การพัฒนานโยบายด้านความปลอดภัยภายใต้มาตรฐาน...
TRANSCRIPT
การพฒนานโยบายดานความปลอดภยภายใตมาตรฐาน ISO27001 ขององคกรกรณศกษา บรษท อวาตาร อนเทอมเดย
Developing Security Policy Under ISO 27001 Standard Case Study for Evatar intermedia
มนสชา ทองประศาสน Monsicha Thongprasart
สารนพนธฉบบนเปนสวนหนงของการศกษา หลกสตรวทยาศาสตรมหาบณฑต สาขาวชาเทคโนโลยสารสนเทศ
คณะวทยาการและเทคโนโลยสารสนเทศ มหาวทยาลยเทคโนโลยมหานคร
ปการศกษา 2558
I
หวขอโครงงาน การพฒนานโยบายดานความปลอดภยภายใตมาตรฐาน ISO27001 ขององคกรกรณศกษา บรษท อวาตาร อนเทอมเดย Developing Security Policy Under ISO 27001 Standard Case Study for Evatar intermedia
ชอนกศกษา นางสาว มนสชา ทองประศาสน รหสนกศกษา 5717670010 หลกสตร วทยาศาสตรมหาบณฑต สาขาเทคโนโลยสารสนเทศ ปการศกษา 2558 อาจารยทปรกษา ผศ.ดร.พนม เพชรจตพร ดร.บรรจง หะรงษ
บทคดยอ
โครงงานการพฒนานโยบายดานความปลอดภยภายใตมาตรฐาน ISO27001 ขององคกรกรณศกษา บรษท อวาตาร อนเทอมเดย จดท าขนเพอวตถประสงคในการปรบปรงพฒนานโยบายและแนวทางปฏบตดานความมนคงปลอดภยสารสนเทศใหแกองคกรเพอใชเปนแนวทางสรางความมนคงปลอดภยและยกระดบระบบสารสนเทศใหมความมน คงปลอดภยเปนมาตรฐานสากลโดยมมาตรฐาน ISO/IEC 27001 : 2013 เปนเครองมอในการพฒนาเพอใหองคกรด าเนนงานอยางมประสทธภาพ
II
กตตกรรมประกาศ
ในการด าเนนโครงงานนส าเรจไดดวยความอนเคราะหจากอาจารยทปรกษาโครงการ ผศ.ดร.พนม เพชรจตพร และ ดร.บรรจง หะรงษ ทไดใหค าแนะน า ขอแกไข อกทงสนบสนนองคความร และใหค าปรษา ขอขอบคณ บรษท อวาตาร อนเทอมเดย ทไดอนญาตใหผจดท าไดเขาไปศกษาขอมลของหนวยงาน เพอน าขอมลทไดมาวเคราะห จดท าแผนงาน ขอขอบคณคณะคณาจารยสาขาวชาเทคโนโลยสารสนเทศ มหาวทยาลยเทคโนโลยมหานคร ทกทานทไดใหความร ค าแนะน าแกขาพเจาจนสามารถจดท าโครงงานนขนมาจนเสรจสมบรณ
มนสชา ทองประศาสน
ตลาคม 2558
III
สารบญ หนา
บทคดยอ I กตตกรรมประกาศ II สารบญ III สารบญรป VI สารบญตาราง VIII บทท 1 บทน า 1 1.1 กลาวน า 1 1.2 กรณศกษา 1 1.3 ปญหาและแรงจงใจ 2 1.4 แนวทางในการแกไขปญหา 2 1.5 วตถประสงคของโครงงาน 2 1.6 ขอบเขตของโครงงาน 3 1.7 ประโยชนทคดวาจะไดรบจากโครงงาน 3 1.8 ระยะเวลาการด าเนนงาน 4 บทท 2 ทฤษฎทเกยวของ 5 2.1 ความหมายและความเปนมา ISO/IEC27001:2013 5 2.2 ISMS Domains & Control 12 2.3 Risk Management (การบรหารจดการความเสยง) 27 บทท 3 การด าเนนงาน 34 3.1 ขนตอนในการด าเนนงาน 34
3.2ศกษาขอมลและโครงสรางบรษท 35 3.3 โครงสรางระบบเครอขาย 36 3.4 ขอมลทรพยสนขององคกร 37
IV
สารบญ (ตอ) หนา
บทท 4 ผลการด าเนนงาน 39 4.1ผลการประเมนความเสยงกอนการบรหารจดการความเสยง 40 4.2ผลการประเมนความเสยงหลงการบรหารจดการความเสยง 64 4.3แผนการจดท า SOA 94
บทท 5 สรปผลการด าเนนงาน 105 5.1สรปผลการประเมนความเสยงกอนการจดท า 106
5.2สรปผลการประเมนความเสยงหลงการจดท า 108 เอกสารอางอง 112
V
สารบญรป
หนา รปท 2.1 โครงสรางปรบปรงมาเปน ISO/IEC 27001 (2013) 6 รปท 2.2 Security Controls ทเพมมาในเวอรชน 2013 7 รปท 2.3 High level Standard structure – Annex SL 8 รปท 2.4 มาตรฐานชด 27000: ISMS Family of Standards Relationship 11 รปท 2.5 iSO/IEC 27001:2013 control summary 26 รปท 2.6 สตรค านวณระดบความเสยงโดยรวม 30 รปท 3.1 network diagram ในหอง Data Center ภายในองคกร อวาตาร อนเทอมเดย 36 รปท 5.1 กราฟแสดงผลสรปการประเมนความเสยง Hardware กอนการจดท า 105 รปท 5.2 กราฟแสดงผลสรปการประเมนความเสยง Software กอนการจดท า 106 รปท 5.3 กราฟแสดงผลสรปการประเมนความเสยง Personal กอนการจดท า 107 รปท 5.4 กราฟแสดงผลสรปการประเมนความเสยง Hardware หลงการจดท า 108 รปท 5.5 กราฟแสดงผลสรปการประเมนความเสยง Software หลงการจดท า 109 รปท 5.6 กราฟแสดงผลสรปการประเมนความเสยง Personal หลงการจดท า 110 รปท 5.7 สรปการประเมนความเสยงทงหมดหลงการจดท า 111
VI
สารบญตาราง
หนา ตารางท 1.1แผนการด าเนนโครงงาน 4 ตารางท 2.1 ISMS Domains & Control 12 ตารางท 2.2 ระดบโอกาสในการเกดความเสยง ( Likelihood) 27 ตารางท 2.3 ประเมนระดบความเสยง (Risk Assessment Matrix) 29 ตารางท 2.4 ระดบความเสยง (Risk Value) 29 ตารางท 2.5 การประเมนคาผลกระทบดานการด าเนนงาน (Operational) 31 ตารางท 2.6 การประเมนคาผลกระทบดานชอเสยง (Reputational) 32 ตารางท 2.7 การประเมนคาผลกระทบดานการเงน (Financial) 32 ตารางท 2.8 การประเมนคาผลกระทบดานกฏหมาย/ขอบงคบ(Compliance) 33 ตารางท 3.1 ตารางแสดงทรพยสน (Asset Inventory) 37 ตารางท 4.1 ประเมนความเสยง Hardware กอนจดท า 40 ตารางท 4.2 ประเมนความเสยง Software กอนจดท า 61 ตารางท 4.3 ประเมนความเสยง Personal กอนจดท า 63 ตารางท 4.4 ประเมนความเสยง Hardware หลงจดท า 66 ตารางท 4.5 ประเมนความเสยง Software หลงจดท า 87 ตารางท 4.6 ประเมนความเสยง Personal หลงจดท า 90 ตารางท 4.7 แผนประเมน SOA 94 ตารางท 5.1 สรปการประเมนความเสยง Hardware กอนการจดท า 105 ตารางท 5.2 สรปการประเมนความเสยง Software กอนการจดท า 106 ตารางท 5.3 สรปการประเมนความเสยง Personal กอนการจดท า 107 ตารางท 5.4 สรปการประเมนความเสยง Hardware หลงการจดท า 108 ตารางท 5.5 สรปการประเมนความเสยง Software หลงการจดท า 109 ตารางท 5.6 สรปการประเมนความเสยง Personal หลงการจดท า 110 ตารางท 5.7 สรปการประเมนความเสยงทงหมดหลงการจดท า 111
1
การพฒนานโยบายดานความปลอดภยภายใตมาตรฐาน ISO27001
ขององคกรกรณศกษา บรษท อวาตาร อนเทอมเดย
Developing Security Policy Under ISO 27001 Standard
Case Study for Evatar intermedia 1.1 กลาวน า
ในปจจบน มการแขงขนทางธรกจสง และเทคโนโลยสารสนเทศจงกาวเขามามบทบาท
ส าคญในธรกจ ถอวาเปนกลไกส าคญทท าใหธรกจเดนไปขางหนาเลยกวาได ในระบบธรกจลวน
แตมความเกยวของกบเทคโนโลยสารสนเทศแทบทงสนดงนนระบบสารสนเทศถอวาเปน
ทรพยสนอนมคาสงสดของธรกจ จงท าใหมความเสยงทจะถกการโจมตและภยคกคามในรปแบบ
ตางๆ มากมาย และมแนงโนนทจะเพมขนเรอยๆหากถกน าไปใชในทางทผดวตถประสงค อาจ
ท าใหเกดผลกระทบกบธรกจจงควรจ าท านโยบาลการบรหารจดการองคกรใหไดมาตรฐานดาน
ความปลอดภยของระบบสารสนเทศเพอจดการความเสยงทางดานเทคโนโลยสารสนเทศของ
องค กรการจดการความเสยงดานเทคโนโลยสารสนเทศ คอกระบวนการ ทจะท าใหองคกรม
มาตรการในการปองกนและการลดความเสยงทเกดจากภยคกคามภายนอกดวยการปกปอง
ระบบเทคโนโลยสารสนเทศและขอมลส าคญซงจะชวยสนบสนนความส าเรจของการด าเนนธรกจ
ในการน าเทคโนโลยสารสนเทศมาใชงานไดอยางปลอดภย
1.2 กรณศกษา
อวาตาร อนเทอมเดย กอตงขนวนท 10 พฤศจกายน พ.ศ. 2544 ใหบรการทางดานไอ
ท โซลชน เวบไซต มลตมเดย และ บรการหลงการขาย มฐานลกคาในจ านวนมาก ในอวาตาร
อนเทอมเดยไดขยายฐานลกคามากขนมการน าเทคโนโลยสารสนเทศเขามาใชแตองคกรยงไมให
ความส าคญในการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศเทาทครวจงม
ความเสยงทระบบเทคโนโลยสารสนเทศจะถกโจมตจากภย คกคามในรปแบบตางๆ มากมายจง
มความจ าเปนท จะตองเพมความมนคงปลอดภยใหกบระบบเทคโนโลยสารสนเทศขององคกร
ไดวางแผนจดทานโยบายการบรหารจดการดานความมนคงปลอดภยสารสนเทศโดยใช
หลกเกณฑตามมาตรฐาน ISO27001โดยมวตถประสงคเพอเพมประสทธภาพในการรกษาความ
มนคงปลอดภยสารสนเทศ ใหกบองคกร ซงในโครงงานนผจดท าจะท าการศกษาเฉพาะในสวน
ของ Data Center ซงมระบบงานทมความสาคญกบขอมลสารสนเทศขององคกรในอนดบตน
2
1.3 ปญหาและแรงจงใจ
องคกรมหองศนยขอมลตงอยภายในองคกร ซงมขอมลลกคาเปนจ านวนมาก และมการ
ควบคมการสอสารแลกเปลยนขอมลสารสนเทศเพอความมนคงปลอดภยของขอมล แตหากไมม
การตรวจสอบความเสยงทมและจดทามาตรการในบรหารจดการความเสยงทถกตองเหมาะสม
อาจสงผลใหเกดผลกระทบตอการด าเนนธรกจและชอเสยงขององคกรได
1.4 แนวทางในการแกไขปญหา
จากปญหาดงกลาวในหวขอท 1.3 จะมแนวทางในการแกปญหา โดยการจดใหม
นโยบายดานความปลอดมนคงปลอดภยระบบสารสนเทศ นโยบายการจดการความเสยงท
จะเกดขนกบองคเพอเพมประสทธภาพและความปลอดภยมนคงของระบบเทคโนโลยสารสนเทศ
ตาม มาตรฐานการรกษาความมนคงปลอดภย ISO 27001 เปนมาตรฐานทมงเนนส าหรบ
การบรหารจดการความมงคงปลอดภยส าหรบสารสนเทศ ISMS (Information Security
Management System)
1.5 วตถประสงคของโครงงาน
จากสงทไดกลาวมาทงหมดเบองตน ตงแตการหาสาเหตของปญหา จนถงแนวทางการแกไข
ปญหา จงสามารถสรปวตถประสงคของโครงงานเพอใหมกระบวนการท างานทมมาตรฐาน
1.5.1 เพอจดท านโยบายดานความมนคงปลอดภยระบบสารสนเทศของ องคกรตาม
มาตรฐานและขนตอนการปฏบตงานสารสนเทศดานตางๆใหเปนไปตามขอบงคบตาม กฎหมาย
และสอดคลองกบมาตรฐาน ISO27001:2013
1.5.2 เพอประเมนถงความเสยงขอบกพรอง ทอาจเกดขน กบงานดานเทคโนโลย
สารสนเทศอาจสงผลกระทบ กบระบบงานทงทางตรงและทางออม
1.5.3 เพอเพมประสทธภาพและความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ
ของ องคกรใหเปนไปตามมาตรฐาน ISO/IEC 27001:2013
1.5.4 เพอพฒนาระบบสารสนเทศขององคกรใหมความมนคงปลอดภย รวมทงสราง
ความนาเชอถอ ใหแกบคลากร และเจาหนาท ขององคกรทใชงานระบบเทคโนโลยสารสนเทศ
3
1.6 ขอบเขตของโครงงาน
ด าเนนการประสานงานกบหนวยงานทเกยวของในการเสนอและจดท าแผนบรหาร
จดการความเสยงทางดานความมนคงปลอดภยสารสนเทศโดยระบแผนระยะเวลาโดยมขนตอน
ดงน
1.6.1 ศกษาคนควา ระบบสารสนเทศของมาตรฐานสากล ISO/IEC 27001:2013 และ
ก าหนด ขอบเขตในการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ
1.6.2 ก าหนดการประเมนความเสยง และท าการวเคราะห ประเมนความ เสยงระบบ
เทคโนโลยสารสนเทศขององคกร
1.6.3 หาแนวทางในการจดการความเสยง เพอลดความเสยงของระบบ เทคโนโลย
สารสนเทศขององคกร
1.6.4 จดท านโยบายดานความมนคงปลอดภยระบบเทคโนโลยสารสนเทศ
1.6.5 ปรบปรงระบบงานดานสารสนเทศและจดท าขอก าหนดเพมเตมให สอดคลองกบ
นโยบาย
1.7 ประโยชนทคาดวาจะไดรบจากโครงงาน
เมอโครงงานนไดน ามาใชในองคกรแลว จะท าใหองคกรเกด นโยบายความปลอดภย
ระบบสารสนเทศ และน ามาปรบใชในการแกปญหาในการท างาน ดงมรายละเอยดดงน
1.7.1 ท าใหสามารถทราบถงจดออนและความเปนไปไดของความเสยง
ทอาจเกดขนเพอเตรยมการรบมอและแกไขความเสยง
1.7.2 สรางความนาเชอถอ และสราง ภาพลกษณทดใหกบองคกร
1.7.3 ท าใหมการบรหารจดการระบบเทคโนโลยสารสนเทศ เปนมาตรฐานสากลในการ
ควบคมดแล และพฒนาระบบเทคโนโลยสารสนเทศ
1.7.4 มนโยบายการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศเพอ ใช
เปนแนวทางในการปฏบตตาม
4
1.8 ขนตอนในการด าเนนงาน
จากทกลาวมาในขางตน ปญหาเกดจากองคกร ขาดการดแลเรองควมปลอดภยของ
ระบบเทคโนโลยสารสนเทศ จงไดน านโยบายความปลอดภยระบบสารสนเทศ และน ามาปรบใช
เพอปองการขอมลและเมนความเสยงทจะเกดขนโดยการพฒนาสารนพนธมเนอหาและขนตอน
ดงตอไปน
1.8.1 ขนตอนการด าเนนงาน
1.8.2 ศกษาคนควารวบรวม ขอมล มาตรฐานISO 27001
1.8.3 ศกษาระบบเทคโนโลยสารสนเทศ ขององคกร ในปจจบน
1.8.4 ประเมนความเสยงระบบเทคโนโลยสารสนเทศขององคกร
1.8.5 จดท าแผนและแนวทางแกไขเพอลดความเสยง
1.8.6 ด าเนนการบรหาร จดการความเสยงตาม แนวทางในการจดการ ความเสยง
1.8.7 จดท านโยบายดาน ความมนคงปลอดภย ระบบเทคโนโลย สารสนเทศ
1.8.8 จดท าเอกสารรายการควบคม (SOA)
1.8.9 ปรบปรงระบบงานดานสารสนเทศและจดท าขอก าหนดเพมเตมใหสอดคลองกบ
นโยบายและแนวปฏบตดาน ความมนคงปลอดภยสารสนเทศ
1.8.10 จดท ารายงานผลการตรวจสอบและประเมนความเสยง
1.8.11 สรปผลการด าเนนงานของโครง
5
บทท 2
ทฤษฎทเกยวของ
2.1 ความหมายและความเปนมา ISO/IEC27001:2013[3]
ISO ยอจาก International Organization for Standardization ISO กอตงตงแตป 1947
ครงแรกของงานดานความปลอดภยเกดจาก BS 7799 ทก าหนดตงแตป 1993 ของรฐบาล
องกฤษ
สองป หลงจากนน (1995) ไดประกาศเปนมาตรฐานกบหนวยงานซอขาย และ อตสาหกรรมซง
BS 7799 ไดพฒนาปรบปรงตอเนองมาเรอยจนถงป 2005 ในเดอนธนวาคม ป 2000 BS7799
ไดถกท าเปนมาตรฐาน ISO 17799 ISO/IEC 17799:2000 – Code of Practice for Information
Security Management
BS 7799-2:2002 – Specification for Information Security Management Systems ISO/IEC
27000 Series (2005) ประกาศเดอนตลาคมและ ISO/IEC 27001 (2013) ประกาศเดอน
กรกฎาคม เวอรชนราง มาตรฐาน ISO/IEC27001 เปนขององคกรทมชอวา The International
Organization of Standardization (ISO) และ The International Electrotechnical Commission
(IEC) เปนระบบบรหารจดการทจะมงเนนไปทความมนคงปลอดภยของขอมลเปนหลก หรอ
Information Security Management System (ISMS) กระบวนการของ ISMS จะชวยในการ
ควบคมความเสยงทจะเกดขนกบขอมลซงครอบคมไปถงดานกฏหมายและการเขาถงทาง
กายภาพ โดยเวอรชนลาสดคอ (ISO27001:2013) ประกาศใชเมอ 1 ต.ค. 2013 สวนเวอร
แรกประกาศใชครงแรกเมอป 2550 (ISO27001:2005) เวอรชน 2013 ไดมการปรบโครงสราง
มาตรฐานหรอทเรยกวา Annex SL ซงเปนโครงสรางมาตารฐานของระบบบรหารจดการตางๆ
หลงจากประกาศใชกไดรบความสนใจจากองคกรทงภาครฐและเอกชนทวโลก น ามาใชงานและ
ขอการรบรอง (Certification) เกยวของกบการปรบปรงระบบบรหารการรกษาความมนคง
ปลอดภยขอมล (Information Security Management System (ISMS) ในปจจบนมาตารฐานท
มการใช Annex SL มอยทงหมด 3 มาตราฐาน คอ ISO 9001 ISO 22301 และ ISO 27001:2013
ซง ISO 27001:2013 น า Annex SL เขามาปรบใชเพอใหตอบรบกบชองโหวหรอภยความเสยง
ทอาจจะเกดขน
6
รปท2.1 โครงสรางปรบปรงมาเปน ISO/IEC 27001 (2013)
ซงจะตางจากป 2005 โดยทเวอรชน 2005 จะมเพยง 11 Security Control Clauses
และ 39 Main Security Categories สวนเวอรชน 2013 จะม 14 Security Control Clauses
และ 35 Main Security Categories ซงเวอรชน 2013 มการปรบสวน Controls ในสวนทมความ
คลายคลงเหลอเพยงแค 114 Controls โดยดงหวขอ A.12.3 Cryptographic controls มาตงเปน
โดเมนใหม คอ A.10 Cryptography
แยกหวขอ A.10 Communications and operations management ออกเปนสองหวขอยอย คอ
A.12Operations Security และ A.13 Communications Security
รวมหวขอทเกยวของกบ Supplier โดยรวมขอยอย A.6.2External parties และ A.10.2 Third
party service delivery management และตงเปน โดเมนใหม ทเรยกวา A.15Supplier
relationships
7
รปท2.2 Security Controls ทเพมมาในเวอรชน 2013
2.1.1 Annex SL
เปนรปแบบเอกสาร ส าหรบ มาตรฐานการจดการ ISOเพอใหมาตรฐานทกตวมรปแบบ
ทสอดคลองกน มทศทางเดยวกน Appendix 2 ของ Annex SL ทถกน ามาใชจดการมาตารฐาน
ISO โดยวตถประสงคของ Annex SL คอเพอท าใหโครงสราง ค าจ ากดความและนยามของ
มาตรฐานตางๆ ในระบบบรหารจดการทเปน ISO เปนไปในทศทางเดยวกน อกทงสนบสนนให
องคการทมการท าระบบบรหารจดการ (management system) มากกวาหนงมาตรฐานสามารถ
ควบรวมและท างานประสานกนไดเปนอยางดในโครงสรางมขอก าหนดทงหมด 10 ขอจากเดม 8
ขอ
สงทเปลยนไปในตว ระบบบรหารจดการ (ขอก าหนด Clause 1-10) สรปไดดงน
ค าจ ากดความในเวอรชน 2005 ทงหมดถกยายไปอยใน มาตรฐาน ISO/IEC 27000
เปลยนเทอมทใช เชน “ISMS Policy” เปน “Information Security Policy” ใหชอเปน
กลางๆ มากขน
เปลยนชอหวขอ ขอก าหนดการบวนการประเมนความเสยงกลงรายละเอยดนอยลง นน
หมายความวาคณมทางเลอก ส าหรบวธการในการประเมนความเสยงทหลากหลายขน
แตถาองคกรของคณ คดวาการประเมนความเสยงทท าอยด/เหมาะอยแลวกไม
จ าเปนตองปรบเปลยนอะไรซงคณสามารถใชทง ISO/IEC 27005 และ ISO 31000
(Enterprise Risk Management) เปนไกดในสรางวธการประเมนความเสยง
ขอก าหนดทเกยวกบพนธสญญาของผบรการ (Management commitment) เปน
“Leadership”
8
ขอก าหนดทเกยวกบการบรหารจดการทรพยากร (Resource management) เปน
“Support”
เอกสารทตองจดท า (Documentation) เวอรชนใหมไมเนนวาตองจดท าเอกสาร
อะไรบาง
ไมตองมการตงค าถามวา ตองท าเอกสาร/คมออะไรบาง เอกสารชออะไร ถาจะท าระบบ
ISO/IEC 27001 ไมตองถามหาบญชรายชอเอกสารทตองจดท า
เพราะเวอรชนใหม เนนไปทเนนหาของเอกสารไมใชชอ และเนนไปทผลลพธในการ
ด าเนนงานของระบบ
เกดค าใหม คอ “Documented information” แทนท เอกสาร และ บนทก แตวธการ
ควบคมกไมตางจากของเดม
ขอก าหนดเรองการพฒนา (Improvement)
การปองกน (preventive action) ถกตดออกจากขอก าหนดน และเขาไปรวมเปนสวน
หนงของการประเมนความเสยง เพราะการท างานเชงปองกนนนถอเปนคอนเซปหนงใน
การประเมนความเสยง
ขอก าหนดยอยจะเหลอแคความไมสอดคลองและการปรบปรงแกไข (Nonconformity
and corrective action) และการพฒนาอยางตอเนอง (Continual improvement)
เทานน
รปท2.3 High level Standard structure – Annex SL
9
2.1.2 ISMS Standards
มาตรฐานภายใต ISO 27000-Series ทงหมด พฒนาขนโดยความรวมมอของ
The International Organization for Standardization (ISO) และ The International
Electrotechnical Commission (IEC) ชดมาตรฐาน 27000-Series น นไดถกออกแบบมาใหเป
น “Good Practices” และ “International Standards” ส าหรบเรองการบรหารจดการระบบ
ความมนคงปลอดภยสารสนเทศ หรอ “Information Security Management System”
(ISMS)โดยเปรยบไดกบแนวคดการออกแบบระบบ Quality Assurance ไดแก ISO 9000 Series
หรอ ระบบทเกยวกบ การพทกษสงแวดลอม ไดแก ISO 14000 Seriesในปจจบนทางหนวยงาน
ISO และ IEC ไดออกชดมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศอยางเปน
ทางการ ดงน
มาตรฐาน ISO/IEC 27000:2009 ISMS Overview and Vocabulary
“Information technology - Security techniques - Information security management
systems - Overview and vocabulary” ภาพรวมของ ISO 27000-Series และ ค าศพทท
ควรร
มาตรฐาน ISO/IEC 27001:2005 ISMS Requirements
“Information technology - Security techniques - Information security management
systems - Requirements” (มาตรฐาน ISO/IEC 27001 ถกพฒนามาจาก BS7799 Part 2)
ขอก าหนดดานความมนคงปลอดภยสารสนเทศทตอง (Shall) ปฏบต เพอสามารถน าไปส
การ ไดรบรองมาตรฐานระบบบรหารจดการความมนคงปลอดภยสารสนเทศ หรอ ISMS
โดย หนวยงานทมหนาทตรวจประเมนและออกใบรบรอง เชน BV และ Tuv- Nord
มาตรฐาน ISO/IEC 27002:2005 Code of Practice for ISM
“Information technology — Security techniques — Code of practice for information
security management” (พฒนามาจาก ISO/IEC 17799:2005 ซงมาจากมาตรฐาน
BS7799 Part 1) แนวทางในการจดท ามาตรการรกษาความมนคงปลอดภยสารสนเทศ ให
สอดคลองกบการ จดท าระบบ ISMS ตามขอก าหนดจากมาตรฐาน ISO/IEC 27001:2005
ซงจะเนนถง “Good Practices” ท ควร (Should) ปฏบต โดยไมไดบงคบเขมงวด ประเทศ
ตาง ๆ ทวโลกไดน ามาตรฐาน ISO/IEC 27002 ไปปรบเป นมาตรฐานของประเทศ ตนเอง
เวอรชนลาสดของ ISO/IEC 27002 คอ ISO/IEC 27002:2005 (ออกใน เดอนกรกฎาคม
2007 ทดแทน ISO/IEC 17799:2005 Part 1)
มาตรฐาน ISO/IEC 27003:2010 ISMS Implementation Guideline
10
“Information technology - Security techniques - Information security management
systems implementation guideline” มาตรฐานสนบสนนเพอใช
เปนแนวทางในการด าเนนการจดท าระบบ ISMS ประกอบดวย แนวทางในการจดท า
ตามขอก าหนดตามมาตรฐานเพอขอประเมนรบรอง
มาตรฐาน ISO/IEC 27004:2009 ISMS Metrics and Measurement
“Information technology - Security techniques – Metrics and Measurement for
Information security management systems” มาตรฐานสนบสนน เพอใช
เปนแนวทางในการก าหนดเกณฑ และการวดผลสมฤทธหรอ ประสทธผล
(Effectiveness) ของมาตรการรกษาความมนคงปลอดภยทใชในระบบ ISMS
มาตรฐาน ISO/IEC 27005:2008 Information Security Risk Management
“Information technology - Security techniques - Information security risk
management” เปนมาตรฐานใหมดานการบรหารความเสยงส าหรบดานความมนคง
ปลอดภยสารสนเทศโดยเฉพาะ (Information Security Risk Management) ซง
ปรบปรงมาจาก ISO/IEC 13335-3 และ ISO/IEC 13335-4 รวมทงอางองมาจาก
มาตรฐาน “Risk Management Guide for Information Technology Systems” (NIST
SP 800-30) แตจะมมมมองทางดาน Information Security โดยเฉพาะ ซงเหมาะ
ส าหรบเปนแนวทางในการประเมนความเสยง (Risk Assessment) สอดคลองตาม
ขอก าหนดของมาตรฐาน ISO/IEC 27001:2005 และตามแนวปฏบต ISO/IEC
27002:2005
มาตรฐาน ISO/IEC 27006:2007 Requirements for Certification Body
“Information technology - Security techniques - Requirements for bodies
providing audit and certification of information security management systems”
เปนแนวทางในการตรวจประเมนส าหรบ Certification Body (CB) เพอใหอยบน
มาตรฐานเดยวกน ผตรวจและผถกตรวจควรศกษาถงมาตรฐาน ISO/IEC 27006:2007
เสยกอนท าการตรวจประเมน เปรยบเสมอนการรโจทยทตองตอบค าถามจากทาง
ผตรวจ ประเมนท าใหโอกาสในการผานการตรวจประเมนนนเพมมากขนและลดปญหา
ในการเตรยมความพรอมในการตรวจประเมนอกดวย
มาตรฐาน ISO/IEC 27011:2008 ISM Guidelines for Telecommunications
“Information technology - Security techniques - Information security management
guidelines for telecommunications organizations based on ISO/IEC 27002”
11
(ISMS for Telecom) มาตรฐานทเป นแนวปฏบตในการบรหารจดการความมนคง
ปลอดภยสารสนเทศส าหรบกลม องคกรทเกยวกบดาน Telecommunication (เชน
บรษทผใหบรการโทรศพท เคลอนท) โดยมการอางองแนวปฏบตมาจากมาตรฐาน
ISO/IEC 27002:2005
มาตรฐาน ISO/IEC 27799:2008 ISM Guidelines for Health informatics
“Health informatics - Information security management in health using ISO/IEC
27002” (ISMS for HealthCare) มาตรฐานทเป นแนวปฏบตในการบรหารจดการความ
มนคงปลอดภยสารสนเทศส าหรบกลม องคกรดาน HealthCare
(เชน โรงพยาบาล) โดยมการอางองแนวปฏบตมาจากมาตรฐาน ISO/IEC 27002:2005
เชนกน
ส าหรบมาตรฐานทอยในระหวางการพฒนาและคาดวาจะประกาศใชตอไปได
มาตรฐาน ISO/IEC 27007 มาตรฐานทเปนแนวทางในการตรวจสอบภายในองคกรและ
ตรวจประเมน ISMS โดยเนนตรวจท กระบวนการพฒนาระบบบรหารจดการส าหรบ
“ISMS” (เพมเตมมาจากมาตรฐาน ISO 19011 ซงถกน ามาใชกบ Management
System ทวไปทไมไดเฉพาะเจาะจงวาเปน ISMS)
มาตรฐาน ISO/IEC 27008 มาตรฐานทเปนแนวทางในการตรวจประเมนมาตรการ
รกษาความมนคงปลอดภยสารสนเทศ (133 Controls) ขององคกรทจดท าระบบ ISMS
น ามาใชไดอยางถกตองและมประสทธผล
มาตรฐาน ISO/IEC 27014 มาตรฐานทเปนแนวทางในการบรหารและก ากบดแลทด
ดานความมนคงปลอดภยสารสนเทศส าหรบองคกร “Information Security
Governance” เปนการขยายขอบเขตและความ รบผดชอบของการบรหารจดการความ
มนคงปลอดภยสารสนเทศ
รปท2.4 มาตรฐานชด 27000: ISMS Family of Standards Relationship
12
2.2 ISMS Domains & Control
ตารางท 1.1 ISMS Domains & Control
ล าดบ หวขอ
A.5 นโยบายความมนคงปลอดภยสารสนเทศ (Information security policies)
5.1 นโยบายความมนคงปลอดภยสารสนเทศ (Information Security Policy)
1. 5.1.1 นโยบายส าหรบความมนคงปลอดภยสารสนเทศ (Policies for information
security)
2. 5.1.2 การทบทวนนโยบายส าหรบการบรหารจดการความมนคงปลอดภย
สารสนเทศ
(Review of the policies for information security)
A.6 โครงสรางความมนคงปลอดภยสารสนเทศ(Organization of information
security)
6.1 โครงสรางภายในองคกร (Internal organization)
3. 6.1.1 บทบาทและหนาทความรบผดชอบดานความมนคงปลอดภยสารสนเทศ
(Information security roles and responsibilities)
4. 6.1.2 การแบงแยกหนาทความรบผดชอบ (Segregation of duties)
5. 6.1.3 การตดตอกบหนวยงานผมอ านาจ (Contact with authorities)
6. 6.1.4 การตดตอกบกลมทมความสนใจเปนพเศษในเรองเดยวกน (Contact with
special
interest groups)
7. 6.1.5 ความมนคงปลอดภยสารสนเทศกบการบรหารจดการโครงการ
(Information security
in project management)
13
ล าดบ หวขอ
6.2 อปกรณคอมพวเตอรแบบพกพา และการปฏบตงานจากระยะไกล (Mobile
devices and teleworking)
8. 6.2.1 นโยบายส าหรบอปกรณคอมพวเตอรแบบพกพา (Mobile device policy)
9. 6.2.2 การปฏบตงานจากระยะไกล (Teleworking)
A.7 ความมนคงปลอดภยส าหรบทรพยากรบคคล (Human resource security)
7.1 กอนการจางงาน (Prior to employment)
10. 7.1.1 การคดเลอก (Screening)
11. 7.1.2 ขอตกลงและเงอนไขในการจางงาน (Terms and conditions of
employment)
7.2 ระหวางการจางงาน (During employment)
12. 7.2.1 หนาทความรบผดชอบของผบรหาร (Management responsibilities)
13. 7.2.2 การสรางความตระหนก การใหความร และการฝกอบรมดานความมนคง
ปลอดภยสารสนเทศ (Information security awareness, education and
training)
14. 7.2.3 กระบวนการทางวนย (Disciplinary process)
7.3 การสนสดหรอการเปลยนการจางงาน (Termination and change of
employment)
15. 7.3.1 การสนสดหรอการเปลยนหนาทความรบผดชอบของการจางงาน
(Termination or change of employment responsibilities)
14
ล าดบ หวขอ
A.8 การบรหารจดการทรพยสน (Asset management)
8.1 หนาทความรบผดชอบตอทรพยสน(Responsibility for assets)
16. 8.1.1 บญชทรพยสน (Inventory of asset)
17. 8.1.2 ผถอครองทรพยสน
(Owenership of assets)
18. 8.1.3 การใชทรพยสนอยางเหมาะสม (Acceptable use of assets)
19. 8.1.4 การคนทรพยสน
(Return of assets)
8.2 การจดชนความลบของสารสนเทศ (Information classification)
20. 8.2.1 ชนความลบของสารสนเทศ (Classification of information)
21. 8.2.2 การบงชสารสนเทศ
(Labeling of information)
22. 8.2.3 การจดการทรพยสน
(Handling of assets)
8.3 การจดการสอบนทกขอมล (Media Handling)
23. 8.3.1 การบรหารจดการสอบนทกขอมลทถอดแยกได (Management of
removable media)
24. 8.3.2 การท าลายสอบนทกขอมล
(Disposal of media)
25. 8.3.3 การขนยายสอบนทกขอมล (Physical media transfer)
15
ล าดบ หวขอ
A.9 การควบคมการเขาถง (Access Control)
9.1 ความตองการทางธรกจส าหรบการควบคมการเขาถง (Business requirement
of access control)
26. 9.1.1 นโยบายควบคมการเขาถง
(Access control policy)
27. 9.1.2 การเขาถงเครอขายและการบรการเครอขาย (Access to networks and
network services)
9.2 การบรหารจดการการเขาถงของผใชงาน (User access management)
28. 9.2.1 การลงทะเบยนและถอดถอนสทธผใชงาน (User registration and
deregistration)
29. 9.2.2 การจดการสทธการเขาถงของผใชงาน (User access provisioning)
30. 9.2.3 การบรหารจดการสทธการเขาถงตามระดบสทธ (Management of
privileged access right)
31. 9.2.4 การบรหารจดการขอมลความลบส าหรบการพสจนตวจนของผใชงาน
(management of secret authentication information of users)
32. 9.2.5 การทบทวนสทธการรเขาถงของผใชงาน (Review of user access rights)
33. 9.2.6 การถอดถอนหรอปรบปรงสทธการเขาถง (Removal or adjustment of
access rights)
16
ล าดบ หวขอ
9.3 หนาทความรบผดชอบของผใชงาน (User responsibilities)
34. 9.3.1 การใชขอมลการพสจนตวตนซงเปนขอมลลบ (User of secret
authentication information)
9.4 การควบคมการเขาถงระบบ (System and application access control)
35. 9.4.1 การจ ากดการเขาถงสารสนเทศ (Information access restriction)
36. 9.4.2 ขนตอนปฏบตส าหรบการลอกอนเขาระบบทมความมนคงปลอดภย
(Secure log-on procedures)
37. 9.4.3 ระบบบรหารจดการรหสผาน
(Password management system)
38. 9.4.4 การใชโปรแกรมอรรถประโยน
(Use of privileged utility programs)
39. 9.4.5 การควบคมการเขาถงซอรสโคดของโปรแกรม (Access control to
program source code)
A.10 การเขารหสขอมล (Cryptography)
10.1 มาตรการเขารหสขอมล (Cryptographic controls)
40. 10.1.1 นโยบายการใชมาตรการเขารหสขอมล (Policy on the use of
cryptographic controls)
41. 10.1.2 การบรหารจดการกญแจ
(Key management)
17
ล าดบ หวขอ
A.11 ความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical and
environmental Security)
11.1 พนททตองการการรกษาความมนคงปลอดภย (Secure areas)
42. 11.1.1 ขอบเขตหรอบรเวณโดยรอบทางกายภาพ (Physical security
perimeter)
43. 11.1.2 การควบคมการเขาออกทางกายภาพ (Physical entry controls)
44. 11.1.3 การรกษาความมนคงปลอดภยส าหรบส าหนกงานหองท างาน และ
อปกรณ (Securing office, room and facilities)
45. 11.1.4 การปองกนตอภยคกคามจากภายนอก และสภาพแวดลอม (Protecting
against external end environmental thetas
46. 11.1.5 การปฏบตงานในพนททตองการการรกษาความมนคงปลอดภย
(Working in secure areas)
47. 11.1.6 พนทส าหรบรบสงสงของ (Delivery and loading areas)
11.2 อปกรณ (Equipment)
48. 11.2.1 การจดตงและปองกนอปกรณ (Equipment sitting and protection)
49. 11.2.2 ระบบและอปกรณสนบสนนการท างาน (Supporting utilities)
50. 11.2.3 ความมนคงปลอดภยของการเดนสายสญญาณและสายสอสาร (Cabling
security
18
ล าดบ หวขอ
51. 11.2.4 การบ ารงรกษาอปกรณ Equipment maintenance)
52. 11.2.5 การน าทรพยสนขององคกรออกจากส านกงาน (Removal of assets)
53. 11.2.6 ความมนคงปลอดภยของอปกรณและทรพยสนทใชงานอยภายนอก
ส านกงาน (Security of equipment and assets off-premises)
54. 11.2.7 ความมนคงปลอดภยส าหรบการก าจดหรอท าลายอปกรณ หรอการน า
อปกรณไปใชงานอยางอน (Secure disposal or re-use of equipment)
55. 11.2.8 อปกรณของผใชงานททงไวโดยไมมผดแล (Unattended user
equipment)
56. 11.2.9 นโยบายโตะท างานปลอดเอกสารส าคญและนโยบายการปองกนหนาจอ
คอมพวเตอร (Clear desk and clear screen policy)
A.12 ความมนคงปลอดภยส าหรบการด าเนนงาน (Operations Security)
12.1 ขนตอนการปฏบตงานและหนาทความรบผดชอบ (Operational Procedures
and Responsibilities)
57. 12.1.1 ขนตอนการปฏบตงานทเปนลายลกษณอกษร (Documented operating
procedures)
58. 12.1.2 การบรหารจดการการเปลยนแปลง (Change management)
59. 12.1.3 การบรหารจดการขดความสามารถของระบบ (Capacity management)
19
ล าดบ หวขอ
60. 12.1.4 การแยกสภาพแวดลอมส าหรบการพฒนา การทดสอบ และการใหบรการ
ออกจากกน (Separation of development, testing and operational
environments)
12.2 การปองกนโปรแกรมไมประสงคด (Protection from Malware)
61. 12.2.1 มาตรการปองกนโปรแกรมไมประสงคด (Control against malware)
12.3 การส ารองขอมล (Backup)
62. 12.3.1 การส ารองขอมล (Information backup)
12.4 การบนทกขอมลลอกและการเฝาระวง (Logging and Monitoring)
63. 12.4.1 การบนทกขอมลลอกแสดงเหตการณ (Event Logging)
64. 12.4.2 การปองกนขอมลลอก (Protection of log information)
65. 12.4.3 ขอมลลอกกจกรรมของผดแลระบบและเจาหนาทปฏบตการระบบ
(Administrator and operator logs)
66. 12.4.4 การตงนาฬกาใหถกตอง
(Clock Synchronization)
12.5 การควบคมการตดตงซอฟตแวร (Control of operational software)
67. 12.5.1 การตดตงซอฟตแวรบนระบบใหบรการ (Installation of software on
operational systems
12.6 การบรหารจดการชองโหวทางเทคนค (Technical Vulnerability Management)
68. 12.6.1 การบรหารจดการชองโหวทางเทคนค (Management of technical
vulnerabilities)
20
ล าดบ หวขอ
69. 12.6.2 การจ ากดการตดตงซอฟตแวร (Restrictions on software installation)
12.7 สงทตองพจารณาในการตรวจประเมนระบบ (Information Systems Audit
Considerations)
70. 12.7.1 มาตรการการตรวจประเมนระบบ (Information System audit controls)
A.13 ความมนคงหลอดภยส าหรบการสอสารขอมล (Communcations security)
13.1 การบรหารจดการความมนคงปลอดภยของเครอขาย (Network Security
Management)
71. 13.1.1 มาตรการเครอขาย (Network controls)
72. 13.1.2 ความมนคงปลอดภยส าหรบบรการเครอขาย (Security of network
services)
73. 13.1.3 การแบงแยกเครอขาย
(Segregation in networks)
13.2 การถายโอนสารสนเทศ (Information transfer)
74. 13.2.1 นโยบายและขนตอนปฏบตส าหรบการถายโอนสารสนเทศ (Information
transfer policies and procedures)
75. 13.2.2 ขอตกลงส าหรบการถายโอนสารสนเทศ (Agreements on information
transfer)
76. 13.2.3 การสงขอความทางอเลกทรอนกส (Electronic messaging)
77. 13.2.4 ขอตกลงการรกษาความลบหรอการไมเปดเผยความลบ (Confidentiality
or non-disclosure agreements)
21
ล าดบ หวขอ
A.14 การจดหา การพฒนา และการบ ารงรกษาระบบ (System acquisition,
development and maintenance)
14.1 ความตองการดานความมนคงปลอดภยของระบบ (Security requirements of
information systems)
78. 14.1.1 การวเคราะหและก าหนดความตองการดานความมนคงปลอดภย
สารสนเทศ (Information security requirements analysis and specification)
79. 14.1.2 ความมนคงปลอดภยของบรการสารสนเทศบนเครอขายสารธารณะ
(Securing application services on public networks)
80. 14.1.3 การปองกนธรกรรมของบรการสารสนเทศ (Protecting application
services transactions)
14.2 ความมนคงปลอดภยส าหรบกระบวนการพฒนาและสนบสนน (Security in
development and support processes)
81. 14.2.1 นโยบายการพฒนาระบบใหมความมนคงปลอดถย (Secure
development policy) ตองมการก าหนดกฎเกณฑส าหรบการพฒนาซอฟตแวร
82. 14.2.2 ขนตอนก)บตส าหรบควบคมการเปลยนแปลงระบบ (System Change
control procedures)
83. 14.2.3 การทบทวนทางเทคนคตอระบบหลงจากเปลยนแปลงโครงสรางพนฐาน
ของ ระบบ (Technical review of applications after operating platform
changes)
22
ล าดบ หวขอ
84. 14.2.4 การจ ากดการเปลยนแปลงซอฟตแวรส าเรจรป (Restrictions on
changes to software packages)
85. 14.2.5 หลกการวศวะกรรมระบบดานความมนคงปลอดภย
(Secure system engineering principles)
86. 14.2.6 สภาพแวดลอมของการพฒนาระบบทมความมนคงปลอดภย
(Secure development environment)
87. 14.2.7 การจางหนวยงานภายนอกพฒนาระบบ (Outsourced development)
88. 14.2.8 การทดสอบดานความมนคงปลอดภยของระบบ (System security
testing)
89. 14.2.9 การทดสอบเพอรบรองระบบ (System acceptance testing)
14.3 ขอมลส าหรบการทดสอบ (Test data)
90. 14.3.1 การปองกนขอมลส าหรบการทดสอบ (Protection of test data)
A.15 ความสมพนธกบผใหบรการภายนอก (Supplier relationships)
15.1 ความมนคงปลอดภยสารสนเทศกบความสมพนธกบผใหบรการภายนอก
(Information security in supplier relationship)
91. 15.1.1 นโยบายความมนคงปลอดภยสารสนเทศดานความสมพนธกบผ
ใหบรการภายนอก (Information security policy for supplier relationships)
23
ล าดบ หวขอ
92. 15.1.2 การระบความมนคงปลอดภยในขอตกลงการใหบรการของผใหบรการ
ภายนอก (Addressing security within supplier agreements)
93. 15.1.3 หวงโซการใหบรการเทคโนโลยสารสนเทศและการสอสารโดยผใหบรการ
ภายนอก (Information and communication technology supply chain)
15.2 การบรหารจดการการใหบรการโดยผใหบรการภายนอก (Supplier service
delivery management)
94. 15.2.1 การตดตามและทบทวนบรการของผใหบรการภายนอก (monitoring and
review of supplier services)
95. 15.2.2 การบรหารจดการการเปลยนแปลงบรการของผใหบรการภายนอก
(managing changes to supplier services)
A.16 การบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ (Information
Security Incident Management)
16.1 การบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศและการปรบปรง
(Management of in formation security incidents and improvements)
96. 16.1.1 หนาทความรบผดชอบและขนตอนการปฏบต (Responsibilities and
procedures )
97. 16.1.2 การรายงานสถานการณความมนคงปลอดภยสารสนเทศ (Reporting
information security events)
24
ล าดบ หวขอ
98. 16.1.3 การรายงานจดออนทางความมนคงสารสนเทศ (Reporting information
security weaknesses)
99. 16.1.4 การประเมนและตดสนใจตอสถานการณความมนคงปลอดภยสารสนเทศ
(Assessment of and decision on information security events)
100. 16.1.5 การตอบสนองตอเหตกาณความมนคงปลอดภยสารสนเทศ (Response
to information security incidents)
101. 16.1.6 การเรยนรจากเหตการณความมนคงปลอดภยสารสนเทศ (Learning
form information security incidents)
102. 16.1.7 การเกบรวบรวมหลกฐาน
(Collection of evidence)
A.17 ประเดนความมนคงปลอดภยสารสนเทศของการบรหารจดการเพอสรางความ
ตอเนองทางธรกจ (Informatjion security aspects of business continuity
management )
17.1 ความตอเนองดานความมนคงปลอดภยสารสนเทศ (Information security
continuity)
103. 17.1.1 การวางแผนความตอเนองดานความมนคงปลอดภยสารสนเทศ
(Planning information security continuity)
104. 17.1.2 การปฏบตเพอเตรยมการสรางความตอเนองดานความมนคงปลอดภย
สารสนเทศ (Implementing information security continuity)
25
ล าดบ หวขอ
105. 17.1.3 การตรวจสอบ การทบทวน และการประเมนความตอเนองดานความ
มนคงปลอดภยสารสนเทศ (Verify, review and evaluate information security
continuity)
17.2 การเตรยมการอปกรณประมวลผลส ารอง (Redundancies)
106. 17.2.1 สภาพความพรอมใชของอปกรณประมวลผลสารสนเทศ (Availability of
information processing facilities)
A.18 ความสอดคลอง (Compliance)
18.1 ความสอดคลองกบความตองการดานกฎหมายและในสญญาจาง (Compliance
with legal and contractual requirements)
107. 18.1.1 การระบกฎหมายและความตองการในสญญาจางทเกยวของ
(Identification of applicable legislation and contractual requirements)
108. 18.1.2 สทธในทรพยสนทางปญญา (Intellectual property rights)
109. 18.1.3 การปองกนขอมล
(Protection of records)
110. 18.1.4 ความเปนสวนตวและการปองกนขอมลสวนบคคล (Privacy and
protection of personal identifiable information)
111. 18.1.5 ระเบยบขอบงคบส าหรบมาตรการเขารหสขอมล (Reflation of
cryptographic controls)
18.2 การทบทวนความมนคงปลอดภยสารสนเทศ (Information security reviews)
112. 18.2.1 การทบทวนอยางอสระดานความมนคงปลอดภยสารสนเทศ
(Independent review of information security)
113. 18.2.2 ความสอดคลองกบนโยบายและมาตรฐานดานความมนคงปลอดภย
(Compliance with security policies and standards)
114. 18.2.3 การทบทวนความสอดคลองทางเทคนค (Technical compliance review)
26
รปท 2.5 iSO/IEC 27001:2013 control summary
27
2.3 การจดการความเสยง (Risk Management)
การจดการความเสยง หรอ การบรหารความเสยง (Risk Management) คอ
กระบวนการในการระบ (Risk Identification) วเคราะห (Risk analysis) ประเมน (Risk
assessment) ดแลตรวจสอบและควบคมความเสยง (Risk Control) ทสมพนธกบกจกรรม
หนาทและกระบวนการท างาน เพอใหองคกรลดความเสยหายจากความเสยงมากทสด อน
เนองมาจากภยทองคกรตองเผชญในชวงเวลาใดเวลาหนง
2.3.1 การก าหนดวตถประสงคของการจดการความเสยงของบรษท และการประเมน
ความเสยง (Risk Assessment)
ถอเปนสงทจ าเปนทสดทแตละองคกรจะตองสามารถวเคราะห (Risk Analysis) และก าหนดให
ไดวาองคกรหรอหนวยงานใดในองคกรตองเผชญกบความเสยงใดบาง (Risk Identification) ซง
ความเสยงทเกดขนอาจมขนาดและผลกระทบทแตกตางกน (Risk Estimation) โดยทความเสยง
บางประเภทอาจจะมโอกาสหรอความเปนไปไดทจะเกด (Likelihood) ตงแตนอยมาก (Rare) จน
ไปถงมความเปนไปไดสง (Almost Certain) รวมถงผลกระทบทตามมาจากความเสยงทเกดขน
(Consequence) อาจมตงแตระดบนอยมาก (Insignificant) ในขณะทความเสยงบางประเภทอาจ
มแนวโนมทอาจกอใหเกดความเสยหายแกองคกร (Catastrophic) ดงนนบคคลากรในธรกจจง
ควรทจะวเคราะหและก าหนดความเสยงทธรกจนนเผชญใหได
2.3.2 ความนาจะเปนหรอโอกาสในการเกดความเสยง (Likelihood)
คอการพจรณาวาปจจยเสยงทไดเรยงล าดบความส าคญไวแลว มโอกาสทจะเกดปจจยเสยงนน
ในระดบ นอยมาก นอย ปานกลาง สง สงมาก
ตารางท 2.2 ระดบโอกาสในการเกดความเสยง ( Likelihood)
โอกาสทจะเกด (L: Likelihood คอ ระดบของโอกาสหรอความบอยครงทจะเกดความเสยง)
ระดบ
คะแนน
โอกาสทจะเกดความเสยง
(Likelihood)
ค าอธบาย
5 สงมาก นอยกวาหรอเทากบ12 ครงใน 1 ป
4 สง นอยกวาหรอเทากบ6 ครงใน 1 ป
3 ปานกลาง นอยกวาหรอเทากบ2 ครงใน 1 ป
2 นอย นอยกวาหรอเทากบ 1 ครงตอป
1 นอยมาก ไมเกดขนเลย
28
2.3.3 ผลกระทบหรอความเสยหายทเกดจากความเสยง
ความลบ (Confidentiality)
เปนการรบประกนวาผมสทธและไดรบอนญาตเทานนทสามารถเขาถงขอมลได
ความสมบรณ (Integrity)
ความสมบรณ คอ ความครบถวน ถกตอง และไมมสงแปลกปลอม สารสนเทศ
ทมความสมบรณจงเปนสารสนเทศทน าไปใชประโยชนไดอยางถกตองครบถวน
ความพรอมใช (Availability)
ความพรอมใช หมายถง สารสนเทศจะถกเขาถงหรอเรยกใชงานไดอยางราบรน
โดยผใชหรอระบบอนทไดรบอนญาตเทานน
ความเสยหายดานทรพยสนหรอตวเงน (Financial)
ความเสยงทเกดจากความไมพรอมในเรองทกระทบกบทรพยสนหรอตวเงน
ความเสยหายดานชอเสยงขององคกร (Reputation)
ความเสยงดานการด าเนนงาน (Operational)
ความเสยงทเกยวของกบขนตอนการปฏบตงานเทคนคการปฏบตงาน
ทรพยสน บคลากร เทคโนโลยสารสนเทศ และระบบการควบคมภายใน รวมถง
การด าเนนงานใหไดตามมาตรฐานทก าหนด
ความเสยงดานกฎหมายทเกยวของ ( Compliance )
ความเสยงทเกดจากการไมสามารถปฏบตตามกฎระเบยบหรอกฎหมายท
เกยวของได หรอ กฎระเบยบ หรอกฎหมายทมอยไมเหมาะสม หรอเปน
อปสรรคตอการปฏบตงาน
ความรนแรงของเสยหายแตละระดบขนอยกบองคกรจะระบวาความเสยหายแตละระดบ
อยทเหตการณแบบไหนหลงจากทมการประเมนความนาจะเปนหรอโอกาสในการเกดของความ
เสยงแตละหวขอรวมถงการประมาณการความเสยหายจากความเสยงนนๆแลว กจะน าเอาทง
สองกรณมาพจารณาโดยใชตารางประเมนความเสยง (Risk Matrix) เพอประเมนวาความเสยงใด
ทใหความส าคญในการบรการจดการ (Risk Prioritization)
29
ตารางท 2.3 แสดงเกณฑระดบความเสยง
ตารางท 2.4 ระดบความเสยง (Risk Value)
ระดบความเสยง คะแนน ค าอธบาย
ต า (Low) 1-3 เปนความเสยงทองคกรยอมรบได แตตองมการ
ตดตามควบคมอยเพอใหมนใจวาหากเกดขน
สามารถควบคมได
ปานกลาง
(Medium)
4-8 เปนระดบความเสยงทองคกรพอสามารถยอมรบได
แตจะตองใชความพยายามทจะลดความเสยง
สง (High) 9-12 เปนระดบทองคกรไมสามารถยอมรบได ตองจดการ
ความเสยงนนเพอไมใหเกดผลกระทบกบงาน
13-16สงมาก (Very
High)
13-16 เปนระดบทองคกรไมสามารถยอมรบได ตองจดการ
ความเสยงนนอยางเรงดวนเพอไมใหเกดผลกระทบ
กบงาน
Risk Assessment
Matrix
โอกาสทจะเกดความเสยง
(Likelihood)
นอย
มาก นอย
ปาน
กลาง สง สงมาก
1 2 3 4 5
ผลกร
ะทบ (im
pact
1:1)
สงมาก 5 5 10 15 20 25
สง 4 4 8 12 16 20
ปาน
กลาง 3 3 6 9 12 15
นอย 2 2 4 6 8 10
นอย
มาก 1 1 2 3 4 5
30
2.3.4 การบรหารจดการกบความเสยง
การลดความเสยง (Risk Reduction) ความเสยงทไดรบอาจลดลงได ดวยวธการหาทาง
ปองกนเพอมใหมความเสยหายเกดขน การลดความเสยงนมวตถประสงคเพอทจะลดจ านวนครง
ของความเสยหายลง หรอลดความรนแรงของเหตการณทอาจเกดขนในอนาคต การวเคราะห
อาจอาศยขอมลในอดต ปจจบน ซงรวมถงขอมลการคาดการณในอนาคตประกอบการตดสนใจ
การรบความเสยงไวเอง (Risk Retention) คอการทผบรหารขององคกรนนๆ ยนยอมท
จะรบภาระความเสยงหรอความเสยหายทเกดขนนนไวเอง เนองจากเลงเหนวาโอกาส หรอความ
นาจะเปนทจะเกดความเสยหายอยในวสยทการท าธรกจนนยอมรบได
การโอนความเสยง (Risk Transfer) เปนวธการจดการความเสยงอกรปแบบหนงทธรกจ
จะตองวเคราะหและตดสนใจทจะเลอกโอนความเสยงออกไปในรปแบบใด ทงนขนอยกบความ
เหมาะสมของธรกจนนๆ เชน การโอนความเสยงไปใหบคคลอนทมใชบรษทประกนโดยสญญา
หรอการโอนความเสยงไปใหบรษทประกนภยตามรปแบบและเงอนไขทธรกจตองการ
การหลกเลยงความเสยง (Risk Avoidance) การหลกเลยงความเสยงอาจกระท าไดโดย
วธการงายๆโดยทธรกจไมพยายามเขาไปยงเกยวกบกจกรรมทกอใหเกดความเสยงอยางไรก
ตามวธการหลกเลยงความเสยงนนาจะเปนวธสดทายหลงจากทไดพจารณาแลวเหนวาไมอาจใช
วธการอนเขามาแกไขไดเทานนการตดสนใจในวธการนธรกจตองเปรยบเทยบขอดและขอเสย
กอนการตดสนใจ
ทงนการก าหนดวธการประเมนความเสยงการประเมนความเสยงเปนการน าความเสยง
และปจจยเสยงแตละปจจยทระบไวมาประเมนโอกาสทจะเกดเหตการณความเสยงตางๆและ
ประเมนระดบความรนแรงหรอมลคาความเสยหายทางดานชอเสยง,การเงนและความไมตอเนอง
ของธรกจเพอใหเหนถงระดบของความเสยงทแตกตางกนท าใหสามารถก าหนดการควบคม
ความเสยงไดอยางเหมาะสมโดยอาศยเกณฑมาตรฐานจากผบรหารสารสนเทศขององคกรโดย
ใชคะแนนจากสตร
ดงรปท 2.6 ในการอางอง
ระดบความเสยงโดยรวม (Risk Exposure)
= ระดบของโอกาสทจะเกดความเสยง (Likelihood) x ระดบของผลกระทบ (impact)
รปท 2.6 สตรค านวณระดบความเสยงโดยรวม
31
ตารางท 2.5 การประเมนคาผลกระทบดานการด าเนนงาน (Operational)
(RATE)
ระดบความ
รนแรง
Operational
(การด าเนนงาน)
5 - ไมสามารใหบรการลกคามากกวา (80%)
- ไมสามารถใหบรการลกคาไดเปนระยะเวลา 8 ชม.
- ขอมลส าคญและเปนความลบ (confidencial)มการรวไหลไปสผไมหวง
ด
4 - ไมสามารถใหบรการลกคาได 80%
- ไมสามารถใหบรการลกคาไดเปนระยะเวลา 4 ชม.
- ขอมลส าคญ (Restricted)มการรวไหลไปสผไมหวงด
3 - ไมสามารถใหบรการลกคาได 60%
- ไมสามารถใหบรการลกคาไดเปนระยะเวลา 3 ชม.
- ขอมลสวนบคคลมการรวไหล
2 - ไมสามารถใหบรการลกคาได 40%
- ไมสามารถใหบรการลกคาไดเปนระยะเวลา 2 ชม.
- ขอมลสวนบคคลมการรวไหล
1 - ไมสามารถใหบรการลกคาได 20%
- ไมสามารถใหบรการลกคาไดเปนระยะเวลา 1 ชม.
- มการเปดเผยขอมลของระบบ ซงอาจจะเกดการ configure ทไม
ปลอดภยเพยงพอ
32
ตารางท 2.6 การประเมนคาผลกระทบดานชอเสยง (Reputational)
(RATE)
ระดบความ
รนแรง
Reputational
(ดานชอเสยง)
5 - มการออกขาวลงสอในตางประเทศ
4 - มการออกขาวลงสอในประเทศ
3 - ตด blacklist กบลกคา, vendor
2 - User โทรหาระดบ ITS Manager
- Customer Complain ในชองทางใดชองทางหนง
1 - ปรากฎใน report ทใหลกคา
- User ไมพอใจในบรการ
- User Complain ในชองทางใดชองทางหนง
- ความนาเชอถอของ Unit ใหบรการ
ตารางท 2.7 การประเมนคาผลกระทบดานการเงน (Financial)
(RATE)
ระดบความ
รนแรง
Financial
(การเงน)
5 - ลกคายกเลกสญญา
- บรษทถกฟองลมละลาย
- มลคาความเสยหาย หรอ ซอมแซมทรพยสนมลคามากกวา 300,000 บาท
4 - ถกปรบ หรอสญเสยคาใชจายรวมเปนเงนเกน 100,000 บาทขนไป
- มลคาความเสยหาย หรอ ซอมแซมทรพยสนมลคา 100,000 - 300,000
บาท
3 - ถกปรบรวมเปนเงนไมเกน 50,000 บาท
- มลคาความเสยหาย หรอ ซอมแซมทรพยสนมลคา 20,000 - 100,000 บาท
2 - ถกปรบ หรอสญเสยคาใชจายรวมเปนเงนไมเกน 20,000 บาท
- มลคาความเสยหาย หรอ ซอมแซมทรพยสนมลคา 5,000 - 20,000 บาท
1 - ถกปรบ หรอสญเสยคาใชจายรวมเปนเงนไมเกน 5,000 บาท
- มลคาความเสยหาย หรอ ซอมแซมทรพยสนมลคาไมเกน 5,000
33
ตารางท 2.8 การประเมนคาผลกระทบดานกฏหมาย/ขอบงคบ(Compliance)
(RATE)
ระดบความ
รนแรง
Compliance (กฏหมาย/ขอบงคบ/สญญาและขอตกลง)
5 - บรษทถกสงปดกจการ
- ถกฟองรองจนตองใหศาลตดสน
- ถกปรบเนองจากไมปฏบตามกฏขอบงคบ
4 - บรษทท าผดกฎ หรอขอบงคบ ถกด าเนนการตามกฎหมาย จนถงขน
ขนศาล
-ไมสามารถปฏบตตาม SLA จนมผลท าใหสามารยกเลกสญญาได
- ไมสามารถจดหาหลกฐานตามทพนกงานเจาหนาทรองขอ
- ถกเพกถอนใบรบรองตามมาตรฐานทไดรบ เชน มาตรฐาน ISO
3 - บรษทท าผดกฎ หรอขอบงคบ และถกด าเนนการตามกฎหมาย
- ไมเปนไปตาม SLA หรอขอตกลงทใหไวกบลกคาและมบทปรบ
- ไมปฏบตตามขอก าหนดตามมาตรฐาน ISO หรอมาตรฐานอนๆท
ก าหนดไว
2 - บรษทถก Regulatory ปรบ
- ไมเปนไปตาม SLA หรอขอตกลงทใหไวกบลกคา
- ละเลยการปฏบตามมาตรฐาน ISO หรอมาตรฐานอนๆทก าหนดไว
1 - บรษทท าผดกฎ หรอขอบงคบ ซงอาจจะถกฟองรองได
- มความเสยงทจะไมสามารถท าตาม SLA ทตกลงไวได
- หลงลมโดยไมเจตนา ซงเปนเหตท าใหไมปฏบตตามมาตรฐาน ISO
หรอ มาตรฐานอนๆทก าหนดไว
34
บทท 3
การด าเนนงาน
ในการจดท านโยบายรกษาความมนคงปลอดภยสารสนเทศขององคกรวธการและ
ขนตอนการด าเนนงานของโครงงาน เปนขบวนการทส าาคญเปนอยางมาก เพราะเปนสวนทใช
เปนการจดท าากรอบและระเบยบวธจดท าโครงการเพอเปนแนวทางในการปฏบตใหมระบบแบบ
แผนสงผลท าใหโครงงานด าเนนการไดอยางมประสทธภาพ มความนาเชอถอ เกดแนวทาง
ปฏบตอยางมประสทธภาพ
3.1 ขนตอนการด าเนนงาน
เมอไดรบอนญาตจากทางองคกรผจดท าจงไดมการก าหนดขนตอนการด าเนนงานดงน
3.1.1 รวบรวมกฎหมายระเบยบดานเทคโนโลยสารสนเทศทตองปฏบต ศกษา
นโนบายความปลอดภย
3.1.2 รวบรวมขอมลเอกสารและศกษามาตรฐานระบบการจดการความมนคง
ปลอดภยของสารสนเทศ ISO27001:2013 จดท าแผนและแนวทางแกไขเพอลดความเสยง
3.1.3 รวบรวมปญหาของระบบสารสนเทศปรบปรงระบบงานดานสารสนเทศและ
จดท าขอก าหนดเพมเตมใหสอดคลองกบนโยบายและแนวปฏบตดานความมนคงปลอดภย
สารสนเทศ
3.1.4 สรปเหตผลและความจ าเปนในการจดท าระบบการจดการความมนคงปลอดภย
ของสารสนเทศ ISO27001:2013
3.1.4 ก าหนดขอบเขตการจดท าระบบ
3.1.5 น าเสนอขอมลตอผบรหารเพอพจารณา
3.1.6 ก าหนดนโยบายความมนคงปลอดภยของสารสนเทศ และจดท าเอกสารตางๆ
3.1.7 ฝกอบรมใหความรแกพนกงาน และผเกยวของ
3.1.8 ด าเนนระบบตามแนวทางทก าหนด และเฝาระวงตรวจวดตามแผนงาน
3.1.9 ตรวจประเมนภายในระบบการจดการความมนคงปลอดภยของสารสนเทศและ
แกไขขอบกพรอง
3.1.10 สรปผลการประเมน
35
3.2ศกษาขอมลและโครงสรางบรษท
ด าเนนการศกษาขอมลทงภายในองคกรและภายนอกองคกรขนตอนการท างานรวมไป
ถงขนตอนการปฏบตงานเพอน าขอมลทไดมาวเคราหประกอบการตดสนใจ
3.2.1 เอกสารภายใน
3.2.1.1.1 แผนผงและโครงสรางขององคกร
3.2.1.1.2 ระบบเครอขายขององคกร
3.2.1.1.3 กระบวนการท างานและขนตอนการท างาน
3.2.1.1.4 นโยบายทมอยแลวภายในองคกร
3.2.2 เอกสารภายนอก
3.2.2.1.1 มาตราฐาน ISO/IEC
3.2.2.1.2 พรบ.คอมพวเตอร
3.2.2.1.3 ความรดานระบบเครอขาย
36
3.3 โครงสรางระบบเครอขาย
รปท 3.1 network diagram ในหอง Data Center ภายในองคกร อวาตาร อนเทอมเดย
37
3.4 การระบสนทรพยในขอบเขตและขนตอนการปฏบตงานในหอง (Data Center)
ตารางท 3.1 แผนการด าเนนโครงงาน
Asset Type Asset Number Asset Category Asset Detail
Hardware ET-0001 Network Router Cisco 2600
ET-0002 Network Router Cisco 2800
ET-0003 Network Router Cisco 1803
ET-0004 Network Router Cisco 1803
ET-0005 Network Switch Cisco 2960
ET-0006 Network Switch Cisco 2960
ET-0007 Network Switch Cisco 2960
ET-0008 Network Switch Cisco 2960
ET-0009 Network Switch Cisco 2950
ET-0010 Network Switch Cisco 2950
ET-0011 Network Switch Cisco 2950
ET-0012 Network Switch Cisco 2950
ET-0013 Network Switch Cisco 2950
ET-0014 Network Switch Cisco 2950
ET-0015 Network IPS
ET-0016 Network IPS ACL Adware
ET-0017 Network atm tag switch router Cisco 3750
ET-0018 Network atm tag switch router Cisco 3750 BP
ET-0019 Network atm tag switch routerCisco 3560
ET-0020 Network atm tag switch routerCisco 3560 BP
ET-0021 Network Hub Allot
ET-0022 Network Firewall SG 507
ET-0023 Network Firewall SG 507 BP
ET-0024 Network Firewall Juniper
ET-0025 Network Firewall Juniper BP
38
Asset Type Asset Number Asset Category Asset Detail
Hardware ET-0026 Network Firewall ASA 5510 ET-0027 Server Server DMZ Zone
ET-0028 Server Server DMZ Zone BP
ET-0029 Server Server Database Zone
ET-0030 Server Server Database Zone BP
ET-0031 Server Server Application Zone
ET-0032 Server Server Application Zone
ET-0033 Server Server Application Zone BP
ET-0034 Server Server Management
ET-0035 Server Server Management BP
ET-0036
Supporting
Equipment UPS
ET-0037
Supporting
Equipment Air Conditioning
ET-0038
Supporting
Equipment Fire Protection
ET-0039
Supporting
Equipment Humidity Control
ET-0040
Supporting
Equipment CCTV
Software ET-0041 Operating System Linux Server ET-0042 Operating System Web Server Software
Information ET-0043 Digital Information ขอมลระบบลกคา Database Zone
Personal Pe0001 ผใชงาน
Pe0002 ผดแลระบบ
Services Se0001 ผใหบรการอนเตอรเนต
39
บทท 4
ผลการด าเนนงาน
จากแผนตามขนตอนการด าเนนโครงงานและขนตอนทก าหนดไว จะระบการประเมน
ความเสยงสวนของหอง Data Center เปนหลก โดยจะระบรายการของทรพยสนของบรษทและ
มการประเมนความเสยง(กอน-หลง) และน า Control ของ ISO 27001:2013 มาปรบใชกบ
แผนการจดการความเสยงดงตารางตอไปน
40
4.1ผลการประเมนความเสยง
ตารางท 4.1 ประเมนความเสยง Hardware กอนจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Rema
rk
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
1 Router อปกรณไมสามารถ
ใชงานไดเนองจาก
ขาดการตรวจสอบ
2 2 2 5 2 A11.2.4 (Equipment
maintenance) มการ
ตรวจสอบบ ารงรกษา
อปกรณอยางตอเนอง
ถกเขาถงอปกรณ
โดยไมไดรบ
อนญาต
2 3 2 5 2 A11.1.2(Physical
entry controls)
ก าหนดการเขาถงพนท
ส าคญ
41
ตารางท 4.1 ประเมนความเสยง Hardware กอนจดท า (ตอ)
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
อปกรณถกขโมย
เนองจากความ
ปลอดภยทางการ
เขาถงไมเพยงพอ
2 2 0 5 2
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
อปกรณถกแกไขคา
โดยไมไดรบ
อนญาต
2 1 2 5 2
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
42
ตารางท 4.1 ประเมนความเสยง Hardware กอนจดท า (ตอ)
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
อปกรณมปญหา
จากเจาหนาทขาด
ความสามารถ
2 3 2 5 2
A12.2.1(Document
ed Operating)
ขนตอนการ
ปฏบตงานทเปน
ลายลกษณอกษร
อปกรณเสยหาย
เนองจากไฟ
กระชาก
2 3 2 5 3
A11.2.2
(Supporting)
ม UPS สามารถ
รองรบการจายไฟ
43
ตารางท 4.1 ประเมนความเสยง Hardware กอนจดท า (ตอ)
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
ไมสามารถ
ใหบรการได
เนองจากไฟฟาดบ
2 3 1 5 2
A11.2.2
(Supporting)
ม UPS สามารถ
รองรบการจายไฟ
2 Switch
อปกรณไมสามารถ
ใชงานไดเนองจาก
ขาดการตรวจสอบ
2 2 2 5 2
A11.2.4
(Equipment
maintenance) ม
การตรวจสอบ
บ ารงรกษาอปกรณ
อยางตอเนอง
44
ตารางท 4.1 ประเมนความเสยง Hardware กอนจดท า (ตอ)
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
ถกเขาถงอปกรณ
โดยไมไดรบ
อนญาต
2 3 2 5 2
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
อปกรณถกขโมย
เนองจากความ
ปลอดภยทางการ
เขาถงไมเพยงพอ
2 2 2 5 2
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
45
ตารางท 4.1 ประเมนความเสยง Hardware กอนจดท า (ตอ)
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
อปกรณถกแกไขคา
โดยไมไดรบ
อนญาต
2 1 2 5 2
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
อปกรณมปญหา
จากเจาหนาทขาด
ความสามารถ
2 3 2 5 2
A12.2.1(Document
ed Operating)
ขนตอนการ
ปฏบตงานทเปน
ลายลกษณอกษร
46
ตารางท 4.1 ประเมนความเสยง Hardware กอนจดท า (ตอ)
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
อปกรณเสยหาย
เนองจากไฟ
กระชาก
2 3 2 5 3
A11.2.2
(Supporting)
ม UPS สามารถ
รองรบการจายไฟ
ไมสามารถ
ใหบรการได
เนองจากไฟฟาดบ
2 3 2 5 2
A11.2.2
(Supporting)
ม UPS สามารถ
รองรบการจายไฟ
47
ตารางท 4.1 ประเมนความเสยง Hardware กอนจดท า (ตอ)
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
3
Server
DMZ Zone
อปกรณไมสามารถ
ใชงานไดเนองจาก
ขาดการตรวจสอบ
2 2 2 5 2
A11.2.4
(Equipment
maintenance) ม
การตรวจสอบ
บ ารงรกษาอปกรณ
อยางตอเนอง
ถกเขาถงอปกรณ
โดยไมไดรบ
อนญาต
2 3 2 5 2
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
48
ตารางท 4.1 ประเมนความเสยง Hardware กอนจดท า (ตอ)
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
อปกรณถกขโมย
เนองจากความ
ปลอดภยทางการ
เขาถงไมเพยงพอ
2 2 2 5 2
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
อปกรณถกแกไขคา
โดยไมไดรบ
อนญาต
2 1 2 5 2
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
49
ตารางท 4.1 ประเมนความเสยง Hardware กอนจดท า (ตอ)
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
อปกรณมปญหา
จากเจาหนาทขาด
ความสามารถ
2 3 2 5 2
A12.2.1(Document
ed Operating)
ขนตอนการ
ปฏบตงานทเปน
ลายลกษณอกษร
อปกรณเสยหาย
เนองจากไฟ
กระชาก
2 3 2 5 3
A11.2.2
(Supporting)
ม UPS สามารถ
รองรบการจายไฟ
50
ตารางท 4.1 ประเมนความเสยง Hardware กอนจดท า (ตอ)
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
ไมสามารถ
ใหบรการได
เนองจากไฟฟาดบ
2 3 2 5 2
A11.2.2
(Supporting)
ม UPS สามารถ
รองรบการจายไฟ
4
Server
Database
Zone
อปกรณไมสามารถ
ใชงานไดเนองจาก
ขาดการตรวจสอบ
2 0 2 5 2
A11.2.4
(Equipment
maintenance) ม
การตรวจสอบ
บ ารงรกษาอปกรณ
อยางตอเนอง
51
ตารางท 4.1 ประเมนความเสยง Hardware กอนจดท า (ตอ)
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
ถกเขาถงอปกรณ
โดยไมไดรบ
อนญาต
2 3 2 5 2
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
อปกรณถกขโมย
เนองจากความ
ปลอดภยทางการ
เขาถงไมเพยงพอ
2 2 0 5 2
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
52
ตารางท 4.1 ประเมนความเสยง Hardware กอนจดท า (ตอ)
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
อปกรณถกแกไขคา
โดยไมไดรบ
อนญาต
2 1 2 5 2
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
อปกรณมปญหา
จากเจาหนาทขาด
ความสามารถ
2 2 2 5 2
A12.2.1(Document
ed Operating)
ขนตอนการ
ปฏบตงานทเปน
ลายลกษณอกษร
53
ตารางท 4.1 ประเมนความเสยง Hardware กอนจดท า (ตอ)
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
อปกรณเสยหาย
เนองจากไฟ
กระชาก
2 3 2 5 3
A11.2.2
(Supporting)
ม UPS สามารถ
รองรบการจายไฟ
ไมสามารถ
ใหบรการได
เนองจากไฟฟาดบ
2 2 2 5 2
A11.2.2
(Supporting)
ม UPS สามารถ
รองรบการจายไฟ
54
ตารางท 4.1 ประเมนความเสยง Hardware กอนจดท า (ตอ)
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
5
Server
Application
Zone
อปกรณไมสามารถ
ใชงานไดเนองจาก
ขาดการตรวจสอบ
2 2 2 5 2
A11.2.4
(Equipment
maintenance) ม
การตรวจสอบ
บ ารงรกษาอปกรณ
อยางตอเนอง
ถกเขาถงอปกรณ
โดยไมไดรบ
อนญาต
2 3 2 5 2
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
55
ตารางท 4.1 ประเมนความเสยง Hardware กอนจดท า (ตอ)
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
อปกรณถกขโมย
เนองจากความ
ปลอดภยทางการ
เขาถงไมเพยงพอ
2 2 2 5 2
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
อปกรณถกแกไขคา
โดยไมไดรบ
อนญาต
2 1 2 5 2
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
56
ตารางท 4.1 ประเมนความเสยง Hardware กอนจดท า (ตอ)
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
อปกรณมปญหา
จากเจาหนาทขาด
ความสามารถ
2 2 2 5 2
A12.2.1(Document
ed Operating)
ขนตอนการ
ปฏบตงานทเปน
ลายลกษณอกษร
อปกรณเสยหาย
เนองจากไฟ
กระชาก
2 3 2 5 3
A11.2.2
(Supporting)
ม UPS สามารถ
รองรบการจายไฟ
57
ตารางท 4.1 ประเมนความเสยง Hardware กอนจดท า (ตอ)
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
ไมสามารถ
ใหบรการได
เนองจากไฟฟาดบ
2 2 2 5 2
A11.2.2
(Supporting)
ม UPS สามารถ
รองรบการจายไฟ
6 Generator
อปกรณเสยเนอง
การบ ารงรกษา
อปกรณทไม
เพยงพอ
0 3 2 5 1
A11.2.4
(Equipment
maintenance) ม
การตรวจสอบ
บ ารงรกษาอปกรณ
อยางตอเนอง
58
ตารางท 4.1 ประเมนความเสยง Hardware กอนจดท า (ตอ)
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
สภาพแวดลอมของ
สถานทตงเนองจาก
น าทวม 0 3 2 5 2
17.1.1
(Planninginformati
on security
sontinuity)
7
Battery
UPS
อปกรณเสยเนอง
การบ ารงรกษา
อปกรณทไม
เพยงพอ
0
2 2 5 1
A11.2.4
(Equipment
maintenance) ม
การตรวจสอบ
บ ารงรกษาอปกรณ
อยางตอเนอง
59
ตารางท 4.1 ประเมนความเสยง Hardware กอนจดท า (ตอ)
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
8
Access
Control
การตงใจท าลาย
โดยการกอ
วนาศกรรม / การ
ท าลายทรพยสน
สารธารณะ 0 2 2 1 2 8
9 CCTV
อปกรณเสยเนอง
การบ ารงรกษา
อปกรณทไม
เพยงพอ
2 2 2 1 2
A11.2.4
(Equipment
maintenance) ม
การตรวจสอบ
บ ารงรกษาอปกรณ
อยางตอเนอง 9
60
ตารางท 4.1 ประเมนความเสยง Hardware กอนจดท า (ตอ)
ล าดบ รายการ
ตรวจส
อบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remar
k
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
10 Racks
อปกรณเสยเนองการ
บ ารงรกษาอปกรณทไม
เพยงพอ
0 2 2 0 2
8.1.3 การบรหาร
จดการขด
ความสามารถของ
ระบบ (Capacity
management
11
Air
Conditi
on
อปกรณไมท างานท าให
อณหภมภายในสวนของ
datacenter มคาทสงจน
ท าใหระบบใมสามารถ
ท างานได 0 3 2 3 2
11.2.2 ระบบและ
อปกรณสนบสนนการ
ท างาน (Supporting
utilities)
61
ตารางท 4.2 ประเมนความเสยง Software กอนจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Rema
rk
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
12
Linux
Server
การถกฟองรองตาม
กฎหมายลขสทธการ
ใชซอฟทแวรทละเมด
ลขสทธ 4 4 2 2 2
A12.5.1(Control
against
Malicious code)การ
ควบคมการตดตง
ซอฟตแวร
ถกเขาถงโดยไมไดรบ
อนญาตเนองจากการ
กระบวนการควบคม
การเขาถง เชน
รหสผานสามารถคาด
เดาไดโดยงาย 0 2 2 2 2
A9.4.2(Secure log-
onprocedures)
A9.4.3(Password
management system)
62
ตารางท 4.2 ประเมนความเสยง Software กอนจดท า (ตอ)
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
ระบบมชองโหวใน
การ
โจมตเนองจากไมม
การอพเดท path
security 0 2 2 2 2
A12.6.1
(Technical
Vulnerability
Management)
ระบบมการท างาน
ผดพลาดจากไวรส
โทรจน มลแวร 0 2 2 2 2
A.12.2.1(Controls
against malware)
63
ตารางท 4.3 ประเมนความเสยง Personal กอนจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
13 ผดแลระบบ
มความผดพลาดใน
การท างาน
เนองจากความร
เฉพาะทางไม
เพยงพอ 0 2 2 1 2
A7.2.2
(Information
security
awareness,
education and
training)
ปลอยปะละเลยจน
ท าใหผอสามารถ
เขาไปทศนยขอมล
ไดโดยไมตองขอ
อนญาต 0 3 2 1 2
A5.1.1
(Information
Security Policy)
64
ตารางท 4.3 ประเมนความเสยง Personal กอนจดท า (ตอ)
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Rema
rk
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
) Re
puta
tion
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคม
ความเสยง)
Map with Existing Control
For ISO27001
ไมสามารถเขา
ปฎบตงานในเวลางานได
จนท าใหระบบหยดชะงก 0 4 2 1 2
A7.2.1(Management
Responsibilities)
14
พนกงาน
ทวไป
มพฤตกรรมในการใช
ระบบจากศนย
datacenter โดยขาด
ความรความเขาใจในการ
ใชเทคโนโลยสารสนเทศ
อยางปลอดภย 0 2 2 1 2
A7.2.2 (Information
Security
Training)
65
ตารางท 4.3 ประเมนความเสยง Personal กอนจดท า (ตอ)
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
15
Internet
Service
(True)
ผใหบรการไม
สามารถ
ใหบรการ internet
ไดท า
ใหภายในองคกรไม
สามารถด าเนนการ
ธรกจ
ตอไดหรอมการ
หยดชะงกของระบบ 0 3 2 1 2
A12.1.2 (Change
Management)
A15.2(Service
Delivery)
66
ตารางท 4.4 ประเมนความเสยง Hardware หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
) Op
erat
iona
l
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอย
ในปจจบนเพอ
ควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
1 Router
อปกรณไมสามารถใช
งานไดเนองจากขาด
การตรวจสอบ
2 2 2 5 1
A11.2.4
(Equipment
maintenance) มกา
ตรวจสอบ
บ ารงรกษาอปกรณ
อยางตอเนอง
มการควบคมการเขาออก
หองศนยขอมลและแยก
พนทการตดตด
บคคลภายนอกและจด
อบรมถงพนทหวงหามใน
การเขาถงตาม Policy ท
ประกาศการใชงาน
ถกเขาถงอปกรณโดย
ไมไดรบอนญาต 2 3 2 5 1
A11.1.2(Physicalen
trycontrols)ก าหนด
กาเขาถงพนทส าคญ
มการควบคมการเขา
ออกหองศนยขอมลและ
แยกพนทการตดต
บคคลภายนอก
67
ตารางท 4.4 ประเมนความเสยง Hardware หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing
Control
Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใช
อยในปจจบน
เพอควบคม
ความเสยง)
Map with Existing
Control
For ISO27001
อปกรณถกขโมย
เนองจากความ
ปลอดภยทางการ
เขาถงไมเพยงพอ
2 2 0 5 1
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
อปกรณถกแกไขคา
โดยไมไดรบ
อนญาต
2 1 2 5 1
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
68
ตารางท 4.4 ประเมนความเสยง Hardware หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing
Control
Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
)
Repu
tatio
n
(ดาน
ชอเสยง
)
Oper
atio
nal
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใช
อยในปจจบน
เพอควบคม
ความเสยง)
Map with Existing
Control
For ISO27001
อปกรณมปญหา
จากเจาหนาทขาด
ความสามารถ
2 3 2 5 1
A12.2.1(Docume
nted Operating)
ขนตอนการ
ปฏบตงานทเปน
ลายลกษณอกษร
อปกรณเสยหาย
เนองจากไฟ
กระชาก
2 3 2 5 1
A11.2.2
(Supporting)
ม UPS สามารถ
รองรบการจายไฟ
UPS สามารถรองรบ
จากอาการไฟ
กระชากได
69
ตารางท 4.4 ประเมนความเสยง Hardware หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing
Control
Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
) Re
puta
tion
(ดาน
ชอเสยง
) Op
erat
iona
l
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใช
อยในปจจบน
เพอควบคม
ความเสยง)
Map with Existing
Control
For ISO27001
ไมสามารถ
ใหบรการได
เนองจากไฟฟา
ดบ
2 3 1 5 1
A11.2.2
(Supporting)
ม UPS สามารถ
รองรบการจายไฟ
ม UPS ทสามารถ
รองรบการใชงานไดประมาณ 20
นาทและมการเปลยนแบต
ทกๆสองป
2 Switch
อปกรณไม
สามารถใชงาน
ไดเนองจาก
ขาดการ
ตรวจสอบ
2 2 2 5 1
A11.2.4
(Equipment
maintenance) ม
การตรวจสอบ
บ ารงรกษาอปกรณ
อยางตอเนอง
มการควบคมการเขาออกหอง
ศนยขอมลและแยกพนทการ
ตดตอบคคลภายนอกและจด
อบรมถงพนทหวงหามในการ
เขาถงตาม Policy ท
ประกาศการใชงาน
70
ตารางท 4.4 ประเมนความเสยง Hardware หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing
Control
Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
) Re
puta
tion
(ดาน
ชอเสยง
) Op
erat
iona
l
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใช
อยในปจจบน
เพอควบคม
ความเสยง)
Map with Existing
Control
For ISO27001
ถกเขาถง
อปกรณโดย
ไมไดรบ
อนญาต
2 3 2 5 1
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
มการควบคมการเขาออกหองศนย
ขอมลและแยกพนทการตดตอ
บคคลภายนอกและจดอบรมถง
พนทหวงหามในการเขาถง
ตาม Policy ทประกาศการใชงาน
อปกรณถก
ขโมยเนองจาก
ความปลอดภย
ทางการเขาถง
ไมเพยงพอ
2 2 2 5 1
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
71
ตารางท 4.4 ประเมนความเสยง Hardware หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing
Control
Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
) Re
puta
tion
(ดาน
ชอเสยง
) Op
erat
iona
l
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใช
อยในปจจบน
เพอควบคม
ความเสยง)
Map with Existing
Control
For ISO27001
อปกรณถก
แกไขคาโดย
ไมไดรบ
อนญาต
2 1 2 5 1
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
อปกรณม
ปญหาจาก
เจาหนาทขาด
ความสามารถ
2 3 2 5 1
A12.2.1(Docume
nted Operating)
ขนตอนการ
ปฏบตงานทเปน
ลายลกษณอกษร
72
ตารางท 4.4 ประเมนความเสยง Hardware หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing
Control
Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
) Re
puta
tion
(ดาน
ชอเสยง
) Op
erat
iona
l
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใช
อยในปจจบน
เพอควบคม
ความเสยง)
Map with Existing
Control
For ISO27001
อปกรณ
เสยหาย
เนองจากไฟ
กระชาก
2 3 2 5 1
A11.2.2
(Supporting)
ม UPS สามารถ
รองรบการจายไฟ
UPS สามารถรองรบ
จากอาการไฟ
กระชากได
ไมสามารถ
ใหบรการได
เนองจากไฟฟา
ดบ
2 3 2 5 1
A11.2.2
(Supporting)
ม UPS สามารถ
รองรบการจายไฟ
ม UPS ทสามารถ
รองรบการใชงานได
ประมาณ 20 นาท
และมการเปลยนแบต
ทกๆสองป
73
ตารางท 4.4 ประเมนความเสยง Hardware หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing
Control
Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
) Re
puta
tion
(ดาน
ชอเสยง
) Op
erat
iona
l
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใช
อยในปจจบน
เพอควบคม
ความเสยง)
Map with Existing
Control
For ISO27001
3
Server
DMZ
Zone
อปกรณไม
สามารถใชงาน
ไดเนองจากขาด
การตรวจสอบ
2 2 2 5 1
A11.2.4 มการ
ตรวจสอ
บ ารงรกษาอปกรณ
อยางตอเนอง
มการควบคมการเขาออกหองศนย
ขอมลและแยกพนทการตดตอ
บคคลภายนอก
ถกเขาถง
อปกรณโดย
ไมไดรอนญาต
2 3 2 5 1
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
มการควบคมการเขาออกหองศนย
ขอมลและแยกพนทการตดตอ
บคคลภายนอก
74
ตารางท 4.4 ประเมนความเสยง Hardware หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing
Control
Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
) Re
puta
tion
(ดาน
ชอเสยง
) Op
erat
iona
l
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใช
อยในปจจบน
เพอควบคม
ความเสยง)
Map with Existing
Control
For ISO27001
อปกรณถก
ขโมยเนองจาก
ความปลอดภย
ทางการเขาถง
ไมเพยงพอ
2 2 2 5 1
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
อปกรณถก
แกไขคาโดย
ไมไดรบ
อนญาต
2 1 2 5 1
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
75
ตารางท 4.4 ประเมนความเสยง Hardware หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing
Control
Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
) Re
puta
tion
(ดาน
ชอเสยง
) Op
erat
iona
l
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใช
อยในปจจบน
เพอควบคม
ความเสยง)
Map with Existing
Control
For ISO27001
อปกรณม
ปญหาจาก
เจาหนาทขาด
ความสามารถ
2 3 2 5 1
A12.2.1(Docume
nted Operating)
ขนตอนการ
ปฏบตงานทเปน
ลายลกษณอกษร
อปกรณ
เสยหาย
เนองจากไฟ
กระชาก
2 3 2 5 1
A11.2.2
(Supporting)
ม UPS สามารถ
รองรบการจายไฟ
UPS สามารถรองรบ
จากอาการไฟ
กระชากได
76
ตารางท 4.4 ประเมนความเสยง Hardware หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing
Control
Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
) Re
puta
tion
(ดาน
ชอเสยง
) Op
erat
iona
l
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใช
อยในปจจบน
เพอควบคม
ความเสยง)
Map with Existing
Control
For ISO27001
ไมสามารถ
ใหบรการได
เนองจากไฟฟา
ดบ
2 3 2 5 1
A11.2.2
(Supporting)
ม UPS สามารถ
รองรบการจายไฟ
ม UPS ทสามารถ
รองรบการใชงานได
ประมาณ 20 นาทและมการ
เปลยนแบตทกๆสองป
4
Server
Databas
e Zone
อปกรณไม
สามารถใชงาน
ไดเนองจาก
ขาดการ
ตรวจสอบ
2 0 2 5 1
A11.2.4 มการ
ตรวจสอบบ ารงรกษา
อปกรณอยาง
ตอเนอง
มการควบคมการเขาออกหอง
ศนยขอมลและแยกพนทการ
ตดตอบคคลภายนอก
77
ตารางท 4.4 ประเมนความเสยง Hardware หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing
Control
Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
) Re
puta
tion
(ดาน
ชอเสยง
) Op
erat
iona
l
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใช
อยในปจจบน
เพอควบคม
ความเสยง)
Map with Existing
Control
For ISO27001
ถกเขาถง
อปกรณโดย
ไมไดรบ
อนญาต
2 3 2 5 1
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
มการควบคมการเขา
ออกหองศนยขอมลและแยกพนท
การตดตอบคคลภายนอก
อปกรณถก
ขโมยเนองจาก
ความปลอดภย
ทางการเขาถง
ไมเพยงพอ
2 2 0 5 1
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
78
ตารางท 4.4 ประเมนความเสยง Hardware หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing
Control
Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
) Re
puta
tion
(ดาน
ชอเสยง
) Op
erat
iona
l
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใช
อยในปจจบน
เพอควบคม
ความเสยง)
Map with Existing
Control
For ISO27001
อปกรณถก
แกไขคาโดย
ไมไดรบ
อนญาต
2 1 2 5 1
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
อปกรณม
ปญหาจาก
เจาหนาทขาด
ความสามารถ
2 2 2 5 1
A12.2.1(Docume
nted Operating)
ขนตอนการ
ปฏบตงานทเปน
ลายลกษณอกษร
79
ตารางท 4.4 ประเมนความเสยง Hardware หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing
Control
Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
) Re
puta
tion
(ดาน
ชอเสยง
) Op
erat
iona
l
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใช
อยในปจจบน
เพอควบคม
ความเสยง)
Map with Existing
Control
For ISO27001
อปกรณ
เสยหาย
เนองจากไฟ
กระชาก
2 3 2 5 1
A11.2.2
(Supporting)
ม UPS สามารถ
รองรบการจายไฟ
UPS สามารถรองรบ
จากอาการไฟ
กระชากได
ไมสามารถ
ใหบรการได
เนองจากไฟฟา
ดบ
2 2 2 5 1
A11.2.2
(Supporting)
ม UPS สามารถ
รองรบการจายไฟ
ม UPS ทสามารถ
รองรบการใชงานได
ประมาณ 20 นาท
และมการเปลยนแบต
ทกๆสองป
80
ตารางท 4.4 ประเมนความเสยง Hardware หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing
Control
Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
) Re
puta
tion
(ดาน
ชอเสยง
) Op
erat
iona
l
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใช
อยในปจจบน
เพอควบคม
ความเสยง)
Map with Existing
Control
For ISO27001
5
Server
Applicati
on Zone
อปกรณไม
สามารถใชงาน
ไดเนองจาก
ขาดการ
ตรวจสอบ
2 2 2 5 1
A11.2.4 มการ
ตรวจสอบ
บ ารงรกษา
อปกรณอยาง
ตอเนอง
มการควบคมการเขาออกหองศนย
ขอมลและแยกพนทการ
ตดตอบคคลภายนอก
ถกเขาถง
อปกรณโดย
ไมไดรบ
อนญาต
2 3 2 5 1
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
มการควบคมการเขาออกหองศนย
ขอมลและแยกพนทการตดตอ
บคคลภายนอก
81
ตารางท 4.4 ประเมนความเสยง Hardware หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing
Control
Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
) Re
puta
tion
(ดาน
ชอเสยง
) Op
erat
iona
l
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใช
อยในปจจบน
เพอควบคม
ความเสยง)
Map with Existing
Control
For ISO27001
อปกรณถก
ขโมยเนองจาก
ความปลอดภย
ทางการเขาถง
ไมเพยงพอ
2 2 2 5 1
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
อปกรณถก
แกไขคาโดย
ไมไดรบ
อนญาต
2 1 2 5 1
A11.1.2(Physical
entry controls)
ก าหนดการเขาถง
พนทส าคญ
82
ตารางท 4.4 ประเมนความเสยง Hardware หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing
Control
Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
) Re
puta
tion
(ดาน
ชอเสยง
) Op
erat
iona
l
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใช
อยในปจจบน
เพอควบคม
ความเสยง)
Map with Existing
Control
For ISO27001
อปกรณม
ปญหาจาก
เจาหนาทขาด
ความสามารถ
2 2 2 5 1
A12.2.1(Docume
nted Operating)
ขนตอนการ
ปฏบตงานทเปน
ลายลกษณอกษร
อปกรณ
เสยหาย
เนองจากไฟ
กระชาก
2 3 2 5 1
A11.2.2
(Supporting)
ม UPS สามารถ
รองรบการจายไฟ
UPS สามารถรองรบ
จากอาการไฟ
กระชากได
83
ตารางท 4.4 ประเมนความเสยง Hardware หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing
Control
Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
) Re
puta
tion
(ดาน
ชอเสยง
) Op
erat
iona
l
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใช
อยในปจจบน
เพอควบคม
ความเสยง)
Map with Existing
Control
For ISO27001
ไมสามารถ
ใหบรการได
เนองจากไฟฟา
ดบ
2 2 2 5 1
A11.2.2
(Supporting)
ม UPS สามารถ
รองรบการจายไฟ
ม UPS ทสามารถรองรบการใช
งานไดประมาณ 20 นาท
และมการเปลยนแบตทกๆสองป
6 Generat
or
อปกรณเสย
เนองการ
บ ารงรกษา
อปกรณทไม
เพยงพอ
0 3 2 5 1
11.2.2
(ระบบและ
อปกรณ
สนบสนน
การท างาน)
A11.2.4 มการ
ตรวจสอบ
บ ารงรกษา
อปกรณอยาง
ตอเนอง
1. เชอมตอ Generator ใหสามารถจาย
Load เขา อกตว ได แตจะไมรองรบ
เหตไฟฟาดบพรอมกน
2. จดหาไฟฟา Source ท สอง
3. จดหา Generator ตวทสาม ท
รองรบ Load ไดทงตว กรณไฟฟาดบ
84
ตารางท 4.4 ประเมนความเสยง Hardware หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
) Re
puta
tion
(ดาน
ชอเสยง
) Op
erat
iona
l
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยในปจจบน
เพอควบคมความเสยง)
Map with Existing
Control
For ISO27001
สภาพแวดลอม
ของสถานทตง
เนองจากน า
ทวม
0 3 2 5 1
17.1.1 การวางแผนความ
ตอเนองดานความมนคง
ปลอดภยสารสนเทศ
(Planning information
security sontinuity)
1. จดหากระสอบ
ทรายพรอม ปมน า
1 ชด
7 Battery
UPS
อปกรณเสย
เนองการ
บ ารงรกษา
อปกรณทไม
เพยงพอ
0 2 2 5 1
A11.2.4
(Equipment
maintenance) ม
การตรวจสอบ
บ ารงรกษาอปกรณ
อยางตอเนอง
85
ตารางท 4.4 ประเมนความเสยง Hardware หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing
Control
Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
) Re
puta
tion
(ดาน
ชอเสยง
) Op
erat
iona
l
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใช
อยในปจจบน
เพอควบคม
ความเสยง)
Map with Existing
Control
For ISO27001
8 Access
Control
การตงใจท าลาย
โดยการ การ
ท าลาย
ทรพยสนสาร
ธารณะ
0 2 2 1 2
9 CCTV
อปกรณเสย
เนองการ
บ ารงรกษา
อปกรณทไม
เพยงพอ
2 2 2 1 1
A11.2.4 มการ
ตรวจสอบ
บ ารงรกษา
อปกรณอยาง
ตอเนอง
มการก าหนด
ระยะเวลาบ ารงรกษา
อปกรณ
86
ตารางท 4.4 ประเมนความเสยง Hardware หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
) Re
puta
tion
(ดาน
ชอเสยง
) Op
erat
iona
l
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอย
ในปจจบนเพอ
ควบคมความ
เสยง)
Map with Existing
Control
For ISO27001
10 Racks
อปกรณเสยเนองการ
บ ารงรกษาอปกรณท
ไมเพยงพอ
0 2 2 0 1
8.1.3 การบรหาร
จดการขด
ความสามารถของ
ระบบ (Capacity
management
11
Air
Conditio
n
อปกรณไมท างานท า
ใหอณหภมภายใน
สวนของ
datacenter มคาทสง
จนท าใหระบบใม
สามารถท างานได
0 3 2 3 1
8.1.3 การบรหาร
จดการขด
ความสามารถ
ของระบบ
(Capacity
management
11.2.2 ระบบและ
อปกรณสนบสนน
การท างาน
(Supporting
utilities)
มการตรวจเชค
ระบบปรบอากาศให
ท างานไดตลอดเวลา
7x24 ในเกณฑ 22
องศา
87
ตารางท 4.5 ประเมนความเสยง Software หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing
Control
Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
) Re
puta
tion
(ดาน
ชอเสยง
) Op
erat
iona
l
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใช
อยในปจจบน
เพอควบคม
ความเสยง)
Map with Existing
Control
For ISO27001
12 Linux
Server
การถกฟองรอง
ตาม
กฎหมาย
ลขสทธการใช
ซอฟทแวรท
ละเมดลขสทธ
1 1 1 1 1
A12.5.1(Control
against
Malicious code)
การควบคมการ
ตดตงซอฟตแวร
ผบรหารและหวหนา
งานมความตระหนก
ถงการใชซอฟทแวรท
ผดกฎหมายโดยการ
ซอซอฟทแวรทถก
กฎหมายในการใช
งานและมการ
ตรวจสอบซอฟทแวร
ในระบบอยางนอยปละ 1 ครง
88
ตารางท 4.5 ประเมนความเสยง Software หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
) Re
puta
tion
(ดาน
ชอเสยง
) Op
erat
iona
l
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคม
ความเสยง)
Map with Existing
Control
For ISO27001
ถกเขาถงโดย
ไมไดรบ
อนญาต
เนองจากการ
กระบวนการ
ควบคมการ
เขาถง เชน
รหสผาน
สามารถคาด
เดาไดโดยงาย
0 2 2 2 1
18.1.5 ระเบยบ
ขอบงคบส าหรบ
มาตรการเขารหส
ขอมล (Refulation
of cryptographic
controls)
A9.4.2(Secure log-
on procedures)
A9.4.3(Password
management
system)
ควรก าหนดนโยบาย
ในการตงรหสผานให
สามารถคาดเดาได
ยาก
89
ตารางท 4.5 ประเมนความเสยง Software หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
) Re
puta
tion
(ดาน
ชอเสยง
) Op
erat
iona
l
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคม
ความเสยง)
Map with Existing
Control
For ISO27001
ระบบมชองโหว
ในการ
โจมตเนองจาก
ไมมการอพเดท
path security
0 2 2 2 1
A12.5.1(Control
against
Malicious code)
การควบคมการ
ตดตงซอฟตแวร
A12.6.1 (Technical
Vulnerability
Management)
มการปองกนโดยการ
อพเดท path ของ
ระบบปฎบตการ
ระบบมการ
ท างาน
ผดพลาดจาก
ไวรส โทรจน
มลแวร
0 2 2 2 1 A.12.2.1(Controls
against malware)
มการปองกนโดยการ
ตดตง antivirus แบบ
ถกลขสทธและท าการ
ตดตงอพเดท
อตโนมต
90
ตารางท 4.6 ประเมนความเสยง People ware หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
) Re
puta
tion
(ดาน
ชอเสยง
) Op
erat
iona
l
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคม
ความเสยง)
Map with Existing
Control
For ISO27001
13 ผดแล
ระบบ
มความ
ผดพลาดในการ
ท างาน
เนองจาก
ความรเฉพาะ
ทางไมเพยงพอ
0 2 2 1 1
A7.2.2 การสราง
ความตระหนก การ
ใหความร และการ
ฝกอบรมดานความ
มนคงปลอดภย
สารสนเทศ
(Information
security
awareness,
education and
training)
มการสงพนกงานเพอ
เขาฝกอบรมในทกษะ
การจดการระบบและ
การรกษาความมง คง
ปลอดภยใหกบระบบ
91
ตารางท 4.6 ประเมนความเสยง People ware หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
) Re
puta
tion
(ดาน
ชอเสยง
) Op
erat
iona
l
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคม
ความเสยง)
Map with
Existing
Control
For ISO27001
ปลอยปะละเลย
จนท าใหผอ
สามารถเขาไป
ทศนยขอมลได
โดยไมตองขอ
อนญาต
0 3 2 1 1
A5.1.1
(Information
Security
Policy)
มเอกสารก ากบถงสทธข อง
บคคลทไดรบอนญาตในการเขา
ไปจดการ
ไมสามารถเขา
ปฎบตงานใน
เวลางานไดจน
ท าใหระบบ
หยดชะงก
0 4 2 1 1
A7.2.1(Manag
ementRespon
sibilities)
มการก ากบใหพนกงานทดแล
ระบบปฎบตการแทนและ
สอนงานเพอให
สามารถปฎบตงาน
ได
92
ตารางท 4.6 ประเมนความเสยง People ware หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
) Re
puta
tion
(ดาน
ชอเสยง
) Op
erat
iona
l
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคม
ความเสยง)
Map with Existing
Control
For ISO27001
14 พนกงาน
ทวไป
มพฤตกรรมใน
การใช
ระบบจากศนย
data
center โดยขาด
ความร
ความเขาใจใน
การใช
เทคโนโลย
สารสนเทศ
อยางปลอดภย
0 2 2 1 1
A7.2.2 (Information
Security
Training)จดอบรบ
ทกษะการจดการ
ระบบและ
การรกษาความ
มนคงปลอดภยใหกบ
ระบบ
จดฝกอบรมพนกงาน
ทเกยวของเพอให
ตระหนกถงขอมลท
ส าคญ
93
ตารางท 4.6 ประเมนความเสยง People ware หลงจดท า
ล าดบ รายการ
ตรวจสอบ
ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark
Com
plian
ce (ด
าน
กฎหม
าย)
Fina
ncial
(ดาน
การเงน
) Re
puta
tion
(ดาน
ชอเสยง
) Op
erat
iona
l
(การด า
เนนง
าน)
Freq
uenc
y
(Control ทใชอยใน
ปจจบนเพอควบคม
ความเสยง)
Map with Existing
Control
For ISO27001
15
Internet
Service
(True)
ผใหบรการไม
สามารถ
ใหบรการ
internet ไดท า
ใหภายใองคกร
ไมสามารถ
ด าเนนการ
ธรกจ
ตอไดหรอมการ
หยดชะงกของ
ระบบ
0 3 2 1 1
A12.1.2 (Change
Management)
A15.2(Service
Delivery)
มการรายงานการ
เปลยนแปลงกอนจะแกไข
ระบบทกครงและมเอกสาร
ใหผใหบรการจากภายนอก
ปฎบตตามขอตกลง
กอนการเขาใหบรการ
94
ตารางท 4.7 SOA (Statement of Applicability)
LR CO BR/BP RRA
Clause Sec Control Objective/Control
5.1 Information Security Policy
5.1.1 Policies for information security x x x ITS-Policy-DIV013-Information Security
Management.
5.1.2 Review of the policies for information security x x Annually review, ITS-Policy-DIV013-
Information Security Management, Annex
A.5.1.2.
6.1 Internal Organization
6.1.1 Information security roles and responsibilities x x x
6.1.2 Segregation of duties x x x
6.1.3 Contact with authorities x x x
6.1.4 Contact with special interest groups x x x ITS-Policy-DIV013-Information Security
Management, Annex A.6.1.4.
6.1.5 Information security in project management x x ITS-Policy-DIV013-Information Security
Management, Annex A.6.1.5.
6.2 Mobile devices and teleworking
6.2.1 Mobile device policy x x Defined in ITS-Policy-DIV029-Personal
Mobile Device.
6.2.2 Teleworking x x Defined in ITS-Policy-DIV030-Teleworking.
Remarks (Overview of
implementation)
5 Security Policies
ISO 27001:2013 Controls Current
Controls
Remarks (Justification for
exclusion)
Selected Controls and
6 Organisation of
information security
95
ตารางท 4.7 SOA (Statement of Applicability)(ตอ)
7.1 Prior to employment
7.1.1 Screening x x x
7.1.2 Terms and conditions of employment x x x
7.2 During employment
7.2.1 Management responsibilities x x x Staff orientation, ISO training and security
awareness training
7.2.2 Information security awareness, education and
training
x x x Staff orientation, ISO training and security
awareness training
7.2.3 Disciplinary process x x x x Security enforement.
7.3 Termination and change of employment
7.3.1 Termination or change of employment
responsibilities
x x x Defined in ITS-Process-DIV025-Identity
Management.
8.1 Responsibility for assets
8.1.1 Inventory of assets x x x CI in Remedy.
8.1.2 Ownership of assets x x Record in Remedy.
8.1.3 Acceptable use of assets x x DCS-Policy-COR001-IS Policy, 6.2 and
security enforement.
8.1.4 Return of assets x x To implement Identity Management
Process.
8.2 Information classification
8.2.1 Classification of information x x Defined in ITS-Policy-DIV028-Data
Classification, 6.1.
8.2.2 Labelling of information x x x Defined in ITS-Policy-DIV028-Data
Classification.
8.2.3 Handling of assets x x Defined in ITS-Policy-DIV028-Data
Classification, 6.2.
8.3 Media handling
8.3.1 Management of removable media x x x ITS-Standard Guidelines-DIV001-
Standard and Guidelines, A.8.3.1.
8.3.2 Disposal of media x x Defined in ITS-Policy-DIV028-Data
Classification, 6.2.
8.3.3 Physical media transfer x x x x
7 Human resource
security
8 Asset
management
96
ตารางท 4.7 SOA (Statement of Applicability)(ตอ)
9.1 Business requirements of access control
9.1.1 Access control policy x x x x ITS-Policy-DIV013-Information Security
Management, Annex A.9.1.1.
9.1.2 Access to networks and network services x x ITS-Policy-DIV013-Information Security
Management, Annex A.9.1.2.
9.2 User access management
9.2.1 User registration and de-registration x x ITS-Policy-DIV013-Information Security
Management, Annex A.9.2.1.
9.2.2 User access provisioning x x x Defined in ITS-Process-DIV025-Identity
Management and Entitlement review.
9.2.3 Management of privileged access rights x x x Defined in ITS-Policy-DIV018-Admin
Account Management.
9.2.4 Management of secret authentication
information of users
x x Defined in ITS-Policy-DIV018-Admin
Account Management.
9.2.5 Review of user access rights x x
9.2.6 Removal or adjustment of access rights x x x Defined in ITS-Process-DIV025-Identity
Management.
9.3 User responsibilities
9.3.1 Use of secret authentication information x x DCS-Policy-COR001-IS Policy, 6.1 and
ITS-Policy-DIV013-Information Security
Management, Annex A.9.3.1.
9.4 System and application access control
9.4.1 Information access restriction x x RACI Matrix and Permission Matix.
9.4.2 Secure log-on procedures x x x ITS-Policy-DIV013-Information Security
Management, Annex A.9.4.2.
9.4.3 Password management system x x x ITS-Policy-DIV013-Information Security
Management, Annex A.9.4.3.
9.4.4 Use of privileged utility programs x x ITS-Policy-DIV013-Information Security
Management, Annex A.9.4.4.
9.4.5 Access control to program source code ITS don’t have coding activity in
access control
9 Access control
97
ตารางท 4.7 SOA (Statement of Applicability)(ตอ)
10.1 Cryptographic controls
10.1.1 Policy on the use of cryptographic controls x x x ITS-Policy-DIV013-Information Security
Management, Annex A.10.1.1.
10.1.2 Key management x x ITS-Policy-DIV013-Information Security
Management, Annex A.10.1.2.
10 Cryptography
98
ตารางท 4.7 SOA (Statement of Applicability)(ตอ)
11.1 Secure areas
11.1.1 Physical security perimeter x x x Defined in ITS-Policy-DIV020-ITS Access
Control Rule and Regulation and ITS-
Policy-OPR001-Datacenter Operation.
11.1.2 Physical entry controls x x x x Defined in ITS-Policy-DIV020-ITS Access
Control Rule and Regulation and ITS-
Policy-OPR001-Datacenter Operation.
11.1.3 Securing offices, rooms and facilities x x Defined in ITS-Policy-DIV020-ITS Access
Control Rule and Regulation and ITS-
Policy-OPR001-Datacenter Operation,
6.5.
11.1.4 Protecting against external and environmental
threats
x x x x x
11.1.5 Working in secure areas x x Defined in ITS-Policy-DIV020-ITS Access
Control Rule and Regulation and ITS-
Policy-OPR001-Datacenter Operation.
11.1.6 Delivery and loading areas x x Defined in ITS-Policy-DIV020-ITS Access
Control Rule and Regulation and ITS-
Policy-OPR001-Datacenter Operation,
6.6.
11.2 Equipment
11.2.1 Equipment siting and protection x x x Prior electrical power and load checking,
Data safe for keeping storage media.
11.2.2 Supporting utilities x x x x Emergency light, N+1 UPS, redundant
equipment, control panel, with regular
testing and preventive maintenance.
11.2.3 Cabling security x x x Defined in ITS-Policy-DIV017-Wiring UTP
cable.
11.2.4 Equipment maintenance x x x x Active preventive maintenance
11.2.5 Removal of assets x x x Defined in ITS-Policy-OPR001-Datacenter
Operation, 6.6.
11.2.6 Security of equipment and assets off-premises x x x Annually Preventive mantainance.
11.2.7 Secure disposal or reuse of equipment x x ITS-Policy-DIV013-Information Security
Management, Annex A.11.2.7.
11.2.8 Unattended user equipment x x ITS-Policy-DIV013-Information Security
Management, Annex A.11.2.8.
11.2.9 Clear desk and clear screen policy x x x Defined in ITS-Policy-DIV019-Clear Desk
and Clear Screen.
11 Physical and
environmental
security
99
ตารางท 4.7 SOA (Statement of Applicability)(ตอ)
12.1 Operational procedures and responsibilities
12.1.1 Documented operating procedures x x x x Stored in sharepoint.
12.1.2 Change management x x x x Defined in ITS-Policy-DIV002-Change
Management.
12.1.3 Capacity management x x x x Defined in ITS-Policy-DIV011-Capacity
Management.
12.1.4 Separation of development, testing and
operational environments
x x x Defined in ITS-Standard Guidelines-
DIV002-Separate Test Environment
Policy.
12.2 Protection from malware
12.2.1 Controls against malware x x x
12.3 Backup
12.3.1 Information backup x x x x Centralized enterprise backup system.
12.4 Logging and monitoring
12.4.1 Event logging x x x Centralized logging (SSIM), syslog.
12.4.2 Protection of log information x x x Protected traffic log information - SRAN.
12.4.3 Administrator and operator logs x x Use daily log review.
12.4.4 Clock synchronization x x x Centralized NTP server.
12.5 Control of operational software
12.5.1 Installation of software on operational systems x x DCS-Policy-COR001-IS Policy, Appendix
7.1 and ITS-Policy-DIV013-Information
Security Management, Annex A.12.5.1.
12.6 Technical vulnerability management
12.6.1 Management of technical vulnerabilities x x Defined in ITS-Process-DIV019-Control of
Technical vulnerability.
12.6.2 Restrictions on software installation x x x DCS-Policy-COR001-IS Policy, Appendix
7.1.
12.7 Information systems audit considerations
12.7.1 Information systems audit controls x x x Defiend in ITS-Policy-DIV023-Internal
Audit.
12 Operations
security
100
ตารางท 4.7 SOA (Statement of Applicability)(ตอ)
13.1 Network security management
13.1.1 Network controls x x x ITS-Policy-DIV013-Information Security
Management, Annex A.13.1.1.
13.1.2 Security of network services x x ITS-Policy-DIV013-Information Security
Management, Annex A.13.1.2.
13.1.3 Segregation in networks x x x
13.2 Information transfer
13.2.1 Information transfer policies and procedures x ITS-Standard Guidelines-DIV001-
Standard and Guidelines, 13.2.1.
13.2.2 Agreements on information transfer x ITS-Standard Guidelines-DIV001-
Standard and Guidelines, 13.2.2.
13.2.3 Electronic messaging x x
13.2.4 Confidentiality or nondisclosure agreements x x ITS-Standard Guidelines-DIV001-
Standard and Guidelines, 13.2.3.
13 Communications
security
101
ตารางท 4.7 SOA (Statement of Applicability)(ตอ)
14.1 Security requirements of information systems
14.1.1 Information security requirements analysis and
specification
ITS don’'t have activity in software
development
14.1.2 Securing application services on public networks ITS don’'t have activity in software
14.1.3 Protecting application services transactions ITS don’'t have activity in software
development
14.2 Security in development and support processes
14.2.1 Secure development policy ITS don’'t have activity in software
development
14.2.2 System change control Procedures x x x Change management
14.2.3 Technical review of applications after operating
platform changes
x x ITS-Policy-DIV013-Information Security
Management, Annex A.14.2.3/ Change
management, Release management
14.2.4 Restrictions on changes to software packages ITS don’'t have activity in software
development
14.2.5 Secure system engineering principles x x
14.2.6 Secure development environment ITS don’'t have activity in software
development
14.2.7 Outsourced development ITS don’'t have activity in software
development
14.2.8 System security testing ITS don’'t have activity in software
testing
14.2.9 System acceptance testing x x x x
14.3 Test data
14.3.1 Protection of test data ITS don’'t have activity in software
testing
14 System
acquisition,
development and
maintenance
102
ตารางท 4.7 SOA (Statement of Applicability)(ตอ)
15.1 Information security in supplier relationships
15.1.1 Information security policy for supplier
relationships
x x Defined in ITS-Policy-DIV014-Supplier
Management.
15.1.2 Addressing security within supplier agreements x x
15.1.3 Information and communication Technology
supply chain
x x x ITS-Policy-DIV013-Information Security
Management, Annex A.15.1.3.
15.2 Supplier service delivery management
15.2.1 Monitoring and review of supplier services x x x
15.2.2 Managing changes to supplier services x x x ITS-Policy-DIV013-Information Security
Management, Annex A.15.2.2.
15 Supplier
relationships
103
ตารางท 4.7 SOA (Statement of Applicability)(ตอ)
16.1 Management of information security incidents
and improvements
16.1.1 Responsibilities and procedures x x CSIRT team.
16.1.2 Reporting information security events x x
16.1.3 Reporting information security weaknesses x x
16.1.4 Assessment of and decision on information
security events
x x
16.1.5 Response to information security incidents x x
16.1.6 Learning from information security incidents x x
16.1.7 Collection of evidence x x
16 Information
security incident
management
104
ตารางท 4.7 SOA (Statement of Applicability)(ตอ)
17.1 Information security continuity
17.1.1 Planning information security continuity x x x
17.1.2 Implementing information security continuity x x
17.1.3 Verify, review and evaluate information security
continuity
x x x
17.2 Redundancies
17.2.1 Availability of information processing facilities x x
18.1 Compliance with legal and contractual
requirements
18.1.1 Identification of applicable legislation and
contractual requirements
x x x x Standard contract of service, Engineering
principle
ITS-Form-BUD003-Master service
agreement
18.1.2 Intellectual property rights x x x x IPR form HR
18.1.3 Protection of records x x x
18.1.4 Privacy and protection of personally identifiable
information
x x DCS-Policy-COR001-IS Policy.
18.1.5 Regulation of cryptographic controls x x ITS-Standard Guidelines-DIV001-
Standard and Guidelines, 18.1.5.
18.2 Information security reviews
18.2.1 Independent review of information security x x
18.2.2 Compliance with security policies and standards x x ITS-Process-DIV021-Internal Audit.
18.2.3 Technical compliance review x x ITS-Process-DIV008-Release
Management.
18 Compliance
17 Information
security aspects of
business continuity
management
105
บทท 5
สรปผลการด าเนนโครงงาน
5.1 สรปผลการประเมนความเสยงกอนการจดท า
หลงจากทมการประเมนความเสยงสารสนเทศขององคกรกอนการบรหารจดการความ
เสยงนน พบวาองคกรมความเสยงทมระดบสงทจะตองด าเนนการบรหารจดการความเสยงนน
กอนตาม แผนการจดการบรหารความเสยง โดยไดพบความเสยงขององคกรในระดบตางๆ ดงน
5.1.1 Hardware
ตารางท 5.1 สรปการประเมนความเสยง Hardware กอนการจดท า
ต า ปานกลาง สง สงมาก
2 4 31 5
รปท 5.1 กราฟแสดงผลสรปการประเมนความเสยง Hardware กอนการจดท า
0 10 20 30 40
ต ำ
ปำนกลำง
สง
สงมำก
การประเมนความเสยง Hardware
กำรประเมนควำมเส ยง
Hardware
106
5.1.2 Software
ตารางท 5.2 สรปการประเมนความเสยง Software กอนการจดท า
ต า ปานกลาง สง สงมาก
0 4 0 0
รปท 5.2 กราฟแสดงผลสรปการประเมนความเสยง Software กอนการจดท า
0 1 2 3 4
ต า
ปานกลาง
สง
สงมาก
การประเมนความเสยง Software
การประเมนความเสยง Software
107
5.1.3 Personal
ตารางท 5.3 สรปการประเมนความเสยง Personal กอนการจดท า
ต า ปานกลาง สง สงมาก
0 3 2 0
รปท 5.3 กราฟแสดงผลสรปการประเมนความเสยง Personal กอนการจดท า
0 1 2 3
ต า
ปานกลาง
สง
สงมาก
การประเมนความเสยง Personal
การประเมนความเสยง Personal
108
5.2 ตารางสรปผลการประเมนความเสยงหลงการจดท า
5.2.1 Hardware
ตารางท 5.4 สรปการประเมนความเสยง Hardware หลงการจดท า
ต า ปานกลาง สง สงมาก
2 40 0 0
รปท 5.4 กราฟแสดงผลสรปการประเมนความเสยง Hardware หลงการจดท า
0 10 20 30 40
ต า
ปานกลาง
สง
สงมาก
การประเมนความเสยง Hardward
การประเมนความเสยง Hardward
109
5.2.2 Software
ตารางท 5.5 สรปการประเมนความเสยง Software หลงการจดท า
ต า ปานกลาง สง สงมาก
1 3 0 0
รปท 5.5 กราฟแสดงผลสรปการประเมนความเสยง Software หลงการจดท า
5.2.3 Personal
0 1 2 3
ต า
ปานกลาง
สง
สงมาก
การประเมนความเสยง Software
การประเมนความเสยง Software
110
ตารางท 5.6 สรปการประเมนความเสยง Personal หลงการจดท า
ต า ปานกลาง สง สงมาก
5 0 0 0
รปท 5.6 กราฟแสดงผลสรปการประเมนความเสยง Software หลงการจดท า
5.3 สรปการประเมนความเสยงทงหมดหลงการจดท า
ตารางท 5.7 สรปการประเมนความเสยงทงหมดหลงการจดท า
0 1 2 3 4 5
ต า
ปานกลาง
สง
สงมาก
การประเมนความเสยง Personal
การประเมนความเสยง Personal
111
ต า ปานกลาง สง สงมาก
6 43 0 0
รปท 5.7 สรปการประเมนความเสยงทงหมดหลงการจดท า
0 10 20 30 40 50
สงมาก
สง
ปานกลาง
ต า
Series 1
Series 1
112
เอกสารอางอง
[1] เอกสาร ISO 17799 อดต ปจจบน และอนาคต, NECTEC
www.thaicert.org/paper/basic/ISO17799PastPresentFuture.pdf
[2] พ.อ.เศรษฐพงค มะลสวรรณ, การจดการความเสยงดานเทคโนโลยสารสนเทศ: วทยาลย
นวตกรรมอดมศกษา มหาวทยาลยธรรมศาสตร
[3] Sriprapar Ngamhongtong,อะไรเปลยนไปใน ISO/ IEC 27001 เวอรชนใหม 2013: BSI
http://www.isotoyou.com/index.php/article/447-iso27001-dis-what-change.html
ก-1
ภาคผนวก ก.
นโยบายการรกษาความมนคงปลอดภยของระบบสารสนเทศ
ก-2
ก-3
ก-4
ก-5
ก-6
ก-7
ก-8
ก-9
ก-10
ก-11
ก-12
ก-13
ก-14
ก-15
ก-16
ก-17
ก-18
ก-19
ก-20
ก-21
ก-22
ก-23
ก-24
ก-25
ก-26
ก-27
ก-28