iso27001_army audit office
TRANSCRIPT
สารนพนธ
โดย พนโท ระว ศรชม 53501905
นกศกษาหลกสตรวทยาศาสตรมหาบณฑต สถาบนวทยาการสารสนเทศ มหาวทยาลยศรปทม
การพฒนารระบบการรกษาความมนคงปลอดภยในดานเทคโนโลยสารสนเทศของส านกงานตรวจสอบภายในทหารบก
1
อาจารยทปรกษา
รองศาสตราจารย.ดร. ประสงค ปราณตพลกรง 2
หวขอการน าเสนอ 1. ความเปนมาและความส าคญของปญหา 2. วตถประสงคของการวจย 3. ขอบเขตของการวจย 4. ประโยชนทคาดวาจะไดรบ 5. วธด าเนนการวจย 6. การวเคราะหขอมล 7. สรปผลการวจยและอภปรายผลการวจย 8. ขอเสนอแนะการวจย 9. เอกสารอางอง 3
ความเปนมาและความส าคญของปญหา
จดตง แผนกเทคโนโลยสารสนเทศ ขนเปนหนวยขนตรงส านกงานตรวจสอบภายในทหารบก
มความตองการใหพรอมรบกบการท างานไดอยางมประสทธภาพ
การประกนคณภาพงานตรวจสอบภายในภาครฐ
ส านกงานฯ ยงไมมแผนในเรองการจดวางระบบการรกษาความมนคงปลอดภยในดานเทคโนโลยสารสนเทศ 4
วตถประสงคของการวจย
1. เพอศกษาภารกจและการด าเนนงานของแผนก เทคโนโลยสารสนเทศของส านกงานตรวจสอบภายใน ทหารบก 2 เพอวางระบบการรกษาความมนคงปลอดภยในดาน เทคโนโลยสารสนเทศ ของส านกงานตรวจสอบภายใน ทหารบก
5
ขอบเขตของการวจย
1. การรกษาความมนคงปลอดภยทางดานกายภาพและ สงแวดลอม 2. การควบคมการเขาออกหองควบคมระบบเครอขาย 3. การใชงานอนเทอรเนต 4. การใชงานจดหมายอเลกทรอนกส 5. การควบคมการเขาถงระบบเครอขายไรสาย
6
ประโยชนทคาดวาจะไดรบ
1. ส านกงานตรวจสอบภายในทหารบก มเอกสารนโยบายการรกษาความ มนคงปลอดภยของระบบเทคโนโลยสารสนเทศ เปนของตนเอง 2. ส านกงานตรวจสอบภายในทหารบกมระบบการรกษาความปลอดภยดาน เทคโนโลยสารสนเทศเปนไปอยางเหมาะสม มประสทธภาพ มความมนคง ปลอดภยและสามารถด าเนนงานไดอยางตอเนอง ลดการสญเสยเวลา (Downtime) จากการรอคอยการกคนระบบ 3 หนวยงาน มแนวทางปฏบตและวธปฏบต ใหผบรหาร เจาหนาท ผดแลระบบ และ ก าลงพลภายในหนวย ตระหนกถงความส าคญของการรกษาความมนคง ปลอดภยในการใชงานระบบเทคโนโลยสารสนเทศและการสอสาร และ ปฏบตตามอยาง เครงครด
7
ระยะเวลาในการด าเนนการวจย
ขนตอนการวจย ระยะเวลา
ก.ค.54 ส.ค.54 ก.ย.54 ต.ค.54 พ.ย.54 ธ.ค.54 ม.ค.55
1. ศกษาและรวบรวมขอมลจาก เอกสารและงานวจยทเกยวของ
2. การออกแบบสอบถามและ เกบขอมล
3. การสมภาษณและตรวจสอบความ
เชอถอจากผเชยวชาญ
4. การวเคราะหขอมลจาก แบบสอบถาม
5. สรปและเขยนรายงานวจย 8
วธด าเนนการวจย
1.ศกษาคนควาทบทวน ขอมล หลกการ ทฤษฎทและงานวจยเกยวของ
- นโยบาย ของ สตน.ทบ. - แผนแมบท IT ทบ. - มาตรฐาน ISO 27001 - การบรหารความเสยง - งานวจยทเกยวของ
2. สรางแบบสมภาษณ/ ท าการตรวจสอบ/ น าไปสมภาษณ
3. รวบรวมขอมล 9
วธด าเนนการวจย (ตอ)
4.วเคราะหขอมล การใชเทคโนโลยสารสนเทศของส านกงานตรวจสอบภายในทหารบก ในปจจบน เปรยบเทยบขอก าหนดในมาตรฐาน ISO 27001
5.สรปและเขยนรายงานการวจย
10
ขอก าหนดในมาตรฐาน ISO 27001 ขอก าหนดทงหมด 133 ขอก าหนด จดไดเปน 11 กลมการควบคมหลก ดงน Security policy – นโยบายความมนคงปลอดภยขององคกร Organization Information Security - โครงสรางความมนคงปลอดภยขององคกร Asset Management – การจดหมวดหมและการควบคมทรพยสนขององคกร Human Resource Security - มาตรฐานของบคลากรเพอสรางความมนคงปลอดภยใหกบองคกร Physical and environment security – ความมนคงปลอดภยทางกายภาพและสงแวดลอม ขององคกร Communications and operations management – การบรหารจดการดานการสอสารและการ
ด าเนนงานของเครอขายสารสนเทศขององคกร Access control – การควบคมการเขาถงระบบสารสนเทศขององคกร Information systems acquisition, development and maintenance – การพฒนาและดแล ระบบสารสนเทศ Information security incident management – การบรหารจดการเหตการณละเมดความมนคง
ปลอดภย Business continuity management – การบรหารความตอเนองในการด าเนนงานขององคกร Compliance - การปฏบตตามขอก าหนดทางดานกฎหมายและบทลงโทษ 11
เครองมอทใชในการศกษา
1 เกบขอมลทรวบรวมไดจากการสมภาษณ ซงเปนขอมลทบงชใหทราบถงสภาพปจจบน ปญหาขอขดของ พรอมทงอปสรรคในการปฏบตงาน 2 ศกษา กฎ ระเบยบ ค าสง ขอบงคบในเรองทเกยวของ วามความสอดคลองและเอออ านวยตอการปฏบตงาน มาก นอยเพยงใด 3 การศกษาโครงสรางในการบงคบบญชา การจดหนวยงานของ ส านกงานตรวจสอบภายในทหารบก 4 การสมภาษณทางลก ไดจากการสมภาษณผทด ารงต าแหนง หวหนาแผนกเทคโนโลยสารสนเทศ , นายทหารโปรแกรมแผนกเทคโนโลยสารสนเทศ, นายทหารปฏบตการแผนกเทคโนโลยสารสนเทศ และ ผทปฏบตงานใน แผนกเทคโนโลยสารสนเทศ ทกคน
12
สรปผลการวจยและอภปรายผลการวจย
การศกษาวจยครงนพบวา ในปจจบนระบบการรกษาความมนคงปลอดภยในดานเทคโนโลยสารสนเทศของส านกงานตรวจสอบภายในทหารบก มความเสยงระดบสงในทกๆ ดาน โดยเฉพาะอยางยงดานบคลากร ซงหวขอส าคญทเปนความเสยงสงดานบคลากรทพบมากคอ การทบคลากรยงขาดทกษะและความช านาญในการปฏบตงานดานความมนคงปลอดภยระบบเทคโนโลยสารสนเทศและการสอสาร สดสวนปรมาณงานกบบคลากรไมสอดคลองกนคอการมบคลากรไมเพยงพอ รวมถงไมมมาตรการการก าจดสทธบคลากรในการใชงานระบบเครอขายและไมมบทลงโทษทชดเจนเมอมการกระท าผด ดงนน หนวยจงควรมการก าหนดกลยทธการบรหารความเสยงในดานระบบเทคโนโลยสารสนเทศเพอควบคมความเสยงใหอยในระดบทยอมรบได โดยเรว
13
อภปรายผลการวจย
1. ดานนโยบายและโครงสรางดานความมนคงปลอดภยเทคโนโลยสารสนเทศในหนวยงาน (Security Policy)
ส านกงานตรวจสอบภายในทหารบก ควรมการก าหนดนโยบายการ รกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ โดยก าหนดใหมมาตรฐาน แนวปฏบต ขนตอนปฏบต ใหครอบคลมดานการรกษาความมนคงปลอดภยระบบเทคโนโลยสารสนเทศและปองกนภยคกคามตาง ๆ โดยจดท าเปนนโยบายการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศของ ส านกงานตรวจสอบภายในทหารบก
14
อภปรายผลการวจย
2. การจดองคกรในการดแลความมนคงปลอดภย ผบงคบบญชาจะตองใหการสนบสนนอยางเตมทตอการรกษาความ มนคงปลอดภย โดยการก าหนดทศทางอยางชดเจน มการมอบหมายงาน และสรางการรบรถงความรบผดชอบจะตองมการจดท าขอตกลงในการดแลรกษาความลบกบทกๆ สวนทเกยวของ 3. การจดการทรพยสน ตองมการจดการทรพยสนทมคณคากบองคกร ซงจะรวมไปถงเครองมอ อปกรณ ฮารดแวร ซอฟทแวร ฐานขอมล บคลากร สาธารณปโภคตางๆ ตองมการจดท าบญชทรพยสนทงหมด มการก าหนดเจาของทรบผดชอบในการควบคมการใชงาน
15
อภปรายผลการวจย
4. ความมนคงปลอดภยเกยวกบบคลากร ตองมการก าหนดหนาทความรบผดชอบทเกยวกบความมนคงปลอดภยของสารสนเทศส าหรบเจาหนาททกคน ไวเปนเอกสารอยางชดเจน และสอดคลองกบนโยบายความมนคงปลอดภยสารสนเทศของหนวยดวย รวมถงจะตองมการก าหนดแนวทางในการคดเลอกเจาหนาท โดยจะตองมการตรวจสอบคณสมบตอยางละเอยด และตองจดใหมการฝกอบรม และสรางการรบรอยางเหมาะสมใหกบทกๆ คนทเกยวของดวย นอกจากนน ยงตองก าหนดแนวทางในการลงโทษสาหรบเจาหนาทและผเกยวของทไมปฏบตตามแนวปฏบตดานความมนคงปลอดภยของหนวยและในกรณทพนจากหนาท เจาหนาทจะตองสงทรพยสนทางสารสนเทศทงหมดคนใหกบหนวย และใหท าการยกเลกสทธในการเขาถงสารสนเทศ หรอสถานทปฏบตงาน
16
อภปรายผลการวจย
5. ความมนคงปลอดภยทางกายภาพ ควรจดใหมการควบคมการเขาออกพนทอาคารส านกงาน หรอพนทจดเกบสารสนเทศ ตองก าหนดใหมการดแลความมนคงปลอดภยของท งส านกงาน และสงอ านวยความสะดวกตางๆ รวมถงมการปองกนผลกระทบจากภยธรรมชาต ในสวนของสายไฟฟา และสายเคเบล จะตองไดรบการปกปองดแลจากความเสยหาย ตางๆ ทอาจจะเกดขน ในกรณทมการน าอปกรณออกไปใชนอกสถานท ซงจะมความเสยงทแตกตางจากการใชงานภายใน หนวยงาน จะตองมการก าหนดแนวทางในการดแลความมนคงปลอดภยในการน าไปใชงานอยางเหมาะสม และเมอมการยกเลกการใชงานอปกรณนนๆ แลว จะตองดแลใหมนใจวาขอมล สารสนเทศ ทอยในอปกรณไดรบการก าจด หรอลบทงจนหมดสน กอนทจะท าการทงหรอก าจดอปกรณนนๆ
17
อภปรายผลการวจย
6. การบรหารการสอสารและการด าเนนการ ตองมการจดท าเอกสารวธการปฏบตงานในการดาเนนงาน ตองมการแบงหนาทความรบผดชอบอยางชดเจน เพอลดโอกาสในการเขาถงระบบโดยไมไดรบอนญาต หรอมการใชงานทผดวตถประสงคตองมมาตรการในการปองกนโปรแกรมทไมพงประสงค รวมถงจะตองจดใหมการด าเนนการส ารอง ทงขอมล และซอฟทแวร เพอใหเปนไปตามนโยบายทไดก าหนดไว 7. การควบคมการเขาถงระบบ ตองมการก าหนดนโยบายในการเขาถงระบบ มการจดท าเปนเอกสารชดเจน จะตองมการจดท าแนวทางในการขนทะเบยนของผใชงาน จะตองมระบบในการจดการรหสผานอยางมคณภาพ ในกรณของอปกรณประเภทพกพา จะตองมการก าหนดนโยบายในการควบคมอยางเหมาะสม 18
อภปรายผลการวจย
8. การจดหา การพฒนา และการบ ารงรกษาระบบสารสนเทศ การวเคราะหและการระบขอก าหนดทางดานความมนคงปลอดภย ตองก าหนดความตองการดานความปลอดภยไวอยางชดเจนในระบบทพฒนาขนมาใชงานหรอซอมาเพอใชงาน รวมถงมาตรการการเขารหสของขอมล ตองมการใชวธการทางเทคนค เพอเขารหสขอมลใหมความปลอดภย 9. การบรหารจดการณเหตการณทเกยวของกบความมนคงปลอดภย การรายงานเหตการณและจดออนทเกยวของกบความมนคงปลอดภย จะตองมการรายงานผานชองทางการรายงานอยางเหมาะสมดวยความรวดเรวรายงานถงจดออนเกยวกบความมนคงปลอดภยของระบบ ทสงเกตพบหรอสงสยวาจะเกดขนอยางมประสทธผล ตองมการรวบรวม จดเกบ และดแลรกษา หลกฐานตางๆ ทเกยวกบการด าเนนการจากเหตการณตางๆ
19
อภปรายผลการวจย
8. การจดหา การพฒนา และการบ ารงรกษาระบบสารสนเทศ การวเคราะหและการระบขอก าหนดทางดานความมนคงปลอดภย ตองก าหนดความตองการดานความปลอดภยไวอยางชดเจนในระบบทพฒนาขนมาใชงานหรอซอมาเพอใชงาน รวมถงมาตรการการเขารหสของขอมล ตองมการใชวธการทางเทคนค เพอเขารหสขอมลใหมความปลอดภย 9. การบรหารจดการณเหตการณทเกยวของกบความมนคงปลอดภย การรายงานเหตการณและจดออนทเกยวของกบความมนคงปลอดภย จะตองมการรายงานผานชองทางการรายงานอยางเหมาะสมดวยความรวดเรวรายงานถงจดออนเกยวกบความมนคงปลอดภยของระบบ ทสงเกตพบหรอสงสยวาจะเกดขนอยางมประสทธผล ตองมการรวบรวม จดเกบ และดแลรกษา หลกฐานตางๆ ทเกยวกบการด าเนนการจากเหตการณตางๆ
20
อภปรายผลการวจย
10. การบรหารความตอเนองในการด าเนนงานขององคกร ตองมการก าหนดระยะเวลาประเมนความเสยงเพอลดปญหาทจะเกดขนตอระบบเครอขาย สารสนเทศ และตองมการวางแผนการควบคมความเสยง เมอเกดเหตการณทสงผลกระทบ 11. การปฏบตตามขอก าหนด ตองก าหนดใหผบงคบบญชาคอยก ากบ ดแล และควบคมการปฏบตของผใตบงคบบญชาของตน ใหปฏบตตามขนตอนการรกษาความมนคงปลอดภยสารสนเทศตามหนาทความรบผดชอบของตน
21
ขอเสนอแนะการวจย
1. ขอเสนอแนะส าหรบการน าไปใชงานจรง
1.1 ส านกงานตรวจสอบภายในทหารบกควรมการก าหนดนโยบายทชดเจนดานการบรหารความมนคงปลอดภยในเทคโนโลยสารสนเทศและการสอสาร เพราะเปนสวนทส าคญทน าพาหนวยไปสการเปนหนวยตรวจสอบภายในทเปนมาตรฐานสากลเพราะในยคของเครอขายขอมลขาวสาร การรกษาความมนคงปลอดภยของระบบฯ เปนปจจยส าคญตอความส าเรจการปฏบตภารกจตางๆ
1.2 ส านกงานตรวจสอบภายในทหารบกควรใหความส าคญกบการพฒนาก าลงพลใหมความร มความช านาญ มทกษะการปฏบตงาน เพอขบเคลอนการปฏบตงานทตองใชเครอขาย และตองมมาตรการและบทลงโทษทชดเจนเพอปลกจตส านกใหก าลงพล
22
ขอเสนอแนะการวจย
1. ขอเสนอแนะส าหรบการน าไปใชงานจรง (ตอ) 1.3 ส านกงานตรวจสอบภายในทหารบกควรขอรบการรบรองระบบบรหารความมนคงปลอดภยของสารสนเทศ ตามมาตรฐาน ISO/IEC 27001 เพอเพมความนาเชอถอของระบบสารสนเทศและขอมลส าคญของส านกงานตรวจสอบภายในทหารบก ใหแนใจวา ก าลงพล กระบวนการ และขอมลส าคญตางๆ มการรกษาความลบและความปลอดภยอยางถกตอง สามารถเขาถงไดเฉพาะ ผทมสทธทจะเขาเทานน, มระบบปองกน และตรวจสอบทเปนมาตรฐาน และมความสมบรณกอนใชงาน รวมถงการมระบบการจดการภายใตความสยงทยอมรบได ท าใหเกดประสทธภาพ ในการใชงาน สามารถใชทรพยากรทมอยอยางจ ากดดวยความคมคา ตอไป
23
ขอเสนอแนะการวจย
2. ขอเสนอแนะส าหรบการท าวจยครงตอไป 2.1 การวจยในครงนเปนการศกษา วเคราะหและประเมนความพรอมและความเสยงในเทคโนโลยสารสนเทศ ทองมาตรฐาน ISO/IEC 27001 มาเปนหลกในการศกษาเปนส าคญในการวจยการวจยในอนาคตควรเกบรวบรวมขอมลทจะน ามาวเคราะหจากบคคลทมความเชยวชาญดานการรกษาความปลอดภยโดยตรงใหมากขน ในกรณทเปนการตอบแบบสอบถามควรมคาตอบแทน เปนการสรางแรงจงใจในการตอบ เพอใหไดขอมลทแทจรง 2.2 การวจยครงตอไปควรศกษาองคประกอบ ของ มาตรฐาน ISO/IEC 27001 หรอมาตรฐานแบบอนประกอบกนไปดวย โดยน าทกมาตรฐาน มาประยกตใช ใหเหมาะกบแตละองคกรเนองจากตวแบบทผวจยพฒนาขนมาอาจเหมาะสมส าหรบ ส านกงานตรวจสอบภายในทหารบก ในปจจบน แตอาจไมเหมาะสมกบ ส านกงานตรวจสอบภายในทหารบกในอนาคต หรอองคกรอนๆ กได 24
บทเรยนทไดรบจากการวจย
1. ทราบถงขนตอนและวธด าเนนการวจย
2. ทราบถงความพรอมและความเสยงของความมนคงปลอดภยดานสารสนเทศของส านกงานตรวจสอบภายในทหารบกในปจจบน
3. การประยกตใชมาตรฐาน ISO 27001
4. ความส าคญของการบรหารจดการความมนคงปลอดภยดานสารสนเทศ
5. ไดทราบถงปญหาและอปสรรคในการท าวจย
25
เอกสารอางอง
26
[1] จตชย แพงจนทร, Master in Security, ไอดซ อนโฟดสทรบวเตอรเซนเตอร, 2553. [2] ธวชชย ชมศร, Computer and Network Security, ส านกพมพโปรวชน, 2553. [3] พนดา พานชกล, ความมนคงปลอดภยของสารสนเทศและการจดการ, ส านกพมพเคทพ คอมพ แอนด คอนซลท, 2553. [4] วชรพงศ ธรรมรกษ, “ตวแบบการบรหารจดการความมนคงปลอดภยดานสารสนเทศเพอ รองรบการปฏบตการทใชเครอขายเปนศนยกลาง,” เสนาธการกจ โรงเรยน เสนาธการทหารอากาศ, 2554. [5] ชยญามล เลศสงคราม, “กรณศกษาและการจดท าแนวทางปฏบตในการรกษาความ มนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ดวยมาตรฐาน ISO/IEC 27001” วทยาศาสตรมหาบณฑต สาขาวชาการบรหารเทคโนโลย, วทยาลยนวตกรรม มหาวทยาลยธรรมศาสตร, 2552.
เอกสารอางอง
27
[6] สรรตน วฒนาพร, “การจดท านโยบายรกษาความมนคงปลอดภยสารสนเทศขององคกร กรณศกษาส าหรบบรษท คอบรา อนเตอรเนชนแนล จ ากด,” วทยาศาสตรมหาบณฑต สาขาวชาเทคโนโลยสารสนเทศ, มหาวทยาลยเทคโนโลยมหานคร, 2553. [7] Banchong Harangsri, “ISO/IEC 27001/17799 Information Security Management Standard,” Thai Computer Emergency Response Team (ThaiCERT), 2007. [8] J. H. Jr.Larry, Actually Useful Internet Security Technique, New Riders Publishing, Indianapolis, Indiana, 1995. [9] คณะท างานจดท าแผนแมบทเทคโนโลยสารสนเทศกองทพบก, แผนแมบทเทคโนโลย สารสนเทศและการสอสารของกองทพบก พ.ศ. 2551 – 2554, โรงพมพกองทพบก, 2551 [10] ACIS Professional Center , “IT Infrastructure Library,” Internet http://www.acisonline.net/article_prinya_eEnterprise-oct_08.htm, [Feb. 16, 2011].
28
29