
นตอน ดังนี้
• ระบุสาเหตุของข้อบกพร่อง
• ประเมินมาตรการวามีความเหมาะสม และสามารถป้ องก ่ นไม ั ่ให้เกิดข้อบกพร่องซํ้
าในอดีต
• ดําเนินการแกไขข้อบกพร ้ ่อง
• บันทึกรายละเอียดการแกไข้
• ทบทวนการแกไขให้เป็ นไปตามแนวทางที่ก ้ าหนด ํ
การแก้ไขข้อบกพร่อง
การป้ องกนกั ่อนเกิดข้อบกพร่องเป็ นมาตรการที่ดีกว่าการแกไขหลังเก ้ ิดความเสียหาย ระบบการ
จัดการความมันคงปลอดภัยของสารสนเทศ จึงก ่ าหนดแนวทางการป้ องก ํ นข้อบกพร ั ่องที่มีขั้
นตอนชัดเจน
เพื่อให้มันใจว ่ าผู้ที่เก ่ ี่ยวข้องสามารถนําไปปฏิบัติได้ โดยมีมาตรการป้ องกนข้อบกพร ั ่อง ดังนี้
• ระบุแนวโน้มของข้อบกพร่องและสาเหตุ
• ประเมินมาตรการที่ใช้ป้ องกนข้อบกพร ั ่อง
• บันทึกผลการดําเนินการป้ องกนข้อบกพร ั ่อง
• ทบทวนมาตรการป้ องกนข้อบกพร ั ่อง
แลกเปลี่ยนความร้และมาตรการแก้ไขข้อบกพร่อง ู
ข้อกาหนดของระบบการจัดการความมั ํ นคงปลอดภัยของ ่ สารสนเทศ ระบุให้องค์กรสื่อสารแนว
ปฏิบัติในการแกไขและป้ องก ้ นข้อบกพร ั ่องไปยังเครือข่ายขององค์กรที่มีความร่วมมือกนในด้านความมั ั นคง ่
ปลอดภัยของสารสนเทศ ซึ่งต้องพิจารณาระดับความลับของข้อมูลที่เผยแพร่ เพื่อป้ องกนการละเมิดนโยบาย ั
การรักษาความลับของข้อมูลในองค์กรด้วย
ระบบเอกสาร
องค์ความรู้ที่เกิดจากการจัดทําระบบการจัดการความมันคงปลอดภัยของสารสนเทศ หากไม ่ ่มีการ
บันทึกหรือจัดเก็บอย่างเป็ นระเบียบอาจจะสร้างปัญหาในระยะยาว ในทางตรงกนข้ามหากมีกระบวนการ ั
บันทึกองค์ความรู้ มาตรการ และขั้
นตอนการดําเนินงานต่างๆที่ผ่านการตรวจสอบความถูกต้องแล้ว และ
จัดเก็บเป็ นเอกสาร จะช่วยให้องค์ความรู้คงอยู่กบองค์กร ไม ั ่ใช่อยู่กบตัวบุคคล หากมีผู้ต้องการใช้ความรู้ ั
เหล่านั้นก็สามารถศึกษาจากเอกสารได้โดยตรง แม้วาบุคคลที่เก ่ ี่ยวข้องกบองค์กรความรู้เหล ั ่านั้นจะไม่ได้อยู่
ในองค์กรแล้วก็ตาม
หลักการควบคุมเอกสาร
องค์กรจําเป็ นต้องมีการควบคุมเอกสารในระบบการจัดการความมันคงปลอดภัยของสารสนเทศที่ ่
ได้มาตรฐาน เพื่อให้การบริหารงานมีประสิทธิภาพและมันใจว ่ า่
• ระบบเอกสารมีโครงสร้างชัดเจน
• เอกสารผานการทบทวนและอนุมัติจากผู้มีอํานาจ ่
• หน่วยงานมีเอกสารฉบับล่าสุดและพร้อมใช้งานเสมอ
• เอกสารผานการอนุมัติก ่ ่อนการแกไข เปลี่ยนแปลง ยกเลิก หรือทําลาย
โครงสร้างระบบเอกสาร
ในการจําทําระบบการจัดการความมันคงปลอดภัยของสารสนเทศมีการจัดทําเอกสารหลายฉบับ แต ่ ่
ละฉบับมีวัตถุประสงค์ในการใช้งานต่างกนตั ั ้งแต่เอกสารที่จัดทําเพื่ออธิบายภาพรวมของระบบ ไปจนถึง
เอกสารที่อธิบายรายละเอียดเชิงเทคนิคการปฏิบัติงาน นอกจากนี้ยังมีเอกสารที่เป็ นแบบฟอร์มสําหรับบันทึก
อีกหลายรายการที่ใช้งานแตกต่างกนั
โดยทัวไปโครงสร้างเอกสารประกอบด้วยเอกสาร 4 ระดับ คือ ่
ระดับที่ 1 คู่มือ (Manual)
ระดับที่ 2 ระเบียบปฏิบัติ (Procedure)
ระดับที่ 3 วิธีการปฏิบัติ (Work Instruction)
ระดับที่ 4 เอกสารสนับสนุนต่างๆ (Supporting Document) เช่น แบบฟอร์ม แผนผัง เป็ นต้น
ค่มือ ู (Manual)
คู่มือมีวัตถุประสงค์เพื่ออธิบายภาพรวมทั้
งหมดของการจัดทําระบบการจัดการความมันคงปลอดภัย ่
ของสารสนเทศ ตั้งแต่การแนะนําองค์กร ระบุขอบเขตการจัดทําระบบ นโยบายการบริหารจัดการความ
มันคงปลอดภัยของสารสนเทศ ผังโครงสร้างขององค์กร รวมถึงภาพรวมของข้อก ่ าหนดที่นํามาปฏิบัติ ซึ่ง ํเชื่อมโยงกบระเบียบปฏิบัติที่เก ั ี่ยวข้องด้วยระเบียบปฏิบัติ (Procedure)
เอกสารระดับที่ 2 ใช้อธิบายสาระสําคัญของเรื่อง ประกอบด้วยเนื้อหาที่ต้องการอธิบายว่าต้องทํา
อะไรบ้าง ครอบคลุมหัวข้อสําคัญเรื่องที่ต้องการอธิบายไว้ทั้งหมด โดยอธิบายรายละเอียดในระดับหนึ่ ง
เพื่อให้เข้าใจกรณีประเด็นที่มีรายละเอียดเชิงเทคนิคมาก นิยมนําส่วนนี้ไปเขียนเป็ นระเบียบปฏิบัติ
(Procedure) เพื่อให้ใช้งานและควบคุมเอกสารได้สะดวกเช่น ระเบียบปฏิบัติเรื่องการบริหารเครือข่าย ซึ่ ง
ครอบคลุมประเด็นสําคัญที่เกี่ยวข้องกบการบริหารเครือข ั ่ายทั้
งหมด ส่วนขั้
นตอนการปฏิบัติงานเชิงปฏิบัติ
จะเขียนเป็ นวิธีปฏิบัติงาน (Work instruction) เช่น วิธีปฏิบัติงานเรื่องการเฝ้ าระวังเครือข่าย เป็ นต้น
วิธีการปฏิบัติ (Work Instruction)
เน้นอธิบายขั้
นตอน และรายละเอียดวิธีปฏิบัติงานอยางชัดเจนเฉพาะเจาะจงเรื่องใดเรื่องหนึ่งที่ไม ่ ่ได้
อธิบายไว้ในระเบียบปฏิบัติ เพื่ออธิบายเชิงลึกและขยายความในรายละเอียด เช่น วิธีปฏิบัติงานเรื่อง การเฝ้ า
ระวังเครือข่าย เป็ นต้น
เอกสารสนับสนุน (Supporting Document)
ในการปฏิบัติงานจะพบวา มีเอกสารอื่นที่จําเป็ นต้องใช้งานนอกเหนือจากคู ่ ่มือ ระเบียบปฏิบัติ และ
วิธีปฏิบัติงาน เช่น แบบฟอร์ม แผนผังเครือข่าย คู่มืออุปกรณ์ (Equipment manual) รวมถึงเอกสารอื่นๆที่
เกี่ยวข้อง
ไม่มีความคิดเห็น:
แสดงความคิดเห็น