วิกิพีเดีย

Yong, A. Kotanunt

เข้าร่วมเมื่อ 25 มกราคม 2554

ระบบบริหารจัดการด้านปลอดภัยของข้อมูลสารสนเทศ Information Security Management System (ISMS) กับระบบมาตรฐานด้านความปลอดภัยของข้อมูลสารสนเทศ ISO 27001 ISO/IEC 27001:2005 (Information Security Management System: ISMS) Business review by: Yong, A. Kotanunt (Technology & Innovation Management, KMUTT. Information Security based on ISO/IEC 27002 and for ITIL®)

ปัจจุบัน มีความเปลี่ยนแปลรูปแบบการทำงานขององค์กรทั่วโลก ด้วยเทคโนโลยีที่เปลี่ยนไปส่งผลให้ระบบเทคโนโลยีสารสนเทศและการสื่อสาร เข้ามามีบทบาทสำคัญต่อกระบวนการทางธุรกิจในทุกๆ ด้าน ตัวอย่างเทคโนโลยีด้านอินเตอร์เน็ตถูกนำมาใช้เพื่อประโยชน์ในการติดต่อประสานงาน และด้านธุรกิจเชิงพาณิชย์ อาทิเช่น การสื่อสารระหว่างองค์กรเพื่อดำเนินกิจกรรมทางธุรกิจ (Collaboration) สังคมเครือข่าย (Social Network) เป็นต้น

การแลกเปลี่ยนข้อมูลนี้ นำเทคโยโลยีด้านอินเตอร์เน็ตมาช่วยลดเวลา ขั้นตอน เพิ่มความสะดวกสบาย เพิ่มช่องในการเข้าถึงกลุ่มเป้าหมาย ลดต้นทุนด้านต่างๆ ด้วยเหตุเหล่านี้ทำให้แนวโน้มการดำเนินธุรกิจ ปรับตัวและนำเทคโนโลยีใหม่ๆ มาสร้างโอกาส มุ่งเน้นเป็นปัจจัยสำคัญในการสร้างความได้เปรียบในการแข่งขันทางธุรกิจ

ISO/IEC 27001:2005 (Information Security Management System: ISMS) เป็นมาตรฐานการจัดการข้อมูลที่มีความสำคัญเพื่อให้ธุรกิจดำเนินไปอย่างต่อเนื่อง ซึ่งข้อกำหนดต่างๆ กำหนดขึ้นโดยองค์กร ISO (The International Organization for Standardization) และ IEC (The International Electro technical Commission) การประยุกต์ใช้ ISMS เป็นการวางขั้นตอนดำเนินการที่ชัดเจนช่วยให้กิจกรรมทางธุรกิจมีความต่อเนื่องไม่สะดุด เช่น ป้องกันภัยร้ายแรงต่างๆ เช่น การติดตามการแก้ไขเปลี่ยนแปลงข้อมูลในทุกขั้นตอน, ความเสียหายของระบบข้อมูล, ภัยจากการก่อการร้ายที่มีผลกระทบกับทั้งระบบและข้อมูล, ภัยธรรมชาติที่อาจเกิดขึ้น เช่น แผ่นดินไหว, วาตภัย, อุทกภัย ฯลฯ และ การชุมนุมปิดกั้นทำให้ไม่สามารถดำเนินกิจกรรมได้ตามปกติ เป็นต้น โดยครอบคลุม ทุกอุตสาหกรรมและธุรกิจ

หลักการออกแบบโครงสร้างระบบ ISO/IEC27001:2005 ใช้อ้างอิงรูปแบบ PDCA Model (Plan Do Check Action) เช่นเดียวกับการบริหารสากลที่ใช้กันทั่วโลก เช่น ระบบการจัดการคุณภาพ (ISO 9001:2000), ระบบการจัดการสิ่งแวดล้อม (ISO14001:2004), ระบบการจัดการคุณภาพสำหรับอุตสาหกรรมรถยนต์ (ISO/TS 16949), ระบบการจัดการจัดการคุณภาพสำหรับอตสาหกรรมอาหาร (ISO 21001) เป็นต้น

วัตถุประสงค์ - Confidentiality ให้แน่ใจว่าข้อมูลต่างๆ สามารถเข้าถึงและดำเนินการได้ตรงตามสิทธิของผู้ที่อำนาจในข้อมูลนั้นๆ เท่านั้น เช่นการอำนาจการ Execute, เปลี่ยนแปลง, บันทึก, โยกย้าย และลบข้อมูล - Integrity ป้องกันข้อมูล ความถูกต้องและความสมบูรณ์ของข้อมูล สามารถทราบและติดตามการดำเนินไปของข้อมูล ที่มาที่ไป การเปลี่ยนแปลงแก้ไข จนถึงการลบข้อมูล เวลาดำเนินการ ผู้ดำเนินการ ได้ทุกขั้นตอน - Availability แน่ใจว่า ผู้ที่มีสิทธิ ในการเข้าถึงข้อมูล สามารถเข้าถึงได้เมื่อมีความต้องการตามที่กำหนดไว้ได้

ไฟล์:PDCA KMUTT APSEC DE.jpgไฟล์:PDCA KMUTT NGKNTK JP.jpg For example of Plan, Do, Check, Act (PDCA) refer: APSEC Company and NGKNTK Company

ระบบบริหารจัดการด้านปลอดภัยของข้อมูลสารสนเทศ Information Security Management System (ISMS) เป็นระบบการจัดการภายใต้ความสี่ยงที่ยอมรับได้ เป็นการรองรับการดำเนินการให้ข้อมูลสามารถใช้ได้อย่างต่อเนื่องและมีความปลอดภัย ทำให้เกิดเสถียรภาพ ก่อให้เกิดประสิทธิภาพในการใช้ทรัพยากรในการลงทุนสำหรับการจัดการความปลอดภัยของข้อมูล

ตัวอย่างการ Match PDCA กับการ Implement ISMS (ISO/IEC 27001) 

Plan

การจัดทำระบบ ISMS 4.2.1 Establish ISMS a) กำหนด scope และ ขอบเขตการจัดทำระบบ ISMS b) กำหนด ISMS Policy c) กำหนด รูปแบบการประเมินความเสี่ยง d) กำหนดความเสี่ยง e) วิเคราะห์ และ ประเมินความเสี่ยง f) กำหนดและประเมิน วิธีการเพื่อลดความเสี่ยง g) เลือกการควบคุม เพื่อลดความเสี่ยง h) เห็นชอบความเสี่ยงที่เหลืออยู่โดย management I) เห็นชอบและประยุกต์ใช้ ระบบ โดย management J) จัดทำ Statement of Applicable(SOA) 

Do

ประยุกต์ใช้และดำเนินการ ระบบ ISMS 4.2.2 Implement and Operate the ISMS a) กำหนดแผนการลดความเสี่ยง b) ดำเนินการตามแผนลดความเสี่ยง c) ดำเนินการ ตามการควบคุมที่เลือกตาม 4.2.1g d) กำหนดการวัดประสิทธิภาพของระบบการควบคุม e) จัดทำรายการฝึกอบรม f) จัดการการประยุกต์ใช้ระบบ g) ประยุกต์ใช้ ระเบียบปฎิบัติงาน 

Check

เฝ้าระวังและตรวจสอบระบบ ISMS 4.2.3 Monitor and review ISMS a) จัดทำ ระเบียบปฏิบัติการ เฝ้าระวังและตรวจสอบระบบ ISMS b) ทบทวนประสิทธิภาพของ ระบบอย่างสม่ำเสมอ c) วัดประสิทธิภาพการควบคุมในการปฏิบัติตามข้อกำหนด d) ทบทวน การประเมินความเสี่ยงตามแผน ความเสี่ยงที่เหลือ ระบบการประเมินความเสี่ยง และการเปลี่ยนแปลงต่างๆ ตามรอบเวลาที่กำหนด e) ดำเนินการ ตรวจติดตามภายในระบบISMS f) ดำเนินการ จัดทำ management review g) ปรับปรุง security plan ให้ทันสมัย h) บนทึกการการทำงานและหลักฐานที่มีผลต่อประสิทธิภาพและประสิทธิผลของระบบ 

Action

รักษาและปรับปรุง ระบบ ISMS 4.2.4 Maintain and improve the ISMS a) b) ดำเนินการ corrective action และ preventive action c) สื่อสาร วิธีการและการปรับปรุงต่างๆ ให้กับผู้ที่เกี่ยข้องต่างๆ d) แน่ใจว่า วิธีการที่ปรับปรุงขึ้น บรรลุจุดประสงค์ที่วางไว้ 4.3 Document control 4.3.1 General 4.3.2 Control of Document 4.3.3 Control of Record 5 Management Responsibility 5.1 Management Commitment 5.2 Resource management 6 Internal Audit 7 Management Review 7.1 General 7.2 Review Input 7.3 Review Out put 8 ISMS Improvement 8.1 Continual Improvement 8.2 Corrective action 8.3 Preventive action Refer : TUV Company Refer: http://www.apsec.de/ http://www.ngkntk.co.jp/ http://www.tuv.com/ http://www.cleanvirus.co.nr/

เข้าถึงจาก "https://th.wikipedia.org/w/index.php?title=ผู้ใช้:Yong,_A._Kotanunt&oldid=4926879"