ISO27001:2013RequirementMahutthawat Raksakiettisak Assistant Director Computer CenterComputer Center Srinakharinwirot University

Outlineภาพรวมและขอกำหนดมาตรฐาน ISO27001:2013การประเมินความเสี่ยงกับระบบที่รับผิดชอบวิเคราะหแบบประเมินประกอบการพิจารณาการดำเนินงานตามแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย ของหนวยงานภาครัฐ

ISO27001:2013ISO/IEC 27001 Information Technology -Security Techniques-Information security management systems-Requirements

ISO/IEC27002 – Code of practice for information security controls

ISO27001:2013

SecurityModel

(CIA)

Availability Integrity

Confidentiality

Information security - Confidentiality , Integrity and Availability (CIA)

How does ISO 27001 Work

Riskassessment

andtreatment

Sefeguardimplementation

ISO 27001 framework

4 essential business benefits that company can achieve with implement information security standard

Why is ISO 27001 good for your company?

Comply with legal requirement

Achieve marketing advantage

Lower Costs

Better organization

01

03

04

02

Where does information security management fit in a company

Risk management

Information security

CybersecurityBusiness continuity

Information technology

Following 16 steps

How to implement ISO 27001

1) Get top management support2) Use project management methodology3) Define the ISMS scope4) Write the top-level Information security policy5) Define the Risk assessment methodology6) Perform the risk assessment and risk treatment7) Write the Statement of Applicability8) Write the Risk treatment plan

How to implement ISO 27001

9) Define how to measure the effectiveness of your controls and of your ISMS10) Implement all applicable controls and procedures11) Implement training and awareness programs12) Perform all the daily operations prescribed by your ISMS documentation13) Monitor and measure your ISMS14) Perform internal audit15) Perform management review16) Implement corrective actions

ISO27001:2013 clauses Clause 0 : IntroductionClause 1 : ScopeClause 2 : Normative referencesClause 3 : Terms and definitionsClause 4 : Context of the organizationClause 5 : LeadershipClause 6 : PlanningClause 7 : SupportClause 8 : OperationClause 9 : Performance evaluationClause 10 : Improvement

ISO27001:2013

5. ภาวะผูนำ4. บริบทขององคกร 6. การวางแผน 7. การสนับสนุน

5.1 ภาวะผูนำและการใหความสำคัญ5.2 นโยบาย5.3 บทบาทหนาที่และความรับผิดชอบ

7.1 ทรัพยากร7.2 สมรรถนะ7.3 การสรางความตระหนัก7.4 การสื่อสารใหทราบ7.5 สารสนเทศที่เปนลายลักษณ อักษร

6.1 การดำเนินการเพื่อจัดการกับความเสี่ยงและโอกาส6.2 วัตถุประสงคดานความมั่นคงปลอดภัยสารสนเทศ และแผนการบรรลุวัตถุประสงค

4.1 การทำความเขาใจกับบริบทขององคกร4.2 การกำหนดความจำเปนและความคาดหวัง ขององคกร4.3 การกำหนดขอบเขตการบริหารจัดการความมั่นคง ปลอดภัยของระบบสารสนเทศ4.4 ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ

Plan

ISO27001:2013

8. การดำเนินการ 9. การประเมินประสิทธิภาพ และประสิทธิผล 10. การปรับปรุง

8.1 การวางแผนที่เกี่ยวของกับการควบคุม8.2 การประเมินความเสี่ยงดานความมั่นคง ปลอดภัยของสารสนเทศ8.3 การจัดการความเสี่ยงดานความมั่นคง ปลอดภัยสารสนเทศ

10.1 ความไมสอดคลองและ การดำเนินการแกไข10.2 การปรับปรุงอยางตอเนื่อง

9.1 การประเมินผลกระทบที่เกิดขึ้น9.2 การตรวจสอบภายใน9.3 การทบทวนของผูบริหาร

Do ActionCheck

Information Security Controls

Annex A. Reference control objectives and controls

114 controls in 14 sections from A.5.* to A.18.*

Overview of ISO 27001:2013 Annex ARef. Section Controls Content

A.5 Information security policies 2 Management direction

A.6 Organization of information 7 Internal organization

A.7 Human resource security 6 Prior to, during employment, termination and change

A.8 Asset management 10 Responsibilities, information classification, media handling

A.9 Access Control 14 Business requirements, user management and responsibilities, system and application access control

A.10 Cryptography 2 Cryptographic controls

A.11 Physical and environmental security 15 Secure areas, equipment

A.12 Operations security 14 Procedures and responsibilities, malware protection , backup process, Logging and monitoring, operational software, technical vulnerabilities, system audits

Overview of ISO 27001:2013 Annex A

Ref. Section Controls Content

A.13 Communications security 7 Network security, Information transfer

A.14 System acquisition, development and maintenance

13 Security requirements, development and support, test data

A.15 Supplier relationships 5 Information security in supplier relationships, service delivery

A.16 Information security incident management

7 Management of incidents, improvement ISMS

A.17 Information security aspects of business continuity

4 Continuity, redundancy

A.18 Compliance 8 Legal and contractual compliance, reviews

Asset Management and Risk Assessment

Workshop outline

1 Asset inventory

Risk Assessment

Threat the risks

23

Asset InventoryAsset is anything that has value to the organization [iso/iec 13335-1:2004] ทรัพยสินแบงออกเปน 5 ประเภท ดวยกันคือ

1. Hardware เชน เครื่อง server, อุปกรณ network (switch, router) , Firewall ในขอบเขต2. Software เชน os , software application ขององคกรในขอบเขต3. Information เชน ขอมูลสำคัญขององคกร เอกสารคูมือ ขั้นตอนปฏิบัติ ในขอบเขต4. Service เชน บริการที่องคกรใหบริการแกผูใชงานทั้งภายในและ ภายนอกองคกรภายใตขอบเขต5. People เชน ผูบริหาร เจาหนาที่ที่เกี่ยวของในขอบเขต

Asset Inventory

Security Team

Log Server

Mail Server

AD Server

System Admin

Network Admin

Firewall

Internet

Switch (Logical)

System SpecificationMail server - system admin team* (OS) - Centos* Software - Apache web server - Mysql Database - Zimbra webmail - Syslog-ng - Nagios - AVG client - TripwireDirectory Server

- (OS) - Window server 2008

Software

- Microsoft Active Directory Server

Log Server - security team

- (OS) – Centos

- Software

- Phpsyslog

- Syslog-ng

Firewall - network admin team

- Os : Centos

- Software

- Pfsense

- AVG server

Risk Assessment

Asset Valuation

Identify Risks

Assess Risks

Treat Risks

01

03

04

02

Asset Valuation

Confidentiality

Integrity

Availability

CIA

Asset Valuation

แนวทางการพิจารณาความสูญเสียองคประกอบดานความมั่นคงปลอดภัย (CIA) สำหรับทรัพยสินแตละประเภท

ประเภททรัพยสิน

Hardware Hardware มีขอมูลที่สำคัญถูกเขาถึงโดยผูที่ไมไดรับอนุญาต

Hardware มีขอมูลสำคัญถูกเขาถึงและแกไขขอมูลโดยผูที่ไมไดรับอนุญาต

Hardware ไมสามารถทำงานได

Software Software มีการเชื่อมโยงขอมูลถึงขอมูลสำคัญถูกเขาถึงโดยไมไดรับอนุญาต

Software ที่มีการเชื่อมโยงถึงขอมูลที่สำคัญถูกแกไข

Software ไมสามารถใชงานได

สูญเสีย C สูญเสีย I สูญเสีย A

ประเภททรัพยสิน

Information ขอมูลถูกเขาถึงโดยไมไดรับอนุญาต

ขอมูลถูกเขาถึงและแกไขโดยผูที่ไมไดรับอนุญาต

ไมมีขอมูลเมื่อตองการใชงาน

Service ผูใหบริการภายนอกมีสิทธิ์เขาถึงขอมูลสำคัญและนำไปเปดเผยโดยไมไดรับ

ผูใหบริการภายนอกมีสิทธิ์เขาถึงขอมูลสำคัญและแกไข

ผูใหบริการภายนอกไมสามารถใหบริการได

สูญเสีย C สูญเสีย I สูญเสีย A

People คนมีสิทธิ์เขาถึงขอมูลสำคัญและนำไปเปดเผยโดยไมไดรับ

- คนมีสิทธิ์เขาถึงขอมูลสำคัญและแกไขขอมูลโดยไมไดรับอนุญาต หรือ- คนมีความรูความสามารถ(Competency) ไมตรงกับหนาที่ความรับผิดชอบ

คนไมสามารถปฏิบัติงานไดตามปกติ

Impact Analysis – Financial (F)ผลกระทบดานการเงิน (Financial)

ระดับความรุนแรง ลักษณะผลกระทบ คะแนนสูงมาก มีผลกระทบดานการใชทรัพยากรเพิ่ม

มากกวา 1 สัปดาห5

สูง มีผลกระทบดานการใชทรัพยากรเพิ่ม 1 สัปดาห

4

ปานกลาง มีผลกระทบดานการใชทรัพยากรเพิ่ม 3 – 5 วัน

3

นอย มีผลกระทบดานการใชทรัพยากรเพิ่ม 1 – 3 วัน

2

นอยมาก มีผลกระทบดานการใชทรัพยากรเพิ่ม 1 วัน

1

Impact Analysis – Operation (O)ผลกระทบดานการทำงาน (Operation)

ระดับความรุนแรง ลักษณะผลกระทบ คะแนนสูงมาก Total disruption จนทำงานไมได

และกอผลกระทบตอการทำงานของระบบสำคัญทั้งหมด สงผลตอผูใชงาน

5

สูง ระบบสำคัญ ระบบความปลอดภัย /ระบบที่สำคัญ หยุดชะงักบางระบบหรือบางฟงกชัน สงผลตอผูใชงาน

4

ปานกลาง ระบบสนับสนุนสำคัญหยุดชะงักมีผลตอการดำเนินการภายในกลุมงาน และตองใชหนวยงานภายนอกในการแกไข

3

นอย มีปญหาเล็กนอยแกไขได ในระดับกลุมงาน 2

นอยมาก ไมมีปญหา 1

Impact Analysis – Reputation (R)ผลกระทบดานชื่อเสียงภาพลักษณ (Reputation)

ระดับความรุนแรง ลักษณะผลกระทบ คะแนนสูงมาก กระทบชื่อเสียงขององคกรมาก ทำให

เกิดความไมพอใจจากสาธารณะ เชน การแสดงความคิดเห็นคัดคานผานสื่อตางๆ

5

สูง กระทบชื่อเสียงขององคกรมาก ทำใหเกิดความไมพอใจจากสาธารณะ เชน การเขียนวิจารณ

4

ปานกลาง กระทบชื่อเสียงองคกร โดยมีการรายงานตอผูบริหารระดับสูง

3

นอย กระทบชื่อเสียงองคกรนอย ภายในกลุมงาน 2

นอยมาก กระทบชื่อเสียงองคกรนอยมากหรือไมกระทบ 1

Impact Analysis – Compliance (C)ผลกระทบดานกฎหมาย, ระเบียบ/กฎเกณฑ, นโยบายและขั้นตอนปฎิบัติ (Compliance)

ระดับความรุนแรง ลักษณะผลกระทบ คะแนนสูงมาก ขัดตอกฎหมาย พระราชบัญญัติที่เกี่ยวของ

เชน พรบ. เปนตน5

สูง ขัดตอนโยบายและแนวปฎิบัติทั่วไป ในระดับองคกร

4

ปานกลาง ขัดตอนโยบายและแนวปฎิบัติเฉพาะกลุมงาน 3

นอย ขัดตอกระบวนการปฎิบัติงานทีม 2

นอยมาก ไมมีผลตอการปฎิบัติตามกฎหาย ระเบียบ และขอบังคับที่เกี่ยวของ

1

Identify RisksRisk = Vulnerability and Threat

vulnerability

threat

vulnerability

threatServer ControlRoom

H

01

03

02

Assess Risks

Risk Value

Residual Risk

Risk Response

Assess RisksRisk Value = Impact x Likelihoodโอกาสของการเกิดความเสี่ยง (Likelihood)

ระดับโอกาสเกิดความเสี่ยง โอกาส/ความถี่ คะแนน

สูงมาก เกิดเปนประจำ อยางนอยเดือนละ 1 ครั้ง 5

สูง คอนขางบอย ปละ 6 – 10 ครั้ง 4

ปานกลาง ปานกลาง ปละ 3 – 5 ครั้ง 3

นอย โอกาสเกิดนอยหรืออยางมากไมเกินปละ 2 ครั้ง

2

นอยมาก ไแทบจะไมเกิดหรืออยางมากปละ 1 ครั้ง 1

Assess Risksเกณฑการประเมินระดับความเสี่ยง (Risk Assessment Matrix)

ผลกร

ะทบ

(Impa

ct)

โอกาส (Likelihood)

สูงมาก

สูงมาก

สูง

สูง

ปานกลาง

ปานกลาง

นอย

นอย นอยนอยมาก

5

4

3

2

1

10

8

6

4

2

15

12

9

6

3

20

16

12

8

4

25

20

15

10

5

Assess RisksResidual Risk = The risk remaining after risk treatment

[ISO/IEC Guide 73:2002]

Treat the risks

Select option to treat the risksRisk Response

Risk Responseการหลีกเลี่ยงความเสี่ยง เมื่อเปนความเสี่ยงที่เราไมตองการ เชน ความเสี่ยงที่ให

ผลตอบแทนนอยหรือเปนความเสี่ยงที่เราสามารถบริการและควบคุมได เราจะหลีกเลี่ยงความเสี่ยงโดยจะไมยอมรับความเสี่ยงนั้น หรือเปลี่ยนเปาหมาย/วัตถุประสงค หรือขจัดความเสี่ยงนั้นทิ้งไป

การลดความเสี่ยง ใชกับความเสี่ยงที่เรายอมรับเราจะลดความเสี่ยงไดโดนการลดระดับความนาจะเปน หรือกาสที่จะเกิด (Likelihood) และลดระดับความรุนแรงของผลกระทบจากปจจัยเสี่ยงนั้น

คำอธิบาย

Select option to treat the risks

Risk Responseการถายโอนความเสี่ยง เปนการใหผูอื่นมาเปนผูรับผิดชอบความเสี่ยงและ

ความเสียหายที่จะเกิดขึ้นแทนเราเชนการทำประกัน (Insurance) และการรับเหมาชวง (Outsource)

การคงความเสี่ยงไว เปนการคงความเสี่ยงเอาไวใหอยูในระดับปจจุบันแมจะรูวาอาจจะเกิดผลกระทบจากความเสี่ยงนั้นตามมาแตก็เต็มใจที่จะดูผลที่เกิดและใชวิธีการเดิมตอไปในการควบคุมและจัดการความเสี่ยงเนื่องดวยเหตุผลบางประการ

คำอธิบาย

นโยบายความมั่นคงปลอดภัยสารสนเทศ(Information Security Policy)A.5

A.5.1 ทิศทางการบริหารจัดการความมั่นคงปลอดภัย (Management direction for information security)

วัตถุประสงค เพื่อใหมีการกำหนดทิศทางการบริหารการจัดการความมั่นคงปลอดภัยและการสนับสนุนดานความมั่นคงปลอดภัยตามขอกำหนดทางธุรกิจและกฏหมายที่เกี่ยวของ

นโยบายการรักษาความมั่นคงปลอดภัย (Policies for information security)นโยบายการรักษาความมั่นคงปลอดภัยตองมีการจัดทำขึ้น และไดรับการรับรองจากผูบริหารหนวยงานแลประกาศหรือมีการสื่อสารกับบุคลากรและบุคคลภายนอกที่เกี่ยวของใหทราบถึงนโยบายนี้

การทบทวนนโยบายการรักษาความมั่นคงปลอดภัย (Review of the policies for information security)นโยบายการรักษาความมั่นคงปลอดภัยตองมีการทบทวนอยางนอยปละ 1 คร้ังหรือมีการเปล่ียนแปลงท่ีมีสาระสำคัญเกิดข้ึน เพ่ือใหม่ันใจวานโยบายการรักษาความมั่นคงปลอดภัยมีความเหมาะสม เพียงพอและมีประสิทธิภาพ

A.5.1.1 A.5.1.2

policyaccess control , information classification, physical security etc.

ตองมีคำนิยามหลักๆ เชน

โครงสรางความมั่นคงปลอดภัยของสารสนเทศ(Organization of information security)A.6

A.6.1

A.6.2

โครงสรางภายในองคกร(Internal organization)

อุปกรณพกพาและการปฏิบัติงานจากระยะไกล(Mobile devices and teleworking)

A.6.1 โครงสรางภายในองคกร(Internal organization)

วัตถุประสงค เพื่อใชเปนกรอบในการบริหารความมั่นคงปลอดภัยโดยจะตองมีการเริ่มตนและควบคุมการปฏิบัติงานและดำเนินการดานความมั่นคงปลอดภัยภายในองคกร

A.6.1.1 บทบาทและหนาที่ความรับผิดชอบดานความมั่นคงปลอดภัย (Information security roles and responsibilities)ตองมีการกำหนดและมอบหมายหนาที่รับผิดชอบดานความมั่นคงปลอดภัย

A.6.1.2 การแบงแยกหนาที่ความรับผิดชอบ (Segregation of duties)หนาที่และความรับผิดชอบอาจจะกอใหเกิดการขัดแยงกัน ดังนั้นจึงตองมีการแบงแยกเพื่อลดโอกาสที่จะเกิดการที่ไมไดรับอนุญาตหรือการใชงานทรัพยสินภายในองคกรผิดวัตถุประสงค

A.6.1.3 การติดตอกับหนวยงานผูมีอำนาจ (Contact with authorities)การติดตอกับหนวยงานผูมีอำนาจตองรักษาไวอยางตอเนื่อง

A.6.1.4 การติดตอกับกลุมคนที่มีความสนใจพิเศษในเรื่องเดียวกันรวมกัน (Contact with special interest groups) การติดตอกับกลุมคนที่มีความเชี่ยวชาญหรือสนใจในเรื่องเดียวกันตองรักษาไวอยางตอเนื่อง

A.6.1.5 การรักษาความมั่นคงปลอดภัยสารสนเทศในการบริหารโครงการ (Information security in project management) การบริหารโครงการตองมีการระบุประเด็นเรื่องของการรักษาความมั่นคงปลอดภัยเขาไปดวย

A.6.2 อุปกรณพกพาและการปฏิบัติงานจากระยะไกล

วัตถุประสงค เพื่อใหมีความมั่นใจในการใชงานอุปกรณพกพาและการปฏิบัติงานจากระยะไกล

A.6.2.1 นโยบายสำหรับอุปกรณคอมพิวเตอรพกพา (Mobile device policy)นโยบายและมาตรการสนับสนุนสำหรับการใชงานอุปกรณแบบพกพา ตองมีการบริหารจัดการความเสี่ยงตออุปกรณพกพา

A.6.2.2 การปฏิบัติงานจากระยะไกล (Teleworking) นโยบายและมาตรการสนันสนุนการปฏิบัติงานจากระยะไกล โดยตองมีการปองกันการเขาถึง การประมวลผล หรือการจัดเก็บจากการปฏิบัติงานระยะไกล

(Mobile devices and teleworking)

register mobile device, physical protection, restricion of software installation, patch mobile device, access control , malware protection, backup เปนตน

อาจจะตองมี policy เรื่อง BYOD

ความมั่นคงปลอดภัยสำหรับทรัพยากรบุคคล(Human Resource Security)A.7

A.7.1 A.7.2 A.7.3

กอนการจางงาน (Prior to employment)

ระหวางการจางงาน (During employment)

การสิ้นสุดหรือการเปลี่ยนการจางงาน (Termination and

change of employment)

A.7.1 กอนการจางงาน(Prior to employment)A.7.1

วัตถุประสงค เพื่อใหพนักงานและผูที่ทำสัญญาจางเขาใจในบทบาทและหนาที่ความรับผิดชอบ และมีความเหมาะสมตามบทบาทหนาที่ของตน

A.7.1.1 การคัดเลือก (Screening) ตองมีการตรวจสอบประวัติการทำงานยอนหลัง เพ่ือใหสอดคลองกับกฏหมาย ระเบียบ ขอบังคับ และตองดำเนินการในระดับท่ีมีความเหมาะสมกับความตองการทางธุรกิจ ช้ันความลับของขอมูลท่ีจะถูกเขาถึง และความเส่ียงท่ีอาจจะเกิดข้ึน

A.7.1.2 ขอตกลงและเงื่อนไขการจางงาน (Terms and conditions of employment) เงื่อนไขในสัญญาตองมีการระบุเรื่องความรับผิดชอบดานความมั่นคงปลอดภัยเขาไปดวย

A.7.2 ระหวางการจางงาน(During employment)

A.7.2

วัตถุประสงค เพื่อใหพนักงานหรือผูที่ทำสัญญาจางตระหนักและปฏิบัติตามหนาที่ความรับผิดชอบดานความมั่นคงปลอดภัย

A.7.2.1 หนาที่ความรับผิดชอบของผูบริหาร (Management responsibilities)ผูบริหารตองมีการกำหนดใหพนักงานทุกคนปฏิบัติตามนโยบายและขั้นตอนการรักษาความมั่นคงปลอดภัย

A.7.2.2 การสรางความตระหนัก การใหความรู และการฝกอบรมดานความมั่นคงปลอดภัย (Information security awareness, education and training) พนักงานทุกคนและผูที่ทำสัญญาจาง ตองไดรับการสรางความตระหนัก ใหความรูและฝกอบรมดานความมั่นคงปลอดภัย และตองมีการเรียนรูและทบทวนนโยบายอื่นๆ ดวย

A.7.2.3 กระบวนการทางวินัย (Disciplinary Process) ตองมีการประกาศกระบวนการทางวินัย และมีการสื่อสารใหพนักงานทุกคนรับทราบ เพื่อดำเนินการตอกับพนักงานที่ละเมิดความมั่นคงปลดภัย

A.7.3 การสิ้นสุดหรือการเปลี่ยนการจางงาน(Termination and change of employment)

A.7.3

วัตถุประสงค เพื่อปองกันผลประโยชนขององคกรซึ่งเปนสวนหนึ่งของการเปลี่ยนและการสิ้นสุดการจางงาน

A.7.3.1 การสิ้นสุดหรือการเปลี่ยนหนาที่ความรับผิดชอบ (Termination or change of employment responsibilities)หนาที่ความรับผิดชอบดานความมั่นคงปลอดภัยตองยังคงมีอยูหลังจากที่สิ้นสุดการจางงานหรือการเปลี่ยนงานตองมีการกำหนดไวและมีการแจงใหผูทำสัญญารับทราบและปฏิบัติตาม

การบริหารจัดการทรัพยสิน(Asset Management)A.8

A.8.1

A.8.2

A.8.3

หนาที่ความรับผิดชอบตอทรัพยสิน(Responsibility for assets)

การจัดชั้นความลับของสารสนเทศ(Classifcation of information)

การจัดการสื่อบันทึกขอมูล(Media Handling)

A.8.1 หนาที่ความรับผิดชอบตอทรัพยสิน

วัตถุประสงค เพื่อใหมีการระบุทรัพยสินขององคกรและมีการกำหนดความรับผิดชอบในการปองกันทรัพยสินที่เหมาะสม

A.8.1.1 บัญชีทรัพยสิน (Inventory of assets) ทรัพยสินที่เกี่ยวของกับสารสนเทศหรือการประมวลผลสารสนเทศตองมีการระบุทรัพยสินและปรับปรุงใหเปนปจจุบัน

A.8.1.2 ผูถือครองทรัพยสิน (Ownership of assets)ทรัพยสินทั้งหมดตองมีผูถือครอง

(Responsibility for assets)

A.8.1.3 การใชทรัพยสินอยางเหมาะสม (Acceptable use of assets)กฏเกณฑในการใชทรัพยสินสารสนเทศอยางเหมาะสมซึ่งเกี่ยงของกับสารสนเทศและการประมวลผลสารสนเทศ จะตองมีการกำหนดและบังคับใช

A.8.1.4 การคืนทรัพยสิน (Return of assets) เมื่อสิ้นสุดการจางงานพนักงานหรือหนวยงานภายนอกจะตองคืนทรัพยสินขององคกรทั้งหมดที่ตนถือครอง

วัตถุประสงค เพื่อใหมั่นใจไดวาสารสนเทศไดรับการปกปองตามระดับความสำคัญของสารสนเทศที่มีตอองคกร

A.8.2.1 การจัดแบงประเภทของสารสนเทศ (Classification of information)สารสนเทศตองมีการจัดแบงชั้นความลับโดยพิจารณาจากขอกำหนดทางดานกฏหมาย คุณคา ระดับความสำคัญ และระดับความออนไหวตอการถูกเปดเผยหรือการแกไข

A.8.2 การจัดชั้นความลับของสารสนเทศ(Classifcation of information)

A.8.2.2 การบงชี้สารสนเทศ (Labeling of information)ขั้นตอนปฏิบัติการบงชี้สารสนเทศจะตองมีการจัดทำขึ้นและปฏิบัติตามใหสอดคลองกับการจัดแบงประเภทของสารสนเทศ

A.8.2.3 การจัดการทรัพยสิน (Handling of assets) ขั้นตอนปฏิบัติสำหรับการจัดการทรัพยสินตองใหสอดคลองกับการจัดแบงประเภทของสนเสนเทศที่องคกรกำหนดไว

วัตถุประสงค เพื่อปองกันการเปดเผย การเปลี่ยนแปลงแกไข หรือลบทิ้งสารสนเทศที่เก็บอยูในสื่อบันทึกขอมูลโดยไมไดรับอนุญาต

A.8.3 การจัดการสื่อบันทึกขอมูล

A.8.3.1 การบริหารจัดการสื่อบันทึกที่ถอดแยกได (Management of removable media) ตองมีขั้นตอนการจัดการกับสื่อบันทึกขอมูลที่ถอดแยกไดและปฏิบัติตาม โดยจะตองมีความสอดคลองกับการจัดแบงประเภทของสารสนเทศที่องคกรกำหนดไว

A.8.3.2 การทำลายสื่อบันทึกขอมูล (Diposal of media)เมื่อไมมีการใชงานสื่อบันทึกขอมูลตองมีการทำลายอยางมั่นคงปลอดภัย

(Media Handling)

A.8.3.3 การขนยายสื่อบันทึกขอมูล (Physical media transfer)สื่อบันทึกขอมูลตองมีการปองกันการเขาถึงโดยไมไดรับอนุญาต หรือการนำไปใชผิดวัตถุประสงค หรือความเสียหายในระหวางที่ขนยาย

A.11.1 A.11.2พื้นที่ที่ตองการการรักษาความมั่นคงปลอดภัย(Secure areas)

อุปกรณ(Equipment)

environmental security)

ความมั่นคงปลอดภัยทางกายภาพและสภาพแวดลอม (Physical and A.11

วัตถุประสงค เพื่อปองกันการเขาถึงทางกายภาพโดยไมไดรับอนุญาต ความเสียหาย และการแทรกแซงการทำงาน ที่มีผลตอสารสนเทศและอุปกรณประมวลผลสารสนเทศ

A.11.1 พื้นที่ที่ตองการการรักษาความมั่นคงปลอดภัย(Secure areas)

Perimeter Building Access Interior Secure Area

A.11.1.1 ขอบเขตหรือบริเวณโดยรอบทางกายภาพ (Physical security perimeter) ตองมีการกำหนดขอบเขตหรือบริเวณโดยรอบที่ตองมีการรักษาความมั่นคงปลอดภัย

A.11.1.2 การควบคุมการเขาออกทางกายภาพ (Physical entry controls)ตองมีการควบคุมการเขาออกของพื้นที่ที่ตองการการรักษาความมั่นคงปลอดภัย โดยตองใหเขาเฉพาะผูที่ไดรับอนุญาตเทานั้น

A.11.1.3 การรักษาความมั่นคงปลอดภัยสำหรับสำนักงาน หองทำงานและอุปกรณ (Securing office, rooms and facilities) ความมั่นคงปลอดภัยทางกายภาพของสำนักงาน หองทำงาน ตองมีการออกแบบและดำเนินการ

A.11.1.4 การปองกันภัยคุกคามจากภายนอก (Protecting against external and environment threats) การปองกันภัยพิบัติทางธรรมชาติ หรือการโจมตีหรือบุกรุก หรืออุบัติเหตุตองมีการจัดทำและปฏิบัติตาม

A.11.1.5 การปฏิบัติงานในพื้นที่ตองการรักษาความมั่นคงปลอดภัย (Working in secure areas) มีขั้นตอนปฏิบัติสำหรับการปฏิบัติงานในพื้นที่ที่ตองการรักษาความมั่นคงปลอดภัย โดยตองมีการออกแบบและดำเนินการ

A.11.1.6 พื้นที่สำหรับรับสงสิ่งของ (Delivery and loading areas)ตองมีการแยกพื้นที่สำหรับรับสงสิ่งของ ซึ่งปองกันไมใหผูที่ไมไดรับอนุญาต สามารถเขาถึงได

A.11.2.1 การจัดวางและปองกันอุปกรณ (Equipment sitting and protection)อุปกรณตองมีการจัดวางและปองกันอุปกรณเพื่อลดความเสี่ยงจากภัยคุกคามและอันตรายจากผูที่ไมไดรับอนุญาต

A.11.2.2 ระบบและอุปกรณที่สนับสนุนการทำงาน (Supporting utilities)อุปกรณตางๆตองไดรับการปองกันจากที่ไมสามารถใชงานได เชน ปญหาเรื่องไฟฟา หรือปญหาอื่นๆที่ทำใหอุปกรณหยุดชะงัก

วัตถุประสงค เพื่อปองกันการสูญหาย เสียหาย การถูกขโมย หรือการเปนอันตรายตอทรัพยสินและการปองกันการหยุดชะงักตอการดำเนินการขององคกร

A.11.2 อุปกรณ(Equipment)

A.11.2.3 ความมั่นคงปลอดภัยของการเดินสายไฟฟาและสายสื่อสาร (Cabling security) การเดินสายไฟฟาและสายสื่อสารตองไดรับการปองกันจากการขัดขวางการทำงาน การแทรกแซงสัญญาณหรือการทำใหเสียหาย

A.11.2.4 การบำรุงรักษาอุปกรณ (Equipment maintenance)อุปกรณตางๆตองไดรับการบำรุงรักษาอยางตอเนื่องเพื่อใหมีความพรอมใชและใชงานไดอยางถูกตอง

A.11.2.5 การนำทรัพยสินออกนอกอาคาร (Removal of assets)อุปกรณ สารสนเทศ หรือ ซอฟตแวร ตองไดรับอนุญาตกอนจึงจะสามารถนำออกนอกอาคารได

A.11.2.6 ความมั่นคงปลอดภัยของอุปกรณและทรัพยสินที่อยูภายนอกสำนักงาน (Security of equipment and assets off-premises) ทรัพยสินที่อยูภายนอกสำนักงานตองมีการรักษาความมั่นคงปลอดภัย โดยพิจารณาจากความเสี่ยงของการปฏิบัติงานภายนอกสำนักงาน

A.11.2.7 ความมั่นคงปลอดภัยของการกำจัดหรือการนำอุปกรณกลับมาใชใหม (Secure disposal or re-use equipment) อุปกรณสื่อบันทึกขอมูลตองมีการตรวจสอบขอมูลที่มีความสำคัญหรือซอฟตแวรไดถูกลบทิ้งหรือมีการเขียนทับอยางมั่นคงปลอดภัยกอนที่จำกำจัดหรือนำกลับมาใชใหม

A.11.2.8 อุปกรณถูกทิ้งไวโดยไมมีผูดูแล (Unattended user equipment)ผูใชงานตองมั่นใจไดวาอุปกรณที่ไมมีผูดูแล ณ เวลาใดเวลาหนึ่งตองอยูในการปองกันที่ปลอดภัย

A.11.2.9 นโยบายการปลอดเอกสารสำคัญบนโตะทำงานและหนาจอคอมพิวเตอร (Clear desk and clear screen policy) มีนโยบายโตะทำงานปลอดเอกสารสำคัญหรือสื่อบันทึกขอมูลที่สำคัญและนโยบายการปองกันหนาจอคอมพิวเตอร เพื่อปองกันการเขาถึงขอมูลขององคกร

(Supplier relationships)ความสัมพันธกับผูใหบริการภายนอก A.15

A.15.1ความมั่นคงปลอดภัยสารสนเทศกับผูใหบริการภายนอก (Information security in supplier relationship)

A.15.2การบริหารจัดการการใหบริการโดยผูใหบริการภายนอก (Supplier service delivery management)

A.15.1 ความมั่นคงปลอดภัยสารสนเทศกับผูใหบริการภายนอก (Information security in supplier relationship)

วัตถุประสงค เพื่อใหมีการปองกันทรัพยสินขององคกรที่มีการเขาถึงโดยผูใหบริการภายนอก

A.15.1.1 นโยบายความมั่นคงปลอดภัยสารสนเทศดานความสัมพันธกับผูใหบริการภายนอก (Information security policy for supplier relationships)ตองมีการกำหนดขอตกลงระหวางองคกรกับผูใหบริการภายนอกถึงความมั่นคงปลอดภัยสารสนเทศเพื่อลดความเสี่ยงที่จะเกิดกับการเขาถึงของผูใหบริการภายนอก

A.15.1.2 การระบุความมั่นคงปลอดภัยในขอตกลงการใหบริการของผูใหบริการภายนอก (Addressing security within supplier agreements)ความตองการดานความมั่นคงปลอดภัยตองมีการกำหนดขึ้นกับแตละผูใหบริการภายนอกในเรื่องเกี่ยวกับการเขาถึง การประมวลผล การจัดเก็บ หรือการจัดหาโครงสรางพื้นฐานระบบสารสนเทศ

A.15.1.3 หวงโซการใหบริการสารสนเทศและการสื่อสารจากผูใหบริการภายนอก (Informationand communication technology supply chain) ขอตกลงกับผูใหบริการภายนอกตองรวมถึงความตองการเรื่องการระบุความเสี่ยงอันเกิดจากหวงโซการใหบริการเทคโนโลยีสารสนเทศและการสื่อสารโดยผูใหบริการภายนอก

A.15.2 การบริหารจัดการการใหบริการโดยผูใหบริการภายนอก (Supplier service delivery management)

วัตถุประสงค เพื่อใหมีระดับการรักษาความมั่นคงปลอดภัยหรือการใหบริการตามขอตกลงกับผูใหบริการภายนอก

A.15.2.1 การติดตามและทบทวนบริการของผูใหบริการภายนอก (Monitor and review of supplier services) ตองมีการติดตามและทบทวนการบริการของผูใหบริการภายนอกอยางสม่ำเสมอ

A.15.2.2 การบริหารจัดการการเปลี่ยนแปลงของผูใหบริการภายนอก (Managing changes to supplier services) การเปลี่ยนแปลงการใหบริการจากผูใหบริการภายนอก รวมถึงกันปรับปรุงนโยบาย ขั้นตอนหรือการควบคุมตองมีการบริหารจัดการ โดยตองนำระดับความสำคัญทางธุรกิจมาพิจารณาและมีการทบทวนและประเมินความเสี่ยง

(Information security incident management)

การบริหารจัดการสถานการณความมั่นคงปลอดภัยสารสนเทศA.16

A.16.1 การบริหารจัดการสถานการณความมั่นคงปลอดภัยสารสนเทศและการปรับปรุง (Management of information security incidents and improvemens)

H

A.16.1.1 หนาที่ความรับผิดชอบและขั้นตอนปฏิบัติ (Responsibilities and procedures)ตองมีหนาที่ความรับผิดชอบและขั้นตอนการปฏิบัติเพื่อตอบสนองกับเหตุการณที่เกิดขึ้นไดอยางทันทวงทีและมีประสิทธิภาพ

วัตถุประสงค เพื่อใหมีวิธีในการบริหารจัดการกับสถานการณความมั่นคงปลอดภัย ซึ่งรวมถึงการแจงสถานการณความมั่นคงปลอดภัยและจุดออนของระบบสารสนเทศใหผูใชทราบ

Perfect

A.16.1.2 การรายงานสถานการณความมั่นคงปลอดภัยสารสนเทศ (Reporting information security events) สถานการณความั่นคงปลอดภัยตองรายงานผานชองทางการบริหารที่เหมาะสมและรวดเร็วที่สุดเทาที่เปนไปได

A.16.1.3 การรายงานจุดออนความมั่นคงปลอดภัยสารสนเทศ (Reporting information security weakness) พนักงานหรือผูที่ทำสัญญาจางตองสังเกตและรายงานจุดออนหรือชองโหวที่พบ โดยการรายงานจะตองเปนกลไกที่งายและเขาถึงไดอยางรวดเร็ว

A.16.1.4 การประเมินและตัดสินใจตอสถานการณความมั่นคงปลอดภัยสารสนเทศ (Assessment of and decision on information security events) สถานการณความมั่นคงปลอดภัยนั้นตองมีการประเมินและตองมีการตัดสินวาสถานการณนั้นๆถูกจัดใหเปนสถานการณดานความมั่นคงปลอดภัยหรือไม

A.16.1.5 การตอบสนองตอเหตุการณความมั่นคงปลอดภัยสารสนเทศ (Response to information security incidents) สถานการณความมั่นคงปลอดภัยตองไดรับการตอบสนองเพื่อจัดการกับปญหาตามขั้นตอนการปฏิบัติที่จัดทำไว

A.16.1.6 การเรียนรูจากเหตุการณความมั่นคงปลอดภัยสารสนเทศ (Learning from incident security incidents) ความรูที่ไดจากการวิเคราะหและแกปญหาทางดานความมั่นคงปลอดภัยตองถูกนำมาใชเพื่อลดโอกาสที่จะเกิดและผลกระทบที่จะเกิดในอนาคต

A.16.1.7 การเก็บรวบรวมหลักฐาน (Collection of evidence)องคกรตองมีการกำหนดขั้นตอนการปฏิบัติสำหรับการระบุ การรวบรวม การจัดหา และการจัดเก็บสารสนเทศซึ่งสามารถใชเปนหลักฐานได

(Information security aspects ofbusiness continuity management)

ประเด็นดานความมั่นคงปลอดภัยสารสนเทศของการบริหารจัดการเพื่อสรางความตอเนื่องทางธุรกิจA.17

A.17.1ความตอเนื่องดานความมั่นคงปลอดภัยสารสนเทศ (Information security continuity)

A.17.2การเตรียมอุปกรณประมวลผลสำรอง(Redundancies)

ความตอเนื่องดานความมั่นคงปลอดภัยสารสนเทศ

(Information security continuity)

วัตถุประสงค องคกรตองมีการกำหนดการบริหารความตอเนื่อระบบสารสนเทศและความปลอดภัย

A.17.1.1 การวางแผนความตอเนื่องดานความมั่นคงปลอดภัยสารสนเทศ (Planning information security continuity) องคกรจะตองกำหนดความตองการดานความมั่นคงปลอดภัยและความตอเนื่องทางธุรกิจในสถานการณความเสียหายที่เกิดขึ้น เชน ชวงที่เกิดภัยพิบัติ

A.17.1.2 การดำเนินการสรางความตอเนื่องดานความมั่นคงปลอดภัยสารสนเทศ (Implementing information security continuity) องคกรตองกำหนดเปนลายลักษณอักษร ตั้งแตการปฏิบัติ การปรับปรุง ขั้นตอนการปฏิบัติงาน และการควบคุม เพื่อใหไดระดับความตอเนื่องดานความปลอดภัยในสถานการณความเสียหายที่เกิดขึ้น

A.17.1

A.17.1.3 การตรวจสอบ ทบทวน และการประเมินความตอเนื่องดานความมั่นคงปลอดภัยสารสนเทศ (Verify, review and evaluate information security continuity) องคกรตองมีการตรวจสอบการบริหารความตอเนื่องอยางสม่ำเสมอเพื่อใหมั่นใจไดวามาตรการเหลานั้นยังสามารถใชงานไดและมีประสิทธิภาพเมื่อเหตุการณความเสียหายเกิดขึ้น

Indentify

Analyze

DesignExecute

Measure

BCPLife Cycle

Risk Assessment

Bussiness ImpactAnalysis

Strategy Selection

Plan Development

Train , Test and Maintain

(Redundancies)วัตถุประสงค เพื่อจัดเตรียมความพรอมของอุปกรณประมวลผลสารสนเทศ

A.17.2.1 ความพรอมใชของอุปกรณประมวลผลสารสนเทศ (Availability of information processing facilities) อุปกรณประมวลผลสารสนเทศตองมีการออกแบบใหมีการสำรองเพียงพอกับความตองการดานความพรอมใชงาน

การเตรียมอุปกรณประมวลผลสำรองA.17.2

(Compliance)การปฏิบัติตามขอกำหนดA.18

A.18.1การปฏิบัติตามขอกำหนดกับความตองการดานกฏหมายและในสัญญาจาง (Compliance with legal and contractual requirements)

A.18.2การทบทวนความมั่นคงปลอดภัยสารสนเทศ (Information security reviews)

การปฏิบัติตามขอกำหนดกับความตองการดานกฏหมายและในสัญญาจาง

(Compliance with legal and contractual requirements)

วัตถุประสงค เพื่อหลีกเลี่ยงการละเมิดกฏหมาย ระเบียบขอบังคับ หรือสัญญาจางที่เกี่ยวของกับความมั่นคงปลอดภัยที่เปนความตองการดานความมั่นคงปลอดภัย

A.18.1.1 การระบุกฏหมายและความตองการในสัญญาจางที่เกี่ยวของ (Identification of applicable legislation and contractual requirements)ความตองการทั้งหมดที่เกี่ยวของกับกฏหมาย ระเบียบขอบังคับ หรือสัญญาจางตองมีการระบุไวเปนลายลักษณอักษรและปรับปรุงใหทันสมัยสำหรับแตละระบบ

A.18.1

A.18.1.2 สิทธิในทรัพยสินทางปญญา (Intellectual property rights)ขั้นตอนปฏิบัติที่เหมาะสมตองมีความสอดคลองกับ กฏหมาย ระเบียบขอบังคับ หรือสัญญาจาง ที่วาดวยทรัพยสินทางปญญาและการใชซอฟตแวรที่มีลิขสิทธิ์

A.18.1.3 การปองกันขอมูล (Protection of records)ขอมูลตองไดรับการปองกันจากการสูญหาย ทำลาย การปลอมแปลง การเขาถึงโดยไมไดรับอนุญาต และการเผยแพรโดยไมไดรับอนุญาต โดยตองสอดคลองกับกฏหมาย ระเบียบขอบังคับ สัญญาจางและความตองการทางธุรกิจ

A.18.1.4 ความเปนสวนตัวและการปองกันขอมูลสวนบุคคล (Privacy and protection of personal identifiable information)ความเปนสวนตัวและการปองกันขอมูลสวนบุคคลตองมีการดำเนินการใหสอดคลองกับกฏหมายและระเบียบขอบังคับที่เกี่ยวของ

COPYRIGHT

A.18.1.5 ระเบียบขอบังคับสำหรับการเขารหัสขอมูล (Regulation of cryptographic controls) การเขารหัสขอมูลตองมีการใชใหสอดคลองกับขอตกลง กฏหมายและ ระเบียบขอบังคับที่เกี่ยวของ

Encrypt

A’s Secret KeyA’s Public Key

Dec

rypt

A

B

C

D

การทบทวนความมั่นคงปลอดภัยสารสนเทศ(Information security reviews)

วัตถุประสงค เพื่อใหการปฏิบัติดานความมั่นคงปลอดภัยสารสนเทศสอดคลองกับนโยบายและขั้นตอนปฏิบัติขององคกร

A.18.2.1 การทบทวนอยางอิสระดานความมั่นคงปลอดภัยสารสนเทศ (Independent review of information security) วิธีในการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ซึ่งรวมถึง วัตถุประสงค มาตรการ นโยบาย กระบวนการ ขั้นตอนปฏิบัติ ตองมีการทบทวนอยางอิสระตามรอบระยะเวลาที่กำหนดหรือเมื่อมีเหตุการณเปลี่ยนแปลงที่สำคัญ

A.18.2

A.18.2.2 การปฏิบัติตามขอกำหนดตามนโยบายและมาตรฐานดานความมั่นคงปลอดภัย (Compliance with security policies and standards) ผูจัดการตองมีการทบทวนการปฏิบัติตามขอกำหนดอยางสม่ำเสมอในเรื่องของการประมวลผล ขั้นตอนปฏิบัติภายใตความรับผิดชอบของตนเอง โดยเทียบกับนโยบาย มาตรฐาน และความตองการดานความมั่นคงปลอดภัยที่เกี่ยวของ

A.18.2.3 การทบทวนการปฏิบัติตามขอกำหนดทางดานเทคนิค (Technical compliance review) ระบบจะตองไดรับการทบทวนการปฏิบัติตามขอกำหนดภายใตนโยบายและมาตรฐานการรักษาความมั่นคงปลอดภัยสารสนเทศขององคกร

(Access Control)การควบคุมการเขาถึงA.9

ความตองการทางธุรกิจสำหรับการควบคุมการเขาถึง ( Business requirements of access control)

การบริหารจัดการการเขาถึงของผูใชงาน(User access management)

หนาที่ความรับผิดชอบของผูใชงาน (User responsibilities)

การควบคุมการเขาถึงระบบ(System and application access control)

A.9.1 A.9.2

A.9.3 A.9.4

ความตองการทางธุรกิจสำหรับการควบคุมการเขาถึง

(Business requirements of access control)

วัตถุประสงค เพื่อจำกัดการเขาถึงสารสนเทศและอุปกรณประมวลผลสารสนเทศ

A.9.1.1 นโยบายการควบคุมการเขาถึง (Access control policy)ตองมีนโยบายการควบคุมการเขาถึงที่เปนลายลักษณอักษร และมีการทบทวนอยางนอยปละ 1 ครั้งโดยคณะกรรมการบริหารความมั่นคงปลอดภัยสารสนเทศ

A.9.1

A.9.1.2 การเขาถึงเครือขายและบริการเครือขาย (Access to networks and network services) ผูใชงานจะตองไดรับสิทธิในการเขาถึงเครือขายและบริการเครือขายตามสิทธิที่ไดรับการอนุมัติใหเขาถึงไดเทานั้น

employeepartner

CorperateOffice Applications

guest

การบริหารจัดการการเขาถึงของผูใชงาน(User access management)

วัตถุประสงค เพื่อปองกันผูใชที่ไมไดรับอนุญาตเขาถึงระบบ และจะตองมีการปองกันใหเฉพาะผูที่ไดรับอนุญาตเทานั้น

A.9.2.1 การลงทะเบียนและถอดถอนสิทธิผูใช (User registration and de-registration) ตองมีกระบวนการขั้นตอนในการลงทะเบียนสำหรับผูใชงานใหมและกระบวนการถอดถอนสิทธิการใชงานเมื่อออกจากองคกร

A.9.2

New UserRegistration

A.9.2.2 การจัดการสิทธิการเขาถึงของผูใชงาน (User access provisioning) ตองมีกระบวนการจัดการสิทธิการเขาถึงและการถอดถอนสิทธิผูใชงานคนที่ใชงานระบบและบริการทั้งหมดขององคกร

Network admin

HR Manager Help Desk Operator

Delegate Tasks

Manage AccountsProvision Accounts

De-Provision Accounts

A.9.2.3 การบริหารจัดการสิทธิการเขาถึงตามระดับสิทธิ (Management of privileged access right) มีกระบวนการใหสิทธิและการเขาถึงตามระดับสิทธิที่ไดรับโดยตองมีการจำกัดและควบคุม

A.9.2.4 การบริหารจัดการขอมูลความลับสำหรับการพิสูจนตัวตนของผูใช (Management of secret authentication information of users)มีการบริหารจัดการขอมูลที่ใชในการพิสูจนตัวตนผานกระบวนการจัดการที่เปนทางการ

A.9.2.5 การทบทวนสิทธิการเขาถึงของผูใชงาน (Review of user access rights) มีการทบทวนสิทธิของผูใชงานตามระยะเวลาที่กำหนด อยางนอยปละ 1 ครั้ง

A.9.2.6 การถอดถอนหรือปรับปรุงสิทธิการเขาถึง (Removal or adjustment of access rights) มีกระบวนการในการถอดถอนสิทธิของบุคคลภายนอกที่เขามาดำเนินการภายในองคกร เมื่อสิ้นสุดสัญญาจาง หรือตองมีการปรับปรุงขอมูลสิทธิใหถูกตองเมื่อมีการเปลี่ยนแปลงการจางงาน

user

password history accountlocking

setting upprofiles

password verificationpasswordexpirationand aging

Password Management

หนาที่ความรับผิดชอบของผูใชงาน(User responsibilities)

วัตถุประสงค เพื่อใหผูใชมีความรับผิดชอบในการปองกันขอมูลการพิสูจนตัวตน

A.9.3.1 การใชขอมูลการพิสูจนตัวตนซึ่งเปนขอมูลลับ (Use of secret authentication information) ผูใชตองมีการปฏิบัติตามที่องคกรกำหนดเกี่ยวกับการใชขอมูลพิสูจนตัวตน

A.9.3

วัตถุประสงค เพื่อใหผูใชมีความรับผิดชอบในการปองกันขอมูลการพิสูจนตัวตน

A.9.4.1 การจำกัดการเขาถึงสารสนเทศ (Information access restriction)การเขาถึงสารสนเทศหรือฟงกชันตางในระบบงานตองมีการควบคุมใหสอดคลองกับนโยบายการควบคุมการเขาถึง

A.9.4.2 ขั้นตอนปฏิบัติสำหรับการ login เขาระบบที่มีความสำคัญ (Secure Log-on procedures) ตองมีขั้นตอนปฏิบัติสำหรับการ login เขาระบบที่มีความมั่นคงปลอดภัย

การควบคุมการเขาถึงระบบ(System and application access control)

A.9.4

Username

Password

Last Login: July 16, 2015 14:17:34

Sorry, you have entered an invalid login name and/or password. Please try again.

mr_one

HelpForget your password?

Entering wrong password 5 times

will disable your User ID

A.9.4.3 ระบบบริหารจัดการรหัสผาน(Password management system)ระบบตองมีการโตตอบกับผูใชงาน เมื่อผูใชงานกำหนดรหัสผานไมตรงตามขอกำหนดที่ไดมีการตั้งไว

A.9.4.4 การใชโปรแกรมอรรถประโยชน (Use of privileged utility programs) การใชโปรแกรมอรรถประโยชนอาจจะมีผลกระทบกับความมั่นคงปลอดภัยของระบบ ดังนั้นจึงตองมีการจำกัดและควบคุม

A.9.4.5 การควบคุมการเขาถึงซอรสโคดของโปรแกรม (Access control to program source code) ตองมีการจำกัดและควบคุมการเขาถึงซอรสโคด

checkout checkout

WorkingCopying

Localmachine

WorkingCopying

Localmachine

Repository

Servercommit commit

updateupdate

(Cryptography)การเขารหัสขอมูลA.10

A.10.1นโยบายการใชมาตรการเขารหัสขอมูล(Policy on the use of cryptographic controls)

0110011010100101011011101010

วัตถุประสงค เพื่อใหมีการใชการเขารหัสขอมูลไดอยางเหมาะสม ในการปองกันการแกไข เปลี่ยนแปลง หรือความถูกตองของขอมูลสารสนเทศ

A.10.1.1 นโยบายการใชมาตรการเขารหัสขอมูล (Policy on the use of cryptographic controls) มีนโยบายการเขารหัสขอมูลและปฏิบัติตาม

A.10.1.2 การบริหารจัดการกุญแจ (Key management)มีนโยบายการใชงาน การปองกัน และการบริหารจัดการกุญแจ ตลอดอายุของกุญแจ

นโยบายการใชมาตรการเขารหัสขอมูล(Policy on the use of cryptographic controls)

A.10.1

(Operations security)

ความมั่นคงปลอดภัยสำหรับการดำเนินการA.12

A.12.1 ขั้นตอนการปฏิบัติงานและหนาที่ความรับผิดชอบ (Operational procedure and responsibilities)

A.12.2 การปองกันโปรแกรมไมประสงคดี (Protection from Malware)

A.12.3 การสำรองขอมูล (backup)

A.12.4 การบันทึกขอมูลล็อกและการเฝาระวัง (Logging and Monitoring)

A.12.5 การควบคุมการติดตั้งซอฟตแวรบนระบบใหบริการ (Control of operation software)

A.12.6 การบริหารจัดการชองโหวทางเทคนิค (Technical Vulnerability Management)

A.12.7 สิ่งที่ตองพิจารณาในการตรวจประเมิน (Information System Audit Considerations)

ขั้นตอนการปฏิบัติงานและหนาที่ความรับผิดชอบ

(Operational procedure and responsibilities)

วัตถุประสงค เพื่อใหการปฏิบัติงานกับอุปกรณที่ใชในการประมวลผลสารสนเทศเปนไปอยางถูกตองและปลอดภัย

A.12.1.1 ขั้นตอนการปฏิบัติงานที่เปนลายลักษณอักษร (Documented Operating Procedures) เอกสารขั้นตอนการปฏิบัติงานจะตองเปนลายลักษณอักษรและสามารถเขาถึงไดโดยผูที่ไดรับอนุญาตเทานั้น

A.12.1.2 การบริหารจัดการการเปลี่ยนแปลง (Change Management)การเปลี่ยนแปลงคาของอุปกรณตางๆมีผลกระทบกับองคกร ดังนั้นเมื่อมีการเปลี่ยนแปลงตองมีการประเมินความเสี่ยงและมีการควบคุมการดำเนินการ

A.12.1

A.12.1.3 การบริหารจัดการขีดความสามารถของระบบ (Capacity management) การติดตามการใชงานทรัพยากรของระบบสารสนเทศ เพื่อใชในการพยากรณและปรับปรุงระบบเพื่อใหรองรับการเพิ่มเติมในอนาคต

A.12.1.4 การแยกสภาพแวดลอมสำหรับการพัฒนา การทดสอบ และการใหบริการออกจากกัน (Seperation of development, testing and operatinal environments) เครื่องที่ใหบริการผูใชงาน จะตองทำการแยกออกจากเครื่องที่ใชในการพัฒนาระบบหรือเครื่องทดสอบ เพื่อปองกันปญหาจากการแกไขระบบโดยผูที่ไมไดรับอนุญาต

monitor analysis tuning implement

A.12.2

วัตถุประสงค เพื่อใหระบบสารสนเทศถูกปองกันจากโปรแกรมไมประสงคดี

A.12.2.1 มาตรการปองกันโปรแกรมไมประสงคดี (Controls against malware)มีมาตรการในการปองกัน และกูคืนขอมูลจากโปรแกรมไมประสงคดีและมีการดำเนินการสรางความตระหนักกับผูใชงาน

การปองกันโปรแกรมไมประสงคดี(Protection from Malware)

A.12.3

วัตถุประสงค เพื่อปองกันขอมูลสูญหาย

A.12.3.1 การสำรองขอมูล (Information backup) ขอมูลที่ทำการสำรอง เชน ฐานขอมูล หรือขอมูลที่เปนอิมเมจ จะตองมีการสำรองไวตามที่กำหนดและจะตองมีการทดสอบความพรอมใชของขอมูลสม่ำเสมอตามนโยบายที่กำหนดไว

การสำรองขอมูล(backup)

วัตถุประสงค เพื่อใหมีการบันทึกเหตุการณตางๆที่เกิดขึ้นและจัดทำหลักฐานA.12.4.1 การบันทึกขอมูลล็อกแสดงเหตุการณ (Event Logging)ขอมูลล็อกที่บันทึกกิจกรรมของผูใชงาน ตองมีการจัดเก็บ การทำงานของระบบที่ไมเปนปกติ ความผิดพลาดของระบบ และเหตุการณความมั่นคงปลอดภัย ตองมีการจัดเก็บและมีการทบทวน อยางสม่ำเสมอ

A.12.4.2 การปองกันขอมูลล็อก (Protection of log information)อุปกรณที่ใชในการบันทึกขอมูลล็อก ตองมีการปองกันใหผูที่ไดรับอนุญาตเทานั้นที่สามารถเขาไปดูหรือทำการเปลี่ยนแปลงแกไข

A.12.4 การบันทึกขอมูลล็อกและการเฝาระวัง(Logging and Monitoring)

A.12.4.3 ขอมูลล็อกและกิจกรรมของผูดูแลระบบและเจาหนาที่ปฏิบัติการระบบ (Adminstrator and Operator logs) ตองมีการจัดเก็บขอมูลล็อกของผูดูแลระบบ และตองมีการปองกันและทบทวนอยูเสมอ

A.12.4.4 การตั้งนา�ิกาใหถูกตอง (Clock Synchronization) ระบบที่เกี่ยวของทั้งหมดตองมีการตั้งนา�ิกาใหถูกตองเทียบกับแหลงอางอิงเวลา

วัตถุประสงค เพื่อใหระบบใหบริการมีการทำงานที่ถูกตอง

A.12.5.1 การติดตั้งซอฟตแวรบนระบบที่ใหบริการ (Installation of software on Operational Systems) การติดตั้งซอฟตแวรบนระบบที่ใหบริการตองมีการควบคุมและตองมีการปฏิบัติใหสอดคลองกับนโยบายที่ไดประกาศไว

A.12.5 การควบคุมการติดตั้งซอฟตแวรบนระบบใหบริการ

(Logging and Monitoring)

วัตถุประสงค เพื่อปองกันไมใหมีการใชประโยชนจากชองโหวทางเทคนิค

A.12.6.1 การบริหารจัดการชองโหวทางเทคนิค (Management of technical vulnerabilities) ขอมูลชองโหวทางเทคนิคตองมีการติดตามเพื่อปองกันอยางทันทวงที โดยจะตองมีการประเมินความเสี่ยงของชองโหวที่เกิดขึ้น วาถาเกิดแลวมีผลกระทบกับระบบมากนอยเพียงใด และตองหามาตรการวาจะดำเนินการอยางไร

A.12.6.2 การจำกัดการติดตั้งซอฟตแวร (Restrictions on Software installation) การควบคุมการติดตั้งซอฟตแวรโดยผูใชงานตองมีการกำหนดและควบคุม

A.12.6 การบริหารจัดการชองโหวทางเทคนิค(Technical Vulnerability Management)

วัตถุประสงค เพื่อลดผลกระทบของกิจกรรมการตรวจประเมินบนระบบใหบริการ

A.12.7.1 มาตรการการตรวจประเมินระบบ (Information system audit controls) การตรวจประเมินตองมีการตกลงรวมกันวาจะดำเนินการตรวจอยางไร เพื่อปองกันปญหาการหยุดชะงักของการใหบริการที่จะมีผลตอกระบวนการทางธุรกิจ

A.12.7 สิ่งที่ตองพิจารณาในการตรวจประเมิน(Information System Audit Considerations)

(Communications security)A.13 ความมั่นคงปลอดภัย

สำหรับการสื่อสารขอมูล

A.13.1การบริหารจัดการความมั่นคงปลอดภัยของเครือขาย (Network Security Management)

A.13.2การถายโอนสารสนเทศ (Information transfer)

การบริหารจัดการความมั่นคงปลอดภัยของเครือขาย

(Network Security Management)

วัตถุประสงค เพื่อใหมีการปองกันสารสนเทศในเครือขายและอุปกรณประมวลผลระบบสารสนเทศ

A.13.1.1 มาตรการเครือขาย (Network Controls) เครือขายตองมีระบบบริหารจัดการเครือขายเพื่อปองกันสารสนเทศในระบบตางๆ

A.13.1.2 ความมั่นคงปลอดภัยสำหรับบริการเครือขาย (Security of network services) ระดับการใหบริการเครือขาย และความตองการของผูบริหาร ตองมีการระบุไวในขอตกลงการใหบริการเครือขาย ซึ่งการใหบริการนี้จะรวมถึงการใหบริการที่องคกรใหบริการเอง หรือการจางการใหบริการก็ตาม

A.13.1

A.13.1.3 การแบงแยกเครือขาย (Segregation in networks) ตองมีการแบงแยกเครือขายระหวาง ผูใชงานระบบ ผูดูแลระบบ และบริการสารสนเทศจะตองมีการจัดแบงแยกออกจากกัน

การถายโอนสารสนเทศ(Information transfer)

วัตถุประสงค เพื่อใหการรักษาความมั่นคงปลอดภัยของสารสนเทศมีการถายโอนภายในองคกรและถายโอนไปยังภายนอกองคกร

A.13.2.1 นโยบายและขั้นตอนปฏิบัติสำหรับการถายโอนสารสนเทศ (Information transfer policies and procedures) นโยบาย ขั้นตอนปฏิบัติและมาตรการสำหรับการถายโอนสารสนเทศ เพื่อปองกันการสูญหายหรือการเปลี่ยนแปลงโดยผูที่ไมไดรับอนุญาต

A.13.2.2 ขอตกลงสำหรับการถายโอนสารสนเทศ (Agreements on information transfer) ขอตกลงระหวางองคกรหรือหนวยงานในการถายโอนขอมูล เพื่อความปลอดภัยของระบบสารสนเทศ

A.13.2

A.13.2.3 การสงขอความทางอิเล็กทรอนิกส (Electronic messaging)สารสนเทศที่เกี่ยวของกับการสงขอความทางอิเล็กทรอนิกสตองไดรับการปองกันอยางเหมาะสม

A.13.2.4 ขอตกลงการักษาความลับหรือการไมเปดเผยความลับ (Confidentiality or non-disclosure agreements) ความตองการในการรักษาความลับหรือการไมเปดเผยความลับขององคกรในการปองกันขอมูลระบบสารสนเทศ ตองมีการทบทวนและบันทึกไวเปนลายลักษณอักษร

(System Acquisition, Development and maintenance)A.14 การจัดหา การพัฒนา

และการบำรุงรักษาระบบ

A.14.1 ความตองการดานความมั่นคงปลอดภัย(Security requirements of information systems)

A.14.2 ความมั่นคงปลอดภัยสำหรับกระบวนการพัฒนาและสนับสนุน (Security in development and support processes)

A.14.3 ขอมูลสำหรับการทดสอบ (Test data)

วัตถุประสงค เพื่อใหการบริหารจัดการสารสนเทศองครวมเปนไปดวยความปลอดภัยทั้งกระบวนการ โดยตองรวบรวมขอกำหนดทางดานความปลอดภัยเขาไปในกระบวนการทั้งระบบ และรวมถึงสารสนเทศที่มีการสงขอมูลผานเครือขายสาธารณะ

A.14.1.1 การวิเคราะหและกำหนดความตองการดานความมั่นคงปลอดภัยสารสนเทศ (Information security requirements analysis and specification) ความตองการเรื่องของความปลอดภัยในระบบสารสนเทศ ตองถูกรวมเขาไปอยูในกระบวนการจัดหาและพัฒนาระบบ ตลอดจนการปรับปรุงที่มีอยู

A.14.1 ความตองการดานความมั่นคงปลอดภัย(Security requirements of information systems)

Login

Password

A.14.1.2 ความมั่นคงปลอดภัยของบริการสารสนเทศบนเครือขายสาธารณะ (Securing application services on public networks) สารสนเทศที่มีการสงผานเครือขายสาธารณะตองไดรับการปองกันจากการถูกเปดเผยหรือเปลี่ยนแปลงแกไขโดยไมไดรับอนุญาต

A.14.1.3 การปองกันธุรกรรมของบริการสารสนเทศ (Protecting application services transactions) สารสนเทศที่เกี่ยวของกับธุรกรรมของบริการสารสนเทศ ตองไดรับการปองกันจากการรับสงขอมูลที่ไมสมบูรณ หรือขอมูลถูกเปลี่ยนแปลงแกไขโดยไมไดรับอนุญาต

วัตถุประสงค เพื่อใหการออกแบบและพัฒนาระบบสารสนเทศมีความมั่นคงปลอดภัย

A.14.2.1 นโยบายการพัฒนาระบบใหมีความมั่นคงปลอดภัย (Secure development policy) ตองมีการกำหนดขอตกลงในการพัฒนาระบบใหมีความมั่นคงปลอดภัยและตองมีการตรวจสอบวามีการปฏิบัติตามขอตกลงที่ไดตั้งไวหรือไม

A.14.2.2 ขั้นตอนปฏิบัติสำหรับควบคุมการเปลี่ยนแปลงระบบ (System Change control procedures) การเปลี่ยนแปลงระบบตองมีการกำหนดขั้นตอนปฏิบัติและศึกษาผลกระทบที่จะเกิดขึ้นแลวกอนที่จะดำเนินการตองมีการอนุมัติจากผูที่มีอำนาจและมีการรายงานผลการดำเนินการทุกครั้ง

A.14.2 ความมั่นคงปลอดภัยสำหรับกระบวนการพัฒนาและสนับสนุน

(Security in development and support process)

A.14.2.3 การทบทวนทางเทคนิคตอระบบหลังจากการเปลี่ยนแปลงโครงสรางพื้นฐานระบบ (Technical review of applications after operating platform changes) การดำเนินการเปลี่ยนแปลงโครงสรางพื้นฐานระบบที่สำคัญตองมีการทบทวนเพื่อใหมั่นใจไดวาไมมีผลกระทบในการปฏิบัติงานและดานความมั่นคงปลอดภัย

A.14.2.4 การจำกัดการเปลี่ยนแปลงซอฟตแวรสำเร็จรูป (Restrictions on changes to software packages) การเปลี่ยนแปลงซอฟตแวรสำเร็จรูป ตองมีการจำกัดการเปลี่ยนแปลงหรือเปลี่ยนแปลงเทาที่จำเปนเทานั้น และตองมีการตรวจสอบอยางรัดกุม

A.14.2.5 หลักการวิศวกรรมระบบดานความมั่นคงปลอดภัย (Secure system engineering principles) ตองมีการกำหนดหลักการวิศวกรรมระบบใหมีความปลอดภัย โดยตองมีการกำหนดเปนลายลักษณอักษร และมีการปรับปรุงอยางตอเนื่อง และสามารถประยุกตใชในการพัฒนาระบบได

A.14.2.6 สภาพแวดลอมของการพัฒนาระบบที่มีความมั่นคงปลอดภัย (Secure development environment) องคกรตองมีการกำหนดและปองกันสภาพแวดลอมที่เหมาะสม ขอมูลที่มีความออนไหวจะตองถูกเก็บและประมวลผลอยางมั่นคงปลอดภัย

A.14.2.7 การจางหนวยงานภายนอกพัฒนาระบบ (Outsourced development)ตองมีการควบคุมดูแลการพัฒนาระบบที่มีการจัดจางจากหนวยงานภายนอกใหมีการดำเนินการดานความมั่นคงปลอดภัย

A.14.2.8 การทดสอบดานความมั่นคงปลอดภัยของระบบ (System security testing) ตองมีการทดสอบความมั่นคงปลอดภัยของระบบในชวงที่กำลังดำเนินการพัฒนาและมีการทดสอบกอนที่จะเริ่มใชงานจริง

A.14.2.9 การทดสอบเพื่อรองรับระบบ (System acceptance testing)ตองมีการทำแผนการทดสอบเพื่อรับรองระบบสำหรับระบบใหม หรือระบบที่มีการปรับปรุงใหม

ขอมูลสำหรับการทดสอบ(Test data)

วัตถุประสงค เพื่อปองกันขอมูลที่จะนำมาใชในการทดสอบ

A.14.3.1 การปองกันขอมูลสำหรับการทดสอบ (Protection of test data)ขอมูลสำหรับการทดสอบ ตองเปนขอมูลที่ใชในการทดสอบเทานั้น เพราะขอมูลบางขอมูลเปนขอมูลที่เปนความลับตองมีการใชงานอยางรัดกุมและมีการควบคุมการใชงาน

A.14.3

PlanDo

Check

Act

Resources

http://www.iso27001security.com/

http://www.informationshield.com/papers/ISO27002-2013%20Version

%20Change%20Summary.pdf

http://cae2y.morainevalley.edu/Compete/Resources/ISO_IEC_27002.pdf

http://www.standards-online.net/27001en1/iso27001-2013.pdf

http://www.infosecinstitute.com/ISO27002-Security-Framework-

Audit-Program.pdf

http://www.slideshare.net/YounessFarah/iso-iec-270022013-code-of-

practice-for-is-management-original

ISO หลักสูตรฝกอบรมเชิงปฏิบัติการสำหรับผูทำงานทางเทคนิค ตามมาตรฐาน ISO 27001 : 2013

สวทช รุนที่ 2

Thank you