การพัฒนานโยบายด้านความปลอดภัยภายใต้มาตรฐาน...

การพฒนานโยบายดานความปลอดภยภายใตมาตรฐาน ISO27001 ขององคกรกรณศกษา บรษท อวาตาร อนเทอมเดย

Developing Security Policy Under ISO 27001 Standard Case Study for Evatar intermedia

มนสชา ทองประศาสน Monsicha Thongprasart

สารนพนธฉบบนเปนสวนหนงของการศกษา หลกสตรวทยาศาสตรมหาบณฑต สาขาวชาเทคโนโลยสารสนเทศ

คณะวทยาการและเทคโนโลยสารสนเทศ มหาวทยาลยเทคโนโลยมหานคร

ปการศกษา 2558

I

หวขอโครงงาน การพฒนานโยบายดานความปลอดภยภายใตมาตรฐาน ISO27001 ขององคกรกรณศกษา บรษท อวาตาร อนเทอมเดย Developing Security Policy Under ISO 27001 Standard Case Study for Evatar intermedia

ชอนกศกษา นางสาว มนสชา ทองประศาสน รหสนกศกษา 5717670010 หลกสตร วทยาศาสตรมหาบณฑต สาขาเทคโนโลยสารสนเทศ ปการศกษา 2558 อาจารยทปรกษา ผศ.ดร.พนม เพชรจตพร ดร.บรรจง หะรงษ

บทคดยอ

โครงงานการพฒนานโยบายดานความปลอดภยภายใตมาตรฐาน ISO27001 ขององคกรกรณศกษา บรษท อวาตาร อนเทอมเดย จดท าขนเพอวตถประสงคในการปรบปรงพฒนานโยบายและแนวทางปฏบตดานความมนคงปลอดภยสารสนเทศใหแกองคกรเพอใชเปนแนวทางสรางความมนคงปลอดภยและยกระดบระบบสารสนเทศใหมความมน คงปลอดภยเปนมาตรฐานสากลโดยมมาตรฐาน ISO/IEC 27001 : 2013 เปนเครองมอในการพฒนาเพอใหองคกรด าเนนงานอยางมประสทธภาพ

II

กตตกรรมประกาศ

ในการด าเนนโครงงานนส าเรจไดดวยความอนเคราะหจากอาจารยทปรกษาโครงการ ผศ.ดร.พนม เพชรจตพร และ ดร.บรรจง หะรงษ ทไดใหค าแนะน า ขอแกไข อกทงสนบสนนองคความร และใหค าปรษา ขอขอบคณ บรษท อวาตาร อนเทอมเดย ทไดอนญาตใหผจดท าไดเขาไปศกษาขอมลของหนวยงาน เพอน าขอมลทไดมาวเคราะห จดท าแผนงาน ขอขอบคณคณะคณาจารยสาขาวชาเทคโนโลยสารสนเทศ มหาวทยาลยเทคโนโลยมหานคร ทกทานทไดใหความร ค าแนะน าแกขาพเจาจนสามารถจดท าโครงงานนขนมาจนเสรจสมบรณ

มนสชา ทองประศาสน

ตลาคม 2558

III

สารบญ หนา

บทคดยอ I กตตกรรมประกาศ II สารบญ III สารบญรป VI สารบญตาราง VIII บทท 1 บทน า 1 1.1 กลาวน า 1 1.2 กรณศกษา 1 1.3 ปญหาและแรงจงใจ 2 1.4 แนวทางในการแกไขปญหา 2 1.5 วตถประสงคของโครงงาน 2 1.6 ขอบเขตของโครงงาน 3 1.7 ประโยชนทคดวาจะไดรบจากโครงงาน 3 1.8 ระยะเวลาการด าเนนงาน 4 บทท 2 ทฤษฎทเกยวของ 5 2.1 ความหมายและความเปนมา ISO/IEC27001:2013 5 2.2 ISMS Domains & Control 12 2.3 Risk Management (การบรหารจดการความเสยง) 27 บทท 3 การด าเนนงาน 34 3.1 ขนตอนในการด าเนนงาน 34

3.2ศกษาขอมลและโครงสรางบรษท 35 3.3 โครงสรางระบบเครอขาย 36 3.4 ขอมลทรพยสนขององคกร 37

https://www.google.co.th/search?biw=1366&bih=667&q=%E0%B8%9B%E0%B8%A3%E0%B8%B0%E0%B9%82%E0%B8%A2%E0%B8%8A%E0%B8%99%E0%B9%8C&spell=1&sa=X&ved=0ahUKEwi_u43V3MjMAhUHcI4KHTB2D3oQvwUIFygA

IV

สารบญ (ตอ) หนา

บทท 4 ผลการด าเนนงาน 39 4.1ผลการประเมนความเสยงกอนการบรหารจดการความเสยง 40 4.2ผลการประเมนความเสยงหลงการบรหารจดการความเสยง 64 4.3แผนการจดท า SOA 94

บทท 5 สรปผลการด าเนนงาน 105 5.1สรปผลการประเมนความเสยงกอนการจดท า 106

5.2สรปผลการประเมนความเสยงหลงการจดท า 108 เอกสารอางอง 112

V

สารบญรป

หนา รปท 2.1 โครงสรางปรบปรงมาเปน ISO/IEC 27001 (2013) 6 รปท 2.2 Security Controls ทเพมมาในเวอรชน 2013 7 รปท 2.3 High level Standard structure – Annex SL 8 รปท 2.4 มาตรฐานชด 27000: ISMS Family of Standards Relationship 11 รปท 2.5 iSO/IEC 27001:2013 control summary 26 รปท 2.6 สตรค านวณระดบความเสยงโดยรวม 30 รปท 3.1 network diagram ในหอง Data Center ภายในองคกร อวาตาร อนเทอมเดย 36 รปท 5.1 กราฟแสดงผลสรปการประเมนความเสยง Hardware กอนการจดท า 105 รปท 5.2 กราฟแสดงผลสรปการประเมนความเสยง Software กอนการจดท า 106 รปท 5.3 กราฟแสดงผลสรปการประเมนความเสยง Personal กอนการจดท า 107 รปท 5.4 กราฟแสดงผลสรปการประเมนความเสยง Hardware หลงการจดท า 108 รปท 5.5 กราฟแสดงผลสรปการประเมนความเสยง Software หลงการจดท า 109 รปท 5.6 กราฟแสดงผลสรปการประเมนความเสยง Personal หลงการจดท า 110 รปท 5.7 สรปการประเมนความเสยงทงหมดหลงการจดท า 111

VI

สารบญตาราง

หนา ตารางท 1.1แผนการด าเนนโครงงาน 4 ตารางท 2.1 ISMS Domains & Control 12 ตารางท 2.2 ระดบโอกาสในการเกดความเสยง ( Likelihood) 27 ตารางท 2.3 ประเมนระดบความเสยง (Risk Assessment Matrix) 29 ตารางท 2.4 ระดบความเสยง (Risk Value) 29 ตารางท 2.5 การประเมนคาผลกระทบดานการด าเนนงาน (Operational) 31 ตารางท 2.6 การประเมนคาผลกระทบดานชอเสยง (Reputational) 32 ตารางท 2.7 การประเมนคาผลกระทบดานการเงน (Financial) 32 ตารางท 2.8 การประเมนคาผลกระทบดานกฏหมาย/ขอบงคบ(Compliance) 33 ตารางท 3.1 ตารางแสดงทรพยสน (Asset Inventory) 37 ตารางท 4.1 ประเมนความเสยง Hardware กอนจดท า 40 ตารางท 4.2 ประเมนความเสยง Software กอนจดท า 61 ตารางท 4.3 ประเมนความเสยง Personal กอนจดท า 63 ตารางท 4.4 ประเมนความเสยง Hardware หลงจดท า 66 ตารางท 4.5 ประเมนความเสยง Software หลงจดท า 87 ตารางท 4.6 ประเมนความเสยง Personal หลงจดท า 90 ตารางท 4.7 แผนประเมน SOA 94 ตารางท 5.1 สรปการประเมนความเสยง Hardware กอนการจดท า 105 ตารางท 5.2 สรปการประเมนความเสยง Software กอนการจดท า 106 ตารางท 5.3 สรปการประเมนความเสยง Personal กอนการจดท า 107 ตารางท 5.4 สรปการประเมนความเสยง Hardware หลงการจดท า 108 ตารางท 5.5 สรปการประเมนความเสยง Software หลงการจดท า 109 ตารางท 5.6 สรปการประเมนความเสยง Personal หลงการจดท า 110 ตารางท 5.7 สรปการประเมนความเสยงทงหมดหลงการจดท า 111

1

การพฒนานโยบายดานความปลอดภยภายใตมาตรฐาน ISO27001

ขององคกรกรณศกษา บรษท อวาตาร อนเทอมเดย

Developing Security Policy Under ISO 27001 Standard

Case Study for Evatar intermedia 1.1 กลาวน า

ในปจจบน มการแขงขนทางธรกจสง และเทคโนโลยสารสนเทศจงกาวเขามามบทบาท

ส าคญในธรกจ ถอวาเปนกลไกส าคญทท าใหธรกจเดนไปขางหนาเลยกวาได ในระบบธรกจลวน

แตมความเกยวของกบเทคโนโลยสารสนเทศแทบทงสนดงนนระบบสารสนเทศถอวาเปน

ทรพยสนอนมคาสงสดของธรกจ จงท าใหมความเสยงทจะถกการโจมตและภยคกคามในรปแบบ

ตางๆ มากมาย และมแนงโนนทจะเพมขนเรอยๆหากถกน าไปใชในทางทผดวตถประสงค อาจ

ท าใหเกดผลกระทบกบธรกจจงควรจ าท านโยบาลการบรหารจดการองคกรใหไดมาตรฐานดาน

ความปลอดภยของระบบสารสนเทศเพอจดการความเสยงทางดานเทคโนโลยสารสนเทศของ

องค กรการจดการความเสยงดานเทคโนโลยสารสนเทศ คอกระบวนการ ทจะท าใหองคกรม

มาตรการในการปองกนและการลดความเสยงทเกดจากภยคกคามภายนอกดวยการปกปอง

ระบบเทคโนโลยสารสนเทศและขอมลส าคญซงจะชวยสนบสนนความส าเรจของการด าเนนธรกจ

ในการน าเทคโนโลยสารสนเทศมาใชงานไดอยางปลอดภย

1.2 กรณศกษา

อวาตาร อนเทอมเดย กอตงขนวนท 10 พฤศจกายน พ.ศ. 2544 ใหบรการทางดานไอ

ท โซลชน เวบไซต มลตมเดย และ บรการหลงการขาย มฐานลกคาในจ านวนมาก ในอวาตาร

อนเทอมเดยไดขยายฐานลกคามากขนมการน าเทคโนโลยสารสนเทศเขามาใชแตองคกรยงไมให

ความส าคญในการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศเทาทครวจงม

ความเสยงทระบบเทคโนโลยสารสนเทศจะถกโจมตจากภย คกคามในรปแบบตางๆ มากมายจง

มความจ าเปนท จะตองเพมความมนคงปลอดภยใหกบระบบเทคโนโลยสารสนเทศขององคกร

ไดวางแผนจดทานโยบายการบรหารจดการดานความมนคงปลอดภยสารสนเทศโดยใช

หลกเกณฑตามมาตรฐาน ISO27001โดยมวตถประสงคเพอเพมประสทธภาพในการรกษาความ

มนคงปลอดภยสารสนเทศ ใหกบองคกร ซงในโครงงานนผจดท าจะท าการศกษาเฉพาะในสวน

ของ Data Center ซงมระบบงานทมความสาคญกบขอมลสารสนเทศขององคกรในอนดบตน

2

1.3 ปญหาและแรงจงใจ

องคกรมหองศนยขอมลตงอยภายในองคกร ซงมขอมลลกคาเปนจ านวนมาก และมการ

ควบคมการสอสารแลกเปลยนขอมลสารสนเทศเพอความมนคงปลอดภยของขอมล แตหากไมม

การตรวจสอบความเสยงทมและจดทามาตรการในบรหารจดการความเสยงทถกตองเหมาะสม

อาจสงผลใหเกดผลกระทบตอการด าเนนธรกจและชอเสยงขององคกรได

1.4 แนวทางในการแกไขปญหา

จากปญหาดงกลาวในหวขอท 1.3 จะมแนวทางในการแกปญหา โดยการจดใหม

นโยบายดานความปลอดมนคงปลอดภยระบบสารสนเทศ นโยบายการจดการความเสยงท

จะเกดขนกบองคเพอเพมประสทธภาพและความปลอดภยมนคงของระบบเทคโนโลยสารสนเทศ

ตาม มาตรฐานการรกษาความมนคงปลอดภย ISO 27001 เปนมาตรฐานทมงเนนส าหรบ

การบรหารจดการความมงคงปลอดภยส าหรบสารสนเทศ ISMS (Information Security

Management System)

1.5 วตถประสงคของโครงงาน

จากสงทไดกลาวมาทงหมดเบองตน ตงแตการหาสาเหตของปญหา จนถงแนวทางการแกไข

ปญหา จงสามารถสรปวตถประสงคของโครงงานเพอใหมกระบวนการท างานทมมาตรฐาน

1.5.1 เพอจดท านโยบายดานความมนคงปลอดภยระบบสารสนเทศของ องคกรตาม

มาตรฐานและขนตอนการปฏบตงานสารสนเทศดานตางๆใหเปนไปตามขอบงคบตาม กฎหมาย

และสอดคลองกบมาตรฐาน ISO27001:2013

1.5.2 เพอประเมนถงความเสยงขอบกพรอง ทอาจเกดขน กบงานดานเทคโนโลย

สารสนเทศอาจสงผลกระทบ กบระบบงานทงทางตรงและทางออม

1.5.3 เพอเพมประสทธภาพและความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ

ของ องคกรใหเปนไปตามมาตรฐาน ISO/IEC 27001:2013

1.5.4 เพอพฒนาระบบสารสนเทศขององคกรใหมความมนคงปลอดภย รวมทงสราง

ความนาเชอถอ ใหแกบคลากร และเจาหนาท ขององคกรทใชงานระบบเทคโนโลยสารสนเทศ

3

1.6 ขอบเขตของโครงงาน

ด าเนนการประสานงานกบหนวยงานทเกยวของในการเสนอและจดท าแผนบรหาร

จดการความเสยงทางดานความมนคงปลอดภยสารสนเทศโดยระบแผนระยะเวลาโดยมขนตอน

ดงน

1.6.1 ศกษาคนควา ระบบสารสนเทศของมาตรฐานสากล ISO/IEC 27001:2013 และ

ก าหนด ขอบเขตในการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ

1.6.2 ก าหนดการประเมนความเสยง และท าการวเคราะห ประเมนความ เสยงระบบ

เทคโนโลยสารสนเทศขององคกร

1.6.3 หาแนวทางในการจดการความเสยง เพอลดความเสยงของระบบ เทคโนโลย

สารสนเทศขององคกร

1.6.4 จดท านโยบายดานความมนคงปลอดภยระบบเทคโนโลยสารสนเทศ

1.6.5 ปรบปรงระบบงานดานสารสนเทศและจดท าขอก าหนดเพมเตมให สอดคลองกบ

นโยบาย

1.7 ประโยชนทคาดวาจะไดรบจากโครงงาน

เมอโครงงานนไดน ามาใชในองคกรแลว จะท าใหองคกรเกด นโยบายความปลอดภย

ระบบสารสนเทศ และน ามาปรบใชในการแกปญหาในการท างาน ดงมรายละเอยดดงน

1.7.1 ท าใหสามารถทราบถงจดออนและความเปนไปไดของความเสยง

ทอาจเกดขนเพอเตรยมการรบมอและแกไขความเสยง

1.7.2 สรางความนาเชอถอ และสราง ภาพลกษณทดใหกบองคกร

1.7.3 ท าใหมการบรหารจดการระบบเทคโนโลยสารสนเทศ เปนมาตรฐานสากลในการ

ควบคมดแล และพฒนาระบบเทคโนโลยสารสนเทศ

1.7.4 มนโยบายการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศเพอ ใช

เปนแนวทางในการปฏบตตาม

4

1.8 ขนตอนในการด าเนนงาน

จากทกลาวมาในขางตน ปญหาเกดจากองคกร ขาดการดแลเรองควมปลอดภยของ

ระบบเทคโนโลยสารสนเทศ จงไดน านโยบายความปลอดภยระบบสารสนเทศ และน ามาปรบใช

เพอปองการขอมลและเมนความเสยงทจะเกดขนโดยการพฒนาสารนพนธมเนอหาและขนตอน

ดงตอไปน

1.8.1 ขนตอนการด าเนนงาน

1.8.2 ศกษาคนควารวบรวม ขอมล มาตรฐานISO 27001

1.8.3 ศกษาระบบเทคโนโลยสารสนเทศ ขององคกร ในปจจบน

1.8.4 ประเมนความเสยงระบบเทคโนโลยสารสนเทศขององคกร

1.8.5 จดท าแผนและแนวทางแกไขเพอลดความเสยง

1.8.6 ด าเนนการบรหาร จดการความเสยงตาม แนวทางในการจดการ ความเสยง

1.8.7 จดท านโยบายดาน ความมนคงปลอดภย ระบบเทคโนโลย สารสนเทศ

1.8.8 จดท าเอกสารรายการควบคม (SOA)

1.8.9 ปรบปรงระบบงานดานสารสนเทศและจดท าขอก าหนดเพมเตมใหสอดคลองกบ

นโยบายและแนวปฏบตดาน ความมนคงปลอดภยสารสนเทศ

1.8.10 จดท ารายงานผลการตรวจสอบและประเมนความเสยง

1.8.11 สรปผลการด าเนนงานของโครง

5

บทท 2

ทฤษฎทเกยวของ

2.1 ความหมายและความเปนมา ISO/IEC27001:2013[3]

ISO ยอจาก International Organization for Standardization ISO กอตงตงแตป 1947

ครงแรกของงานดานความปลอดภยเกดจาก BS 7799 ทก าหนดตงแตป 1993 ของรฐบาล

องกฤษ

สองป หลงจากนน (1995) ไดประกาศเปนมาตรฐานกบหนวยงานซอขาย และ อตสาหกรรมซง

BS 7799 ไดพฒนาปรบปรงตอเนองมาเรอยจนถงป 2005 ในเดอนธนวาคม ป 2000 BS7799

ไดถกท าเปนมาตรฐาน ISO 17799 ISO/IEC 17799:2000 – Code of Practice for Information

Security Management

BS 7799-2:2002 – Specification for Information Security Management Systems ISO/IEC

27000 Series (2005) ประกาศเดอนตลาคมและ ISO/IEC 27001 (2013) ประกาศเดอน

กรกฎาคม เวอรชนราง มาตรฐาน ISO/IEC27001 เปนขององคกรทมชอวา The International

Organization of Standardization (ISO) และ The International Electrotechnical Commission

(IEC) เปนระบบบรหารจดการทจะมงเนนไปทความมนคงปลอดภยของขอมลเปนหลก หรอ

Information Security Management System (ISMS) กระบวนการของ ISMS จะชวยในการ

ควบคมความเสยงทจะเกดขนกบขอมลซงครอบคมไปถงดานกฏหมายและการเขาถงทาง

กายภาพ โดยเวอรชนลาสดคอ (ISO27001:2013) ประกาศใชเมอ 1 ต.ค. 2013 สวนเวอร

แรกประกาศใชครงแรกเมอป 2550 (ISO27001:2005) เวอรชน 2013 ไดมการปรบโครงสราง

มาตรฐานหรอทเรยกวา Annex SL ซงเปนโครงสรางมาตารฐานของระบบบรหารจดการตางๆ

หลงจากประกาศใชกไดรบความสนใจจากองคกรทงภาครฐและเอกชนทวโลก น ามาใชงานและ

ขอการรบรอง (Certification) เกยวของกบการปรบปรงระบบบรหารการรกษาความมนคง

ปลอดภยขอมล (Information Security Management System (ISMS) ในปจจบนมาตารฐานท

มการใช Annex SL มอยทงหมด 3 มาตราฐาน คอ ISO 9001 ISO 22301 และ ISO 27001:2013

ซง ISO 27001:2013 น า Annex SL เขามาปรบใชเพอใหตอบรบกบชองโหวหรอภยความเสยง

ทอาจจะเกดขน

6

รปท2.1 โครงสรางปรบปรงมาเปน ISO/IEC 27001 (2013)

ซงจะตางจากป 2005 โดยทเวอรชน 2005 จะมเพยง 11 Security Control Clauses

และ 39 Main Security Categories สวนเวอรชน 2013 จะม 14 Security Control Clauses

และ 35 Main Security Categories ซงเวอรชน 2013 มการปรบสวน Controls ในสวนทมความ

คลายคลงเหลอเพยงแค 114 Controls โดยดงหวขอ A.12.3 Cryptographic controls มาตงเปน

โดเมนใหม คอ A.10 Cryptography

แยกหวขอ A.10 Communications and operations management ออกเปนสองหวขอยอย คอ

A.12Operations Security และ A.13 Communications Security

รวมหวขอทเกยวของกบ Supplier โดยรวมขอยอย A.6.2External parties และ A.10.2 Third

party service delivery management และตงเปน โดเมนใหม ทเรยกวา A.15Supplier

relationships

7

รปท2.2 Security Controls ทเพมมาในเวอรชน 2013

2.1.1 Annex SL

เปนรปแบบเอกสาร ส าหรบ มาตรฐานการจดการ ISOเพอใหมาตรฐานทกตวมรปแบบ

ทสอดคลองกน มทศทางเดยวกน Appendix 2 ของ Annex SL ทถกน ามาใชจดการมาตารฐาน

ISO โดยวตถประสงคของ Annex SL คอเพอท าใหโครงสราง ค าจ ากดความและนยามของ

มาตรฐานตางๆ ในระบบบรหารจดการทเปน ISO เปนไปในทศทางเดยวกน อกทงสนบสนนให

องคการทมการท าระบบบรหารจดการ (management system) มากกวาหนงมาตรฐานสามารถ

ควบรวมและท างานประสานกนไดเปนอยางดในโครงสรางมขอก าหนดทงหมด 10 ขอจากเดม 8

ขอ

สงทเปลยนไปในตว ระบบบรหารจดการ (ขอก าหนด Clause 1-10) สรปไดดงน

ค าจ ากดความในเวอรชน 2005 ทงหมดถกยายไปอยใน มาตรฐาน ISO/IEC 27000

เปลยนเทอมทใช เชน “ISMS Policy” เปน “Information Security Policy” ใหชอเปน

กลางๆ มากขน

เปลยนชอหวขอ ขอก าหนดการบวนการประเมนความเสยงกลงรายละเอยดนอยลง นน

หมายความวาคณมทางเลอก ส าหรบวธการในการประเมนความเสยงทหลากหลายขน

แตถาองคกรของคณ คดวาการประเมนความเสยงทท าอยด/เหมาะอยแลวกไม

จ าเปนตองปรบเปลยนอะไรซงคณสามารถใชทง ISO/IEC 27005 และ ISO 31000

(Enterprise Risk Management) เปนไกดในสรางวธการประเมนความเสยง

ขอก าหนดทเกยวกบพนธสญญาของผบรการ (Management commitment) เปน

“Leadership”

8

ขอก าหนดทเกยวกบการบรหารจดการทรพยากร (Resource management) เปน

“Support”

เอกสารทตองจดท า (Documentation) เวอรชนใหมไมเนนวาตองจดท าเอกสาร

อะไรบาง

ไมตองมการตงค าถามวา ตองท าเอกสาร/คมออะไรบาง เอกสารชออะไร ถาจะท าระบบ

ISO/IEC 27001 ไมตองถามหาบญชรายชอเอกสารทตองจดท า

เพราะเวอรชนใหม เนนไปทเนนหาของเอกสารไมใชชอ และเนนไปทผลลพธในการ

ด าเนนงานของระบบ

เกดค าใหม คอ “Documented information” แทนท เอกสาร และ บนทก แตวธการ

ควบคมกไมตางจากของเดม

ขอก าหนดเรองการพฒนา (Improvement)

การปองกน (preventive action) ถกตดออกจากขอก าหนดน และเขาไปรวมเปนสวน

หนงของการประเมนความเสยง เพราะการท างานเชงปองกนนนถอเปนคอนเซปหนงใน

การประเมนความเสยง

ขอก าหนดยอยจะเหลอแคความไมสอดคลองและการปรบปรงแกไข (Nonconformity

and corrective action) และการพฒนาอยางตอเนอง (Continual improvement)

เทานน

รปท2.3 High level Standard structure – Annex SL

9

2.1.2 ISMS Standards

มาตรฐานภายใต ISO 27000-Series ทงหมด พฒนาขนโดยความรวมมอของ

The International Organization for Standardization (ISO) และ The International

Electrotechnical Commission (IEC) ชดมาตรฐาน 27000-Series น นไดถกออกแบบมาใหเป

น “Good Practices” และ “International Standards” ส าหรบเรองการบรหารจดการระบบ

ความมนคงปลอดภยสารสนเทศ หรอ “Information Security Management System”

(ISMS)โดยเปรยบไดกบแนวคดการออกแบบระบบ Quality Assurance ไดแก ISO 9000 Series

หรอ ระบบทเกยวกบ การพทกษสงแวดลอม ไดแก ISO 14000 Seriesในปจจบนทางหนวยงาน

ISO และ IEC ไดออกชดมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศอยางเปน

ทางการ ดงน

มาตรฐาน ISO/IEC 27000:2009 ISMS Overview and Vocabulary

“Information technology - Security techniques - Information security management

systems - Overview and vocabulary” ภาพรวมของ ISO 27000-Series และ ค าศพทท

ควรร

มาตรฐาน ISO/IEC 27001:2005 ISMS Requirements


systems - Requirements” (มาตรฐาน ISO/IEC 27001 ถกพฒนามาจาก BS7799 Part 2)

ขอก าหนดดานความมนคงปลอดภยสารสนเทศทตอง (Shall) ปฏบต เพอสามารถน าไปส

การ ไดรบรองมาตรฐานระบบบรหารจดการความมนคงปลอดภยสารสนเทศ หรอ ISMS

โดย หนวยงานทมหนาทตรวจประเมนและออกใบรบรอง เชน BV และ Tuv- Nord

มาตรฐาน ISO/IEC 27002:2005 Code of Practice for ISM

“Information technology — Security techniques — Code of practice for information

security management” (พฒนามาจาก ISO/IEC 17799:2005 ซงมาจากมาตรฐาน

BS7799 Part 1) แนวทางในการจดท ามาตรการรกษาความมนคงปลอดภยสารสนเทศ ให

สอดคลองกบการ จดท าระบบ ISMS ตามขอก าหนดจากมาตรฐาน ISO/IEC 27001:2005

ซงจะเนนถง “Good Practices” ท ควร (Should) ปฏบต โดยไมไดบงคบเขมงวด ประเทศ

ตาง ๆ ทวโลกไดน ามาตรฐาน ISO/IEC 27002 ไปปรบเป นมาตรฐานของประเทศ ตนเอง

เวอรชนลาสดของ ISO/IEC 27002 คอ ISO/IEC 27002:2005 (ออกใน เดอนกรกฎาคม

2007 ทดแทน ISO/IEC 17799:2005 Part 1)

มาตรฐาน ISO/IEC 27003:2010 ISMS Implementation Guideline

10


systems implementation guideline” มาตรฐานสนบสนนเพอใช

เปนแนวทางในการด าเนนการจดท าระบบ ISMS ประกอบดวย แนวทางในการจดท า

ตามขอก าหนดตามมาตรฐานเพอขอประเมนรบรอง

มาตรฐาน ISO/IEC 27004:2009 ISMS Metrics and Measurement

“Information technology - Security techniques – Metrics and Measurement for

Information security management systems” มาตรฐานสนบสนน เพอใช

เปนแนวทางในการก าหนดเกณฑ และการวดผลสมฤทธหรอ ประสทธผล

(Effectiveness) ของมาตรการรกษาความมนคงปลอดภยทใชในระบบ ISMS

มาตรฐาน ISO/IEC 27005:2008 Information Security Risk Management

“Information technology - Security techniques - Information security risk

management” เปนมาตรฐานใหมดานการบรหารความเสยงส าหรบดานความมนคง

ปลอดภยสารสนเทศโดยเฉพาะ (Information Security Risk Management) ซง

ปรบปรงมาจาก ISO/IEC 13335-3 และ ISO/IEC 13335-4 รวมทงอางองมาจาก

มาตรฐาน “Risk Management Guide for Information Technology Systems” (NIST

SP 800-30) แตจะมมมมองทางดาน Information Security โดยเฉพาะ ซงเหมาะ

ส าหรบเปนแนวทางในการประเมนความเสยง (Risk Assessment) สอดคลองตาม

ขอก าหนดของมาตรฐาน ISO/IEC 27001:2005 และตามแนวปฏบต ISO/IEC

27002:2005

มาตรฐาน ISO/IEC 27006:2007 Requirements for Certification Body

“Information technology - Security techniques - Requirements for bodies

providing audit and certification of information security management systems”

เปนแนวทางในการตรวจประเมนส าหรบ Certification Body (CB) เพอใหอยบน

มาตรฐานเดยวกน ผตรวจและผถกตรวจควรศกษาถงมาตรฐาน ISO/IEC 27006:2007

เสยกอนท าการตรวจประเมน เปรยบเสมอนการรโจทยทตองตอบค าถามจากทาง

ผตรวจ ประเมนท าใหโอกาสในการผานการตรวจประเมนนนเพมมากขนและลดปญหา

ในการเตรยมความพรอมในการตรวจประเมนอกดวย

มาตรฐาน ISO/IEC 27011:2008 ISM Guidelines for Telecommunications


guidelines for telecommunications organizations based on ISO/IEC 27002”

11

(ISMS for Telecom) มาตรฐานทเป นแนวปฏบตในการบรหารจดการความมนคง

ปลอดภยสารสนเทศส าหรบกลม องคกรทเกยวกบดาน Telecommunication (เชน

บรษทผใหบรการโทรศพท เคลอนท) โดยมการอางองแนวปฏบตมาจากมาตรฐาน

ISO/IEC 27002:2005

มาตรฐาน ISO/IEC 27799:2008 ISM Guidelines for Health informatics

“Health informatics - Information security management in health using ISO/IEC

27002” (ISMS for HealthCare) มาตรฐานทเป นแนวปฏบตในการบรหารจดการความ

มนคงปลอดภยสารสนเทศส าหรบกลม องคกรดาน HealthCare

(เชน โรงพยาบาล) โดยมการอางองแนวปฏบตมาจากมาตรฐาน ISO/IEC 27002:2005

เชนกน

ส าหรบมาตรฐานทอยในระหวางการพฒนาและคาดวาจะประกาศใชตอไปได

มาตรฐาน ISO/IEC 27007 มาตรฐานทเปนแนวทางในการตรวจสอบภายในองคกรและ

ตรวจประเมน ISMS โดยเนนตรวจท กระบวนการพฒนาระบบบรหารจดการส าหรบ

“ISMS” (เพมเตมมาจากมาตรฐาน ISO 19011 ซงถกน ามาใชกบ Management

System ทวไปทไมไดเฉพาะเจาะจงวาเปน ISMS)

มาตรฐาน ISO/IEC 27008 มาตรฐานทเปนแนวทางในการตรวจประเมนมาตรการ

รกษาความมนคงปลอดภยสารสนเทศ (133 Controls) ขององคกรทจดท าระบบ ISMS

น ามาใชไดอยางถกตองและมประสทธผล

มาตรฐาน ISO/IEC 27014 มาตรฐานทเปนแนวทางในการบรหารและก ากบดแลทด

ดานความมนคงปลอดภยสารสนเทศส าหรบองคกร “Information Security

Governance” เปนการขยายขอบเขตและความ รบผดชอบของการบรหารจดการความ

มนคงปลอดภยสารสนเทศ

รปท2.4 มาตรฐานชด 27000: ISMS Family of Standards Relationship

12

2.2 ISMS Domains & Control

ตารางท 1.1 ISMS Domains & Control

ล าดบ หวขอ

A.5 นโยบายความมนคงปลอดภยสารสนเทศ (Information security policies)

5.1 นโยบายความมนคงปลอดภยสารสนเทศ (Information Security Policy)

1. 5.1.1 นโยบายส าหรบความมนคงปลอดภยสารสนเทศ (Policies for information

security)

2. 5.1.2 การทบทวนนโยบายส าหรบการบรหารจดการความมนคงปลอดภย

สารสนเทศ

(Review of the policies for information security)

A.6 โครงสรางความมนคงปลอดภยสารสนเทศ(Organization of information

security)

6.1 โครงสรางภายในองคกร (Internal organization)

3. 6.1.1 บทบาทและหนาทความรบผดชอบดานความมนคงปลอดภยสารสนเทศ

(Information security roles and responsibilities)

4. 6.1.2 การแบงแยกหนาทความรบผดชอบ (Segregation of duties)

5. 6.1.3 การตดตอกบหนวยงานผมอ านาจ (Contact with authorities)

6. 6.1.4 การตดตอกบกลมทมความสนใจเปนพเศษในเรองเดยวกน (Contact with

special

interest groups)

7. 6.1.5 ความมนคงปลอดภยสารสนเทศกบการบรหารจดการโครงการ

(Information security

in project management)

13


6.2 อปกรณคอมพวเตอรแบบพกพา และการปฏบตงานจากระยะไกล (Mobile

devices and teleworking)

8. 6.2.1 นโยบายส าหรบอปกรณคอมพวเตอรแบบพกพา (Mobile device policy)

9. 6.2.2 การปฏบตงานจากระยะไกล (Teleworking)

A.7 ความมนคงปลอดภยส าหรบทรพยากรบคคล (Human resource security)

7.1 กอนการจางงาน (Prior to employment)

10. 7.1.1 การคดเลอก (Screening)

11. 7.1.2 ขอตกลงและเงอนไขในการจางงาน (Terms and conditions of

employment)

7.2 ระหวางการจางงาน (During employment)

12. 7.2.1 หนาทความรบผดชอบของผบรหาร (Management responsibilities)

13. 7.2.2 การสรางความตระหนก การใหความร และการฝกอบรมดานความมนคง

ปลอดภยสารสนเทศ (Information security awareness, education and

training)

14. 7.2.3 กระบวนการทางวนย (Disciplinary process)

7.3 การสนสดหรอการเปลยนการจางงาน (Termination and change of

employment)

15. 7.3.1 การสนสดหรอการเปลยนหนาทความรบผดชอบของการจางงาน

(Termination or change of employment responsibilities)

14


A.8 การบรหารจดการทรพยสน (Asset management)

8.1 หนาทความรบผดชอบตอทรพยสน(Responsibility for assets)

16. 8.1.1 บญชทรพยสน (Inventory of asset)

17. 8.1.2 ผถอครองทรพยสน

(Owenership of assets)

18. 8.1.3 การใชทรพยสนอยางเหมาะสม (Acceptable use of assets)

19. 8.1.4 การคนทรพยสน

(Return of assets)

8.2 การจดชนความลบของสารสนเทศ (Information classification)

20. 8.2.1 ชนความลบของสารสนเทศ (Classification of information)

21. 8.2.2 การบงชสารสนเทศ

(Labeling of information)

22. 8.2.3 การจดการทรพยสน

(Handling of assets)

8.3 การจดการสอบนทกขอมล (Media Handling)

23. 8.3.1 การบรหารจดการสอบนทกขอมลทถอดแยกได (Management of

removable media)

24. 8.3.2 การท าลายสอบนทกขอมล

(Disposal of media)

25. 8.3.3 การขนยายสอบนทกขอมล (Physical media transfer)

15


A.9 การควบคมการเขาถง (Access Control)

9.1 ความตองการทางธรกจส าหรบการควบคมการเขาถง (Business requirement

of access control)

26. 9.1.1 นโยบายควบคมการเขาถง

(Access control policy)

27. 9.1.2 การเขาถงเครอขายและการบรการเครอขาย (Access to networks and

network services)

9.2 การบรหารจดการการเขาถงของผใชงาน (User access management)

28. 9.2.1 การลงทะเบยนและถอดถอนสทธผใชงาน (User registration and

deregistration)

29. 9.2.2 การจดการสทธการเขาถงของผใชงาน (User access provisioning)

30. 9.2.3 การบรหารจดการสทธการเขาถงตามระดบสทธ (Management of

privileged access right)

31. 9.2.4 การบรหารจดการขอมลความลบส าหรบการพสจนตวจนของผใชงาน

(management of secret authentication information of users)

32. 9.2.5 การทบทวนสทธการรเขาถงของผใชงาน (Review of user access rights)

33. 9.2.6 การถอดถอนหรอปรบปรงสทธการเขาถง (Removal or adjustment of

access rights)

16


9.3 หนาทความรบผดชอบของผใชงาน (User responsibilities)

34. 9.3.1 การใชขอมลการพสจนตวตนซงเปนขอมลลบ (User of secret

authentication information)

9.4 การควบคมการเขาถงระบบ (System and application access control)

35. 9.4.1 การจ ากดการเขาถงสารสนเทศ (Information access restriction)

36. 9.4.2 ขนตอนปฏบตส าหรบการลอกอนเขาระบบทมความมนคงปลอดภย

(Secure log-on procedures)

37. 9.4.3 ระบบบรหารจดการรหสผาน

(Password management system)

38. 9.4.4 การใชโปรแกรมอรรถประโยน

(Use of privileged utility programs)

39. 9.4.5 การควบคมการเขาถงซอรสโคดของโปรแกรม (Access control to

program source code)

A.10 การเขารหสขอมล (Cryptography)

10.1 มาตรการเขารหสขอมล (Cryptographic controls)

40. 10.1.1 นโยบายการใชมาตรการเขารหสขอมล (Policy on the use of

cryptographic controls)

41. 10.1.2 การบรหารจดการกญแจ

(Key management)

17


A.11 ความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical and

environmental Security)

11.1 พนททตองการการรกษาความมนคงปลอดภย (Secure areas)

42. 11.1.1 ขอบเขตหรอบรเวณโดยรอบทางกายภาพ (Physical security

perimeter)

43. 11.1.2 การควบคมการเขาออกทางกายภาพ (Physical entry controls)

44. 11.1.3 การรกษาความมนคงปลอดภยส าหรบส าหนกงานหองท างาน และ

อปกรณ (Securing office, room and facilities)

45. 11.1.4 การปองกนตอภยคกคามจากภายนอก และสภาพแวดลอม (Protecting

against external end environmental thetas

46. 11.1.5 การปฏบตงานในพนททตองการการรกษาความมนคงปลอดภย

(Working in secure areas)

47. 11.1.6 พนทส าหรบรบสงสงของ (Delivery and loading areas)

11.2 อปกรณ (Equipment)

48. 11.2.1 การจดตงและปองกนอปกรณ (Equipment sitting and protection)

49. 11.2.2 ระบบและอปกรณสนบสนนการท างาน (Supporting utilities)

50. 11.2.3 ความมนคงปลอดภยของการเดนสายสญญาณและสายสอสาร (Cabling

security

18


51. 11.2.4 การบ ารงรกษาอปกรณ Equipment maintenance)

52. 11.2.5 การน าทรพยสนขององคกรออกจากส านกงาน (Removal of assets)

53. 11.2.6 ความมนคงปลอดภยของอปกรณและทรพยสนทใชงานอยภายนอก

ส านกงาน (Security of equipment and assets off-premises)

54. 11.2.7 ความมนคงปลอดภยส าหรบการก าจดหรอท าลายอปกรณ หรอการน า

อปกรณไปใชงานอยางอน (Secure disposal or re-use of equipment)

55. 11.2.8 อปกรณของผใชงานททงไวโดยไมมผดแล (Unattended user

equipment)

56. 11.2.9 นโยบายโตะท างานปลอดเอกสารส าคญและนโยบายการปองกนหนาจอ

คอมพวเตอร (Clear desk and clear screen policy)

A.12 ความมนคงปลอดภยส าหรบการด าเนนงาน (Operations Security)

12.1 ขนตอนการปฏบตงานและหนาทความรบผดชอบ (Operational Procedures

and Responsibilities)

57. 12.1.1 ขนตอนการปฏบตงานทเปนลายลกษณอกษร (Documented operating

procedures)

58. 12.1.2 การบรหารจดการการเปลยนแปลง (Change management)

59. 12.1.3 การบรหารจดการขดความสามารถของระบบ (Capacity management)

19


60. 12.1.4 การแยกสภาพแวดลอมส าหรบการพฒนา การทดสอบ และการใหบรการ

ออกจากกน (Separation of development, testing and operational

environments)

12.2 การปองกนโปรแกรมไมประสงคด (Protection from Malware)

61. 12.2.1 มาตรการปองกนโปรแกรมไมประสงคด (Control against malware)

12.3 การส ารองขอมล (Backup)

62. 12.3.1 การส ารองขอมล (Information backup)

12.4 การบนทกขอมลลอกและการเฝาระวง (Logging and Monitoring)

63. 12.4.1 การบนทกขอมลลอกแสดงเหตการณ (Event Logging)

64. 12.4.2 การปองกนขอมลลอก (Protection of log information)

65. 12.4.3 ขอมลลอกกจกรรมของผดแลระบบและเจาหนาทปฏบตการระบบ

(Administrator and operator logs)

66. 12.4.4 การตงนาฬกาใหถกตอง

(Clock Synchronization)

12.5 การควบคมการตดตงซอฟตแวร (Control of operational software)

67. 12.5.1 การตดตงซอฟตแวรบนระบบใหบรการ (Installation of software on

operational systems

12.6 การบรหารจดการชองโหวทางเทคนค (Technical Vulnerability Management)

68. 12.6.1 การบรหารจดการชองโหวทางเทคนค (Management of technical

vulnerabilities)

20


69. 12.6.2 การจ ากดการตดตงซอฟตแวร (Restrictions on software installation)

12.7 สงทตองพจารณาในการตรวจประเมนระบบ (Information Systems Audit

Considerations)

70. 12.7.1 มาตรการการตรวจประเมนระบบ (Information System audit controls)

A.13 ความมนคงหลอดภยส าหรบการสอสารขอมล (Communcations security)

13.1 การบรหารจดการความมนคงปลอดภยของเครอขาย (Network Security

Management)

71. 13.1.1 มาตรการเครอขาย (Network controls)

72. 13.1.2 ความมนคงปลอดภยส าหรบบรการเครอขาย (Security of network

services)

73. 13.1.3 การแบงแยกเครอขาย

(Segregation in networks)

13.2 การถายโอนสารสนเทศ (Information transfer)

74. 13.2.1 นโยบายและขนตอนปฏบตส าหรบการถายโอนสารสนเทศ (Information

transfer policies and procedures)

75. 13.2.2 ขอตกลงส าหรบการถายโอนสารสนเทศ (Agreements on information

transfer)

76. 13.2.3 การสงขอความทางอเลกทรอนกส (Electronic messaging)

77. 13.2.4 ขอตกลงการรกษาความลบหรอการไมเปดเผยความลบ (Confidentiality

or non-disclosure agreements)

21


A.14 การจดหา การพฒนา และการบ ารงรกษาระบบ (System acquisition,

development and maintenance)

14.1 ความตองการดานความมนคงปลอดภยของระบบ (Security requirements of

information systems)

78. 14.1.1 การวเคราะหและก าหนดความตองการดานความมนคงปลอดภย

สารสนเทศ (Information security requirements analysis and specification)

79. 14.1.2 ความมนคงปลอดภยของบรการสารสนเทศบนเครอขายสารธารณะ

(Securing application services on public networks)

80. 14.1.3 การปองกนธรกรรมของบรการสารสนเทศ (Protecting application

services transactions)

14.2 ความมนคงปลอดภยส าหรบกระบวนการพฒนาและสนบสนน (Security in

development and support processes)

81. 14.2.1 นโยบายการพฒนาระบบใหมความมนคงปลอดถย (Secure

development policy) ตองมการก าหนดกฎเกณฑส าหรบการพฒนาซอฟตแวร

82. 14.2.2 ขนตอนก)บตส าหรบควบคมการเปลยนแปลงระบบ (System Change

control procedures)

83. 14.2.3 การทบทวนทางเทคนคตอระบบหลงจากเปลยนแปลงโครงสรางพนฐาน

ของ ระบบ (Technical review of applications after operating platform

changes)

22


84. 14.2.4 การจ ากดการเปลยนแปลงซอฟตแวรส าเรจรป (Restrictions on

changes to software packages)

85. 14.2.5 หลกการวศวะกรรมระบบดานความมนคงปลอดภย

(Secure system engineering principles)

86. 14.2.6 สภาพแวดลอมของการพฒนาระบบทมความมนคงปลอดภย

(Secure development environment)

87. 14.2.7 การจางหนวยงานภายนอกพฒนาระบบ (Outsourced development)

88. 14.2.8 การทดสอบดานความมนคงปลอดภยของระบบ (System security

testing)

89. 14.2.9 การทดสอบเพอรบรองระบบ (System acceptance testing)

14.3 ขอมลส าหรบการทดสอบ (Test data)

90. 14.3.1 การปองกนขอมลส าหรบการทดสอบ (Protection of test data)

A.15 ความสมพนธกบผใหบรการภายนอก (Supplier relationships)

15.1 ความมนคงปลอดภยสารสนเทศกบความสมพนธกบผใหบรการภายนอก

(Information security in supplier relationship)

91. 15.1.1 นโยบายความมนคงปลอดภยสารสนเทศดานความสมพนธกบผ

ใหบรการภายนอก (Information security policy for supplier relationships)

23


92. 15.1.2 การระบความมนคงปลอดภยในขอตกลงการใหบรการของผใหบรการ

ภายนอก (Addressing security within supplier agreements)

93. 15.1.3 หวงโซการใหบรการเทคโนโลยสารสนเทศและการสอสารโดยผใหบรการ

ภายนอก (Information and communication technology supply chain)

15.2 การบรหารจดการการใหบรการโดยผใหบรการภายนอก (Supplier service

delivery management)

94. 15.2.1 การตดตามและทบทวนบรการของผใหบรการภายนอก (monitoring and

review of supplier services)

95. 15.2.2 การบรหารจดการการเปลยนแปลงบรการของผใหบรการภายนอก

(managing changes to supplier services)

A.16 การบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ (Information

Security Incident Management)

16.1 การบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศและการปรบปรง

(Management of in formation security incidents and improvements)

96. 16.1.1 หนาทความรบผดชอบและขนตอนการปฏบต (Responsibilities and

procedures )

97. 16.1.2 การรายงานสถานการณความมนคงปลอดภยสารสนเทศ (Reporting

information security events)

24


98. 16.1.3 การรายงานจดออนทางความมนคงสารสนเทศ (Reporting information

security weaknesses)

99. 16.1.4 การประเมนและตดสนใจตอสถานการณความมนคงปลอดภยสารสนเทศ

(Assessment of and decision on information security events)

100. 16.1.5 การตอบสนองตอเหตกาณความมนคงปลอดภยสารสนเทศ (Response

to information security incidents)

101. 16.1.6 การเรยนรจากเหตการณความมนคงปลอดภยสารสนเทศ (Learning

form information security incidents)

102. 16.1.7 การเกบรวบรวมหลกฐาน

(Collection of evidence)

A.17 ประเดนความมนคงปลอดภยสารสนเทศของการบรหารจดการเพอสรางความ

ตอเนองทางธรกจ (Informatjion security aspects of business continuity

management )

17.1 ความตอเนองดานความมนคงปลอดภยสารสนเทศ (Information security

continuity)

103. 17.1.1 การวางแผนความตอเนองดานความมนคงปลอดภยสารสนเทศ

(Planning information security continuity)

104. 17.1.2 การปฏบตเพอเตรยมการสรางความตอเนองดานความมนคงปลอดภย

สารสนเทศ (Implementing information security continuity)

25


105. 17.1.3 การตรวจสอบ การทบทวน และการประเมนความตอเนองดานความ

มนคงปลอดภยสารสนเทศ (Verify, review and evaluate information security

continuity)

17.2 การเตรยมการอปกรณประมวลผลส ารอง (Redundancies)

106. 17.2.1 สภาพความพรอมใชของอปกรณประมวลผลสารสนเทศ (Availability of

information processing facilities)

A.18 ความสอดคลอง (Compliance)

18.1 ความสอดคลองกบความตองการดานกฎหมายและในสญญาจาง (Compliance

with legal and contractual requirements)

107. 18.1.1 การระบกฎหมายและความตองการในสญญาจางทเกยวของ

(Identification of applicable legislation and contractual requirements)

108. 18.1.2 สทธในทรพยสนทางปญญา (Intellectual property rights)

109. 18.1.3 การปองกนขอมล

(Protection of records)

110. 18.1.4 ความเปนสวนตวและการปองกนขอมลสวนบคคล (Privacy and

protection of personal identifiable information)

111. 18.1.5 ระเบยบขอบงคบส าหรบมาตรการเขารหสขอมล (Reflation of

cryptographic controls)

18.2 การทบทวนความมนคงปลอดภยสารสนเทศ (Information security reviews)

112. 18.2.1 การทบทวนอยางอสระดานความมนคงปลอดภยสารสนเทศ

(Independent review of information security)

113. 18.2.2 ความสอดคลองกบนโยบายและมาตรฐานดานความมนคงปลอดภย

(Compliance with security policies and standards)

114. 18.2.3 การทบทวนความสอดคลองทางเทคนค (Technical compliance review)

26

รปท 2.5 iSO/IEC 27001:2013 control summary

27

2.3 การจดการความเสยง (Risk Management)

การจดการความเสยง หรอ การบรหารความเสยง (Risk Management) คอ

กระบวนการในการระบ (Risk Identification) วเคราะห (Risk analysis) ประเมน (Risk

assessment) ดแลตรวจสอบและควบคมความเสยง (Risk Control) ทสมพนธกบกจกรรม

หนาทและกระบวนการท างาน เพอใหองคกรลดความเสยหายจากความเสยงมากทสด อน

เนองมาจากภยทองคกรตองเผชญในชวงเวลาใดเวลาหนง

2.3.1 การก าหนดวตถประสงคของการจดการความเสยงของบรษท และการประเมน

ความเสยง (Risk Assessment)

ถอเปนสงทจ าเปนทสดทแตละองคกรจะตองสามารถวเคราะห (Risk Analysis) และก าหนดให

ไดวาองคกรหรอหนวยงานใดในองคกรตองเผชญกบความเสยงใดบาง (Risk Identification) ซง

ความเสยงทเกดขนอาจมขนาดและผลกระทบทแตกตางกน (Risk Estimation) โดยทความเสยง

บางประเภทอาจจะมโอกาสหรอความเปนไปไดทจะเกด (Likelihood) ตงแตนอยมาก (Rare) จน

ไปถงมความเปนไปไดสง (Almost Certain) รวมถงผลกระทบทตามมาจากความเสยงทเกดขน

(Consequence) อาจมตงแตระดบนอยมาก (Insignificant) ในขณะทความเสยงบางประเภทอาจ

มแนวโนมทอาจกอใหเกดความเสยหายแกองคกร (Catastrophic) ดงนนบคคลากรในธรกจจง

ควรทจะวเคราะหและก าหนดความเสยงทธรกจนนเผชญใหได

2.3.2 ความนาจะเปนหรอโอกาสในการเกดความเสยง (Likelihood)

คอการพจรณาวาปจจยเสยงทไดเรยงล าดบความส าคญไวแลว มโอกาสทจะเกดปจจยเสยงนน

ในระดบ นอยมาก นอย ปานกลาง สง สงมาก

ตารางท 2.2 ระดบโอกาสในการเกดความเสยง ( Likelihood)

โอกาสทจะเกด (L: Likelihood คอ ระดบของโอกาสหรอความบอยครงทจะเกดความเสยง)

ระดบ

คะแนน

โอกาสทจะเกดความเสยง

(Likelihood)

ค าอธบาย

5 สงมาก นอยกวาหรอเทากบ12 ครงใน 1 ป

4 สง นอยกวาหรอเทากบ6 ครงใน 1 ป

3 ปานกลาง นอยกวาหรอเทากบ2 ครงใน 1 ป

2 นอย นอยกวาหรอเทากบ 1 ครงตอป

1 นอยมาก ไมเกดขนเลย

28

2.3.3 ผลกระทบหรอความเสยหายทเกดจากความเสยง

ความลบ (Confidentiality)

เปนการรบประกนวาผมสทธและไดรบอนญาตเทานนทสามารถเขาถงขอมลได

ความสมบรณ (Integrity)

ความสมบรณ คอ ความครบถวน ถกตอง และไมมสงแปลกปลอม สารสนเทศ

ทมความสมบรณจงเปนสารสนเทศทน าไปใชประโยชนไดอยางถกตองครบถวน

ความพรอมใช (Availability)

ความพรอมใช หมายถง สารสนเทศจะถกเขาถงหรอเรยกใชงานไดอยางราบรน

โดยผใชหรอระบบอนทไดรบอนญาตเทานน

ความเสยหายดานทรพยสนหรอตวเงน (Financial)

ความเสยงทเกดจากความไมพรอมในเรองทกระทบกบทรพยสนหรอตวเงน

ความเสยหายดานชอเสยงขององคกร (Reputation)

ความเสยงดานการด าเนนงาน (Operational)

ความเสยงทเกยวของกบขนตอนการปฏบตงานเทคนคการปฏบตงาน

ทรพยสน บคลากร เทคโนโลยสารสนเทศ และระบบการควบคมภายใน รวมถง

การด าเนนงานใหไดตามมาตรฐานทก าหนด

ความเสยงดานกฎหมายทเกยวของ ( Compliance )

ความเสยงทเกดจากการไมสามารถปฏบตตามกฎระเบยบหรอกฎหมายท

เกยวของได หรอ กฎระเบยบ หรอกฎหมายทมอยไมเหมาะสม หรอเปน

อปสรรคตอการปฏบตงาน

ความรนแรงของเสยหายแตละระดบขนอยกบองคกรจะระบวาความเสยหายแตละระดบ

อยทเหตการณแบบไหนหลงจากทมการประเมนความนาจะเปนหรอโอกาสในการเกดของความ

เสยงแตละหวขอรวมถงการประมาณการความเสยหายจากความเสยงนนๆแลว กจะน าเอาทง

สองกรณมาพจารณาโดยใชตารางประเมนความเสยง (Risk Matrix) เพอประเมนวาความเสยงใด

ทใหความส าคญในการบรการจดการ (Risk Prioritization)

29

ตารางท 2.3 แสดงเกณฑระดบความเสยง

ตารางท 2.4 ระดบความเสยง (Risk Value)

ระดบความเสยง คะแนน ค าอธบาย

ต า (Low) 1-3 เปนความเสยงทองคกรยอมรบได แตตองมการ

ตดตามควบคมอยเพอใหมนใจวาหากเกดขน

สามารถควบคมได

ปานกลาง

(Medium)

4-8 เปนระดบความเสยงทองคกรพอสามารถยอมรบได

แตจะตองใชความพยายามทจะลดความเสยง

สง (High) 9-12 เปนระดบทองคกรไมสามารถยอมรบได ตองจดการ

ความเสยงนนเพอไมใหเกดผลกระทบกบงาน

13-16สงมาก (Very

High)

13-16 เปนระดบทองคกรไมสามารถยอมรบได ตองจดการ

ความเสยงนนอยางเรงดวนเพอไมใหเกดผลกระทบ

กบงาน

Risk Assessment

Matrix

โอกาสทจะเกดความเสยง

(Likelihood)

นอย

มาก นอย

ปาน

กลาง สง สงมาก

1 2 3 4 5

ผลกร

ะทบ (im

pact

1:1)

สงมาก 5 5 10 15 20 25

สง 4 4 8 12 16 20

ปาน

กลาง 3 3 6 9 12 15

นอย 2 2 4 6 8 10

นอย

มาก 1 1 2 3 4 5

30

2.3.4 การบรหารจดการกบความเสยง

การลดความเสยง (Risk Reduction) ความเสยงทไดรบอาจลดลงได ดวยวธการหาทาง

ปองกนเพอมใหมความเสยหายเกดขน การลดความเสยงนมวตถประสงคเพอทจะลดจ านวนครง

ของความเสยหายลง หรอลดความรนแรงของเหตการณทอาจเกดขนในอนาคต การวเคราะห

อาจอาศยขอมลในอดต ปจจบน ซงรวมถงขอมลการคาดการณในอนาคตประกอบการตดสนใจ

การรบความเสยงไวเอง (Risk Retention) คอการทผบรหารขององคกรนนๆ ยนยอมท

จะรบภาระความเสยงหรอความเสยหายทเกดขนนนไวเอง เนองจากเลงเหนวาโอกาส หรอความ

นาจะเปนทจะเกดความเสยหายอยในวสยทการท าธรกจนนยอมรบได

การโอนความเสยง (Risk Transfer) เปนวธการจดการความเสยงอกรปแบบหนงทธรกจ

จะตองวเคราะหและตดสนใจทจะเลอกโอนความเสยงออกไปในรปแบบใด ทงนขนอยกบความ

เหมาะสมของธรกจนนๆ เชน การโอนความเสยงไปใหบคคลอนทมใชบรษทประกนโดยสญญา

หรอการโอนความเสยงไปใหบรษทประกนภยตามรปแบบและเงอนไขทธรกจตองการ

การหลกเลยงความเสยง (Risk Avoidance) การหลกเลยงความเสยงอาจกระท าไดโดย

วธการงายๆโดยทธรกจไมพยายามเขาไปยงเกยวกบกจกรรมทกอใหเกดความเสยงอยางไรก

ตามวธการหลกเลยงความเสยงนนาจะเปนวธสดทายหลงจากทไดพจารณาแลวเหนวาไมอาจใช

วธการอนเขามาแกไขไดเทานนการตดสนใจในวธการนธรกจตองเปรยบเทยบขอดและขอเสย

กอนการตดสนใจ

ทงนการก าหนดวธการประเมนความเสยงการประเมนความเสยงเปนการน าความเสยง

และปจจยเสยงแตละปจจยทระบไวมาประเมนโอกาสทจะเกดเหตการณความเสยงตางๆและ

ประเมนระดบความรนแรงหรอมลคาความเสยหายทางดานชอเสยง,การเงนและความไมตอเนอง

ของธรกจเพอใหเหนถงระดบของความเสยงทแตกตางกนท าใหสามารถก าหนดการควบคม

ความเสยงไดอยางเหมาะสมโดยอาศยเกณฑมาตรฐานจากผบรหารสารสนเทศขององคกรโดย

ใชคะแนนจากสตร

ดงรปท 2.6 ในการอางอง

ระดบความเสยงโดยรวม (Risk Exposure)

= ระดบของโอกาสทจะเกดความเสยง (Likelihood) x ระดบของผลกระทบ (impact)

รปท 2.6 สตรค านวณระดบความเสยงโดยรวม

31

ตารางท 2.5 การประเมนคาผลกระทบดานการด าเนนงาน (Operational)

(RATE)

ระดบความ

รนแรง

Operational

(การด าเนนงาน)

5 - ไมสามารใหบรการลกคามากกวา (80%)

- ไมสามารถใหบรการลกคาไดเปนระยะเวลา 8 ชม.

- ขอมลส าคญและเปนความลบ (confidencial)มการรวไหลไปสผไมหวง

ด

4 - ไมสามารถใหบรการลกคาได 80%


- ขอมลส าคญ (Restricted)มการรวไหลไปสผไมหวงด



- ขอมลสวนบคคลมการรวไหล



- ขอมลสวนบคคลมการรวไหล



- มการเปดเผยขอมลของระบบ ซงอาจจะเกดการ configure ทไม

ปลอดภยเพยงพอ

32

ตารางท 2.6 การประเมนคาผลกระทบดานชอเสยง (Reputational)

(RATE)


รนแรง

Reputational

(ดานชอเสยง)

5 - มการออกขาวลงสอในตางประเทศ

4 - มการออกขาวลงสอในประเทศ

3 - ตด blacklist กบลกคา, vendor

2 - User โทรหาระดบ ITS Manager

- Customer Complain ในชองทางใดชองทางหนง

1 - ปรากฎใน report ทใหลกคา

- User ไมพอใจในบรการ

- User Complain ในชองทางใดชองทางหนง

- ความนาเชอถอของ Unit ใหบรการ

ตารางท 2.7 การประเมนคาผลกระทบดานการเงน (Financial)

(RATE)


รนแรง

Financial

(การเงน)

5 - ลกคายกเลกสญญา

- บรษทถกฟองลมละลาย

- มลคาความเสยหาย หรอ ซอมแซมทรพยสนมลคามากกวา 300,000 บาท

4 - ถกปรบ หรอสญเสยคาใชจายรวมเปนเงนเกน 100,000 บาทขนไป

- มลคาความเสยหาย หรอ ซอมแซมทรพยสนมลคา 100,000 - 300,000

บาท

3 - ถกปรบรวมเปนเงนไมเกน 50,000 บาท

- มลคาความเสยหาย หรอ ซอมแซมทรพยสนมลคา 20,000 - 100,000 บาท

2 - ถกปรบ หรอสญเสยคาใชจายรวมเปนเงนไมเกน 20,000 บาท

- มลคาความเสยหาย หรอ ซอมแซมทรพยสนมลคา 5,000 - 20,000 บาท

1 - ถกปรบ หรอสญเสยคาใชจายรวมเปนเงนไมเกน 5,000 บาท

- มลคาความเสยหาย หรอ ซอมแซมทรพยสนมลคาไมเกน 5,000

33

ตารางท 2.8 การประเมนคาผลกระทบดานกฏหมาย/ขอบงคบ(Compliance)

(RATE)


รนแรง

Compliance (กฏหมาย/ขอบงคบ/สญญาและขอตกลง)

5 - บรษทถกสงปดกจการ

- ถกฟองรองจนตองใหศาลตดสน

- ถกปรบเนองจากไมปฏบตามกฏขอบงคบ

4 - บรษทท าผดกฎ หรอขอบงคบ ถกด าเนนการตามกฎหมาย จนถงขน

ขนศาล

-ไมสามารถปฏบตตาม SLA จนมผลท าใหสามารยกเลกสญญาได

- ไมสามารถจดหาหลกฐานตามทพนกงานเจาหนาทรองขอ

- ถกเพกถอนใบรบรองตามมาตรฐานทไดรบ เชน มาตรฐาน ISO

3 - บรษทท าผดกฎ หรอขอบงคบ และถกด าเนนการตามกฎหมาย

- ไมเปนไปตาม SLA หรอขอตกลงทใหไวกบลกคาและมบทปรบ

- ไมปฏบตตามขอก าหนดตามมาตรฐาน ISO หรอมาตรฐานอนๆท

ก าหนดไว

2 - บรษทถก Regulatory ปรบ

- ไมเปนไปตาม SLA หรอขอตกลงทใหไวกบลกคา

- ละเลยการปฏบตามมาตรฐาน ISO หรอมาตรฐานอนๆทก าหนดไว

1 - บรษทท าผดกฎ หรอขอบงคบ ซงอาจจะถกฟองรองได

- มความเสยงทจะไมสามารถท าตาม SLA ทตกลงไวได

- หลงลมโดยไมเจตนา ซงเปนเหตท าใหไมปฏบตตามมาตรฐาน ISO

หรอ มาตรฐานอนๆทก าหนดไว

34

บทท 3

การด าเนนงาน

ในการจดท านโยบายรกษาความมนคงปลอดภยสารสนเทศขององคกรวธการและ

ขนตอนการด าเนนงานของโครงงาน เปนขบวนการทส าาคญเปนอยางมาก เพราะเปนสวนทใช

เปนการจดท าากรอบและระเบยบวธจดท าโครงการเพอเปนแนวทางในการปฏบตใหมระบบแบบ

แผนสงผลท าใหโครงงานด าเนนการไดอยางมประสทธภาพ มความนาเชอถอ เกดแนวทาง

ปฏบตอยางมประสทธภาพ

3.1 ขนตอนการด าเนนงาน

เมอไดรบอนญาตจากทางองคกรผจดท าจงไดมการก าหนดขนตอนการด าเนนงานดงน

3.1.1 รวบรวมกฎหมายระเบยบดานเทคโนโลยสารสนเทศทตองปฏบต ศกษา

นโนบายความปลอดภย

3.1.2 รวบรวมขอมลเอกสารและศกษามาตรฐานระบบการจดการความมนคง

ปลอดภยของสารสนเทศ ISO27001:2013 จดท าแผนและแนวทางแกไขเพอลดความเสยง

3.1.3 รวบรวมปญหาของระบบสารสนเทศปรบปรงระบบงานดานสารสนเทศและ

จดท าขอก าหนดเพมเตมใหสอดคลองกบนโยบายและแนวปฏบตดานความมนคงปลอดภย


3.1.4 สรปเหตผลและความจ าเปนในการจดท าระบบการจดการความมนคงปลอดภย

ของสารสนเทศ ISO27001:2013

3.1.4 ก าหนดขอบเขตการจดท าระบบ

3.1.5 น าเสนอขอมลตอผบรหารเพอพจารณา

3.1.6 ก าหนดนโยบายความมนคงปลอดภยของสารสนเทศ และจดท าเอกสารตางๆ

3.1.7 ฝกอบรมใหความรแกพนกงาน และผเกยวของ

3.1.8 ด าเนนระบบตามแนวทางทก าหนด และเฝาระวงตรวจวดตามแผนงาน

3.1.9 ตรวจประเมนภายในระบบการจดการความมนคงปลอดภยของสารสนเทศและ

แกไขขอบกพรอง

3.1.10 สรปผลการประเมน

35

3.2ศกษาขอมลและโครงสรางบรษท

ด าเนนการศกษาขอมลทงภายในองคกรและภายนอกองคกรขนตอนการท างานรวมไป

ถงขนตอนการปฏบตงานเพอน าขอมลทไดมาวเคราหประกอบการตดสนใจ

3.2.1 เอกสารภายใน

3.2.1.1.1 แผนผงและโครงสรางขององคกร

3.2.1.1.2 ระบบเครอขายขององคกร

3.2.1.1.3 กระบวนการท างานและขนตอนการท างาน

3.2.1.1.4 นโยบายทมอยแลวภายในองคกร

3.2.2 เอกสารภายนอก

3.2.2.1.1 มาตราฐาน ISO/IEC

3.2.2.1.2 พรบ.คอมพวเตอร

3.2.2.1.3 ความรดานระบบเครอขาย

36

3.3 โครงสรางระบบเครอขาย

รปท 3.1 network diagram ในหอง Data Center ภายในองคกร อวาตาร อนเทอมเดย

37

3.4 การระบสนทรพยในขอบเขตและขนตอนการปฏบตงานในหอง (Data Center)

ตารางท 3.1 แผนการด าเนนโครงงาน

Asset Type Asset Number Asset Category Asset Detail

Hardware ET-0001 Network Router Cisco 2600

ET-0002 Network Router Cisco 2800



ET-0005 Network Switch Cisco 2960










ET-0015 Network IPS

ET-0016 Network IPS ACL Adware

ET-0017 Network atm tag switch router Cisco 3750

ET-0018 Network atm tag switch router Cisco 3750 BP

ET-0019 Network atm tag switch routerCisco 3560

ET-0020 Network atm tag switch routerCisco 3560 BP

ET-0021 Network Hub Allot

ET-0022 Network Firewall SG 507

ET-0023 Network Firewall SG 507 BP

ET-0024 Network Firewall Juniper

ET-0025 Network Firewall Juniper BP

38

Asset Type Asset Number Asset Category Asset Detail

Hardware ET-0026 Network Firewall ASA 5510 ET-0027 Server Server DMZ Zone

ET-0028 Server Server DMZ Zone BP

ET-0029 Server Server Database Zone

ET-0030 Server Server Database Zone BP

ET-0031 Server Server Application Zone

ET-0032 Server Server Application Zone

ET-0033 Server Server Application Zone BP

ET-0034 Server Server Management

ET-0035 Server Server Management BP

ET-0036

Supporting

Equipment UPS

ET-0037

Supporting

Equipment Air Conditioning

ET-0038

Supporting

Equipment Fire Protection

ET-0039

Supporting

Equipment Humidity Control

ET-0040

Supporting

Equipment CCTV

Software ET-0041 Operating System Linux Server ET-0042 Operating System Web Server Software

Information ET-0043 Digital Information ขอมลระบบลกคา Database Zone

Personal Pe0001 ผใชงาน

Pe0002 ผดแลระบบ

Services Se0001 ผใหบรการอนเตอรเนต

39

บทท 4

ผลการด าเนนงาน

จากแผนตามขนตอนการด าเนนโครงงานและขนตอนทก าหนดไว จะระบการประเมน

ความเสยงสวนของหอง Data Center เปนหลก โดยจะระบรายการของทรพยสนของบรษทและ

มการประเมนความเสยง(กอน-หลง) และน า Control ของ ISO 27001:2013 มาปรบใชกบ

แผนการจดการความเสยงดงตารางตอไปน

40

4.1ผลการประเมนความเสยง

ตารางท 4.1 ประเมนความเสยง Hardware กอนจดท า

ล าดบ รายการ

ตรวจสอบ

ความเสยง ผลกระทบ โอกาส Existing Control Annex A Rema

rk

Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y

(Control ทใชอยใน

ปจจบนเพอควบคมความ

เสยง)

Map with Existing

Control

For ISO27001

1 Router อปกรณไมสามารถ

ใชงานไดเนองจาก

ขาดการตรวจสอบ

2 2 2 5 2 A11.2.4 (Equipment

maintenance) มการ

ตรวจสอบบ ารงรกษา

อปกรณอยางตอเนอง

ถกเขาถงอปกรณ

โดยไมไดรบ

อนญาต

2 3 2 5 2 A11.1.2(Physical

entry controls)

ก าหนดการเขาถงพนท

ส าคญ

41

ตารางท 4.1 ประเมนความเสยง Hardware กอนจดท า (ตอ)



ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remark

Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y



เสยง)

Map with Existing

Control

For ISO27001

อปกรณถกขโมย

เนองจากความ

ปลอดภยทางการ

เขาถงไมเพยงพอ

2 2 0 5 2

A11.1.2(Physical

entry controls)

ก าหนดการเขาถง

พนทส าคญ

อปกรณถกแกไขคา


อนญาต

2 1 2 5 2

A11.1.2(Physical

entry controls)



42





Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y



เสยง)

Map with Existing

Control

For ISO27001

อปกรณมปญหา

จากเจาหนาทขาด

ความสามารถ

2 3 2 5 2

A12.2.1(Document

ed Operating)

ขนตอนการ

ปฏบตงานทเปน

ลายลกษณอกษร

อปกรณเสยหาย

เนองจากไฟ

กระชาก

2 3 2 5 3

A11.2.2

(Supporting)

ม UPS สามารถ

รองรบการจายไฟ

43





Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y



เสยง)

Map with Existing

Control

For ISO27001

ไมสามารถ

ใหบรการได

เนองจากไฟฟาดบ

2 3 1 5 2

A11.2.2

(Supporting)



2 Switch

อปกรณไมสามารถ



2 2 2 5 2

A11.2.4

(Equipment

maintenance) ม

การตรวจสอบ

บ ารงรกษาอปกรณ

อยางตอเนอง

44





Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y



เสยง)

Map with Existing

Control

For ISO27001



อนญาต

2 3 2 5 2

A11.1.2(Physical

entry controls)







2 2 2 5 2

A11.1.2(Physical

entry controls)



45





Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y



เสยง)

Map with Existing

Control

For ISO27001



อนญาต

2 1 2 5 2

A11.1.2(Physical

entry controls)






2 3 2 5 2

A12.2.1(Document

ed Operating)




46





Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y



เสยง)

Map with Existing

Control

For ISO27001



กระชาก

2 3 2 5 3

A11.2.2

(Supporting)






2 3 2 5 2

A11.2.2

(Supporting)



47





Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y



เสยง)

Map with Existing

Control

For ISO27001

3

Server

DMZ Zone




2 2 2 5 2

A11.2.4

(Equipment

maintenance) ม






อนญาต

2 3 2 5 2

A11.1.2(Physical

entry controls)



48





Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y



เสยง)

Map with Existing

Control

For ISO27001





2 2 2 5 2

A11.1.2(Physical

entry controls)





อนญาต

2 1 2 5 2

A11.1.2(Physical

entry controls)



49





Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y



เสยง)

Map with Existing

Control

For ISO27001




2 3 2 5 2

A12.2.1(Document

ed Operating)






กระชาก

2 3 2 5 3

A11.2.2

(Supporting)



50





Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y



เสยง)

Map with Existing

Control

For ISO27001




2 3 2 5 2

A11.2.2

(Supporting)



4

Server

Database

Zone




2 0 2 5 2

A11.2.4

(Equipment

maintenance) ม




51





Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y



เสยง)

Map with Existing

Control

For ISO27001



อนญาต

2 3 2 5 2

A11.1.2(Physical

entry controls)







2 2 0 5 2

A11.1.2(Physical

entry controls)



52





Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y



เสยง)

Map with Existing

Control

For ISO27001



อนญาต

2 1 2 5 2

A11.1.2(Physical

entry controls)






2 2 2 5 2

A12.2.1(Document

ed Operating)




53





Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y



เสยง)

Map with Existing

Control

For ISO27001



กระชาก

2 3 2 5 3

A11.2.2

(Supporting)






2 2 2 5 2

A11.2.2

(Supporting)



54





Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y



เสยง)

Map with Existing

Control

For ISO27001

5

Server

Application

Zone




2 2 2 5 2

A11.2.4

(Equipment

maintenance) ม






อนญาต

2 3 2 5 2

A11.1.2(Physical

entry controls)



55





Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y



เสยง)

Map with Existing

Control

For ISO27001





2 2 2 5 2

A11.1.2(Physical

entry controls)





อนญาต

2 1 2 5 2

A11.1.2(Physical

entry controls)



56





Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y



เสยง)

Map with Existing

Control

For ISO27001




2 2 2 5 2

A12.2.1(Document

ed Operating)






กระชาก

2 3 2 5 3

A11.2.2

(Supporting)



57





Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y



เสยง)

Map with Existing

Control

For ISO27001




2 2 2 5 2

A11.2.2

(Supporting)



6 Generator

อปกรณเสยเนอง

การบ ารงรกษา

อปกรณทไม

เพยงพอ

0 3 2 5 1

A11.2.4

(Equipment

maintenance) ม




58





Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y



เสยง)

Map with Existing

Control

For ISO27001

สภาพแวดลอมของ

สถานทตงเนองจาก

น าทวม 0 3 2 5 2

17.1.1

(Planninginformati

on security

sontinuity)

7

Battery

UPS




เพยงพอ

0

2 2 5 1

A11.2.4

(Equipment

maintenance) ม




59





Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y



เสยง)

Map with Existing

Control

For ISO27001

8

Access

Control

การตงใจท าลาย

โดยการกอ

วนาศกรรม / การ

ท าลายทรพยสน

สารธารณะ 0 2 2 1 2 8

9 CCTV




เพยงพอ

2 2 2 1 2

A11.2.4

(Equipment

maintenance) ม



อยางตอเนอง 9

60



ตรวจส

อบ

ความเสยง ผลกระทบ โอกาส Existing Control Annex A Remar

k

Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y



เสยง)

Map with Existing

Control

For ISO27001

10 Racks

อปกรณเสยเนองการ

บ ารงรกษาอปกรณทไม

เพยงพอ

0 2 2 0 2

8.1.3 การบรหาร

จดการขด

ความสามารถของ

ระบบ (Capacity

management

11

Air

Conditi

on

อปกรณไมท างานท าให

อณหภมภายในสวนของ

datacenter มคาทสงจน

ท าใหระบบใมสามารถ

ท างานได 0 3 2 3 2

11.2.2 ระบบและ

อปกรณสนบสนนการ

ท างาน (Supporting

utilities)

61

ตารางท 4.2 ประเมนความเสยง Software กอนจดท า




rk

Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y



เสยง)

Map with Existing

Control

For ISO27001

12

Linux

Server

การถกฟองรองตาม

กฎหมายลขสทธการ

ใชซอฟทแวรทละเมด

ลขสทธ 4 4 2 2 2

A12.5.1(Control

against

Malicious code)การ

ควบคมการตดตง

ซอฟตแวร

ถกเขาถงโดยไมไดรบ

อนญาตเนองจากการ

กระบวนการควบคม

การเขาถง เชน

รหสผานสามารถคาด

เดาไดโดยงาย 0 2 2 2 2

A9.4.2(Secure log-

onprocedures)

A9.4.3(Password

management system)

62

ตารางท 4.2 ประเมนความเสยง Software กอนจดท า (ตอ)




Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y



เสยง)

Map with Existing

Control

For ISO27001

ระบบมชองโหวใน

การ

โจมตเนองจากไมม

การอพเดท path

security 0 2 2 2 2

A12.6.1

(Technical

Vulnerability

Management)

ระบบมการท างาน

ผดพลาดจากไวรส

โทรจน มลแวร 0 2 2 2 2

A.12.2.1(Controls

against malware)

63

ตารางท 4.3 ประเมนความเสยง Personal กอนจดท า




Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y



เสยง)

Map with Existing

Control

For ISO27001

13 ผดแลระบบ

มความผดพลาดใน

การท างาน

เนองจากความร

เฉพาะทางไม

เพยงพอ 0 2 2 1 2

A7.2.2

(Information

security

awareness,

education and

training)

ปลอยปะละเลยจน

ท าใหผอสามารถ

เขาไปทศนยขอมล

ไดโดยไมตองขอ

อนญาต 0 3 2 1 2

A5.1.1

(Information

Security Policy)

64

ตารางท 4.3 ประเมนความเสยง Personal กอนจดท า (ตอ)




rk

Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

) Re

puta

tion

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y


ปจจบนเพอควบคม

ความเสยง)

Map with Existing Control

For ISO27001

ไมสามารถเขา

ปฎบตงานในเวลางานได

จนท าใหระบบหยดชะงก 0 4 2 1 2

A7.2.1(Management

Responsibilities)

14

พนกงาน

ทวไป

มพฤตกรรมในการใช

ระบบจากศนย

datacenter โดยขาด

ความรความเขาใจในการ

ใชเทคโนโลยสารสนเทศ

อยางปลอดภย 0 2 2 1 2

A7.2.2 (Information

Security

Training)

65

ตารางท 4.3 ประเมนความเสยง Personal กอนจดท า (ตอ)




Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y



เสยง)

Map with Existing

Control

For ISO27001

15

Internet

Service

(True)

ผใหบรการไม

สามารถ

ใหบรการ internet

ไดท า

ใหภายในองคกรไม

สามารถด าเนนการ

ธรกจ

ตอไดหรอมการ

หยดชะงกของระบบ 0 3 2 1 2

A12.1.2 (Change

Management)

A15.2(Service

Delivery)

66

ตารางท 4.4 ประเมนความเสยง Hardware หลงจดท า




Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

) Op

erat

iona

l

(การด า

เนนง

าน)

Freq

uenc

y

(Control ทใชอย

ในปจจบนเพอ

ควบคมความ

เสยง)

Map with Existing

Control

For ISO27001

1 Router

อปกรณไมสามารถใช

งานไดเนองจากขาด


2 2 2 5 1

A11.2.4

(Equipment

maintenance) มกา




มการควบคมการเขาออก

หองศนยขอมลและแยก

พนทการตดตด

บคคลภายนอกและจด

อบรมถงพนทหวงหามใน

การเขาถงตาม Policy ท

ประกาศการใชงาน

ถกเขาถงอปกรณโดย

ไมไดรบอนญาต 2 3 2 5 1

A11.1.2(Physicalen

trycontrols)ก าหนด

กาเขาถงพนทส าคญ

มการควบคมการเขา

ออกหองศนยขอมลและ

แยกพนทการตดต

บคคลภายนอก

67




ความเสยง ผลกระทบ โอกาส Existing

Control

Annex A Remark

Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y

(Control ทใช

อยในปจจบน

เพอควบคม


Map with Existing

Control

For ISO27001





2 2 0 5 1

A11.1.2(Physical

entry controls)





อนญาต

2 1 2 5 1

A11.1.2(Physical

entry controls)



68





Control

Annex A Remark

Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

)

Repu

tatio

n

(ดาน

ชอเสยง

)

Oper

atio

nal

(การด า

เนนง

าน)

Freq

uenc

y

(Control ทใช




Map with Existing

Control

For ISO27001




2 3 2 5 1

A12.2.1(Docume

nted Operating)






กระชาก

2 3 2 5 1

A11.2.2

(Supporting)



UPS สามารถรองรบ

จากอาการไฟ

กระชากได

69





Control

Annex A Remark

Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

) Re

puta

tion

(ดาน

ชอเสยง

) Op

erat

iona

l

(การด า

เนนง

าน)

Freq

uenc

y

(Control ทใช




Map with Existing

Control

For ISO27001



เนองจากไฟฟา

ดบ

2 3 1 5 1

A11.2.2

(Supporting)



ม UPS ทสามารถ

รองรบการใชงานไดประมาณ 20

นาทและมการเปลยนแบต

ทกๆสองป

2 Switch

อปกรณไม

สามารถใชงาน

ไดเนองจาก

ขาดการ


2 2 2 5 1

A11.2.4

(Equipment

maintenance) ม




มการควบคมการเขาออกหอง

ศนยขอมลและแยกพนทการ

ตดตอบคคลภายนอกและจด

อบรมถงพนทหวงหามในการ

เขาถงตาม Policy ท

ประกาศการใชงาน

70





Control

Annex A Remark

Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

) Re

puta

tion

(ดาน

ชอเสยง

) Op

erat

iona

l

(การด า

เนนง

าน)

Freq

uenc

y

(Control ทใช




Map with Existing

Control

For ISO27001

ถกเขาถง

อปกรณโดย

ไมไดรบ

อนญาต

2 3 2 5 1

A11.1.2(Physical

entry controls)



มการควบคมการเขาออกหองศนย

ขอมลและแยกพนทการตดตอ

บคคลภายนอกและจดอบรมถง

พนทหวงหามในการเขาถง

ตาม Policy ทประกาศการใชงาน

อปกรณถก

ขโมยเนองจาก

ความปลอดภย

ทางการเขาถง

ไมเพยงพอ

2 2 2 5 1

A11.1.2(Physical

entry controls)



71





Control

Annex A Remark

Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

) Re

puta

tion

(ดาน

ชอเสยง

) Op

erat

iona

l

(การด า

เนนง

าน)

Freq

uenc

y

(Control ทใช




Map with Existing

Control

For ISO27001


แกไขคาโดย

ไมไดรบ

อนญาต

2 1 2 5 1

A11.1.2(Physical

entry controls)



อปกรณม

ปญหาจาก

เจาหนาทขาด


2 3 2 5 1

A12.2.1(Docume

nted Operating)




72





Control

Annex A Remark

Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

) Re

puta

tion

(ดาน

ชอเสยง

) Op

erat

iona

l

(การด า

เนนง

าน)

Freq

uenc

y

(Control ทใช




Map with Existing

Control

For ISO27001

อปกรณ

เสยหาย


กระชาก

2 3 2 5 1

A11.2.2

(Supporting)









ดบ

2 3 2 5 1

A11.2.2

(Supporting)




รองรบการใชงานได

ประมาณ 20 นาท

และมการเปลยนแบต


73





Control

Annex A Remark

Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

) Re

puta

tion

(ดาน

ชอเสยง

) Op

erat

iona

l

(การด า

เนนง

าน)

Freq

uenc

y

(Control ทใช




Map with Existing

Control

For ISO27001

3

Server

DMZ

Zone



ไดเนองจากขาด


2 2 2 5 1

A11.2.4 มการ

ตรวจสอ








ไมไดรอนญาต

2 3 2 5 1

A11.1.2(Physical

entry controls)






74





Control

Annex A Remark

Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

) Re

puta

tion

(ดาน

ชอเสยง

) Op

erat

iona

l

(การด า

เนนง

าน)

Freq

uenc

y

(Control ทใช




Map with Existing

Control

For ISO27001






2 2 2 5 1

A11.1.2(Physical

entry controls)





ไมไดรบ

อนญาต

2 1 2 5 1

A11.1.2(Physical

entry controls)



75





Control

Annex A Remark

Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

) Re

puta

tion

(ดาน

ชอเสยง

) Op

erat

iona

l

(การด า

เนนง

าน)

Freq

uenc

y

(Control ทใช




Map with Existing

Control

For ISO27001

อปกรณม




2 3 2 5 1

A12.2.1(Docume

nted Operating)




อปกรณ

เสยหาย


กระชาก

2 3 2 5 1

A11.2.2

(Supporting)






76





Control

Annex A Remark

Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

) Re

puta

tion

(ดาน

ชอเสยง

) Op

erat

iona

l

(การด า

เนนง

าน)

Freq

uenc

y

(Control ทใช




Map with Existing

Control

For ISO27001




ดบ

2 3 2 5 1

A11.2.2

(Supporting)





ประมาณ 20 นาทและมการ

เปลยนแบตทกๆสองป

4

Server

Databas

e Zone




ขาดการ


2 0 2 5 1


ตรวจสอบบ ารงรกษา

อปกรณอยาง

ตอเนอง

มการควบคมการเขาออกหอง

ศนยขอมลและแยกพนทการ

ตดตอบคคลภายนอก

77





Control

Annex A Remark

Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

) Re

puta

tion

(ดาน

ชอเสยง

) Op

erat

iona

l

(การด า

เนนง

าน)

Freq

uenc

y

(Control ทใช




Map with Existing

Control

For ISO27001



ไมไดรบ

อนญาต

2 3 2 5 1

A11.1.2(Physical

entry controls)



มการควบคมการเขา

ออกหองศนยขอมลและแยกพนท

การตดตอบคคลภายนอก






2 2 0 5 1

A11.1.2(Physical

entry controls)



78





Control

Annex A Remark

Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

) Re

puta

tion

(ดาน

ชอเสยง

) Op

erat

iona

l

(การด า

เนนง

าน)

Freq

uenc

y

(Control ทใช




Map with Existing

Control

For ISO27001



ไมไดรบ

อนญาต

2 1 2 5 1

A11.1.2(Physical

entry controls)



อปกรณม




2 2 2 5 1

A12.2.1(Docume

nted Operating)




79





Control

Annex A Remark

Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

) Re

puta

tion

(ดาน

ชอเสยง

) Op

erat

iona

l

(การด า

เนนง

าน)

Freq

uenc

y

(Control ทใช




Map with Existing

Control

For ISO27001

อปกรณ

เสยหาย


กระชาก

2 3 2 5 1

A11.2.2

(Supporting)









ดบ

2 2 2 5 1

A11.2.2

(Supporting)





ประมาณ 20 นาท

และมการเปลยนแบต


80





Control

Annex A Remark

Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

) Re

puta

tion

(ดาน

ชอเสยง

) Op

erat

iona

l

(การด า

เนนง

าน)

Freq

uenc

y

(Control ทใช




Map with Existing

Control

For ISO27001

5

Server

Applicati

on Zone




ขาดการ


2 2 2 5 1



บ ารงรกษา


ตอเนอง


ขอมลและแยกพนทการ

ตดตอบคคลภายนอก



ไมไดรบ

อนญาต

2 3 2 5 1

A11.1.2(Physical

entry controls)






81





Control

Annex A Remark

Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

) Re

puta

tion

(ดาน

ชอเสยง

) Op

erat

iona

l

(การด า

เนนง

าน)

Freq

uenc

y

(Control ทใช




Map with Existing

Control

For ISO27001






2 2 2 5 1

A11.1.2(Physical

entry controls)





ไมไดรบ

อนญาต

2 1 2 5 1

A11.1.2(Physical

entry controls)



82





Control

Annex A Remark

Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

) Re

puta

tion

(ดาน

ชอเสยง

) Op

erat

iona

l

(การด า

เนนง

าน)

Freq

uenc

y

(Control ทใช




Map with Existing

Control

For ISO27001

อปกรณม




2 2 2 5 1

A12.2.1(Docume

nted Operating)




อปกรณ

เสยหาย


กระชาก

2 3 2 5 1

A11.2.2

(Supporting)






83





Control

Annex A Remark

Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

) Re

puta

tion

(ดาน

ชอเสยง

) Op

erat

iona

l

(การด า

เนนง

าน)

Freq

uenc

y

(Control ทใช




Map with Existing

Control

For ISO27001




ดบ

2 2 2 5 1

A11.2.2

(Supporting)



ม UPS ทสามารถรองรบการใช

งานไดประมาณ 20 นาท

และมการเปลยนแบตทกๆสองป

6 Generat

or

อปกรณเสย

เนองการ



เพยงพอ

0 3 2 5 1

11.2.2

(ระบบและ

อปกรณ

สนบสนน

การท างาน)





ตอเนอง

1. เชอมตอ Generator ใหสามารถจาย

Load เขา อกตว ได แตจะไมรองรบ

เหตไฟฟาดบพรอมกน

2. จดหาไฟฟา Source ท สอง

3. จดหา Generator ตวทสาม ท

รองรบ Load ไดทงตว กรณไฟฟาดบ

84





Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

) Re

puta

tion

(ดาน

ชอเสยง

) Op

erat

iona

l

(การด า

เนนง

าน)

Freq

uenc

y

(Control ทใชอยในปจจบน

เพอควบคมความเสยง)

Map with Existing

Control

For ISO27001

สภาพแวดลอม

ของสถานทตง

เนองจากน า

ทวม

0 3 2 5 1

17.1.1 การวางแผนความ

ตอเนองดานความมนคง

ปลอดภยสารสนเทศ

(Planning information

security sontinuity)

1. จดหากระสอบ

ทรายพรอม ปมน า

1 ชด

7 Battery

UPS





เพยงพอ

0 2 2 5 1

A11.2.4

(Equipment

maintenance) ม




85





Control

Annex A Remark

Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

) Re

puta

tion

(ดาน

ชอเสยง

) Op

erat

iona

l

(การด า

เนนง

าน)

Freq

uenc

y

(Control ทใช




Map with Existing

Control

For ISO27001

8 Access

Control

การตงใจท าลาย

โดยการ การ

ท าลาย

ทรพยสนสาร

ธารณะ

0 2 2 1 2

9 CCTV





เพยงพอ

2 2 2 1 1





ตอเนอง

มการก าหนด

ระยะเวลาบ ารงรกษา

อปกรณ

86





Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

) Re

puta

tion

(ดาน

ชอเสยง

) Op

erat

iona

l

(การด า

เนนง

าน)

Freq

uenc

y

(Control ทใชอย

ในปจจบนเพอ

ควบคมความ

เสยง)

Map with Existing

Control

For ISO27001

10 Racks

อปกรณเสยเนองการ

บ ารงรกษาอปกรณท


0 2 2 0 1



ความสามารถของ

ระบบ (Capacity

management

11

Air

Conditio

n

อปกรณไมท างานท า

ใหอณหภมภายใน

สวนของ

datacenter มคาทสง

จนท าใหระบบใม

สามารถท างานได

0 3 2 3 1




ของระบบ

(Capacity

management

11.2.2 ระบบและ

อปกรณสนบสนน

การท างาน

(Supporting

utilities)

มการตรวจเชค

ระบบปรบอากาศให

ท างานไดตลอดเวลา

7x24 ในเกณฑ 22

องศา

87

ตารางท 4.5 ประเมนความเสยง Software หลงจดท า




Control

Annex A Remark

Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

) Re

puta

tion

(ดาน

ชอเสยง

) Op

erat

iona

l

(การด า

เนนง

าน)

Freq

uenc

y

(Control ทใช




Map with Existing

Control

For ISO27001

12 Linux

Server

การถกฟองรอง

ตาม

กฎหมาย

ลขสทธการใช

ซอฟทแวรท

ละเมดลขสทธ

1 1 1 1 1

A12.5.1(Control

against

Malicious code)

การควบคมการ

ตดตงซอฟตแวร

ผบรหารและหวหนา

งานมความตระหนก

ถงการใชซอฟทแวรท

ผดกฎหมายโดยการ

ซอซอฟทแวรทถก

กฎหมายในการใช

งานและมการ

ตรวจสอบซอฟทแวร

ในระบบอยางนอยปละ 1 ครง

88





Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

) Re

puta

tion

(ดาน

ชอเสยง

) Op

erat

iona

l

(การด า

เนนง

าน)

Freq

uenc

y




Map with Existing

Control

For ISO27001

ถกเขาถงโดย

ไมไดรบ

อนญาต

เนองจากการ

กระบวนการ

ควบคมการ

เขาถง เชน

รหสผาน

สามารถคาด

เดาไดโดยงาย

0 2 2 2 1

18.1.5 ระเบยบ

ขอบงคบส าหรบ

มาตรการเขารหส

ขอมล (Refulation

of cryptographic

controls)

A9.4.2(Secure log-

on procedures)

A9.4.3(Password

management

system)

ควรก าหนดนโยบาย

ในการตงรหสผานให

สามารถคาดเดาได

ยาก

89





Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

) Re

puta

tion

(ดาน

ชอเสยง

) Op

erat

iona

l

(การด า

เนนง

าน)

Freq

uenc

y




Map with Existing

Control

For ISO27001

ระบบมชองโหว

ในการ

โจมตเนองจาก

ไมมการอพเดท

path security

0 2 2 2 1

A12.5.1(Control

against

Malicious code)

การควบคมการ

ตดตงซอฟตแวร

A12.6.1 (Technical

Vulnerability

Management)

มการปองกนโดยการ

อพเดท path ของ

ระบบปฎบตการ

ระบบมการ

ท างาน

ผดพลาดจาก

ไวรส โทรจน

มลแวร

0 2 2 2 1 A.12.2.1(Controls

against malware)

มการปองกนโดยการ

ตดตง antivirus แบบ

ถกลขสทธและท าการ

ตดตงอพเดท

อตโนมต

90

ตารางท 4.6 ประเมนความเสยง People ware หลงจดท า




Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

) Re

puta

tion

(ดาน

ชอเสยง

) Op

erat

iona

l

(การด า

เนนง

าน)

Freq

uenc

y




Map with Existing

Control

For ISO27001

13 ผดแล

ระบบ

มความ

ผดพลาดในการ

ท างาน

เนองจาก

ความรเฉพาะ

ทางไมเพยงพอ

0 2 2 1 1

A7.2.2 การสราง

ความตระหนก การ

ใหความร และการ

ฝกอบรมดานความ

มนคงปลอดภย


(Information

security

awareness,

education and

training)

มการสงพนกงานเพอ

เขาฝกอบรมในทกษะ

การจดการระบบและ

การรกษาความมง คง

ปลอดภยใหกบระบบ

91





Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

) Re

puta

tion

(ดาน

ชอเสยง

) Op

erat

iona

l

(การด า

เนนง

าน)

Freq

uenc

y




Map with

Existing

Control

For ISO27001

ปลอยปะละเลย

จนท าใหผอ

สามารถเขาไป

ทศนยขอมลได

โดยไมตองขอ

อนญาต

0 3 2 1 1

A5.1.1

(Information

Security

Policy)

มเอกสารก ากบถงสทธข อง

บคคลทไดรบอนญาตในการเขา

ไปจดการ

ไมสามารถเขา

ปฎบตงานใน

เวลางานไดจน

ท าใหระบบ

หยดชะงก

0 4 2 1 1

A7.2.1(Manag

ementRespon

sibilities)

มการก ากบใหพนกงานทดแล

ระบบปฎบตการแทนและ

สอนงานเพอให

สามารถปฎบตงาน

ได

92





Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

) Re

puta

tion

(ดาน

ชอเสยง

) Op

erat

iona

l

(การด า

เนนง

าน)

Freq

uenc

y




Map with Existing

Control

For ISO27001

14 พนกงาน

ทวไป

มพฤตกรรมใน

การใช

ระบบจากศนย

data

center โดยขาด

ความร

ความเขาใจใน

การใช

เทคโนโลย


อยางปลอดภย

0 2 2 1 1

A7.2.2 (Information

Security

Training)จดอบรบ

ทกษะการจดการ

ระบบและ

การรกษาความ

มนคงปลอดภยใหกบ

ระบบ

จดฝกอบรมพนกงาน

ทเกยวของเพอให

ตระหนกถงขอมลท

ส าคญ

93





Com

plian

ce (ด

าน

กฎหม

าย)

Fina

ncial

(ดาน

การเงน

) Re

puta

tion

(ดาน

ชอเสยง

) Op

erat

iona

l

(การด า

เนนง

าน)

Freq

uenc

y




Map with Existing

Control

For ISO27001

15

Internet

Service

(True)

ผใหบรการไม

สามารถ

ใหบรการ

internet ไดท า

ใหภายใองคกร


ด าเนนการ

ธรกจ

ตอไดหรอมการ

หยดชะงกของ

ระบบ

0 3 2 1 1

A12.1.2 (Change

Management)

A15.2(Service

Delivery)

มการรายงานการ

เปลยนแปลงกอนจะแกไข

ระบบทกครงและมเอกสาร

ใหผใหบรการจากภายนอก

ปฎบตตามขอตกลง

กอนการเขาใหบรการ

94

ตารางท 4.7 SOA (Statement of Applicability)

LR CO BR/BP RRA

Clause Sec Control Objective/Control

5.1 Information Security Policy

5.1.1 Policies for information security x x x ITS-Policy-DIV013-Information Security

Management.

5.1.2 Review of the policies for information security x x Annually review, ITS-Policy-DIV013-

Information Security Management, Annex

A.5.1.2.

6.1 Internal Organization

6.1.1 Information security roles and responsibilities x x x

6.1.2 Segregation of duties x x x

6.1.3 Contact with authorities x x x

6.1.4 Contact with special interest groups x x x ITS-Policy-DIV013-Information Security

Management, Annex A.6.1.4.

6.1.5 Information security in project management x x ITS-Policy-DIV013-Information Security


6.2 Mobile devices and teleworking

6.2.1 Mobile device policy x x Defined in ITS-Policy-DIV029-Personal

Mobile Device.

6.2.2 Teleworking x x Defined in ITS-Policy-DIV030-Teleworking.

Remarks (Overview of

implementation)

5 Security Policies

ISO 27001:2013 Controls Current

Controls

Remarks (Justification for

exclusion)

Selected Controls and

6 Organisation of

information security

95

ตารางท 4.7 SOA (Statement of Applicability)(ตอ)

7.1 Prior to employment

7.1.1 Screening x x x

7.1.2 Terms and conditions of employment x x x

7.2 During employment

7.2.1 Management responsibilities x x x Staff orientation, ISO training and security

awareness training

7.2.2 Information security awareness, education and

training

x x x Staff orientation, ISO training and security

awareness training

7.2.3 Disciplinary process x x x x Security enforement.

7.3 Termination and change of employment

7.3.1 Termination or change of employment

responsibilities

x x x Defined in ITS-Process-DIV025-Identity

Management.

8.1 Responsibility for assets

8.1.1 Inventory of assets x x x CI in Remedy.

8.1.2 Ownership of assets x x Record in Remedy.

8.1.3 Acceptable use of assets x x DCS-Policy-COR001-IS Policy, 6.2 and

security enforement.

8.1.4 Return of assets x x To implement Identity Management

Process.

8.2 Information classification

8.2.1 Classification of information x x Defined in ITS-Policy-DIV028-Data

Classification, 6.1.

8.2.2 Labelling of information x x x Defined in ITS-Policy-DIV028-Data

Classification.

8.2.3 Handling of assets x x Defined in ITS-Policy-DIV028-Data


8.3 Media handling

8.3.1 Management of removable media x x x ITS-Standard Guidelines-DIV001-

Standard and Guidelines, A.8.3.1.

8.3.2 Disposal of media x x Defined in ITS-Policy-DIV028-Data


8.3.3 Physical media transfer x x x x

7 Human resource

security

8 Asset

management

96


9.1 Business requirements of access control

9.1.1 Access control policy x x x x ITS-Policy-DIV013-Information Security


9.1.2 Access to networks and network services x x ITS-Policy-DIV013-Information Security


9.2 User access management

9.2.1 User registration and de-registration x x ITS-Policy-DIV013-Information Security


9.2.2 User access provisioning x x x Defined in ITS-Process-DIV025-Identity

Management and Entitlement review.

9.2.3 Management of privileged access rights x x x Defined in ITS-Policy-DIV018-Admin

Account Management.

9.2.4 Management of secret authentication

information of users

x x Defined in ITS-Policy-DIV018-Admin

Account Management.

9.2.5 Review of user access rights x x

9.2.6 Removal or adjustment of access rights x x x Defined in ITS-Process-DIV025-Identity

Management.

9.3 User responsibilities

9.3.1 Use of secret authentication information x x DCS-Policy-COR001-IS Policy, 6.1 and

ITS-Policy-DIV013-Information Security


9.4 System and application access control

9.4.1 Information access restriction x x RACI Matrix and Permission Matix.

9.4.2 Secure log-on procedures x x x ITS-Policy-DIV013-Information Security


9.4.3 Password management system x x x ITS-Policy-DIV013-Information Security


9.4.4 Use of privileged utility programs x x ITS-Policy-DIV013-Information Security


9.4.5 Access control to program source code ITS don’t have coding activity in

access control

9 Access control

97


10.1 Cryptographic controls

10.1.1 Policy on the use of cryptographic controls x x x ITS-Policy-DIV013-Information Security


10.1.2 Key management x x ITS-Policy-DIV013-Information Security


10 Cryptography

98


11.1 Secure areas

11.1.1 Physical security perimeter x x x Defined in ITS-Policy-DIV020-ITS Access

Control Rule and Regulation and ITS-

Policy-OPR001-Datacenter Operation.

11.1.2 Physical entry controls x x x x Defined in ITS-Policy-DIV020-ITS Access



11.1.3 Securing offices, rooms and facilities x x Defined in ITS-Policy-DIV020-ITS Access


Policy-OPR001-Datacenter Operation,

6.5.

11.1.4 Protecting against external and environmental

threats

x x x x x

11.1.5 Working in secure areas x x Defined in ITS-Policy-DIV020-ITS Access



11.1.6 Delivery and loading areas x x Defined in ITS-Policy-DIV020-ITS Access


Policy-OPR001-Datacenter Operation,

6.6.

11.2 Equipment

11.2.1 Equipment siting and protection x x x Prior electrical power and load checking,

Data safe for keeping storage media.

11.2.2 Supporting utilities x x x x Emergency light, N+1 UPS, redundant

equipment, control panel, with regular

testing and preventive maintenance.

11.2.3 Cabling security x x x Defined in ITS-Policy-DIV017-Wiring UTP

cable.

11.2.4 Equipment maintenance x x x x Active preventive maintenance

11.2.5 Removal of assets x x x Defined in ITS-Policy-OPR001-Datacenter

Operation, 6.6.

11.2.6 Security of equipment and assets off-premises x x x Annually Preventive mantainance.

11.2.7 Secure disposal or reuse of equipment x x ITS-Policy-DIV013-Information Security


11.2.8 Unattended user equipment x x ITS-Policy-DIV013-Information Security


11.2.9 Clear desk and clear screen policy x x x Defined in ITS-Policy-DIV019-Clear Desk

and Clear Screen.

11 Physical and

environmental

security

99


12.1 Operational procedures and responsibilities

12.1.1 Documented operating procedures x x x x Stored in sharepoint.

12.1.2 Change management x x x x Defined in ITS-Policy-DIV002-Change

Management.

12.1.3 Capacity management x x x x Defined in ITS-Policy-DIV011-Capacity

Management.

12.1.4 Separation of development, testing and

operational environments

x x x Defined in ITS-Standard Guidelines-

DIV002-Separate Test Environment

Policy.

12.2 Protection from malware

12.2.1 Controls against malware x x x

12.3 Backup

12.3.1 Information backup x x x x Centralized enterprise backup system.

12.4 Logging and monitoring

12.4.1 Event logging x x x Centralized logging (SSIM), syslog.

12.4.2 Protection of log information x x x Protected traffic log information - SRAN.

12.4.3 Administrator and operator logs x x Use daily log review.

12.4.4 Clock synchronization x x x Centralized NTP server.

12.5 Control of operational software

12.5.1 Installation of software on operational systems x x DCS-Policy-COR001-IS Policy, Appendix

7.1 and ITS-Policy-DIV013-Information

Security Management, Annex A.12.5.1.

12.6 Technical vulnerability management

12.6.1 Management of technical vulnerabilities x x Defined in ITS-Process-DIV019-Control of

Technical vulnerability.

12.6.2 Restrictions on software installation x x x DCS-Policy-COR001-IS Policy, Appendix

7.1.

12.7 Information systems audit considerations

12.7.1 Information systems audit controls x x x Defiend in ITS-Policy-DIV023-Internal

Audit.

12 Operations

security

100


13.1 Network security management

13.1.1 Network controls x x x ITS-Policy-DIV013-Information Security


13.1.2 Security of network services x x ITS-Policy-DIV013-Information Security


13.1.3 Segregation in networks x x x

13.2 Information transfer

13.2.1 Information transfer policies and procedures x ITS-Standard Guidelines-DIV001-

Standard and Guidelines, 13.2.1.

13.2.2 Agreements on information transfer x ITS-Standard Guidelines-DIV001-


13.2.3 Electronic messaging x x

13.2.4 Confidentiality or nondisclosure agreements x x ITS-Standard Guidelines-DIV001-


13 Communications

security

101


14.1 Security requirements of information systems

14.1.1 Information security requirements analysis and

specification

ITS don’'t have activity in software

development

14.1.2 Securing application services on public networks ITS don’'t have activity in software

14.1.3 Protecting application services transactions ITS don’'t have activity in software

development

14.2 Security in development and support processes

14.2.1 Secure development policy ITS don’'t have activity in software

development

14.2.2 System change control Procedures x x x Change management

14.2.3 Technical review of applications after operating

platform changes

x x ITS-Policy-DIV013-Information Security

Management, Annex A.14.2.3/ Change

management, Release management

14.2.4 Restrictions on changes to software packages ITS don’'t have activity in software

development

14.2.5 Secure system engineering principles x x

14.2.6 Secure development environment ITS don’'t have activity in software

development

14.2.7 Outsourced development ITS don’'t have activity in software

development

14.2.8 System security testing ITS don’'t have activity in software

testing

14.2.9 System acceptance testing x x x x

14.3 Test data

14.3.1 Protection of test data ITS don’'t have activity in software

testing

14 System

acquisition,

development and

maintenance

102


15.1 Information security in supplier relationships

15.1.1 Information security policy for supplier

relationships

x x Defined in ITS-Policy-DIV014-Supplier

Management.

15.1.2 Addressing security within supplier agreements x x

15.1.3 Information and communication Technology

supply chain

x x x ITS-Policy-DIV013-Information Security


15.2 Supplier service delivery management

15.2.1 Monitoring and review of supplier services x x x

15.2.2 Managing changes to supplier services x x x ITS-Policy-DIV013-Information Security


15 Supplier

relationships

103


16.1 Management of information security incidents

and improvements

16.1.1 Responsibilities and procedures x x CSIRT team.

16.1.2 Reporting information security events x x

16.1.3 Reporting information security weaknesses x x

16.1.4 Assessment of and decision on information

security events

x x

16.1.5 Response to information security incidents x x

16.1.6 Learning from information security incidents x x

16.1.7 Collection of evidence x x

16 Information

security incident

management

104


17.1 Information security continuity

17.1.1 Planning information security continuity x x x

17.1.2 Implementing information security continuity x x

17.1.3 Verify, review and evaluate information security

continuity

x x x

17.2 Redundancies

17.2.1 Availability of information processing facilities x x

18.1 Compliance with legal and contractual

requirements

18.1.1 Identification of applicable legislation and

contractual requirements

x x x x Standard contract of service, Engineering

principle

ITS-Form-BUD003-Master service

agreement

18.1.2 Intellectual property rights x x x x IPR form HR

18.1.3 Protection of records x x x

18.1.4 Privacy and protection of personally identifiable

information

x x DCS-Policy-COR001-IS Policy.

18.1.5 Regulation of cryptographic controls x x ITS-Standard Guidelines-DIV001-


18.2 Information security reviews

18.2.1 Independent review of information security x x

18.2.2 Compliance with security policies and standards x x ITS-Process-DIV021-Internal Audit.

18.2.3 Technical compliance review x x ITS-Process-DIV008-Release

Management.

18 Compliance

17 Information

security aspects of

business continuity

management

105

บทท 5

สรปผลการด าเนนโครงงาน

5.1 สรปผลการประเมนความเสยงกอนการจดท า

หลงจากทมการประเมนความเสยงสารสนเทศขององคกรกอนการบรหารจดการความ

เสยงนน พบวาองคกรมความเสยงทมระดบสงทจะตองด าเนนการบรหารจดการความเสยงนน

กอนตาม แผนการจดการบรหารความเสยง โดยไดพบความเสยงขององคกรในระดบตางๆ ดงน

5.1.1 Hardware

ตารางท 5.1 สรปการประเมนความเสยง Hardware กอนการจดท า

ต า ปานกลาง สง สงมาก

2 4 31 5

รปท 5.1 กราฟแสดงผลสรปการประเมนความเสยง Hardware กอนการจดท า

0 10 20 30 40

ต ำ

ปำนกลำง

สง

สงมำก

การประเมนความเสยง Hardware

กำรประเมนควำมเส ยง

Hardware

106

5.1.2 Software

ตารางท 5.2 สรปการประเมนความเสยง Software กอนการจดท า


0 4 0 0

รปท 5.2 กราฟแสดงผลสรปการประเมนความเสยง Software กอนการจดท า

0 1 2 3 4

ต า


สง

สงมาก

การประเมนความเสยง Software


107

5.1.3 Personal

ตารางท 5.3 สรปการประเมนความเสยง Personal กอนการจดท า


0 3 2 0

รปท 5.3 กราฟแสดงผลสรปการประเมนความเสยง Personal กอนการจดท า

0 1 2 3

ต า


สง

สงมาก

การประเมนความเสยง Personal


108

5.2 ตารางสรปผลการประเมนความเสยงหลงการจดท า

5.2.1 Hardware

ตารางท 5.4 สรปการประเมนความเสยง Hardware หลงการจดท า


2 40 0 0

รปท 5.4 กราฟแสดงผลสรปการประเมนความเสยง Hardware หลงการจดท า

0 10 20 30 40

ต า


สง

สงมาก

การประเมนความเสยง Hardward

การประเมนความเสยง Hardward

109

5.2.2 Software

ตารางท 5.5 สรปการประเมนความเสยง Software หลงการจดท า


1 3 0 0

รปท 5.5 กราฟแสดงผลสรปการประเมนความเสยง Software หลงการจดท า

5.2.3 Personal

0 1 2 3

ต า


สง

สงมาก



110

ตารางท 5.6 สรปการประเมนความเสยง Personal หลงการจดท า


5 0 0 0

รปท 5.6 กราฟแสดงผลสรปการประเมนความเสยง Software หลงการจดท า

5.3 สรปการประเมนความเสยงทงหมดหลงการจดท า

ตารางท 5.7 สรปการประเมนความเสยงทงหมดหลงการจดท า

0 1 2 3 4 5

ต า


สง

สงมาก



111


6 43 0 0

รปท 5.7 สรปการประเมนความเสยงทงหมดหลงการจดท า

0 10 20 30 40 50

สงมาก

สง


ต า

Series 1

Series 1

112

เอกสารอางอง

[1] เอกสาร ISO 17799 อดต ปจจบน และอนาคต, NECTEC

www.thaicert.org/paper/basic/ISO17799PastPresentFuture.pdf

[2] พ.อ.เศรษฐพงค มะลสวรรณ, การจดการความเสยงดานเทคโนโลยสารสนเทศ: วทยาลย

นวตกรรมอดมศกษา มหาวทยาลยธรรมศาสตร

[3] Sriprapar Ngamhongtong,อะไรเปลยนไปใน ISO/ IEC 27001 เวอรชนใหม 2013: BSI

http://www.isotoyou.com/index.php/article/447-iso27001-dis-what-change.html

http://www.thaicert.org/paper/basic/ISO17799PastPresentFuture.pdf

ก-1

ภาคผนวก ก.

นโยบายการรกษาความมนคงปลอดภยของระบบสารสนเทศ

ก-10

ก-11

ก-12

ก-13

ก-14

ก-15

ก-16

ก-17

ก-18

ก-19

ก-20

ก-21

ก-22

ก-23

ก-24

ก-25

ก-26

ก-27

ก-28

การพัฒนานโยบายด้านความปลอดภัยภายใต้มาตรฐาน...

Documents