BITCOIN

 You can mine bitcoin with?

High  End  Graphical processing  Units ( GPUS)

APPLICATION SPECIFIC Integrated Circuits (ASICs)

Field programmable Gate Arrays (FPGAs)

ISO27001: 2013 requirements in Thai Language

 ISO27001:2013 Requirement13 การประเมินความเสี่ยงกับระบบที่รับผิดชอบ วิเคราะหแบบประเมินประกอบการพิจารณา การดำเนินงานตามแนวนโยบายและแนวปฏิบัติ ในการรักษาความมั่นคงปลอดภัย ของหนวยงาน ภาครัฐ ISO27001:2013 ISO/IEC 27001 Information Technology -Security Techniques-Information security management systems-Requirements ISO/IEC27002 – Code of practice for information security controls ISO27001:2013 Security Model (CIA) Availability Integrity Confidentiality Information security - Confidentiality , Integrity and Availability (CIA) How does ISO 27001 Work Risk assessment and treatment Sefeguard implementation ISO 27001 framework 4 essential business benefits that company can achieve with implement information security standard Why is ISO 27001 good for your company? Comply with legal requirement Achieve marketing advantage Lower Costs Better organization 01 03 04 02 Where does information security management fit in a company Risk management Information security Cybersecurity Business continuity Information technology Following 16 steps How to implement ISO 27001 1) Get top management support 2) Use project management methodology 3) Define the ISMS scope 4) Write the top-level Information security policy 5) Define the Risk assessment methodology 6) Perform the risk assessment and risk treatment 7) Write the Statement of Applicability 8) Write the Risk treatment plan How to implement ISO 27001 9) Define how to measure the effectiveness of your controls and of your ISMS 10) Implement all applicable controls and procedures 11) Implement training and awareness programs 12) Perform all the daily operations prescribed by your ISMS documentation 13) Monitor and measure your ISMS 14) Perform internal audit 15) Perform management review 16) Implement corrective actions ISO27001:2013 clauses Clause 0 : Introduction Clause 1 : Scope Clause 2 : Normative references Clause 3 : Terms and definitions Clause 4 : Context of the organization Clause 5 : Leadership Clause 6 : Planning Clause 7 : Support Clause 8 : Operation Clause 9 : Performance evaluation Clause 10 : Improvement ISO27001:2013 4. บริบทขององคกร 5. ภาวะผูนำ 6. การวางแผน 7. การสนับสนุน 5.1 ภาวะผูนำและการใหความสำคัญ 5.2 นโยบาย 5.3 บทบาทหนาที่และความรับผิดชอบ 7.1 ทรัพยากร 7.2 สมรรถนะ 7.3 การสรางความตระหนัก 7.4 การสื่อสารใหทราบ 7.5 สารสนเทศที่เปนลายลักษณ อักษร 6.1 การดำเนินการเพื่อจัดการกับความเสี่ยงและโอกาส 6.2 วัตถุประสงคดานความมั่นคงปลอดภัยสารสนเทศ และแผนการบรรลุวัตถุประสงค 4.1 การทำความเขาใจกับบริบทขององคกร 4.2 การกำหนดความจำเปนและความคาดหวัง ขององคกร 4.3 การกำหนดขอบเขตการบริหารจัดการความมั่นคง ปลอดภัยของระบบสารสนเทศ 4.4 ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ Plan ISO27001:2013 8. การดำเนินการ 9. การประเมินประสิทธิภาพ และประสิทธิผล 10. การปรับปรุง 8.1 การวางแผนที่เกี่ยวของกับการควบคุม 8.2 การประเมินความเสี่ยงดานความมั่นคง ปลอดภัยของสารสนเทศ 8.3 การจัดการความเสี่ยงดานความมั่นคง ปลอดภัยสารสนเทศ 10.1 ความไมสอดคลองและ การดำเนินการแกไข 10.2 การปรับปรุงอยางตอเนื่อง 9.1 การประเมินผลกระทบที่เกิดขึ้น 9.2 การตรวจสอบภายใน 9.3 การทบทวนของผูบริหาร Do Action Check Information Security Controls Annex A. Reference control objectives and controls 114 controls in 14 sections from A.5.* to A.18.* Overview of ISO 27001:2013 Annex A Ref. Section Controls Content A.5 Information security policies 2 Management direction A.6 Organization of information 7 Internal organization A.7 Human resource security 6 Prior to, during employment, termination and change A.8 Asset management 10 Responsibilities, information classification, media handling A.9 Access Control 14 Business requirements, user management and responsibilities, system and application access control A.10 Cryptography 2 Cryptographic controls A.11 Physical and environmental security 15 Secure areas, equipment A.12 Operations security 14 Procedures and responsibilities, malware protection , backup process, Logging and monitoring, operational software, technical vulnerabilities, system audits Overview of ISO 27001:2013 Annex A Ref. Section Controls Content A.13 Communications security 7 Network security, Information transfer A.14 System acquisition, development and maintenance 13 Security requirements, development and support, test data A.15 Supplier relationships 5 Information security in supplier relationships, service delivery A.16 Information security incident management 7 Management of incidents, improvement ISMS A.17 Information security aspects of business continuity 4 Continuity, redundancy A.18 Compliance 8 Legal and contractual compliance, reviews Asset Management and Risk Assessment Workshop outline 1 Asset inventory Risk Assessment Threat the risks 2 3 Asset Inventory Asset is anything that has value to the organization [iso/iec 13335-1:2004] ทรัพยสินแบงออกเปน 5 ประเภท ดวยกันคือ 1. Hardware เชน เครื่อง server, อุปกรณ network (switch, router) , Firewall ในขอบเขต 2. Software เชน os , software application ขององคกรในขอบเขต 3. Information เชน ขอมูลสำคัญขององคกร เอกสารคูมือ ขั้นตอนปฏิบัติ ในขอบเขต 4. Service เชน บริการที่องคกรใหบริการแกผูใชงานทั้งภายในและ ภายนอกองคกรภายใตขอบเขต 5. People เชน ผูบริหาร เจาหนาที่ที่เกี่ยวของในขอบเขต Asset Inventory Security Team Log Server Mail Server AD Server System Admin Network Admin Firewall Internet Switch (Logical) System Specification Mail server - system admin team * (OS) - Centos * Software - Apache web server - Mysql Database - Zimbra webmail - Syslog-ng - Nagios - AVG client - Tripwire Directory Server - (OS) - Window server 2008 Software - Microsoft Active Directory Server Log Server - security team - (OS) – Centos - Software - Phpsyslog - Syslog-ng Firewall - network admin team - Os : Centos - Software - Pfsense - AVG server Risk Assessment Asset Valuation Identify Risks Assess Risks Treat Risks 01 03 04 02 Asset Valuation Confidentiality Integrity Availability C I A Asset Valuation แนวทางการพิจารณาความสูญเสียองคประกอบดานความมั่นคง ปลอดภัย (CIA) สำหรับทรัพยสินแตละประเภท ประเภท ทรัพยสิน Hardware Hardware มีขอมูลที่สำคัญ ถูกเขาถึงโดยผูที่ไมได รับอนุญาต Hardware มีขอมูลสำคัญ ถูกเขาถึงและแกไขขอมูล โดยผูที่ไมไดรับอนุญาต Hardware ไมสามารถ ทำงานได Software Software มีการเชื่อมโยง ขอมูลถึงขอมูลสำคัญ ถูกเขาถึงโดยไมได รับอนุญาต Software ที่มีการเชื่อมโยง ถึงขอมูลที่สำคัญถูกแกไข Software ไมสามารถ ใชงานได สูญเสีย C สูญเสีย I สูญเสีย A ประเภท ทรัพยสิน Information ขอมูลถูกเขาถึงโดยไมได รับอนุญาต ขอมูลถูกเขาถึงและแกไข โดยผูที่ไมไดรับอนุญาต ไมมีขอมูลเมื่อตองการ ใชงาน Service ผูใหบริการภายนอกมีสิทธิ์ เขาถึงขอมูลสำคัญและนำไป เปดเผยโดยไมไดรับ ผูใหบริการภายนอกมีสิทธิ์ เขาถึงขอมูลสำคัญและแกไข ผูใหบริการภายนอก ไมสามารถใหบริการได สูญเสีย C สูญเสีย I สูญเสีย A People คนมีสิทธิ์เขาถึงขอมูลสำคัญ และนำไปเปดเผยโดยไมไดรับ - คนมีสิทธิ์เขาถึงขอมูลสำคัญ และแกไขขอมูลโดยไมไดรับ อนุญาต หรือ - คนมีความรูความสามารถ (Competency) ไมตรงกับ หนาที่ความรับผิดชอบ คนไมสามารถปฏิบัติงานได ตามปกติ Impact Analysis – Financial (F) ผลกระทบดานการเงิน (Financial) ระดับความรุนแรง ลักษณะผลกระทบ คะแนน สูงมาก มีผลกระทบดานการใชทรัพยากรเพิ่ม มากกวา 1 สัปดาห 5 สูง มีผลกระทบดานการใชทรัพยากรเพิ่ม 1 สัปดาห 4 ปานกลาง มีผลกระทบดานการใชทรัพยากรเพิ่ม 3 – 5 วัน 3 นอย มีผลกระทบดานการใชทรัพยากรเพิ่ม 1 – 3 วัน 2 นอยมาก มีผลกระทบดานการใชทรัพยากรเพิ่ม 1 วัน 1 Impact Analysis – Operation (O) ผลกระทบดานการทำงาน (Operation) ระดับความรุนแรง ลักษณะผลกระทบ คะแนน สูงมาก Total disruption จนทำงานไมได และกอผลกระทบตอการทำงานของระบบ สำคัญทั้งหมด สงผลตอผูใชงาน 5 สูง ระบบสำคัญ ระบบความปลอดภัย / ระบบที่สำคัญ หยุดชะงักบางระบบหรือ บางฟงกชัน สงผลตอผูใชงาน 4 ปานกลาง ระบบสนับสนุนสำคัญหยุดชะงักมีผลตอ การดำเนินการภายในกลุมงาน และตองใช หนวยงานภายนอกในการแกไข 3 นอย มีปญหาเล็กนอยแกไขได ในระดับกลุมงาน 2 นอยมาก ไมมีปญหา 1 Impact Analysis – Reputation (R) ผลกระทบดานชื่อเสียงภาพลักษณ (Reputation) ระดับความรุนแรง ลักษณะผลกระทบ คะแนน สูงมาก กระทบชื่อเสียงขององคกรมาก ทำให เกิดความไมพอใจจากสาธารณะ เชน การแสดงความคิดเห็นคัดคานผานสื่อตางๆ 5 สูง กระทบชื่อเสียงขององคกรมาก ทำให เกิดความไมพอใจจากสาธารณะ เชน การเขียนวิจารณ 4 ปานกลาง กระทบชื่อเสียงองคกร โดยมีการรายงาน ตอผูบริหารระดับสูง 3 นอย กระทบชื่อเสียงองคกรนอย ภายในกลุมงาน 2 นอยมาก กระทบชื่อเสียงองคกรนอยมากหรือไมกระทบ 1 Impact Analysis – Compliance (C) ผลกระทบดานกฎหมาย, ระเบียบ/กฎเกณฑ, นโยบายและขั้นตอนปฎิบัติ (Compliance) ระดับความรุนแรง ลักษณะผลกระทบ คะแนน สูงมาก ขัดตอกฎหมาย พระราชบัญญัติที่เกี่ยวของ เชน พรบ. เปนตน 5 สูง ขัดตอนโยบายและแนวปฎิบัติทั่วไป ในระดับองคกร 4 ปานกลาง ขัดตอนโยบายและแนวปฎิบัติเฉพาะกลุมงาน 3 นอย ขัดตอกระบวนการปฎิบัติงานทีม 2 นอยมาก ไมมีผลตอการปฎิบัติตามกฎหาย ระเบียบ และขอบังคับที่เกี่ยวของ 1 Identify Risks Risk = Vulnerability and Threat vulnerability threat vulnerability Server Control threat Room H 01 03 02 Assess Risks Risk Value Residual Risk Risk Response Assess Risks Risk Value = Impact x Likelihood โอกาสของการเกิดความเสี่ยง (Likelihood) ระดับโอกาส เกิดความเสี่ยง โอกาส/ความถี่ คะแนน สูงมาก เกิดเปนประจำ อยางนอยเดือนละ 1 ครั้ง 5 สูง คอนขางบอย ปละ 6 – 10 ครั้ง 4 ปานกลาง ปานกลาง ปละ 3 – 5 ครั้ง 3 นอย โอกาสเกิดนอยหรืออยางมาก ไมเกินปละ 2 ครั้ง 2 นอยมาก ไแทบจะไมเกิดหรืออยางมากปละ 1 ครั้ง 1 Assess Risks เกณฑการประเมินระดับความเสี่ยง (Risk Assessment Matrix) ผลกระทบ (Impact) โอกาส (Likelihood) สูงมาก สูงมาก สูง สูง ปานกลาง ปานกลาง นอย นอย นอย นอยมาก 5 4 3 2 1 10 8 6 4 2 15 12 9 6 3 20 16 12 8 4 25 20 15 10 5 Assess Risks Residual Risk = The risk remaining after risk treatment [ISO/IEC Guide 73:2002] Treat the risks Select option to treat the risks Risk Response Risk Response การหลีกเลี่ยงความเสี่ยง เมื่อเปนความเสี่ยงที่เราไมตองการ เชน ความเสี่ยงที่ให ผลตอบแทนนอยหรือเปนความเสี่ยงที่เราสามารถบริการ และควบคุมได เราจะหลีกเลี่ยงความเสี่ยงโดยจะไมยอมรับ ความเสี่ยงนั้น หรือเปลี่ยนเปาหมาย/วัตถุประสงค หรือขจัดความเสี่ยงนั้นทิ้งไป การลดความเสี่ยง ใชกับความเสี่ยงที่เรายอมรับเราจะลดความเสี่ยงไดโดน การลดระดับความนาจะเปน หรือกาสที่จะเกิด (Likelihood) และลดระดับความรุนแรงของผลกระทบจากปจจัยเสี่ยงนั้น คำอธิบาย Select option to treat the risks Risk Response การถายโอนความเสี่ยง เปนการใหผูอื่นมาเปนผูรับผิดชอบความเสี่ยงและ ความเสียหายที่จะเกิดขึ้นแทนเราเชนการทำประกัน (Insurance) และการรับเหมาชวง (Outsource) การคงความเสี่ยงไว เปนการคงความเสี่ยงเอาไวใหอยูในระดับปจจุบันแมจะรูวา อาจจะเกิดผลกระทบจากความเสี่ยงนั้นตามมาแตก็เต็มใจ ที่จะดูผลที่เกิดและใชวิธีการเดิมตอไปในการควบคุมและ จัดการความเสี่ยงเนื่องดวยเหตุผลบางประการ คำอธิบาย นโยบายความมั่นคงปลอดภัยสารสนเทศ A.5 (Information Security Policy) A.5.1 ทิศทางการบริหารจัดการความมั่นคงปลอดภัย (Management direction for information security) วัตถุประสงคเพื่อใหมีการกำหนดทิศทางการบริหารการจัดการความมั่นคง ปลอดภัยและการสนับสนุนดานความมั่นคงปลอดภัยตามขอกำหนดทางธุรกิจ และกฏหมายที่เกี่ยวของ นโยบายการรักษาความมั่นคงปลอดภัย (Policies for information security) นโยบายการรักษาความมั่นคงปลอดภัย ตองมีการจัดทำขึ้น และไดรับการรับรอง จากผูบริหารหนวยงานแลประกาศหรือ มีการสื่อสารกับบุคลากรและบุคคลภายนอก ที่เกี่ยวของใหทราบถึงนโยบายนี้ การทบทวนนโยบายการรักษาความมั่นคงปลอดภัย (Review of the policies for information security) นโยบายการรักษาความมั่นคงปลอดภัยตองมี การทบทวนอยางนอยปละ 1 ครั้งหรือมีการเปลี่ยนแปลง ที่มีสาระสำคัญเกิดขึ้น เพื่อใหมั่นใจวานโยบายการรักษา ความมั่นคงปลอดภัยมีความเหมาะสม เพียงพอและ มีประสิทธิภาพ A.5.1.1 A.5.1.2 policy access control , information classification, physical security etc. ตองมีคำนิยามหลักๆ เชน โครงสรางความมั่นคงปลอดภัยของสารสนเทศ A.6 (Organization of information security) A.6.1 A.6.2 โครงสรางภายในองคกร (Internal organization) อุปกรณพกพาและการปฏิบัติงานจากระยะไกล (Mobile devices and teleworking) A.6.1 โครงสรางภายในองคกร (Internal organization) วัตถุประสงค เพื่อใชเปนกรอบในการบริหารความมั่นคงปลอดภัยโดยจะตองมีการเริ่มตน และควบคุมการปฏิบัติงานและดำเนินการดานความมั่นคงปลอดภัยภายในองคกร A.6.1.1 บทบาทและหนาที่ความรับผิดชอบดานความมั่นคงปลอดภัย (Information security roles and responsibilities) ตองมีการกำหนดและมอบหมายหนาที่รับผิดชอบดานความมั่นคงปลอดภัย A.6.1.2 การแบงแยกหนาที่ความรับผิดชอบ (Segregation of duties) หนาที่และความรับผิดชอบอาจจะกอใหเกิดการขัดแยงกัน ดังนั้นจึงตองมีการแบงแยก เพื่อลดโอกาสที่จะเกิดการที่ไมไดรับอนุญาตหรือการใชงานทรัพยสินภายในองคกร ผิดวัตถุประสงค A.6.1.3 การติดตอกับหนวยงานผูมีอำนาจ (Contact with authorities) การติดตอกับหนวยงานผูมีอำนาจตองรักษาไวอยางตอเนื่อง A.6.1.4 การติดตอกับกลุมคนที่มีความสนใจพิเศษในเรื่องเดียวกันรวมกัน (Contact with special interest groups) การติดตอกับกลุมคนที่มี ความเชี่ยวชาญหรือสนใจในเรื่องเดียวกันตองรักษาไวอยางตอเนื่อง A.6.1.5 การรักษาความมั่นคงปลอดภัยสารสนเทศในการบริหารโครงการ (Information security in project management) การบริหารโครงการตองมี การระบุประเด็นเรื่องของการรักษาความมั่นคงปลอดภัยเขาไปดวย A.6.2 อุปกรณพกพาและการปฏิบัติงานจากระยะไกล วัตถุประสงค เพื่อใหมีความมั่นใจในการใชงานอุปกรณพกพาและการปฏิบัติงานจากระยะไกล A.6.2.1 นโยบายสำหรับอุปกรณคอมพิวเตอรพกพา (Mobile device policy) นโยบายและมาตรการสนับสนุนสำหรับการใชงานอุปกรณแบบพกพา ตองมีการบริหารจัดการ ความเสี่ยงตออุปกรณพกพา A.6.2.2 การปฏิบัติงานจากระยะไกล (Teleworking) นโยบายและมาตรการสนันสนุน การปฏิบัติงานจากระยะไกล โดยตองมีการปองกันการเขาถึง การประมวลผล หรือการจัดเก็บ จากการปฏิบัติงานระยะไกล (Mobile devices and teleworking) register mobile device, physical protection, restricion of software installation, patch mobile device, access control , malware protection, backup เปนตน อาจจะตองมี policy เรื่อง BYOD ความมั่นคงปลอดภัยสำหรับทรัพยากรบุคคล A.7 (Human Resource Security) A.7.1 A.7.2 A.7.3 กอนการจางงาน (Prior to employment) ระหวางการจางงาน (During employment) การสิ้นสุดหรือ การเปลี่ยนการจางงาน (Termination and change of employment) A.7.1 กอนการจางงาน (Prior to employment) A.7.1 วัตถุประสงค เพื่อใหพนักงานและผูที่ทำสัญญาจางเขาใจในบทบาทและหนาที่ ความรับผิดชอบ และมีความเหมาะสมตามบทบาทหนาที่ของตน A.7.1.1 การคัดเลือก (Screening) ตองมีการตรวจสอบประวัติการทำงานยอนหลัง เพื่อใหสอดคลองกับกฏหมาย ระเบียบ ขอบังคับ และตองดำเนินการในระดับที่มีความเหมาะสม กับความตองการทางธุรกิจ ชั้นความลับของขอมูลที่จะถูกเขาถึง และความเสี่ยงที่อาจจะเกิดขึ้น A.7.1.2 ขอตกลงและเงื่อนไขการจางงาน (Terms and conditions of employment) เงื่อนไขในสัญญาตองมีการระบุเรื่องความรับผิดชอบดานความมั่นคง ปลอดภัยเขาไปดวย A.7.2 ระหวางการจางงาน (During employment) A.7.2 วัตถุประสงค เพื่อใหพนักงานหรือผูที่ทำสัญญาจางตระหนักและปฏิบัติตามหนาที่ ความรับผิดชอบดานความมั่นคงปลอดภัย A.7.2.1 หนาที่ความรับผิดชอบของผูบริหาร (Management responsibilities) ผูบริหารตองมีการกำหนดใหพนักงานทุกคนปฏิบัติตามนโยบายและขั้นตอนการรักษา ความมั่นคงปลอดภัย A.7.2.2 การสรางความตระหนัก การใหความรู และการฝกอบรมดานความมั่นคงปลอดภัย (Information security awareness, education and training) พนักงานทุกคน และผูที่ทำสัญญาจาง ตองไดรับการสรางความตระหนัก ใหความรูและฝกอบรมดานความมั่นคง ปลอดภัย และตองมีการเรียนรูและทบทวนนโยบายอื่นๆ ดวย A.7.2.3 กระบวนการทางวินัย (Disciplinary Process) ตองมีการประกาศ กระบวนการทางวินัย และมีการสื่อสารใหพนักงานทุกคนรับทราบ เพื่อดำเนินการตอกับพนักงาน ที่ละเมิดความมั่นคงปลดภัย A.7.3 การสิ้นสุดหรือการเปลี่ยนการจางงาน (Termination and change of employment) A.7.3 วัตถุประสงค เพื่อปองกันผลประโยชนขององคกรซึ่งเปนสวนหนึ่งของ การเปลี่ยนและการสิ้นสุดการจางงาน A.7.3.1 การสิ้นสุดหรือการเปลี่ยนหนาที่ความรับผิดชอบ (Termination or change of employment responsibilities) หนาที่ความรับผิดชอบดานความมั่นคงปลอดภัยตองยังคงมีอยูหลังจากที่สิ้นสุด การจางงานหรือการเปลี่ยนงานตองมีการกำหนดไวและมีการแจงใหผูทำสัญญา รับทราบและปฏิบัติตาม การบริหารจัดการทรัพยสิน A.8 (Asset Management) A.8.1 A.8.2 A.8.3 หนาที่ความรับผิดชอบตอทรัพยสิน (Responsibility for assets) การจัดชั้นความลับของสารสนเทศ (Classifcation of information) การจัดการสื่อบันทึกขอมูล (Media Handling) A.8.1 หนาที่ความรับผิดชอบตอทรัพยสิน วัตถุประสงค เพื่อใหมีการระบุทรัพยสินขององคกรและมีการกำหนดความรับผิดชอบ ในการปองกันทรัพยสินที่เหมาะสม A.8.1.1 บัญชีทรัพยสิน (Inventory of assets) ทรัพยสินที่เกี่ยวของกับสารสนเทศหรือการประมวลผลสารสนเทศตองมีการระบุทรัพยสิน และปรับปรุงใหเปนปจจุบัน A.8.1.2 ผูถือครองทรัพยสิน (Ownership of assets) ทรัพยสินทั้งหมดตองมีผูถือครอง (Responsibility for assets) A.8.1.3 การใชทรัพยสินอยางเหมาะสม (Acceptable use of assets) กฏเกณฑในการใชทรัพยสินสารสนเทศอยางเหมาะสมซึ่งเกี่ยงของกับสารสนเทศ และการประมวลผลสารสนเทศ จะตองมีการกำหนดและบังคับใช A.8.1.4 การคืนทรัพยสิน (Return of assets) เมื่อสิ้นสุดการจางงานพนักงาน หรือหนวยงานภายนอกจะตองคืนทรัพยสินขององคกรทั้งหมดที่ตนถือครอง วัตถุประสงค เพื่อใหมั่นใจไดวาสารสนเทศไดรับการปกปองตามระดับความสำคัญ ของสารสนเทศที่มีตอองคกร A.8.2.1 การจัดแบงประเภทของสารสนเทศ (Classification of information) สารสนเทศตองมีการจัดแบงชั้นความลับโดยพิจารณาจากขอกำหนดทางดานกฏหมาย คุณคา ระดับความสำคัญ และระดับความออนไหวตอการถูกเปดเผยหรือการแกไข A.8.2 การจัดชั้นความลับของสารสนเทศ (Classifcation of information) A.8.2.2 การบงชี้สารสนเทศ (Labeling of information) ขั้นตอนปฏิบัติการบงชี้สารสนเทศจะตองมีการจัดทำขึ้นและปฏิบัติตามใหสอดคลองกับ การจัดแบงประเภทของสารสนเทศ A.8.2.3 การจัดการทรัพยสิน (Handling of assets) ขั้นตอนปฏิบัติสำหรับ การจัดการทรัพยสินตองใหสอดคลองกับการจัดแบงประเภทของสนเสนเทศที่องคกรกำหนดไว วัตถุประสงค เพื่อปองกันการเปดเผย การเปลี่ยนแปลงแกไข หรือลบทิ้งสารสนเทศ ที่เก็บอยูในสื่อบันทึกขอมูลโดยไมไดรับอนุญาต A.8.3 การจัดการสื่อบันทึกขอมูล A.8.3.1 การบริหารจัดการสื่อบันทึกที่ถอดแยกได (Management of removable media) ตองมีขั้นตอนการจัดการกับสื่อบันทึกขอมูลที่ถอดแยกไดและ ปฏิบัติตาม โดยจะตองมีความสอดคลองกับการจัดแบงประเภทของสารสนเทศที่องคกรกำหนดไว A.8.3.2 การทำลายสื่อบันทึกขอมูล (Diposal of media) เมื่อไมมีการใชงานสื่อบันทึกขอมูลตองมีการทำลายอยาง มั่นคงปลอดภัย (Media Handling) A.8.3.3 การขนยายสื่อบันทึกขอมูล (Physical media transfer) สื่อบันทึกขอมูลตองมีการปองกันการเขาถึงโดยไมไดรับอนุญาต หรือการนำไป ใชผิดวัตถุประสงค หรือความเสียหายในระหวางที่ขนยาย A.11.1 A.11.2 พื้นที่ที่ตองการการรักษา ความมั่นคงปลอดภัย (Secure areas) อุปกรณ (Equipment) environmental security) ความมั่นคงปลอดภัยทางกายภาพ A.11 และสภาพแวดลอม (Physical and วัตถุประสงค เพื่อปองกันการเขาถึงทางกายภาพโดยไมไดรับอนุญาต ความเสียหาย และการแทรกแซงการทำงาน ที่มีผลตอสารสนเทศและอุปกรณประมวลผลสารสนเทศ A.11.1 พื้นที่ที่ตองการการรักษาความมั่นคงปลอดภัย (Secure areas) Perimeter Building Access Interior Secure Area A.11.1.1 ขอบเขตหรือบริเวณโดยรอบทางกายภาพ (Physical security perimeter) ตองมีการกำหนดขอบเขตหรือบริเวณโดยรอบที่ตองมีการรักษา ความมั่นคงปลอดภัย A.11.1.2 การควบคุมการเขาออกทางกายภาพ (Physical entry controls) ตองมีการควบคุมการเขาออกของพื้นที่ที่ตองการการรักษาความมั่นคงปลอดภัย โดยตองใหเขาเฉพาะผูที่ไดรับอนุญาตเทานั้น A.11.1.3 การรักษาความมั่นคงปลอดภัยสำหรับสำนักงาน หองทำงานและอุปกรณ (Securing office, rooms and facilities) ความมั่นคงปลอดภัยทางกายภาพ ของสำนักงาน หองทำงาน ตองมีการออกแบบและดำเนินการ A.11.1.4 การปองกันภัยคุกคามจากภายนอก (Protecting against external and environment threats) การปองกันภัยพิบัติทางธรรมชาติ หรือการโจมตี หรือบุกรุก หรืออุบัติเหตุตองมีการจัดทำและปฏิบัติตาม A.11.1.5 การปฏิบัติงานในพื้นที่ตองการรักษาความมั่นคงปลอดภัย (Working in secure areas) มีขั้นตอนปฏิบัติสำหรับการปฏิบัติงานในพื้นที่ ที่ตองการรักษาความมั่นคงปลอดภัย โดยตองมีการออกแบบและดำเนินการ A.11.1.6 พื้นที่สำหรับรับสงสิ่งของ (Delivery and loading areas) ตองมีการแยกพื้นที่สำหรับรับสงสิ่งของ ซึ่งปองกันไมใหผูที่ไมไดรับอนุญาต สามารถเขาถึงได A.11.2.1 การจัดวางและปองกันอุปกรณ (Equipment sitting and protection) อุปกรณตองมีการจัดวางและปองกันอุปกรณเพื่อลดความเสี่ยงจากภัยคุกคามและ อันตรายจากผูที่ไมไดรับอนุญาต A.11.2.2 ระบบและอุปกรณที่สนับสนุนการทำงาน (Supporting utilities) อุปกรณตางๆตองไดรับการปองกันจากที่ไมสามารถใชงานได เชน ปญหาเรื่องไฟฟา หรือปญหาอื่นๆที่ทำใหอุปกรณหยุดชะงัก วัตถุประสงค เพื่อปองกันการสูญหาย เสียหาย การถูกขโมย หรือการเปนอันตราย ตอทรัพยสินและการปองกันการหยุดชะงักตอการดำเนินการขององคกร A.11.2 อุปกรณ (Equipment) A.11.2.3 ความมั่นคงปลอดภัยของการเดินสายไฟฟาและสายสื่อสาร (Cabling security) การเดินสายไฟฟาและสายสื่อสารตองไดรับการปองกันจาก การขัดขวางการทำงาน การแทรกแซงสัญญาณหรือการทำใหเสียหาย A.11.2.4 การบำรุงรักษาอุปกรณ (Equipment maintenance) อุปกรณตางๆตองไดรับการบำรุงรักษาอยางตอเนื่องเพื่อใหมีความพรอมใช และใชงานไดอยางถูกตอง A.11.2.5 การนำทรัพยสินออกนอกอาคาร (Removal of assets) อุปกรณ สารสนเทศ หรือ ซอฟตแวร ตองไดรับอนุญาตกอนจึงจะสามารถนำออก นอกอาคารได A.11.2.6 ความมั่นคงปลอดภัยของอุปกรณและทรัพยสินที่อยูภายนอกสำนักงาน (Security of equipment and assets off-premises) ทรัพยสินที่อยูภายนอก สำนักงานตองมีการรักษาความมั่นคงปลอดภัย โดยพิจารณาจากความเสี่ยงของ การปฏิบัติงานภายนอกสำนักงาน A.11.2.7 ความมั่นคงปลอดภัยของการกำจัดหรือการนำอุปกรณกลับมาใชใหม (Secure disposal or re-use equipment) อุปกรณสื่อบันทึกขอมูลตองมี การตรวจสอบขอมูลที่มีความสำคัญหรือซอฟตแวรไดถูกลบทิ้งหรือมีการเขียนทับ อยางมั่นคงปลอดภัยกอนที่จำกำจัดหรือนำกลับมาใชใหม A.11.2.8 อุปกรณถูกทิ้งไวโดยไมมีผูดูแล (Unattended user equipment) ผูใชงานตองมั่นใจไดวาอุปกรณที่ไมมีผูดูแล ณ เวลาใดเวลาหนึ่งตองอยูในการปองกัน ที่ปลอดภัย A.11.2.9 นโยบายการปลอดเอกสารสำคัญบนโตะทำงานและหนาจอคอมพิวเตอร (Clear desk and clear screen policy) มีนโยบายโตะทำงานปลอดเอกสารสำคัญ หรือสื่อบันทึกขอมูลที่สำคัญและ นโยบายการปองกันหนาจอ คอมพิวเตอร เพื่อปองกัน การเขาถึงขอมูลขององคกร (Supplier relationships) ความสัมพันธกับผูใหบริการภายนอก A.15 A.15.1 ความมั่นคงปลอดภัยสารสนเทศกับผูใหบริการภายนอก (Information security in supplier relationship) A.15.2 การบริหารจัดการการใหบริการโดยผูใหบริการภายนอก (Supplier service delivery management) A.15.1 ความมั่นคงปลอดภัยสารสนเทศ กับผูใหบริการภายนอก (Information security in supplier relationship) วัตถุประสงค เพื่อใหมีการปองกันทรัพยสินขององคกรที่มีการเขาถึงโดยผูใหบริการ ภายนอก A.15.1.1 นโยบายความมั่นคงปลอดภัยสารสนเทศดานความสัมพันธกับผูใหบริการ ภายนอก (Information security policy for supplier relationships) ตองมีการกำหนดขอตกลงระหวางองคกรกับผูใหบริการภายนอกถึงความมั่นคงปลอดภัย สารสนเทศเพื่อลดความเสี่ยงที่จะเกิดกับการเขาถึงของผูใหบริการภายนอก A.15.1.2 การระบุความมั่นคงปลอดภัยในขอตกลงการใหบริการของผูใหบริการ ภายนอก (Addressing security within supplier agreements) ความตองการดานความมั่นคงปลอดภัยตองมีการกำหนดขึ้นกับแตละผูใหบริการ ภายนอกในเรื่องเกี่ยวกับการเขาถึง การประมวลผล การจัดเก็บ หรือการจัดหา โครงสรางพื้นฐานระบบสารสนเทศ A.15.1.3 หวงโซการใหบริการสารสนเทศและการสื่อสารจากผูใหบริการภายนอก (Informationand communication technology supply chain) ขอตกลงกับผูใหบริการภายนอกตองรวมถึงความตองการเรื่องการระบุความเสี่ยง อันเกิดจากหวงโซการใหบริการเทคโนโลยีสารสนเทศและการสื่อสารโดยผูใหบริการภายนอก A.15.2 การบริหารจัดการการใหบริการ โดยผูใหบริการภายนอก (Supplier service delivery management) วัตถุประสงค เพื่อใหมีระดับการรักษาความมั่นคงปลอดภัยหรือการใหบริการตาม ขอตกลงกับผูใหบริการภายนอก A.15.2.1 การติดตามและทบทวนบริการของผูใหบริการภายนอก (Monitor and review of supplier services) ตองมีการติดตามและทบทวนการบริการ ของผูใหบริการภายนอกอยางสม่ำเสมอ A.15.2.2 การบริหารจัดการการเปลี่ยนแปลงของผูใหบริการภายนอก (Managing changes to supplier services) การเปลี่ยนแปลงการใหบริการ จากผูใหบริการภายนอก รวมถึงกันปรับปรุงนโยบาย ขั้นตอนหรือการควบคุมตอง มีการบริหารจัดการ โดยตองนำระดับความสำคัญทางธุรกิจมาพิจารณาและมีการทบทวน และประเมินความเสี่ยง (Information security incident management) การบริหารจัดการสถานการณ A.16 ความมั่นคงปลอดภัยสารสนเทศ A.16.1 การบริหารจัดการสถานการณความมั่นคงปลอดภัยสารสนเทศ และการปรับปรุง (Management of information security incidents and improvemens) H A.16.1.1 หนาที่ความรับผิดชอบและขั้นตอนปฏิบัติ (Responsibilities and procedures) ตองมีหนาที่ความรับผิดชอบและขั้นตอน การปฏิบัติเพื่อตอบสนองกับเหตุการณ ที่เกิดขึ้นไดอยางทันทวงทีและมีประสิทธิภาพ วัตถุประสงค เพื่อใหมีวิธีในการบริหารจัดการกับสถานการณความมั่นคงปลอดภัย ซึ่งรวมถึงการแจงสถานการณความมั่นคงปลอดภัยและจุดออนของระบบสารสนเทศ ใหผูใชทราบ Perfect A.16.1.2 การรายงานสถานการณความมั่นคงปลอดภัยสารสนเทศ (Reporting information security events) สถานการณความั่นคงปลอดภัย ตองรายงานผานชองทางการบริหารที่เหมาะสมและรวดเร็วที่สุดเทาที่เปนไปได A.16.1.3 การรายงานจุดออนความมั่นคงปลอดภัยสารสนเทศ (Reporting information security weakness) พนักงานหรือผูที่ทำสัญญาจางตองสังเกตและ รายงานจุดออนหรือชองโหวที่พบ โดยการรายงานจะตองเปนกลไกที่งายและเขาถึงได อยางรวดเร็ว A.16.1.4 การประเมินและตัดสินใจตอสถานการณความมั่นคงปลอดภัยสารสนเทศ (Assessment of and decision on information security events) สถานการณความมั่นคงปลอดภัยนั้นตองมีการประเมินและตองมีการตัดสินวาสถานการณ นั้นๆถูกจัดใหเปนสถานการณดานความมั่นคงปลอดภัยหรือไม A.16.1.5 การตอบสนองตอเหตุการณความมั่นคงปลอดภัยสารสนเทศ (Response to information security incidents) สถานการณความมั่นคง ปลอดภัยตองไดรับการตอบสนองเพื่อจัดการกับปญหาตามขั้นตอนการปฏิบัติที่จัดทำไว A.16.1.6 การเรียนรูจากเหตุการณความมั่นคงปลอดภัยสารสนเทศ (Learning from incident security incidents) ความรูที่ไดจากการวิเคราะห และแกปญหาทางดานความมั่นคงปลอดภัยตองถูกนำมาใชเพื่อลดโอกาสที่จะเกิดและ ผลกระทบที่จะเกิดในอนาคต A.16.1.7 การเก็บรวบรวมหลักฐาน (Collection of evidence) องคกรตองมีการกำหนดขั้นตอนการปฏิบัติสำหรับการระบุ การรวบรวม การจัดหา และการจัดเก็บสารสนเทศซึ่งสามารถใชเปนหลักฐานได (Information security aspects of business continuity management) ประเด็นดานความมั่นคงปลอดภัยสารสนเทศของการบริหารจัดการ เพื่อสรางความตอเนื่องทางธุรกิจ A.17 A.17.1 ความตอเนื่องดานความมั่นคงปลอดภัยสารสนเทศ (Information security continuity) A.17.2 การเตรียมอุปกรณประมวลผลสำรอง (Redundancies) ความตอเนื่องดานความมั่นคง ปลอดภัยสารสนเทศ (Information security continuity) วัตถุประสงค องคกรตองมีการกำหนดการบริหารความตอเนื่อระบบสารสนเทศ และความปลอดภัย A.17.1.1 การวางแผนความตอเนื่องดานความมั่นคงปลอดภัยสารสนเทศ (Planning information security continuity) องคกรจะตองกำหนด ความตองการดานความมั่นคงปลอดภัยและความตอเนื่องทางธุรกิจในสถานการณ ความเสียหายที่เกิดขึ้น เชน ชวงที่เกิดภัยพิบัติ A.17.1.2 การดำเนินการสรางความตอเนื่องดานความมั่นคงปลอดภัยสารสนเทศ (Implementing information security continuity) องคกรตองกำหนด เปนลายลักษณอักษร ตั้งแตการปฏิบัติ การปรับปรุง ขั้นตอนการปฏิบัติงาน และการควบคุม เพื่อใหไดระดับความตอเนื่องดานความปลอดภัยในสถานการณ ความเสียหายที่เกิดขึ้น A.17.1 A.17.1.3 การตรวจสอบ ทบทวน และการประเมินความตอเนื่อง ดานความมั่นคงปลอดภัยสารสนเทศ (Verify, review and evaluate information security continuity) องคกรตองมีการตรวจสอบ การบริหารความตอเนื่องอยางสม่ำเสมอเพื่อใหมั่นใจไดวามาตรการเหลานั้น ยังสามารถใชงานไดและมีประสิทธิภาพเมื่อเหตุการณความเสียหายเกิดขึ้น Indentify Design Analyze Execute Measure BCP Life Cycle Risk Assessment Bussiness Impact Analysis Strategy Selection Plan Development Train , Test and Maintain (Redundancies) วัตถุประสงค เพื่อจัดเตรียมความพรอมของอุปกรณประมวลผลสารสนเทศ A.17.2.1 ความพรอมใชของอุปกรณประมวลผลสารสนเทศ (Availability of information processing facilities) อุปกรณประมวลผลสารสนเทศตองมี การออกแบบใหมีการสำรองเพียงพอกับความตองการดานความพรอมใชงาน A.17.2การเตรียมอุปกรณประมวลผลสำรอง (Compliance) การปฏิบัติตามขอกำหนด A.18 A.18.1 การปฏิบัติตามขอกำหนดกับความตองการดานกฏหมาย และในสัญญาจาง (Compliance with legal and contractual requirements) A.18.2 การทบทวนความมั่นคงปลอดภัยสารสนเทศ (Information security reviews) การปฏิบัติตามขอกำหนดกับความตองการ ดานกฏหมายและในสัญญาจาง (Compliance with legal and contractual requirements) วัตถุประสงค เพื่อหลีกเลี่ยงการละเมิดกฏหมาย ระเบียบขอบังคับ หรือสัญญาจาง ที่เกี่ยวของกับความมั่นคงปลอดภัยที่เปนความตองการดานความมั่นคงปลอดภัย A.18.1.1 การระบุกฏหมายและความตองการในสัญญาจางที่เกี่ยวของ (Identification of applicable legislation and contractual requirements) ความตองการทั้งหมดที่เกี่ยวของกับกฏหมาย ระเบียบขอบังคับ หรือสัญญาจางตอง มีการระบุไวเปนลายลักษณอักษรและปรับปรุงใหทันสมัยสำหรับแตละระบบ A.18.1 A.18.1.2 สิทธิในทรัพยสินทางปญญา (Intellectual property rights) ขั้นตอนปฏิบัติที่เหมาะสมตองมีความสอดคลองกับ กฏหมาย ระเบียบขอบังคับ หรือสัญญาจาง ที่วาดวยทรัพยสินทางปญญาและการใชซอฟตแวรที่มีลิขสิทธิ์ A.18.1.3 การปองกันขอมูล (Protection of records) ขอมูลตองไดรับการปองกันจากการสูญหาย ทำลาย การปลอมแปลง การเขาถึง โดยไมไดรับอนุญาต และการเผยแพรโดยไมไดรับอนุญาต โดยตองสอดคลอง กับกฏหมาย ระเบียบขอบังคับ สัญญาจางและความตองการทางธุรกิจ A.18.1.4 ความเปนสวนตัวและการปองกันขอมูลสวนบุคคล (Privacy and protection of personal identifiable information) ความเปนสวนตัวและการปองกันขอมูลสวนบุคคลตองมีการดำเนินการใหสอดคลอง กับกฏหมายและระเบียบขอบังคับที่เกี่ยวของ COPYRIGHT A.18.1.5 ระเบียบขอบังคับสำหรับการเขารหัสขอมูล (Regulation of cryptographic controls) การเขารหัสขอมูลตองมี การใชใหสอดคลองกับขอตกลง กฏหมายและ ระเบียบขอบังคับที่เกี่ยวของ Encrypt A’s Secret Key A’s Public Key Decrypt A B C D การทบทวนความมั่นคงปลอดภัยสารสนเทศ (Information security reviews) วัตถุประสงค เพื่อใหการปฏิบัติดานความมั่นคงปลอดภัยสารสนเทศสอดคลอง กับนโยบายและขั้นตอนปฏิบัติขององคกร A.18.2.1 การทบทวนอยางอิสระดานความมั่นคงปลอดภัยสารสนเทศ (Independent review of information security) วิธีในการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ซึ่งรวมถึง วัตถุประสงค มาตรการ นโยบาย กระบวนการ ขั้นตอนปฏิบัติ ตองมีการทบทวนอยางอิสระตามรอบ ระยะเวลาที่กำหนดหรือเมื่อมีเหตุการณเปลี่ยนแปลงที่สำคัญ A.18.2 A.18.2.2 การปฏิบัติตามขอกำหนดตามนโยบายและมาตรฐาน ดานความมั่นคงปลอดภัย (Compliance with security policies and standards) ผูจัดการตองมีการทบทวนการปฏิบัติตามขอกำหนด อยางสม่ำเสมอในเรื่องของการประมวลผล ขั้นตอนปฏิบัติภายใตความรับผิดชอบ ของตนเอง โดยเทียบกับนโยบาย มาตรฐาน และความตองการดานความมั่นคง ปลอดภัยที่เกี่ยวของ A.18.2.3 การทบทวนการปฏิบัติตามขอกำหนดทางดานเทคนิค (Technical compliance review) ระบบจะตองไดรับการทบทวน การปฏิบัติตามขอกำหนดภายใตนโยบายและมาตรฐานการรักษาความมั่นคง ปลอดภัยสารสนเทศขององคกร (Access Control) การควบคุมการเขาถึง A.9 ความตองการทางธุรกิจสำหรับ การควบคุมการเขาถึง ( Business requirements of access control) การบริหารจัดการการเขาถึงของผูใชงาน (User access management) หนาที่ความรับผิดชอบของผูใชงาน (User responsibilities) การควบคุมการเขาถึงระบบ (System and application access control) A.9.1 A.9.2 A.9.3 A.9.4 ความตองการทางธุรกิจสำหรับ การควบคุมการเขาถึง (Business requirements of access control) วัตถุประสงค เพื่อจำกัดการเขาถึงสารสนเทศและอุปกรณประมวลผลสารสนเทศ A.9.1.1 นโยบายการควบคุมการเขาถึง (Access control policy) ตองมีนโยบายการควบคุมการเขาถึงที่เปนลายลักษณอักษร และมีการทบทวน อยางนอยปละ 1 ครั้งโดยคณะกรรมการบริหารความมั่นคงปลอดภัยสารสนเทศ A.9.1 A.9.1.2 การเขาถึงเครือขายและบริการเครือขาย (Access to networks and network services) ผูใชงานจะตองไดรับสิทธิในการเขาถึงเครือขาย และบริการเครือขายตามสิทธิที่ไดรับการอนุมัติใหเขาถึงไดเทานั้น employee partner Corperate Office Applications guest การบริหารจัดการการเขาถึงของผูใชงาน (User access management) วัตถุประสงค เพื่อปองกันผูใชที่ไมไดรับอนุญาตเขาถึงระบบ และจะตองมีการปองกัน ใหเฉพาะผูที่ไดรับอนุญาตเทานั้น A.9.2.1 การลงทะเบียนและถอดถอนสิทธิผูใช (User registration and de-registration) ตองมีกระบวนการขั้นตอนในการลงทะเบียนสำหรับผูใชงาน ใหมและกระบวนการถอดถอนสิทธิการใชงานเมื่อออกจากองคกร A.9.2 New User Registration A.9.2.2 การจัดการสิทธิการเขาถึงของผูใชงาน (User access provisioning) ตองมีกระบวนการจัดการสิทธิการเขาถึง และการถอดถอนสิทธิผูใชงานคนที่ใชงานระบบและบริการทั้งหมดขององคกร Network admin HR Manager Help Desk Operator Delegate Tasks Manage Accounts Provision Accounts De-Provision Accounts A.9.2.3 การบริหารจัดการสิทธิการเขาถึงตามระดับสิทธิ (Management of privileged access right) มีกระบวนการใหสิทธิและการเขาถึงตามระดับสิทธิ ที่ไดรับโดยตองมีการจำกัดและควบคุม A.9.2.4 การบริหารจัดการขอมูลความลับสำหรับการพิสูจนตัวตนของผูใช (Management of secret authentication information of users) มีการบริหารจัดการขอมูลที่ใชในการพิสูจนตัวตนผานกระบวนการจัดการที่เปนทางการ A.9.2.5 การทบทวนสิทธิการเขาถึงของผูใชงาน (Review of user access rights) มีการทบทวนสิทธิของผูใชงานตามระยะเวลาที่กำหนด อยางนอยปละ 1 ครั้ง A.9.2.6 การถอดถอนหรือปรับปรุงสิทธิการเขาถึง (Removal or adjustment of access rights) มีกระบวนการในการถอดถอนสิทธิของบุคคลภายนอกที่เขามา ดำเนินการภายในองคกร เมื่อสิ้นสุดสัญญาจาง หรือตองมีการปรับปรุงขอมูลสิทธิ ใหถูกตองเมื่อมีการเปลี่ยนแปลงการจางงาน user password history account locking setting up profiles password password verification expiration and aging Password Management หนาที่ความรับผิดชอบของผูใชงาน (User responsibilities) วัตถุประสงค เพื่อใหผูใชมีความรับผิดชอบในการปองกันขอมูลการพิสูจนตัวตน A.9.3.1 การใชขอมูลการพิสูจนตัวตนซึ่งเปนขอมูลลับ (Use of secret authentication information) ผูใชตองมีการปฏิบัติตามที่องคกรกำหนด เกี่ยวกับการใชขอมูลพิสูจนตัวตน A.9.3 วัตถุประสงค เพื่อใหผูใชมีความรับผิดชอบในการปองกันขอมูลการพิสูจนตัวตน A.9.4.1 การจำกัดการเขาถึงสารสนเทศ (Information access restriction) การเขาถึงสารสนเทศหรือฟงกชันตางในระบบงานตองมีการควบคุมใหสอดคลองกับ นโยบายการควบคุมการเขาถึง A.9.4.2 ขั้นตอนปฏิบัติสำหรับการ login เขาระบบที่มีความสำคัญ (Secure Log-on procedures) ตองมีขั้นตอนปฏิบัติสำหรับการ login เขาระบบที่มีความมั่นคงปลอดภัย การควบคุมการเขาถึงระบบ (System and application access control) A.9.4 Username Password Last Login: July 16, 2015 14:17:34 Sorry, you have entered an invalid login name and/or password. Please try again. mr_one Help Forget your password? Entering wrong password 5 times will disable your User ID A.9.4.3 ระบบบริหารจัดการรหัสผาน (Password management system) ระบบตองมีการโตตอบกับผูใชงาน เมื่อผูใชงาน กำหนดรหัสผานไมตรงตามขอกำหนด ที่ไดมีการตั้งไว A.9.4.4 การใชโปรแกรมอรรถประโยชน (Use of privileged utility programs) การใชโปรแกรมอรรถประโยชนอาจจะมีผลกระทบกับความมั่นคง ปลอดภัยของระบบ ดังนั้นจึงตองมีการจำกัดและควบคุม A.9.4.5 การควบคุมการเขาถึงซอรสโคดของโปรแกรม (Access control to program source code) ตองมีการจำกัดและควบคุมการเขาถึงซอรสโคด checkout checkout Working Copying Local machine Working Copying Local machine Repository Server commit commit update update (Cryptography) การเขารหัสขอมูล A.10 A.10.1 นโยบายการใชมาตรการเขารหัสขอมูล (Policy on the use of cryptographic controls) 0110011 0101001 0101101 1101010 วัตถุประสงค เพื่อใหมีการใชการเขารหัสขอมูลไดอยางเหมาะสม ในการปองกัน การแกไข เปลี่ยนแปลง หรือความถูกตองของขอมูลสารสนเทศ A.10.1.1 นโยบายการใชมาตรการเขารหัสขอมูล (Policy on the use of cryptographic controls) มีนโยบายการเขารหัสขอมูลและปฏิบัติตาม A.10.1.2 การบริหารจัดการกุญแจ (Key management) มีนโยบายการใชงาน การปองกัน และการบริหารจัดการกุญแจ ตลอดอายุของกุญแจ นโยบายการใชมาตรการเขารหัสขอมูล (Policy on the use of cryptographic controls) A.10.1 (Operations security) ความมั่นคงปลอดภัย A.12สำหรับการดำเนินการ A.12.1 ขั้นตอนการปฏิบัติงานและหนาที่ความรับผิดชอบ (Operational procedure and responsibilities) A.12.2 การปองกันโปรแกรมไมประสงคดี (Protection from Malware) A.12.3 การสำรองขอมูล (backup) A.12.4 การบันทึกขอมูลล็อกและการเฝาระวัง (Logging and Monitoring) A.12.5 การควบคุมการติดตั้งซอฟตแวรบนระบบใหบริการ (Control of operation software) A.12.6 การบริหารจัดการชองโหวทางเทคนิค (Technical Vulnerability Management) A.12.7 สิ่งที่ตองพิจารณาในการตรวจประเมิน (Information System Audit Considerations) ขั้นตอนการปฏิบัติงานและ หนาที่ความรับผิดชอบ (Operational procedure and responsibilities) วัตถุประสงค เพื่อใหการปฏิบัติงานกับอุปกรณที่ใชในการประมวลผลสารสนเทศ เปนไปอยางถูกตองและปลอดภัย A.12.1.1 ขั้นตอนการปฏิบัติงานที่เปนลายลักษณอักษร (Documented Operating Procedures) เอกสารขั้นตอนการปฏิบัติงานจะตองเปนลายลักษณอักษร และสามารถเขาถึงไดโดยผูที่ไดรับอนุญาตเทานั้น A.12.1.2 การบริหารจัดการการเปลี่ยนแปลง (Change Management) การเปลี่ยนแปลงคาของอุปกรณตางๆมีผลกระทบกับองคกร ดังนั้นเมื่อมีการเปลี่ยนแปลง ตองมีการประเมินความเสี่ยงและมีการควบคุมการดำเนินการ A.12.1 A.12.1.3 การบริหารจัดการขีดความสามารถของระบบ (Capacity management) การติดตามการใชงานทรัพยากรของระบบสารสนเทศ เพื่อใชในการพยากรณและปรับปรุงระบบเพื่อใหรองรับการเพิ่มเติมในอนาคต A.12.1.4 การแยกสภาพแวดลอมสำหรับการพัฒนา การทดสอบ และการใหบริการออกจากกัน (Seperation of development, testing and operatinal environments) เครื่องที่ใหบริการผูใชงาน จะตองทำการแยกออก จากเครื่องที่ใชในการพัฒนาระบบหรือเครื่องทดสอบ เพื่อปองกันปญหาจากการแกไข ระบบโดยผูที่ไมไดรับอนุญาต monitor analysis tuning implement A.12.2 วัตถุประสงค เพื่อใหระบบสารสนเทศถูกปองกันจากโปรแกรมไมประสงคดี A.12.2.1 มาตรการปองกันโปรแกรมไมประสงคดี (Controls against malware)มีมาตรการในการปองกัน และกูคืนขอมูลจากโปรแกรมไมประสงคดีและมีการดำเนินการ สรางความตระหนักกับผูใชงาน การปองกันโปรแกรมไมประสงคดี (Protection from Malware) A.12.3 วัตถุประสงค เพื่อปองกันขอมูลสูญหาย A.12.3.1 การสำรองขอมูล (Information backup) ขอมูลที่ทำการสำรอง เชน ฐานขอมูล หรือขอมูลที่เปนอิมเมจ จะตองมีการสำรองไวตามที่กำหนดและจะตองมี การทดสอบความพรอมใชของขอมูลสม่ำเสมอตามนโยบายที่กำหนดไว การสำรองขอมูล (backup) วัตถุประสงค เพื่อใหมีการบันทึกเหตุการณตางๆที่เกิดขึ้นและจัดทำหลักฐาน A.12.4.1 การบันทึกขอมูลล็อกแสดงเหตุการณ (Event Logging) ขอมูลล็อกที่บันทึกกิจกรรมของผูใชงาน ตองมีการจัดเก็บ การทำงานของระบบ ที่ไมเปนปกติ ความผิดพลาดของระบบ และเหตุการณความมั่นคงปลอดภัย ตองมีการจัดเก็บและมีการทบทวน อยางสม่ำเสมอ A.12.4.2 การปองกันขอมูลล็อก (Protection of log information) อุปกรณที่ใชในการบันทึกขอมูลล็อก ตองมีการปองกันใหผูที่ไดรับอนุญาตเทานั้น ที่สามารถเขาไปดูหรือทำการเปลี่ยนแปลงแกไข A.12.4 การบันทึกขอมูลล็อกและการเฝาระวัง (Logging and Monitoring) A.12.4.3 ขอมูลล็อกและกิจกรรมของผูดูแลระบบ และเจาหนาที่ปฏิบัติการระบบ (Adminstrator and Operator logs) ตองมีการจัดเก็บขอมูลล็อกของผูดูแลระบบ และตองมีการปองกันและทบทวนอยูเสมอ A.12.4.4 การตั้งนาŽิกาใหถูกตอง (Clock Synchronization) ระบบที่เกี่ยวของทั้งหมดตองมีการตั้งนา•ิกา ใหถูกตองเทียบกับแหลงอางอิงเวลา วัตถุประสงค เพื่อใหระบบใหบริการมีการทำงานที่ถูกตอง A.12.5.1 การติดตั้งซอฟตแวรบนระบบที่ใหบริการ (Installation of software on Operational Systems) การติดตั้งซอฟตแวรบนระบบที่ใหบริการตองมี การควบคุมและตองมีการปฏิบัติใหสอดคลองกับนโยบายที่ไดประกาศไว A.12.5 การควบคุมการติดตั้งซอฟตแวร บนระบบใหบริการ (Logging and Monitoring) วัตถุประสงค เพื่อปองกันไมใหมีการใชประโยชนจากชองโหวทางเทคนิค A.12.6.1 การบริหารจัดการชองโหวทางเทคนิค (Management of technical vulnerabilities) ขอมูลชองโหวทางเทคนิคตองมีการติดตามเพื่อปองกันอยางทันทวงที โดยจะตองมีการประเมินความเสี่ยงของชองโหว ที่เกิดขึ้น วาถาเกิดแลวมีผลกระทบกับระบบมากนอย เพียงใด และตองหามาตรการวาจะดำเนินการอยางไร A.12.6.2 การจำกัดการติดตั้งซอฟตแวร (Restrictions on Software installation) การควบคุมการติดตั้งซอฟตแวรโดยผูใชงานตองมี การกำหนดและควบคุม A.12.6 การบริหารจัดการชองโหวทางเทคนิค (Technical Vulnerability Management) วัตถุประสงค เพื่อลดผลกระทบของกิจกรรมการตรวจประเมิน บนระบบใหบริการ A.12.7.1 มาตรการการตรวจประเมินระบบ (Information system audit controls) การตรวจประเมินตองมีการตกลง รวมกันวาจะดำเนินการตรวจอยางไร เพื่อปองกันปญหา การหยุดชะงักของการใหบริการที่จะมีผลตอกระบวนการ ทางธุรกิจ A.12.7 สิ่งที่ตองพิจารณาในการตรวจประเมิน (Information System Audit Considerations) (Communications security) A.13 ความมั่นคงปลอดภัย สำหรับการสื่อสารขอมูล A.13.1 การบริหารจัดการความมั่นคงปลอดภัยของเครือขาย (Network Security Management) A.13.2 การถายโอนสารสนเทศ (Information transfer) การบริหารจัดการความมั่นคง ปลอดภัยของเครือขาย (Network Security Management) วัตถุประสงค เพื่อใหมีการปองกันสารสนเทศในเครือขายและอุปกรณประมวลผล ระบบสารสนเทศ A.13.1.1 มาตรการเครือขาย (Network Controls) เครือขายตองมีระบบ บริหารจัดการเครือขายเพื่อปองกันสารสนเทศในระบบตางๆ A.13.1.2 ความมั่นคงปลอดภัยสำหรับบริการเครือขาย (Security of network services) ระดับการใหบริการเครือขาย และความตองการของผูบริหาร ตองมีการ ระบุไวในขอตกลงการใหบริการเครือขาย ซึ่งการใหบริการนี้จะรวมถึงการใหบริการ ที่องคกรใหบริการเอง หรือการจางการใหบริการก็ตาม A.13.1 A.13.1.3 การแบงแยกเครือขาย (Segregation in networks) ตองมีการแบงแยกเครือขายระหวาง ผูใชงานระบบ ผูดูแลระบบ และบริการสารสนเทศ จะตองมีการจัดแบงแยกออกจากกัน การถายโอนสารสนเทศ (Information transfer) วัตถุประสงค เพื่อใหการรักษาความมั่นคงปลอดภัยของสารสนเทศมีการถายโอน ภายในองคกรและถายโอนไปยังภายนอกองคกร A.13.2.1 นโยบายและขั้นตอนปฏิบัติสำหรับการถายโอนสารสนเทศ (Information transfer policies and procedures) นโยบาย ขั้นตอนปฏิบัติและ มาตรการสำหรับการถายโอนสารสนเทศ เพื่อปองกันการสูญหายหรือการเปลี่ยนแปลง โดยผูที่ไมไดรับอนุญาต A.13.2.2 ขอตกลงสำหรับการถายโอนสารสนเทศ (Agreements on information transfer) ขอตกลงระหวางองคกรหรือหนวยงานในการถายโอนขอมูล เพื่อความปลอดภัย ของระบบสารสนเทศ A.13.2 A.13.2.3 การสงขอความทางอิเล็กทรอนิกส (Electronic messaging) สารสนเทศที่เกี่ยวของกับการสงขอความทางอิเล็กทรอนิกสตองไดรับการปองกัน อยางเหมาะสม A.13.2.4 ขอตกลงการักษาความลับหรือการไมเปดเผยความลับ (Confidentiality or non-disclosure agreements) ความตองการใน การรักษาความลับหรือการไมเปดเผยความลับขององคกรในการปองกันขอมูล ระบบสารสนเทศ ตองมีการทบทวนและบันทึกไวเปนลายลักษณอักษร (System Acquisition, Development and maintenance) A.14 การจัดหา การพัฒนา และการบำรุงรักษาระบบ A.14.1 ความตองการดานความมั่นคงปลอดภัย (Security requirements of information systems) A.14.2 ความมั่นคงปลอดภัยสำหรับกระบวนการพัฒนาและสนับสนุน (Security in development and support processes) A.14.3 ขอมูลสำหรับการทดสอบ (Test data) วัตถุประสงค เพื่อใหการบริหารจัดการสารสนเทศองครวมเปนไปดวยความปลอดภัย ทั้งกระบวนการ โดยตองรวบรวมขอกำหนดทางดานความปลอดภัยเขาไปในกระบวนการ ทั้งระบบ และรวมถึงสารสนเทศที่มีการสงขอมูลผานเครือขายสาธารณะ A.14.1.1 การวิเคราะหและกำหนดความตองการดานความมั่นคงปลอดภัย สารสนเทศ (Information security requirements analysis and specification) ความตองการเรื่องของความปลอดภัยในระบบ สารสนเทศ ตองถูกรวมเขาไปอยูในกระบวนการจัดหา และพัฒนาระบบ ตลอดจนการปรับปรุงที่มีอยู A.14.1 ความตองการดานความมั่นคงปลอดภัย (Security requirements of information systems) Login Password A.14.1.2 ความมั่นคงปลอดภัยของบริการสารสนเทศบนเครือขายสาธารณะ (Securing application services on public networks) สารสนเทศ ที่มีการสงผานเครือขายสาธารณะตองไดรับการปองกันจากการถูกเปดเผยหรือ เปลี่ยนแปลงแกไขโดยไมไดรับอนุญาต A.14.1.3 การปองกันธุรกรรมของบริการสารสนเทศ (Protecting application services transactions) สารสนเทศที่เกี่ยวของกับธุรกรรม ของบริการสารสนเทศ ตองไดรับการปองกันจากการรับสงขอมูลที่ไมสมบูรณ หรือขอมูลถูกเปลี่ยนแปลงแกไขโดยไมไดรับอนุญาต วัตถุประสงค เพื่อใหการออกแบบและพัฒนาระบบสารสนเทศมีความมั่นคงปลอดภัย A.14.2.1 นโยบายการพัฒนาระบบใหมีความมั่นคงปลอดภัย (Secure development policy) ตองมีการกำหนดขอตกลงในการพัฒนาระบบ ใหมีความมั่นคงปลอดภัยและตองมีการตรวจสอบวามีการปฏิบัติตามขอตกลงที่ได ตั้งไวหรือไม A.14.2.2 ขั้นตอนปฏิบัติสำหรับควบคุมการเปลี่ยนแปลงระบบ (System Change control procedures) การเปลี่ยนแปลงระบบตองมี การกำหนดขั้นตอนปฏิบัติและศึกษาผลกระทบที่จะเกิดขึ้นแลวกอนที่จะดำเนินการ ตองมีการอนุมัติจากผูที่มีอำนาจและมีการรายงานผลการดำเนินการทุกครั้ง A.14.2 ความมั่นคงปลอดภัยสำหรับ กระบวนการพัฒนาและสนับสนุน (Security in development and support process) A.14.2.3 การทบทวนทางเทคนิคตอระบบหลังจากการเปลี่ยนแปลง โครงสรางพื้นฐานระบบ (Technical review of applications after operating platform changes) การดำเนินการเปลี่ยนแปลงโครงสรางพื้นฐาน ระบบที่สำคัญตองมีการทบทวนเพื่อใหมั่นใจไดวาไมมีผลกระทบในการปฏิบัติงาน และดานความมั่นคงปลอดภัย A.14.2.4 การจำกัดการเปลี่ยนแปลงซอฟตแวรสำเร็จรูป (Restrictions on changes to software packages) การเปลี่ยนแปลงซอฟตแวรสำเร็จรูป ตองมีการจำกัดการเปลี่ยนแปลงหรือเปลี่ยนแปลงเทาที่จำเปนเทานั้น และตองมี การตรวจสอบอยางรัดกุม A.14.2.5 หลักการวิศวกรรมระบบดานความมั่นคงปลอดภัย (Secure system engineering principles) ตองมีการกำหนดหลักการวิศวกรรมระบบใหมี ความปลอดภัย โดยตองมีการกำหนดเปนลายลักษณอักษร และมีการปรับปรุง อยางตอเนื่อง และสามารถประยุกตใชในการพัฒนาระบบได A.14.2.6 สภาพแวดลอมของการพัฒนาระบบที่มีความมั่นคงปลอดภัย (Secure development environment) องคกรตองมีการกำหนดและปองกัน สภาพแวดลอมที่เหมาะสม ขอมูลที่มีความออนไหวจะตองถูกเก็บและประมวลผล อยางมั่นคงปลอดภัย A.14.2.7 การจางหนวยงานภายนอกพัฒนาระบบ (Outsourced development) ตองมีการควบคุมดูแลการพัฒนาระบบที่มีการจัดจางจากหนวยงานภายนอกใหมี การดำเนินการดานความมั่นคงปลอดภัย A.14.2.8 การทดสอบดานความมั่นคงปลอดภัยของระบบ (System security testing) ตองมีการทดสอบความมั่นคงปลอดภัยของระบบ ในชวงที่กำลังดำเนินการพัฒนาและมีการทดสอบกอนที่จะเริ่มใชงานจริง A.14.2.9 การทดสอบเพื่อรองรับระบบ (System acceptance testing) ตองมีการทำแผนการทดสอบเพื่อรับรองระบบสำหรับระบบใหม หรือระบบที่มี การปรับปรุงใหม ขอมูลสำหรับการทดสอบ (Test data) วัตถุประสงค เพื่อปองกันขอมูลที่จะนำมาใชในการทดสอบ A.14.3.1 การปองกันขอมูลสำหรับการทดสอบ (Protection of test data) ขอมูลสำหรับการทดสอบ ตองเปนขอมูลที่ใชในการทดสอบเทานั้น เพราะขอมูลบางขอมูล เปนขอมูลที่เปนความลับตองมีการใชงานอยางรัดกุมและมีการควบคุมการใชงาน A.14.3 Plan Do Check Act Resources http://www.iso27001security.com/ http://www.informationshield.com/papers/ISO27002-2013%20Version %20Change%20Summary.pdf http://cae2y.morainevalley.edu/Compete/Resources/ISO_IEC_27002.pdf http://www.standards-online.net/27001en1/iso27001-2013.pdf http://www.infosecinstitute.com/ISO27002-Security-FrameworkAudit-Program.pdf http://www.slideshare.net/YounessFarah/iso-iec-270022013-code-ofpractice-for-is-management-original ISO หลักสูตรฝกอบรมเชิงปฏิบัติการสำหรับผูทำงานทางเทคนิค ตามมาตรฐาน ISO 27001 : 2013 สวทช รุนที่ 2 Thank you